
ログを graylog サーバーに送信するためにインストールしましたnxlog
。正常に動作しますが、HIDS Ossec のログに対するアクセス許可が拒否されます。
私のプロセスnxlog
(コレクターサイドカーによって起動)はルートとして実行されます:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
ではnxlog.conf
、私は以下を持っています:
User root
Group adm
OSSEC ログに対する権限は次のとおりです ( ossec:ossec
) /var/ossec/logs
。
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
つまり、ユーザーossec
とグループのメンバーはOSSEC
このファイルを読み取ることができます(と思います)。
ルートをグループ ossec に追加しました:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
サーバーを再起動してテストしましたが、nxlog のログに次のように表示されました:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
root
ディレクトリに chown すると、/var/ossec/logs
次のようになります:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
では、グループroot
に追加するとossec
、nxlog
プロセスがこのファイルを読み取れないのはなぜでしょうか?
答え1
User root
から削除してみてはいかがでしょうかnxlog.conf
? 引き続き として実行されますroot
。CE ではこれにバグがあったようです。