Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
ログ構成ファイルは標準形式に準拠します。パラメータの編集や、ログ・ハンドラ定義と呼ばれる特定のセクションの追加または除去はできますが、ログ構成ファイルの基礎となる形式の変更はできません。
この後の項では、次の項目について説明します。
XMLファイル・ヘッダーは、ログ構成ファイルの先頭にあります。
<?xml version="1.0" encoding="ISO-8859-1" ?>
ヘッダーは次の目的で使用します。
ヘッダーは、関連するXMLバージョン(常に1.0)を宣言します。
また、エンコーディング形式(常にISO-8559-1)を宣言します。
ヘッダーの後に、最初の複合リストが続きます。
最初の複合リストは次のように区切られます。
<CompoundList xmlns="http://www.oblix.com" ListName="logframework.xml.staging"> . . . </CompoundList>
最初の複合リストの構造は次のとおりです。
複合リスト開始タグは、xmlns
パラメータ内のログ構成ファイルの関連XMLネームスペースを示します。
また、複合リスト開始タグは、ListName
パラメータ内の複合リストの名前を指定します。
複合リスト終了タグは、ファイルの最後の近くで発生します。
この複合リストは、すべての構成情報を区切ります。
最初の複合リスト開始タグの後に、単純なリストでロギングのグローバル・デフォルトを設定します。
このリストの開始タグおよび終了タグは次のとおりです。
<SimpleList> . . . </SimpleList>
単純なリストの開始タグと終了タグとの間は、次のように構成します。
表9-4 最初の複合リストのグローバル・パラメータ
パラメータ | 説明 |
---|---|
|
デフォルトのロギングしきい値を設定します。 デフォルト値: 使用可能な値: 「ログ・レベル」に記載されているログ・レベルを参照してください。 グローバルしきい値により、特定のレベルおよびより一般的なレベルのログを収集し、下位レベルのログが収集されるのを防ぐことができます。このしきい値は、モジュール固有のしきい値でオーバーライドされます。詳細は、「異なるデータのタイプへの異なるしきい値レベルの構成」を参照してください。 |
|
セキュア・ロギングのメカニズムを動的に有効化または無効化します。サーバーやコンポーネントを再起動する必要はありません。 デフォルト値: On 使用可能な値: OnまたはOff |
|
セキュア・ロギングが有効なログしきい値を示します。 デフォルト値: 使用可能な値: 「ログ・レベル」に記載されているログ・レベルを参照してください。 ノート: |
|
セキュア・ロギングのメカニズムによって追加の情報が上書きされるのを防ぐための、エスケープ・シーケンス文字を構成します。ここに示すようにカンマ区切りのリストを使用します。 デフォルト値: ),] 使用可能な値: 文字のみ ノート: デフォルト値を使用することをお薦めします。不適切な文字を構成すると、機密情報がマスキングされない可能性があります。 |
|
FILTER_LISTで指定されていない場合に、デフォルトのマスキングの長さを指定します。 デフォルト値: 300 使用可能な値: 正の整数 ノート: FILTER_LISTは、2番目の複合リスト(ログ・ハンドラ)の後に表示されます。詳細は、「機密属性のフィルタ処理」を参照してください。 |
次の例は、oblog_config_wg.xmlファイルの最初の複合リストに表示されるグローバル設定を含む単純なリストを示しています。
<SimpleList> <NameValPair ParamName="LOG_THRESHOLD_LEVEL" Value="LOGLEVEL_WARNING"> </NameValPair> <NameValPair ParamName="AUTOSYNC" Value="True"> </NameValPair> <NameValPair ParamName="SECURE_LOGGING" Value="On"> </NameValPair> <NameValPair ParamName="LOG_SECURITY_THRESHOLD_LEVEL" Value="LOGLEVEL_TRACE"> </NameValPair> <NameValPair ParamName="LOG_SECURITY_ESCAPE_CHARS" Value="),]"> </NameValPair> <NameValPair ParamName="LOG_SECURITY_MASK_LENGTH" Value="300"> </NameValPair> </SimpleList>
グローバル設定を含む単純なリストの後と最初の複合リストの開始タグおよび終了タグの間に、追加の複合リストを指定します。この複合リストには、ログ・ハンドラ定義が含まれます。
このリストの開始タグおよび終了タグは次のとおりです。
<CompoundList xmlns="http://www.oblix.com" ListName="LOG_CONFIG"> . . . </CompoundList>
この複合リスト・タグは、次のように構成されます。
複合リスト開始タグ内で、xmlns
パラメータは関連XMLネームスペースを示します。
また、開始タグでは、リストの名前をListName
パラメータに指定します。
通常、このリストの名前はLOG_CONFIG
です。
ログ・ハンドラの複合リストの開始タグと終了タグとの間に、1つ以上のValNameList
要素を指定します。各ValNameList
要素には、ログ・ハンドラ定義が含まれます。この要素の各インスタンスの開始と終了は、次のとおりです。
<ValNameList xmlns="http://www.oblix.com" ListName="Unique_Name
">
. . .
