|
| Sun ONE Directory Proxy Server 管理者ガイド |
この章では、エントリまたはメッセージをログに記録するように Sun ONE Directory Proxy Server を設定し、記録したエントリを Directory Proxy Server コンソールに表示してアクティビティを監視する方法について説明します。
この章で説明する項目は、次のとおりです。
ログの概要
Directory Proxy Server では、次の 2 種類のログを維持できます。
次に、それぞれの詳細について説明します。
システムログ
Directory Proxy Server は、システムの監視やデバッグを行えるように、各種のイベントやシステムエラーの膨大なログの記録を管理することができます。ログの記録はすべてテキストファイルで管理し、簡単に検索できるようにローカルファイルシステムに格納することができます。デフォルトでは、Directory Proxy Server はログエントリを次のファイルに書き込みます。
<server-root>/dps-<hostname>/logs/fwd.log
ログファイルの各メッセージには、タイムスタンプが記されます。また、Directory Proxy Server に返されるプロセス番号とメッセージ番号も記録されます。
識別とフィルタリングのために、Directory Proxy Server が記録するイベントはさまざまなカテゴリに分類されます。表 10-1 を参照してください。各カテゴリは、性質が同じまたは似ているメッセージ、または特定の機能領域に属するメッセージを示します。設定によっては、1 つまたは複数のカテゴリに該当するエントリを記録することができます。
Directory Proxy Server の設定では、各メッセージカテゴリは、特定のログレベルに対応します。ログレベルとは、サーバーがログを記録するレベルのことで、どれだけ詳細に記録するかを決定します。
- 重要度が高いレベルでは、高い重要度のイベントだけが記録されるため、詳細度は低くなります。
- 重要度が低いレベルでは、より多くの種類のイベントがログファイルに記録されるため、詳細度は高くなります。
表 10-1 は、メッセージのカテゴリを重要度の高い順に示しています。Critical は重要度が最大で、Detailed trace は重要度が最低となります。
Directory Proxy Server では、ログに記録する情報の量を指定できます。ログレベルを指定することで、イベントの重要度に基づいてログエントリをフィルタリングできます。デフォルトのログレベルは Warning です。
オプションとして、Windows 以外のプラットフォームでは、ログファイルではなく、syslog デーモンにログメッセージを出力するように Directory Proxy Server を設定することができます。ログファイルと syslog デーモンの両方に同時にログメッセージを出力することはできません。このように設定する場合は、syslogd が適切に設定されていることを確認してください。たとえば、/var/adm/messages というファイルにすべてのメッセージを記録するには、/etc/syslog.conf ファイルに次の行を追加します。
daemon.crit;daemon.warning;daemon.info;daemon.debug /var/adm/messages
Directory Proxy Server は、crit、warning、info、debug という重要度 (ログレベル) を示す daemon のファシリティを使用します。syslog イベントと Directory Proxy Server イベントの対応については、表 10-1 を参照してください。
表 10-2 ログレベルのマッピング
Directory Proxy Server イベント
syslog イベント
Mandatory
info
Critical
crit
Exception
err
Warning
warning
Notice
info
Trace
info
Detailed trace
info
Directory Proxy Server ログのローテーション、およびその他のログ機能の制御には、次のオブジェクトクラスを使用します。
ids-proxy-sch-LogProperty
このオブジェクトクラスの説明と使用方法については、「dpsconfig2ldif」を参照してください。
監査ログ
Directory Proxy Server は、システムメッセージやエラーメッセージを記録するほかに、すべてのイベントや接続の統計の監査トレールも管理することができます。たとえば、LDAP ディレクトリとのバインドまたはバインド解除が終了したばかりのクライアントの DN を記録することができます。
デフォルトでは、Directory Proxy Server は監査メッセージを記録するように設定されていません。この機能はいつでも有効にすることができます。また、システムログのエントリと同じファイルに監査メッセージを記録するか、別のファイルに記録するかを指定できます。別のファイルへの書き込みを設定しない限り、監査メッセージはその他のログメッセージとともにシステムログのエントリと同じファイルに書き込まれます。詳細は、を参照してください。
