Настройка режимов ведения и ротации журналов событий службы каталога на контроллерах домена#
Вся конфигурационная информация службы каталога находится в файле dse.ldif, в главной ветке хранения информации о конфигурации cn=config, как это показано на рисунке:
Предупреждение
Перед внесением любых изменений в конфигурацию подсистемы журналирования службы каталога администратору настоятельно рекомендуется ознакомиться с данным разделом в полном объеме.
Служба каталога 389 Directory Server может осуществлять запись о событиях журналы следующих типов:
access log— журнал доступа, который содержит информацию о клиентских подключениях и попытках подключения к экземпляру сервера каталогов. Данный тип журнала включен по умолчанию;error log— журнал ошибок, который содержит подробные сообщения об ошибках и неудачных операциях, а также о событиях, с которыми служба каталога сталкивается во время работы; при установке определенных уровней журналирования для данного типа журнала в него записываются сообщения о транзакциях и операциях сервера каталогов или общая информацию о процессах сервера каталогов и задачах LDAP, например сообщения о запуске сервера, входах в систему и поиске в каталоге, а также информация о соединении. Данный тип журнала включен по умолчанию;audit log— журнал аудита, который записывает успешные изменения, внесенные в каждую базу данных службы каталога, а также в конфигурацию сервера. Данный тип журнала не включен по умолчанию;audit fail log— журнал ошибок аудита, который записывает только события о неудачных попытках изменений в базе данных или конфигурации сервера, этот тип журнала имеет идентичный формат с типом журнала аудита. Данный тип журнала не включен по умолчанию;security log— журнал событий безопасности, который записывает ряд событий об ошибках авторизации/аутентификации, блокировки учетных записей, событий DoS и TCP атак и прочее. Данный тип журнала не включен по умолчанию.
Каждый из типов журналов имеет свой формат (кроме журналов аудита и ошибок аудита, которые имеют идентичный формат).
Примечание
Если серверу службы каталога не удается выполнить запись в журнал ошибок, сервер отправляет сообщение об ошибке в службу системного журнала (чаще всего это служба syslog) и завершает работу.
Чтобы посмотреть пути для сохранения файлов журналов данного экземпляра службы каталога на конкретном КД можно выполнить команду:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config get nsslapd-accesslog nsslapd-errorlog nsslapd-auditlog nsslapd-auditfaillog nsslapd-securitylog
Пример результата (для всех файлов использованы значения по умолчанию):
nsslapd-accesslog: /var/log/dirsrv/slapd-ALDPRO-LAN/access
nsslapd-errorlog: /var/log/dirsrv/slapd-ALDPRO-LAN/errors
nsslapd-auditlog: /var/log/dirsrv/slapd-ALDPRO-LAN/audit
nsslapd-auditfaillog: /var/log/dirsrv/slapd-ALDPRO-LAN/audit
nsslapd-securitylog: /var/log/dirsrv/slapd-ALDPRO-LAN/security
Для изменения конфигурация включения файлов журналов на каждом контроллере домена необходимо выполнить команды для каждого файла журнала, при этом необходимо использовать опцию replace. Для изменения режима ведения различных типов журналов (включения записи в журнал или прекращения записи) необходимо использовать параметры, приведенные в таблице. Для включения ведения журналов определенного типа необходимо использовать опцию on.
Параметры изменения режима ведения всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logging-ena |
on |
on/off |
error log |
nsslapd-errorlog-logging-enab |
on |
on/off |
audit log |
nsslapd-auditlog-logging-enab |
off |
on/off |
audit fail log |
nsslapd-auditfaillog-logging- |
off |
on/off |
security log |
nsslapd-securitylog-logging-e |
off |
on/off |
Пример включения ведения файла security на конкретном экземпляре сервера каталога:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-securitylog-logging-enabled=on
Если ведение журнала определенного типа включено, то для изменения пути для сохранения файла используется команда dsconf с опцией config replace и параметрами nsslapd-accesslog, nsslapd-errorlog, nsslapd-auditlog, nsslapd-auditfaillog, nsslapd-securitylog.
Пример изменения пути и наименования для сохранения журнала безопасности службы каталога на конкретном экземпляре сервера каталога:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-securitylog=/var/log/dirsrv_security.log
Журнал доступа, и журнал ошибок могут записывать разные объемы информации в зависимости от установленного уровня журналирования. Администратор службы каталога может установить следующие параметры конфигурации для управления уровнями журналирования:
Для журнала доступа:
nsslapd-accesslog-level(необходимо установить значениеon, по умолчаниюoff)Для журнала ошибок:
nsslapd-errorlog-level(необходимо установить значениеon, по умолчаниюoff).
