13.2.3　定義内容（標準サポート外のプログラムを収集する場合）

JP1/Audit Management - Managerで標準サポート外となっているプログラムを収集する場合に，［LOGTYPE］および［正規化パターン］で記述する内容についてそれぞれ説明します。

〈この項の構成〉

(1)　［LOGTYPE］の設定項目
(2)　［正規化パターン］の設定項目

(1)　［LOGTYPE］の設定項目

［LOGTYPE］で記述する内容について，次の表に示します。

表13‒3　［LOGTYPE］設定項目（標準サポート外のプログラムを収集する場合）
項番	項目名	説明
1	［LOGTYPE］	定義の始まりを示す［LOGTYPE］を指定します。
2	TYPE	ログの記述形式を指定します。次のどちらかを指定します。 KEY：「KEY=値［SEPARATEに指定した文字］KEY=値・・・・」形式 VALUE：「値1［SEPARATEに指定した文字］値2・・・」（値の羅列）形式
3	SEPARATE	ログの区切り文字の種別です。次のどちらかを指定します。 space：「半角スペース」 comma：「,（半角コンマ）」
4	SECTION	監査ログの最初の区切り文字までの文字列を正規化パターン名として使用するかどうかを指定します。 0：使用しない 1：使用する 0を指定した場合は，［正規化パターン］に「PATTERN」と指定します。 1を指定した場合は，［正規化パターン］に「監査ログの最初の区切り文字までの文字列」を指定します。この場合，監査ログの最初の区切り文字までの文字列のパターンすべてについて定義します。
5	LOGSTART	ログの先頭から文字を読み飛ばして，正規化で使用しない文字までの位置を指定します。「0」を指定した場合は，先頭から正規化されます。
6	ESCTYPE	ログ中でエスケープに使用する記号を指定します。次のどれかを指定します。 0：なし（エスケープしないログの場合） 1：「"」 2：「"」以外の記号なお，前後の文字が同じ場合は，「2」を指定できません。「0」を指定してください。
7	FRONTESC^※	ESCTYPEが「2」の場合，エスケープに使用する開始記号を指定します。開始記号には，1バイトの文字だけ指定できます。
8	REARESC^※	ESCTYPEが「2」の場合，エスケープに使用する終了記号を指定します。終了記号には，1バイトの文字だけ指定できます。
9	SKIPSPACE	連続する複数のスペースを一つのスペースとして処理するかどうかを指定します。SEPARATEが「space」の場合だけ指定し，「comma」の場合は指定しないでください。 0：複数のスペースのまま処理する 1：一つのスペースとして処理する 1を指定した場合は，ログのすべての連続スペースが一つのスペースに置き換えられてから，正規化されます。

