Oracle Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-02 |
|
前 |
次 |
この章では、Oracle Internet Directory管理機能フレームワークについて説明します。このフレームワークを使用して、Oracle Internet Directoryを監視できます。他のOracle Fusion Middlewareコンポーネントの監視の詳細は、『Oracle Fusion Middleware管理者ガイド』の「Oracle Fusion Middlewareの監視」の章を参照してください。
この概要の項目は次のとおりです。
Oracle Internet Directoryサーバー管理機能フレームワークにより、次のディレクトリ・サーバー統計を監視できます。
LDAPリクエスト・キュー、CPU使用率、メモリー、LDAPセッションおよびデータベース・セッションに関するサーバー状況統計。たとえば、ある期間のアクティブなデータベース・セッションの数を表示できます。ある期間にOracle Internet Directoryサーバー・インスタンスに対してオープンされた接続の合計数も表示できます。
パフォーマンス統計。ある期間にわたり、バインド、比較、メッセージング検索およびすべての検索の操作に平均待機時間(ミリ秒)が指定されます。
特定のサーバー操作(追加、変更、削除などの操作)に関する一般統計。たとえば、ある期間のディレクトリ・サーバー操作の数を表示できます。失敗したバインド操作件数も表示できます。
ディレクトリおよび各操作を実行するユーザーに対する、成功および失敗した操作を含むユーザー統計。すべてのLDAP操作は、構成されたユーザーについて追跡されます。また、統計収集期間の最後の時点でユーザーが保持している接続が追跡されます。
システム・リソースとセキュリティに関するクリティカル・イベント(ユーザーがパスワードを間違えた場合や、操作の実行に十分なアクセス権限を持っていない場合など)。その他のクリティカル・イベントには、予想されるエラー(1、100または1403など)以外のORAエラーとLDAPサーバーの異常終了が含まれます。
ユーザーの成功および失敗したバインド操作およびユーザーパスワード比較操作を追跡するセキュリティ・イベント。
バインドおよびユーザーのパスワード比較は、最もセキュリティを意識する必要がある操作であるため、これら2つの操作の追跡には排他的カテゴリ・セキュリティ・イベントが使用されます。このイベントは、LDAPユーザーおよびアプリケーションが実行したこれらの操作の数を追跡します。記録される基本情報は、ユーザーの識別名とソースのIPアドレスです。失敗したパスワードの比較の場合、追加の情報、特に所定のIPアドレスでの特定のユーザーと別のユーザーを比較したパスワード失敗数が追跡されます。
ディレクトリ・サーバーとディレクトリ・レプリケーション・サーバーのステータス情報(ディレクトリ・レプリケーション・サーバーが呼び出された日時など)
ディレクトリ・サーバー管理機能の各種コンポーネント間の関係については、図24-1とその後に続く表24-1の説明で示します。
表24-1 Oracle Internet Directoryサーバー管理機能のコンポーネント
コンポーネント | 説明 |
---|---|
Oracle Internet Directory |
クライアントからのディレクトリ・リクエストに応答します。これには、コントローラ、ワーカー、ディスパッチャおよびリスナーの4種類の機能スレッドがあります。クライアントからのLDAPリクエストを受信して処理し、クライアントにLDAPレスポンスを返信します。 Oracle Internet Directoryサーバー管理機能フレームワークを使用して実行時監視機能を設定すると、サーバーの4種類の機能スレッドが、指定された情報を記録し、それをローカル・メモリーに格納します。 関連項目: ディレクトリ・サーバーの詳細は、「Oracleディレクトリ・サーバー・インスタンス」を参照してください。 |
メモリー常駐ストレージ |
これは、ローカル・プロセス・メモリーです。Oracle Internet Directoryサーバー管理機能フレームワークは、統計、トレースおよびセキュリティ・イベントにそれぞれ1つを割り当てます。それぞれのストレージは、ローカル・メモリー・ストレージで管理される独自のデータ構造を持ちます。 |
優先度の低い書込みスレッド |
これらの書込み専用スレッドは、サーバー統計、セキュリティ・イベント・ロギングおよびトレース情報をリポジトリに書き込むサーバー機能スレッドとは異なります。システム・オーバーヘッドを少なくするため、その優先度は低く保たれます。 |
外部監視アプリケーション |
このモジュールは独自のもので、サーバー管理機能フレームワークの外部にあります。これは、集められた統計をディレクトリ・サーバーの標準LDAPインタフェースを通じて収集し、それを専用のリポジトリに格納します。 |
サーバー管理情報のための外部リポジトリ |
これは、収集されたディレクトリ・サーバー統計を格納するために監視エージェントが使用するリポジトリです。監視エージェントがこのリポジトリの実装方法を決定します。 |
統計とイベントのリポジトリから、監視されたデータを抽出し、それをWebベースのGraphical User Interface(GUI)で表示します。ユーザーは通常のブラウザでデータを表示できます。リポジトリは、収集されたデータを一般問合せとカスタム問合せのために格納できます。 |
|
ロギング・リポジトリ(ファイル・システム) |
このリポジトリは、ファイル・システムを使用して、ディレクトリ・サーバーの各種モジュールでトレースされた情報を格納します。この目的のためにファイル・システムを使用することにより、Oracle Internet Directoryサーバー管理機能フレームワークはオペレーティング・システムの機能とセキュリティを使用できます。 |
ディレクトリ・データ・リポジトリ |
このリポジトリには、ユーザーが入力したすべてのデータ(ユーザー・エントリやグループ・エントリなど)が格納されます。 |
統計とイベントのリポジトリ |
このリポジトリは、ファイル・システムにではなく、ディレクトリ・データ・リポジトリと同じデータベースに情報を格納する点を除き、トレース・リポジトリと同じです。この方法で、Oracle Internet Directoryサーバー管理機能フレームワークは次の機能を使用できます。
ディレクトリ管理機能フレームワークは、この2つを別々に格納することにより、収集された情報をディレクトリ・データから分離します。 |
不要な統計エントリは、第35章「ガベージ・コレクションの管理」で説明されているOracle Internet Directoryパージ・ツールによりOracle Internet Directoryから削除されます。
Oracle Internet Directoryデータベース・アカウントODSSM
が、データベースからサーバー管理機能情報にアクセスするために使用されます。インストール時、このアカウントのパスワードはユーザーがプロンプトで指定した値に設定されます。このアカウントのパスワードなどの資格証明は、Oracle Enterprise Manager Fusion Middleware Controlファイルtargets.xml
のOracle Internet Directoryスニペットに格納されます。
このアカウントのパスワードは、「ODSSM管理者アカウントのパスワードの変更」で説明されている手順を使用しなければ変更できません。oidpasswd
ツールでは、このパスワードの変更はサポートされていません。
この項の項目は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlを使用して統計収集を構成する手順は、次のとおりです。
「Oracle Internet Directory」メニューから「管理」を選択し、「サーバー・プロパティ」を選択してから、「統計」を選択します。
統計収集を有効にするには、そのページの「一般」セクションで「統計フラグ」を選択します。
「統計頻度」フィールドに分単位の時間を入力して、統計収集の頻度を指定します。
「セキュリティ・イベント追跡のバインド」リストと「セキュリティ・イベント追跡の比較」リストから値を選択します。
ユーザーに関する統計を収集するには、そのページの「ユーザー統計」セクションで「ユーザー統計収集」を選択します。
そのページの「イベント・レベル」セクションで、追跡するイベントを選択します。
表24-2 「サーバー・プロパティ」ページ、「統計」タブの構成属性
フィールドまたはヘッダー | 構成属性 |
---|---|
統計フラグ |
|
統計頻度(分) |
|
セキュリティ・イベント追跡のバインドおよびセキュリティ・イベント追跡の比較 |
|
ユーザー統計 |
|
イベント・レベル |
|
注意:
|
注意: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章に記載のように、一定期間の経過後アイドルLDAP接続を閉じるようorclldapconntimeout を構成した場合、統計収集用に構成されているユーザーに対する接続は、この設定どおりにタイムアウトしないことに注意してください。 |
サーバー管理機能で特定のユーザーの統計を収集するためにユーザーを構成する手順は、次のとおりです。
「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
「一般」タブを選択します。
ユーザーの識別名を「ユーザーDN」に追加します(これにより、ユーザーの識別名が属性orclstatsdn
に追加されます)。次に例を示します。
cn=Mary Lee, ou=Product Testing, c=uscn=Michael Smith, ou=Product Testing, c=uscn=Raj Sharma, ou=Human Resources, c=us
この項で説明するように、Oracle Enterprise Manager Fusion Middleware Controlを使用して、多数のOracle Internet Directoryサーバー管理機能を表示できます。
Oracle Internet Directoryホームページには、次の情報が表示されます。
パフォーマンス
平均操作レスポンス時間(ミリ秒)
メッセージング検索レスポンス時間(ミリ秒)
バインド・レスポンス時間(ミリ秒)
ロード
LDAP接続の合計
操作完了
操作進行中
セキュリティ
失敗したバインド操作
スーパー・ユーザーの失敗したログイン数
スーパーユーザーの正常なログイン数
リソース使用率
CPU使用率 %
メモリー使用率 %
平均レスポンスおよび負荷
LDAPserverResponse
numCompletedOps
表形式で値を表示する場合は、「表ビュー」をクリックします。
ページの「セキュリティ」セクションにある「失敗したバインド操作」、「スーパー・ユーザーの失敗したログイン数」および「スーパー・ユーザーの正常なログイン」の値は、これらのメトリックの収集を有効にしていない場合は0です。詳細は、「Fusion Middleware Controlを使用した統計収集の設定」を参照してください。
「Oracle Internet Directory」メニューから「監視中」→「パフォーマンス・サマリー」を選択します。デフォルトでは、次のメトリックが表示されます。
サーバー・レスポンス
合計操作数
メッセージング検索操作レスポンス時間
バインド操作レスポンス時間
比較操作レスポンス時間
パージ・キュー内のセキュリティ・イベント・オブジェクトの総数
パージ・キュー内のセキュリティ・リフレッシュ・イベント・オブジェクトの総数
パージ・キュー内のシステム・リソース・イベント・オブジェクトの総数
他のメトリックを表示するには、ウィンドウの右隅にある矢印をクリックして、メトリック・パレットを展開します。メトリック・パレットを閉じるには、ウィンドウの左隅にある矢印をクリックします。
デフォルトの時間間隔は15分です。時間間隔を変更するには、「スライダ」をクリックし、そのスライダを使用して時間間隔を設定します。または、「日付と時間」アイコンをクリックし、「日付と時間を入力」ダイアログで開始日時と終了日時を入力して、「OK」をクリックします。
ページをリフレッシュするには、「リフレッシュ」アイコンをクリックします。
「表示」リストを使用すると、チャートを表示したり、保存できます。
「オーバーレイ」リストを使用すると、異なるOracle Internet Directoryターゲットのメトリックをオーバーレイできます。
注意:
|
Oracle Internet DirectoryのOracle Directory Services Managerホームページには、次の情報が表示されます。
この項の項目は次のとおりです。
ldapmodify
およびldapsearch
を使用して、統計収集関連の構成属性を設定および表示できます。第9章「システム構成属性の管理」で説明されているように、これらの属性はインスタンス固有の構成エントリにあります。
健全性統計、一般統計およびパフォーマンス統計の収集を有効にするには、orclStatsFlag
属性とorclStatsPeriodicity
属性を設定します。
たとえば、コンポーネントoid1
に対してOracle Internet Directoryサーバー管理機能フレームワークを使用可能にするには、次のようなLDIFファイルを作成します。
dn:cn=oid1,cn=osdldapd,cn=subconfigsubentry changetype: modify replace: orclstatsflag orclstatsflag:1
このファイルをアップロードするには、次のコマンドを入力します。
ldapmodify -h host -p port_number -D bind_DN -q -f file_name
ここで、サーバー管理機能構成を実行する権限を持つバインド識別名は、cn=emd admin,cn=oracle internet directory
です。
セキュリティ・イベント追跡を構成するには、属性orcloptracklevel
を設定します。第9章「システム構成属性の管理」で説明されているように、この属性はインスタンス固有の構成エントリにあります。表24-3は、様々なレベルのバインドおよび比較情報収集を構成するorcloptracklevel
の値を示しています。
表24-3 orcloptracklevelの値
orcloptracklevelの値 | 構成 |
---|---|
|
バインド識別名のみ |
|
バインド識別名とIPアドレス |
|
比較識別名のみ |
|
比較識別名とIPアドレス |
|
比較識別名、IPアドレスおよび失敗の詳細 |
各orcloptracklevel
値により記録されるメトリックは、次の表に示すとおりです。
表24-4 各orcloptracklevel値により記録されるメトリック
構成 | 記録されるメトリック |
---|---|
識別名のみ |
日時スタンプ 操作を実行する識別名のEID 成功回数 失敗回数 |
識別名とIPアドレス |
識別名の下にのみ示されたすべてのメトリック ソースIPアドレス |
識別名、IPアドレスおよび失敗の詳細 |
識別名とIPアドレスの下に示されたすべてのメトリック 個別の成功回数 個別の失敗回数 IPアドレスからパスワードの比較を実行する各識別名の失敗の詳細
|
属性orcloptrackmaxtotalsize
およびorcloptracknumelemcontainers
により、統計とイベントの追跡に使用されるメモリーをチューニングできます。『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章を参照してください。
ユーザー統計を有効にするには、orclstatslevel
属性を1に設定します。ユーザー統計収集を開始するには、orclStatsPeriodicity属性も設定する必要があります。
注意: Oracle Enterprise Manager Fusion Middleware Controlの統計を収集している場合は、orclStatsPeriodicityをEnterprise Managerエージェントの収集周期と同じ値(デフォルトでは10分)に設定します。 |
統計収集のためのユーザーを構成する方法は、「コマンドラインを使用した統計収集のためのユーザーの構成」を参照してください。
イベント・レベルの追跡を実行するには、orclstatsflag
属性を1
に設定する必要があります。
イベント・レベルを構成するには、ldapmodifyを使用して、orcleventlevel
属性を表24-5に示すイベント・レベルのいずれか1つ以上に設定します。第9章「システム構成属性の管理」で説明されているように、属性orcleventlevel
はインスタンス固有の構成エントリにあります。
表24-5 イベント・レベル
レベル値 | クリティカル・イベント | 提供される情報 |
---|---|---|
|
スーパーユーザー・ログイン |
スーパーユーザーのバインド(成功または失敗) |
|
プロキシ・ユーザー・ログイン |
プロキシ・ユーザーのバインド(失敗) |
|
レプリケーション・ログイン |
レプリケーションのバインド(失敗) |
8 |
追加アクセス |
追加アクセス違反 |
|
削除アクセス |
削除アクセス違反 |
|
書込みアクセス |
書込みアクセス違反 |
|
ORA 3113エラー |
データベースからの切断 |
|
ORA 3114エラー |
データベースからの切断 |
|
ORA 28エラー |
ORA-28エラー |
|
ORAエラー |
予想される1、100または1403以外のORAエラー |
|
Oracle Internet Directoryサーバーの終了回数 |
|
|
すべてのクリティカル・イベント |
注意: 『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の章に記載のように、一定期間の経過後アイドルLDAP接続を閉じるようorclldapconntimeout を構成した場合、統計収集用に構成されているユーザーに対する接続は、この設定どおりにタイムアウトしないことに注意してください。 |
コマンドラインを使用してユーザーを構成するには、ldapmodify
コマンドライン・ツールを使用して、ユーザーの識別名をDSA構成セット・エントリの複数値属性orclstatsdn
(DN: cn=dsaconfig,cn=configsets,cn=oracle internet directory)に追加します。たとえば、このLDIFファイルではMary Leeがorclstatsdn
に追加されます。
dn: cn=dsaconfig,cn=configsets,cn=oracle internet directory
changetype:modify
add: orclstatsdn
orclstatsdn: cn=Mary Lee, ou=Product Testing, c=us
次の形式のコマンドラインを使用します。
ldapmodify -h host -p port -f ldifFile -D cn=orcladmin -q
すべての統計のレポートは、oiddiag
ツールを次のように使用すれば表示できます。
セキュリティ・イベント
oiddiag audit_report=true [outfile=file_name]
すべての統計およびイベント
oiddiag collect_all=true, [outfile=file_name]
統計およびイベントのサブセット
oiddiag collect_sub=true [infile=input_file_name, outfile=file_name ]
input_file_name
は、次の出力を取得して作成します。
oiddiag listdiags=true
注意: Windowsでは、oiddiag コマンドのファイル名はoiddiag.bat. です。 |
関連項目:
|