Zur Unterstützung bei der Fehlersuche zur OAuth 2.0/OpenID Connect Authentifizierung können persönliche Anmeldeinformationen, wie beispielsweise Informationen zum Token oder zum Aussteller, aufgezeichnet werden. Die Aufzeichnung erfolgt in der Objektprotokolldatei der jeweiligen One Identity Manager-Komponente <appName>_object.log.
Um Informationen zur Authentifizierung im Protokoll auszuzeichnen
In der Standardinstallation des One Identity Manager werden die Protokolldateien im Verzeichnis %LocalAppData%\One Identity\One Identity Manager\<appName> unter der Bezeichnung <appName>.log abgelegt, wobei appName der Name der One Identity Manager-Komponente ist.
Beispiel: %LocalAppData%\One Identity\One Identity Manager\Manager\Manager.log
In der Datei <appName>.log werden alle Meldungen mit mindestens Informationsgrad Info aufgezeichnet. Die Dateien werden 7 Tage aufbewahrt und täglich archiviert.
Zusätzlich werden alle Meldungen mit dem Informationsgrad Fatal im Ereignisprotokoll für die Quelle One Identity One Identity Manager <appName> aufgezeichnet.
HINWEIS: Die Standardeinstellungen für die Konfiguration erfordern die Berechtigungen zum Schreiben im Verzeichnis %localappdata%. Hat eine One Identity Manager-Komponente (*.exe) nicht die benötigten Berechtigungen, können Sie durch Änderung der Variable logBaseDir in der Konfigurationsdatei nlog.config das Protokoll in ein Verzeichnis schreiben lassen, für das die Berechtigungen bestehen.
Aufbau der Konfigurationsdatei nlog.config
In der Konfigurationsdatei nlog.config werden die Konfigurationseinstellungen für die Protokollierung von Meldungen mittels NLog vorgenommen. Die genaue Beschreibung und Funktionalität von NLog entnehmen Sie der Online-Hilfe (http://nlog-project.org/). Die Einstellungen der nlog.config sind global für alle One Identity Manager-Komponenten gültig.
In der Konfigurationsdatei werden über Variablen die allgemeinen Bezeichnungen, der Ausgabepfad und die aufzuzeichnenden Informationsgrade für die Protokolldateien sowie für das Ereignisprotokoll festgelegt.
Tabelle 15: Allgemeine Variablen für die Konfiguration der Protokollierung
|
appName |
Anwendungsname der One Identity Manager-Komponente. Wenn kein Anwendungsname ermittelt werden kann, dann wird IdentityManager verwendet. |
|
logBaseDir |
Ausgabepfad für die Protokolldateien einer Komponente.
Standard: %LocalAppData%\One Identity\One Identity Manager\<appName> |
|
logFileLevel |
Informationsgrad der Meldungen, die in der Protokolldatei aufgezeichnet werden.
Standard: Info |
|
eventLogLevel |
Informationsgrad der Meldungen, die im Ereignisprotokoll aufgezeichnet werden.
Standard: Fatal |
In der Sekton targets werden die Ausgabeziele für die Meldungen sowie die Einstellungen zur Aufbewahrung und Archivierung der Protokolldateien festgelegt. NLog bringt bereits vordefinierte Ziele mit, die Sie in der Konfigurationsdatei verwenden können.
Tabelle 16: Ausgabeziele für die Protokollierung
|
logfile |
Bezeichnung und Einstellungen der allgemeinen Protokolldatei einer One Identity Manager-Komponente.
Standardeinstellungen:
Bezeichnung: <appName>.log
Aufbewahrung: 7 Tage
Archivierung: täglich |
|
debug |
Bezeichnung und Einstellungen der Protokolldatei für die Aufzeichnung von Debug-Meldungen.
Standardeinstellungen:
Bezeichnung: /debug/<appName>.log
Aufbewahrung: 7 Tage
Archivierung: täglich |
|
sqllogfile |
Bezeichnung und Einstellungen der Protokolldatei für die Aufzeichnung von Datenbankabfragen.
Standardeinstellungen:
Bezeichnung: <appName>_sql.log
Aufbewahrung: 7 Tage
Archivierung: täglich |
|
objectlogfile |
Bezeichnung und Einstellungen der Protokolldatei für die Aufzeichnungen von Objektaktionen über die Objektschicht.
Standardeinstellungen:
Bezeichnung: <appName>_object.log
Aufbewahrung: 7 Tage
Archivierung: täglich |
|
jobgenlogfile |
Bezeichnung und Einstellungen der Protokolldatei für die Aufzeichnungen während der Prozessgenerierung.
