Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionリファレンス 11g リリース1 (11.1.1.7.0) B72441-01 |
|
前 |
次 |
Directory Serverで使用されるログ・タイプおよびサーバー・ログの説明の詳細は、次の項を参照してください。
次の表は、Directory Serverによって使用される様々なログをまとめたものです。
表10-1 Directory Serverによって使用されるログ
ログ | タイプ | 説明 |
---|---|---|
トランザクション・ログ |
データベース |
更新操作の結果のコードがクライアント・アプリケーションに返される前に、ディスクのトランザクション・ログに各更新操作をコミットすることによって、データの整合性を確保します。 Directory Serverは更新操作を受け入れる際に、操作についてのログ・メッセージをトランザクション・ログに書き込みます。システムがクラッシュした場合、Directory Serverはトランザクション・ログを使用してデータベースをリカバリします。 |
アクセス・ログ |
フラット・ファイル |
ディレクトリの使用パターンを評価し、構成設定を検証し、アクセス上の問題を診断します。アクセス・ログの詳細は、「アクセス・ログ」を参照してください。 |
エラー・ログ |
フラット・ファイル |
ディレクトリのデプロイメントをデバッグします。エラー・ログの詳細は、「エラー・ログ」を参照してください。 |
監査ログ |
フラット・ファイル |
セキュリティおよびデータの整合性に関する監査証跡を提供します。監査ログの詳細は、「監査ログ」を参照してください。 |
次のサーバー・プロパティによって、トランザクション・ログを構成します。
db-checkpoint-interval
Directory Serverがトランザクション・ログのチェックポイントを実行する回数で、データベース・システム全体がディスクに対して同期され、トランザクション・ログがクリーン・アップされることを確実にします。
db-durable-transaction-enabled
結果コードがクライアントに送信される前に、更新操作がディスクのトランザクション・ログに対してコミットされるかどうか。
db-log-buf-size
バッファが一杯になるか、あるいはトランザクションのコミットによってバッファがディスクに強制的に書き込まれるまでメモリーに格納される、ログ情報用のバッファ・サイズ。
db-log-path
トランザクション・ログのパス。
db-batched-transaction-count
ディレクトリ・データベースに対してコミットされる前に累積する、更新回数。
詳細は、サーバーに関する説明を参照してください。
アクセス・ログ、エラー・ログおよび監査ログは、操作に関する情報を含むフラット・ファイルです。ログの表示および構成方法の詳細は、Oracle Directory Server Enterprise Editionの管理に関するガイドの第14章のDirectory Serverのロギングについてを参照してください。
デフォルトでは、ログはディレクトリinstance-path
/logs/
に格納されています。
ログ・ファイルは、必要に応じてローテーションが可能で、特定の曜日および時刻にローテーションするようにスケジュール可能であったり、またはログ・ファイルが指定の最小サイズを超えた場合にローテーションが可能であったりします。
古いログ・ファイルは、同じ名前で、このファイルが作成された日付を含む拡張子(filename
.
YYYYMMDD
-
hhmmss
の形式)を持ち、同じパスに格納されます。サーバーは、すべてのログ・ファイルを作成日付を記録するために、同じ名前で.
rotationinfo
拡張子のファイルも保持します。
アクセス・ログ、エラー・ログおよび監査ログの詳細は、次の項を参照してください。
アクセス・ログには、LDAPクライアントとディレクトリ・サーバー間の接続に関する情報が含まれています。接続は、同じクライアントからの一連のリクエストであり、次のコンポーネントを含みます。
接続索引およびクライアントのIPアドレス
バインド・レコード
バインド結果レコード
操作要求と操作結果が対になった一連のレコード(接続レコード、接続解除レコードおよび中断レコードの場合は単独のレコード)
バインド解除レコード
接続解除レコード
エラー・ログには、エラーに関する一意の識別子、警告または情報のメッセージ、および人が理解できる形式のメッセージが含まれます。エラーは、次の重大度に従って定義します。
深刻なエラーです。ディレクトリ・データの損失または破損を回避するために、今すぐアクションが必要です。
重要なエラーです。将来に深刻なエラーが発生することを防止するために、ある段階でアクションを行う必要があります。
情報メッセージであり、通常は深刻なアクティビティについて説明しています。処置は必要ありません。
監査ログには、構成またはサフィックス・エントリに対するすべての変更のレコードが含まれます。変更は、LDIF形式で書き込まれます。
デフォルトでは、監査ロギングは有効になっていません。監査ロギングを有効化するには、『Oracle Directory Server Enterprise Edition管理者ガイド』の手順の監査ログの有効化に関する説明を使用します。
この章の以降の項では、ログ・ファイルの各部分について説明します。
アクセス・ログ・ファイルの各行は、[20/Dec/2006:11:39:51 -0700]
のような形式のタイム・スタンプで開始します。タイム・スタンプ-0700
