Ikebana
Aggregatore di log
Sorgenti dati
- ldap: b1 e b2 log di slapd (rimossi perché occupavano troppo disco e non riuscivo a cancellarli)
- domain: samba netlogon su domain
- pwchange: cambio password su iam
- forgot: procedura "ho scordato la password" su iam
- reguser: scelta della username su iam
- rinaccount: rinnovo account self service su iam
- pwdreset: reset della password con SPID su iam
- idp: idp_audit.log da yaidp, idp3 e idp-bo
- sms_production: frontend di spedizione degli sms su text
- Q-AL: log dei webserver su ws (adesso solo questionari degli studenti immatricolati)
- eduradius: log radius eduroam
- ugovsync: log della procedura di sincronia verso iris (gimcrack)
- selfaccess: proviene da selfaccess (convegni) tramite filebeat
- spid_error: errori SPID che provengono da drum tramite filebeat
- logpick: vari log da 5 server LDAP con qualche aggiunta di semantica per orientarsi sulle autenticazioni VPN e wi-fi (capite portal Unimore)
sorgenti dati smarrite
dal passaggio da identity a identity10 si sono persi tutti i log:
- account_expire: messaggi di mail scadenza account agli utenti (identity)
- identity_expire: messaggi di mail scadenza incarichi da esterno gli utenti (identity)
- sync_docenti: log del servizio sicronizzazione docenti identity -> esse3
non solo manca l'invio tramite rsyslog, ma è cambiato il formato dei dati quindi va riscritta la regola logstash.
Su hub manca tutto la parte rsyslog; il server shibboleth.unimore.it è stato decommissionato e i suoi due servizi dovrebbero essere su hub e su gimcrack.
- delta: log dei delta su seta
- user_expire: messaggi di mail scadenza ruoli da dipendenti agli utenti (shibboleth)
- password_warn: messaggi di mail scadenza password (shibboleth)
Filtri di ricerca
Su elasticsearch si usa la sintassi delle query lucene
Prima filtrare per origine e IP e poi con connection number:
origin:ldap AND ip:155.185.254.111 origin:ldap AND conn:1256987