Standardeinstellungen:
Bezeichnung: <appName>_jobgen.log
Aufbewahrung: 7 Tage
Archivierung: täglich |
Über die Sektion rules werden Regeln für die Protokollierung der Meldungen festgelegt. Mit der Angabe logger name wird festgelegt, für welche Komponenten Aufzeichnungen erfolgen sollen. Mit der Standardeinstellung logger name="*" werden die Meldungen aller Komponenten aufgezeichnet. Um die Aufzeichnungen auf eine bestimmte Komponente zu beschränken, verwenden Sie die im Protokoll enthaltenen Bezeichnung.
Tabelle 17: Logger Namen von Komponenten
|
FrontendLog |
Aufzeichnung von Aktionen in Frontends. |
|
JobGenLog |
Aufzeichnungen während der Prozessgenerierung. |
|
Jobservice |
Aufzeichnung von Meldungen des One Identity Manager Service. |
|
ObjectLog |
Aufzeichnungen von Objektaktionen über die Objektschicht. |
|
ProjectorEngine |
Aufzeichnung von Meldungen aus der Synchronization Engine. |
|
SqlLog |
Aufzeichnung von Datenbankabfragen. |
|
StopWatch |
Aufzeichnung von Zeitmessungen. |
|
SystemConnection |
Detaillierte Aufzeichnung der Datenkommunikation zur Systemverbindung während der Synchronisation, inklusive Systemkonfiguration und Datenkommunikation der Systemkonnektoren. |
|
SystemConnector |
Aufzeichnung der Datenkommunikation der Systemkonnektoren während der Synchronisation. |
|
Update |
Aufzeichnung des Update-Handling. |
|
WebLog |
Aufzeichnung von Aktionen der Webservices. |
|
DebugLogObserver |
Aufzeichnung der Performanceinformationen aus der Synchronization Engine. |
Die Angabe des Informationsgrades kann erfolgen über:
-
minlevel: Meldungen ab diesem Informationsgrad werden aufgezeichnet. Über die Variable logFileLevel kann der Informationsgrad in einer kundenspezifischen Konfigurationsdatei überschrieben werden.
-
level: Meldungen mit exakt diesem Informationsgrad werden aufgezeichnet. Über die Variable eventLogLevel kann der Informationsgrad in einer kundenspezifischen Konfigurationsdatei überschrieben werden.
Tabelle 18: Zulässige Informationsgrade
|
Trace |
Es erfolgt die Ausgabe sehr ausführlicher Informationen. Diese Einstellung sollte nur zu Analysezwecken verwendet werden. Das Protokoll wird schnell groß und unübersichtlich. |
|
Debug |
Es erfolgt die Aufzeichnung von Debugger-Ausgaben. Diese Einstellung sollte nur zu Testzwecken verwendet werden. |
|
Info |
Es werden alle Informationen aufgezeichnet. |
|
Warning |
Es werden alle Warnungen aufgezeichnet. |
|
Error |
Es werden alle Fehlermeldungen aufgezeichnet. |
|
Fatal |
Es werden alle kritischen Fehlermeldungen aufgezeichnet. |
Für kundespezifische Erweiterungen sind folgende Dateien definiert.
<include file="${basedir}/custom-log-variables.config" ignoreErrors="true"/>
<include file="${basedir}/custom-log-targets.config" ignoreErrors="true"/>
Fehler- und Erfolgsmeldungen aus der Prozessverarbeitung werden in der Protokolldatei des One Identity Manager Service ausgegeben. Zusätzlich können Meldungen in das Ereignisprotokoll des Servers geschrieben werden. Für diese Aufzeichnungen kann der Informationsgrad der Ausgaben konfiguriert werden.
Einen Großteil der Einstellungen nehmen Sie in der Konfigurationsdatei des One Identity Manager Service vor. Verwenden Sie dazu das Programm Job Service Configuration. Ausführliche Informationen zum Arbeiten mit Job Service Configuration und zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTP Server erfolgen (http://<Servername>:<Portnummer>).
-
Damit ein Benutzer einen HTTP Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann über folgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://*:<Portnummer>/ user=<Domäne>\<Benutzername>
Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so müssen explizit Berechtigungen für den internen Webservice vergeben werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"
Das Ergebnis können Sie gegebenenfalls über folgenden Kommandozeilenaufruf prüfen:
netsh http show urlacl
Um die Protokolldatei des One Identity Manager Service anzuzeigen, konfigurieren Sie in der Konfigurationsdatei des One Identity Manager Service folgende Module :
-
Modul FileLogWriter
In diesem Modul nehmen Sie die Einstellungen für die Protokolldatei vor.
-
Modul Konfiguration
Konfigurieren Sie den Port für die Anzeige der Dienste. Standard ist der Port 1880.
-
Modul HTTP-Authentifizierung
Richten Sie ein Authentifizierungsverfahren zur Anzeige der Protokolldatei ein.
Ausführliche Informationen zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
