2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
Directory Proxy Serverのログを構成するには:
Directory Proxy Serverのアクセス・ログのetimesの単位を構成するには:
Directory Proxy Serverのログ・ローテーションの構成
syslogdデーモンに対するアラートをログするようにDirectory Proxy Serverを構成するには:
syslogアラートを受け入れるためのオペレーティング・システムの構成
syslogアラートを受け入れるためのSolaris OSを構成するには:
syslogアラートを受け入れるためのLinuxを構成するには:
syslogアラートを受け入れるためのHP-UXを構成するには:
Directory Proxy ServerおよびDirectory Serverのアクセス・ログを介したクライアント・リクエストの追跡
Directory ServerからDirectory Proxy Serverを介してクライアント・アプリケーションへの操作を追跡するには:
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
クライアント・リクエストのパスを追跡するには、Directory Proxy Serverのアクセス・ログおよびDirectory Serverのアクセス・ログにリクエストがどのようにログされるかについて理解する必要があります。この項を理解するには、最初にOracle Directory Server Enterprise EditionリファレンスのDirectory Proxy ServerおよびDirectory Serverのアクセス・ログを介したクライアント・リクエストの追跡に関する項をお読みください。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
たとえば、アクセス・ログの次の行は、接続番号conn=12839の操作op=2を示します。
[20/Jul/2006:18:01:49 -0500] conn=12839 op=2 msgId=4 - SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=organizationalunit)" attrs=ALL
この情報を取得するには、Directory Serverのアクセス・ログを検索し、対応する接続番号を持つすべての操作を探します。たとえば、UNIXシステムでは、次のgrepコマンドを実行し、接続conn=12839に対応するDirectory Serverのアクセス・ログのすべての行を探します。
$ grep conn=12839 access
検索対象の行は、初期LDAP接続を示す行で、次のようなものです。
[19/Jul/2006:16:32:51 -0500] conn=12839 op=-1 msgId=-1 - fd=27 slot=27 LDAP connection from 129.153.160.175:57153 to 129.153.160.175
前の行は、129.153.160.175:57153からDirectory ServerへのLDAP接続があることを示しています。ポート番号(57153)は、接続をDirectory Proxy Serverのアクセス・ログに戻す際に必要な情報です。このポート番号を使用すると、Directory Proxy Serverのログの対応する接続を検出し、この接続からクライアント情報を探すことができます。
最初に接続が確立されてからログ・ファイルがローテーションされている場合、現在のアクセス・ログ・ファイルと同様にアーカイブ・ログ・ファイルを検索する必要があります。
この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、対応するポート番号を持つすべての操作を探します。
ログ・ファイルで同じポート番号を持つ複数のエントリが見つかる場合があります。正しいエントリを探すためには、Directory Serverのログ・エントリのタイムスタンプを検索に含めます。
たとえば、UNIXシステムでは、次のgrepコマンドを実行し、Directory Serverのログのタイムスタンプおよびポート番号に対応する接続エントリを探します。
$ grep 19/Jul/2006:16:32 access | grep 57153
サーバー時刻のわずかな違いに配慮するため、秒の値がタイムスタンプから除外されていることに考慮してください。
Directory Proxy Serverのログの対応する行は、次のようになります。
[19/Jul/2006:16:32:51 -0500] - SERVER_OP - INFO - Created BIND LDAP connection s_conn=sunds-d1m1-9389:34 client=0.0.0.0:57153 server=idm160.central.sun.com:9389 main
この行は、Directory Proxy Serverがs_conn=sunds-d1m1-9389:34へのBIND接続を作成したことを示しています。Directory Proxy Serverは、自身をTCPポート57153のクライアントclient=0.0.0.0として識別します。
ログのこの行から抽出する重要な情報は、サーバーIDおよびポート番号(s_conn=sunds-d1m1-9389:34)です。
この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、対応するサーバーIDおよびポート番号を持つすべての操作を探します。
たとえば、UNIXシステムでは、次のgrepコマンドを実行し、前の手順で見つかったサーバーIDに対応する操作を探します。
$ grep s_conn=sunds-d1m1-9389:34 access
この場合、これらの操作は数日にまたがる可能性があるため、タイムスタンプでの検索は有効ではありません。ただし、検索によって返される操作が正しいものであることを判定する必要があります。複数のCreate接続文がある場合、元の検索文に対応するものを探してください。このためには、タイムスタンプを手順1で見つかったタイムスタンプと照合します。
次のDirectory Serverのアクセス・ログの抜粋は、s_conn=sunds-d1m1-9389:34に対して返されたすべての操作を示しています。
[19/Jul/2006:16:32:51 -0500] - SERVER_OP - INFO - Created BIND LDAP connection s_conn=sunds-d1m1-9389:34 client=0.0.0.0:57153 server=idm160.central.sun.com:9389 main [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=0 BIND dn="cn=directory manager" method="SIMPLE" s_msgid=3 s_conn=sunds-d1m1-9389:34 [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=0 BIND RESPONSE err=0 msg="" s_conn=sunds-d1m1-9389:34 [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=1 SEARCH base="dc=example,dc=com" scope=2 s_msgid=4 s_conn=sunds-d1m1-9389:34 [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=1 SEARCH RESPONSE err=0 msg="" nentries=1 s_conn=sunds-d1m1-9389:34
この情報から、Directory Proxy Serverのこの検索操作の接続IDが31 (conn=31)であることがわかります。
この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、正しい接続IDおよびタイムスタンプを持つすべての操作を探します。使用するタイムスタンプは、手順1の元の検索文のものです。
たとえば、UNIXシステムでは、次のgrepコマンドを実行し、クライアント接続IPアドレスを探します。
$ grep "20/Jul/2006:18:01" access | grep conn=31
たとえば、次のようになります。
[20/Jul/2006:18:01:49 -0500] - CONNECT - INFO - conn=31 client=129.150.64.156:2031 server=0.0.0.0:11389 protocol=LDAP
接続ログが明示的に有効にされた場合、同様の行が接続ログでも見つかります。
この情報を使用して、Directory Serverで実行された操作を行った人を正確に判別できます。