Ce que je comprends
Sur les serveurs * nix, nous configurons l'envoi des journaux à l'aide de facility.severity
, où facility
est le nom du "composant" (appelons-le) du système, tel que le noyau, l'authentification, etc. et severity
est le "niveau" de chacun des journaux consignés par une installation, tels que les journaux info
(informatifs), crit
(critiques).
Donc, si je veux envoyer des journaux critiques du noyau, je les utiliserai kern.crit
.
La combinaison de facilité et de gravité est appelée priorité, par exemple ...
- priorité = kern.crit
- installation = kern
- gravité = critique
Question
Il existe des "installations" appelées local0
à local7
.
Que sont ces local#
installations dans le monde ? Je demande spécifiquement à propos de local6
, car il est généralement le plus commun que je trouve dans les recherches.
Ma question est en fait parce que je configure Snort (SourceFire Intrusion Sensor) pour envoyer des journaux, donc je voulais savoir lequel facility
utiliser. Ma question n'est cependant pas spécifique à Snort, car les local#
installations sont partout; sur Cisco et WebSphere Application Server d'IBM par exemple.
Recherche
RFC3164
, qui définit le protocole syslog, indique seulement:local6 - local use 6
Ce qui ne le décrit pas vraiment, par opposition à:
auth - security/authorization messages
Dans Ubuntu,
man syslog
montre:LOG_LOCAL0 à LOG_LOCAL7 réservé à l'usage local
Aussi, vague.
sudo local2
etsnort local5
; vous voulez dire sur certains appareils,sudo
utiliselocal2
et sur d'autressnort
estlocal5
?