4.3.1 正規化ルールで定義できる監査ログの条件
監査ログのファイル形式やフォーマットを確認し,監査証跡管理システムで収集できる監査ログかどうかを目安として判断します。
- <この項の構成>
- (1) ファイル形式の有効性を判断する
- (2) ファイルフォーマットの有効性を判断する
(1) ファイル形式の有効性を判断する
監査証跡管理システムで収集できる監査ログのファイル形式かどうかを判断します。
次の条件をすべて満たしている場合,監査証跡管理システムで監査ログを収集できます。
- ラップアラウンド形式またはシフト形式である
- ファイル名称は動的な名称ではない
- バイナリデータが含まれていない(監査ログファイル中の1行の終了文字以外にバイナリデータを含まないファイル)
- ログ情報が蓄積されるファイルである(常に1行しか出力されないファイルではない)
- 文字コードは次のどれかである
なお,これらの条件を満たしていない場合は,ファイル形式の変換が必要です。
- 参考
- ラップアラウンド形式およびシフト形式について説明します。
- ラップアラウンド形式は,監査ログが最初に出力されるときにaudit1.logを作成してログを書き込み,監査ログファイルが一定の容量に達するとauditlog2.logを作成してログを書き込む形式です。ファイル名末尾の数値+1をしたファイル名称のファイルを作成して新たにログを書き込む動作が,監査ログファイル数まで繰り返されます。ファイル数が設定値を超えると,古いログファイルから上書き保存されます。
- シフト形式は,監査ログファイルが一定の容量に達するとファイル名を変更して保存したあと,変更前と同じ名称のファイルを作成して新たにログを書き込む形式です。監査ログファイルがaudit.logの場合,一定の容量に達して監査ログファイルが切り替わるときにaudit.logをaudit1.logに変更して保存し,新たにaudit.logを作成してログを書き込みます。再びaudit.logが一定量に達すると保存済みのaudit1.logをaudit2.logに変更したあと,audit.logをaudit1.logに変更して保存します。ファイル数が設定値を超えると,古いファイル(つまり,ファイル末尾の数値が最も大きいファイル)から削除されます。
(2) ファイルフォーマットの有効性を判断する
監査ログのファイルフォーマットを判断します。
収集したい監査ログが,次の条件を満たしているかどうかを確認してください。
- 正規化ルールエディタで定義する場合の条件
- 監査ログの最終行に改行がある
- プロダクト名およびWindowsイベントIDごとに,監査ログの出力フォーマットが固定(イベントログトラップ機能によって収集されるログの場合)
- プロダクト名ごとに,監査ログの出力フォーマットが固定(ログファイルトラップ機能によって収集されるログの場合)
- 正規化ルールエディタで定義する方法については,マニュアル「JP1/NETM/Audit 正規化ルール定義ガイド」を参照してください。
- テキストエディタで正規化ルールファイルを作成して定義する場合の条件
- 監査ログの最終行に改行がある
- 区切り文字が「△(半角スペース)」または「,」である
- フォーマットの形式が次のどちらかである
・Tag1=Value1[区切り文字]Tag2=Value2[区切り文字]Tagn=Valuen
・Value1[区切り文字]Value2[区切り文字]Valuen
- 監査ログレコードの種類や種別を特定することができる値(以降ユニークキーと呼びます)が次のどちらかである
・ユニークキーがあり,ユニークキーごとに監査ログの出力フォーマットが固定
・ユニークキーはないが,すべての監査ログの出力フォーマットは固定
- テキストエディタで作成する場合の正規化ルールファイルの定義内容については「13.2 正規化ルールファイル」を参照してください。