Natuurlijk! Hieronder vind je een uitgebreide gids voor het opzetten van een logging- en analysekader op je Ubuntu 22.04 server, dat voldoet aan GDPR en ISO 27001, en geschikt is voor troubleshooting van netwerkuitval en authenticatieproblemen. **1. Huidige situatie en behoeften** - **Distributie:** Ubuntu 22.04 - **Huidige logging:** Standaard syslog (rsyslog) zonder centrale opslag - **Compliance:** GDPR, ISO 27001 - **Monitoring doel:** Netwerkuitval en authenticatieproblemen --- **2. Aanbevolen tools en componenten** - **Centralized Log Management:** *Elk logbestand centraal verzamelen en beheren.* - **Tools:** - **Filebeat** (van Elastic) of **Fluentd** voor log forwarding - **Graylog**, **ELK Stack (Elasticsearch, Logstash, Kibana)** of **Splunk** voor analyse en visualisatie - **Aanbeveling:** Gebruik **Graylog** of **ELK Stack** voor uitgebreide analyse en dashboards. - **Logaggregatie en opslag:** - Plaats logs op een beveiligde centrale server - Gebruik encryptie tijdens overdracht (TLS) en opslag (AES) - **Authenticatie en audit logs:** - Zorg dat authenticatie logs (bijv. SSH, PAM) goed worden geregistreerd en bewaart - **Monitoring en alerting:** - **Prometheus** en **Grafana** voor real-time monitoring en alerting - **Fail2Ban** voor het detecteren en blokkeren van brute-force aanvallen - **Security en compliance tools:** - **Auditd** voor gedetailleerde audit logs - **OSSEC** of **Wazuh** voor intrusion detection en compliance monitoring --- **3. Configuratie en implementatie** ### a. Log forwarding instellen - **rsyslog configuratie:** Configureer rsyslog om logs te sturen naar een centrale server: ```bash sudo nano /etc/rsyslog.conf ``` Voeg toe: ``` *.* @@<centrale_log_server>:514 ``` Herstart rsyslog: ```bash sudo systemctl restart rsyslog ``` - **Logserver setup:** - Installeer en configureer Graylog of ELK - Zorg dat de opslag encryptie gebruikt en dat toegangscontrole strikt is ### b. Logbeveiliging en GDPR compliance - **Encryptie:** - Versleutel loggegevens tijdens overdracht (TLS) - Beperk toegang tot logs via role-based access control (RBAC) - **Bewaartermijnen:** - Stel bewaartermijnen in conform GDPR en ISO 27001 - Automatische verwijdering na de wettelijke termijn - **Data-anonimisering:** - Anonimiseer indien mogelijk persoonsgegevens in logs ### c. Monitoring en alerting - Configureer Grafana dashboards voor netwerkstatus en authenticatie - Stel alerts in voor: - Onregelmatige netwerkactiviteiten (bijv. netwerkuitval) - Failed login attempts (authenticatieproblemen) ### d. Troubleshooting scenario’s - **Netwerkuitval:** - Monitor netwerk interfaces en pings - Use tools als **Nagios** of **Zabbix** voor uptime monitoring - **Authenticatieproblemen:** - Bekijk SSH logs (`/var/log/auth.log`) - Analyseer PAM en LDAP logs indien gebruikt --- **4. Best practices** - **Regelmatige audits:** - Controleer logintegriteit en toegang - Voer periodieke audits conform ISO27001 uit - **Automatisering:** - Gebruik scripts en tools om logs automatisch te verzamelen, te analyseren en rapporteren - **Toegangscontrole:** - Beperk toegang tot logs en management tools - Gebruik sterke authenticatie (2FA) - **Training en documentatie:** - Documenteer logging procedures - Train personeel in beveiligings- en troubleshooting-protocollen --- **5. Samenvatting** | Stap | Aanbeveling | Doel | |---|---|---| | 1 | Centraliseer logs via Graylog of ELK | Betere analyse en troubleshooting | | 2 | Configureer rsyslog / Filebeat | Automatisch logverkeer naar centrale server | | 3 | Encryptie en toegangscontrole | GDPR & ISO27001 compliance | | 4 | Set up monitoring en alerts | Tijdig detecteren van netwerk- en authenticatieproblemen | | 5 | Regelmatige audits en documentatie | Continual improvement en compliance | --- Indien je verdere hulp nodig hebt bij specifieke configuraties of implementatie, laat het gerust weten!

