第 12 章 配置子系统日志
本章论述了…
- 有关日志的概述,请参阅 规划、安装和部署指南(标准版) 第 2 章中的 2.3.14 日志。
- 有关安装期间的日志配置和其他信息,请参阅 规划、安装和部署指南(标准版)中的第 13 章配置日志。https://access.redhat.com/documentation/zh-cn/red_hat_certificate_system/10/html/administration_guide_common_criteria_edition/configuring_logs
12.1. 管理日志
证书系统子系统日志文件记录与该特定子系统实例中操作相关的事件。对于每个子系统,会保留不同的日志,如安装、访问和 Web 服务器。
所有子系统都有类似的日志配置、选项和管理路径。
12.1.1. 配置日志
日志通过子系统的 CS.cfg 文件进行配置。还可以通过控制台或配置文件创建专用日志,如签名的审计日志和自定义日志。
审计日志可以通过 CA、OCSP、TKS 和 KRA 子系统的子系统控制台配置。TPS 日志仅通过配置文件进行配置。
- 在 Configuration 选项卡的导航树中,选择 Log。
Log Event Listener Management 选项卡列出了当前配置的监听程序。
要创建新日志实例,请单击 ,然后从 Select Log Event Listener Plug-in Implementation 窗口中的列表中选择模块插件。
- 在 Log Event Listener Editor 窗口中设置或修改字段。下表中列出了不同的参数。
| 字段 | 描述 |
|---|---|
| 日志事件 Listener ID | 提供标识侦听器的唯一名称。名称可以有任意组合字母(A 到 zZ)、数字(0 到 9)、下划线(_)和连字符(-),但它不能包含其他字符或空格。 |
| type |
提供日志文件的类型。例如 |
| enabled |
设置日志是否活跃。只有启用的日志会实际记录事件。该值可以是 |
| level | 在文本字段中设置日志级别。该级别必须在字段中手动输入;没有选择菜单。选择为 Debug,Information,Warning,Failure,Misconfiguration,Catastrophe, 和 Security。如需更多信息,请参阅 规划、安装和部署指南(Common criteria Edition)中的 13.1.2 Log Levels (Message Categories) 。 |
| fileName | 为日志文件提供完整路径,包括文件名。子系统用户应具有对文件的读/写权限。[id=""] |
| bufferSize | 设置日志的 KB (以 KB 为单位)的缓冲区大小。缓冲区达到这个大小后,缓冲区的内容将清空并复制到日志文件中。默认大小为 512 KB。有关缓冲的日志的更多信息,请参阅 规划、安装和部署指南(Common criteria Edition) 中的 13.1.3 缓冲和未缓冲的日志。 |
| flushInterval | 设置缓冲区内容清空并添加到日志文件中的时间。默认间隔为 5 秒。 |
| maxFileSize | 设置大小(以 KB 为单位),在轮转日志文件之前将其变为。达到此大小后,该文件将复制到轮转的文件中,并且会启动新的日志文件。有关日志文件轮转的更多信息,请参阅 规划、安装和部署指南中的 13.1.4 日志文件轮转 (通用标准版 )。默认大小为 2000 KB。 |
| rolloverInterval | 设置服务器频率以轮转活动日志文件。可用的选项包括每小时、每天、每周、每月和每年。默认值为 2592000,代表每月的(以秒为单位)。如需更多信息,请参阅 规划、安装和部署指南(通用标准版) 中的 13.1.4 日志文件轮转。 |
在安装后配置过程中,您有机会通过在部署前更新配置文件来直接进行一些配置更改。日志配置是其中一个操作。
有关如何通过编辑 CS.cfg 文件或运行 pki-server 命令配置日志的说明,请参阅 规划、安装和部署指南中的 CS.cfg 文件中的配置日志(Common标准版本)。
12.1.2. 管理审计日志
审计日志包含已设置为可记录事件的事件的记录。如果 logSigning 属性设为 true,则审计日志将使用属于该服务器的日志签名证书进行签名。审核员可以使用此证书来验证日志没有被篡改。
默认情况下,常规审计日志位于 /var/log/pki/instance_name/subsystem_name/ subsystem_name/ 目录中,而签名的审计日志会被写入 /var/log/pki/instance_name/subsystem_name/signedAudit/。可以通过修改配置来更改日志的默认位置。
