第12章 サブシステムログの設定
この章では、以下について説明します。
12.1. ログの管理
Certificate System サブシステムログファイルは、その特定のサブシステムインスタンス内の操作に関連するイベントを記録します。サブシステムごとに、インストール、アクセス、Web サーバーなどの問題について異なるログが保持されます。
すべてのサブシステムには同様のログ設定、オプション、および管理パスがあります。
12.1.1. ログの設定
ログはサブシステムの CS.cfg ファイルで設定します。署名付き監査ログやカスタムログなどの特別なログは、コンソールまたは設定ファイルからも作成できます。
監査ログは、CA、OCSP、TKS、および KRA サブシステムのサブシステムコンソールで設定できます。TPS ログは、設定ファイルでのみ設定されます。
- Configuration タブのナビゲーションツリーで Log を選択します。
Log Event Listener Management タブには、現在設定されているリスナーがリスト表示されます。
新しいログインスタンスを作成するには、 をクリックし、Select Log Event Listener Plug-in Implementation ウィンドウに表示されるリストからモジュールプラグインを選択します。
- Log Event Listener Editor ウィンドウでフィールドを設定または変更します。次の表に、各種パラメーターがリストされています。
| フィールド | 説明 |
|---|---|
| Log Event Listener ID | リスナーを識別する一意の名前を指定します。この名前には、文字 (aA から zZ)、数字 (0 から 9)、アンダースコア (_)、およびハイフン (-) を使用できますが、他の文字やスペースは使用できません。 |
| type |
ログファイルのタイプを指定します。たとえば、 |
| enabled |
ログがアクティブかどうかを設定します。有効にするログのみがイベントを記録します。値は |
| level | テキストフィールドにログレベルを設定します。このレベルは、フィールドに手動で入力する必要があります。選択メニューはありません。Debug、Information、Warning、Failure、Misconfiguration、Catastrophe、および Security を選択できます。詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 13.1.2 ログレベル (メッセージカテゴリー) を参照してください。 |
| fileName | ログファイルへのファイル名を含む完全パスを指定します。サブシステムユーザーには、ファイルに対する読み取り/書き込み権限が必要です。[id=""] |
| bufferSize | ログのキロバイトサイズ (KB) のバッファーサイズを設定します。バッファーがこのサイズに達すると、バッファーの内容はフラッシュされ、ログファイルにコピーされます。デフォルトのサイズは 512 KB です。バッファーが設定されたロギングの詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 13.1.3 バッファーが設定されたロギングとバッファー未設定のロギング を参照してください。 |
| flushInterval | バッファーの内容がフラッシュされてログファイルに追加されるまでの時間を設定します。デフォルトの間隔は 5 秒です。 |
| maxFileSize | ローテーションされる前に可能なログファイルのサイズをキロバイト (KB) 単位で設定できます。このサイズに達すると、ファイルはローテーションファイルにコピーされ、ログファイルが新たに開始されます。ログファイルのローテーションの詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 13.1.4 ログファイルのローテーション を参照してください。デフォルトのサイズは 2000 KB です。 |
| rolloverInterval | アクティブなログファイルをローテートするようにサーバーの頻度を設定します。利用可能なオプションは hourly、daily、weekly、monthly、および yearly です。デフォルト値は 2592000 で、これは monthly を秒数で表しています。詳細は、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 13.1.4 ログファイルのローテーション を参照してください。 |
インストール後の設定では、デプロイメント前に設定ファイルを更新することで、いくつかの設定を直接変更することができます。その中の 1 つがログ設定です。
CS.cfg ファイルを編集するか、pki-server コマンドを実行してログを設定する方法については、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の第 13 章 CS.cfg ファイルでのログ設定 を参照してください。
12.1.2. 監査ログの管理
監査ログには、記録可能なイベントとして設定されたイベントのレコードが含まれます。logSigning 属性が true に設定されている場合、監査ログはサーバーに属するログ署名証明書で署名されます。この証明書は、ログが改ざんされていないことを確認するために監査人が使用できます。
デフォルトでは、通常の監査ログは他のログタイプとともに /var/log/pki/instance_name/subsystem_name/ ディレクトリーに置かれ、署名付き監査ログは /var/log/pki/instance_name/subsystem_name/signedAudit/ に書き込まれます。ログのデフォルトの場所を変更するには、設定を変更してください。
署名付き監査ログは任意です。これを有効にするには、「コンソールでの署名付き監査ログの設定」 を参照してください。
