Zusammenstellung der per Log-Dateien erfassten Daten der Dienste des Universitätsrechenzentrums Trier (URT) Systembedingt werden sämtliche Zugriffe auf die Dienste des URT in mehreren Log-Dateien erfasst. Diese dienen hauptsächlich der statistischen Analyse, der Erkennung eventuellen Fehlverhaltens der Server sowie der Erkennung von Angriffen auf die Server. Die beteiligten Dienste gliedern sich wie folgt: WWW-Server WWW-Cache FTP-Server Mail-System Active Directory Benutzerverwaltung Computerwerkstatt Sonstige Server, Datenbanken, u.ä. Nachfolgend werden die einzelnen Dienste genauer beschrieben. Es wird beispielhaft aufgezeigt, wie sich die erfassten Daten zusammensetzen und wie lange die Daten vorgehalten werden. Hinweis: Die Angaben von IP-Adressen, Benutzernamen und ähnlich gearteten Daten wurden aus Sicherheitsgründen anonymisiert. Sie dienen lediglich zur Verdeutlichung der Beispiele. I. WWW-Server Die Zugriffe auf den zentralen WWW-Server werden größtenteils in drei Log-Dateien erfasst. access_log beinhaltet die allgemeinen Zugriffe auf den WWW-Server ssl_request_log enthält sämtliche verschlüsselten Zugriffe error_log speichert fehlerhafte Anfragen auf den WWW-Server Formale Darstellung eines Eintrags mit anschließendem Beispiel aus der jeweiligen Log- Datei: access_log: <Ip-Adresse Client> <Hostname> <Benutzername> <Datum des Zugriffs> <Anfrage an den Webserver> <Statusmeldung des Webservers> <Länge der übertragenen Daten in Byte> <Referrer Adresse> <Genutzte Webbrowser-Software> 192.168.9.83 - - [27/Jun/2006:00:00:16 +0200] "GET /bilder/dsc_0815.jpg HTTP/1.1"
200 31148 "http://www.uni-trier.de/fotosammlung.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" ssl_request_log: <Datum des Zugriffs> <Ip-Adresse Client> <genutzte Verschlüsselungsmethode> <Anfrage an den Webserver> <Länge der übertragenen Daten in Byte> <Referrer Adresse> <Genutzte Webbrowser-Software> [27/Jun/2006:06:56:56 +0200] 192.168.8.74 TLSv1 RC4-MD5 "GET /formulare/antrag.pdf HTTP/1.1" 100869 "http://referrer/url" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-de; rv:1.7.12) Gecko/20050919 Firefox/1.0.7" error_log: <Datum des Zugriffs> <Art des Fehlers> <Ip-Adresse des Clients> <Fehlermeldung des Webservers> [Tue Jun 27 08:47:18 2006] [error] [client 192.168.5.85] File does not exist: /var/www/htdocs/fehler.html Die Vorhaltezeit einer jeden WWW Log-Datei liegt hier bei 31 Tagen. Alle älteren Daten werden automatisch vom System gelöscht. II. WWW-Cache Die Rückantworten vom WWW werden von einem WWW-Cache zwischengespeichert und lokal für weitere Zugriffe vorgehalten. Dies kann in bestimmten Fällen zu einer schnelleren Verarbeitung der angeforderten Webseiten führen. Das dabei vom WWW-Cache benutzte Format der Log-Datei schlüsselt sich wie folgt auf: <Systemzeit> <benötigte Zeit für die Anfrage> <Ip-Adresse des Clients> <Rückmeldestatus des Cache> <Länge des Elements in Byte> <Art der Anfrage> <Angefragte URL> <Hostname> <Hierarchie-Code> <Typ des Datenelements> 1151404433.629 3 192.168.11.86 TCP_HIT/200 553 GET http://www.myserver.eu/cow.gif - NONE/- image/gif Eine genauere Beschreibung der möglichen Log-Einträge und deren Bedeutung kann unter der URL http://wiki.squid-cache.org/squidfaq/squidlogs nachgelesen werden. Hier beträgt die Vorhaltezeit der WWW-Cache Log-Einträge 10 Tage. Alle älteren Daten werden automatisch vom System gelöscht.
