Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
Directory Proxy Serverは、アクセス、バインド、接続およびエラーの各ログに情報をログします。Directory Serverと異なり、Directory Proxy Serverには、監査ログはありません。Directory Proxy Serverのログの説明は、Oracle Directory Server Enterprise Editionのリファレンスの第23章のDirectory Proxy Serverのロギングに関する章を参照してください。
この章の内容は、次のとおりです。
Directory Proxy Serverのログは、ログ・ファイルを介して直接またはDirectory Service Control Center(DSCC)を使用して表示できます。
デフォルトでは、ログは次のディレクトリに格納されています。
instance-path/logs
Directory Proxy Serverのアクセス、バインド、接続およびエラーの各ログは、dpconf
コマンドまたはDSCCを使用して構成できます。DSCCを使用してログを構成する方法の詳細は、Directory Proxy Serverのオンライン・ヘルプを参照してください。この項では、dpconf
コマンドを使用して、Directory Proxy Serverのログを構成する方法について説明します。
構成オプション、使用可能な値およびデフォルト値の全リストは、次のコマンドを実行することによって取得できます。
$ dpconf help-properties error-log $ dpconf help-properties access-log $ dpconf help-properties bind-log $ dpconf help-properties connection-log
この手順の例では、Directory Proxy Serverのアクセス・ログを構成します。同じ手順を使用して、Directory Proxy Serverのバインド、接続またはエラーのログを構成できます。構成するログに応じて、access
をbind
、connection
またはerror
に置き換えてください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
アクセス・ログのプロパティを表示します。
$ dpconf get-access-log-prop -h host -p port
アクセス・ログのデフォルトのプロパティは、次のとおりです。
default-log-level : info enable-log-rotation : true log-buffer-size : 1M log-file-compression : no-compression log-file-name : logs/access log-file-perm : 600 log-level-client-connections : inherited log-level-client-disconnections : inherited log-level-client-operations : inherited log-level-connection-handlers : inherited log-level-data-sources : inherited log-level-data-sources-detailed : none log-min-size : 100M log-rotation-frequency : 1h log-rotation-policy : size log-rotation-size : 100M log-rotation-start-day : - log-rotation-start-time : - log-search-filters : false max-age : unlimited max-log-files : 10 max-size : unlimited min-free-disk-space-size : 10
「アクセス・ログのプロパティを表示します。」でリストされたプロパティを1つ以上変更します。
$ dpconf set-access-log-prop -h host -p port property:value \ [property:value ...]
たとえば、すべてのメッセージ・カテゴリのデフォルトのログ・レベルをall
に設定するには、default-log-level
プロパティの値をall
に設定します。
$ dpconf set-access-log-prop -h host1 -p 1389 default-log-level:all
各メッセージ・カテゴリのログ・レベルに関係なく、すべてのログを無効にするには、default-log-level
プロパティの値をnone
に設定します。
$ dpconf set-access-log-prop -h host1 -p 1389 default-log-level:none
特定のログ・レベルをデフォルトのログ・レベルにリセットするには、そのログ・レベルのプロパティをinherited
に設定します。たとえば、クライアント接続のログ・レベルをリセットするには、次のコマンドを実行します。
$ dpconf set-access-log-prop -h host1 -p 1389 log-level-client-connections:inherited
set-access-log-prop
サブコマンドによって設定できるプロパティの情報については、次のコマンドを入力します。
