Standardiserade format

Man ska använda standardiserade format vid skrivningen av loggarna samt teckenkodning som stöder internationella format. För att förenkla spårbarhet i loggar måste information så som datumformat standardiseras och vara enhetlig. Detta möjliggör att det blir enklare att filtrera fram information som är relevant när spårning ska genomföras.

Standardiserade kommunikationsprotokoll

Standardiserade kommunikationsprotokoll som används beror på användningsfallet, till exempel Syslog, SNMP, Intrusion Detection Exchange Protocol (IDXP).

Standardiserade loggformat

Standardiserade loggformat gör det enklare att tolka och mappa motsvarande fält som används i loggsystemet.

Standardiserade format som används kan vara Common Log Format (CLF), Combined Log Format (CoLF), Extended Log Format (ELF), Comma-Seperated Values (CSV), JSON, XML.

Exempel på CLF:

192.168.0.2 - - [16/Feb/2011:14:18:19 +0100] "GET /favicon.ico HTTP/1.1" 200 1406

(i CoLF-formatet sparas även klientens referens, användaragent och klientkaka)

 

Exempel på ELF:

Fields: time cs-method cs-uri
00:34:23 GET /index.html

Se även metadatamodell kapitel 8. Användning av gemensamma fält, tillåtna värden, datatyper o.s.v.

Ett exempel på en existerande standard är ECS (Elastic Common Schema) som är en Open source-specifikation. Mer information finns här: https://www.elastic.co/what-is/ecs. Länk till annan webbplats.

Se även metadatamodell . Användning av gemensamma fält, tillåtna värden, datatyper och så vidare.

Ett exempel på en existerande standard är ECS (Elastic Common Schema) som är en Open source-specifikation. Mer information finns här: https://www.elastic.co/what-is/ecs Länk till annan webbplats..

Centraliserad tid

Det är viktigt att alla system som producerar loggar använder sig av samma tid dvs. att de är synkroniserade. Se MSBFS 2020:7 4 kap. 13§ ”Korrekt och spårbar tid”.[1] Detta är viktigt eftersom man vill kunna följa händelser i den ordning de inträffar. Förekommande logghändelser ska loggas med datum (år, månad, dag) och tid (timme, minut, sekund och tidzon).

Det finns olika sätt att ange tidsstämpel i loggdata, men det vanligaste formatet är datum och tid i ISO 8601-format. ISO 8601 är en internationell standard för tids- och datumrepresentation som använder ett enhetligt format som gör det lättare att jämföra och analysera tidsstämplar.

ISO 8601-formatet för datum och tid är som följer:

YYYY-MM-DDTHH:MM:SS.sssZ

YYYY: Årtal (t.ex. 2023)

YYYY: Årtal (t.ex. 2023)

MM: Månad (t.ex. 04 för april)

DD: Dag i månaden (t.ex. 26)

T: Separerar datumet från tiden

HH: Timme i 24-timmarsformat (t.ex. 14 för 2 på eftermiddagen)

MM: Minut (t.ex. 30)

SS: Sekund (t.ex. 45)

.sss: Millisekunder (t.ex. 123)

Z: Tidszon (t.ex. Z för UTC-tidszon)

Standardiserade format

En offentlig aktör bör:

  • använda standardiserade format vid skrivningen av loggarna samt teckenkodning som stöder internationella format. Det kommer att förenkla spårbarhet i loggar så att information kan standardiseras och vara enhetlig. Detta möjliggör att det blir enklare att filtrera fram information som är relevant när spårning ska genomföras.
  • använda standardiserade protokoll utifrån användningsfall
  • använd ett vanligt en internationell standard för tids-och datumrepresentation ISO 8601-format, det gör det lättare att jämföra och analysera tidsstämplar.

Referenser på sidan


Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: