サポートコンソール開発者トライアルの開始お問い合わせ

16.3. ログの使用

16.3.1. コンソールでログの表示

サブシステムのトラブルシューティングを行うには、サーバーがログ記録したエラーまたは情報メッセージを確認します。ログファイルを調べると、サーバーの操作の多くの側面も監視できます。一部のログファイルは、コンソールで表示できます。ただし、監査ログには、「署名監査ログの使用」 で説明している方法を使用して、Auditor ロールを持つユーザーのみがアクセスできます。
ログファイルの内容を表示するには、次の手順を実行します。
  1. コンソールにログインします。
  2. Status タブを選択します。
  3. Logs で表示するログを選択します。
  4. Display Options セクションで表示設定を行います。
    • Entries: 表示するエントリーの最大数。この制限に達すると、Certificate System は検索要求に一致するエントリーを返します。ゼロ (0) はメッセージが返されないことを意味します。フィールドが空の場合、サーバーは見つかった数に関係なく、一致するすべてのエントリーを返します。
    • Source: ログメッセージが表示される証明書システムコンポーネントまたはサービスを選択します。All を選択すると、このファイルにログ記録するすべてのコンポーネントによってログに記録されるメッセージが表示されます。
    • Level — メッセージのフィルタリングに使用するログレベルを表すメッセージカテゴリーを選択します。
    • Filename — 表示するログファイルを選択します。
  5. Refresh をクリックします。
  6. 完全なエントリーを表示するには、エントリーをダブルクリックしてそのエントリーを選択し、View をクリックします。

16.3.2. 署名監査ログの使用

このセクションでは、署名された監査ログを Auditor グループのユーザーが表示および検証する方法を説明します。

16.3.2.1. 監査ログのリスト表示

auditor 権限を持つユーザーは、pki subsystem-audit-file-find コマンドを使用して、サーバー上の既存の監査ログファイルをリスト表示します。
たとえば、server.example.com にホストされる CA の監査ログファイルをリスト表示するには、次のコマンドを実行します。 
# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find
-----------------
3 entries matched
-----------------
	File name: ca_audit.20170331225716
	Size: 2883

	File name: ca_audit.20170401001030
	Size: 189

	File name: ca_audit
	Size: 6705
----------------------------
Number of entries returned 3
----------------------------
このコマンドは、CA に対して認証するために、auditor ディレクトリーに保存されている auditor ニックネームのあるクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、man ページの pki(1) を参照してください。

16.3.2.2. 監査ログのダウンロード

auditor 権限を持つユーザーとして、pki subsystem-audit-file-retrieve コマンドを使用して、サーバーから特定の監査ログをダウンロードします。
たとえば、server.example.com でホストされる CA から監査ログファイルをダウンロードするには、以下を実行します。
  1. 任意で、CA で利用可能なログファイルをリスト表示します。「監査ログのリスト表示」 を参照してください。
  2. ログファイルをダウンロードします。たとえば、ca_audit ファイルをダウンロードします。 
    # pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit
    このコマンドは、CA に対して認証するために、auditor ディレクトリーに保存されている auditor ニックネームのあるクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、man ページの pki(1) を参照してください。
ログファイルをダウンロードした後、grep ユーティリティーを使用して、特定のログエントリーを検索できます。 
# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file

