Hvordan DMCS understøtter sikker drift med et logningsframework, der kan udvides til at understøtte særlige klientbehov
Beskrivelse af logs i DMCS
I DMCS anvender vi to tilgange til logs i vores kørende system. Den ene er primært rettet mod teknisk analyse, mens vi logger brugeradgang ved hjælp af en normal tilgang og – hvis det ønskes af vores klienter – en udvidet tilgang.
Teknisk logning: Aktivitet i containerne logges i varierende grad, baseret på kompleksiteten og behovet for teknisk analyse. Disse logs administreres af docker og slettes ved genstart af containeren.
Sikkerhedslogning: Al brugeraktivitet i toolboxen (vores webgrænseflade) logges og lagres på serveren til eventuel analyse i persistente .log-filer. I vores normale tilgang administreres dette i vores brugerlogs. Dette er det detaljeringsniveau, der kræves for de fleste. Hvis det ønskes, kan vi levere en ekstra service med mere detalje og mulighed for at sende logs til tredjeparts-værktøjer, som klienten måske anvender.
Alle data, der er nødvendige for DMCS's funktion, er primært lagret i elasticsearch og delvist i postgres. Disse data kan analyseres retsmedicinsk via toolboxens analytiske funktioner og Kibana-installationen. Denne løbende vedligeholdelse af systemets tilstand betragtes ikke som logning.
Følgende diagram giver et overblik over de komponenter, der kører på hver DMCS-server. Nogle af vores servere er vært for flere klienter, men de fleste servere er vært for én klient.
Logningsarkitektur
Vores standardarkitektur for logning gør følgende:
De containere, der er vigtige for at registrere bruger- og sikkerhedsaktivitet, logges alle til serverens filsystem og kan hentes af en logningsagent afhængigt af den ønskede logningsarkitektur.
Andre containere, hvor logning primært tjener fejlfindingsformål, administreres blot i containeren og følger containerens livscyklus.
Hvis det ønskes, kan systemet konfigureres til at tilføje persistens til andre logs end dem, der foreslås i standardkonfigurationen.api-containeren logger al brugeraktivitet i toolboxen, og dette er derfor stedet at analysere specifik brugeraktivitet. Logins registreres alle idm-service-iam.
I standardkonfigurationen registrerer en brugerlog vigtige brugerhandlinger. Brugerlogen er en forenklet version afapi-logen, som registrerer vigtige brugerhændelser. Disse skrives til filsystemet på serveren til videre behandling.
For mere detaljeret registrering af logs har Docker-containerne en række tilgængelige drivere
til logning (se fuld liste), der kan konfigureres for hver container i docker-compose-filen:
For vores normale service leverer vi persistens for brugerlogs, og vi overvåger logs af driftsmæssige og sikkerhedsmæssige årsager.
Hvis vores klienter har udvidede behov for logovervågning, kan vi tilbyde andre logkonfigurationer, hvor vores klienter eller tredjeparter leverer logindsamling, f.eks. via Splunk eller SYSLOG. Vi konfigurerer derefter de relevante docker-containere til at logge til det ønskede logindsamlingsendepunkt, som klienten stiller til rådighed.
Brugerlogfiler
Registreringer af handlinger udført af brugere, såsom redigeringer, dataforespørgsler, konfigurationsændringer eller andre interaktioner med systemets funktioner og funktionaliteter.
filformat
Lognavn: logs-YYYY-MM-DD.log | Placering:/mnt/docker/volumes/logs/_data/[Company ID] | Format: kommasepareret ascii-fil (type-værdi-par) |
Ekstern adgang til brugerlogs:
Brugerlogs kan videresendes til et eksternt logningsendepunkt i realtid.
Endepunkt-URL og token skal sendes tilsupport@dataandmore.comfor at konfigurere den eksterne logning.
Klienten skal tillade trafik fra vores server til API-endepunktet. Data&More support vil oplyse den IP-adresse eller det IP-interval, der skal tillades.