| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリファレンス 11g リリース1 (11.1.1.7.0) B72441-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリファレンス 11g リリース1 (11.1.1.7.0) B72441-01 |
|
前 |
次 |
Directory Proxy Serverはアクセス・ログおよびエラー・ログに情報をロギングします。さらに、プラグインを構成してsyslogデーモンにメッセージをロギングすることができます。Directory Serverとは異なり、Directory Proxy Serverには監査ログが用意されていません。
Directory Proxy Serverのログ・ファイルは、Directory Service Control Centerまたはコマンドラインを使用して構成できます。ログ・ファイルの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』の第27章「Directory Proxy Serverのロギング」を参照してください。
アクセス・ログおよびエラー・ログの詳細は、次の項を参照してください。
このリリースのDirectory Proxy Serverではログ・メッセージのフォーマットをまだ改良中です。
Directory Proxy Serverのロギング・サービスはアクセス・ログおよびエラー・ログを提供します。ログは、クライアント操作およびDirectory Proxy Serverの健全性に関する情報が含まれているフラット・ファイルです。デフォルトで、ログ・ファイルは権限600を使用してinstance-path/logsに格納されます。Directory Proxy Serverが有効なログ・ファイルなしに起動された場合、ログ・ファイルがデフォルトの場所に作成され、警告がDSCCに送信されます。
ログの次の部分を構成できます。
各メッセージ・カテゴリのログ・レベルの設定
すべてのログ・カテゴリのデフォルト・ログ・レベルのグローバル設定
すべてのログのグローバルな有効化
ログ・ファイルの名前、場所、および権限の名前
ログ・ファイルの最大数の設定
各ログ・ファイルのローテーション・ポリシーの定義
検索操作のログ・メッセージの検索フィルタを含める、または除外する
ログ・メッセージはsyslogデーモンにも送信できます。syslogデーモンへのメッセージのログ方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のsyslogdデーモンに対するアラートのロギングに関する説明を参照してください。
ログ・ファイルは手動で随時ローテーションでき、または、次のイベントの発生時に自動的にローテーションできます。
指定されたサイズにログが達したとき
指定した間隔で
指定された開始時間、開始日、および間隔で
指定された開始時間、開始日、および間隔で(指定されたサイズよりもログ・ファイルが大きい場合)
指定された間隔で(指定されたサイズよりもログ・ファイルが大きい場合)
開始時間、開始日、および間隔は次の組合せが可能です。
時刻の後に、間隔(日数、時間数、または分数)
曜日および時刻の後に、間隔(週数)
日付および時刻の後に、間隔(月数)
時刻は間隔よりも優先されます。たとえば、午前3時に10時間ごとのローテーションを指定されているログは、03:00、13:00、23:00、そして再び03:00 (07:00ではありません)にローテーションされます。
31日にローテーションするようにログが構成されているが、31日がない月の場合、ログは次の月の最初の日にローテーションされます。
ログ・ファイルは、使用するディスク・スペースの一部をリカバリするために、ローテーション時に自動的に圧縮できます。
ログ・ファイルの削除ポリシーは、バックアップ・ログ・ファイルがいつ削除されるかを定義します。現在使用中のログ・ファイルが削除ポリシーによって削除されることはありません。
次の削除ポリシーを有効にできます。
時間に基づいた削除ログ・ファイルは、指定された時期に達したときに削除されます。
サイズに基づいた削除ログ・ファイルは、すべてのログ・ファイルの合計サイズが、指定された限界に達したときに削除されます。現在のログ・ファイルのサイズは、このファイルが削除されない場合も計算に入ります。
空きディスク領域に基づく削除。空きディスク領域が指定された最小サイズに達したときに、最も古いバックアップ・ログ・ファイルが削除されます。それでもまだ空きディスク領域が最小サイズを下回っている場合は、次に古いバックアップ・ログ・ファイルが削除される、というように続きます。
デフォルトで、ログ・ファイルの削除は空きディスク領域に基づき、デフォルト値は1メガバイトです。3つの削除ポリシーが同時にアクティブになっている場合は、時間、サイズ、空きディスク領域の順で処理されます。ログ・ファイルの削除を構成する方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のDirectory Proxy Serverのログの削除に関する説明を参照してください。
メッセージの重大度、メッセージのカテゴリ、およびそのカテゴリに設定されたログ・レベルに従って、各メッセージはログ・ファイルに含まれるか、ログ・ファイルから除外されます。エラー・ログとアクセス・ログのカテゴリおよびログ・レベルは異なっており、後に続く各項で説明されます。
メッセージは重大度に従ってランク付けされます。メッセージは次の重大度のいずれかが可能ですが、error (エラー)の重大度が最高で、debug (デバッグ)の重大度が最低です。
