第 11 章 監査ファイルとエラーファイルの理解

Identity Synchronization for Windows は、インストールや設定の状態、毎日のシステム動作、配備に関連するエラー状況についての情報を提供します。

この章では、次の節でこの情報にアクセスして理解する方法について説明します。

• 「ログの理解」

• 「ログファイルの設定」

• 「ディレクトリソースの状態の表示」

• 「インストール状態と設定状態の表示」

• 「監査ログとエラーログの表示」

• 「Windows NT マシンでの監査の有効化」

ログの理解

Identity Synchronization for Windows のコンソールの「状態」タブでさまざまな種類の情報を表示できます。

左側のナビゲーションツリー区画の次のノードの 1 つを選択すると、「状態」タブに表示される内容がその項目に固有の情報に変わります。

• ディレクトリソース: ディレクトリソースの状態情報を表示するには、そのディレクトリソースノード (dc=example、dc=com など) を選択します。

• To Do: Identity Synchronization for Windows を正常にインストールし、設定するために必要な手順のリストを表示するにはこのノードを選択します (終了した手順はグレー表示される)。

• 監査ファイル: 毎日のシステム運用の状態 (エラー状況を含む) を表示するには、このノードを選択します。

• エラーファイル: システムのエラー状況についての情報を表示するには、このノードを選択します。エラーログは、基本的にエラーエントリのみが表示されるフィルタとして機能します。

  

ログタイプ

この節では、Identity Synchronization for Windows で使用できるさまざまなログについて説明します。

• 「セントラルログ」

• 「ローカルコンポーネントログ」

• 「ローカル Windows NT サブコンポーネントログ」

• 「ディレクトリサーバープラグインログ」

セントラルログ

Identity Synchronization for Windows コンポーネントが Message Queue にアクセスできるかぎり監査とエラーのメッセージはすべて Identity Synchronization for Windows のセントラルロガーに記録されます。結果として、すべてのコンポーネントのメッセージを含むこれらのセントラルログが監視のための一次ログとなります。

セントラルログは、コアがインストールされたマシンの次のディレクトリに配置されます。

• Solaris の場合: /var/opt/SUNWisw/logs

• Linux の場合: /var/opt/sun/isw/logs

• Windows の場合: installation_root/isw-machine_name /logs/central/

各セントラルログには、各コンポーネント ID についての情報も含まれます。次にその例を示します。

[2003/03/14 14:48:23.296 -0600] INFO 13 
"System Component Information:
SysMgr_100 is the system manager (CORE);
console is the Product Console User Interface;
CNN100 is the connector that manages 
[example.com (ldaps:// server1.example.com:636)];
CNN101 is the connector that manages
[dc=example,dc=com (ldap:// server2.example.com:389)];"

セントラルロガーに加えて、各コンポーネントには独自のローカルログがあります。セントラルロガーに記録できない場合は、これらのローカルログを使用して、コネクタで問題を診断できます。

ローカルコンポーネントログ

各コネクタ、システムマネージャー、セントラルロガーには次のローカルログがあります。

これらのローカルログは次のサブディレクトリに配置されます。

• Solaris の場合: /var/opt/SUNWisw/logs

• Linux の場合: /var/opt/sun/isw/logs

• Windows の場合: installation_root/isw-machine_name /logs/central/

  sysmgr および clogger100 (セントラルロガー) ディレクトリは、コアがインストールされたマシンにあります。

  Identity Synchronization for Windows は、次のように日付を含むログファイルに現在のログを移動し、これらのローカルコンポーネントログを毎日ローテーションします。

  audit_2004_08_06.log

デフォルトで Identity Synchronization for Windows はコネクタログを 10 日後に削除します。Log.properties の com.sun.directory.wps.logging.maxmiumDaysToKeepOldLogs 値を編集し、サービスデーモンを再起動すると、この期間を延長できます。

ローカル Windows NT サブコンポーネントログ

次の Windows NT サブコンポーネントにもローカルログがあります。

• Windows NT 変更検出機能 DLL

• パスワードフィルタ DLL

  これらのサブコンポーネントログは、次のディレクトリの SUBC1XX (たとえば、SUBC100) サブディレクトリにあります。

  installation_root/isw-machine_name/logs/

  Identity Synchronization for Windows はこれらのファイルのサイズを 1M バイトに制限し、最新の 10 のログのみを維持します。

ディレクトリサーバープラグインログ

ディレクトリサーバープラグインは、ディレクトリサーバーコネクタを介してセントラルログにログ情報を記録します。また、Directory Server ログ機能を介してもログ情報を記録します。この結果、ローカルディレクトリサーバープラグインログメッセージは、Directory Server エラーログにも保存されます。