III. FTP-Server Der FTP-Server dient hauptsächlich zum Hochladen von Webseiten auf den WWW-Server. Die Log-Datei umfasst dabei den gesamten Vorgang des Verbindungsaufbaus, der Authentifizierung eines Benutzers und des Hoch- bzw. Herunterladens von Dateien. Die dabei entstehenden Log-Einträge werden sequenziell in die Log-Datei eingetragen und sind wie folgt definiert: Verbindungsaufbau: <Datum des Zugriffs> <Prozess-ID> <Verbindungsmeldung> <Ip-Adresse des Clients> Authentifizierung: <Datum der Authentifizierung> <Prozess-ID> <Benutzername> <Loginmeldung> <Ip-Adresse des Clients> Datentransfer: <Datum der Authentifizierung> <Prozess-ID> <Benutzername> <Datentransfermeldung> <Ip-Adresse des Clients>, <Dateiname>, <Länge der Datei in Byte>, <Übertragungsgeschwindigkeit> Tue Jun 27 11:15:50 2006 [pid 19144] CONNECT: Client "192.168.8.74" Tue Jun 27 11:15:50 2006 [pid 19143] [user4711] OK LOGIN: Client "192.168.8.74" Tue Jun 27 11:15:50 2006 [pid 19146] [user4711] OK UPLOAD: Client "192.168.8.74", "/statistik/alle_user.gif", 31899 bytes, 8057.36Kbyte/sec Der Eintrag für Datentransfer kann dabei beliebig oft wiederholt erscheinen. Dies stellt den Datentransfer innerhalb einer FTP-Sitzung dar. Upload- und Download-Vorgänge können dabei gemischt auftreten. Die Vorhaltezeit der FTP Log-Datei beträgt 365 Tage. Alle älteren Daten werden automatisch vom System gelöscht. IV. Mail-System Im Mail-System existieren für die verschiedenen Zugriffsprotokolle (SMTP, POP3, IMAP) gesonderte Log-Dateien. Auszug aus der Log-Datei des SMTP-Servers (hier das Versenden einer Mail von einem externen zu einem lokalen Benutzer): Jul 4 13:37:24 mailsys postfix/smtpd[20554]: connect from msnode.domaene.org [192.168.9.15] Jul 4 13:37:24 mailsys postfix/smtpd[20554]: 6822B6D847A: client=msnode.domaene.org [192.168.9.15] Jul 4 13:37:24 mailsys postfix/cleanup[20555]: 6822B6D847A: messageid=<774714.9821707755046.642583760448.vika.3380@match> Jul 4 13:37:24 mailsys postfix/qmgr[3338]: 6822B6D847A: from=<user@world.net>, size=23792, nrcpt=1 (queue active)
Jul 4 13:37:24 mailsys postfix/smtpd[20554]: disconnect from msnode.domaene.org [192.168.9.15] Jul 4 13:37:24 mailsys postfix/smtp[19470]: 7340F6D8C71: to=<localuser@sub.domaene.org>, relay=msnode.domaene.org [192.168.9.15], delay=2, status=sent (250 2.6.0 Ok, id=28089-01, from MTA: 250 Ok: queued as 6822B6D847A) Jul 4 13:37:24 mailsys postfix/qmgr[3338]: 7340F6D8C71: removed Jul 4 13:37:24 mailsys postfix/smtp[18907]: 6822B6D847A: to=<localuser@sub.domaene.org>, relay=mailer.sub.domaene.org[192.168.12.84], delay=0, status=sent (250 2.0.0 k6c5both019689 Message accepted for delivery) Jul 4 13:37:24 mailsys postfix/qmgr[3338]: 6822B6D847A: removed Nachfolgend die Authentifizierung am POP-Server inkl. Angabe der Größe der abgerufenen Mails: Jul 4 01:02:16 popmail pop3d: Connection, ip=[::ffff:192.168.1.187] Jul 4 01:02:16 popmail pop3d: LOGIN, user=koltesh, ip=[::ffff:192.168.1.187] Jul 4 01:02:16 popmail pop3d: LOGOUT, user=koltesh, ip=[::ffff:192.168.1.187], top=0, retr=23080, time=0 Der Verbindungsauf- und abbau per IMAP gestaltet sich wie folgt: Jul 4 04:06:29 imapmail imapd: Connection, ip=[::ffff:192.168.9.88] Jul 4 04:06:29 imapmail imapd: LOGIN, user=muste9102, ip=[::ffff:192.168.9.88], protocol=imap Jul 4 04:06:30 imapmail imapd: LOGOUT, user=muste9102, ip=[::ffff:192.168.9.88], headers=1353, body=0, time=1 Die Vorhaltezeit der Mail-Logs beträgt 365 Tage. Alle älteren Daten werden automatisch vom System gelöscht. V. Active Directory (inkl. PrintServer, Gerätenutzung und -verleih, Broschürenverkauf,...) Die im Zusammenhang mit Active Directory stehende Aktivität eines Benutzers wird zu statistischen Zwecken zentral gespeichert. Generell gilt hierfür, soweit nicht anders vermerkt, eine Aufbewahrungsdauer von 6 Jahren. Angaben über den Status der verwendeten Virenscanner und des zugehörigen Aktualisierungsstands werden maximal 3 Monate vorgehalten. Die Datenspeicherung findet in folgenden Zusammenhängen statt: Login eines Benutzers Starten von zentral bereitgestellten Programmen Virenscanner Status Benutzung des Printservers Kostenabrechnung von Druckaufträgen
