Les fichiers Logs

Publié le par

Q : Dois-je anonymiser mes logs ? Dois-je faire une déclaration à la CNIL ?

R : la réponse dépend d’abord du type d’informations qui figurent dans vos logs et du type de traitement que vous souhaitez faire d’ezPAARSE.

  • Si vos logs contiennent des adresses IP en clair et des login explicites (qui permettent donc de reconnaître un utilisateur)
    • vous souhaitez conserver ces informations en clair dans les résultats qu’ezPAARSE fournit pour une durée qui excède celle qu’impose la loi pour l’accès aux ressources du réseau –> faire une déclaration à la CNIL
    • si non, il vous faut anonymiser ces données dans vos logs –> pas de déclaration nécessaire
  • Si non –> pas de déclaration nécessaire

D’une façon générale, nous vous conseillons de présenter le projet au Correspondant Informatique et Libertés (CIL / RSSI / IT) de votre établissement.

Q : comment configurer mon proxy pour faire apparaitre l’adresse IP, l’identifiant de session, l’identifiant de l’usager dans les logs ?

R : (pour EzProxy )

  • adapter le Logformat dans le fichier config.txt pour qu’il contiennent
    • le champ %h (adresse IP)
    • le champ %{ezproxy-session}i (identifiant de session)
    • le champ %u (identifiant de l’usager), et dans ce cas :
      • ajouter la ligne Option LogUser dans le fichier config.txt
      • faire les liens nécessaires vers shibboleth/CAS dans le fichier user.txt

Q : Où trouver les logs de mon proxy ?

R :

Ezproxy : la localisation des logs est indiquée dans le fichier config.txt par la clause LogFile (par exemple : LogFile /home/ezproxy/logs/ezproxy.log)

Bibliopam : les logs de biblioPAM sont présents à deux endroits et sous deux formes légèrement différentes :

  • des logs Apache depuis le dossier

    /usr/local/var/idx-reverseproxy/log/httpd_access_log

    (ils ne contiennent probablement aucune information d’identification des usagers : à vérifier)

  • des logs retravaillés par Bibliopam, disponibles dans le dossier

    /var/tmp/statlog.YYYY-MM.bz2

    (au format csv, avec des informations cryptées sur les usagers)

Q : Quelle identification de l’usager est nécessaire pour qu’ezPAARSE puisse travailler ?

R : ezPAARSE a besoin qu’au moins l’une de ces trois informations soit présente dans les logs que vous voulez traiter:

  • un identifiant de session
  • une identifiant de poste (par exemple, une adresse IP) (V. Anonymisation / CNIL)
  • un identifiant usager (par exemple, un login d’annuaire)

C’est une condition nécessaire pour pouvoir procéder aux opérations de dédoublonnage telles qu’elles sont décrites par le guide de bonnes pratiques COUNTER.

Q : Quelle identification de l’usager est nécessaire pour qu’ezPAARSE puisse travailler ?

R : ezPAARSE a besoin qu’au moins l’une de ces trois informations soit présente dans les logs que vous voulez traiter:

  • un identifiant de session
  • une identifiant de poste (par exemple, une adresse IP) (V. Anonymisation / CNIL)
  • un identifiant usager (par exemple, un login d’annuaire)

C’est une condition nécessaire pour pouvoir procéder aux opérations de dédoublonnage telles qu’elles sont décrites par le guide de bonnes pratiques COUNTER.