%20%EA%B8%B0%EB%8A%A5%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
##나의 이해
*nix 서버에서는 시스템의 "구성 요소" 이름(예: 커널, 인증 등)을 사용하여 facility.severity로그 보내기를 구성합니다 . (정보) 로그, (키) 로그.facilityseverityinfocrit
따라서 커널 중요 로그를 보내려면 kern.crit.
시설과 심각도의 조합을 우선순위라고 합니다. 예를 들어...
- 우선순위 = kern.crit
- 시설=긴축
- 심각도 = 치명타
##질문
local0"시설 " 이라는 것이 있습니다 local7.
이 시설들은 정확히 무엇입니까 local#? 제가 구체적으로 묻는 local6이유는 일반적으로 검색에서 가장 흔히 발견되는 것이기 때문입니다.
facility내 질문은 실제로 로그를 보내도록 Snort(SourceFire Intrusion Sensor)를 구성하고 있기 때문에 어떤 것을 사용해야 하는지 알고 싶습니다 . 그러나 내 문제는 Snort에만 국한된 것이 아닙니다. local#예를 들어 Cisco 및 IBM의 WebSphere Application Server에는 시설이 어디에나 있기 때문입니다.
##연구
RFC3164syslog 프로토콜이 정의된 곳은 간단히 말해서 다음을 의미합니다.local6 - local use 6
다음 외에는 실제로 설명하지 않습니다.
auth - security/authorization messages
- 우분투에서는 다음을
man syslog보여줍니다:
LOG_LOCAL0 ~ LOG_LOCAL7
로컬 사용을 위해 예약됨
또한 흐릿합니다.
답변1
기본 정보
이러한 기능은 syslog가 사용자에게 제공하는 "사용자 정의" 미사용 기능 local0입니다 . local7개발자가 애플리케이션을 생성하고 이를 syslog에 기록하려는 경우 또는 모든 출력을 syslog(예: Apache 로그)로 리디렉션하려는 경우 이를 모든 시설로 보내도록 선택할 수 있습니다 local#. 그런 다음 /etc/syslog.conf(또는 )을 사용하여 /etc/rsyslog.conf해당 파일로 전송된 로그를 파일로 저장 local#하거나 원격 서버로 보낼 수 있습니다 .
내 질문에 대답
로그를 외부 서버로 보내고 싶어서 "시설에 로그 쓰기" 외에 어떤 서버를 선택해야 하는지 알고 싶습니다 local#. 나는 그들이 시설에 local#무엇을 쓰고 있는지 알아내기 위해 Snort 문서로 돌아가야 할 것입니다.
답변2
Local#시설은 로컬 사용을 위한 것이며 어떤 응용 프로그램에서 어떤 시설을 사용하는지 정의하는 표준(예: RFC)은 없습니다. 그래서 당신은 당신이 원하는 것을 선택할 수 있습니다. 물론 일부 애플리케이션과 해당 개발자는 특정 도구를 사용하는 데 동의하지만 이는 공식 표준은 아닙니다(예: sudo - LOCAL2, Snort - LOCAL5, ...).