7.4.2 監査ログの集計条件項目

監査ログ集計画面で,集計条件として指定できる項目について説明します。

指定した集計条件は保存できます。同じ条件で何度も集計したい場合は,集計条件を保存しておくと便利です。集計条件を保存する方法については「7.4.5 監査ログ集計パターンの編集」を参照してください。

集計条件として指定できる項目を,次の表に示します。なお,表示設定画面で集計条件項目の表示および並び順を設定している場合は,集計条件項目に設定内容が反映されます。

表7-6 集計条件として指定できる項目

項番集計条件説明
1集計単位監査ログを集計する単位を指定します。
集計単位
ドロップダウンリストから次のどれかを選択します。
  • 「発生場所」
    監査事象が発生した場所です。
  • 「プログラム名」
    監査事象が発生したプログラム名です。
  • 「サブジェクト情報」
    監査事象が発生したユーザIDです。
2集計観点監査ログを集計する観点を指定します。
集計観点
ドロップダウンリストから次のどちらかを指定します。
  • 「監査事象種別」
    監査事象の種別です。
  • 「監査事象結果」
    監査事象の結果です。
3メッセージID※1,※2監査ログメッセージのメッセージIDを次の方法で指定します。
プレフィクス定義と製品ごとのID※3
テキストボックスに64バイト以内の文字列を入力します。
メッセージレベル※4
ドロップダウンリストから「エラー」,「警告」,「情報」のどれかを選択します。
なお,メッセージIDは「完全一致」,「部分一致」,「前方一致」,または「後方一致」を選択して集計できます。デフォルトは「部分一致」です。
4発生日時
(開始/終了)
監査を開始した日時または監査を終了した日時を指定します。
年月日
テキストボックスにYYYYMMDD※5の形式で指定するかまたはカレンダーで指定します。
時間,分,秒
それぞれをドロップダウンリストから選択します。年月日を指定したときだけ選択できます。
5プログラム名JP1/NETM/Audit - Managerの監査ログ収集対象プログラムを指定します。
プログラム名
ドロップダウンリストから,集計したいプログラム名を選択します。
6コンポーネント名「プログラム名」に対応するコンポーネント名を指定します。
コンポーネント名
「プログラム名」ドロップダウンリストからプログラムを選択すると,選択したプログラムに該当するコンポーネント名がドロップダウンリストに表示されます。ドロップダウンリストからコンポーネント名を選択します。
7プロセスIDプロセスIDを指定します。
プロセスID
テキストボックスに0~2147483647の整数を入力します。
なお,プロセスIDの範囲は「以下」,「等しい」,または「以上」を選択して集計できます。デフォルトは「以下」です。
8発生場所※1監査事象が発生した場所を指定します。
監査事象が発生した場所
テキストボックスに,256バイト以内の文字列でホスト名またはIPアドレスのどちらかを入力します。
なお,発生場所は「完全一致」,「部分一致」,「前方一致」,または「後方一致」を選択して集計できます。デフォルトは「部分一致」です。
9監査事象種別監査事象の種別を指定します。
監査事象種別
ドロップダウンリストから次のどれかを選択します。
  • 「StartStop」(開始/停止)
  • 「Authentication」(認証)
  • 「AccessControl」(アクセス制御)
  • 「ContentAccess」(重要情報アクセス)
  • 「Failure」(障害発生)
  • 「LinkStatus」(リンク状態)
  • 「ExternalService」(外部通信)
  • 「ConfigurationAccess」(設定情報アクセス)
  • 「Maintenance」(メンテナンス)
  • 「AnomalyEvent」(しきい値オーバー)
  • 「ManagementAction」(アクション実行)
各項目の詳細については「2.2.3 監査ログの収集カテゴリ」を参照してください。
10監査事象結果監査イベントの結果を指定します。
監査事象結果
ドロップダウンリストから次のどれかを指定します。
  • 「Success」(成功)
  • 「Failure」(失敗)
  • 「Occurrence」(成功または失敗の分類がない事象の発生)
11サブジェクト情報※1監査事象の発生元を指定します。
サブジェクト情報
テキストボックスに,256バイト以内の文字列でアカウント識別子,実行ユーザID,またはプロセスIDのどれかを入力します。
サブジェクト種別
ドロップダウンリストから次のどれかを選択します。
  • 「アカウント識別子」
  • 「実行ユーザID」
  • 「プロセスID」
なお,サブジェクト情報は「完全一致」,「部分一致」,「前方一致」,または「後方一致」を選択して集計できます。デフォルトは「部分一致」です。
12固有情報※1メッセージやジョブ名など,製品固有の情報を指定します。
固有情報
テキストボックスに1,024バイト以内の文字列を入力します。
複数の文字列もAND条件およびOR条件で指定できます。なお,固有情報は部分一致で集計されます。
複数の文字列を指定する場合は,「AND」,「△」,「OR」,および「( )」を使用して,条件式を作ることができます。それぞれの使い方を次に示します。
  • AND
    前後の文字列のAND条件を指定するのに使います。ANDの前後には半角スペースが必要です。大文字と小文字のどちらでも指定できます。
  • △ 半角スペース
    前後の文字列のAND条件を指定するのに使います。文字列間の単一スペースで記述します。
  • OR
    前後の文字列のOR条件を指定するのに使います。ORの前後には半角スペースが必要です。大文字と小文字のどちらでも指定できます。
  • ( ) 括弧
    演算子の評価順序を指定するのに使います。次の規則に従って論理演算をします。
    ・論理演算の評価順序は,括弧内,AND,ORの順です。
    ・論理演算の最大ネスト数は,255個です。
    ・論理演算のネスト数は,論理演算子AND,またはORの評価順序を表す括弧を省略しないで指定した場合の括弧のネスト数です。

