17.3. CS.cfg ファイルでのログの設定

インストールの設定中に、インスタンスの CS.cfg を直接編集して、ロギングを設定することができます。
  1. サブシステムインスタンスを停止します。
    systemctl stop pki-tomcatd-nuxwdog@instance_name.service
  2. /var/lib/pki/instance_name/subsystem_type/conf ディレクトリーで CS.cfg ファイルを開きます。
  3. 新しいログを作成するには、システムまたはトランザクションログのすべてのエントリーをコピーします。これらは、log.instance.Transactions または log.instance.Systemで始まるパラメーターです。ロギングセクションの下部にすべてのエントリーを貼り付け、各パラメーターの単語 Transactions または System を新しい名前に変更することで、このインスタンスの名前を変更します。
  4. ログインスタンスを設定するには、そのログに関連付けられたパラメーターを変更します。これらのパラメーターは log.instance で始まります。

    表17.3 ログエントリーパラメーター

    パラメーター 説明
    type ログファイルのタイプ。システム はエラーおよびシステムログを作成します。トランザクション は監査ログを記録します。
    enable ログがアクティブかどうかを設定します。有効にするログのみがイベントを記録します。
    level テキストフィールドにログレベルを設定します。このレベルは、フィールドに手動で入力する必要があります。選択メニューはありません。ログレベル設定は、「ログレベル (メッセージカテゴリー)」 に記載されている数値です。
    fileName ログファイルへのファイル名を含む完全パス。サブシステムユーザーには、ファイルへの読み書きパーミッションがなければなりません。
    bufferSize ログのキロバイトサイズ (KB) のバッファーサイズ。バッファーがこのサイズに達すると、バッファーの内容はフラッシュされ、ログファイルにコピーされます。デフォルトのサイズは 512 KB です。バッファーロギングの詳細は、「バッファー付きおよびバッファーなしのロギング」 を参照してください。
    flushInterval バッファの内容がフラッシュされてログファイルに追加されるまでの時間 (秒単位)。デフォルトの間隔は 5 秒です。
    maxFileSize ローテーションされる前に可能なログファイルのサイズをキロバイト (KB) 単位で設定できます。このサイズに達すると、ファイルはローテーションファイルにコピーされ、ログファイルが新たに開始されます。ログファイルのローテーションに関する詳細は、「ログファイルローテーション」 を参照してください。デフォルトのサイズは 2000 KB です。
    rolloverInterval サーバーがアクティブなログファイルをローテーションする頻度。利用可能な選択肢は hourly、daily、weekly、monthly、および yearly です。デフォルトの選択は monthly です。詳細は、「ログファイルローテーション」 を参照してください。
    register[a] この変数が false (デフォルト値) に設定されている場合、セルフテストのメッセージは selftests.container.logger.fileName によって指定されるログファイルにのみログに記録されます。この変数が trueに設定されている場合は、セルフテストのメッセージは selftests.container.logger.fileName によって指定したログファイルと、log. instance .Transactions. fileName で指定されたログファイルの両方に書き込まれます。
    logSigning[b] 署名付きロギングを有効にします。このパラメーターが有効な場合は、signedAuditCertNickname パラメーターの値を指定します。このオプションは、監査人だけがログを表示できることを意味します。値は true または false です。
    signedAuditCertNickname[b] 監査ログの署名に使用される証明書のニックネーム。この証明書の秘密鍵は、ログに署名するためにサブシステムからアクセスできる必要があります。
    events[b] 監査ログにログを記録するイベントを指定します。ログイベントは、空白のないコンマで区切ります。
    [a] これは自己テスト用のログのみに使用されます。
    [b] これは監査ログのみになります。
  5. ファイルを保存します。
  6. サブシステムインスタンスを開始します。
    systemctl start pki-tomcatd@instance_name.service
    または
    systemctl start pki-tomcatd-nuxwdog@instance_name.service (if using nuxwdog watchdog)

