我已经安装了nxlog将日志发送到 graylog 服务器的功能。它运行正常,但我的 HIDS Ossec 日志权限被拒绝。
我的进程nxlog(由collector-sidecar启动)以root身份运行:
# ps -ef | grep collector
root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar
root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f -c /etc/graylog/collector-sidecar/generated/nxlog.conf
在 中nxlog.conf,我有:
User root
Group adm
OSSEC日志的权限如下(ossec:ossec针对/var/ossec/logs):
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- ossec ossec logs
-rw-r--r-- root ossec active-responses.log
所以,用户ossec和组成员OSSEC可以读取此文件(我认为)。
我将根添加到组 ossec :
# id
uid=0(root) gid=0(root) groupes=0(root),1005(ossec)
我通过重新启动服务器进行了测试,但我在 nxlog 的日志中读到了:
ERROR apr_stat failed on file /var/ossec/logs/active-responses.log;Permission denied
当我 chown 到root目录时/var/ossec/logs有:
# namei -l /var/ossec/logs/active-responses.log
f: /var/ossec/logs/active-responses.log
drwxr-xr-x root root /
drwxr-xr-x root root var
dr-xr-x--- root ossec ossec
drwxr-x--- root ossec logs
-rw-r--r-- root ossec active-responses.log
那么,为什么当我将其放入root该ossec组时,我的nxlog进程无法读取该文件?
答案1
您可以尝试User root从 中删除nxlog.conf吗?它仍将作为 运行root。事实上,CE 中存在此错误。