第 7 章   Identrus ログ


Identrus トランザクションコーディネータの仕様では、次の 2 つのログアクションが指定されています。

• トランザクションコーディネータによって送受信されたすべてのメッセージのログ (原初ログ)

• 請求用のデータの生成

概要

---

iPlanet Trustbase Transaction Manager は、デフォルトの Identrus メッセージ処理アクションによってこれら 2 つの条件を満たしています。データはインストール時に指定した RDBMS に格納され、開発者は標準の JDBC を介してテーブルにアクセスし、この情報を使うサービスを提供できます。この章では、RDBMS に格納されるテーブルを定義し、各テーブル間の関係を説明します。iPlanet Trustbase Transaction Manager では、次に説明するテーブルすべてを、すべての Identrus メッセージに使います。開発者がこれらのテーブルを作成する必要はありません。

データの定義

---

接続情報

SSL プロクシと SMTP メールリスナーは、どちらも行った接続に関するログをとります。表 7-1 に、SSL プロクシのログの各列についてまとめます。

表 7-1    SSL 接続

ssl_connection テーブル
ConnectionId	固有の接続識別子
ClientCertIssuerDN	接続元クライアントの証明書発行元 DN
ClientCertSerialNumber	接続元クライアントの証明書のシリアル番号
CipherSuite	SSL セッションに使用される符号化
ConnectTime	接続を確立した時刻。ORACLE の DateTime フィールド
TimeStampType	タイムスタンプのタイプ
ConnectIPAddr	接続元クライアントの IP アドレス
ConnectionFailed	接続の成否を示す整数値。値が「1」の場合は失敗
ConnectionFailedReason	失敗した場合の、SSL エラーコード

次の表では、SMTP/SMIME 接続ログの各列について説明します。表 7-2 のデータは、SMIME v2 におけるメッセージの署名の本文部分から抽出されるものです。

表 7-2    SMIME トランスポート

smime_transport テーブル
ConnectionId	「smtp_message テーブル」へ戻るリンクを提供
peer_issuer_dn	メッセージの確認に使用した証明書の発行元 DN
peer_cert_serial_number	メッセージの確認に使用した証明書のシリアル番号
message_protection	メッセージに使用した保護のタイプ
time_stamp_type	タイムスタンプのタイプ。LOCAL または NETWORK
time_stamp	エントリが作成された日時

表 7-3    SMTP 接続

smtp_connection テーブル
stream_id	「smtp_message テーブル」へ戻るリンクを提供
peer_ip_addr	送信元 SMTP エージェントの IP アドレス
timestamptype	タイムスタンプのタイプ。LOCAL または NETWORK
timestamp	エントリが作成された日時

表 7-4    SMTP メッセージ

smtp_message テーブル
stream_id	smime_transport の固有の ID
connection_id	SMTP 接続の固有 ID
recipients	このメッセージの受取人
sender	このメッセージの差出人
timestamptype	タイムスタンプのタイプ。LOCAL または NETWORK
message_valid	メッセージが有効かどうか。「1」の場合は有効
message_invalid_reason	メッセージが無効な理由
timestamp	エントリが作成された日時

ssl_connection テーブル と smtp_message テーブルには、connection_id フィールドがあり、このフィールドはアプリケーションサーバで実行中の iPlanet Trustbase Transaction Manager に渡されます。この connection_id は原初ログテーブルに格納されるため、接続元の情報を実際のリクエストと関連付けてクエリすることができます。

表 7-5    OCSP

ocsp_data テーブル
ocspid	レコードの固有の識別子
type	OCSPREQUEST または OCSPRESPONSE
message	リクエストまたは応答の内容のテキストによる要約
machine	リクエストの送信先または応答の送信元の URL
timestamp	エントリが作成された日時
data	リクエストまたは応答の Base64 エンコード

原初ログテーブル

Identrus メッセージのデフォルトのプレゼンテーションハンドラは、送受信した各メッセージについて次のデータを記録します。

表 7-6    原初ログ

raw_data テーブル
Sessionid	このレコードを作成した原初ログセッションの ID
Logconnectionid	セッション内の接続 ID
Recordid	セッション内のレコードの ID
msggrpid	メッセージの NIB からの Identrus MsgGrpId
msgid	メッセージの NIB からの Identrus MsgId
doctype	メッセージの DOCTYPE。CSCRequest や PingRequest など
recordmarker	順番に増加する固有の識別子
connectionid	このレコードを SSL または SMIME の接続ログにリンクする接続 ID
protocoltype	メッセージの受信に使用されたプロトコル。HTTP または SMTP
input	メッセージが iPlanet Trustbase Transaction Manager で送信されたか、受信されたか。「1」は受信
timestamp	レコードがログされた時点での UNIX の時刻を示す整数
rawdata	Identrus メッセージ XML (CertBundle フィールドなし)。バンドルからの証明書は、「cert_data テーブル」に別に記録される
digestofrecord	このレコードの SHA-1 ダイジェスト
signeddigestofcalculation	このレコードの RSA 署名と、前のレコードからのデータ
servercertissuerdn	署名の確認に使用した証明書の発行元 DN
servercertserialnumber	署名の確認に使用した証明書のシリアル番号

各 Identrus メッセージに関するログデータの量を抑えるために、メッセージヘッダに含まれる証明書は省略され、証明書テーブルに格納されます。iPlanet Trustbase Transaction Manager で、すでに特定の証明書がテーブルにログされている場合、同じ証明書が再びログされることはありません。テーブルに格納される情報は次のとおりです。

表 7-7    証明書データ

cert_data テーブル
IssuerDN	証明書の発行元の識別名。RFC 2253 形式の文字列
SerialNumber	証明書のシリアル番号
CertData	Base64 の証明書データ

このデータは、不正な編集を検知できるように設計されており、サービスによって原初ログテーブルやタンパテーブルのデータが編集されることは決してありません。不正な編集を検知するために、連続のハッシュが生成され、各レコードとともに格納されます。また、現在のハッシュは、別のタンパテーブルの署名済みレコード内に格納されます。タンパテーブルのフィールドについては、ここでは説明しません。原初ログ内のレコードで不正編集が行われていないかどうかを確認する方法については、『構成およびインストールガイド』を参照してください。

請求レコード

請求レコードは、原初メッセージログ内の情報のサブセットであり、各トランザクションを誰が行ったかを見極めるのに十分な情報が記録されています。これらのテーブルは、カスタマ用の実際の請求書を生成する、サードパーティのツールで使用するように設計されています。請求テーブルの各列について、次の表にまとめます。

表 7-8    請求データ

bill_data テーブル
RawRecordId	関連する原初ログテーブルレコードの RawRecordId
SubjectDN	必須の Identrus レベル 1 メッセージ署名から抽出された、送信元の識別名。これにより、請求先が決定される
IssuerDN	必須の Identrus レベル 1 メッセージ署名から抽出された、発行元の識別名。このメッセージの署名に使用された実際のキーを識別するために、次のシリアル番号のフィールドとともに使用される
SerialNumber	メッセージの署名に使用された実際のキーの識別に使用できる、送信元の証明書のシリアル番号。発行元の識別名とともに使用される