Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

17.3. 使用日志

17.3.1. 在控制台中查看日志
复制链接

若要对子系统进行故障排除,请检查服务器已记录的错误或信息。检查日志文件也可以监控服务器操作的很多方面。可以通过控制台查看一些日志文件。但是,仅具有审核员角色的用户才可以使用 第 17.3.2 节 “使用签名的审计日志” 中详述的方法访问审计日志。

查看日志文件的内容:

  1. 登录到控制台。
  2. 选择 Status 选项卡。
  3. Logs 下,选择要查看的日志。

  4. Display Options 部分中设置查看首选项。

    • entries- 要显示的最大条目数。达到这个限制时,证书系统会返回与搜索请求匹配的任何条目。零(0)表示没有返回任何消息。如果该字段为空,服务器会返回每个匹配的条目,而不考虑找到的数字。
    • Source- 选择要显示日志消息的证书系统组件或服务。选择 All 意味着会显示日志到此文件的所有组件记录的消息。
    • Level- 选择代表用于过滤消息的日志级别的消息类别。
    • filename- 选择要查看的日志文件。
  5. 单击 Refresh
  6. 要查看完整条目,请双击它,或者选择条目,然后单击 View

17.3.2. 使用签名的审计日志
复制链接

本节介绍审核员组中的用户如何显示并验证签名的审计日志。

17.3.2.1. 列出审计日志
复制链接

以具有审核员特权的用户身份,使用 pki subsystem-audit-file-find 命令列出服务器上的现有审计日志文件。

例如,列出 server.example.com 上托管的 CA 上的审计日志文件: 

# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find
-----------------
3 entries matched
-----------------
	File name: ca_audit.20170331225716
	Size: 2883

	File name: ca_audit.20170401001030
	Size: 189

	File name: ca_audit
	Size: 6705
----------------------------
Number of entries returned 3
----------------------------
Copy to Clipboard Toggle word wrap

命令使用 ~/.dogtag/nssdb/ 目录中存储的 auditor 别名的客户端证书,以向 CA 进行身份验证。有关命令和替代身份验证方法中使用的参数的详情,请查看 pki (1) 手册页。

17.3.2.2. 下载审计日志
复制链接

以具有审核员特权的用户身份,使用 pki subsystem-audit-file-retrieve 命令从服务器下载特定的审计日志。

例如,要从 server.example.com 上托管的 CA 下载审计日志文件:

  1. (可选)列出 CA 上的可用日志文件。请参阅 第 17.3.2.1 节 “列出审计日志”

  2. 下载日志文件。例如,要下载 ca'audit 文件: 

    # pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit
    Copy to Clipboard Toggle word wrap

    命令使用 ~/.dogtag/nssdb/ 目录中存储的 auditor 别名的客户端证书,以向 CA 进行身份验证。有关命令和替代身份验证方法中使用的参数的详情,请查看 pki (1) 手册页。

下载日志文件后,您可以使用 grep 工具搜索特定的日志条目,例如: 

# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file
Copy to Clipboard Toggle word wrap

17.3.2.3. 验证签名的审计日志
复制链接

如果启用了审计日志签名,则具有审核员权限的用户可以验证日志:

  1. 初始化 NSS 数据库并导入 CA 证书。详情请查看 Red Hat Certificate System 规划、安装和部署指南中的 第 2.5.1.1 节 “pki CLI 初始化”导入证书到 NSS 数据库 部分

  2. 如果 PKI 客户端数据库中不存在审计签名证书,请导入它:

    • 为您要验证的子系统日志搜索审计签名证书。例如: 

      # pki ca-cert-find --name "CA Audit Signing Certificate"
---------------
1 entries found
---------------
	Serial Number: 0x5
	Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE
	Status: VALID
	Type: X.509 version 3
	Key Algorithm: PKCS #1 RSA with 2048-bit key
	Not Valid Before: Fri Jul 08 03:56:08 CEST 2016
	Not Valid After: Thu Jun 28 03:56:08 CEST 2018
	Issued On: Fri Jul 08 03:56:08 CEST 2016
	Issued By: system
----------------------------
Number of entries returned 1
----------------------------
      Copy to Clipboard Toggle word wrap

