Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
ロギングを有効化すると、問題のトラブルシューティングやルールのテストに役立ちます。ルール・ロギングでは、VR_RULE_LOGS表に行が書き込まれます。
Oracle Adaptive Access Managerでは、様々なチェックポイント(「認証前」、「認証後」など)で各種ポリシーおよびルールを実行するときに、ルール・ログが記録されます。
Oracle Adaptive Access Managerでは、2つのルール・ログイン・オプションをサポートしています。
詳細ルール・ロギング - 詳細ルール・ロギングでは、各ルール・レベルで要する時間が記録されます。
フィンガープリント・ルール・ロギング - フィンガープリント・ルール・ロギングでは、ポリシー・レベルで要する時間のみが記録されます。フィンガープリント・ルール・ロギングでは、データベースのロギング・オーバーヘッドが減少するため、パフォーマンスが改善されます。11gでは、ルール・ログ・フィンガープリントはデフォルトで有効化されています。
所要時間の値は、パフォーマンス統計およびルールやポリシーの実行に要した時間の長さを表します。
注意: 本番マシンでは、ロギングの容量が増えるとパフォーマンスに悪い影響を与えるため、ロギングの有効時間を管理する必要があります。 |
ルール・ロギングによって必須のルール処理情報が記録され、管理者がユーザー・セッションの必須情報を監視できるようになります。ルール・ログ詳細は、多様なポリシーとルールを異なるチェックポイントで実行するときにVR_RULE_LOGS表に取得されます。
フィンガープリント・ルール・ロギングでは、実行されたポリシーおよびルールが記録されます。フィンガープリント・ベースのログは、ルール・ログを短くしたものです。アラート・ソースやルールごとの時間などは含まれません。フィンガープリント・ベースのロギングは、データの増大を極力避け、ロギング・オーバーヘッドも最小限に抑える目的で行います。フィンガープリントは、トリガーされた一連のルールのダイジェストです。一連のルールがトリガーされると、トリガーされたルールのダイジェストが作成され、データベースに保持されます。次回この同じ一連のルールがトリガーされると、このダイジェストが再使用されて保持されるため、新しいセッションで実行時に同じダイジェストが使用されます。フィンガープリント・ロギングが実行されると、ルールおよびポリシーの実行に必要な時間は取得されず、「セッション詳細」ページに「-1」または「N/A」と表示されます。フィンガープリント・ロギングはデフォルトで有効化されています。
詳細ルール・ロギングでは、実行されたルールおよびルールまたはポリシーの実行にかかった時間の長さが取得されます。実行時間はパフォーマンス統計で使用されます。詳細ルール・ログは、実行時間が構成されているしきい値を超えた場合にのみ作成されます。本番マシンでは、ロギングの量が増えるとパフォーマンスに悪い影響を与える可能性があるため、詳細ロギングを有効にする前に、時間の長さを管理する必要があります。実行時間の長いルール(ランタイム)に関する詳細が記録されると、ロギングのオーバーヘッドは減少します。
実行時に異常なほどの時間が必要な場合は、ルールの実行に非常に時間がかかる理由について詳細な分析を実行できるように、詳細ルール・ロギングを実行する必要がある場合があります。フィンガープリント・ロギングでは、所要時間の情報は取得されません。所要時間は、実行時間が遅いことをトラブルシューティングする際の重要な要因です。詳細ロギングでは、デフォルトでは、トリガーされたルールのログ・タイミングのみが記録されます。トリガーされないルールも取得するように指定しないかぎり、トリガーされないルールは記録されません。トリガーされないルールは、フィンガープリント・ルール・ロギングで取得されます。
VR_RULE_LOGS表を使用して管理者がルールのステータスを表示できます。この情報はルールのトラブルシューティングに使用できます。
このようなステータス列についてここで説明します。
0 = notfired
ルールがテストされたが、条件が満たされないため、ルールがトリガーされませんでした。
notfired
ステータスではルール・ログが常に作成されるとはかぎりません。notfired
ステータスの表示または非表示を制御するプロパティがあります。
vcrypt.tracker.rules.trace.notTriggered
がfalse
に設定されると、notfired
ステータスのルール・ログはまったく作成されません。
プロパティvcrypt.tracker.rules.trace.notTriggered.logMillis
にはしきい値(ミリ秒)が含まれます。ルールの実行時間がこのしきい値より数ミリ秒短いと、ルール・ログは作成されません。
notfired
ステータスのルールを常にロギングする場合は、vcrypt.tracker.rules.trace.notTriggered
をtrue
、vcrypt.tracker.rules.trace.notTriggered.logMillis
を0に設定します。
notfired
ステータスのルールをまったくロギングしない場合は、vcrypt.tracker.rules.trace.notTriggered
をfalseに設定します。
条件をテストするために実行が一定時間を超えるnotfired
ステータスのルールのみをロギングする場合は、vcrypt.tracker.rules.trace.notTriggered
をtrue
に設定し、vcrypt.tracker.rules.trace.notTriggered.logMillis
を必要なしきい値(ミリ秒)に設定します。
1 = fired
ルールがテストされ、条件が満たされたため、ルールがトリガーされました。
