Kopieren von Aktionsprotokolleinträgen in Plesk auf einen externen Server
Mit Protokollen lassen sich ganz einfach Benutzer-, System- und Anwendungsaktivitäten in einem Netzwerk ermitteln. Wenn ein Angreifer Zugriff auf das root
- oder Administrator-Konto in Plesk erlangt, kann er Hinweise auf den Angriff löschen, indem er die Protokolle manipuliert.
In Übereinstimmung mit der NIS-2-Richtlinie müssen Organisationen garantieren, dass die Protokolle vollständig und akkurat sind und gegen unbefugte Änderungen oder Störungen geschützt werden. Um Protokolle zu schützen und Ihren Plesk Server NIS-2-konform zu machen, müssen Sie Plesk so konfigurieren, dass eine Kopie der Aktionsprotokolleinträge in Plesk an einen externen Protokollserver gesendet wird.
Vorsicht: Protokolle, die von Plesk auf einen externen Protokollserver kopiert werden, können von der DSGVO betroffene Daten enthalten (z. B. IP-Adressen, Anmeldedaten). Konfigurieren Sie den externen Protokollserver so, dass Protokolle gemäß den DSGVO-Anforderungen verarbeitet werden.
Konfigurieren Sie Ihren Plesk Server so, dass er eine Kopie der Aktionsprotokolleinträge in Plesk an einen externen Protokollserver sendet:
-
Aktivieren Sie die Protokollierung von Plesk Ereignissen im Systemprotokollierungsdienst (syslog in Plesk für Linux und Ereignisprotokoll in Plesk für Windows), indem Sie die folgenden Zeilen in die Datei panel.ini einfügen:
[actionLog] syslog = true
Bemerkung: In Plesk für Linux können Sie die Protokollfunktion auch ändern, indem Sie Zeilen nach folgendem Muster in die Datei panel.ini einfügen:
[actionLog] syslogFacility = local0 ; the default facility
-
Konfigurieren Sie den Systemprotokollierungsdienst so, dass eine Kopie der Protokolle über ein Tool eines Drittanbieters an einen externen Protokollserver gesendet wird (z. B. rsyslog für Linux und Windows Event Collector für Windows).
Die genaue Vorgehensweise für Schritt 2 in der Anleitung oben hängt vom Betriebssystem ab, das Sie für Plesk verwenden. Weitere Informationen finden Sie in der Dokumentation des Anbieters Ihres Betriebssystems.
Unten sehen Sie, wie Sie den Systemprotokollierungsdienst (syslog) in Plesk für Linux über rsyslog konfigurieren.
(Plesk für Linux) Konfigurieren Sie syslog so, dass eine Kopie der Protokolle über rsyslog an einen externen Protokollserver gesendet wird:
-
Melden Sie sich über SSH im externen Protokollserver an.
-
Fügen Sie die folgenden Zeilen zur Datei
/etc/rsyslog
hinzu und speichern Sie sie:module(load="imtcp") input(type="imtcp" port="514") local0.* /var/log/pleskactions
Bemerkung: Auf dem externen Protokollserver wird eine Kopie der Aktionsprotokolleinträge aus Plesk in der Datei
/var/log/pleskactions
gespeichert. -
Starten Sie rsyslog neu, indem Sie folgenden Befehl ausführen:
systemctl restart rsyslog
-
Melden Sie sich im Plesk Server an.
-
Fügen Sie Zeilen nach folgendem Muster in die Datei
/etc/rsyslog
ein und speichern Sie sie dann:local0.* action(type="omfwd" target="<IP address of the external log server>" port="514" protocol="tcp")
Zum Beispiel:
local0.* action(type="omfwd" target="192.0.2.1" port="514" protocol="tcp")
-
Starten Sie rsyslog neu, indem Sie folgenden Befehl ausführen:
systemctl restart rsyslog
Eine Kopie der Aktionsprotokolleinträge aus Plesk werden jetzt an einen externen Protokollserver gesendet.