Concedere l'accesso in lettura dei log all'utente agente sull'host

Durante la distribuzione dei Management Agent per l'uso di Oracle Log Analytics sugli host basati su UNIX, assicurarsi che il Management Agent disponga dei privilegi corretti per leggere i file di log da cui devono essere raccolti i dati.

Controllare l'autorizzazione file per il file di log e ogni cartella nel percorso file con l'utente del Management Agent: se il file di log si trova in /a/b/c/file.log, è necessario verificare l'autorizzazione di lettura per il file di log file.log e per le cartelle a, b e c nel percorso file.

sudo -u <agentuser> /bin/bash -c "ls /a"
sudo -u <agentuser> /bin/bash -c "ls /a/b"
sudo -u <agentuser> /bin/bash -c "ls /a/b/c"
sudo -u <agentuser> /bin/bash -c "tail /a/b/c/file.log"

Se l'utente del Management Agent non è in grado di leggere i file di log, utilizzare uno dei metodi riportati di seguito, nell'ordine di procedure ottimali, per rendere i file di log leggibili per il Management Agent. Si consiglia di provare ogni metodo nell'ordine elencato e verificare se l'accesso è disponibile prima di provare il successivo.

• Utilizzare le liste di controllo dell'accesso (ACL, Access Control List) per consentire all'utente dell'agente cloud di leggere il percorso del file di log e i file di log. Un'ACL fornisce un meccanismo di autorizzazione flessibile per i file system. Assicurarsi che il percorso completo dei file di log sia leggibile mediante l'ACL.

  Per impostare un'ACL in un host basato su UNIX:

  Determinare se il sistema che contiene i file di log contiene il pacchetto acl:

  rpm -q acl

  Se il sistema contiene il pacchetto acl, il comando precedente dovrebbe restituire qualcosa del tipo:

  acl-2.2.39-8.el5

  Se il sistema non dispone del pacchetto acl, scaricare e installare il pacchetto.

• Eseguire i comandi setfacl riportati di seguito.

  Nota
  
  In primo luogo, verificare la presenza delle autorizzazioni esistenti e aggiungerle, se necessario. Assicurarsi che le modifiche non abbiano effetto su quelle esistenti.

  • Concedere all'utente del Management Agent l'accesso READ al file di log richiesto:

    setfacl -m u:<agentuser>:r <path to the log file/log file name>

  • Concedere le autorizzazioni READ ed EXECUTE a ciascuna cartella nel percorso del file di log:

    //set read, execute permissions on folders other than parent folder
    setfacl -m u:<agentuser>:rx <path to the folder>
    
    //set read, execute permissions with recursive options on parent folder
    setfacl -R -m u:<agentuser>:rx <path to the folder> 
    
    //set read, execute permissions with default option to allow all future log files created under this folder to be readable.
    setfacl -d -m u:<agentuser>:rx <path to the folder>

    Ad esempio, i comandi seguenti sono necessari per il percorso /scratch/logs/*.log per l'utente del Management Agent mgmt_agent:

    setfacl -m u:mgmt_agent:rx /scratch
    setfacl -R -m u:mgmt_agent:rx /scratch/logs
    setfacl -d -m u:mgmt_agent:rx /scratch/logs

  Per nfs mount, potrebbe non essere possibile concedere all'utente agente l'autorizzazione di lettura ed esecuzione per leggere i file o le cartelle di log. In questi casi, aggiungere l'utente agente al gruppo di file di log:

  usermod -a -G <group of log file> <agentuser>

  Riavviare il Management Agent dopo aver eseguito il comando precedente.

• Posizionare il Management Agent e il prodotto che genera i log nello stesso gruppo di utenti e rendere i file leggibili per l'intero gruppo. Riavvia l'agente.

• Rendere i file di log leggibili per tutti gli utenti. Ad esempio, chmod o+r <file>.

  Potrebbe essere necessario concedere l'autorizzazione di esecuzione alle cartelle padre. Ad esempio, chmod o+rx <parent folder>.