Ein Eintrag in der Log-Datei der Benutzerlogins: Jul 4 10:22:22 ntwks7 LSERVER=NTS1;USERID=muste0912;OSTYPE=NT;PRODUCTTYPE=Windows XP Professional;CSD=Service Pack 2;WKST=NTWKS7;HOSTNAME=ntwks7.domaene.org;ADDRESS=0003472EE772 ;MACMSG=ok;DOS=5.1;INWIN=1;KIX=4.51;LTIME=10:22:21;KTIME=;HOME= nas01;logon=06070201;date=2006/07/04;time=10:22:22;ydayno=6185;oti ME=;DAY=Tuesday;UERROR=85;OS=Wxp_SP2;OSPRODUCT=Wxp_Professional Das Starten von zentral bereitgestellten Programmen wird folgendermaßen erfasst: Jul 4 10:22:34 ntwks7 USERID=muste0912;OSTYPE=NT;OS=NT;OSVERSION=;WKST=NTWKS7;HOS TNAME=ntwks7.domaene.org;DATE=2006/07/04;TIME=10:22:34;DAY=Tuesday;P ROG=pmail;MESSAGE=412d Der Virenscanner Status ermöglicht Angaben über die Verwendung von Virenscannern und deren Aktualisierungsstand zu machen. Hier ein Auszug aus dem Virenscanner-Log: Jul 4 10:22:40 ntwks7 USERID=muste0912;OS=Wxp_SP2;OSPRODUCT=Wxp_Professional;WKST=NT WKS7;HOSTNAME=ntwks7.domaene.org;DATE=2006/07/04;TIME=10:22:34;DAY =Tuesday;YDAYNO=6185;PROG=AntixVirux; MESSAGE=engine:2.0.86;product:2.0.0.12;virdef:17.4.31;virdefdate:3 Juli 2006;patch=Patch0;tdi=1 Kostenabrechnung von Druckaufträgen mit einer Vorhaltezeit von 3 Monaten: User Document Date/Time Workstation Paper size test Testseite 06/07/2006 08:20 \\192.168.1.24 A4 Features Size Pages Cost Balance /Jt=2/Cp=1/Ts=44ACAB98 118976 1 4 278189 Scannernutzung, Broschürenverkauf, Geräteverleih: Sämtliche Aufträge in diesem Bereich können über 3 Jahre zurückverfolgt werden. Für die einzelnen Bereiche werden gesonderte Logs geführt:
VI. Benutzerverwaltung Der Benutzerverwaltung kommt eine spezielle Rolle in dieser Aufstellung zu. Sie ist kein von außen zugreifbarer interaktiver Dienst wie die zuvor genannten. Bis zum jetzigen Zeitpunkt werden sämtliche Daten zeitlich unbegrenzt vorgehalten. Es ist vorgesehen, die Personendaten von Mitarbeitern bis zu 2 Jahre und die von Studierenden bis zu 4 Jahre zu archivieren. Ein Eintrag in der Datenbank der Benutzerverwaltung gestaltet sich wie folgt: User Typ FB Fach Anrede Name Vorname Titel Strasse muste0912 R 14 0 1 Mustermann Maximiliane NULL Musterweg 18 Land PLZ Ort Telefon PTelefon Telefax PTelefax Geb EDatum D 88554 Musterhausen 1234 NULL NULL NULL J16 01-Jun-2006 Vdatum LDatum Passwort Matrikel Stnr Primary Text Email EBuch NULL 01-Jun-2006 geheim NULL NULL NULL NULL J J Etyp ELang UID Status Flag Temp P N 4711 E NULL NULL Die Ablage der Log-Dateien erfolgt zeitlich unbegrenzt, d.h. die Daten sind bis zum Aufzeichnungsbeginn zurückverfolgbar. VII. Computerwerkstatt Die Auftragsdatenbank umfasst sämtliche Reparaturen, Systemänderungen, usw. an den Arbeitsstationen der Kunden. Folgende Daten werden dabei erfasst und zeitlich unbegrenzt erfasst: Auftraggeber (Name und Vorname), E-Mail, Telefon, Fax, Gebäude, Raum, Auftrag- Nr, Auftrag-Datum, Inv.-Nr., Rechnername, Kategorie, Bereich, Betriebssystem, Betreff, Beschreibung, Termin, Bemerkung, Garantie, Datensicherung, Arbeitsgang/Anweisung, Bearbeiter, Status. Arbeitsgang/Anweisung, Bearbeiter, Status wiederholen sich bei mehreren durchgeführten Arbeitsgängen an diesem Gerät.
