付録C.2 TYPEがVALUEの場合
TYPEがVALUEの場合の監査ログについて,正規化ルールファイルの例を示します。
- 〈この項の構成〉
(1) 正規化前の監査ログの内容例(TYPEがVALUEの場合)
ABC 2007/01/01 10:10:10 [1234] 1234 0 userA 認証に成功しました。
監査ログの各項目の内容を次の図に示します。
(2) 正規化ルールファイルの定義例(TYPEがVALUEの場合)
[LOGTYPE] TYPE=VALUE SEPARATE=space SECTION=1 LOGSTART=1 ESCTYPE=2 FRONTESC=[ REARESC=] SKIPSPACE=0 [ABC] 1=AuditLogID:*:0:2 2=ProgramName:*:XYZ:3 3=ComponentName:*:xyz:4 4=PlaceInfo:H:5 5=EventCategoryName:*:Authentication:6 6=CHECK:J:6:-1:8:7 7=CHECK:J:6:0:9:10 8=EventResultName:*:Failure:11 9=EventResultName:*:Success:11 10=EventResultName:*:Occurrence:11 11=SubjectInfo:C:"subj:euid":7:12 12=MessageDate:D:2,3:13 13=ProcessID:-:4:14 14=MessageID:-:5:15 15=PeculiarInfo:N:8:0
正規化ルールファイルの定義例の説明を次の表に示します。
項番 |
設定項目 |
説明 |
---|---|---|
1 |
[LOGTYPE] |
定義の始まりを示す[LOGTYPE]を指定します。 |
2 |
TYPE=VALUE |
形式は「値1,値2・・・」(値の羅列)のため「VALUE」を指定します。 |
3 |
SEPARATE=space |
区切り文字は「△(半角スペース)」のため「space」を指定します。 |
4 |
SECTION=1 |
セクションは特に指定しないため「1」を指定します。 |
5 |
LOGSTART=1 |
区切りは先頭から行うため「1」を指定します。 |
6 |
ESCTYPE=2 |
エスケープは「[ ]」であるため「2」を指定します。 |
7 |
FRONTESC=[ |
エスケープが「[」のため「[」を指定します。 |
8 |
REARESC=] |
エスケープが「]」のため「]」を指定します。 |
9 |
SKIPSPACE=0 |
スペースはまとめないため「0」を指定します。 |
10 |
[ABC] |
セクション名として監査ログの先頭の文字列を使用します。 |
11 |
1=AuditLogID:*:0:2 |
監査ログIDには固定値で「0」を使用し,2番を実行します。 |
12 |
2=ProgramName:*:XYZ:3 |
プログラム名には固定値で「XYZ」を使用し,3番を実行します。 |
13 |
3=ComponentName:*:xyz:4 |
コンポーネント名には固定値で「xyz」を使用し,4番を実行します。 |
14 |
4=PlaceInfo:H:5 |
発生場所には監査ログ収集対象サーバ名を使用し,5番を実行します。 |
15 |
5=EventCategoryName:*:Authentication:6 |
監査事象種別には固定値で「Authentication」を使用し,6番を実行します。 |
16 |
6=CHECK:J:6:-1:8:7 |
監査ログの6番が「-1」の場合,8番を実行し,それ以外は7番を実行します。 |
17 |
7=CHECK:J:6:0:9:10 |
監査ログの6番が「0」の場合,9番を実行し,それ以外は10番を実行します。 |
18 |
8=EventResultName:*:Failure:11 |
監査事象結果には固定値で「Failure」を使用し,11番を実行します。 |
19 |
9=EventResultName:*:Success:11 |
監査事象結果には固定値で「Success」を使用し,11番を実行します。 |
20 |
10=EventResultName:*:Occurrence:11 |
監査事象結果には固定値で「Occurrence」を使用し,11番を実行します。 |
21 |
11=SubjectInfo:C:"subj:euid":7:12 |
サブジェクト種別には「実行ユーザID」を使用し,サブジェクト情報には7番の値を使用して,12番を実行します。 |
22 |
12=MessageDate:D:2,3:13 |
日時には2番と3番の値を使用し,13番を実行します。 |
23 |
13=ProcessID:-:4:14 |
プロセスIDには4番の値を使用し,14番を実行します。 |
24 |
14=MessageID:-:5:15 |
メッセージIDには5番の値を使用し,15番を実行します。 |
25 |
15=PeculiarInfo:N:8:0 |
残りのデータを固有情報とし,正規化を終了します。 |
(3) 正規化後の監査ログ管理画面での表示例(TYPEがVALUEの場合)
「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。
項番 |
監査ログ管理画面での項目 |
内容 |
---|---|---|
1 |
監査ログID |
− |
2 |
メッセージID |
1234 |
3 |
日時 |
2007-01-01 10:10:10.100 |
4 |
プログラム名 |
XYZ |
5 |
コンポーネント名 |
xyz |
6 |
プロセスID |
1234 |
7 |
発生場所 |
監査ログ収集対象サーバ名 |
8 |
監査事象種別 |
Authentication |
9 |
監査事象結果 |
Success |
10 |
サブジェクト種別 |
実行ユーザID |
11 |
サブジェクト情報 |
userA |
12 |
固有情報 |
認証に成功しました。 |