$ dpconf help-properties access-log
デフォルトでは、制御OIDはextended
、unbind
およびabandon
以外のすべての操作に関して、OPERATIONカテゴリでのみアクセス・ログに記録されます。
次は、デフォルト・モードでログに記録された操作の例です。
[06/Oct/2011:13:57:39 +0200] - OPERATION - INFO - conn=0 op=0 msgid=1 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" [06/Oct/2011:13:57:39 +0200] - SERVER_OP - INFO - conn=0 op=0 SEARCH base="dc=example,dc=com" scope=2 filter="(uid=scarter)" attrs="*" s_msgid=4 s_conn=dsource-1:753 [06/Oct/2011:13:57:39 +0200] - SERVER_OP - INFO - conn=0 op=0 SEARCH RESPONSE err=0 msg="" nentries=1 s_msgid=4 s_conn=dsource-1:753 etime=0 [06/Oct/2011:13:57:39 +0200] - OPERATION - INFO - conn=0 op=0 SEARCH RESPONSE err=0 msg="" nentries=1 etime=2
リクエストとレスポンスの両方に関して、すべてのOPERATION
およびすべてのSERVER_OP
エントリで制御がログに記録されるようにするには、次のコマンドを実行します。
$ dpconf set-server-prop log-control-oids:everywhere
このプロパティがeverywhere
に設定されている場合、空の制御リストは、制御が渡されたり戻されたりしていないことを示しています。次の例は、制御がクライアントによって送信され、バックエンド・サーバーに転送されたものです。バックエンド・サーバーは制御を戻さないため、リストは空です。
[06/Oct/2011:13:53:19 +0200] - OPERATION - INFO - conn=3 op=0 msgid=1 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" [06/Oct/2011:13:53:19 +0200] - SERVER_OP - INFO - conn=3 op=0 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" s_msgid=5 s_conn=dsource-1:744 [06/Oct/2011:13:53:19 +0200] - SERVER_OP - INFO - conn=3 op=0 SEARCH RESPONSE err=0 controls="" msg="" nentries=1 s_msgid=5 s_conn=dsource-1:744 etime=0 [06/Oct/2011:13:53:19 +0200] - OPERATION - INFO - conn=3 op=0 SEARCH RESPONSE err=0 controls="" msg="" nentries=1 etime=1
Directory Proxy Serverは、etimes
を秒単位、ミリ秒単位またはマイクロ秒単位でログできます。サーバー・プロパティlog-etimes-in-seconds
がtrue
に設定されている場合、etimes
は、小数部を含む秒単位でログされます。小数部の精度は、time-resolution
プロパティの値によって決まります。log-etimes-in-seconds
がfalse
(デフォルト)に設定されている場合、etimes
は、time-resolution
プロパティの値に応じて、ミリ秒またはマイクロ秒を表す整数になります。
デフォルトでは、ログ・ファイルは、ログ・ファイル・サイズが100MBに達するとローテーションされます。デフォルトでは、10個のログ・ファイルが保持されます。それ以降は、ローテーション手順が開始されて、最も古いログ・ファイルが上書きされます。この項では、Directory Proxy Serverのログのスケジュール・ローテーションを構成する方法、ログを手動でローテーションする方法およびログ・ローテーションを無効にする方法について説明します。構成例については、「ログ・ローテーションの構成例」を参照してください。
この手順の例では、Directory Proxy Serverのアクセス・ログを構成します。同じ手順を使用して、Directory Proxy Serverのバインド、接続またはエラーのログをローテーションできます。構成するログに応じて、access
をbind
、connection
またはerror
に置き換えてください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
アクセス・ログのプロパティを表示します。
$ dpconf get-access-log-prop -h host -p port
アクセス・ログのプロパティの有効値を表示します。
$ dpconf help-properties access-log
特定のサイズに達したときにログをローテーションするには、次のプロパティを設定します。
$ dpconf set-access-log-prop -h host -p port \ log-rotation-policy:size log-rotation-size:maximum file size
