7.4 セキュリティ・トークン・サービスおよびIdentity Federationのロギングの構成

デフォルトでは、セキュリティ・トークン・サービスとIdentity Federationのメッセージは、OAMサーバーのログ・ファイルに記録されます。

これらのログは、Fusion Middleware Controlで表示および構成できます。ただし、この項で説明するように、logging.xmlを編集してSecurity Token ServiceとIdentity Federationの情報を個別のログ・ファイルに記録することもできます。この手順に関連するファイルは、次のとおりです。

• ロギング構成ファイル: ロガー名と、ロギング用のその他の構成情報を提供します。このファイルは、$DOMAIN_HOME/config/fmwconfig/servers/SERVER-NAME/logging.xmlに保存されます。

• ログ・ファイル: たとえば、$DOMAIN_HOME/ostslogs/SERVER-NAME-diagnostics.log。

セキュリティ・トークン・サービスとIdentity Federationでは、ログ・ハンドラがAccess Managerのように分類されません。そのかわり、セキュリティ・トークン・サービスとIdentity Federationのログ・レベルに影響するロガーが1つだけあります。表7-7では、WLSTコマンドで必要となるこのロガーの詳細を示します。

表7-7 セキュリティ・トークン・サービスとIdentity Federationのロガー

コンポーネント名	ログ出力名	ログ・ハンドラ名	ログ・クラス
セキュリティ・トークン・サービスまたはIdentity Federation	oracle.security.fed	stsfed-handler	class=oracle.core.ojdl.logging.ODLHandlerFactory

詳細は、次を参照してください。

• セキュリティ・トークン・サービスまたはIdentity Federationのロギングの構成

• セキュリティ・トークン・サービスまたはIdentity Federationのログ・レベルおよびログ詳細の定義

関連項目:

• Fusion Middleware Controlを使用してログを構成および表示する方法の詳細は、「Fusion Middleware Controlによるパフォーマンスおよびログのモニタリング」を参照してください。

• 『Oracle Platform Security Servicesによるアプリケーションの保護』のロギング情報

7.4.1 セキュリティ・トークン・サービスまたはIdentity Federationのロギングの構成

管理者は、セキュリティ・トークン・サービスまたはIdentity Federationのログ・メッセージをOAMサーバーのメッセージ・ログから切り離すことができます。

構成するには、次のようにします。

1. 次のlogging.xmlを見つけて開きます。$DOMAIN_HOME/config/fmwconfig/servers/SERVER-NAME/logging.xml
2. 次のように追加して、Security Token Serviceおよびdentity Federationに個別のメッセージ・ログを作成します。

   <log_handler name='stsfed-handler' class='oracle.core.ojdl.logging.ODLHand
   lerFactory'>
         <property name='path' value='sts/log'/>
         <property name='maxFileSize' value='10485760'/>
         <property name='maxLogSize' value='104857600'/>
       </log_handler>
   
   <logger name='oracle.security.fed' level='TRACE:32'>
         <handler name='stsfed-handler'/>
       </logger>
   

3. ファイルを保存します。
4. 「セキュリティ・トークン・サービスまたはIdentity Federationのログ・レベルおよびログ詳細の定義」に進みます。

7.4.2 セキュリティ・トークン・サービスまたはIdentity Federationのログ・レベルおよびログ詳細の定義

管理者は、ここでの説明に従い、Oracle Access Management用のカスタムWLSTコマンドを使用してセキュリティ・トークン・サービスのロガー設定を変更できます。この場合は、セキュリティ・トークン・サービスのログ・メッセージ専用の独立した出力ファイルを指定します。

WLSTコマンドhelp("fmw diagnostics")を使用してください。

次の条件に合致する場合はステップ1から3をスキップしてください。

• OAMサーバーが稼働している

• WLSTスクリプトがある

• すでにサーバーに接続してログインしている

関連項目:

WebLogic Server WLSTコマンド・リファレンス

このセキュリティ・トークン・サービスのロギングの手順例は、Access Managerの場合の手順とほとんど同じです。ただしいくつかの違いがあります。実際のデプロイメントの選択肢は、説明と異なることがあります。

1. OAMサーバーが稼働中であることを確認します。
2. Oracle Access Management用のカスタムWLSTスクリプトを取得します。

   $ORACLE_HOME/common/bin/wlst.sh

3. WebLogic Serverに接続してWebLogic管理者としてログインします。次に例を示します。

   sh wlst.sh wls:/offline> connect adminID password
   

4. oracle.security.fedのログ・レベルを、自身の要求に基づいて変更します。たとえば、このシーケンスは、ログ・レベルを永続性のないWARNINGに変更します。

   wls:/base_domain/serverConfig> domainRuntime()
   wls:/base_domain/domainRuntime> setLogLevel(logger="oracle.security.fed", 
   level="WARNING", persist="0", target="oam_server1")
   

5. ターゲットのOAMサーバーの他に、ローテーション期間と保持期間、ログ・ファイルのパス、ハンドラ、およびロガーを指定します。次に例を示します。

    wls:/base_domain/domainRuntime> configureLogHandler(name="osts-log-handler",  
   target="oam_server1", rotationFrequency="daily", retentionPeriod="week", 
   path="${domain.home}/ostslogs", maxFileSize ="10485760", maxLogSize  
   ="104857600", addHandler="true",handlerType="oracle.core.ojdl.logging.ODL 
   HandlerFactory", addToLogger="oracle.security.fed")
   

6. 生成されたログ・ファイルを検証して、コントローラがWARNINGレベルでロギングされていることを確認します。

    $DOMAIN_HOME/ostslogs/SERVER-NAME-diagnostics.log 
    $DOMAIN_HOME/oiflogs/SERVER-NAME-diagnostics.log 
   

7. 「ランタイム・イベント・ロギング構成の検証」に進みます。