Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Настройка журналирования события подключения к каталогу LDAP

Настройка журналирования события подключения к каталогу LDAP#

Настройка журналирования события подключения к каталогу LDAP на контроллере домена#

Для настройки журналирования событий подключения к каталогу LDAP на контроллере домена необходимо создать файл /etc/audit/rules.d/siem.rules со следующим содержимым (или добавить в этот файл следующие строки, если он уже создан):

-a always,exit -S accept -S accept4 -F exe=/usr/sbin/ns-slapd -k ldapconnect
-a exit,always -F exit=-EACCES -F exe=/usr/sbin/ns-slapd -k ldapconnect

Где ldapconnect — строка, которая является ключом для фильтрации сообщений и может задаваться администратором произвольно (но затем эта строка используется в файлах конфигурации).

После внесения изменений необходимо перезапустить службу auditd командой:

systemctl restart auditd

Настройка журналирования событий подключения к каталогу LDAP на контроллере домена выполняется после предварительной настройки службы syslog-ng, а также настройки точки пересылки журналов в службе syslog-ng (создание файла конфигурации /etc/syslog-ng/siem/destination.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий подключения к каталогу LDAP.

Для настройки журналирования событий подключения к каталогу LDAP на контроллере домена необходимо создать файл конфигурации /etc/syslog-ng/siem/output-ldapconnect.conf с правами на чтение для всех пользователей и внести в него следующую информацию:

source s_ldap {
    file("/var/log/audit/audit.log" flags(no-parse) persist-name("ldap_conn") follow-freq(1));
};

filter f_ldapconnect {
    message('ldapconnect');
};

log {
    source(s_ldap);
    filter(f_ldapconnect);
    destination(d_audit);
};

После выполнения действий необходимо перезапустить службу syslog-ng на контроллере домена с помощью команды:

systemctl restart syslog-ng

Настройка журналирования события подключения к каталогу LDAP на сервере аудита#

Настройка журналирования событий подключения к каталогу LDAP на сервере аудита выполняется после предварительной настройки службы syslog-ng, а также настройки точки сбора журналов в службе syslog-ng (создание файла конфигурации /etc/syslog-ng/siem/source.conf) в соответствии с описанием в разделе (если такая настройка не проводилась ранее). Затем необходимо создать файл конфигурации для фильтрации событий подключения к каталогу LDAP.

Для настройки журналирования событий подключения к каталогу LDAP на сервере аудита необходимо создать файл конфигурации /etc/syslog-ng/siem/input-ldapconnect.conf с правами на чтение для всех пользователей и внести в него следующую информацию:

destination d_ldapconnect {
    file("/var/log/aldpro/ldapconnect.log" template("${MESSAGE}\n"));
};

filter f_ldapconnect {
    message("ldapconnect");
};

log {
    source(s_net);
    filter(f_ldapconnect);
    rewrite {
        subst(" .source.s_ldap", "", value("MESSAGE"));
        subst(' key="ldapconnect"', "", value("MESSAGE"));
    };
    destination(d_ldapconnect);
};

После выполнения действий необходимо перезапустить службу syslog-ng на сервере аудита с помощью команды:

systemctl restart syslog-ng
Содержание