Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Identity Synchronization for Windows 1 2004Q3 インストールおよび設定ガイド 

第 10 章
監査とエラーのログファイルについて

Identity Synchronization for Windows は、インストールと設定の状態、日々のシステム動作、配備に関連するエラー状態に関する情報を記録します。

この章では、この情報にアクセスし、それを解釈する方法について説明します。ここで説明する内容は次のとおりです。

ログについて

Identity Synchronization for Windows コンソールの「状態」タブには、さまざまな情報を表示できます。

左側のナビゲーションツリーパネルで次のいずれかのノードを選択すると、「状態」タブの内容が更新され、選択した項目に関する情報が表示されます。

ログの種類

ここでは、Identity Synchronization for Windows で利用できる各種のログについて説明します。

セントラルログ

Identity Synchronization for Windows が Message Queue にアクセスできるかぎり、監査とエラーのメッセージは Identity Synchronization for Windows セントラルロガーに記録されます。このため、これらのセントラルログ (すべてのコンポーネントからのメッセージが記録される) が主な監視対象となります。

セントラルログは、コアがインストールされているマシンの次のディレクトリに格納されます。

表 10-1 は、それぞれのログについて説明しています。

表 10-1 Identity Synchronization for Windows ログの種類

ログ名

説明

error.log

警告と重大なメッセージが記録される

audit.log

各同期イベントに関するメッセージを記録した、error.log のスーパーセット

resync.log

resync コマンドによって生成されるメッセージが記録される

次のように、各セントラルログには各コンポーネント ID に関する情報も含まれます。

[2003/03/14 14:48:23.296 -0600] INFO 13 "System Component Information:    SysMgr_100 is the system manager (CORE);  console is the Product Console User Interface;  CNN100 is the connector that manages [airius.com (ldaps:// server1.airius.com:636)];  CNN101 is the connector that manages [dc=airius,dc=com (ldap:// server2.airius.com:389)];"

セントラルロガーのほかに、各コンポーネントには専用のローカルログがあります。セントラルロガーにログを記録できない場合は、これらのローカルログを使用して、コネクタとの問題を診断できます。

ローカルコンポーネントログ

各コネクタ、システムマネージャ、セントラルロガーには、次のローカルログがあります。

表 10-2 ローカルログ 

ログ名

説明

audit.log

各同期イベントに関するメッセージを記録した、error.log のスーパーセット。これらのメッセージは、セントラルログの audit.log にも記録される

error.log

警告と重大なメッセージが記録される。これらのメッセージは、セントラルログの error.log にも記録される

ローカルログは、次のサブディレクトリに格納されます。

sysmgr ディレクトリと clogger100 (セントラルロガー) ディレクトリは、コアがインストールされているマシンにあります。

Identity Synchronization for Windows は、現在のログファイルの内容を、次のようにファイル名に日付を追加したログファイルに移動し、ローカルコンポーネントログを毎日ローテーションさせます。

audit_2004_08_06.log

デフォルトでは、Identity Synchronization for Windows のコネクタログは 10 日後に削除されます。この期間は、Log.properties ファイルで com.sun.directory.wps.logging.maxmiumDaysToKeepOldLogs の値を編集し、サービスまたはデーモンを開始し直すことで調整できます。

Windows NT サブコンポーネントのローカルログ

次の Windows NT サブコンポーネントにもローカルログがあります。

これらのサブコンポーネントのログは、次のディレクトリの SUBC1XX (たとえば SUBC100 など) サブディレクトリに格納されます。

<installation_root>/isw-<machine_name>/logs/

これらのファイルのサイズは 1M バイトに制限され、最新のログファイル 10 本だけが維持されます。

Directory Server プラグインのログ

Directory Server プラグインは、Directory Server コネクタを通じてセントラルログに情報を記録し、また、Directory Server のログ機能も使用します。このため、Directory Server のエラーログには、Directory Server プラグインのローカルログメッセージも保存されます。

Directory Server は、その他の Directory Server プラグインおよびコンポーネントからの情報をエラーログに保存します。Identity Synchronization for Windows Directory Server プラグインからのメッセージを識別するには、isw という文字列を含む行をフィルタリングして取り除きます。

