Доступ к журналам для не root/sudo пользователь

У этого вопроса довольно большой объем, особенно с учетом этого двусмысленного « и т.д. ». Что я могу сделать, так это помочь вам разбить это на части, чтобы вы могли лучше справиться с проблемой. Сначала вам нужно четко определить, к каким журналам им нужен доступ, и обрабатывать их по одному.

Для каждого файла журнала вам необходимо учесть некоторые соображения;

• Если ротация журнала обрабатывается службой или демоном, вам необходимо придумать способ установки необходимых разрешений для файла журнала через конфигурация сервиса. Вы можете использовать такие вещи, как umask в сценарии инициализации, бит setgid в каталоге журнала (если это подкаталог в / var / log) и т. Д.

• Если ротация журнала обрабатывается заданием cron logrotate , существует метод « create », который можно использовать для установки владельца, группы и режима нового файла журнала.

• Последний вариант, о котором я могу думать, - это если служба использует функцию syslog, вам может потребоваться установить там разрешения. (Например, rsyslogd.)

В конечном итоге вы, вероятно, собираетесь использовать комбинацию всего вышеперечисленного. Используя группу, вы на правильном пути. Владелец, скорее всего, останется root или владельцем процесса (тем, кто пишет файл.) Владелец сохранит чтение, запись и группу только для чтения.

Чтобы получить более конкретные ответы, ваш вопрос может быть более конкретным. Для начала сообщите нам, какую ОС и версию вы используете.

Вместо предоставления доступа к машине и файлам я рекомендую предоставить доступ к службе , такой как Logstash или Splunk. Это намного предпочтительнее, чем предоставление системных разрешений, и позволит вам использовать большую полезность самих инструментов.