Audit log je nezpochybnitelný záznam kdo udělal co a kdy. Povinný pro compliance, nezbytný pro incident response.
Co logovat¶
- Autentizace (login, logout, failed login)
- Autorizace (přístup povolen/zamítnut)
- Data changes (CRUD na citlivých datech)
- Konfigurace changes
- Admin akce
- API přístupy
Formát¶
{ “timestamp”: “2025-01-15T10:30:00Z”, “event”: “user.login”, “actor”: { “id”: “user-123”, “ip”: “1.2.3.4” }, “action”: “authentication”, “outcome”: “success”, “resource”: { “type”: “session”, “id”: “sess-456” }, “metadata”: { “mfa”: true, “method”: “totp” } }
Best practices¶
- Immutable storage (append-only)
- Centrální agregace (SIEM)
- Retence min 1 rok
- Tamper detection (hash chain)
- Nikdy nelogovat secrets
Klíčový takeaway¶
Logujte kdo, co, kdy, odkud, výsledek. Immutable storage, centrální agregace, min 1 rok retence.
securityauditloggingcompliance