第 15 章 配置子系统日志

CertificateCertificate Systemnbsp;System 子系统创建记录与活动相关的事件的日志文件,如管理、使用服务器支持的任何协议进行通信,以及由子系统使用的各种其他进程。在子系统实例运行时,它会保留有关它管理的所有组件的信息和错误消息。另外,Apache 和 Tomcat web 服务器也会生成错误并访问日志。
每个子系统实例维护自己的日志文件用于安装、审计和其他日志记录功能。
log 插件模块是作为 Java™ 类实施的监听程序,并在配置框架中注册。
除审计日志外,所有日志文件和轮转日志文件都位于通过 pkispawn 创建实例时在 pki_subsystem_log_path 中指定的任何目录中。 常规审计日志位于日志目录中,而签名的审计日志被写入 /var/log/pki/instance_name/subsystem_name/signedAudit。可以通过修改配置来更改日志的默认位置。

15.1. 关于证书证书系统nbsp;系统日志

CertificateCertificate Systemnbsp;System 子系统保留几种不同类型的日志,根据子系统类型、服务和单个日志设置提供特定信息。可以为实例保留的日志的类型取决于其所在的子系统。

15.1.1. 系统日志

子系统日志保留用于 CA、OCSP、KRA 和 TKS 子系统。
此日志、系统 记录了对服务器(所有 HTTP 和 HTTPS 请求)的请求的信息以及来自服务器的响应。此日志中记录的信息包括访问服务器的客户端机器的 IP 地址(包括 IPv4 和 IPv6)、执行的操作(如搜索、添加和编辑);以及访问的结果,如返回的条目数量:
id_number processor - [date:time] [number_of_operations] [result] servlet: message

例 15.1. TKS 系统日志

10439.http-13443-Processor25 - [19/May/2020:14:16:51 CDT] [11] [3] UGSubsystem: Get User Error User not found
此日志默认是 on。

15.1.2. 事务日志

事务日志保留用于 CA、OCSP、KRA 和 TKS 子系统。
此日志、事务、记录任何执行或提交至子系统的操作。
id_number.processor - [date:time] [number_of_operations] [result] servlet: message
这些消息特定于证书服务,如 CA 接收证书请求、KRA 归档或检索密钥以及 TKS 注册新的 TPS。此日志也可用于检测任何未授权的访问或活动。

例 15.2. 事务日志

11438.http-8443-Processor25 - [27/May/2020:07:56:18 CDT] [1] [1] archival reqID 4 fromAgent agentID: CA-server.example.com-8443 authenticated by noAuthManager is completed DN requested: UID=recoverykey,E=recoverykey@email.com,CN=recover key serial number: 0x3
此日志默认是 on。

15.1.3. 调试日志

默认启用的调试日志为所有子系统维护,具有不同程度和类型的信息。
每个子系统的调试日志记录比系统、事务和访问日志更详细的信息。调试日志包含子系统执行的每个操作的特定信息,包括运行的插件和 servlet,以及服务器请求和响应消息。
第 15.2.1.1 节 “Are Logged 的服务” 中会简要讨论记录在 debug 日志中的常规服务类型。这些服务包括授权请求、处理证书请求、证书状态检查以及存档和恢复密钥以及访问 Web 服务。
CA、OCSP、KRA 和 TKS 记录与子系统进程相关的信息。每个日志条目的格式如下:
[date:time] [processor]: servlet: message
消息 可以是来自子系统的返回消息,或者包含提交到子系统的值。
例如,TKS 记录这个信息以连接到 LDAP 服务器:
[10/Jun/2020:05:14:51][main]: Established LDAP connection using basic authentication to host localhost port 389 as cn=Directory Manager
处理器,而 消息 是来自有关 LDAP 连接的服务器的消息,没有 servlet。
另一方面,CA 记录有关证书操作以及子系统连接的信息:
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestowner$ value=KRA-server.example.com-8443
在这种情况下,处理器 是通过 CA 的代理端口的 HTTP 协议,而它指定了用于处理配置集的 servlet,并且 包含一条 提供配置文件参数(请求的子系统所有者)及其值(KRA 启动请求)。

