48 Auditing und Protokollierung mit AWX/Tower

48.1 Tower/AWX Logging-Konfiguration

AWX und Ansible Tower bieten umfassende Audit-Funktionen für Compliance und Sicherheitsüberwachung.

48.1.1 Aktivierung von Audit-Logging

Zentrale Log-Konfiguration in AWX:

• Activity Stream: Erfasst alle Benutzeraktionen und Systemereignisse
• Job Output: Detaillierte Protokolle aller Playbook-Ausführungen
• API Requests: Vollständige Nachverfolgung aller API-Zugriffe

48.1.2 Wichtige Audit-Metriken

Benutzeraktivitäten:

• Login/Logout-Ereignisse mit Zeitstempel und IP-Adresse
• Fehlgeschlagene Anmeldeversuche und Sperrungen
• Passwort-Änderungen und MFA-Events

Projektänderungen:

• SCM-Updates und Playbook-Synchronisationen
• Inventory-Modifikationen
• Template- und Workflow-Änderungen

Systemereignisse:

• Job-Ausführungen mit Start/Ende-Zeiten
• Fehlerhafte Playbook-Läufe mit Fehlercodes
• Ressourcennutzung und Performance-Metriken

48.1.3 Log-Retention und zentrale Speicherung

Konfiguration für externe Log-Systeme:

# AWX Settings für Syslog
LOGGING:
  handlers:
    syslog:
      class: 'logging.handlers.SysLogHandler'
      address: ['logserver.example.com', 514]
      facility: 'local0'
      formatter: 'simple'

Empfohlene Retention-Zeiten:

• Sicherheitsereignisse: 12 Monate minimum
• Job-Ausgaben: 6 Monate für reguläre Jobs
• API-Logs: 3 Monate für Debug-Zwecke
• Compliance-relevante Daten: Entsprechend regulatorischen Anforderungen

48.1.4 Event-Benachrichtigung und Monitoring

Automatische Benachrichtigungen konfigurieren:

• Slack/Teams-Integration: Für kritische Fehler und Sicherheitsereignisse
• E-Mail-Alerts: Bei fehlgeschlagenen privilegierten Operationen
• Webhook-Notifications: Für Integration in SIEM-Systeme

Beispiel-Notification-Template:

# AWX Notification für kritische Events
- name: "Security Alert"
  notification_type: "slack"
  webhook_url: "{{ slack_webhook_url }}"
  channel: "#security-alerts"
  conditions:
    - failed_job_with_elevated_privileges
    - multiple_failed_logins
    - unauthorized_inventory_changes

48.1.5 Log-Review und Compliance

Regelmäßige Review-Prozesse:

• Täglich: Überprüfung kritischer Sicherheitsereignisse
• Wöchentlich: Analyse von Fehlertrends und Anomalien
• Monatlich: Compliance-Reports und Trend-Analyse
• Quartalsweise: Vollständige Audit-Review mit Management

Automatisierte Compliance-Reports:

# Export von Audit-Daten für Compliance
awx-cli activity_stream list --format json \
  --created__gte="2024-01-01" \
  --created__lte="2024-12-31" > annual_audit_report.json

48.2 Integration in SIEM-Systeme

Vorbereitung für SIEM-Integration:

• Strukturierte Log-Formate (JSON) für automatische Parsing
• Korrelations-IDs für nachverfolgbare Events
• Standardisierte Severity-Level für automatische Alerting

Beispiel für strukturierte Logs:

{
  "timestamp": "2024-06-20T10:30:00Z",
  "event_type": "playbook_execution",
  "user": "admin@example.com",
  "project": "web-deployment",
  "inventory": "production",
  "success": true,
  "duration": "120s",
  "affected_hosts": ["web01", "web02", "web03"]
}