15.3. ログの使用
15.3.1. コンソールでログの表示
サブシステムのトラブルシューティングを行うには、サーバーがログ記録したエラーまたは情報メッセージを確認します。ログファイルを調べると、サーバーの操作の多くの側面も監視できます。一部のログファイルは、コンソールで表示できます。ただし、監査ログには、「署名監査ログの使用」 で説明している方法を使用して、Auditor ロールを持つユーザーのみがアクセスできます。
アクティブまたはローテーションされたシステムログの内容を表示するには、次を実行します。
- コンソールにログインします。
- Status タブを選択します。
- Logs で表示するログを選択します。
- Display Options セクションで表示設定を行います。
- Entries: 表示するエントリーの最大数。この制限に達すると、Certificate System は検索要求に一致するエントリーを返します。ゼロ (0) はメッセージが返されないことを意味します。フィールドが空の場合、サーバーは見つかった数に関係なく、一致するすべてのエントリーを返します。
- Source: ログメッセージが表示される証明書システムコンポーネントまたはサービスを選択します。All を選択すると、このファイルにログ記録するすべてのコンポーネントによってログに記録されるメッセージが表示されます。
- レベル: メッセージのフィルターに使用するログレベルを表すメッセージカテゴリーを選択します。
- ファイル名: 表示するログファイルを選択します。現在アクティブなシステムログファイルを表示するには、Current を選択します。
- この表には、システムログエントリーが表示されます。エントリーは逆順で、最新のエントリーが一番上に置かれています。パネルの右にあるスクロールバーを使用して、ログエントリーを下方向にスクロールします。各エントリーには、以下の情報が表示されます。
- ソース: メッセージをログに記録したコンポーネントまたはリソース
- level: 対応するエントリーの重大度。
- Date: エントリーがログに記録された日付。
- 時間: エントリーがログに記録された時間。
- 詳細: ログの簡単な説明
- 完全なエントリーを表示するには、エントリーをダブルクリックしてそのエントリーを選択し、をクリックします。
15.3.2. 署名監査ログの使用
このセクションでは、署名された監査ログを Auditor グループのユーザーが表示および検証する方法を説明します。
15.3.2.1. 監査ログの一覧表示
auditor 権限を持つユーザーは、pki subsystem-audit-file-find コマンドを使用して、サーバー上の既存の監査ログファイルを一覧表示します。
たとえば、
server.example.com
にホストされる CA の監査ログファイルを一覧表示するには、次のコマンドを実行します。
# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find ----------------- 3 entries matched ----------------- File name: ca_audit.20170331225716 Size: 2883 File name: ca_audit.20170401001030 Size: 189 File name: ca_audit Size: 6705 ---------------------------- Number of entries returned 3 ----------------------------
このコマンドは、CA に対して認証するために、
auditor
ディレクトリーに保存されている auditor ニックネームのあるクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、man ページの pki(1) を参照してください。
15.3.2.2. 監査ログのダウンロード
auditor 権限を持つユーザーとして、pki subsystem-audit-file-retrieve コマンドを使用して、サーバーから特定の監査ログをダウンロードします。
たとえば、
server.example.com
でホストされる CA から監査ログファイルをダウンロードするには、以下を実行します。
- 任意で、CA で利用可能なログファイルを一覧表示します。「監査ログの一覧表示」を参照してください。
- ログファイルをダウンロードします。たとえば、
ca_audit
ファイルをダウンロードします。# pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit
このコマンドは、CA に対して認証するために、auditor
ディレクトリーに保存されている auditor ニックネームのあるクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、man ページの pki(1) を参照してください。
ログファイルをダウンロードした後、
grep
ユーティリティーを使用して、特定のログエントリーを検索できます。
# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file
15.3.2.3. 署名済み監査ログの確認
監査ログの署名が有効な場合、監査権限を持つユーザーはログを確認することができます。
- NSS データベースを初期化し、CA 証明書をインポートします。詳細は、「pki CLI の初期化」 および『Red Hat Certificate System 9 計画、インストール、およびデプロイメントのガイド』の『NSS データベースへの証明書のインポート』セクションを参照してください。
- 監査署名証明書が PKI クライアントデータベースにない場合は、インポートします。
- 確認するサブシステムログについて監査署名証明書を検索します。以下に例を示します。
