Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-04 |
|
![]() 前 |
![]() 次 |
ロギングを有効化すると、問題のトラブルシューティングやルールのテストに役立ちます。この付録では、OAAMでルール・ロギングを構成する方法について説明します。
この項は、次の項目で構成されています。
Oracle Adaptive Access Managerでは、ロギングを有効化すると問題のトラブルシューティングやルールのテストに役立ちます。ルール・ログ詳細は、各チェックポイント(認証前や認証後など)で様々なポリシーとルールの実行中に取得され、このログ情報を管理者は各セッションで表示できます。フィンガープリント処理ベースのルール・ロギングは、データベースにおけるロギングのオーバーヘッドが軽減されるため、パフォーマンス上の理由で詳細ロギングのかわりに使用できます。次の項で説明するように、各ロギング・メカニズムはプロパティで構成できます。
注意: 11gでは、ルール・ログ・フィンガープリントはデフォルトで有効化されています。
この項の内容は次のとおりです。
ルール・ロギングを構成するには、OAAM管理コンソールの「プロパティ」エディタ・オプションを使用して、次の各プロパティを設定します。
vcrypt.tracker.rules.trace.policySet=[true|false] vcrypt.tracker.rules.trace.policySet.<checkpoint string value>=[true|false]
vcrypt.tracker.rules.trace.policySet
のデフォルト値はtrue
に設定されています。
手順は次のとおりです。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
「名前」
フィールドに「vcrypt.tracker.rules.trace.policySet」と入力し、「検索」をクリックします。
「検索結果」セクションに、このプロパティが表示されます。
「検索結果」セクションで、このプロパティをクリックして選択します。
vcrypt.tracker.rules.trace.policySet
の詳細セクションで、「値」フィールドにtrue
と入力します。
「保存」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
プロパティが存在しない場合は、プロパティ検索ページで「新規プロパティ」ボタンまたは「新規プロパティの作成」アイコンをクリックします。
「新規プロパティ」ダイアログが表示されます。
「新規プロパティ」ダイアログで、プロパティの名前および値を入力します。
「作成」をクリックします。
ルールをロギングするチェックポイントを指定するには、次の手順を実行します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
プロパティ検索ページで、「新規プロパティ」ボタンまたは「新規プロパティの作成」アイコンをクリックします。
「新規プロパティ」ダイアログが表示されます。
「新規プロパティ」ダイアログで、「名前」フィールドにvcrypt.tracker.rules.trace.policySet
.checkpoint_string_value
と入力します。
「値」
フィールドに「true」と入力し、「作成」をクリックします。
profile.type.enum.postauth.name=「認証後」の場合、ランタイム文字列値は「postauth」です。
次の各項では、「認証後」チェックポイントを使用してルール・ロギングを例示します。
フローは次のとおりです。
ルール・エンジンにより、vcrypt.tracker.rules.trace.policySet.postauth
の構成がチェックされます。
vcrypt.tracker.rules.trace.policySet.postauth
の構成が存在しない場合は、vcrypt.tracker.rules.trace.policySet
の構成値がチェックされます。
特定のチェックポイントでロギング構成が明示的に設定されている場合、ルール・エンジンではその値が使用されます。それ以外の場合は、vcrypt.tracker.rules.trace.policySet
の値が使用されます。
次の表に、特定のチェックポイントで値の組合せによってロギングを制御する方法を例示します。
この例では、「認証後」チェックポイントを使用しています。
vcrypt.tracker.rules.trace.policySet.postauthの値 | vcrypt.tracker.rules.trace.policySetの値 | ルール・ロギングはpostauthチェックポイントに対して有効化されるか |
---|---|---|
true |
false |
はい |
true |
true |
はい |
true |
未設定 |
はい |
false |
false |
いいえ |
false |
true |
いいえ |
false |
未設定 |
いいえ |
未設定 |
false |
いいえ |
未設定 |
true |
はい |
未設定 |
未設定 |
はい |
ロギングするルールを構成するには、OAAM管理コンソールの「プロパティ」エディタ・オプションを使用して、次の各プロパティを設定します。
vcrypt.tracker.rules.trace.notTriggered=[true|false] vcrypt.tracker.rules.trace.notTriggered.logMillis=[millis]
