Requests 3

UFM's supportportaler / CIT-Drift / ITD-8773

Forespørgsel, USS Transaktionslog, tilføjelse af IP-ADR

I GANG
Comment on this request... 
 Don't notify me
 Share
Activity Løst

Jan Roslind Just now LATEST Shared with

Vi har et nyt problem med ip-adr i LOGINSB transaktioner efter overgang til Linux. Er
Jan Roslind
ikke klar over om det er et problem med server opsætning eller et problem som
Creator
udvikling og test skal løse efter linux overgang.

Vi har i minSU anvendt request.getRemoteAddr() til at hente og gemme brugerens ip-  UFM -USS(su mm)
Remove
adr i forbindelse med minSU logins i LOGINSB.

Efter overgang til linux er der nu serverens ip-adr 10.10.1.35 der logges. Vedlagt Attachments Download All
skærmdump. Stort hul fra 03.11 - 29.11 hvor transaktions ikke blev logget. Efter 29.11
er der enkelte rækker, men viser stikprøver at ip-adr blank.
 ITD-8773.xlsx
27-09-23 07:22 31 kB
image.png
Er der noget i opsætning af den nye sumi WAS server 10.10.1.35 minsu prod der kan  26-09-23 12:09 204 kB
forklare hvorfor det nu er serverens ip-adr der logges i stedet for brugerens ip-adr, fx
webserver/proxy/load balancer?
Dates
Har fået dette link af Siddharta https://czqu.net/posts/1268933518/ som beskriver
Created: 26-09-23
problemer med logning af ip-adr når der anvendes webserver, proxy og load balancer.
12:14
 Noget driften kan fikse med server opsætning eller noget som vi i udvikling og test Updated: 27-09-23
skal prøve at fikse? 07:50

Pt. er det stort set umuligt at binde logs sammen på tværs (uss trans, was log og
access logs) …!

Jan Roslind 27-09-23 07:50

Du har ret i at der kan være mange LOGINSB transaktioner for en SUSBSUSB bruger.

Vedr. Her og nu:

Vedlagt eksempel på muligt ID misbrug hvor jeg har merged 3 cpr-numre fra USS
Transaktions og 2 IP-Adresser fra minSU web access log via TIMESTAMP.
For vedlagte søgning er der i alt sket 14 LOGINSB.
IP-ADR fra LOGINSB er i eksemplet kopieret til de efterfølgende SUSBSUSB
transaktioner.
Det er oprettelse af SU ansøgning i række 49 hvor der sandsynligvis er sket ID misbrug.

ITD-8773.xlsx (31 kB)

Your request status changed to I gang. 26-09-23 15:17

Henri Madsen 26-09-23 15:17

 Den eksterne ip-adresse skal vel så alene søges, hvis transaction.name==LOGINSB, og i
så tilfælde kan adressen ligge flere steder.

Her og nu:

Jeg ved ikke helt, hvordan arbejdsgangen er, men kender du cpr-nummeret, kan dette
jo bruges i en filtrering. (transaction.cpr IS xxx) - evt. sammen med en filtrering på
transaktionen (transaction.name IS LOGINSB).

Har du derimod brug for et overblik, kan du evt. lave en søgning jf. vedhæftede.

Your request status changed to Tildelt. 26-09-23 12:38

Jan Roslind 26-09-23 12:14

Details 26-09-23 12:14

Miljø
Other

Beskrivelse
Forespørgsel. Haster ikke.

Er det teknisk muligt at tilføje et custom field IP-ADR til USS Transaktionslog
https://kibana01.su.dk:5601/s/su-admin?auth_provider_hint=basic1 i Kibana for
LOGINSB transsaktionerne?
Oplysningen ligger i message feltet, men placering af IP-ADR i message feltet skifter
efter version af LOGINSB transaktionen. Nok lettest er nok at fiske IP-ADR ud med et
regular expression. Se vedlagte skærmdump.

Vil gøre det teknisk lettere at spore misbrug af nemid/MitId ved login på minSU. Pt.
anvender vi excel og kan derfor kun arbejde på begrænsede udtræk når vi har sager
om ID misbrug.

Mvh Jan

Powered by Jira Service Management