红帽全球峰会第 15 章 配置子系统日志
CertificateCertificate Systemnbsp;System 子系统创建记录与活动相关的事件的日志文件,如管理、使用服务器支持的任何协议进行通信,以及由子系统使用的各种其他进程。在子系统实例运行时,它会保留有关它管理的所有组件的信息和错误消息。另外,Apache 和 Tomcat web 服务器也会生成错误并访问日志。
每个子系统实例维护自己的日志文件用于安装、审计和其他日志记录功能。
log 插件模块是作为 Java™ 类实施的监听程序,并在配置框架中注册。
除审计日志外,所有日志文件和轮转日志文件都位于通过 pkispawn 创建实例时在
pki_subsystem_log_path 中指定的任何目录中。 常规审计日志位于日志目录中,而签名的审计日志被写入 /var/log/pki/instance_name/subsystem_name/signedAudit。可以通过修改配置来更改日志的默认位置。
15.1. 关于证书证书系统nbsp;系统日志
复制链接链接已复制到粘贴板!
CertificateCertificate Systemnbsp;System 子系统保留几种不同类型的日志,根据子系统类型、服务和单个日志设置提供特定信息。可以为实例保留的日志的类型取决于其所在的子系统。
15.1.1. 系统日志
复制链接链接已复制到粘贴板!
子系统日志保留用于 CA、OCSP、KRA 和 TKS 子系统。
此日志、
系统 记录了对服务器(所有 HTTP 和 HTTPS 请求)的请求的信息以及来自服务器的响应。此日志中记录的信息包括访问服务器的客户端机器的 IP 地址(包括 IPv4 和 IPv6)、执行的操作(如搜索、添加和编辑);以及访问的结果,如返回的条目数量:
id_number processor - [date:time] [number_of_operations] [result] servlet: message
id_number processor - [date:time] [number_of_operations] [result] servlet: message例 15.1. TKS 系统日志
10439.http-13443-Processor25 - [19/May/2020:14:16:51 CDT] [11] [3] UGSubsystem: Get User Error User not found
10439.http-13443-Processor25 - [19/May/2020:14:16:51 CDT] [11] [3] UGSubsystem: Get User Error User not found
此日志默认是 on。
15.1.2. 事务日志
复制链接链接已复制到粘贴板!
事务日志保留用于 CA、OCSP、KRA 和 TKS 子系统。
此日志、
事务、记录任何执行或提交至子系统的操作。
id_number.processor - [date:time] [number_of_operations] [result] servlet: message
id_number.processor - [date:time] [number_of_operations] [result] servlet: message
这些消息特定于证书服务,如 CA 接收证书请求、KRA 归档或检索密钥以及 TKS 注册新的 TPS。此日志也可用于检测任何未授权的访问或活动。
例 15.2. 事务日志
11438.http-8443-Processor25 - [27/May/2020:07:56:18 CDT] [1] [1] archival reqID 4 fromAgent agentID: CA-server.example.com-8443 authenticated by noAuthManager is completed DN requested: UID=recoverykey,E=recoverykey@email.com,CN=recover key serial number: 0x3
11438.http-8443-Processor25 - [27/May/2020:07:56:18 CDT] [1] [1] archival reqID 4 fromAgent agentID: CA-server.example.com-8443 authenticated by noAuthManager is completed DN requested: UID=recoverykey,E=recoverykey@email.com,CN=recover key serial number: 0x3
此日志默认是 on。
15.1.3. 调试日志
复制链接链接已复制到粘贴板!
