Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3config-log [2017/03/24 11:40] – angelegt Raoul Gunnar Borenius
+++ de:shibidp3config-log [2021/04/26 14:52] – als deprecated markiert Silke Meyer
@@ Zeile 1: / Zeile 1: @@
+====== Logging ======
+<callout color="#ff9900" title="Veraltete IdP-Version!">
+</callout>
+Das Default-Logging sollte in folgenden Punkte angepasst werden:
+  * Loghistory aus Datenschutzgründen z.B. nur 7 Tage aufbewahren (die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!)
+  * LDAP-Client-Log von WARN auf INFO damit mehr LDAP-Meldungen kommen
+  * Client-IP-Adresse im Log mit protokollieren zur Vorbereitung der [[de:shibidp:fail2ban|Brute-Force-Abwehr]]
+  * Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable idp.remote_addr die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen wird im Tomcat in der server.xml folgendes ergänzt:
+<file xml server.xml hinter Loadbalancer>
+   ...
+   <Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true">
+        ...
+        <!-- forwarded remote ip -->
+	<!--https://tomcat.apache.org/tomcat-8.5-doc/api/org/apache/catalina/valves/RemoteIpValve.html -->
+	<Valve className="org.apache.catalina.valves.RemoteIpValve" internalProxies="10\.0\.0\.1|10\.0\.0\.2" remoteIpHeader="x-forwarded-for" />
+        ...
+   </Host>
+   ...
+</file>
 <file xml ./conf/logback.xml>
-<appender name="IDP_PROCESS" class="ch.qos.logback.core.rolling.RollingFileAppender">
+    ...
- <File>${idp.logfiles}/idp-process.log</File>
+    <!-- aus Datenschutzgründen nur 7 Tage aufbewahren -->
+    <variable name="idp.loghistory" value="7" />
- <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
+    <!-- Much higher performance if you operate on DEBUG. -->
-  <fileNamePattern>${idp.logfiles}/idp-process-%d{yyyy-MM-dd}.log.gz</fileNamePattern>
+    <!-- <variable name="idp.process.appender" value="ASYNC_PROCESS" /> -->
-  <maxHistory>${idp.loghistory:-180}</maxHistory>
- </rollingPolicy>
- <encoder class="ch.qos.logback.classic.encoder.PatternLayoutEncoder">
+    <!-- Logging level shortcuts. -->
-  <charset>UTF-8</charset>
+    <!-- IdP-loglevel muss auf "INFO" stehen damit die Brute-Force-Abwehr greift -->
-  <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} | %msg%n%ex{short}</Pattern>
+    <variable name="idp.loglevel.idp" value="INFO" />
- </encoder>
+    <!-- LDAP-Loglevel auf "INFO" ändern damit mehr LDAP-Meldungen kommen -->
-</appender>
+    <variable name="idp.loglevel.ldap" value="INFO" />
+    ...
+    <!-- Process log. -->
+    <appender name="IDP_PROCESS" class="...
+        <File>...
+        <rollingPolicy class="...
+           <fileNamePattern>...
+           <maxHistory>...
+        </rollingPolicy>
+        <encoder class="...
+            <charset>...
+            <!-- Client-IP-Adresse im Log mit protokollieren -->
+            <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} - %msg%n%ex{short}</Pattern>
+        </encoder>
+    </appender>
 </file>
-Entscheidend dabei ist die Angabe "IP:%mdc{idp.remote_addr:-n/a}" damit die Client-IP mitgelogged wird.
+Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
+<code bash>
+root@idp:~# systemctl restart tomcat9
+</code>
+===== Optional: Abweichendes Log-Verzeichnis =====
+In ''./conf/logback.xml'' können Sie auch das Verzeichnis einstellen, in das der IdP loggt:
+<file xml ./conf/logback.xml>
+    ...
+    <variable name="idp.logfiles" value="/var/log/shibboleth-idp" />
+    ...
+</file>
+Weiter geht es mit der [[de:shibidp3config-idm|Anbindung IdM]].
+{{tag>idp3 deprecated}}