付録C.1 TYPEがKEYの場合
TYPEがKEYの場合の監査ログについて,正規化ルールファイルの例を示します。
- 〈この項の構成〉
(1) 正規化前の監査ログの内容例(TYPEがKEYの場合)
num=1,msgid=1234,date=2007-01-01T10:10:10.100+09:00,prog=XYZ,comp=xyz,pid=1234, host=HostA,ctgy=Authentication,result=Success,subj:euid=userA,authsrv=hostB, msg="認証に成功しました。"
監査ログの各項目の内容を次の表に示します。
項番 |
属性名 |
内容 |
---|---|---|
1 |
num |
ログの通番 |
2 |
msgid |
メッセージ識別番号(メッセージID) |
3 |
date |
日時 |
4 |
prog |
プログラム名称 |
5 |
comp |
コンポーネント名称 |
6 |
pid |
プロセスID |
7 |
host |
発生場所 |
8 |
ctgy |
ログのカテゴリ |
9 |
result |
ログの結果 |
10 |
subj:euid |
ユーザ情報 |
11 |
authsrv |
認証サーバ |
12 |
msg |
メッセージ |
(2) 正規化ルールファイルの定義例(TYPEがKEYの場合)
[LOGTYPE] TYPE=KEY SEPARATE=comma SECTION=0 LOGSTART=0 ESCTYPE=1 FRONTESC= REARESC= SKIPSPACE=1 [PATTERN] 1=AuditLogID:-:num:2 2=MessageID:-:msgid:3 3=MessageDate:D:date:4 4=ProgramName:-:prog:5 5=ComponentName:-:comp:6 6=ProcessID:-:pid:7 7=PlaceInfo:-:host:8 8=EventCategoryName:-:ctgy:9 9=EventResultName:-:result:10 10=SubjectInfo:S:"subj:euid":11 11=PeculiarInfo:M:"":0
正規化ルールファイルの定義例の説明を次の表に示します。
項番 |
設定項目 |
説明 |
---|---|---|
1 |
[LOGTYPE] |
定義の始まりを示す[LOGTYPE]を指定します。 |
2 |
TYPE=KEY |
形式は「XX=XX」のため「KEY」を指定します。 |
3 |
SEPARATE=comma |
区切り文字は「,」のため「comma」を指定します。 |
4 |
SECTION=0 |
セクションは特に指定しないため「0」を指定します。 |
5 |
LOGSTART=0 |
区切りは先頭から行うため「0」を指定します。 |
6 |
ESCTYPE=1 |
エスケープは「"」であるため「1」を指定します。 |
7 |
FRONTESC= |
エスケープが「"」のため設定不要です。 |
8 |
REARESC= |
エスケープが「"」のため設定不要です。 |
9 |
SKIPSPACE= |
区切り文字が「,」のため設定不要です。 |
10 |
[PATTERN] |
セクションは特に指定していないため「PATTERN」を指定します。 |
11 |
1=AuditLogID:-:num:2 |
監査ログIDには「num」の値を使用し,2番を実行します。 |
12 |
2=MessageID:-:msgid:3 |
メッセージIDには「msgid」の値を使用し,3番を実行します。 |
13 |
3=MessageDate:D:date:4 |
日時には「date」の値を使用し,4番を実行します。 |
14 |
4=ProgramName:-:prog:5 |
プログラム名には「prog」の値を使用し,5番を実行します。 |
15 |
5=ComponentName:-:comp:6 |
コンポーネント名には「comp」の値を使用し,6番を実行します。 |
16 |
6=ProcessID:-:pid:7 |
プロセスIDには「pid」の値を使用し,7番を実行します。 |
17 |
7=PlaceInfo:-:host:8 |
発生場所には「host」の値を使用し,8番を実行します。 |
18 |
8=EventCategoryName:-:ctgy:9 |
監査事象種別には「ctgy」の値を使用し,9番を実行します。 |
19 |
9=EventResultName:-:result:10 |
監査事象結果には「result」の値を使用し,10番を実行します。 |
20 |
10=SubjectInfo:S:"subj:euid":11 |
サブジェクト種別には「実行ユーザID」を使用し,サブジェクト情報には「subj:euid」の値を使用して,11番を実行します。 |
21 |
11=PeculiarInfo:M:"":0 |
残りのデータを固有情報とし,正規化を終了します。 |
(3) 正規化後の監査ログ管理画面での表示例(TYPEがKEYの場合)
「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。
項番 |
監査ログ管理画面での項目 |
内容 |
---|---|---|
1 |
監査ログID |
1 |
2 |
メッセージID |
1234 |
3 |
日時 |
2007-01-01 10:10:10.100 |
4 |
プログラム名 |
XYZ |
5 |
コンポーネント名 |
xyz |
6 |
プロセスID |
1234 |
7 |
発生場所 |
HostA |
8 |
監査事象種別 |
Authentication |
9 |
監査事象結果 |
Success |
10 |
サブジェクト種別 |
実行ユーザID |
11 |
サブジェクト情報 |
userA |
12 |
固有情報 |
TZD=+09:00,authsrv=hostB,msg="認証に成功しました。" |