Oracle Internet Directoryのモニタリング

25.1 Oracle Internet Directoryサーバーの監視の概要

この項では、Oracle Internet Directoryサーバーの監視方法について説明します。

Oracle Internet Directoryサーバーをモニターする方法の詳細は、次の項を参照してください。

25.1.1 Oracle Internet Directoryサーバー管理機能

Oracle Internet Directoryサーバー管理機能フレームワークにより、ディレクトリ・サーバー統計を監視できます。

LDAPリクエスト・キュー、CPU使用率、メモリー、LDAPセッションおよびデータベース・セッションに関するサーバー状況統計。たとえば、ある期間のアクティブなデータベース・セッションの数を表示できます。ある期間にOracle Internet Directoryサーバー・インスタンスに対してオープンされた接続の合計数も表示できます。
パフォーマンス統計。ある期間にわたり、バインド、比較、メッセージング検索およびすべての検索の操作に平均待機時間(ミリ秒)が指定されます。
特定のサーバー操作(追加、変更、削除などの操作)に関する一般統計。たとえば、ある期間のディレクトリ・サーバー操作の数を表示できます。失敗したバインド操作件数も表示できます。
ディレクトリおよび各操作を実行するユーザーに対する、成功および失敗した操作を含むユーザー統計。すべてのLDAP操作は、構成されたユーザーについて追跡されます。また、統計収集期間の最後の時点でユーザーが保持している接続が追跡されます。
システム・リソースとセキュリティに関するクリティカル・イベント(ユーザーがパスワードを間違えた場合や、操作の実行に十分なアクセス権限を持っていない場合など)。その他のクリティカル・イベントには、予想されるエラー(1、100または1403など)以外のORAエラーとLDAPサーバーの異常終了が含まれます。
ユーザーの成功および失敗したバインド操作およびユーザーパスワード比較操作を追跡するセキュリティ・イベント。

バインドおよびユーザーのパスワード比較は、最もセキュリティを意識する必要がある操作であるため、これら2つの操作の追跡には排他的カテゴリ・セキュリティ・イベントが使用されます。このイベントは、LDAPユーザーおよびアプリケーションが実行したこれらの操作の数を追跡します。記録される基本情報は、ユーザーの識別名とソースのIPアドレスです。失敗したパスワードの比較の場合、追加の情報、特に所定のIPアドレスでの特定のユーザーと別のユーザーを比較したパスワード失敗数が追跡されます。
ディレクトリ・サーバーとディレクトリ・レプリケーション・サーバーのステータス情報(ディレクトリ・レプリケーション・サーバーが呼び出された日時など)

25.1.2 Oracle Internet Directoryサーバー管理機能のアーキテクチャとコンポーネント

ディレクトリ・サーバー管理機能の各種コンポーネントの間には、様々な関係があります。

ディレクトリ・サーバー管理機能の各種コンポーネント間の関係については、図25-1とその後の表25-1で説明します。

図25-1 Oracle Internet Directoryサーバー管理機能のアーキテクチャ

表25-1 Oracle Internet Directoryサーバー管理機能のコンポーネント

コンポーネント	説明
Oracle Internet Directory	クライアントからのディレクトリ・リクエストに応答します。これには、コントローラ、ワーカー、ディスパッチャおよびリスナーの4種類の機能スレッドがあります。クライアントからのLDAPリクエストを受信して処理し、クライアントにLDAPレスポンスを返信します。 Oracle Internet Directoryサーバー管理機能フレームワークを使用して実行時モニタリング機能を設定すると、サーバーの4種類の機能スレッドが、指定された情報を記録し、それをローカル・メモリーに格納します。関連項目: ディレクトリ・サーバーの詳細は、「Oracleディレクトリ・サーバー・インスタンス」を参照してください
メモリーの常駐記憶域	これは、ローカル・プロセス・メモリーです。Oracle Internet Directory サーバー管理機能フレームワークは、統計、トレースおよびセキュリティ・イベントにそれぞれ1つを割り当てます。それぞれのストレージは、ローカル・メモリー・ストレージで管理される独自のデータ構造を持ちます。
優先度の低い書込みスレッド	これらの書込み専用スレッドは、サーバー統計、セキュリティ・イベント・ロギングおよびトレース情報をリポジトリに書き込むサーバー機能スレッドとは異なります。システム・オーバーヘッドを少なくするため、その優先度は低く保たれます。
外部モニタリング・アプリケーション	このモジュールは独自のもので、サーバー管理機能フレームワークの外部にあります。これは、集められた統計をディレクトリ・サーバーの標準LDAPインタフェースを通じて収集し、それを専用のリポジトリに格納します。
サーバー管理情報のための外部リポジトリ	これは、収集されたディレクトリ・サーバー統計を格納するためにモニタリング・エージェントが使用するリポジトリです。モニタリング・エージェントがこのリポジトリの実装方法を決定します。
Fusion Middleware Control	統計とイベントのリポジトリから、モニターされたデータを抽出し、それをWebベースのグラフィカル・ユーザー・インタフェースで表示します。ユーザーは通常のブラウザでデータを表示できます。リポジトリは、収集されたデータを一般問合せとカスタム問合せのために格納できます。
ロギング・リポジトリ(ファイル・システム)	このリポジトリは、ファイル・システムを使用して、ディレクトリ・サーバーの各種モジュールでトレースされた情報を格納します。この目的のためにファイル・システムを使用することにより、Oracle Internet Directoryサーバー管理機能フレームワークはオペレーティング・システムの機能とセキュリティを使用できます。
ディレクトリ・データ・リポジトリ	このリポジトリには、ユーザーが入力したすべてのデータ(ユーザー・エントリやグループ・エントリなど)が格納されます。
統計とイベントのリポジトリ	このリポジトリは、ファイル・システムにではなく、ディレクトリ・データ・リポジトリと同じデータベースに情報を格納する点を除き、トレース・リポジトリと同じです。この方法で、Oracle Internet Directoryサーバー管理機能フレームワークは次の機能を使用できます。通常のLDAP操作による情報の格納と取得既存のアクセス制御ポリシーによる収集済情報のセキュリティの管理ディレクトリ管理機能フレームワークは、この2つを別々に格納することにより、収集された情報をディレクトリ・データから分離します。

25.1.3 セキュリティ・イベントおよび統計エントリのパージ

古い統計エントリは、Oracle Internet Directoryパージ・ツールによってOracle Internet Directoryから削除されます。

不要な統計エントリは、「ガベージ・コレクションの管理」で説明されているOracle Internet Directoryパージ・ツールによりOracle Internet Directoryから削除されます。

25.1.4 サーバー管理機能情報にアクセスするために使用されるアカウント

Oracle Internet Directoryデータベース・アカウントODSSMが、データベースからサーバー管理機能情報にアクセスするために使用されます。

インストール時、このアカウントのパスワードはユーザーがプロンプトで指定した値に設定されます。このアカウントのパスワードなどの資格証明は、Oracle Enterprise Manager Fusion Middleware Controlファイルtargets.xmlのOracle Internet Directoryスニペットに格納されます。

このアカウントのパスワードは、「ODSSM管理者アカウントのパスワードの変更」で説明されている手順を使用しなければ変更できません。oidpasswdツールでは、このパスワードの変更はサポートされていません。

25.2 Fusion Middleware Controlを使用した統計収集の概要

Fusion Middleware Controlを使用して統計を表示できます。

この項では、次の項目について説明します。

25.2.1 Fusion Middleware Controlを使用したディレクトリ・サーバー統計収集の構成

Fusion Middleware Controlを使用してディレクトリ・サーバー統計収集を構成できます。

Oracle Enterprise Manager Fusion Middleware Controlを使用して統計収集を構成するステップは、次のとおりです。

「Oracle Internet Directory」メニューから、「管理」→「サーバー・プロパティ」→「統計」を選択します。
統計収集を有効にするには、そのページの「一般」セクションで「統計フラグ」を選択します。
「統計頻度」フィールドに分単位の時間を入力して、統計収集の頻度を指定します。
「セキュリティ・イベント追跡のバインド」リストと「セキュリティ・イベント追跡の比較」リストから値を選択します。
ユーザーに関する統計を収集するには、そのページの「ユーザー統計」セクションで「ユーザー統計収集」を選択します。
そのページの「イベント・レベル」セクションで、追跡するイベントを選択します。

表25-2 「サーバー・プロパティ」ページ、「統計」タブの構成属性

フィールドまたはヘッダー	構成属性
統計フラグ	`orclstatsflag`
統計頻度(分)	`orclstatsperiodicity`
セキュリティ・イベント追跡のバインドおよびセキュリティ・イベント追跡の比較	`orcloptracklevel`
ユーザー統計	`orclstatslevel`
イベント・レベル	`orcleventlevel`