注意: Directory Proxy Serverの非同期性のためにアクティビティ・レベルが高い場合、ログ・ファイルは、構成したサイズに正確に達した時点ではなく、構成したサイズ付近に達した時点でローテーションされます。つまり、ローテーションされたファイルは、構成したサイズより若干小さいかまたは若干大きくなります。 |
最大ファイル・サイズの単位が指定されていない場合、デフォルトの単位のバイトが使用されます。ログ・ファイルが定義したサイズに達すると、ログはローテーションされます。ファイル・サイズは、最小で1MB、最大で2GBにする必要があります。
サイズでログをローテーションする方法の例は、「ログ・サイズに基づいたログのローテーション」を参照してください。
ログ・サイズに関係なく定期的にログをローテーションするには、次のプロパティを設定します。
$ dpconf set-access-log-prop -h host -p port \ log-rotation-frequency:interval in months, weeks, hours, or minutes \ log-rotation-policy:periodic \ log-rotation-start-day:day in week (1-7) or day in the month (1-31) \ log-rotation-start-time:time of day (hhmm)
31日にローテーションするようにログが構成されているが、31日がない月の場合、ログは次の月の最初の日にローテーションされます。
デフォルトでは、log-rotation-start-day
プロパティおよびlog-rotation-start-time
プロパティには、デフォルト値はありません。これらのプロパティを設定せずにログのローテーションを構成すると、ログは、指定された周期のとおりにローテーションされますが、時刻または曜日が変わる場合があります。
ログを定期的にローテーションする方法の例は、「時間に基づいたログのローテーション」を参照してください。
ログ・ファイルが十分に大きい場合にログを定期的にローテーションするには、log-rotation-frequency
プロパティおよびlog-min-size
プロパティを設定します。
$ dpconf set-access-log-prop -h host -p port \ log-rotation-frequency:interval in months, weeks, hours, or minutes \ log-rotation-policy:periodic log-min-size:minimum file size log-rotation-start-day:day in week (1-7) or day in the month (1-31) \ log-rotation-start-time:time of day (hhmm)
log-min-size
プロパティは、ログの最小サイズを表します。ログ・ファイルが指定されたサイズより大きい場合のみ、スケジュールされた時刻にローテーションが実行されます。
31日にローテーションするようにログが構成されているが、31日がない月の場合、ログは次の月の最初の日にローテーションされます。
デフォルトでは、log-rotation-start-day
プロパティおよびlog-rotation-start-time
プロパティには、デフォルト値はありません。これらのプロパティを設定せずにログのローテーションを構成すると、ログは、指定された周期のとおりにローテーションされますが、時刻または曜日が変わる場合があります。
ファイル・サイズが十分に大きい場合にログを定期的にローテーションする方法の例については、「時間およびログ・サイズに基づいたログのローテーション」を参照してください。
ローテーション後にログ・ファイルを圧縮するには、log-file-compressionプロパティを設定します。次に例を示します。
$ dpconf set-access-log-prop -h host -p port log-file-compression:best-speed
log-file-compression
オプションがアクティブの場合、Directory Proxy Serverは、ローテーションのたびにログ・ファイルを圧縮します。圧縮されたファイルには、.zip拡張子が付きます。使用中のファイルは圧縮できません。
log-file-compression
プロパティをno-compression
またはbest-speed
のいずれかに設定することをお薦めします。他の値も機能しますが、現在のハードウェアでは、完了までに非常に時間がかかる可能性があります。このため、Directory Proxy Serverのパフォーマンスが低下し、圧縮率が不十分になる可能性があります。デフォルト値は、no-compressionです。これは、以前のバージョンのDirectory Proxy Serverと互換性があります。
また、DSCCでは、圧縮されたログ・ファイルを表示できないことに注意してください。
この手順の例では、Directory Proxy Serverのアクセス・ログをローテーションします。同じ手順を使用して、Directory Proxy Serverのバインド、接続またはエラーのログをローテーションできます。構成するログに応じて、access
をbind
、connection
またはerror
に置き換えてください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
アクセス・ログをローテーションします。
$ dpconf rotate-log-now -h host -p port access
次の手順の例は、Directory Proxy Serverのアクセス・ログのローテーションを無効化します。同じ手順を使用して、Directory Proxy Serverのバインド、接続またはエラーのログのローテーションを無効化できます。構成するログに応じて、access
をbind
、connection
またはerror
に置き換えてください。
ログ・ファイルのローテーションを無効にします。
$ dpconf set-access-log-prop -h host -p port enable-log-rotation:false
ログ・サイズ、時間または両方に基づいてログ・ローテーションを構成する方法の例を次に示します。
この項の例では、ログ・サイズのみに応じてログ・ローテーションを構成する方法を示します。この構成では、ログが最後にローテーションされてから経過した時間に関係なく、ログが10MBに達したときにログがローテーションされます。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-policy:size \ log-rotation-size:10M
この項の例では、ログ・サイズに関係なく、最後のローテーションから経過した時間に応じてログ・ローテーションを構成する方法を示します。
この構成では、ログ・サイズに関係なく、10時間ごとにログがローテーションされます。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-frequency:10h \ log-rotation-policy:periodic
たとえば、今日の3:00にログがローテーションされた場合、次のローテーションは、10時間ごと(13:00、23:00、次の日の9:00など)に実行されます。log-rotation-start-day
およびlog-rotation-start-time
を設定しないと、ローテーションは、毎日同じ時刻に実行されない場合があります。
この構成では、ログ・ファイルのサイズに関係なく、毎日3:00、13:00および23:00にログがローテーションされます。log-rotation-start-time
パラメータがlog-rotation-frequency
パラメータよりも優先されるため、ログは3:00にローテーションされます(つまり、最後のローテーションの4時間後)。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-frequency:10h \ log-rotation-policy:periodic log-rotation-start-time:0300
この構成では、ログ・ファイルのサイズに関係なく、月曜日の正午にログがローテーションされ、毎週同じ時刻にローテーションされます。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-frequency:1w \ log-rotation-policy:periodic log-rotation-start-day:2 log-rotation-start-time:1200
この構成では、ログ・ファイルのサイズに関係なく、月曜日の正午にログがローテーションされ、次に3日おきにローテーションされます。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-frequency:3d \ log-rotation-policy:periodic log-rotation-start-day:2 log-rotation-start-time:1200
ログは、月曜日、木曜日、日曜日、水曜日というようにローテーションされます。log-rotation-start-day
パラメータは最初の週のみに適用されることに注目してください。ログは、2週目の月曜日にはローテーションされません。
この構成では、ログ・サイズに関係なく、その月の22日の正午にログがローテーションされ、毎月同じ時刻にローテーションされます。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-frequency:1m \ log-rotation-policy:periodic log-rotation-start-day:22 \ log-rotation-start-time:1200
log-rotation-start-day
が31に設定されていて、30日しかない月では、ログは、次の月の最初の日にローテーションされます。log-rotation-start-day
が31に設定されていて、28日しかない月(2月)では、ログは、3日にローテーションされます。
この例では、ファイル・サイズが十分に大きい場合に指定された間隔でログ・ローテーションを構成する方法を示します。
この構成では、ログ・ファイルのサイズが1MBを超えている場合に、毎日3:00、11:00および19:00にログがローテーションされます。ログ・ファイルのサイズが1MBを超えていない場合、ログ・ファイルはローテーションされません。
$ dpconf set-access-log-prop -h host1 -p 1389 log-rotation-frequency:8h \ log-rotation-policy:periodic log-min-size:1M log-rotation-start-time:0300
どのローテーション・ポリシーを選択しても、ログ・ファイルは、ローテーション後に圧縮できます。この例では、この機能がアクティブ化されます。
$ dpconf set-access-log-prop -h host1 -p 1389 log-file-compression:best-speed
