IdP4：日志功能配置步骤（第6/11步）

        学校IdP日志是CARSI联盟的基础运行数据之一，在帮助学校了解本单位CARSI服务运行情况的同时，为联盟的运维、监测和后续发展决策提供了第一手资料，也是IdP上线时需要检查的功能之一。学校管理员可通过CARSI会员自服务系统https://mgmt.carsi.edu.cn 查看本单位IdP服务统计数据、监测服务运行状态、了解本校师生的SP访问情况。

1.IdP日志分类

IdP日志默认路径/opt/shibboleth-idp/logs，主要有四个日志文件：

• idp-process.log：记录了IdP启动及运行过程所有的日志，如遇到idp运行故障，查看此日志文件来排查
• idp-warn.log：记录了IdP启动及运行过程中日志级别为warn的日志
• idp-consent-audit.log：当配置用户隐私保护后，会记录用户隐私保护相关的日志
• idp-audit.log：审计日志，记录用户访问sp的日志

        注意：根据《网络安全法》要求，IdP至少保留180天的日志记录，目前默认为180天，如需要更改，请将/opt/shibboleth-idp/conf/logback.xml中的idp.loghistory:-180修改成其他数字，如idp.loghistory:-360，保留360天的日志。

2.IdP审计日志上报配置

        IdP审计日志生成脚本已经由安装脚本提前下载好并放在相应的目录下，只需要添加定时任务，即可生成每小时上报给CARSI联盟的IdP审计日志文件。

#添加定时任务，执行sudo crontab -e 并增加以下作业任务
[carsi@www ~]$ sudo crontab -e
0 */1 * * * sh /usr/share/nginx/html/auditlog/auditlog.sh >/dev/null 2>&1

3.nginx日志保留时间配置

       nginx日志默认保留180天，nginx日志所在位置/var/log/nginx/，主要包括2个日志文件

• access.log：nginx访问日志
• error.log：nginx错误信息记录日志

       修改nginx日志保留时间操作如下，daily表示日志每天记录一个，rotate 180，表示保留最近180天的日志。

[carsi@www ~]$ sudo vi /etc/logrotate.d/nginx
/var/log/nginx/*log {
    create 0664 nginx root
    daily
    rotate 180
    missingok
    notifempty
    compress
    sharedscripts
    postrotate
        /bin/kill -USR1 `cat /run/nginx.pid 2>/dev/null` 2>/dev/null || true
    endscript
}

4. 检查是否只允许CARSI联盟访问获取学校日志

       查看/etc/nginx/nginx.conf 文件中，location /auditlog段，是否有如下配置（只允许CARSI联盟IP：115.27.243.6 抓取学校idp的日志）：

location /auditlog {
			real_ip_header X-Forwarded-For;
			set_real_ip_from 0.0.0.0/0;
			real_ip_recursive on;
			allow 115.27.243.6;
			deny all;
        }

注意：如果学校已经采购日志采集和分析系统，建议将CARSI日志集中存储到日志系统。