ノート:

「ユーザー統計収集」を有効にした場合、統計収集のための個人ユーザーも指定する必要があります。「Fusion Middleware Controlを使用した統計収集のためのユーザーの構成」を参照してください。
イベント・レベルとして「スーパー・ユーザー・ログイン」を選択しない場合、Oracle Internet Directoryホームページでの対応するセキュリティ値は常に0です。
11gリリース1 (11.1.1.0.0)以降では、orcldebugflagとorcloptracklevelの連続設定は加算方式です。

25.2.2 Fusion Middleware Controlを使用した統計収集のためのユーザーの構成

Fusion Middleware Controlを使用して統計収集のためのユーザーを構成できます。

ノート:

パフォーマンスのチューニングのOracle Internet DirectoryのLDAPサーバー属性に関する項に記載されているように、一定期間の経過後アイドルLDAP接続を閉じるようorclldapconntimeoutを構成した場合、統計収集用に構成されているユーザーに対する接続は、この設定どおりにタイムアウトしないことに注意してください。

サーバー管理機能で特定のユーザーの統計を収集するためにユーザーを構成するには:

「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
「一般」タブを選択します。
ユーザーの識別名を「ユーザーDN」に追加します(これにより、ユーザーの識別名が属性orclstatsdnに追加されます)。たとえば:
```
cn=Mary Lee, ou=Product Testing, c=uscn=Michael Smith, ou=Product Testing, c=uscn=Raj Sharma, ou=Human Resources, c=us
```

25.3 Fusion Middleware Controlから表示可能な統計情報の概要

この項で説明するように、Oracle Enterprise Manager Fusion Middleware Controlを使用して、多数のOracle Internet Directoryサーバー管理機能を表示できます。

詳細は、次の項を参照してください。

25.3.1 Oracle Internet Directoryホームページから表示可能な統計情報

Oracle Internet Directoryホーム・ページには、パフォーマンス、負荷、セキュリティ、リソース使用率、平均レスポンスおよび負荷に関連する統計情報が表示されます。

Oracle Internet Directoryホームページには、次の情報が表示されます。

パフォーマンス
- 平均操作レスポンス時間(ミリ秒)
- メッセージング検索レスポンス時間(ミリ秒)
- バインド・レスポンス時間(ミリ秒)
負荷
- LDAP接続の合計
- 操作完了
- 操作進行中
セキュリティ
- 失敗したバインド操作
- スーパー・ユーザーの失敗したログイン数
- スーパー・ユーザーの正常なログイン
リソース使用率
- CPU使用率%
- メモリー使用率%
平均レスポンスおよび負荷
- LDAPserverResponse
- numCompletedOps

表形式で値を表示する場合は、「表ビュー」をクリックします。

ページの「セキュリティ」セクションにある「失敗したバインド操作」、「スーパー・ユーザーの失敗したログイン数」および「スーパー・ユーザーの正常なログイン」の値は、これらのメトリックの収集を有効にしていない場合は0です。詳細は、「Fusion Middleware Controlを使用した統計収集の概要」を参照してください。

25.3.2 Oracle Internet Directory「パフォーマンス」ページでの情報の表示

Oracle Internet Directory「パフォーマンス」ページには、パフォーマンス・サマリー情報が表示されます。

「Oracle Internet Directory」メニューから、「モニタリング」を選択し、「パフォーマンス・サマリー」を選択します。デフォルトでは、次のメトリックが表示されます。

サーバー・レスポンス
合計操作数
メッセージング検索操作レスポンス時間
バインド操作レスポンス時間
比較操作レスポンス時間
パージ・キュー内のセキュリティ・イベント・オブジェクトの総数
パージ・キュー内のセキュリティ・リフレッシュ・イベント・オブジェクトの総数
パージ・キュー内のシステム・リソース・イベント・オブジェクトの総数

他のメトリックを表示するには、ウィンドウの右隅にある矢印をクリックして、メトリック・パレットを展開します。メトリック・パレットを閉じるには、ウィンドウの左隅にある矢印をクリックします。

デフォルトの時間間隔は15分です。時間間隔を変更するには、「スライダ」をクリックし、そのスライダを使用して時間間隔を設定します。または、「日付と時間」アイコンをクリックし、「日付と時間を入力」ダイアログで開始日時と終了日時を入力して、「OK」をクリックします。