</ValNameList>
ValNameList
要素は次のように構成されます。
開始タグは、関連XMLネームスペースをxmlns
パラメータに設定します。
また、開始タグは、ログ・ハンドラの名前をListName
パラメータに設定します。
ValNameList
の開始タグと終了タグとの間に、ログ・ハンドラを構成します。ログ・ハンドラ定義には、3つの必須NameValPair
要素が含まれます。
最初のNameValPair
要素は、ログ・ハンドラのロギング・レベルを定義します。
この要素にはParamName="LOG_LEVEL"
文が含まれています。その値は、表9-1にある予約名になります(次を参照)。
<NameValPair ParamName="LOG_LEVEL" Value="LOGLEVEL_FATAL" />
2番目のNameValPair
要素は、ログ出力の宛先を定義します。
この要素にはParamName="LOG_WRITER"
文が含まれ、その値は次のように表9-3の予約名です。
<NameValPair ParamName="LOG_WRITER" Value="SysLogWriter" />
3番目のNameValPair
要素は、ログ・ハンドラのオンとオフを切り替えます。
この要素にはParamName="LOG_STATUS"
文が含まれ、次のように、On
またはOff
の値を伴います。
<NameValPair ParamName="LOG_STATUS" Value="On" />
最後に、ValNameList
の開始タグと閉じタグ内で、FileLogWriter
またはMPFileLogWriter
をログ・ライターとして指定すると、次のうちの一部またはすべてを追加するか、いずれも追加しないようにできます。詳細は、表9-7を参照してください。
宛先ファイル名
<NameValPair ParamName="FILE_NAME" Value="oblog.log" />
バッファ・サイズ
<NameValPair ParamName="BUFFER_SIZE" Value="65535" />
新しいログ・ファイルが生成される時期を決定するファイル・サイズ
<NameValPair ParamName="MAX_ROTATION_SIZE" Value="52428800" />
新しいログ・ファイルが生成される間隔を決定する時間(分)
<NameValPair ParamName="MAX_ROTATION_TIME" Value="86400" />
ログ・ハンドラを区切る複合リスト終了タグの後および最初の複合リストの終了タグの前に、モジュール固有のロギング・パラメータを追加できます。
詳細は、「異なるデータのタイプへの異なるしきい値レベルの構成」を参照してください。
FILTER_LISTパラメータに関連付けられている名前と値の各ペアは、ログへの書込みの前にチェックする単語やフレーズの名前、およびその単語またはフレーズのマスキングの長さを指定します。ロギング時には、その単語またはフレーズがマスキングされ、ログ・ファイルから削除されます。
つまり、ロギング時には、Access Managerはマスキングされる値が属性、表示名またはそれ以外のもの(プレーン・テキスト)のいずれであるかを認識しません。セキュア・ロギングは、FILTER_LISTに追加された単語またはフレーズを検索し、検出されたそれらの単語やフレーズの後に続くすべてのデータをマスキングすることで実行されます。たとえば、次のような文があるとします。
\csabuild\coreid1014\np_common\db\ldap\util\ldap_util3.cpp:3107 "ldap_parse_result of Simple Bind" ld handle^0x0779FA00 result^0x09FB0088 bind^cn=orcladmin LDAP bind operation status code^0 Additional error message^ freeit^0 parse_rc^0
セキュア・ロギングを有効にしてFILTER_LISTに(属性でも表示名でもない) bind
を追加すると、FILTER_LIST内の単語(ここではbind
)に続くすべてのデータがマスキングされます。この例の場合、ログの内容は次のように表示されます。
\csabuild\coreid1014\np_common\db\ldap\util\ldap_util3.cpp:3107 "ldap_parse_result of Simple Bind" ld handle^0x0779FA00 result^0x09FB0088 bind^cn=orcladmin LDAP bind********** status code^0 Additional error message^ freeit^0 parse_rc^0
すべての属性は大/小文字が区別されます。たとえば、属性の表示名としてPassword
ではなくpassword
と入力した場合、Password
はフィルタ処理されません。デフォルトでは、password、Password、responseおよびResponseの4つの属性が、フィルタ・リスト内で常に構成されています。
デフォルトのマスキングの長さは40
で、これら4つのデフォルト属性に対して個々に指定されています。デフォルト属性のデフォルトのマスキングの長さは、必要に応じて変更できます。フィルタ・リストにその他の属性を追加する場合は、マスキングの長さとして、より大きい値が必要になる可能性があります(例: 300
)。
次の例に、デフォルトのフィルタ・リストを示します。
<ValNameList> xmlns="http://www.oblix.com" ListName="FILTER_LIST"> <NameValPair ParamName="password" Value="40"></NameValPair> <NameValPair ParamName="Password" Value="40"></NameValPair> <NameValPair ParamName="passwd" Value="40"></NameValPair> <NameValPair ParamName="Passwd" Value="40"></NameValPair> <NameValPair ParamName="response" Value="40"></NameValPair> <NameValPair ParamName="Response" Value="40"></NameValPair> </SimpleList>
フィルタ・リストに別の属性を追加する場合は、表示名および属性名をディレクトリ・サーバーに含める必要があります。
XMLを使用する場合、要素自体が変更されず、最初に囲まれていたタグ内に含まれているかぎり、リスト内で並列の要素を任意の順序で指定できます。
たとえば、次の例のリストは同等です。
<ValNameList xmlns="http://www.example.com" ListName="LogError2Sys"> <NameValPair ParamName="LOG_LEVEL" Value="LOGLEVEL_ERROR" /> <NameValPair ParamName="LOG_WRITER" Value="SysLogWriter" /> <NameValPair ParamName="LOG_STATUS" Value="On" /> </ValNameList>
<ValNameList xmlns="http://www.example.com" ListName="LogError2Sys"> <NameValPair ParamName="LOG_WRITER" Value="SysLogWriter" /> <NameValPair ParamName="LOG_LEVEL" Value="LOGLEVEL_ERROR" /> <NameValPair ParamName="LOG_STATUS" Value="On" /></ValNameList>
同様に、ある特定のタグ内の属性(常にタグの山カッコ内の最初の要素である必要があるタグ名を除く)は、変更されておらず、最初に囲まれていたタグ要素内にあるかぎり、並べ替えることができます。次の例の名前/値リストの開始タグは同等です。
<ValNameList xmlns="http://www.example.com" ListName="LogError2Sys">
<ValNameList ListName="LogError2Sys" xmlns="http://www.example.com">