15.2. ログの管理
Certificate System サブシステムログファイルは、その特定のサブシステムインスタンス内の操作に関連するイベントを記録します。サブシステムごとに、インストール、アクセス、Web サーバーなどの問題について異なるログが保持されます。
すべてのサブシステムには同様のログ設定、オプション、および管理パスがあります。
15.2.1. ログ設定の概要
ログの設定方法は、Certificate System パフォーマンスに影響を及ぼす可能性があります。たとえば、ログファイルのローテーションにより、ログが大きくなりすぎてサブシステムのパフォーマンスが低下するのを防ぎます。このセクションでは、Certificate System サブシステムによって記録されるさまざまな種類のログについて説明し、ログファイルのローテーション、バッファーリングされたログ、使用可能なログレベルなどの重要な概念を説明します。
15.2.1.1. ログに記録されるサービス
Certificate System のすべての主要コンポーネントとプロトコルは、メッセージをログファイルに記録します。表15.1「ログに記録されるサービス」 デフォルトでログに記録されるサービスを一覧表示します。特定のサービスがログに記録するメッセージを表示するには、適宜ログ設定をカスタマイズします。詳細は、「コンソールでログの表示」 を参照してください。
表15.1 ログに記録されるサービス
| サービス | 説明 |
|---|---|
| ACL | アクセス制御リストに関連するイベントをログに記録します。 |
| 管理 | コンソールとインスタンス間の HTTPS 通信など、管理アクティビティーに関連するイベントをログに記録します。 |
| すべて | すべてのサービスに関連するイベントをログに記録します。 |
| 認証 | 認証モジュールに関連するアクティビティーに関連するイベントをログに記録します。 |
| 認証局 | Certificate Manager に関連するイベントをログに記録します。 |
| データベース | 内部データベース関連のアクティビティーに関連するイベントをログに記録します。 |
| HTTP |
サーバーの HTTP アクティビティーに関連するイベントをログに記録します。HTTP イベントは実際には、HTTP サービスを提供するために Certificate System に組み込まれる Apache サーバーに属するエラーログに記録されることに注意してください。
|
| キーリカバリー認証局 | KRA に関連するイベントをログに記録します。 |
| LDAP | 証明書と CRL の公開に使用される LDAP ディレクトリーを使用してアクティビティーに関連するイベントをログに記録します。 |
| OCSP | OCSP ステータスの GET 要求など、OCSP に関連するイベントをログに記録します。 |
| その他 | コマンドラインユーティリティーやその他のプロセスなどの他のアクティビティーに関連するイベントをログに記録します。 |
| 要求キュー | 要求キューアクティビティーに関連するイベントをログに記録します。 |
| ユーザーおよびグループ | インスタンスのユーザーおよびグループに関連するイベントをログに記録します。 |
15.2.1.2. ログレベル (メッセージカテゴリー)
Certificate System サービスによってログに記録されるさまざまなイベントは、ログレベルによって決定されるため、イベントの識別とフィルタリングが簡単になります。さまざまな Certificate System のログレベルが、表15.2「ログレベルと対応するログメッセージ」 に一覧表示されます。
ログレベルは、サーバーによって実行されるログのレベルをどの程度詳細にするかを示す番号で表されます。
優先度が高いほど、優先度の高いイベントのみがログに記録されるため、詳細度が低くなります。
表15.2 ログレベルと対応するログメッセージ
| ログレベル | メッセージカテゴリー | 説明 |
|---|---|---|
| 0-1 | トレース | これらのメッセージには、より詳細なデバッグ情報が含まれます。このレベルはパフォーマンスに影響する可能性があるため、定期的に使用しないでください。 |
| 2-5 | デバッグ | これらのメッセージにはデバッグ情報が含まれます。このレベルは、非常に多くの情報を生成するため、通常の使用には推奨されません。 |
