そろそろLDAPにしてみないか？

第9回　LDAPとログ

Twitter リスト

2008年3月12日

中満英生

LDAP, ログ, syslog

この記事を読むのに必要な時間：およそ 9.5 分

毎回テーマがコロコロと変わる本連載ですが，今回はOpenLDAPを運用する上で必須となるログの知識についてお話しします。トラブルシューティング時にログと格闘するのは管理者の必要最低限の行動です……よね。

OpenLDAPとログの設定

OpenLDAPのログはsyslogを経由して出力されます。ログの設定はいつものslapd.conf中のloglevelというパラメータで設定します。

リスト1　/etc/openldap/slapd.conf（一部）

loglevel 32

loglevelで指定可能な値は表1のように定義されています。

表1　loglevelの値とログの収集データの関係

値	ログ収集データ
1	trace function calls
2	debug packet handling
4	heavy trace debugging
8	connection management
16	print out packets sent and received
32	search filter processing
64	configuration file processing
128	access control list processing
256	stats log connections/operations/results
512	stats log entries sent
1024	print communication with shell backends
2048	entry parsing

以上のいずれかを設定することにより，slapdからsyslogデーモンにログが送出されるのですが，当然のことながらsyslogデーモン側でも適切に設定を行っておく必要があります。slapdからのログはlocal4というファシリティで出力されるため，/etc/syslog.confにリスト2のような設定を追記し，syslogdを再起動しておいてください。

リスト2　/etc/syslog.confに追加する設定

local4.*   /var/log/ldap.log

図1　syslogdの再起動

/etc/init.d/syslog restart

syslog-ngなどのその他のsyslogデーモンを使用している場合にも，local4というファシリティのログを適切に出力できるよう設定を行ってデーモンを再起動しておく必要があります。

ログの出力例

syslogデーモンの設定を適切に行った場合，loglevelの値を変更しつつldapaddやldapsearchコマンドを実行すると，リスト3～7のようなログが出力されます。

リスト3　loglevel 512の場合

Feb 16 21:11:01 localhost slapd[4002]: conn=2 op=1 ENTRY dn="cn=suzuki,ou=People,dc=example,dc=com"

リスト4　loglevel 256の場合

Feb 16 21:11:11 localhost slapd[4044]: conn=0 fd=10 ACCEPT from IP=127.0.0.1:32785 (IP=0.0.0.0:389) 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 op=0 BIND dn="cn=Manager,dc=example,dc=com" method=128 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 op=0 BIND dn="cn=Manager,dc=example,dc=com" mech=SIMPLE ssf=0 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 op=0 RESULT tag=97 err=0 text= 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 op=1 ADD dn="cn=suzuki,ou=People,dc=example,dc=com" 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 op=2 UNBIND 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 op=1 RESULT tag=105 err=0 text= 
Feb 16 21:11:11 localhost slapd[4044]: conn=0 fd=10 closed 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 fd=10 ACCEPT from IP=127.0.0.1:32786 (IP=0.0.0.0:389) 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 op=0 BIND dn="cn=Manager,dc=example,dc=com" method=128 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 op=0 BIND dn="cn=Manager,dc=example,dc=com" mech=SIMPLE ssf=0 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 op=0 RESULT tag=97 err=0 text= 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 op=1 SRCH base="dc=example,dc=com" scope=2 deref=0 filter="(cn=suzuki)" 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 op=2 UNBIND 
Feb 16 21:11:11 localhost slapd[4044]: conn=1 fd=10 closed

リスト5　loglevel 128の場合

Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: write access to "ou=People,dc=example,dc=com" "children" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: write access to "cn=suzuki,ou=People,dc=example,dc=com" "entry" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: search access to "cn=suzuki,ou=People,dc=example,dc=com" "cn" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: read access to "cn=suzuki,ou=People,dc=example,dc=com" "entry" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: read access to "cn=suzuki,ou=People,dc=example,dc=com" "objectClass" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: read access to "cn=suzuki,ou=People,dc=example,dc=com" "sn" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: read access to "cn=suzuki,ou=People,dc=example,dc=com" "cn" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted 
Feb 16 21:11:18 localhost slapd[4083]: => access_allowed: read access to "cn=suzuki,ou=People,dc=example,dc=com" "mail" requested 
Feb 16 21:11:18 localhost slapd[4083]: <= root access granted