    • 将审计签名证书导入到 PKI 客户端: 

      # pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P"
---------------------------------------------------
Imported certificate "CA Audit Signing Certificate"
---------------------------------------------------
      Copy to Clipboard Toggle word wrap
  3. 下载审计日志。请参阅 第 17.3.2.2 节 “下载审计日志”

  4. 验证审计日志。

    • 创建一个包含您要按时间顺序验证的审计日志文件列表的文本文件。例如: 

      # cat > ~/audit.txt << EOF
ca_audit.20170331225716
ca_audit.20170401001030
ca_audit
EOF
      Copy to Clipboard Toggle word wrap

    • 使用 auditVerify 工具验证签名。例如: 

      # AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \
		 -a ~/audit.txt
Verification process complete.
Valid signatures: 10
Invalid signatures: 0
      Copy to Clipboard Toggle word wrap

      有关使用 auditVerify 的详情,请查看 AuditVerify (1) 手册页。

17.3.3. 显示操作系统级别的审计日志
复制链接

注意

要使用以下说明查看操作系统级别的审计日志,必须根据 Red Hat Certificate System 规划、安装和部署指南中的 启用操作系统级审计日志 部分来配置 auditd 日志记录框架。

要显示操作系统级别访问日志,请以 root 用户身份使用 ausearch 工具,或以具有 sudo 实用程序的特权用户身份。

17.3.3.1. 显示审计日志删除事件
复制链接

由于这些事件是密钥的(使用 rhcs_audit_deletion),因此请使用 the -k 参数来查找与该密钥匹配的事件: 

# ausearch -k rhcs_audit_deletion
Copy to Clipboard Toggle word wrap

由于这些事件是密钥的(使用 rhcs_audit_nssdb),因此请使用 the -k 参数来查找与该密钥匹配的事件: 

# ausearch -k rhcs_audit_nssdb
Copy to Clipboard Toggle word wrap

17.3.3.3. 显示时间更改事件
复制链接

由于这些事件是密钥的(使用 rhcs_audit_time_change),因此请使用 the -k 参数来查找与该密钥匹配的事件: 

# ausearch -k rhcs_audit_time_change
Copy to Clipboard Toggle word wrap

17.3.3.4. 显示软件包更新事件
复制链接

由于这些事件是一个类型的消息(类型为 SOFTWARE_UPDATE),因此请使用 -m 参数查找与该类型匹配的事件: 

# ausearch -m SOFTWARE_UPDATE
Copy to Clipboard Toggle word wrap

17.3.3.5. 显示对 PKI 配置的更改
复制链接

由于这些事件是密钥的(使用 rhcs_audit_config),因此请使用 the -k 参数来查找与该密钥匹配的事件: 

# ausearch -k rhcs_audit_config
Copy to Clipboard Toggle word wrap

17.3.4. 智能卡错误代码
复制链接

智能卡可以向 TPS 报告某些错误代码;它们记录在 TPS 的调试日志文件中,具体取决于消息的原因。

Expand
表 17.5. 智能卡错误代码
返回码描述

常规错误代码

6400

没有特定的诊断

6700

Lc 中错误的长度

6982

未满足安全性状态

6985

不满意的使用条件

6a86

P1 P2 不正确

6d00

无效的指令

6e00

无效的类

安装负载错误

6581

内存故障

6a80

data 字段中的参数不正确

6a84

没有足够的内存空间

6a88

未找到引用的数据

删除错误

6200

应用程序已逻辑删除

6581

内存故障

6985

无法删除引用的数据

6a88

未找到引用的数据

6a82

未找到应用程序

6a80

命令数据中的不正确的值

获取数据错误

6a88

未找到引用的数据

获取状态错误

6310

更多可用数据

6a88

未找到引用的数据

6a80

命令数据中的不正确的值

加载错误

6581

内存故障

6a84

没有足够的内存空间

6a86

P1/P2 不正确

6985

不满意的使用条件

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat