Что такое local6 (и все другие локальные #) средства в системном журнале?

Что я понимаю

На серверах * nix мы настраиваем отправку журналов, используя facility.severity, где facilityимя (давайте назовем это) «компонента» системы, такого как ядро, аутентификация и т. Д .; и severityявляется «уровнем» каждого из журналов, зарегистрированных средством, таким как info(информационные), crit(критические) журналы.

Итак, если я хочу отправить критические журналы ядра, я буду использовать kern.crit.

Комбинация объекта и серьезности известна как приоритет, например ...

• приоритет = kern.crit
• средство = керн
• серьезность = крит

Вопрос

Есть «объекты» называются local0в local7.

Что в мире эти local#объекты? Я спрашиваю конкретно о том local6, как это обычно самый распространенный, который я нахожу в поисках.

Мой вопрос на самом деле, потому что я настраиваю Snort (SourceFire Intrusion Sensor) для отправки журналов, поэтому я хотел знать, какой facilityиспользовать. Мой вопрос не является специфическим для Snort, потому что local#средства есть везде; на Cisco и IBM WebSphere Application Server, например.

Исследование

• RFC3164, где определяется протокол системного журнала, только говорит:

  local6 - local use 6
  

  Который действительно не описывает это, в отличие от:

  auth   - security/authorization messages
  

• В Ubuntu man syslogпоказывает:

     LOG_LOCAL0 до LOG_LOCAL7
                    зарезервировано для локального использования
  

  Кроме того, расплывчато.

Главная информация

Средства local0для local7«пользовательских» неиспользуемых средств, которые syslog предоставляет пользователю. Если разработчик создает приложение и хочет, чтобы оно регистрировалось в системном журнале, или если вы хотите перенаправить вывод чего-либо в системный журнал (например, журналы Apache), вы можете отправить его в любое из local#средств. Затем вы можете использовать /etc/syslog.conf(или /etc/rsyslog.conf) для сохранения журналов, отправляемых этому, local#в файл или для отправки на удаленный сервер.

Ответь на мой вопрос

Я задал этот вопрос, потому что я хотел отправить журналы на внешний сервер, поэтому я хотел знать, какой из них выбрать, а не «записывать журналы на local#объект». Мне пришлось вернуться к документации Snort, чтобы выяснить, что они пишут в local#учреждения.

Local#Средства предназначены для локального использования, и не существует какого-либо стандарта (например, RFC), какой из них используется каким приложением. Таким образом, вы можете выбрать все, что вы хотите. Конечно, некоторые приложения и их разработчики согласились использовать конкретное средство, но это не является официальным стандартом (например, sudo - LOCAL2, Snort - LOCAL5, ...).