5.7 [正規化ルール定義]ダイアログ

[正規化ルール定義]ダイアログでは,正規化ルールを定義します。

図5-10 [正規化ルール定義]ダイアログ

[図データ]

[正規化ルール定義]ダイアログの各項目について説明します。

「製品情報名」
定義する製品情報の名称が表示されます。
「正規化ルール名」
ツリーエリアに表示される正規化ルールの名称を入力します。
次の文字は,正規化ルールの名称に使用できません。
  • 0x00~0x1F,および0x7Fの制御コード
  • 「-」は,正規化ルール名の先頭に指定できません
  • 「¥」「,」「;」「:」「*」「?」「"」「<」「>」「|」「(」「)」「=」
正規化ルール名は,Unicodeのコード順でツリーエリアに表示されます。
一度登録したら,表示順を変更できません。
ツリーエリアに表示される順序を考慮して,正規化ルール名を登録してください。
すでに登録されている正規化ルール名と同じ名前の正規化ルール名では登録できません。
「WindowsイベントID」
Windowsイベントログの正規化ルールを定義する場合に,WindowsイベントIDを入力します。
ここで定義するWindowsイベントIDは,Windowsイベントログを監査ログへ変換する際に,使用する正規化ルールを特定するための情報になります。
すでに登録されているWindowsイベントIDと同じ名前のWindowsイベントIDでは登録できません。
[選択]ボタン
ほかの正規化ルールの定義内容を流用して定義する場合にクリックします。
クリックすると,[正規化ルール選択]ダイアログが表示されます。流用する正規化ルールを選択すると,[正規化ルール定義]ダイアログに,流用する正規化ルールの定義内容が表示されます。変更したい項目だけ変更してください。[正規化ルール選択]ダイアログの詳細は,「5.8 [正規化ルール選択]ダイアログ」を参照してください。
[メッセージ分割/フィールド生成]タブ
[メッセージ分割]タブでは,メッセージテキストを監査ログフォーマットに合わせて分割して対応づけます。また,[フィールド生成]タブでは,監査ログとして必要な情報がメッセージテキストに含まれていない場合に,その情報を監査ログに埋め込みます。
[メッセージ分割]タブの各項目については,「(1) [メッセージ分割]タブ」を参照してください。
[フィールド生成]タブの各項目については,「(2) [フィールド生成]タブ」を参照してください。
[OK]ボタン
定義した内容が保存されます。定義中にエラーがある場合,確認メッセージが表示されます。[はい]ボタンをクリックすると,正規化ルールを一時的に保存できます。
ただし,正規化ルール名とWindowsイベントIDにエラーがある場合は保存できません。エラー部分を入力方法に従って修正してください。
[キャンセル]ボタン
定義がキャンセルされます。[キャンセル]ボタンをクリックすると,確認メッセージが表示されます。[はい]ボタンをクリックすると,定義した内容は破棄されます。
<この節の構成>
(1) [メッセージ分割]タブ
(2) [フィールド生成]タブ
(3) 「種別」および「形式」ドロップダウンリストの内容

(1) [メッセージ分割]タブ

[メッセージ分割]タブでは,メッセージテキストを監査ログフォーマットに合わせて分割し,監査ログフォーマットの要素に対応づけます。監査ログフォーマットに対応づけたメッセージテキストの要素を「フィールド」と呼びます。

メッセージは,50件まで分割できます。

[メッセージ分割]タブの各項目について説明します。

図5-11 [正規化ルール定義]ダイアログの[メッセージ分割]タブ

[図データ]

「先頭区切」
メッセージテキストの先頭に,監査ログフォーマットとして対応づけない不要な情報がある場合に,その文字列またはバイト数を「先頭区切」として定義します。
例えば,次のメッセージテキストで「2007/12/31」以降の情報を監査ログフォーマットに対応づける場合,先頭の「####△」は不要な情報になります。

