第 11 章配置和监视日志

本章说明如何配置 Directory Proxy Server 以记录日志项或消息，然后借助记录的日志项使用 Directory Proxy Server 控制台来监视其活动。

日志记录概述

系统日志

Directory Proxy Server 可以维护各种事件和系统错误的详尽日志记录，以便监视和调试系统。所有日志记录都可在文本文件中进行维护，并可将其存储在本地文件系统中以进行快速和便捷地检索。缺省情况下，Directory Proxy Server 将日志项写入以下文件：

日志文件中的每条消息都标记了时间。同时还有 Directory Proxy Server 内部的进程号和消息号。

出于标识和过滤的目的，Directory Proxy Server 记录的事件分为不同种类型。它们列在表 11-1 中。每类代表的消息具有相同或相似的性质，或属于特定的功能区域。基于配置，日志文件可记录属于一个或多个这种类别的日志项。

在 Directory Proxy Server 配置中，每个消息种类都对应于特定的日志级别。日志级别表明由服务器执行的日志记录级别，即，应如何详细地记录日志。

优先级越高意味着详细信息越少，因为只记录高优先级的事件。

优先级越低意味着详细信息越多，因为日志文件中记录了更多种类的事件。

表 11-1 以优先级的降序顺序列出了消息种类 - 紧急具有最高的优先级别，而详细跟踪具有最低的优先级别。

表 11-1 日志级别
日志级别或严重性	说明
强制	强制消息始终写入日志。这些消息表明 Directory Proxy Server 读取的配置、Directory Proxy Server 启动时的版本号等。具有此级别的消息无法配置。
紧急	这些消息表明 Directory Proxy Server 遇到了一些需要立即引起注意的问题。例如，Directory Proxy Server process 1234 has exited, attempting restart in 10 seconds.
异常	这些消息表明意外的错误情况，例如 Directory Proxy Server 从客户机/服务器接收到格式不正确的 LDAP 消息。例如，Could not decode search request.
警告	这些消息指定 Directory Proxy Server 能够忽略但必须由管理员进行检查的错误情况。例如，Local host name lookup failed.System default group may not function correctly.
通知	这些消息仅供参考。例如，Received NULL continuation reference from server.Discarding...
跟踪	这些是调试消息。例如，Result received from server lderr =32, matched=o=sun.com, errtxt=no such object.跟踪消息包括协议转储。使用跟踪级别可以迅速生成极大的日志文件。
详细跟踪	这些消息提供更详细的调试信息，例如为回收连接请求的匿名绑定。这些消息通常供 Directory Proxy Server 工程/支持组使用。

通过 Directory Proxy Server，您可以指定日志记录的数量 - 能够使用日志级别根据事件的严重性过滤日志项。缺省情况下，该级别设置为警告。


注	日志级别是累加性的；即，如果选择警告作为日志级别，则将记录警告、异常和严重性级别消息。日志数据的量可能很大，尤其是较低（更详细）的日志记录级别。请确保主机具有足够的磁盘空间来存放所有日志文件。

另外，可以配置 Directory Proxy Server 将日志消息发送到 syslog 后台程序，而不发送到文件；无法将日志消息同时发送到文件和 syslog 后台程序。如果选择此配置，则应确保正确配置 syslogd。例如，要将所有消息写入某个特定文件 /var/adm/messages 中，必须在文件 /etc/syslog.conf 中添加以下行：

请注意，Directory Proxy Server 使用 daemon 工具，它具有 crit、warning、info 和 debug 优先级或日志级别。表 11-2 显示了 syslog 事件和 Directory Proxy Server 事件之间的映射关系。

要循环 Directory Proxy Server 日志并控制其他日志记录功能，可使用以下对象类：

表 11-2 日志级别的映射
Directory Proxy Server 事件	syslog 事件
强制	info
紧急	crit
异常	err
警告	warning
通知	info
跟踪	info
详细跟踪	info

请参阅 dpsconfig2ldif，以了解有关此对象类及其用法的详细信息。

审核日志

除了对系统和错误消息进行日志记录外，Directory Proxy Server 还可以维护所有事件和连接统计信息的审核跟踪 - 例如，可记录刚完成与 LDAP 目录绑定/解除绑定操作的客户机的 DN。

缺省情况下，没有将 Directory Proxy Server 配置为记录审核消息。可随时启用此功能。也可以指定是否将审核消息记录到与写入系统日志项相同的文件或备用文件中。除非配置为写入不同文件，否则，审核消息（连同其他日志消息）将记录到写入系统日志项的同一文件中；有关详细信息，请参见系统日志。


注	通过审核记录，您可以检测任何未经授权的访问或活动。因此建议您启用此功能。同时，作为安全措施，应定期检查 Directory Proxy Server 审核日志有无任何异常活动。