ページをリフレッシュするには、「リフレッシュ」アイコンをクリックします。

「表示」リストを使用すると、チャートを表示したり、保存できます。

「オーバーレイ」リストを使用すると、異なるOracle Internet Directoryターゲットのメトリックをオーバーレイできます。

ノート:

クリティカルでないイベントの場合、対応するメトリックが更新されるまで数分からorclstatsperiodicityまでのタイム・ラグがあります。
更新されたメトリックを表示するには、「リフレッシュ」アイコンをクリックする必要があります。

25.4 Oracle Directory Services Managerホームページからアクセス可能な統計情報

Oracle Directory Services Managerから様々な統計情報にアクセスできます。

Oracle Internet DirectoryのOracle Directory Services Managerホームページには、次の情報が表示されます。

稼働時間
LDAP接続
OIDプロセス
エントリ数
LDAP変更ログ・エントリ
レプリケーション承諾
デバッグ有効
操作レイテンシ

25.5 コマンド行を使用した統計収集の理解

コマンドライン・ユーティリティを使用して、この項で説明する様々な統計情報を収集できます。

この項では、次の項目について説明します。

25.5.1 健全性統計、一般統計およびパフォーマンス統計の属性の構成

ldapmodifyおよびldapsearchを使用して、統計収集関連の構成属性を設定および表示できます。

「システム構成属性の管理」で説明されているように、この属性はインスタンス固有の構成エントリにあります。

健全性統計、一般統計およびパフォーマンス統計の収集を有効にするには、orclStatsFlag属性とorclStatsPeriodicity属性を設定します。

たとえば、コンポーネントoid1に対してOracle Internet Directoryサーバー管理機能フレームワークを使用可能にするには、次のようなLDIFファイルを作成します。

dn:cn=oid1,cn=osdldapd,cn=subconfigsubentry
changetype: modify
replace: orclstatsflag
orclstatsflag:1

このファイルをアップロードするには、次のコマンドを入力します。

ldapmodify -h host -p port_number -D bind_DN -q -f file_name

ここで、サーバー管理機能構成を実行する権限を持つバインド識別名は、cn=emd admin,cn=oracle internet directoryです。

25.5.2 セキュリティ・イベント追跡の構成

セキュリティ・イベント追跡を構成するには、属性orcloptracklevelを設定します。

「システム構成属性の管理」で説明されているように、属性orcloptracklevelはインスタンス固有の構成エントリにあります。表25-3は、様々なレベルのバインドおよび比較情報収集を構成するorcloptracklevelの値を示しています。

表25-3 orcloptracklevelの値

orcloptracklevelの値	構成
`1`	バインド識別名のみ
`2`	バインド識別名とIPアドレス
`4`	比較識別名のみ
`8`	比較識別名とIPアドレス
`16`	比較識別名、IPアドレスおよび失敗の詳細

各orcloptracklevel値により記録されるメトリックは、次の表に示すとおりです。

表25-4 各orcloptracklevel値により記録されるメトリック

構成	記録されるメトリック
識別名のみ	日時スタンプ操作を実行する識別名のEID 成功回数失敗回数
識別名とIPアドレス	識別名の下にのみ示されたすべてのメトリックソースIPアドレス
識別名、IPアドレスおよび失敗の詳細	識別名とIPアドレスの下に示されたすべてのメトリック個別の成功回数個別の失敗回数 IPアドレスからパスワードの比較を実行する各識別名の失敗の詳細日時スタンプソースIPアドレスパスワードが比較される識別名のEID 失敗回数

構成

記録されるメトリック

識別名のみ

日時スタンプ

操作を実行する識別名のEID

成功回数

失敗回数

識別名とIPアドレス

識別名の下にのみ示されたすべてのメトリック

ソースIPアドレス

識別名、IPアドレスおよび失敗の詳細

識別名とIPアドレスの下に示されたすべてのメトリック

個別の成功回数

個別の失敗回数

IPアドレスからパスワードの比較を実行する各識別名の失敗の詳細

日時スタンプ
ソースIPアドレス
パスワードが比較される識別名のEID
失敗回数

属性orcloptrackmaxtotalsizeおよびorcloptracknumelemcontainersにより、統計とイベントの追跡に使用されるメモリーをチューニングできます。パフォーマンスのチューニングの「Oracle Internet Directory」のセキュリティ・イベント追跡のチューニングに関する項を参照してください。