注

ログの項目位置は，次のようにカウントします。

ログ：value1［SEPARATEに指定した文字］value2・・・

位置：　 1　　　　　　　　　　　　　　　　2　・・・
各項目の設定値は省略できません。値を指定しない場合は，その項目も指定しないでください。

注※: FRONTESCとREARESCには同一の文字は指定できません。

ページの先頭へ

(2)　［正規化パターン］の設定項目

［正規化パターン］で記述する内容について，次に示します。

(a)　［正規化パターン］の各項目の設定値

［正規化パターン］の各設定項目での設定値を次の表に示します。

表13‒4　［**正規化パターン**］の各項目の設定値（標準サポート外のプログラムを収集する場合）
項番	番号	種別	正規化ルール	項目1	項目2	次番号1	次番号2	「正規化ルール」に「*」を指定したときの「項目1」の範囲
1	1〜の通番	CHECK^※1	「J」	判定する項目位置を設定します。	真偽を判定する対象となる値	判定が真の場合に適用する次の番号	判定が偽の場合に適用する次の番号	−
2		AuditLogID^※2	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
2		AuditLogID^※2	「*」^※3	値や文字列を設定します。	×	次の番号	×	0〜2147483647の整数
3		MessageID	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
3		MessageID	「*」^※3	値や文字列を設定します。	×	次の番号	×	64バイト以内の文字列
4		MessageDate	「D」	TYPE=KEYの場合日時を示すKEY名称を設定します。 TYPE=VALUEの場合日時を示す値の項目位置を示す番号を設定します。	×	次の番号	×	−
4		MessageDate	「UD」^※3	TYPE=KEYの場合日時を示すKEY名称を設定します。 TYPE=VALUEの場合日時を示す値の項目位置を示す番号を設定します。	任意の日時形式を設定します。設定値については，表13-7を参照してください。	次の番号	×	−
5		ProgramName	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
5		ProgramName	「*」^※3	値や文字列を設定します。	×	次の番号	×	64バイト以内の文字列
6		ComponentName	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
6		ComponentName	「*」^※3	値や文字列を設定します。	×	次の番号	×	64バイト以内の文字列
7		ProcessID^※2	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
7		ProcessID^※2	「*」^※3	値や文字列を設定します。	×	次の番号	×	「-1」
8		PlaceInfo	「S」^※3	KEY名称を設定します。	×	次の番号	×	−
			「H」	×
			「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。
9		EventCategoryName	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
9		EventCategoryName	「*」	次に示す文字列のどれかを設定します。 StartStop Authentication AccessControl ConfigurationAccess Failure LinkStatus ExternalService ContentAccess Maintenance AnomalyEvent ManagementAction	×	次の番号	×	−
10		EventResultName	「-」	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。	×	次の番号	×	−
10		EventResultName	「*」	次に示す文字列のどれかを設定します。 Success Failure Occurrence	×	次の番号	×	−
11		SubjectInfo	「S」^※3	対応するKEY名称を設定します。	×	次の番号	×	−
			「C」	次に示すカテゴリ名のどれかを設定します。 "subj:euid"：実行ユーザ "subj:uid"：アカウント識別子 "subj:pid"：プロセスID	TYPE=KEYの場合 KEY名称を設定します。 TYPE=VALUEの場合項目位置を示す番号を設定します。			−
			「*」^※3	値や文字列を設定します。	×			「""」
12		PeculiarInfo^※4	「M」^※3	先頭に配置してデータベースに格納したいKEY名称を設定します。	×	次の番号	×	−
13		PeculiarInfo^※4	「N」	項目位置を示す番号を設定します。	×	次の番号	×	−

