正規化ルールファイルの作成例を次に示します。
正規化ルールファイルの定義内容については「13.2 正規化ルールファイル」を参照してください。
(1) TYPEがKEYの場合
TYPEがKEYの場合の監査ログについて,正規化ルールファイルの例を示します。
(a) 正規化前の監査ログの内容例(TYPEがKEYの場合)
num=1,msgid=1234,date=2007-01-01T10:10:10.100+09:00,prog=XYZ,comp=xyz,pid=1234, |
監査ログの各項目の内容を次の表に示します。
表C-1 正規化前の監査ログの内容(TYPEがKEYの場合)
項番 | 属性名 | 内容 |
---|---|---|
1 | num | ログの通番 |
2 | msgid | メッセージ識別番号(メッセージID) |
3 | date | 日時 |
4 | prog | プログラム名称 |
5 | comp | コンポーネント名称 |
6 | pid | プロセスID |
7 | host | 発生場所 |
8 | ctgy | ログのカテゴリ |
9 | result | ログの結果 |
10 | subj:euid | ユーザ情報 |
11 | authsrv | 認証サーバ |
12 | msg | メッセージ |
(b) 正規化ルールファイルの定義例(TYPEがKEYの場合)
[LOGTYPE] |
正規化ルールファイルの定義例の説明を次の表に示します。
表C-2 正規化ルールファイルの定義例の説明(TYPEがKEYの場合)
項番 | 設定項目 | 説明 |
---|---|---|
1 | [LOGTYPE] | 定義の始まりを示す[LOGTYPE]を指定します。 |
2 | TYPE=KEY | 形式は「XX=XX」のため「KEY」を指定します。 |
3 | SEPARATE=comma | 区切り文字は「,」のため「comma」を指定します。 |
4 | SECTION=0 | セクションは特に指定しないため「0」を指定します。 |
5 | LOGSTART=0 | 区切りは先頭から行うため「0」を指定します。 |
6 | ESCTYPE=1 | エスケープは「"」であるため「1」を指定します。 |
7 | FRONTESC= | エスケープが「"」のため設定不要です。 |
8 | REARESC= | エスケープが「"」のため設定不要です。 |
9 | SKIPSPACE= | 区切り文字が「,」のため設定不要です。 |
10 | [PATTERN] | セクションは特に指定していないため「PATTERN」を指定します。 |
11 | 1=AuditLogID:-:num:2 | 監査ログIDには「num」の値を使用し,2番を実行します。 |
12 | 2=MessageID:-:msgid:3 | メッセージIDには「msgid」の値を使用し,3番を実行します。 |
13 | 3=MessageDate:D:date:4 | 日時には「date」の値を使用し,4番を実行します。 |
14 | 4=ProgramName:-:prog:5 | プログラム名には「prog」の値を使用し,5番を実行します。 |
15 | 5=ComponentName:-:comp:6 | コンポーネント名には「comp」の値を使用し,6番を実行します。 |
16 | 6=ProcessID:-:pid:7 | プロセスIDには「pid」の値を使用し,7番を実行します。 |
17 | 7=PlaceInfo:-:host:8 | 発生場所には「host」の値を使用し,8番を実行します。 |
18 | 8=EventCategoryName:-:ctgy:9 | 監査事象種別には「ctgy」の値を使用し,9番を実行します。 |
19 | 9=EventResultName:-:result:10 | 監査事象結果には「result」の値を使用し,10番を実行します。 |
20 | 10=SubjectInfo:S:"subj:euid":11 | サブジェクト種別には「実行ユーザID」を使用し,サブジェクト情報には「subj:euid」の値を使用して,11番を実行します。 |
21 | 11=PeculiarInfo:M:"":0 | 残りのデータを固有情報とし,正規化を終了します。 |
(c) 正規化後の監査ログ管理画面での表示例(TYPEがKEYの場合)
「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。
表C-3 正規化後の監査ログ管理画面での表示例(TYPEがKEYの場合)
項番 | 監査ログ管理画面での項目 | 内容 |
---|---|---|
1 | 監査ログID | 1 |
2 | メッセージID | 1234 |
3 | 日時 | 2007-01-01 10:10:10.100 |
4 | プログラム名 | XYZ |
5 | コンポーネント名 | xyz |
6 | プロセスID | 1234 |
7 | 発生場所 | HostA |
8 | 監査事象種別 | Authentication |
9 | 監査事象結果 | Success |
10 | サブジェクト種別 | 実行ユーザID |
11 | サブジェクト情報 | userA |
12 | 固有情報 | TZD=+09:00,authsrv=hostB,msg="認証に成功しました。" |
(2) TYPEがVALUEの場合
TYPEがVALUEの場合の監査ログについて,正規化ルールファイルの例を示します。
(a) 正規化前の監査ログの内容例(TYPEがVALUEの場合)
ABC 2007/01/01 10:10:10 [1234] 1234 0 userA 認証に成功しました。 |
監査ログの各項目の内容を次の図に示します。
図C-1 正規化前の監査ログの内容
(b) 正規化ルールファイルの定義例(TYPEがVALUEの場合)
[LOGTYPE] |
正規化ルールファイルの定義例の説明を次の表に示します。
表C-4 正規化ルールファイルの定義例の説明(TYPEがVALUEの場合)
項番 | 設定項目 | 説明 |
---|---|---|
1 | [LOGTYPE] | 定義の始まりを示す[LOGTYPE]を指定します。 |
2 | TYPE=VALUE | 形式は「値1,値2・・・」(値の羅列)のため「VALUE」を指定します。 |
3 | SEPARATE=space | 区切り文字は「△(半角スペース)」のため「space」を指定します。 |
4 | SECTION=1 | セクションは特に指定しないため「1」を指定します。 |
5 | LOGSTART=1 | 区切りは先頭から行うため「1」を指定します。 |
6 | ESCTYPE=2 | エスケープは「[ ]」であるため「2」を指定します。 |
7 | FRONTESC=[ | エスケープが「[」のため「[」を指定します。 |
8 | REARESC=] | エスケープが「]」のため「]」を指定します。 |
9 | SKIPSPACE=0 | スペースはまとめないため「0」を指定します。 |
10 | [ABC] | セクション名として監査ログの先頭の文字列を使用します。 |
11 | 1=AuditLogID:*:0:2 | 監査ログIDには固定値で「0」を使用し,2番を実行します。 |
12 | 2=ProgramName:*:XYZ:3 | プログラム名には固定値で「XYZ」を使用し,3番を実行します。 |
13 | 3=ComponentName:*:xyz:4 | コンポーネント名には固定値で「xyz」を使用し,4番を実行します。 |
14 | 4=PlaceInfo:H:5 | 発生場所には監査ログ収集対象サーバ名を使用し,5番を実行します。 |
15 | 5=EventCategoryName:*:Authentication:6 | 監査事象種別には固定値で「Authentication」を使用し,6番を実行します。 |
16 | 6=CHECK:J:6:-1:8:7 | 監査ログの6番が「-1」の場合,8番を実行し,それ以外は7番を実行します。 |
17 | 7=CHECK:J:6:0:9:10 | 監査ログの6番が「0」の場合,9番を実行し,それ以外は10番を実行します。 |
18 | 8=EventResultName:*:Failure:11 | 監査事象結果には固定値で「Failure」を使用し,11番を実行します。 |
19 | 9=EventResultName:*:Success:11 | 監査事象結果には固定値で「Success」を使用し,11番を実行します。 |
20 | 10=EventResultName:*:Occurrence:11 | 監査事象結果には固定値で「Occurrence」を使用し,11番を実行します。 |
21 | 11=SubjectInfo:C:"subj:euid":7:12 | サブジェクト種別には「実行ユーザID」を使用し,サブジェクト情報には7番の値を使用して,12番を実行します。 |
22 | 12=MessageDate:D:2,3:13 | 日時には2番と3番の値を使用し,13番を実行します。 |
23 | 13=ProcessID:-:4:14 | プロセスIDには4番の値を使用し,14番を実行します。 |
24 | 14=MessageID:-:5:15 | メッセージIDには5番の値を使用し,15番を実行します。 |
25 | 15=PeculiarInfo:N:8:0 | 残りのデータを固有情報とし,正規化を終了します。 |
(c) 正規化後の監査ログ管理画面での表示例(TYPEがVALUEの場合)
「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。
表C-5 正規化後の監査ログ管理画面での表示例(TYPEがVALUEの場合)
項番 | 監査ログ管理画面での項目 | 内容 |
---|---|---|
1 | 監査ログID | - |
2 | メッセージID | 1234 |
3 | 日時 | 2007-01-01 10:10:10.100 |
4 | プログラム名 | XYZ |
5 | コンポーネント名 | xyz |
6 | プロセスID | 1234 |
7 | 発生場所 | 監査ログ収集対象サーバ名 |
8 | 監査事象種別 | Authentication |
9 | 監査事象結果 | Success |
10 | サブジェクト種別 | 実行ユーザID |
11 | サブジェクト情報 | userA |
12 | 固有情報 | 認証に成功しました。 |
(3) TYPEがWINEVENTの場合
TYPEがWINEVENTの場合の監査ログについて,正規化ルールファイルの例を示します。
