내가 이해하는 것
* 괜찬아 서버에, 우리는 사용 로그를 보낼 구성 할 facility.severity경우, facility같은 커널, 인증과 같이 시스템의 (현실을 부르 자)의 이름입니다 “구성 요소”, 등등; 와 severity같은 시설에 의해 기록 된 로그, 각각의 “수준”입니다 info(정보), crit(중요) 로그.
따라서 커널 중요 로그를 보내려면을 사용 kern.crit합니다.
예를 들어 시설과 심각도의 조합을 우선 순위라고합니다.
- 우선 순위 = kern.crit
- 시설 = 케른
- 심각도 = 치명타
질문
로 불리는 “시설” local0이 local7있습니다.
이 local#시설 들은 세계에서 무엇입니까 ? 나는 local6일반적으로 검색에서 찾은 가장 일반적인 것이기 때문에 에 대해 구체적으로 묻습니다 .
내 질문은 실제로 로그를 보내도록 Snort (SourceFire Intrusion Sensor)를 구성하고 있기 때문에 어떤 facility것을 사용 해야하는지 알고 싶었습니다 . local#시설이 어디에나 있기 때문에 내 질문은 Snort에 국한되지 않습니다 . 예를 들어 Cisco와 IBM의 WebSphere Application Server에서.
연구
-
RFC3164syslog 프로토콜이 정의 된 위치는 다음과 같습니다.local6 - local use 6다음과는 반대로 실제로 설명하지는 않습니다.
auth - security/authorization messages -
우분투
man syslog에서는 다음을 보여줍니다.LOG_LOCAL0 ~ LOG_LOCAL7 현지 사용을 위해 예약 됨또한 모호합니다.
답변
일반 정보
시설 local0로는 local7시스템 로그는 사용자에게 제공하는 “사용자 정의”사용되지 않는 시설입니다. 개발자가 응용 프로그램을 만들고 syslog에 로그를 만들거나 출력을 syslog (예 : Apache 로그)로 리디렉션하려는 경우 모든 기능으로 보내도록 선택할 수 있습니다 local#. 그런 다음 /etc/syslog.conf(또는 /etc/rsyslog.conf)를 사용하여 전송되는 로그 local#를 파일로 저장하거나 원격 서버로 보낼 수 있습니다.
내 질문에 대한 답변
이 질문은 외부 서버에 로그를 보내려고했기 때문에 ” local#시설에 로그 쓰기”가 아닌 어떤 것을 선택해야하는지 알고 싶었습니다 . 그들이 local#시설에 무엇을 쓰고 있는지 알아 내기 위해 Snort 문서로 돌아 가야했습니다 .
답변
Local#시설은 지역 전용이며 RFC와 같이 어떤 응용 프로그램에서 어떤 표준을 사용하는지 정의되어 있지 않습니다. 따라서 원하는 것을 선택할 수 있습니다. 물론 일부 응용 프로그램과 개발자는 특정 시설을 사용하기로 합의했지만 이는 공식 표준이 아닙니다 (예 : sudo-LOCAL2, Snort-LOCAL5 등).