# pki ca-cert-find --name "CA Audit Signing Certificate" --------------- 1 entries found --------------- Serial Number: 0x5 Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE Status: VALID Type: X.509 version 3 Key Algorithm: PKCS #1 RSA with 2048-bit key Not Valid Before: Fri Jul 08 03:56:08 CEST 2016 Not Valid After: Thu Jun 28 03:56:08 CEST 2018 Issued On: Fri Jul 08 03:56:08 CEST 2016 Issued By: system ---------------------------- Number of entries returned 1 ----------------------------
- 監査署名証明書を PKI クライアントにインポートします。
# pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P" --------------------------------------------------- Imported certificate "CA Audit Signing Certificate" ---------------------------------------------------
- 監査ログをダウンロードします。「監査ログのダウンロード」を参照してください。
- 監査ログを確認します。
- 検証する監査ログファイルのリストを時系列で含むテキストファイルを作成します。以下に例を示します。
# cat > ~/audit.txt << EOF ca_audit.20170331225716 ca_audit.20170401001030 ca_audit EOF
AuditVerify
ユーティリティーを使用して署名を確認します。以下に例を示します。# AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \ -a ~/audit.txt Verification process complete. Valid signatures: 10 Invalid signatures: 0
AuditVerify
の使用方法は、AuditVerify(1) man ページを参照してください。
15.3.3. オペレーティングシステムレベルの監査ログの表示
注記
以下の手順を使用して Operating System 9 レベルの監査ログを表示するには、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』の『OS レベルの監査ログの有効化』セクションに従って
auditd
ロギングフレームワークを設定する必要があります。
オペレーティングシステムレベルのアクセスログを表示するには、root として
ausearch
ユーティリティーを使用するか、sudo
ユーティリティーを使用して特権ユーザーとして使用します。
15.3.3.1. 監査ログ削除イベントの表示
これらのイベントは、(rhcs_audit_deletion を使用して) キーが設定されているため、
-k
パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_deletion
15.3.3.2. シークレットおよび秘密鍵の NSS データベースへのアクセスの表示
これらのイベントは、(rhcs_audit_nssdb を使用して) キーが設定されているため、
-k
パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_nssdb
15.3.3.3. 時間変更イベントの表示
これらのイベントはキー化されるため (rhcs_audit_time_changeを使用)、
-k
パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_time_change
15.3.3.4. パッケージ更新イベントの表示
これらのイベントは、(SOFTWARE_UPDATE タイプの) タイプ付きメッセージであるため、
-m
パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -m SOFTWARE_UPDATE
15.3.3.5. PKI 設定変更の表示
これらのイベントは、(rhcs_audit_config を使用して) キーが設定されているため、
-k
パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_config
15.3.4. スマートカードのエラーコード
スマートカードは、TPS に特定のエラーコードを報告できます。これは、メッセージの原因に応じて TPS のデバッグログファイルに記録されます。
戻りコード | 説明 |
---|---|
一般的なエラーコード | |
6400 | 特定の診断なし |
6700 | Lc の誤った長さ |
6982 | セキュリティーステータスが満たされない |
6985 | 使用条件が満たされない |
6a86 | 間違った P1 P2 |
6d00 | 無効な命令 |
6e00 | 無効なクラス |
インストール読み込みエラー | |
6581 | メモリー障害 |
6a80 | データフィールドの誤ったパラメーター |
6a84 | 不十分なメモリー容量 |
6a88 | 参照データが見つからない |
削除エラー | |
6200 | アプリケーションを論理的に削除 |
6581 | メモリー障害 |
6985 | 参照データを削除できない |
6a88 | 参照データが見つからない |
6a82 | アプリケーションが見つからない |
6a80 | コマンドデータの値が正しくない |
データ取得エラー | |
6a88 | 参照データが見つからない |
ステータス取得エラー | |
6310 | より多くのデータが利用可能 |
6a88 | 参照データが見つからない |
6a80 | コマンドデータの値が正しくない |
読み込みエラー | |
6581 | メモリー障害 |
6a84 | 不十分なメモリー容量 |
6a86 | 間違った P1/P2 |
6985 | 使用条件が満たされない |