2.2.4 監査ログの正規化
監査ログ収集対象サーバのプログラムから出力される監査ログの出力形式を,JP1/Audit Management - Managerの監査ログ管理データベースに格納できる形式に変換することを監査ログの正規化といいます。
監査ログ管理サーバでは,監査ログ収集対象サーバに蓄積された監査ログを収集し,収集した監査ログを正規化します。その後,正規化した監査ログを監査ログ管理データベースに格納することで,一元管理を実現します。
監査ログの正規化の概念を次の図に示します。
- 〈この項の構成〉
(1) 正規化ルールファイル
JP1/Audit Management - Managerでは,監査ログ収集対象サーバから収集した監査ログを正規化するために,定義ファイル群を提供しています。この定義ファイル群を正規化ルールファイルと呼びます。
監査証跡管理システムがサポートしているJP1/AJS3 - ManagerやJP1/NETM/DMなどの監査ログ収集対象プログラムは,正規化ルールファイルが自動的に適用されています。監査証跡管理システムがサポートしている監査ログ収集対象プログラムについては「1.2.1 内部統制の証跡記録の一元管理」を参照してください。
提供している正規化ルールファイルを次に示します。
- 統一フォーマット用の正規化ルールファイル
-
日立オープンミドルウェア製品の監査ログを正規化するための標準定義ファイルです。UNIXのシステムログに関する情報を監査ログとして正規化するための定義ファイルとしても使用します。
- JP1/AJS製品ログ用の正規化ルールファイル
-
JP1/AJSの製品ログを監査ログとして正規化するための定義ファイルです。
JP1/AJSの製品ログを正規化して監査ログにすると,日時やメッセージIDなどの情報が先頭に追加され,JP1/AJSの製品ログ形式を変えずに固有情報として転記されます。
JP1/AJSのログ種別がA001の場合の例を次に示します。
- JP1/AJSの製品ログの情報:
-
A001△日付△時刻△[プロセスID]△KAVS0200-I△スケジューラサービス名
- 監査ログとして正規化された情報:
-
日時:日付+時刻
メッセージID:KAVS0200-I
プロセスID:プロセスID
固有情報:A001△日付△時刻△[プロセスID]△KAVS0200-I△スケジューラサービス名
なお,JP1/AJSのスケジューラログでは,年の情報が出力されていない場合があります。この場合,次の方法で年の情報を追加して正規化します。
-
ログ中の月<=ログ取得の月:「取得した時点の年」の情報追加
-
ログ中の月>ログ取得の月:「取得した時点の年 - 1」の情報追加
例えば,ログ中の月が12月で,2007年1月に取得した場合,2006年12月として情報が追加されます。
- 正規化ルールエディタで定義した製品用の正規化ルールファイル
-
正規化ルールエディタで正規化ルールを定義した場合に使用する定義ファイルです。
- Windowsイベントログ用の正規化ルールファイル
-
Windowsイベントログに出力されるログを監査ログとして正規化するための定義ファイルです。JP1/Audit Management - Managerではログオン イベントおよびアカウント管理のイベントを標準サポートしています。
なお,標準サポートしていないWindowsイベントログを監査ログとして正規化する場合は,この正規化ルールファイルを編集して正規化ルールを定義します。
ほかのJP1シリーズ製品,日立オープンミドルウェア製品,またはその他のプログラムなど,監査証跡管理システムで標準サポート外となっているプログラムが出力する監査ログについては,正規化ルールを定義する必要があります。
出力する監査ログについて,正規化ルールを定義する必要があるプログラムやOSのことを,このマニュアルでは標準サポート外のプログラムと呼びます。標準サポート外のプログラムは,次に示すどちらかの方法で正規化ルールを定義してください。
-
正規化ルールエディタで定義する
-
正規化ルールファイルで定義する
正規化ルールの定義については「5.6.2 標準サポート外のプログラムを収集対象とするための準備をする」を参照してください。