Protokolle

Logdateien

Die im Folgenden beschriebenen Logdateien sind nur dem Benutzer root in der Systemkonsole zugänglich, nicht jedoch Administratoren über die Weboberfläche. Die Daten dürfen ausschließlich zur Fehleranalyse und nach Absprache mit der Schulleitung zur Aufklärung von Missbrauchsfällen verwendet werden, nicht jedoch für routinemäßige Kontrollen.

Legende

PD: Diese Datei kann personenbezogene Daten wie z. B. IP-Adressen oder Benutzernamen enthalten.

DB: Diese Datei speichert keine zeitliche Abfolge von Ereignissen, sondern Schlüssel-Wert-Paare. Beispielweise speichert /var/log/lastlog für jeden Systembenutzer den Zeitpunkt des letzten erfolgreichen Logins. Dieser gespeicherte Wert wird bei jedem Login aktualisiert. Solche Logdateien haben keine begrenzte Speicherdauer, sondern können nur insgesamt gelöscht werden.

Apache

Apache ist der Webserver, der die Weboberfläche von IServ ausliefert.

Verzeichnis: /var/log/apache2

Dateiname

PD

Speicherdauer

Beschreibung

access.log

ja

7 Tage

Zugriffe (IP-Adresse, Benutzer, Zeitstempel, Anfrage, Status-Code, Größe, Referrer, Browser)

error.log

ja

7 Tage

Fehler (Zeitstempel, Schweregrad, IP, Meldung)

other_vhosts_access.log

ja

7 Tage

Zugriffe auf andere Ports oder Hostnames

APT

APT ist die Debian-Paketverwaltung, die zum Herunterladen und Installieren von IServ-Modulen und IServ-Updates verwendet wird.

Verzeichnis: /var/log/apt

Dateiname

PD

Speicherdauer

Beschreibung

history.log

nein

12 Monate

Aktivitätsprotokoll

term.log

nein

12 Monate

Bildschirmausgabe

Chat

Das Chat-Modul von IServ.

Verzeichnis: /var/lib/iserv/chat

Dateiname

PD

Speicherdauer

Beschreibung

group/*

ja

7 Tage

Gruppenräume

public/*

ja

7 Tage

Öffentliche Räume

CUPS

CUPS ist der Druckserver, der vom Druckmodul verwendet wird.

Verzeichnis: /var/log/cups

Dateiname

PD

Speicherdauer

Beschreibung

access_log

ja

7 Tage

Zugriffe

error_log

ja

7 Tage

Fehler

page_log

ja

7 Tage

Druckjobs

Etherpad

Etherpad ist der Backend-Server des Texte-Moduls.

Verzeichnis: /var/log/etherpad-lite

Dateiname

PD

Speicherdauer

Beschreibung

etherpad-lite.log

nein

7 Tage

Warnungen und Fehler

Exim

Exim ist der MTA von IServ, der für den Empfang und Versand von E-Mails verantwortlich ist.

Verzeichnis: /var/log/exim4

Dateiname

PD

Speicherdauer

Beschreibung

mainlog

ja

7 Tage

Zugestellte E-Mails (Zeitstempel, Absender, Empfänger, IP-Adresse, Protokoll)

paniclog

ja

7 Tage

Schwerwiegende Fehler (Zeitstempel, Meldung)

rejectlog

ja

7 Tage

Abgewiesene E-Mails (Zeitstempel, Absender, IP-Adresse, Fehlermeldung)

iservupd

iservupd ist das Updateprogramm von IServ, das jede Nacht automatisch Updates herunterlädt und installiert.

Verzeichnis: /var/log/iservupd

Dateiname

PD

Speicherdauer

Beschreibung

log.*

nein

30 Tage

Programmausgabe

Let’s Encrypt

Let’s Encrypt ist eine X.509-Zertifizierungsstelle, über die IServ sich selber vollautomatisch kostenlose SSL-Zertifikate erstellen kann.

Verzeichnis: /var/log/letsencrypt

Dateiname

PD

Speicherdauer

Beschreibung

letsencrypt.log

nein

10 Aufrufe

Programmausgabe

nginx

nginx mit dem Ranger-Modul wird von IServ als Proxy für Windows-Updates verwendet, da der Proxyserver Squid die HTTP Range-Requests vom Windows-Update nicht cachen kann.

Verzeichnis: /var/log/nginx

Dateiname

PD

Speicherdauer

Beschreibung

cache.log

nein

30 Tage

Cache-Nutzung

error.log

nein

30 Tage

Fehler

ranger-default.log

nein

30 Tage

Abfragen

PostgreSQL

PostgreSQL ist der Datenbankserver, der vor allem von der Weboberfläche zum Speichern von Daten verwendet wird.

