Rekomenderade obligatoriska fält

Fält som måste vara med för att kunna utföra sökningar och korrelera loggar från fler än en källa.

För att kunna korrelera och spåra bör ett request id binda ihop samtliga resulterande loggar. Se till att e-tjänsten eller det system som ansvarar för processen skapar ett id-nummer som förmedlas till alla API:er som används, i syfte att anropat API kan använda id-numret för spårning.

Rekommendationen är att en id (transaktionsid, händelseid, requestid, ärendeid, etc.) skrivs till alla loggar så att det går att koppla ihop loggposter som hör samman, till exempel en transaktion från början till slut.

Notera att även om fält är obligatoriska, kan de vara ”inte applicerbara” för vissa typer av händelser och kan då utelämnas.

Exempel på flöde när obligatoriska fält används för en loggpost

Beskrivning av Exempel på flöde när obligatoriska fält används för en loggpost.Bilden visar ett exempel på vad som skulle kunna loggas i ett flöde när en individ vaccinerar sig. Detta är steg 1 i flödet. För de fem obligatoriska fälten tidpunkt, datakälla, Id, Individ och händelse så skulle följande kunna loggas. För fältet Tidpunkt loggas: tidpunkt synroniserad med NTP server.För fältet Datakälla loggas: Vaccinatörens server För fältet Id loggas: Id för den dos som givitsFör fältet Individ loggas: Indoviden som har vaccineratsFör fältet Händelse loggas: Vad har utförtsBilden visar också som ett steg 2 i flödet att efter individen har vaccinerat sig så rapporterar vaccinatören därefter in till Nationella vaccinationsregistret. Vid detta tillfälle loggar registret att vaccinationsdata har inkommit.Bilden visar också att om vaccinationsdata saknas kan loggen kontrolleras. Då kontrolleras loggpost innehållandes de obligatoriska fälten tidpunkt, datakälla, Id, individ och händelse. Bilden visar vilken data som loggas när en vaccinatör rapporterar in till Nationella vaccinationsregistret och och när obligatoriska logg fält används.

Förstora bilden exempel på flöde när obligatoriska fält används för en loggpost.

Tid = Den gemensamma synkroniserade tidpunkten (i formatet ISO 8601) när händelsen inträffade.

Datakälla = Källsystemet där händelsen har inträffat.

Individ = Individ, användare, identitet, system eller tjänst. Det kan finnas fler individer i samma loggpost, den som initierade händelsen och den som påverkas av händelsen. Båda ska tas med, T.ex. en IT-tekniker har aktiverat ett användarkonto.

Id = Identitet på händelsen, tillexempel transaktionsid, händelseid, requestid, ärendeid etc. Viss information kan finnas i fler än ett liknande fält, som alla då ska tas med. T.ex. händelseid och transaktionsid.

Händelse = Den faktiska händelsen: Namn eller kort beskrivning av händelsen.

Beskrivning av Konceptuell bild av obligatoriska fält för en loggpost Bilden visar en konceptuell beskrivning av vad en loggpost bör innehålla med ett exempel. En loggpost bör innehålla fälten tidpunkt, datakälla, individ, id och händelse. Bilden visar ett exempel på vad fälten kan innehålla. I exempelt innehåller fältet tidpunkt: 20210431, fältet datakälla: VAC-245678, individ: 1962121212, fältet id: mrna ex8680, fältet händelse: Covid-19. Bilden visar att alla fält kan samlas i en loggpost. Enligt exemplet innehåller loggposten då alla fält på formen: 20210431 VAC-245678 1962121212 mrna ex8680 Covid-19

Förstora bilden konceptuell beskrivning av vad en loggpost bör innehålla.

@timestamp

ECS-namn: @timestamp

Beskrivning: Datum och klockslag i UTC när händelsen inträffade. Loggverktyg som läser detta fält ska visa det i aktuell tidzon och justerad för eventuell sommartid.

Format: ISO 8601

Datatyp: Date

Exempel: 2023–04-13T11:14:20.435Z

Datakälla

ECS-namn: host.hostname, agent.name och liknande.

Beskrivning: Källsystemet där händelsen har inträffat.

Format: Text

Datatyp: Keyword

Exempel: VAC-245673

Individ

ECS-namn: user.name, service.name, user.email, process.name, x509.subject.serialNumber (personnummer enligt SITHS), x509.subject.personalIdentityNumber (personnummer enligt Swedish eID Framework), personnummer och liknande.

Beskrivning: Individ, användare, system eller tjänst.

Format: Text

Datatyp: Keyword

Exempel: 196212121212

Id

ECS-namn: event.code, transaction.id, trace.id och liknande.

Beskrivning: Identitet på händelsen, t.ex. transaktionsid, händelseid, ärendeid etc.

Format: Text

Datatyp: Keyword

Exempel: mRNA EX8680

Händelse

ECS-namn: event.action

Beskrivning: Den faktiska händelsen: Namn eller kort beskrivning av händelsen.

Format: Text

Datatyp: Keyword

Exempel: Covid-19 Vaccination

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: