Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp3config-log [2020/04/16 09:37] Silke Meyerde:shibidp3config-log [2021/05/03 13:50] (aktuell) – veralteten Inhalt gelöscht Silke Meyer
Zeile 1: Zeile 1:
-===== Logging ===== 
  
-Das Default-Logging sollte in folgenden Punkte angepasst werden: 
- 
-  * Loghistory aus Datenschutzgründen z.B. nur 7 Tage aufbewahren (die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!) 
-  * LDAP-Client-Log von WARN auf INFO damit mehr LDAP-Meldungen kommen 
-  * Client-IP-Adresse im Log mit protokollieren zur Vorbereitung der [[de:shibidp:fail2ban|Brute-Force-Abwehr]] 
-  * Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable idp.remote_addr die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen wird im Tomcat in der server.xml folgendes ergänzt: 
- 
-<file xml server.xml hinter Loadbalancer> 
-   ... 
-   <Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true"> 
-        ... 
-        <!-- forwarded remote ip --> 
- <!--https://tomcat.apache.org/tomcat-8.5-doc/api/org/apache/catalina/valves/RemoteIpValve.html --> 
- <Valve className="org.apache.catalina.valves.RemoteIpValve" internalProxies="10\.0\.0\.1|10\.0\.0\.2" remoteIpHeader="x-forwarded-for" /> 
-        ... 
-   </Host> 
-   ... 
-</file> 
- 
-<file xml ./conf/logback.xml> 
-    ... 
-    <!-- aus Datenschutzgründen nur 7 Tage aufbewahren --> 
-    <variable name="idp.loghistory" value="7" /> 
- 
-    <!-- Much higher performance if you operate on DEBUG. --> 
-    <!-- <variable name="idp.process.appender" value="ASYNC_PROCESS" /> --> 
- 
-    <!-- Logging level shortcuts. --> 
-    <!-- IdP-loglevel muss auf "INFO" stehen damit die Brute-Force-Abwehr greift --> 
-    <variable name="idp.loglevel.idp" value="INFO" /> 
-    <!-- LDAP-Loglevel auf "INFO" ändern damit mehr LDAP-Meldungen kommen --> 
-    <variable name="idp.loglevel.ldap" value="INFO" /> 
-    ... 
-    <!-- Process log. --> 
-    <appender name="IDP_PROCESS" class="... 
-        <File>... 
- 
-        <rollingPolicy class="... 
-           <fileNamePattern>... 
-           <maxHistory>... 
-        </rollingPolicy> 
- 
-        <encoder class="... 
-            <charset>... 
-            <!-- Client-IP-Adresse im Log mit protokollieren --> 
-            <Pattern>%date{ISO8601} - %level [%logger:%line] - IP:%mdc{idp.remote_addr:-n/a} - %msg%n%ex{short}</Pattern> 
-        </encoder> 
-    </appender> 
-</file> 
- 
-Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): 
-<code bash> 
-root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat[8|9] 
-</code> 
- 
-Weiter geht es mit der [[de:shibidp3config-idm|Anbindung IdM]]. 
- 
-{{tag>idp3}} 
  • Zuletzt geändert: vor 4 Jahren