Documentation

Bahasa Indonesia

English
日本語

Bahasa Indonesia

English
日本語

Log Audit Keamanan & Integrasi Log Sistem

Cockpit mencatat riwayat keamanan dari setiap tindakan administratif, percobaan masuk, dan perubahan konfigurasi. Hal ini penting untuk melacak insiden keamanan dan perubahan pada sistem.

Apa itu Log Audit? 📝

💡 Analogi: Perekam Penerbangan (Black Box)

Bayangkan log audit keamanan seperti kotak hitam (black box) pesawat. Alat ini merekam setiap tombol yang ditekan pilot (administrator) dan respons dari pesawat (server) secara diam-diam. Jika sebuah mesin virtual mendadak hilang atau pengaturan diubah secara keliru, Anda tidak perlu menebak-nebak apa yang terjadi—Anda cukup membuka kotak hitam dan melihat daftar kronologis tindakan secara akurat.

Sistem secara otomatis mencatat kategori kejadian berikut:

  • Masuk & Keluar: Login sukses, logout, reset sandi, kegagalan masuk, dan akun yang terkunci.
  • Tindakan Mesin Virtual: Siapa yang membuat, menghapus, menyalakan, mematikan, atau memindahkan mesin virtual.
  • Perubahan Jaringan & Disk: Membuat switch jaringan virtual, memformat ruang penyimpanan, atau mendaftarkan koneksi penyimpanan baru.
  • Perubahan Hak Akses: Membuat akun pengguna, mengubah grup pengguna, atau menetapkan hak akses terbatas ke folder tertentu.

Format Log: Apa saja yang dicatat?

Setiap entri log berisi detail penting berikut agar Anda mendapatkan gambaran lengkap:

  • Timestamp: Tanggal dan waktu yang tepat (dalam format waktu UTC berpresisi tinggi) saat tindakan terjadi.
  • Subject (Siapa pelakunya?): Nama pengguna dan alamat IP jaringan dari administrator yang memicu tindakan tersebut.
  • Action (Apa yang terjadi?): Perintah atau panggilan API tertentu (misalnya VM_POWER_OFF atau USER_CREATED).
  • Object (Terhadap apa?): Kode identifikasi unik dan nama sumber daya yang diubah (misalnya VM sales-reporting-app).
  • Status: Apakah tindakan tersebut berhasil (Success), gagal (Failed - disertai pesan kesalahan), atau diblokir karena pengguna tidak memiliki hak akses (Unauthorized).

Meneruskan Log ke Gudang Keamanan Pusat (SIEM)

Di organisasi besar, tim keamanan menggunakan database log pusat yang disebut SIEM (Security Information and Event Management, seperti Splunk atau Elasticsearch) untuk memantau kejadian keamanan di seluruh perusahaan.

💡 Analogi: Mengalirkan Data Telemetri ke Darat

Daripada menyimpan log penerbangan hanya di dalam kotak hitam pesawat (yang bisa hilang jika server rusak), Cockpit dapat mengirimkan salinan langsung dari setiap entri log ke pusat kendali keamanan perusahaan Anda saat itu juga.

Cara mengatur pengiriman log (Syslog):

  1. Masuk ke Cockpit sebagai administrator.
  2. Buka menu Settings > System > Syslog Forwarding.
  3. Klik Add Forwarding Target.
  4. Tentukan pengaturan target:
    • Host: Alamat IP server log perusahaan Anda.
    • Protocol: UDP, TCP, atau TLS (kami menyarankan TLS karena mengenkripsi data log Anda).
    • Port: Biasanya 514 (port standar untuk log) atau port khusus yang diberikan oleh tim keamanan Anda.
    • Format: RFC 5424 (tata letak terstruktur standar) atau format JSON.
  5. Klik Save dan jalankan kembali layanan untuk mulai mengirimkan log.