1.1 「正規化ルールを定義する」とは
正規化ルールは,監査ログ収集対象プログラムから収集された監査ログ※を,JP1/NETM/Auditで管理できる監査ログフォーマットに変換するためのルールを定義するものです。正規化ルールには,監査ログの情報をJP1/NETM/Auditで管理できる監査ログフォーマットにどのように対応づけるかを定義します。
- 注※
- 監査ログ収集対象プログラムから出力された監査ログは,監査ログ収集対象プログラムと同じホストにあるJP1/BaseによってJP1イベントに変換され,JP1/NETM/Auditで収集されます。
- 監査ログ収集対象プログラムがWindowsイベントログに監査ログを出力する場合は,JP1/Baseのイベントログトラップ機能によってJP1イベントに変換されます。監査ログ収集対象プログラムがログファイルに監査ログを出力する場合は,JP1/Baseのログファイルトラップ機能によってJP1イベントに変換されます。
正規化ルールエディタを使用すると,正規化ルールをGUIで定義できます。正規化ルールエディタを使用して正規化ルールを定義するイメージを次に示します。
正規化ルールエディタで正規化ルールを定義するために,事前に次の事項を検討しておく必要があります。
- メッセージテキストを監査ログフォーマットにどのように対応づけるか
監査ログフォーマットの各要素の意味を把握した上で,メッセージテキストを分割し,分割した要素を監査ログフォーマットに対応づけます。
- メッセージテキストに不足している情報をどのように補うか
監査ログとして必要な情報がメッセージテキストにない場合,不足している情報をどのように補うかを検討します。
次節から,具体的に検討内容を説明します。