红帽全球峰会12.2. 使用日志
12.2.1. 显示和验证签名的审计日志
本节介绍 Auditor 组中的用户如何显示和验证签名的审计日志。
12.2.1.1. 列出审计日志
以具有审核员特权的用户身份,使用 pki subsystem-audit-file-find 命令列出服务器上的现有审计日志文件。
例如,列出 server.example.com:8443 上托管的 CA 上的审计日志文件:
# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find
-----------------
3 entries matched
-----------------
File name: ca_audit.20170331225716
Size: 2883
File name: ca_audit.20170401001030
Size: 189
File name: ca_audit
Size: 6705
----------------------------
Number of entries returned 3
----------------------------
命令使用 ~/.dogtag/nssdb/ 目录中存储的 auditor 别名的客户端证书,以向 CA 进行身份验证。有关命令和替代身份验证方法中使用的参数的详情,请查看 pki (1) 手册页。
12.2.1.2. 下载审计日志
以具有审核员特权的用户身份,使用 pki subsystem-audit-file-retrieve 命令从服务器下载特定的审计日志。
例如,要从 server.example.com 上托管的 CA 下载审计日志文件:
- (可选)列出 CA 上的可用日志文件。请参阅 第 12.2.1.1 节 “列出审计日志”。
下载日志文件。例如,要下载
ca_audit文件:# pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit命令使用
~/.dogtag/nssdb/目录中存储的 auditor 别名的客户端证书,以向 CA 进行身份验证。有关命令和替代身份验证方法中使用的参数的详情,请查看pki (1)手册页。
下载日志文件后,您可以使用 grep 工具搜索特定的日志条目,例如:
# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file12.2.1.3. 验证签名的审计日志
如果启用了审计日志签名,具有审核员权限的用户可以验证日志:
- 初始化 NSS 数据库并导入 CA 证书。详情请查看 规划、安装和部署指南中的 第 2.5.1.1 节 “初始化 pki CLI” 和 10.5 将证书导入到 NSS 数据库中(通用标准版 )。
如果 PKI 客户端数据库中不存在审计签名证书,请导入它:
在审计签名证书中搜索您要验证的子系统日志。例如:
# pki ca-cert-find --name "CA Audit Signing Certificate" --------------- 1 entries found --------------- Serial Number: 0x5 Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE Status: VALID Type: X.509 version 3 Key Algorithm: PKCS #1 RSA with 2048-bit key Not Valid Before: Fri Jul 08 03:56:08 CEST 2016 Not Valid After: Thu Jun 28 03:56:08 CEST 2018 Issued On: Fri Jul 08 03:56:08 CEST 2016 Issued By: system ---------------------------- Number of entries returned 1 ----------------------------将审计签名证书导入到 PKI 客户端中:
# pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P" --------------------------------------------------- Imported certificate "CA Audit Signing Certificate" ---------------------------------------------------
- 下载审计日志。请参阅 第 12.2.1.2 节 “下载审计日志”。
验证审计日志。
创建一个文本文件,其中包含您要按时间顺序验证的审计日志文件列表。例如:
# cat > ~/audit.txt << EOF ca_audit.20170331225716 ca_audit.20170401001030 ca_audit EOF使用
auditVerify工具验证签名。例如:# AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \ -a ~/audit.txt Verification process complete. Valid signatures: 10 Invalid signatures: 0有关使用 auditVerify 的详情,请查看
AuditVerify(1)
12.2.1.4. 使用 pkiconsole 查看签名的审计日志
使用 Auditor 用户登录到管理控制台:
# pkiconsole -d /root/.dogtag/pki_ecc_bootstrap/certs_db/ -n ecc_SubCA_AuditV https://rhcs10.example.com:21443/ca在右导航菜单中选择 Status:
从 日志 下拉菜单中选择 SignedAudit :
选择审计事件并点 View:
12.2.2. 查看非审计日志
要对 pki 管理员的子系统进行故障排除,请检查服务器已记录的错误或信息消息。检查日志文件也可以监控服务器操作的很多方面。
对于不是审计日志的日志,如 /var/lib/pki/ <instance>/<subsystem type> /logs 下的调试日志,请联系您的操作系统管理员与您共享非审核日志。
12.2.3. 显示操作系统级别的审计日志
要使用以下说明查看操作系统级别的审计日志,必须按照 13.2.1 配置 auditd 日志记录框架,在规划 、安装和部署指南(Common standard Edition) 中启用 OS 级别审计日志。
要显示操作系统级别访问日志,请以 root 用户身份使用 ausearch 工具,或以具有 sudo 实用程序的特权用户身份。
12.2.3.1. 显示审计日志删除事件
由于这些事件是密钥的(使用 rhcs_audit_deletion),因此请使用 the -k 参数来查找与该密钥匹配的事件:
# ausearch -k rhcs_audit_deletion12.2.3.2. 显示对 secret 和私钥的 NSS 数据库的访问
由于这些事件是密钥的(使用 rhcs_audit_nssdb),因此请使用 the -k 参数来查找与该密钥匹配的事件:
# ausearch -k rhcs_audit_nssdb12.2.3.3. 显示时间更改事件
由于这些事件是密钥的(使用 rhcs_audit_time_change),因此请使用 the -k 参数来查找与该密钥匹配的事件:
# ausearch -k rhcs_audit_time_change12.2.3.4. 显示软件包更新事件
由于这些事件是一个类型的消息(类型为 SOFTWARE_UPDATE),因此请使用 -m 参数查找与该类型匹配的事件:
# ausearch -m SOFTWARE_UPDATE12.2.3.5. 显示对 PKI 配置的更改
由于这些事件是密钥的(使用 rhcs_audit_config),因此请使用 the -k 参数来查找与该密钥匹配的事件:
# ausearch -k rhcs_audit_config12.2.4. 智能卡错误代码
智能卡可以向 TPS 报告某些错误代码;它们记录在 TPS 的调试日志文件中,具体取决于消息的原因。
| 返回码 | 描述 |
|---|---|
| 常规错误代码 | 6400 |
| 没有特定的诊断 | 6700 |
| Lc 中错误的长度 | 6982 |
| 不符合安全状态 | 6985 |
| 不符合使用条件 | 6a86 |
| P1 P2 错误 | 6d00 |
| 无效的指令 | 6e00 |
| 无效的类 | 安装负载均衡错误 |
| 6581 | 内存故障 |
| 6a80 | data 字段中的参数不正确 |
| 6a84 | 没有足够的内存空间 |
| 6a88 | 未找到引用的数据 |
| 删除错误 | 6200 |
| 应用程序已被逻辑删除 | 6581 |
| 内存故障 | 6985 |
| 不能删除引用的数据 | 6a88 |
| 未找到引用的数据 | 6a82 |
| 未找到应用程序 | 6a80 |
| 命令数据中的值不正确 | 获取数据错误 |
| 6a88 | 未找到引用的数据 |
| 获取状态错误 | 6310 |
| 更多可用数据 | 6a88 |
| 未找到引用的数据 | 6a80 |
| 命令数据中的值不正确 | 加载错误 |
| 6581 | 内存故障 |
| 6a84 | 没有足够的内存空间 |
| 6a86 | P1/P2 错误 |
| 6985 | 不符合使用条件 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}