Toto je starší verze dokumentu!
Systém etlog (název etlog byl vytvořen jako zkratka pro eduroam traffic log analysis) slouží ke zpracování záznamů o aktivitě uživatelů služby eduroam v rámci České republiky. Systém je určen predevším pro správce služby jednotlivých zapojených institucí, ale mohou ho využít i běžní uživatelé služby. Všechny dostupné funkce systému jsou popsány níže.
Systém dělí uživatele do 3 skupin (skupiny jsou popsány od nejméně po nejvíce privilegovanou):
Uživatelům jsou zpřístupněny základní statistiky a informace, které o nich samotných systém eviduje. Systém etlog očekává, že eduroam uživatelská identita je shodná s eduPersonPrincipalName
; pokud tomu tak není, může domovské IdP implementovat SAML atribut eduroamUID. Pokud systém etlog nemá k dispozici informaci o eduroam identitě uživatele, jsou uživateli přístupné pouze základní statistiky.
Správcům z institucí je přístupný téměř celý systém. Vyhledávaná data (kromě grafů) jsou filtrována takovým způsobem, aby mohl správce vyhledat pouze libovolný ze spravovaných realmů.
Skupina správců má k systému plný přístup.
Všechny skupiny s vyšším oprávněním mají možnost si prohlédnout rozhraní z pohledu nižšího oprávnění s výjimkou možnosti návratu na původní úroveň.
Tato sekce systému je určena pro vyhledávání libovolných záznamů. Účelem této sekce je pomoci správcům dohledat konkrétní záznamy, které mohou souviset například s bezpečnostním incidentem nebo s problémem koncového uživatele. Správci institucí v této sekci uvidí pouze taková data, která se týkají jimi spravovaných eduroam realmů.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Tato sekce systému je určena pro vyhledávání takových eduroam identit, které využily pro přihlášení ke službě vysoký počet různých MAC adres (tedy pravděpodobně různých zařízení). Jsou evidovány všechny identity, které používají více než 2 různé adresy. Tato část systému by tedy měla správcům poskytovat informace o eduroam identitách, které mohly být kompromitovány a následně sdíleny mnoha uživateli.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Zobrazená data je dále možné interaktivně filtrovat na konkrétní uživatelské jméno a kokrétní MAC adresu. Zobrazená data jsou odkazována do obecného vyhledávání pro možnost přímého vyhledávání s danými parametry. Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Tato sekce systému je určena pro vyhledávání sdílených zařízení. Sdílené zařízení je takové zařízení, ze kterého byla úspešně využita služba eduroam alespoň dvěma různými identitami. Tato část systému tedy poskytuje informace o potenciálně odcizených zařízeních.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Zobrazená data je dále možné interaktivně filtrovat na konkrétní uživatelské jméno a kokrétní MAC adresu. Zobrazená data jsou odkazována do obecného vyhledávání pro možnost přímého vyhledávání s danými parametry. Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Tato část systému se týká uživatelů, kteří se úspěšně ověří v geograficky vzdálených lokalitách během krátkého času. Zdrojová data jsou sbírána z dokumentů institution.xml, kde mají instituce vyznačeny všechny body, ve kterých službu provozují. Každou sobotu v ranních hodinách je provedena kontrola nových revizí. V případě, že existují nové revize dokumentu, jsou extrahovány potřebné informace a z nich jsou následně vypočtena data o přesunech uživatelů za poslední dva týdny.
Tato sekce systému je určena pro vyhledávání uživatelů, kteří se úspěšně ověří v geograficky vzdálených lokalitách během krátkého času. Tato sekce by měla správcům poskytovat informace o kompromitovaných eduroam identitách a zárověň o tom, že mohou poskytovat špatné informace o pokrytí služby.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Zobrazená data jsou odkazována do obecného vyhledávání pro možnost přímého vyhledávání s danými parametry. Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Tento test je dostupný v ermonu pro všechny evidované realmy. Výsledek testu má představovat počet uživatelů, jejichž identita mohla být kompromitována. Data jsou získávána s těmito konkrétními parametry:
Výsledky tohoto testu jsou založeny na informacích o pokrytí, které poskytují připojené organizace v dokumentech institution.xml.
