Red Hat Summit17.3. ログの使用
17.3.1. コンソールでのログの表示
サブシステムのトラブルシューティングを行うには、サーバーがログ記録したエラーまたは情報メッセージを確認します。ログファイルを調べると、サーバー操作の多くの側面も監視できます。一部のログファイルは、コンソールで表示できます。ただし、監査ログには、「署名監査ログの使用」 で説明している方法を使用して、Auditor ロールを持つユーザーのみがアクセスできます。
ログファイルの内容を表示するには、次の手順を実行します。
- コンソールにログインします。
- Status タブを選択します。
- Logs で表示するログを選択します。
Display Options セクションで表示設定を行います。
- Entries- 表示するエントリーの最大数。この制限に達すると、Certificate System は検索要求に一致するエントリーを返します。ゼロ (0) はメッセージが返されないことを意味します。フィールドが空の場合、サーバーは見つかった数に関係なく、一致するすべてのエントリーを返します。
- Source- ログメッセージが表示される Certificate System コンポーネントまたはサービスを選択します。All を選択すると、このファイルにログ記録するすべてのコンポーネントによってログに記録されるメッセージが表示されます。
- Level- メッセージのフィルタリングに使用するログレベルを表すメッセージカテゴリーを選択します。
- Filename- 表示するログファイルを選択します。
- をクリックします。
- 完全なエントリーを表示するには、エントリーをダブルクリックしてそのエントリーを選択し、 をクリックします。
17.3.2. 署名監査ログの使用
このセクションでは、署名された監査ログを Auditor グループのユーザーが表示および検証する方法を説明します。
17.3.2.1. 監査ログのリスト表示
auditor 権限を持つユーザーは、pki subsystem-audit-file-find コマンドを使用して、サーバー上の既存の監査ログファイルをリスト表示します。
たとえば、server.example.com にホストされる CA の監査ログファイルをリスト表示するには、次のコマンドを実行します。
# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find ----------------- 3 entries matched ----------------- File name: ca_audit.20170331225716 Size: 2883 File name: ca_audit.20170401001030 Size: 189 File name: ca_audit Size: 6705 ---------------------------- Number of entries returned 3 ----------------------------
このコマンドは、CA に対して認証するために、~/.dogtag/nssdb/ ディレクトリーに保存されている auditor ニックネームを持つクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、pki(1) の man ページを参照してください。
17.3.2.2. 監査ログのダウンロード
監査人権限を持つユーザーとして、pki subsystem-audit-file-retrieve コマンドを使用して、サーバーから特定の監査ログをダウンロードします。
たとえば、server.example.com でホストされる CA から監査ログファイルをダウンロードするには、以下を実行します。
- 任意で、CA で利用可能なログファイルをリスト表示します。「監査ログのリスト表示」 を参照してください。
ログファイルをダウンロードします。たとえば、
ca`auditファイルをダウンロードするには以下を実行します。# pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit
このコマンドは、CA に対して認証するために、
~/.dogtag/nssdb/ディレクトリーに保存されている auditor ニックネームを持つクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、pki(1)の man ページを参照してください。
ログファイルをダウンロードした後、grep ユーティリティーを使用して、特定のログエントリーを検索できます。
# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file
17.3.2.3. 署名付き監査ログの確認
監査ログの署名が有効な場合、監査権限を持つユーザーはログを確認することができます。
- NSS データベースを初期化し、CA 証明書をインポートします。詳細は、「pki CLI の初期化」 および Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド の NSS データベースへの証明書のインポート セクションを参照してください。
監査署名証明書が PKI クライアントデータベースにない場合は、インポートします。
確認するサブシステムログについて監査署名証明書を検索します。以下に例を示します。
# pki ca-cert-find --name "CA Audit Signing Certificate" --------------- 1 entries found --------------- Serial Number: 0x5 Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE Status: VALID Type: X.509 version 3 Key Algorithm: PKCS #1 RSA with 2048-bit key Not Valid Before: Fri Jul 08 03:56:08 CEST 2016 Not Valid After: Thu Jun 28 03:56:08 CEST 2018 Issued On: Fri Jul 08 03:56:08 CEST 2016 Issued By: system ---------------------------- Number of entries returned 1 ----------------------------
監査署名証明書を PKI クライアントにインポートします。
# pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P" --------------------------------------------------- Imported certificate "CA Audit Signing Certificate" ---------------------------------------------------
- 監査ログをダウンロードします。「監査ログのダウンロード」 を参照してください。
監査ログを確認します。
検証する監査ログファイルのリストを時系列で含むテキストファイルを作成します。以下に例を示します。
# cat > ~/audit.txt << EOF ca_audit.20170331225716 ca_audit.20170401001030 ca_audit EOF
AuditVerifyユーティリティーを使用して署名を確認します。以下に例を示します。# AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \ -a ~/audit.txt Verification process complete. Valid signatures: 10 Invalid signatures: 0
AuditVerifyの使用に関する詳細は、AuditVerify(1)の man ページを参照してください。
17.3.3. オペレーティングシステムレベルの監査ログの表示
以下の手順を使用してオペレーティングシステムレベルの監査ログを表示するには、Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド の OS レベルの監査ログの有効化 セクションに従って auditd ロギングフレームワークを設定する必要があります。
オペレーティングシステムレベルのアクセスログを表示するには、root として ausearch ユーティリティーを使用するか、sudo ユーティリティーを使用して特権ユーザーとして使用します。
17.3.3.1. 監査ログ削除イベントの表示
これらのイベントは、(rhcs_audit_deletion を使用して) キーが設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。
# ausearch -k rhcs_audit_deletion
17.3.3.2. シークレットおよび秘密鍵の NSS データベースへのアクセスを表示する
これらのイベントには (rhcs_audit_nssdb を使用して) 鍵が設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。
# ausearch -k rhcs_audit_nssdb
17.3.3.3. 時間変更イベントの表示
これらのイベントには (rhcs_audit_time_change を使用して) 鍵が設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。
# ausearch -k rhcs_audit_time_change
17.3.3.4. パッケージ更新イベントの表示
これらのイベントは、(SOFTWARE_UPDATE タイプの) タイプ付きメッセージであるため、-m パラメーターを使用して、そのタイプに一致するイベントを検索します。
# ausearch -m SOFTWARE_UPDATE
17.3.3.5. PKI 設定変更の表示
これらのイベントは、(rhcs_audit_config を使用して) 鍵が設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。
# ausearch -k rhcs_audit_config
17.3.4. スマートカードのエラーコード
スマートカードは、TPS に特定のエラーコードを報告できます。これは、メッセージの原因に応じて TPS のデバッグログファイルに記録されます。
| 戻りコード | 説明 |
|---|---|
| 一般的なエラーコード | 6400 |
| 特定の診断なし | 6700 |
| Lc の誤った長さ | 6982 |
| セキュリティーステータスが満たされない | 6985 |
| 使用条件が満たされない | 6a86 |
| 間違った P1 P2 | 6d00 |
| 無効な命令 | 6e00 |
| 無効なクラス | インストール読み込みエラー |
| 6581 | メモリー障害 |
| 6a80 | データフィールドの誤ったパラメーター |
| 6a84 | 不十分なメモリー容量 |
| 6a88 | 参照データが見つからない |
| 削除エラー | 6200 |
| アプリケーションを論理的に削除 | 6581 |
| メモリー障害 | 6985 |
| 参照データを削除できない | 6a88 |
| 参照データが見つからない | 6a82 |
| アプリケーションが見つからない | 6a80 |
| コマンドデータの値が正しくない | データ取得エラー |
| 6a88 | 参照データが見つからない |
| ステータス取得エラー | 6310 |
| より多くのデータが利用可能 | 6a88 |
| 参照データが見つからない | 6a80 |
| コマンドデータの値が正しくない | 読み込みエラー |
| 6581 | メモリー障害 |
| 6a84 | 不十分なメモリー容量 |
| 6a86 | 間違った P1/P2 |
| 6985 | 使用条件が満たされない |