Verzeichnis: /var/log/postgresql

Dateiname

PD

Speicherdauer

Beschreibung

postgresql-*-main.log

ja

7 Tage

Warnungen und Fehler

ProFTPd

ProFTPd ist der FTP-Server von IServ.

Verzeichnis: /var/log/proftpd

Dateiname

PD

Speicherdauer

Beschreibung

controls.log

nein

7 Tage

mod_ctrls-Log

proftpd.log

ja

7 Tage

Logins (Zeitstempel, IP-Adresse, Benutzer)

tls.log

nein

7 Tage

Zugriffe per SSL

write.log

ja

7 Tage

Schreibzugriffe (IP-Adresse, Benutzer, Zeitstempel, Datei, Status-Code, Größe)

xferlog

ja

7 Tage

Datenübertragungen

xferreport

ja

7 Tage

Datenübertragungen

FreeRADIUS

FreeRADIUS ist ein Authentifizierungsdienst, der von den optionalen Modulen VPN und WLAN benutzt wird,

Verzeichnis: /var/log/freeradius

Dateiname

PD

Speicherdauer

Beschreibung

radius.log

ja

7 Tage

Logins (IP-Adresse, MAC-Adresse, Benutzer, Zeitstempel, Dienst, Status)

Samba

Samba arbeitet als Domain Controller für Windows- und Linux-Clients und stellt Datei- und Druckdienste zur Verfügung.

Verzeichnis: /var/log/samba

Dateiname

PD

Speicherdauer

Beschreibung

log.nmbd

ja

7 Tage

Dienst zur Namensauflösung

log.smbd

ja

7 Tage

Dienst für Dateiserver

write.log

ja

7 Tage

Schreibzugriffe (Zeitstempel, Benutzer, IP-Adresse, Freigabe, Aktion, Dateiname)

Softwareverteilung

Verzeichnis: /var/log/deploy

Dateiname

PD

Speicherdauer

Beschreibung

auto_*.log

nein

30 Tage

Automatische nächtliche Updates von Windows-Clients

Verzeichnis: /var/log/php/deploy

Dateiname

PD

Speicherdauer

Beschreibung

*.bootimage.log

nein

5 Jahre

Betriebssysteminstallation

*.clientconnect.log

nein

10 Tage

Status-Update

*.instlog.log

nein

3 Monate

Programminstallation

Squid

Squid ist der Proxyserver von IServ. Alle HTTP-Zugriffe der Clients werden von der Firewall automatisch durch Squid geleitet (transparenter Proxy) und stehen daher immer im Log; HTTPS-Zugriffe laufen nur durch Squid, wenn IServ auf den Clients als Proxy eingetragen ist oder die Clients ihn per WPAD automatisch gefunden haben.

Verzeichnis: /var/log/squid3

Dateiname

PD

Speicherdauer

Beschreibung

access.log

ja

7 Tage

Zugriffe (IP-Adresse, Zeitstempel, Anfrage, Status-Code, Größe, Referrer, Browser)

cache.log

ja

7 Tage

Cacheverwaltung

squidGuard.log

nein

7 Tage

Systemmeldungen des Webfilters

andere

ja

7 Tage

Zugriffe auf gesperrte Seiten

Verzeichnis: /var/log/squidguard

Dateiname

PD

Speicherdauer

Beschreibung

squidGuard.log

nein

7 Tage

Systemmeldungen des Webfilters

System

Verzeichnis: /var/log

Dateiname

PD

Speicherdauer

Beschreibung

alternatives.log

nein

4 Wochen

Paketverwaltung (update-alternatives)

apcupsd.events

nein

4 Wochen

USV

aptitude

nein

12 Monate

Paketverwaltung (aptitude)

auth.log

ja

7 Tage

Anmeldungen am System (lokal, SSH, cron)

btmp

ja

4 Wochen

Fehlgeschlagene Logins an der Systemkonsole

daemon.log

ja

7 Tage

Systemdienste (u. a. atftpd, dhcpd, iserv, named, ntpd, pptpd, smbd)

debug

ja

7 Tage

Kernel: Debug-Meldungen

dpkg.log

nein

12 Monate

Paketverwaltung (dpkg)

fail2ban.log

ja

7 Tage

Firewall (fail2ban)

fontconfig.log

nein

Schrift-Cache. Wird nicht rotiert, aber bei Updates vom fontconfig-Paket überschrieben.

