Je suis l'administrateur Splunk travaillant avec un système Ubuntu 12.04 LTS et je veux collecter des événements à partir de /var/log/auth.log.
-rw-r----- 1 root adm 16534643 Jan 8 09:49 /var/log/auth.log
Splunk s'exécute en tant qu'utilisateur normal, splunk.
$ id splunk
uid=1984(splunk) gid=1984(splunk) groupes=1984(splunk)
Normalement, j'utiliserais cette commande pour rendre le fichier lisible par le groupe splunk.
$ chgrp splunk /var/log/auth.log
-rw-r----- 1 root splunk 16534643 Jan 8 09:49 /var/log/auth.log
Cela fonctionne bien sur d'autres distributions Linux et je suppose que cela fonctionnera également avec Ubuntu. Mais je veux quand même demander, est-ce que changer le groupe adm me causera des problèmes à l'avenir (en fait, à l'autre groupe qui possède la machine) ? Je ne suis pas un utilisateur privilégié sur le système, donc je ne peux pas vérifier des choses comme /var/log/cron/adm ou les mails pour le compte adm. J'assume également que logrotate respectera mon nouveau propriétaire de groupe pour les nouveaux fichiers.
(Avant que vous ne demandiez, l'accès à l'index splunk pour auth.log est limité à un nombre restreint de personnes.)