我们有一个slapd服务器已经开始在/ var / log / ldap中为特定服务acc生成许多err = 49行。绑定失败时会记录错误= 49。通过搜索连接,我可以看到源是localhost。
我已经使用ldapsearch检查了acc是否处于活动状态。我已经尝试通过/ etc来获取服务acc名称以查看可能无法使用的内容。
如何识别ldap查询的来源以帮助调查此问题?
答案 0 :(得分:0)
我没有尝试从连接的角度来看,而是从日志的角度继续寻找:
awk '/from IP=127.0.0.1/ {print substr($3,1,5)}' /var/log/ldap |sort -n|uniq -c
这显示了一小时的点击,搜索cron.hourly发现了嫌疑人。我根据特定的cron.hourly'ed脚本的工作方式,对用户名的grepping的意识形态存在缺陷。