error (エラー)
warning (警告)
info (情報)
debug (デバッグ)
このメッセージ・カテゴリに設定されたログ・レベルよりも低い重大度のメッセージは、ログ・ファイルに含まれません。関連付けられたメッセージ・カテゴリに設定されたログ・レベル以上の重大度のメッセージは、ログ・ファイルに含まれます。
エラー・ログにはDirectory Proxy Serverの健全性に関する情報が含まれています。エラー・メッセージはメッセージの原因に従って分類されます。次の表は、エラー・ログに含むことができるメッセージ・カテゴリのリストです。
表23-1 エラー・ログのメッセージ・カテゴリ
| カテゴリ名 | カテゴリの説明 |
|---|---|
|
|
構成に関する情報 |
|
|
操作のデコードに関する情報 |
|
|
プラグイン処理に関する情報 |
|
|
クライアント処理中に発生した重要なイベントに関する情報 |
|
|
データ・ソースの操作に関する情報 |
|
|
コア・サーバーの内部エラーに関する情報 |
|
|
サーバー・シャットダウン時のイベントに関する情報 |
|
|
サーバー起動時のイベントに関する情報 |
各メッセージ・カテゴリは、次のいずれかのログ・レベルで構成できます。
none ログ・ファイルにメッセージは含まれません。
error ログ・ファイルにエラー・メッセージのみが含まれます。
warning ログ・ファイルにエラー・メッセージと警告メッセージが含まれます。
info ログ・ファイルにエラー・メッセージ、警告メッセージおよび情報メッセージが含まれます。
all ログ・ファイルにすべてのメッセージが含まれます。ほとんどの場合、この設定はinfo設定と同じ結果となります。特定の状況において、この設定では追加のデバッグ・メッセージをロギングできます。
inherited ログ・レベルはdefault-log-levelプロパティの値から継承されます。
デフォルトで、各メッセージ・カテゴリのログ・レベルはinheritedです。default-log-levelプロパティがinfoに設定されていると、各カテゴリはinfoログ・レベルを継承します。
メッセージ・カテゴリのログ・レベルは、メッセージの重大度レベルと関連して機能し、ログ・ファイルに含まれるメッセージを判別します。詳細は「メッセージの重大度」を参照してください。
エラー・ログ・メッセージのフォーマットは次のとおりです。
timestamp - message category - message severity - message text
例23-1は、エラー・ログの抜粋を示しています。
例23-1 エラー・ログの抜粋
[11/Feb/2010:14:52:28 +0100] - STARTUP - INFO - Logging Service configured [11/Feb/2010:14:52:28 +0100] - STARTUP - INFO - Java Version: 1.6.0_16 (Java Home: /local/instances/dsee7/jre) [11/Feb/2010:14:52:28 +0100] - STARTUP - INFO - Java(TM) SE Runtime Environment (build 1.6.0_16-b01) [11/Feb/2010:14:52:28 +0100] - STARTUP - INFO - Java HotSpot(TM) 64-Bit Server VM (build 14.2-b01, mixed mode) [11/Feb/2010:14:52:28 +0100] - STARTUP - INFO - Java Heap Space: Total Memory (-Xms) = 241MB, Max Memory (-Xmx) = 241MB [11/Feb/2010:14:52:28 +0100] - STARTUP - INFO - Operating System: SunOS/sparcv9 5.10 [11/Feb/2010:14:52:29 +0100] - STARTUP - INFO - SSL initialization succeeded. [11/Feb/2010:14:52:29 +0100] - CONFIG - WARN - Attribute certMappingDataViewPolicy in entry cn=LDAPS Listener,cn=Client Listeners,cn=config missing. Using ALL_DATA_VIEW [11/Feb/2010:14:52:29 +0100] - STARTUP - INFO - Creating 50 worker threads. [11/Feb/2010:14:52:30 +0100] - STARTUP - INFO - Sun-Directory-Proxy-Server/7.0 B2009.1104.2146 started on host lecap in directory /local/instances/dps-1 [11/Feb/2010:14:52:30 +0100] - STARTUP - INFO - Listening for client connections on 0.0.0.0:1389 [11/Feb/2010:14:52:30 +0100] - STARTUP - INFO - Listening for secure client connections on 0.0.0.0:1636 [11/Feb/2010:14:52:31 +0100] - BACKEND - WARN - LDAP server groupy:11998/ is up and running. [11/Feb/2010:17:43:10 +0100] - SHUTDOWN - INFO - Directory Proxy Server received a shutdown request from external signal (caught by shutdown hook) [11/Feb/2010:17:43:10 +0100] - BACKEND - WARN - LDAP server groupy:11998/ is up and running. [11/Feb/2010:17:43:11 +0100] - SHUTDOWN - INFO - Directory Proxy Server stopped. [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Logging Service configured [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Java Version: 1.6.0_16 (Java Home: /local/instances/dsee7/jre) [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Java(TM) SE Runtime Environment (build 1.6.0_16-b01) [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Java HotSpot(TM) 64-Bit Server VM (build 14.2-b01, mixed mode) [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Java Heap Space: Total Memory (-Xms) = 241MB, Max Memory (-Xmx) = 241MB [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Operating System: SunOS/sparcv9 5.10 [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - Initializing LDAP server cn=dscc_ldap_groupy:11998,cn=data sources,cn=config [11/Feb/2010:17:43:19 +0100] - STARTUP - INFO - SSL initialization succeeded. [11/Feb/2010:17:43:20 +0100] - CONFIG - WARN - Attribute certMappingDataViewPolicy in entry cn=LDAPS Listener,cn=Client Listeners,cn=config missing. Using ALL_DATA_VIEW
アクセス・ログにはDirectory Proxy Serverにより処理されているリクエストに関する情報が含まれています。アクセス・ログには2つのタイプの接続に関する情報が含まれます。
クライアントとDirectory Proxy Server間の接続
Directory Proxy Serverとデータ・ソース間の接続
アクセス・ログのメッセージはメッセージの原因に従って分類されます。次の表は、アクセス・ログに含むことができるメッセージ・カテゴリのリストです。
表23-2 アクセス・ログのメッセージ・カテゴリ
| カテゴリ名 | カテゴリの説明 |
|---|---|
|
|
クライアント接続に関する情報 |
|
|
クライアント切断に関する情報 |
|
|
クライアントにより要求された操作に関する情報 |
|
|
接続ハンドラのプロファイルに関する情報 |
|
|
データ・ソースへ転送される操作に関する情報 |
|
|
データ・ソースへ転送される操作に関する詳細情報 |
各メッセージ・カテゴリは、次のいずれかのログ・レベルで構成できます。
none ログ・ファイルにアクセス・メッセージは含まれません。
info ログ・ファイルに情報メッセージが含まれます。
all ログ・ファイルにすべてのメッセージが含まれます。ほとんどの場合、この設定はinfo設定と同じ結果となります。特定の状況において、この設定では追加のデバッグ・メッセージをロギングできます。
inherited ログ・レベルはdefault-log-levelプロパティの値から継承されます。
デフォルトで、各メッセージ・カテゴリのログ・レベルはinheritedですが、SERVER_OP_DETAILの場合、ログ・レベルはnoneです。default-log-levelプロパティがinfoに設定されていると、SERVER_OP_DETAILを除くすべてのメッセージ・カテゴリはログ・レベルinfoを継承します。
メッセージ・カテゴリのログ・レベルは、メッセージの重大度レベルと関連して機能し、ログ・ファイルに含まれるメッセージを判別します。詳細は「メッセージの重大度」を参照してください。
アクセス・ログ・メッセージのフォーマットは次のとおりです。
timestamp - category - severity - connectionNumber operationNumber messageID operationType messageText