（凡例）

×：指定しない。区切りの「:」も指定しない。

−：該当なし

注

KEY名称は「KEY=値,・・・」のKEYに該当する文字列を表します。

注※1

［LOGTYPE］のTYPEをVALUEに設定した場合だけ指定できます。

注※2

「項目1」に次の値を指定した場合，監査ログ管理画面上は空白が表示されます。

・AuditLogID：0

・ProcessID：-1

注※3

項目に「:」を含む場合は，「項目1」に指定する項目全体を「"」で囲みます。

注※4

PeculiarInfoは，「M」を指定する場合，最後に定義する必要があります。

(b)　［正規化パターン］の設定項目

［正規化パターン］の設定項目を次の表に示します。

表13‒5　［**正規化パターン**］設定項目（標準サポート外のプログラムを収集する場合）
項番	項目名	説明
1	［正規化パターン］	定義の始まりを示す［正規化パターン］を指定します。 SECTIONで指定した値が，0の場合は［PATTERN］を指定します。SECTIONで指定した値が，1の場合は，監査ログの最初の区切り文字までの文字列を正規化パターン名として指定します。
2	番号	正規化ルールを適用する順番を1からの整数で指定します。
3	種別^※1	正規化の対象となるデータ種別を指定します。指定値を次に示します。 CHECK 判定条件を設定する場合に指定します。［LOGTYPE］のTYPEをVALUEに設定した場合だけ指定できます。 AuditLogID 監査ログの通番を設定する場合に指定します。 MessageID 監査ログのメッセージIDを設定する場合に指定します。 MessageDate 監査ログの発生日時を設定する場合に指定します。 ProgramName^※2 監査ログの発生プログラム名を設定する場合に指定します。 ComponentName^※2 監査ログの発生コンポーネント名を設定する場合に指定します。 ProcessID 監査ログの発生プロセスIDを設定する場合に指定します。 PlaceInfo 監査ログの発生場所を設定する場合に指定します。 EventCategoryName 監査ログのカテゴリ名を設定する場合に指定します。 EventResultName 監査ログの結果を設定する場合に指定します。 SubjectInfo 監査ログを発生させたユーザ名を設定する場合に指定します。 PeculiarInfo^※3 監査ログの詳細情報を設定する場合に指定します。
4	正規化ルール	正規化のルールを指定します。指定できる値を次に示します。「J」［LOGTYPE］のTYPEがVALUEの場合にだけ指定できます。判定条件を指定する場合に指定します。「J」を指定し，かつ項目1で判定する項目位置を定義すると，定義した項目位置の値を判定します。判定する項目位置に項目2で定義する文字列が存在する場合は真となり，次番号1で定義する値を読み込みます。判定する項目位置に項目2で定義する文字列が存在しない場合は偽となり，次番号2で定義する値を読み込みます。「-」監査ログに存在するKEY名称または項目位置の値を使用する場合に指定します。［LOGTYPE］のTYPEがKEYの場合は，KEY名称を定義します。［LOGTYPE］のTYPEがVALUEの場合は，値の項目位置を定義します。「*」項目1で定義する値または文字列を使用し，データベースへ格納する場合に指定します。値または文字列に「:」が含まれる場合は，項目全体を「"」で囲みます。「D」監査ログに存在するKEY名称または項目位置の値を，日時として使用する場合に指定します。なお，日時として使用する値は，JP1/Audit Management - Manager定型の日時形式である必要があります。日時形式については，表13-6を参照してください。KEY名称または項目位置は，項目1で定義します。［LOGTYPE］のTYPEがKEYの場合は，KEY名称を使用します。［LOGTYPE］のTYPEがVALUEの場合は，指定した項目位置の値を使用します。また，複数の項目を指定する場合は，コンマで区切って指定します。（SEPARATER=spaceの場合) 複数項目指定時は次の順番になるように項目位置を指定します。・「YYYY/MM/DD」「hh:mm:ss」・「MMM」「DD」「hh:mm:ss」日時形式を詳細に指定する場合は，「UD」を使用します。「UD」監査ログに存在するKEY名称または項目位置の値を，日時として使用する場合に指定します。ただし，日時形式を項目2で定義する必要があります。文字列中に「:」を含む場合は，「"」で囲む必要があります。日付形式の設定方法については，表13-7を参照してください。また，複数の項目を指定する場合は，コンマで区切って指定します。複数項目を指定している場合，各項目間は半角スペースで連結されるものとして，日時形式を指定します。なお，項目1で指定した項目名称の値にエスケープ文字が含まれる場合は，エスケープ文字も日時の文字列に含まれるものとして日付形式を指定します。例）ログ：date="2001/01/02 01:02:34" 項目1の指定：date 項目2の指定："#%Y/%m/%d %H:%M:%s#" 「H」監査ログ収集対象サーバ名を使用し，データベースに格納する場合に指定します。「S」［LOGTYPE］のTYPEがKEYの場合にだけ指定できます。監査ログごとに出力される発生場所のKEY名称が異なる場合に，複数の異なるKEY名称を指定します。異なる複数のKEY名称は項目1で定義します。^※4 「C」［LOGTYPE］のTYPEがVALUEの場合，項目2で指定した項目位置の値を項目1で指定したカテゴリで使用する場合に指定します。［LOGTYPE］のTYPEがKEYの場合，項目2で指定したKEY名称の値を項目1で指定したカテゴリで使用する場合に指定します。項目1でカテゴリの値として指定できる文字列は，「subj:euid（実行ユーザ）」，「subj:uid（アカウント識別子）」，または「subj:pid（プロセスID）」のどれかです。このうちの一つを項目1に指定してください。「M」［LOGTYPE］のTYPEがKEYの場合にだけ指定できます。「M」の前までに使用されていないKEY名称をすべて使用する場合に指定します。使用するデータのうち，先頭に配置してデータベースに格納したいKEY名称を，項目1で指定します。文字列中に「:」を含む場合は，「"」で囲む必要があります。「N」［LOGTYPE］のTYPEがVALUEの場合にだけ指定できます。項目1で指定した位置以降の値のうち，「N」の前に指定したルールで使用していないデータをすべてデータベースに格納する場合に指定します。
5	項目1	項番4の正規化ルールに設定する値によって指定する情報が変わります。正規化ルールに設定した値の説明に記載されている情報を設定します。
6	項目2
7	次番号1	適用する正規化ルールの次のkey値（項番1）を指定します。最後の正規化ルールの場合は「0」を指定します。
8	次番号2	適用する正規化ルールの次のkey値（項番1）を指定します。最後の正規化ルールの場合は「0」を指定します。

