/var/log/audit/audit.log のアクセス権を変更するように auditd を設定する
Issue
- /var/log/audit/audit.log のアクセス権はデフォルトの 600 ですが、640 に変更したいです。
- ログ管理には Splunk を使用します。自身のユーザー ID を使用して、すべてのマシンで Splunk が実行します。ACL を使用して、Splunk ユーザーに、Splunk でインデックスを作成するログファイルのアクセス権を読み込みます。
- audit.log に ACL を設定すると、アクセス権は 640 に変更します。
- CFEngine を使用して、ログファイルのアクセス権と ACL のアクセス権が正しいことを確認します。
- audit.log がローテートされるたびに、アクセス権が 600 に変更します。
- CFEngine を 30 分ごとに実行して、アクセス権を修正します。
- /etc/audit/auditd.conf でログファイルのアクセス権を設定することが期待されますが、この設定は確認できません。
- 現在、30 分間 Splunk が audit.log を読み込めないことが最悪のシナリオとなります。
- ビジーなシステムで、30 分以内に audit.log がローテートされる可能性はほとんどありません。
- この問題は、RHEL 6 と RHEL 5 で発生しているのが確認できます。
- /var/log/audit/audit.log のログローテーション時に、アクセス権 640 が保持されているのを確認するにはどうすれば良いですか?
Environment
- Red Hat Enterprise Linux (RHEL) 5 および 6
- カーネルの監査デーモン (audit) 1.8 および 2.2
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.