例 15.3. CA 证书请求日志消息

[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.profileapprovedby$ value=admin
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.cert_request$ value=MIIBozCCAZ8wggEFAgQqTfoHMIHHgAECpQ4wDDEKMAgGA1UEAxMBeKaBnzANBgkqhkiG9w0BAQEFAAOB...
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.profile$ value=true
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.cert_request_type$ value=crmf
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestversion$ value=1.0.0
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.req_locale$ value=en
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestowner$ value=KRA-server.example.com-8443
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.dbstatus$ value=NOT_UPDATED
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.subject$ value=uid=jsmith, e=jsmith@example.com
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requeststatus$ value=begin
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.auth_token.user$ value=uid=KRA-server.example.com-8443,ou=People,dc=example,dc=com
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.req_key$ value=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDreuEsBWq9WuZ2MaBwtNYxvkLP^M
HcN0cusY7gxLzB+XwQ/VsWEoObGldg6WwJPOcBdvLiKKfC605wFdynbEgKs0fChV^M
k9HYDhmJ8hX6+PaquiHJSVNhsv5tOshZkCfMBbyxwrKd8yZ5G5I+2gE9PUznxJaM^M
HTmlOqm4HwFxzy0RRQIDAQAB
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.auth_token.authmgrinstname$ value=raCertAuth
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.auth_token.uid$ value=KRA-server.example.com-8443
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.auth_token.userid$ value=KRA-server.example.com-8443
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestor_name$ value=
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.profileid$ value=caUserCert
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.auth_token.userdn$ value=uid=KRA-server.example.com-4747,ou=People,dc=example,dc=com
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.requestid$ value=20
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.auth_token.authtime$ value=1212782378071
[06/Jun/2020:14:59:38][http-8443;-Processor24]: ProfileSubmitServlet: key=$request.req_x509info$ value=MIICIKADAgECAgEAMA0GCSqGSIb3DQEBBQUAMEAxHjAcBgNVBAoTFVJlZGJ1ZGNv^M
bXB1dGVyIERvbWFpbjEeMBwGA1UEAxMVQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4X^M
DTA4MDYwNjE5NTkzOFoXDTA4MTIwMzE5NTkzOFowOzEhMB8GCSqGSIb3DQEJARYS^M
anNtaXRoQGV4YW1wbGUuY29tMRYwFAYKCZImiZPyLGQBARMGanNtaXRoMIGfMA0G^M
CSqGSIb3DQEBAQUAA4GNADCBiQKBgQDreuEsBWq9WuZ2MaBwtNYxvkLPHcN0cusY^M
7gxLzB+XwQ/VsWEoObGldg6WwJPOcBdvLiKKfC605wFdynbEgKs0fChVk9HYDhmJ^M
8hX6+PaquiHJSVNhsv5tOshZkCfMBbyxwrKd8yZ5G5I+2gE9PUznxJaMHTmlOqm4^M
HwFxzy0RRQIDAQABo4HFMIHCMB8GA1UdIwQYMBaAFG8gWeOJIMt+aO8VuQTMzPBU^M
78k8MEoGCCsGAQUFBwEBBD4wPDA6BggrBgEFBQcwAYYuaHR0cDovL3Rlc3Q0LnJl^M
ZGJ1ZGNvbXB1dGVyLmxvY2FsOjkwODAvY2Evb2NzcDAOBgNVHQ8BAf8EBAMCBeAw^M
HQYDVR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMEMCQGA1UdEQQdMBuBGSRyZXF1^M
ZXN0LnJlcXVlc3Rvcl9lbWFpbCQ=
同样,OCSP 显示 OCSP 请求信息:
[07/Jul/2020:06:25:40][http-11180-Processor25]: OCSPServlet: OCSP Request:
[07/Jul/2020:06:25:40][http-11180-Processor25]: OCSPServlet:
MEUwQwIBADA+MDwwOjAJBgUrDgMCGgUABBSEWjCarLE6/BiSiENSsV9kHjqB3QQU

