Protokolle#

Logdateien#

Die im Folgenden beschriebenen Logdateien sind nur dem Benutzer root in der Systemkonsole zugänglich, nicht jedoch Administratoren über die Weboberfläche. Die Daten dürfen ausschließlich zur Fehleranalyse und nach Absprache mit der Schulleitung zur Aufklärung von Missbrauchsfällen verwendet werden, nicht jedoch für routinemäßige Kontrollen.

Legende

PD: Diese Datei kann personenbezogene Daten wie z. B. IP-Adressen oder Benutzernamen enthalten.

DB: Diese Datei speichert keine zeitliche Abfolge von Ereignissen, sondern Schlüssel-Wert-Paare. Beispielweise speichert /var/log/lastlog für jeden Systembenutzer den Zeitpunkt des letzten erfolgreichen Logins. Dieser gespeicherte Wert wird bei jedem Login aktualisiert. Solche Logdateien haben keine begrenzte Speicherdauer, sondern können nur insgesamt gelöscht werden.

Apache#

Apache ist der Webserver, der die Weboberfläche von IServ ausliefert.

Verzeichnis: /var/log/apache2

Dateiname

PD

Speicherdauer

Beschreibung

access.log

ja

7 Tage

Zugriffe (IP-Adresse, Benutzer, Zeitstempel, Anfrage, Status-Code, Größe, Referrer, Browser)

error.log

ja

7 Tage

Fehler (Zeitstempel, Schweregrad, IP, Meldung)

other_vhosts_access.log

ja

7 Tage

Zugriffe auf andere Ports oder Hostnames

APT#

APT ist die Debian-Paketverwaltung, die zum Herunterladen und Installieren von IServ-Modulen und IServ-Updates verwendet wird.

Verzeichnis: /var/log/apt

Dateiname

PD

Speicherdauer

Beschreibung

history.log

nein

12 Monate

Aktivitätsprotokoll

term.log

nein

12 Monate

Bildschirmausgabe

CUPS#

CUPS ist der Druckserver, der vom Druckmodul verwendet wird.

Verzeichnis: /var/log/cups

Dateiname

PD

Speicherdauer

Beschreibung

access_log

ja

7 Tage

Zugriffe

error_log

ja

7 Tage

Fehler

page_log

ja

7 Tage

Druckjobs

Etherpad#

Etherpad ist der Backend-Server des Texte-Moduls.

Verzeichnis: /var/log/etherpad-lite

Dateiname

PD

Speicherdauer

Beschreibung

etherpad-lite.log

nein

7 Tage

Warnungen und Fehler

Exim#

Exim ist der MTA von IServ, der für den Empfang und Versand von E-Mails verantwortlich ist.

Verzeichnis: /var/log/exim4

Dateiname

PD

Speicherdauer

Beschreibung

mainlog

ja

7 Tage

Zugestellte E-Mails (Zeitstempel, Absender, Empfänger, IP-Adresse, Protokoll)

paniclog

ja

7 Tage

Schwerwiegende Fehler (Zeitstempel, Meldung)

rejectlog

ja

7 Tage

Abgewiesene E-Mails (Zeitstempel, Absender, IP-Adresse, Fehlermeldung)

iservupd#

iservupd ist das Updateprogramm von IServ, das jede Nacht automatisch Updates herunterlädt und installiert.

Verzeichnis: /var/log/iservupd

Dateiname

PD

Speicherdauer

Beschreibung

log.*

nein

30 Tage

Programmausgabe

Let’s Encrypt#

Let’s Encrypt ist eine X.509-Zertifizierungsstelle, über die IServ sich selber vollautomatisch kostenlose SSL-Zertifikate erstellen kann.

Verzeichnis: /var/log/letsencrypt

Dateiname

PD

Speicherdauer

Beschreibung

letsencrypt.log

nein

10 Aufrufe

Programmausgabe

nginx#

nginx mit dem Ranger-Modul wird von IServ als Proxy für Windows-Updates verwendet, da der Proxyserver Squid die HTTP Range-Requests vom Windows-Update nicht cachen kann.

Verzeichnis: /var/log/nginx

Dateiname

PD

Speicherdauer

Beschreibung

access.log

ja

7 Tage

Zugriffe (IP-Adresse, Benutzer, Zeitstempel, Anfrage, Status-Code, Größe, Referrer, Browser)

cache.log

nein

7 Tage

Cache-Nutzung

downloader.log

nein

7 Tage

Cache-Nutzung

error.log

ja

7 Tage

Fehler (IP-Adresse, Zeitstempel, Anfrage, Schweregrad, Meldung)

ranger-default.log

nein

7 Tage

Abfragen

PostgreSQL#

PostgreSQL ist der Datenbankserver, der vor allem von der Weboberfläche zum Speichern von Daten verwendet wird.

Verzeichnis: /var/log/postgresql

Dateiname

PD

Speicherdauer

Beschreibung

postgresql-*-main.log

ja

7 Tage

Warnungen und Fehler

ProFTPd#

ProFTPd ist der FTP-Server von IServ.

