主页
产品
Red Hat Enterprise Linux
10
访问身份管理服务
9.3. 在 IdM 服务器中启用审计日志记录

9.3. 在 IdM 服务器中启用审计日志记录

按照以下流程，为审计目的对身份管理(IdM)服务器启用日志记录。使用详细的日志，您可以监控数据、对问题进行故障排除，以及检查网络上的可疑活动。

注意

如果记录了大量 LDAP 更改，则 LDAP 服务可能会变得较慢，特别是在值较大时。

先决条件

Directory Manager 密码

流程

绑定到 LDAP 服务器：

ldapmodify -D "cn=Directory Manager" -W << EOF

$ ldapmodify -D "cn=Directory Manager" -W << EOF

Copy to Clipboard

Toggle word wrap

指定您要进行的所有修改，例如：

dn: cn=config
changetype: modify
replace: nsslapd-auditlog-logging-enabled
nsslapd-auditlog-logging-enabled: on
-
replace:nsslapd-auditlog
nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit
-
replace:nsslapd-auditlog-mode
nsslapd-auditlog-mode: 600
-
replace:nsslapd-auditlog-maxlogsize
nsslapd-auditlog-maxlogsize: 100
-
replace:nsslapd-auditlog-logrotationtime
nsslapd-auditlog-logrotationtime: 1
-
replace:nsslapd-auditlog-logrotationtimeunit
nsslapd-auditlog-logrotationtimeunit: day

dn: cn=config
changetype: modify
replace: nsslapd-auditlog-logging-enabled
nsslapd-auditlog-logging-enabled: on
-
replace:nsslapd-auditlog
nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit
-
replace:nsslapd-auditlog-mode
nsslapd-auditlog-mode: 600
-
replace:nsslapd-auditlog-maxlogsize
nsslapd-auditlog-maxlogsize: 100
-
replace:nsslapd-auditlog-logrotationtime
nsslapd-auditlog-logrotationtime: 1
-
replace:nsslapd-auditlog-logrotationtimeunit
nsslapd-auditlog-logrotationtimeunit: day

Copy to Clipboard

Toggle word wrap

通过在新行中输入 EOF 来指示 ldapmodify 命令的末尾。
按 [Enter] 两次。
在您要在其上启用审计日志的所有其他 IdM 服务器中重复前面的步骤。

验证

打开 /var/log/dirsrv/slapd-REALM_NAME/audit 文件：

389-Directory/1.4.3.231 B2021.322.1803
server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM)

time: 20220607102705
dn: cn=config
result: 0
changetype: modify
replace: nsslapd-auditlog-logging-enabled
nsslapd-auditlog-logging-enabled: on
[...]

389-Directory/1.4.3.231 B2021.322.1803
server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM)

time: 20220607102705
dn: cn=config
result: 0
changetype: modify
replace: nsslapd-auditlog-logging-enabled
nsslapd-auditlog-logging-enabled: on
[...]

Copy to Clipboard

Toggle word wrap

该文件不再为空，确认启用了审计。

系统会记录一个更改的条目的绑定 LDAP 可分辨名称(DN)。因此，您可能必须在对日志进行后处理。例如，在 IdM Directory 服务器中，它是一个 ID 覆盖 DN，它代表修改记录的 AD 用户的身份：

modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com

$ modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com

Copy to Clipboard

Toggle word wrap

如果您有用户 SID，请使用 pysss_nss_idmap.getnamebysid Python 命令查找 AD 用户：

>>> import pysss_nss_idmap
>>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500'))
{'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}

>>> import pysss_nss_idmap
>>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500'))
{'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}

Copy to Clipboard

Toggle word wrap

返回顶部

9.3. 在 IdM 服务器中启用审计日志记录

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links