informatique:reseau:ldap:accesslog

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
informatique:reseau:ldap:accesslog [2022/06/15 08:55] bn8informatique:reseau:ldap:accesslog [2024/03/06 08:52] (Version actuelle) – [Purge/réduction des logs] bn8
Ligne 5: Ligne 5:
 ===== Installation ===== ===== Installation =====
  
-Il faut d'abord charger le module //dynlist// : +Il faut d'abord charger le module //dynlist// : <code bash>ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
-  * Créer le fichier ///tmp/load-module.ldif// : <code bash>cat << EOF > /tmp/load-module.ldif+
 dn: cn=module{0},cn=config dn: cn=module{0},cn=config
 changetype: modify changetype: modify
Ligne 12: Ligne 11:
 olcModuleLoad: accesslog olcModuleLoad: accesslog
 EOF</code> EOF</code>
-  * Jouer ce LDIF via //ldapmodify// : <code bash>ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif 
-# Ou : 
-ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/load-module.ldif</code> 
  
-Il faut ensuite créer la base LDAP qui servira au stockage de l'historique +Il faut ensuite créer la base LDAP qui servira au stockage de l'historique : <code bash>mkdir /var/lib/ldap/my-database-accesslog/ 
-  * Créer le dossier de stockage de cette base : <code bash>mkdir /var/lib/ldap/my-database-accesslog/ +chown openldap: /var/lib/ldap/my-database-accesslog/ 
-chown openldap: /var/lib/ldap/my-database-accesslog/</code> +ldapadd -Y EXTERNAL -H ldapi:/// << EOF
-  * Créer le fichier ///tmp/historic-database.ldif// : <code bash>cat << EOF > /tmp/historic-database.ldif+
 dn: olcDatabase={2}mdb,cn=config dn: olcDatabase={2}mdb,cn=config
 objectClass: olcDatabaseConfig objectClass: olcDatabaseConfig
Ligne 28: Ligne 23:
   by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage   by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage
   by * break   by * break
-olcDbIndex: reqDn,objectClass eq+olcDbIndex: reqDn,reqStart,reqEnd,reqType,reqSession,reqAuthzID,objectClass eq
 olcDbMaxSize: 1073741824 olcDbMaxSize: 1073741824
 EOF EOF
 </code> </code>
-  * Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,cn=config -W -f /tmp/historic-database.ldif 
-# Ou : 
-ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/historic-database.ldif</code> 
  
-Pour finir, il faut configurer l'overlay //accesslog// pour votre base +Pour finir, il faut configurer l'overlay //accesslog// pour votre base : <code bash>ldapadd -Y EXTERNAL -H ldapi:/// << EOF
-  * Créer le fichier ///tmp/config-accesslog.ldif// : <code bash>cat << EOF > /tmp/config-accesslog.ldif+
 dn: olcOverlay={1}accesslog,olcDatabase={1}mdb,cn=config dn: olcOverlay={1}accesslog,olcDatabase={1}mdb,cn=config
 objectClass: olcAccesslogConfig objectClass: olcAccesslogConfig
Ligne 50: Ligne 41:
 EOF EOF
 </code> </code>
-  * Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,cn=config -W -f /tmp/config-accesslog.ldif 
-# Ou : 
-ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-accesslog.ldif</code> 
  
-<note tip>Dans cet exemple, les opérations relatives aux écritures et aux sessions utilisateurs seront historisés. Les premières seront conservées 365 jours et les secondes une journée. Pour plus d'informations, consulter la [[https://www.openldap.org/doc/admin24/overlays.html#Access%20Logging|documentation]], le manuel (''man slapo-accesslog'') ou encore le [[https://www.zytrax.com/books/ldap/ch6/accesslog.html|guide LDAP sur Zytrax.com]].</note>+<note tip>Dans cet exemple, les opérations relatives aux écritures et aux sessions utilisateurs seront historisés. La rétention de ces entrées est de 365 jours et la purge est exécutée en tâche de fond tous les jours. Pour plus d'informations, consulter la [[https://www.openldap.org/doc/admin24/overlays.html#Access%20Logging|documentation]], le manuel (''man slapo-accesslog'') ou encore le [[https://www.zytrax.com/books/ldap/ch6/accesslog.html|guide LDAP sur Zytrax.com]].</note> 
 + 
 +==== Purge/réduction des logs ==== 
 + 
 +Pour purger les logs, le plus simple est de stopper le service, purger toute la base et relancer le service : 
 + 
 +<code bash> 
 +service slapd stop 
 +rm -f /var/lib/ldap/accesslog/
 +service slapd start 
 +</code> 
 + 
 +**Alternativement, vous pouvez réduire la période de rétention** des logs en ajustant la valeur de l'attribut ''olcAccessLogPurge'' dans la configuration de l'overlay ''accesslog'' de votre database. 
 +Ce paramètre contient deux valeurs, la première indiquant la rétention et la seconde la fréquence de purge. Par exemple, la valeur est ''365+00:00 1+00:00'' indique une rétention de 365 jours et une purge 
 +une fois par jour. En cas de modification de cette valeur, une purge est lancée immédiatement. 
  • informatique/reseau/ldap/accesslog.1655283351.txt.gz
  • Dernière modification : 2022/06/15 08:55
  • de bn8