13.2.4 定義内容(標準サポート外のWindowsイベントログを収集する場合)
JP1/Audit Management - Managerで標準サポート外となっているWindowsイベントログ(セキュリティに関する情報)を収集する場合に,[LOGTYPE]および[正規化パターン]で記述する内容についてそれぞれ説明します。
- 〈この項の構成〉
(1) [LOGTYPE]の設定項目
[LOGTYPE]で記述する内容について,次の表に示します。
|
項番 |
項目名 |
説明 |
|---|---|---|
|
1 |
[LOGTYPE] |
定義の始まりを示す[LOGTYPE]を指定します。 |
|
2 |
TYPE |
ログの記述形式として,次の値を指定します。
Windowsイベントログ(セキュリティに関する情報)用の正規化ルールファイルでは「WINEVENT」が指定されています。 |
|
3 |
SEPARATE |
ログの区切り文字の種別です。次のどちらかを指定します。
|
|
4 |
SECTION |
必ず「1」を指定します。 WindowsイベントIDがセクション名として使用されます。 |
|
5 |
LOGSTART |
必ず「0」を指定します。 |
|
6 |
ESCTYPE |
ログ中でエスケープに使用する記号を指定します。次のどれかを指定します。
なお,前後の文字が同じ場合は,「2」を指定できません。「0」を指定してください。この場合,エスケープ対象の文字列内に区切り文字が入らないようにしてください。 |
|
7 |
FRONTESC※ |
ESCTYPEが「2」の場合,エスケープに使用する開始記号を指定します。開始記号には,1バイトの文字だけ指定できます。 |
|
8 |
REARESC※ |
ESCTYPEが「2」の場合,エスケープに使用する終了記号を指定します。終了記号には,1バイトの文字だけ指定できます。 |
|
9 |
SKIPSPACE |
連続する複数のスペースを一つのスペースとして処理するかどうかを指定します。SEPARATEが「CRLF」や「nothing」の場合,指定する必要はありません。 |
- 注
-
項番9以外の各項目名および各項目名の設定値は省略できません。
- 注※
-
FRONTESCとREARESCには同一の文字は指定できません。
(2) [正規化パターン]の設定項目
[正規化パターン]で記述する内容について,次に示します。
(a) [正規化パターン]の各項目の設定値
[正規化パターン]の各設定項目での設定値を次の表に示します。
|
項番 |
番号 |
種別 |
正規化ルール |
項目1 |
項目2 |
次番号1 |
次番号2 |
「正規化ルール」に「*」を指定したときの「項目1」の範囲 |
|---|---|---|---|---|---|---|---|---|
|
1 |
1〜の通番 |
AuditLogID※1 |
「*」 |
値や文字列を設定します。 |
× |
次の番号 |
× |
0〜9999の整数 |
|
2 |
MessageID |
「W」 |
次に示すWindowsイベントログの項目名を設定します。
|
× |
次の番号 |
× |
− |
|
|
3 |
MessageDate |
「W」 |
次に示すWindowsイベントログの項目名を設定します。
|
× |
次の番号 |
× |
− |
|
|
4 |
ProgramName |
「*」 |
値や文字列を設定します。 |
× |
次の番号 |
× |
63バイト以内の文字列 |
|
|
5 |
ComponentName |
「*」 |
値や文字列を設定します。 |
× |
次の番号 |
× |
63バイト以内の文字列 |
|
|
「W」 |
次に示すWindowsイベントログの項目名を設定します。
|
− |
||||||
|
6 |
ProcessID※1 |
「*」 |
値や文字列を設定します。 |
× |
次の番号 |
× |
「-1」 |
|
|
7 |
PlaceInfo |
「W」 |
次に示すWindowsイベントログの項目名を設定します。
|
× |
次の番号 |
× |
− |
|
|
8 |
EventCategoryName |
「*」 |
次に示す文字列のどれかを設定します。
|
× |
次の番号 |
× |
− |
|
|
9 |
EventResultName |
「*」 |
次に示す文字列のどれかを設定します。
|
× |
次の番号 |
× |
− |
|
|
「W」 |
次に示すWindowsイベントログの項目名を設定します。
|
|||||||
|
10 |
SubjectInfo |
「*」 |
値や文字列を設定します。 |
× |
次の番号 |
× |
256バイト以内の文字列 |
|
|
「C」 |
次に示すカテゴリ名のどれかを設定します。
|
項目名称 |
− |
|||||
|
11 |
PeculiarInfo※2 |
「*」 |
値や文字列を設定します。 |
× |
次の番号 |
× |
1,024バイト以内の文字列 |
|
|
「A」 |
付加するタグ値 |
項目名称 |
− |
|||||
|
「E」 |
× |
× |
||||||
|
「L」 |
- (凡例)
-
×:指定しない。区切りの「:」も指定しない。
−:該当なし
- 注※1
-
「項目1」に次の値を指定した場合,監査ログ管理画面上は空白が表示されます。
・AuditLogID:0
・ProcessID:-1
- 注※2
-
PeculiarInfoは,「E」を指定する場合,最後に定義する必要があります。
(b) [正規化パターン]の設定項目
[正規化パターン]の設定項目を次の表に示します。
|
項番 |
項目名 |
説明 |
|---|---|---|
|
1 |
[正規化パターン] |
定義の始まりを示す[正規化パターン]を指定します。 WindowsイベントIDを正規化パターン名として指定します。 |
|
2 |
番号 |
正規化ルールを適用する順番を1からの整数で指定します。 |
|
3 |
種別 |
正規化の対象となるデータ種別を指定します。指定値を次に示します。これらの値はすべて必須項目です。
|
|
4 |
正規化ルール |
正規化のルールを指定します。指定できる値を次に示します。
|
|
5 |
項目1 |
項番4の正規化ルールに設定する値によって指定する情報が変わります。正規化ルールに設定した値の説明に記載されている情報を設定します。 |
|
6 |
項目2 |
|
|
7 |
次番号1 |
適用する正規化ルールの次のkey値(項番1)を指定します。最後の正規化ルールの場合は「0」を指定します。 |
|
8 |
次番号2 |
- 注
-
各項目は「:」で区切ります。
- 注※1
-
「ProgramName」は「ComponentName」の前に定義してください。
- 注※2
-
「PeculiarInfo」の場合で,かつ正規化ルールでの設定値が「E」の項目は最後に定義してください。