Directory Server は他のディレクトリサーバープラグインとコンポーネントからの情報をエラーログに保存します。Identity Synchronization for Windows ディレクトリサーバープラグインからのメッセージを特定するために、isw 文字列を含む行をフィルタで除外できます。

デフォルトでは、最低限のプラグインメッセージのみがエラーログに表示されます。次に例を示します。

[14/Jun/2004:17:08:36 -0500] - ERROR<38747> - isw - conn=-1 
op=-1 msgId=-1 - Plug-ins unable to establish connection to DS Connector 
at attila:1388, will retry later

エラーログの詳細レベルを変更する

次のように DSCC を使用して、Directory Server エラーログのデフォルトの詳細レベルを変更できます。

1. Directory Service Control Center にログインします。

2. 「ディレクトリサーバー」タブページでログレベルを設定するサーバーをクリックします。

3. 「サーバー設定」タブを選択してから「エラーロギング」タブを選択します。

4. 「一般 」->「ログに追加する項目」セクションで「プラグイン」を選択します。

5. 「保存」をクリックします。

   コマンド行を使用してプラグインのログ記録を有効にできます。

   $ dsconf set-log-prop errors level:err-plugins

   Directory Server のログ記録の詳細については、『Sun Java System Directory Server Enterprise Edition 6.3 管理ガイド』の第 15 章「Directory Server のログ」を参照してください。

ログの読み取り

どのログメッセージにも次の情報が含まれています。

• 時刻: ログエントリが生成された日時を示します。次に例を示します。

  [13/Aug/2004:06:14:36:753 -0500]

• レベル: ログメッセージの重要度と詳細レベルを示します。Identity Synchronization for Windows は、次のログレベルを使用します。

• スレッド識別子: イベントを発生させた関数の Java スレッド識別子を表示します。

• ID: イベントを発生させたコンポーネント (コンソール、システムマネージャーなど) を特定します。

• ホスト: イベントを発生させたホスト名を表示します。

• メッセージ: イベントに関連する監査またはエラーの情報を表示します。次に例を示します。

  “Resetting Central Logger configuration ...”
  “System manager is shutting down.”
  “Processing request (ID=ID_number
   from the console to stop synchronization.”

ログファイルの設定

配備のログを設定する

1. コンソールを開き「設定」タブを選択します。

2. ナビゲーションツリー区画で「ログ」ノードが表示されるまでノードを展開します。

3. 「ログ」ノードを選択します。「設定」タブに「ログファイル」パネルが表示されます。

   

4. 「ログファイル」区画を使用して、次のようにログファイルを設定します。

   • 「ログをファイルに書き込む」このオプションを有効にすると、ログがコアホスト上のファイルに書き込まれます。

     このオプションを選択したあと、次を実行できます。

     • デフォルト ログディレクトリとファイル (たとえば、 /var/opt/SUNWisw/logs/central) を有効にします。

     • 「ログファイルを書き込むディレクトリ」オプションを有効にしてから、ログファイルのパスとファイル名を指定します。

       ---

       注 –

       コンソールは、指定されたログファイルの場所が実際に存在するかどうか確認しません。存在しない場合は、セントラルロガーがログディレクトリを作成しようとします。このため、ログを表示しようとするまで存在しないログの場所を指定して保存したことはわかりません。ログの表示を何度か試行したあと、コンソールが指定した場所にログを見つけられないというメッセージが表示されます。

       ---

   • Solaris の場合のみ — 「syslog デーモンにログを書き込む」: Identity Synchronization for Windows が Solaris プラットフォーム上にある場合にこのオプションを有効にします。ドロップダウンリストを使用してログを書き込むカテゴリを選択します。(デフォルトは DAEMON)

     ---

     注 –

     このオプションを選択すると、Identity Synchronization for Windows はすべてを syslog に書き込みますが、syslog はデフォルトによって WARNING と SEVERE のメッセージのみをログ記録するよう設定されています。

     INFO メッセージを記録するように syslog を設定するには、/etc/syslog.conf を編集し、次の行を変更します。

     *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages

     から

     *.err;kern.debug;daemon.notice;daemon.info;mail.crit /var/adm/messages

     この変更を行ったあと、次のように syslog デーモンを再起動します。

     /etc/init.d/syslog stop ; /etc/init.d/syslog start

     FINE、FINER、および FINEST ログを有効にするには、セミコロンで区切ったリストに daemon.debug を入れます。

     ---

   • 「古いログの削除」: ログファイルの数は (1 日に 1 つずつ) 無限に増え続けます。ディスク容量を使い果たさないように、このオプションを有効にして、プログラムがセントラルログファイルから古いログを削除できる時を指定します。

