5.7 [正規化ルール定義]ダイアログ
[正規化ルール定義]ダイアログでは,正規化ルールを定義します。
図5-10 [正規化ルール定義]ダイアログ
![[図データ]](figure/zu050013.gif)
[正規化ルール定義]ダイアログの各項目について説明します。
- 「製品情報名」
- 定義する製品情報の名称が表示されます。
- 「正規化ルール名」
- ツリーエリアに表示される正規化ルールの名称を入力します。
- 次の文字は,正規化ルールの名称に使用できません。
- 0x00~0x1F,および0x7Fの制御コード
- 「-」は,正規化ルール名の先頭に指定できません
- 「¥」「,」「;」「:」「*」「?」「"」「<」「>」「|」「(」「)」「=」
- 正規化ルール名は,Unicodeのコード順でツリーエリアに表示されます。
- 一度登録したら,表示順を変更できません。
- ツリーエリアに表示される順序を考慮して,正規化ルール名を登録してください。
- すでに登録されている正規化ルール名と同じ名前の正規化ルール名では登録できません。
- 「WindowsイベントID」
- Windowsイベントログの正規化ルールを定義する場合に,WindowsイベントIDを入力します。
- ここで定義するWindowsイベントIDは,Windowsイベントログを監査ログへ変換する際に,使用する正規化ルールを特定するための情報になります。
- すでに登録されているWindowsイベントIDと同じ名前のWindowsイベントIDでは登録できません。
- [選択]ボタン
- ほかの正規化ルールの定義内容を流用して定義する場合にクリックします。
- クリックすると,[正規化ルール選択]ダイアログが表示されます。流用する正規化ルールを選択すると,[正規化ルール定義]ダイアログに,流用する正規化ルールの定義内容が表示されます。変更したい項目だけ変更してください。[正規化ルール選択]ダイアログの詳細は,「5.8 [正規化ルール選択]ダイアログ」を参照してください。
- [メッセージ分割/フィールド生成]タブ
- [メッセージ分割]タブでは,メッセージテキストを監査ログフォーマットに合わせて分割して対応づけます。また,[フィールド生成]タブでは,監査ログとして必要な情報がメッセージテキストに含まれていない場合に,その情報を監査ログに埋め込みます。
- [メッセージ分割]タブの各項目については,「(1) [メッセージ分割]タブ」を参照してください。
- [フィールド生成]タブの各項目については,「(2) [フィールド生成]タブ」を参照してください。
- [OK]ボタン
- 定義した内容が保存されます。定義中にエラーがある場合,確認メッセージが表示されます。[はい]ボタンをクリックすると,正規化ルールを一時的に保存できます。
- ただし,正規化ルール名とWindowsイベントIDにエラーがある場合は保存できません。エラー部分を入力方法に従って修正してください。
- [キャンセル]ボタン
- 定義がキャンセルされます。[キャンセル]ボタンをクリックすると,確認メッセージが表示されます。[はい]ボタンをクリックすると,定義した内容は破棄されます。
- <この節の構成>
- (1) [メッセージ分割]タブ
- (2) [フィールド生成]タブ
- (3) 「種別」および「形式」プルダウンメニューの内容
(1) [メッセージ分割]タブ
[メッセージ分割]タブでは,メッセージテキストを監査ログフォーマットに合わせて分割し,監査ログフォーマットの要素に対応づけます。監査ログフォーマットに対応づけたメッセージテキストの要素を「フィールド」と呼びます。
メッセージは,50件まで分割できます。
[メッセージ分割]タブの各項目について説明します。
図5-11 [正規化ルール定義]ダイアログの[メッセージ分割]タブ
![[図データ]](figure/zu050014.gif)
- 「先頭区切」
- メッセージテキストの先頭に,監査ログフォーマットとして対応づけない不要な情報がある場合に,その文字列またはバイト数を「先頭区切」として定義します。
- 例えば,次のメッセージテキストで「2007/12/31」以降の情報を監査ログフォーマットに対応づける場合,先頭の「####△」は不要な情報になります。
####△2007/12/31△00:00:00.000△△△△KKKK0000-E△起動に失敗しました。
(凡例)△:半角スペースを意味します。
- このような場合に,「####△」を先頭区切として定義します。
-
- 「先頭区切」に定義する方法には,次の2種類あります。
- メッセージの形式に応じて,二つの方法を使い分けてください。詳細は,「3.4 メッセージテキストを分割する方法」を参照してください。
- なお,「先頭区切」に定義できるのは1件だけです。
- 「#」
- 行の番号が表示されます。
- 「種別」プルダウンメニュー,「形式」プルダウンメニュー
- 「種別」および「形式」プルダウンメニューには,監査ログフォーマットの要素が表示されます。「プレビュー」に表示されたメッセージテキストの要素を,監査ログフォーマットのどの要素に対応づけるかを定義します。
- プルダウンメニューの内容については,「(3) 「種別」および「形式」プルダウンメニューの内容」を参照してください。
- 「後区切」
- メッセージテキストを分割するために,区切りとなる情報を入力します。
- メッセージテキストを分割する方法には,次の2種類があります。
- 文字列で区切る方法
メッセージテキストを分割したい位置に,半角スペースや「,」(コンマ)などの文字列がある場合は,その文字列で区切ります。
- バイト単位で区切る方法
メッセージテキストを分割したい位置に何も文字列がない場合,バイト単位で区切ります。
- メッセージの形式に応じて,二つの方法を使い分けてください。詳細は,「3.4 メッセージテキストを分割する方法」を参照してください。
- 「プレビュー」
- 「後区切」に区切り情報を指定して[プレビュー]ボタンをクリックすると,「プレビュー」に区切られたメッセージテキストの要素が表示されます。
- [プレビュー]ボタン
- 「後区切」に指定した区切り情報に従って,「サンプルメッセージ」に表示されたメッセージテキストを分割します。分割されたメッセージテキストの要素は,「プレビュー」に表示されます。
- [行挿入]ボタン
- カーソルがある行の上に,新しい行を追加します。
- 分割位置を増やしたり変更したりする場合に使用します。行を追加すると,「プレビュー」に表示されていた内容がいったん削除されます。
- [行削除]ボタン
- カーソルがある行を削除します。
- 分割位置を減らしたり変更したりする場合に使用します。行を削除すると,「プレビュー」に表示されていた内容がいったん削除されます。
- 「サンプルメッセージ」リスト
- メッセージテキストを分割するために,サンプルとなるメッセージテキストを登録します。登録されたサンプルが,「サンプルメッセージ」リストに表示されます。
- [追加]ボタン
- [追加]ボタンをクリックすると,[サンプルメッセージ追加]ダイアログが表示されます。メッセージテキストを分割するために,サンプルとなるメッセージテキストを追加してください。サンプルメッセージは,3件まで登録できます。
- [削除]ボタン
- 「サンプルメッセージ」リストで選択したサンプルメッセージテキストを削除します。[削除]ボタンをクリックすると,確認のメッセージが表示されます。[はい]ボタンをクリックするとサンプルメッセージテキストが破棄されます。
(2) [フィールド生成]タブ
[フィールド生成]タブでは,監査ログとして必要な情報がメッセージテキストに含まれていない場合に,その情報を変換後の監査ログに埋め込みます。監査ログに埋め込まれた各情報を「フィールド」と呼びます。
[フィールド生成]タブの各項目について説明します。
図5-12 [正規化ルール定義]ダイアログの[フィールド生成]タブ
![[図データ]](figure/zu050015.gif)
(a) 「JP1イベント属性値から生成」エリア
監査ログとして必要な情報がメッセージテキストにない場合でも,JP1イベントの属性値に含まれているとき,JP1イベントの属性値を監査ログに埋め込むことができます。「JP1イベント属性値から生成」エリアでは,JP1イベントの属性値を監査ログに埋め込む定義をします。JP1イベントの属性値は,10件まで埋め込むことができます。
「JP1イベント属性値から生成」エリアの各項目について説明します。
- 「生成するフィールド」,「生成するフィールドの設定値」
- 定義したフィールドが一覧で表示されます。
- 「生成するフィールド」には,監査ログフォーマットの要素が表示されます。「生成するフィールドの設定値」には,「生成するフィールド」に対応するJP1イベントの属性値が表示されます。
- 「種別」,「形式」
- 監査ログフォーマットの要素の種別および形式が表示されます。
- 「属性種別」,「属性名」
- 監査ログに埋め込むJP1イベントの属性種別および属性名が表示されます。
- [追加]ボタン
- JP1イベント属性値から生成するフィールドを新たに追加します。
- クリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(1) JP1イベントの属性値を監査ログに埋め込む場合」を参照してください。
- [編集]ボタン
- フィールドの定義を編集します。編集するフィールドの定義を選択して[編集]ボタンをクリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(1) JP1イベントの属性値を監査ログに埋め込む場合」を参照してください。
- [削除]ボタン
- リストで選択したフィールドの定義を削除します。[削除]ボタンをクリックすると,確認のメッセージが表示されます。[はい]ボタンをクリックするとリストで選択したフィールドが破棄されます。
(b) 「入力した文字列から生成」エリア
監査ログとして必要な情報が,メッセージテキストにもJP1イベントの属性値にもない場合,任意の文字列を監査ログに埋め込むことができます。「入力した文字列から生成」エリアでは,任意の文字列を監査ログに埋め込む定義をします。任意の文字列は,30件まで埋め込むことができます。
「入力した文字列から生成」エリアの各項目について説明します。
- 「生成するフィールド」,「生成するフィールドの設定値」
- 定義したフィールドが一覧で表示されます。
- 「生成するフィールド」には,監査ログフォーマットの要素が表示されます。「生成するフィールドの設定値」には,「生成するフィールド」に対応する入力情報が表示されます。
