IdP4：检查日志功能是否正常

脚本安装完成后，IdP缺省自动配置了只允许CARSI联盟日志服务器到学校IdP服务器采集认证日志，采集方式为通过https获取，联盟日志服务器地址：115.27.243.6。

CARSI的日志采集和处理功能，在预上线环境和线上环境，方法相同。

检查日志功能是否正常包含两个步骤：

检查本地生成日志是否正常。
方法： ls /usr/share/nginx/html/auditlog/ 查看是否有以auditlog-打头的文件，有，则是日志生成成功。
检查联盟采集日志操作记录。

[carsi@idp]$ sudo grep "/auditlog/auditlog" /var/log/nginx/access.log
115.27.243.6 - - [23/Oct/2021:04:05:00 +0800] "GET /auditlog/auditlog-2021-10-23-03.log HTTP/1.1" 200 10511 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"
115.27.243.6 - - [23/Oct/2021:05:05:01 +0800] "GET /auditlog/auditlog-2021-10-23-04.log HTTP/1.1" 200 6720 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"
115.27.243.6 - - [23/Oct/2021:06:05:01 +0800] "GET /auditlog/auditlog-2021-10-23-05.log HTTP/1.1" 200 747 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"

输出应如上所示，如上返回码为200，说明联盟的日志收集服务器可以正常获取贵校日志，只要其中有正常的日志内容即可正常收集。

联盟服务器每小时取一次IdP运行日志，不会安排补取操作。

通常会有两种异常情况：

没有输出记录，说明联盟服务器取日志的操作被拦截了，请与学校网络部门查询并解决，请学校网络部门放开115.27.243.6 IP地址访问IdP服务器的权限，访问端口为443。
有输出记录，但记录开头的IP地址不是115.27.243.6，而是本校内网的IP地址。此情况说明贵校在IdP服务器之前可能有反向代理或防火墙，导致IP变更为了该反向代理或防火墙的IP。请联系反向代理服务器管理员，在反向代理服务器上，增加 X-Forwarded-For 和 X-Forwarded-Proto 两个 header 信息，对IdP服务器传递真实的请求 IP 和真实的请求协议。IdP4：学校反向代理对接IdP

另外，可以检查是否只允许CARSI联盟ip访问获取学校的idp运行日志：

查看/etc/nginx/nginx.conf 文件中，location /auditlog段，如下配置（只允许CARSI联盟IP：115.27.243.6 抓取学校idp的日志）：

location /auditlog {
			real_ip_header X-Forwarded-For;
			set_real_ip_from 0.0.0.0/0;
			real_ip_recursive on;
			allow 115.27.243.6;
			deny all;
        }

CARSI WIKI

IdP4：检查日志功能是否正常

Related content