3.2 正規化ルールの定義操作(Windowsイベントログの場合)

Windowsイベントログの正規化ルールを定義します。

ここでは,アプリケーションAがWindows Server 2008のアプリケーションログに出力する次のログメッセージ(メッセージID:A0001)に対応する正規化ルールを定義する例に沿って説明します。

アカウントが正常にログオンしました。↓

サブジェクト:↓
→セキュリティ△ID:→→SYSTEM↓
→アカウント名:→→WIN-DOM$↓
→アカウント△ドメイン:→→AUDIT↓
→ログオン△ID:→→0x1e6↓

ログオン△タイプ:→→→2↓

新しいログオン:↓
→セキュリティ△ID:→→S-1-5-21↓
→アカウント名:→→Administrator↓
→アカウント△ドメイン:→→AUDIT↓
→ログオン△ID:→→0xd7ff4↓
→ログオン△GUID:→→{00000000-0000}↓

プロセス情報:↓
→プロセス△ID:→→0x750↓
→プロセス名:→→C:¥Windows¥System32¥winlogon.exe↓

ネットワーク情報:↓
→ワークステーション名:→WIN-DOM↓
→ソース△ネットワーク△アドレス:→127.0.0.1↓
→ソース△ポート:→→0↓
    (以降省略)

(凡例)
↓:改行を示します。
→:タブを示します。
△:半角スペースを示します。

<この節の構成>
3.2.1 定義の流れ
3.2.2 監査ログ収集対象プログラムの製品情報を定義する
3.2.3 正規化ルールの名称を定義する
3.2.4 メッセージテキストを監査ログフォーマットに対応づける
3.2.5 メッセージテキストに不足している情報を監査ログに埋め込む
3.2.6 正規化ルールを変換で使用できる状態にする