11.5. 보안 로그 참조
보안 로그는 다음을 포함하여 다양한 보안 이벤트를 기록합니다.
- 인증 이벤트
- 권한 부여 문제
- Cryostat 및 TCP 공격
Directory Server는 보안 로그를 다른 로그 파일과 함께 /var/log/dirsrv/slapd- <instance_name> /
디렉터리에 저장합니다. 보안 로그는 모든 정보가 있는 액세스 로그와 비교하여 디스크 리소스를 빠르게 순환하지 않고 보안 데이터를 가져오기 위해 비용이 많이 드는 구문 분석이 필요합니다.
보안 로그는 JSON 형식이며 다른 툴링에서 로그의 복잡한 구문 분석을 수행할 수 있습니다. 로그 형식을 변경하거나 보안 로그의 로그 수준을 설정할 수 없습니다.
보안 로그 예:
{ "date”: "[time_stamp] ", "utc_time”: "1684155510.154562500", "event”: "BIND_SUCCESS”, "dn”: "cn=directory manager”, "bind_method”: "LDAPI”, "root_dn”: true, "client_ip”: "local”, "server_ip”: "\/run\/slapd-<instance_name>.socket”, "ldap_version”: 3, "conn_id”: 1, "op_id”: 0, "msg”: "” } { "date”: "[time_stamp] ", "utc_time”: "1684155510.163790695", "event”: "BIND_SUCCESS”, "dn”: "cn=directory manager”, "bind_method”: "LDAPI”, "root_dn”: true, "client_ip”: "local”, "server_ip”: "\/run\/slapd-<instance_name>.socket”, "ldap_version”: 3, "conn_id”: 2, "op_id”: 0, "msg”: "” } {'date': '[time_stamp]', 'utc_time': '168485945', 'event': 'BIND_FAILED', 'dn': 'uid=mark,ou=people,dc=example,dc=com', 'bind_method': 'SIMPLE', 'root_dn': 'false', 'client_ip': '127.0.0.1', 'server_ip': '127.0.0.1', 'conn_id': '2', 'op_id': '1', 'msg': 'INVALID_PASSWORD'} {'date': '[time_stamp]', 'utc_time': '168499999', 'event': 'BIND_FAILED', 'dn': 'uid=mike,ou=people,dc=example,dc=com', 'bind_method': 'SIMPLE', 'root_dn': 'false', 'client_ip': '127.0.0.1', 'server_ip': '127.0.0.1', 'conn_id': '7', 'op_id': '1', 'msg': 'NO_SUCH_ENTRY'} {"date": "[time_stamp]", "utc_time": 1657907429, "event": "TCP_ERROR", "client_ip": "::1", "server_ip": "::1", "ldap_version": 3, "conn_id": 1, "msg": "Bad Ber Tag or uncleanly closed connection - B1"}
{ "date”: "[time_stamp] ", "utc_time”: "1684155510.154562500", "event”: "BIND_SUCCESS”, "dn”: "cn=directory manager”, "bind_method”: "LDAPI”, "root_dn”: true, "client_ip”: "local”, "server_ip”: "\/run\/slapd-<instance_name>.socket”, "ldap_version”: 3, "conn_id”: 1, "op_id”: 0, "msg”: "” }
{ "date”: "[time_stamp] ", "utc_time”: "1684155510.163790695", "event”: "BIND_SUCCESS”, "dn”: "cn=directory manager”, "bind_method”: "LDAPI”, "root_dn”: true, "client_ip”: "local”, "server_ip”: "\/run\/slapd-<instance_name>.socket”, "ldap_version”: 3, "conn_id”: 2, "op_id”: 0, "msg”: "” }
{'date': '[time_stamp]', 'utc_time': '168485945', 'event': 'BIND_FAILED', 'dn': 'uid=mark,ou=people,dc=example,dc=com', 'bind_method': 'SIMPLE', 'root_dn': 'false', 'client_ip': '127.0.0.1', 'server_ip': '127.0.0.1', 'conn_id': '2', 'op_id': '1', 'msg': 'INVALID_PASSWORD'}
{'date': '[time_stamp]', 'utc_time': '168499999', 'event': 'BIND_FAILED', 'dn': 'uid=mike,ou=people,dc=example,dc=com', 'bind_method': 'SIMPLE', 'root_dn': 'false', 'client_ip': '127.0.0.1', 'server_ip': '127.0.0.1', 'conn_id': '7', 'op_id': '1', 'msg': 'NO_SUCH_ENTRY'}
{"date": "[time_stamp]", "utc_time": 1657907429, "event": "TCP_ERROR", "client_ip": "::1", "server_ip": "::1", "ldap_version": 3, "conn_id": 1, "msg": "Bad Ber Tag or uncleanly closed connection - B1"}
로그 예제에서는 서버에 대한 두 바인딩이 성공했으며, 두 개의 바인딩이 실패했으며 하나의 이벤트는 TCP 오류임을 보여줍니다.
또한 사전 바인딩 인증 플러그인을 사용하여 사용자 계정에 대해 2 단계 인증을 구성할 때 보안 로그는 bind 메서드를 기록합니다. 예를 들면 다음과 같습니다.
{ "date": "[time_stamp] ", "utc_time": "1709327649.232748932", "event": "BIND_SUCCESS", "dn": "uid=djoe,ou=people,dc=example,dc=com", "bind_method": "SIMPLE\/MFA", "root_dn": false, "client_ip": "::1", "server_ip": "::1", "ldap_version": 3, "conn_id": 1, "op_id": 0, "msg": "" }
{ "date": "[time_stamp] ", "utc_time": "1709327649.232748932", "event": "BIND_SUCCESS", "dn": "uid=djoe,ou=people,dc=example,dc=com", "bind_method": "SIMPLE\/MFA", "root_dn": false, "client_ip": "::1", "server_ip": "::1", "ldap_version": 3, "conn_id": 1, "op_id": 0, "msg": "" }
이러한 메시지를 기록하기 위해 secutiry 로그의 경우 SLAPI API를 사용하여 바인딩이 이 플러그인의 일부인 경우 사전 바인딩 인증 플러그인을 설정해야 합니다.
추가 리소스