IdP4:日志功能配置步骤(第6/11步)
学校IdP日志是CARSI联盟的基础运行数据之一,在帮助学校了解本单位CARSI服务运行情况的同时,为联盟的运维、监测和后续发展决策提供了第一手资料,也是IdP上线时需要检查的功能之一。学校管理员可通过CARSI会员自服务系统https://mgmt.carsi.edu.cn 查看本单位IdP服务统计数据、监测服务运行状态、了解本校师生的SP访问情况。
1.IdP日志分类
IdP日志默认路径/opt/shibboleth-idp/logs,主要有四个日志文件:
- idp-process.log:记录了IdP启动及运行过程所有的日志,如遇到idp运行故障,查看此日志文件来排查
- idp-warn.log:记录了IdP启动及运行过程中日志级别为warn的日志
- idp-consent-audit.log:当配置用户隐私保护后,会记录用户隐私保护相关的日志
- idp-audit.log:审计日志,记录用户访问sp的日志
注意:根据《网络安全法》要求,IdP至少保留180天的日志记录,目前默认为180天,如需要更改,请将/opt/shibboleth-idp/conf/logback.xml中的idp.loghistory:-180修改成其他数字,如idp.loghistory:-360,保留360天的日志。
2.IdP审计日志上报配置
IdP审计日志生成脚本已经由安装脚本提前下载好并放在相应的目录下,只需要添加定时任务,即可生成每小时上报给CARSI联盟的IdP审计日志文件。
#添加定时任务,执行sudo crontab -e 并增加以下作业任务 [carsi@www ~]$ sudo crontab -e 0 */1 * * * sh /usr/share/nginx/html/auditlog/auditlog.sh >/dev/null 2>&1
3.nginx日志保留时间配置
nginx日志默认保留180天,nginx日志所在位置/var/log/nginx/,主要包括2个日志文件
- access.log:nginx访问日志
- error.log:nginx错误信息记录日志
修改nginx日志保留时间操作如下,daily表示日志每天记录一个,rotate 180,表示保留最近180天的日志。
[carsi@www ~]$ sudo vi /etc/logrotate.d/nginx /var/log/nginx/*log { create 0664 nginx root daily rotate 180 missingok notifempty compress sharedscripts postrotate /bin/kill -USR1 `cat /run/nginx.pid 2>/dev/null` 2>/dev/null || true endscript }
4. 检查是否只允许CARSI联盟访问获取学校日志
查看/etc/nginx/nginx.conf 文件中,location /auditlog段,是否有如下配置(只允许CARSI联盟IP:115.27.243.6 抓取学校idp的日志):
location /auditlog { real_ip_header X-Forwarded-For; set_real_ip_from 0.0.0.0/0; real_ip_recursive on; allow 115.27.243.6; deny all; }
注意:如果学校已经采购日志采集和分析系统,建议将CARSI日志集中存储到日志系统。
Related pages
版权所有©北京大学计算中心