Directory Proxy Serverでは、時間、サイズまたは空きディスク領域(デフォルト)に基づいて、ログの削除を構成できます。これらの削除ポリシーの詳細は、Oracle Directory Server Enterprise Editionのリファレンスのログ・ファイルの削除に関する項を参照してください。
次の手順の例では、アクセス・ログのログ削除を構成します。同じ手順を使用して、バインド、接続またはエラーのログ削除を構成できます。構成するログに応じて、access
をbind
、connection
またはerror
に置き換えてください。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
ログ・ファイルの最大保持時間を指定します。
$ dpconf set-access-log-prop -h host -p port max-age:duration
ここで、durationには、日(d
)、週(w
)または月(M
)の単位が含まれています。たとえば、5日よりも経過したバックアップ・ログ・ファイルを削除するには、次のコマンドを使用します。
$ dpconf set-access-log-prop -h host1 -p 1389 max-age:5d
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
ログ・ファイルの最大サイズを指定します。
$ dpconf set-access-log-prop -h host -p port max-size:memory-size
たとえば、集約サイズが5MB未満の最新のログ・ファイルのみを保持するには、次のコマンドを使用します。
$ dpconf set-access-log-prop -h host1 -p 1389 max-size:5M
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
使用可能な最小ディスク領域を指定します。
$ dpconf set-access-log-prop -h host -p port min-free-disk-space-size:memory-size
たとえば、使用可能なディスク領域が2MBになったときにバックアップ・ログ・ファイルを削除するには、次のコマンドを使用します。
$ dpconf set-access-log-prop -h host1 -p 1389 min-free-disk-space-size:2M
syslogd
デーモンに対するアラートのロギングこの項では、syslogd
デーモンに対するアラート・メッセージのロギングの構成方法およびsyslog
アラートを受け入れるためのオペレーティング・システムの構成方法について説明します。
syslogd
デーモンに対するアラートをロギングするようにDirectory Proxy Serverを構成するにはWebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
システム・ログ・アラートのプロパティの現在値を表示します。
$ dpconf get-server-prop -h host -p port syslog-alerts-enabled \ syslog-alerts-facility syslog-alerts-host
システム・ログ・アラートのデフォルトのプロパティは、次のとおりです。
syslog-alerts-enabled : false syslog-alerts-facility : USER syslog-alerts-host : localhost
syslog-alerts-host
プロパティは、メッセージの送信先のsyslogd
デーモンのホスト名を定義します。syslog-alerts-facility
プロパティは読取り専用で、メッセージをシステム・ログのuser
カテゴリに送信します。
syslogd
デーモンにログされるアラート・メッセージを有効にします。
$ dpconf set-server-prop -h host -p port syslog-alerts-enabled:true
アラート・メッセージを別のホストのsyslogd
デーモンに送信します。
$ dpconf set-server-prop -h host -p port syslog-alerts-host:hostname
syslog
アラートを受け入れるためのオペレーティング・システムの構成この項では、syslog
アラートを受け入れるようにSolaris、LinuxおよびHP-UXの各オペレーティング・システムを構成する手順について説明します。
syslog
アラートを受け入れるためのSolaris OSを構成するにはsyslog
構成ファイルに、適切な機能を追加します。
たとえば、USER
機能を使用してすべてのアラートを格納するには、次の行を/etc/syslog.conf
に追加します。
user.info /var/adm/info
ここで、/var/adm/info
は、メッセージの格納先のローカル・ディレクトリの例です。継続する前に/var/adm/info
が存在することを確認します。
syslogd
デーモンを再起動します。
Solaris 8および9では、次のコマンドを入力してsyslogd
を再起動します。
$ /etc/init.d/syslog stop | start
Solaris 10では、次のコマンドを入力してsyslogd
を再起動します。
$ svcadm restart system/system-log
メッセージがsyslog
にログされていることを確認します。
