15.2.4.3. コンソールでの署名監査ログの設定

署名付き監査ログは、インスタンスの初回作成時にデフォルトで設定されますが、設定後に設定を編集するか、署名証明書を変更することが可能です。
注記
署名された監査ログは大きくなる可能性があるため、ファイルシステムに十分なスペースを確保してください。
logSigning パラメーターを enable に設定し、ログの署名に使用される証明書のニックネームを指定することにより、ログが署名済み監査ログに設定されます。特別なログ署名証明書は、サブシステムの初回設定時に作成されます。
auditor 権限を持つユーザーのみが、署名済み監査ログにアクセスでき、表示できます。監査担当者は、AuditVerify ツールを使用して、署名済み監査ログが改ざんされていないことを確認できます。
署名付き監査ログはサブシステムの設定時に作成され、有効になりますが、監査ログの作成および署名を行うには追加の設定が必要になります。
  1. コンソールを開きます。
    注記
    CS.cfg ファイルを編集して監査ログを作成または設定するには、『Red Hat Certificate System 計画、インストール、およびデプロイメントガイド』のCS.cfg ファイルのログの設定を参照してください。
  2. Configuration タブのナビゲーションツリーで Log を選択します。
  3. ログイベントリスナー管理 タブで、SignedAudit エントリーを選択します。
  4. Edit/View をクリックします。
  5. Log Event Listener Editor ウィンドウでリセットする必要のある 3 つのフィールドがあります。
    • signedAuditCertNickname を入力します。これは、監査ログの署名に使用される証明書のニックネームです。監査署名証明書はサブシステムが設定されているときに作成され、auditSigningCert cert-instance_name subsystem_name のようなニックネームがあります。
      注記
      監査署名証明書のニックネームを取得するには、certutil を使用してサブシステムの証明書データベースの証明書を一覧表示します。以下に例を示します。 
      certutil -L -d /var/lib/pki-tomcat/alias

Certificate Authority - Example Domain    CT,c,
subsystemCert cert-pki-tomcat             u,u,u
Server-Cert cert-pki-tomcat               u,u,u
auditSigningCert cert-pki-tomcat CA       u,u,Pu
    • logSigning フィールドを true に設定して、署名済みロギングを有効にします。
    • 監査ログに記録される イベント を設定します。付録E 監査イベント ログ可能なイベントを一覧表示します。ログイベントは、空白のないコンマで区切ります。
  6. ファイル名、ログレベル、ファイルサイズ、ローテーションスケジュールなど、ログに関するその他の設定を行います。
    注記
    デフォルトでは、通常の監査ログは /var/log/pki/instance_name/subsystem_name/ ディレクトリーと他のタイプのログにありますが、署名済み監査ログは /var/log/pki/instance_name/subsystem_name/signedAudit/ に書き込まれます。ログのデフォルトの場所を変更するには、設定を変更してください。
  7. ログ設定を保存します。
署名付き監査ログを有効にした後、ユーザーを作成し、そのエントリーを監査人グループに割り当てることにより、監査人ユーザーを割り当てます。監査グループのメンバーは、署名された監査ログを表示して検証できる唯一のユーザーです。auditors の設定に関する詳細は、「ユーザーの作成」 を参照してください。
監査担当者は、AuditVerify ツールを使用してログを確認できます。このツールの使用方法は、man ページの AuditVerify(1) を参照してください。