389DS Access.log 解析 - 将 LDAP 请求类型转换为审计事件

tag-icon tag-icon ldap audit 389-ds
389DS Access.log 解析 - 将 LDAP 请求类型转换为审计事件

是否有人编写过代码来解析 389 Directory Server 的 access.log 文件,目的是根据 LDAP 请求类型生成审计事件。基本上,采用日志序列

[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1

并将其转变为审计事件

日期/时间 (21/Apr/2007:11:39:51 -0700)、客户端位置 (207.1.153.51)、服务器位置 (192.18.122.139)、用户 (cn=Directory Manager)、事件 (SRCH) 和事件元数据 (query - base="dc=example,dc=com" scope=2 filter="(uid=bjensen)", 结果集大小 - 1, timetaken = 1000 秒等)

logconv.pl 脚本似乎可以进行各种分析,但没有事件表示。

提前致谢

答案1

我有一个与你类似的用例,但找不到任何已经存在的东西。然后我偶然发现了此 389ds 页面它描述了此类脚本将产生的结果的概要。建议的解决方案是将此功能包含在 logconv.pl 的未来版本中。

就目前而言,我最终编写一个简单的程序遵循此设计。我已经在多个 389ds 服务器上将其用于生产,并使用 log-courier 将 JSON 结果输出到 ELK 堆栈。

希望这对你有帮助。

相关内容