httpd ldap e erro de autenticação de arquivo

1

Temos o SVN em execução via Apache httpd. Para autenticação, usamos o Active Directory e, se o usuário não estiver no AD, recorreremos à autenticação de arquivos. Isso funciona bem, exceto pelas mensagens de erro no caso de autenticação de arquivos. A mensagem de erro é repetida várias vezes:

auth_ldap authenticate: user <user> authentication failed; URI /svn/some/uri [User not found][No such object]

Gostaríamos de filtrar essas mensagens, pois nossos arquivos de log crescem rapidamente devido a essa mensagem de log desnecessária.

    
por JohanKees 03.06.2013 / 13:59

3 respostas

2

Desculpe por responder minha própria pergunta, mas eu implementei uma solução que queria compartilhar com você desde que você estava me ajudando e isso pode ser de valor para os outros.

Basicamente é bastante simples, eu não mudei o logging, apenas mudei a rotação do log (/etc/logrotate.d/httpd) para:

/var/log/httpd/*log {
        compress
        compresscmd /usr/bin/bzip2
        compressext .bz2
        daily
        dateext
        maxage 31
        rotate 14
        size=+4096k
        notifempty
        missingok
        sharedscripts
        prerotate
                /bin/sed -i '/User not found/d' /var/log/httpd/*svn_error_log
        endscript
        postrotate
                /sbin/service httpd graceful > /dev/null 2>/dev/null || true
        endscript
}

Dessa forma, todos os falsos positivos são removidos do arquivo de log diariamente. O tamanho dos arquivos de log é reduzido e não aumenta com o tempo, já que os arquivos são removidos após 31 dias (max).

    
por 04.07.2013 / 10:09
0

Desde que a intenção seja filtrar esses registros para um arquivo diferente , existem algumas maneiras de fazer isso.

  1. Envie o ErrorLog para o syslog e faça o login em arquivos diferentes com base no entrada.
  2. Use a sintaxe de canal para enviar os logs a um programa auxiliar dedicado e usá-lo para Divida as falhas de autenticação em um arquivo separado. É recomendado usar um binário dedicado em conjunto com esta diretiva em produção (não um script de shell), pois é sensível ao desempenho.

Desativar verbosidade do LogLevel provavelmente é uma má ideia, pois afeta outras mensagens em o VirtualHost. Mesmo com LDAPLibraryDebug , e eu acho que essas mensagens são provenientes do Apache e não da biblioteca LDAP de qualquer maneira.

    
por 16.06.2013 / 21:39
-1

Você pode desativar as mensagens do log de erros. Algo como

ErrorLog / dev / null

    
por 16.06.2013 / 19:21

Tags