Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:shibidp3config-log [2017/03/24 11:50] Raoul Gunnar Boreniusde:shibidp3config-log [2021/04/26 14:52] – als deprecated markiert Silke Meyer
Zeile 1: Zeile 1:
-===== Logging ===== +====== Logging =====
 +<callout color="#ff9900" title="Veraltete IdP-Version!"> 
 +</callout>
 Das Default-Logging sollte in folgenden Punkte angepasst werden: Das Default-Logging sollte in folgenden Punkte angepasst werden:
  
-  * Loghistory aus Datenschutzgründen nur 14 Tage aufbewahren +  * Loghistory aus Datenschutzgründen z.B. nur Tage aufbewahren (die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!) 
-  * Vorbereitung der Brute-Force-Abwehr: +  * LDAP-Client-Log von WARN auf INFO damit mehr LDAP-Meldungen kommen 
-    * LDAP-Client-Log von WARN auf INFO stellen um gescheiterte Login-Vorgänge angezeigt zu bekommen +  * Client-IP-Adresse im Log mit protokollieren zur Vorbereitung der [[de:shibidp:fail2ban|Brute-Force-Abwehr]] 
-    * Client-IP-Adresse im Log mit protokollieren+  * Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable idp.remote_addr die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen wird im Tomcat in der server.xml folgendes ergänzt: 
 + 
 +<file xml server.xml hinter Loadbalancer> 
 +   ... 
 +   <Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true"> 
 +        ... 
 +        <!-- forwarded remote ip --> 
 + <!--https://tomcat.apache.org/tomcat-8.5-doc/api/org/apache/catalina/valves/RemoteIpValve.html --> 
 + <Valve className="org.apache.catalina.valves.RemoteIpValve" internalProxies="10\.0\.0\.1|10\.0\.0\.2" remoteIpHeader="x-forwarded-for" /> 
 +        ... 
 +   </Host> 
 +   ... 
 +</file>
  
 <file xml ./conf/logback.xml> <file xml ./conf/logback.xml>
     ...     ...
-    <!-- aus Datenschutzgründen nur 14 Tage aufbewahren --> +    <!-- aus Datenschutzgründen nur Tage aufbewahren --> 
-    <variable name="idp.loghistory" value="14" />+    <variable name="idp.loghistory" value="7" />
  
     <!-- Much higher performance if you operate on DEBUG. -->     <!-- Much higher performance if you operate on DEBUG. -->
Zeile 17: Zeile 30:
  
     <!-- Logging level shortcuts. -->     <!-- Logging level shortcuts. -->
-    <variable name=... +    <!-- IdP-loglevel muss auf "INFO" stehen damit die Brute-Force-Abwehr greift --> 
-    <!-- Loglevel von "WARN" auf "INFO" ändern -->+    <variable name="idp.loglevel.idp" value="INFO" /> 
 +    <!-- LDAP-Loglevel auf "INFO" ändern damit mehr LDAP-Meldungen kommen -->
     <variable name="idp.loglevel.ldap" value="INFO" />     <variable name="idp.loglevel.ldap" value="INFO" />
     ...     ...
Zeile 40: Zeile 54:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat8+root@idp:~# systemctl restart tomcat9
 </code> </code>
  
 +===== Optional: Abweichendes Log-Verzeichnis =====
 +
 +In ''./conf/logback.xml'' können Sie auch das Verzeichnis einstellen, in das der IdP loggt:
 +
 +<file xml ./conf/logback.xml>
 +    ...
 +    <variable name="idp.logfiles" value="/var/log/shibboleth-idp" />
 +    ...
 +</file>   
 +
 +Weiter geht es mit der [[de:shibidp3config-idm|Anbindung IdM]].
  
 +{{tag>idp3 deprecated}}