Logauswertung und Systemüberwachung
Der Revision-Zugang ist als Möglichkeit geschaffen Protokollauswertungen vornehmen zu können. Die Logauswertungen dienen der Systemüberwachnung und der Möglichkeit Tätigkeiten anderer Administrationsrollen nachvollziehen zu können. Dabei kann, sofern die revisionssichere Doppelanmeldung als config angeschaltet ist, nachvollzogen werden, welche Mitarbeiter in welcher Administrationsrolle tätig geworden sind und welche Administrationsschritte unternommen wurden.
Das Revisionsmenü bietet die Möglichkeit folgende Protokolle auszuwerten:
- Die Firewall
- Die Benutzeranmeldungen
- Systemprotokolle (insbesondere Protokolle der Systemadministratoren)
Firewall
Über die Firewall-Protokolle erhalten Sie eine Übersicht über von der Firewall blockierte Pakete. Die Protokolle sind nach verschiedenen Kriterien aufbereitet, so gibt es Protokolle zu:
- Bericht über blockierte Pakete
- Paket-Quell-Host-Bericht
- Organisationsbericht
- Domänen-Bericht
- Viertelstündlicher-Bericht
- Tageszeit-Übersicht
- Paketgrößen-Übersicht
- Netzwerkschnittstellen-Bericht
- Quellport-Bericht
Sie können sich diese Protokolle für den Vortag, die gesamte Woche oder für die Laufzeit des Systems ansehen. Wählen Sie dazu bitte den jeweiligen Punkt aus.
Benutzer
Zur Auswertung der Anmeldvorgänge einzelner Benutzer steht das Benutzer-Protokoll zur Verfügung. Sie haben wieder die Möglichkeit sich verschiedene Zeiträume anzeigen zu lassen oder den gesamten Inhalt der Datei. Die Datei über Benutzeranmeldungen wird als Textdatei ausgegeben und hat folgenden Aufbau:
Beispiel:
| Monat | Tag | Zeit | Server-Name | Protokoll | Authentifikation | Benutzer |
|---|---|---|---|---|---|---|
| Jan | 31 | 12:44:53 | tgpro-12 | riv: | (pam_rsbac_de) | session opened for user revision by *unknown*(uid=0) |
| Januar | 31 | 12:44:53 | tgpro-12 | riv (per VNC) | pam | revision |
Andere Protokolle
Unter den anderen Protokollen können Sie sich Systemprotokolle für verschiedene Bereiche anzeigen lassen. Diese können direkt oder fortlaufend angezeigt werden. Bei der direkten Anzeige wird das komplette Protokoll angezeigt. Sie können dabei in dem Protokoll scrollen. Bei der fortlaufenden Anzeige wird das Protokoll in Echtzeit angezeigt. Sie können dabei nicht innerhalb des Protokolls scrollen. Nachfolgend wird eine kurze Übersicht dargestellt, welche Protokolle zu Verfügung stehen, und von welchen Diensten sie beschrieben werden.
| Protokoll | Dienst |
|---|---|
| auth.log | Alle Authorisierungsvorgänge, Anmeldungen von Benutzern und Diensten am System. |
| kern.log | Alle Meldungen, die vom Linux-Kern erstellt werden. Insbesondere die RSBAC Fehlermeldungen. |
| mail.log | Alle Meldungen, die im Zusammenhang mit dem Mail-System erstellt wurden. |
| syslog | Meldungen einzelner Systemdienste wie dem Proxy, dem cronjobs etc. |
| cups/access_log | Alle Meldungen im Zusammenhang der Anmeldung am cups-Drucksystem. |
| cups/error_log | Alle Fehlermeldungen im Zusammenhang mit dem cups-Drucksystem. |
| admin/backuser | Einträge über die backuser-Administrationstätigkeit. |
| admin/config | Einträge über die config-Administrationstätigkeit. |
| admin/maint | Einträge über die maint-Administrationstätigkeit. |
| admin/root | Einträge über die root-Administrationstätigkeit. |
| admin/security | Einträge über die security-Administrationstätigkeit. |
| admin/update | Einträge über die update-Administrationstätigkeit. |
Die Log-Protokolle der Administrationstätigkeit haben folgenden Aufbau:
Beispiel:
| Wochentag | Monat | Tag | Uhrzeit | Zeitzone | Jahr | Doppelanmeldung | Administrationsaufgabe |
|---|---|---|---|---|---|---|---|
| Mi | Feb | 1 | 12:20:34 | CET | 2008 | trix | Reboot |
| Mittwoch | Februar | 1 | 12:20:34h | CET | 2008 | trix | Reboot = Neustart |
Speicherdauer von Log-Dateien
Normale Log-Dateien
Die Speicherdauer der Log-Dateien im TightGate™-Pro System ist endlich. Inspektion kann demnach nur die jeweils verfügbaren Logs des Systems ansehen. Im TightGate™-Pro ist standardmäßig ein Logrotate für alle Log-Dateien eingestellt. Dabei beträgt die normale Rotationsdauer eine Woche bei vier Zyklen. D.h. die Logs werden vier Wochen gespeichert und bei der Erstellung der Logrotation der fünften Woche werden die Log-Daten der ersten Woche gelöscht.
Sonderfall RSBAC-Log-Dateien
Für die RSBAC-Log-Dateien gibt es einen kürzeren Zyklus. Hier wird täglich rotiert bei einem Zyklus von 7. D.h. jeden Tag findet eine Logrotation statt und am 8. Tag wird das Log des ersten Tages gelöscht. Allein das “debug.log” kann auch RSBAC-Meldungen enthalten, welche unterhalb des wöchentlichen Rotationszykluses fallen.
Log-Dateien, in denen RSBAC-Meldungen gespeichert sind:
kern.log messages syslog debug.log (standardmäßig nicht aktiv)