Em vez de usar as permissões de /var/log , acho que eu daria a direção de conceder a esses usuários sudo direitos para um conjunto limitado de comandos.
Configurando o acesso sudo
Você pode criar um alias de comando nos arquivos /etc/sudoers da seguinte forma:
Cmnd_Alias RDONLY_VARLOG = tail /var/log/messages, tail /var/log/maillog, ...
Em seguida, conceda aos usuários acesso a esse alias de comando, novamente no arquivo /etc/sudoers .
# single user
user1 ALL = RDONLY_VARLOG
# group of users (group1)
%group1 ALL = RDONLY_VARLOG