$ logger -p user.info "Test message" $ cat /var/adm/info Jun 19 17:18:38 host user: [ID 12345 user.info] Test message
syslog
アラートを受け入れるためのLinuxを構成するにはsyslog
構成ファイルに、適切な機能を追加します。
たとえば、USER
機能を使用してすべてのアラートを格納するには、次の行を/etc/syslog.conf
に追加します。
user.info /var/adm/info
ここで、/var/adm/info
は、メッセージの格納先のローカル・ディレクトリの例です。継続する前に/var/adm/info
が存在することを確認します。
-r
オプションを使用して実行できるように、syslogd
デーモンを構成します。
このオプションを使用すると、syslogd
はネットワークからの接続を受け入れます。デフォルトでは、-r
オプションは設定されていません。
-r
オプションを設定するには、次の行を/etc/sysconfig/syslog
に追加します。
SYSLOGD_OPTIONS="-m 0 -r"
/etc/sysconfig/syslog
が存在しない場合、同じ行を/etc/init.d/syslog
に追加します。
syslogd
デーモンを再起動します。
$ /etc/init.d/syslog stop | start
メッセージがsyslog
にログされていることを確認します。
$ logger -p user.info "Test message" $ cat /var/adm/info Jun 19 17:18:38 host user: [ID 12345 user.info] Test message
syslog
アラートを受け入れるためのHP-UXを構成するにはsyslog
構成ファイルに、適切な機能を追加します。
たとえば、USER
機能を使用してすべてのアラートを格納するには、次の行を/etc/syslog.conf
に追加します。
user.info /var/adm/info
ここで、/var/adm/info
は、メッセージの格納先のローカル・ディレクトリの例です。継続する前に/var/adm/info
が存在することを確認します。
syslogd
デーモンを再起動します。
$ /sbin/init.d/syslogd stop | start
メッセージがsyslog
にログされていることを確認します。
$ logger -p user.info "Test message" $ cat /var/adm/info Jun 19 17:18:38 host user: [ID 12345 user.info] Test message
クライアント・リクエストのパスを追跡するには、Directory Proxy Serverのアクセス・ログおよびDirectory Serverのアクセス・ログにリクエストがどのようにログされるかについて理解する必要があります。この項を理解するには、最初にOracle Directory Server Enterprise EditionのリファレンスのDirectory Proxy ServerおよびDirectory Serverのアクセス・ログを介したクライアント・リクエストの追跡に関する項をお読みください。
このタスクの実行には、DSCCを使用できません。次の手順の説明に従って、コマンドラインを使用してください。
Directory Serverのアクセス・ログで追跡する操作の接続番号を探します。
たとえば、アクセス・ログの次の行は、接続番号conn=12839
の操作op=2
を示します。
[20/Jul/2006:18:01:49 -0500] conn=12839 op=2 msgId=4 - SRCH base="dc=example,dc=com"
scope=2 filter="(objectClass=organizationalunit)" attrs=ALL
その接続のDirectory Proxy Server接続情報を取得します。
この情報を取得するには、Directory Serverのアクセス・ログを検索し、対応する接続番号を持つすべての操作を探します。たとえば、UNIXシステムでは、次のgrep
コマンドを実行し、接続conn=12839
に対応するDirectory Serverのアクセス・ログのすべての行を探します。
$ grep conn=12839 access
検索対象の行は、初期LDAP接続を示す行で、次のようなものです。
[19/Jul/2006:16:32:51 -0500] conn=12839 op=-1 msgId=-1 - fd=27 slot=27 LDAP connection from 129.153.160.175:57153 to 129.153.160.175
前の行は、129.153.160.175:57153からDirectory ServerへのLDAP接続があることを示しています。ポート番号(57153)は、接続をDirectory Proxy Serverのアクセス・ログに戻す際に必要な情報です。このポート番号を使用すると、Directory Proxy Serverのログの対応する接続を検出し、この接続からクライアント情報を探すことができます。
最初に接続が確立されてからログ・ファイルがローテーションされている場合、現在のアクセス・ログ・ファイルと同様にアーカイブ・ログ・ファイルを検索する必要があります。
Directory Proxy Serverのアクセス・ログの対応する接続を探します。
この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、対応するポート番号を持つすべての操作を探します。
