3.8.5. 关于管理接口的审计日志 Syslog 处理程序
Syslog 处理程序通过参数指定哪些审计日志条目被发送到 Syslog 服务器,特别是 Syslog 服务器侦听的的主机名和端口。
发送审计日志到 Syslog 服务器比本地文件或本地 Syslog 服务器提供了更安全的选项。您可以定义多个 Syslog 处理程序。
Syslog 服务器有不同的实现,所以并非所有设置都可应用到所有的 Syslog 服务器上。我们已用 rsyslog syslog 实现进行了测试。引用的 RFC 是:
http://www.ietf.org/rfc/rfc3164.txthttp://www.ietf.org/rfc/rfc5424.txthttp://www.ietf.org/rfc/rfc6587.txt
表 3.7. Syslog 处理程序字段
| 字段 | 描述 | 只读的值 |
|---|---|---|
formatter | 用来格式化日志记录的格式器的名称。 | False |
failure-count | 初始化处理程序前记录日志失败的次数。 | True |
max-failure-count | 禁用这个处理程序前记录日志失败的最多次数。 | False |
disabled-due-to-failure | True 表示如果登记日志失败则禁用处理程序。 | True |
syslog-format | Syslog 格式:RFC-5424 或 RFC-3164。 | False |
| max-length | 日志消息的最大长度(字节),包括头部信息。如果没有定义,syslog-format 为 RFC3164 时它默认为 1024 字节,而 syslog-format 为 RFC5424 时它默认为 2048 字节。 | False. |
truncate | 如果消息长度超过最大字节数,是否要截短(包括头部信息)。如果为 false,消息将即兴分隔然后用相同的头部值来发送。 | False |
