![]() |
iPlanet Directory Server 5.1 構成、コマンド、およびファイルのリファレンス |
第 5 章 アクセスログおよび接続コードのリファレンス
iPlanet Directory Server 5.1 には、ディレクトリの動作を監視するためにログを提供します。監視することで障害をすばやく検出し修正できるので、起こりうる問題を事前に予測して解決し、障害の発生や性能の低下を未然に防ぐことができます。ディレクトリを効果的に監視するには、ログの構造と内容を理解する必要があります。
この章では、すべてのエラーメッセージについて詳述することはしません (実際には不可能です)。しかし、この章に示された情報は、一般的な問題解決の手掛かりとなります。この章は、次の節で構成されます。
アクセスログの内容 アクセスログの記録を調べても問題が解決しない場合は、iPlanet テクニカルサポートまでお問い合わせください。
http://www.iplanet.com/support/support_services_10_0.html
アクセスログの内容
iPlanet Directory Server 5.1 のアクセスログには、ディレクトリへのクライアント接続に関する詳しい情報が記録されます。接続とは、同じクライアントからの一連の要求であり、次のものから構成されています。
どの行も、[21/Apr/2001:11:39:51 -0700] のようなタイムスタンプで始まります。この書式は、使用するプラットフォームによって異なります。-0700 は、GMT との時差を示します。接続、接続解除、中断の各レコードは単独で示されますが、それ以外のレコードはすべてサービス要求レコードとそれに続く結果レコードのペアで示されます。この 2 つのレコードは、通常は隣接する行に示されますが、そうでない場合もあります。
この節では、iPlanet Directory Server 5.1 で使用できるアクセスログの各種レベルを示し、次に、デフォルトのアクセスログの内容を説明し、最後に、デフォルト以外のアクセスログレベルの内容を説明します。この節は、次の項目で構成されています。
「アクセスログのレベル」
「デフォルト以外のアクセスログレベルでのアクセスログの内容」
アクセスログのレベル
アクセスログにはさまざまなレベルがあり、nsslapd-accesslog-level 構成属性の値を変更して、必要なログのタイプを選択できます。デフォルトのログレベルは、エントリへのアクセスを記録するレベル 256 ですが、必要に応じて、以下のログレベルを組み合わせて複数のログレベルを選択できます。
131072 = 操作経過時間を正確に測定する。アクセスログの経過時間項目をマイクロ秒単位にする
たとえば、内部アクセス操作、エントリへのアクセス、およびレフェラルを記録する場合は、nsslapd-accesslog-level 構成属性の値を 516 (512+4) に設定します。その他のアクセスログの構成属性については、第 2 章「コアサーバ構成のリファレンス」を参照してください。
デフォルトのアクセスログの内容
この節では、コード例 5-1 に示したデフォルトのアクセスログレベルの抜粋に基づいて、アクセスログの内容を詳細に説明します。
接続番号
すべての外部 LDAP 要求には、サーバの起動直後から conn=0 で始まる増分方式の接続番号 (この例では、conn=11 や conn=28) が記録されます。内部 LDAP 要求は、デフォルトではアクセスログに記録されません。内部アクセス操作のログを記録するには、nsslapd-accesslog-level 構成属性でアクセスログレベル 4 を指定します。
ファイルディスクリプタ
外部 LDAP クライアントから Directory Server への接続ごとに、オペレーティングシステムのファイルディスクリプタまたはソケットディスクリプタを必要とします。この例では fd=608 が該当します。fd=608 は、使用可能なファイルディスクリプタの全プールからファイルディスクリプタ番号 608 が使用されたことを示します。
スロット番号
スロット番号 (この例では slot=608) は、古いバージョンのアクセスログ要素です。これは、ファイルディスクリプタと同じ意味を持ちます。アクセスログのこの要素は無視してください。
操作番号
LDAP 要求を処理するために、Directory Server は必要な一連の操作を実行します。実行中の操作を明確に区別するために、1 つの接続に関するすべての操作要求と操作結果のペアに、op=0 で始まる増分方式の操作番号が割り当てられます。コード例 5-1 では、たとえば、バインド操作の要求と結果のペアに op=0 が割り当てられ、LDAP 検索の要求と結果のペアに op=1 が割り当てられています。アクセスログ内に op=-1 がある場合、通常は、その接続の LDAP 要求は外部 LDAP クライアントが発行したのではなく、内部で発生したものであることを意味しています。