16.3.2.3. 署名済み監査ログの確認

監査ログの署名が有効な場合、監査権限を持つユーザーはログを確認することができます。
  1. NSS データベースを初期化し、CA 証明書をインポートします。詳細は、「pki CLI の初期化」 および 『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』 の NSS データベースへの証明書のインポート セクションを参照してください。
  2. 監査署名証明書が PKI クライアントデータベースにない場合は、インポートします。
    1. 確認するサブシステムログについて監査署名証明書を検索します。以下に例を示します。 
      # pki ca-cert-find --name "CA Audit Signing Certificate"
---------------
1 entries found
---------------
	Serial Number: 0x5
	Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE
	Status: VALID
	Type: X.509 version 3
	Key Algorithm: PKCS #1 RSA with 2048-bit key
	Not Valid Before: Fri Jul 08 03:56:08 CEST 2016
	Not Valid After: Thu Jun 28 03:56:08 CEST 2018
	Issued On: Fri Jul 08 03:56:08 CEST 2016
	Issued By: system
----------------------------
Number of entries returned 1
----------------------------
    2. 監査署名証明書を PKI クライアントにインポートします。 
      # pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P"
---------------------------------------------------
Imported certificate "CA Audit Signing Certificate"
---------------------------------------------------
  3. 監査ログをダウンロードします。「監査ログのダウンロード」 を参照してください。
  4. 監査ログを確認します。
    1. 検証する監査ログファイルのリストを時系列で含むテキストファイルを作成します。以下に例を示します。 
      # cat > ~/audit.txt << EOF
ca_audit.20170331225716
ca_audit.20170401001030
ca_audit
EOF
    2. AuditVerify ユーティリティーを使用して署名を確認します。以下に例を示します。 
      # AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \
		 -a ~/audit.txt
Verification process complete.
Valid signatures: 10
Invalid signatures: 0
      AuditVerify の使用方法は、AuditVerify(1) man ページを参照してください。

16.3.3. オペレーティングシステムレベルの監査ログの表示

注記
以下の手順を使用してオペレーティングシステムレベルの監査ログを表示するには、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』 の OS レベルの監査ログの有効化 セクションに従って auditd ロギングフレームワークを設定する必要があります。
オペレーティングシステムレベルのアクセスログを表示するには、root として ausearch ユーティリティーを使用するか、sudo ユーティリティーを使用して特権ユーザーとして使用します。

16.3.3.1. 監査ログ削除イベントの表示

これらのイベントは、(rhcs_audit_deletion を使用して) キーが設定されているため、-k パラメーターを使用して、そのキーに一致するイベントを検索します。 
# ausearch -k rhcs_audit_deletion

16.3.3.2. シークレットおよび秘密鍵の NSS データベースへのアクセスの表示

これらのイベントは、(rhcs_audit_nssdb を使用して) キーが設定されているため、-k パラメーターを使用して、そのキーに一致するイベントを検索します。 
# ausearch -k rhcs_audit_nssdb

16.3.3.3. 時間変更イベントの表示

これらのイベントはキー化されるため (rhcs_audit_time_changeを使用)、-k パラメーターを使用して、そのキーに一致するイベントを検索します。 
# ausearch -k rhcs_audit_time_change

16.3.3.4. パッケージ更新イベントの表示

これらのイベントは、(SOFTWARE_UPDATE タイプの) タイプ付きメッセージであるため、-m パラメーターを使用して、そのキーに一致するイベントを検索します。 
# ausearch -m SOFTWARE_UPDATE

16.3.3.5. PKI 設定変更の表示

これらのイベントは、(rhcs_audit_config を使用して) キーが設定されているため、-k パラメーターを使用して、そのキーに一致するイベントを検索します。 
# ausearch -k rhcs_audit_config

16.3.4. スマートカードのエラーコード

スマートカードは、TPS に特定のエラーコードを報告できます。これは、メッセージの原因に応じて TPS のデバッグログファイルに記録されます。
表16.5 スマートカードのエラーコード
戻りコード 説明
一般的なエラーコード  
6400 特定の診断なし
6700 Lc の誤った長さ
6982 セキュリティーステータスが満たされない
6985 使用条件が満たされない
6a86 間違った P1 P2
6d00 無効な命令
6e00 無効なクラス
インストール読み込みエラー  
6581 メモリー障害
6a80 データフィールドの誤ったパラメーター
6a84 不十分なメモリー容量
6a88 参照データが見つからない
削除エラー  
6200 アプリケーションを論理的に削除
6581 メモリー障害
6985 参照データを削除できない
6a88 参照データが見つからない
6a82 アプリケーションが見つからない
6a80 コマンドデータの値が正しくない
データ取得エラー  
6a88 参照データが見つからない
ステータス取得エラー  
6310 より多くのデータが利用可能
6a88 参照データが見つからない
6a80 コマンドデータの値が正しくない
読み込みエラー  
6581 メモリー障害
6a84 不十分なメモリー容量
6a86 間違った P1/P2
6985 使用条件が満たされない
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.