署名された監査ログは、ログ録画システムイベントを作成し、イベントが潜在的なイベントリストから選択されます。有効にすると、署名された監査ログは、選択したイベントアクティビティーに関するメッセージの詳細セットを記録します。
署名付き監査ログは、インスタンスの初回作成時にデフォルトで設定されますが、インストール後に署名済み監査ログを設定することができます。(「インストール後の署名付き監査ロギングの有効化」 を参照してください。)「コンソールでの署名付き監査ログの設定」 で説明されているように、設定後に設定の編集や署名証明書の変更も可能です。
12.1.2.1. 監査イベントのリスト
Certificate System の監査イベントのリストは、付録E 監査イベント を参照してください。
12.1.2.2. インストール後の署名付き監査ロギングの有効化
デフォルトでは、監査ロギングはインストール時に有効になります。ただし、インストール後にログ署名を手動で有効にする必要があります。インストールガイドの「署名付き監査ログの有効化」を参照してください。
12.1.2.3. コンソールでの署名付き監査ログの設定
署名付き監査ログは、インスタンスの初回作成時にデフォルトで設定されますが、設定後に設定を編集するか、署名証明書を変更することが可能です。
署名された監査ログは大きくなる可能性があるため、ファイルシステムに十分なスペースを確保してください。
logSigning パラメーターを enable に設定し、ログの署名に使用される証明書のニックネームを指定することにより、ログが署名付き監査ログに設定されます。特別なログ署名証明書は、サブシステムの初回設定時に作成されます。
auditor 権限を持つユーザーのみが、署名済み監査ログにアクセスでき、表示できます。監査担当者は、AuditVerify ツールを使用して、署名付き監査ログが改ざんされていないことを確認できます。
署名付き監査ログはサブシステムの設定時に作成され、有効になりますが、監査ログの作成および署名を行うには追加の設定が必要になります。
コンソールを開きます。
注記CS.cfgファイルを編集して監査ログを作成または設定するには、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の第 13 章 CS.cfg ファイルでのログの設定 を参照してください。- Configuration タブのナビゲーションツリーで Log を選択します。
- Log Event Listener Management タブで、SignedAudit エントリーを選択します。
- をクリックします。
Log Event Listener Editor ウィンドウでは、3 つのフィールドをリセットする必要があります。
signedAuditCertNickname を入力します。これは、監査ログの署名に使用される証明書のニックネームです。監査署名証明書は、サブシステムの設定時に作成され、
auditSigningCert cert-instance_name__subsystem_nameのようなニックネームを持ちます。注記監査署名証明書のニックネームを取得するには、
certutilを使用してサブシステムの証明書データベースの証明書を一覧表示します。以下に例を示します。certutil -L -d /var/lib/pki-tomcat/alias Certificate Authority - Example Domain CT,c, subsystemCert cert-pki-tomcat u,u,u Server-Cert cert-pki-tomcat u,u,u auditSigningCert cert-pki-tomcat CA u,u,Pu
-
logSigning フィールドを
trueに設定して、署名付きロギングを有効にします。 - 監査ログに記録される イベント を設定します。付録E 監査イベント ログ可能なイベントをリスト表示します。ログイベントは、空白のないコンマで区切ります。
ファイル名、ログレベル、ファイルサイズ、ローテーションスケジュールなど、ログに関するその他の設定を行います。
注記デフォルトでは、通常の監査ログは他のログタイプとともに
/var/log/pki/instance_name/subsystem_name/ディレクトリーに置かれ、署名付き監査ログは/var/log/pki/instance_name/subsystem_name/signedAudit/に書き込まれます。ログのデフォルトの場所を変更するには、設定を変更してください。- ログ設定を保存します。
署名付き監査ログを有効にした後、ユーザーを作成し、そのエントリーを監査人グループに割り当てることにより、監査人ユーザーを割り当てます。監査グループのメンバーは、署名された監査ログを表示して検証できる唯一のユーザーです。監査人の設定に関する詳細は、「ロールユーザーの作成」 を参照してください。
監査人は、AuditVerify ツールを使用してログを確認できます。このツールの使用方法は、AuditVerify(1) の man ページを参照してください。
12.1.2.4. 監査ロギングエラーの処理
監査ロギング機能が失敗する可能性があるイベントがあるため、イベントをログに書き込むことができません。たとえば、監査ログファイルが含まれるファイルシステムが満杯であったり、ログファイルのファイル権限が誤って変更されると、監査ログのロギングが失敗する可能性があります。監査ロギングが失敗すると、Certificate System インスタンスは以下のようにシャットダウンします。
- サーブレットが無効になり、新しいリクエストを処理しません。
- 保留中のリクエストと新しいリクエストはすべて強制終了されます。
- サブシステムがシャットダウンしています。
これが発生すると、管理者と監査人はオペレーティングシステム管理者と協力して、ディスク領域またはファイルパーティションの問題を解決する必要があります。IT の問題が解決したら、監査人は最後の監査ログエントリーが署名されていることを確認する必要があります。そうでない場合は、今後監査検証の失敗を防ぐために、手動で署名してアーカイブし、削除する必要があります。これが完了すると、管理者は Certificate System を再起動することができます。