エスケープ対象文字およびエスケープ対象文字列を次に示します。
  • エスケープ対象文字
    「'」,「(」,「)」,「△」
  • エスケープ対象文字列
    「AND」,「OR」
「'」(シングルクォート)で集計文字列を囲むと,エスケープ対象文字およびエスケープ対象文字列はエスケープされます。また,「'」を集計文字列に含む場合は,「'」の直前に「'」を一つ付加する必要があります。
入力例を次に示します。
  • 「Add」と「JP1_AJS_Admin」を含んだ監査ログを集計する場合
    Add△AND△JP1_AJS_Admin
    Add△JP1_AJS_Admin
  • 「JP1_Audit_Admin」または「JP1_DM_Admin」を含んだ監査ログを集計する場合
    JP1_Audit_Admin△OR△JP1_DM_Admin
  • 「JP1△DM△Admin」または「JP1NETMAudit['Admin']」を含んだ監査ログを集計する場合
    'JP1△DM△Admin'△OR△'JP1NETMAudit[''Admin'']'
  • 「JP1_Audit_Admin」または「JP1_DM_Admin」を含み,かつ「Add」を含んだ監査ログを集計する場合
    (JP1_Audit_Admin△OR△JP1_DM_Admin)△AND△Add
  • 「JP1NETMDM(dm-manager)」を含んだ監査ログを集計する場合
    'JP1NETMDM(dm-manager)'
13監査ログID※6製品または製品のコンポーネントに対応する監査ログを特定するためのIDを指定します。
監査ログID
テキストボックスに0~2147483647の整数を入力します。
監査ログ集計画面で集計条件が空白の場合,その集計条件については,すべての監査ログが集計対象となります。
注※1
監査ログを集計する場合,文字列条件の設定によって,大文字小文字の区別は次のようになります。なお,「固有情報」は常に部分一致で集計されるため,大文字小文字の区別はありません。

文字列条件ドロップダウンリストの選択大文字小文字の区別
完全一致区別する
部分一致区別しない
前方一致
後方一致
注※2
標準サポート外のプログラムのメッセージIDについては,正規化ルールファイルでの指定を参照してください。
注※3
Windowsなど,一部の製品メッセージのプレフィクス定義については「付録C JP1/NETM/Audit - Managerが対応するプログラムの監査ログ一覧」を参照してください。
注※4
メッセージレベルは,メッセージの種別(エラー:E,警告:W,情報:I)に対応します。
メッセージレベルの指示は,日立オープンミドルウェア製品の監査ログを集計する場合に使用すると便利です。その他の製品を集計するときに使用すると,監査ログが検出されない場合があります。
注※5
YYYYは年,MMは月,DDは日です。「/」は入力できません。
注※6
デフォルトでは非表示です。この項目を表示する方法については「7.7 監査ログ管理画面の表示設定」を参照してください。

注意事項
テンプレートの集計パターンを使用して,集計条件を指定するときの注意事項を次に示します。
  • 効率良く集計するために,「発生日時」で期間を指定することをお勧めします。
  • 「サブジェクト情報」および「固有情報」に次の文字列が表示された場合は,表示された文字列を削除してそれぞれに該当する任意の値を入力してください。
    ・権限レベルを入力してください。
    ・JP1資源グループ名を入力してください。
    ・ユーザ名を入力してください。
    ・グループ名を入力してください。
  • 監査ログが収集されていない監査ログ収集対象プログラムおよびコンポーネントのテンプレートの集計パターンを適用すると,プログラム名およびコンポーネントには空白が設定されます。