- 「種別」,「形式」
- 監査ログフォーマットの要素の種別および形式が表示されます。
- 「文字列」
- 監査ログに埋め込む入力情報が表示されます。
- [追加]ボタン
- 任意の文字列から生成するフィールドを新たに追加します。
- クリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(2) 任意の文字列を監査ログに埋め込む場合」を参照してください。
- [編集]ボタン
- フィールドの定義を編集します。編集するフィールドの定義を選択して[編集]ボタンをクリックすると,[生成フィールド定義]ダイアログが表示されます。[生成フィールド定義]ダイアログの詳細は,「5.10(2) 任意の文字列を監査ログに埋め込む場合」を参照してください。
- [削除]ボタン
- リストで選択したフィールドの定義を削除します。[削除]ボタンをクリックすると,確認のメッセージが表示されます。[はい]ボタンをクリックするとリストで選択したフィールドが破棄されます。
(3) 「種別」および「形式」プルダウンメニューの内容
ここでは,[正規化ルール定義]ダイアログおよび[生成フィールド定義]ダイアログの,「種別」および「形式」プルダウンメニューの項目について説明します。
表5-3 「種別」および「形式」プルダウンメニューの項目
項番 | 種別 | 形式 | 必須/推奨/任意 |
---|
1 | 日時 | YYYY/MM/DD hh:mm:ss※1 | ◎ |
2 | YYYY-MM-DD hh:mm:ss※1 |
3 | YYYY-MM-DDThh:mm:ss.sTZD※1 |
4 | YYYY-MM-DDThh:mm:ss.sssTZD※1 |
5 | 1970/01/01からの経過秒数 |
6 | 日付※1 | YYYY/MM/DD |
7 | YYYY-MM-DD |
8 | YY/MM/DD |
9 | DD/MMM/YYYY |
10 | 年※1 | YY |
11 | YYYY |
12 | 月※1 | MM |
13 | MMM |
14 | 日※1 | DD |
15 | 時刻※1 | hh:mm:ss |
16 | hh:mm:ss.sss |
17 | hh:mm:ss.ssssss |
18 | 時※1 | hh |
19 | 分※1 | mm |
20 | 秒※1 | ss |
21 | ss.sss |
22 | ss.ssssss |
23 | 共通情報 | 通番 | ○ |
24 | メッセージID | ○ |
25 | プログラム名 | ○ |
26 | コンポーネント名 | ○ |
27 | プロセスID | ○ |
28 | 発生場所(host)※2 | ○ |
29 | 発生場所(ipv4)※2 |
30 | 発生場所(ipv6)※2 |
31 | 発生場所(自動判定)※2※6 |
32 | 監査事象の種別 | ◎ |
33 | 監査事象の結果 | ◎ |
34 | サブジェクト識別情報(uid)※3 | ○ |
35 | サブジェクト識別情報(euid)※3 |
36 | サブジェクト識別情報(pid)※3 |
37 | サブジェクト識別情報(自動判定)※3 |
38 | 固有情報(事象) | オブジェクト情報 | - |
39 | 動作情報 | - |
40 | オブジェクトロケーション情報※4 | - |
41 | オブジェクトロケーション情報(from)※4 |
42 | 変更前情報 | - |
43 | 変更後情報 | - |
44 | 権限情報 | - |
45 | サービスインスタンス名 | - |
46 | 冗長化識別情報 | - |
47 | 固有情報(送信) | リクエスト送信元ホスト(host)※2 | - |
48 | リクエスト送信元ホスト(ipv4)※2 |
49 | リクエスト送信元ホスト(ipv6)※2 |
50 | リクエスト送信元ホスト(自動判定)※2※7 |
51 | リクエスト送信元ポート番号 | - |
52 | リクエスト送信先ホスト(host)※2 | - |
53 | リクエスト送信先ホスト(ipv4)※2 |
54 | リクエスト送信先ホスト(ipv6)※2 |
55 | リクエスト送信先ホスト(自動判定)※2※7 |
56 | リクエスト送信先ポート番号 | - |
57 | 固有情報(識別) | 一括操作識別子 | - |
58 | ログ種別情報 | - |
59 | 出力元の場所(host)※2 | - |
60 | 出力元の場所(ipv4)※2 |
61 | 出力元の場所(ipv6)※2 |
62 | 出力元の場所(自動判定)※2※7 |
63 | 指示元の場所(host)※5 | - |
64 | 指示元の場所(ipv4)※5 |
65 | 指示元の場所(ipv6)※5 |
66 | 指示元の場所(fqdn)※5 |
67 | 指示元の場所(自動判定)※5※7 |
68 | 検出場所(host)※2 | - |
69 | 検出場所(ipv4)※2 |
70 | 検出場所(ipv6)※2 |
71 | 検出場所(自動判定)※2※7 |
72 | ロケーション識別情報 | - |
73 | エージェント情報(host)※2 | - |
74 | エージェント情報(ipv4)※2 |