签名的审计日志是可选的。要启用它们,请参阅 第 12.1.2.3 节 “在控制台中配置签名的审计日志”
签名的审计日志会创建一个日志记录系统事件,并从潜在的事件列表中选择事件。启用后,签名的审计日志会记录关于所选事件活动的详细消息集合。
在实例首次创建时,默认配置签名的审计日志,但可在安装后配置签名的审计日志。(请参阅 第 12.1.2.2 节 “安装后启用签名的审计日志记录”。)也可以在配置后编辑配置或更改签名证书,如 第 12.1.2.3 节 “在控制台中配置签名的审计日志” 所述。
12.1.2.1. 审计事件列表
有关证书系统中审计事件列表,请参考 附录 E, 审计事件。
12.1.2.2. 安装后启用签名的审计日志记录
默认情况下,在安装时会启用审计日志记录。但是,您需要在安装后手动启用日志签名。请参阅安装指南中的"启用签名的审计日志记录"。
12.1.2.3. 在控制台中配置签名的审计日志
在实例首次创建时,默认配置签名的审计日志,但可以在配置后编辑配置或更改签名证书。
在文件系统中为签名的审计日志提供足够的空间,因为它们可能较大。
通过设置 logSigning 参数,将日志设置为签名的审计日志,以启用 并提供用于为日志签名的证书的别名。首次配置子系统时,会创建特殊的日志签名证书。
只有具有审核员权限的用户才能访问和查看签名的审计日志。审核员可以使用 AuditVerify 工具来验证签名的审计日志没有被修改。
配置子系统时,会创建并启用签名的审计日志,但它需要额外的配置才能开始创建和签名审计日志。
打开控制台。
注意要通过编辑
CS.cfg文件来创建和配置审计日志,请参阅 规划、安装和部署指南中的 CS.cfg 文件中的配置日志 (Common标准版本)。- 在 Configuration 选项卡的导航树中,选择 Log。
- 在 Log Event Listener Management 选项卡中,选择 SignedAudit 条目。
- 单击 。
Log Event Listener Editor 窗口中必须重置三个字段。
填写 signedAuditCertNickname。这是用于为审计日志签名的证书的别名。配置子系统时会创建一个审计签名证书,它有一个别名,如
auditSigningCert cert-instance_name__subsystem_name。注意要获取审计签名证书别名,请使用
certutil列出子系统的证书数据库中的证书。例如:certutil -L -d /var/lib/pki-tomcat/alias Certificate Authority - Example Domain CT,c, subsystemCert cert-pki-tomcat u,u,u Server-Cert cert-pki-tomcat u,u,u auditSigningCert cert-pki-tomcat CA u,u,Pu
-
将 logSigning 字段设置为
true以启用签名的日志记录。 - 设置日志记录审计日志的任何事件。附录 E, 审计事件 列出可记录的事件。日志事件用逗号分开,没有空格。
为日志设置任何其他设置,如文件名、日志级别、文件大小或轮转调度。
注意默认情况下,常规审计日志位于
/var/log/pki/instance_name/subsystem_name/subsystem_name/ 目录中,而签名的审计日志会被写入/var/log/pki/instance_name/subsystem_name/signedAudit/。可以通过修改配置来更改日志的默认位置。- 保存日志配置。
启用签名的审计日志记录后,通过创建用户并将该条目分配给 auditor 组来分配审核员用户。auditor 组的成员是可以查看和验证签名的审计日志的用户。有关设置审核员的详情,请查看 第 11.3.2.1 节 “创建角色用户”。
审核员可以使用 AuditVerify 工具验证日志。有关 使用此工具的详情,请查看 auditVerify (1) 手册页。
12.1.2.4. 处理审计日志记录失败
有些事件可能会导致审计日志记录功能失败,因此事件无法写入日志中。例如,当包含审计日志文件的文件系统已满或者日志文件的文件权限被意外更改时,审计日志记录可能会失败。如果审计日志记录失败,则证书系统实例会按照以下方式关闭:
- Servlet 被禁用,不会处理新的请求。
- 所有待定和新请求都会终止。
- 子系统关闭。
发生这种情况时,管理员和审核员应该和操作系统管理员一起工作,以解决磁盘空间或文件权限问题。当 IT 问题得到解决时,审核员应确保为最后一个审计日志条目进行了签名。如果没有,则应该通过手动签名、归档和删除方式保留它们,以防止以后进行审核验证失败。完成此操作后,管理员可以重新启动证书系统。