25.5.3 コマンド行からのユーザー統計収集の構成

ユーザー統計を有効にするには、orclstatslevel属性を1に設定します。ユーザー統計収集を開始するには、orclStatsPeriodicity属性も設定する必要があります。

ノート:

Oracle Enterprise Manager Fusion Middleware Controlの統計を収集している場合は、orclStatsPeriodicityをEnterprise Managerエージェントの収集周期と同じ値(デフォルトでは10分)に設定します。

統計収集のためのユーザーを構成する方法は、「コマンド行を使用した統計収集のためのユーザーの構成」を参照してください。

25.5.4 コマンド行からのイベント・レベルの構成

イベント・レベルの追跡を実行するには、orclstatsflag属性を1に設定する必要があります。

イベント・レベルを構成するには、ldapmodifyを使用して、orcleventlevel属性を表25-5に示すイベント・レベルのいずれか1つ以上に設定します。「システム構成属性の管理」で説明されているように、属性orcleventlevelはインスタンス固有の構成エントリにあります。

表25-5 イベント・レベル

レベル値	クリティカル・イベント	提供される情報
`1`	スーパーユーザー・ログイン	スーパーユーザーのバインド(成功または失敗)
`2`	プロキシ・ユーザー・ログイン	プロキシ・ユーザーのバインド(失敗)
`4`	レプリケーション・ログイン	レプリケーションのバインド(失敗)
8	追加アクセス権	追加アクセス違反
`16`	削除アクセス権	削除アクセス違反
`32`	書込みアクセス権	書込みアクセス違反
`64`	ORA 3113エラー	データベースからの切断
`128`	ORA 3114エラー	データベースからの切断
`256`	ORA 28エラー	ORA-28エラー
`512`	ORAエラー	予想される1、100または1403以外のORAエラー
`1024`	Oracle Internet Directoryサーバーの終了回数
`2047`	すべてのクリティカル・イベント

25.5.5 コマンド行を使用した統計収集のためのユーザーの構成

コマンドライン・ユーティリティを使用して、サーバーから統計を収集するユーザーを構成できます。

ノート:

パフォーマンスのチューニングのOracle Internet DirectoryのLDAPサーバー属性に関する項に記載されているように、一定期間の経過後アイドルLDAP接続を閉じるようorclldapconntimeoutを構成した場合、統計収集用に構成されているユーザーに対する接続は、この設定どおりにタイムアウトしないことに注意してください。

コマンド行を使用してユーザーを構成するには、ldapmodifyコマンド行ツールを使用して、ユーザーの識別名をDSA構成セット・エントリの複数値属性orclstatsdn (DN: cn=dsaconfig,cn=configsets,cn=oracle internet directory)に追加します。たとえば、このLDIFファイルではMary Leeがorclstatsdnに追加されます。

dn: cn=dsaconfig,cn=configsets,cn=oracle internet directory
changetype:modify
add: orclstatsdn
orclstatsdn: cn=Mary Lee, ou=Product Testing, c=us

次の形式のコマンド行を使用します。

ldapmodify -h host -p port -f ldifFile -D cn=orcladmin -q

25.6 OIDDIAGツールによる情報の表示

OIDDIAGツールを使用して、様々な統計のレポートを表示できます。

すべての統計のレポートは、oiddiagツールを次のように使用すれば表示できます。

セキュリティ・イベント

oiddiag audit_report=true [outfile=file_name]

すべての統計およびイベント

oiddiag collect_all=true [outfile=file_name]

統計およびイベントのサブセット

oiddiag collect_sub=true [infile=input_file_name outfile=file_name ]

input_file_nameは、次の出力を取得して作成します

oiddiag listdiags=true

次に、不要な統計クラスを削除します。

HTML形式での統計

oiddiag collect_stats=true [outfile=file_name]

ノート:

Windowsでは、oiddiagコマンドのファイル名はoiddiag.bat.です。

ノート:

このリリースから、collect_stats=true引数を指定することで、次を含むHTMLレポートを生成できます。

インスタンス統計
操作統計
メモリー/CPU使用率統計
ネットワーク送信/受信バイト数
クライアント接続/操作統計
DB接続統計
LDAP接続統計
レプリケーション操作統計
レプリケーション・キュー統計(すべてのレプリケーション承諾用)