|
| Sun ONE Directory Proxy Server 管理員指南 |
本章說明如何設定讓 Sun ONE Directory Proxy Server 記錄項目或訊息,然後利用 Directory Proxy Server [伺服器主控台],藉由記錄的項目監視其活動。
本章包含下列各節:
· 記錄概論
· 設定記錄
· 從 Directory Proxy Server 伺服器主控台監視記錄
記錄概論
Directory Proxy Server 可維護兩個類型的記錄:
· 系統記錄
· 稽核記錄
下列幾節會詳細說明這兩個類型。
系統記錄
Directory Proxy Server 可維護各種不同事件及系統錯誤的延伸記錄,讓您能監視及偵錯系統。所有記錄都可以文字檔來維護,並儲存在本機檔案系統,讓您便於迅速及便捷的檢索。根據預設值, Directory Proxy Server 會將記錄項目寫入該檔案:
<server-root>/dps-<hostname>/logs/fwd.log
記錄檔中的每個訊息都有時間戳記。還有 Directory Proxy Server 內部的程序號碼及訊息號碼。
Directory Proxy Server 記錄的事件會分成各個類別,以便識別及篩選。這些都列在表 10-1。每個類別都代表特性相同或類似的訊息,或屬於特定功能區。根據組態的設定,記錄檔可記錄屬於這些類別之一 (或以上) 的項目。
在 Directory Proxy Server 組態中,每個訊息類別都對應到特定的記錄層級。記錄層級指出伺服器執行的記錄層級 - 也就是說記錄的詳細程度。
· 較高的優先權層級表示詳細資料較少,因為只記錄優先權高的事件。
· 較低的優先權層級表示詳細資料較多,因為記錄檔中記錄較多種類的事件。
表 10-1 會以優先權的遞減排序列出訊息類別 -[關鍵] 的優先權層級最高,[詳細追蹤] 的優先權層級最低。
Directory Proxy Server 可讓您指定記錄的數量 - 您可利用記錄層級,根據事件的嚴重性篩選記錄項目。根據預設值,層級會設定為 [警告]。
注意 記錄層級是累加的,也就是說,如果您選擇 [警告] 作為記錄層級,則會記錄 [警告]、[例外] 及 [關鍵] 層級訊息。記錄資料可能非常龐大,尤其是以較低 (較詳細) 的記錄層級執行時更是如此。請確定主機有足夠的磁碟空間以供所有記錄檔使用。
在 Windows NT 以外的平台上,您可選擇將 Directory Proxy Server 設定成將記錄訊息傳送給 syslog 常駐程式,而不是檔案;不可將記錄訊息同時傳送給檔案及 syslog 常駐程式。如果您選擇此組態,請確定 syslogd 設定正確。例如,如果要將所有的訊息都寫入到特定的 /var/adm/messages 檔,就必須將下列這一行加入 /etc/syslog.conf 檔:
daemon.crit;daemon.warning;daemon.info;daemon.debug /var/adm/messages
請注意, Directory Proxy Server 使用 daemon facility 語法,優先權或記錄層級為關鍵、警告、資訊及偵錯。表 10-1 顯示 syslog 事件及 Directory Proxy Server 事件的對應。
表10-2 記錄層級的對應
Directory Proxy Server 事件
syslog 事件
強制
資訊
關鍵
關鍵
例外
錯誤
警告
警告
通知
資訊
追蹤
資訊
詳細追蹤
資訊
若要旋轉 Directory Proxy Server 記錄並控制其他的記錄功能,請使用下列物件類別:
ids-proxy-sch-LogProperty
有關本物件類別及其使用方式的詳細資訊,請參閱「dpsconfig2ldif」。
稽核記錄
除了記錄系統及錯誤訊息之外, Directory Proxy Server 也可維護所有事件及連線統計資料的稽核蹤跡 - 例如,可以記錄剛剛完成與 LDAP 目錄之連結/解除連結的用戶端 DN。
根據預設值, Directory Proxy Server 不會設定為記錄稽核訊息。您隨時可以啟用此功能。您也可以指定是否要將稽核訊息記錄到系統記錄項目寫入的同一個檔案,或是記錄到其他的檔案。除非已經設定成寫入到不同的檔案,否則系統會將稽核訊息 (以及其他記錄訊息) 記錄到系統記錄項目寫入的同一個檔案;詳細資訊請參閱。
