Existe uma maneira de detectar e rastrear as alterações feitas no OpenLDAP?

Sim, existe um caminho. Você precisa adicionar a sobreposição do log de auditoria e configurá-la. Abaixo estão exemplos da sobreposição e configuração (parte inferior). Isso mostrará apenas as alterações feitas por qualquer usuário:

- SNIPPET OF cn = admin base -

# module {0}, config
dn: cn = module {0}, cn = config
objectClass: olcModuleList
cn: module {0}
olcModulePath: / usr / lib64 / openldap
olcModuleLoad: {0} accesslog.la
olcModuleLoad: {1} syncprov.la
olcModuleLoad: {2} back_bdb.la
olcModuleLoad: {3} auditlog.la #THIS É O QUE VOCÊ PRECISA

# {1} auditlog, {2} bdb, config
dn: olcOverlay = {1} auditlog, olcDatabase = {2} bdb, cn = config
objectClass: olcOverlayConfig
objectClass: olcAuditlogConfig
olcOverlay: {1} auditlog
olcAuditlogFile: /opt/ldap/logs/auditlog.log

----------------------------------------------- ----

Para ativar via ldapmodify / add:

ldapmodify -x -D "cn=admin,cn=config" -W
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleList
olcModuleLoad: auditlog.la

ldapadd -x -D "cn=admin,cn=config" -W
dn: olcOverlay={1}auditlog,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcAuditlogConfig
olcOverlay: auditlog
olcAuditlogFile: /opt/ldap/logs/auditlog.log

Que tal usar slapcat para despejar o banco de dados e usar algum sistema de controle de versão como git para rastrear as alterações? Dessa forma, você sempre pode restaurar qualquer estado que você jogou com o slapcat.