例23-2はアクセス・ログの抜粋を示しています。このログは、CONNECTカテゴリのメッセージで開始され、DISCONNECTカテゴリのメッセージで終了するクライアント・リクエストを示しています。クライアントにより要求された操作はOPERATIONカテゴリのメッセージにより示され、SERVER_OPカテゴリの複数のメッセージの結果で終了します。ロギングされたメッセージの重大度はINFOおよびDEBUGです。
例23-2 アクセス・ログの抜粋
[07/Sep/2010:14:32:43 +0200] - PROFILE - INFO -
conn=12 assigned to connection handler cn=default connection handler,
cn=connection handlers, cn=config
[07/Sep/2010:14:32:43 +0200] - CONNECT - INFO -
conn=12 client=127.0.0.1:59723 server=localhost:14600 protocol=LDAP
[07/Sep/2010:14:32:43 +0200] - OPERATION - INFO -
conn=12 op=0 msgid=1 BIND dn="uid=jvedder,ou=people,dc=example,dc=com"
method="SIMPLE" version=3 controls=""
[07/Sep/2010:14:32:43 +0200] - SERVER_OP - INFO -
conn=12 op=0 BIND dn="uid=jvedder,ou=people,dc=example,dc=com"
method="SIMPLE" version=3 s_msgid=396 s_conn=dsource-1:2
[07/Sep/2010:14:32:43 +0200] - SERVER_OP - INFO -
conn=12 op=0 BIND RESPONSE err=0 msg="" s_msgid=396 s_conn=dsource-1:2 etime=0
[07/Sep/2010:14:32:43 +0200] - OPERATION - INFO -
conn=12 op=0 BIND RESPONSE err=0 msg="" etime=1
[07/Sep/2010:14:32:43 +0200] - OPERATION - INFO -
conn=12 op=1 msgid=2 SEARCH base="uid=jvedder,ou=people,dc=example,dc=com"
scope=2 controls="" filter="(objectclass=*)" attrs="*"
[07/Sep/2010:14:32:43 +0200] - SERVER_OP - INFO -
conn=12 op=1 SEARCH base="uid=jvedder,ou=people,dc=example,dc=com"
scope=2 filter="(objectclass=*)" attrs="*" s_msgid=397 s_conn=dsource-1:2
[07/Sep/2010:14:32:43 +0200] - SERVER_OP - INFO -
conn=12 op=1 SEARCH RESPONSE err=0 msg="" nentries=1
s_msgid=397 s_conn=dsource-1:2 etime=1
[07/Sep/2010:14:32:43 +0200] - OPERATION - INFO - conn=12 op=1 SEARCH RESPONSE
err=0 msg="" nentries=1 etime=1
[07/Sep/2010:14:32:43 +0200] - OPERATION - INFO - conn=12 op=2 UNBIND
[07/Sep/2010:14:32:43 +0200] - DISCONNECT - INFO - conn=12 reason="unbind"
クライアントとDirectory Proxy Server間の接続についてのメッセージは、Directory Serverと同じ方法でラベル付けされます。表23-4は、例23-2のクライアントとDirectory Proxy Server間のメッセージの各部分を説明しています。考えられるすべてのメッセージ部分の説明については、「アクセス・ログ、エラー・ログおよび監査ログの内容」を参照してください。
表23-3 クライアントとDirectory Proxy Server間の接続のメッセージの各部分
| ログ・メッセージの部分 | 説明 |
|---|---|
|
|
クライアントとDirectory Proxy Server間の接続の識別子 |
|
|
指定された接続に対する操作の数。接続に対する最初の操作の値は |
|
|
クライアント・アプリケーションに送信されたメッセージの数。LDAPプロトコルは主として非同期です。クライアント・リクエストがサーバーからのレスポンスを要求した場合、レスポンスは次の手順で行われます。
レスポンスは複数のパケットで送信され、各パケットは同じ |
|
|
検索リクエストにより返されるエントリの数。 |
|
|
LDAP操作から返される結果コード。エラー番号 |
|
|
判別可能なエラー診断。 |
|
|
SERVER_OPメッセージの場合、これはDirectory Proxy Serverから見てデータ・ソースにより実行された当該操作にかかった時間です。 OPERATIONメッセージの場合、これはDirectory Proxy Serverにより実行された当該操作にかかった時間です。 いずれの場合も、サーバーの |
