第 11 章設定及監視記錄

本章說明如何設定讓 Directory Proxy Server 記錄項目或訊息，然後利用 Directory Proxy Server 主控台，藉由記錄的項目監視其活動。

記錄概論

系統記錄

Directory Proxy Server 可維護各種不同事件及系統錯誤的延伸記錄，讓您能監視及偵錯系統。所有記錄都可以文字檔來維護，並儲存在本機檔案系統，讓您便於迅速及便捷的檢索。根據預設值，Directory Proxy Server 會將記錄項目寫入該檔案：

記錄檔中的每個訊息都有時間戳記。還有 Directory Proxy Server 內部的程序編號及訊息編號。

Directory Proxy Server 記錄的事件會分成各個類別，以便識別及篩選。這些都列在表 11-1。每個類別都代表特性相同或類似的訊息，或屬於特定功能區。根據組態的設定，記錄檔可記錄屬於這些類別之一 (或以上) 的項目。

在 Directory Proxy Server 組態中，每個訊息類別都對應到特定的記錄層次。記錄層次指出伺服器執行的記錄層次 - 也就是說記錄的詳細程度。

較高的優先權層次表示詳細資料較少，因為只記錄優先權高的事件。

較低的優先權層次表示詳細資料較多，因為記錄檔中記錄的事件種類較多。

表 11-1 會以優先權的遞減排序列出訊息類別 -[關鍵] 的優先權層次最高，[詳細追蹤] 的優先權層次最低。

表 11-1 記錄層次
記錄層次或嚴重性	描述
強制	強制訊息是一定會寫入到記錄的訊息。這些訊息指出 Directory Proxy Server 讀取的組態、Directory Proxy Server 啟動時的版本編號等等。您不能設定屬於這個層次的訊息。
關鍵	這些訊息指出 Directory Proxy Server 遇到需要立即注意的某些問題。例如 Directory Proxy Server process 1234 has exited, attempting restart in 10 seconds.
例外	這些訊息指出未預期的錯誤狀況，例如，Directory Proxy Server 已接收用戶端/伺服器的格式化錯誤的 LDAP 訊息。例如 Could not decode search request.
警告	這些訊息可指定 Directory Proxy Server 可忽略的錯誤狀況，但系統管理員必須加以調查。例如 Local host name lookup failed.System default group may not function correctly.
通知	這是參考訊息。例如 Received NULL continuation reference from server.Discarding...
追蹤	這些是偵錯訊息。例如 Result received from server lderr =32, matched=o=sun.com, errtxt=no such object. 追蹤訊息包含通訊協定傾印。使用追蹤層次會迅速產生非常大的記錄檔。
詳細追蹤	這些訊息可提供較為詳細的偵錯資訊，例如可重新使用連線的要求匿名連結。這些訊息通常對於 Directory Proxy Server 工程/支援小組都是有意義的。

Directory Proxy Server 可讓您指定記錄的數量 - 您可根據事件嚴重性使用記錄層級篩選記錄項目。根據預設值，層次會設定為 [警告]。


注意	記錄層次是累加的，也就是說，如果您選擇 [警告]作為記錄層次，則會記錄 [警告]、[例外] 及 [關鍵] 層次訊息。記錄資料可能非常龐大，尤其是以較低 (較詳細) 的記錄層次執行時更是如此。請確定主機有足夠的磁碟空間以供所有記錄檔使用。

您可選擇將 Directory Proxy Server 設定成將記錄訊息傳送給 syslog 常駐程式，而不是檔案；不可將記錄訊息同時傳送給檔案及 syslog 常駐程式。如果您選擇此組態，請確定 syslogd 設定正確。例如，如果要將所有的訊息都寫入到特定的 /var/adm/messages 檔，就必須將下列這一行加入 /etc/syslog.conf 檔：

請注意，Directory Proxy Server 使用 daemon facility 語法，優先權或記錄層次為關鍵、警告、資訊、及除錯。表 11-2 顯示 syslog 事件和 Directory Proxy Server 事件間的對應。

