
nxlog
내 로그를 greylog 서버로 보내도록 설치했습니다 . 잘 작동하지만 HIDS Ossec 로그에 대한 권한이 거부되었습니다.
내 프로세스 nxlog
(수집기 사이드카로 시작)는 루트로 실행됩니다.
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
에는 nxlog.conf
다음이 있습니다.
User root
Group adm
OSSEC 로그에 대한 권한은 다음과 같습니다( ossec:ossec
의 경우 /var/ossec/logs
):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
그래서 사용자 ossec
와 그룹의 구성원이 OSSEC
이 파일을 읽을 수 있다고 생각합니다.
ossec 그룹에 루트를 추가했습니다.
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
서버를 재부팅하여 테스트했지만 nxlog 로그를 읽었습니다.
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
내가 가질 root
디렉토리 에 chown하면 :/var/ossec/logs
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
그렇다면 왜 그룹 root
에 넣을 때 ossec
내 nxlog
프로세스가 이 파일을 읽을 수 없습니까?
답변1
User root
에서 제거해 볼 수 있나요 nxlog.conf
? 으로 계속 실행될 것입니다 root
. 그런데 CE에는 버그가 있었습니다.