注 監査記録を参照することで、未認証のアクセスやアクティビティを検出することができます。この機能を有効化することをお勧めします。また、セキュリティ対策として、異常なアクティビティについて Directory Proxy Server 監査ログを定期的に調べる必要があります。
ログの設定
Directory Proxy Server がエントリをログに記録するように設定するには、次の手順を実行します。
手順 1: ログ設定の定義
この設定が必要なのは、ロギングプロパティのオブジェクトを作成または定義する場合だけです。ロギングプロパティのオブジェクトがすでに作成されており、それを使用する場合は次の手順に進んでください。
- Directory Proxy Server コンソールにアクセスします。を参照してください。
- 「設定」タブを選び、ナビゲーションツリーで「ログ」を展開します。
ロギングプロパティの既存のオブジェクトが右のペインにリスト表示されます。
- 「新規」をクリックして新しいオブジェクトを定義します。
「ログプロパティ」ウィンドウの「統計」タブが有効になります。
- 「名前」フィールドには、オブジェクト名を入力します。この名前には、一意の英数文字列を指定する必要があります。
- 「統計」タブでは、ログに記録する情報の種類を指定します。
必要なログメッセージの種類を示すボックスにチェックマークを付けます。デフォルトでは、どのオプションも選択されていません。ログメッセージは、「ディレクトリの変更」、「すべての LDAP 操作」、「ネットワーク接続」、「接続されているクライアント数」、および「クライアント監査情報」の各グループに分類されます。
ディレクトリの変更 : ディレクトリへの書き込みを行う操作 (追加、変更、削除など) に関する統計情報が記録されます。
すべての LDAP 操作 : すべての LDAP 操作に関する統計情報が記録されます。
ネットワーク接続 : ネットワークの接続に関する統計情報が記録されます。
接続されているクライアント数 : 接続されているクライアントの数などの一般的な統計情報が記録されます。
クライアント監査情報 : バインドまたはバインド解除が完了したばかりのクライアントの DN などの監査情報が記録されます。
アクセス制御リスト情報 : ここには、情報を記録する権限を持つユーザーのリストが表示されます。
- 「出力」タブを選択し、ログエントリの出力先と、ログ監査追跡をログに記録するかどうかを指定します。
ログファイル : Directory Proxy Server がそのログエントリを書き込む場所を管理するオプションを示します。
ログエントリを $(DPS_ROOT)/logs/fwd.log に書く : これはデフォルトの設定であり、Directory Proxy Server はそのログエントリを $(dps_ROOT)/logs/fwd.log ファイルに書き込みます。この $(dps_ROOT) は、Directory Proxy Server がインストールされているサーバールートの下にあるディレクトリで、通常は /usr/sunone/servers/dps-<hostname> または ¥Program Files¥sunone¥Servers¥dps-<hostname> です。
ログエントリを次に書く : Directory Proxy Server がそのログエントリを書き込むファイルを指定します。ファイル区切り文字は、プラットフォームに関係なく、UNIX 規則に準拠している必要があります。
(Unix のみ) syslog デーモンにログを書く際のファシリティ : Directory Proxy Server がエントリを記録する時に使用するファシリティコードを選択します。この設定は、UNIX コンピュータにインストールした Directory Proxy Server がこのログプロパティを使用する場合にだけ選択する必要があります。Windows システムにインストールした Directory Proxy Server にこのオプションを指定すると、Directory Proxy Server は動作しなくなります。この属性の値を指定する場合は、Windows と UNIX のログプロパティを別々に作成する必要があります。
監査ファイル : Directory Proxy Server がその監査ログエントリを書き込む場所を管理するオプションを示します。この機能を使用するには、「統計」タブの「クライアント監査情報」オプションを選択して、監査ログを有効にする必要があります。
他のログエントリと共に監査エントリも書く : これはデフォルトの設定です。Directory Proxy Server はその監査ログエントリを上記のログファイル設定と同じ出力先に書き込みます。
ログエントリを次に書く : Directory Proxy Server がその監査ログエントリを書き込むファイルを指定します。ファイル区切り文字は、プラットフォームに関係なく、UNIX 規則に準拠している必要があります。