iservbackup

nein

1000 Zeilen

Backup-Status

journal/*/system.journal

ja

7 Tage

Alle Meldungen, die auch in /var/log/*.log landen

kern.log

nein

7 Tage

Kernel: Meldungen

lastlog

ja

DB

Letzte Logins an der Systemkonsole

mail.log

ja

7 Tage

Mailserver (Cyrus)

monit.log

nein

4 Wochen

Monitoring der Systemdienste (monit)

rkhunter.log

nein

7 Tage

Rootkit-Scanner (rkhunter)

slapd.log

ja

7 Tage

Verbindungsaufbauten und fehlgeschlagene Authentifizierungsversuche mit IP-Adresse

syslog

ja

7 Tage

Systemdienste (u. a. atftpd, cron, cyrus, dhcpd, iserv, kernel, named, sessauthd, smbd`, ``spamd)

user.log

ja

7 Tage

Systemdienste (u. a. iserv, regdns, sessauthd)

wtmp

ja

4 Wochen

Letzte Logins an der Systemkonsole

Verzeichnis: /var/lib/iserv/log

Dateiname

PD

Speicherdauer

Beschreibung

auth.log

ja

7 Tage

Anmeldungen am System (lokal, SSH, cron)

ulogd

ulogd protokolliert geroutete TCP-SYN-Pakete mit Zielport 25 (SMTP) oder Zielport 443 (HTTPS) im PCAP-Format, damit bei Warnmeldungen vom Internetanbieter nachvollzogen werden kann, welcher Client Spam versendet haben könnte (SMTP) oder mit einem Virus infiziert sein könnte, wenn dieser mit einem Command-and-Control-Server Kontakt aufgenommen hat (HTTPS).

Verzeichnis: /var/log/ulogd

Dateiname

PD

Speicherdauer

Beschreibung

default.pcap

ja

7 Tage

Default-Log für Pakete, die ulogd nicht zuordnen kann

https.pcap

ja

7 Tage

HTTPS-Pakete

smtp.pcap

ja

7 Tage

SMTP-Pakete

Weboberfläche

Verzeichnis: /var/log/php

Dateiname

PD

Speicherdauer

Beschreibung

*

ja

7 Tage

IServ 2-Fehlerberichte (Zeitstempel, Speicherinhalt des Programms beim Abbruch)

web/dev.log

ja

7 Tage

IServ 3-Fehlerberichte (Testbetrieb)

web/prod.log

ja

7 Tage

IServ 3-Fehlerberichte (Produktivbetrieb)

Datenbank

Zusätzlich zu den Logdateien im Dateisystem werden von IServ auch Datenbanktabellen zur Protokollierung eingesetzt. Diese Tabellen sind teilweise über die Weboberfläche durchsuchbar oder werden maschinell zu administrativen Zwecken ausgewertet. Außerdem sind die Tabellen dem Benutzer root über die Systemkonsole zugänglich.

Sitzungen

Die Benutzer-Sitzungen von Diensten wie dem SMB-Server, dem FTP-Server, dem E-Mail-Server und der Weboberfläche werden in folgenden Tabellen protokolliert.

Tabellennamen

PD

Speicherdauer

Beschreibung

session_log

ja

6 Monate

Erfolgreiche An- und Abmeldungen (Zeitstempel, Benutzername, Dienst, Protokoll, IP-Adresse, Port, Prozess-ID, Sitzungs-ID, Ressource, verwendete Verschlüsselung, kontextabhängige Informationen)

session_fail

ja

6 Monate

Fehlgeschlagene Anmeldungen (Zeitstempel, Benutzername, Dienst, Protokoll, IP-Adresse, Port, Ressource, verwendete Verschlüsselung)

Dateioperationen

Dateioperationen, also das Anlegen, Ändern, Entfernen und Verschieben von Dateien wird in folgenden Tabellen dienstübergreifend protokolliert.

Tabellennamen

PD

Speicherdauer

Beschreibung

file_log

ja

6 Monate

Dateioperationen (Zeitstempel, IP-Adresse, Dienst, Benutzername, Gruppen und Benutzer-Homeverzeichnisse, durchgeführte Aktion, Dateityp, Quell- und Zieldateipfad)

file_log_err

ja

6 Monate

Dateioperationen mit Abweichungen vom Standardschema (Zeitstempel, IP-Adresse, Dienst, Benutzername, Gruppen und Benutzer-Homeverzeichnisse, durchgeführte Aktion, Dateityp, Quell- und Zieldateipfad)

file_log_rnfr

ja

6 Monate

FTP-RNFR-Befehle bis RNTO-Befehl folgt, dann in file_log übertragen (Zeitstempel, IP-Adresse, Dienst, Benutzername, Gruppen und Benutzer-Homeverzeichnisse, durchgeführte Aktion, Dateityp, Quell- und Zieldateipfad)

Sonstige Protokolle

Für weitere Ereignisse, wie z. B. das Anlegen eines Benutzers, werden Protokolleinträge in die folgende Tabelle geschrieben.

Tabellennamen

PD

Speicherdauer

Beschreibung

log

ja

2 Jahre 1

Erfolgreiche An- und Abmeldungen (Zeitstempel, Benutzername, Anzeigename des Benutzers, Gruppenname, IP-Adresse, Modul, kontextabhängige Informationen)

1

Login-Ereignisse werden nur 6 Monate gespeichert.