审计解析器

审计解析器工具用于查询 Ozone 的审计日志。它会在指定的路径下创建一个 sqlite 数据库,若数据库已存在则不再创建。

这个数据库只包含了一个名为 audit 的表,定义如下:

CREATE TABLE IF NOT EXISTS audit ( datetime text, level varchar(7), logger varchar(7), user text, ip text, op text, params text, result varchar(7), exception text, UNIQUE(datetime,level,logger,user,ip,op,params,result))

用法:

ozone auditparser <数据库文件的路径> [命令] [参数]

将审计日志加载到数据库:

ozone auditparser <数据库文件的路径> load <审计日志的路径>
Load 命令会创建如上所述的审计表。

运行一个自定义的只读查询:

ozone auditparser <数据库文件的路径> query <双引号括起来的 select 查询>

审计解析起自带了一些模板(最常用的查询)

运行模板查询:

ozone auditparser <数据库文件的路径 template <模板名称>

Ozone 提供了以下模板:

模板名称 描述 SQL
top5users Top 5 users select user,count(*) as total from audit group by user order by total DESC limit 5
top5cmds Top 5 commands select op,count(*) as total from audit group by op order by total DESC limit 5
top5activetimebyseconds Top 5 active times, grouped by seconds select substr(datetime,1,charindex(’,’,datetime)-1) as dt,count(*) as thecount from audit group by dt order by thecount DESC limit 5
Next >>