我之前碰到过好几个类似的场景——手动给日志文件加了权限，过不了多久又被打回原形，根本原因是syslog-ng在写入或轮转日志时，会强制执行自身配置的权限规则，手动chmod只是临时起效。下面给你几个优先级从高到低的解决方案，都是经过实测有效的：

方法1：直接在syslog-ng配置中指定文件权限 #

这是最彻底的解决方式，让syslog-ng从一开始就生成符合要求权限的文件：

• 打开你的syslog-ng主配置文件（通常是/etc/syslog-ng/syslog-ng.conf），或者你自定义的规则文件（比如/etc/syslog-ng/conf.d/web-log.conf）
• 找到定义写入/var/www/html/syslog.txt的destination段，比如默认可能是这样：

  destination d_web_log { file("/var/www/html/syslog.txt"); };
  

• 在file()参数里添加权限配置，修改成：

  destination d_web_log { file("/var/www/html/syslog.txt" perm(0755)); };
  

  这里的perm(0755)就是强制让syslog-ng把日志文件权限设为755，和你手动执行chmod 755的效果完全一致
• 重启syslog-ng服务让配置生效：

  sudo systemctl restart syslog-ng
  

  之后不管syslog-ng怎么更新日志、甚至重启服务，文件权限都会保持755，Apache的www-data用户就能稳定读取了。

方法2：用ACL设置目录默认权限（补充方案） #

如果担心syslog-ng配置有遗漏，或者想给目录下所有新文件都加上安全的访问权限，可以用ACL（访问控制列表）来做兜底：

• 先给现有日志文件添加ACL规则，确保Apache能读：

  sudo setfacl -m u:www-data:r /var/www/html/syslog.txt
  

• 再给/var/www/html目录设置默认ACL，让后续创建的所有文件自动继承对www-data的读取权限：

  sudo setfacl -d -m u:www-data:r /var/www/html
  

  这样就算syslog-ng偶尔修改了文件权限，ACL规则依然能保证Apache正常访问日志。

方法3：调整syslog-ng的全局umask（旧版本兼容方案） #

如果你的syslog-ng版本比较旧，不支持单独给某个文件指定权限，可以全局调整它的umask值：

• 打开syslog-ng的systemd服务配置文件：

  sudo nano /lib/systemd/system/syslog-ng.service
  

• 在[Service]段落里添加一行：

  UMask=0022
  

  umask 0022对应的是文件默认权限644、目录默认权限755，刚好符合Apache读取的需求。
• 重新加载systemd配置并重启服务：

  sudo systemctl daemon-reload
  sudo systemctl restart syslog-ng
  

小提醒：其实日志文件根本不需要755的权限——644（所有者读写，组和其他只读）就足够Apache读取了。如果后续发现权限还是有问题，可以把配置里的perm(0755)改成perm(0644)，更符合安全规范。

内容的提问来源于stack exchange，提问作者J Jones