Windowsイベントログのメッセージテキストを,「1.3 メッセージテキストを監査ログフォーマットにどのように対応づけるか」で検討した内容に沿って分割し,監査ログフォーマットに対応づけます。
ここでは,メッセージID「A0001」のメッセージテキストを次の図のように分割し,監査ログフォーマットに対応づけます。
図3-6 メッセージID「A0001」のメッセージテキストの分割
![[図データ]](figure/zu030005.gif)
メッセージテキストを分割するために,まず,サンプルとなるメッセージテキストを登録します。手順を次に示します。
- <この項の構成>
- (1) 手順
- (2) 関連情報
- [正規化ルール定義]ダイアログの[メッセージ分割]タブにある,「サンプルメッセージ」の[追加]ボタンをクリックする。
[サンプルメッセージ追加]ダイアログが表示されます。
図3-7 [サンプルメッセージ追加]ダイアログ
![[図データ]](figure/zu030006.gif)
- サンプルとなるメッセージテキストを「サンプルメッセージ」に入力する。
ここでは,メッセージID「A0001」のメッセージテキストを入力します。
- [OK]ボタンをクリックする。
[正規化ルール定義]ダイアログの[メッセージ分割]タブの「サンプルメッセージ」に,入力したサンプルメッセージが表示されます。
図3-8 サンプルメッセージが表示された[正規化ルール定義]ダイアログ
![[図データ]](figure/zu030007.gif)
サンプルメッセージは,3件まで登録できます。ここでは1件だけを登録しました。
次に,登録したサンプルメッセージテキストを分割し,分割した各要素に監査ログフォーマットの要素を対応づけます。
- メッセージテキストの先頭の要素に対応づける監査ログフォーマットの要素を,「種別」と「形式」プルダウンメニューから選択する。
ここでは,メッセージID「A0001」のメッセージテキストを図3-6のように分割します。先頭の要素は,「アカウントが正常にログオンしました。」です。「アカウントが正常にログオンしました。」には,固有情報(自由)を対応づけるので,「種別」プルダウンメニューで「固有情報(自由)」を,「形式」プルダウンメニューで「自由記述1」を選択します。
次に,メッセージテキストを「アカウントが正常にログオンしました。」で区切ります。
- 先頭の要素「アカウントが正常にログオンしました。」で区切るために,「サンプルメッセージリスト」で分割するメッセージテキストを選択し,「後区切」に区切りとなる情報を入力する。
区切りとなるのは,「↓↓」(↓:改行コード)です。
[メッセージ分割]タブの1行目の「後区切」に「↓↓」を入力してください。
- [プレビュー]ボタンをクリックする。
「プレビュー」で,「アカウントが正常にログオンしました。」が正常に分割されていることを確認できます。
図3-9 メッセージテキストの先頭の要素を定義した[正規化ルール定義]ダイアログ
![[図データ]](figure/zu030009.gif)
- 先頭の要素を定義した要領で,以降のメッセージテキストを分割し,監査ログフォーマットの要素を対応づける。
図3-6に従って,監査ログフォーマットの種別と形式を対応づけます。
図3-10 メッセージテキストすべてを監査ログフォーマットに対応づけた[正規化ルール定義]ダイアログ
![[図データ]](figure/zu030011.gif)
空行ができないように入力してください。
途中で分割位置を誤り,分割位置を増やしたり減らしたりしたい場合は,[行挿入]ボタンまたは[行削除]ボタンで修正してください。[行挿入]ボタンは,カーソルがある行の上に空行を挿入します。[行削除]ボタンは,カーソルがある行を削除します。[行挿入]ボタンまたは[行削除]ボタンを使用すると,「プレビュー」の内容がいったん削除されます。
これで,メッセージテキストを監査ログフォーマットの要素に対応づける操作は完了です。
次に,メッセージテキストに不足している情報を,監査ログに埋め込む定義をします。[正規化ルール定義]ダイアログを開いた状態で,次項を参照してください。