是否有人编写了代码来解析 389 Directory Server 的 access.log 文件,目的是根据 LDAP 请求类型生成审计事件。基本上,取日志序列
[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1
并把它变成一个审计事件
日期/时间 (21/Apr/2007:11:39:51 -0700)、客户端位置 (207.1.153.51)、服务器位置 (192.18.122.139)、用户 (cn=Directory Manager)、事件 (SRCH ) 和事件元数据 (query - base="dc=example,dc=com" scope=2 filter="(uid=bjensen)", 结果集大小 - 1, timetaken = 1000 sec, etc)
logconv.pl 脚本似乎做了各种分析,但没有事件表示。
提前致谢