75 | エージェント情報(ipv6)※2 |
76 | エージェント情報(自動判定)※2※7 |
77 | 固有情報(自由) | 自由記述1~30 | - |
78 | その他※1 | 情報フィールド | - |
- (凡例)
- ◎:必ず対応づけます。
- ○:対応づけを推奨します。
- -:必要に応じて対応づけます。
- 注※1
- [生成フィールド定義]ダイアログの「種別」または「形式」プルダウンメニューには表示されません。
- 注※2
- メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にホスト名の場合は(host)を,IPv4アドレスの場合は(ipv4)を,IPv6アドレスの場合は(ipv6)を選択してください。
- どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
- ただし,JP1/Audit Management - ManagerのバージョンとIPアドレスの形式によって,(自動判定)を選択した場合に,サブタグに設定される値が異なります。
- サブタグに設定される値を次の表に示します。
表5-4 (自動判定)を選択した場合にサブタグに設定される値
項番 | 形式 | 例 | JP1/NETM/Audit - Manager (10-00より前のJP1/Audit Management - Manager) | JP1/Audit Management - Manager 10-00以降 |
---|
1 | 区切り文字が「.(ドット)」で0~255の10進数値が4個並ぶ形式 (255.255.255.255は除く) | 127.0.0.1 | IPv4アドレス | IPv4アドレス |
2 | 区切り文字が「:(コロン)」で4けたの16進数値が8個並ぶ形式 | ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff | IPv6アドレス | IPv6アドレス |
3 | 区切り文字が「:(コロン)」で2けたの16進数値が8個並ぶ形式 | 次のすべての条件を満たす場合
- Hitachi Storage Command Suiteが出力した監査ログ
- フィールドが「共通情報」の「発生場所」以外
| ff:ff:ff:ff:ff:ff:ff:ff | WWN | WWN |
4 | フィールドが「共通情報」の「発生場所」の場合 | ホスト名 | IPv6アドレス |
5 | 上記以外の場合 | WWN | IPv6アドレス |
6 | 区切り文字が「:(コロン)」で1または3けたの16進数値が8個並ぶ形式 | f:f:f:f:f:f:f:f | ホスト名 | IPv6アドレス |
7 | 項番2~6の形式の0の連続する並びの1か所を,「::(2個のコロン)」で置換した形式 | | ホスト名 | IPv6アドレス |
8 | 区切り文字が「:(コロン)」の1~4けたの16進数6個の形式または,それを項番7と同様に「::(2個のコロン)」で置換した形式にIPv4アドレス(nnn.nnn.nnn.nnn)を追加した形式 | - ffff:ffff:ffff:ffff:ffff:ffff:nnn.nnn.nnn.nnn
- ::nnn.nnn.nnn.nnn
| ホスト名 | IPv6アドレス |
9 | 項番2~8の形式に区切り文字「/(スラッシュ)」と1~3けたの10進数の値(nnn)を追加した形式 | ffff::ffff/nnn | ホスト名 | IPv6アドレス |
10 | 項番2~8の形式に区切り文字「%(パーセント)」と0バイト以上の文字列を追加した形式 | - ffff::ffff%n
- ffff::ffff%Interface
| ホスト名 | IPv6アドレス |
11 | 項番1~10以外の形式 | なし | ホスト名 | ホスト名 |
- 注※3
- メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にuidの場合は(uid)を,euidの場合は(euid)を,pidの場合は(pid)を選択してください。
- どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
- 注※4
- Windowsイベントログのセキュリティログの正規化ルールを定義する場合,オブジェクトロケーション情報に当たる情報は,「オブジェクトロケーション情報(from)」に対応づけてください。Windowsイベントログのセキュリティログ以外の正規化ルールを定義する場合は,「オブジェクトロケーション情報」に対応づけてください。
- 注※5
- メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にホスト名の場合は(host)を,IPv4アドレスの場合は(ipv4)を,IPv6アドレスの場合は(ipv6)を,完全修飾ドメイン名の場合は(fqdn)を選択してください。
- どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
- 注※6
- 値がない場合は,サブタグは「host」,値は「N/A」として監査ログに出力されます。
- 注※7
- 値がない場合は,項目は出力されません。