审计解析器工具用于查询 Ozone 的审计日志。它会在指定的路径下创建一个 sqlite 数据库,若数据库已存在则不再创建。
这个数据库只包含了一个名为 audit
的表,定义如下:
CREATE TABLE IF NOT EXISTS audit ( datetime text, level varchar(7), logger varchar(7), user text, ip text, op text, params text, result varchar(7), exception text, UNIQUE(datetime,level,logger,user,ip,op,params,result))
用法:
ozone auditparser <数据库文件的路径> [命令] [参数]
将审计日志加载到数据库:
ozone auditparser <数据库文件的路径> load <审计日志的路径>
运行一个自定义的只读查询:
ozone auditparser <数据库文件的路径> query <双引号括起来的 select 查询>
审计解析起自带了一些模板(最常用的查询)
运行模板查询:
ozone auditparser <数据库文件的路径 template <模板名称>
Ozone 提供了以下模板:
模板名称 | 描述 | SQL |
---|---|---|
top5users | Top 5 users | select user,count(*) as total from audit group by user order by total DESC limit 5 |
top5cmds | Top 5 commands | select op,count(*) as total from audit group by op order by total DESC limit 5 |
top5activetimebyseconds | Top 5 active times, grouped by seconds | select substr(datetime,1,charindex(’,’,datetime)-1) as dt,count(*) as thecount from audit group by dt order by thecount DESC limit 5 |