IdP4:检查日志功能是否正常
脚本安装完成后,IdP缺省自动配置了只允许CARSI联盟日志服务器到学校IdP服务器采集认证日志,采集方式为通过https获取,联盟日志服务器地址:115.27.243.6。
CARSI的日志采集和处理功能,在预上线环境和线上环境,方法相同。
检查日志功能是否正常包含两个步骤:
检查本地生成日志是否正常。
方法: ls /usr/share/nginx/html/auditlog/ 查看是否有以auditlog-打头的文件,有,则是日志生成成功。检查联盟采集日志操作记录。
[carsi@idp]$ sudo grep "/auditlog/auditlog" /var/log/nginx/access.log 115.27.243.6 - - [23/Oct/2021:04:05:00 +0800] "GET /auditlog/auditlog-2021-10-23-03.log HTTP/1.1" 200 10511 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-" 115.27.243.6 - - [23/Oct/2021:05:05:01 +0800] "GET /auditlog/auditlog-2021-10-23-04.log HTTP/1.1" 200 6720 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-" 115.27.243.6 - - [23/Oct/2021:06:05:01 +0800] "GET /auditlog/auditlog-2021-10-23-05.log HTTP/1.1" 200 747 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" "-"
输出应如上所示,如上返回码为200,说明联盟的日志收集服务器可以正常获取贵校日志,只要其中有正常的日志内容即可正常收集。
联盟服务器每小时取一次IdP运行日志,不会安排补取操作。
通常会有两种异常情况:
- 没有输出记录,说明联盟服务器取日志的操作被拦截了,请与学校网络部门查询并解决,请学校网络部门放开115.27.243.6 IP地址访问IdP服务器的权限,访问端口为443。
- 有输出记录,但记录开头的IP地址不是115.27.243.6,而是本校内网的IP地址。此情况说明贵校在IdP服务器之前可能有反向代理或防火墙,导致IP变更为了该反向代理或防火墙的IP。请联系反向代理服务器管理员,在反向代理服务器上,增加
X-Forwarded-For
和X-Forwarded-Proto
两个header
信息,对IdP服务器传递真实的请求 IP 和真实的请求协议。IdP4:学校反向代理对接IdP
另外,可以检查是否只允许CARSI联盟ip访问获取学校的idp运行日志:
查看/etc/nginx/nginx.conf 文件中,location /auditlog段,如下配置(只允许CARSI联盟IP:115.27.243.6 抓取学校idp的日志):
location /auditlog { real_ip_header X-Forwarded-For; set_real_ip_from 0.0.0.0/0; real_ip_recursive on; allow 115.27.243.6; deny all; }
版权所有©北京大学计算中心