Konfigurieren der One Identity Manager Service Protokollierung
Fehler- und Erfolgsmeldungen aus der Prozessverarbeitung werden in der Protokolldatei des One Identity Manager Service ausgegeben. Zusätzlich können Meldungen in das Ereignisprotokoll des Servers geschrieben werden. Für diese Aufzeichnungen kann der Informationsgrad der Ausgaben konfiguriert werden.
Einen Großteil der Einstellungen nehmen Sie in der Konfigurationsdatei des One Identity Manager Service vor. Verwenden Sie dazu das Programm Job Service Configuration. Ausführliche Informationen zum Arbeiten mit Job Service Configuration und zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
Voraussetzungen für die Anzeige der One Identity Manager Service Protokolldatei
Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTP Server erfolgen (http://<Servername>:<Portnummer>).
-
Damit ein Benutzer einen HTTP Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann über folgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://*:<Portnummer>/ user=<Domäne>\<Benutzername>
Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so müssen explizit Berechtigungen für den internen Webservice vergeben werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"
Das Ergebnis können Sie gegebenenfalls über folgenden Kommandozeilenaufruf prüfen:
netsh http show urlacl
Um die Protokolldatei des One Identity Manager Service anzuzeigen, konfigurieren Sie in der Konfigurationsdatei des One Identity Manager Service folgende Module :
-
Modul FileLogWriter
In diesem Modul nehmen Sie die Einstellungen für die Protokolldatei vor.
-
Modul Konfiguration
Konfigurieren Sie den Port für die Anzeige der Dienste. Standard ist der Port 1880.
-
Modul HTTP-Authentifizierung
Richten Sie ein Authentifizierungsverfahren zur Anzeige der Protokolldatei ein.
Ausführliche Informationen zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
Konfigurieren der One Identity Manager Service Protokolldatei
Um die Protokolldatei zu erzeugen, passen Sie für jeden One Identity Manager Service das Modul FileLogWriter in der Konfigurationsdatei des One Identity Manager Service an.
Tabelle 17: Parameter des FileLogWriter
|
Protokolldatei (OutputFile) |
Name der Protokolldatei inklusive Verzeichnisangabe. In die angegebene Datei werden die Informationen des One Identity Manager Service geschrieben.
WICHTIG: Es ist sicherzustellen, dass das angegebene Verzeichnis für die Datei existiert. Kann die Datei nicht erzeugt werden, ist keine Fehlerausgabe möglich. Fehlermeldungen erscheinen dann unter Windows Betriebssystemen im Ereignisprotokoll oder unter Linux Betriebssystemen in /var/log/messages. |
|
Umbenennungsintervall der Protokolldatei (LogLifeTime) |
Um unnötig große Protokolldateien zu vermeiden, unterstützt das Modul die Funktionalität zum Wechseln der Protokolldatei und einer Historie. Mit dem Intervall legen Sie die maximale Laufzeit einer Protokolldatei fest, bevor diese in das Backup umbenannt wird. Hat eine Protokolldatei ihr maximales Alter erreicht, wird die Datei umbenannt (zum Beispiel JobService.log_20040819-083554) und eine neue Protokolldatei wird angefangen.
Format der Zeitangabe:
Tage.Stunden:Minuten:Sekunden |
|
Prozessschritt-Protokoll Lebensdauer (JobLogLifeTime) |
Aufbewahrungszeit für Protokolle der Prozessschritte. Nach Ablauf dieser Zeit werden die Protokolle gelöscht.
Format der Zeitangabe:
Tage.Stunden:Minuten:Sekunden
Im Job Queue Info können Sie zu Testzwecken die Protokollierung einzelner Prozessschritte aktivieren. Dabei werden die Verarbeitungsmeldungen des Prozessschrittes mit dem NLog Informationsgrad Debug in ein separates Protokoll geschrieben. Die Dateien werden im Protokollverzeichnis abgelegt.
Ablagestruktur:
<Protokollverzeichnis>\JobLogs\<Erste 4 Stellen der UID_Job>\Job_<UID_Job>_<yyyymmdd>_<Timestamp>.log |
|
Max. Anzahl archivierter Protokolldateien (HistorySize) |
Maximale Anzahl der Protokolldateien. Sind mehrere Protokolldateien vorhanden, wird bei der Erzeugung einer neuen Protokolldatei das älteste Backup gelöscht. |
|
Max. Protokolldateigröße (MB) (MaxLogSize) |
Maximale Größe der Protokolldatei in MB. Hat die Protokolldatei diese Größe erreicht, wird sie in eine Backup-Datei umbenannt und eine neue Protokolldatei wird angelegt. |
|
Max. Länge der Parameter (ParamMaxLength) |
Maximale Anzahl der Zeichen in einem Prozessschrittparameter, damit dieser in die Protokolldatei geschrieben wird. |
|
Schweregrad (LogSeverity) |
Informationsgrad der protokollierten Meldungen.