vcrypt.tracker.rules.trace.notTriggered
の値を通じて、ログにルールを追加できます。「true」に設定すると、トリガーされないルールも、トリガーされるルールと一緒にロギングされます。
vcrypt.tracker.rules.trace.notTriggered.logMillis
の値を通じて、ロギング対象とするルールを絞り込むことができます。
トリガーされないルールがルール・エンジンによってロギングされるのは、トリガーされないルールの実行がvcrypt.tracker.rules.trace.notTriggered.logMillis
の値を上回った場合のみです。
詳細ルール・ロギングでは、各ルール・レベルで要する時間が記録されます。詳細ルール・ログは、実行時間がしきい値を超えた場合にのみ作成されます。実行時間の長いルール(ランタイム)に関する詳細がロギングされるため、詳細ロギングのオーバーヘッドはかなり大きくなります。
所要時間の値は、パフォーマンス統計およびルールやポリシーの実行に要した時間の長さを表します。
注意: 本番マシンでは、ロギングの容量が増えるとパフォーマンスに悪い影響を与えるため、ロギングの有効時間を管理する必要があります。 |
「セッション詳細」ページに表示される情報は、ルールの実行時に書き込まれるルール・ログに基づきます。
詳細ルール・ログは、次の2つのプロパティによって制御します。
#Int property determining minimum time required for detailed logging vcrypt.tracker.rulelog.detailed.minMillis=2000 #Boolean property which enables the fingerprint logging. Defaults to true vcrypt.tracker.rulelog.fingerprint.enabled=true
常にすべてのセッションの詳細ログが必要な場合は、前述の時間プロパティとその機能を調整します。
詳細ルール・ロギングを使用する場合は、時間しきい値xを構成して、ルールの所要時間がしきい値を上回った場合にのみロギングが実行されるようにできます。
ルール・ロギングを開始するまでの猶予となる時間しきい値を変更するには、次の手順を実行します。
ナビゲーション・ツリーで、「環境」の下にある「プロパティ」をダブルクリックします。
「名前」フィールドに「vcrypt.tracker.rulelog.detailed.minMillis」と入力し、「検索」をクリックします。
「結果」表で、「vcrypt.tracker.rulelog.detailed.minMillis」を選択します。
「詳細vcrypt.tracker.rulelog.detailed.minMillis」セクションで、「値」フィールドの値を編集します。
「保存」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ポリシーの所要時間が指定の時間x (ミリ秒)を上回ると、Oracle Adaptive Access Managerにより詳細ルール・ロギングが開始されます。
フィンガープリント・ルール・ロギングでの記録は、ポリシー・レベルで要する時間中にのみ行われます。フィンガープリント・ベースのログは、ルール・ログを短くしたものです。アラート・ソースやルールごとの時間などは含まれません。フィンガープリント・ベースのロギングは、データの増大を極力避け、ロギング・オーバーヘッドも最小限に抑える目的で行います。
フィンガープリント・ルール・ロギングを有効化または無効化するには、次のプロパティを変更します。
vcrypt.tracker.rulelog.fingerprint.enabled=true
次のプロパティを設定できます。
フィンガープリント・ロギングまたは詳細ロギングの一方の実行
フィンガープリント・ロギングおよび詳細ロギングの両方の実行
フィンガープリント・ロギングのしきい値
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを指定する
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを決定するには、次のプロパティを設定します。
vcrypt.tracker.rulelog.exectime.maxlimit
この値を超えた場合、詳細ロギングが実行されます。
その他の制限を考慮するように指定する
両方の使用を決定するにあたり、指定したすべてのプロパティを考慮するには、次のように設定します。
vcrypt.tracker.rulelog.exectime.maxlimit=-1
両方を使用しないように指定する
両方のロギング・メカニズム(詳細およびフィンガープリント)を使用してロギングを実行するように指定するには、次のプロパティを使用します。
vcrypt.tracker.rulelog.logBoth
これをtrueに設定します。この値は、vcrypt.tracker.rulelog.exectime.maxlimit
をオーバーライドします。
フィンガープリント・ロギングの時間しきい値を構成する
フィンガープリント・ルール・ロギングを開始するまでの猶予となる時間しきい値を変更するには、次のプロパティをミリ秒単位で設定します。
vcrypt.tracker.rulelog.exectime.maxlimit=