15.2.4.2. インストール後の署名監査ロギングの有効化

署名付き監査ログは、pkispawn コマンドに pki_audit_group デプロイメントパラメーターを使用して、インスタンスの初回作成時にデフォルトで有効にできます。ただし、インスタンスの作成時に署名された監査ログを設定しなかった場合には、audit ログディレクトリーの所有権を pkiaudit などの auditor システムユーザーグループに再割り当てすることで、このログを有効にできます。
  1. インスタンスを停止します。
    systemctl stop pki-tomcatd@instance_name.service
  2. 署名付き監査ログディレクトリーのグループ所有権を、pkiaudit のような PKI 監査ログのオペレーティングシステムグループに設定します。これにより、PKI auditors グループのユーザーに signedAudit ディレクトリーへの必要な読み取りアクセスが許可され、ログファイルの署名を確認することができます。ユーザー (Certificate System ユーザーアカウント pkiuser を除く) に、このディレクトリーのログファイルへの書き込みアクセス権があるはずです。
    chgrp -R pkiaudit /var/log/pki/instance_name/subsystem_name/signedAudit
    
  3. インスタンスを再起動します。
    systemctl start pki-tomcatd@instance_name.service