15.1.3.1. 安装日志

所有子系统均保留安装日志。
每次通过初始安装创建子系统时,或使用 pkispawn 创建额外实例,这是安装中的完整调试输出的安装文件,包括任何错误,包括任何错误,如果安装成功,则 URL 和 PIN 到实例的配置接口。该文件在 /var/log/pki/ 目录中创建,其名称为 pki-subsystem_name-spawn.timestamp
安装日志中的每个行都遵循安装过程的一个步骤。

例 15.4. CA Install Log

...
2015-07-22 20:43:13 pkispawn    : INFO     ... finalizing 'pki.server.deployment.scriptlets.finalization'
2015-07-22 20:43:13 pkispawn    : INFO     ....... cp -p /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg /var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20150722204136
2015-07-22 20:43:13 pkispawn    : DEBUG    ........... chmod 660 /var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20150722204136
2015-07-22 20:43:13 pkispawn    : DEBUG    ........... chown 26445:26445 /var/log/pki/pki-tomcat/ca/archive/spawn_deployment.cfg.20150722204136
2015-07-22 20:43:13 pkispawn    : INFO     ....... generating manifest file called '/etc/sysconfig/pki/tomcat/pki-tomcat/ca/manifest'
2015-07-22 20:43:13 pkispawn    : INFO     ....... cp -p /etc/sysconfig/pki/tomcat/pki-tomcat/ca/manifest /var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20150722204136
2015-07-22 20:43:13 pkispawn    : DEBUG    ........... chmod 660 /var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20150722204136
2015-07-22 20:43:13 pkispawn    : DEBUG    ........... chown 26445:26445 /var/log/pki/pki-tomcat/ca/archive/spawn_manifest.20150722204136
2015-07-22 20:43:13 pkispawn    : INFO     ....... executing 'systemctl enable pki-tomcatd.target'
2015-07-22 20:43:13 pkispawn    : INFO     ....... executing 'systemctl daemon-reload'
2015-07-22 20:43:13 pkispawn    : INFO     ....... executing 'systemctl restart pki-tomcatd@pki-tomcat.service'
2015-07-22 20:43:14 pkispawn    : INFO     END spawning subsystem 'CA' of instance 'pki-tomcat'
2015-07-22 20:43:14 pkispawn    : DEBUG

15.1.3.2. Tomcat 错误和访问日志

CA、KRA、OCSP、TKS 和 TPS 子系统将 Tomcat Web 服务器实例用于代理和最终用户接口。
访问日志由 Tomcat web 服务器创建,该服务器随 CertificateCertificate Systemnbsp 一起安装;系统并提供 HTTP 服务。错误日志包含服务器遇到的 HTTP 错误消息。访问日志通过 HTTP 接口列出访问活动。
Tomcat 创建的日志:
  • admin.timestamp
  • catalina.timestamp
  • catalina.out
  • host-manager.timestamp
  • localhost.timestamp
  • localhost_access_log.timestamp
  • manager.timestamp
这些日志在 CertificateCertificate Systemnbsp;System; 中不可配置,它们只能在 Apache 或 Tomcat 中进行配置。有关配置这些日志的详情,请查看 Apache 文档。

15.1.3.3. self-Tests 日志

当服务器启动时,或者在服务器启动时或自签名证书运行时,在 self-tests 运行过程中获取的 self-tests 记录信息。可以通过打开此日志来查看测试。此日志无法通过控制台配置,只能通过更改 CS.cfg 文件中的设置来配置。有关如何通过编辑 CS.cfg 文件配置日志的说明,请参阅 红帽证书系统规划、安装和部署指南中的 启用 Publishing Queue 部分。
本节中有关日志的信息与这个日志无关。有关自我证明的更多信息,请参阅 第 13.9 节 “运行自助测试”