Quais são os recursos local6 (e todos os outros # locais) no syslog?

44

O que eu entendo

Nos servidores * nix, configuramos o envio de logs usando facility.severity, onde facilityé o nome do "componente" (vamos chamá-lo) do sistema, como kernel, autenticação e assim por diante; e severityé o "nível" de cada um dos logs registrados por uma instalação, como logs info(informativos) e crit(críticos).

Então, se eu quiser enviar logs críticos do kernel, usarei kern.crit.

A combinação de facilidade e gravidade é conhecida como prioridade, por exemplo ...

  • priority = kern.crit
  • facilidade = kern
  • gravidade = crit

Pergunta, questão

Existem "instalações" chamadas local0para local7.

O que são essas local#instalações no mundo ? Estou perguntando especificamente local6, já que geralmente é o mais comum que encontro nas pesquisas.

Minha pergunta é, na verdade, porque estou configurando o Snort (SourceFire Intrusion Sensor) para enviar logs, então eu queria saber qual facilityusar. Minha pergunta não é específica do Snort, porque as local#instalações estão em todo lugar; no Cisco e WebSphere Application Server da IBM, por exemplo.

Pesquisa

  • RFC3164, onde é definido o protocolo syslog, apenas diz:

    local6 - local use 6
    

    O que realmente não descreve, ao contrário de:

    auth   - security/authorization messages
    
  • No Ubuntu, man syslogmostra:

       LOG_LOCAL0 a LOG_LOCAL7
                      reservado para uso local
    

    Além disso, vago.

Alaa Ali
fonte

Respostas:

31

Informações gerais

Os recursos local0a local7serem recursos não utilizados "personalizados" fornecidos pelo syslog para o usuário. Se um desenvolvedor criar um aplicativo e desejar fazer logon para o syslog ou se desejar redirecionar a saída de qualquer coisa para o syslog (por exemplo, logs do Apache), você poderá enviá-lo para qualquer um dos local#recursos. Em seguida, você pode usar /etc/syslog.conf(ou /etc/rsyslog.conf) para salvar os logs que estão sendo enviados local#para um arquivo ou para um servidor remoto.

Responda a minha pergunta

Eu fiz essa pergunta porque queria enviar logs para um servidor externo; portanto, queria saber qual escolher, e não "gravar logs em uma local#instalação". Eu tive que voltar para a documentação do Snort para descobrir o que eles estavam escrevendo nas local#instalações.

Alaa Ali
fonte
7

Local#as instalações são dedicadas para uso local e não há nenhum padrão definido (como RFC) qual é usado por qual aplicativo. Então você pode escolher o que quiser. Obviamente, alguns aplicativos e seus desenvolvedores concordaram em usar um recurso específico, mas esse não é um padrão oficial (como sudo - LOCAL2, Snort - LOCAL5, ...).

dsmsk80
fonte
O que você quer dizer com "eu posso escolher o que eu quiser"? Eles são todos iguais? Eu não entendo a última parte sobre sudo local2e snort local5; você quer dizer em alguns dispositivos, sudoestá usando local2e em outros snorté local5?
Alaa Ali
Quero dizer, você pode escolher o que quiser de LOCAL0 a LOCAL6. Sim, em algumas distros, lembro que o sudo usava o recurso local2 por padrão.
precisa