若要循環 Directory Proxy Server 記錄並控制其他的記錄功能，請使用下列物件類別：

表 11-2 記錄層次的對應
Directory Proxy Server 事件	syslog 事件
強制	資訊
關鍵	關鍵
例外	錯誤
警告	警告
通知	資訊
追蹤	資訊
詳細追蹤	資訊

如需有關本物件類別及其使用方式的詳細資訊，請參閱 dpsconfig2ldif。

稽核記錄

除了記錄系統及錯誤訊息之外，Directory Proxy Server 也可維護所有事件及連線統計資料的稽核蹤跡 - 例如，可以記錄剛剛完成與 LDAP 目錄之連結/解除連結的用戶端 DN。

根據預設值，Directory Proxy Server 不會設定為記錄稽核訊息。您隨時可以啟用此功能。您也可以指定是否要將稽核訊息記錄到系統記錄項目寫入的同一個檔案，或是記錄到其他的檔案。除非已經設定成寫入到不同的檔案，否則系統會將稽核訊息 (以及其他記錄訊息) 記錄到系統記錄項目寫入的同一個檔案；詳細資訊請參閱系統記錄。


注意	稽核記錄可讓您偵測任何未經授權的存取行為或活動。建議您啟用此功能。另外為了安全起見，您應該定期檢查 Directory Proxy Server 稽核記錄，看看是否有不尋常的活動。

設定記錄

若要定義記錄設定值

若要指定記錄屬性

若要定義記錄設定值

只有在您要建立或定義 [記錄屬性] 的物件時，才需要此步驟。如果您已經建立 [記錄屬性] 物件，並且想使用其中之一，請至若要指定記錄屬性。

存取 Directory Proxy Server 主控台，請參閱存取 Directory Proxy Server 主控台。

選取 [組態設定] 標籤，然後在瀏覽樹狀目錄中展開 [記錄]。

右邊窗格會在右邊顯示現有的記錄屬性物件。
Directory Proxy Server [記錄統計資料] 視窗。

按一下 [新建] 定義新物件。

現在可以使用 [記錄屬性] 視窗的 [統計資料] 標籤。

在 [名稱] 欄位中，鍵入物件的名稱。名稱必須是唯一的英數字元字串。

在 [統計資料] 標籤中指定要記錄的資訊種類。

參照想要的記錄訊息類型勾選這些方塊。預設不會選取任何選項。記錄訊息可分類為下列群組：目錄修改、所有 LDAP 操作、網路連線、連線的用戶端數量以及用戶端稽核資訊。

目錄修改。系統將記錄寫入至目錄的作業統計，例如新增、修改以及刪除。

所有 LDAP 操作。關於要記錄之所有 LDAP 操作的統計資料。

網路連線。系統將記錄關於網路連線的統計。

連線的用戶端數量。系統會記錄一般統計資料，例如有多少用戶端連線。

用戶端稽核資訊。會記錄稽核資訊，例如剛剛完成連結/解除連結之用戶端的 DN。

存取控制清單資訊。 這包含對記錄資訊擁有存取權限之使用者的清單。

選取 [輸出] 標籤，並指定要將記錄項目傳送到哪裡，以及是否要記錄稽核追蹤。
Directory Proxy Server [記錄輸出] 視窗。

記錄檔。 顯示控制 Directory Proxy Server 寫入其記錄項目位置的選項。

將記錄項目寫入 $(dps_ROOT)/logs/fwd.log。 這是 Directory Proxy Server 將其記錄項目寫入檔案 $(dps_ROOT)/logs/fwd.log 的預設設定值，其中 $(dps_ROOT) 是安裝 Directory Proxy Server 伺服器根目錄下目錄的位置，通常是 /usr/sunone/servers/dps-<hostname> 或 \Program\Files\sunone\Servers\dps-<hostname>。

將記錄項目寫入到。 指定替代檔案，使 Directory Proxy Server 將其記錄項目導向至其中。無論是何種平台，檔案分隔符號都應該遵循 UNIX 慣例。