####△2007/12/31△00:00:00.000△△△△KKKK0000-E△起動に失敗しました。

(凡例)△:半角スペースを意味します。

このような場合に,「####△」を先頭区切として定義します。
 
「先頭区切」に定義する方法には,次の2種類あります。
  • 文字列で定義する方法
  • バイト単位で定義する方法
メッセージの形式に応じて,二つの方法を使い分けてください。詳細は,「3.4 メッセージテキストを分割する方法」を参照してください。
なお,「先頭区切」に定義できるのは1件だけです。
「種別」ドロップダウンリスト,「形式」ドロップダウンリスト
「種別」および「形式」ドロップダウンリストには,監査ログフォーマットの要素が表示されます。「プレビュー」に表示されたメッセージテキストの要素を,監査ログフォーマットのどの要素に対応づけるかを定義します。
ドロップダウンリストの内容については,「(3) 「種別」および「形式」ドロップダウンリストの内容」を参照してください。
「後区切」
メッセージテキストを分割するために,区切りとなる情報を入力します。
メッセージテキストを分割する方法には,次の2種類があります。
  • 文字列で区切る方法
    メッセージテキストを分割したい位置に,半角スペースや「,」(コンマ)などの文字列がある場合は,その文字列で区切ります。
  • バイト単位で区切る方法
    メッセージテキストを分割したい位置に何も文字列がない場合,バイト単位で区切ります。
メッセージの形式に応じて,二つの方法を使い分けてください。詳細は,「3.4 メッセージテキストを分割する方法」を参照してください。
「プレビュー」
「後区切」に区切り情報を指定して[プレビュー]ボタンをクリックすると,「プレビュー」に区切られたメッセージテキストの要素が表示されます。
[プレビュー]ボタン
「後区切」に指定した区切り情報に従って,「サンプルメッセージ」に表示されたメッセージテキストを分割します。分割されたメッセージテキストの要素は,「プレビュー」に表示されます。
「サンプルメッセージ」リスト
メッセージテキストを分割するために,サンプルとなるメッセージテキストを登録します。登録されたサンプルが,「サンプルメッセージ」リストに表示されます。
[追加]ボタン
[追加]ボタンをクリックすると,[サンプルメッセージ追加]ダイアログが表示されます。メッセージテキストを分割するために,サンプルとなるメッセージテキストを追加してください。サンプルメッセージは,3件まで登録できます。
[削除]ボタン
「サンプルメッセージ」リストで選択したサンプルメッセージテキストを削除します。[削除]ボタンをクリックすると,確認のメッセージが表示されます。[はい]ボタンをクリックするとサンプルメッセージテキストが破棄されます。

(2) [フィールド生成]タブ

[フィールド生成]タブでは,監査ログとして必要な情報がメッセージテキストに含まれていない場合に,その情報を変換後の監査ログに埋め込みます。監査ログに埋め込まれた各情報を「フィールド」と呼びます。

[フィールド生成]タブの各項目について説明します。

図5-12 [正規化ルール定義]ダイアログの[フィールド生成]タブ

[図データ]

(a) 「JP1イベント属性値から生成」エリア

監査ログとして必要な情報がメッセージテキストにない場合でも,JP1イベントの属性値に含まれているとき,JP1イベントの属性値を監査ログに埋め込むことができます。「JP1イベント属性値から生成」エリアでは,JP1イベントの属性値を監査ログに埋め込む定義をします。JP1イベントの属性値は,10件まで埋め込むことができます。

「JP1イベント属性値から生成」エリアの各項目について説明します。

「生成するフィールド」,「生成するフィールドの設定値」
定義したフィールドが一覧で表示されます。
「生成するフィールド」には,監査ログフォーマットの要素が表示されます。「生成するフィールドの設定値」には,「生成するフィールド」に対応するJP1イベントの属性値が表示されます。
「種別」,「形式」
監査ログフォーマットの要素の種別および形式が表示されます。
「属性種別」,「属性名」
監査ログに埋め込むJP1イベントの属性種別および属性名が表示されます。
[追加]ボタン
JP1イベント属性値から生成するフィールドを新たに追加します。
クリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(1) JP1イベントの属性値を監査ログに埋め込む場合」を参照してください。
[編集]ボタン
フィールドの定義を編集します。編集するフィールドの定義を選択して[編集]ボタンをクリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(1) JP1イベントの属性値を監査ログに埋め込む場合」を参照してください。
[削除]ボタン
リストで選択したフィールドの定義を削除します。[削除]ボタンをクリックすると,確認のメッセージが表示されます。[はい]ボタンをクリックするとリストで選択したフィールドが破棄されます。

(b) 「入力した文字列から生成」エリア

監査ログとして必要な情報が,メッセージテキストにもJP1イベントの属性値にもない場合,任意の文字列を監査ログに埋め込むことができます。「入力した文字列から生成」エリアでは,任意の文字列を監査ログに埋め込む定義をします。任意の文字列は,30件まで埋め込むことができます。

「入力した文字列から生成」エリアの各項目について説明します。

「生成するフィールド」,「生成するフィールドの設定値」
定義したフィールドが一覧で表示されます。
「生成するフィールド」には,監査ログフォーマットの要素が表示されます。「生成するフィールドの設定値」には,「生成するフィールド」に対応する入力情報が表示されます。
「種別」,「形式」
監査ログフォーマットの要素の種別および形式が表示されます。
「文字列」
監査ログに埋め込む入力情報が表示されます。
[追加]ボタン
任意の文字列から生成するフィールドを新たに追加します。
クリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(2) 任意の文字列を監査ログに埋め込む場合」を参照してください。
[編集]ボタン
フィールドの定義を編集します。編集するフィールドの定義を選択して[編集]ボタンをクリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(2) 任意の文字列を監査ログに埋め込む場合」を参照してください。
[削除]ボタン
リストで選択したフィールドの定義を削除します。[削除]ボタンをクリックすると,確認のメッセージが表示されます。[はい]ボタンをクリックするとリストで選択したフィールドが破棄されます。

