Haka-resurssirekisterin yhteyteen on toteutettu palvelu, joka kerää kotiorganisaatioilta tilastotietoa tunnistuslähteen suorittamien Haka-kirjautumisten määrästä. Haka-resurssirekisterissä on myös käyttöliittymä, jolla tilastotietoa pääsee kaavioiden avulla tarkastelemaan. Käyttöliittymän kaavioista pääsee pureutumaan syvemmälle kirjautumistapahtumien määriin kutakin tietoa klikkaamalla aina kuukauden, tunnistuslähteen tai palvelun tarkkuudella. Tilastotiedon tarkastelu vaatii Haka-kirjautumisen. Käyttöliittymä on osoitteessa https://rr.funet.fi/rr/stats.php

Tilastointi uudistettiin vuoden 2013 lopulla. Uudella menetelmällä kerättävät tiedot käsittävät kirjautumisten yhteismäärän sekä kirjautumisten jakaantumisen palvelukohtaisesti. Sellaista tietoa, josta pystyisi yksilöimään kirjautuneen käyttäjän, ei kerätä.

Hakan kirjautumistilastoja kerätään IdP-palvelimilta haettavien siirtotiedostojen avulla. Haka-operointitiimi lataa siirtotiedostot IdP-ylläpitäjien ilmoittamista https-osoitteista kerran kuussa.

1. Siirtotiedosto-osoitteen lisääminen Resurssirekisteriin

IdP-ylläpitäjä voi lisätä kotiorganisaationsa IdP:n tilastosiirtotiedostoja sisältävän kansion polun suoraan Resurssirekisteriin IdP:n tietoihin(Muokkaa --> Statistics-välilehti).

2. Tilastosiirtotiedoston luonti IdP:llä

CSC:n käyttämä tilastosiirtotiedosto pohjautuu Shibboleth-ohjelmiston yhteyteen toteutettuun lokianalyysityökaluun. Scriptin avulla voidaan lasketaan IdP:stä eri SP-palvelimille kohdistuneita kirjautumisia IdP:n audit-logeja hyödyntäen. CSC:llä on tehty pieniä muutoksia scriptiin Haka-tilastojen keräämisen helpottamiseksi.

Tilastosiirtotiedostot tulee pitää jaossa siten, että operaattori pääsee lukemaan niitä https-yhteyden ylitse.

Varmistaaksesi IdP:lläsi luotavan siirtotiedoston oikeanlaisen sisällön ja muodon, lataa CSC:n muokkaama loganalysisCSC -skripti IdP:llesi täältä. Huom. Skripti tarvitsee IdP:n entityId-tiedon päivittämisen riville 185:

185: IdPEntityId | [IdP EntityId]
esim. 
185: IdPEntityId | https://idp.csc.fi/idp/shibboleth

Hakan tilastosiirtotiedoston nimeämiskäytäntö IdP:n luomille tiedostoille on seuraava:

HakaStatistics_[vvvv-kk]_[IdP_hostname].txt
esim. 
HakaStatistics_2013-10_idp.csc.fi.txt

Haka-operaattorin vaatima tilastosiirtotiedostomuoto on seuraava ('date' viittaa kuukauteen, jota tilastot koskevat):

IdPEntityId | [IdP EntityId]
date | [yyyy-mm]

logins   | relyingPartyId
-------------------------
[num of logins]     | [SP EntityId 1]
[num of logins]     | [SP EntityId 2]
[num of logins]     | [SP EntityId.....n]

Esimerkki Hakan tilastosiirtotiedoston sisällöstä:

IdPEntityId | https://idp.csc.fi/idp/shibboleth
date | 2013-08

logins   | relyingPartyId
-------------------------
123      | https://aai.csc.fi
456      | https://kotaplus.csc.fi
7890     | https://sui.csc.fi/shibboleth

Skriptin loganalysisCSC luomaa tiedostoa kannattaa testailla komentorivillä tyyliin:

/location/loganalysisCSC.py -n /log/shibboleth-idp/idp-audit-$(date --date="last month" +%Y-%m)* \
> /outfile/location/HakaStatistics_$(date --date="last month" +%Y-%m)_idp.csc.fi.txt 2>&1

Tarvitset siis absoluuttisen polun skriptille, idp-audit.logien sijainnille sekä tulosteelle. Huomaathan myös että tilastosiirtotiedoston tulee sijaita hakemistossa, josta tuo voidaan noutaa https-protokollaa käyttäen.

Lopuksi komento voidaan antaa vaikka cronin ajettavaksi kertaalleen jokaisen kuukauden ensimmäisenä päivänä.

2 Comments

  1. Unknown User (tryhanen@oulu.fi)

    Näyttäisi, että lokianalyysityökalu ei tue IdP v3:sta. Onko IdP3:lle vastaavaa?

  2. Sami Silén

    Logianalyysityökalu parsii kyllä logeja, mutta vaati seuraavanlaisen muutoksen. Päivitin myös korjatun version sivuille.

    diff <OLD> <NEW> -w -B
    47c47

    < datetime,reqBind,reqId,rp,msgProfile,idp,respBind,respId,user,authnMeth,relAttribs,nameId,assertIds = event
    ---
    > datetime,reqBind,reqId,rp,msgProfile,idp,respBind,respId,user,authnMeth,relAttribs,nameId,assertIds,EOL = event