(Unix のみ) syslog デーモンに監査を書く際のファシリティDirectory Proxy Server が監査ログエントリを記録する時に使用するファシリティコードを選択します。この設定は、UNIX コンピュータにインストールした Directory Proxy Server がこのログプロパティを使用する場合にだけ選択する必要があります。このオプションを指定すると、Windows ベースの Directory Proxy Server は動作しなくなります。この属性の値を指定する場合は、Windows と UNIX のログプロパティオブジェクトを別々に作成する必要があります。
- 「詳細」タブを選択し、ログレベル (ログの適切な詳細度) を指定します。
ドロップダウンメニューからログレベルを選択します。
- 「ローテーション」タブを選択し、ログのサイズとローテーションを設定します。
ログファイル : Directory Proxy Server のログファイルのサイズや最大数を制限するオプションを示します。
各ログファイルのサイズの上限 : 各ログファイルの最大サイズ (M バイト) を入力します。
ログファイル数の上限 : 作成およびローテーションするログファイルの最大数を入力します。
監査ファイル : Directory Proxy Server の監査ファイルのサイズや最大数を制限するオプションを示します。
各ログのファイルサイズ上限 : 各監査ファイルの最大サイズ (M バイト) を入力します。
ログファイル数の上限 : 作成およびローテーションする監査ログファイルの最大数を入力します。
- 「保存」をクリックして、変更内容を保存します。
オブジェクト名がリストに表示されるようになります。Directory Proxy Server の設定は変更され、サーバーの再起動を促すメッセージが表示されます。
- サーバーを再起動します。を参照してください。
手順 2: 使用するロギングプロパティの指定
この手順では、メッセージをログに記録するときに適用する、既存のログプロパティを選択します。
- Directory Proxy Server コンソールにアクセスします。を参照してください。
- 「設定」タブを選び、ナビゲーションツリーで「ログ」を選択します。
現在のシステムプロパティによって指定されているログプロパティに関する情報が右のペインに表示されます。
- 「設定の保存先」ドロップダウンリストから、適用するプロパティを選択します。
- 「保存」をクリックして、変更内容を保存します。
Directory Proxy Server は、設定に定義されている条件でメッセージをログに記録するように設定されます。Directory Proxy Server の設定は変更され、サーバーの再起動を促すメッセージが表示されます。
- 「タスク」タブを選択し、サーバーを再起動します。を参照してください。
Directory Proxy Server コンソールによるログの監視
メッセージをログに記録するように Directory Proxy Server を設定すると (を参照)、ログメッセージを参照してアクティビティを監視できるようになります。たとえば、トラブルシューティングが必要な問題が Directory Proxy Server で発生した場合に、サーバーがログに記録したエラーメッセージや情報メッセージが役立つことがあります。また、ログファイルを調べることで、Directory Proxy Server の動作についてさまざまな事項を確認することができます。
Directory Proxy Server コンソールには、ログファイルの内容を確認するためのシンプルな機能が用意されています。確認用に選択したログファイルの内容は、テーブル形式で表示されます。ログテーブルは上下に分割され、上のペインにはログレコードが表形式で表示され、下のペインには選択しているレコードの詳細が表示されます。各ログレコードには、メッセージを記録した日時、メッセージの重要度、そのログの一般的な説明などの情報が含まれます。
ログファイルを開いて表示した後に、表示するレコードまたはエントリの数を指定して、ファイルの内容を部分的に参照することができます。次に、ファイルに記録されたログレコードを表示する方法について説明します。
- Directory Proxy Server コンソールにアクセスします。を参照してください。
- 「設定」タブを選び、ナビゲーションツリーで「ログ」を展開します。
- 「ログファイル」を選択します。
ファイルに記録されるエントリのオプションが右のペインに表示されます。現在のログプロパティに指定されているログファイルであれば、どれでも選択できます。Directory Proxy Server では、設定に応じてログ情報と監査情報を別のファイルに記録できます。
各要素の説明は、次のとおりです。
再表示 : ログを読み込み、下のテーブルにレコードを表示します。
継続 : この設定を選択すると、この表示を継続的に更新して、最新のログレコードを表示することができます。
ログファイル : 現在表示されているファイルの名前を表示します。
表示する行 : ログファイルから読み込む最大行数を指定します。