Directory Proxy Serverとデータ・ソース間の接続のメッセージにはs_のサフィックスが付きます。表23-4は、例23-2のDirectory Proxy Serverとデータ・ソース間のメッセージの各部分を説明しています。
アクセス・ログ・メッセージはバッファに格納されます。バッファはアクセス・ログに対して次の時点でフラッシュされます。
バッファが一杯になったとき
アクセス・ログがローテーションされたとき
Directory Proxy Serverが停止したとき
2.5秒ごと
デフォルトで、アクセス・ログ・バッファのサイズは1Mです。ただし、バッファのサイズを構成してフラッシュされる頻度を制御できます。バッファ・サイズを0に設定すると、バッファリングが無効に(Directory Proxy Serverが遅く)なります。
他の条件がいずれも満たされない場合も、バッファは2.5秒ごとに定期的にフラッシュされます。
log-buffer-sizeプロパティを設定することにより、アクセス・ログ・バッファのサイズを構成できます。アクセス・ログ・プロパティの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のDirectory Proxy Serverのログの構成に関する説明を参照してください。
バインド・ログにはクライアントから受信された正常なバインド操作に関する情報が含まれています。これはアクセス・ログに置かれる情報と同じですが、古いアクセス・ログが削除されるときに失われるのを防ぐために、この情報が複製されます。
バインド・ログ・メッセージのフォーマットは次のとおりです。
timestamp - category - severity - connectionNumber operationNumber messageID operationType messageText
カテゴリは常にBINDで、重大度は常にINFOです。
例23-3 バインド・ログの抜粋
[07/Sep/2010:14:32:38 +0200] - BIND - INFO - conn=11 op=1 msgid=2 BIND
dn="cn=proxy manager" method="NONE" version=3 controls=""
[07/Sep/2010:14:32:43 +0200] - BIND - INFO - conn=12 op=0 msgid=396 BIND
dn="uid=jvedder,ou=people,dc=example,dc=com" method="SIMPLE" version=3 controls=""
バインド・メッセージはアクセス・ログのバインド・メッセージに似ています。「アクセス・ログ、エラー・ログおよび監査ログの内容」を参照してください。
バインド・ログ・メッセージはバッファに格納されます。バッファはバインド・ログに対して次の時点でフラッシュされます。
バッファが一杯になったとき
バインド・ログがローテーションされたとき
Directory Proxy Serverが停止したとき
2.5秒ごと
デフォルトで、バインド・ログ・バッファのサイズは1Mです。ただし、バッファのサイズを構成してフラッシュされる頻度を制御できます。バッファ・サイズを0に設定すると、バッファリングが無効に(Directory Proxy Serverが遅く)なります。
log-buffer-sizeプロパティを設定することにより、バインド・ログ・バッファのサイズを構成できます。バインド・ログ・プロパティの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のDirectory Proxy Serverのログの構成に関する説明を参照してください。
接続ログにはクライアントにより確立された接続と、その切断に関する情報が含まれています。これはアクセス・ログに置かれる情報と同じですが、古いアクセス・ログが削除されるときに失われるのを防ぐために複製されます。
接続ログのメッセージはメッセージの原因に従って分類されます。次の表は、接続ログに含むことができるメッセージ・カテゴリのリストです。
接続ログ・メッセージのフォーマットは次のとおりです。
timestamp - category - severity - connectionNumber operationNumber messageID operationType messageText
重大度は常にINFOです。
例23-4 接続ログの抜粋
[06/Sep/2010:15:10:29 +0200] - CONN_CONNECT - INFO -
conn=110 client=127.0.0.1:44344 server=localhost:14600 protocol=LDAP
[06/Sep/2010:15:10:30 +0200] - CONN_DISCONNECT - INFO -
conn=110 reason="unbind"
[06/Sep/2010:15:15:09 +0200] - CONN_CONNECT - INFO -
conn=111 client=127.0.0.1:44364 server=localhost:14600 protocol=LDAP
[06/Sep/2010:15:15:10 +0200] - CONN_DISCONNECT - INFO -
conn=111 reason="unbind"
[06/Sep/2010:15:47:37 +0200] - CONN_CONNECT - INFO -
