13.2.3 定義内容(標準サポート外のプログラムを収集する場合)
JP1/Audit Management - Managerで標準サポート外となっているプログラムを収集する場合に,[LOGTYPE]および[正規化パターン]で記述する内容についてそれぞれ説明します。
- 〈この項の構成〉
(1) [LOGTYPE]の設定項目
[LOGTYPE]で記述する内容について,次の表に示します。
項番 |
項目名 |
説明 |
---|---|---|
1 |
[LOGTYPE] |
定義の始まりを示す[LOGTYPE]を指定します。 |
2 |
TYPE |
ログの記述形式を指定します。次のどちらかを指定します。
|
3 |
SEPARATE |
ログの区切り文字の種別です。次のどちらかを指定します。
|
4 |
SECTION |
監査ログの最初の区切り文字までの文字列を正規化パターン名として使用するかどうかを指定します。
0を指定した場合は,[正規化パターン]に「PATTERN」と指定します。 1を指定した場合は,[正規化パターン]に「監査ログの最初の区切り文字までの文字列」を指定します。 この場合,監査ログの最初の区切り文字までの文字列の パターンすべてについて定義します。 |
5 |
LOGSTART |
ログの先頭から文字を読み飛ばして,正規化で使用しない文字までの位置を指定します。「0」を指定した場合は,先頭から正規化されます。 |
6 |
ESCTYPE |
ログ中でエスケープに使用する記号を指定します。次のどれかを指定します。
なお,前後の文字が同じ場合は,「2」を指定できません。「0」を指定してください。 |
7 |
FRONTESC※ |
ESCTYPEが「2」の場合,エスケープに使用する開始記号を指定します。開始記号には,1バイトの文字だけ指定できます。 |
8 |
REARESC※ |
ESCTYPEが「2」の場合,エスケープに使用する終了記号を指定します。終了記号には,1バイトの文字だけ指定できます。 |
9 |
SKIPSPACE |
連続する複数のスペースを一つのスペースとして処理するかどうかを指定します。SEPARATEが「space」の場合だけ指定し,「comma」の場合は指定しないでください。
1を指定した場合は,ログのすべての連続スペースが一つのスペースに置き換えられてから,正規化されます。 |
(2) [正規化パターン]の設定項目
[正規化パターン]で記述する内容について,次に示します。
(a) [正規化パターン]の各項目の設定値
[正規化パターン]の各設定項目での設定値を次の表に示します。
項番 |
番号 |
種別 |
正規化ルール |
項目1 |
項目2 |
次番号1 |
次番号2 |
「正規化ルール」に「*」を指定したときの「項目1」の範囲 |
---|---|---|---|---|---|---|---|---|
1 |
1〜の通番 |
CHECK※1 |
「J」 |
判定する項目位置を設定します。 |
真偽を判定する対象となる値 |
判定が真の場合に適用する次の番号 |
判定が偽の場合に適用する次の番号 |
− |
2 |
AuditLogID※2 |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」※3 |
値や文字列を設定します。 |
0〜2147483647の整数 |
||||||
3 |
MessageID |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」※3 |
値や文字列を設定します。 |
64バイト以内の文字列 |
||||||
4 |
MessageDate |
「D」 |
|
× |
次の番号 |
× |
− |
|
「UD」※3 |
|
任意の日時形式を設定します。 設定値については,表13-7を参照してください。 |
||||||
5 |
ProgramName |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」※3 |
値や文字列を設定します。 |
64バイト以内の文字列 |
||||||
6 |
ComponentName |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」※3 |
値や文字列を設定します。 |
64バイト以内の文字列 |
||||||
7 |
ProcessID※2 |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」※3 |
値や文字列を設定します。 |
「-1」 |
||||||
8 |
PlaceInfo |
「S」※3 |
KEY名称を設定します。 |
× |
次の番号 |
× |
− |
|
「H」 |
× |
|||||||
「-」 |
|
|||||||
9 |
EventCategoryName |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」 |
次に示す文字列のどれかを設定します。
|
|||||||
10 |
EventResultName |
「-」 |
|
× |
次の番号 |
× |
− |
|
「*」 |
次に示す文字列のどれかを設定します。
|
|||||||
11 |
SubjectInfo |
「S」※3 |
対応するKEY名称を設定します。 |
× |
次の番号 |
× |
− |
|
「C」 |
次に示すカテゴリ名のどれかを設定します。
|
|
||||||
「*」※3 |
値や文字列を設定します。 |
× |
「""」 |
|||||
12 |
PeculiarInfo※4 |
「M」※3 |
先頭に配置してデータベースに格納したいKEY名称を設定します。 |
× |
次の番号 |
× |
− |
|
13 |
「N」 |
項目位置を示す番号を設定します。 |
(b) [正規化パターン]の設定項目
[正規化パターン]の設定項目を次の表に示します。
項番 |
項目名 |
説明 |
---|---|---|
1 |
[正規化パターン] |
定義の始まりを示す[正規化パターン]を指定します。 SECTIONで指定した値が,0の場合は[PATTERN]を指定します。SECTIONで指定した値が,1の場合は,監査ログの最初の区切り文字までの文字列を正規化パターン名として指定します。 |
2 |
番号 |
正規化ルールを適用する順番を1からの整数で指定します。 |
3 |
種別※1 |
正規化の対象となるデータ種別を指定します。指定値を次に示します。
|
4 |
正規化ルール |
正規化のルールを指定します。指定できる値を次に示します。
|
5 |
項目1 |
項番4の正規化ルールに設定する値によって指定する情報が変わります。正規化ルールに設定した値の説明に記載されている情報を設定します。 |
6 |
項目2 |
|
7 |
次番号1 |
適用する正規化ルールの次のkey値(項番1)を指定します。最後の正規化ルールの場合は「0」を指定します。 |
8 |
次番号2 |
n:SubjectInfo:S:A,B,C:n+1 |
(c) [正規化パターン]の正規化ルールで「D」を指定した場合の日時形式
[正規化パターン]の正規化ルールで「D」を指定した場合の,KEY名称または項目位置の記述形式を次の表に示します。なお,KEY名称または項目位置の記述形式はJP1/Audit Management - Managerで設定している日時形式と一致している必要があります。
項番 |
記述形式 |
記述形式の意味 |
|
---|---|---|---|
1 |
TYPE=KEYの場合 |
"YYYY-MM-DDThh:mm:ss.tttTZD" |
なお,TZDは次のどれかを指定してください。
なお,半角英数文字を使用してください。 |
2 |
TYPE=VALUEの場合 |
"YYYY/MM/DD△hh:mm:ss"または"MMM△DD△hh:mm:ss" |
月名称の省略形は,次のどれかを指定してください。
なお,複数の項目位置を定義する場合には,「,」で区切ってください。半角英数文字を使用してください。 |
(d) [正規化パターン]の正規化ルールで「UD」を指定した場合の日時形式
[正規化パターン]の正規化ルールで「UD」を指定した場合に,項目2で定義する設定値について次の表に示します。
設定値を任意に組み合わせて,項目2で任意の日時形式を定義してください。監査ログの日時を示す値が,JP1/Audit Management - Managerで設定している日時形式と一致していない場合は,「UD」を指定し,監査ログの日時を示す値に合わせて日時形式を設定します。
項番 |
項目2で定義する設定値 |
内容 |
設定値と対応する監査ログの値 |
---|---|---|---|
1 |
%Y |
西暦を指定します。 |
4けたの数値です。 |
2 |
%y |
西暦の下2けたを指定します。 |
2けたの数値です。 なお,数字によって次のように認識します。
|
3 |
%m |
月を数字で指定します。 |
01〜12または1〜12の数値です。※ |
4 |
%B |
月を英字の正式名で指定します。 |
対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
5 |
%b |
月を英字の省略名で指定します。 |
対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
6 |
%d |
日付を指定します。 |
01〜31または1〜31の数値です。※ |
7 |
%H |
時単位の時刻を24時間表記で指定します。 |
00〜23または0〜23の数値です。※ |
8 |
%I |
時単位の時刻を12時間表記で指定します。 |
00〜11または0〜11の数値です。※ |
9 |
%p |
午前または午後のどちらかを指定します。 |
AMまたはPMです。 |
10 |
%M |
分単位の時刻を指定します。 |
00〜59または0〜59の数値です。※ |
11 |
%S |
秒単位の時刻を指定します。 |
00〜59または0〜59の数値です。※ |
12 |
%w |
曜日を数字で指定します。 |
対応する値を次に示します。
|
13 |
%A |
曜日の英字の正式名で指定します。 |
対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
14 |
%a |
曜日を英字の省略名で指定します。 |
対応する値を次に示します。なお,文字列の大文字・小文字を区別します。
|
15 |
%G |
GMT時間(世界標準時間)との時差を分単位で指定します。 |
-720〜+720の値の範囲です。 |
16 |
# |
文字を読み飛ばしたい場合に指定します。 |
任意の1バイトを表します。 |
(e) [正規化パターン]の正規化ルールで「UD」を指定した場合の日時形式の定義例
[正規化パターン]の正規化ルールで「UD」を指定した場合の,項目2での定義例を次の表に示します。
項番 |
ログの日時形式 |
項目2の定義例 |
---|---|---|
1 |
20070911031510 |
%Y%m%d%H%M%S |
2 |
20070911031510+150 |
%Y%m%d%H%M%S%G |
3 |
2007/9/11 03:15:10 |
"%Y/%m/%d %H:%M:%S" |
4 |
2007/9/11 03:15:10.100 |
"%Y/%m/%d %H:%M:%S####" |
5 |
2007 September 11 Wednesday 03-15-10 |
%Y %B %d %A %H-%M-%S |
6 |
2007 Sep 11 Wed 03-15-10 |
%Y %b %d %a %H-%M-%S |
7 |
2007/09/11 AM 03:15:10 |
"%Y/%m/%d %p %I:%M:%S" |
8 |
07/09/11 03:15:10 |
"%y/%m/%d %I:%M:%S" |
9 |
007/09/11 03:15:10 |
"%3Y/%m/%d %I:%M:%S" |