Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 

第 10 章
了解审计和错误文件

Identity Synchronization for Windows 提供有关安装和配置状态、日常系统操作以及与部署有关的任何错误状况的信息。

本章通过以下各节内容介绍如何获取和了解此信息:

了解日志

可从“Identity Synchronization for Windows 控制台”的“状态”选项卡查看各类信息。

如果在导航树窗格(位于左侧)中选择下列节点之一,“状态”选项卡中显示的内容会发生变化,以提供特定于该项目的信息。

日志类型

本节介绍 Identity Synchronization for Windows 可用的不同类型日志:

中心日志

只要各 Identity Synchronization for Windows 组件能访问 Message Queue,所有审计和错误消息就将被记录在 Identity Synchronization for Windows 中心记录器中。因此,这些中心日志(其中包括来自所有组件的消息)是应监视的主要日志。

这些集中的日志位于安装了“核心”的机器的以下目录中:

具体日志在表 10-1 中介绍。

表 10-1 Identity Synchronization for Windows 日志类型

日志名称

说明

error.log

用于报告“警告”和“严重”类消息。

audit.log

error.log 的超集,包含关于每个同步事件的消息。

resync.log

resync 命令生成的消息在此处报告。

每个中心日志还包含关于每个组件 ID 的信息。例如:

[2003/03/14 14:48:23.296 -0600] INFO 13 "System Component Information:SysMgr_100 is the system manager (CORE); console is the Product Console User Interface; CNN100 is the connector that manages [airius.com (ldaps:// server1.airius.com:636)]; CNN101 is the connector that manages [dc=airius,dc=com (ldap:// server2.airius.com:389)];"

除了中心记录器,每个组件还有自己的本地日志。如果连接器不能向中心记录器写入记录时,可使用这些本地日志来诊断连接器故障。

本地组件日志

每个连接器、系统管理器和中心记录器都含有以下本地日志:

表 10-2 本地日志

日志名称

说明

audit.log

error.log 的超集,包含关于每个同步事件的消息。这些消息也被写入到中心 audit.log

error.log

用于报告“警告”和“严重”类消息。这些消息也被写入中心 error.log

这些中心日志位于以下子目录中:

sysmgrclogger100(中心记录器)目录在安装了“核心”的机器上。

Identity Synchronization for Windows 每天循环使用这些本地组件日志,这是通过将当前日志移动到包含日期的日志文件而实现的,形式如下:

audit_2004_08_06.log

注意

默认情况下,Identity Synchronization for Windows 会删除十天之前的连接器日志。编辑文件 Log.properties 中的 com.sun.directory.wps.logging.maxmiumDaysToKeepOldLogs 值然后重新启动服务守护进程,可延长此时间长度。

本地 Windows NT 子组件日志

以下 Windows NT 子组件也具有本地日志:

这些子组件日志位于以下目录的 SUBC1XX(例如 SUBC100)子目录中:

<installation_root>/isw-<machine_name>/logs/

Identity Synchronization for Windows 将这些文件的大小限制为不能超过 1 MB,且只保留最后 10 个日志。

Directory Server 插件日志

Directory Server 插件通过 Directory Server 连接器将信息记录到中心日志,也通过 Directory Server 记录工具进行日志记录。因此,本地 Directory Server 插件日志消息也将被保存到 Directory Server 错误日志中。

Directory Server 将来自其它 Directory Server 插件和组件的信息保存到错误日志中。为了确定来自 Identity Synchronization for Windows Directory Server 插件的消息,可以筛选出包含字符串 isw 的行。

默认情况下,错误日志中只显示最小的“插件”日志消息。
例如:

[14/Jun/2004:17:08:36 -0500] - ERROR<38747> - isw - conn=-1 op=-1 msgId=-1 - Plugins unable to establish connection to DS Connector at attila:1388, will retry later

可从“Directory Server 管理控制台”更改 Directory Server 错误日志的默认详细程度级别,具体步骤如下:

  1. 打开“Directory Server 控制台”。
  2. 选择“配置”选项卡。
  3. 在导航窗格中单击“日志”节点。
  4. 选择“错误”选项卡。
  5. 单击“日志级别”按钮。
  6. 启用“插件”框。为了达到更详细的程度,也可以启用“详细模式”。
  7. 单击“确定”,然后单击“保存”。

有关 Directory Server 日志记录的详细信息,请参阅《Sun Java System Directory 5 2004Q2 Server Administrator's Guide》(http://docs.sun.com/db/coll/DirectoryServer_04q2)。

读取日志

每条日志消息都包含以下信息:

配置日志文件

可以使用“Identity Synchronization for Windows 控制台”为您的部署配置日志记录,如下所示:

  1. 打开“控制台”,然后选择“配置”选项卡。
  2. 在导航树窗格中展开节点,直到出现“日志”节点为止。
  3. 选择该“日志”节点,“配置”选项卡中显示“日志文件”面板(参见图 10-2)。

    4. 图 10-2
    配置日志文件
    配置日志文件。

  4. 使用“日志文件”面板配置日志文件,方法如下:
    • 将日志写入文件。启用此选项可将日志写入“核心”主机上的文件。

      • 选择此选项后,您可以:

      • 启用默认日志目录和文件(例如,/var/opt/SUNWisw/logs/central)。
      • 启用“将日志文件写入目录”选项,然后指定日志文件的路径和文件名。

