9.4 Webゲートのログ構成ファイルの構造およびパラメータ

ログ構成ファイルは標準形式に準拠します。パラメータの編集や、ログ・ハンドラ定義と呼ばれる特定のセクションの追加または除去はできますが、ログ構成ファイルの基礎となる形式の変更はできません。

この後の項では、次の項目について説明します。

• Webゲートのログ構成XMLファイル・ヘッダーの構造

• Webゲートの最初の複合リストの構造

• Webゲートの単純なリストのパラメータとロギングしきい値

• Webゲートの2番目の複合リストのパラメータとログ・ハンドラ

• モジュール固有のロギング用Webゲートのリストのパラメータ

• Webゲートのフィルタ・リストのパラメータ

• WebゲートのXML要素の順序

9.4.1 Webゲートのログ構成XMLファイル・ヘッダーの構造

XMLファイル・ヘッダーは、ログ構成ファイルの先頭にあります。

<?xml version="1.0" encoding="ISO-8859-1" ?> 

ヘッダーは次の目的で使用します。

• ヘッダーは、関連するXMLバージョン(常に1.0)を宣言します。

• また、エンコーディング形式(常にISO-8559-1)を宣言します。

9.4.2 Webゲートの最初の複合リストの構造

ヘッダーの後に、最初の複合リストが続きます。

最初の複合リストは次のように区切られます。

<CompoundList xmlns="http://www.oblix.com" ListName="logframework.xml.staging">
. . .
</CompoundList>

最初の複合リストの構造は次のとおりです。

• 複合リスト開始タグは、xmlnsパラメータ内のログ構成ファイルの関連XMLネームスペースを示します。

• また、複合リスト開始タグは、ListNameパラメータ内の複合リストの名前を指定します。

• 複合リスト終了タグは、ファイルの最後の近くで発生します。

  この複合リストは、すべての構成情報を区切ります。

9.4.3 Webゲートの単純なリストのパラメータとロギングしきい値

最初の複合リスト開始タグの後に、単純なリストでロギングのグローバル・デフォルトを設定します。

このリストの開始タグおよび終了タグは次のとおりです。

<SimpleList>
. . .
</SimpleList>

単純なリストの開始タグと終了タグとの間は、次のように構成します。

表9-4 最初の複合リストのグローバル・パラメータ

パラメータ	説明
LOG_LEVEL_THRESHOLD	デフォルトのロギングしきい値を設定します。 デフォルト値: LOGLEVEL_WARNING 使用可能な値: 「ログ・レベル」に記載されているログ・レベルを参照してください。 グローバルしきい値により、特定のレベルおよびより一般的なレベルのログを収集し、下位レベルのログが収集されるのを防ぐことができます。このしきい値は、モジュール固有のしきい値でオーバーライドされます。詳細は、「異なるデータのタイプへの異なるしきい値レベルの構成」を参照してください。
SECURE_LOGGING	セキュア・ロギングのメカニズムを動的に有効化または無効化します。サーバーやコンポーネントを再起動する必要はありません。 デフォルト値: On 使用可能な値: OnまたはOff
LOG_SECURITY_THRESHOLD_LEVEL	セキュア・ロギングが有効なログしきい値を示します。 デフォルト値: LOGLEVEL_TRACE 使用可能な値: 「ログ・レベル」に記載されているログ・レベルを参照してください。 ノート: LOG_THRESHOLD_LEVELとLOG_SECURITY_THRESHOLD_LEVELが同じか、互いに一貫性があることを確認してください。たとえば、LOG_THRESHOLD_LEVELがLOGLEVEL_TRACEに設定されており、LOG_SECURITY_THRESHOLD_LEVELがLOGLEVEL_WARNINGに設定されている場合、セキュア・ロギングはLOGLEVEL_WARNING以上に適用されますが、LOGLEVEL_TRACEには適用されません。
LOG_SECURITY_ESCAPE_CHARS	セキュア・ロギングのメカニズムによって追加の情報が上書きされるのを防ぐための、エスケープ・シーケンス文字を構成します。ここに示すようにカンマ区切りのリストを使用します。 デフォルト値: ),] 使用可能な値: 文字のみ ノート: デフォルト値を使用することをお薦めします。不適切な文字を構成すると、機密情報がマスキングされない可能性があります。
LOG_SECURITY_MASK_LENGTH	FILTER_LISTで指定されていない場合に、デフォルトのマスキングの長さを指定します。 デフォルト値: 300 使用可能な値: 正の整数 ノート: FILTER_LISTは、2番目の複合リスト(ログ・ハンドラ)の後に表示されます。詳細は、「機密属性のフィルタ処理」を参照してください。

