監査ログ収集対象サーバ上のプログラムから出力される監査ログの出力形式を,監査ログ管理データベースに格納できる監査ログの出力形式へ変換するための規則が正規化ルールです。正規化ルールを定義しているファイルを正規化ルールファイルと呼びます。
ここでは,正規化ルールファイルの格納先や定義内容について説明します。
JP1/NETM/Audit - Managerで標準サポート外となっているプログラムの場合でも,正規化ルールファイルとあわせて,製品定義ファイル,動作定義ファイル,および監査ログレポート定義ファイルを作成することによって,監査ログを管理・収集できるようになります。
標準サポート外のプログラムから監査ログを収集する方法については「5.6.1 標準サポート外のプログラムを収集対象とするための準備をする」を参照してください。なお,標準サポートしているプログラムの正規化ルールファイルは編集できません。
(1) ファイル名および格納先
正規化ルールファイル名およびファイルの格納フォルダを次の表に示します。
表13-2 正規化ルールファイル名とファイルの格納フォルダ
項番 | 収集対象 | ファイル名 | ファイル格納フォルダ |
---|---|---|---|
1 |
| admrglrule_CALFHM.conf※1 | JP1/NETM/Audit - Managerのインストール先フォルダ¥conf¥rule |
2 | JP1/AJS2 | admrglrule_JP1_AJS2.conf※2 | |
3 | 標準サポート外のプログラム | admrglrule_任意.conf※3 | |
4 | 正規化ルールエディタで定義するプログラム | admrglrule_AdmConvert.conf※4 |
(2) 書式
[LOGTYPE]↓
TYPE={KEY|VALUE}↓
SEPARATE={space|comma}↓
SECTION={0|1}↓
LOGSTART=区切り文字の位置↓
ESCTYPE={0|1|2}↓
FRONTESC=開始記号↓
REARESC=終了記号↓
SKIPSPACE={0|1}↓
↓
[正規化パターン]↓
番号=種別:正規化ルール:項目1:項目2:次番号1:次番号2↓
番号=種別:正規化ルール:項目1:項目2:次番号1:次番号2↓
番号=種別:正規化ルール:項目1:項目2:次番号1:次番号2↓
:
(3) 定義内容
[LOGTYPE]および[正規化パターン]で記述する内容についてそれぞれ説明します。
(a) [LOGTYPE]の設定項目
[LOGTYPE]で記述する内容について,次の表に示します。
表13-3 [LOGTYPE]設定項目
項番 | 項目名 | 説明 |
---|---|---|
1 | [LOGTYPE] | 定義の始まりを示す[LOGTYPE]を指定します。 |
2 | TYPE | ログの記述形式を指定します。次のどちらかを指定します。
デフォルト値を次に示します。
|
3 | SEPARATE | ログの区切り文字の種別です。次のどちらかを指定します。
|
4 | SECTION | セクション名を指定します。指定した値によって,次のどちらかを指定します。
|
5 | LOGSTART | ログの先頭から文字を読み飛ばして,正規化で使用しない文字までの位置を指定します。「0」を指定した場合は,先頭から正規化されます。 |
6 | ESCTYPE | ログ中でエスケープに使用する記号を指定します。次のどれかを指定します。
|
7 | FRONTESC※ | ESCTYPEが「2」の場合,エスケープに使用する開始記号を指定します。開始記号には,1バイトの文字だけ指定できます。 |
8 | REARESC※ | ESCTYPEが「2」の場合,エスケープに使用する終了記号を指定します。終了記号には,1バイトの文字だけ指定できます。 |
9 | SKIPSPACE | 連続する複数のスペースを一つのスペースとして処理するかどうかを指定します。SEPARATEがspaceの場合だけ指定し,commaの場合は指定しないでください。
|
(b) [正規化パターン]の設定項目
[正規化パターン]で記述する内容について,次に示します。
●[正規化パターン]の各項目の設定値
[正規化パターン]の各設定項目での設定値を次の表に示します。
表13-4 [正規化パターン]の各項目の設定値
項番 | 番号 | 種別 | 正規化ルール | 項目1 | 項目2 | 次番号1 | 次番号2 | 「正規化ルール」に「*」を指定したときの「項目1」の範囲 |
---|---|---|---|---|---|---|---|---|
