Zielstellung

Zeichnet sicherheitsrelevante Informationen auf, mit denen eine Reihe von Ereignissen nachvollzogen werden kann (z. B. erfolglose Anmeldeversuche oder Transaktionsstarts).

Zeichnet Informationen auf, die Systemprobleme anzeigen (z. B. Datenbanklesefehler, Rollbacks).

Zielgruppe

Auditoren

Systemadministratoren

Flexibler Einsatz

Sie können das Security-Audit-Log nach Bedarf aktivieren und deaktivieren. Ihnen steht frei, ob Sie die Verfolgung sicherheits­relevanter Ereignisse in Ihrem System täglich durchführen. Sie können beispielsweise das Security-Audit-Log während eines Zeitraums vor einer geplanten Verfolgung sicherheitsrelevanter Ereignisse aktivieren und in der Zeit zwischen den Verfolgungen sicherheitsrelevanter Ereignisse deaktivieren.

Das Systemprotokoll wird ständig benötigt. Daher sollte es nicht deaktiviert werden.

Verfügbarkeit der Protokolle

Die Audit-Logs sind lokal und werden auf jedem Anwendungsserver gepflegt. Im Gegensatz zum Systemprotokoll werden die Audit-Logs täglich vom System gepflegt und Sie müssen die Protokolldateien manuell archivieren oder löschen. Somit können Sie auf Audit-Logs vorheriger Tage zugreifen und die Audit-Logs sind länger verfügbar.

Es gibt zwei Arten Systemprotokolle: lokale und zentrale. Lokale Protokolle werden auf jedem einzelnen Anwendungsserver gepflegt. Diese Dateien sind zyklisch, werden also der Reihe nach wieder überschrieben, wenn sie voll sind. Die Größe der Protokolle sowie die Zeit, in der sie zur Verfügung stehen, sind begrenzt.

Sie können ein zentrales Protokoll pflegen. Das zentrale Protokoll ist momentan jedoch nicht vollständig plattformunabhängig. Zur Zeit kann es nur auf einer UNIX-Plattform gepflegt werden. Das zentrale Protokoll wird ebenfalls nicht unbefristet aufbewahrt.

Umgang mit sensiblen Daten

Enthält personenbezogene Daten, die eventuell Datenschutzgesetzen unterliegen.

Sie müssen die Datenschutzgesetze sehr sorgfältig lesen, bevor Sie das Audit-Log aktivieren.

Enthält keine personenbezogenen Daten.