は、GMTとの関連で時差を示します。
タイム・スタンプの形式は、ご使用のプラットフォームによって異なる可能性があります。接続レコード、接続解除レコードおよび中断レコードが、個別に表示されます。その他のレコードがペアで表示され、すべてサービス要求レコードとそれに続く結果レコードのペアで示されます。このレコードのペアは、通常は隣接する行に示されますが、そうでない場合もあります。
接続番号は、conn=
値によって示されます。すべての外部リクエストは、増分方式の接続番号でリスト表示されます。
conn=Internal
の場合、この操作は内部操作です。内部アクセス操作をログに記録するには、dsconf
構成属性でacc-internal
のアクセス・ロギング・レベルを指定します。
ファイル記述子は、fd=
値によって示されます。
外部LDAPクライアントからディレクトリ・サーバーへの接続ごとに、オペレーティング・システムのファイル記述子が必要です。利用可能なファイル記述子のプールから、ファイル記述子が取得されます。
スロット番号は、ファイル記述子と同じ意味を持ちます。スロット番号はアクセス・ログのレガシー部分であるため、無視できます。
操作番号は、op=
値によって示されます。
接続に関して、すべての操作リクエストおよび結果のペアは、op=0
で始まる増分方式の任意の操作番号です。操作番号は、実行されている操作を識別します。
op=-1
の場合、接続へのLDAPリクエストは外部LDAPクライアントによっては発行されず、内部的に開始されます。
方法のタイプは、method=
値によって示されます。
方法のタイプは、クライアントによって使用されるバインドの方法を示しています。方法のタイプは、次の値のいずれかが可能です。
0
認証なし
128
ユーザーのパスワードによる簡単なバインド
sasl
外部認証メカニズムを使用したSASLバインド
LDAPのバージョンは、LDAPv2
またはLDAPv3
です。LDAPバージョンは、LDAPクライアントがLDAPサーバーと通信するために使用したLDAPバージョン番号を示します。
エラー番号は、err=
番号によって示されます。
エラー番号は、LDAP操作から返されたLDAP結果コードを示します。LDAPのエラー番号0
は、その操作が正常に終了したことを表します。LDAP結果コードのリストについては、「ログ・ファイルにおける結果コード」を参照してください。
タグ番号は、tag=
値によって示されます。
タグは、メッセージのデコードのために内部的に使用され、外部向けの使用は意図していません。頻繁に使用されるタグを次に示します。
tag=97
クライアントのバインド操作
tag=100
検索していたエントリ
tag=101
検索操作の結果
tag=103
変更操作の結果
tag=105
追加操作の結果
tag=107
削除操作の結果
tag=109
DN操作の変更の結果
tag=111
比較操作の結果
tag=115
検索を実行するエントリに、要求するエントリへのリフェラルが保持されている場合の検索参照。検索参照はリフェラルによって表されます。
tag=120
拡張操作の結果
エントリの数は、nentries=
値によって示されます。
エントリ数は、LDAP検索リクエストと一致したエントリの数を示します。
経過時間は、etime=
値によって示されます。
経過時間は、LDAP操作の実行にかかった時間を示します。etime
の値が0
の場合は、操作の実行にかかった時間がミリ秒単位であったことを示します。
ミリ秒単位の時間をログに記録するには、dsconf
構成属性でacc-timing
のアクセス・ロギング・レベルを指定します。
LDAPリクエスト・タイプは、LDAPクライアントによって作成されたLDAPリクエストのタイプを示します。作成される可能性があるLDAPリクエストは、次のタイプです。
SRCH
検索
MOD
変更
DEL
削除
ADD
追加
MODDN
DNの変更
EXT
拡張操作
ABANDON
中止操作
COMPARE
比較操作
LDAPレスポンス・タイプは、サーバーによって返されたLDAPレスポンスを示します。返される可能性があるLDAPレスポンスは、次となっています。
RESULT
結果
ENTRY
エントリ
REFERRAL
リフェラルまたは検索参照
索引付けされていない検索インジケータは、notes=U
で示されます。
索引付けされていない検索では、索引ファイルのかわりにデータベースが検索されます。索引付けされていない検索は、次の理由によって発生します。
検索で使用された索引ファイルにおいて、すべてのIDのしきい値に到達
索引ファイルが存在しない
索引ファイルが、検索に必要な方法で構成されていない
索引付けされていない検索は、索引付けされている検索よりも一般に多くの時間を必要とするため、多くの場合、索引付けされていない検索インジケータのetime
値は大きくなります。
拡張操作OIDは、EXT oid="
OID番号"
によって示されます。サポートされる拡張操作のリストは、extended-operationsを参照してください。
レプリケーションの変更シーケンス番号は、csn=
値によってログ・ファイルに示されます。
変更シーケンス番号の存在によって、このネーミング・コンテキストでレプリケーションが有効になっていることを示します。
中止メッセージは、ABANDON
によって示されます。
中止メッセージの存在は、操作が中断されたことを示しています。メッセージIDが中止された操作の検索に成功した場合、ログ・メッセージは次のように読み取ります。
conn=12 op=2 ABANDON targetop=1 msgid=2 nentries=0 etime=0
