Назад | Перейти на главную страницу

389DS Access.log parsing - превращение типа запроса LDAP в событие аудита

Кто-нибудь написал код для синтаксического анализа файла access.log сервера каталогов 389 с целью создания событий аудита на основе типа запроса LDAP. В основном, возьмите последовательность журналов

[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1

И превратите это в событие аудита с

дата / время (21 апреля 2007 г .: 11: 39: 51 -0700), местоположение клиента (207.1.153.51), местоположение сервера (192.18.122.139), пользователь (cn = Directory Manager), событие (SRCH ) и метаданные события (query - base = "dc = example, dc = com" scope = 2 filter = "(uid = bjensen)", размер набора результатов - 1, timetaken = 1000 секунд и т. д.)

Скрипт logconv.pl, кажется, выполняет все виды анализа, но не отображает события.

заранее спасибо

У меня был вариант использования, аналогичный вашему, но я не мог найти ничего, что уже существует. Затем я наткнулся на эта страница 389ds который описывает схему того, что может произвести такой сценарий. Предлагаемое решение заключалось в том, чтобы включить эту функцию в будущие версии logconv.pl.

А пока я закончил написание простой программы что следует за этим дизайном. Я использовал его в производстве на нескольких серверах 389ds, выводящих результаты JSON в стек ELK с помощью log-courier.

Надеюсь, это поможет вам.