21.3. ログファイルの設定
すべてのタイプのログファイルについて、ログの 作成 ポリシーおよびログ 削除 ポリシーを設定する必要があります。ログ作成ポリシーは、新規ログファイルの起動時に設定され、古いログファイルが削除される際にログ削除ポリシーが設定されます。
21.3.1. ログの有効化または無効化
アクセスおよびエラーロギングはデフォルトで有効になっています。ただし、監査および監査の失敗ロギングはデフォルトで無効になっています。
注記
アクセスログを無効にすると、ディレクトリーへの 2000 回のアクセスごとに約 1 メガバイトのログファイルが増加するため、特定のシナリオで有用です。ただし、アクセスログをオフにする前に、この情報で問題のトラブルシューティングを行うことができます。
21.3.1.1. コマンドラインを使用したロギングの有効化または無効化
dsconf config replace コマンドを使用して、Directory Server のロギング機能を制御する cn=config サブツリーのパラメーターを変更します。
- アクセスログ:
nsslapd-accesslog-logging-enabled - エラーログ:
nsslapd-errorlog-logging-enabled - 監査ログ:
nsslapd-auditlog-logging-enabled - 監査失敗ログ:
nsslapd-auditfaillog-logging-enabled
詳細は、『Red Hat Directory Server の設定、コマンド、およびファイルリファレンス』 の該当するセクションを参照してください。
たとえば、監査ロギングを有効にするには以下を入力します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-auditlog-logging-enabled=on
21.3.1.2. Web コンソールを使用したロギングの有効化または無効化
Web コンソールでロギングを有効または無効にするには、以下を実行します。
- Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
- インスタンスを選択します。
- メニューを開き、 エントリーで設定するログタイプを選択します。
- 選択したログタイプのロギング機能を有効または無効にします。
- オプションで、ログローテーションポリシーまたはログ削除ポリシーなどを定義する追加のパラメーターを設定します。
- をクリックします。
21.3.2. プラグイン固有のロギングの設定
デバッグのために、プラグインが実行する操作についてアクセスおよび監査ロギングを有効にできます。詳細は、『Red Hat Directory Server 設定、コマンド、およびファイルリファレンス』 の対応するセクションに記載されている nsslapd-logAccess および nsslapd-logAudit パラメーターの説明を参照してください。
21.3.3. 高解像度のログタイムスタンプの無効化
Directory Server は、デフォルト設定を使用して、ナノ秒の精度でエントリーをログに記録します。
[27/May/2016:17:52:04.754335904 -0500] schemareload - Schema validation passed. [27/May/2016:17:52:04.894255328 -0500] schemareload - Schema reload task finished.
高解像度のログタイムスタンプを無効にするには、以下を実行します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-logging-hr-timestamps-enabled=off
注記
高解像度のログのタイムスタンプを無効にするオプションは非推奨で、将来のリリースで削除される予定です。
高解像度のログのタイムスタンプを無効にすると、Directory Server は秒単位の精度でしかログを記録しなくなります。
[27/May/2016:17:52:04 -0500] schemareload - Schema validation passed. [27/May/2016:17:52:04 -0500] schemareload - Schema reload task finished.
