![]() | |
Sun Java™ System Directory Proxy Server 5.2 2005Q1 管理ガイド |
第 11 章
ログの設定と監視この章では、エントリまたはメッセージをログに記録するように Directory Proxy Server を設定し、記録したエントリを Directory Proxy Server コンソールに表示してアクティビティを監視する方法について説明します。
この章で説明する項目は、次のとおりです。
ログの概要Directory Proxy Server では、次の 2 種類のログを維持できます。
ここでは、これらのログについて説明します。
システムログ
Directory Proxy Server は、システムの監視やデバッグを行えるように、各種のイベントやシステムエラーの膨大なログの記録を管理することができます。ログの記録はすべてテキストファイルで管理し、簡単に検索できるようにローカルファイルシステムに格納することができます。デフォルトでは、Directory Proxy Server はログエントリを次のファイルに書き込みます。
<server-root>/dps-<hostname>/logs/fwd.log
ログファイルの各メッセージには、タイムスタンプが記されます。また、Directory Proxy Server に返されるプロセス番号とメッセージ番号も記録されます。
識別とフィルタリングのために、Directory Proxy Server が記録するイベントはさまざまなカテゴリに分類されます。表 11-1 を参照してください。各カテゴリは、性質が同じまたは似ているメッセージ、または特定の機能領域に属するメッセージを示します。設定によっては、1 つまたは複数のカテゴリに該当するエントリを記録することができます。
Directory Proxy Server の設定では、各メッセージカテゴリは、特定のログレベルに対応します。ログレベルとは、サーバーがログを記録するレベルのことで、どれだけ詳細に記録するかを決定します。
表 11-1 は、メッセージのカテゴリを重要度の高い順に示しています。Critical は重要度が最大で、Detailed trace は重要度が最低となります。
Directory Proxy Server では、ログに記録する情報の量を指定できます。ログレベルを指定することで、イベントの重要度に基づいてログエントリをフィルタリングできます。デフォルトのログレベルは Warning です。より詳細なログレベルにはそれより下のレベルがすべて含まれます。
注
つまり、Warning をログレベルとして選択すると、Warning、Exception、Critical レベルのメッセージが記録されます。ログデータは膨大な量になることがあります。ログレベルが低い (詳細な) 場合は特にそうです。ホストコンピュータにすべてのログファイルを格納できるだけの十分なディスク容量があることを確認してください。
オプションとして、ログファイルではなく、syslog デーモンにログメッセージを出力するように Directory Proxy Server を設定することができます。ログファイルと syslog デーモンの両方に同時にログメッセージを出力することはできません。このように設定する場合は、syslogd が適切に設定されていることを確認してください。たとえば、/var/adm/messages というファイルにすべてのメッセージを記録するには、/etc/syslog.conf ファイルに次の行を追加します。
daemon.crit;daemon.warning;daemon.info;daemon.debug /var/adm/messages
Directory Proxy Server は、crit、warning、info、debug という重要度、つまりログレベルを示す daemon のファシリティを使用します。syslog イベントと Directory Proxy Server イベントの対応については、表 11-2 を参照してください。
表 11-2 ログレベルのマッピング
Directory Proxy Server イベント
syslog イベント
Mandatory
info
Critical
crit
Exception
err
Warning
warning
Notice
info
Trace
info
Detailed trace
info
Directory Proxy Server ログのローテーション、およびその他のログ機能の制御には、次のオブジェクトクラスを使用します。
ids-proxy-sch-LogProperty
このオブジェクトクラスの説明と使用方法については、「dpsconfig2ldif」を参照してください。
監査ログ
Directory Proxy Server は、システムメッセージやエラーメッセージを記録するほかに、すべてのイベントや接続の統計の監査トレールも管理することができます。たとえば、LDAP ディレクトリとのバインドまたはバインド解除が終了したばかりのクライアントの DN を記録することができます。
デフォルトでは、Directory Proxy Server は監査メッセージを記録するように設定されていません。この機能はいつでも有効にすることができます。また、システムログのエントリと同じファイルに監査メッセージを記録するか、別のファイルに記録するかを指定できます。別のファイルへの書き込みを設定しない限り、監査メッセージはその他のログメッセージとともにシステムログのエントリと同じファイルに書き込まれます。詳細は、「システムログ」を参照してください。
注
監査記録を参照することで、未認証のアクセスやアクティビティを検出することができます。この機能を有効化することをお勧めします。また、セキュリティ対策として、異常なアクティビティについて Directory Proxy Server 監査ログを定期的に調べる必要があります。
ログの設定Directory Proxy Server がエントリをログに記録するように設定するには、次の手順を実行します。
ログ設定を定義するには
この設定が必要なのは、ロギングプロパティのオブジェクトを作成または定義する場合だけです。ロギングプロパティのオブジェクトをすでに作成して、そのうちの 1 つを使用する場合は、「ロギングプロパティを指定するには」に進んでください。
- 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server コンソールにアクセスします。
- 「設定」タブを選び、ナビゲーションツリーで「ログ」を展開します。
ロギングプロパティの既存のオブジェクトが右のペインにリスト表示されます。
- 「新規」をクリックして新しいオブジェクトを定義します。
「ログプロパティ」ウィンドウの「統計」タブが有効になります。
- 「名前」フィールドには、オブジェクト名を入力します。この名前には、一意の英数文字列を指定する必要があります。
- 「統計」タブでは、ログに記録する情報の種類を指定します。
必要なログメッセージの種類を示すボックスにチェックマークを付けます。デフォルトでは、どのオプションも選択されていません。ログメッセージは、「ディレクトリの変更」、「すべての LDAP 操作」、「ネットワーク接続」、「接続されているクライアント数」、および「クライアント監査情報」の各グループに分類されます。
ディレクトリの変更: ディレクトリへの書き込みを行う操作 (追加、変更、削除など) に関する統計情報が記録されます。
すべての LDAP 操作: すべての LDAP 操作に関する統計情報が記録されます。
ネットワーク接続: ネットワークの接続に関する統計情報が記録されます。
接続されているクライアント数: 接続されているクライアントの数などの一般的な統計情報が記録されます。
クライアント監査情報: バインドまたはバインド解除が完了したばかりのクライアントの DN などの監査情報が記録されます。
アクセス制御リスト情報: ここには、情報を記録する権限を持つユーザーのリストが表示されます。
- 「出力」タブを選択し、ログエントリの出力先と、ログ監査追跡をログに記録するかどうかを指定します。
ログファイル: Directory Proxy Server がそのログエントリを書き込む場所を管理するオプションを示します。
ログエントリを $(dps_ROOT)/logs/fwd.log に書く: これはデフォルトの設定であり、Directory Proxy Server はそのログエントリを $(dps_ROOT)/logs/fwd.log ファイルに書き込みます。この $(dps_ROOT) は ServerRoot です。
ログエントリを次に書く: Directory Proxy Server がそのログエントリを書き込むファイルを指定します。ファイル区切り文字は、プラットフォームに関係なく、UNIX 規則に準拠している必要があります。
syslog デーモンにログを書く際のファシリティ: (UNIX のみ) Directory Proxy Server がログエントリを記録する時に使用するファシリティコードを選択します。この設定は、UNIX コンピュータにインストールした Directory Proxy Server がこのログプロパティを使用する場合にだけ選択する必要があります。
監査ファイル: Directory Proxy Server がその監査ログエントリを書き込む場所を管理するオプションを示します。この機能を使用するには、「統計」タブの「クライアント監査情報」オプションを選択して、監査ログを有効にする必要があります。
他のログエントリと共に監査エントリも書く: これはデフォルトの設定です。Directory Proxy Server はその監査ログエントリを上記のログファイル設定と同じ出力先に書き込みます。