Tento test je dostupný v ermonu pro všechny evidované realmy. Výsledek testu má představovat počet uživatelů, kteří se úspěšně autentizovali v krátkém čase ve vzdálených lokalitách. Data jsou získávána s těmito konkrétními parametry:
Výsledky tohoto testu jsou založeny na informacích o pokrytí, které poskytují připojené organizace v dokumentech institution.xml.
Tato sekce systému je určena pro vyhledávání dvojic institucí, mezi nimiž nejčastěji dochází k rychlému přesunu uživatelů. Dvojice institucí s vysokými počty výskytů pravděpodobně poskytují špatná data o pokrytí služby.
Záznamy je možné vyhledávat podle parametrů:
Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Tato sekce systému je určena pro zobrazení grafu neúspěšných přihlášení za vybrané časové období. Pro uživatelské jméno s regulárním výrazem odpovídajícím konkrétní instituci je možné vidět graf pro danou instituci. Dostupná data mohou správcům jednoduše poskytnout představu, jaké počty uživatelů mají problémy s přihlášením ke službě.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Tato sekce systému je určena pro ukázku grafu aktivity služby eduroam v České republice. Kromě globální aktivity v rámci České republiky je možné zobrazit graf pro vybraný realm nebo navštívenou instituci nebo jejich kombinaci.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Tato sekce systému je určena pro zobrazení maticového grafu využívání služby. Zobrazená data jsou interaktivní a je možné je řadit kliknutím na řádek nebo sloupec. Tato data mají správcům poskytnout podrobnou představu o tom, jakými institucemi je služba v jejich instituci využívána a kterým institucím službu nejvíce poskytují.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Pro výraznejší vizuální rozlišení barev je možné použít logaritmické měřítko. Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV. Formát CSV lze pro možnost lepší práce s daty jednoduše importovat do běžně používaných tabulkových procesorů.
Tato sekce systému je určena pro zobrazení organizací nejvíce poskytujících konektivitu. Kromě celkového počtu využití služby za vybrané časové období je zobrazen i počet unikátních zařízení. Zobrazená data jsou dostupná pod grafem i ve formě tabulky.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Tato sekce systému je určena pro zobrazení organizací nejvíce využívajících roaming. Kromě celkového počtu poskytnutí služby za vybrané časové období je zobrazen i počet unikátních zařízení. Zobrazená data jsou dostupná pod grafem i ve formě tabulky.
Záznamy je možné vyhledávat podle několika možných parametrů (případně jejich kombinace):
Pro případ potřeby dodatečné práce s daty je možnost data uložit ve formátu CSV.
Odkaz na sekci pro správu notifikací je umístěn v menu v seznamu spravovaných realmů. Tato sekce systému je určena pro nastavení měsíčních reportů pro všechny spravované realmy přihlášeného správce.
Report o neúspěšných přihlášeních je email s informacemi o uživatelských identitách, které měly v uplynulém měsíci nejvíce potíží s přihlášením. Report je odesílán všem správcům pro všechny realmy, pro které mají povolené notifikace. V případě, že nejsou pro daný realm dostupná žádná data, není report odeslán.
Report o komprovitovaných identitách je email s informacemi o uživatelských identitách, které v uplynulém měsíci provedly úspěšné autentizace v geograficky vzdálených lokalitách (zdrojem informací o pokrytí jsou soubory institution.xml poskytované zapojenými organizacemi) v krátkém časovém intervalu. Report je odesílán všem správcům pro všechny realmy, pro které mají povolené notifikace. V případě, že nejsou pro daný realm dostupná žádná data, není report odeslán.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz