|
| Sun ONE Directory Proxy Server 管理员指南 |
本章说明如何配置 Sun ONE Directory Proxy Server 以记录日志项或消息,然后借助记录的日志项使用 Directory Proxy Server 服务器控制台来监视其活动。
本章包含以下几个部分:
· 日志记录概述
· 配置日志
· 从 Directory Proxy Server 服务器控制台监视日志
日志记录概述
Directory Proxy Server 可维护两种类型的日志:
· 系统日志
· 审核日志
以下部分将对两者进行详细说明。
系统日志
Directory Proxy Server 可以维护各种事件和系统错误的详尽日志记录,以便可以监视和调试系统。所有日志记录都可在文本文件中进行维护,并可将其存储在本地文件系统中以进行快速和便捷的检索。默认情况下,Directory Proxy Server 将日志项写入以下文件:
<server-root>/dps-<hostname>/logs/fwd.log
日志文件中的每条消息都标记了时间。同时还有 Directory Proxy Server 内部的进程号和消息号。
出于标识和筛选的目的,Directory Proxy Server 记录的事件分为不同种类。它们列在表 10-1 中。每类代表的消息具有相同或相似的性质,或属于特定的功能区。基于配置,日志文件可记录属于一个或多个这种类别的日志项。
在 Directory Proxy Server 配置中,每个消息种类都对应于特定的日志级别。日志级别表明要由服务器执行的日志记录级别 - 即应如何详细记录日志。
· 优先级越高意味着细节越少,因为只记录高优先级的事件。
· 优先级越低意味着细节越多,因为日志文件中记录了更多种类的事件。
表 10-1 以优先级的降序列出了消息种类 - 关键具有最高的优先级别,而详细跟踪具有最低的优先级别。
通过 Directory Proxy Server,您可以指定日志记录的数量 - 即能够使用日志级别根据事件的重要性筛选日志项。默认情况下,该级别设置为警告。
注意 日志级别是递增性的;即如果选择警告作为日志级别,则将记录警告、例外和关键级别的消息。日志数据的量可能很大,尤其是较低(更详细)的日志记录级别。请确保主机具有足够的磁盘空间来存放所有日志文件。
另外,在除 Windows NT 之外的其他平台上,可以配置 Directory Proxy Server 将日志消息发送到 syslog 后台程序,而不发送到文件;不能将日志消息同时发送到文件和 syslog 后台程序。如果选择此配置,则应确保正确配置 syslogd。例如,要将所有消息写入某个特定文件 /var/adm/messages 中,必须在文件 /etc/syslog.conf 中添加以下行:
daemon.crit;daemon.warning;daemon.info;daemon.debug /var/adm/messages
请注意,Directory Proxy Server 使用后台程序 facility,它具有关键、警告、信息和调试优先级或日志级别。表 10-1 显示了 syslog 事件与 Directory Proxy Server 事件之间的映射关系。
表 10-2 日志级别的映射
Directory Proxy Server 事件
syslog 事件
强制
信息
关键
关键
例外
错误
警告
警告
通知
信息
跟踪
信息
详细跟踪
信息
要旋转 Directory Proxy Server 日志和控制其他日志记录功能,可使用以下对象类:
ids-proxy-sch-LogProperty
请参阅“dpsconfig2ldif”,了解有关此对象类及其用法的详细信息。
审核日志
除了对系统和错误消息进行日志记录外,Directory Proxy Server 还可以维护所有事件和连接统计信息的审核跟踪 - 例如,可记录刚完成与 LDAP 目录绑定/解除绑定操作的客户机的 DN。
默认情况下,没有将 Directory Proxy Server 配置为记录审核消息。可随时启用此功能。也可以指定是否将审核消息记录到与写入系统日志项相同的文件或替代文件中。除非配置为写入不同文件,否则,审核消息(连同其他日志消息)将记录到写入系统日志项的同一文件中;有关详细信息,请参阅“系统日志”。
注意 通过审核记录,您可以检测任何未经授权的访问或活动。因此建议您启用此功能。同时,作为安全措施,应定期检查 Directory Proxy Server 审核日志有无任何异常活动。
配置日志
要配置 Directory Proxy Server,以记录日志项,请执行以下步骤:
步骤 1:定义日志设置
只有在要创建或定义“日志属性”的对象时,才需要该步骤。如果已经为日志属性创建了对象并且要使用其中的一个对象,那么请跳到下一步。
- 访问 Directory Proxy Server 控制台;请参阅“访问 Directory Proxy Server 控制台”。
- 选择“配置”选项卡,然后在导航树中展开“日志”。
右侧窗格在右侧显示日志记录属性现有对象的列表。
- 单击“新建”定义新对象。
“日志属性”窗口的“统计信息”选项卡变为活动选项卡。
- 在“名称”字段中,键入对象的名称。名称必须是唯一的字母数字字符串。
- 在“统计信息”选项卡中,指定要记录的信息种类。
选中与所需日志记录消息类型相关的复选框。默认情况下,未选中任何选项。日志消息分为下列组:目录修改、所有 LDAP 操作、网络连接、已连接的客户机数目和客户机审核信息。
目录修改。将记录有关写入目录的操作的统计信息,例如添加、修改和删除。
所有 LDAP 操作。将记录有关所有 LDAP 操作的统计信息。
网络连接。将记录有关网络连接的统计信息。
已连接的客户机数目。将记录常规统计信息,例如连接了多少台客户机。
客户机审核信息。将记录审核信息,例如刚完成绑定/解除绑定操作的客户机 DN。
访问控制列表信息。包含可访问日志信息的用户列表。
- 选择“输出”选项卡,并指定应将日志项发送到的位置以及是否记录审核跟踪。
