ホストのエージェント・ユーザーへのログに対するREADアクセス権の付与

UNIXベースのホストでOracle Logging Analyticsを使用するための管理エージェントをデプロイする場合、管理エージェントに、データの収集が必要なログ・ファイルを読み取るための適切な権限があることを確認します。

ノート

Unixベースのホストでは、管理エージェントをインストールするユーザーは、手動でインストールされた管理エージェントの場合はmgmt_agent、管理エージェントがOracle Cloud Agentで有効化されたプラグインの場合はoracle-cloud-agentです。

管理エージェント・ユーザーでログ・ファイルのファイル権限を確認します。

sudo -u <agentuser> /bin/bash -c "cat <log file with complete path>"

管理エージェント・ユーザーがログ・ファイルを読み取れない場合は、次の方法(ベスト・プラクティス順)のいずれかを使用して、ログ・ファイルを管理エージェントに対して読取り可能にします。リストされている順序で各メソッドを試し、次のメソッドを試す前にアクセスが可能かどうかを確認することをお薦めします。

  • アクセス制御リスト(ACL)を使用して、クラウド・エージェント・ユーザーにログ・ファイル・パスとログ・ファイルの読取りを可能にします。ACLは、ファイル・システムのための柔軟な権限メカニズムを提供します。ログ・ファイルのフルパスがACLから読取り可能であることを確認してください。

    UNIXベースのホストでACLを設定するには:

    ログ・ファイルを含むシステムにaclパッケージがあるかどうかを確認します:

    rpm -q acl

    システムにaclパッケージが含まれる場合、前のコマンドによって次が返されます:

    acl-2.2.39-8.el5

    システムにaclパッケージが含まれない場合、パッケージをダウンロードしてインストールします。

  • 次のsetfaclコマンドを実行します:

    ノート

    まず、既存の権限を確認し、必要に応じて追加します。変更が既存の変更に影響しないことを確認してください。
    • 管理エージェント・ユーザーに、必要なログ・ファイルに対するREADアクセス権を付与します:

      setfacl -m u:<agentuser>:r <path to the log file/log file name>
    • ログ・ファイル・パスの各フォルダにREADおよびEXECUTE権限を付与します。

      //set read, execute permissions on folders other than parent folder
      setfacl -m u:<agentuser>:rx <path to the folder>
      
      //set read, execute permissions with recursive options on parent folder
      setfacl -R -m u:<agentuser>:rx <path to the folder> 
      
      //set read, execute permissions with default option to allow all future log files created under this folder to be readable.
      setfacl -d -m u:<agentuser>:rx <path to the folder>

      たとえば、管理エージェント・ユーザーmgmt_agentのパス/scratch/logs/*.logには、次のコマンドが必要です。

      setfacl -m u:mgmt_agent:rx /scratch
      setfacl -R -m u:mgmt_agent:rx /scratch/logs
      setfacl -d -m u:mgmt_agent:rx /scratch/logs

    nfs mountでは、ログ・ファイルまたはフォルダを読み取るために、READおよびEXECUTE権限をエージェント・ユーザーに付与できない場合があります。このような場合は、エージェント・ユーザーをログ・ファイル・グループに追加します。

    usermod -a -G <group of log file> <agentuser>

    前述のコマンドの実行後に管理エージェントを再起動します。

  • 管理エージェントとログを生成する製品を同じユーザー・グループに配置し、ファイルをグループ全体に対して読取り可能にします。エージェントを再起動します。

  • ログ・ファイルをすべてのユーザーに対して読取り可能にします。たとえば、chmod o+r <file>

    親フォルダに対して実行可能権限を付与する必要がある場合があります。たとえば、chmod o+rx <parent folder>です。