Q : Dois-je anonymiser mes logs ? Dois-je faire une déclaration à la CNIL ?
R : la réponse dépend d’abord du type d’informations qui figurent dans vos logs et du type de traitement que vous souhaitez faire d’ezPAARSE.
-
Si vos logs contiennent des adresses IP en clair et des login explicites (qui permettent donc de reconnaître un utilisateur)
-
vous souhaitez conserver ces informations en clair dans les résultats qu’ezPAARSE fournit pour une durée qui excède celle qu’impose la loi pour l’accès aux ressources du réseau –> faire une déclaration à la CNIL
-
si non, il vous faut anonymiser ces données dans vos logs –> pas de déclaration nécessaire
-
-
Si non –> pas de déclaration nécessaire
D’une façon générale, nous vous conseillons de présenter le projet au Correspondant Informatique et Libertés (CIL / RSSI / IT) de votre établissement.
Q : comment configurer mon proxy pour faire apparaitre l’adresse IP, l’identifiant de session, l’identifiant de l’usager dans les logs ?
R : (pour EzProxy )
-
adapter le
Logformat
dans le fichierconfig.txt
pour qu’il contiennent-
le champ
%h
(adresse IP) -
le champ
%{ezproxy-session}i
(identifiant de session) -
le champ
%u
(identifiant de l’usager), et dans ce cas :-
ajouter la ligne
Option LogUser
dans le fichierconfig.txt
-
faire les liens nécessaires vers shibboleth/CAS dans le fichier
user.txt
-
-
Q : Où trouver les logs de mon proxy ?
R :
Ezproxy : la localisation des logs est indiquée dans le fichier config.txt
par la clause LogFile
(par exemple : LogFile /home/ezproxy/logs/ezproxy.log
)
Bibliopam : les logs de biblioPAM sont présents à deux endroits et sous deux formes légèrement différentes :
-
des logs Apache depuis le dossier
/usr/local/var/idx-reverseproxy/log/httpd_access_log
(ils ne contiennent probablement aucune information d’identification des usagers : à vérifier)
-
des logs retravaillés par Bibliopam, disponibles dans le dossier
/var/tmp/statlog.YYYY-MM.bz2
(au format csv, avec des informations cryptées sur les usagers)
Q : Quelle identification de l’usager est nécessaire pour qu’ezPAARSE puisse travailler ?
R : ezPAARSE a besoin qu’au moins l’une de ces trois informations soit présente dans les logs que vous voulez traiter:
-
un identifiant de session
-
une identifiant de poste (par exemple, une adresse IP) (V. Anonymisation / CNIL)
-
un identifiant usager (par exemple, un login d’annuaire)
C’est une condition nécessaire pour pouvoir procéder aux opérations de dédoublonnage telles qu’elles sont décrites par le guide de bonnes pratiques COUNTER.
Q : Quelle identification de l’usager est nécessaire pour qu’ezPAARSE puisse travailler ?
R : ezPAARSE a besoin qu’au moins l’une de ces trois informations soit présente dans les logs que vous voulez traiter:
-
un identifiant de session
-
une identifiant de poste (par exemple, une adresse IP) (V. Anonymisation / CNIL)
-
un identifiant usager (par exemple, un login d’annuaire)
C’est une condition nécessaire pour pouvoir procéder aux opérations de dédoublonnage telles qu’elles sont décrites par le guide de bonnes pratiques COUNTER.