15.2.4.3. 在控制台中配置签名审计日志
默认情况下,签名的审计日志是在实例首次创建时配置,但可以在配置后编辑配置或更改签名证书。
注意
在文件系统中为签名的审计日志提供足够空间,因为它们大。
通过设置 logSigning 参数来启用并提供用于为日志签名的证书的别名,将日志设置为签名的审计日志。在首次配置子系统时,会创建一个特殊的日志签名证书。
只有具有审核员权限的用户才能访问和查看签名的审计日志。审核员可以使用 auditVerify 工具验证签名的审计日志是否已被篡改。
配置子系统时会创建并启用了签名的审计日志,但需要其他配置才能开始创建和签名审计日志。
- 打开控制台。注意要通过编辑
CS.cfg文件创建和配置审计日志,请参阅 红帽认证系统规划、安装和部署指南中的 CS.cfg 文件中的配置日志 部分。 - 在 Configuration 选项卡的导航树中,选择 Log。
- 在 Log Event Listener Management 选项卡中,选择 SignedAudit 条目。
- 单击 。
- 在 Log Event Listener Editor 窗口中必须重置三个字段。
- 填写 signedAuditCertNickname。这是用于为审计日志签名的证书的别名。在配置子系统时会创建审计签名证书;它有一个 nickname,如 auditSigningCert cert-instance_name 子系统_name。注意要获取审计签名证书 nickname,请使用 certutil 列出子系统的证书数据库。例如:
certutil -L -d /var/lib/pki-tomcat/alias Certificate Authority - Example Domain CT,c, subsystemCert cert-pki-tomcat u,u,u Server-Cert cert-pki-tomcat u,u,u auditSigningCert cert-pki-tomcat CA u,u,Pu
- 将 logSigning 字段设置为 true 来启用签名日志记录。
- 设置日志记录到审计日志的任何事件。附录 E, 审计事件 列出可记录的事件。日志事件用逗号分开,且没有空格。
- 为日志设置任何其他设置,如文件名、日志级别、文件大小或轮转调度。注意默认情况下,常规审计日志位于 /var/log/pki/instance_name/ 子系统_name /subsystem_name/ 目录中,而签名的审计日志被写入
/var/log/pki/ instance_name /subsystem_name/signedAudit/ - 保存日志配置。
启用经过签名的审计日志记录后,通过创建用户并将该条目分配给 auditor 组来分配审核员用户。auditor 组的成员是唯一可以查看和验证签名的审计日志的用户。有关设置审核员的详情,请参阅 第 14.3.2.1 节 “创建用户”。
审核员可以使用 AuditVerify 工具验证日志。有关使用这个工具的详情,请查看 audit
Verify(1) 手册页。
