Octroi à l'utilisateur d'agent de l'accès READ aux journaux sur l'hôte
Lors du déploiement des agents d'administration pour l'utilisation d'Oracle Log Analytics sur les hôtes UNIX, assurez-vous que l'agent de gestion dispose de privilèges appropriés pour lire les fichiers journaux à partir desquels vous devez collecter les données.
Sur les hôtes basés sur Unix, l'utilisateur qui installe l'agent de gestion est mgmt_agent pour l'agent de gestion installé manuellement et oracle-cloud-agent lorsque l'agent de gestion est un module d'extension activé avec l'agent Oracle Cloud.
Vérifiez le droit d'accès au fichier journal et à chaque dossier du chemin d'accès avec l'utilisateur de l'agent de gestion : si le fichier journal se trouve dans /a/b/c/file.log, vous devez vérifier le droit d'accès en lecture pour le fichier journal file.log, ainsi que pour les dossiers a, b et c dans le chemin du fichier.
sudo -u <agentuser> /bin/bash -c "ls /a"
sudo -u <agentuser> /bin/bash -c "ls /a/b"
sudo -u <agentuser> /bin/bash -c "ls /a/b/c"
sudo -u <agentuser> /bin/bash -c "tail /a/b/c/file.log"Si l'utilisateur de l'agent de gestion ne peut pas lire les fichiers journaux, utilisez l'une des méthodes suivantes (par ordre de meilleures pratiques) pour rendre les fichiers journaux lisibles pour l'agent de gestion. Il est recommandé d'essayer chaque méthode dans l'ordre indiqué et de vérifier si l'accès est disponible avant d'essayer la suivante.
-
Utilisez des listes de contrôle d'accès pour permettre à l'utilisateur d'agent cloud de lire les fichiers journaux et leur chemin. Une liste de contrôle d'accès fournit un mécanisme d'autorisation flexible pour les systèmes de fichiers. Assurez-vous que le chemin complet des fichiers journaux est lisible via la liste de contrôle d'accès.
Pour configurer une liste de contrôle d'accès sur un hôte UNIX, procédez comme suit :
Déterminez si le système qui contient les fichiers journaux dispose du package
acl:rpm -q aclSi le système contient le package
acl, la commande précédente doit renvoyer le qui suit :acl-2.2.39-8.el5Si le système ne dispose pas du package
acl, téléchargez-le et installez-le. -
Exécutez les commandes
setfaclsuivantes :Remarque
Commencez par rechercher les droits d'accès existants et ajoutez-les, si nécessaire. Assurez-vous que les modifications n'ont pas d'impact sur les modifications existantes.-
Accordez à l'utilisateur d'agent de gestion l'accès READ au fichier journal requis :
setfacl -m u:<agentuser>:r <path to the log file/log file name> -
Accordez les droits d'accès READ et EXECUTE à chaque dossier du chemin du fichier journal :
//set read, execute permissions on folders other than parent folder setfacl -m u:<agentuser>:rx <path to the folder> //set read, execute permissions with recursive options on parent folder setfacl -R -m u:<agentuser>:rx <path to the folder> //set read, execute permissions with default option to allow all future log files created under this folder to be readable. setfacl -d -m u:<agentuser>:rx <path to the folder>Par exemple, les commandes suivantes sont nécessaires pour le chemin
/scratch/logs/*.logde l'utilisateur d'agent de gestionmgmt_agent:setfacl -m u:mgmt_agent:rx /scratch setfacl -R -m u:mgmt_agent:rx /scratch/logs setfacl -d -m u:mgmt_agent:rx /scratch/logs
Pour nfs mount, il n'est peut-être pas possible d'autoriser l'utilisateur de l'agent à lire les fichiers journaux ou les dossiers. Dans ce cas, ajoutez l'utilisateur de l'agent au groupe de fichiers journaux :
usermod -a -G <group of log file> <agentuser>Redémarrez l'agent de gestion après avoir exécuté la commande ci-dessus.
-
-
Placez l'agent de gestion et le produit qui génère les journaux dans le même groupe d'utilisateurs, puis rendez les fichiers lisibles pour l'ensemble du groupe. Redémarrez l'agent.
-
Rendez les fichiers journaux lisibles pour tous les utilisateurs. Par exemple :
chmod o+r <file>.Vous devrez peut-être accorder l'autorisation exécutable aux dossiers parent. Par exemple,
chmod o+rx <parent folder>.