Verzeichnis: /var/log/proftpd

Dateiname

PD

Speicherdauer

Beschreibung

controls.log

nein

7 Tage

mod_ctrls-Log

proftpd.log

ja

7 Tage

Logins (Zeitstempel, IP-Adresse, Benutzer)

tls.log

nein

7 Tage

Zugriffe per SSL

write.log

ja

7 Tage

Schreibzugriffe (IP-Adresse, Benutzer, Zeitstempel, Datei, Status-Code, Größe)

xferlog

ja

7 Tage

Datenübertragungen

xferreport

ja

7 Tage

Datenübertragungen

FreeRADIUS#

FreeRADIUS ist ein Authentifizierungsdienst, der von den optionalen Modulen VPN und WLAN benutzt wird,

Verzeichnis: /var/log/freeradius

Dateiname

PD

Speicherdauer

Beschreibung

radius.log

ja

7 Tage

Logins (IP-Adresse, MAC-Adresse, Benutzer, Zeitstempel, Dienst, Status)

Samba#

Samba arbeitet als Domain Controller für Windows- und Linux-Clients und stellt Datei- und Druckdienste zur Verfügung.

Verzeichnis: /var/log/samba

Dateiname

PD

Speicherdauer

Beschreibung

log.nmbd

ja

7 Tage

Dienst zur Namensauflösung

log.smbd

ja

7 Tage

Dienst für Dateiserver

write.log

ja

7 Tage

Schreibzugriffe (Zeitstempel, Benutzer, IP-Adresse, Freigabe, Aktion, Dateiname)

Softwareverteilung#

Verzeichnis: /var/log/deploy

Dateiname

PD

Speicherdauer

Beschreibung

auto_*.log

nein

30 Tage

Automatische nächtliche Updates von Windows-Clients

Verzeichnis: /var/log/php/deploy

Dateiname

PD

Speicherdauer

Beschreibung

*.bootimage.log

nein

5 Jahre

Betriebssysteminstallation

*.clientconnect.log

nein

10 Tage

Status-Update

*.instlog.log

nein

3 Monate

Programminstallation

Squid#

Squid ist der Proxyserver von IServ. Alle HTTP-Zugriffe der Clients werden von der Firewall automatisch durch Squid geleitet (transparenter Proxy) und stehen daher immer im Log; HTTPS-Zugriffe laufen nur durch Squid, wenn IServ auf den Clients als Proxy eingetragen ist oder die Clients ihn per WPAD automatisch gefunden haben.

Verzeichnis: /var/log/squid3

Dateiname

PD

Speicherdauer

Beschreibung

access.log

ja

7 Tage

Zugriffe (IP-Adresse, Zeitstempel, Anfrage, Status-Code, Größe, Referrer, Browser)

cache.log

ja

7 Tage

Cacheverwaltung

squidGuard.log

nein

7 Tage

Systemmeldungen des Webfilters

andere

ja

7 Tage

Zugriffe auf gesperrte Seiten

Verzeichnis: /var/log/squidguard

Dateiname

PD

Speicherdauer

Beschreibung

squidGuard.log

nein

7 Tage

Systemmeldungen des Webfilters

System#

Verzeichnis: /var/log

Dateiname

PD

Speicherdauer

Beschreibung

alternatives.log

nein

4 Wochen

Paketverwaltung (update-alternatives)

apcupsd.events

nein

4 Wochen

USV

aptitude

nein

12 Monate

Paketverwaltung (aptitude)

auth.log

ja

7 Tage

Anmeldungen am System (lokal, SSH, cron)

btmp

ja

4 Wochen

Fehlgeschlagene Logins an der Systemkonsole

daemon.log

ja

7 Tage

Systemdienste (u. a. atftpd, dhcpd, iserv, named, ntpd, pptpd, smbd)

debug

ja

7 Tage

Kernel: Debug-Meldungen

dpkg.log

nein

12 Monate

Paketverwaltung (dpkg)

fail2ban.log

ja

7 Tage

Firewall (fail2ban)

fontconfig.log

nein

Schrift-Cache. Wird nicht rotiert, aber bei Updates vom fontconfig-Paket überschrieben.

iservbackup

nein

1000 Zeilen

Backup-Status

iservbackup2/*.log

ja

7 Tage

Namen von Dateien und Ordnern, die im Backup sind

journal/*/system.journal

ja

7 Tage

Alle Meldungen, die auch in /var/log/*.log landen

kern.log

nein

7 Tage

Kernel: Meldungen

lastlog

ja

DB

Letzte Logins an der Systemkonsole

mail.log

ja

7 Tage

Mailserver (Cyrus)

monit.log

nein

4 Wochen

Monitoring der Systemdienste (monit)

rkhunter.log

nein

7 Tage

Rootkit-Scanner (rkhunter)

slapd.log

ja

7 Tage

Verbindungsaufbauten und fehlgeschlagene Authentifizierungsversuche mit IP-Adresse