Изменение уровня журналирования для журнала доступа, установленного по умолчанию, может привести к очень быстрому росту файла журнала. В документации, описывающей службу каталога, не рекомендуется изменять значения по умолчанию без предварительного контакта со службой технической поддержки.
Значения параметров для установки уровня журналирования в журнала доступа к службе каталога:
0— журналирование доступа к каталогу не ведется;4— журналирование только внутренних операций доступа к каталогу;256— журналирование всех подключений, операций и результатов доступа к конкретной записи каталога (это значение по умолчанию);512— журналирование доступа не только к самой записи каталога, но и к связанным с ней записям.
Эти значения можно складывать, чтобы получить необходимые администратору типы записей при ведении журнала доступа, например 516 (4 + 512) для получения журналирования внутренних операций доступа к каталогу, а также журналирование доступа к записи и связанных с ней записям.
Для установки уровня журналирования используется команда dsconf с опцией config replace.
Пример установки максимального уровня журналирования для журнала доступа (не рекомендуется к применению):
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-accesslog-level=772
После установки уровня журналирования значением 256 или выше для журнала доступа можно также добавить запись статистики по каждой операции поиска. Во время некоторых операций поиска, особенно с такими фильтрами, как cn=user*, время, затрачиваемое сервером на получение данных, обработку результата и выдачу ответа etime, может быть очень продолжительным. Поэтому расширение журнала доступа информацией, связанной с индексами, используемыми во время операции поиска, помогает диагностировать проблемы с операциями чтения в службе каталога.
Чтобы включить сбор статистики и запись ее в журнал доступа (информация о количестве поисков в индексе — операций чтения базы данных и общая продолжительность поиска в индексе для каждой операции поиска, с минимальным воздействием на сервер) необходимо использовать атрибут nsslapd-statlog-level.
Пример включения записи информации о статистике использования индексов при операциях чтения службы каталога:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-statlog-level=1
Пример включения записи информации о статистике использования индексов при операциях чтения службы каталога:
ldapsearch -D "cn=Directory Manager" -H ldap://alddc1.ald.lan -b "dc=ald, ,→dc=lan" -s sub -x "cn=user*"
Фрагмент журнала доступа после включения опции записи статистики и выполнения операции поиска с фильтром cn=user*:
[30/Nov/2023:11:34:11.834135997 +0300] conn=1 op=73 SRCH base="dc=ald,dc=lan" scope=2 filter="(cn=user)"* attrs=ALL
[30/Nov/2023:11:34:11.835750508 +0300] conn=1 op=73 STAT read index:attribute=objectclass key(eq)=referral --> count 0
[30/Nov/2023:11:34:11.836648697 +0300] conn=1 op=73 STAT read index:attribute=cn key(sub)=er_ --> count 25
[30/Nov/2023:11:34:11.837538489 +0300] conn=1 op=73 STAT read index:attribute=cn key(sub)=ser --> count 25
[30/Nov/2023:11:34:11.838814948 +0300] conn=1 op=73 STAT read index:attribute=cn key(sub)=use --> count 25
[30/Nov/2023:11:34:11.841241531 +0300] conn=1 op=73 STAT read index:attribute=cn key(sub)=^us --> count 25
[30/Nov/2023:11:34:11.842230318 +0300] conn=1 op=73 STAT read index:duration 0.000010276
[30/Nov/2023:11:34:11.843185322 +0300] conn=1 op=73 RESULT err=0 tag=101nentries=24 wtime=0.000078414 optime=0.001614101 etime=0.001690742
Изменение уровня журналирования для журнала ошибок, установленного по умолчанию, может привести к очень быстрому росту файла журнала, а также серьезно снизить производительность сервера службы каталога. В документации на службу каталога не рекомендуется изменять значения по умолчанию без предварительного контакта со службой технической поддержки.
Принимаемые значения параметров для установки уровня журналирования в журнале ошибок:
1— записывает событие о том, когда сервер службы каталога выполняет функции (входит и выходит из каждой функции);2— записывает отладочную информацию для пакетов, обрабатываемых сервером службы каталога;4— записывает событие о том, когда сервер службы каталога выполняет функции (входит и выходит из каждой функции) с дополнительными сообщениями для отладки;8— записывает текущий статус подключения, включая методы подключения, используемые для привязки SASL;16— записывает информацию о количестве пакетов, отправленных и полученных сервером;32— записывает событие о всех функциях, вызываемые операцией поиска в каталоге;64— записывает ошибок построчно информацию из всех файлов конфигурации*.conf, которые использовал сервер при запуске, по умолчанию сервер службы каталога обрабатывает только файлslapd-collations.conf;128— записывает подробную информацию об обработке списка управления доступом (ACL);2048— записывает отладочную информацию о разборе схемы базы данных (при внутренних операциях сервера службы каталога);4096— записывает отладочную информацию для служебных потоков сервера службы каталога;8192— записывает подробную информацию о каждой операции, связанной с репликацией, включая обновления и ошибки, данная информация может быть полезна для отладки проблем репликации;16384— записывает критические ошибки и другие сообщения, которые сервер каталогов всегда записывает в журнал ошибок, например сообщения о запуске сервера, нужно учитывать, что журнал ошибок содержит эти сообщения независимо от настройки уровня журнала;32768— записывает отладочную информацию для кэша записей базы данных;65536— записывает событие о том, когда подключаемый модуль сервера вызывает функциюslapi-log-error(), этот уровень журнала можно использовать для отладки подключаемого модуля сервера службы каталога.
Эти значения можно складывать, чтобы получить необходимые администратору типы записей при ведении журнала ошибок.
Предупреждение
Включение высокого уровня ведения журнала ошибок может значительно снизить производительность сервера. Поэтому следует включать высокие уровни ведения журнала отладки, такие как репликация (8192), только для устранения неполадок.
Для установки уровня журналирования для журнала ошибок службы каталога необходимо использовать команду dsconf с опцией config replace.
Пример установки уровня журналирования для журнала ошибок:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-errorlog-level=96
Примечание
Для корректного функционирования службы каталога (устранения проблем с занимаемым журналами местом на диске) требуется настроить ротацию журналов. Для этого необходимо настроить политики создания и удаления для всех типов файлов журналов. Политика создания журнала задается при запуске нового файла журнала, а политика удаления журнала задается при удалении старого файла журнала.
Для определения политики создания журналов службы каталога необходимо задать (изменить при необходимости) следующие параметры:
Режим доступа к вновь создаваемым файлам журналов.
Максимальное количество журналов.
Максимальный размер файла для каждого журнала.
Максимальное время записи в файл для каждого журнала.
Для задания режима доступа к вновь создаваемым файлам журналов администратор может использовать нумерованные права доступа к файлам UNIX. Это трехзначные числа, где первый разряд определяет разрешения владельца файла, второй разряд определяет разрешения группы, а в третьем разряде определены разрешения всех остальных пользователей данного компьютера. При этом в каждом разряде которых стоит число от нуля до семи, причем каждое из чисел означает следующее:
0— Все запрещено;1— Разрешено только выполнять;2— Разрешено только писать;3— Разрешено писать и выполнять;4— Разрешено только читать;5— Разрешено читать и выполнять;6— Разрешено читать и писать;7— Разрешено читать, писать и выполнять.
При этом, вновь заданный с помощью соответствующей команды режим доступа к конкретному типу журнала влияет только на вновь создаваемые файлы во время ротации. Параметры службы каталога, которые определяют режим доступа к файлам журналов, приведены в таблице:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-mode |
600 |
000/777 |
error log |
nsslapd-errorlog-mode |
600 |
000/777 |
audit log |
nsslapd-auditlog-mode |
600 |
000/777 |
audit fail log |
nsslapd-auditfaillog-mode |
600 |
000/777 |
security log |
nsslapd-securitylog-mode |
600 |
000/777 |
Для задания максимального количества журналов службы каталога определенного типа необходимо использовать параметры службы каталога, которые приведены в таблице:
Задание только атрибута -maxlogsperdir не позволит реализовать полноценную ротацию журналов, необходимо также задать параметры максимального времени записи в журналы.
Для задания максимального времени записи в файл журнала службы каталога определенного типа необходимо использовать совместно параметры службы каталога, указанные в таблицах ниже.
