1.2 検討する前に正規化ルールを幾つ定義できるか把握する

正規化ルールエディタでは,定義できる正規化ルールの件数が決まっています。ここでは,定義できる正規化ルールの件数について説明します。定義できる正規化ルールの件数を考慮した上で,正規化ルールの定義内容を検討してください。

正規化ルールエディタでは,正規化ルールを次の図のように定義します。

図1-3 正規化ルールエディタで正規化ルールを定義するイメージ

[図データ]

「製品情報」は,ログを出力する監査ログ収集対象プログラムの情報です。イベントログトラップ機能によって収集されたログなのか,ログファイルトラップ機能によって収集されたログなのかなどの情報を定義します。製品情報は,正規化ルールを定義する前に必ず定義します。正規化ルールは,対応する「製品情報」の下に定義します。

製品情報および正規化ルールには,定義できる件数に限りがあります。定義できる件数を次に示します。

表1-1 製品情報および正規化ルールの定義件数

定義する情報件数制限
製品情報50件まで定義できます。
正規化ルール
  • Windowsイベントログに対応する正規化ルール
    各製品情報に,50件まで定義できます。
    図1-3の「Windows 2008セキュリティログ」のように,WindowsイベントIDごとに1件ずつ定義します。
    Windowsイベントログ1件に適用できる正規化ルールを検討してください。
  • ログファイルに対応する正規化ルール
    図1-3の「HitachiStorage」のように,各製品情報につき1件だけ定義できます。
    製品が出力するすべてのログに適用できる正規化ルールを検討してください。

ここで示す件数分だけ,正規化ルールの定義内容を検討してください。