我是使用 Ubuntu 12.04 LTS 系统的 Splunk 管理员,我想从 /var/log/auth.log 收集事件。
-rw-r----- 1 root adm 16534643 Jan 8 09:49 /var/log/auth.log
Splunk 以普通用户splunk 的身份运行。
$ id splunk
uid=1984(splunk) gid=1984(splunk) groups=1984(splunk)
通常,我会使用此命令使 splunk 组可以读取文件组。
$ chgrp splunk /var/log/auth.log
-rw-r----- 1 root splunk 16534643 Jan 8 09:49 /var/log/auth.log
这在其他 Linux 发行版上运行良好,我认为这也适用于 Ubuntu。但是我确实想问,将来撞出adm会不会让我(实际上是拥有盒子的另一个组)头疼?我不是系统上的特权用户,因此我无法检查诸如 /var/log/cron/adm 或 adm 帐户的邮件之类的内容。我还假设 logrotate 会尊重我的新组所有者的新文件。
(在您询问之前,访问 auth.log 的 splunk 索引仅限于有限数量的人。)