¿Cuáles son las instalaciones locales6 (y todas las demás # locales) en syslog?

44

lo que yo entiendo

En los servidores * nix, configuramos el envío de registros mediante facility.severity, donde facilityestá el nombre del "componente" (llamémoslo) del sistema, como el núcleo, la autenticación, etc. y severityes el "nivel" de cada uno de los registros registrados por una instalación, como los registros info(informativos), crit(críticos).

Entonces, si quiero enviar registros críticos del núcleo, lo usaré kern.crit.

La combinación de facilidad y gravedad se conoce como la prioridad, por ejemplo ...

  • prioridad = kern.crit
  • facilidad = kern
  • severidad = crítico

Pregunta

Hay "instalaciones" llamadas local0a local7.

¿Qué demonios son estas local#instalaciones? Estoy preguntando específicamente local6, ya que generalmente es el más común que encuentro en las búsquedas.

Mi pregunta es en realidad porque estoy configurando Snort (SourceFire Intrusion Sensor) para enviar registros, por lo que quería saber cuál facilityusar. Sin embargo, mi pregunta no es específica de Snort, porque las local#instalaciones están en todas partes; en Cisco y el servidor de aplicaciones WebSphere de IBM, por ejemplo.

Investigación

  • RFC3164, que es donde se define el protocolo syslog, solo dice:

    local6 - local use 6
    

    Lo que realmente no lo describe, a diferencia de:

    auth   - security/authorization messages
    
  • En Ubuntu, man syslogmuestra:

       LOG_LOCAL0 hasta LOG_LOCAL7
                      reservado para uso local
    

    Además, vago.

Alaa Ali
fuente

Respuestas:

31

Información general

Las instalaciones local0a local7son "personalizados" instalaciones no utilizados que syslog proporciona para el usuario. Si un desarrollador crea una aplicación y quiere que inicie sesión en syslog, o si desea redirigir la salida de cualquier cosa a syslog (por ejemplo, registros de Apache), puede elegir enviarla a cualquiera de las local#instalaciones. Luego, puede usar /etc/syslog.conf(o /etc/rsyslog.conf) para guardar los registros que se envían local#a un archivo, o para enviarlo a un servidor remoto.

Responde a mi pregunta

Hice esta pregunta porque quería enviar registros a un servidor externo, así que quería saber cuál elegir, no "escribir registros en una local#instalación". Tuve que volver a la documentación de Snort para averiguar qué están escribiendo en las local#instalaciones.

Alaa Ali
fuente
7

Local#las instalaciones están dedicadas al uso local y no hay ningún estándar definido (como RFC) para cuál aplicación se utiliza. Para que pueda elegir lo que quiera. Por supuesto, algunas aplicaciones y sus desarrolladores acordaron una instalación particular para usar, pero este no es un estándar oficial (como sudo - LOCAL2, Snort - LOCAL5, ...).

dsmsk80
fuente
¿Qué quieres decir con "puedo elegir lo que quiera"? son todos iguales? No entiendo lo último sobre sudo local2y snort local5; que quiere decir en algunos dispositivos, sudoestá utilizando local2y en los demás snortes local5?
Alaa Ali
Quiero decir que puedes elegir lo que quieras de LOCAL0 a LOCAL6. Sí, en algunas distribuciones recuerdo que sudo usó la instalación local2 por defecto.
dsmsk80