Das Default-Logging sollte in folgenden Punkte angepasst werden:

  • Loghistory aus Datenschutzgründen z.B. nur 7 Tage aufbewahren (die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!)
  • LDAP-Client-Log von WARN auf INFO damit mehr LDAP-Meldungen kommen
  • Client-IP-Adresse im Log mit protokollieren zur Vorbereitung der Brute-Force-Abwehr
./conf/logback.xml
    ...
    <!-- aus Datenschutzgründen nur 7 Tage aufbewahren -->
    <variable name="idp.loghistory" value="7" />
 
    <!-- Much higher performance if you operate on DEBUG. -->
    <!-- <variable name="idp.process.appender" value="ASYNC_PROCESS" /> -->
 
    <!-- Logging level shortcuts. -->
    <!-- IdP-loglevel muss auf "INFO" stehen damit die Brute-Force-Abwehr greift -->
    <variable name="idp.loglevel.idp" value="INFO" />
    <!-- LDAP-Loglevel auf "INFO" ändern damit mehr LDAP-Meldungen kommen -->
    <variable name="idp.loglevel.ldap" value="INFO" />
    ...
    <!-- Process log. -->
    <appender name="IDP_PROCESS" class="...
        <File>...
 
        <rollingPolicy class="...
           <fileNamePattern>...
           <maxHistory>...
        </rollingPolicy>
 
        <encoder class="...
            <charset>...
            <!-- Client-IP-Adresse im Log mit protokollieren -->
            <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} - %msg%n%ex{short}</Pattern>
        </encoder>
    </appender>

Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):

root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat[8|9]

Weiter geht es mit der Anbindung IdM.

  • Zuletzt geändert: vor 3 Monaten