syslog

ja

7 Tage

Systemdienste (u. a. atftpd, cron, cyrus, dhcpd, iserv, kernel, named, sessauthd, smbd`, ``spamd)

user.log

ja

7 Tage

Systemdienste (u. a. iserv, regdns, sessauthd)

wtmp

ja

4 Wochen

Letzte Logins an der Systemkonsole

Verzeichnis: /var/lib/iserv/log

Dateiname

PD

Speicherdauer

Beschreibung

auth.log

ja

7 Tage

Anmeldungen am System (lokal, SSH, cron)

ulogd#

ulogd protokolliert geroutete TCP-SYN-Pakete mit Zielport 25 (SMTP) oder Zielport 443 (HTTPS) im PCAP-Format, damit bei Warnmeldungen vom Internetanbieter nachvollzogen werden kann, welcher Client Spam versendet haben könnte (SMTP) oder mit einem Virus infiziert sein könnte, wenn dieser mit einem Command-and-Control-Server Kontakt aufgenommen hat (HTTPS).

Verzeichnis: /var/log/ulogd

Dateiname

PD

Speicherdauer

Beschreibung

default.pcap

ja

7 Tage

Default-Log für Pakete, die ulogd nicht zuordnen kann

https.pcap

ja

7 Tage

HTTPS-Pakete

smtp.pcap

ja

7 Tage

SMTP-Pakete

Weboberfläche#

Verzeichnis: /var/log/php

Dateiname

PD

Speicherdauer

Beschreibung

*

ja

7 Tage

IServ 2-Fehlerberichte (Zeitstempel, Speicherinhalt des Programms beim Abbruch)

web/dev.log

ja

7 Tage

IServ 3-Fehlerberichte (Testbetrieb)

web/prod.log

ja

7 Tage

IServ 3-Fehlerberichte (Produktivbetrieb)

WebDAV#

Verzeichnis: /var/log/iserv/webdav

Dateiname

PD

Speicherdauer

Beschreibung

webdav.log

ja

7 Tage

WebDAV-Fehlerberichte (Zeitstempel, Speicherinhalt des Programms beim Abbruch, Benutzer)

Wolke#

Verzeichnis: /var/log/iserv/docker-cloudfiles/cloudfiles.log

Dateiname

PD

Speicherdauer

Beschreibung

cloudfiles.log

ja

7 Tage

Fehlerberichte (Zeitstempel, Warnung/Fehler, Benutzer)

Datenbank#

Zusätzlich zu den Logdateien im Dateisystem werden von IServ auch Datenbanktabellen zur Protokollierung eingesetzt. Diese Tabellen sind teilweise über die Weboberfläche durchsuchbar oder werden maschinell zu administrativen Zwecken ausgewertet. Außerdem sind die Tabellen dem Benutzer root über die Systemkonsole zugänglich.

Sitzungen#

Die Benutzer-Sitzungen von Diensten wie dem SMB-Server, dem FTP-Server, dem E-Mail-Server und der Weboberfläche werden in folgenden Tabellen protokolliert.

Tabellennamen

PD

Speicherdauer

Beschreibung

session_log

ja

6 Monate

Erfolgreiche An- und Abmeldungen (Zeitstempel, Benutzername, Dienst, Protokoll, IP-Adresse, Port, Prozess-ID, Sitzungs-ID, Ressource, verwendete Verschlüsselung, kontextabhängige Informationen)

session_fail

ja

6 Monate

Fehlgeschlagene Anmeldungen (Zeitstempel, Benutzername, Dienst, Protokoll, IP-Adresse, Port, Ressource, verwendete Verschlüsselung)

Dateioperationen#

Dateioperationen, also das Anlegen, Ändern, Entfernen und Verschieben von Dateien wird in folgenden Tabellen dienstübergreifend protokolliert.

Tabellennamen

PD

Speicherdauer

Beschreibung

file_log

ja

6 Monate

Dateioperationen (Zeitstempel, IP-Adresse, Dienst, Benutzername, Gruppen und Benutzer-Homeverzeichnisse, durchgeführte Aktion, Dateityp, Quell- und Zieldateipfad)

file_log_rnfr

ja

6 Monate

FTP-RNFR-Befehle bis RNTO-Befehl folgt, dann in file_log übertragen (Zeitstempel, IP-Adresse, Dienst, Benutzername, Gruppen und Benutzer-Homeverzeichnisse, durchgeführte Aktion, Dateityp, Quell- und Zieldateipfad)

Sonstige Protokolle#

Für weitere Ereignisse, wie z. B. das Anlegen eines Benutzers, werden Protokolleinträge in die folgende Tabelle geschrieben.

Tabellennamen

PD

Speicherdauer

Beschreibung

log

ja

2 Jahre 1

Erfolgreiche An- und Abmeldungen (Zeitstempel, Benutzername, Anzeigename des Benutzers, Gruppenname, IP-Adresse, Modul, kontextabhängige Informationen)

1

Login-Ereignisse werden nur 6 Monate gespeichert.