14.11. ログアナライザーツールを使用したクライアント要求の追跡
System Security Services Daemon (SSSD) には、複数の SSSD コンポーネントからのログファイル全体でリクエストを最初から最後まで追跡するために使用できるログ解析ツールが含まれています。
14.11.1. ログアナライザツールのしくみ
ログ解析ツールを使用すると、複数の SSSD コンポーネントからのログファイル全体で SSSD リクエストを最初から最後まで追跡できます。sssctl analyze
コマンドを使用してアナライザーツールを実行します。
ログアナライザツールは、SSSD の NSS および PAM の問題をトラブルシューティングし、SSSD デバッグログをより簡単に確認するのに役立ちます。SSSD プロセス全体の特定のクライアントリクエストにのみ関連する SSSD ログを抽出して出力できます。
SSSD は、ユーザー認証 (su
、ssh
) 情報とは別に、ユーザーおよびグループの ID 情報 (id
、getent
) を追跡します。NSS レスポンダのクライアント ID(CID) は PAM レスポンダーの CID とは独立しており、NSS と PAM のリクエストを解析すると重複した数値が表示されます。--pam
オプションを sssctl analyze
コマンドとともに使用して、PAM リクエストを確認します。
SSSD メモリーキャッシュから返されたリクエストはログに記録されず、ログアナライザツールで追跡できません。
関連情報
-
sudo sssctl analyze request --help
-
sudo sssctl analyze --help
-
sssd.conf
man ページ -
sssctl
の man ページ
14.11.2. ログアナライザツールの実行
ログアナライザーツールを使用して SSSD でクライアントリクエストを追跡するには、次の手順に従います。
前提条件
-
ログ解析機能を有効にするには、
/etc/sssd/sssd.conf
ファイルの [$responder] セクション、および [domain/$domain] セクションでdebug_level
を 7 以上に設定する必要がある。 -
分析するログは、
libtevent
チェーン ID をサポートする互換性のあるバージョンの SSSD、つまり RHEL 8.5 以降の SSSD からのものである必要がある。
手順
ログアナライザツールを list モードで実行して、追跡しているリクエストのクライアント ID を特定し、
-v
オプションを追加して詳細な出力を表示します。# sssctl analyze request list -v
SSSD に対して行われた最近のクライアントリクエストの詳細なリストが表示されます。
注記PAM リクエストを分析する場合は、
sssctl analyze request list
コマンドを-pam
オプション付きで実行します。show [unique client ID]
オプションを指定してログアナライザツールを実行し、指定したクライアント ID 番号に関連するログを表示します。# sssctl analyze request show 20
必要に応じて、ログファイルに対してログアナライザツールを実行できます。次に例を示します。
# sssctl analyze request --logdir=/tmp/var/log/sssd
関連情報
-
sssctl analyze request list --help
-
sssctl analyze request show --help
-
sssctl
の man ページ。