Zeker! Hier is een stapsgewijs plan voor een robuust logging- en analysekader voor je Ubuntu 22.04 server, afgestemd op GDPR, ISO27001 en je troubleshooting behoeften. ### 1. Overkoepelende Architectuur en Principes Het doel is een "Centralised Logging" opzet. Alle logs worden naar een centrale, beveiligde locatie gestuurd, wat cruciaal is voor compliance (onweerlegbaarheid, integriteit) en effectieve analyse. **Principes:** * **Scheiding van taken:** De server (`client`) stuurt logs naar een centrale `log-server` (vaak een aparte machine/vm). * **Logrotatie en retentie:** Stel duidelijke bewaartermijnen in op basis van compliance (GDPR: 'niet langer dan noodzakelijk', ISO27001: vaak minimaal 6-12 maanden voor security logs). * **Beveiliging in transit en at rest:** Logs worden versleuteld tijdens verzending en opgeslagen op een beveiligde, toegangsgecontroleerde manier. * **Integriteit:** Gebruik hashing of digitale handtekeningen waar mogelijk om wijzigingen in logs te detecteren. ### 2. Aanbevolen Tooling Stack Gezien je eisen raad ik de volgende combinatie aan, die de facto standaard is voor dit soort use cases: | Component | Aanbevolen Tool | Reden | | :--- | :--- | :--- | | **Log Forwarder / Shipper** | **Fluentd** of **Beats (Filebeat)** | Lichtgewicht agenten die logs verzamelen en betrouwbaar naar een centrale server sturen. Beats is iets eenvoudiger, Fluentd krachtiger voor parsing. | | **Central Log Aggregator** | **Graylog** of **ELK Stack (Elasticsearch, Logstash, Kibana)** | Dit is het hart. Graylog is gebruiksvriendelijker en bevat veel features out-of-the-box. ELK is extreem krachtig en schaalbaar, maar complexer om te beheren. **Aanrader voor jou: Start met Graylog.** | | **Opslag Backend** | **Elasticsearch** (onderdeel van beide stacks) | Slaat de geïndexeerde logs op en maakt snelle zoekacties mogelijk. | | **Besturingssysteem (Log Server)** | **Ubuntu 22.04 LTS** | Houdt je omgeving consistent. | **Aanbeveling:** Graylog + Filebeat. Dit biedt een uitstekende balans tussen functionaliteit, beheersgemak en compliance. ### 3. Configuratiestappen (Graylog + Filebeat Voorbeeld) #### Stap 1: Installeer en Configureer de Central Log Server (Graylog) 1. **Setup een nieuwe VM/server:** Idealiter een dedicated machine voor logging. 2. **Installeer Graylog:** Volg de officiële [Graylog installatiegids voor Ubuntu](https://docs.graylog.org/docs/ubuntu). Dit omvat het installeren van MongoDB (voor metadata) en Elasticsearch/OpenSearch (voor logopslag). 3. **Configureer Graylog:** * Stel `password_secret` en `root_password_sha2` in (veilig wachtwoord). * Configureer de `http_bind_address` naar het IP van je server. * Maak **Inputs** aan. Voor syslog logs, maak een "Syslog UDP/TCP" input (bijv. poort 1514). Voor Beats, maak een "Beats" input (poort 5044). * **Enable TLS/SSL** voor alle inputs om versleuteling af te dwingen. #### Stap 2: Configureer je Bestaande Ubuntu Server (Client) 1. **Installeer Filebeat:** ```bash wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list sudo apt-get update && sudo apt-get install filebeat ``` 2. **Configureer Filebeat (`/etc/filebeat/filebeat.yml`):** ```yaml # Schakel de system module in voor syslog en authenticatie logs filebeat modules: enable: ["system"] # Configureer de output naar Graylog (vervang IP_GRAYLOG_SERVER) output.logstash: hosts: ["IP_GRAYLOG_SERVER:5044"] ssl.certificate_authorities: ["/etc/filebeat/graylog-ca.crt"] # Voor TLS # Voor betere parsing, stel een ingest pipeline in (optioneel maar aanbevolen) setup.ilm.enabled: false setup.template.enabled: false ``` Voer `sudo filebeat modules enable system` uit. 3. **Verfijn logbronnen (Cruciaal voor Troubleshooting):** Bewerk `/etc/filebeat/modules.d/system.yml` om specifieke logpaden te controleren. * **Authenticatieproblemen:** Zorg dat `/var/log/auth.log` wordt meegenomen. * **Netwerkuitval:** Zorg dat `/var/log/syslog` en kernel logs (`journalctl` output) worden meegenomen. Voor netwerkdebugging kan het nuttig zijn om ook applicatielogs van services zoals `sshd` of `network-manager` te loggen. 