Lernen Sie die neue DRACOON Web App von DRACOON Server kennen.Mehr Infos

Beiträge in diesem Abschnitt

Einstellungen: Logging

  • Aktualisiert
Folgen

Dieser Artikel beschreibt, welche Möglichkeiten zur Ereignis-Protokollierung (zum Logging) in DRACOON zur Verfügung stehen und wie Sie die Einstellungen hierfür festlegen.

Themen dieses Artikels

 Möglichkeiten zur Ereignis-Protokollierung in DRACOON

Alle Ereignisse, die in einer DRACOON-Umgebung stattfinden, werden von DRACOON in Echtzeit im sog. Audit-Log protokolliert. Dadurch ist es möglich, sämtliche Vorgänge in einer DRACOON-Umgebung jederzeit nachzuvollziehen.

Beispielsweise kann über das Audit-Log ermittelt werden, zu welchen Zeiten sich ein bestimmter Benutzer einloggte, wann dieser Benutzer zu einer bestimmten Gruppe hinzugefügt wurde (und somit Zugriff auf bestimmte Datenräume erhielt), welcher Benutzer zu welchem Zeitpunkt eine bestimmte Datei löschte usw. Im Audit-Log werden auch Ereignisse festgehalten, die durch keinen der in DRACOON eingerichteten Benutzer ausgelöst wurden, wie z.B. anonyme Downloads und Uploads durch externe Nutzer über Freigaben bzw. Dateianfragen sowie das automatische Löschen von Benutzern, Dateien, Freigaben und Dateianfragen nach Verstreichen eines gesetzten Ablaufdatums.

Unter Einstellungen > Logging kann festgelegt werden, wie viele Tage das Audit-Log zurückreichen soll. Außerdem kann definiert werden, ob die IP-Adresse des jeweiligen Benutzers bei jedem Ereignis mitprotokolliert werden soll.

Das Audit-Log kann im DRACOON Reporting Tool eingesehen, ausgewertet oder dort als CSV-Datei zur Weiterverarbeitung heruntergeladen werden.

Bei Bedarf lässt sich auch ein externer Syslog-Host (Server) anbinden, an den alle in DRACOON aufgetretenen Ereignisse weitergereicht werden – auf diese Weise können alle Ereignisse aus DRACOON in Echtzeit in einem eigenen System protokolliert und von dort aus weiterverarbeitet werden.

Wer darf die Logging-Einstellungen festlegen und das Audit-Log einsehen?

Zum Ändern der Logging-Einstellungen sind nur Benutzer mit der Rolle Konfigurationsmanager berechtigt. Das Auswerten/Herunterladen des Audit-Logs (z.B. mit dem DRACOON Reporting Tool oder über das API) ist nur Benutzern mit der Rolle Auditor möglich.
Durch diese Rollenteilung können ggf. erforderliche Datenschutzanforderungen in Unternehmen erfüllt werden, indem sichergestellt wird, dass Systemadministratoren (also Konfigurationsmanager) nicht automatisch auf Protokolleinträge Zugriff haben, die möglicherweise persönliche Daten von DRACOON-Nutzern offenlegen (z.B. Dateinamen und Nutzungszeiten) – diese Berechtigung kann an einen dedizierten Benutzer mit der Rolle Auditor delegiert werden.

Einstellungen für das Audit-Log festlegen

  1. Klicken Sie in der linken Seitenleiste auf Einstellungen und dann auf Logging.
  2. Geben Sie im Feld Vorhaltezeit in Tagen an, wie viele Tage lang Einträge im Audit-Log erhalten bleiben sollen (Standard: 90 Tage), bis diese automatisch aus dem Audit-Log gelöscht werden.
    • Wenn Sie viele Benutzer haben, die täglich viele Aktionen in DRACOON durchführen, sollten Sie die Vorhaltezeit nicht zu hoch (z.B. länger als 180 Tage) einstellen, da das Audit-Log sonst stark anwachsen und Hunderttausende von Einträgen umfassen kann, was möglicherweise zu Verzögerungen im DRACOON Reporting Tool bei der Auswertung des Audit-Logs führt. Auch ist möglich, dass dort ein enorm großes Audit-Log nicht vollständig als CSV-Datei heruntergeladen werden kann.
    • Wenn Sie DRACOON-Protokolleinträge langfristig archivieren oder im großen Umfang auswerten möchten, empfiehlt es sich, zu diesem Zweck einen externen Sylog-Host anzubinden (s.u.).
    • Wenn Sie eine Vorhaltezeit von 0 Tagen angeben, werden keine Ereignisse im Audit-Log festgehalten. Dies kann z.B. sinnvoll sein, wenn Sie einen externen Syslog-Host angebunden haben, an den alle DRACOON-Ereignisse weitergeleitet werden, und das Audit-Log von DRACOON daher nicht benötigen.
  3. Wenn Sie wünschen, dass für jedes Ereignis im Audit-Log auch die jeweilige IP-Adresse festgehalten wird, von der der Aufruf (Request) des Ereignisses ausging, aktivieren Sie den Schalter IP-Adressen aufzeichnen.
    • Die protokollierten IP-Adressen werden im DRACOON Reporting Tool nicht angezeigt (in der Audit-Log-Ansicht), sind aber enthalten, wenn das Audit-Log im Reporting Tool als CSV-Datei heruntergeladen wird.
    • Datenschutz-Hinweis: Berücksichtigen Sie, dass die Aufzeichnung der IP-Adressen hinsichtlich Datenschutz (DSGVO) problematisch sein kann, da hierbei auch die IP-Adressen anonymer Up-/Downloads über Dateianfragen bzw. Freigaben mitprotokolliert werden. Klären Sie diesen Sachverhalt ggf. mit Ihrem Datenschutzbeauftragten, ehe Sie die IP-Adressenaufzeichnung aktivieren.