日志文件。显示一些选项,用于控制 Directory Proxy Server 将写入其日志项的位置。
将日志项写入 $(dps_ROOT)/logs/fwd.log。这是默认设置,Directory Proxy Server 将其日志项写入到文件 $(dps_ROOT)/logs/fwd.log 中,其中 $(dps_ROOT) 是安装 Directory Proxy Server 的服务器根下的目录,一般为 /usr/sunone/servers/dps-<hostname> 或 \Program\Files\sunone\Servers\dps-<hostname>。
将日志项写入。指定一个备用文件,Directory Proxy Server 将向其中写入日志项。无论使用哪个平台,文件分隔符都必须遵循 UNIX 规范。
利用设备将日志写至 syslog 后台程序(仅限 UNIX)选择一个 syslog 设备代码,Directory Proxy Server 将使用该代码来记录日志项。仅当有某台 UNIX 机上所安装的 Directory Proxy Server 服务器要使用此日志属性时,才应选择此设置。为 Windows NT 系统上安装的 Directory Proxy Server 指定此选项将使其不可操作。如果希望指定该特性的值,那么建议您应该分别为 Windows NT 和 UNIX 创建单独的日志属性。
审核文件。显示一些选项,用于控制 Directory Proxy Server 将写入其审核日志项的位置。要使此功能生效,必须通过选择“统计信息”选项卡中的“客户机审核信息”选项来启用审核日志记录。
与其他日志项一同写入审核项。这是默认设置,Directory Proxy Server 将其审核日志项写入到与以上日志文件设置所指定的同一输出中。
将日志项写入。指定一个备用文件,Directory Proxy Server 将向其中写入日志项。无论使用哪个平台,文件分隔符都应该遵循 UNIX 规范。
利用设备将审核写入 syslog 后台程序。(仅限 UNIX)选择 Directory Proxy Server 将用于记录审核项的 syslog 设备代码。仅当有某台 UNIX 机上宿留的 Directory Proxy Server 服务器要使用此日志属性时,才应选择此设置。指定该选项将导致基于 Windows NT 的 Directory Proxy Server 变得不可操作。如果希望指定该特性的值,那么建议您应该分别为 Windows NT 和 UNIX 创建单独的“日志属性”对象。
- 选择“详细信息”选项卡并指定日志级别 - 希望的日志记录详细信息量。
从下拉菜单中选择日志记录级别。
- 选择“旋转”选项卡以控制日志的大小和旋转。
日志文件。显示一些选项,用于限制 Directory Proxy Server 日志文件的大小和最大数目。
将每个日志大小限制为。输入每个日志文件的最大大小(以兆字节为单位)。
将日志的最大数目限制为。输入要创建和旋转的日志文件的最大数目。
审核文件。显示一些选项,用于限制 Directory Proxy Server 审核文件的大小和最大数目。
将每个日志大小限制为。输入每个审核日志文件的最大大小(以兆字节为单位)。
将日志的最大数目限制为。输入要创建和旋转的审核日志文件的最大数目。
- 单击“保存”以保存更改。
对象的名称现已显示在列表中。Directory Proxy Server 配置已被修改,并提示您重新启动服务器。
- 重新启动服务器;请参阅“重新启动 Directory Proxy Server”。
步骤 2:指定要使用的日志记录属性
在该步骤中,选择要用于日志记录消息的现有日志属性。
- 访问 Directory Proxy Server 服务器控制台;请参阅“访问 Directory Proxy Server 控制台”。
- 选择“配置”选项卡,然后在导航树中选择“日志”。
右侧窗格显示与当前系统属性指定的日志属性有关的信息。
- 在“设置另存为”下拉列表中,选择要使用的属性。
- 单击“保存”以保存更改。
Directory Proxy Server 现已配置为按此配置中的定义记录消息。Directory Proxy Server 配置被修改,并提示您重新启动服务器。
- 选择“任务”选项卡并重新启动服务器;请参阅“重新启动 Directory Proxy Server”。
从 Directory Proxy Server 服务器控制台监视日志
配置 Directory Proxy Server 以记录消息(请参阅“配置日志”)后,则可以通过查看日志消息来监视其活动。例如,当 Directory Proxy Server 出现问题需要诊断故障时,您就会发现它有助于检查服务器记录的错误或参考消息。同时,通过检查日志文件,您还可以监视 Directory Proxy Server 操作的多个方面。
为便于使用,Directory Proxy Server 服务器控制台提供了简便的机制用于查看日志文件的内容。选择要查看的日志文件的内容以表的形式显示。该表被拆分为两部分;上部窗格以表格格式显示日志记录,下部窗格详细显示当前选择的记录。每条日志记录的信息包含:记录消息的日期和时间、消息的重要性以及日志的一般描述等。
打开日志文件进行查看后,便可以通过指定要显示的记录或条目数来部分读取其内容。下面说明如何查看文件中的日志记录:
- 访问 Directory Proxy Server 服务器控制台;请参阅“访问 Directory Proxy Server 控制台”。
- 选择“配置”选项卡,然后在导航树中展开“日志”。
- 选择“日志文件”。
右侧窗格显示与记录到文件中的日志项相应的查看选项。可以选择当前日志属性中指定的任何日志文件;Directory Proxy Server 可包含单独的日志记录和审核信息文件(如果这样配置)。
表格元素的描述如下:
刷新。读取日志并在下面的表中显示记录。
持续。选择该设置,可使此视图持续刷新为最新的日志记录。
日志文件。显示当前正在查看的文件的名称。
要显示的行。指定将从日志文件中读取的最大行数。