Directory Proxy ServerおよびDirectory Serverのアクセス・ログを介したクライアント・リクエストの追跡

クライアント・リクエストのパスを追跡するには、Directory Proxy Serverのアクセス・ログおよびDirectory Serverのアクセス・ログにリクエストがどのようにログされるかについて理解する必要があります。この項を理解するには、最初にOracle Directory Server Enterprise EditionリファレンスのDirectory Proxy ServerおよびDirectory Serverのアクセス・ログを介したクライアント・リクエストの追跡に関する項をお読みください。

Directory ServerからDirectory Proxy Serverを介してクライアント・アプリケーションへの操作を追跡するには:

このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。

1. Directory Serverのアクセス・ログで追跡する操作の接続番号を探します。

   たとえば、アクセス・ログの次の行は、接続番号conn=12839の操作op=2を示します。

   [20/Jul/2006:18:01:49 -0500] conn=12839 op=2 msgId=4 - SRCH base="dc=example,dc=com" 
    scope=2 filter="(objectClass=organizationalunit)" attrs=ALL

2. その接続のDirectory Proxy Server接続情報を取得します。

   この情報を取得するには、Directory Serverのアクセス・ログを検索し、対応する接続番号を持つすべての操作を探します。たとえば、UNIXシステムでは、次のgrepコマンドを実行し、接続conn=12839に対応するDirectory Serverのアクセス・ログのすべての行を探します。

   $ grep conn=12839 access

   検索対象の行は、初期LDAP接続を示す行で、次のようなものです。

   [19/Jul/2006:16:32:51 -0500] conn=12839 op=-1 msgId=-1 - fd=27 slot=27 
    LDAP connection from 129.153.160.175:57153 to 129.153.160.175

   前の行は、129.153.160.175:57153からDirectory ServerへのLDAP接続があることを示しています。ポート番号(57153)は、接続をDirectory Proxy Serverのアクセス・ログに戻す際に必要な情報です。このポート番号を使用すると、Directory Proxy Serverのログの対応する接続を検出し、この接続からクライアント情報を探すことができます。

   最初に接続が確立されてからログ・ファイルがローテーションされている場合、現在のアクセス・ログ・ファイルと同様にアーカイブ・ログ・ファイルを検索する必要があります。

3. Directory Proxy Serverのアクセス・ログの対応する接続を探します。

   この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、対応するポート番号を持つすべての操作を探します。

   ログ・ファイルで同じポート番号を持つ複数のエントリが見つかる場合があります。正しいエントリを探すためには、Directory Serverのログ・エントリのタイムスタンプを検索に含めます。

   たとえば、UNIXシステムでは、次のgrepコマンドを実行し、Directory Serverのログのタイムスタンプおよびポート番号に対応する接続エントリを探します。

   $ grep 19/Jul/2006:16:32 access | grep 57153

   サーバー時刻のわずかな違いに配慮するため、秒の値がタイムスタンプから除外されていることに考慮してください。

   Directory Proxy Serverのログの対応する行は、次のようになります。

   [19/Jul/2006:16:32:51 -0500] - SERVER_OP  - INFO  - Created BIND  LDAP connection 
    s_conn=sunds-d1m1-9389:34 client=0.0.0.0:57153 
    server=idm160.central.sun.com:9389 main

   この行は、Directory Proxy Serverがs_conn=sunds-d1m1-9389:34へのBIND接続を作成したことを示しています。Directory Proxy Serverは、自身をTCPポート57153のクライアントclient=0.0.0.0として識別します。

   ログのこの行から抽出する重要な情報は、サーバーIDおよびポート番号(s_conn=sunds-d1m1-9389:34)です。

4. 前の手順で特定したサーバーIDおよびポート番号に対応するすべての操作を探します。

   この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、対応するサーバーIDおよびポート番号を持つすべての操作を探します。

   たとえば、UNIXシステムでは、次のgrepコマンドを実行し、前の手順で見つかったサーバーIDに対応する操作を探します。

   $ grep s_conn=sunds-d1m1-9389:34 access

   この場合、これらの操作は数日にまたがる可能性があるため、タイムスタンプでの検索は有効ではありません。ただし、検索によって返される操作が正しいものであることを判定する必要があります。複数のCreate接続文がある場合、元の検索文に対応するものを探してください。このためには、タイムスタンプを手順1で見つかったタイムスタンプと照合します。

   次のDirectory Serverのアクセス・ログの抜粋は、s_conn=sunds-d1m1-9389:34に対して返されたすべての操作を示しています。

   [19/Jul/2006:16:32:51 -0500] - SERVER_OP  - INFO - Created BIND LDAP connection
    s_conn=sunds-d1m1-9389:34 client=0.0.0.0:57153 server=idm160.central.sun.com:9389 main
   [20/Jul/2006:18:01:49 -0500] - SERVER_OP  - INFO  - conn=31 op=0 
   BIND dn="cn=directory manager" method="SIMPLE" s_msgid=3 s_conn=sunds-d1m1-9389:34
   [20/Jul/2006:18:01:49 -0500] - SERVER_OP  - INFO  - conn=31 op=0 
   BIND RESPONSE err=0 msg="" s_conn=sunds-d1m1-9389:34
   [20/Jul/2006:18:01:49 -0500] - SERVER_OP  - INFO  - conn=31 op=1 
   SEARCH base="dc=example,dc=com" scope=2 s_msgid=4 s_conn=sunds-d1m1-9389:34
   [20/Jul/2006:18:01:49 -0500] - SERVER_OP  - INFO  - conn=31 op=1 
   SEARCH RESPONSE err=0 msg="" nentries=1 s_conn=sunds-d1m1-9389:34

   この情報から、Directory Proxy Serverのこの検索操作の接続IDが31 (conn=31)であることがわかります。

5. 前の手順で見つかった接続IDに対応するクライアント接続IPアドレスを探します。

   この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、正しい接続IDおよびタイムスタンプを持つすべての操作を探します。使用するタイムスタンプは、手順1の元の検索文のものです。

   たとえば、UNIXシステムでは、次のgrepコマンドを実行し、クライアント接続IPアドレスを探します。

   $ grep "20/Jul/2006:18:01" access | grep conn=31

   たとえば、次のようになります。

   [20/Jul/2006:18:01:49 -0500] - CONNECT - INFO  - conn=31 client=129.150.64.156:2031
   server=0.0.0.0:11389 protocol=LDAP

   接続ログが明示的に有効にされた場合、同様の行が接続ログでも見つかります。

6. 前の手順で見つかったIPアドレスの所有者を決定します。

   この情報を使用して、Directory Serverで実行された操作を行った人を正確に判別できます。