方法の種類
方法の番号 (この例では method=128) は、クライアントが使用した LDAPv3 のバインド方法を示します。バインド方法には、次の 3 つの値があります。
バージョン番号
バージョン番号 (この例では version=3) は、LDAP クライアントが LDAP サーバとの通信に使用した LDAP のバージョン番号 (LDAPv2 または LDAPv3) を示します。
エラー番号
エラー番号 (この例では err=0) は、実行した LDAP 操作から返された LDAP 結果コードを示します。LDAP のエラー番号 0 は、その操作が正常に終了したことを意味します。その他の LDAP 結果コードについては、「LDAP 結果コード」を参照してください。
タグ番号
タグ番号 (この例では tag=97) は、返された結果のタイプを示します。これは、ほとんどの場合、実行した操作のタイプを表します。使用されるタグは、LDAP プロトコルの BER タグです。よく使用されるタグを次に示します。
tag=115 : 検索を実行するエントリに、要求エントリへのレフェラルが保持されている場合の検索参照を示す。検索参照はレフェラルによって表される
注
tag=100 および tag=115 は、それ自体は結果タグではありません。これらのタグ番号がアクセスログに出現することはほとんどありません。
エントリの数
エントリの数 (この例では nentries=0) は、LDAP クライアントの要求にマッチしたエントリの数を示します。
経過時間
経過時間 (この例では etime=1000) は、Directory Server が LDAP 操作の実行にかけた時間を秒単位で示します。etime の値が 0 の場合は、操作の実行にかかった時間がミリ秒単位であったことを示します。アクセスログのこの項目でミリ秒単位の結果を示したい場合は、nsslapd-accesslog-level 構成属性に 131328 (256+131072) を指定します。
LDAP 要求タイプ
LDAP 要求タイプは、LDAP クライアントが発行した LDAP 要求のタイプを示します。この項目には、次の値があります。
LDAP 応答タイプ
LDAP 応答タイプは、LDAP クライアントが発行した LDAP 応答を示します。この項目には、次の値があります。
インデックス外検索インジケータ
インデックス外検索インジケータの notes=U は、実行した検索がインデックスになかった、つまり、インデックスファイルではなくデータベース自体を直接検索する必要があったことを示します。検索に使用されるインデックスファイル内で All IDs Threshold に達した場合、インデックスファイルが存在しない場合、またはインデックスファイルの構成方法が検索に必要な方法とは異なっていた場合に、インデックス外検索が発生します。
注
インデックス外検索は、一般に多くの時間を必要とするため、多くの場合、インデックス外検索インジケータの etime 値は大きくなります。
拡張操作 OID
拡張操作 OID (この例では EXT oid="2.16.840.1.113730.3.5.3" や EXT oid="2.16.840.1.113730.3.5.5") は、実行されている拡張操作の OID を示します。表 5-1 に、iPlanet Directory Server 5.1 でサポートされている LDAPv3 拡張操作とその OID の一覧を示します。
変更シーケンス番号
変更シーケンス番号 (この例では csn=3b4c8cfb000000030000) は、レプリケーションの変更シーケンス番号であり、この特定の命名コンテキストでレプリケーションが有効になっていることを示します。
中断メッセージ
中断メッセージは、操作が中断されたことを示します。この例では、[21/Apr/2001:11:39:52 -0700] conn=12 op=2 ABANDON targetop=1 msgid=2 nentries=0 etime=0 が該当し、nentries=0 は操作が中断されるまでに送信されたエントリ数、etime=0 は経過した時間 (秒単位) を示し、targetop=1 は、それまでに開始されていた操作 (アクセスログの始めの方に示されている) の値と対応します。
そのメッセージ ID がどの操作が中断されたか特定することに成功したかどうかによって、2 通りの ABANDON メッセージが表示されます。メッセージ ID に示された操作 (targetop) を特定できた場合、ログは上記の例のようになります。一方、メッセージ ID に示された操作を特定できなかった場合、または ABANDON 要求を送信する前に操作がすでに完了していた場合、ログは以下のようになります。
[21/Apr/2001:11:39:52 -0700] conn=12 op=2 ABANDON targetop=NOTFOUND msgid=2
targetop=NOTFOUND は、中断する操作が不明な操作であったか、またはすでに完了していたことを示します。
メッセージ ID
メッセージ ID (この例では msgid=2) は、LDAP SDK クライアントによって生成された LDAP 操作識別子です。メッセージ ID は、iPlanet Directory Server の操作番号とは異なる場合がありますが、同じ操作を示します。このメッセージ ID は、ABANDON 操作に関して使用され、中断しているクライアント操作をユーザに知らせます。
注
iPlanet Directory Server の操作番号は 0 から始まります。一方、大部分の LDAP SDK/クライアント実装では、メッセージ ID の番号は 1 から始まります。したがって、多くの場合、メッセージ ID は iPlanet Directory Server の操作番号に 1 を加えたものと同じになります。
SASL マルチステージバインドログ
iPlanet Directory Server 5.1 のマルチステージバインドに関するログは、より明確になりました。バインドプロセスの各段階が記録され、該当する場合は、「SASL bind in progress」というメッセージも記述されます。
デフォルト以外のアクセスログレベルでのアクセスログの内容
この節では、iPlanet Directory Server 5.1 のアクセスログで使用できる、デフォルト以外のアクセスログレベルについて説明します。
コード例 5-2 では、エントリへのアクセスとレフェラルを記録するアクセスログレベル 512 が選択されています。この例では、太字で示された検索要求に対して、6 つのエントリと 1 つのレフェラルが返されています。
コード例 5-3 では、内部操作を記録するアクセスログレベル 4 が選択されています。
アクセスログレベル 4 では、内部操作を記録できます。実行中の検索、検索ベース、適用範囲、フィルタ、および要求された検索属性が記録されます。
接続の説明
接続の説明は、この例では conn=Internal であり、その接続が内部接続であることを示しています。操作番号 op=-1 は、操作が内部で開始されたことを示します。
オプションの説明
オプションの説明は、この例では options=persistent であり、永続検索が実行されていることを示しています。永続検索は、監視の一形態として利用できます。永続検索では、特定の構成に変更が生じたときに、その変更内容を返すように設定できます。
注
iPlanet Directory Server 5.1 のアクセスログでは、永続検索と通常の検索を区別できます。以前の iPlanet Directory Server リリースでは、これを区別できませんでした。
コード例 5-4 では、アクセスログレベル 512 と 4 の両方が選択されており、エントリアクセスとレフェラルに加えて、内部アクセス操作も記録されます。
共通の接続コード
接続コードは、接続解除に関する追加情報を提供するために closed ログメッセージに追加されるコードです。共通の接続コードは次のとおりです。
受信時に BER タグ (ネットワーク上で送信されるデータをカプセル化するタグ) が破損していた場合は、B1 接続コードがアクセスログに記録されます。BER タグは、物理層のネットワークの問題や、すべての要求結果を受け取る前に LDAP クライアントを中断するなどの誤った LDAP クライアント操作が原因で破損することがあります。
B2 = BER タグが nsslapd-maxbersize 属性値よりも長い。この構成属性については、「nsslapd-maxbersize (メッセージの最大サイズ)」を参照
B4 = サーバがデータ応答をクライアントにフラッシュバックできなかった
T1 = 指定したアイドル接続のタイムアウト時間内にクライアントが結果を受け取らなかった
T2 = IO ブロックのタイムアウト時間が経過したためにサーバが接続を解除した
U1 = クライアントが UNBIND 要求を送信したためにサーバが接続を解除した。サーバは、UNBIND 要求を検出すると、必ずその接続を解除する
LDAP 結果コード
LDAP の一連の結果コードを知っておくと役に立ちます。
前へ 目次 索引 DocHome 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.
Last Updated March 02, 2002