注

各項目は「:」で区切ります。

注※1

「CHECK」を除いて，すべて必須項目です。

注※2

「ProgramName」は「ComponentName」の前に定義してください。

注※3

「PeculiarInfo」の場合で，かつ正規化ルールでの設定値が「M」または「N」の項目は最後に定義してください。

注※4

種別で「SubjectInfo」を設定し，かつ正規化ルールで「S」を指定した場合の指定例を次に示します。指定例の「n」は番号に指定する値です。

A=SubjectInfo，B=SubjectInfo，またはC=SubjectInfoのどれか一つを含む場合

n:SubjectInfo:S:A,B,C:n+1

(c)　［正規化パターン］の正規化ルールで「D」を指定した場合の日時形式

［正規化パターン］の正規化ルールで「D」を指定した場合の，KEY名称または項目位置の記述形式を次の表に示します。なお，KEY名称または項目位置の記述形式はJP1/Audit Management - Managerで設定している日時形式と一致している必要があります。

表13‒6　「D」を指定した場合の日時形式
項番	記述形式		記述形式の意味
1	TYPE=KEYの場合	"YYYY-MM-DDThh:mm:ss.tttTZD"	YYYY：年 MM：月 DD：日 hh：時 mm：分 ss：秒 ttt：ミリ秒 T：日付と時刻の区切り文字 TZD：タイムゾーン指定子なお，TZDは次のどれかを指定してください。 +hh:mm UTC（協定世界時）からhh:mmだけ進んでいることを示します。 -hh:mm UTC（協定世界時）からhh:mmだけ遅れていることを示します。 Z UTC（協定世界時）と同じことを示します。なお，半角英数文字を使用してください。
2	TYPE=VALUEの場合	"YYYY/MM/DD△hh:mm:ss"または"MMM△DD△hh:mm:ss"	YYYY：年 MM：月 DD：日 hh：時 mm：分 ss：秒 MMM：英語の月名称の省略形月名称の省略形は，次のどれかを指定してください。 Jan：1月 Feb：2月 Mar：3月 Apr：4月 May：5月 Jun：6月 Jul：7月 Aug：8月 Sep：9月 Oct：10月 Nov：11月 Dec：12月なお，複数の項目位置を定義する場合には，「,」で区切ってください。半角英数文字を使用してください。

(d)　［正規化パターン］の正規化ルールで「UD」を指定した場合の日時形式

［正規化パターン］の正規化ルールで「UD」を指定した場合に，項目2で定義する設定値について次の表に示します。

設定値を任意に組み合わせて，項目2で任意の日時形式を定義してください。監査ログの日時を示す値が，JP1/Audit Management - Managerで設定している日時形式と一致していない場合は，「UD」を指定し，監査ログの日時を示す値に合わせて日時形式を設定します。

