389DS парсинг Access.log - превращающий LDAP запрашивают тип в событие аудита
Имеет любого созданный код для парсинга файла access.log 389 Серверов каталогов с целью генерации событий аудита, базирующихся вокруг типа запроса LDAP. Bascially, возьмите последовательность журнала
[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1
И превратите это в событие аудита с
дата/время (21/Apr/2007:11:39:51 - 0700), клиентское местоположение (207.1.153.51), местоположение сервера (192.18.122.139), пользователь (cn=Directory менеджер), событие (SRCH) и метаданные события (запрос - базируются = "dc=example, dc=com" scope=2 фильтр = "(uid=bjensen)", размер набора результатов - 1, timetaken = 1 000 секунд, и т.д.),
logconv.pl сценарий, кажется, делает все виды анализа, но никакое представление события.
Заранее спасибо
У меня был пример использования, аналогичный вашему, но я не мог найти ничего, что уже существует. Затем я наткнулся на эту страницу 389ds , которая описывает схему того, что может произвести такой сценарий. Предлагаемое решение заключалось в том, чтобы включить эту функциональность в будущие версии logconv.pl
На данный момент я закончил написанием простой программы , которая следует этому дизайну. Я использовал его в производстве на нескольких серверах 389ds, выводя результаты JSON в стек ELK с помощью log-courier.
Надеюсь, это будет полезно для вас.