ログ・ファイルで同じポート番号を持つ複数のエントリが見つかる場合があります。正しいエントリを探すためには、Directory Serverのログ・エントリのタイムスタンプを検索に含めます。
たとえば、UNIXシステムでは、次のgrep
コマンドを実行し、Directory Serverのログのタイムスタンプおよびポート番号に対応する接続エントリを探します。
$ grep 19/Jul/2006:16:32 access | grep 57153
サーバー時刻のわずかな違いに配慮するため、秒の値がタイムスタンプから除外されていることに考慮してください。
Directory Proxy Serverのログの対応する行は、次のようになります。
[19/Jul/2006:16:32:51 -0500] - SERVER_OP - INFO - Created BIND LDAP connection
s_conn=sunds-d1m1-9389:34 client=0.0.0.0:57153
server=idm160.central.sun.com:9389 main
この行は、Directory Proxy Serverがs_conn=sunds-d1m1-9389:34
へのBIND
接続を作成したことを示しています。Directory Proxy Serverは、自身をTCPポート57153
のクライアントclient=0.0.0.0
として識別します。
ログのこの行から抽出する重要な情報は、サーバーIDおよびポート番号(s_conn=sunds-d1m1-9389:34)です。
前の手順で特定したサーバーIDおよびポート番号に対応するすべての操作を探します。
この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、対応するサーバーIDおよびポート番号を持つすべての操作を探します。
たとえば、UNIXシステムでは、次のgrep
コマンドを実行し、前の手順で見つかったサーバーIDに対応する操作を探します。
$ grep s_conn=sunds-d1m1-9389:34 access
この場合、これらの操作は数日にまたがる可能性があるため、タイムスタンプでの検索は有効ではありません。ただし、検索によって返される操作が正しいものであることを判定する必要があります。複数のCreate
接続文がある場合、元の検索文に対応するものを探してください。これを行うにはタイムスタンプを、「Directory Serverのアクセス・ログで追跡する操作の接続番号を探します。」で検索されたタイムスタンプと一致させます。
次のDirectory Serverのアクセス・ログの抜粋は、s_conn=sunds-d1m1-9389:34
に対して返されたすべての操作を示しています。
[19/Jul/2006:16:32:51 -0500] - SERVER_OP - INFO - Created BIND LDAP connection s_conn=sunds-d1m1-9389:34 client=0.0.0.0:57153 server=idm160.central.sun.com:9389 main [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=0 BIND dn="cn=directory manager" method="SIMPLE" s_msgid=3 s_conn=sunds-d1m1-9389:34 [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=0 BIND RESPONSE err=0 msg="" s_conn=sunds-d1m1-9389:34 [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=1 SEARCH base="dc=example,dc=com" scope=2 s_msgid=4 s_conn=sunds-d1m1-9389:34 [20/Jul/2006:18:01:49 -0500] - SERVER_OP - INFO - conn=31 op=1 SEARCH RESPONSE err=0 msg="" nentries=1 s_conn=sunds-d1m1-9389:34
この情報から、Directory Proxy Serverのこの検索操作の接続IDが31
(conn=31
)であることがわかります。
前の手順で見つかった接続IDに対応するクライアント接続IPアドレスを探します。
この情報を取得するには、Directory Proxy Serverのアクセス・ログを検索し、正しい接続IDおよびタイムスタンプを持つすべての操作を探します。使用するタイムスタンプは、「Directory Serverのアクセス・ログで追跡する操作の接続番号を探します。」における最初の検索文におけるものです。
たとえば、UNIXシステムでは、次のgrep
コマンドを実行し、クライアント接続IPアドレスを探します。
$ grep "20/Jul/2006:18:01" access | grep conn=31
たとえば、次のようになります。
[20/Jul/2006:18:01:49 -0500] - CONNECT - INFO - conn=31 client=129.150.64.156:2031
server=0.0.0.0:11389 protocol=LDAP
接続ログが明示的に有効にされた場合、同様の行が接続ログでも見つかります。
前の手順で見つかったIPアドレスの所有者を決定します。
この情報を使用して、Directory Serverで実行された操作を行った人を正確に判別できます。