4. **Start en enable Filebeat:** ```bash sudo filebeat setup sudo systemctl enable filebeat sudo systemctl start filebeat ``` ### 4. Compliance-specifieke Configuratie (GDPR & ISO27001) 1. **Log Classificatie en Retentie:** * Maak in Graylog **index sets** aan. Bijvoorbeeld: `security-logs` (auth.log, fail2ban) en `system-logs` (syslog, applicatielogs). * Stel voor de `security-logs` index een langere retentie in (bijv. 1 jaar) conform ISO27001. Voor algemene logs kan dit korter (bijv. 3 maanden), in lijn met GDPR. * Documenteer je retentiebeleid. 2. **Toegangscontrole:** * Maak in Graylog gebruikers en rollen aan op basis van het **principle of least privilege**. * Scheid duties: een `auditor` rol mag alleen lezen, een `admin` rol mag ook beheren. 3. **Integriteit en Beveiliging:** * **TLS/SSL:** Gebruik altijd certificaten voor communicatie tussen Filebeat en Graylog. * **File Integrity Monitoring (FIM):** Gebruik de `auditd` module van Filebeat of een tool zoals **AIDE** of **Wazuh** (een security monitoring platform dat op ELK bouwt) om wijzigingen in kritieke bestanden (`/etc/passwd`, `/etc/shadow`, logbestanden zelf) te monitoren. Dit is een key requirement voor ISO27001. 4. **Specifieke Loginhoud voor GDPR:** * Log alle toegang tot persoonsgegevens. Als je een applicatie hebt die GDPR-data verwerkt, moet die applicatie loggen wie, wat, wanneer heeft benaderd. Deze logs moeten naar Graylog worden gestuurd. * Log alle beheer-acties (gebruiker aanmaken/wijzigen/verwijderen, permissie wijzigingen). ### 5. Troubleshooting Scenarios - Hoe te Analyseren in Graylog 1. **Authenticatieproblemen:** * **Zoekopdracht:** `source:/var/log/auth.log AND failed password` * **Maak een Dashboard:** Met widgets voor "Top 10 bron-IP's van gefaalde loginpogingen", "Aantal gefaalde logins over tijd". Dit helpt bij het identificeren van brute-force aanvallen. * **Stel een Alert in:** Creëer een alert in Graylog die een e-mail verstuurt wanneer er meer dan 10 gefaalde loginpogingen van eenzelfde IP-adres binnen 5 minuten plaatsvinden. 2. **Netwerkuitval:** * **Zoekopdracht:** `("network down" OR "interface down" OR "Connection lost")` in systeemlogs. * **Kernel Logs:** Monitor kernel logs voor netwerkdriver fouten. Je kunt Filebeat configureren om `journalctl` output te sturen. * **Correlatie:** Als meerdere servers tegelijk netwerkproblemen melden, wijst dit op een probleem met een switch of router, niet met de individuele server. ### 6. Best Practices en Afronding * **Test je logging:** Simuleer een probleem (bijv. een gefaalde SSH login) en controleer of de logline correct in Graylog verschijnt. * **Monitor je logging-systeem:** Zorg dat je de gezondheid van Graylog, Elasticsearch en MongoDB zelf ook monitort. Stel alerts in als deze services down gaan. * **Back-up strategie:** Zorg voor een back-up van de Graylog configuratie (gebruikers, inputs, streams) en van het Elasticsearch data pad. Test de restore procedure. * **Documentatie:** Documenteer de volledige architectuur, configuratie, retentiebeleid en procedures. Dit is expliciet vereist door ISO27001. Door dit framework te volgen, creëer je een zeer effectief, schaalbaar en compliance-veilig logging- en analysesysteem voor je Ubuntu server.