9.3. 在 IdM 服务器中启用审计日志记录
按照以下流程,为审计目的在身份管理(IdM)服务器上启用日志记录。使用详细的日志,您可以监控数据、对问题进行故障排除,以及检查网络上的可疑活动。
注意
如果记录了大量 LDAP 更改,则 LDAP 服务可能会变得较慢,特别是在值较大时。
先决条件
- Directory Manager 密码
流程
绑定到 LDAP 服务器:
$ ldapmodify -D "cn=Directory Manager" -W << EOF
- 按 [Enter]。
指定您要进行的所有修改,例如:
dn: cn=config changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on - replace:nsslapd-auditlog nsslapd-auditlog: /var/log/dirsrv/slapd-REALM_NAME/audit - replace:nsslapd-auditlog-mode nsslapd-auditlog-mode: 600 - replace:nsslapd-auditlog-maxlogsize nsslapd-auditlog-maxlogsize: 100 - replace:nsslapd-auditlog-logrotationtime nsslapd-auditlog-logrotationtime: 1 - replace:nsslapd-auditlog-logrotationtimeunit nsslapd-auditlog-logrotationtimeunit: day
-
通过在新行中输入 EOF 来指示
ldapmodify
命令的末尾。 - 按 [Enter] 两次。
- 在您要在其上启用审计日志的所有其他 IdM 服务器中重复前面的步骤。
验证
打开
/var/log/dirsrv/slapd-REALM_NAME/audit
文件:389-Directory/1.4.3.231 B2021.322.1803 server.idm.example.com:636 (/etc/dirsrv/slapd-IDM-EXAMPLE-COM) time: 20220607102705 dn: cn=config result: 0 changetype: modify replace: nsslapd-auditlog-logging-enabled nsslapd-auditlog-logging-enabled: on [...]
该文件不再为空,确认启用了审计。
重要系统会记录一个更改的条目的绑定 LDAP 可分辨名称(DN)。因此,您可能必须在对日志进行后处理。例如,在 IdM Directory 服务器中,它是一个 ID 覆盖 DN,它代表修改记录的 AD 用户的身份:
$ modifiersName: ipaanchoruuid=:sid:s-1-5-21-19610888-1443184010-1631745340-279100,cn=default trust view,cn=views,cn=accounts,dc=idma,dc=idm,dc=example,dc=com
如果您有用户 SID,请使用
pysss_nss_idmap.getnamebysid
Python 命令查找 AD 用户:>>> import pysss_nss_idmap >>> pysss_nss_idmap.getnamebysid('S-1-5-21-1273159419-3736181166-4190138427-500')) {'S-1-5-21-1273159419-3736181166-4190138427-500': {'name': 'administrator@ad.vm', 'type': 3}}
其它资源
- 红帽目录服务器文档中的 核心服务器配置属性 中的审计日志配置选项
- 如何在 IPA/IDM 服务器和 Replica Servers 中启用审计日志记录 (红帽知识库)
- 目录服务器日志文件