17.3.1. 署名監査ログの有効化および設定

17.3.1.1. 署名監査ログの有効化

デフォルトでは、監査ロギングはインストール時に有効になります。ただし、インストール後に、ログ署名を手動で有効にする必要があります。
現在の監査ロギング設定を表示するには、以下を実行します。
# pki-server subsystem-audit-config-show
  Enabled: True
  Log File: audit_signing_log_file
  Buffer Size (bytes): 512
  Flush Interval (seconds): 5
  Max File Size (bytes): 2000
  Rollover Interval (seconds): 2592000
  Expiration Time (seconds): 0
  Log Signing: False
  Signing Certificate: audit_signing_certificate
署名付き監査ログを有効にするには、以下を実行します。
  1. pki-server ユーティリティーを使用して、--logSigning オプションを true に設定します。
    # pki-server subsystem-audit-config-mod --logSigning True
      ...
      Log Signing: True
      ...
  2. インスタンスを再起動します。
    # systemctl restart pki-tomcatd@instance_name.service
    または
    systemctl start pki-tomcatd-nuxwdog@instance_name.service (if using nuxwdog watchdog)

17.3.1.2. 監査イベントの設定

17.3.1.2.1. 監査イベントの有効化および無効化
さらに、監査イベントフィルターは、より詳細な選択に設定できます。「監査イベントのフィルタリング」 を参照してください。
証明書システムでの監査可能なイベントの完全なリストは、『 『Red Hat Certificate System Administration Guide』の「 Audit events appendix」を参照してください』。
17.3.1.2.2. 監査イベントのフィルタリング
Certificate System では、管理者はフィルターを設定して、イベント属性に基づいて監査ファイルに記録される監査イベントを構成できます。
フィルターの形式は LDAP フィルターと同じです。ただし、Certificate System は、以下のフィルターのみをサポートします。

表17.4 サポート対象の Audit イベントフィルター

タイプ 形式
Presence (attribute=*) (ReqID=*)
Equality (attribute=value) (Outcome=Failure)
Substring (attribute=initial*any*...*any*final) (SubjectID=*admin*)
AND 演算子 (&(filter_1)(filter_2)...(filter_n)) (&(SubjectID=admin)(Outcome=Failure))
OR 演算子 (|(filter_1)(filter_2)...(filter_n)) (|(SubjectID=admin)(Outcome=Failure))
NOT 演算子 (!(filter)) (!(SubjectID=admin))
LDAP フィルターの詳細は、『Red Hat Directory Server Administration Guide』の『Using Compound Search Filters』セクションを参照してください。

例17.2 監査イベントのフィルタリング

プロファイル証明書要求と処理された証明書の現在の設定を表示するには、以下のコマンドを実行します。
$ pki-server ca-audit-event-show PROFILE_CERT_REQUEST
  Event Name: PROFILE_CERT_REQUEST
  Enabled: True
  Filter: None

$ pki-server ca-audit-event-show CERT_REQUEST_PROCESSED
  Event Name: CERT_REQUEST_PROCESSED
  Enabled: True
  Filter: None
InfoName フィールドが rejectReason または cancelReason に設定されている処理済み証明書要求のイベントと、プロファイル証明書要求およびイベントの失敗したイベントのみを記録するには、以下を実行します。
  1. 以下のコマンドを実行します。
    $ pki-server ca-audit-event-update PROFILE_CERT_REQUEST --filter "(Outcome=Failure)"
      ...
      Filter: (Outcome=Failure)
    
    $ pki-server ca-audit-event-update CERT_REQUEST_PROCESSED --filter "(|(InfoName=rejectReason)(InfoName=cancelReason))"
      ...
      Filter: (|(InfoName=rejectReason)(InfoName=cancelReason))
    
  2. Certificate System を再起動します。
    # systemctl restart pki-tomcatd@instance_name.service
    または
    systemctl start pki-tomcatd-nuxwdog@instance_name.service (if using nuxwdog watchdog)