Einen externen Syslog-Host an DRACOON anbinden

Zusätzlich oder als Alternative zum Audit-Log von DRACOON können Sie einen externen Syslog-Host (Server) an DRACOON anbinden, an den DRACOON alle protokollierten Ereignisse, die auch im Audit-Log enthalten wären, in Echtzeit weiterreicht. Auf diese Weise können Sie das Protokoll der DRACOON-Ereignisse in einem eigenen Log-System speichern und von dort aus später z.B. in einer eigenen Analysesoftware nach Belieben auswerten und weiterverarbeiten.

Datenschutz-Hinweis beim Einsatz eines externen Syslog-Hosts: Bitte beachten Sie, dass die spezielle DRACOON-Rolle Auditor, die in DRACOON regelt, wer auf das Audit-Log von DRACOON zugreifen darf, beim Einsatz eines externen Syslog-Hosts umgangen wird – jeder, der Zugriff auf die Inhalte des Syslog-Hosts hat, kann das von DRACOON übermittelte Protokoll, das möglicherweise datenschutzrelevante Inhalte enthält, einsehen. Klären Sie ggf. mit Ihrem Datenschutzbeauftragen die nötigen Zugriffsberechtigungen auf den externen Syslog-Host ab, ehe Sie diesen an DRACOON anbinden.

So binden Sie einen eigenen externen Sylog-Host an DRACOON an:

  1. Klicken Sie in der linken Seitenleiste auf Einstellungen und dann auf Logging.
  2. Klicken Sie auf das Register Syslog.
  3. Aktivieren Sie den Schalter Externen Syslog-Host verwenden.
  4. Das Dialogfeld Externen Syslog-Host konfigurieren wird angezeigt, in dem Sie die Einstellungen zur Anbindung Ihres Syslog-Hosts angeben können. Geben Sie die IP-Adresse oder den Hostname Ihres Syslog-Hosts, den verwendeten Port sowie das benutzte Protokoll (TCP oder UDP) an.
  5. Wenn Sie wünschen, dass für jedes Ereignis aus DRACOON auch die jeweilige IP-Adresse festgehalten wird, von der der Aufruf (Request) des Ereignisses ausging, aktivieren Sie den Schalter IP-Adressen aufzeichnen.

    Datenschutz-Hinweis: Berücksichtigen Sie, dass die Aufzeichnung der IP-Adressen hinsichtlich Datenschutz (DSGVO) problematisch sein kann, da hierbei auch die IP-Adressen anonymer Up-/Downloads über Dateianfragen bzw. Freigaben mitprotokolliert werden. Klären Sie diesen Sachverhalt ggf. mit Ihrem Datenschutzbeauftragten, ehe Sie die IP-Adressenaufzeichnung aktivieren.

  6. Klicken Sie auf Speichern. Der Syslog-Host ist ab sofort an DRACOON angebunden und sollte Ereignisse aus DRACOON empfangen – bitte prüfen Sie, ob diese korrekt am Syslog-Host ankommen und ändern Sie ggf. nochmals die Einstellungen für den Syslog-Host in DRACOON bzw. am Syslog-Host selbst.

Bitte beachten Sie, dass die von DRACOON übermittelten Protokolldaten im Laufe der Zeit eine beträchtliche Menge an Speicherplatz auf dem Syslog-Host belegen können. Stellen Sie daher sicher, dass dort stets genügend freier Speicher zur Verfügung steht, und verkleinern Sie ggf. regelmäßig das Protokoll (z.B. durch Auslagerung), das sich dort zwischenzeitlich angesammelt hat.

Verwandte Beiträge

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.