15.3. ログの使用

15.3.1. コンソールでログの表示

サブシステムのトラブルシューティングを行うには、サーバーがログ記録したエラーまたは情報メッセージを確認します。ログファイルを調べると、サーバーの操作の多くの側面も監視できます。一部のログファイルは、コンソールで表示できます。ただし、監査ログには、「署名監査ログの使用」 で説明している方法を使用して、Auditor ロールを持つユーザーのみがアクセスできます。
アクティブまたはローテーションされたシステムログの内容を表示するには、次を実行します。
  1. コンソールにログインします。
  2. Status タブを選択します。
  3. Logs で表示するログを選択します。
  4. Display Options セクションで表示設定を行います。
    • Entries: 表示するエントリーの最大数。この制限に達すると、Certificate System は検索要求に一致するエントリーを返します。ゼロ (0) はメッセージが返されないことを意味します。フィールドが空の場合、サーバーは見つかった数に関係なく、一致するすべてのエントリーを返します。
    • Source: ログメッセージが表示される証明書システムコンポーネントまたはサービスを選択します。All を選択すると、このファイルにログ記録するすべてのコンポーネントによってログに記録されるメッセージが表示されます。
    • レベル: メッセージのフィルターに使用するログレベルを表すメッセージカテゴリーを選択します。
    • ファイル名: 表示するログファイルを選択します。現在アクティブなシステムログファイルを表示するには、Current を選択します。
  5. Refresh をクリックします。
    この表には、システムログエントリーが表示されます。エントリーは逆順で、最新のエントリーが一番上に置かれています。パネルの右にあるスクロールバーを使用して、ログエントリーを下方向にスクロールします。
    各エントリーには、以下の情報が表示されます。
    • ソース: メッセージをログに記録したコンポーネントまたはリソース
    • level: 対応するエントリーの重大度。
    • Date: エントリーがログに記録された日付。
    • 時間: エントリーがログに記録された時間。
    • 詳細: ログの簡単な説明
  6. 完全なエントリーを表示するには、エントリーをダブルクリックしてそのエントリーを選択し、View をクリックします。

15.3.2. 署名監査ログの使用

このセクションでは、署名された監査ログを Auditor グループのユーザーが表示および検証する方法を説明します。

15.3.2.1. 監査ログの一覧表示

auditor 権限を持つユーザーは、pki subsystem-audit-file-find コマンドを使用して、サーバー上の既存の監査ログファイルを一覧表示します。
たとえば、server.example.com にホストされる CA の監査ログファイルを一覧表示するには、次のコマンドを実行します。
# pki -h server.example.com -p 8443 -n auditor ca-audit-file-find
-----------------
3 entries matched
-----------------
	File name: ca_audit.20170331225716
	Size: 2883

	File name: ca_audit.20170401001030
	Size: 189

	File name: ca_audit
	Size: 6705
----------------------------
Number of entries returned 3
----------------------------
このコマンドは、CA に対して認証するために、auditor ディレクトリーに保存されている auditor ニックネームのあるクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、man ページの pki(1) を参照してください。

15.3.2.2. 監査ログのダウンロード

auditor 権限を持つユーザーとして、pki subsystem-audit-file-retrieve コマンドを使用して、サーバーから特定の監査ログをダウンロードします。
たとえば、server.example.com でホストされる CA から監査ログファイルをダウンロードするには、以下を実行します。
  1. 任意で、CA で利用可能なログファイルを一覧表示します。「監査ログの一覧表示」を参照してください。
  2. ログファイルをダウンロードします。たとえば、ca_audit ファイルをダウンロードします。
    # pki -U https://server.example.com:8443 -n auditor ca-audit-file-retrieve ca_audit
    このコマンドは、CA に対して認証するために、auditor ディレクトリーに保存されている auditor ニックネームのあるクライアント証明書を使用します。コマンドで使用するパラメーターおよび代替の認証方法の詳細は、man ページの pki(1) を参照してください。
ログファイルをダウンロードした後、grep ユーティリティーを使用して、特定のログエントリーを検索できます。
# grep "\[AuditEvent=ACCESS_SESSION_ESTABLISH\]" log_file

