Unix/Linux版 監査ファイルは破損していますというエラーが出力され る
search cancel

Unix/Linux版 監査ファイルは破損していますというエラーが出力され る

book

Article ID: 135370

calendar_today

Updated On:

Products

CA Privileged Identity Management Endpoint (PIM)

Issue/Introduction

selogrdによって「監査ファイルは破損しています」というエラーがシスログに出力される。

Environment

Release: All Version (UNIX/Linux)


Component:

Resolution

selogrdにてログ転送を実施している環境で、実際には監査ログファイルが破損していないにもかかわらず、以下のようなエラーがシスログに出

力されることがあります。

selogrd[xxxxx]: エラー: オフセット xxxx にある監査ファイルの無効なデータをスキップしています。

selogrd[xxxxx]: エラー: CA Access Control CA Access Control 監査ファイルは破損しています。

selogrdは読み込み済みレコードのオフセット値を保持しますが、一定期間監査ログファイルに更新がない場合に、

定期的にオフセット値と監査ログファイルのサイズを比較して監査ログがバックアップされたかを確認します。

この際、監査ログのファイルサイズがオフセット値より小さい場合には、監査ログがバックアップされて

新しいファイルに変更されたと判断し、新しいファイルの先頭から読み込みを開始します。

しかし、ファイルがバックアップされたにもかかわらず、新しい監査ログファイルのサイズがオフセット値

よりも大きくなっていた場合、ファイルが切り替わっていないと判断してしまい、ファイルの先頭からでは

なくオフセット値から読み込もうとします。その結果、読み込まれた監査ログレコードにずれが生じることで

上記のエラーメッセージが出力されます。

上記のような状況は、バックアップ前の監査ログファイルのサイズ、すなわち保持されたオフセット値が

非常に小さい場合や、監査ログ切り替わり後に短時間で非常に多くの監査ログが出力されるような場合に

発生する可能性があります。

当事象は、selogrdの動作仕様に基づく制限事項となっており、当事象への対応は

CA User Activity Reporting Module (UARM)を利用した監査ログの転送にて行われております。

UARMへの監査ログの転送では当事象は発生しません。

selogrdをご使用の際の当事象の回避策としては、selogrdが監査ログファイルの切り替わりを検知する際に、

新たに作成された監査ログファイルのサイズがオフセット値よりも大きくならないようにすることとなります。

そのためには、監査ログのバックアップをサイズ単位に設定するか、より長い期間のバックアップ設定に変更することで、

事象発生条件に合致しなくなり事象の発生を抑えることが可能となります。

また、selogrdのポーリング間隔および監査ログがバックアップされたかを確認するインターバルを

短くすることも同様に回避策となります。

ただし、ポーリング間隔を短くするとselogrdの処理負荷が増大しますので、適宜調整を行なっていただく必要があります。

関連するseos.iniの設定

監査ログのバックアップ設定

logmgr.BackUp_Date

selogrdのインターバル設定

selogrd.Interval, selogrd.ChangeLogFactor