次の例は、oblog_config_wg.xmlファイルの最初の複合リストに表示されるグローバル設定を含む単純なリストを示しています。

<SimpleList> 
   <NameValPair  
      ParamName="LOG_THRESHOLD_LEVEL"
      Value="LOGLEVEL_WARNING"> 
   </NameValPair>
   <NameValPair  
      ParamName="AUTOSYNC"
      Value="True"> 
</NameValPair>
   <NameValPair  
      ParamName="SECURE_LOGGING"
      Value="On"> 
</NameValPair>
   <NameValPair  
      ParamName="LOG_SECURITY_THRESHOLD_LEVEL"
      Value="LOGLEVEL_TRACE"> 
</NameValPair>
   <NameValPair  
      ParamName="LOG_SECURITY_ESCAPE_CHARS"
      Value="),]"> 
</NameValPair>
   <NameValPair  
      ParamName="LOG_SECURITY_MASK_LENGTH"
      Value="300">
</NameValPair> 
</SimpleList>

9.4.4 Webゲートの2番目の複合リストのパラメータとログ・ハンドラ

グローバル設定を含む単純なリストの後と最初の複合リストの開始タグおよび終了タグの間に、追加の複合リストを指定します。この複合リストには、ログ・ハンドラ定義が含まれます。

このリストの開始タグおよび終了タグは次のとおりです。

<CompoundList xmlns="http://www.oblix.com" ListName="LOG_CONFIG">
. . .
</CompoundList>

この複合リスト・タグは、次のように構成されます。

• 複合リスト開始タグ内で、xmlnsパラメータは関連XMLネームスペースを示します。

• また、開始タグでは、リストの名前をListNameパラメータに指定します。

  通常、このリストの名前はLOG_CONFIGです。

ログ・ハンドラの複合リストの開始タグと終了タグとの間に、1つ以上のValNameList要素を指定します。各ValNameList要素には、ログ・ハンドラ定義が含まれます。この要素の各インスタンスの開始と終了は、次のとおりです。

<ValNameList xmlns="http://www.oblix.com" ListName="Unique_Name">
. . .
</ValNameList>

ValNameList要素は次のように構成されます。

• 開始タグは、関連XMLネームスペースをxmlnsパラメータに設定します。

• また、開始タグは、ログ・ハンドラの名前をListNameパラメータに設定します。

ValNameListの開始タグと終了タグとの間に、ログ・ハンドラを構成します。ログ・ハンドラ定義には、3つの必須NameValPair要素が含まれます。

• 最初のNameValPair要素は、ログ・ハンドラのロギング・レベルを定義します。

  この要素にはParamName="LOG_LEVEL"文が含まれています。その値は、表9-1にある予約名になります(次を参照)。

  <NameValPair ParamName="LOG_LEVEL" Value="LOGLEVEL_FATAL" />
  

• 2番目のNameValPair要素は、ログ出力の宛先を定義します。

  この要素にはParamName="LOG_WRITER"文が含まれ、その値は次のように表9-3の予約名です。

  <NameValPair ParamName="LOG_WRITER" Value="SysLogWriter" />
  

• 3番目のNameValPair要素は、ログ・ハンドラのオンとオフを切り替えます。

  この要素にはParamName="LOG_STATUS"文が含まれ、次のように、OnまたはOffの値を伴います。

  <NameValPair ParamName="LOG_STATUS" Value="On" />
  

最後に、ValNameListの開始タグと閉じタグ内で、FileLogWriterまたはMPFileLogWriterをログ・ライターとして指定すると、次のうちの一部またはすべてを追加するか、いずれも追加しないようにできます。詳細は、表9-7を参照してください。

• 宛先ファイル名

  <NameValPair ParamName="FILE_NAME" Value="oblog.log" />
  

• バッファ・サイズ

  <NameValPair ParamName="BUFFER_SIZE" Value="65535" />
  

• 新しいログ・ファイルが生成される時期を決定するファイル・サイズ

  <NameValPair ParamName="MAX_ROTATION_SIZE" Value="52428800" />
  

• 新しいログ・ファイルが生成される間隔を決定する時間(分)

  <NameValPair ParamName="MAX_ROTATION_TIME" Value="86400" />
  

9.4.5 モジュール固有のロギング用Webゲートのリストのパラメータ

ログ・ハンドラを区切る複合リスト終了タグの後および最初の複合リストの終了タグの前に、モジュール固有のロギング・パラメータを追加できます。

詳細は、「異なるデータのタイプへの異なるしきい値レベルの構成」を参照してください。

9.4.6 Webゲートのフィルタ・リストのパラメータ

モジュール固有のロギング・パラメータの後で、ログ・ファイルからフィルタ除去する必要がある機密情報がフィルタ・リストにより識別されます。たとえば、パスワードとパスワードを忘れた場合の応答は、ログ・ファイルからフィルタで除去する必要がある機密情報です。

