15.2. 管理日志
CertificateCertificate Systemnbsp;System 子系统日志文件记录与该特定子系统实例相关的事件。对于每个子系统,会保留不同的日志来用于安装、访问和 Web 服务器等问题。
所有子系统都有类似的日志配置、选项和管理路径。
15.2.1. 日志设置概述
配置日志的方式可能会影响 CertificateCertificate Systemnbsp;System performance。例如,日志文件轮转日志不会变得太大,这会降低子系统性能。本节介绍由 CertificateCertificate Systemnbsp 记录的不同日志;系统子系统,并涵盖日志文件轮转、缓冲日志记录以及可用日志级别等重要概念。
15.2.1.1. Are Logged 的服务
CertificateCertificate Systemnbsp 的所有主要组件和协议;系统日志消息到日志文件。表 15.1 “服务日志” 列出默认记录的服务。要查看特定服务记录的消息,请相应地自定义日志消息。详情请查看 第 15.3.1 节 “在控制台中查看日志”。
| Service | 描述 |
|---|---|
| ACL | 日志与访问控制列表相关的事件。 |
| 管理 | 记录与管理活动相关的事件,如控制台和实例之间的 HTTPS 通信。 |
| All | 记录与所有服务相关的事件。 |
| 身份验证 | 使用身份验证模块记录与活动相关的事件。 |
| 证书颁发机构 | 记录与证书管理器相关的事件。 |
| 数据库 | 记录与内部数据库活动相关的事件。 |
| HTTP |
记录与服务器 HTTP 活动相关的事件。请注意,HTTP 事件实际上被记录到属于带有 CertificateCertificate Systemnbsp 的 Apache 服务器出错日志;System to 提供 HTTP 服务。
|
| 密钥恢复授权 | 记录与 KRA 相关的事件。 |
| LDAP | 记录与 LDAP 目录相关的事件,用于发布证书和 CRL。 |
| OCSP | 记录与 OCSP 相关的事件,如 OCSP 状态 GET 请求。 |
| 其他 | 记录与其他活动相关的事件,如命令行实用程序和其他进程。 |
| 请求队列 | 记录与请求队列活动相关的事件。 |
| 用户和组群 | 记录与实例的用户和组相关的事件。 |
15.2.1.2. 日志级别(Message Categories)
由 CertificateCertificate Systemnbsp 记录的不同事件; 系统服务由日志级别决定,这使得识别和过滤事件更简单。不同的证书证书系统nbsp;System 日志级别列在 表 15.2 “日志级别和更正日志消息” 中。
日志级别按数字表示,指示服务器应如何执行日志记录级别。
更高的优先级级别意味着不详细,因为只记录高优先级的事件。
| 日志级别 | 消息类别 | 描述 |
|---|---|---|
| 0-1 | Tracing | 这些消息包含精细的调试信息。此级别不应定期使用,因为它可能会影响性能。 |
| 2-5 | 调试 | 这些消息包含调试信息。不建议使用这个级别,因为它会生成太多的信息。 |
| 6-10 | INFORMATIONAL | 这些消息提供有关证书证书证书系统状态的一般信息;System,包括证书证书系统nbsp 等状态消息 ;System initialization complete and Request for operation successful。 |
| 11-15 | 警告 | 这些消息只是警告信息,且不会指示服务器正常操作中的任何故障。 |
| > 15 | 失败 | 这些消息表示导致服务器正常运行的错误和失败,包括执行证书服务操作失败(用户身份 验证失败 或证书被撤销的 )和意外情况,可能导致不相关的错误(服务器无法通过从客户端发出的同一频道来发回请求)。设置以上 15 级将尽量减少日志,因为只会记录失败。 |
15.2.1.3. buffered 和 Unbuffered Logging
如果配置了缓冲的日志,服务器会为相应日志创建缓冲区,并在缓冲区中尽可能保存消息。只有在发生以下条件之一时,服务器才会将信息清除到日志文件中:
- 缓冲区已满。当缓冲区大小等于或大于由 bufferSize 配置参数指定的值时,缓冲已满。此参数的默认值为 512 KB。
- 达到缓冲区的冲刷间隔。当从最后一个缓冲区刷新开始的时间间隔等于或大于 flushInterval 配置参数指定的值时,就会达到冲刷间隔。此参数的默认值为 5 秒。
- 当当前日志从控制台读取时。查询当前日志时,服务器会检索最新的日志。
如果为非缓冲记录配置了服务器,服务器会在生成日志时清除消息。由于服务器在每次生成消息时都执行 I/O 操作(写入日志文件),因此配置服务器以获得不缓冲的日志会降低性能。
设置日志参数在 第 15.2.2 节 “在控制台中配置日志” 中描述。
15.2.1.4. 日志文件轮转
- 达到对应文件的大小限制。对应日志文件的大小等于或大于 maxFileSize 配置参数指定的值。此参数的默认值为 100 KB。
- 相应文件的 age 限值会被达到。对应的日志文件等于 rolloverInterval 配置参数指定的时间间隔,或早于 rolloverInterval 配置参数。此参数的默认值为 2592000 秒(每隔三十天)。
注意
将这两个参数都设置为 0 可有效地禁用日志文件轮转。
轮转日志文件时,会使用带有附加时间戳的文件的名称命名旧文件。附加的时间戳是一个整数,表示相应活跃日志文件轮转的日期和时间。日期和时间的格式为 YYYYMMDD(年、月份、日)和 HHMMSS(小时、分钟、秒)。
注意
CertificateCertificate Systemnbsp;System 不会为归档日志文件提供任何工具或实用程序。
CertificateCertificate Systemnbsp;System 提供了一个命令行实用程序, signtool,该实用程序在存档日志文件作为 tamper 检测方法之前对其进行签名。详情请查看 第 15.2.4.5 节 “签名日志文件”。
签名日志文件是签名的审计日志功能的替代选择。签名的审计日志会创建使用子系统签名证书的审计日志。有关签名的审计日志的详情,请参阅 第 15.2.4.3 节 “在控制台中配置签名审计日志”。
轮转的日志文件不会被删除。
