rsyslog アクセスが拒否されました。

tag-icon tag-icon logs configuration rsyslog access-control
rsyslog アクセスが拒否されました。

おはようございます、

rsyslogを使用してZeekログをローカルネットワーク上の他のホストに送信しようとしています。

これまで、/etc/rsyslog.dに次の設定ファイルがあります。

module(load="imfile")

#### Templates ####
template (name="zeek_Logs" type="string"
          string="<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %$!msg%\n"
         )

#### RULES for where to send Log Files ####
# Send messages over TCP using the ZEEK_Logs template
ruleset(name="send_zeek_logs") {
    if $msg startswith not "#" then {
        set $!msg = replace($msg, "|", "%7C"); # Handle existing pipe char
        set $!msg = replace($!msg, "\t", "|");

        action (
            type="omfwd"
            protocol="tcp"
            target="192.168.1.140"
            port="7000"
            template="zeek_Logs"
        )
    }
}

#### Inputs ####

input (
    type="imfile"
    File="/opt/zeek/logs/current/weird.log"
    Tag="zeek_weird"
    Facility="local7"
    Severity="info"
    RuleSet="send_zeek_logs"
)

input (
    type="imfile"
    File="/opt/zeek/logs/current/modbus_detailed.log"
    Tag="zeek_detailed"
    Facility="local7"
    Severity="info"
    RuleSet="send_zeek_logs"
)

ただし、rsyslogを起動すると、次のエラーが発生します。

nov. 22 13:00:53 zeek rsyslogd[1442]: imfile: on startup file '/opt/zeek/logs/current/weird.log' does not exist but is configured in static file monitor - this may indicate a misconfiguration. If the file appears at a later time, it will automatically be processed. Reason: Permission denied [v8.2001.0]>
nov. 22 13:00:53 zeek rsyslogd[1442]: imfile: on startup file '/opt/zeek/logs/current/modbus_detailed.log' does not exist but is configured in static file monitor - this may indicate a misconfiguration. If the file appears at a later time, it will automatically be processed. Reason: Permission denied [v8.2001.0]>
nov. 22 13:00:53 zeek rsyslogd[1442]: [origin software="rsyslogd" swVersion="8.2001.0" x-pid="1442" x-info="https://www.rsyslog.com"] start

/opt/zeek/logsディレクトリに読み取り権限を付与しようとしましたが、衣類も一時的に無効にしましたが、何の効果もありませんでした。

私は何を見逃していますか?

ご協力ありがとうございます。

ベストアンサー1

ユーザーsyslogにディレクトリに対する読み取り権限がない可能性があります。次のコマンドを使用してテストできます。

sudo -u syslog ls /opt/zeek/logs/current

もちろん、権限の失敗は、ツリーの親ディレクトリが原因で発生する可能性があります。場所を見つける方法のおおよそのbashの例:

TESTDIR=/opt/zeek/logs/current
while [[ ${#TESTDIR} -gt 1 ]]; do
    sudo -u syslog ls "$TESTDIR" >/dev/null 2>&1 && \
    echo "syslog can read contents of $TESTDIR" || \
    echo "syslog cannot read contents of $TESTDIR"
    TESTDIR=$(dirname "$TESTDIR")
done

おすすめ記事