是否有人编写了代码来解析 389 Directory Server 的 access.log 文件,目的是根据 LDAP 请求类型生成审计事件。基本上,取日志序列
[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1
并把它变成一个审计事件
日期/时间 (21/Apr/2007:11:39:51 -0700)、客户端位置 (207.1.153.51)、服务器位置 (192.18.122.139)、用户 (cn=Directory Manager)、事件 (SRCH ) 和事件元数据 (query - base="dc=example,dc=com" scope=2 filter="(uid=bjensen)", 结果集大小 - 1, timetaken = 1000 sec, etc)
logconv.pl 脚本似乎做了各种分析,但没有事件表示。
提前致谢
我有一个与你类似的用例,但找不到任何已经存在的东西。然后我遇到了这个 389ds 页面,它描述了这样的脚本会产生什么的大纲。建议的解决方案是在 logconv.pl 的未来版本中包含此功能。
目前,我最终编写了一个遵循此设计的简单程序。我一直在使用 log-courier 将 JSON 结果输出到 ELK 堆栈的多个 389ds 服务器上使用它。
希望这对您有所帮助。