ログエントリを次に書く: Directory Proxy Server がその監査ログエントリを書き込むファイルを指定します。ファイル区切り文字は、プラットフォームに関係なく、UNIX 規則に準拠している必要があります。
syslog デーモンに監査を書く際のファシリティ: (UNIX のみ) Directory Proxy Server が監査エントリを記録する時に使用するファシリティコードを選択します。この設定は、UNIX コンピュータにインストールした Directory Proxy Server がこのログプロパティを使用する場合にだけ選択する必要があります。
- 「詳細」タブを選択し、ログレベル (ログの適切な詳細度) を指定します。
ドロップダウンメニューからログレベルを選択します。
- 「ローテーション」タブを選択し、ログのサイズとローテーションを設定します。
ログファイル: Directory Proxy Server のログファイルのサイズや最大数を制限するオプションを示します。
各ログのファイルサイズ上限: 各ログファイルの最大サイズ (M バイト) を入力します。
ログファイル数の上限: 作成およびローテーションするログファイルの最大数を入力します。
監査ファイル: Directory Proxy Server の監査ファイルのサイズや最大数を制限するオプションを示します。
各ログのファイルサイズ上限: 各監査ファイルの最大サイズ (M バイト) を入力します。
ログファイル数の上限: 作成およびローテーションする監査ログファイルの最大数を入力します。
- 「保存」をクリックして、変更内容を保存します。
オブジェクト名がリストに表示されるようになります。Directory Proxy Server の設定は変更され、サーバーの再起動を促すメッセージが表示されます。
- 「Directory Proxy Server の再起動」に記載されているようにサーバーを再起動します。
ロギングプロパティを指定するには
この手順では、メッセージをログに記録するときに適用する、既存のログプロパティを選択します。
- 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server コンソールにアクセスします。
- 「設定」タブを選び、ナビゲーションツリーで「ログ」を選択します。
現在のシステムプロパティによって指定されているログプロパティに関する情報が右のペインに表示されます。
- 「設定の保存先」ドロップダウンリストから、適用するプロパティを選択します。
- 「保存」をクリックして、変更内容を保存します。
Directory Proxy Server は、設定に定義されている条件でメッセージをログに記録するように設定されます。Directory Proxy Server の設定は変更され、サーバーの再起動を促すメッセージが表示されます。
- 「タスク」タブを選択し、サーバーを再起動します。「Directory Proxy Server の再起動」を参照してください。
ログの監視メッセージを記録するように Directory Proxy Server を設定すると、ログメッセージを参照して Directory Proxy Server アクティビティを監視できるようになります。ログファイルを調べることで、Directory Proxy Server の動作についてさまざまな事項を確認することができます。
Directory Proxy Server コンソールには、ログファイルの内容を確認するためのシンプルな機能が用意されています。確認用に選択したログファイルの内容は、テーブル形式で表示されます。ログテーブルは上下に分割され、上のペインにはログレコードが表形式で表示され、下のペインには選択しているレコードの詳細が表示されます。各ログレコードには、メッセージを記録した日時、メッセージの重要度、そのログの一般的な説明などの情報が含まれます。
ログファイルを開いて表示した後に、表示するレコードまたはエントリの数を指定して、ファイルの内容を部分的に参照することができます。
ファイルに記録されたログレコードを表示するには
- 「Directory Proxy Server コンソールへのアクセス」に記載されているように、Directory Proxy Server コンソールにアクセスします。
- 「設定」タブを選び、ナビゲーションツリーで「ログ」を展開します。
- 「ログファイル」を選択します。
ファイルに記録されるエントリのオプションが右のペインに表示されます。現在のログプロパティに指定されているログファイルであれば、どれでも選択できます。Directory Proxy Server では、設定に応じてログ情報と監査情報を別のファイルに記録できます。
各要素の説明は、次のとおりです。