Q&A
/var/log/messages や "journalctl -u rsyslog" に何かログが出ていないでしょうか?
パーミッション、環境変数、SELinux などが原因で /etc/rsyslog.d/WebHook_Slack_stdin.sh を起動できないなど。
前提・実現したいこと
CentOS7のrsyslogにてヤマハRTX1200からのログを受信しています。
RTX1200からのログは正常に受信できており、/var/log/messagesに記録されていることを確認済みとなります。
この状態で、RTX1200にVPNログインした際にSlackへ通知を飛ばしたいと考えており、
検索しつつ設定を行った所、Slackへ通知が飛ばすことができない状況になります。
発生している問題
色々確認した所、rsyslogでログがフィルタに引っかからない為、結果的に通知がされないのが原因と考えているのですが、なぜ引っかからないのかがわからず行き詰まってしまいました。
当方、Linuxに疎く、見落としている場所など、知見をご教授いただきたく、よろしくおねがいいたします。
今回検知したいログは下記のような形になっています。
Sep 23 16:44:56 gateway PP[ANONYMOUS01] Call detected from user 'test'
設定および作成したシェルスクリプト
Slackに飛ばすためのConfは下記の通り
/etc/rsyslog.d/00_slack.conf
$template login_msg, "%timegenerated% %fromhost% %msg%\n"
module(load="omprog")
if $msg contains 'Call detected from user'
then {
action(
type="omprog"
binary="/etc/rsyslog.d/WebHook_Slack_stdin.sh"
template="login_msg"
)
}
Slackへ飛ばすためのWebhookシェルスクリプトは単体にて動作確認済み。
/etc/rsyslog.d/WebHook_Slack_stdin.sh
#!/bin/bash
WEBHOOK_URL='https://hooks.slack.com/xxxxxxxx'
while read LINE; do
MESSAGE=echo $LINE | sed -z 's/\n//g'
curl -X POST --data-urlencode "payload={"channel": "#nagios", "username": "Aleat_bot", "icon_emoji": "💻", "text": "${MESSAGE}"}" $WEBHOOK_URL
done
rsyslog.confはほぼデフォルトになります(コメントアウト行割愛)
$ModLoad imuxsock
$ModLoad imjournal$ModLoad imudp
$UDPServerRun 514$ModLoad imtcp
$InputTCPServerRun 514$AllowedSender UDP, 127.0.0.1, 192.168.107.0/24
$AllowedSender TCP, 127.0.0.1, 192.168.107.0/24$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on$IMJournalStateFile imjournal.state
.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv. /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
.emerg :omusrmsg:
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
問題の発生した環境
CentOS7
rsyslogd -v
rsyslogd 8.24.0-57.el7_9.1, compiled with:
PLATFORM: x86_64-redhat-linux-gnu
PLATFORM (lsb_release -d):
FEATURE_REGEXP: Yes
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
memory allocator: system default
Runtime Instrumentation (slow code): No
uuid support: Yes
Number of Bits in RainerScript integers: 64
よろしくおねがいいたします。
コメントありがとうございます。
いただた内容に沿って確認してみたところ、messagesに
「rsyslogd: omprog: failed to execute binary '/etc/rsyslog.d/WebHook_Slack_stdin.sh': Permission denied」
の記録がされておりました。
WebHook_Slack_stdin.shのパーミッションは755に設定をしてありましたので、類似情報を検索した所、
SELinuxによりブロックされている可能性が出てきたため、SELinuxを確認した所、Enforceで動作していたため、
Permissiveに変更した所、Slackへの通知が飛ぶようになりました。
SELinuxへポリシーの追加を行い、Enforceへ変更して動作を確認し、Slackへ通知が飛ぶことが確認できました。
いただいたコメントから解決に向かうことができました。
ありがとうございます。
あなたの回答
tips
プレビュー
