suhosin补丁专用文件日志

Question

是否可以将suhosin补丁的日志从syslog移动到专用文件？

cacti每隔5分钟由cron调用并尝试将内存限制设置为-1因此，每次调用Cacti时，系统日志中都有2条消息。

ALERT - 脚本试图将其设置为负值-1字节，这是不允许禁用memory_limit的（攻击者REMOTE_ADDR没有设置'文件“未知”）

感谢您帮助

Answer 1

是的，你可以对此进行设置，多种方式：如果你想用你的系统的syslog保持

1. ：

   有suhosin.log.syslog.facility INI设置，您可以选择的USER设施 一个你 系统上没有其他应用程序使用。

   大多数系统日志守护进程具有不同的过滤功能来决定发送消息的地址 。你将不得不检查你的系统运行的是什么，有很多流行的系统日志守护进程是 rsyslog,dsyslog,syslog-ng。他们都有自己的 配置格式，但他们都应该能够在设施上过滤基于 。在其中的大多数中，您还可以根据日志消息本身过滤程序名称或 匹配模式。

   在SYSKLOGD，rsyslogd，dsyslog风格的配置文件，这将看 一些配套设施时，如：

   local5.*  /var/log/suhoshin_alert.log 
   

   或者与该消息的正则表达式：

   *.*  /var/log/suhoshin_alert.log 
   :msg, regex, "^ALERT -" 
   

   如果你只是想忽略这些消息，您可以使用~日志目标丢弃消息。 （只是要小心你的规则匹配）

2. 可以使用自定义登录脚本

   有一个suhosin.log.script.name和suhosin.log.phpscript.name配置选项。你可以用它们指定一个脚本文件，php一个将把变量的信息作为变量，而另一个将它作为参数，并且你将消息记录到任何地方，然后你选择。

   您必须更改suhosin.log.script或suhosin.log.phpscript选项以指示应将哪些类型的消息发送到脚本，请参阅table here。

但是，这听起来像解决您的问题（允许内存限制更改，或不更改内存限制）将是可取的。