1.1 「正規化ルールを定義する」とは
正規化ルールは,監査ログ収集対象プログラムから収集された監査ログ※を,JP1/Audit Management - Managerで管理できる監査ログフォーマットに変換するためのルールを定義するものです。正規化ルールには,監査ログの情報をJP1/Audit Management - Managerで管理できる監査ログフォーマットにどのように対応づけるかを定義します。
- 注※
-
監査ログ収集対象プログラムから出力された監査ログは,監査ログ収集対象プログラムと同じホストにあるJP1/BaseによってJP1イベントに変換され,JP1/Audit Management - Managerで収集されます。
監査ログ収集対象プログラムがWindowsイベントログに監査ログを出力する場合は,JP1/Baseのイベントログトラップ機能によってJP1イベントに変換されます。監査ログ収集対象プログラムがログファイルに監査ログを出力する場合は,JP1/Baseのログファイルトラップ機能によってJP1イベントに変換されます。
正規化ルールエディタを使用すると,正規化ルールをGUIで定義できます。正規化ルールエディタを使用して正規化ルールを定義するイメージを次に示します。
-
メッセージテキストを監査ログフォーマットに対応づける
JP1イベントに変換された監査ログのメッセージテキストの要素を,監査ログフォーマットに合わせて分割し,対応づけます。イメージを次の図に示します。
図1‒1 メッセージテキストを監査ログフォーマットに対応づける ただし,メッセージテキストの要素だけでは,監査ログフォーマットに対応づけられない場合があります。不足している情報は,次の方法で補います。
-
メッセージテキストに不足している情報を補う
メッセージテキストに不足している情報は,JP1イベントの属性値,または任意の文字列(固定値)を,変換後の監査ログに埋め込むことで補います。イメージを次の図に示します。
図1‒2 メッセージテキストに不足している情報を補う
正規化ルールエディタで正規化ルールを定義するために,事前に次の事項を検討しておく必要があります。
-
メッセージテキストを監査ログフォーマットにどのように対応づけるか
監査ログフォーマットの各要素の意味を把握した上で,メッセージテキストを分割し,分割した要素を監査ログフォーマットに対応づけます。
-
メッセージテキストに不足している情報をどのように補うか
監査ログとして必要な情報がメッセージテキストにない場合,不足している情報をどのように補うかを検討します。
次節から,具体的に検討内容を説明します。