Documentation sur Oracle Cloud Infrastructure

Accorder l'accès READ aux journaux à l'utilisateur agent sur votre hôte

Lors du déploiement des agents de gestion pour l'utilisation d'Oracle Logging Analytics sur des hôtes UNIX, assurez-vous que l'agent de gestion dispose des privilèges appropriés pour lire les fichiers journaux à partir desquels les données doivent être collectées.

Note

Sur les hôtes basés sur Unix, l'utilisateur qui installe l'agent de gestion est mgmt_agent pour l'agent de gestion installé manuellement et oracle-cloud-agent lorsque l'agent de gestion est un plugiciel activé avec Oracle Cloud Agent.

Vérifiez les autorisations de fichier pour les fichiers journaux avec l'utilisateur de l'agent de gestion :

sudo -u <agentuser> /bin/bash -c "cat <log file with complete path>"

Si l'utilisateur de l'agent de gestion ne peut pas lire les fichiers journaux, utilisez l'une des méthodes suivantes (par ordre de bonnes pratiques) pour rendre les fichiers journaux lisibles par l'agent de gestion. Il est recommandé d'essayer chaque méthode dans l'ordre indiqué et de vérifier si l'accès est disponible avant d'essayer la méthode suivante.

  • Utilisez les listes de contrôle d'accès (LCA) pour permettre à l'utilisateur de l'agent Oracle Cloud de lire le chemin d'accès au fichier journal et les fichiers journaux. Une liste de contrôle d'accès fournit un mécanisme d'autorisation flexible pour les systèmes de fichiers. Assurez-vous que le chemin d'accès complet aux fichiers journaux est lisible au moyen de la liste de contrôle d'accès.

    Pour configurer une liste de contrôle d'accès dans un hôte UNIX :

    Déterminez si le système qui contient les fichiers journaux comprend l'ensemble acl : 

    rpm -q acl

    Si le système contient l'ensemble acl, la commande précédente doit retourner : 

    acl-2.2.39-8.el5

    Si le système n'a pas l'ensemble acl, téléchargez-le et installez-le.

  • Exécutez les commandes setfacl suivantes :

    Note

    Vérifiez d'abord les autorisations existantes et ajoutez-les, si nécessaire. Assurez-vous que les modifications n'ont pas d'incidence sur les modifications existantes.

    • Accordez à l'utilisateur d'agent de gestion l'accès READ au fichier journal requis :

      setfacl -m u:<agentuser>:r <path to the log file/log file name>

    • Accordez les autorisations READ et EXECUTE à chaque dossier du chemin d'accès au fichier journal :

      //set read, execute permissions on folders other than parent folder
setfacl -m u:<agentuser>:rx <path to the folder>

//set read, execute permissions with recursive options on parent folder
setfacl -R -m u:<agentuser>:rx <path to the folder> 

//set read, execute permissions with default option to allow all future log files created under this folder to be readable.
setfacl -d -m u:<agentuser>:rx <path to the folder>

      Par exemple, les commandes suivantes sont nécessaires pour le chemin /scratch/logs/*.log de l'utilisateur de l'agent de gestion mgmt_agent : 

      setfacl -m u:mgmt_agent:rx /scratch
setfacl -R -m u:mgmt_agent:rx /scratch/logs
setfacl -d -m u:mgmt_agent:rx /scratch/logs

    Pour le montage NFS, il n'est peut-être pas possible d'accorder l'autorisation READ et EXECUTE à l'utilisateur de l'agent pour lire les fichiers journaux ou les dossiers. Dans ce cas, ajoutez l'utilisateur agent au groupe de fichiers journaux : 

    usermod -a -G <group of log file> <agentuser>

    Redémarrez l'agent de gestion après avoir exécuté la commande ci-dessus.

  • Placez l'agent de gestion et le produit qui génère les journaux dans le même groupe d'utilisateurs et rendez les fichiers lisibles à l'ensemble du groupe. Redémarrer l'agent.

  • Rendez les fichiers journaux lisibles par tous les utilisateurs. Par exemple, chmod o+r <file>.

    Vous devrez peut-être accorder une autorisation exécutable aux dossiers parents. Par exemple, chmod o+rx <parent folder>.