第13章 サブシステムログの設定
ログの概要については、『Red Hat Certificate System 9 Planning、Installation and Deployment Guide (Common Criteria Edition)』 の 『Certificate System Architecture Overview』 セクションの 『Logs』 セクションを参照してください。
インストール中のログ設定および追加情報については、『Red Hat Certificate System 9 Planning、Installation and Deployment Guide (Common Criteria Edition)』 の 『Configuring Logs』 セクションを参照してください。
13.1. ログの管理
Certificate System サブシステムログファイルは、その特定のサブシステムインスタンス内の操作に関連するイベントを記録します。サブシステムごとに、インストール、アクセス、Web サーバーなどの問題について異なるログが保持されます。
すべてのサブシステムには同様のログ設定、オプション、および管理パスがあります。
13.1.1. コンソールでログの設定
ログはサブシステムコンソールから設定できます。署名付き監査ログやカスタムログなどの特別なログは、コンソールまたは設定ファイルからも作成できます。
- Configuration タブのナビゲーションツリーで Log を選択します。
- ログイベントリスナー管理 タブには、現在設定されているリスナーが一覧表示されます。新しいログインスタンスを作成するには、 をクリックし、Select Log Event Listener Plug-in Implementation ウィンドウの一覧からモジュールプラグインを選択します。
- Log Event Listener Editor ウィンドウでフィールドを設定または変更します。さまざまなパラメーターが 表13.1「ログイベントリスナーフィールド」 に一覧表示されます。
| フィールド | 説明 |
|---|---|
| Log Event Listener ID | リスナーを識別する一意の名前を指定します。この名前には、文字 (aA から zZ)、数字 (0 から 9)、アンダースコア (_)、およびハイフン (-) を使用できますが、他の文字やスペースは使用できません。 |
| type | ログファイルのタイプを指定します。システム はエラーおよびシステムログを作成します。トランザクション は監査ログを記録します。 |
| enabled | ログがアクティブかどうかを設定します。有効にするログのみがイベントを記録します。値は true または false です。 |
| level | テキストフィールドにログレベルを設定します。このレベルは、フィールドに手動で入力する必要があります。選択メニューはありません。Debug、Information、Warning、Failure、Misconfiguration、Catastrophe、および Security を選択できます。 |
| fileName | ログファイルへのファイル名を含む完全パスを指定します。サブシステムユーザーには、ファイルへの読み書きパーミッションがなければなりません。 |
| bufferSize | ログのキロバイトサイズ (KB) のバッファーサイズを設定します。バッファーがこのサイズに達すると、バッファーの内容はフラッシュされ、ログファイルにコピーされます。デフォルトのサイズは 512 KB です。 |
| flushInterval | バッファーの内容がフラッシュされてログファイルに追加されるまでの時間を設定します。デフォルトの間隔は 5 秒です。 |
| maxFileSize | ローテーションされる前に可能なログファイルのサイズをキロバイト (KB) 単位で設定できます。このサイズに達すると、ファイルはローテーションファイルにコピーされ、ログファイルが新たに開始されます。デフォルトのサイズは 2000 KB です。 |
| rolloverInterval | アクティブなログファイルをローテートするようにサーバーの頻度を設定します。利用可能なオプションは hourly、daily、weekly、monthly、および yearly です。デフォルトは monthly です。 |
13.1.2. 監査ログの管理
監査ログには、記録可能なイベントとして設定されたイベントの監査レコードが含まれます。『Red Hat Certificate System 9 Planning、Installation and Deployment Guide (Common Criteria Edition)』 の Enable 『and Configuring Signed Audit Logs』 セクションで説明されているように、監査ログ署名オプションを有効にした場合、監査ログは、に属するログ署名証明書で署名されます。サーバー。この証明書は、ログが改ざんされていないことを確認するために監査人が使用できます。
