付録D 正規化ルールファイルの作成例

正規化ルールファイルの作成例を次に示します。

正規化ルールファイルの定義内容については「13.2 正規化ルールファイル」を参照してください。

<この節の構成>
(1) TYPEがKEYの場合
(2) TYPEがVALUEの場合

(1) TYPEがKEYの場合

TYPEがKEYの場合の監査ログについて,正規化ルールファイルの例を示します。

(a) 正規化前の監査ログの内容例(TYPEがKEYの場合)

num=1,msgid=1234,date=2007-01-01T10:10:10.100+09:00,prog=XYZ,comp=xyz,pid=1234,
host=hostA,ctgy=Authentication,result=Success,subj:euid=userA,authsrv=hostB,
msg="認証に成功しました。"

監査ログの各項目の内容を次の表に示します。

表D-1 正規化前の監査ログの内容(TYPEがKEYの場合)

項番属性名内容
1numログの通番
2msgidメッセージ識別番号(メッセージID)
3date日時
4progプログラム名称
5compコンポーネント名称
6pidプロセスID
7host発生場所
8ctgyログのカテゴリ
9resultログの結果
10subj:euidユーザ情報
11authsrv認証サーバ
12msgメッセージ

(b) 正規化ルールファイルの定義例(TYPEがKEYの場合)

[LOGTYPE]
TYPE=KEY
SEPARATE=comma
SECTION=0
LOGSTART=0
ESCTYPE=1
FRONTESC=
REARESC=
SKIPSPACE=1

[PATTERN]
1=AuditLogID:-:num:2
2=MessageID:-:msgid:3
3=MessageDate:D:date:4
4=ProgramName:-:prog:5
5=ComponentName:-:comp:6
6=ProcessID:-:pid:7
7=PlaceInfo:-:host:8
8=EventCategoryName:-:ctgy:9
9=EventResultName:-:result:10
10=SubjectInfo:S:"subj:euid":11
11=PeculiarInfo:M:"":0

正規化ルールファイルの定義例の説明を次の表に示します。

表D-2 正規化ルールファイルの定義例の説明(TYPEがKEYの場合)

項番設定項目説明
1[LOGTYPE]定義の始まりを示す[LOGTYPE]を指定します。
2TYPE=KEY形式は「XX=XX」のため「KEY」を指定します。
3SEPARATE=comma区切り文字は「,」のため「comma」を指定します。
4SECTION=0セクションは特に指定しないため「0」を指定します。
5LOGSTART=0区切りは先頭から行うため「0」を指定します。
6ESCTYPE=1エスケープは「"」であるため「1」を指定します。
7FRONTESC=エスケープが「"」のため設定不要です。
8REARESC=エスケープが「"」のため設定不要です。
9SKIPSPACE=区切り文字が「,」のため設定不要です。
10[PATTERN]セクションは特に指定していないため「PATTERN」を指定します。
111=AuditLogID:-:num:2監査ログIDには「num」の値を使用し,2番を実行します。
122=MessageID:-:msgid:3メッセージIDには「msgid」の値を使用し,3番を実行します。
133=MessageDate:D:date:4日時には「date」の値を使用し,4番を実行します。
144=ProgramName:-:prog:5プログラム名には「prog」の値を使用し,5番を実行します。
155=ComponentName:-:comp:6コンポーネント名には「comp」の値を使用し,6番を実行します。
166=ProcessID:-:pid:7プロセスIDには「pid」の値を使用し,7番を実行します。
177=PlaceInfo:-:host:8発生場所には「host」の値を使用し,8番を実行します。
188=EventCategoryName:-:ctgy:9監査事象種別には「ctgy」の値を使用し,9番を実行します。
199=EventResultName:-:result:10監査事象結果には「result」の値を使用し,10番を実行します。
2010=SubjectInfo:S:"subj:euid":11サブジェクト種別には「実行ユーザID」を使用し,サブジェクト情報には「subj:euid」の値を使用して,11番を実行します。
2111=PeculiarInfo:M:"":0残りのデータを固有情報とし,正規化を終了します。

(c) 正規化後の監査ログ管理画面での表示例(TYPEがKEYの場合)

「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。

表D-3 正規化後の監査ログ管理画面での表示例(TYPEがKEYの場合)

項番監査ログ管理画面での項目内容
1監査ログID1
2メッセージID1234
3日時2007-01-01 10:10:10.100
4プログラム名XYZ
5コンポーネント名xyz
6プロセスID1234
7発生場所hostA
8監査事象種別Authentication
9監査事象結果Success
10サブジェクト種別実行ユーザID
11サブジェクト情報userA
12固有情報TZD=+09:00,authsrv=hostB,msg="認証に成功しました。"

