rsyslogでのフィルター設定について

前提・実現したいこと

CentOS7のrsyslogにてヤマハRTX1200からのログを受信しています。
RTX1200からのログは正常に受信できており、/var/log/messagesに記録されていることを確認済みとなります。

この状態で、RTX1200にVPNログインした際にSlackへ通知を飛ばしたいと考えており、
検索しつつ設定を行った所、Slackへ通知が飛ばすことができない状況になります。

発生している問題

色々確認した所、rsyslogでログがフィルタに引っかからない為、結果的に通知がされないのが原因と考えているのですが、なぜ引っかからないのかがわからず行き詰まってしまいました。

当方、Linuxに疎く、見落としている場所など、知見をご教授いただきたく、よろしくおねがいいたします。

今回検知したいログは下記のような形になっています。

Sep 23 16:44:56 gateway PP[ANONYMOUS01] Call detected from user 'test'

設定および作成したシェルスクリプト

Slackに飛ばすためのConfは下記の通り

/etc/rsyslog.d/00_slack.conf

$template login_msg, "%timegenerated% %fromhost% %msg%\n"

module(load="omprog")

if $msg contains 'Call detected from user'
then {
action(
type="omprog"
binary="/etc/rsyslog.d/WebHook_Slack_stdin.sh"
template="login_msg"
)
}

Slackへ飛ばすためのWebhookシェルスクリプトは単体にて動作確認済み。

/etc/rsyslog.d/WebHook_Slack_stdin.sh

#!/bin/bash

WEBHOOK_URL='https://hooks.slack.com/xxxxxxxx'

while read LINE; do
MESSAGE=echo $LINE | sed -z 's/\n//g'
curl -X POST --data-urlencode "payload={"channel": "#nagios", "username": "Aleat_bot", "icon_emoji": "💻", "text": "${MESSAGE}"}" $WEBHOOK_URL
done

rsyslog.confはほぼデフォルトになります(コメントアウト行割愛)

$ModLoad imuxsock
$ModLoad imjournal

$ModLoad imudp
$UDPServerRun 514

$ModLoad imtcp
$InputTCPServerRun 514

$AllowedSender UDP, 127.0.0.1, 192.168.107.0/24
$AllowedSender TCP, 127.0.0.1, 192.168.107.0/24

$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on

$IMJournalStateFile imjournal.state

.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv. /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
.emerg :omusrmsg:
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log

問題の発生した環境

CentOS7

rsyslogd -v
rsyslogd 8.24.0-57.el7_9.1, compiled with:
PLATFORM: x86_64-redhat-linux-gnu
PLATFORM (lsb_release -d):
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
memory allocator: system default
Runtime Instrumentation (slow code): No
uuid support: Yes
Number of Bits in RainerScript integers: 64

よろしくおねがいいたします。

TaichiYanagiya

2021/09/25 03:04

/var/log/messages や "journalctl -u rsyslog" に何かログが出ていないでしょうか？パーミッション、環境変数、SELinux などが原因で /etc/rsyslog.d/WebHook_Slack_stdin.sh を起動できないなど。

kurenai_taka

2021/09/25 11:35

コメントありがとうございます。いただた内容に沿って確認してみたところ、messagesに「rsyslogd: omprog: failed to execute binary '/etc/rsyslog.d/WebHook_Slack_stdin.sh': Permission denied」の記録がされておりました。 WebHook_Slack_stdin.shのパーミッションは755に設定をしてありましたので、類似情報を検索した所、 SELinuxによりブロックされている可能性が出てきたため、SELinuxを確認した所、Enforceで動作していたため、 Permissiveに変更した所、Slackへの通知が飛ぶようになりました。 SELinuxへポリシーの追加を行い、Enforceへ変更して動作を確認し、Slackへ通知が飛ぶことが確認できました。いただいたコメントから解決に向かうことができました。ありがとうございます。