默认启用的调试日志为所有子系统维护,具有不同程度和类型的信息。
每个子系统的调试日志记录比系统、事务和访问日志更详细的信息。调试日志包含子系统执行的每个操作的特定信息,包括运行的插件和 servlet,以及服务器请求和响应消息。
第 15.2.1.1 节 “Are Logged 的服务” 中会简要讨论记录在 debug 日志中的常规服务类型。这些服务包括授权请求、处理证书请求、证书状态检查以及存档和恢复密钥以及访问 Web 服务。
CA、OCSP、KRA 和 TKS 记录与子系统进程相关的信息。每个日志条目的格式如下:
[date:time] [processor]: servlet: message
[date:time] [processor]: servlet: message
消息 可以是来自子系统的返回消息,或者包含提交到子系统的值。
例如,TKS 记录这个信息以连接到 LDAP 服务器:
[10/Jun/2020:05:14:51][main]: Established LDAP connection using basic authentication to host localhost port 389 as cn=Directory Manager
[10/Jun/2020:05:14:51][main]: Established LDAP connection using basic authentication to host localhost port 389 as cn=Directory Manager
处理器 是 主,而 消息 是来自有关 LDAP 连接的服务器的消息,没有 servlet。
另一方面,CA 记录有关证书操作以及子系统连接的信息:
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestowner$ value=KRA-server.example.com-8443
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestowner$ value=KRA-server.example.com-8443
在这种情况下,处理器 是通过 CA 的代理端口的 HTTP 协议,而它指定了用于处理配置集的 servlet,并且 包含一条 提供配置文件参数(请求的子系统所有者)及其值(KRA 启动请求)。
例 15.3. CA 证书请求日志消息
同样,OCSP 显示 OCSP 请求信息:
[07/Jul/2020:06:25:40][http-11180-Processor25]: OCSPServlet: OCSP Request: [07/Jul/2020:06:25:40][http-11180-Processor25]: OCSPServlet: MEUwQwIBADA+MDwwOjAJBgUrDgMCGgUABBSEWjCarLE6/BiSiENSsV9kHjqB3QQU
[07/Jul/2020:06:25:40][http-11180-Processor25]: OCSPServlet: OCSP Request:
[07/Jul/2020:06:25:40][http-11180-Processor25]: OCSPServlet:
MEUwQwIBADA+MDwwOjAJBgUrDgMCGgUABBSEWjCarLE6/BiSiENSsV9kHjqB3QQU15.1.3.1. 安装日志
复制链接链接已复制到粘贴板!
所有子系统均保留安装日志。
每次通过初始安装创建子系统时,或使用 pkispawn 创建额外实例,这是安装中的完整调试输出的安装文件,包括任何错误,包括任何错误,如果安装成功,则 URL 和 PIN 到实例的配置接口。该文件在
/var/log/pki/ 目录中创建,其名称为 pki-subsystem_name-spawn.timestamp 。
安装日志中的每个行都遵循安装过程的一个步骤。
例 15.4. CA Install Log
15.1.3.2. Tomcat 错误和访问日志
复制链接链接已复制到粘贴板!
CA、KRA、OCSP、TKS 和 TPS 子系统将 Tomcat Web 服务器实例用于代理和最终用户接口。
访问日志由 Tomcat web 服务器创建,该服务器随 CertificateCertificate Systemnbsp 一起安装;系统并提供 HTTP 服务。错误日志包含服务器遇到的 HTTP 错误消息。访问日志通过 HTTP 接口列出访问活动。
Tomcat 创建的日志:
- admin.timestamp
- catalina.timestamp
- catalina.out
- host-manager.timestamp
- localhost.timestamp
- localhost_access_log.timestamp
- manager.timestamp
这些日志在 CertificateCertificate Systemnbsp;System; 中不可配置,它们只能在 Apache 或 Tomcat 中进行配置。有关配置这些日志的详情,请查看 Apache 文档。
15.1.3.3. self-Tests 日志
复制链接链接已复制到粘贴板!
当服务器启动时,或者在服务器启动时或自签名证书运行时,在 self-tests 运行过程中获取的 self-tests 记录信息。可以通过打开此日志来查看测试。此日志无法通过控制台配置,只能通过更改
CS.cfg 文件中的设置来配置。有关如何通过编辑 CS.cfg 文件配置日志的说明,请参阅 红帽证书系统规划、安装和部署指南中的 启用 Publishing Queue 部分。
本节中有关日志的信息与这个日志无关。有关自我证明的更多信息,请参阅 第 13.9 节 “运行自助测试”。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}