デフォルトでは、エラーログには最小限のプラグインログメッセージが記録されます。
次に例を示します。

[14/Jun/2004:17:08:36 -0500] - ERROR<38747> - isw - conn=-1 op=-1 msgId=-1 - Plugins unable to establish connection to DS Connector at attila:1388, will retry later

次のように、Directory Server エラーログのデフォルトの詳細度は、Directory Server の管理コンソールで変更できます。

  1. Directory Server コンソールを開きます。
  2. 「設定」タブを選択します。
  3. ナビゲーションパネルでログのノードをクリックします。
  4. 「エラー」タブを選択します。
  5. 「ログレベル」ボタンをクリックします。
  6. 「プラグイン」ボックスを有効にします。詳細度を上げるには、「詳細モード」を有効にします。
  7. 「了解」をクリックし、「保存」をクリックします。

Directory Server のログの詳細については、『Sun Java System Directory Server 5 2005Q1 管理ガイド』 (http://docs.sun.com/db/prod/entsys?l=ja) を参照してください。

ログの解釈

すべてのログメッセージには、次の情報が含まれます。

ログファイルの設定

配備のログの設定は、次のように Identity Synchronization for Windows コンソールで行います。

  1. コンソールを開き、「設定」タブを選択します。
  2. ナビゲーションツリーパネルでノードを展開し、「ログ」ノードを表示します。
  3. 「ログ」ノードを選択すると、「設定」タブに「ログファイル」パネルが表示されます (図 10-2 を参照)。

    4. 図 10-2 ログファイルの設定
    ログファイルを設定します。

  4. 「ログファイル」パネルを使用して、ログファイルを次のように設定します。
    • ログをファイルに書き込みます : コアホスト上のファイルにログを書き込むときは、このオプションを有効にする

      • このオプションを有効にすると、次の設定を行えるようになる

      • デフォルトのログディレクトリとログファイル (たとえば /var/opt/SUNWisw/logs/central) を有効にする
      • 「ログファイルをディレクトリに書き込みます」オプションを有効にし、ログファイルのパスとファイル名を指定する

        		•

        コンソールは、指定されたログファイルの場所が実際に存在するかどうかを確認しません。指定されたログディレクトリが存在しない場合、セントラルロガーはこのディレクトリの作成を試みます。このため、存在しないログの場所を指定および保存してしまったかどうかは、ログを表示してみるまでわかりません。ログの表示を何度か試みると、指定された場所でコンソールがログを見つけられないことを示すメッセージが表示されます。

    • Solaris のみに適用 : syslog デーモンにログを書き込みます : Identity Synchronization for Windows が Solaris プラットフォーム上に存在する場合は、このオプションを有効にする。ログの書き込みのカテゴリをドロップダウンリストから選択する。デフォルトはデーモン

      		•

      このオプションを選択すると、Identity Synchronization for Windows はすべての情報を syslog に書き込みます。しかし、syslog は、デフォルトでは WARNING と SEVERE のメッセージだけを記録するように設定されています。

      INFO メッセージも記録されるように syslog を設定するには、/etc/syslog.conf の次の行を編集します。

      *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages

      これを次のように変更します。

      *.err;kern.debug;daemon.notice;daemon.info;mail.c rit /var/adm/messages

      この変更が完了したら、次の方法で syslog デーモンを開始し直す必要があります。

      /etc/init.d/syslog stop ; /etc/init.d/syslog start

      FINE、FINER、FINEST の記録を有効にするには、セミコロン区切りのリストに deamon.debug を追加します。

    • 古いログの削除 : ログファイルの数は、永続的に毎日増えつづける。このオプションを有効にすると、ディスクスペースが不足しないように、どの程度の時間が経過したら、プログラムが古いログをセントラルログファイルから削除できるかを指定できる

      たとえば、30 日と指定した場合、Identity Synchronization for Windows は作成から 31 日目に達しているすべてのファイルを削除できる

    • ログレベル : システムログへの記録の詳細度をドロップダウンリストから選択する。「ログレベル」を参照
  5. 「ログ設定の保存」をクリックすると、選択したオプションに基づいてログファイルが作成されます。

ディレクトリソースの状態の表示

ディレクトリソースの状態を表示する手順は、次のとおりです。

  1. Identity Synchronization for Windows コンソールで「状態」タブを選択します。
  2. ナビゲーションツリーパネルでディレクトリソースの親ノードを展開し、ディレクトリソースのノード (dc=example,dc=com など) を選択します。

