我想保留 openldap 中的日志以进行审计。所以我添加了 olcAuditlogConfig。但 olcAuditlogConfig 保留了 ldapadd、ldapmodify、ldapdelete... cmd。
我们使用了 phpldapadmin,没有日志保留。
答案1
除了 auditlog 覆盖层之外,还有一个名为 accesslog 的覆盖层。您可以在 下找到有关它的更多man 5 slapo-accesslog信息http://www.zytrax.com/books/ldap/ch6/accesslog.html或者
http://www.openldap.org/doc/admin24/overlays.html#Access%20Logging
它比 auditlog 的设置稍微困难一些,因为您需要在 cn=config(或后端配置)中设置另一个数据库,此覆盖可以写入其中;但是,您会得到非常详细的日志。
使用 cn=config 你的覆盖可能看起来像这样:
dn: olcOverlay=accesslog,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcAccessLogConfig olcOverlay: accesslog olcAccessLogDB: cn=accesslog olcAccessLogOps: reads olcAccessLogPurge: 07+00:00 01+00:00 olcAccessLogSuccess: TRUE
这个覆盖正在登录到DIT cn=accesslog,我是这样创建的:
dn: olcDatabase={2}mdb,cn=config objectClass: olcMdbConfig olcDatabase: {2}mdb olcDbDirectory: /var/lib/ldap/accesslog olcSuffix: cn=accesslog olcRootDN: cn=admin,cn=config olcDbIndex: default eq olcDbIndex: entryCSN,objectClass,reqEnd,reqResult,reqStart
请记住预先创建指定的目录olcDbDirectory并授予您的 openLDAP 系统用户写权限!