Разбор 389DS Access.log - превращение типа запроса LDAP в событие аудита
Кто-нибудь создал код для анализа файла access.log 389 Сервера каталогов с целью генерации событий аудита на основе типа запроса LDAP. В основном, возьмите последовательность журнала
[21/Apr/2007:11:39:51 -0700] conn=11 fd=608 slot=608 connection from 207.1.153.51 to 192.18.122.139
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 BIND dn="cn=Directory Manager" method=128 version=3
[21/Apr/2007:11:39:51 -0700] conn=11 op=0 RESULT err=0 tag=97 nentries=0 etime=0
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 SRCH base="dc=example,dc=com" scope=2 filter="(uid=bjensen)"
[21/Apr/2007:11:39:51 -0700] conn=11 op=1 RESULT err=0 tag=101 nentries=1 etime=1000 notes=U
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 UNBIND
[21/Apr/2007:11:39:51 -0700] conn=11 op=2 fd=608 closed - U1
И превратить это в событие аудита с
дата / время (21 апреля 2007:11:39:51 -0700), местоположение клиента (207.1.153.51), местоположение сервера (192.18.122.139), пользователь (cn=Directory Manager), событие (SRCH) и метаданные события (query - base="dc=example,dc=com" scope=2 filter="(uid=bjensen)", размер набора результатов - 1, timetaken = 1000 sec и т. д.)
Сценарий logconv.pl, похоже, выполняет все виды анализа, но не отображает события.
заранее спасибо
1 ответ
У меня был такой же вариант использования, как и у вас, но я не смог найти ничего, что уже существовало. Затем я наткнулся на эту страницу 389ds, которая описывает план того, что будет производить такой скрипт. Предложенное решение заключалось в том, чтобы включить эту функциональность в будущие версии logconv.pl.
В настоящее время я закончил тем, что написал простую программу, которая следует этому дизайну. Я использовал его в производстве на нескольких серверах 389ds, выводящих результаты JSON в стек ELK с использованием log-courier.
Надеюсь, что это полезно для вас.