21.3.4. ログファイルのローテーションポリシーの定義
現在のログファイルを定期的にアーカイブして新しいファイルを作成するには、ログファイルのローテーションポリシーを設定します。コマンドラインまたは Web コンソールを使用して、cn=config サブツリーの設定を更新できます。
以下の設定パラメーターを設定して、ログファイルのローテーションポリシーを制御できます。
- アクセスモード
- アクセスモードでは、新規に作成されたログファイルにファイル権限を設定します。
- アクセスログ:
nsslapd-accesslog-mode - エラーログ:
nsslapd-errorlog-mode - 監査ログ:
nsslapd-auditlog-mode - 監査失敗ログ:
nsslapd-auditfaillog-mode
- ログの最大数
- 保持するログファイルの最大数を設定します。ファイル数に達すると、Directory Server は新しいログファイルを作成する前に、最も古いログファイルを削除します。
- アクセスログ:
nsslapd-accesslog-maxlogsperdir - エラーログ:
nsslapd-errorlog-maxlogsperdir - 監査ログ:
nsslapd-auditlog-maxlogsperdir - 監査失敗ログ:
nsslapd-auditfaillog-maxlogsperdir
- 各ログのファイルサイズ
- ログファイルがローテーションされるまでの最大サイズをメガバイト単位で設定します。
- アクセスログ:
nsslapd-accesslog-maxlogsize - エラーログ:
nsslapd-errorlog-maxlogsize - 監査ログ:
nsslapd-auditlog-maxlogsize - 監査失敗ログ:
nsslapd-auditfaillog-maxlogsize
- 毎回ログの作成
- ログファイルの最大期間を設定します。
nsslapd-accesslog-logrotationtimeおよびnsslapd-accesslog-logrotationtimeunitnsslapd-errorlog-logrotationtimeおよびnsslapd-errorlog-logrotationtimeunitnsslapd-auditlog-logrotationtimeおよびnsslapd-auditlog-logrotationtimeunitnsslapd-auditfaillog-logrotationtimeおよびnsslapd-auditfaillog-logrotationtimeunit
さらに、以下のパラメーターを使用してログファイルがローテーションされるまでの時間を設定することもできます。nsslapd-accesslog-logrotationsynchourおよびnsslapd-accesslog-logrotationsyncminnsslapd-errorlog-logrotationsynchourおよびnsslapd-errorlog-logrotationsyncminnsslapd-auditlog-logrotationsynchourおよびnsslapd-auditlog-logrotationsyncminnsslapd-auditfaillog-logrotationsynchourおよびnsslapd-auditfaillog-logrotationsyncmin
詳細は、『Red Hat Directory Server 設定、コマンド、およびファイルリファレンス』 の対応するセクションに記載されているパラメーターの説明を参照してください。
各ログファイルは、ログファイルのアーカイブまたは交換を容易にするため、サーバーのバージョン、ホスト名、およびポートを識別するタイトルで始まります。以下に例を示します。
389-Directory/1.4.0.11 B2018.197.1151 server.example.com:389 (/etc/dirsrv/slapd-instance)
21.3.4.1. コマンドラインを使用したログファイルローテーションポリシーの定義
dsconf config replace コマンドを使用して、Directory Server のロギング機能を制御するパラメーターを変更します。たとえば、エラーログの場合は、アクセスモード
600 を設定して最大 2 を維持し、ログファイルのサイズを 100 MB あるいは 5 日 ごとにローテーションするには、次のコマンドを実行します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-errorlog-mode=600 nsslapd-errorlog-maxlogsperdir=2 nsslapd-errorlog-maxlogsize=100 nsslapd-errorlog-logrotationtime=5 nsslapd-errorlog-logrotationtimeunit=day
21.3.4.2. Web コンソールを使用したログファイルローテーションポリシーの定義
「Web コンソールを使用したロギングの有効化または無効化」を参照してください。
21.3.5. ログファイルの削除ポリシーの定義
ディレクトリーサーバーは、
削除ポリシー を設定すると、アーカイブされた古いログファイルを自動的に削除します。
注記
ログファイルのローテーションポリシーが設定されている場合に限り、ログファイルの削除ポリシーを設定できます。Directory Server は、ログローテーション時に削除ポリシーを適用します。
以下の設定パラメーターを設定して、ログファイルの削除ポリシーを制御できます。
- ログサイズの合計
- すべてのアクセス、エラー、監査、または監査失敗ログファイルのサイズが設定された値を越えると、最も古いログファイルが自動的に削除されます。
- アクセスログ:
