Ich habe die Installation so eingerichtet nxlog, dass meine Protokolle an einen Graylog-Server gesendet werden. Das funktioniert einwandfrei, aber mir wird der Zugriff auf die Protokolle meines HIDS Ossec verweigert.
Mein Prozess nxlog(gestartet durch Collector-Sidecar) wird als Root ausgeführt:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
Im nxlog.confhabe ich:
User root
Group adm
Die Rechte an den OSSEC-Protokollen sind wie folgt ( ossec:ossecfür /var/ossec/logs):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
ossecDer Benutzer und die Mitglieder der Gruppe können diese Datei also OSSEClesen (glaube ich).
Ich habe die Wurzel zur Gruppe ossec hinzugefügt:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Ich habe es mit einem Neustart meines Servers getestet, aber in den Protokollen von nxlog habe ich Folgendes gelesen:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Wenn ich per Chown in rootdas Verzeichnis wechsele /var/ossec/logs, habe ich Folgendes:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Warum also kann mein Prozess diese Datei nicht lesen , wenn ich sie rootin die Gruppe einfüge?ossecnxlog
Antwort1
Können Sie versuchen, es User rootvon Ihrem zu entfernen nxlog.conf? Es wird weiterhin als ausgeführt root. Diesbezüglich gab es in der CE einen Fehler.