Övergripande behov av loggning och spårbarhet

Det finns många händelser och typer av information som kan loggas, beroende på vilken IT-tjänst som används och vilket syfte som loggningen har.

En loggfil är en samling av registrerade händelser som har (loggats) ägt rum vid en viss tidpunkt och kan ha metadata som kontextualiserar den.

Loggfiler är en historisk registrering av allt som händer inom ett IT-system, inklusive händelser som transaktioner, fel och intrång.

Den grundläggande strukturen för en loggfil inkluderar:

  • Tidsstämpeln – den exakta tidpunkten då den loggade händelsen inträffade
  • Användarinformation
  • Händelseinformation – vilken åtgärd vidtogs

Beroende på typen av loggkälla kommer filen också att innehålla en mängd övrig, relevant, information. Serverloggar kommer till exempel att innehålla den refererade webbsidan, http-statuskod, användaragenter med mera.

Säkerhets-, felsökning-, granskning- (Audit) och övervakningsloggning

Säkerhetsloggning innefattar den stora delen av all loggning och avser loggning av information kring auktorisering och åtkomst när användare bland annat autentiserar sig i ett system. Se MSBFS2020:7 4 kap. 16–17§.

Exempel: Applikation (Inloggning) skriver LOG(”Användaren xxxxxxxx-xxxx loggar in).

Loggarna kan genereras från:

  • Autentiserings- och Auktoriseringstjänster
  • Intrångsskydd och antivirus
  • Brandväggar, routrar och switchar
  • Active Directory
  • Webbservrar
  • Applikationer
  • Tjänster
  • Databaser
  • Övervakningssystem
  • Operativsystem
  • IoT (internet of things)

Frågor som man söker svar på i dessa loggar kan vara:

Säkerhet

  • Har det skett något mer på servern än viruslarmet?
  • I vilka system/applikationer har användaren med möjligen knäckt lösenord loggat in i?
  • Och vad har användaren gjort i dessa system/applikationer?
  • Systemets CPU går på 100%. Är det utsatt för en attack?

Felsökning

  • Varför kan användaren inte logga in?
  • Varför går det inte att surfa på Internet?
  • Varför kan användaren inte spara formuläret?

Granskningsloggning (Audit)

  • Vem har tagit bort den här filen?
  • Vilka ändringar har den här användaren gjort i applikationen?
  • Har någon ändrat i en accesslista?
  • Vem har skapat det här larmet?

Övervakningsloggning

  • När är tjänsten inte tillgänglig för användarna?
  • När överskrider CPU 90% belastning?
  • När är diskutrymmet mindre än 10%?

Applikationsloggning

Med det menas alla typer av loggning som är specifik för applikationen och som bara används för felsökning, debugging, postmortem etc. Innefattar händelser i en applikation som används till exempel användaråtgärder, användardata eller felkoder.

Detta innefattar även loggning i containerbaserade applikationer där informationen är flyktig och försvinner när containern stängs eller kraschar.

Applikationsloggar är inte tänkta att innehålla personuppgifter så som personnummer. De ska inte innehålla lösenord eller annan känsligt data.

  • Exempel: En applikation skriver LOG(”Hämtar priser från databas”)

Loggarna kan genereras från:

  • Applikationer

Frågor som man söker svar på i dessa loggar kan vara

  • Vem har loggat in?
  • Vad har användaren gjort för val i applikationen?
  • Vilka fel har applikationen loggat?

Innefattar loggning i containerbaserade applikationer där den är flyktig och försvinner när containern stängs eller kraschar.

Transaktionsloggning

Innefattar transaktioner som har en början och ett slut och kan bestå av flera händelser som t.ex. banktransaktioner.

Loggarna kan genereras från

  • Databaser
  • Applikationer som använder databaser

Frågor som man söker svar på i dessa loggar kan vara:

  • Vad hände när följande covidbevis utfärdades?
  • Varför slutfördes inte skapandet av fullmakten?

Webbserverloggning

Innefattar data om den som har använt webbservern som t.ex. IP-adress, webbläsartyp, besökta sidor eller tracedata.

Loggarna kan genereras från

  • Webbservrar

Frågor som man söker svar på i dessa loggar kan vara

  • Vilka sidor har användaren besökt?
  • Vilka är de mest besökta sidorna?
  • Vilka webbläsare används av de som besöker webbservern?

Nätverksloggning

Innefattar loggning av nätverksutrustning och nätverkskommunikation. Kan användas för att flagga upp ovanliga mängder datatrafik eller att viss typ av trafik som är ovanlig för en viss enhet eller grupp av enheter uppstått.

Loggarna kan genereras från

  • Brandväggar
  • Routrar
  • Switchar
  • Övrig nätverksutrustning

Frågor som man söker svar på i dessa loggar kan vara

  • Vilka protokoll går det trafik över i brandväggen?
  • När startades routern om senast?
  • Finns det någon switch som har loggat felmeddelanden?
  • När gjorde brandväggen ett byte mellan aktiv och inaktiv senast?

IoT-loggning

Innefattar loggning av bland annat besökare, IP-adresser eller besökta sidor.

Loggarna kan genereras från

  • Datahuvudcentraler (DHC)
  • Dataundercentraler (DUC)
  • Kontrollenheter

Frågor som man söker svar på i dessa loggar kan vara

  • Vilka IP-adresser har besökt enheten?
  • När startades enheten om senast?

Systemloggning

Innefattar händelser i ett operativsystem, tjänster etc. som är kopplad till exempelvis resurs och prestanda för en server och/eller applikation. Loggarna kan innehålla information kring anslutningsproblem och kapacitetsbegränsningar.

• Exempel: System loggar: ”Warning använt minne överskrider 90% av tillgängligt”

Loggarna kan genereras från:

  • Operativsystem
  • Mjukvarustyrd hårdvara som till exempel nätverkskort eller kortläsare
  • Hypervisors
  • Containers

Frågor som man söker svar på i dessa loggar kan vara

  • När startades servern om?
  • När startades tjänsten?
  • När uppgraderades operativsystemet senast?
  • När gick nätverkskortet senast ner i sparläge?

Referenser på sidan


Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: