15.2. 管理日志

CertificateCertificate Systemnbsp;System 子系统日志文件记录与该特定子系统实例相关的事件。对于每个子系统,会保留不同的日志来用于安装、访问和 Web 服务器等问题。
所有子系统都有类似的日志配置、选项和管理路径。

15.2.1. 日志设置概述

配置日志的方式可能会影响 CertificateCertificate Systemnbsp;System performance。例如,日志文件轮转日志不会变得太大,这会降低子系统性能。本节介绍由 CertificateCertificate Systemnbsp 记录的不同日志;系统子系统,并涵盖日志文件轮转、缓冲日志记录以及可用日志级别等重要概念。

15.2.1.1. Are Logged 的服务

CertificateCertificate Systemnbsp 的所有主要组件和协议;系统日志消息到日志文件。表 15.1 “服务日志” 列出默认记录的服务。要查看特定服务记录的消息,请相应地自定义日志消息。详情请查看 第 15.3.1 节 “在控制台中查看日志”

表 15.1. 服务日志

Service 描述
ACL 日志与访问控制列表相关的事件。
管理 记录与管理活动相关的事件,如控制台和实例之间的 HTTPS 通信。
All 记录与所有服务相关的事件。
身份验证 使用身份验证模块记录与活动相关的事件。
证书颁发机构 记录与证书管理器相关的事件。
数据库 记录与内部数据库活动相关的事件。
HTTP
记录与服务器 HTTP 活动相关的事件。请注意,HTTP 事件实际上被记录到属于带有 CertificateCertificate Systemnbsp 的 Apache 服务器出错日志;System to 提供 HTTP 服务。
密钥恢复授权 记录与 KRA 相关的事件。
LDAP 记录与 LDAP 目录相关的事件,用于发布证书和 CRL。
OCSP 记录与 OCSP 相关的事件,如 OCSP 状态 GET 请求。
其他 记录与其他活动相关的事件,如命令行实用程序和其他进程。
请求队列 记录与请求队列活动相关的事件。
用户和组群 记录与实例的用户和组相关的事件。

15.2.1.2. 日志级别(Message Categories)

由 CertificateCertificate Systemnbsp 记录的不同事件; 系统服务由日志级别决定,这使得识别和过滤事件更简单。不同的证书证书系统nbsp;System 日志级别列在 表 15.2 “日志级别和更正日志消息” 中。
日志级别按数字表示,指示服务器应如何执行日志记录级别。
更高的优先级级别意味着不详细,因为只记录高优先级的事件。

表 15.2. 日志级别和更正日志消息

日志级别 消息类别 描述
0-1 Tracing 这些消息包含精细的调试信息。此级别不应定期使用,因为它可能会影响性能。
2-5 调试 这些消息包含调试信息。不建议使用这个级别,因为它会生成太多的信息。
6-10 INFORMATIONAL 这些消息提供有关证书证书证书系统状态的一般信息;System,包括证书证书系统nbsp 等状态消息 ;System initialization complete and Request for operation successful
11-15 警告 这些消息只是警告信息,且不会指示服务器正常操作中的任何故障。
> 15 失败 这些消息表示导致服务器正常运行的错误和失败,包括执行证书服务操作失败(用户身份 验证失败 或证书被撤销的 )和意外情况,可能导致不相关的错误(服务器无法通过从客户端发出的同一频道来发回请求)。设置以上 15 级将尽量减少日志,因为只会记录失败。
日志级别可用于根据事件的严重性过滤日志条目。默认日志级别为 10。
日志数据可能广泛,特别是较低(详细)日志记录级别。确保主机机器具有足够的磁盘空间用于所有日志文件。还要适当定义日志级别、日志轮转和 server-backup 策略,以便备份所有日志文件,并且主机系统不会过载;否则,信息可能会丢失。

15.2.1.3. buffered 和 Unbuffered Logging

Java 子系统支持对所有类型的日志进行缓冲记录。可以为缓冲或未缓冲日志记录配置服务器。
如果配置了缓冲的日志,服务器会为相应日志创建缓冲区,并在缓冲区中尽可能保存消息。只有在发生以下条件之一时,服务器才会将信息清除到日志文件中:
  • 缓冲区已满。当缓冲区大小等于或大于由 bufferSize 配置参数指定的值时,缓冲已满。此参数的默认值为 512 KB。
  • 达到缓冲区的冲刷间隔。当从最后一个缓冲区刷新开始的时间间隔等于或大于 flushInterval 配置参数指定的值时,就会达到冲刷间隔。此参数的默认值为 5 秒。
  • 当当前日志从控制台读取时。查询当前日志时,服务器会检索最新的日志。
如果为非缓冲记录配置了服务器,服务器会在生成日志时清除消息。由于服务器在每次生成消息时都执行 I/O 操作(写入日志文件),因此配置服务器以获得不缓冲的日志会降低性能。
设置日志参数在 第 15.2.2 节 “在控制台中配置日志” 中描述。

15.2.1.4. 日志文件轮转

子系统日志具有可选日志设置,允许轮转并启动新的日志文件,而不必让日志文件无限期地增加。在以下情况下之一会轮转日志文件:
  • 达到对应文件的大小限制。对应日志文件的大小等于或大于 maxFileSize 配置参数指定的值。此参数的默认值为 100 KB。
  • 相应文件的 age 限值会被达到。对应的日志文件等于 rolloverInterval 配置参数指定的时间间隔,或早于 rolloverInterval 配置参数。此参数的默认值为 2592000 秒(每隔三十天)。
注意
将这两个参数都设置为 0 可有效地禁用日志文件轮转。
轮转日志文件时,会使用带有附加时间戳的文件的名称命名旧文件。附加的时间戳是一个整数,表示相应活跃日志文件轮转的日期和时间。日期和时间的格式为 YYYYMMDD(年、月份、日)和 HHMMSS(小时、分钟、秒)。
日志文件(特别是审计日志文件)包含关键信息。通过将整个 日志 目录复制到归档中,应定期将这些文件归档到某些备份介质。
注意
CertificateCertificate Systemnbsp;System 不会为归档日志文件提供任何工具或实用程序。
CertificateCertificate Systemnbsp;System 提供了一个命令行实用程序, signtool,该实用程序在存档日志文件作为 tamper 检测方法之前对其进行签名。详情请查看 第 15.2.4.5 节 “签名日志文件”
签名日志文件是签名的审计日志功能的替代选择。签名的审计日志会创建使用子系统签名证书的审计日志。有关签名的审计日志的详情,请参阅 第 15.2.4.3 节 “在控制台中配置签名审计日志”
轮转的日志文件不会被删除。