¿Qué programa predeterminado usa las instalaciones locales [0-7] de syslog?

19

Así como las instalaciones del régimen común ( mail, news, daemon, cron, etc), syslog ofrece una serie de instalaciones "locales", los números 0 a 7: LOCAL0, LOCAL1, ..., LOCAL7.

¿Cuáles son los valores predeterminados del programa para aplicaciones comunes?

Estoy buscando averiguar qué instalaciones se usan "tradicionalmente" para servicios bien conocidos. Implementaré una aplicación en muchos servidores, con varios programas instalados, y me gustaría ver si hay una instalación "gratuita" que pueda usar fácilmente para mis propios registros.

Como nota, me doy cuenta de que hay otras formas de hacerlo que no sea una instalación de syslog. ¡Sólo curioso!

Aquí hay algunos (un comienzo para responder mi propia pregunta) y algunos gracias a voretaq7:

LOCAL0 es utilizado por postgresql
LOCAL2 es utilizado por sudo
LOCAL3 es utilizado por algunas versiones de SpamAssassin
LOCAL4 es usado por defecto por slapd (servidor OpenLDAP)
LOCAL5 A veces es utilizado por Snort IDS
LOCAL7 se usa para mensajes de arranque en Fedora 12

logging syslog

— Jonathan Clarke
fuente

¿No están todos los registros con el nombre del proceso o un nombre definido por el usuario que lo envió? Solía trabajar con syslogs y no recuerdo haber tenido problemas para filtrar las entradas de registro por aplicación.

— Embrague

embrague, te refieres a la 'etiqueta' de Syslog. Por defecto, en Linux, la etiqueta consiste en el nombre y la ID del proceso, como 'httpd [1234]', que generó el mensaje de registro. Pero puede configurar la etiqueta a lo que quiera a través de la API Syslog. Vea mi respuesta, a continuación, para más detalles.

— Ryan B. Lynch

7

Las LOCALninstalaciones están disponibles para cualquier uso local y pueden variar bastante de un sitio a otro.

Le garantizo que cada uno de los 8 disponibles son utilizados por algo, por lo que si desea evitar conflictos, mi mejor consejo es registrar los 7 para separar los registros y elegir el que parece que nada más está usando.

Algunas de las que se perdió (valores predeterminados del programa; pueden cambiarse localmente, por lo tanto, vuelva a verificar):

LOCAL0 es utilizado por postgresql (si está configurado para iniciar sesión en syslog)
LOCAL2 es utilizado por sudo (si está configurado para iniciar sesión en syslog)
LOCAL3 es utilizado por algunas versiones de SpamAssassin
- Esto a menudo se cambió por el administrador local para iniciar sesión a mailsu lugar
LOCAL5 A veces es utilizado por Snort IDS
- No sé si es una coincidencia predeterminada o una coincidencia, pero lo he visto en varias instalaciones de Snort

— voretaq7
fuente

¡Excelente! Esto es exactamente lo que estoy buscando: los valores predeterminados del programa. ¡Más son bienvenidos! Claramente, se utilizarán varias instalaciones, solo estoy buscando ver qué aplicaciones me voy a interponer.

— Jonathan Clarke

2

No existe un estándar para las instalaciones de Syslog LOCAL0-LOCAL7. Por diseño, no puede contar con si serán utilizados por algo. Las distribuciones u organizaciones particulares pueden tener sus propias convenciones, pero eso depende de la distribución o la política de la organización, no un estándar más amplio.

Como alternativa, ¿ha considerado utilizar las "etiquetas" de Syslog? Las etiquetas son cadenas de forma libre que se anteponen a los mensajes de registro para identificar aplicaciones específicas o canales de registro. Por defecto, la etiqueta generalmente se forma a partir del nombre del proceso y la ID (por ejemplo, 'httpd [2839]') que generó los datos de registro. La utilidad de línea de comandos 'logger' y la mayoría de las API de Syslog admiten la especificación de las etiquetas que desea utilizar para sus aplicaciones.

Por ejemplo, personalmente me gusta usar 'http-access' para mis registros de acceso al servidor web Apache, que envío a Syslog canalizando la salida del registro de Apache al comando 'logger -p local7.info -t' http-access '.

— Ryan B. Lynch
fuente

Interesante, gracias. Sin embargo, estoy construyendo una solución sobre algún software existente que se puede configurar para iniciar sesión en uno de LOCAL0 a LOCAL7. Mi pregunta realmente se refiere a los valores predeterminados que utilizan varios programas.

— Jonathan Clarke

Tiene sentido, me perdí eso. Pero señalaré que hay un peligro en confiar en un comportamiento no estandarizado, aquí. Los desarrolladores o empaquetadores de OpenLDAP, Fedora, etc. pueden (y a veces lo hacen) cambiar estos comportamientos de una versión a otra. No hay garantía de que una actualización no difiera de ninguna opción de instalación de Syslog realizada en el pasado. Esto no es un factor decisivo, solo un problema potencial que quizás desee tener en cuenta.

— Ryan B. Lynch

2

La mayoría de los archivos syslog.conf están configurados con comodines para el archivo de mensajes (* .info). Si esto es solo una ejecución de la aplicación de fábrica y no una vaca acaparadora de registros completa, probablemente solo deba iniciar sesión en los mensajes y no en un archivo independiente.

Elegir iniciar sesión en su propio archivo significa agregar un paso posterior a la instalación a los paquetes de instalación de su software que agrega una entrada apropiada en syslog.conf. Esto también significa que si es agradable, agregaría un paso posterior a la instalación que también crea un archivo logrotate apropiado.

— CarpeNoctem
fuente

Un buen consejo sobre el embalaje para syslog y logrotate. Gracias.

— Jonathan Clarke

-3

También estaba buscando un archivo de configuración como syslog.conf para hacer una referencia cruzada de las instalaciones locales0-7 con el programa que les está escribiendo. Parece que dicho archivo de configuración no existe. Para saber qué programa está escribiendo en el registro, deberá abrir el archivo de registro y buscar el nombre del programa junto a la columna al lado de los dos puntos, por ejemplo ... sendmail [22950]: es para el programa sendmail. El número entre corchetes es para el número de puerto utilizado durante la ejecución del programa.

— Víctor
fuente