Я установил nxlog
для отправки моих журналов на сервер Graylog. Он работает нормально, но у меня отказано в доступе к журналам моего HIDS Ossec.
Мой процесс nxlog
(запущен коллектором-sidecar) запускается от имени пользователя root:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
В nxlog .conf
, у меня есть:
User root
Group adm
Права на журналы OSSEC следующие ( ossec: ossec
для / var / ossec / logs
):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
Итак , пользователь ossec
и члены группы OSSEC
могут читать этот файл (я думаю).
Я добавил корень в группу ossec:
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
Я тестировал с перезагрузка моего сервера, но я прочитал в журналах nxlog:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
Когда я выбрал root
каталог / var / ossec / logs
, чтобы иметь:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
Итак, почему, когда я помещаю root
в группу ossec
, мой процесс nxlog
не может прочитать этот файл?
Можете ли вы попробовать удалить root пользователя
из вашего nxlog.conf
? Он по-прежнему будет работать как root
. Правда, в CE была ошибка с этим.