FILTER_LISTパラメータに関連付けられている名前と値の各ペアは、ログへの書込みの前にチェックする単語やフレーズの名前、およびその単語またはフレーズのマスキングの長さを指定します。ロギング時には、その単語またはフレーズがマスキングされ、ログ・ファイルから削除されます。

つまり、ロギング時には、Access Managerはマスキングされる値が属性、表示名またはそれ以外のもの(プレーン・テキスト)のいずれであるかを認識しません。セキュア・ロギングは、FILTER_LISTに追加された単語またはフレーズを検索し、検出されたそれらの単語やフレーズの後に続くすべてのデータをマスキングすることで実行されます。たとえば、次のような文があるとします。

\csabuild\coreid1014\np_common\db\ldap\util\ldap_util3.cpp:3107 "ldap_parse_result
of Simple Bind"           ld handle^0x0779FA00       result^0x09FB0088
bind^cn=orcladmin        LDAP bind operation status code^0          Additional
error message^ freeit^0 parse_rc^0

セキュア・ロギングを有効にしてFILTER_LISTに(属性でも表示名でもない) bindを追加すると、FILTER_LIST内の単語(ここではbind)に続くすべてのデータがマスキングされます。この例の場合、ログの内容は次のように表示されます。

\csabuild\coreid1014\np_common\db\ldap\util\ldap_util3.cpp:3107 "ldap_parse_result
of Simple Bind"           ld handle^0x0779FA00       result^0x09FB0088
bind^cn=orcladmin        LDAP bind**********  status code^0          Additional
error message^ freeit^0 parse_rc^0

すべての属性は大/小文字が区別されます。たとえば、属性の表示名としてPasswordではなくpasswordと入力した場合、Passwordはフィルタ処理されません。デフォルトでは、password、Password、responseおよびResponseの4つの属性が、フィルタ・リスト内で常に構成されています。

デフォルトのマスキングの長さは40で、これら4つのデフォルト属性に対して個々に指定されています。デフォルト属性のデフォルトのマスキングの長さは、必要に応じて変更できます。フィルタ・リストにその他の属性を追加する場合は、マスキングの長さとして、より大きい値が必要になる可能性があります(例: 300)。

次の例に、デフォルトのフィルタ・リストを示します。

<ValNameList> 
   xmlns="http://www.oblix.com"
   ListName="FILTER_LIST">
   <NameValPair  
      ParamName="password"
      Value="40"></NameValPair> 
   <NameValPair  
      ParamName="Password"
      Value="40"></NameValPair> 
   <NameValPair  
      ParamName="passwd"
      Value="40"></NameValPair> 
   <NameValPair  
      ParamName="Passwd"
      Value="40"></NameValPair> 
   <NameValPair  
      ParamName="response"
      Value="40"></NameValPair> 
   <NameValPair  
      ParamName="Response"
      Value="40"></NameValPair> 
</SimpleList>

フィルタ・リストに別の属性を追加する場合は、表示名および属性名をディレクトリ・サーバーに含める必要があります。

9.4.7 WebゲートのXML要素の順序

XMLを使用する場合、要素自体が変更されず、最初に囲まれていたタグ内に含まれているかぎり、リスト内で並列の要素を任意の順序で指定できます。

たとえば、次の例のリストは同等です。

<ValNameList xmlns="http://www.example.com" ListName="LogError2Sys">
   <NameValPair ParamName="LOG_LEVEL" Value="LOGLEVEL_ERROR" />
   <NameValPair ParamName="LOG_WRITER" Value="SysLogWriter" />
   <NameValPair ParamName="LOG_STATUS" Value="On" />
</ValNameList>

<ValNameList xmlns="http://www.example.com" ListName="LogError2Sys">   <NameValPair ParamName="LOG_WRITER" Value="SysLogWriter" />   <NameValPair ParamName="LOG_LEVEL" Value="LOGLEVEL_ERROR" />   <NameValPair ParamName="LOG_STATUS" Value="On" /></ValNameList>

同様に、ある特定のタグ内の属性(常にタグの山カッコ内の最初の要素である必要があるタグ名を除く)は、変更されておらず、最初に囲まれていたタグ要素内にあるかぎり、並べ替えることができます。次の例の名前/値リストの開始タグは同等です。

<ValNameList xmlns="http://www.example.com" ListName="LogError2Sys">

<ValNameList ListName="LogError2Sys" xmlns="http://www.example.com">