配置日志

定义日志设置

指定日志记录属性

定义日志设置

只有在要创建或定义“日志属性”的对象时，才需要该步骤。如果已经为日志属性创建了对象并且要使用其中的一个对象，那么请转至指定日志记录属性。

访问 Directory Proxy Server 控制台，如访问 Directory Proxy Server 控制台中所述。

选择“配置”选项卡，然后在导航树中展开“日志”。

右侧窗格在右侧显示日志记录属性现有对象的列表。
Directory Proxy Server “日志统计数字”窗口。

单击“新建”定义新对象。

“日志属性”窗口的“统计数字”选项卡变为活动选项卡。

在“名称”字段中，键入对象的名称。名称必须是唯一的字母数字字符串。

在“统计数字”选项卡中，指定要记录的信息种类。

选中与所需日志记录消息类型相关的复选框。缺省情况下，未选中任何选项。日志消息分为下列组：目录修改、所有 LDAP 操作、网络连接、已连接的客户机数目和客户机审核信息。

目录修改。将记录有关写入目录的操作的统计信息，例如添加、修改和删除。

所有 LDAP 操作。将记录有关所有 LDAP 操作的统计信息。

网络连接。将记录有关网络连接的统计信息。

已连接的客户机数目。将记录常规统计信息，例如连接了多少台客户机。

客户机审核信息。将记录审核信息，例如刚完成绑定/解除绑定操作的客户机 DN。

访问控制列表信息。包含可访问日志信息的用户列表。

选择“输出”选项卡，并指定应将日志项发送到的位置以及是否记录审计跟踪。
Directory Proxy Server “日志输出”窗口。

日志文件。显示一些选项，用于控制 Directory Proxy Server 将写入其日志项的位置。

将日志项写入 $(dps_ROOT)/logs/fwd.log。这是缺省的设置。在该设置中，Directory Proxy Server 会将其日志项写入 $(dps_ROOT)/logs/fwd.log 文件，其中 $(dps_ROOT) 代表 ServerRoot。

将日志项写入。指定 Directory Proxy Server 将其日志项定位到的备用文件。无论使用哪个平台，文件分隔符都必须遵循 UNIX 规范。

将日志写入到 syslog 后台程序。（仅适用于 UNIX）选择 Directory Proxy Server 将用于记录日志项的 syslog facility 代码。只有当 UNIX 主机上安装的 Directory Proxy Server 使用了此日志属性时，才应该选择此设置。

审核文件。显示一些选项，用于控制 Directory Proxy Server 将写入其审核日志项的位置。要使该功能生效，必须通过选择“统计数字”选项卡中的“客户机审核信息”选项来启用审核日志记录。

通过其他日志项来写入审核项。这是缺省设置，Directory Proxy Server 将其审核日志项写入到与以上日志文件设置所指定的同一输出中。

将日志项写入。指定 Directory Proxy Server 将其审核日志项定位到的备用文件。无论使用哪个平台，文件分隔符都应该遵循 UNIX 规范。

将审核写入到 syslog 后台程序。（仅适用于 UNIX）选择 Directory Proxy Server 将用于记录审核项的 syslog facility 代码。只有当 UNIX 主机上托管的 Directory Proxy Server 使用了此日志属性时，才应该选择此设置。

选择“详细信息”选项卡并指定日志级别 - 希望的日志记录详细信息量。

从下拉菜单中选择日志记录级别。
Directory Proxy Server “日志详细信息”窗口。

选择“循环”选项卡以控制衡量日志大小及循环的方法。
Directory Proxy Server “日志循环”窗口。

日志文件。显示一些选项，用于限制 Directory Proxy Server 日志文件的大小和最大数目。

将每个日志大小限制为。输入每个日志文件的最大大小（以兆字节为单位）。

将日志的最大数目限制为。输入要创建和循环的日志文件的最大数目。

审核文件。显示一些选项，用于限制 Directory Proxy Server 审核文件的大小和最大数目。

将每个日志大小限制为。输入每个审核日志文件的最大大小（以兆字节为单位）。

将日志的最大数目限制为。输入要创建和循环的审核日志文件的最大数目。

单击“保存”以保存更改。

对象的名称现已显示在列表中。Directory Proxy Server 配置已被修改，并提示您重新启动服务器。

重新启动服务器，如重新启动 Directory Proxy Server 中所述。

指定日志记录属性

访问 Directory Proxy Server 控制台，如访问 Directory Proxy Server 控制台中所述。

选择“配置”选项卡，然后在导航树中选择“日志”。

右侧窗格显示与当前系统属性指定的日志属性有关的信息。
Directory Proxy Server “日志统计数字”窗口。

在“设置另存为”下拉列表中，选择要使用的属性。

单击“保存”以保存更改。

Directory Proxy Server 现已配置为按此配置中的定义记录消息。Directory Proxy Server 配置被修改，并提示您重新启动服务器。

选择“任务”选项卡并重新启动服务器，如重新启动 Directory Proxy Server 中所述。

监视日志

配置 Directory Proxy Server 以记录日志消息后，可以通过查看日志消息来监视 Directory Proxy Server 活动。通过检查日志文件，您可以监视 Directory Proxy Server 操作的多个方面。

Directory Proxy Server 控制台提供了查看日志文件内容的简便机制。选择要查看的日志文件的内容是以表的形式显示的。该表处于拆分状态；上部的窗格以表格形式显示日志记录，下部的窗格详细显示当前选定的记录。每条日志记录包含的信息有：记录消息的日期和时间、消息的严重性以及日志的一般描述等。

打开日志文件进行查看后，便可以通过指定要显示的记录或条目数来部分读取其内容。