Quali sono le strutture local6 (e tutte le altre # locali) in syslog?

44

Quello che ho capito

Sui server * nix, configuriamo l'invio di log usando facility.severity, dove si facilitytrova il nome del "componente" (chiamiamolo) del sistema, come kernel, autenticazione e così via; ed severityè il "livello" di ciascuno dei registri registrati da una struttura, come i registri info(informativi), crit(critici).

Quindi, se voglio inviare i log critici del kernel, userò kern.crit.

La combinazione di facilità e gravità è nota come priorità, ad esempio ...

  • priorità = kern.crit
  • facility = kern
  • gravità = crit

Domanda

Ci sono "strutture" chiamate local0a local7.

Cosa nel mondo sono queste local#strutture? Sto chiedendo in particolare local6, dal momento che di solito è il più comune che trovo nelle ricerche.

La mia domanda è in realtà perché sto configurando Snort (SourceFire Intrusion Sensor) per inviare i log, quindi volevo sapere quale facilityusare. La mia domanda non è specifica per Snort, perché le local#strutture sono ovunque; ad esempio su Cisco e WebSphere Application Server di IBM.

Ricerca

  • RFC3164, che è dove viene definito il protocollo syslog, dice solo:

    local6 - local use 6

    Il che non lo descrive davvero, al contrario di:

    auth   - security/authorization messages

  • In Ubuntu, man syslogmostra:

       LOG_LOCAL0 tramite LOG_LOCAL7
                  riservato per uso locale

    Inoltre, vago.

syslog 
Alaa Ali
fonte

Risposte:

31

Informazioni generali

Le strutture local0a local7sono "su misura" servizi inutilizzati che syslog fornisce per l'utente. Se uno sviluppatore crea un'applicazione e desidera che acceda a syslog o se si desidera reindirizzare l'output di qualsiasi cosa su syslog (ad esempio, i registri Apache), è possibile scegliere di inviarlo a una qualsiasi delle local#strutture. Quindi, è possibile utilizzare /etc/syslog.conf(o /etc/rsyslog.conf) per salvare i registri inviati a tale local#file in un file o per inviarlo a un server remoto.

Rispondi alla mia domanda

Ho posto questa domanda perché volevo inviare i log a un server esterno, quindi volevo sapere quale scegliere, non "scrivere i log in una local#struttura". Ho dovuto tornare alla documentazione di Snort per scoprire cosa stanno scrivendo nelle local#strutture.

Alaa Ali
fonte
7

Local#le strutture sono dedicate all'uso locale e non esiste uno standard definito (come RFC) quale viene utilizzato da quale applicazione. Quindi puoi scegliere quello che vuoi. Naturalmente, alcune applicazioni e i loro sviluppatori hanno concordato una particolare struttura da utilizzare, ma questo non è uno standard ufficiale (come sudo - LOCAL2, Snort - LOCAL5, ...).

dsmsk80
fonte
Cosa intendi con "Posso scegliere quello che voglio"? Sono tutti uguali? Non capisco l'ultimo pezzo di sudo local2e snort local5; intendi su alcuni dispositivi, sudosta usando local2e su altri lo snortè local5?
Alaa Ali,
Voglio dire che puoi scegliere quello che vuoi da LOCAL0 a LOCAL6. Sì, su alcune distro ricordo che sudo ha usato la funzione local2 per impostazione predefinita.
dsmsk80,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.