(3) 「種別」および「形式」ドロップダウンリストの内容

ここでは,[正規化ルール定義]ダイアログおよび[生成フィールド定義]ダイアログの,「種別」および「形式」ドロップダウンリストの項目について説明します。

表5-3 「種別」および「形式」ドロップダウンリストの項目

項番種別形式必須/推奨/任意
1日時YYYY/MM/DD hh:mm:ss※1
2YYYY-MM-DD hh:mm:ss※1
3YYYY-MM-DDThh:mm:ss.sTZD※1
4YYYY-MM-DDThh:mm:ss.sssTZD※1
51970/01/01からの経過秒数
6日付※1YYYY/MM/DD
7YYYY-MM-DD
8YY/MM/DD
9DD/MMM/YYYY
10※1YY
11YYYY
12※1MM
13MMM
14※1DD
15時刻※1hh:mm:ss
16hh:mm:ss.sss
17hh:mm:ss.ssssss
18※1hh
19※1mm
20※1ss
21ss.sss
22ss.ssssss
23共通情報通番
24メッセージID
25プログラム名
26コンポーネント名
27プロセスID
28発生場所(host)※2
29発生場所(ipv4)※2
30発生場所(ipv6)※2
31発生場所(自動判定)※2
32監査事象の種別
33監査事象の結果
34サブジェクト識別情報(uid)※3
35サブジェクト識別情報(euid)※3
36サブジェクト識別情報(pid)※3
37サブジェクト識別情報(自動判定)※3
38固有情報(事象)オブジェクト情報
39動作情報
40オブジェクトロケーション情報※4
41オブジェクトロケーション情報(from)※4
42変更前情報
43変更後情報
44権限情報
45サービスインスタンス名
46冗長化識別情報
47固有情報(送信)リクエスト送信元ホスト(host)※2
48リクエスト送信元ホスト(ipv4)※2
49リクエスト送信元ホスト(ipv6)※2
50リクエスト送信元ホスト(自動判定)※2
51リクエスト送信元ポート番号
52リクエスト送信先ホスト(host)※2
53リクエスト送信先ホスト(ipv4)※2
54リクエスト送信先ホスト(ipv6)※2
55リクエスト送信先ホスト(自動判定)※2
56リクエスト送信先ポート番号
57固有情報(識別)一括操作識別子
58ログ種別情報
59出力元の場所(host)※2
60出力元の場所(ipv4)※2
61出力元の場所(ipv6)※2
62出力元の場所(自動判定)※2
63指示元の場所(host)※5
64指示元の場所(ipv4)※5
65指示元の場所(ipv6)※5
66指示元の場所(fqdn)※5
67指示元の場所(自動判定)※5
68検出場所(host)※2
69検出場所(ipv4)※2
70検出場所(ipv6)※2
71検出場所(自動判定)※2
72ロケーション識別情報
73エージェント情報(host)※2
74エージェント情報(ipv4)※2
75エージェント情報(ipv6)※2
76エージェント情報(自動判定)※2
77固有情報(自由)自由記述1~30
78その他※1情報フィールド
(凡例)
◎:必ず対応づけます。
○:対応づけを推奨します。
-:必要に応じて対応づけます。
注※1
[生成フィールド定義]ダイアログの「種別」または「形式」ドロップダウンリストには表示されません。
注※2
メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にホスト名の場合は(host)を,IPv4アドレスの場合は(ipv4)を,IPv6アドレスの場合は(ipv6)を選択してください。
どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
注※3
メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にuidの場合は(uid)を,euidの場合は(euid)を,pidの場合は(pid)を選択してください。
どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
注※4
Windowsイベントログのセキュリティログの正規化ルールを定義する場合,オブジェクトロケーション情報に当たる情報は,「オブジェクトロケーション情報(from)」に対応づけてください。Windowsイベントログのセキュリティログ以外の正規化ルールを定義する場合は,「オブジェクトロケーション情報」に対応づけてください。
注※5
メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にホスト名の場合は(host)を,IPv4アドレスの場合は(ipv4)を,IPv6アドレスの場合は(ipv6)を,完全修飾ドメイン名の場合は(fqdn)を選択してください。
どの形式で出力されるかわからない場合は,(自動判定)を選択してください。