Ein Audit-Log ist ein unwiderlegbarer Nachweis, wer was und wann getan hat. Pflicht fuer Compliance, unverzichtbar fuer Incident Response.
Was loggen¶
- Authentifizierung (Login, Logout, fehlgeschlagener Login)
- Autorisierung (Zugriff gewaehrt/verweigert)
- Datenaenderungen (CRUD auf sensiblen Daten)
- Konfigurationsaenderungen
- Admin-Aktionen
- API-Zugriffe
Format¶
{ “timestamp”: “2025-01-15T10:30:00Z”, “event”: “user.login”, “actor”: { “id”: “user-123”, “ip”: “1.2.3.4” }, “action”: “authentication”, “outcome”: “success”, “resource”: { “type”: “session”, “id”: “sess-456” }, “metadata”: { “mfa”: true, “method”: “totp” } }
Best Practices¶
- Unveraenderlicher Speicher (Append-only)
- Zentrale Aggregation (SIEM)
- Aufbewahrung mindestens 1 Jahr
- Manipulationserkennung (Hash-Kette)
- Niemals Secrets loggen
Wichtigste Erkenntnis¶
Loggen Sie wer, was, wann, woher, Ergebnis. Unveraenderlicher Speicher, zentrale Aggregation, mindestens 1 Jahr Aufbewahrung.
securityauditloggingcompliance