ただしメッセージIDが操作の検索に成功しなかった場合、またはABANDON
リクエストが送信される前に操作がすでに終了している場合、ログ・メッセージは次のように読み取ります。
conn=12 op=2 ABANDON targetop=NOTFOUND msgid=2
中止メッセージは、次のパラメータを使用します。
nentries
操作が中止されるまでに送信されたエントリ数を示します。
etime
操作が中止されるまでに経過した秒数を示します。
targetop
中止される操作を識別します。値がNOTFOUND
の場合、中止する操作が不明な操作であったか、またはすでに完了していたことを示します。
メッセージIDは、msgId=
値によって示されます。
メッセージIDは、クライアントによって生成されたLDAP操作識別子です。メッセージIDは操作番号に対して異なる値である可能性がありますが、同じ操作を識別します。ABANDON
操作におけるメッセージIDは、どのクライアント操作が中止されているかを明示します。
操作番号は、0から始まります。ただし多くのクライアントの実装では、メッセージID番号は1から始まります。したがって多くの場合、メッセージIDは操作番号に1を加えたものと同じになります。
Directory Serverは複数の段階があるバインド・プロセスにおける各段階をログに記録し、該当する場合は、進行状況の報告「SASL bind in progress
」が含まれます。
アクセス制御の決定に使用されるDNはBIND結果行にログが記録され、バインド・リクエスト行には記録されません。
conn=14 op=1 RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=myname,dc=example,dc=com"
SASLバインドの場合、バインド・リクエスト行に表示されるDN値はサーバーでは使用されないので、この値はSASLバインドとは関係ありません。ただしSASLバインドの場合、認証されたDNは監査目的に使用される必要があります。したがって、認証されたDNは明確にログに記録される必要があります。認証されたDNをバインド結果行にログ記録することによって、どちらのDNであるのかとの混乱を回避できます。
オプションの説明でoptions=persistent
については、永続検索が実行されていることを示しています。永続検索は監視の一形態として利用でき、特定の構成に対する変更を返すように設定できます。アクセスログでは、永続検索と通常の検索が区別されます。
接続コードは、ログ・ファイルのclosing
メッセージに含まれます。接続コードは、接続解除の理由に関する追加情報を提供します。次の表は、共通の接続コードを説明しています。
次の表は、LDAPサーバーおよびLDAPクライアントによって生成されたLDAP結果コードをまとめたものです。
表10-2 LDAPサーバーの結果コードのまとめ
結果コード | 説明 |
---|---|
0 |
正常終了 |
1 |
操作エラー |
2 |
プロトコル・エラー |
3 |
時間制限を超過しました |
4 |
サイズ制限を超過しました |
5 |
Falseを比較 |
6 |
Trueを比較 |
7 |
認証方法がサポートされていません |
8 |
強い認証が必要です |
9 |
受信した結果とリフェラルは一部分です |
10 |
リフェラル受信済 |
11 |
管理上の制限を超過しました |
12 |
クリティカルな拡張機能を使用できません |
13 |
機密性が必要です |
14 |
SASLバインドが進行中です |
16 |
そのような属性はありません |
17 |
未定義の属性タイプ |
18 |
不正な照合 |
19 |
制約違反 |
20 |
タイプまたは値が存在しています |
21 |
無効な構文 |
32 |
該当オブジェクトなし |
33 |
エイリアスの問題 |
34 |
無効なDN構文 |
35 |
オブジェクトはリーフです |
36 |
別名の参照解除の問題 |
48 |
不正な認証 |
49 |
無効な資格証明 |
50 |
アクセス権限が不十分です |
51 |
サーバーがビジー状態です |
52 |
サーバーが利用できません |
53 |
サーバーで実行が受け付けられません |
54 |
ループを検出 |
64 |
ネーミング違反 |
65 |
オブジェクト・クラス違反 |
66 |
非リーフ・エントリに対する操作は許可されていません |
67 |
RDNに対する操作は許可されていません |
68 |
エントリがすでに存在します |
69 |
オブジェクト・クラスを変更できません |
70 |
結果が大きすぎます |
71 |
複数サーバーへ影響します |
76 |
仮想一覧表示エラー |
表10-3 LDAPクライアントの結果コードのまとめ
結果コード | 説明 |
---|---|
80 |
不明なエラー |
81 |
LDAPサーバーに接続できません |
82 |
ローカル・エラー |
83 |
エンコーディング・エラー |
84 |
デコード・エラー |
85 |
タイムアウト |
86 |
認証方式が不明です |
87 |
検索フィルタが正しくありません |
88 |
ユーザーが操作を取り消しました |
89 |
LDAPルーチンに対するパラメータが正しくありません |
90 |
メモリー不足 |
91 |
LDAPサーバーに接続できません |
92 |
このバージョンのLDAPでサポートされていません |
93 |
リクエストされたLDAP制御が見つかりません |
94 |
結果は返されませんでした |
95 |
戻される追加結果 |
96 |
クライアントのループ検出 |
97 |
リフェラル・ホップの制限を超過しました |