Oracle® Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド 11g リリース1 (11.1.1.7.0) B72439-01 |
|
前 |
次 |
この章では、Directory Serverのログの管理方法について説明します。
ロギング方針の定義に役立つ情報が必要な場合は、『Oracle Fusion Middleware Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』のロギング方針の設計に関する項のロギング・ポリシー情報を使用してください。
ログ・ファイルおよびその内容についての説明は、Oracle Directory Server Enterprise Editionのリファレンスの第10章のDirectory Serverのロギングに関する章を参照してください。
この章の内容は、次のとおりです。
Directory Server Resource Kitにはログ解析ツールlogconv
があり、これによりDirectory Serverのアクセス・ログを解析できます。ログ解析ツールでは、使用状況の統計を抽出します。重要イベントの発生もカウントします。このツールの詳細は、logconvのマニュアル・ページを参照してください。
デフォルトのinstance-path
/logs
ファイルで、ログをサーバーで直接表示できます。デフォルト・パスを変更した場合は、次のようにdsconf
コマンドを使用してログ・ファイルの場所を確認できます。
$ dsconf get-log-prop -h host -p port log-type path
またはDirectory Service Control Center(DSCC)によってログファイルを表示できます。DSCCでは、ログ・エントリの表示およびソートが可能です。
dsadm
コマンドを使用して、指定した行数のDirectory Serverのログを表示したり、指定した経過時間内に記録されたログエントリを表示したりできます。この例では、エラー・ログの末尾を表示します。アクセスログの末尾を表示する場合は、show-error-log
ではなく、show-access-log
を使用します。
特定の経過時間内に記録されたエラー・ログ・エントリを表示します。
$ dsadm show-error-log -A duration instance-path
時間の単位を指定してください。たとえば、24時間以内のエラー・ログ・エントリを表示するには、次を入力します。
$ dsadm show-error-log -A 24h /local/dsInst
指定した行数(末尾から)のエラーログを表示します。
$ dsadm show-error-log -L last-lines instance-path
行数は整数で表します。たとえば、最後の100行を表示するには、次を入力します。
$ dsadm show-error-log -L 100 /local/dsInst
値を指定しない場合、デフォルトの表示行数は20行です。
ログ・ファイルの様々な側面を変更できます。次のような例があります。
監査ログの有効化
アクセス・ログやエラー・ログとは異なり、監査ログはデフォルトでは無効にされています。詳細は、「監査ログを有効にするには:」を参照してください。
一般設定
ロギングの有効化または無効化
ログのバッファリングの有効化または無効化
ログ・ファイルの場所
詳細ロギング
ログ・レベル
ログ・ローテーションの設定
一定の時間間隔での新しいログの作成
新しいログ・ファイルが作成されるまでの最大ログ・ファイル・サイズ
ログの削除設定
削除されるまでの最大ファイル経過時間
削除されるまでの最大ファイル・サイズ
削除されるまでの最大空きディスク領域
次の手順では、ログ構成を変更する方法と監査ログを有効にする方法を説明します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
変更するログの設定を表示します。
$ dsconf get-log-prop -h host -p port log-type
たとえば、既存のエラー・ログ設定をリストするには、次を入力します。
$ dsconf get-log-prop -h host1 -p 1389 error Enter "cn=Directory Manager" password: buffering-enabled : off enabled : on level : default max-age : 1M max-disk-space-size : 100M max-file-count : 2 max-size : 100M min-free-disk-space-size : 5M path : /tmp/ds1/logs/errors perm : 600 rotation-interval : 1w rotation-min-file-size : unlimited rotation-time : undefined verbose-enabled : off
新しい値を設定します。
プロパティの値を設定します。
$ dsconf set-log-prop -h host -p port log-type property:value
たとえば、エラー・ログのローテーション間隔を2日に設定するには、次のコマンドを使用します。
$ dsconf set-log-prop -h host1 -p 1389 error rotation-interval:2d
アクセス・ログやエラー・ログとは異なり、監査ログはデフォルトでは無効にされています。監査ログを表示するには、これを有効にする必要があります。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
監査ログを有効にします。
$ dsconf set-log-prop -h host -p port audit enabled:on
デフォルトでは、制御OIDはextended
、unbind
およびabandon
以外のすべての操作に関して、OPERATIONカテゴリでのみアクセス・ログに記録されます。
次は、デフォルト・モードでログに記録された操作の例です。
[06/Oct/2011:13:57:39 +0200] - OPERATION - INFO - conn=0 op=0 msgid=1 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" [06/Oct/2011:13:57:39 +0200] - SERVER_OP - INFO - conn=0 op=0 SEARCH base="dc=example,dc=com" scope=2 filter="(uid=scarter)" attrs="*" s_msgid=4 s_conn=dsource-1:753 [06/Oct/2011:13:57:39 +0200] - SERVER_OP - INFO - conn=0 op=0 SEARCH RESPONSE err=0 msg="" nentries=1 s_msgid=4 s_conn=dsource-1:753 etime=0 [06/Oct/2011:13:57:39 +0200] - OPERATION - INFO - conn=0 op=0 SEARCH RESPONSE err=0 msg="" nentries=1 etime=2
リクエストとレスポンスの両方に関して、すべてのOPERATION
およびすべてのSERVER_OP
エントリで制御がログに記録されるようにするには、次のコマンドを実行します。
$ dsconf set-server-prop log-control-oids:everywhere
このプロパティがeverywhere
に設定されている場合、空の制御リストは、制御が渡されたり戻されたりしていないことを示しています。次の例は、制御がクライアントによって送信され、バックエンド・サーバーに転送されたものです。バックエンド・サーバーは制御を戻さないため、リストは空です。
[06/Oct/2011:13:53:19 +0200] - OPERATION - INFO - conn=3 op=0 msgid=1 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" [06/Oct/2011:13:53:19 +0200] - SERVER_OP - INFO - conn=3 op=0 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" s_msgid=5 s_conn=dsource-1:744 [06/Oct/2011:13:53:19 +0200] - SERVER_OP - INFO - conn=3 op=0 SEARCH RESPONSE err=0 controls="" msg="" nentries=1 s_msgid=5 s_conn=dsource-1:744 etime=0 [06/Oct/2011:13:53:19 +0200] - OPERATION - INFO - conn=3 op=0 SEARCH RESPONSE err=0 controls="" msg="" nentries=1 etime=1
ログが肥大化しつつある場合には、いつでも手動によるログのローテーションができます。ローテーションでは、既存のログ・ファイルをバックアップし、新しいログ・ファイルを作成します。
WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。
ログ・ファイルをローテーションします。
$ dsconf rotate-log-now -h host -p port log-type
たとえば、アクセス・ログをローテーションするには、次のようにします。
$ dsconf rotate-log-now -h host1 -p 1389 access