ログを graylog サーバーに送信するためにインストールしましたnxlog。正常に動作しますが、HIDS Ossec のログに対するアクセス許可が拒否されます。
私のプロセスnxlog(コレクターサイドカーによって起動)はルートとして実行されます:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
ではnxlog.conf、私は以下を持っています:
User root
Group adm
OSSEC ログに対する権限は次のとおりです ( ossec:ossec) /var/ossec/logs。
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
つまり、ユーザーossecとグループのメンバーはOSSECこのファイルを読み取ることができます(と思います)。
ルートをグループ ossec に追加しました:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
サーバーを再起動してテストしましたが、nxlog のログに次のように表示されました:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
rootディレクトリに chown すると、/var/ossec/logs次のようになります:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
では、グループrootに追加するとossec、nxlogプロセスがこのファイルを読み取れないのはなぜでしょうか?
答え1
User rootから削除してみてはいかがでしょうかnxlog.conf? 引き続き として実行されますroot。CE ではこれにバグがあったようです。