在我们公司,我们计划使用 syslog-ng 进行集中日志聚合。我们有来自网络设备的日志,并且数百个 *nix 系统(客户端)生成日志文件,并将其发送到该集中式服务器。
2疑点。
- 我需要在客户端和集中服务器上拥有什么级别的权限才能发送和接收日志
- 我是否需要有特殊权限才能读取 *nix 客户端计算机上的audit.log 文件。
我之前读过一篇文章,其中说,创建一个名为 logger 的用户和组,并将 adm、sys、syslog 添加到该组。
权限是否足够,还是我在这里还缺少一些东西?在我们的测试环境中,我可以看到 adm 用户,但缺少用户 sys 和 syslog。
答案1
关于您的疑惑:
syslog-ng(以及大多数日志处理应用程序)默认使用端口 514 通过网络传输日志。您需要修改默认配置以使用超过 1024 的端口号(在客户端和服务器端),或者授予 syslog-ng 使用“系统端口”的权限。
是的,您需要读取审核日志的权限。由于身份验证日志可能包含私人信息,因此并非每个人都可以读取。确切的方式是特定于发行版的,但 syslog-ng 不需要“能够读取”之上的任何特殊权限。
作为起点,我建议您阅读 syslog-ng 的“管理指南”,它还包含示例。