1 | 1~の通番 | CHECK※1 | 「J」 | 判定する項目位置を設定します。 | 真偽を判定する対象となる値 | 判定が真の場合に適用する次の番号 | 判定が偽の場合に適用する次の番号 | - |
2 | AuditLogID※2 | 「-」 |
| × | 次の番号 | × | - | |
「*」※3 | 値や文字列を設定します。 | 0~9999の整数 | ||||||
3 | MessageID | 「-」 |
| × | 次の番号 | × | - | |
「*」※3 | 値や文字列を設定します。 | 63バイト以内の文字列 | ||||||
4 | MessageDate | 「D」 |
| × | 次の番号 | × | - | |
「UD」※3 |
| 任意の日時形式を設定します。 設定値については,表13-7を参照してください。 | ||||||
5 | ProgramName | 「-」 |
| × | 次の番号 | × | - | |
「*」※3 | 値や文字列を設定します。 | 63バイト以内の文字列 | ||||||
6 | ComponentName | 「-」 |
| × | 次の番号 | × | - | |
「*」※3 | 値や文字列を設定します。 | 63バイト以内の文字列 | ||||||
7 | ProcessID※2 | 「-」 |
| × | 次の番号 | × | - | |
「*」※3 | 値や文字列を設定します。 | 「-1」 | ||||||
8 | PlaceInfo | 「S」※3 | KEY名称を設定します。 | × | 次の番号 | × | - | |
「H」 | × | |||||||
「-」 |
| |||||||
9 | EventCategoryName※2 | 「-」 |
| × | 次の番号 | × | - | |
「*」 | 次に示す文字列のどれかを設定します。
| |||||||
10 | EventResultName※2 | 「-」 |
| × | 次の番号 | × | - | |
「*」 | 次に示す文字列のどれかを設定します。
| |||||||
11 | SubjectInfo※2 | 「S」※3 | 対応するKEY名称を設定します。 | × | 次の番号 | × | - | |
「C」 | 次に示すカテゴリ名のどれかを設定します。
|
| ||||||
「*」※3 | 値や文字列を設定します。 | × | 「""」 | |||||
12 | PeculiarInfo※4 | 「M」※3 | 先頭に配置してデータベースに格納したいKEY名称を設定します。 | × | 次の番号 | × | - | |
13 | 「N」 | 項目位置を示す番号を設定します。 |
●[正規化パターン]の設定項目
[正規化パターン]の設定項目を次の表に示します。
表13-5 [正規化パターン]設定項目
項番 | 項目名 | 説明 |
---|---|---|
1 | [正規化パターン] | 定義の始まりを示す[正規化パターン]を指定します。 SECTIONで指定した値が,0の場合は[PATTERN]を指定します。SECTIONで指定した値が,1の場合は,監査ログの最初の区切り文字までの文字列を正規化パターン名として指定します。 |
2 | 番号 | 正規化ルールを適用する順番を1からの整数で指定します。 |
3 | 種別※1 | 正規化の対象となるデータ種別を指定します。指定値を次に示します。
|
4 | 正規化ルール | 正規化のルールを指定します。指定できる値を次に示します。
|
5 | 項目1 | 項番4の正規化ルールに設定する値によって指定する情報が変わります。正規化ルールに設定した値の説明に記載されている情報を設定します。 |
6 | 項目2 | |
7 | 次番号1 | 適用する正規化ルールの次のkey値(項番1)を指定します。最後の正規化ルールの場合は「0」を指定します。 |
8 | 次番号2 |
n:SubjectInfo:S:A,B,C:n+1 |
●[正規化パターン]の正規化ルールで「D」を指定した場合の日時形式
[正規化パターン]の正規化ルールで「D」を指定した場合の,KEY名称または項目位置の記述形式を次の表に示します。なお,KEY名称または項目位置の記述形式はJP1/NETM/Audit - Managerで設定している日時形式と一致している必要があります。
表13-6 「D」を指定した場合の日時形式
項番 | 記述形式 | 記述形式の意味 | |
---|---|---|---|