リスト6　loglevel 64の場合

Feb 16 21:11:34 localhost slapd[4160]: line 21 (index cn,serviceType,objectClass,uid,uidNumber,gidNumber,memberUid eq) 
Feb 16 21:11:34 localhost slapd[4160]: index cn 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: index serviceType 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: index objectClass 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: index uid 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: index uidNumber 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: index gidNumber 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: index memberUid 0x0004 
Feb 16 21:11:34 localhost slapd[4160]: line 26 (access to attrs=userPassword  by anonymous auth  by self write  by * none) 
Feb 16 21:11:34 localhost slapd[4160]: line 28 (access to *  by * read)

リスト7　loglevel 32の場合

Feb 16 21:11:52 localhost slapd[4237]: begin get_filter 
Feb 16 21:11:52 localhost slapd[4237]: EQUALITY 
Feb 16 21:11:52 localhost slapd[4237]: end get_filter 0 
Feb 16 21:11:52 localhost slapd[4237]: => bdb_filter_candidates 
Feb 16 21:11:52 localhost slapd[4237]:  AND 
Feb 16 21:11:52 localhost slapd[4237]: => bdb_list_candidates 0xa0 
Feb 16 21:11:52 localhost slapd[4237]: => bdb_filter_candidates 
Feb 16 21:11:52 localhost slapd[4237]:  OR 
Feb 16 21:11:52 localhost slapd[4237]: => bdb_list_candidates 0xa1 
Feb 16 21:11:52 localhost slapd[4237]: => bdb_filter_candidates 
Feb 16 21:11:52 localhost slapd[4237]:  EQUALITY 
Feb 16 21:11:52 localhost slapd[4237]: <= bdb_filter_candidates: id=0 first=0 last=0 
Feb 16 21:11:52 localhost slapd[4237]: => bdb_filter_candidates 
Feb 16 21:11:52 localhost slapd[4237]:  EQUALITY 
Feb 16 21:11:52 localhost slapd[4237]: <= bdb_filter_candidates: id=1 first=3 last=3 
Feb 16 21:11:52 localhost slapd[4237]: <= bdb_list_candidates: id=1 first=3 last=3 
Feb 16 21:11:52 localhost slapd[4237]: <= bdb_filter_candidates: id=1 first=3 last=3 
Feb 16 21:11:52 localhost slapd[4237]: <= bdb_list_candidates: id=1 first=3 last=3 
Feb 16 21:11:52 localhost slapd[4237]: <= bdb_filter_candidates: id=1 first=3 last=3 
Feb 16 21:11:52 localhost slapd[4237]: => test_filter 
Feb 16 21:11:52 localhost slapd[4237]:     EQUALITY 
Feb 16 21:11:52 localhost slapd[4237]: <= test_filter 6

これらのサンプルからわかるように，loglevelは適切に設定しておく必要があります。さもなければ，トラブルが起きても全くログが吐かれていなかった，ということにもなりかねません。基本的にはloglevel 256などを設定しておくのが良いでしょう。

LDAP, ログ, syslog

著者プロフィール

中満英生（なかみつひでお）

大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ，データセンターで実務経験を積む傍ら，雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他，セキュリティに関する著作や技術者エッセイも執筆経験あり。

バックナンバー

そろそろLDAPにしてみないか？

バックナンバー一覧

コメントの記入

お名前
メールアドレス
タイトル
コメント

ピックアップ

「ECHO Tokyo 2017」で見えた業務アプリ開発の未来: 業務アプリの新たな可能性を拓くキーワードとして注目のXAMLが，今後のWindows業務アプリ開発にもたらす可能性について伺いました。
開発スピードに限界を感じたときの処方箋: 「JIRA」をはじめとするアトラシアンのツール群。多くのオープンソースソフトウェアを継続して提供する支えとなっている使い易さを探ってみます。
［Special Interview］3年で300%急成長のベンチャーがSE・PGを大募集！！: 好評連載中の「うまくいくチーム開発のツール戦略」でお馴染みのリックソフト（株）が業務拡大につき各種エンジニアを募集中です。
［特別広報］IPとITが融合する新プロジェクトが始動！エンジニアよ，KADOKAWAで世界を目指せ: KADOKAWAはドワンゴと経営統合し，出版コンテンツとITの2つの文化を持つ企業です。小説やアニメなどの知的財産（IP）をITの力で変革し，付加価値を高めようとしています。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。