Passa al contenuto principale

Log retention GDPR

Scope

I log di accesso del reverse proxy Caddy su akira-mgmt-01-* sono log strutturati JSON usati per forensics, incident response, DSAR e breach notification. Il file canonico e' /var/log/caddy/access.log.

Retention

La retention operativa e' 90 giorni:

  • Caddy ruota /var/log/caddy/access.log a 100MiB.
  • Caddy conserva fino a 30 file ruotati.
  • roll_keep_for 90d elimina i file ruotati oltre 90 giorni.
  • Promtail spedisce gli stessi eventi a Loki con label job=caddy-access.

Se il volume supera 1GB/giorno, aumentare roll_size o ridurre la cardinalita' indicizzata in Promtail prima di estendere la retention.

Dati sensibili

Il Caddyfile filtra gli header sensibili prima della scrittura su disco:

  • Authorization
  • Cookie
  • Set-Cookie
  • Proxy-Authorization
  • X-Api-Key
  • Idempotency-Key hashato per correlazione senza esposizione del valore

Non aggiungere query parameter o header contenenti segreti ai dashboard.

DSAR

Per una richiesta DSAR sugli ultimi 90 giorni:

  1. Identificare gli identificativi ammessi dalla richiesta: user_id, user_email, IP sorgente o correlation id.

  2. Aprire Grafana Explore sul datasource Loki.

  3. Eseguire una query mirata, ad esempio:

    {job="caddy-access"} |~ "user@example.com|user_id=123"

  4. Esportare il risultato in JSON da Grafana Explore.

  5. Salvare l'export nel fascicolo della richiesta con data, operatore e query usata.

Incident response

Per breach notification o analisi forense:

{job="caddy-access", status=~"4..|5.."}

Usare il dashboard Caddy Access per:

  • richieste/sec per status code;
  • top path nell'ultima ora;
  • top IP client;
  • p50/p95/p99 latency;
  • trend 5xx;
  • rate 401/403.

Correlare gli orari con log backend tramite X-Correlation-Id quando presente negli eventi applicativi.