服务器审计日志设置

审计日志记录用于改善目录服务器的安全性。服务器附带提供了缺省审计插件。根据审计配置参数，对于服务器处理的每个 LDAP 操作，此插件可能会在缺省审计日志或指定审计日志中记录审计条目。

管理员可以使用存储在审计日志中的活动来检查可疑的活动模式，以尝试检测安全性违例。如果违反了安全性，那么可以使用审计日志来确定问题发生的方式和时间，以及可能发生的损坏量。此信息对于从违例中恢复以及可能在制定更好的安全措施以防止将来发生问题方面都非常有用。您还可以编写自己的审计插件以替换缺省审计插件，或者向缺省审计插件添加更多处理。 For more information about plug-ins, see the 服务器插件参考.

注: 仅当失败的连接尝试在到达 LDAP 服务器后失败时才会进行审计。不会对 SSL 层，网络或操作系统层中失败的连接进行审计。

如果启用了审计，那么将审计下列服务器事件:

审计已启动
已审计已停止
审计配置已更改
服务器已启动
服务器已停止

将按以下格式审计服务器事件:

<Time>—<Message Text in local code page>

例如：

2009-08-05-14:06:20.957-06:00--GLPSRV009I IBM Security Directory (SSL), 
Version 6.4 Server started.

审计日志按时间顺序显示日志条目。每个非消息条目都包含一个常规信息头，后跟特定于操作的数据。例如

2000-03-23-16:01:01.345-06:00--V3 Bind--bindDN:cn=root
--client:9.1.2.3:12345--
ConnectionID:12--received:2000-03-23-16:01:01.330-06:00
--success 
name:cn=root
authenticationChoice: simple

如果审计版本是第 2 版，则页眉包含 "AuditV2--"。

AuditV2--2003-07-22-09:39:54.421-06:00DST--V3 Bind--bindDN: cn=root--client: 127
.0.0.1:8196--connectionID: 3--received: 2003-07-22-09:39:54.421-06:00DST--Success

如果审计版本是第 3 版，则页眉包含 "AuditV3--"

AuditV3--2003-07-22-09:39:54.421-06:00DST--V3 Bind--bindDN: cn=root--client: 127
.0.0.1:8196--connectionID: 3--received: 2003-07-22-09:39:54.421-06:00DST--Success
UniqueID:

如果审计版本设置为 1，那么不会审计任何额外信息。

如果审计版本设置为 2 或更高，那么以下条件为 TRUE:

如果该控件是 "代理授权" 控件，那么将审计以下额外信息:
- ProxyDN: 代理 Auth DN
如果该控件是 "组授权" 控件，并且审计配置为审计在 "组授权" 控件上发送的组，那么将审计以下额外信息:
- 组: 组名
- 组: 组名 2 (对每个组重复)
- 规范化: TRUE 或 FALSE
如果该控件是 "审计" 控件，并且审计配置为审计 "审计" 控件中的额外信息，那么将审计以下额外信息:
- RequestID: 请求 ID 1
- RequestID: 请求 ID 2（每多一个请求 ID，重复一次）
- ClientIP: 审计控制中发送的客户端 IP
如果该控件是 "复制更新标识" 控件，并且审计配置为审计 "复制更新标识" 控件，那么将审计以下额外信息:
- value: 在控件中发送的值

注: 对于操作，将显示以下其中一种类型:

未知
绑定
解除绑定
搜索
添加
修改
删除
ModifyDN
事件通知: 注册
事件通知: 注销
扩展操作
比较

该头采用以下格式:

1 戳记 1 "--": 记录条目时的本地时间，即处理请求时的时间。时间戳记的格式为 YYYY-MM-DD-HH:MM:SS.mmm= (或-) HH:MM。 = (或 =) HH:MM 是 UTC 偏移量。 mmm 是毫秒。
版本号 + [SSL | TLS] + [未经认证或匿名] 操作 "--": 显示已接收并处理的 LDAP 请求。版本号为 V2 或 V3。仅当将 SSL 用于连接时，才会显示 SSL 。仅当 TLS 用于连接时，才会显示 TLS 。 unauthenticated 或 anonymous 显示以指示请求是来自未经认证的客户机还是匿名客户机。如果请求来自已认证的客户机，那么不会显示未认证或匿名。
bindDN:: 显示绑定 DN。对于 V3 未认证或匿名请求，此字段为 <*CN=NULLDN*>。
client: 客户机 IP 地址: 端口号 "--": 显示客户机 IP 地址和端口号。
ConnectionID: xxxx "-": 用于将在同一连接中接收到的所有条目 (即，在绑定和取消绑定之间) 分组在一起。
已接收: 2 戳记 2 "--": 是接收到请求时的本地时间，或者更具体地说，是处理请求时的开始时间。其格式与时间戳记 1 相同。
结果或状态字符串: 显示该 LDAP 操作的结果或状态。对于结果字符串，将记录 LDAP resultCode 的文本格式，例如， success 或 operationsError，而不是 0 或 1。
UniqueID: uniqueID 是要存储在控件中的唯一请求标识。 clientIP 是要存储在控件中的客户机的原始 IP。如果临界值为 true ，那么控件的临界值设置为 true; 如果为 false ，那么临界值设置为 false。

特定于操作的数据跟在标题后面，并显示特定于操作的数据，例如，

绑定:
- 名称： <bindDN 字符串>
- authenticationChoice: 未知、简单、,, SASL krbv42LDAP krbv42DSA
- authenticationMechanism: CRAM-MD5
- 管理员帐户状态: 未锁定，已锁定或已清除锁定
- username: adminusername (仅限 DIGEST-MD5 )
- mappedname: cn=root (仅适用于 DIGEST-MD5 w/authzid)
- authzId: u：用户名（仅适用于使用 authzid 的） DIGEST-MD5
搜索：
- base: o = ibm_us ， c=us
- 范围：未知， baseObject, singleLevel, 或 wholeSubtree
- derefAliases: 未知，或 neverDerefAliases, derefInSearching, derefFindingBaseObj, derefAlways
- typesOnly: 假
- 过滤器：(&(cn=c*)(sn=a*))
- attributes: cn ， sn ， title (如果没有属性，那么此项不存在)
比较:
- 条目 :cn = Joe Smith ， o=ibm_us ， c=us
- 属性 :cn
注: 未写入该属性值。
添加:
- 条目 :cn = Joe Smith ， o=ibm_us ， c=us
- 属性 :cn ， sn
注: 未写入该属性值。
修改：
- 对象 :cn = Joe Smith ， o=ibm_us ， c=us
- 添加: 邮件
- 删除: 标题
- replace: telphonenumber (对每个操作/属性对重复)
修改可以是下列其中一种类型:
- 未知
- 添加
- 删除
- 替换
删除：
- 条目 :cn = Joe Smith ， o=ibm_us ， c=us
ModifyDN:
- 条目 :cn = Joe Smith ， ou = Austin ， o=ibm_us ， c=us
- newrdn：乔-史密斯
- deleteoldrdn:true
- newSuperior: ou=罗切斯特（如果没有值，则不存在此项） newSuperior
事件通知: 事件注册:
- eventID: LDAP_change
- base: o = ibm_us ， c=us
- 作用域: wholeSubtree
- 类型：未知， changeAdd, changeDelete, changeModify, 或 changeModDN
事件通知: 未注册的事件:
- 标识: hostname.uuid

缺省情况下，审计日志处于禁用状态。

注: 管理组的成员可以查看审计日志和设置，但不能对其进行修改。只有管理员才能够访问，更改或清除审计日志文件。

要启用审计日志记录并修改日志记录设置，请使用下列其中一种方法。 I个别日志设置将覆盖缺省日志设置。