conn=112 client=127.0.0.1:55225 server=localhost:14600 protocol=LDAP
[06/Sep/2010:15:48:10 +0200] - CONN_CONNECT - INFO -
conn=113 client=127.0.0.1:55244 server=localhost:14600 protocol=LDAP
[06/Sep/2010:15:49:08 +0200] - CONN_DISCONNECT - INFO -
conn=112 reason="unbind"
[06/Sep/2010:15:50:10 +0200] - CONN_DISCONNECT - INFO -
conn=113 reason="unbind"
接続メッセージおよび切断メッセージは、アクセス・ログの接続メッセージと切断メッセージに似ています。「アクセス・ログ、エラー・ログおよび監査ログの内容」を参照してください。
バインド・ログ・メッセージはバッファに格納されます。バッファはバインド・ログに対して次の時点でフラッシュされます。
バッファが一杯になったとき
バインド・ログがローテーションされたとき
Directory Proxy Serverが停止したとき
2.5秒ごと
デフォルトで、接続ログ・バッファのサイズは1Mです。ただし、バッファのサイズを構成してフラッシュされる頻度を制御できます。バッファ・サイズを0に設定すると、バッファリングが無効に(Directory Proxy Serverが遅く)なります。
log-buffer-sizeプロパティを設定することにより、バインド・ログ・バッファのサイズを構成できます。バインド・ログ・プロパティの構成方法の詳細は、『Oracle Directory Server Enterprise Edition管理者ガイド』のDirectory Proxy Serverのログの構成に関する説明を参照してください。
アクセス・ログはサーバーへのクライアント・アクセスとそれに対するサーバーのレスポンスを示します。Directory Proxy Serverのアクセス・ログはさらに、データ・ソース(この場合はDirectory Serverのインスタンス)に対する接続のセットアップに関する情報も示します。
クライアント・リクエストの追跡は、次の手順に分けることができます。
単一のクライアント接続内で実行された操作の追跡
特定の操作を実行したクライアントの識別
「接続のトラック」機能を有効化することを強く推奨します。この機能により、Directory Proxy Serverはアクセス・ログで、Directory Serverがそのアクセス・ログで使用する識別子と同じ識別子を使用できます。(Directory Proxy Serverにはさらに、データ・ソース名のサフィックスがつきます。)これにより、接続のトラックというタスクが単純化されます。
Directory Proxy Serverで接続のトラック機能を有効化するには、次のコマンドを使用します。
$ dpconf set-ldap-data-source-prop myDataSource conn-track-enabled:true
この機能は各データ・ソースについて個別に有効化でき、LDAPリクエストのレスポンスとしての接続識別子を提供できるすべてのバックエンドをサポートします。リクエストのパラメータはすべて(ベースDN、スコープ、フィルタ、属性、バインドDNおよびパスワード)ユーザが構成できます。デフォルト値は、ODSEEのDirectory Serverに必要な値に一致するように定義されています。
各接続の作成と関連して、バックエンド・サーバーの接続識別子を取得するために、Directory Proxy Serverにより発行されたリクエストに対応する行を見つけます。
[timestamp] - SERVER_OP - INFO - conn=-1 op=-1 SEARCH base="cn=monitor" scope=0 filter="(objectClass=*)" attrs="clientConnectionID " s_msgid=1 [timestamp] - SERVER_OP - INFO - conn=-1 op=-1 SEARCH RESPONSE err=0 msg="" nentries=1 s_msgid=1 [timestamp] - SERVER_OP - INFO - Created connection for BIND s_conn=server-1:244 client=192.168.192.132:59100
バインドDNおよびパスワードを構成してある場合は、これらの行の前にバインド操作が配置される場合もあります。
接続のトラッキングが有効になっているとき、Directory Proxy Serverの識別子の番号部分の前に、文字dを置くことができます。
[timestamp] - SERVER_OP - INFO - conn=-1 op=-1 SEARCH base="cn=wrong base" scope=0 filter="(objectClass=*)" attrs="wrongAttribute " s_msgid=1
[timestamp] - SERVER_OP - INFO - conn=-1 op=-1 SEARCH RESPONSE err=32 msg="" nentries=0 s_msgid=1
[timestamp] - SERVER_OP - INFO - Created connection for BIND s_conn=server-2:d104 client=192.168.192.115:35100
