13 Directory Serverのロギング

この章では、Directory Serverのログの管理方法について説明します。

ロギング方針の定義に役立つ情報が必要な場合は、『Oracle Fusion Middleware Oracle Directory Server Enterprise Editionデプロイメント・プランニング・ガイド』のロギング方針の設計に関する項のロギング・ポリシー情報を使用してください。

ログ・ファイルおよびその内容についての説明は、Oracle Directory Server Enterprise Editionのリファレンスの第10章のDirectory Serverのロギングに関する章を参照してください。

この章の内容は、次のとおりです。

• ログ解析ツール

• Directory Serverのログの表示

• Directory Serverのログの構成

• Directory Serverのログの手動ローテーション

13.1 ログ解析ツール

Directory Server Resource Kitにはログ解析ツールlogconvがあり、これによりDirectory Serverのアクセス・ログを解析できます。ログ解析ツールでは、使用状況の統計を抽出します。重要イベントの発生もカウントします。このツールの詳細は、logconvのマニュアル・ページを参照してください。

13.2 Directory Serverのログの表示

デフォルトのinstance-path/logsファイルで、ログをサーバーで直接表示できます。デフォルト・パスを変更した場合は、次のようにdsconfコマンドを使用してログ・ファイルの場所を確認できます。

$ dsconf get-log-prop -h host -p port log-type path

またはDirectory Service Control Center(DSCC)によってログファイルを表示できます。DSCCでは、ログ・エントリの表示およびソートが可能です。

13.2.1 Directory Serverのログの末尾を表示するには

dsadmコマンドを使用して、指定した行数のDirectory Serverのログを表示したり、指定した経過時間内に記録されたログエントリを表示したりできます。この例では、エラー・ログの末尾を表示します。アクセスログの末尾を表示する場合は、show-error-logではなく、show-access-logを使用します。

1. 特定の経過時間内に記録されたエラー・ログ・エントリを表示します。

   $ dsadm show-error-log -A duration instance-path
   

   時間の単位を指定してください。たとえば、24時間以内のエラー・ログ・エントリを表示するには、次を入力します。

   $ dsadm show-error-log -A 24h /local/dsInst
   

2. 指定した行数(末尾から)のエラーログを表示します。

   $ dsadm show-error-log -L last-lines instance-path
   

   行数は整数で表します。たとえば、最後の100行を表示するには、次を入力します。

   $ dsadm show-error-log -L 100 /local/dsInst
   

   値を指定しない場合、デフォルトの表示行数は20行です。

13.3 Directory Serverのログの構成

ログ・ファイルの様々な側面を変更できます。次のような例があります。

• 監査ログの有効化

  アクセス・ログやエラー・ログとは異なり、監査ログはデフォルトでは無効にされています。詳細は、「監査ログを有効にするには:」を参照してください。

• 一般設定

  • ロギングの有効化または無効化

  • ログのバッファリングの有効化または無効化

  • ログ・ファイルの場所

  • 詳細ロギング

  • ログ・レベル

• ログ・ローテーションの設定

  • 一定の時間間隔での新しいログの作成

  • 新しいログ・ファイルが作成されるまでの最大ログ・ファイル・サイズ

• ログの削除設定

  • 削除されるまでの最大ファイル経過時間

  • 削除されるまでの最大ファイル・サイズ

  • 削除されるまでの最大空きディスク領域

次の手順では、ログ構成を変更する方法と監査ログを有効にする方法を説明します。

13.3.1 ログ構成を変更するには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

1. 変更するログの設定を表示します。

   $ dsconf get-log-prop -h host -p port log-type
   

   たとえば、既存のエラー・ログ設定をリストするには、次を入力します。

   $ dsconf get-log-prop -h host1 -p 1389 error
   Enter "cn=Directory Manager" password:
   buffering-enabled         :  off
   enabled                   :  on
   level                     :  default
   max-age                   :  1M
   max-disk-space-size       :  100M
   max-file-count            :  2
   max-size                  :  100M
   min-free-disk-space-size  :  5M
   path                      :  /tmp/ds1/logs/errors
   perm                      :  600
   rotation-interval         :  1w
   rotation-min-file-size    :  unlimited
   rotation-time             :  undefined
   verbose-enabled           :  off
   