(2) TYPEがVALUEの場合

TYPEがVALUEの場合の監査ログについて,正規化ルールファイルの例を示します。

(a) 正規化前の監査ログの内容例(TYPEがVALUEの場合)

ABC 2007/01/01 10:10:10 [1234] 1234 0 userA 認証に成功しました。

監査ログの各項目の内容を次の図に示します。

図D-1 正規化前の監査ログの内容

[図データ]

(b) 正規化ルールファイルの定義例(TYPEがVALUEの場合)

[LOGTYPE]
TYPE=VALUE
SEPARATE=space
SECTION=1
LOGSTART=1
ESCTYPE=2
FRONTESC=[
REARESC=]
SKIPSPACE=0

[ABC]
1=AuditLogID:*:0:2
2=ProgramName:*:XYZ:3
3=ComponentName:*:xyz:4
4=PlaceInfo:H:5
5=EventCategoryName:*:Authentication:6
6=CHECK:J:6:-1:8:7
7=CHECK:J:6:0:9:10
8=EventResultName:*:Failure:11
9=EventResultName:*:Success:11
10=EventResultName:*:Occurrence:11
11=SubjectInfo:C:"subj:euid":7:12
12=MessageDate:D:2,3:13
13=ProcessID:-:4:14
14=MessageID:-:5:15
15=PeculiarInfo:N:8:0

正規化ルールファイルの定義例の説明を次の表に示します。

表D-4 正規化ルールファイルの定義例の説明(TYPEがVALUEの場合)

項番設定項目説明
1[LOGTYPE]定義の始まりを示す[LOGTYPE]を指定します。
2TYPE=VALUE形式は「値1値2・・・」(値の羅列)のため「VALUE」を指定します。
3SEPARATE=space区切り文字は「△(半角スペース)」のため「space」を指定します。
4SECTION=1セクションは特に指定しないため「1」を指定します。
5LOGSTART=1区切りは先頭から行うため「1」を指定します。
6ESCTYPE=2エスケープは「[ ]」であるため「2」を指定します。
7FRONTESC=[エスケープが「[」のため「[」を指定します。
8REARESC=]エスケープが「]」のため「]」を指定します。
9SKIPSPACE=0スペースはまとめないため「0」を指定します。
10[ABC]セクション名として監査ログの先頭の文字列を使用します。
111=AuditLogID:*:0:2監査ログIDには固定値で「0」を使用し,2番を実行します。
122=ProgramName:*:XYZ:3プログラム名には固定値で「XYZ」を使用し,3番を実行します。
133=ComponentName:*:xyz:4コンポーネント名には固定値で「xyz」を使用し,4番を実行します。
144=PlaceInfo:H:5発生場所には監査ログ収集対象サーバ名を使用し,5番を実行します。
155=EventCategoryName:*:Authentication:6監査事象種別には固定値で「Authentication」を使用し,6番を実行します。
166=CHECK:J:6:-1:8:7監査ログの6番が「-1」の場合,8番を実行し,それ以外は7番を実行します。
177=CHECK:J:6:0:9:10監査ログの6番が「0」の場合,9番を実行し,それ以外は10番を実行します。
188=EventResultName:*:Failure:11監査事象結果には固定値で「Failure」を使用し,11番を実行します。
199=EventResultName:*:Success:11監査事象結果には固定値で「Success」を使用し,11番を実行します。
2010=EventResultName:*:Occurrence:11監査事象結果には固定値で「Occurrence」を使用し,11番を実行します。
2111=SubjectInfo:C:"subj:euid":7:12サブジェクト種別には「実行ユーザID」を使用し,サブジェクト情報には7番の値を使用して,12番を実行します。
2212=MessageDate:D:2,3:13日時には2番と3番の値を使用し,13番を実行します。
2313=ProcessID:-:4:14プロセスIDには4番の値を使用し,14番を実行します。
2414=MessageID:-:5:15メッセージIDには5番の値を使用し,15番を実行します。
2515=PeculiarInfo:N:8:0残りのデータを固有情報とし,正規化を終了します。

(c) 正規化後の監査ログ管理画面での表示例(TYPEがVALUEの場合)

「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。

表D-5 正規化後の監査ログ管理画面での表示例(TYPEがVALUEの場合)

項番監査ログ管理画面での項目内容
1監査ログID
2メッセージID1234
3日時2007-01-01 10:10:10.100
4プログラム名XYZ
5コンポーネント名xyz
6プロセスID1234
7発生場所監査ログ収集対象サーバ名
8監査事象種別Authentication
9監査事象結果Success
10サブジェクト種別実行ユーザID
11サブジェクト情報userA
12固有情報認証に成功しました。
(凡例)
-:空白