15.2.4.6. 过滤审计事件

在证书系统管理员中,可以设置过滤器来配置根据事件属性在审计文件中记录哪些审计事件。
过滤器的格式与 LDAP 过滤器的格式相同。但是,证书系统只支持以下过滤器:

表 15.4. 支持的审计事件过滤器

类型 格式 示例
存在 (attribute=*) (ReqID=*)
等于 属性= (Outcome=Failure)
子字符串 (attribute=initial*any*...*any*final) (SubjectID=*admin*)
AND 操作 (&(filter_1)(filter_2)...(filter_n)) (&(SubjectID=admin)(Outcome=Failure))
OR 操作 (|(filter_1)(filter_2)...(filter_n)) (|(SubjectID=admin)(Outcome=Failure))
操作 (!(filter)) (!(SubjectID=admin))
有关 LDAP 过滤器的详情,请参考 Red Hat Directory Server 管理指南 中的使用 复合 搜索过滤器

例 15.5. 过滤审计事件

为处理处理的证书请求和事件记录失败的事件,并将 InfoName 字段设置为 rejectReadoncancelReason
  1. 编辑 /var/lib/pki/instance_name/subsystem_type/conf/CS.cfg 文件并设置以下参数:
    log.instance.SignedAudit.filters.PROFILE_CERT_REQUEST=(Outcome=Failure)
    log.instance.SignedAudit.filters.CERT_REQUEST_PROCESSED=(|(InfoName=rejectReason)(InfoName=cancelReason))
  2. 重启证书系统:
    # systemctl restart pki-tomcatd@instance_name.service