我已經安裝了nxlog將日誌傳送到graylog伺服器的功能。它工作正常,但我的 HIDS Ossec 日誌權限被拒絕。
我的進程nxlog(由 Collector-sidecar 啟動)以 root 身份運行:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
在 中nxlog.conf,我有:
User root
Group adm
OSSEC日誌的權限如下(ossec:ossec)/var/ossec/logs:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
因此,用戶ossec和群組的成員OSSEC可以讀取此文件(我認為)。
我將根添加到組 ossec :
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
我重新啟動伺服器進行了測試,但我讀了 nxlog 的日誌:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
當我 chown 到root目錄/var/ossec/logs:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
那麼,為什麼當我放入root群組時ossec,我的nxlog進程無法讀取該檔案?
答案1
您可以嘗試User root從您的 中刪除嗎nxlog.conf?它將仍然作為 運行root。事實上,CE 中存在一個錯誤。