Recuperação de log

Opção do menu principal: 30 - Retrieve logs

Exporta o log de eventos do HSM para um arquivo na estação do usuário. Os registros de log podem ser usados para análise de auditoria, com informações sobre uso de chaves por exemplo, ou para acompanhar a operação do HSM e detectar eventuais problemas.

O tamanho do log é informado antes de o usuário confirmar a operação.

É recomendado estabelecer uma política para exportar os logs do HSM regularmente para arquivos e promover a limpeza do logs no HSM. Isso vai facilitar a análise dos logs e deixar as operações de extração de log mais rápidas. Não há perda de desempenho do HSM por trabalhar com Log muito grande.

Eventualmente o tamanho do arquivo recebido pode ser maior que o indicado por terem sido registrados novos eventos enquanto o log é exportado.

Originalmente o log é recebido do HSM em formato nativo, com as informações de data, hora e sessão compactadas, e separadas do texto do evento por um |:

Os eventos de log são mantidos em formato proprietário, com as informações de data, hora, thread, contador e cid (correlation id), e separadas do texto do evento por um caracter | (yyyy/mm/dd HH:MM:SS tttttttt cccccccc iiiiiiii|text):

  1. yyyy: ano

  2. mm: mês

  3. dd: dia

  4. HH: hora

  5. MM: minuto

  6. SS: segundo

  7. tttttttt: identificador (08 dígitos hexadecimais) para a sessão de trabalho física interna do HSM (thread) onde ocorreu o evento. Nem toda sessão interna corresponde a um sessão cliente, pois certos eventos são gerados pelo firmware do HSM, além disso uma mesma sessão de trabalho do HSM pode atender sequencialmente várias sessões cliente.

  8. cccccccc: contador monotônico de eventos, é zerado a cada vez que o HSM é iniciado

  9. iiiiiiii: id de correlacionamento (cid) identifica uma sessão cliente; todos os eventos de uma mesma sessão cliente recebem o mesmo identificador, que é única por sessão.

  10. |: caracter separador, literal (a console do HSM troca este separador por um espaço).

  11. text: descrição do evento.

Alguns eventos de log podem trazer atributos específicos para o contexto, como por exemplo tipo da chave, flags do objeto e identificador físico da sessão. Por exemplo:

  1. t:n para o tipo de algoritmo/chave, por exemplo 6 para RSA 2048 (abaixo uma lista mais extensiva de tipos).

  2. a:n para atributos do objeto (por ex. a:0 indica uma chave não exportável ou seja, bit de exportação desligado, se RSA indica também um expoente público default: 216+12^{16}+1).

  3. c:n para o identificador físico (socket) da sessão.

Dinamo - Remote Management Console v. 3.2.18.199 2018 (c) Dinamo Networks
HSM 10.61.53.61 e - Engine 3.17.0.0 (DXP) - TCA0115876 - ID master
HSM - Retrieve logs
Log size : 60797722 bytes (57.98 MB).
Interval : 2018-Aug-24 to 2019-Aug-22
Retrieve logs (y/[n]): y
Filter interval (y/[n]):
Zip log in HSM before retrieving (y/[n]):
Local file to save logs: hsmlogs.txt
.....
Logs successfully retrieved.
Press ENTER key to continue...

Lista de tipos de algoritmos para referência no log

INVALID_OBJ_TYPE 0
ALG_DES 1
ALG_3DES_112 2 (EDE)
ALG_3DES_168 3 (EDE)
ALG_RSA_512 4
ALG_RSA_1024 5
ALG_RSA_2048 6
ALG_AES_128 7
ALG_AES_192 8
ALG_AES_256 9
ALG_ARC4 10 (128)
ALG_RSA_4096 11
ALG_OBJ_BLOB 12
ALG_OBJ_BLOB_X509 13
ALG_OBJ_BLOB_PKCS7 14
ALG_OBJ_BLOB_CRL 15
ALG_OBJ_BLOB_HOTP 16
ALG_ECC_SECP112R1 18 (SECG/WTLS curve over a 112 bit prime field)
ALG_ECC_SECP112R2 19 (SECG curve over a 112 bit prime field)
ALG_ECC_SECP128R1 20 (SECG curve over a 128 bit prime field)
ALG_ECC_SECP128R2 21 (SECG curve over a 128 bit prime field)
ALG_ECC_SECP160K1 22 (SECG curve over a 160 bit prime field)
ALG_ECC_SECP160R1 23 (SECG curve over a 160 bit prime field)
ALG_ECC_SECP160R2 24 (SECG/WTLS curve over a 160 bit prime field)
ALG_ECC_SECP192K1 25 (SECG curve over a 192 bit prime field)
ALG_ECC_SECP192R1 26 (NIST/X9.62/SECG curve over a 192 bit prime field)
ALG_ECC_SECP224K1 27 (SECG curve over a 224 bit prime field)
ALG_ECC_SECP224R1 28 (NIST/SECG curve over a 224 bit prime field)
ALG_ECC_SECP256K1 29 (SECG curve over a 256 bit prime field)
ALG_ECC_SECP256R1 30 (NIST/X9.62/SECG curve over a 256 bit prime field)
ALG_ECC_SECP384R1 31 (NIST/SECG curve over a 384 bit prime field)
ALG_ECC_SECP521R1 32 (NIST/SECG curve over a 521 bit prime field)
ALG_ECC_X9_62_PRIME192V1 26
ALG_ECC_X9_62_PRIME192V2 33 (X9.62 curve over a 192 bit prime field)
ALG_ECC_X9_62_PRIME192V3 34 (X9.62 curve over a 192 bit prime field)
ALG_ECC_X9_62_PRIME239V1 35 (X9.62 curve over a 239 bit prime field)
ALG_ECC_X9_62_PRIME239V2 36 (X9.62 curve over a 239 bit prime field)
ALG_ECC_X9_62_PRIME239V3 37 (X9.62 curve over a 239 bit prime field)
ALG_ECC_X9_62_PRIME256V1 30
ALG_ECC_BRAINPOOL_P160R1 38 (RFC 5639 standard curves)
ALG_ECC_BRAINPOOL_P160T1 39
ALG_ECC_BRAINPOOL_P192R1 40
ALG_ECC_BRAINPOOL_P192T1 41
ALG_ECC_BRAINPOOL_P224R1 42
ALG_ECC_BRAINPOOL_P224T1 43
ALG_ECC_BRAINPOOL_P256R1 44
ALG_ECC_BRAINPOOL_P256T1 45
ALG_ECC_BRAINPOOL_P320R1 46
ALG_ECC_BRAINPOOL_P320T1 47
ALG_ECC_BRAINPOOL_P384R1 48
ALG_ECC_BRAINPOOL_P384T1 49
ALG_ECC_BRAINPOOL_P512R1 50
ALG_ECC_BRAINPOOL_P512T1 51
ALG_MAP_2_OBJ 90
ALG_DESX 91
ALG_HMAC_MD5 92
ALG_HMAC_SHA1 93
ALG_HMAC_SHA2_256 94
ALG_HMAC_SHA2_384 95
ALG_HMAC_SHA2_512 96
ALG_CMAC_AES 250
ALG_CMAC_DES 251
ALG_RSA_1152 121
ALG_RSA_1408 122
ALG_RSA_1984 123
ALG_RSA_8192 124
ALG_EXT_MAP_2_OBJ 125
ALG_RSA_2304 126
ALG_RSA_2560 127
ALG_RSA_2816 128
ALG_RSA_3072 129