注記
署名付き監査ログは任意です。これを有効にするには、「コンソールでの署名監査ログの設定」 を参照してください。
デフォルトでは、通常の監査ログは
/var/log/pki/instance_name/subsystem_name/ ディレクトリーと他のタイプのログにありますが、署名済み監査ログは /var/log/pki/instance_name/subsystem_name/signedAudit/ に書き込まれます。ログのデフォルトの場所を変更するには、設定を変更してください。
署名された監査ログは、ログ録画システムイベントを作成し、イベントが潜在的なイベント一覧から選択されます。有効にすると、署名された監査ログは、選択したイベントアクティビティーに関するメッセージの詳細セットを記録します。
「コンソールでの署名監査ログの設定」 で説明されているように、設定後に設定の編集や署名証明書の変更も可能です。
13.1.2.1. コンソールでの署名監査ログの設定
署名付き監査ログは、インスタンスの初回作成時にデフォルトで設定されますが、インストール後に設定を編集するか、署名証明書を変更することができます。
注記
署名された監査ログは大きくなる可能性があるため、ファイルシステムに十分なスペースを確保してください。
logSigning パラメーターを enable に設定し、ログの署名に使用される証明書のニックネームを指定することにより、ログが署名済み監査ログに設定されます。特別なログ署名証明書は、サブシステムの初回設定時に作成されます。
auditor 権限を持つユーザーのみが、署名済み監査ログにアクセスでき、表示できます。監査担当者は、AuditVerify ツールを使用して、署名済み監査ログが改ざんされていないことを確認できます。
署名付き監査ログはサブシステムの設定時に作成され、有効になりますが、監査ログの作成および署名を行うには追加の設定が必要になります。
- コンソールを開きます。
- Configuration タブのナビゲーションツリーで Log を選択します。
- ログイベントリスナー管理 タブで、SignedAudit エントリーを選択します。
- をクリックします。
- Log Event Listener Editor ウィンドウでリセットする必要があるフィールドは 2 つあります。
- logSigning フィールドを true に設定して、署名済みロギングを有効にします。注記よりきめ細かい監査イベントを選択するには、インストール設定時に監査イベントフィルターを設定します。詳細は、『Red Hat Certificate System Planning、Installation、and Deployment Guide (Common Criteria Edition)』 の 『Filtering Audit Events』 セクションを参照してください。
- 監査ログに記録される イベント を設定します。付録E 監査イベント ログ可能なイベントを一覧表示します。ログイベントは、空白のないコンマで区切ります。
- ログ設定を保存します。
署名付き監査ログを有効にした後、ユーザーを作成し、そのエントリーを監査人グループに割り当てることにより、監査人ユーザーを割り当てます。監査グループのメンバーは、署名された監査ログを表示して検証できる唯一のユーザーです。auditors の設定に関する詳細は、「ユーザーの作成」 を参照してください。
監査担当者は、AuditVerify ツールを使用してログを確認できます。このツールの使用方法は、man ページの
AuditVerify(1) を参照してください。詳細は、「署名監査ログの使用」 を参照します。
13.1.2.2. 監査ロギングエラーの処理
監査ロギング機能が失敗する可能性があるイベントがあるため、イベントをログに書き込むことができません。たとえば、監査ログファイルが含まれるファイルシステムが満杯であったり、ログファイルのファイル権限が誤って変更されると、監査ログのロギングが失敗する可能性があります。
ログ署名が有効で、監査ログが失敗した場合、Certificate System インスタンスは次の方法でシャットダウンします。
- サーブレットが無効になり、新しいリクエストを処理しません。
- 保留中のリクエストと新しいリクエストはすべて強制終了されます。
- サブシステムがシャットダウンしています。
これが発生すると、管理者と監査人はオペレーティングシステム管理者と協力して、ディスク領域またはファイルパーティションの問題を解決する必要があります。IT の問題が解決したら、監査人は最後の監査ログエントリーが署名されていることを確認する必要があります。これが完了すると、管理者は Certificate System を再起動することができます。
