5.6.2 標準サポート外のプログラムを収集対象とするための準備をする
JP1/Audit Management - Managerで標準サポート外となっているプログラムを収集対象として設定する場合に,事前に定義する内容について説明します。標準サポートしているプログラムの監査ログだけを収集する場合,この作業は不要です。
定義内容は,次に示す監査ログの種類によって異なります。
-
ログファイルに出力される監査ログ
-
Windowsイベントログ(セキュリティに関する情報)
-
Windowsイベントログ(セキュリティに関する情報以外)
- 〈この項の構成〉
(1) ログファイルに出力される監査ログを収集する場合
ログファイルに出力される監査ログを収集する場合の定義内容について説明します。
まず,収集したいログが監査証跡管理システムで収集できる条件に該当するかどうかを判断します。判断方法の詳細は「4.3.1 正規化ルールで定義できる監査ログの条件」を参照してください。収集できることが判断できたら,それぞれの定義ファイルを定義します。
-
正規化ルールを定義する
正規化ルールの定義方法には,次の二つの方法があります。
- 正規化ルールエディタで定義する
-
[正規化ルールエディタ]ダイアログで定義します。定義方法については,マニュアル「JP1/Audit Management - Manager 正規化ルール定義ガイド」を参照してください。
- 正規化ルールファイルを定義する
-
正規化ルールファイルの定義内容については「13.2 正規化ルールファイル」を参照してください。ファイルの作成後,所定の場所に正規化ルールファイルを格納する必要があります。格納先については,表5-33を参照してください。
-
動作定義ファイルを作成する
動作定義ファイルの作成方法については「13.4 動作定義ファイル」を参照してください。ファイルの作成後,所定の場所に動作定義ファイルを格納する必要があります。格納先については,表5-33を参照してください。
-
製品定義ファイルを作成する
製品定義ファイルは[製品定義一覧]ダイアログから[製品定義の編集]ダイアログを表示して作成します。製品定義ファイルの作成方法については「5.6.3 製品定義ファイルを設定する」を参照してください。
なお,製品定義ファイルは動作定義ファイルの作成後に作成してください。
-
監査ログ標準レポート定義ファイルを編集する
正規化ルールエディタで正規化ルールを定義した場合に編集する必要があります。
監査ログ標準レポート定義ファイルの編集方法については「13.5 監査ログ標準レポート定義ファイル」を参照してください。
-
監査ログレポート定義ファイルを編集する
正規化ルールファイルで正規化ルールを定義した場合に編集する必要があります。
監査ログレポート定義ファイルの編集方法については「13.6 監査ログレポート定義ファイル」を参照してください。
それぞれの定義ファイルの格納場所を次の表に示します。
|
項番 |
定義ファイル名 |
格納先 |
|---|---|---|
|
1 |
正規化ルールファイル |
JP1/Audit Management - Managerのインストール先フォルダ\conf\rule |
|
2 |
動作定義ファイル |
JP1/Audit Management - Managerのインストール先フォルダ\conf\logdef |
|
3 |
製品定義ファイル |
JP1/Audit Management - Managerのインストール先フォルダ\conf\product※ |
|
4 |
監査ログ標準レポート定義ファイル |
JP1/Audit Management - Managerの仮想ディレクトリ\conf |
|
5 |
監査ログレポート定義ファイル |
- 注※
-
監査ログ収集マネージャの[製品定義の編集]ダイアログで作成した製品定義ファイルは,自動的にこの格納先に格納されます。
これらの定義が完了したら,監査ログ収集対象プログラムで監査ログを出力させる設定を実施します。設定の詳細は,各プログラムのマニュアルを参照してください。
監査ログ収集対象プログラムでの設定が完了したら,JP1/Audit Management - Managerの[収集対象の設定]ダイアログでの設定を実施します。設定方法の詳細は「5.6.4 JP1/Audit Management - Managerで監査ログの収集対象を設定する」を参照してください。
(2) Windowsイベントログ(セキュリティに関する情報)を収集する場合
Windowsイベントログ(セキュリティに関する情報)を収集する場合の定義内容について説明します。
まず,対象となるイベントIDのメッセージフォーマットを調査し,収集したいWindowsイベントログ(セキュリティに関する情報)が監査証跡管理システムで収集できるかどうかを判断します。
OSがWindows Server 2012またはWindows Server 2008の場合は,正規化ルールエディタを使用して変換できるかどうか,Windows Server 2012およびWindows Server 2008以外の場合は,正規化ルールファイルを使用して変換できるかどうかを判断してください。
-
正規化ルールを定義する
対象となるイベントIDのメッセージを監査ログとして収集するための正規化ルールを定義します。Windows Server 2012またはWindows Server 2008とWindows Server 2012およびWindows Server 2008以外で定義方法が異なります。
- Windows Server 2012またはWindows Server 2008の場合
-
必ず正規化ルールエディタを使用して正規化ルールを定義してください。正規化ルールファイルでの定義はできません。
定義方法については,マニュアル「JP1/Audit Management - Manager 正規化ルール定義ガイド」を参照してください。
- Windows Server 2012またはWindows Server 2008以外の場合
-
必ず正規化ルールファイルを編集して正規化ルールを定義してください。編集対象となるファイルは,admrglrule_WinEventLog_Security.confです。正規化ルールエディタでの定義はできません。
定義内容の詳細については「13.2 正規化ルールファイル」を参照してください。
なお,ファイルの作成後,所定の場所に正規化ルールファイルを格納する必要があります。格納先については,表5-33を参照してください。
-
イベントログトラップ機能を設定する
Windowsイベントログ(セキュリティに関する情報)に出力されるログを収集するために,JP1/Baseの動作定義ファイルでイベントログトラップ機能を設定します。
動作定義ファイル(ntevent.conf)の設定方法については「5.4.3(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する」を参照してください。
-
JP1イベントの転送設定をする
監査ログ収集対象サーバのイベントサーバで収集したイベントログを監査ログ専用イベントサーバへ転送させる設定をします。
転送設定ファイル(forwardファイル)の設定方法については「5.4.3(4) イベントログトラップ機能の転送設定ファイル(forward ファイル)を編集する」を参照してください。
これらの定義が完了したら,JP1/Audit Management - Managerの[収集対象の設定]ダイアログでの設定を実施します。設定方法の詳細は「5.6.4 JP1/Audit Management - Managerで監査ログの収集対象を設定する」を参照してください。
(3) Windowsイベントログ(セキュリティに関する情報以外)を収集する場合
Windowsイベントログ(セキュリティに関する情報以外)を収集する場合の定義内容について説明します。
まず,対象となるイベントIDのメッセージフォーマットを調査し,収集したいWindowsイベントログが監査証跡管理システムで収集できるかどうかを判断します。
-
正規化ルールを定義する
対象となるイベントIDのメッセージを監査ログとして収集するために正規化ルールを定義します。正規化ルールは[正規化ルールエディタ]ダイアログで定義します。定義方法については,マニュアル「JP1/Audit Management - Manager 正規化ルール定義ガイド」を参照してください。
-
製品定義ファイルを作成する
製品定義ファイルは[製品定義一覧]ダイアログから[製品定義の編集]ダイアログを表示して作成します。製品定義ファイルの作成方法については「5.6.3 製品定義ファイルを設定する」を参照してください。
-
監査ログ標準レポート定義ファイルを編集する
正規化ルールエディタで正規化ルールを定義した場合に編集する必要があります。
監査ログ標準レポート定義ファイルの編集方法については「13.5 監査ログ標準レポート定義ファイル」を参照してください。
-
監査ログレポート定義ファイルを編集する
正規化ルールファイルで正規化ルールを定義した場合に編集する必要があります。
監査ログレポート定義ファイルの編集方法については「13.6 監査ログレポート定義ファイル」を参照してください。
-
イベントログトラップ機能を設定する
Windowsイベントログ(セキュリティに関する情報以外)に出力されるログを収集するために,JP1/Baseの動作定義ファイルでイベントログトラップ機能を設定します。
動作定義ファイル(ntevent.conf)の設定方法については「5.4.3(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する」を参照してください。
-
JP1イベントの転送設定をする
監査ログ収集対象サーバのイベントサーバで収集したイベントログを監査ログ専用イベントサーバへ転送させる設定をします。
転送設定ファイル(forwardファイル)の設定方法については「5.4.3(4) イベントログトラップ機能の転送設定ファイル(forward ファイル)を編集する」を参照してください。
これらの定義が完了したら,JP1/Audit Management - Managerの[収集対象の設定]ダイアログでの設定を実施します。設定方法の詳細は「5.6.4 JP1/Audit Management - Managerで監査ログの収集対象を設定する」を参照してください。