將記錄寫入 syslog 常駐程式。(僅 UNIX) 選擇 Directory Proxy Server 會用來記錄項目的 syslog facility 程式碼。只有安裝在 UNIX 機器上的 Directory Proxy Server 使用此記錄屬性時，才須選取此設定。

稽核檔案。顯示控制 Directory Proxy Server 寫入其稽核記錄項目位置的選項。若要讓此功能運作，則必須選取 [統計資料] 標籤的 [用戶端稽核資訊] 選項，以啟用稽核記錄。

透過其他記錄項目寫入稽核項目。這是預設的設定，其中的 Directory Proxy Server 會將其稽核記錄項目寫入至上方記錄檔設定值中所指定的相同輸出。

將記錄項目寫入到。指定替代檔案，使 Directory Proxy Server 將其稽核記錄項目導向至其中。無論是何種平台，檔案分隔符號都必須遵循 UNIX 慣例。

將稽核寫入利用 facility 語法的 syslog 常駐程式。(僅 UNIX) 選擇 Directory Proxy Server 會用來記錄稽核項目的 syslog facility 程式碼。只有 Directory Proxy Server 主控的 UNIX 機器使用此記錄內容時，才須選取此設定。

選取 [詳細資料] 標籤，並指定記錄層級 - 想要的記錄詳細資料數量。

在下拉式功能表中選擇記錄層級。
Directory Proxy Server [記錄詳細資料] 視窗。

選取 [循環] 標籤來控制調整及循環記錄的方式。
Directory Proxy Server [記錄詳細資料] 視窗。

記錄檔。顯示限制 Directory Proxy Server 記錄檔大小與數量上限的選項。

將每個記錄大小限制為。輸入每個記錄檔的大小上限 (以 MB 計)。

將記錄的最大數目限制為。輸入要建立及循環的記錄檔數量上限。

稽核檔案。顯示限制 Directory Proxy Server 稽核檔案之大小與數量上限的選項。

將每個記錄大小限制為。輸入每個記錄檔的大小上限 (以 MB 計)。

將記錄的最大數目限制為。輸入要建立及循環的記錄檔數量上限。

按一下 [儲存] 以儲存您的變更。

現在清單中出現物件的名稱。Directory Proxy Server 組態已經修改，您必須重新啟動伺服器。

重新啟動伺服器，請參閱重新啟動 Directory Proxy Server。

若要指定記錄屬性

存取 Directory Proxy Server 主控台，請參閱存取 Directory Proxy Server 主控台。

選取 [組態設定] 標籤，然後在瀏覽樹狀目錄中選取 [記錄]。

右邊窗格會顯示目前系統內容指定的記錄屬性相關資訊。
Directory Proxy Server [記錄統計資料] 視窗。

在「設定儲存為」下拉式清單中，選取您要使用的屬性。

按一下 [儲存] 以儲存您的變更。

Directory Proxy Server 現在已經設定成根據組態中的定義來記錄訊息。Directory Proxy Server 組態已經修改，您必須重新啟動伺服器。

選取 [工作] 標籤，並重新啟動伺服器，請參閱重新啟動 Directory Proxy Server。

監視記錄

一旦您設定讓 Directory Proxy Server 記錄訊息，您就可以檢視記錄訊息，以監視 Directory Proxy Server 活動。檢查記錄檔就可以監視 Directory Proxy Server 作業的許多層面。

Directory Proxy Server 主控台提供了簡單的機制，可以檢視記錄檔的內容。您選擇的記錄檔內容會以表格的形式顯示。表格分割為幾個部份：頂端窗格顯示表格式的記錄，而底端窗格顯示目前選取之記錄的明細。每個記錄包含記錄該訊息時的日期與時間、訊息的嚴重性、及記錄的一般描述等資訊。

一旦您開啟記錄檔來檢視，就可以指定要顯示的記錄或項目數量，以讀取部分內容。