0

我们有一个 slapd 服务器,它已经开始在 /var/log/ldap 中为特定的服务 acc 生成许多 err=49 行。绑定失败时会记录 err=49。通过搜索连接我可以看到源是本地主机。

我已经使用 ldapsearch 检查了 acc 是否处于活动状态。我已尝试通过 /etc 查找服务 acc 名称,以查看可能使用的内容无济于事。

如何识别 ldap 查询的来源以帮助调查问题?

4

1 回答 1

0

我没有尝试从连接的角度工作,而是继续从日志的角度来看:

awk '/来自 IP=127.0.0.1/ {print substr($3,1,5)}' /var/log/ldap |sort -n|uniq -c

这显示了小时的命中,搜索 cron.hourly 找到了嫌疑人。基于特定 cron.hourly 脚本的工作方式,我对用户名的 grepping 思想存在缺陷。

于 2013-04-11T13:35:01.820 回答