     たとえば、30 日と指定すると、Identity Synchronization for Windows は 31 日目にすべてのファイルを削除します。

   • 「ログレベル」: ドロップダウンリストを使用してシステムログで確認できる詳細レベルを選択します。(「ログの読み取り」を参照)

5. 「ログ設定の保存」ボタンをクリックして、選択したオプションに基づいてログファイルを作成します。

ディレクトリソースの状態の表示

ディレクトリソースの状態を表示する

1. Identity Synchronization for Windows コンソールから「状態」タブを選択します。

2. ナビゲーションツリー区画で「ディレクトリソース」ノードを展開してから、ディレクトリソースノード (dc=example、dc=com など) を選択します。

   「状態」タブの内容が選択したディレクトリソースに関連した情報に変わります。

   

   ---

   注 –

   ディレクトリソースの状態を表示している場合は、基本的にそのディレクトリソースに関連付けられたコネクタの状態を表示しています。

   ---

   このタブの情報を更新するには、「更新」をクリックします。「状態」タブには次の情報が表示されます。

   • 「状態」: ディレクトリソースの現在の状態を反映します。有効な状態は次のとおりです。

     • 「Uninstalled」: コネクタはインストールされていません。

     • 「Installed」: コネクタはインストールされていますが、実行時設定をまだ受け取っていないため、同期の準備ができていません。コネクタが 1 分以上この状態のままの場合は、問題が発生している可能性があります。

     • 「Ready」: コネクタは同期の準備ができていますが、現在どのオブジェクトとも同期していません。同期が開始されていない場合や、同期が開始されたがすべてのサブコンポーネントがコネクタとの接続を確立していない場合、コネクタは「Ready」状態のままになります。

     • 「Syncing」: コネクタはオブジェクトと同期中です。変更が同期していないと気付いた場合は、エラーの場合があるため、エラーログを確認してください。

   • 「Active」: ディレクトリソースがアクティブかダウンしているかを示します。

   • 「前回の通信」: このディレクトリソースのコネクタからの最後の応答の時間を示します。

インストール状態と設定状態の表示

インストールと設定のプロセスの残りの手順を表示する

1. Identity Synchronization for Windows コンソールから「状態」タブを選択します。

2. ナビゲーションツリー区画で「To Do」ノードを展開します。

   インストールと設定の手順のチェックリストを表示するように「状態」タブの内容が変わります (たとえば、「ディレクトリソースの状態の表示」を参照)。

   

3. 右上の「更新」ボタンをクリックしてリストを更新します。

   手順を完了すると、チェックマークが付き、グレー表示されます。インストールと設定のプロセスを正常に完了するには、残りの手順を完了してください。

監査ログとエラーログの表示

エラーログを表示する

1. Identity Synchronization for Windows コンソールから「状態」タブを選択します。

2. ナビゲーションツリー区画で「監査ファイル」ノードまたは「エラーファイル」ノードを展開します。

   「状態」タブの内容が変わり、現在のログが表示されます。

   

   「更新」をクリックして最新の監査またはエラー情報をロードします。

   「状態」タブには次の情報が表示されます。

   • 「継続」: 常に最新の監査およびエラーの情報を更新して表示します。

   • 「ログファイル」: 読み取られる監査またはエラーのログのフルパス名を表示します。次に例を示します。

     C:\Program Files\Sun\MPS\isw-hostname\logs\central\audit.log
     

   • 「表示する行」: 表示する監査またはエラーのエントリ数を指定します。(デフォルトは 25。)

Windows NT マシンでの監査の有効化

配備内に Windows NT マシンがある場合は、監査が有効になっているかを確認します。有効になっていないと、Identity Synchronization for Windows はそのマシンからのメッセージをログ記録できません。

Windows NT マシンで監査ログを有効にする

1. Windows NT の「スタート」メニューから「プログラム」、「管理ツール」、「ドメイン ユーザー マネージャ」の順に選択します。

2. 「ユーザー マネージャ」ダイアログボックスが表示されたら、メニューバーから「ポリシー」、「監査」の順に選択します。

   「 監査ポリシー」ダイアログボックスが表示されます。

3. 「監査するイベント」ボタンを有効にしてから、「成功」ボックスと「失敗」ボックスを有効にします。

4. 「OK」をクリックしてダイアログボックスを閉じます。

   これらの設定は再度変更するまで有効のままです。