| Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:shibidp:config-log [2020/04/07 14:25] – angelegt Silke Meyer | de:shibidp:config-log [2024/06/10 15:17] (aktuell) – Doreen Liebenau |
|---|
| | <- de:shibidp:config-metadata|Konfiguration der Föderationsmetadaten ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-mdv|Eintrag in Metadatenverwaltung -> |
| ===== Logging ===== | ===== Logging ===== |
| |
| Das Default-Logging sollte in folgenden Punkte angepasst werden: | Das Default-Logging sollte in folgenden Punkte angepasst werden: |
| |
| * Loghistory aus Datenschutzgründen z.B. nur 7 Tage aufbewahren (die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!), | * **Loghistory** aus Datenschutzgründen z.B. nur 7 Tage aufbewahren (die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!), |
| * LDAP-Client-Log von WARN auf INFO hochsetzen, damit mehr LDAP-Meldungen kommen, | * **LDAP-Client-Log** von WARN auf INFO hochsetzen, damit mehr LDAP-Meldungen kommen, |
| * Client-IP-Adresse im Log protokollieren zur Vorbereitung der [[de:shibidp:fail2ban|Brute-Force-Abwehr]], | * **Client-IP-Adresse** im Log protokollieren zur Vorbereitung der [[de:shibidp:fail2ban|Brute-Force-Abwehr]], |
| * Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable ''idp.remote_addr'' die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen, wird im Tomcat in der server.xml Folgendes ergänzt: | * Wenn der Tomcat hinter einem **Loadbalancer** betrieben wird, dann erscheint im Log in der Variable ''idp.remote_addr'' die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen, wird im Tomcat in der ''/etc/tomcat10/server.xml'' Folgendes ergänzt: |
| |
| <file xml server.xml hinter Loadbalancer> | FIXME prüfen! |
| | |
| | <file xml /etc/tomcat10/server.xml hinter Loadbalancer> |
| ... | ... |
| <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> | <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> |
| <!-- Aufbewahrungsdauer in Tagen --> | <!-- Aufbewahrungsdauer in Tagen --> |
| <variable name="idp.loghistory" value="7" /> | <variable name="idp.loghistory" value="7" /> |
| ... | |
| <!-- IdP-Loglevel muss auf "INFO" stehen damit die Brute-Force-Abwehr greift. --> | |
| <variable name="idp.loglevel.idp" value="INFO" /> | |
| | |
| <!-- LDAP-Loglevel auf "INFO" ändern damit mehr LDAP-Meldungen kommen --> | |
| <variable name="idp.loglevel.ldap" value="INFO" /> | |
| ... | ... |
| <!-- Process log. --> | <!-- Process log. --> |
| </file> | </file> |
| |
| Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren: | <file xml ./conf/idp.properties> |
| | idp.loglevel.idp = INFO |
| | idp.loglevel.ldap = INFO |
| | </file> |
| | |
| | Triggern Sie das Neuladen des Servlets im Tomcat und beobachten Sie die Logs: |
| <code bash> | <code bash> |
| root@idp:~# systemctl restart tomcat9 | root@idp:~# touch /opt/shibboleth-idp/war/idp.war |
| </code> | </code> |
| |
| Weiter geht es mit der [[de:shibidp:config-idm|Anbindung des Identity Management Systems]]. | ===== Optional: Abweichendes Log-Verzeichnis ===== |
| | |
| | In ''./conf/logback.xml'' können Sie auch das Verzeichnis einstellen, in das der IdP loggt. Achtung: Auf Betriebssystemen mit systemd muss das Unit File noch einmal angepasst werden, wenn Sie hier den Standardpfad abändern. Der Tomcat-Prozess hat sonst keine Schreibrechte in Ihrem Logverzeichnis (siehe die [[https://doku.tid.dfn.de/de:shibidp:prepare-tomcat#debian_101|Instruktionen zur override.conf]] für Tomcat). |
| | |
| | <file xml ./conf/logback.xml> |
| | ... |
| | <variable name="idp.logfiles" value="/var/log/shibboleth-idp" /> |
| | ... |
| | </file> |
| | |
| | {{tag>idp4 tutorial log logging included-in-ansible}} |