2.2.4　監査ログの正規化

(1)　正規化ルールファイル

JP1/Audit Management - Managerでは，監査ログ収集対象サーバから収集した監査ログを正規化するために，定義ファイル群を提供しています。この定義ファイル群を正規化ルールファイルと呼びます。

監査証跡管理システムがサポートしているJP1/AJS3 - ManagerやJP1/NETM/DMなどの監査ログ収集対象プログラムは，正規化ルールファイルが自動的に適用されています。監査証跡管理システムがサポートしている監査ログ収集対象プログラムについては「1.2.1　内部統制の証跡記録の一元管理」を参照してください。

提供している正規化ルールファイルを次に示します。

統一フォーマット用の正規化ルールファイル

日立オープンミドルウェア製品の監査ログを正規化するための標準定義ファイルです。UNIXのシステムログに関する情報を監査ログとして正規化するための定義ファイルとしても使用します。

JP1/AJS製品ログ用の正規化ルールファイル

JP1/AJSの製品ログを監査ログとして正規化するための定義ファイルです。

JP1/AJSの製品ログを正規化して監査ログにすると，日時やメッセージIDなどの情報が先頭に追加され，JP1/AJSの製品ログ形式を変えずに固有情報として転記されます。

JP1/AJSのログ種別がA001の場合の例を次に示します。

JP1/AJSの製品ログの情報：

A001△日付△時刻△［プロセスID］△KAVS0200-I△スケジューラサービス名

監査ログとして正規化された情報：

日時：日付＋時刻

メッセージID：KAVS0200-I

プロセスID：プロセスID

固有情報：A001△日付△時刻△[プロセスID]△KAVS0200-I△スケジューラサービス名

なお，JP1/AJSのスケジューラログでは，年の情報が出力されていない場合があります。この場合，次の方法で年の情報を追加して正規化します。

• ログ中の月＜＝ログ取得の月：「取得した時点の年」の情報追加

• ログ中の月＞ログ取得の月：「取得した時点の年 - 1」の情報追加

  例えば，ログ中の月が12月で，2007年1月に取得した場合，2006年12月として情報が追加されます。

正規化ルールエディタで定義した製品用の正規化ルールファイル

正規化ルールエディタで正規化ルールを定義した場合に使用する定義ファイルです。

Windowsイベントログ用の正規化ルールファイル

Windowsイベントログに出力されるログを監査ログとして正規化するための定義ファイルです。JP1/Audit Management - Managerではログオン イベントおよびアカウント管理のイベントを標準サポートしています。

なお，標準サポートしていないWindowsイベントログを監査ログとして正規化する場合は，この正規化ルールファイルを編集して正規化ルールを定義します。

ほかのJP1シリーズ製品，日立オープンミドルウェア製品，またはその他のプログラムなど，監査証跡管理システムで標準サポート外となっているプログラムが出力する監査ログについては，正規化ルールを定義する必要があります。

出力する監査ログについて，正規化ルールを定義する必要があるプログラムやOSのことを，このマニュアルでは標準サポート外のプログラムと呼びます。標準サポート外のプログラムは，次に示すどちらかの方法で正規化ルールを定義してください。

• 正規化ルールエディタで定義する

• 正規化ルールファイルで定義する

正規化ルールの定義については「5.6.2　標準サポート外のプログラムを収集対象とするための準備をする」を参照してください。

ページの先頭へ