Я установил, nxlogчтобы отправлять свои логи на сервер graylog. Он работает нормально, но у меня есть отказ в доступе к журналам моего HIDS Ossec.
Мой процесс nxlog(запущенный collector-sidecar) выполняется от имени root:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
В nxlog.conf, у меня есть :
User root
Group adm
Права на журналы OSSEC следующие ( ossec:ossecдля /var/ossec/logs):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
Итак, пользователь ossecи члены группы OSSECмогут прочитать этот файл (я думаю).
Я добавил root в группу ossec:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Я проверил это с помощью перезагрузки сервера, но в журналах nxlog я прочитал следующее:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Когда я перехожу в rootкаталог, /var/ossec/logsчтобы получить:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Итак, почему, когда я помещаю rootфайл в ossecгруппу, мой nxlogпроцесс не может прочитать этот файл?
решение1
Можете ли вы попробовать удалить User rootиз вашего nxlog.conf? Он все равно будет работать как root. Действительно, в CE была ошибка с этим.