サフィックスのdは、おそらくは構成に誤りがあったために、バックエンド・サーバーにより使用される接続識別子の取得にDirectory Proxy Serverが失敗したため、接続のトラッキングが無効になっているかのように、独自の接続番号を使用するように切り替えたことを示します。
Directory Proxy Serverは一般的に、クライアント接続を処理する前にバックエンド・サーバーへの接続をセットアップします。これには、Directory Proxy Serverがプール内の接続を維持し、必要な場合にのみバインディングと再バインディングを行って接続セットアップのオーバーヘッドを避ける意味があります。Directory Proxy Serverは、s_conn=data-source:numberという形式のタグを使用してこれらのバックエンド接続をアクセス・ログで識別します(data-sourceは構成のデータ・ソース名、numberはプロキシにより割り当てられたサーバー接続番号)。接続のトラッキング機能が有効になっていた場合、Directory Proxy ServerとDirectory Serverは接続のnumberを共有します。それ以外の場合、こうしたs_connサーバー接続は、接続の確立時にプロキシがクライアントとしてディレクトリに接続したときのポート番号を使用して、Directory Serverのアクセス・ログの接続番号に対して突き合わせることができます。したがって、プロキシ・アクセス・ログ・メッセージのs_connは、ディレクトリ・アクセス・ログ・メッセージのconnに変換できます。
Directory Proxy Serverのアクセス・ログでは、各クライアント操作が1つのCONNECTメッセージおよび1つのDISCONNECTメッセージに含まれています。これらの2つのメッセージ間に、複数のOPERATIONメッセージが表示される場合があります。各OPERATIONメッセージは複数のSERVER_OPメッセージを含むことができます。
OPERATIONメッセージとはクライアントにより実行された操作のことです。SERVER_OPメッセージとはDirectory Proxy Serverによって実行された操作のことです。
次のDirectory Proxy Serverのアクセス・ログの抜粋は、接続conn=0の開始(CONNECT)および終了(DISCONNECT)を示しています。ログは、クライアントによりこの接続に対して実行されたすべてのOPERATIONリクエストおよび、クライアントに代わってDirectory Proxy Serverによってバックエンド・サーバーに送信された関連のSERVER_OPリクエストを示しています。
[timestamp] - CONNECT - INFO - conn=0 client=192.168.192.132:59112 server=0.0.0.0:9389 protocol=LDAP[timestamp] - OPERATION - INFO - conn=0 op=0 BIND dn="uid=u1,ou=users,o=movie" method="SIMPLE"[timestamp] - SERVER_OP - INFO - conn=0 op=0 BIND dn="uid=u1,ou=users,o=movie" method="SIMPLE" s_msgid=2 s_conn=server-1:244[timestamp] - SERVER_OP - INFO - conn=0 op=0 BIND RESPONSE err=0 msg="" s_conn=server-1:244[timestamp] - OPERATION - INFO - conn=0 op=0 BIND RESPONSE err=0 msg="" etime=0[timestamp] - OPERATION - INFO - conn=0 op=1 msgid=2 SEARCH base="o=movie" scope=2 filter="(objectclass=*)"[timestamp] - SERVER_OP - INFO - conn=0 op=1 SEARCH base="o=movie" scope=2 filter="(objectclass=*)" s_msgid=3 s_conn=server-1:244[timestamp] - SERVER_OP - INFO - conn=0 op=1 SEARCH RESPONSE err=0 msg="" nentries=12 s_conn=server-1:244[timestamp] - OPERATION - INFO - conn=0 op=1 SEARCH RESPONSE err=0 msg="" nentries=12 etime=0[timestamp] - OPERATION - INFO - conn=0 op=2 UNBIND[timestamp] - DISCONNECT - INFO - conn=0 reason="unbind"
このログを辿れば、特定のクライアントによって、または特定のクライアントのために実行されたすべての操作をトラッキングできます。
Directory Proxy Serverは起動時に、その構成内で識別されるすべてのリモート・サーバーとの接続を確立します。これらの接続はDirectory Proxy Serverのアクセス・ログに記録され、フィールドs_conn=server-name:numberにより識別されます。server-nameはDirectory Proxy Serverの構成で定義される、特定のバックエンド・サーバーのことです。この番号がバックエンド・サーバーへの接続を識別します。