表13‒7　「UD」を指定した場合に項目2で定義できる設定値
項番	項目2で定義する設定値	内容	設定値と対応する監査ログの値
1	%Y	西暦を指定します。	4けたの数値です。
2	%y	西暦の下2けたを指定します。	2けたの数値です。なお，数字によって次のように認識します。数字が70〜99の場合 1970年〜1999年と認識します。数字が00〜69の場合 2000年〜2069年と認識します。
3	%m	月を数字で指定します。	01〜12または1〜12の数値です。^※
4	%B	月を英字の正式名で指定します。	対応する値を次に示します。なお，文字列の大文字・小文字を区別します。 January：1月 February：2月 March：3月 April：4月 May：5月 June：6月 July：7月 August：8月 September：9月 October：10月 November：11月 December：12月
5	%b	月を英字の省略名で指定します。	対応する値を次に示します。なお，文字列の大文字・小文字を区別します。 Jan：1月 Feb：2月 Mar：3月 Apr：4月 May：5月 Jun：6月 Jul：7月 Aug：8月 Sep：9月 Oct：10月 Nov：11月 Dec：12月
6	%d	日付を指定します。	01〜31または1〜31の数値です。^※
7	%H	時単位の時刻を24時間表記で指定します。	00〜23または0〜23の数値です。^※
8	%I	時単位の時刻を12時間表記で指定します。	00〜11または0〜11の数値です。^※
9	%p	午前または午後のどちらかを指定します。	AMまたはPMです。
10	%M	分単位の時刻を指定します。	00〜59または0〜59の数値です。^※
11	%S	秒単位の時刻を指定します。	00〜59または0〜59の数値です。^※
12	%w	曜日を数字で指定します。	対応する値を次に示します。 0：日曜日 1：月曜日 2：火曜日 3：水曜日 4：木曜日 5：金曜日 6：土曜日
13	%A	曜日の英字の正式名で指定します。	対応する値を次に示します。なお，文字列の大文字・小文字を区別します。 Sunday：日曜日 Monday：月曜日 Tuesday：火曜日 Wednesday：水曜日 Thursday：木曜日 Friday：金曜日 Saturday：土曜日
14	%a	曜日を英字の省略名で指定します。	対応する値を次に示します。なお，文字列の大文字・小文字を区別します。 Sun：日曜日 Mon：月曜日 Tue：火曜日 Wed：水曜日 Thu：木曜日 Fri：金曜日 Sat：土曜日
15	%G	GMT時間（世界標準時間）との時差を分単位で指定します。	-720〜+720の値の範囲です。
16	#	文字を読み飛ばしたい場合に指定します。	任意の1バイトを表します。

注※: 日時を示す値が1文字（0〜9）の場合は，「2007/9/11 3:15:10」のように，「/」や「:」などの区切り文字が必要です。

(e)　［正規化パターン］の正規化ルールで「UD」を指定した場合の日時形式の定義例

［正規化パターン］の正規化ルールで「UD」を指定した場合の，項目2での定義例を次の表に示します。

表13‒8　「UD」を指定した場合の項目2での定義例
項番	ログの日時形式	項目2の定義例
1	20070911031510	%Y%m%d%H%M%S
2	20070911031510+150	%Y%m%d%H%M%S%G
3	2007/9/11 03:15:10	"%Y/%m/%d %H:%M:%S"
4	2007/9/11 03:15:10.100	"%Y/%m/%d %H:%M:%S####"
5	2007 September 11 Wednesday 03-15-10	%Y %B %d %A %H-%M-%S
6	2007 Sep 11 Wed 03-15-10	%Y %b %d %a %H-%M-%S
7	2007/09/11 AM 03:15:10	"%Y/%m/%d %p %I:%M:%S"
8	07/09/11 03:15:10	"%y/%m/%d %I:%M:%S"
9	007/09/11 03:15:10	"%3Y/%m/%d %I:%M:%S"

注: 項目2の定義の文字列に「:」が含まれる場合は，文字列全体を「"」で囲んでください。

ページの先頭へ

13.2.3 定義内容（標準サポート外のプログラムを収集する場合）

(1) ［LOGTYPE］の設定項目

(2) ［正規化パターン］の設定項目

(a) ［正規化パターン］の各項目の設定値

(b) ［正規化パターン］の設定項目

(c) ［正規化パターン］の正規化ルールで「D」を指定した場合の日時形式

(d) ［正規化パターン］の正規化ルールで「UD」を指定した場合の日時形式

(e) ［正規化パターン］の正規化ルールで「UD」を指定した場合の日時形式の定義例