2. 新しい値を設定します。

   プロパティの値を設定します。

   $ dsconf set-log-prop -h host -p port log-type property:value
   

   たとえば、エラー・ログのローテーション間隔を2日に設定するには、次のコマンドを使用します。

   $ dsconf set-log-prop -h host1 -p 1389 error rotation-interval:2d
   

13.3.2 監査ログを有効にするには

アクセス・ログやエラー・ログとは異なり、監査ログはデフォルトでは無効にされています。監査ログを表示するには、これを有効にする必要があります。

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

監査ログを有効にします。

$ dsconf set-log-prop -h host -p port audit enabled:on

13.3.3 アクセス・ログでDirectory Server制御OIDを構成するには

デフォルトでは、制御OIDはextended、unbindおよびabandon以外のすべての操作に関して、OPERATIONカテゴリでのみアクセス・ログに記録されます。

次は、デフォルト・モードでログに記録された操作の例です。

[06/Oct/2011:13:57:39 +0200] - OPERATION - INFO - conn=0 op=0 msgid=1 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*"
[06/Oct/2011:13:57:39 +0200] - SERVER_OP - INFO - conn=0 op=0 SEARCH base="dc=example,dc=com" scope=2 filter="(uid=scarter)" attrs="*" s_msgid=4 s_conn=dsource-1:753
[06/Oct/2011:13:57:39 +0200] - SERVER_OP - INFO - conn=0 op=0 SEARCH RESPONSE err=0 msg="" nentries=1 s_msgid=4 s_conn=dsource-1:753 etime=0
[06/Oct/2011:13:57:39 +0200] - OPERATION - INFO - conn=0 op=0 SEARCH RESPONSE err=0 msg="" nentries=1 etime=2

リクエストとレスポンスの両方に関して、すべてのOPERATIONおよびすべてのSERVER_OPエントリで制御がログに記録されるようにするには、次のコマンドを実行します。

$ dsconf set-server-prop log-control-oids:everywhere 

このプロパティがeverywhereに設定されている場合、空の制御リストは、制御が渡されたり戻されたりしていないことを示しています。次の例は、制御がクライアントによって送信され、バックエンド・サーバーに転送されたものです。バックエンド・サーバーは制御を戻さないため、リストは空です。

[06/Oct/2011:13:53:19 +0200] - OPERATION - INFO - conn=3 op=0 msgid=1 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*"
[06/Oct/2011:13:53:19 +0200] - SERVER_OP - INFO - conn=3 op=0 SEARCH base="dc=example,dc=com" scope=2 controls="1.3.6.1.4.1.42.2.27.9.5.8" filter="(uid=scarter)" attrs="*" s_msgid=5 s_conn=dsource-1:744
[06/Oct/2011:13:53:19 +0200] - SERVER_OP - INFO - conn=3 op=0 SEARCH RESPONSE err=0 controls="" msg="" nentries=1 s_msgid=5 s_conn=dsource-1:744 etime=0
[06/Oct/2011:13:53:19 +0200] - OPERATION - INFO - conn=3 op=0 SEARCH RESPONSE err=0 controls="" msg="" nentries=1 etime=1

13.4 Directory Serverのログの手動ローテーション

ログが肥大化しつつある場合には、いつでも手動によるログのローテーションができます。ローテーションでは、既存のログ・ファイルをバックアップし、新しいログ・ファイルを作成します。

13.4.1 ログ・ファイルを手動でローテーションするには

WebインタフェースのDirectory Service Control Center (DSCC)を使用して、このタスクを実行できます。

ログ・ファイルをローテーションします。

$ dsconf rotate-log-now -h host -p port log-type

たとえば、アクセス・ログをローテーションするには、次のようにします。

$ dsconf rotate-log-now -h host1 -p 1389 access