        • 注意

        控制台不会验证指定的日志文件位置是否真正存在。如果日志目录不存在,中心记录器将尝试创建日志目录。因此,在您尝试查看日志之前,不会有指示说明您指定并保存了不存在的日志位置。经过几次查看日志的尝试后,会出现一条消息,报告控制台在指定位置找不到日志。

    • 仅限 Solaris将日志写入 syslog 守护进程:如果 Identity Synchronization for Windows 驻留在 Solaris 平台上,则启用此选项。
      使用下拉列表可选择书写日志的类别。(默认值为 DAEMON。)

      • 注意

      如果选中此选项,Identity Synchronization for Windows 将全部信息都记录到 syslog 中;但是,默认情况下 syslog 被配置为只记录“警告”和“严重”消息。

      要将 syslog 配置为记录“信息”类消息,请编辑 /etc/syslog.conf,并将以下行:

      *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages

      更改为:

      *.err;kern.debug;daemon.notice;daemon.info;mail.crit /var/adm/messages

      做此更改后,必须重新启动 syslog 守护进程,如下所述:

      /etc/init.d/syslog stop ; /etc/init.d/syslog start

      要启用“详细”、“更详细”和“最详细”日志记录,请在分号分隔的列表中包含 daemon.debug。

    • 删除原有日志:日志文件的数量无限持续增长(每天 1 个)。为了避免用尽磁盘空间,请启用此选项并指定程序可在何时从中心日志文件中删除原有日志。

      例如,如果指定 30 天,Identity Synchronization for Windows 将在文件生成 31 天后删除它们。

    • 日志级别。使用下拉列表可选择要在系统日志中查看的详细级别。(请查看日志级别。)
  5. 单击“保存日志配置”按钮,根据所选选项创建日志文件。

查看目录源状态

要查看目录源的状态:

  1. 在“Identity Synchronization for Windows 控制台”中,选择“状态”选项卡。
  2. 在导航树窗格中,展开“目录源”节点,然后选择目录源节点(例如,dc=example,dc=com)。

    3. “状态”选项卡的内容发生变化,提供与选定目录源有关的信息(例如,参见图 10-3)。

    图 10-3
    目录源状态
    显示的目录源内容。

    注意

    查看“目录源”状态时,实际上是在查看与该“目录源”关联的连接器的状态。

    “状态”选项卡提供下列信息:

    • 更新:单击“更新”可刷新此选项卡中的信息。
    • 状态:反映目录源的当前状态。有效状态包括:
      • 尚未安装:未安装连接器。
      • 已安装:已安装连接器,但因尚未接收到其运行时配置,所以未做好同步准备。如果连接器在此状态停留超过一分钟,则可能是某处出现了故障。
      • 就绪:连接器已做好同步准备,但目前未同步任何对象。如果尚未启动同步,或者虽已启动同步但并非所有子组件都与连接器建立了连接,则连接器会保持“就绪”状态。
      • 正在同步:连接器正在同步对象。可能仍有错误,因此若发现更改未同步,请参考错误日志。
    • 活动的:表明目录源是否处于活动状态。
    • 上一次通信:指出此目录源的连接器上次发出响应的时间。

查看安装和配置状态

要查看还必须完成 Identity Synchronization for Windows 安装和配置过程的哪些步骤,请按下列过程操作:

  1. 在“Identity Synchronization for Windows 控制台”中,选择“状态”选项卡。
  2. 在导航树窗格中,展开“待执行”节点。

    3. “状态”选项卡的内容发生变化,提供安装和配置步骤的清单(例如,参见图 10-3)。

    图 10-4
    查看“待执行”列表
    查看“待执行”列表。

  3. 单击“更新”按钮(右上角)刷新该列表。

    4. 完成的步骤带有选中标记,并且以灰色显示。必须完成其余步骤才能成功完成安装和配置过程。

查看审计和错误日志

要查看错误日志:

  1. 在“Identity Synchronization for Windows 控制台”中,选择“状态”选项卡。
  2. 在导航树窗格中,展开“审计文件”或“错误文件”节点。

    3. “状态”选项卡的内容发生变化,显示当前日志(图 10-5)。

    图 10-5
    查看日志
    查看日志

    “状态”选项卡提供下列信息:

    • 刷新:加载最新的审计或错误信息。
    • 连续:连续更新和显示最新的审计或错误信息。
    • 日志文件:显示读取的审计或错误日志的完整路径名。例如:

      • C:\Program Files\Sun\MPS\isw-<hostname>\logs\central\audit.log

    • 显示行数:指定要显示的审计或错误条目数。(默认值为 25。

在 Windows NT 机器上启用审计

如果您的部署中有一台 Windows NT 机器,请核实是否启用了审计,否则 Identity Synchronization for Windows 不能记录来自该机器的消息。

可按以下过程在 Windows NT 机器上启用审计日志记录:

  1. 在 Windows NT 的“开始”菜单中,为“域”选择“程序”>“管理工具”>“用户管理器”。
  2. 显示“用户管理器”对话框后,从菜单栏中选择“策略”>“审核”。

    3. 将显示“审核策略”对话框。

  3. 启用“审核下列事件”按钮,然后启用“成功”和“失败”框。
  4. 单击“确定”关闭该对话框。

这些设置在再次更改之前始终有效。



上一页      目录      索引      下一页     

文件号码:817-7848。 版权所有 2004 Sun Microsystems, Inc. 保留所有权利。