VIII. Sonstige Server, Datenbanken, u.ä. Die Stud-IP ist die Benutzerverwaltung der Studierenden. Dort werden seit 4 Jahren sämtliche benutzerbezogenen Daten gespeichert. Dies umfasst dabei folgende Angaben: user_id, hobby, lebenslauf, publi, schwerp, Home, privatnr, privadr, score, geschlecht, mkdate, chdate, preferred_language, title_front, title_rear, smsforward_copy, smsforward_rec, guestbook, email_forward, smiley_favorite, smiley_favorite_publish, news_author_id Weiterhin werden sämtliche Transaktionen auf dieser Datenbank mitgeführt. Folgende beispielhafte Ereignisse werden dokumentiert: 06.07.2006 13:53:08 User0815 generiert neues Passwort für User8822 06.07.2006 15:56:48 User4711 ändert/setzt globalen Status von User0007: autor -> dozent 06.07.2006 16:47:48 User0815 generiert neues Passwort für User3131 Weitere Serverlogs bezüglich Speicherung von Accountingdaten,... Freigaben durch die Benutzer auf dem zentralen Speicher: PC (user) #shares #files PC01 (DOMAIN\user78 user78) 0 0 PC32 (DOMAIN\user44 user44) 3 19 PC54 (DOMAIN\user13 user13) 1 2 Nutzungsstatistiken einzelner Nutzer (CPU-Zeit, Speichernutzung, Anzahl der Prozesse,...) LOGIN CPU (MINS) KCORE-MINS CONNECT(MINS) DISK # OF # OF # DISK FEE UID NAME PRIME NPRIME PRIME NPRIME PRIME NPRIME BLOCKS PROCS SESS SAMPLES 12345 user66 0 0 48 0 18 0 0 103 2 0 0 84210 user77 0 0 14 0 0 0 0 13 0 0 0 66666 user88 0 1 15 811 0 0 0 10314 0 0 0 Diese Daten werden 1 Jahr vorgehalten und dienen rein statistischen Zwecken.
Radius Server (DFN@home / WLAN Accounting) Authentifizierungsversuche am Radiusserver werden über einen Zeitraum von bis zu 3 Monaten gespeichert. Damit sind sämtliche externen Einwahlversuche des Dienstes DFN@home festgehalten. Auch die Nutzung des WLAN kann bis zu 3 Monate nachvollzogen werden. radius.log: Thu Jul 6 13:01:19 2006 : Auth: Login OK: [user99] (from client xyz port 1 cli 190696966) Detailliertere Informationen können dem dfn@home Log entnommen werden: Mon Jul 3 10:05:18 2006 NAS-IP-Address = 192.168.4.2 NAS-Port = 17 NAS-Port-Type = Async User-Name = "user881" Called-Station-Id = "111999" Calling-Station-Id = "190696966" Acct-Status-Type = Alive Acct-Authentic = RADIUS Service-Type = Framed-User Acct-Session-Id = "41B4F60E7" Framed-Protocol = PPP Tunnel-Server-Endpoint:0 = "192.168.4.2" Tunnel-Client-Endpoint:0 = "10.1.1.15" Tunnel-Type:0 = L2TP Tunnel-Client-Auth-Id:0 = "ptplink-me-to-them" Tunnel-Server-Auth-Id:0 = "gucksdu.weg" Acct-Tunnel-Connection = "2869495301" Acct-Link-Count = 1 Acct-Multi-Session-Id = "8841" Framed-IP-Address = 192.168.6.22 Acct-Delay-Time = 0 Client-IP-Address = 192.168.4.2 Acct-Unique-Session-Id = "ab361747ab264e6" Timestamp = 1150843398 WLAN Zugänge und Zuordnung von IP-Adressen zu Benutzeraccounts: Mon Jul 3 12:07:02 2006 User-Name = "user4711" NAS-Port = 2369 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 192.168.4.3 Class = 0x1b887462 Calling-Station-Id = "10.1.8.56"
Acct-Status-Type = Start Acct-Session-Id = "0B115AB0" Tunnel-Client-Endpoint:0 = "10.1.8.56" Acct-Authentic = RADIUS Acct-Delay-Time = 0 NAS-IP-Address = 192.168.4.2 NAS-Port-Type = Virtual Client-IP-Address = 192.168.4.2 Acct-Unique-Session-Id = "c1533b765a199220" Timestamp = 1150955202 Stand: 20.07.2006 - Universitätsrechenzentrum Trier