Zulässige Werte sind:
-
Info: Alle Meldungen werden in das Ereignisprotokoll geschrieben. Das Ereignisprotokoll wird schnell groß und unübersichtlich.
-
Warning: Nur Warnungen und Ausnahmefehler werden in das Ereignisprotokoll geschrieben (Standard).
-
Serious: Nur Ausnahmefehler werden in das Ereignisprotokoll geschrieben. |
|
Servernamen hinzufügen (AddServerName) |
Gibt an, ob der Servername zu den Protokolleinträgen hinzugefügt werden soll. |
Ausführliche Informationen zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
Authentifizierungsverfahren für die Anzeige der One Identity Manager Service Protokolldatei
Über das Modul zur HTTP Authentifizierung legen Sie fest, wie die Authentifizierung am HTTP Server erfolgt, um auf die Dienste zuzugreifen, beispielsweise zur Anzeige der Protokolldatei oder der Statusanzeige.
Als Modultypen stehen zur Auswahl:
-
BasicHttpAuthentication
Mit diesem Authentifizierungstyp geben Sie ein bestimmtes Benutzerkonto für den Zugriff auf den HTTP Server an.
Parameter des Moduls sind:
-
SessionHttpAuthentication
Die Benutzer können sich mit den Authentifizierungsmodulen anmelden, die der Anwendung Job Server zugewiesen sind und aktiviert sind.
Die Benutzer benötigen die Programmfunktion JobServer_Status.
Tabelle 18: Parameter des Moduls
|
ID des Jobsproviders (ProviderID) |
ID des Jobproviders, dessen konfigurierte Verbindung für die Anmeldung genutzt werden soll. Es muss sich dabei entweder um einen MSSQLJobProvider oder einen AppServerJobProvider handeln. Ist die Angabe leer, wird der erste Jobprovider genutzt. |
|
Anwendungs-URL (AppUrl) |
(Optional) Diese Option wird nur benötigt, wenn sich der Benutzer über OAuth2 oder OpenID Connect anmelden können soll. Die URL muss dem Wert in der Spalte QBMWebApplication.BaseURL entsprechen. An die Webanwendung ist eine OAuth 2.0/OpenID Connect Konfiguration zugewiesen.
Als Weiterleitungs-URL muss in der Konfiguration und im angebundenen externen System die folgende URL angegeben werden.
https://<jobserver>:<port>/login |
|
Bereinigung nach Inaktivität (RemoveSessionAfterInactivity) |
Gibt an nach welcher Zeitspanne die Sitzung aus dem Speicher entfernt wird. Beim nächsten Zugriff wird die Sitzung transparent für den Benutzer wieder aufgebaut. Standardwert ist 00:10:00.
Format der Zeitangabe:
Stunden:Minuten:Sekunden |
|
Sitzungs-Timeout (SessionTimeout) |
Gibt an, wie lange eine Sitzung bestehen bleibt. Nach Ablauf dieser Zeitspanne oder bei Neustart des Jobservers wird die Sitzung beendet. Standardwert ist 1.00:00:30.
Format der Zeitangabe:
Tage.Stunden:Minuten:Sekunden |
Ausführliche Informationen zu den Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
-
WindowsHttpAuthentication
Über diesen Authentifizierungstyp legen Sie eine Active Directory Gruppe fest, deren Benutzer sich am HTTP Server authentifizieren können.
Parameter des Moduls sind:
-
Gruppe (Role): Active Directory Gruppe. Es kann entweder eine Sicherheits-ID (SID) oder der Active Directory Gruppenname in der Domäne des Jobservers angegeben werden. Befindet sich die Active Directory Gruppe nicht in der Domäne des Jobservers, muss die SID verwendet werden.
-
Anmeldefehler debuggen (DebugLoginErrors): (Optional) Daten zu Benutzerkonten und Gruppen werden ins Protokoll geschrieben, um Anmeldeprobleme zu debuggen. Diese Option darf in Produktionsumgebungen nicht gesetzt werden, da Gruppenzuordnungen protokolliert werden können.
HINWEIS: Wenn kein Modul angegeben ist, dann ist keine Authentifizierung erforderlich. In diesem Fall können alle Benutzer auf die Dienste zugreifen.
Ausführliche Informationen zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