    3. 「状態」タブの表示が更新され、選択したディレクトリソースに関する情報が表示されます (図 10-3 の例を参照)。

    図 10-3 ディレクトリソースの状態の表示
    ディレクトリソースの状態が表示されます。

    ディレクトリソースの状態を表示した場合、主にそのディレクトリソースに関連するコネクタの状態が表示されます。

    「状態」タブには、次の情報が表示されます。

    • 更新 : 「更新」をクリックすると、このタブに表示される情報が更新される
    • 状態 : ディレクトリソースの現在の状態を示す有効な状態には、次の種類がある
      • UNINSTALLED: コネクタはインストールされていない
      • INSTALLED: コネクタはインストールされているが、まだ実行時設定を受信していないため、同期の準備が整っていない。コネクタがこの状態で 1 分以上が経過した場合、何らかの異常が考えられる
      • READY : コネクタは同期の準備が整っているが、現時点ではどのオブジェクトも同期させていない。同期が開始されていない、または同期が開始されていても一部のサブコンポーネントでコネクタとの接続が確立していない場合、コネクタの状態は READY のまま維持される
      • SYNCING: コネクタはオブジェクトを同期させている。この状態になってもエラーが発生している可能性があるため、変更が同期されない場合はエラーログを確認する
    • アクティブ : ディレクトリソースがアクティブであるか、ダウンしているかを示す
    • 前回の通信 : ディレクトリソースのコネクタからの最後の応答時刻が示される

インストールと設定の状態の確認

Identity Synchronization for Windows のインストールと設定のプロセスで、実行が必要な手順を確認する方法は、次のとおりです。

  1. Identity Synchronization for Windows コンソールで、「状態」タブを選択します。
  2. ナビゲーションツリーパネルで「To Do」ノードを展開します。

    3. 「状態」タブの表示が更新され、インストールと設定の手順チェックリストが表示されます (図 10-3 の例を参照)。

    図 10-4 表示、実行手順リスト
    実行手順リストの表示

  3. 右上の「更新」ボタンをクリックし、リストを更新します。

    4. 完了した手順にはチェックマークが付けられ、グレイ表示されます。インストールと設定を完了するには、残りの手順を実行する必要があります。

監査ログとエラーログの表示

エラーログを表示する手順は、次のとおりです。

  1. Identity Synchronization for Windows コンソールで、「状態」タブを選択します。
  2. ナビゲーションツリーパネルで、監査ファイルまたはエラーファイルのノードを展開します。

    3. 「状態」タブの表示が更新され、現在のログの内容が表示されます (図 10-5 を参照)。

    図 10-5 ログの表示
    ログを表示します。

    「状態」タブには、次の情報が表示されます。

    • 更新 : 監査またはエラーの最新情報を読み込む
    • 継続 : 監査またはエラーの最新情報を継続的に更新、表示する
    • ログファイル : 次のように、現在読み込んでいる監査またはエラーログの完全パス名を表示する

      • C:¥Program Files¥Sun¥MPS¥isw-<hostname>¥logs¥central¥audit.log

    • 表示する行 : 監査またはエラーの表示エントリ数を指定する。デフォルトは 25

Windows NT マシンでの監査の有効化

配備に Windows NT マシンが含まれる場合、監査を有効にしない限り、Identity Synchronization for Windows はそのマシンからのメッセージをログに記録できません。

Windows NT マシンで監査ログの記録を有効にする手順は、次のとおりです。

  1. Windows NT の「スタート」メニューから「プログラム」 > 「管理ツール」 > 「ドメインのユーザーマネージャ」を選択します。
  2. 「ユーザーマネージャ」ダイアログボックスが表示されるので、メニューバーから「原則」 > 「監査」を選択します。

    3. 「監査の原則」ダイアログボックスが表示されます。

  3. 「監査するイベント」ボタンを有効にし、「成功」と「失敗」のボックスを有効にします。
  4. 「OK」をクリックしてダイアログボックスを閉じます。

この設定は、設定し直すまで有効です。



前へ      目次      索引      次へ     

Part No: 817-7846   Copyright 2004 Sun Microsystems, Inc. All rights reserved.