15.2.4.2. 安装后启用签名审计日志
当实例首次创建时,可以使用 pkispawn 命令的
pki_audit_group 部署参数启用签名的审计日志。但是,在创建实例时不会配置签名的审计日志,可以通过将审计日志目录的所有权重新分配给 auditor 系统用户组(如 pkiaudit )来启用它们。
- 停止实例:
systemctl stop pki-tomcatd@instance_name.service
- 将签名的审计日志目录的组所有权设置为 PKI auditors 操作系统组,如
pkiaudit。这允许 PKI auditors 组中的用户具有对signedAudit目录的读取访问权限,以验证日志文件上的签名。无用户(除了 CertificateCertificate Systemnbsp;System user account, pkiuser)的用户应该有权访问此目录中的日志文件。chgrp -R pkiaudit /var/log/pki/instance_name/subsystem_name/signedAudit
- 重启实例:
systemctl start pki-tomcatd@instance_name.service