注意 稽核記錄可讓您偵測任何未經授權的存取行為或活動。建議您啟用此功能。另外為了安全起見,您應該定期檢查 Directory Proxy Server 稽核記錄,看看是否有不尋常的活動。
設定記錄
若要設定讓 Directory Proxy Server 記錄項目,請依照這些步驟:
步驟 1. 定義記錄設定值
只有在您要建立或定義[記錄內容] 的物件時,才需要此步驟。如果您已經建立 [記錄內容] 物件,並且想使用其中之一,請跳到下個步驟。
- 存取 Directory Proxy Server 主控台;請參閱 。
- 選取 [組態] 標籤,然後在瀏覽樹狀目錄中展開 [記錄]。
右邊窗格會在右邊顯示現有的記錄內容物件。
![Directory Proxy Server [記錄統計資料] 視窗。](graphics/ic_logs4.gif)
- 按一下 [新增] 定義新物件。
現在可以使用 [記錄內容] 視窗的 [統計資料] 標籤。
- 在 [名稱] 欄位中,鍵入物件的名稱。名稱必須是唯一的英數字元字串。
- 在 [統計資料] 標籤中指定要記錄的資訊種類。
根據您要記錄的訊息類型,來核取方塊。預設不會選取任何選項。記錄訊息可分類為下列群組:目錄修改、所有 LDAP 操作、網路連線、連線的用戶端數量以及用戶端稽核資訊。
目錄修改。系統將記錄寫入至目錄的作業統計,例如添加、修改以及刪除。
所有 LDAP 操作。系統會記錄所有 LDAP 操作的統計資料。
網路連線。系統將記錄關於網路連線的統計。
連線的用戶端數量。系統會記錄一般統計資料,例如有多少用戶端連線。
用戶端稽核資訊。會記錄稽核資訊,例如剛剛完成連結/解除連結之用戶端的 DN。
存取控制清單資訊。這包含對記錄資訊擁有存取權限之使用者的清單。
- 選取 [輸出] 標籤,並指定要將記錄項目傳送到哪裡,以及是否要記錄稽核軌跡。
![Directory Proxy Server [記錄輸出] 視窗。](graphics/ic_logs3.gif)
記錄檔。顯示控制 Directory Proxy Server 寫入其記錄項目位置的選項。
將記錄項目寫入至 $(dps_ROOT)/logs/fwd.log。 這是 Directory Proxy Server 將其記錄項目寫入檔案 $(dps_ROOT)/logs/fwd.log 的預設設定值,其中 $(dps_ROOT) 是安裝 Directory Proxy Server 伺服器根目錄下目錄的位置,通常是 /usr/sunone/servers/dps-<hostname> 或 \Program\Files\sunone\Servers\dps-<hostname>。
將記錄項目寫入到。指定替代檔案,使 Directory Proxy Server 將其記錄項目導向至其中。無論是何種平台,檔案分隔符號都應該遵循 UNIX 慣例。
將記錄寫入利用 facility 語法的 syslog 常駐程式。(僅限 UNIX) 選擇 Directory Proxy Server 會用來記錄項目的 syslog facility 程式碼。只有安裝在 UNIX 機器上的 Directory Proxy Server 伺服器使用此記錄內容時,才應該選取此設定。為安裝在 Windows NT 系統上的 Directory Proxy Server 指定此選項,將使其無法操作。建議您如果要指定此屬性的值,可以為 Windows NT 和 UNIX 建立獨立的記錄內容。
稽核檔案。 顯示控制 Directory Proxy Server 寫入其稽核記錄項目位置的選項。若要讓此功能運作,則必須選取 [統計資料] 標籤的 [用戶端稽核資訊] 選項,以啟用稽核記錄。
透過其他記錄項目寫入稽核項目。這是預設的設定,其中的 Directory Proxy Server 會將其稽核記錄項目寫入至上方記錄檔設定值中所指定的相同輸出。
將記錄項目寫入到。指定替代檔案,使 Directory Proxy Server 將其稽核記錄項目導向至其中。無論是何種平台,檔案分隔符號都必須遵循 UNIX 慣例。