たとえば、Directory Proxy Serverの次の抜粋で、s_conn=server-1:244はポート59100を介した、リモート・サーバーserver-1への接続です。
[timestamp] SSERVER_OP - INFO - Created connection for BIND s_conn=server-1:244 client=192.168.192.132:59100
この接続が確立されると、Directory Serverのアクセス・ログの該当する行に、ポート59100を介したDirectory Proxy Serverからの接続が接続ID conn=244により識別されることが表示されます。
[timestamp] conn=244 op=-1 msgId=-1 - fd=19 slot=19 LDAP connection from 192.168.192.132:59100 to 192.168.192.132
この接続IDは、conn-track-enabledプロパティがtrueに設定されている場合にのみ、Directory Proxy ServerおよびDirectory Serverとで同じです。それ以外の場合、IDは一致せず、ポート番号を使用して手動でマッピングする必要があります。
この接続の残りの存続時間について、Directory Proxy Serverのserver-1:244をDirectory Serverのconn=244にマップできます。
Directory Proxy ServerからバックエンドのDirectory Serverへの接続は数日間存続できることに注意してください。自動的にせよ手動でにせよ、ログをローテーションした場合は、接続中に実行された操作をトレースするためにアーカイブ済ログ・ファイルへのアクセスが必要になることがあります。この情報は、ログがアクティブにされたときにも接続ログに表示されます。
クライアントはそのIPアドレスと、オプションでそのバインドDNにより、アクセス・ログで識別されます。クライアントがDirectory Proxy Serverへの接続を確立すると、Directory Proxy Serverのアクセス・ログには次のようなメッセージが記録されます。
[timestamp] - CONNECT - INFO - conn=45 client=IP1:port1 server=IP2:port2 protocol=LDAP
Directory Proxy Serverはこのクライアント接続をconn=45として識別します。
Directory Proxy ServerがリモートのDirectory Serverとの接続を確立したときには、Directory Proxy Serverのアクセス・ログに次のようなメッセージが記録されます。
[timestamp] - SERVER_OP - INFO - Created connection for READ s_conn=server-1:103 client=IP2:port3 server=IP4:port4 protocol=LDAP main
Directory Proxy Serverはリモート・サーバーへのこの接続をs_conn=server-1:103として識別します。
同時に、Directory Serverのアクセス・ログには次のようなメッセージが記録されます。
[timestamp] conn=103 op=-1 msgId=-1 - fd=23 slot=23 LDAP connection from IP2:port3 to IP4
Directory Serverはこの接続をconn=103として識別します。
識別子は、接続のトラッキング機能が有効になっている場合にのみ一致します。
このようにして接続のトラッキングにより、ユーザーはクライアントからDirectory Serverへの接続の絶対パスを識別できます。
Directory Proxy Serverはリモート・サーバーへの接続を確立する前には、クライアント接続への待機を行いません。Directory Proxy Serverの構成は、特定の接続をバインド操作専用とし、それ以外の接続を読取り操作、そして書込み操作用に指定します。Directory Proxy Serverは起動時に、この構成に従ってリモート・サーバーへのすべての接続を確立します。
接続(クライアントからDirectory Serverへの)が完全に確立されると、クライアントはそのDNにより識別できます。
Directory ServerはそのクライアントDNを次のいずれかとして認識します。
真のクライアント・バインドDN。Directory Proxy Serverがバインドを使用モードで構成されている場合、このバインドDNは、クライアント固有のバインドDNです。
変更されたクライアント・バインドDN。このバインドDNは、Directory Proxy Serverがユーザー・プロキシ認証制御モードで構成されている場合に変更されます。DNはDNリネーム変換またはユーザー・マッピングの結果、変更されます。
1つの接続は複数のクライアントにより使用できます(ただし、同時には使用できません)。アクセス・ログでクライアント接続を正確に識別するには、Directory Proxy ServerとDirectory Serverを同期させる、つまり、サーバー・クロックをできるだけ近づける必要があります。これにより、両者のアクセス・ログのタイムスタンプが対応することが保証されます。サーバーが同期されていない場合、ユーザーがタイム・サーバーを使用して同期するか、サーバー・クロック間の差を評価し、この差を考慮してアクセス・ログを検索する必要があります。
