Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

12.2. ログの使用

12.2.1. 署名付き監査ログの表示と検証

このセクションでは、署名された監査ログを Auditor グループのユーザーが表示および検証する方法を説明します。

12.2.1.1. 監査ログのリスト表示

監査人権限を持つユーザーは、pki subsystem-audit-file-find コマンドを使用して、サーバー上の既存の監査ログファイルをリスト表示します。

たとえば、server.example.com:8443 にホストされる CA の監査ログファイルをリスト表示するには、次のコマンドを実行します。 

# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find
-----------------
3 entries matched
-----------------
	File name: ca_audit.20170331225716
	Size: 2883

	File name: ca_audit.20170401001030
	Size: 189

	File name: ca_audit
	Size: 6705
----------------------------
Number of entries returned 3
----------------------------

このコマンドは、CA に対して認証するために、auditor ディレクトリーに保存されている auditor ニックネームを持つクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、pki(1) の man ページを参照してください。

12.2.1.2. 監査ログのダウンロード

監査人権限を持つユーザーとして、pki subsystem-audit-file-retrieve コマンドを使用して、サーバーから特定の監査ログをダウンロードします。

たとえば、server.example.com でホストされる CA から監査ログファイルをダウンロードするには、以下を実行します。

  1. 任意で、CA で利用可能なログファイルをリスト表示します。「監査ログのリスト表示」 を参照してください。

  2. ログファイルをダウンロードします。たとえば、ca_audit ファイルをダウンロードするには以下を実行します。 

    # pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit

    このコマンドは、CA に対して認証するために、auditor ディレクトリーに保存されている auditor ニックネームを持つクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、pki(1) の man ページを参照してください。

ログファイルをダウンロードした後、grep ユーティリティーを使用して、特定のログエントリーを検索できます。 

# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file

12.2.1.3. 署名付き監査ログの確認

監査ログの署名が有効な場合、監査権限を持つユーザーはログを確認することができます。

  1. NSS データベースを初期化し、CA 証明書をインポートします。詳細は、「pki CLI の初期化」および 計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 10.5 NSS データベースへの証明書のインポート を参照してください。

  2. 監査署名証明書が PKI クライアントデータベースにない場合は、インポートします。

    • 確認するサブシステムログについて監査署名証明書を検索します。以下に例を示します。 

      # pki ca-cert-find --name "CA Audit Signing Certificate"
---------------
1 entries found
---------------
	Serial Number: 0x5
	Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE
	Status: VALID
	Type: X.509 version 3
	Key Algorithm: PKCS #1 RSA with 2048-bit key
	Not Valid Before: Fri Jul 08 03:56:08 CEST 2016
	Not Valid After: Thu Jun 28 03:56:08 CEST 2018
	Issued On: Fri Jul 08 03:56:08 CEST 2016
	Issued By: system
----------------------------
Number of entries returned 1
----------------------------

    • 監査署名証明書を PKI クライアントにインポートします。 

      # pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P"
---------------------------------------------------
Imported certificate "CA Audit Signing Certificate"
---------------------------------------------------
  3. 監査ログをダウンロードします。「監査ログのダウンロード」 を参照してください。

  4. 監査ログを確認します。

    • 検証する監査ログファイルのリストを時系列で含むテキストファイルを作成します。以下に例を示します。 

      # cat > ~/audit.txt << EOF

ca_audit.20170331225716
ca_audit.20170401001030
ca_audit
EOF

    • AuditVerify ユーティリティーを使用して署名を確認します。以下に例を示します。 

      # AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \

		 -a ~/audit.txt
Verification process complete.
Valid signatures: 10
Invalid signatures: 0

      AuditVerify の使用に関する詳細は、AuditVerify(1) の man ページを参照してください。

12.2.1.4. pkiconsole を使用して署名付き監査ログを表示する

  1. Auditor ユーザーを使用して管理コンソールにログインします。 

    # pkiconsole -d /root/.dogtag/pki_ecc_bootstrap/certs_db/ -n ecc_SubCA_AuditV https://rhcs10.example.com:21443/ca

  2. 右側のナビゲーションメニューで Status を選択します。

    Selecting status

  3. log ドロップダウンから SignedAudit を選択します。

    Signed audit

  4. 監査イベントを選択し、View をクリックします。

    Viewing audit

12.2.2. 監査ログ以外のログの表示

PKI 管理者のサブシステムのトラブルシューティングを行うには、サーバーが記録したエラーメッセージまたは情報メッセージを確認します。ログファイルを調べると、サーバー操作の多くの側面も監視できます。

/var/lib/pki/<instance>/<subsystem type>/logs の下にあるデバッグログなど、監査ログ以外のログについては、オペレーティングシステム管理者に共有を依頼してください。

12.2.3. OS レベルの監査ログの表示

注記

以下の手順を使用してオペレーティングシステムレベルの監査ログを表示するには、計画、インストール、デプロイメントのガイド (Common Criteria Edition) の 13.2.1 OS レベルの監査ログの有効化 に従って、auditd ログフレームワークを設定する必要があります。

オペレーティングシステムレベルのアクセスログを表示するには、root として ausearch ユーティリティーを使用するか、sudo ユーティリティーを使用して特権ユーザーとして使用します。

12.2.3.1. 監査ログ削除イベントの表示

これらのイベントは、(rhcs_audit_deletion を使用して) キーが設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。 

# ausearch -k rhcs_audit_deletion

12.2.3.2. シークレットおよび秘密鍵の NSS データベースへのアクセスを表示する

これらのイベントには (rhcs_audit_nssdb を使用して) 鍵が設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。 

# ausearch -k rhcs_audit_nssdb

12.2.3.3. 時間変更イベントの表示

これらのイベントには (rhcs_audit_time_change を使用して) 鍵が設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。 

# ausearch -k rhcs_audit_time_change

12.2.3.4. パッケージ更新イベントの表示

これらのイベントは、(SOFTWARE_UPDATE タイプの) タイプ付きメッセージであるため、-m パラメーターを使用して、そのタイプに一致するイベントを検索します。 

# ausearch -m SOFTWARE_UPDATE

12.2.3.5. PKI 設定変更の表示

これらのイベントは、(rhcs_audit_config を使用して) 鍵が設定されているため、-k パラメーターを使用して、その鍵に一致するイベントを検索します。 

# ausearch -k rhcs_audit_config

12.2.4. スマートカードのエラーコード

スマートカードは、TPS に特定のエラーコードを報告できます。これは、メッセージの原因に応じて TPS のデバッグログファイルに記録されます。

表12.2 スマートカードのエラーコード
戻りコード説明

一般的なエラーコード

6400

特定の診断なし

6700

Lc の誤った長さ

6982

セキュリティーステータスが満たされない

6985

使用条件が満たされない

6a86

間違った P1 P2

6d00

無効な命令

6e00

無効なクラス

インストール読み込みエラー

6581

メモリー障害

6a80

データフィールドの誤ったパラメーター

6a84

不十分なメモリー容量

6a88

参照データが見つからない

削除エラー

6200

アプリケーションを論理的に削除

6581

メモリー障害

6985

参照データを削除できない

6a88

参照データが見つからない

6a82

アプリケーションが見つからない

6a80

コマンドデータの値が正しくない

データ取得エラー

6a88

参照データが見つからない

ステータス取得エラー

6310

より多くのデータが利用可能

6a88

参照データが見つからない

6a80

コマンドデータの値が正しくない

読み込みエラー

6581

メモリー障害

6a84

不十分なメモリー容量

6a86

間違った P1/P2

6985

使用条件が満たされない

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.