감사 파서 도구는 오존 감사 로그를 쿼리하는 데 사용할 수 있습니다. 이 도구는 지정된 경로에 sqllite 데이터베이스를 만듭니다. 데이터베이스가 이미 존재하는 경우 데이터베이스 생성을 방지합니다.
데이터베이스에는 audit다음과 같이 정의 된 하나의 테이블 만 포함됩니다 .
CREATE TABLE IF NOT EXISTS 감사 (datetime text, level varchar (7), logger varchar (7), user text, ip text, op text, params text, result varchar (7), exception text, UNIQUE (datetime, level, logger) , user, ip, op, params, result))
용법:
ozone auditparser <path to db file> [COMMAND] [PARAM]
감사 로그를 데이터베이스에로드하려면 :
ozone auditparser <path to db file> load <path to audit log>
로드 명령은 위에서 설명한 감사 테이블을 생성합니다.
사용자 지정 읽기 전용 쿼리를 실행하려면 :
ozone auditparser <path to db file> query <select query enclosed within double quotes>
감사 파서는 템플릿 집합 (가장 일반적으로 사용되는 쿼리)과 함께 제공됩니다.
템플릿 쿼리를 실행하려면 :
ozone auditparser <path to db file> template <templateName>
다음 템플릿을 사용할 수 있습니다.
템플릿 이름기술SQL
| top5users | 상위 5 명의 사용자 | 전체 DESC 제한 5에 따라 사용자 순서별로 감사 그룹에서 사용자, 개수 (*)를 합계로 선택합니다. |
| top5cmds | 상위 5 개 명령 | 총 DESC 제한 5에 의한 op 순서에 따라 감사 그룹에서 총으로 op, count (*)를 선택합니다. |
| top5activetimebyseconds | 초 단위로 그룹화 된 상위 5 개 활성 시간 | substr (datetime, 1, charindex ( ',', datetime) -1) as dt, count (*) as the count from the count from the audit group by dt order by the count DESC limit 5 |