Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
![]() 前 |
![]() 次 |
ロギングを有効化すると、問題のトラブルシューティングやルールのテストに役立ちます。この付録では、OAAMでルール・ロギングを構成する方法について説明します。
Oracle Adaptive Access Managerでは、様々なチェックポイント(「認証前」、「認証後」など)で各種ポリシーおよびルールを実行するときに、ルール・ログを有効にすると、問題のトラブルシューティングやルールのテストに役立ちます。
注意: 11gでは、ルール・ログ・フィンガープリントはデフォルトで有効化されています。
次の構成を使用してルール・ロギングを制御します。
vcrypt.tracker.rules.trace.policySet=[true|false] vcrypt.tracker.rules.trace.policySet.<runtime string value>=[true|false]
次のシナリオでは、ルール・ロギングの仕組みを例示します。
シナリオ
profile.type.enum.postauth.name=「認証後」の場合、ランタイム文字列値は「postauth」です。
次の各項では、「認証後」チェックポイントを使用してルール・ロギングを例示します。
フローは次のとおりです。
ルール・エンジンにより、vcrypt.tracker.rules.trace.policySet.postauth
の構成がチェックされます。
vcrypt.tracker.rules.trace.policySet.postauth
の構成が存在しない場合は、vcrypt.tracker.rules.trace.policySet
の構成値がチェックされます。
vcrypt.tracker.rules.trace.policySet
のデフォルト値はtrue
に設定されています。
ルール・ロギングを指定する値の組合せの詳細は、K.2.1.2項「使用例」を参照してください。
次の表に、特定のチェックポイントで値の組合せによってロギングを制御する方法を例示します。
この例では、「認証後」チェックポイントを使用しています。
vcrypt.tracker.rules.trace.policySet.postauthの値 | vcrypt.tracker.rules.trace.policySetの値 | ルール・ロギングはpostauthチェックポイントに対して有効化されるか |
---|---|---|
true |
false |
はい |
true |
true |
はい |
true |
未設定 |
はい |
false |
false |
いいえ |
false |
true |
いいえ |
false |
未設定 |
いいえ |
未設定 |
false |
いいえ |
未設定 |
true |
はい |
未設定 |
未設定 |
はい |
ルールのロギングは、次のプロパティで制御します。
vcrypt.tracker.rules.trace.notTriggered=[true|false] vcrypt.tracker.rules.trace.notTriggered.logMillis=[millis]
vcrypt.tracker.rules.trace.notTriggered
の値を通じて、ログにルールを追加できます。「true」に設定すると、トリガーされないルールも、トリガーされるルールと一緒にロギングされます。
vcrypt.tracker.rules.trace.notTriggered.logMillis
の値を通じて、ロギング対象とするルールを絞り込むことができます。
トリガーされないルールがルール・エンジンによってロギングされるのは、トリガーされないルールの実行がvcrypt.tracker.rules.trace.notTriggered.logMillis
の値を上回った場合のみです。
詳細ルール・ロギングでは、各ルール・レベルで要する時間が記録されます。詳細ルール・ログは、実行時間がしきい値を超えた場合にのみ作成されます。実行時間の長いルール(ランタイム)に関する詳細がロギングされるため、詳細ロギングのオーバーヘッドはかなり大きくなります。
所要時間の値は、パフォーマンス統計およびルールやポリシーの実行に要した時間の長さを表します。
注意: 本番マシンでは、ロギングの容量が増えるとパフォーマンスに悪い影響を与えるため、ロギングの有効時間を管理する必要があります。 |
セッション詳細ページに表示される情報は、ルールの実行時に書き込まれるルール・ログに基づきます。
詳細ルール・ログは、次の2つのプロパティによって制御します。
#Int property determining minimum time required for detailed logging vcrypt.tracker.rulelog.detailed.minMillis=2000 #Boolean property which enables the fingerprint logging. Defaults to true vcrypt.tracker.rulelog.fingerprint.enabled=true
常にすべてのセッションの詳細ログが必要な場合は、前述の時間プロパティとその機能を調整します。
詳細ルール・ロギングを有効化するには、次の手順を実行します。
ナビゲーション・ツリーで、「環境」の下にある「プロパティ」をダブルクリックします。
「名前」フィールドに「vcrypt.tracker.rules.trace.policySet」と入力し、「検索」をクリックします。
「結果」表で、「vcrypt.tracker.rules.trace.policySet」を選択します。
「詳細vcrypt.tracker.rules.trace.policySet」セクションで、「値」フィールドに「true」と入力します。
「保存」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ルールをロギングするチェックポイントを指定します。
ロギングするチェックポイントを指定するには、次の手順を実行します。
ナビゲーション・ツリーで、「環境」の下にある「プロパティ」をダブルクリックします。
「新規プロパティ」ボタンまたは新規プロパティの作成アイコンをクリックします。
「名前」フィールドに「vcrypt.tracker.rules.trace.policySet.<checkpoint string value>」と入力します。
「値」フィールドに「true」と入力し、「作成」をクリックします。
詳細ルール・ロギングを使用する場合は、時間しきい値xを構成して、ルールの所要時間がしきい値を上回った場合にのみロギングが実行されるようにできます。
ルール・ロギングを開始するまでの猶予となる時間しきい値を変更するには、次の手順を実行します。
ナビゲーション・ツリーで、「環境」の下にある「プロパティ」をダブルクリックします。
「名前」フィールドに「vcrypt.tracker.rulelog.detailed.minMillis」と入力し、「検索」をクリックします。
「結果」表で、「vcrypt.tracker.rulelog.detailed.minMillis」を選択します。
「詳細vcrypt.tracker.rulelog.detailed.minMillis」セクションで、「値」フィールドの値を編集します。
「保存」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ポリシーの所要時間が指定の時間x (ミリ秒)を上回ると、Oracle Adaptive Access Managerにより詳細ルール・ロギングが開始されます。
フィンガープリント・ルール・ロギングでの記録は、ポリシー・レベルで要する時間中にのみ行われます。フィンガープリント・ベースのログは、ルール・ログを短くしたものです。アラート・ソースやルールごとの時間などは含まれません。フィンガープリント・ベースのロギングは、データの増大を極力避け、ロギング・オーバーヘッドも最小限に抑える目的で行います。
フィンガープリント・ルール・ロギングを有効化または無効化するには、次のプロパティを変更します。
vcrypt.tracker.rulelog.fingerprint.enabled=true
次のプロパティを設定できます。
フィンガープリント・ロギングまたは詳細ロギングの一方の実行
フィンガープリント・ロギングおよび詳細ロギングの両方の実行
フィンガープリント・ロギングのしきい値
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを指定する
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを決定するには、次のプロパティを設定します。
vcrypt.tracker.rulelog.exectime.maxlimit
この値を超えた場合、詳細ロギングが実行されます。
その他の制限を考慮するように指定する
両方の使用を決定するにあたり、指定したすべてのプロパティを考慮するには、次のように設定します。
vcrypt.tracker.rulelog.exectime.maxlimit=-1
両方を使用しないように指定する
両方のロギング・メカニズム(詳細およびフィンガープリント)を使用してロギングを実行するように指定するには、次のプロパティを使用します。
vcrypt.tracker.rulelog.logBoth
これをtrueに設定します。この値は、vcrypt.tracker.rulelog.exectime.maxlimit
をオーバーライドします。
フィンガープリント・ロギングの時間しきい値を構成する
フィンガープリント・ルール・ロギングを開始するまでの猶予となる時間しきい値を変更するには、次のプロパティをミリ秒単位で設定します。
vcrypt.tracker.rulelog.exectime.maxlimit=