Значение в таблице Параметры максимального количества диапазонов времени записи в файлы для всех типов журналов службы каталога задает количество диапазонов времени, через которые будет осуществляться ротация журнала определенного типа, а значение в таблице Параметры, задающие диапазон времени, для записи в файлы всех типов журналов службы каталога задает сам диапазона времени ротации (minute — минута, hour — час, day — день, week — неделя, month — месяц).
Параметры максимального количества диапазонов времени записи в файлы для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logrotationtime |
1 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
error log |
nsslapd-errorlog-logrotationtime |
1 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit log |
nsslapd-auditlog-logrotationtime |
1 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit fail log |
nsslapd-auditfaillog-logrotationtime |
1 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
security log |
nsslapd-securitylog-logrotationtime |
1 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
Параметры, задающие диапазон времени, для записи в файлы всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logrotationtimeunit |
day |
Диапазон времени:minute/hour/day/week/month |
error log |
nsslapd-errorlog-logrotationtimeunit |
week |
Диапазон времени:minute/hour/day/week/month |
audit log |
nsslapd-auditlog-logrotationtimeunit |
week |
Диапазон времени:minute/hour/day/week/month |
audit fail log |
nsslapd-auditfaillog-logrotationtimeunit |
week |
Диапазон времени:minute/hour/day/week/month |
security log |
nsslapd-securitylog-logrotationtimeunit |
month |
Диапазон времени:minute/hour/day/week/month |
Помимо этого, необходимо учитывать тот факт, что при достаточно высокой нагрузке на сервер каталога, размер журнала доступа access будет расти достаточно быстро, поэтому значения по умолчанию для параметров nsslapd-accesslog-logrotationtime и nsslapd-accesslog-logrotationtimeunit необходимо изменить в соответствии с потребностями администратора с учетом свободного места на дисковой подсистеме каждого контроллера домена. Также необходимо проанализировать скорость роста остальных файлов журнала службы каталога и, при необходимости, поменять значения по умолчанию для параметров максимального времени записи в соответствующие файлы журналов.
Помимо задания ротации журналов по времени существует параметр задания ротации журналов по занимаемому им месту на диске. Для задания максимального размера каждого журнала службы каталога определенного типа в мегабайтах необходимо использовать параметры самого службы каталога, указанные в таблице ниже. Если значение параметра равно -1, то это означает, что размер файла не задан и журнал будет расти в объеме до тех пор, пока не заполнит все пространство на жестком диске.
Параметры, задающие максимальный размер файла для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-maxlogsize |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
error log |
nsslapd-errorlog-maxlogsize |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit log |
nsslapd-auditlog-maxlogsize |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit fail log |
nsslapd-auditfaillog-maxlogsize |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
security log |
nsslapd-securitylog-maxlogsize |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
Примечание
Для реализации ротации журналов администратор должен изменить параметр
-maxlogsperdirдля тех типов файлов журналов службы каталога, у которых значение этого параметра равно единице (поскольку в этом случае, параметры службы каталога*-logrotationtime,*-logrotationtimeunitи*-maxlogsizeигнорируются и сервер службы каталога не осуществляет ротацию тех типов журналов, у которых значение параметра*-maxlogsperdirравно единице).При этом, если значение атрибута
*-logrotationtimeравно «-1» для какого-то типа файла журнала, то сервер службы каталога также не будет осуществлять ротацию журналов этого типа по времени и атрибут*-maxlogsperdirдля этого типа журнала будет проигнорирован. Фактически, установка значения*-logrotationtime=-1для определенного типа журнала означает, что время для проведения ротации этого типа журнала не задано. Однако ротация этого журнала по объему занимаемого им места на диске будет происходить (если параметр*-maxlogsizeдля этого типа журнала не равен «-1»).
Например, для изменения конфигурации ротации журнала ошибок службы каталога можно использовать следующую команду.
Пример включения ведения файла security на конкретном экземпляре сервера каталога:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-errorlog-mode=644 nsslapd-errorlog,→maxlogsperdir=5 nsslapd-errorlog-maxlogsize=500 nsslapd-errorlog-logrotationtime=7 nsslapd-errorlog-logrotationtimeunit=day
Эта команда для файла журнала ошибок (в примере выше это файл error) службы каталога на данном экземпляре 389 Directory Server выполнит следующие действия:
установит режим доступа для файла журнала ошибок равный «644» (означающий, что владелец файла имеет права на чтение и запись, а группа и остальные пользователи — только на чтение);
установит максимальное количество файлов журнала ошибок в каталоге хранения журналов равное 5;
установит режим ротации журнала таким образом, что файл будет ротироваться (текущий журнал становится архивным) либо по достижению размера в 500 Мб, либо один раз в 7 дней.
