IdP512: 检查日志功能是否正常

        脚本安装完成后,IdP缺省自动配置了只允许CARSI联盟日志服务器到学校IdP服务器采集认证日志,采集方式为通过https获取,联盟日志服务器地址:115.27.243.6

        CARSI的日志采集和处理功能,在预上线环境和线上环境,方法相同。

        检查日志功能是否正常包含两个步骤:

  1. 检查本地生成日志是否正常。
    方法: ls /usr/share/nginx/html/auditlog/ 查看是否有以auditlog-打头的文件,有,则是日志生成成功。

  2. 检查联盟采集日志操作记录。

[carsi@idp]$ sudo grep "/auditlog/auditlog" /var/log/nginx/access.log
115.27.243.6 - - [23/Oct/2021:04:05:00 +0800] "GET /auditlog/auditlog-2021-10-23-03.log HTTP/1.1" 200 10511 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"
115.27.243.6 - - [23/Oct/2021:05:05:01 +0800] "GET /auditlog/auditlog-2021-10-23-04.log HTTP/1.1" 200 6720 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"
115.27.243.6 - - [23/Oct/2021:06:05:01 +0800] "GET /auditlog/auditlog-2021-10-23-05.log HTTP/1.1" 200 747 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"

        输出应如上所示,如上返回码为200,说明联盟的日志收集服务器可以正常获取贵校日志,只要其中有正常的日志内容即可正常收集。

        联盟服务器每小时取一次IdP运行日志,不会安排补取操作。

     

        通常会有两种异常情况:

  1. 没有输出记录,说明联盟服务器取日志的操作被拦截了,请与学校网络部门查询并解决,请学校网络部门放开115.27.243.6 IP地址访问IdP服务器的权限,访问端口为443
  2. 有输出记录,但记录开头的IP地址不是115.27.243.6,而是本校内网的IP地址。此情况说明贵校在IdP服务器之前可能有反向代理或防火墙,导致IP变更为了该反向代理或防火墙的IP。请联系反向代理服务器管理员,在反向代理服务器上,增加 X-Forwarded-For 和 X-Forwarded-Proto 两个 header 信息,对IdP服务器传递真实的请求 IP 和真实的请求协议。IdP432:反向代理对接

     

       另外,可以检查是否只允许CARSI联盟ip访问获取学校的idp运行日志:

       查看/etc/nginx/nginx.conf 文件中,location /auditlog段,如下配置(只允许CARSI联盟IP:115.27.243.6 抓取学校idp的日志):

location /auditlog {
			real_ip_header X-Forwarded-For;
			set_real_ip_from 0.0.0.0/0;
			real_ip_recursive on;
			allow 115.27.243.6;
			deny all;
        }

版权所有©北京大学计算中心