付録C.3 TYPEがWINEVENTの場合
TYPEがWINEVENTの場合の監査ログについて,正規化ルールファイルの例を示します。
- 〈この項の構成〉
(1) 正規化前の監査ログの内容例(TYPEがWINEVENTの場合)
監査ログの各項目の内容例を次の表に示します。
項番 |
項目 |
値 |
|
---|---|---|---|
1 |
イベントログの種類 |
成功の監査 |
|
2 |
イベントソース名 |
Security |
|
3 |
イベントカテゴリ |
オブジェクト アクセス |
|
4 |
イベントID |
564 |
|
5 |
イベント発生日 |
2008/01/01 |
|
6 |
イベント発生時刻 |
10:10:10 |
|
7 |
ユーザー名 |
Host1\Administrator |
|
8 |
コンピュータ名 |
Host1 |
|
9 |
説明 |
削除されたオブジェクト |
− |
10 |
オブジェクトサーバー |
Security |
|
11 |
ハンドルID |
2284 |
|
12 |
プロセスID |
1456 |
|
13 |
イメージファイル名 |
C:\WINDOWS\explorer.exe |
(2) 正規化ルールファイルの定義例(TYPEがWINEVENTの場合)
[LOGTYPE] TYPE=WINEVENT SEPARATE=CRLF SECTION=1 LOGSTART=0 ESCTYPE=0 [644]※1 1=AuditLogID:*:0:2 2=MessageID:W:WinEventID:3 3=MessageDate:W:WinEventDate:4 4=ProgramName:*:Windows:5 5=ComponentName:*:AccountManagement:6 6=ProcessID:*:-1:7 7=PlaceInfo:W:WinEventPlace:8 8=EventCategoryName:*:ConfigurationAccess:9 9=EventResultName:*:Success:10 10=SubjectInfo:C:"subj:uid":呼び出し側ユーザー名:11 11=PeculiarInfo:*:obj=OSUser,op=Change:12 12=PeculiarInfo:A:"objloc:from=":呼び出し側ドメイン:13 13=PeculiarInfo:E:0 [564]※2 1=AuditLogID:*:0:2 2=MessageID:W:WinEventID:3 3=MessageDate:W:WinEventDate:4 4=ProgramName:*:Windows:5 5=ComponentName:*:ObjectAccess:6 6=ProcessID:*:-1:7 7=PlaceInfo:W:WinEventPlace:8 8=EventCategoryName:*:ContentAccess:9 9=EventResultName:*:Success:10 10=SubjectInfo:C:"subj:pid":"プロセス ID":11 11=PeculiarInfo:E:0
- 注※1
-
JP1/Audit Management - Managerが標準サポートしているWindowsイベントログ(セキュリティに関する情報)の正規化ルールです。標準サポートしているWindowsイベントログ(セキュリティに関する情報)の正規化ルールはデフォルトで記述されています。この正規化ルールの記述の下に,標準サポート外のWindowsイベントログ(セキュリティに関する情報)の正規化ルールを追加してください。
- 注※2
-
JP1/Audit Management - Managerで標準サポート外のWindowsイベントログ(セキュリティに関する情報)の正規化ルールです。
イベントIDが「564」の監査ログについて,正規化ルールファイルの定義例の説明を次の表に示します。
項番 |
設定項目 |
説明 |
---|---|---|
1 |
[LOGTYPE] |
定義の始まりを示す[LOGTYPE]を指定します。 |
2 |
TYPE=WINEVENT |
Windowsイベントログのため「WINEVENT」を指定します。 |
3 |
SEPARATE=CRLF |
区切り文字は改行コード(CR+LF)のため,「CRLF」を指定します。 |
4 |
SECTION=1 |
セクションはWindowsイベントIDを指定するため「1」を指定します。 |
5 |
LOGSTART=0 |
区切りは先頭から行うため「0」を指定します。 |
6 |
ESCTYPE=0 |
エスケープしないログのため「0」を指定します。 |
7 |
[564] |
セクションはイベントID「564」を指定します。 |
8 |
1=AuditLogID:*:0:2 |
監査ログIDは「0」を使用し,2番を実行します。 |
9 |
2=MessageID:W:WinEventID:3 |
メッセージIDはWindowsイベントのイベントID「564」を使用し,3番を実行します。 |
10 |
3=MessageDate:W:WinEventDate:4 |
日時はWindowsイベントの発生日時「2008-01-01」「10:10:10」を使用し,4番を実行します。 |
11 |
4=ProgramName:*:Windows:5 |
プログラム名は「Windows」を使用し,5番を実行します。 |
12 |
5=ComponentName:*:ObjectAccess:6 |
コンポーネント名は「ObjectAccess」を使用し,6番を実行します。 |
13 |
6=ProcessID:*:-1:7 |
プロセスIDは「-1」を使用し,7番を実行します。 |
14 |
7=PlaceInfo:W:WinEventPlace:8 |
発生場所はWindowsイベントが発生した場所のコンピュータ名「Host1」を使用し,8番を実行します。 |
15 |
8=EventCategoryName:*:ContentAccess:9 |
監査事象種別は「ContentAccess」を使用し,9番を実行します。 |
16 |
9=EventResultName:*:Success:10 |
監査事象結果は「Success」を使用し,10番を実行します。 |
17 |
10=SubjectInfo:C:"subj:pid":"プロセス ID":11 |
サブジェクト種別は「プロセスID」を使用し,サブジェクト情報はプロセスIDの値「1456」を使用して,11番を実行します。 |
18 |
11=PeculiarInfo:E:0 |
残りのデータを固有情報とし,正規化を終了します。 |
(3) 正規化後の監査ログ管理画面での表示例(TYPEがWINEVENTの場合)
「正規化前の監査ログの内容例」を正規化した結果,監査ログ管理画面に表示される内容の例を次の表に示します。
項番 |
監査ログ管理画面での項目 |
内容 |
---|---|---|
1 |
監査ログID |
− |
2 |
メッセージID |
564 |
3 |
日時 |
2008/01/01 10:10:10.000 |
4 |
プログラム名 |
Windows |
5 |
コンポーネント名 |
ObjectAccess |
6 |
プロセスID |
− |
7 |
発生場所 |
Host1 |
8 |
監査事象種別 |
ContentAccess |
9 |
監査事象結果 |
Success |
10 |
サブジェクト種別 |
プロセスID |
11 |
サブジェクト情報 |
1456 |
12 |
固有情報 |
削除されたオブジェクト:,オブジェクト サーバー:Security,ハンドル ID:2284,イメージ ファイル名:C:\WINDOWS\explorer.exe |