Sun Java logo     上一頁      目錄      索引      下一頁     

Sun logo
Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 

第 10 章
認識稽核與錯誤檔案

Identity Synchronization for Windows 提供有關安裝與配置狀態、日常系統作業,及任何部署出錯情況的資訊。

本章說明如何存取及瞭解下列各節中的資訊:

認識日誌

您可從 Identity Synchronization for Windows 主控台的「狀態」標籤中檢視各種類型的資訊。

如果您在導覽樹窗格 (左側) 中選取了下列任一節點,「狀態」標籤上顯示的內容就會改變,轉而顯示有關該項目的詳細資訊。

日誌類型

本節說明 Identity Synchronization for Windows 使用的各種不同日誌類型:

中央日誌

只要 Identity Synchronization for Windows 元件能夠存取 Message Queue,所有的稽核及錯誤訊息就都會記錄在 Identity Synchronization for Windows 中央記錄程式中。因此,這些中央日誌 (包括所有元件發出的訊息) 是監視的主要對象。

集中式日誌位於安裝有核心程式的電腦上的下列目錄之中:

具體的日誌詳見表格 10-1

表格 10-1  Identity Synchronization for Windows日誌類型

日誌名稱

描述

error.log

報告警告及嚴重訊息。

audit.log

error.log 的超集合,其中包含各個同步化事件的相關訊息。

resync.log

報告由 resync 指令所產生的訊息。

各中央日誌亦包含每個元件 ID 的相關資訊。例如:

[2003/03/14 14:48:23.296 -0600] INFO 13 "System Component Information:SysMgr_100 is the system manager (CORE); console is the Product Console User Interface; CNN100 is the connector that manages [airius.com (ldaps:// server1.airius.com:636)]; CNN101 is the connector that manages [dc=airius,dc=com (ldap:// server2.airius.com:389)];"

除了中央記錄程式之外,各個元件都有它們自己的本機日誌。如果連接器發生的問題無法記錄在中央記錄程式上,則您可使用這些本機日誌來診斷發生的問題。

本機元件日誌

每一連接器、系統管理員以及中央記錄程式均具有下列本機日誌:

表格 10-2  本機日誌

日誌名稱

描述

audit.log

error.log 的超集合,其中包含各個同步化事件的相關訊息。這類訊息亦會寫入中央 audit.log.

error.log

報告警告及嚴重訊息。這類訊息亦會寫入中央 error.log

上述本機日誌位於下列子目錄中:

sysmgrclogger100 (中央記錄程式) 目錄位在安裝有核心程式的電腦上。

Identity Synchronization for Windows 會藉由將目前的日誌移至包含日期的日誌檔而進行這些本機元件日誌的每日輪替,例如:

audit_2004_08_06.log

附註

依照預設,Identity Synchronization for Windows 會在十天後刪除連接器日誌。您可編輯 Log.properties 檔案中的 com.sun.directory.wps.logging.maxmiumDaysToKeepOldLogs 值並重新啟動服務常駐程式來延長此期間。

Windows NT 本機子元件日誌

下列 Windows NT 子元件亦具有本機日誌:

這類子元件日誌位在以下目錄的 SUBC1XX (如 SUBC100) 子目錄中:

<installation_root>/isw-<machine_name>/logs/

Identity Synchronization for Windows 會限制這類日誌的大小不得超過 1 MB,並且只保留最新的 10 個日誌。

Directory Server 外掛程式日誌

Directory Server 外掛程式透過 Directory Server 連接器以及 Directory Server 記錄設備,將資訊記錄到中央日誌中。因此,Directory Server 本機外掛程式日誌訊息也將儲存在 Directory Server 錯誤日誌中。

Directory Server 將其他 Directory Server 外掛程式和元件的資訊儲存在錯誤日誌中。為了識別 Identity Synchronization for Windows Directory Server 外掛程式的訊息,您可篩選出包含 isw 字串的文字行。

依照預設,錯誤日誌中只會顯示最精簡的外掛程式日誌訊息。例如:

[14/Jun/2004:17:08:36 -0500] - ERROR<38747> - isw - conn=-1 op=-1 msgId=-1 - Plugins unable to establish connection to DS Connector at attila:1388, will retry later

您可按照如下方式,從 Directory Server 管理主控台變更 Directory Server 錯誤日誌的預設冗長度:

  1. 開啟 Directory Server 主控台。
  2. 選擇「配置」標籤。
  3. 按一下導覽窗格中的「日誌」節點。
  4. 選取「錯誤」標籤。
  5. 按一下「日誌層級」按鈕。
  6. 啟用「外掛程式」方塊。如果想要讓日誌內容更詳細,也可以啟用「精細模式」。
  7. 按一下「確定」,然後按一下「儲存」。

有關 Directory Server 記錄功能的詳細資訊,請參閱《Sun Java System Directory 5 2004Q2 Server Administrator's Guide》(http://docs.sun.com/db/coll/DirectoryServer_04q2)。

讀取日誌

每一條日誌訊息都包含以下資訊:

配置日誌檔案

您可使用 Identity Synchronization for Windows 主控台來配置您的部署的記錄功能,方法如下:

  1. 開啟主控台,選取「配置」標籤。
  2. 展開導覽樹窗格中的節點,直到看見「日誌」節點為止。
  3. 選取「日誌」節點,「日誌檔案」窗格即顯示在「配置」標籤上 (請參閱圖 10-2)。

    4. 圖 10-2  配置日誌檔案
    配置日誌檔案。

  4. 透過「日誌檔案」窗格來配置日誌檔案,步驟如下:
    • 將日誌寫入檔案中。啟用此選項可將日誌寫入核心主機上的檔案。

      • 選取此選項後,即可:

      • 啟用預設日誌目錄和檔案 (例如,/var/opt/SUNWisw/logs/central)。
      • 啟用「將日誌檔案寫入目錄中」選項,並為該日誌檔案指定路徑及檔名。

        • 附註

        主控台不會驗證指定的日誌檔案位置是否確實存在。如果日誌目錄不存在,則中央記錄程式將嘗試建立該日誌目錄。因此,在您嘗試檢視日誌之前,不會有訊息指出所指定及儲存的日誌位置不存在。試著檢視日誌數次後,會出現訊息指出主控台在指定位置找不到日誌。

    • 僅限 Solaris 將日誌寫入 syslog 常駐程式中。如果 Identity Synchronization for Windows 常駐在 Solaris 平台,請啟用此選項。
      使用下拉清單來選取寫入日誌的方式。(預設值為 DAEMON。)

      • 附註

      如果選取此選項,Identity Synchronization for Windows 會將一切事件記錄在 syslog 中,不過,syslog 的預設配置是只記錄「警告」與「嚴重」訊息。

      若要配置 syslog,使其記錄「資訊」訊息,請編輯 /etc/syslog.conf 並將下列文字行:

      *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages

      變更為

      *.err;kern.debug;daemon.notice;daemon.info;mail.crit /var/adm/messages

      作好此變更之後,必須以如下方式重新啟動 syslog 常駐程式:

      /etc/init.d/syslog stop ; /etc/init.d/syslog start

      若要啟用「精細」、「更精細」和「最精細」記錄功能,請將 daemon.debug 納入以分號分隔的清單中。

    • 移除舊的日誌。日誌檔案的數量將會持續無止盡地增加 (每天一個檔案)。為了避免磁碟空間不足,請啟用此選項並指定程式可在何時從中央日誌檔案中刪除舊的日誌。

      例如,如果您指定 30 天,Identity Synchronization for Windows 會將達到 31 天的檔案全部移除。

    • 日誌層級使用下拉清單選取您希望在系統日誌中看到的詳細資料層級。
      (請參閱日誌層級。)
  5. 按一下「儲存日誌配置」按鈕可根據所選的選項來建立日誌檔案。

檢視目錄來源狀態

若要檢視您的目錄來源的狀態,請:

  1. 從 Identity Synchronization for Windows 主控台中,選取「狀態」標籤。
  2. 在導覽樹窗格中,展開「目錄來源」節點,然後選取目錄來源節點 (例如 dc=example,dc=com)。

    3. 「狀態」標籤的內容改為顯示有關所選目錄來源的資訊 (示例請參閱圖 10-3)。

    圖 10-3  目錄來源狀態
    顯示的目錄來源內容。

    附註

    當您檢視目錄來源狀態時,實際上是在檢視與目錄來源聯結的連接器狀態。

    「狀態」標籤中顯示下列資訊:

    • 更新:按一下「更新」可更新此標籤中的資訊。
    • 狀態:反映出目錄來源的目前狀態。有效的狀態包括:
      • 未安裝:連接器尚未安裝。
      • 已安裝:已安裝連接器,但是尚未準備好進行同步化,因為還沒接收到運行時間配置。如果連接器維持此狀態超過一分鐘,表示可能發生某些錯誤。
      • 就緒:連接器已準備好進行同步化,但目前尚未開始同步化任何物件。如果尚未啟動同步化,或雖然已啟動同步化,但並非所有子元件均已建立與連接器之間的連線,則連接器會維持「就緒」狀態。
      • 正在同步:連接器正在同步化物件。可能仍有錯誤,所以如果您發現變更未同步化,請查看錯誤日誌。
    • 使用中:指出目錄來源正在使用中還是已經關閉。
    • 上次通訊:指出上次目錄來源的連接器回應的時間。

檢視安裝與配置狀態

若要查看還要進行哪些步驟才能完成 Identity Synchronization for Windows 的安裝與配置過程,請使用下列程序:

  1. 從 Identity Synchronization for Windows 主控台中,選取「狀態」標籤。
  2. 展開導覽樹窗格中的「待辦事項」節點。

    3. 「狀態」標籤的內容改為顯示安裝與配置步驟的核對清單 (示例請參閱圖 10-3)。

    圖 10-4  檢視待辦事項清單
    檢視「待辦事項」清單。

  3. 按一下「更新」按鈕 (右上方) 更新清單。

    4. 完成的步驟將會顯示核取標記並呈現灰色。您必須完成剩下的步驟才能順利完成安裝與配置過程。

檢視稽核和錯誤日誌

若要檢視您的錯誤日誌,請:

  1. 從 Identity Synchronization for Windows 主控台中,選取「狀態」標籤。
  2. 在導覽樹窗格中,展開「稽核檔案」或「錯誤檔案」節點。

    3. 「狀態」標籤內容改為顯示目前的日誌 (圖 10-5)。

    圖 10-5  檢視日誌
    檢視您的日誌。

    「狀態」標籤中顯示下列資訊:

    • 更新:載入最新的稽核或錯誤資訊。
    • 連續:不斷地更新及顯示最新的稽核或錯誤資訊。
    • 日誌檔案:顯示讀取的稽核或錯誤日誌之完整路徑名稱,例如:

      • C:\Program Files\Sun\MPS\isw-<hostname>\logs\central\audit.log

    • 要顯示行:指定顯示多少稽核或錯誤項目。(預設值為 25。)

啟用 Windows NT 電腦上的稽核功能

如果您的部署環境中有 Windows NT 電腦,請確定已啟用稽核功能,否則 Identity Synchronization for Windows 無法記錄來自該台電腦的訊息。

使用下列程序可啟用 Windows NT 電腦上的稽核記錄功能:

  1. 從 Windows NT 的「開始」功能表中,選取「程式集」>「系統管理工具」>「網域使用者管理員」。
  2. 當「使用者管理員」對話方塊顯示時,從功能表列選取「原則」>「稽核」。

    3. 出現「稽核原則」對話方塊。

  3. 啟用「稽核下列事件」按鈕,然後啟用「成功」與「失敗」方塊。
  4. 按一下「確定」關閉對話方塊。

這些設定會一直有效,直到您再次改變它們為止。



上一頁      目錄      索引      下一頁     

文件編號:817-7849。 Copyright 2004 Sun Microsystems, Inc. 版權所有。