15.3.2.3. 署名済み監査ログの確認

監査ログの署名が有効な場合、監査権限を持つユーザーはログを確認することができます。
  1. NSS データベースを初期化し、CA 証明書をインポートします。詳細は、「pki CLI の初期化」 および『Red Hat Certificate System 9 計画、インストール、およびデプロイメントのガイド』のNSS データベースへの証明書のインポートセクションを参照してください。
  2. 監査署名証明書が PKI クライアントデータベースにない場合は、インポートします。
    1. 確認するサブシステムログについて監査署名証明書を検索します。以下に例を示します。
      # pki ca-cert-find --name "CA Audit Signing Certificate"
      ---------------
      1 entries found
      ---------------
      	Serial Number: 0x5
      	Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE
      	Status: VALID
      	Type: X.509 version 3
      	Key Algorithm: PKCS #1 RSA with 2048-bit key
      	Not Valid Before: Fri Jul 08 03:56:08 CEST 2016
      	Not Valid After: Thu Jun 28 03:56:08 CEST 2018
      	Issued On: Fri Jul 08 03:56:08 CEST 2016
      	Issued By: system
      ----------------------------
      Number of entries returned 1
      ----------------------------
      
    2. 監査署名証明書を PKI クライアントにインポートします。
      # pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P"
      ---------------------------------------------------
      Imported certificate "CA Audit Signing Certificate"
      ---------------------------------------------------
  3. 監査ログをダウンロードします。「監査ログのダウンロード」を参照してください。
  4. 監査ログを確認します。
    1. 検証する監査ログファイルのリストを時系列で含むテキストファイルを作成します。以下に例を示します。
      # cat > ~/audit.txt << EOF
      ca_audit.20170331225716
      ca_audit.20170401001030
      ca_audit
      EOF
    2. AuditVerify ユーティリティーを使用して署名を確認します。以下に例を示します。
      # AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \
      		 -a ~/audit.txt
      Verification process complete.
      Valid signatures: 10
      Invalid signatures: 0
      AuditVerify の使用方法は、AuditVerify(1) man ページを参照してください。

15.3.3. オペレーティングシステムレベルの監査ログの表示

注記
以下の手順を使用して Operating System 9 レベルの監査ログを表示するには、『Red Hat Certificate System 計画、インストール、およびデプロイメントのガイド』のOS レベルの監査ログの有効化セクションに従って auditd ロギングフレームワークを設定する必要があります。
オペレーティングシステムレベルのアクセスログを表示するには、root として ausearch ユーティリティーを使用するか、sudo ユーティリティーを使用して特権ユーザーとして使用します。

15.3.3.1. 監査ログ削除イベントの表示

これらのイベントは、(rhcs_audit_deletion を使用して) キーが設定されているため、-k パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_deletion

15.3.3.2. シークレットおよび秘密鍵の NSS データベースへのアクセスの表示

これらのイベントは、(rhcs_audit_nssdb を使用して) キーが設定されているため、-k パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_nssdb

15.3.3.3. 時間変更イベントの表示

これらのイベントはキー化されるため (rhcs_audit_time_changeを使用)、-k パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_time_change

15.3.3.4. パッケージ更新イベントの表示

これらのイベントは、(SOFTWARE_UPDATE タイプの) タイプ付きメッセージであるため、-m パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -m SOFTWARE_UPDATE

15.3.3.5. PKI 設定変更の表示

これらのイベントは、(rhcs_audit_config を使用して) キーが設定されているため、-k パラメーターを使用して、そのキーに一致するイベントを検索します。
# ausearch -k rhcs_audit_config

15.3.4. スマートカードのエラーコード

スマートカードは、TPS に特定のエラーコードを報告できます。これは、メッセージの原因に応じて TPS のデバッグログファイルに記録されます。

表15.5 スマートカードのエラーコード

戻りコード 説明
一般的なエラーコード  
6400 特定の診断なし
6700 Lc の誤った長さ
6982 セキュリティーステータスが満たされない
6985 使用条件が満たされない
6a86 間違った P1 P2
6d00 無効な命令
6e00 無効なクラス
インストール読み込みエラー  
6581 メモリー障害
6a80 データフィールドの誤ったパラメーター
6a84 不十分なメモリー容量
6a88 参照データが見つからない
削除エラー  
6200 アプリケーションを論理的に削除
6581 メモリー障害
6985 参照データを削除できない
6a88 参照データが見つからない
6a82 アプリケーションが見つからない
6a80 コマンドデータの値が正しくない
データ取得エラー  
6a88 参照データが見つからない
ステータス取得エラー  
6310 より多くのデータが利用可能
6a88 参照データが見つからない
6a80 コマンドデータの値が正しくない
読み込みエラー  
6581 メモリー障害
6a84 不十分なメモリー容量
6a86 間違った P1/P2
6985 使用条件が満たされない