第18章 ログの設定
Certificate System サブシステムログファイルは、その特定のサブシステムインスタンス内の操作に関連するイベントを記録します。サブシステムごとに、インストール、アクセス、Web サーバーなどの問題について異なるログが保持されます。
すべてのサブシステムには同様のログ設定、オプション、および管理パスがあります。
インストール後のログ管理の詳細は、『Red Hat Certificate System 管理ガイド』 の 『サブシステムログの設定』 セクションを参照してください。
ログの概要は、「ログ」を参照してください。
18.1. Certificate System ログの設定
ログの設定方法は、Certificate System のパフォーマンスに影響を及ぼす可能性があります。たとえば、ログファイルのローテーションにより、ログが大きくなりすぎてサブシステムのパフォーマンスが低下するのを防ぎます。このセクションでは、Certificate System サブシステムによって記録されるさまざまな種類のログについて説明し、ログファイルのローテーション、バッファーリングされたログ、使用可能なログレベルなどの重要な概念を説明します。
18.1.1. ログに記録されるサービス
Certificate System のすべての主要コンポーネントとプロトコルは、メッセージをログファイルに記録します。表18.1「ログに記録されるサービス」 デフォルトでログに記録されるサービスを一覧表示します。特定のサービスがログに記録するメッセージを表示するには、適宜ログ設定をカスタマイズします。
表18.1 ログに記録されるサービス
| サービス | 説明 |
|---|---|
| ACL | アクセス制御リストに関連するイベントをログに記録します。 |
| 管理 | コンソールとインスタンス間の HTTPS 通信など、管理アクティビティーに関連するイベントをログに記録します。 |
| すべて | すべてのサービスに関連するイベントをログに記録します。 |
| 認証 | 認証モジュールに関連するアクティビティーに関連するイベントをログに記録します。 |
| 認証局 | Certificate Manager に関連するイベントをログに記録します。 |
| データベース | 内部データベース関連のアクティビティーに関連するイベントをログに記録します。 |
| HTTP |
サーバーの HTTP アクティビティーに関連するイベントをログに記録します。HTTP イベントは実際には、HTTP サービスを提供するために Certificate System に組み込まれる Apache サーバーに属するエラーログに記録されることに注意してください。
|
| キーリカバリー認証局 | KRA に関連するイベントをログに記録します。 |
| LDAP | 証明書と CRL の公開に使用される LDAP ディレクトリーを使用してアクティビティーに関連するイベントをログに記録します。 |
| OCSP | OCSP ステータスの GET 要求など、OCSP に関連するイベントをログに記録します。 |
| その他 | コマンドラインユーティリティーやその他のプロセスなどの他のアクティビティーに関連するイベントをログに記録します。 |
| 要求キュー | 要求キューアクティビティーに関連するイベントをログに記録します。 |
| ユーザーおよびグループ | インスタンスのユーザーおよびグループに関連するイベントをログに記録します。 |
18.1.2. ログレベル (メッセージカテゴリー)
Certificate System サービスによってログに記録されるさまざまなイベントは、ログレベルによって決定されるため、イベントの識別とフィルタリングが簡単になります。さまざまな Certificate System のログレベルが、表18.2「ログレベルと対応するログメッセージ」 に一覧表示されます。
ログレベルは数字
0 から 10 で表されます。各番号は、サーバーによって実行されるログのレベルを示します。このレベルは、ロギングの詳細を設定します。
優先度が高いほど、優先度の高いイベントのみがログに記録されるため、詳細度が低くなります。
注記
デフォルトのログレベルは 1 です。この値は変更しないでください。デバッグロギングを有効にするには、「デバッグログの追加設定」を参照してください。
表18.2「ログレベルと対応するログメッセージ」 は、ログメッセージをよりよく理解するために参照するために提供されます。
表18.2 ログレベルと対応するログメッセージ
| ログレベル | メッセージカテゴリー | 説明 |
|---|---|---|
| 0 | デバッグ | これらのメッセージにはデバッグ情報が含まれます。このレベルは、非常に多くの情報を生成するため、通常の使用には推奨されません。 |
| 1 | 情報提供 (監査ログのデフォルト選択) | これらのメッセージは、証明書システムの初期化完了 や 成功した操作要求 などのステータスメッセージを含む、証明書システムの状態に関する一般的な情報を提供します。 |
| 2 | 警告 | これらのメッセージは警告のみであり、サーバーの通常の操作に障害があることを示すものではありません。 |
