当社では、集中ログ集約にsyslog-ngを使用する予定です。私たちはネットワークデバイスのログを持ち、何百もの* nixシステム(クライアント)がログファイルを生成し、この集中型サーバーに送信します。
2つの疑い。
- ログを送受信するには、クライアントと中央サーバーにどのレベルの権限が必要ですか?
- * nixクライアントコンピュータからaudit.logファイルを読み取るには特別な権限が必要ですか?
以前は、loggerという名前のユーザーとグループを作成し、そのグループにadm、sys、およびsyslogを追加するという記事を読んでいました。
権限が十分ですか、それともここに何かがありましたか?テスト環境ではadmユーザーを表示できますが、sysユーザーとsyslogユーザーはありません。
答え1
あなたの疑いに関して:
syslog-ng(およびほとんどのログ処理アプリケーション)は、デフォルトでポート514を使用してネットワーク経由でログを送信します。 1024以上のポート番号(クライアント側とサーバー側の両方)を使用するようにデフォルト設定を変更したり、「システムポート」を使用したい場合は、syslog-ng権限を付与する必要があります。
はい、監査ログを読み取るには権限が必要です。認証ログには個人情報を含めることができるため、誰もがそれを読むことはできません。正確な方法はディストリビューションによって異なりますが、syslog-ngには「読み取り可能」以上の特別な権限は必要ありません。
開始点として例を含むsyslog-ngの「管理ガイド」をお読みください。