web-dev-qa-db-ja.com

389DSAccess.log解析-LDAP要求タイプを監査イベントに変換

LDAP要求タイプに基づいて監査イベントを生成することを目的として、389 DirectoryServerのaccess.logファイルを解析するコードを作成した人はいますか。基本的に、ログシーケンスを取得します

[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1

そしてこれを監査イベントに変えます

日付/時刻(2007年4月21日:11:39:51-0700)、クライアントの場所(207.1.153.51)、サーバーの場所(192.18.122.139)、ユーザー(cn = Directory Manager)、イベント(SRCH )および(query --base = "dc = example、dc = com" scope = 2 filter = "(uid = bjensen)"、結果セットサイズ-1、所要時間= 1000秒など)のイベントメタデータ

Logconv.plスクリプトはあらゆる種類の分析を行うようですが、イベント表現は行いません。

前もって感謝します

1
BurnA

私はあなたと同様のユースケースを持っていましたが、すでに存在するものは何も見つかりませんでした。次に、 この389dsページ に出くわしました。これは、このようなスクリプトが生成する内容の概要を説明しています。提案された解決策は、logconv.plの将来のバージョンにこの機能を含めることでした。

とりあえず、このデザインに従う 簡単なプログラムを書く になってしまいました。私はこれを多くの389dsサーバーの本番環境で使用しており、ログクーリエを使用してJSONの結果をELKスタックに出力しています。

これがお役に立てば幸いです。

0
Aidan Rowe