2 = override
現在、このステータスは使用されません。
3 = error
このルールのテスト中に内部エラーが発生しました。詳細はログをチェックしてください。
ステータス4-8
これらの列は事前条件に対応します。デバイス、市町村、都道府県、国またはグループを除外するように事前条件が設定されたために、ルールがテストされなかった場合、ルール・ログには事前条件と一致するステータスが示されます。
4 = deviceScoreExclude
5 = cityScoreExclude
6 = stateScoreExclude
7 = countryScoreExclude
8 = groupExclude
99 = unknown
このステータスのルール・ログは生成されるべきではありません。
表L-1に、ルール・ロギングの構成プロパティを示します。
表L-1 ルール・ロギングのプロパティ
プロパティ | 説明 |
---|---|
vcrypt.tracker.rules.trace.policySet |
True/False ルール・ロギングを有効化します。 |
True/False ルール・ロギングを有効化します。ルールを記録するチェックポイントを指定できます。変数checkpointは、チェックポイントに対応します。 特定のチェックポイントでロギング構成が明示的に設定されている場合、ルール・エンジンではその値が使用されますが、それ以外の場合は、vcrypt.tracker.rules.trace.policySetの値が使用されます。 |
|
vcrypt.tracker.rules.trace.policySet.min.ms |
1000 (ミリ秒) ルール・ロギングを実行するタイミングを指定します。ルール・ロギングを有効化するには、このプロパティを構成する必要があります。このプロパティは、実行時間の総所要時間がこの値を上回った場合にのみロギングが実行されるように構成できます。このプロパティを設定すると、総所要時間が1000msを上回る場合にのみ、すべてのランタイム・プロセスを記録します。 -1 前述のプロパティ値では「セッション詳細」ページにルールのログが表示されない場合は、この値を-1に変更します。 |
vcrypt.tracker.rules.trace.notTriggered |
False
|
vcrypt.tracker.rules.trace.notTriggered.logMillis |
記録するルールを絞り込みます。 トリガーされないルールのルール実行が指定した値を上回る場合に、トリガーされないルールが記録されます。 |
2000 詳細ロギングに必要な最小時間を決定します。実行時間がしきい値を超える場合にのみ詳細ルール・ログが作成されるようにルール・ロギングを構成できます。この方法で実行時間の長いルール(ランタイム)に関する詳細が記録されるため、詳細ロギングのオーバーヘッドは減少します。 ルールのロギングのしきい値を制御します。詳細なロギングは実行時間に依存するため、アラートの実行時間が2000ミリ秒未満である場合、デフォルトでは「セッションの詳細」ページにトリガー・ソースは表示されません。 |
|
vcrypt.tracker.rulelog.fingerprint.enabled |
True/False フィンガープリント・ロギングを有効化します。 |
vcrypt.tracker.rulelog.exectime.maxlimit |
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを決定します。この値を超えた場合、詳細ロギングが実行されます。このプロパティが-1に設定されている場合は、両方が実行されます。 |
プロパティ・エディタを使用して、ルール・ロギングを有効化します。手順は次のとおりです。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
「名前」
フィールドに「vcrypt.tracker.rules.trace.policySet」と入力し、「検索」をクリックします。
「検索結果」セクションに、このプロパティが表示されます。
「検索結果」セクションで、このプロパティをクリックして選択します。
vcrypt.tracker.rules.trace.policySet
の詳細セクションで、「値」フィールドにtrue
と入力します。
「保存」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
プロパティが存在しない場合は、プロパティ検索ページで「新規プロパティ」ボタンまたは「新規プロパティの作成」アイコンをクリックします。
「新規プロパティ」ダイアログが表示されます。
「新規プロパティ」ダイアログで、プロパティの名前および値を入力します。
「作成」をクリックします。
プロパティ・エディタを使用して、特定のチェックポイントのルール・ロギングを有効化します。手順は次のとおりです。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
プロパティ検索ページで、「新規プロパティ」ボタンまたは「新規プロパティの作成」アイコンをクリックします。
「新規プロパティ」ダイアログが表示されます。
「新規プロパティ」ダイアログで、「名前」フィールドにvcrypt.tracker.rules.trace.policySet
.checkpoint
と入力します。
「値」
フィールドに「true」と入力し、「作成」をクリックします。
プロパティの組合せによるチェックポイントのルール・ロギングの制御方法を説明するためのマトリクスを次に示します。認証後チェックポイントを使用して、ルール・ロギングのフローを説明します。
フローは次のとおりです。
ルール・エンジンにより、vcrypt.tracker.rules.trace.policySet.postauth
の構成がチェックされます。
vcrypt.tracker.rules.trace.policySet.postauth
の構成が存在しない場合は、vcrypt.tracker.rules.trace.policySet
の構成値がチェックされます。
特定のチェックポイントでロギング構成が明示的に設定されている場合、ルール・エンジンではその値が使用されます。それ以外の場合は、vcrypt.tracker.rules.trace.policySet
の値が使用されます。
次の表に、特定のチェックポイントで値の組合せによってロギングを制御する方法を例示します。
vcrypt.tracker.rules.trace.policySet.postauth | vcrypt.tracker.rules.trace.policySet | チェックポイントのルール・ロギングが有効か |
---|---|---|
true |
false |
はい |
true |
true |
はい |
true |
未設定 |
はい |
false |
false |
いいえ |
false |
true |
いいえ |
false |
未設定 |
いいえ |
未設定 |
false |
いいえ |
未設定 |
true |
はい |
未設定 |
未設定 |
はい |
トリガーされないルールを記録するためにルール・ロギングを構成するには、プロパティ・エディタを使用して次のプロパティを設定します。
vcrypt.tracker.rules.trace.notTriggered=[true|false] vcrypt.tracker.rules.trace.notTriggered.logMillis=[millis]
vcrypt.tracker.rules.trace.notTriggered
の値を通じて、ログにルールを追加できます。true
に設定すると、トリガーされないルールも、トリガーされたルールとともに記録されます。
vcrypt.tracker.rules.trace.notTriggered.logMillis
の値を通じて、ロギング対象とするルールを絞り込むことができます。
トリガーされないルールのルール実行がvcrypt.tracker.rules.trace.notTriggered.logMillis
の値を上回った場合にのみ、ルール・エンジンによってトリガーされないルールが記録されます。
次の表に、トリガーされないルールのルール・ロギングを制御するプロパティ値を示します。
vcrypt.tracker.rules.trace.notTriggered | vcrypt.tracker.rules.trace.notTriggered.logMillis | 結果 |
---|---|---|
true |
n |
nミリ秒を超えるトリガーされないルールを記録します。nを負の値に設定すると、すべてのルールが記録されます。 |
false |
n |
トリガーされないルールは記録されません。 |
実行時間の長いルール(ランタイム)の詳細が記録されるように、詳細ロギングの最小必要時間を構成します。詳細ルール・ログは、実行時間がしきい値を超えた場合にのみ作成されます。
ナビゲーション・ツリーで、「環境」の下にある「プロパティ」をダブルクリックします。
「名前」フィールドに「vcrypt.tracker.rulelog.detailed.minMillis」と入力し、「検索」をクリックします。
「結果」表で、「vcrypt.tracker.rulelog.detailed.minMillis」を選択します。
「詳細vcrypt.tracker.rulelog.detailed.minMillis」セクションで、「値」フィールドの値を編集します。
「保存」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ポリシーの所要時間が指定したnミリ秒を上回ると、Oracle Adaptive Access Managerによって詳細ルール・ロギングが開始されます。
フィンガープリント・ルール・ロギングを有効化または無効化するには、プロパティ・エディタを使用して次のプロパティを変更します。
vcrypt.tracker.rulelog.fingerprint.enabled=true
次のプロパティを設定できます。
フィンガープリント・ロギングまたは詳細ロギングの一方の実行
フィンガープリント・ロギングおよび詳細ロギングの両方の実行
フィンガープリント・ロギングのしきい値
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを指定する
フィンガープリント・ロギングと詳細ロギングのどちらを実行するかを決定するには、次のプロパティを設定します。
vcrypt.tracker.rulelog.exectime.maxlimit
この値を超えた場合、詳細ロギングが実行されます。
その他の制限を考慮するように指定する
両方の使用を決定するにあたり、指定したすべてのプロパティを考慮するには、次のように設定します。
vcrypt.tracker.rulelog.exectime.maxlimit=-1
両方を使用しないように指定する
両方のロギング・メカニズム(詳細およびフィンガープリント)を使用してロギングを実行するように指定するには、次のプロパティを使用します。
vcrypt.tracker.rulelog.logBoth
これをtrueに設定します。この値は、vcrypt.tracker.rulelog.exectime.maxlimit
をオーバーライドします。
フィンガープリント・ロギングの時間しきい値を構成する
フィンガープリント・ルール・ロギングを開始するまでの猶予となる時間しきい値を変更するには、次のプロパティをミリ秒単位で設定します。
vcrypt.tracker.rulelog.exectime.maxlimit=