nsslapd-accesslog-logmaxdiskspace - エラーログ:
nsslapd-errorlog-logmaxdiskspace - 監査ログ:
nsslapd-auditlog-logmaxdiskspace - 監査ログ:
nsslapd-auditfaillog-logmaxdiskspace
- 空きディスク領域がより少ない
- 空きディスク容量がこの値に達すると、最も古いアーカイブファイルが自動的に削除されます。
- アクセスログ:
nsslapd-accesslog-logminfreediskspace - エラーログ:
nsslapd-errorlog-logminfreediskspace - 監査ログ:
nsslapd-auditlog-logminfreediskspace - 監査ログ:
nsslapd-auditfaillog-logminfreediskspace
- 指定した時間よりもファイルが古い場合
- ログファイルが設定された時間よりも古い場合は、これが自動的に削除されます。
- アクセスログ:
nsslapd-accesslog-logexpirationtimeおよびnsslapd-accesslog-logexpirationtimeunit - エラーログ:
nsslapd-errorlog-logminfreediskspaceおよびnsslapd-errorlog-logexpirationtimeunit - 監査ログ:
nsslapd-auditlog-logminfreediskspaceおよびnsslapd-auditlog-logexpirationtimeunit - 監査ログ:
nsslapd-auditfaillog-logminfreediskspaceおよびnsslapd-auditfaillog-logexpirationtimeunit
詳細は、『Red Hat Directory Server の設定、コマンド、およびファイルリファレンス』 の該当するセクションを参照してください。
21.3.5.1. コマンドラインを使用したログ削除ポリシーの設定
dsconf config replace コマンドを使用して、Directory Server のロギング機能を制御するパラメーターを変更します。たとえば、すべてのアクセスログファイルの合計サイズが
500 MB 増加した場合に、最も古いアクセスログファイルを自動的に削除するには、次のように実行します。
dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-accesslog-logmaxdiskspace=500
21.3.5.2. Web コンソールを使用したログ削除ポリシーの設定
「Web コンソールを使用したロギングの有効化または無効化」を参照してください。
21.3.6. 手動ログファイルローテーション
Directory Server は、3 つのすべてのログの自動ログファイルのローテーションをサポートします。ただし、自動ログファイルの作成や削除ポリシーが設定されていない場合には、ログファイルを手動でローテーションすることができます。デフォルトでは、アクセス、エラー、監査、および監査失敗のログファイルは、以下の場所にあります。
/var/log/dirsrv/slapd-instance
ログファイルを手動でローテーションするには、以下を実行します。
- インスタンスを停止します。
# dsctl instance_name stop
- 古いログファイルが今後の参照で利用できるように、ローテーションされるログファイルを移動するか名前を変更します。
- インスタンスを起動します。
# dsctl instance_name restart
21.3.7. ログレベルの設定
アクセスとエラーログはいずれも、設定されるログレベルに応じて、さまざまな情報を記録できます。
以下の設定パラメーターを設定して、以下のログレベルを制御できます。
- アクセスログ:
nsslapd-accesslog-level - エラーログ:
nsslapd-errorlog-level
詳細情報およびサポートされるログレベルのリストは、『Red Hat Directory Server の設定、コマンド、およびファイルリファレンス』 の該当するセクションを参照してください。
注記
デフォルトからログレベルを変更すると、ログファイルが急速に増大する可能性があります。Red Hat は、Red Hat のテクニカルサポートからの要請がない限り、デフォルト値を変更しないことを推奨します。
21.3.7.1. コマンドラインを使用したログレベルの設定
dsconf config replace コマンドを使用してログレベルを設定します。
たとえば、検索フィルターロギング (32) および設定ファイル処理 (64) を有効にするには、
nsslapd-errorlog-level パラメーターを 96 (32 + 64) に設定します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-errorlog-level=96
たとえば、内部アクセス操作ロギング (4) および接続、操作、および結果のロギング (256) を有効にするには、
nsslapd-accesslog-level パラメーターを 260 (4 + 256) に設定します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-accesslog-level=260
21.3.7.2. Web コンソールを使用したログレベルの設定
Web コンソールを使用してアクセスおよびエラーログレベルを設定するには、以下を実行します。
- Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
- インスタンスを選択します。
- 設定するには、以下を実行します。
- アクセスログレベル:
- → → メニューを開きます。
- Access Logging Levels セクションでログレベルを選択します。以下に例を示します。
- エラーログレベル:
- → → メニューを開きます。
- Error Logging Levels セクションでログレベルを選択します。以下に例を示します。
- をクリックします。
21.3.7.3. 内部操作のロギング
複数の操作により、Directory Server で追加の内部操作が発生します。たとえば、ユーザーがエントリーを削除した場合、サーバーはエントリーの検索や、ユーザーが所属していたグループの更新など、いくつかの内部処理を行います。このセクションでは、内部操作ログエントリーの形式を説明します。ログレベルの設定に関する詳細は、「ログレベルの設定」 を参照してください。
Directory Server は、内部操作ロギングの以下のような形式を提供します。
- サーバー開始の内部操作
- サーバーが開始した内部操作ログエントリーの例:
[14/Jan/2021:09:45:25.814158882 -0400] conn=Internal(0) op=0(0)(0) MOD dn="cn=uniqueid generator,cn=config" [14/Jan/2021:09:45:25.822103183 -0400] conn=Internal(0) op=0(0)(0) RESULT err=0 tag=48 nentries=0 etime=0.0007968796
このタイプのログエントリーの場合:connフィールドは、Internal に続いて (0) が設定されます。opフィールドは 0(0)(nesting_level) に設定されます。server-initiated 内部操作の場合、操作 ID と内部操作 ID の両方は常に 0 になります。入れ子ではないログエントリーの場合、ネストレベルは 0 になります。
- クライアントで開始される内部操作
- クライアントが開始した内部操作ログエントリーの例:
[14/Jan/2021:09:45:14.382918693 -0400] conn=5 (Internal) op=15(1)(0) SRCH base="cn=config,cn=userroot,cn=ldbm database,cn=plugins,cn=config" scope=1 filter="objectclass=vlvsearch" attrs=ALL [14/Jan/2021:09:45:14.383191380 -0400] conn=5 (Internal) op=15(1)(0) RESULT err=0 tag=48 nentries=0 etime=0.0000295419 [14/Jan/2021:09:45:14.383216269 -0400] conn=5 (Internal) op=15(2)(0) SRCH base="cn=config,cn=example,cn=ldbm database,cn=plugins,cn=config" scope=1 filter="objectclass=vlvsearch" attrs=ALL [14/Jan/2021:09:45:14.383449419 -0400] conn=5 (Internal) op=15(2)(0) RESULT err=0
このタイプのログエントリーの場合:connフィールドはクライアント接続 ID に続いて文字列 (Internal) に設定されます。opフィールドで、操作 ID の後に (internal_operation_ID)(nesting_level) が含まれます。内部の操作 ID は変わることがあり、ネスト化していないログエントリーは 0 になります。
nsslapd-plugin-logging パラメーターが on に設定され、内部操作のロギングが有効になっている場合、Directory Server はプラグインの内部操作の追加をログに記録します。
例21.1 プラグインロギングが有効になっている内部操作ログエントリー
uid=user,dc=example,dc=com エントリーを削除し、Referential Integrity プラグインが example グループからこのエントリーを自動的に削除すると、サーバーログは以下のようになります。
[time_stamp] conn=2 op=37 DEL dn="uid=user,dc=example,dc=com" [time_stamp] conn=2 (Internal) op=37(1) SRCH base="uid=user,dc=example,dc=com" scope=0 filter="(|(objectclass=*)(objectclass=ldapsubentry))" attrs=ALL [time_stamp] conn=2 (Internal) op=37(1) RESULT err=0 tag=48 nentries=1 etime=0.0000129148 [time_stamp] conn=2 (Internal) op=37(2) SRCH base="dc=example,dc=com" scope=2 filter="(member=uid=user,dc=example,dc=com)" attrs="member" [time_stamp] conn=2 (Internal) op=37(2) RESULT err=0 tag=48 nentries=0 etime=0.0000123162 [time_stamp] conn=2 (Internal) op=37(3) SRCH base="dc=example,dc=com" scope=2 filter="(uniquemember=uid=user,dc=example,dc=com)" attrs="uniquemember" [time_stamp] conn=2 (Internal) op=37(3) RESULT err=0 tag=48 nentries=1 etime=0.0000128104 [time_stamp] conn=2 (Internal) op=37(4) MOD dn="cn=example,dc=example,dc=com" [time_stamp] conn=2 (Internal) op=37(5) SRCH base="cn=example,dc=example,dc=com" scope=0 filter="(|(objectclass=*)(objectclass=ldapsubentry))" attrs=ALL [time_stamp] conn=2 (Internal) op=37(5) RESULT err=0 tag=48 nentries=1 etime=0.0000130685 [time_stamp] conn=2 (Internal) op=37(4) RESULT err=0 tag=48 nentries=0 etime=0.0005217545 [time_stamp] conn=2 (Internal) op=37(6) SRCH base="dc=example,dc=com" scope=2 filter="(owner=uid=user,dc=example,dc=com)" attrs="owner" [time_stamp] conn=2 (Internal) op=37(6) RESULT err=0 tag=48 nentries=0 etime=0.0000137656 [time_stamp] conn=2 (Internal) op=37(7) SRCH base="dc=example,dc=com" scope=2 filter="(seeAlso=uid=user,dc=example,dc=com)" attrs="seeAlso" [time_stamp] conn=2 (Internal) op=37(7) RESULT err=0 tag=48 nentries=0 etime=0.0000066978 [time_stamp] conn=2 (Internal) op=37(8) SRCH base="o=example" scope=2 filter="(member=uid=user,dc=example,dc=com)" attrs="member" [time_stamp] conn=2 (Internal) op=37(8) RESULT err=0 tag=48 nentries=0 etime=0.0000063316 [time_stamp] conn=2 (Internal) op=37(9) SRCH base="o=example" scope=2 filter="(uniquemember=uid=user,dc=example,dc=com)" attrs="uniquemember" [time_stamp] conn=2 (Internal) op=37(9) RESULT err=0 tag=48 nentries=0 etime=0.0000048634 [time_stamp] conn=2 (Internal) op=37(10) SRCH base="o=example" scope=2 filter="(owner=uid=user,dc=example,dc=com)" attrs="owner" [time_stamp] conn=2 (Internal) op=37(10) RESULT err=0 tag=48 nentries=0 etime=0.0000048854 [time_stamp] conn=2 (Internal) op=37(11) SRCH base="o=example" scope=2 filter="(seeAlso=uid=user,dc=example,dc=com)" attrs="seeAlso" [time_stamp] conn=2 (Internal) op=37(11) RESULT err=0 tag=48 nentries=0 etime=0.0000046522 [time_stamp] conn=2 op=37 RESULT err=0 tag=107 nentries=0 etime=0.0010297858
21.3.8. デバッグ用のアクセスログバッファーの無効化
デバッグの目的で、デフォルトで有効になっているアクセスログバッファーを無効にできます。アクセスログのバッファーが無効になっていると、Directory Server はログエントリーをディスクに直接書き込みます。
重要
通常の操作環境では、アクセスログを無効にしないでください。バッファーを無効にすると、特に負荷が大きい場合に、Directory Server のパフォーマンスが低下します。
21.3.8.1. コマンドラインを使用したアクセスログバッファーの無効化
コマンドラインを使用してアクセスログバッファーを無効にするには、以下を実行します。
nsslapd-accesslog-logbufferingパラメーターを off に設定します。# dsconf -D "cn=Directory Manager" ldap://server.example.com config replace nsslapd-accesslog-logbuffering=off
21.3.8.2. Web コンソールを使用したアクセスログバッファーの無効化
Web コンソールを使用してアクセスログバッファーを無効にするには、以下を実行します。
- Web コンソールで Directory Server ユーザーインターフェイスを開きます。「Web コンソールを使用した Directory Server へのログイン」を参照してください。
- インスタンスを選択します。
- → → を開きます。
- Disable Access Log Buffering を選択します。
- をクリックします。
