Know-How
Audit Logging — co, jak a proč logovat
Audit log je nezpochybnitelný záznam kdo udělal co a kdy. Povinný pro compliance, nezbytný pro incident response.
Co logovat
- Autentizace (login, logout, failed login)
- Autorizace (přístup povolen/zamítnut)
- Data changes (CRUD na citlivých datech)
- Konfigurace changes
- Admin akce
- API přístupy
Formát
{
"timestamp": "2025-01-15T10:30:00Z",
"event": "user.login",
"actor": { "id": "user-123", "ip": "1.2.3.4" },
"action": "authentication",
"outcome": "success",
"resource": { "type": "session", "id": "sess-456" },
"metadata": { "mfa": true, "method": "totp" }
}
Best practices
- Immutable storage (append-only)
- Centrální agregace (SIEM)
- Retence min 1 rok
- Tamper detection (hash chain)
- Nikdy nelogovat secrets
Klíčový takeaway
Logujte kdo, co, kdy, odkud, výsledek. Immutable storage, centrální agregace, min 1 rok retence.