第 5 章   ログ


ログを使用すると、監視とともに、どのようなエラーが発生しているかという観点からメッセージ機能を制御できます。これらのログは表示できます。また、オプションを使用して、画面に表示する詳細のレベルを設定できます。

すべてのメッセージトランザクションの詳細を記録した、原初ログもあります。原初ログは、Oracle の標準的なツールで表示できます。

概要

---

iPlanet Trustbase Transaction Manager では、次の 3 種類のログを構成できます。このうち 2 つは直接表示できます。

• 監視ログ - iPlanet Trustbase Transaction Manager フレームワーク (メッセージハンドラやルータなど) を通過したメッセージの流れに関するエントリを含むログ。構成に関する問題を診断する場合に便利

• エラーログ - iPlanet Trustbase Transaction Manager フレームワークおよび Identrus 固有のコンポーネントからのランタイムの問題に関するエントリを含むログ

• 原初ログ - 送受信された Identrus メッセージ専用のログ。このログは直接表示できない

図 5-1 「ログ」メインメニュー

監視ログ

---

監視は、タイプによって構成できます。また、監視をクエリすることも可能です。監視には次のタイプがあります。

Trustbase の監視 :

• ROUTER_ABORT_ROUTING
  規則に基づくルータが、不正な規則のためにルーティングを停止した場合に発生

• ROUTER_CONFIG
  規則の構成画面で規則が変更された場合に発生

• ROUTER_CONSTRUCTION
  起動時に新規規則セットが作成された場合に発生

• ROUTER_CONTEXT_DIRECTIVE
  ルータにより、ルータディレクティブ (EndContext、StartContext、または ReturnToUser) が実行された場合に発生

• ROUTER_ROUTE_MESSAGE
  メッセージがサービスにルーティングされた場合に発生

• ROUTER_START
  規則に基づくルータコンポーネントが初期化された場合に発生

• CONFIGURATION_CHANGE
  Trustbase の構成が変更された場合に発生

• OPERATION_ABORT
  サービスによりメッセージの処理が中止された場合に発生

• OPERATION_BEGIN
  サービスによりメッセージの処理が開始された場合に発生

• OPERATION_COMPLETE
  サービスによりメッセージの処理が完了した場合に発生

• PARSER_STARTUP
  メッセージアナライザコンポーネントが起動した場合に発生

• SECURITY_CHANGE
  一般的なセキュリティ関連のイベントが発生した場合に発生

• TAS_SHUTDOWN
  Trustbase が停止した場合に発生

• TAS_STARTUP
  Trustbase が起動した場合に発生

• ROLE_SERVICE_MAPPING_CHANGED
  サービスと役割間のマッピングが、アクセス権の構成で変更または追加された場合に発生

• DEFAULT_SECURITY_ROLE_USED
  認証コンポーネントがユーザと役割間の特定のマッピングを見つけられない場合に発生。そのユーザにデフォルトのセキュリティ役割が適用されたことが表示される

• CERT_BASED_ROLE_MAPPING_CHANGED
  証明書とセキュリティ役割間のマッピングが、アクセス権の構成で作成された場合に発生

• USER_PASS_BASED_ROLE_MAPPING_CHANGED
  ユーザ名/パスワードとセキュリティ役割間のマッピングが、アクセス権の構成で作成された場合に発生

Identrus トランザクションコーディネータの監視 :

• CSC_PROCESSING
  証明書ステータスの確認 (CSC) が行われた場合に発生

• CSC_DEBUGGING
  証明書ステータスの確認 (CSC) をデバッグする場合に発生

監視の構成

監視ログの設定では、どの監視タイプを実際に表示するかを選択できます。監視タイプは、有効 (ログを実行し、表示可能) または無効 (このタイプに関しては何の情報もログしない) に設定できます。

ログするタイプを構成するには、まず 「ログ」メインメニューから「監視構成」を選択します。

図 5-2 監視の構成

• 有効または無効にする監視タイプを、マウスの左ボタンでクリックします。

• 「有効」または「無効」を選択します。

監視の表示

監視ログを表示するには、日付の範囲 (開始日と完了日) とマシン ID (IP アドレス) を選択します。この場合のマシン ID とは、ログを作成しているマシンを指します。監視タイプを削除または追加することによって、表示する内容を制限または拡張できます。選択を行うと、日付、マシン ID、監視タイプ、およびメッセージの内容が出力画面に表示されます。

表示内容を選択するには、「ログ」メインメニューから「監視ログクエリ」を選択します。

図 5-3 監視表示

すべての情報は標準的な Oracle データベースに格納されています。このため、より詳細なログの表示には、サードパーティのデータベースレポートツールを使用することもできます。

画面には、図 5-4 に示すような出力が表示されます。

図 5-4 監視の結果

結果が 1 ページに収まらない場合は、図に示すように、画面の下部に「インデックス」タブが表示されます。SQL を使って検索を行う場合は、SQL テーブル「AUDITDATA」を参照してください。

原初ログ

---

Identrus のメンバーは、原初ログを記録およびアーカイブすることを要求されています。原初データのログの目的は次のとおりです。

• 否認防止サポート - トランザクションの証拠となるサポートを提供する、完全なトランザクションログ

• 監視 - iPlanet Trustbase Transaction Manager のアクティビティの監視を助ける完全なトランザクションログ

これらはさまざまな方法で構成できます。特にこの機能では、セキュリティポリシーの観点から、メッセージをどのように作成するかをメッセージロガーで定義できます。

図 5-5 メッセージログの設定

通常、これらのオプションを変更する必要はありません。次に各オプションについて説明します。

• 署名アルゴリズム - デフォルトでは、原初ログのエントリの署名には SHA-1/RSA アルゴリズムを使用。このオプションは、使用する暗号化セキュリティプロバイダによって異なる

• ダイジェストアルゴリズム - デフォルトでは、原初ログのエントリのダイジェストには SHA-1 アルゴリズムを使用。ダイジェストは、ログの内容の不正な編集を防ぐ原初ログメカニズムの一部として使用される

• 証明書の発行元 DN - 証明書属性のオプションが空欄の場合にだけ使用される。このオプションにより、原初ログの署名に使用する証明書の識別名を指定可能

• 証明書のシリアル番号 - 上記の「証明書の発行元 DN」オプションとともに使用し、原初ログの署名に使用する証明書のシリアル番号を指定する

• 証明書の属性 - 発行者元 DN とシリアル番号のフィールドが空欄の場合にだけ使用される。デフォルトでは、このフィールドには証明書の目的 ID を示す値「L1IPSC」(Inter-Participant Signing Certificate) が含まれる

• シーケンスファクトリタイプ - このオプションは変更しないこと。内部専用で、異なるデータベースプロバイダ (Oracle など) に対する、データの順番の決定に影響を与える

• シーケンスファクトリ名 - このオプションは変更しないこと。内部専用で、異なるデータベースプロバイダ (Oracle など) に対する、データの順番の決定に影響を与える

メッセージロガーは、受信した原初データをログに保管します。サポートする Identrus 固有のトランザクションに関するデータだけがログされます。この原初データには、テキストと base64 エンコーディングによる情報が含まれ、メッセージロガーにより前述の保証を行うために署名が行われます。現時点では、Java メッセージロガークラスの実装は 1 つしかありません。このため、このオプションは変更しないでください。

図 5-6 メッセージロガーの構成

---

注	原初ログは、RAW_DATA テーブルを使って Oracle から表示できます。この表示を行うには「select * from raw_data displaying MSGRPID」などのように入力します。

---

エラー

---

エラーについては、次の 4 つのセクションに分けて説明します。

• エラーの表示方法

• エラーの重要度の意味

• iPlanet Trustbase Transaction Manager のコアエラーメッセージリストの場所

• Identrus 固有のすべてのエラーメッセージの表

表示

エラーログを表示するには、日付の範囲 (開始日と完了日) とマシン ID (IP アドレス) を選択します。重要度の最小値と最大値を指定することによって、表示する内容を制限または拡張できます。また、Java クラスを指定することによって、そのクラスで発生したエラーだけを表示することもできます。選択を行うと、日付、マシン ID、クラスタイプ、およびエラーメッセージの内容が出力画面に表示されます。たとえば、次のように選択を行います。

図 5-7 エラーログクエリ

エラーログは、ERRORVIEW テーブルを使って Oracle から表示できます。この表示を行うには「select * from ERRORVIEW」などのように入力します。

前のページで示した画面に、次のようなエラーが出力されます。

図 5-8 エラーログクエリの結果

エラーイベントタイプの構成

このセクションでは、ログをとる最低のエラーレベルを指定できます。ここで指定したよりも低いレベルにタグされたエラーは、記録されません。

図 5-9 エラーログの構成

iPlanet Trustbase Transaction Manager では、重要度、エラーを定義するオブジェクトのクラス、およびプログラマが定義したメッセージによって、エラーが定義されます。デフォルトの実装では、さまざまな重要度を示す 4 つの定数が定義されています。

• 情報 - 情報に関連するイベント (エラーでない場合もある) のログに使用。あまり多用しないこと

• 警告 - 予期された、処理可能なエラーに使用。動作分析のためのログが必要

• エラー - システム内に本質的な問題があることを示す、重大なエラーに使用。ただし、このエラーでは処理の続行や再試行が可能

• 致命的 - 処理を回復できない、致命的なエラーに使用。これらのエラーが発生すると、処理が放棄される

エラーメッセージ

エラーメッセージは 2 つのカテゴリに分けられます。iPlanet Trustbase Transaction Manager のフレームワークで生成されるものと、Identrus サービスで生成されるものです。たとえば、Identrus のメッセージコードは、次のようなカテゴリに当てはまります。

• メッセージライタのエラー

• メッセージリーダのエラー

• 証明書ステータス確認のエラー

すべての TTM iPlanet Trustbase Transaction Manager コアエラーメッセージの意味については、Oracle データベースのテーブル「error_codes」を参照してください。このテーブルを表示するには、次のように入力します。

図 5-10 Oracle データベースのエラーコードを選択

su - cd /app/Trustbase/TTM/V2.2/Config/sql sqlplus tbase/tbase select * from error_codes;