Sun Java System Directory Server Enterprise Edition 6.1 管理ガイド

第 14 章 Directory Server のログ

この章では Directory Server ログの管理方法を説明します。

ログの方針の定義に役立つ情報が必要な場合は、『Sun Java System Directory Server Enterprise Edition 6.1 配備計画ガイド』の「ロギング方法の設計」のログポリシー情報を参照してください。

ログファイルとそれらの内容の説明については、『Sun Java System Directory Server Enterprise Edition 6.1 Reference』の第 7 章「Directory Server Logging」を参照してください。

この章の内容は次のとおりです。

ログ解析ツール

Directory Server Resource Kit にはログ解析ツール logconv があり、Directory Server のアクセスログを解析できます。ログ解析ツールは使用状況の統計情報を抽出します。さらに、重要なイベントの発生もカウントします。このツールの詳細については、logconv(1) のマニュアルページを参照してください。

Directory Server ログの表示

デフォルトでは instance-path/logs ファイルにあるサーバーのログを直接表示できます。デフォルトのパスを変更した場合は、次のように dsconf コマンドを使用して、ログファイルの場所を検索できます。

$ dsconf get-log-prop -h host -p port log-type path

または Directory Service Control Center (DSCC) によってログファイルを表示できます。DSCC ではログエントリを表示し、ソートできます。

次の図に、DSCC の Directory Server のアクセスログの例を示します。

図 14–1 DSCC のアクセスログ

DSCC によって表示したアクセスログアクセスログエントリは表に一覧表示されています。

Directory Server のログの末尾を表示する

dsadm コマンドを使用して、指定した行数の Directory Server のログを表示したり、指定した経過時間内に記録されたログエントリを表示したりできます。この例では、エラーログの末尾を表示します。アクセスログの末尾を表示する場合は、show-error-log の代わりに show-access-log を使用してください。

特定の経過時間内に記録されたエラーログエントリを表示します。
$ dsadm show-error-log -A duration instance-path
時間の単位を指定してください。たとえば、24 時間以内に記録されたエラーログエントリを表示するには、次のように入力します。
$ dsadm show-error-log -A 24h /local/ds

指定した行数 (末尾から) のエラーログを表示します。
$ dsadm show-error-log -L last-lines instance-path
行数は整数で表します。たとえば、最後の 100 行を表示するには、次のように入力します。
$ dsadm show-error-log -L 100 /local/ds
値を指定しない場合、デフォルトの表示行数は 20 行です。

Directory Server のログの設定

ログファイルのさまざまな側面を変更できます。次のような例があります。

監査ログの有効化

アクセスログやエラーログとは異なり、監査ログはデフォルトでは無効にされています。詳細については、「監査ログを有効にする」を参照してください。
一般設定
- ログの有効化または無効化
- ログのバッファリングの有効化または無効化
- ログファイルの場所
- 詳細ログ
- ログレベル
ログローテーション設定
- 一定の時間間隔での新しいログの作成
- 新しいログファイルが作成されるまでの最大ログファイルサイズ
ログ削除設定
- 削除されるまでの最大ファイル経過時間
- 削除されるまでの最大ファイルサイズ
- 削除されるまでの最小空きディスク容量

次に示す手順では、ログ設定を変更する方法と監査ログを有効にする方法を示します。

ログ設定を変更する

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

変更するログの設定を表示します。

$ dsconf get-log-prop -h host -p port log-type

たとえば、既存のエラーログ設定を表示するには、次のように入力します。

$ dsconf get-log-prop -h host1 -p 1389 error
Enter "cn=Directory Manager" password:
buffering-enabled         :  off
enabled                   :  on
level                     :  default
max-age                   :  1M
max-disk-space-size       :  100M
max-file-count            :  2
max-size                  :  100M
min-free-disk-space-size  :  5M
path                      :  /tmp/ds1/logs/errors
perm                      :  600
rotation-interval         :  1w
rotation-min-file-size    :  unlimited
rotation-time             :  undefined
verbose-enabled           :  off

新しい値を設定します。

プロパティーに目的の値を設定します。
$ dsconf set-log-prop -h host -p port log-type property:value
たとえば、エラーログのローテーション間隔を 2 日に設定するには、次のコマンドを使用します。
$ dsconf set-log-prop -h host1 -p 1389 error rotation-interval:2d

監査ログを有効にする

アクセスログやエラーログとは異なり、監査ログはデフォルトでは無効にされています。監査ログを表示するには、最初にログを有効にする必要があります。

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

監査ログを有効にします。

$ dsconf set-log-prop -h host -p port audit enabled:on

Directory Server ログの手動でのローテーション

きわめて大きくなるログがある場合、任意の時間に手動でログをローテーションすることができます。ローテーションでは、既存のログファイルをバックアップし、新しいログファイルを作成します。

ログファイルを手動でローテーションする

DSCC を使用してこの作業を実行できます。詳細は、「Directory Service Control Center のインタフェース」と DSCC のオンラインヘルプを参照してください。

ログファイルをローテーションします。
$ dsconf rotate-log-now -h host -p port log-type
たとえば、アクセスログをローテーションするには、次のように入力します。
$ dsconf rotate-log-now -h host1 -p 1389 access