| 3 | 失敗 - システムおよびエラーログのデフォルト選択 | これらのメッセージは、証明書サービス操作の実行の失敗 (User authentication failed または Certificate revoked) や、取り消せないエラーを引き起こす可能性のある予期しない状況 (リクエストがクライアントからされた同じチャネルでクライアントに対して処理された要求を返信できない) など、サーバーが正常に動作することを妨げるエラーおよび障害を示します。 |
| 4 | 誤った設定 | これらのメッセージは、サーバーの設定が間違っていることが原因でエラーが発生していることを示します。 |
| 5 | 壊滅的な失敗 | これらのメッセージは、エラーにより、サービスの実行を継続できないことを示しています。 |
| 6 | セキュリティー関連のイベント | これらのメッセージは、サーバーのセキュリティーに影響する発生内容を特定します。たとえば、リストにない証明書や取り消された証明書を使用するユーザーが特権アクセスを試みる場合などです。 |
| 7 | PDU 関連イベント (デバッグ) | これらのメッセージには、PDU イベントのデバッグ情報が含まれます。このレベルは、通常より有用な情報を超える情報を生成するため、通常の使用には推奨していません。 |
| 8 | PDU 関連イベント | これらのメッセージは、MAC トークンの作成など、PDU で処理されるトランザクションおよびルールに関連するものです。 |
| 9 | PDU 関連イベント | このログレベルは、MAC トークンの作成など、PDU で処理されるイベントの詳細ログメッセージを提供します。 |
| 10 | すべてのロギングレベル | このログレベルは、すべてのログレベルを有効にします。 |
18.1.3. バッファー付きおよびバッファーなしのロギング
バッファーログが設定されていると、サーバーは対応するログのバッファーを作成し、メッセージを可能な限りバッファーに保持します。サーバーは以下の条件のいずれかが発生した場合に限りログファイルにメッセージをフラッシュします。
- バッファーが満杯になった場合。バッファーサイズが bufferSize 設定パラメーターで指定された値以上になると、バッファーが満杯になります。このパラメーターのデフォルト値は 512 KB です。
- バッファーのフラッシュ間隔に到達した場合。最後のバッファーフラッシュからの経過時間、または flushInterval 設定パラメーターで指定された値と同じか大きい場合は、フラッシュ間隔に到達します。このパラメーターのデフォルト値は 5 秒です。
- 現在のログがコンソールから読み取られる場合。サーバーは現在のログについてクエリーされる際に最新のログを取得します。
サーバーがバッファーなしロギング用に設定されている場合、サーバーはログファイルに生成されるときにメッセージをフラッシュします。サーバーはメッセージが生成されるたびに I/O 操作 (ログファイルへの書き込み) を実行するため、バッファーなしログ用にサーバーを設定するとパフォーマンスが低下します。
ログパラメーターの設定は、『Red Hat Certificate System 管理ガイド』の『コンソールでログの設定』セクションを参照してください。
18.1.4. ログファイルローテーション
サブシステムログにはオプションのログ設定があり、ログファイルを無期限に拡張する代わりに、ログをローテーションして新しいログファイルを開始できます。ログファイルは、以下のいずれかの場合にローテーションされます。
- 対応するファイルのサイズ制限に到達した場合。対応するログファイルのサイズは、maxFileSize 設定パラメーターで指定された値以下である必要があります。このパラメーターのデフォルト値は 100 KB です。
- 対応するファイルの経過時間制限に到達した場合。対応するログファイルは、rolloverInterval 設定パラメーターで指定された間隔以上です。このパラメーターのデフォルト値は 2592000 秒 (30 日ごと) です。
ログファイルがローテーションされると、追加したタイムスタンプを持つファイルの名前を使用して古いファイルの名前が指定されます。追加されたタイムスタンプは、対応するアクティブなログファイルがローテーションされた日時を示す整数です。日付と時刻の形式は、YYYYMMDD (年、月、日) および HHMMSS (時、分、秒) です。
ログファイル (特に監査ログファイル)v には重要な情報が含まれています。
log ディレクトリー全体をアーカイブメディアにコピーして、これらのファイルを定期的に一部のバックアップメディアにアーカイブする必要があります。
注記
Certificate System は、ログファイルをアーカイブするためのツールやユーティリティーを提供していません。
Certificate System は、改ざん検出の手段としてログファイルをアーカイブする前にログファイルに署名するコマンドラインユーティリティー signtool を提供します。
ログファイルの署名は、署名された監査ログ機能の代わりに使用されます。署名付き監査ログは、サブシステム署名証明書で自動的に署名される監査ログを作成します。
ローテーションされたログファイルは削除されません。
