
Ich habe die Installation so eingerichtet nxlog
, dass meine Protokolle an einen Graylog-Server gesendet werden. Das funktioniert einwandfrei, aber mir wird der Zugriff auf die Protokolle meines HIDS Ossec verweigert.
Mein Prozess nxlog
(gestartet durch Collector-Sidecar) wird als Root ausgeführt:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
Im nxlog.conf
habe ich:
User root
Group adm
Die Rechte an den OSSEC-Protokollen sind wie folgt ( ossec:ossec
für /var/ossec/logs
):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
ossec
Der Benutzer und die Mitglieder der Gruppe können diese Datei also OSSEC
lesen (glaube ich).
Ich habe die Wurzel zur Gruppe ossec hinzugefügt:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Ich habe es mit einem Neustart meines Servers getestet, aber in den Protokollen von nxlog habe ich Folgendes gelesen:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Wenn ich per Chown in root
das Verzeichnis wechsele /var/ossec/logs
, habe ich Folgendes:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Warum also kann mein Prozess diese Datei nicht lesen , wenn ich sie root
in die Gruppe einfüge?ossec
nxlog
Antwort1
Können Sie versuchen, es User root
von Ihrem zu entfernen nxlog.conf
? Es wird weiterhin als ausgeführt root
. Diesbezüglich gab es in der CE einen Fehler.