| 6-10 | 情報提供 | これらのメッセージは、Certificate System の初期化完了 や 成功した操作要求 などのステータスメッセージを含む、Certificate System の状態に関する一般的な情報を提供します。 |
| 11-15 | 警告 | これらのメッセージは警告のみであり、サーバーの通常の操作に障害があることを示すものではありません。 |
| > 15 | 失敗 | これらのメッセージは、証明書サービス操作の実行の失敗 (User authentication failed または Certificate revoked) や、取り消せないエラーを引き起こす可能性のある予期しない状況 (リクエストがクライアントからされた同じチャネルでクライアントに対して処理された要求を返信できない) など、サーバーが正常に動作することを妨げるエラーおよび障害を示します。レベルを 15 より上に設定すると、障害のみが記録されるため、ログが最小限に抑えられます。 |
15.2.1.3. バッファー付きおよびバッファーなしのロギング
バッファーログが設定されていると、サーバーは対応するログのバッファーを作成し、メッセージを可能な限りバッファーに保持します。サーバーは以下の条件のいずれかが発生した場合に限りログファイルにメッセージをフラッシュします。
- バッファーが満杯になった場合。バッファーサイズが bufferSize 設定パラメーターで指定された値以上になると、バッファーが満杯になります。このパラメーターのデフォルト値は 512 KB です。
- バッファーのフラッシュ間隔に到達した場合。最後のバッファーフラッシュからの経過時間、または flushInterval 設定パラメーターで指定された値と同じか大きい場合は、フラッシュ間隔に到達します。このパラメーターのデフォルト値は 5 秒です。
- 現在のログがコンソールから読み取られる場合。サーバーは現在のログについてクエリーされる際に最新のログを取得します。
サーバーがバッファーなしロギング用に設定されている場合、サーバーはログファイルに生成されるときにメッセージをフラッシュします。サーバーはメッセージが生成されるたびに I/O 操作 (ログファイルへの書き込み) を実行するため、バッファーなしログ用にサーバーを設定するとパフォーマンスが低下します。
ログパラメーターの設定は、「コンソールでログの設定」を参照してください。
15.2.1.4. ログファイルローテーション
サブシステムログにはオプションのログ設定があり、ログファイルを無期限に拡張する代わりに、ログをローテーションして新しいログファイルを開始できます。ログファイルは、以下のいずれかの場合にローテーションされます。
- 対応するファイルのサイズ制限に到達した場合。対応するログファイルのサイズは、maxFileSize 設定パラメーターで指定された値以下である必要があります。このパラメーターのデフォルト値は 100 KB です。
- 対応するファイルの経過時間制限に到達した場合。対応するログファイルは、rolloverInterval 設定パラメーターで指定された間隔以上です。このパラメーターのデフォルト値は 2592000 秒 (30 日ごと) です。
注記
これらのパラメーターを 0 に設定すると、ログファイルのローテーションが実質無効にされます。
ログファイルがローテーションされると、追加したタイムスタンプを持つファイルの名前を使用して古いファイルの名前が指定されます。追加されたタイムスタンプは、対応するアクティブなログファイルがローテーションされた日時を示す整数です。日付と時刻の形式は、YYYYMMDD (年、月、日) および HHMMSS (時、分、秒) です。
ログファイル (特に監査ログファイル)v には重要な情報が含まれています。
log ディレクトリー全体をアーカイブメディアにコピーして、これらのファイルを定期的に一部のバックアップメディアにアーカイブする必要があります。
注記
Certificate System は、ログファイルをアーカイブするためのツールやユーティリティーを提供していません。
Certificate System は、改ざん検出の手段としてログファイルをアーカイブする前にログファイルに署名するコマンドラインユーティリティー signtool を提供します。詳細は、「ログファイルの署名」を参照してください。
ログファイルの署名は、署名された監査ログ機能の代わりに使用されます。署名付き監査ログは、サブシステム署名証明書で自動的に署名される監査ログを作成します。署名済み監査ログの詳細は、「コンソールでの署名監査ログの設定」を参照してください。
ローテーションされたログファイルは削除されません。