將稽核寫入利用 facility 語法的 syslog 常駐程式。(僅限 UNIX) 選擇 Directory Proxy Server 會用來記錄稽核項目的 syslog facility 程式碼。只有 Directory Proxy Server 伺服器主控的 UNIX 機器使用此記錄內容時,才應該選取此設定。指定此選項將導致 Windows NT 架構的 Directory Proxy Server 無法運作。建議您如果要指定此屬性的值,可以為 Windows NT 和 UNIX 建立獨立的記錄內容物件。
- 選取 [詳細資料] 標籤,並指定記錄層級 - 記錄想要的詳細資料數量。
在下拉式功能表中選擇記錄層級。
![Directory Proxy Server [記錄詳細資料] 視窗。](graphics/ic_logs2.gif)
- 選取 [旋轉] 標籤來控制調整及旋轉記錄的方式。
![Directory Proxy Server [記錄詳細資料] 視窗。](graphics/ic_logsa3.gif)
記錄檔。顯示限制 Directory Proxy Server 記錄檔之大小與數量上限的選項。
將每個記錄的大小限制為。輸入每個記錄檔的大小上限 (以 MB 計)。
將記錄的最大數量限制為。輸入要建立及旋轉的記錄檔數量上限。
稽核檔案。顯示限制 Directory Proxy Server 稽核檔之大小與數量上限的選項。
將每個記錄的大小限制為。輸入每個記錄檔的大小上限 (以 MB 計)。
將記錄的最大數量限制為。輸入要建立及旋轉的記錄檔數量上限。
- 按一下 [儲存] 以儲存您的變更。
現在清單中出現物件的名稱。已經修改 Directory Proxy Server 組態,並提示您重新啟動伺服器。
- 若要重新啟動伺服器,請參閱。
步驟 2. 指定要使用的記錄內容
在此步驟中,您要選取用來記錄訊息的現有記錄內容。
- 存取 Directory Proxy Server [伺服器主控台];請參閱。
- 選取 [組態] 標籤,然後在瀏覽樹狀目錄中選取 [記錄]。
右邊窗格會顯示目前系統內容指定的記錄內容相關資訊。
![Directory Proxy Server [記錄統計資料] 視窗。](graphics/ic_logsa.gif)
- 在「設定儲存為」下拉式清單中,選取您要使用的內容。
- 按一下 [儲存] 以儲存您的變更。
Directory Proxy Server 現在已經設定成根據組態中的定義來記錄訊息。已經修改 Directory Proxy Server 組態,並提示您重新啟動伺服器。
- 選取 [工作] 標籤,並重新啟動伺服器,請參閱。
從 Directory Proxy Server 伺服器主控台監視記錄
一旦您設定讓 Directory Proxy Server 記錄訊息 (請參閱 ),您就可以檢視記錄訊息,以監視其活動。例如,當您碰到 Directory Proxy Server 的問題,需要疑難排解時,檢查伺服器記錄的錯誤或資訊訊息就可能有用。另外,檢查記錄檔就可以監視 Directory Proxy Server 作業的許多層面。
為了達成此目的, Directory Proxy Server [伺服器主控台] 提供了簡單的機制,可以檢視記錄檔的內容。您選擇檢視的記錄檔內容會以表格的形式顯示。表格分割為幾個部份:頂端窗格顯示表格式的記錄,而底端窗格顯示目前選取之記錄的明細。每個記錄包含記錄該訊息時的日期與時間、訊息的嚴重性及記錄的一般描述等資訊。
一旦您開啟記錄檔來檢視,就可以指定要顯示的記錄或項目數量,以讀取部分內容。以下說明如何檢視檔案中的記錄:
- 存取 Directory Proxy Server [伺服器主控台];請參閱。
- 選取 [組態] 標籤,然後在瀏覽樹狀目錄中展開 [記錄]。
- 選取記錄檔。
右邊窗格會顯示檔案中記錄項目的檢視選項。您可以選取目前記錄內容中指定的任何記錄檔;如果有設定, Directory Proxy Server 會有不同的記錄及稽核資訊檔案。
![Directory Proxy Server [記錄檔] 視窗。](graphics/ic_logs5.gif)
表單元素的描述如下:
重新整理。讀取記錄並在下表中顯示記錄。
持續。選取此設定讓此檢視以最新的記錄持續重新整理。
記錄檔。顯示目前檢視的檔案名稱。
顯示行數。指定要從記錄檔讀取的行數上限。