1 | TYPE=KEYの場合 | "YYYY-MM-DDThh:mm:ss.tttTZD" |
|
2 | TYPE=VALUEの場合 | "YYYY/MM/DD△hh:mm:ss"または"MMM△DD△hh:mm:ss" |
|
●[正規化パターン]の正規化ルールで「UD」を指定した場合の日時形式
[正規化パターン]の正規化ルールで「UD」を指定した場合に,項目2で定義する設定値について次の表に示します。
設定値を任意に組み合わせて,項目2で任意の日時形式を定義してください。監査ログの日時を示す値が,JP1/NETM/Audit - Managerで設定している日時形式と一致していない場合は,「UD」を指定し,監査ログの日時を示す値に合わせて日時形式を設定します。
表13-7 「UD」を指定した場合に項目2で定義できる設定値
項番 | 項目2で定義する設定値 | 内容 | 設定値と対応する監査ログの値 |
---|---|---|---|
1 | %Y | 西暦を指定します。 | 4けたの数値です。 |
2 | %y | 西暦の下2けたを指定します。 | 2けたの数値です。 なお,数字によって次のように認識します。
|
3 | %m | 月を数字で指定します。 | 01~12または1~12の数値です。※ |
4 | %B | 月を英字の正式名で指定します。 | 対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
5 | %b | 月を英字の省略名で指定します。 | 対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
6 | %d | 日付を指定します。 | 01~31または1~31の数値です。※ |
7 | %H | 時単位の時刻を24時間表記で指定します。 | 00~23または0~23の数値です。※ |
8 | %I | 時単位の時刻を12時間表記で指定します。 | 00~11または0~11の数値です。※ |
9 | %p | 午前または午後のどちらかを指定します。 | AMまたはPMです。 |
10 | %M | 分単位の時刻を指定します。 | 00~59または0~59の数値です。※ |
11 | %S | 秒単位の時刻を指定します。 | 00~59または0~59の数値です。※ |
12 | %w | 曜日を数字で指定します。 | 対応する値を次に示します。
|
13 | %A | 曜日の英字の正式名で指定します。 | 対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
14 | %a | 曜日を英字の省略名で指定します。 | 対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
15 | %G | GMT時間(世界標準時間)との時差を分単位で指定します。 | -720~+720の値の範囲です。 |
16 | # | 文字を読み飛ばしたい場合に指定します。 | 任意の1バイトを表します。 |
●[正規化パターン]の正規化ルールで「UD」を指定した場合の日時形式の定義例
[正規化パターン]の正規化ルールで「UD」を指定した場合の,項目2での定義例を次の表に示します。
表13-8 「UD」を指定した場合の項目2での定義例
項番 | ログの日時形式 | 項目2の定義例 |
---|---|---|
1 | 20070911031510 | %Y%m%d%H%M%S |
2 | 20070911031510+150 | %Y%m%d%H%M%S%G |
3 | 2007/9/11 03:15:10 | "%Y/%m/%d %H:%M:%S" |
4 | 2007/9/11 03:15:10.100 | "%Y/%m/%d %H:%M:%S####" |
5 | 2007 September 11 Wednesday 03-15-10 | %Y %B %d %A %H-%M-%S |
6 | 2007 Sep 11 Wed 03-15-10 | %Y %b %d %a %H-%M-%S |
7 | 2007/09/11 AM 03:15:10 | "%Y/%m/%d %p %I:%M:%S" |
8 | 07/09/11 03:15:10 | "%y/%m/%d %I:%M:%S" |
9 | 007/09/11 03:15:10 | "%3Y/%m/%d %I:%M:%S" |
(4) 指定例
正規化ルールファイルの指定例については「付録D 正規化ルールファイルの作成例」を参照してください。
(5) 注意事項