(a) 正規化前の監査ログの内容例(TYPEがWINEVENTの場合)
監査ログの各項目の内容例を次の表に示します。
表C-6 正規化前の監査ログの内容例(TYPEがWINEVENTの場合)
項番 | 項目 | 値 | |
---|---|---|---|
1 | イベントログの種類 | 成功の監査 | |
2 | イベントソース名 | Security | |
3 | イベントカテゴリ | オブジェクト アクセス | |
4 | イベントID | 564 | |
5 | イベント発生日 | 2008/01/01 | |
6 | イベント発生時刻 | 10:10:10 | |
7 | ユーザー名 | Host1¥Administrator | |
8 | コンピュータ名 | Host1 | |
9 | 説明 | 削除されたオブジェクト | - |
10 | オブジェクトサーバー | Security | |
11 | ハンドルID | 2284 | |
12 | プロセスID | 1456 | |
13 | イメージファイル名 | C:¥WINDOWS¥explorer.exe |
(b) 正規化ルールファイルの定義例(TYPEがWINEVENTの場合)
[LOGTYPE] |
イベントIDが「564」の監査ログについて,正規化ルールファイルの定義例の説明を次の表に示します。
表C-7 正規化ルールファイルの定義例の説明(TYPEがWINEVENTの場合)
項番 | 設定項目 | 説明 |
---|---|---|
1 | [LOGTYPE] | 定義の始まりを示す[LOGTYPE]を指定します。 |
2 | TYPE=WINEVENT | Windowsイベントログのため「WINEVENT」を指定します。 |
3 | SEPARATE=CRLF | 区切り文字は改行コード(CR+LF)のため,「CRLF」を指定します。 |
4 | SECTION=1 | セクションはWindowsイベントIDを指定するため「1」を指定します。 |
5 | LOGSTART=0 | 区切りは先頭から行うため「0」を指定します。 |
6 | ESCTYPE=0 | エスケープしないログのため「0」を指定します。 |
7 | [564] | セクションはイベントID「564」を指定します。 |
8 | 1=AuditLogID:*:0:2 | 監査ログIDは「0」を使用し,2番を実行します。 |
9 | 2=MessageID:W:WinEventID:3 | メッセージIDはWindowsイベントのイベントID「564」を使用し,3番を実行します。 |
10 | 3=MessageDate:W:WinEventDate:4 | 日時はWindowsイベントの発生日時「2008-01-01」「10:10:10」を使用し,4番を実行します。 |
11 | 4=ProgramName:*:Windows:5 | プログラム名は「Windows」を使用し,5番を実行します。 |
12 | 5=ComponentName:*:ObjectAccess:6 | コンポーネント名は「ObjectAccess」を使用し,6番を実行します。 |
13 | 6=ProcessID:*:-1:7 | プロセスIDは「-1」を使用し,7番を実行します。 |
14 | 7=PlaceInfo:W:WinEventPlace:8 | 発生場所はWindowsイベントが発生した場所のコンピュータ名「Host1」を使用し,8番を実行します。 |
15 | 8=EventCategoryName:*:ContentAccess:9 | 監査事象種別は「ContentAccess」を使用し,9番を実行します。 |
16 | 9=EventResultName:*:Success:10 | 監査事象結果は「Success」を使用し,10番を実行します。 |
17 | 10=SubjectInfo:C:"subj:pid":"プロセス ID":11 | サブジェクト種別は「プロセスID」を使用し,サブジェクト情報はプロセスIDの値「1456」を使用して,11番を実行します。 |
18 | 11=PeculiarInfo:E:0 | 残りのデータを固有情報とし,正規化を終了します。 |
(c) 正規化後の監査ログ管理画面での表示例(TYPEがWINEVENTの場合)
「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。
表C-8 正規化後の監査ログ管理画面での表示例(TYPEがWINEVENTの場合)
項番 | 監査ログ管理画面での項目 | 内容 |
---|---|---|
1 | 監査ログID | - |
2 | メッセージID | 564 |
3 | 日時 | 2008/01/01 10:10:10.000 |
4 | プログラム名 | Windows |
5 | コンポーネント名 | ObjectAccess |
6 | プロセスID | - |
7 | 発生場所 | Host1 |
8 | 監査事象種別 | ContentAccess |
9 | 監査事象結果 | Success |
10 | サブジェクト種別 | プロセスID |
11 | サブジェクト情報 | 1456 |
12 | 固有情報 | 削除されたオブジェクト:,オブジェクト サーバー:Security,ハンドル ID:2284,イメージ ファイル名:C:¥WINDOWS¥explorer.exe |