Также для задания времени ротации файлов журналов службы каталога определенного типа необходимо использовать совместно параметры службы каталога, указанные в таблицах ниже.
Значение в таблице Параметры, задающие конкретное значение часа при настройке ротации файлов для всех типов журналов службы каталога задает конкретное значение часа, когда будет осуществляться ротация журнала определенного типа, а значение в таблице Параметры, задающие значение минуты в часе при настройке ротации файлов всех типов журналов службы каталога задает значение минуты в этом часе, когда будет осуществляться ротация журнала определенного типа.
Параметры, задающие возможность для проведения ротации в конкретное время для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logrotationsync |
off |
on/off |
error log |
nsslapd-errorlog-logrotationsync |
off |
on/off |
audit log |
nsslapd-auditlog-logrotationsync |
off |
on/off |
audit fail log |
nsslapd-auditfaillog-logrotationsync |
off |
on/off |
security log |
nsslapd-securitylog-logrotationsync |
off |
on/off |
Для использования параметров ротации журналов из таблиц ниже, необходимо предварительно включить параметр (задать значение on для параметра журнала определенного типа) из таблицы Параметры, задающие возможность для проведения ротации в конкретное время для всех типов журналов службы каталога, который определяет, будут ли читаться параметры, после чего задать значения часов и минут для журнала необходимого типа. Задание механизма ротации всех типов журналов службы каталога таким способом значительно облегчит последующий анализ журналов или инцидентов (поскольку все журналы могут ротироваться в одно и то же время, затем можно их архивировать и отправлять в какое-то хранилище, где затем в случае необходимости проведения поиска конкретных записей журналов можно будет достаточно быстро найти всю записанную информацию по дате и времени журналов).
Параметры, задающие конкретное значение часа при настройке ротации файлов для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logrotationsynchour |
0 |
Целые числа от 0 до 23 включительно |
error log |
nsslapd-errorlog-logrotationsynchour |
none |
Целые числа от 0 до 23 включительно |
audit log |
nsslapd-auditlog-logrotationsynchour |
none |
Целые числа от 0 до 23 включительно |
audit fail log |
nsslapd-auditfaillog-logrotationsynchour |
none |
Целые числа от 0 до 23 включительно |
security log |
nsslapd-securitylog-logrotationsynchour |
none |
Целые числа от 0 до 23 включительно |
Параметры, задающие значение минуты в часе (см. предыдущую таблицу) при настройке ротации файлов всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logrotationsyncmin |
0 |
Целые числа от 0 до 59 включительно |
error log |
nsslapd-errorlog-logrotationsyncmin |
none |
Целые числа от 0 до 59 включительно |
audit log |
nsslapd-auditlog-logrotationsyncmin |
none |
Целые числа от 0 до 59 включительно |
audit fail log |
nsslapd-auditfaillog-logrotationsyncmin |
none |
Целые числа от 0 до 59 включительно |
security log |
nsslapd-securitylog-logrotationsyncmin |
none |
Целые числа от 0 до 59 включительно |
Пример включения ротации журнала access в 11 часов 11 минут на конкретном экземпляре сервера каталога:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-auditlog-logrotationsync-enabled=on nsslapd, accesslog-logrotationsynchour=11 nsslapd-accesslog-logrotationsyncmin=11
Аналогично вышеприведенным примерам и используя данные таблиц можно настроить политики создания новых файлов при ротации всех журналов для текущего экземпляра службы каталога.
Для определение политики удаления журналов службы каталога при ротации журналов необходимо задать (изменить при необходимости) параметры для каждого типа журналов, приведенные в таблицах ниже:
Параметры, задающие значение минимального свободного места на диске при настройке ротации файлов для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logminfreediskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
error log |
nsslapd-errorlog-logminfreediskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit log |
nsslapd-auditlog-logminfreediskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit fail log |
nsslapd-auditfaillog-logminfreediskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
security log |
nsslapd-securitylog-logminfreediskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
Параметры, задающие значение максимального занимаемого места на диске при настройке ротации файлов всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logmaxdiskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
error log |
nsslapd-errorlog-logmaxdiskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit log |
nsslapd-auditlog-logmaxdiskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit fail log |
nsslapd-auditfaillog-logmaxdiskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
security log |
nsslapd-securitylog-logmaxdiskspace |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
При задании одной из вышеуказанных опций будет происходить удаление соответствующих файлов службы каталога во время ротации журналов.
При задании опции logminfreediskspace произойдет следующее: при достижении указанного в параметре значения свободного места на диске, где хранится соответствующий файл журнала, самый старый архивный файл этого журнала автоматически удаляется.
При задании опции logmaxdiskspace произойдет следующее: при достижении указанного в параметре значения суммарного места на диске для определенного типа журналов (например, всех журналов audit, включая архивные), самый старый архивный файл этого журнала автоматически удаляется.
Примечание
В зависимости от значений, установленных в nsslapd-accesslog-logminfreediskspace и nsslapd-accesslog-maxlogsize, фактическое количество журналов может быть меньше того, которое настроил администратор в параметре nsslapd-accesslog-maxlogsperdir. Например, если для параметра nsslapd-accesslog-maxlogsperdir используется значение по умолчанию (10 файлов), а администратор установил nsslapd-accesslog-logminfreediskspace=500 и nsslapd-accesslog-maxlogsize=100, сервер каталогов сохранит только 5 файлов доступа.
Также можно определить временную политику удаления журналов службы каталога. Для этого необходимо совместно задать параметры для каждого типа журналов, приведенные в таблицах ниже.
Параметры, задающие значение минимального свободного места на диске при настройке ротации файлов для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logexpirationtime |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
error log |
nsslapd-errorlog-logexpirationtime |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit log |
nsslapd-auditlog-logexpirationtime |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
audit fail log |
nsslapd-auditfaillog-logexpirationtime |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
security log |
nsslapd-securitylog-logexpirationtime |
100 |
«-1» или натуральные числа от 1 до ((2^32) - 1) включительно |
Параметры, задающие значение максимального занимаемого места на диске при настройке ротации файлов всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-logexpirationtimeunit |
month |
Диапазон времени:day/week/month |
error log |
nsslapd-errorlog-logexpirationtimeunit |
month |
Диапазон времени:day/week/month |
audit log |
nsslapd-auditlog-logexpirationtimeunit |
week |
Диапазон времени:day/week/month |
audit fail log |
nsslapd-auditfaillog-logexpirationtimeunit |
week |
Диапазон времени:day/week/month |
security log |
nsslapd-securitylog-logexpirationtimeunit |
month |
Диапазон времени:day/week/month |
Если у параметров *-logexpirationtime или *-logexpirationtimeunit установлены значения минус единица или ноль (или любое другое значение, которое не входит в диапазон возможных значений для этого параметра, в том числе и строковое), то это означает, что соответствующий тип журнала службы каталога никогда не удаляется.
Пример настройки для автоматического удаления самого старого журнала access, если суммарный размер всех журналов этого типа превышает 500 Мб на жестком диске на конкретном экземпляре сервера каталога:
dsconf -D "cn=Directory Manager" -w "ПАРОЛЬ_АДМИНИСТРАТОРА" ldap://alddc1.ald.lan config replace nsslapd-accesslog-logmaxdiskspace=500
Также существуют параметры для задания сжатия журналов службы каталога после проведения ротации, что позволяет существенно (в десять и более раз) уменьшить занимаемое архивными журналами место на жестком диске. Для задания режима сжатия файлов журнала службы каталога определенного типа необходимо использовать параметры службы каталога.
Параметры сжатия файлов для всех типов журналов службы каталога:
Тип журнала |
Параметр службы каталога для типа журнала |
Значение по умолчанию |
Возможные значения |
|---|---|---|---|
access log |
nsslapd-accesslog-compress |
off |
on/off |
error log |
nsslapd-errorlog-compress |
off |
on/off |
audit log |
nsslapd-auditlog-compress |
off |
on/off |
audit fail log |
nsslapd-auditfaillog-compress |
off |
on/off |
security log |
nsslapd-securitylog-compress |
on |
on/off |
Несмотря на то, что ряд параметров применяется без перезагрузки сервера службы каталога, тем не менее, после выполнения всех необходимых настроек журналов службы следует перезапустить службу каталога с помощью команды:
dsctl INSTANCE_NAME restart
Где INSTANCE_NAME — имя экземпляра службы каталога.