1.3.1 監査ログフォーマットを把握する
監査ログフォーマットには,対応づけが必須な要素,推奨されている要素,および任意の要素があります。それぞれの要素について説明します。
(1) 対応づけが必須な要素
次の監査ログフォーマットの要素は,監査ログとして必要な要素です。まず,メッセージテキストに次の情報があるか確認し,ある場合は対応づけます。ない場合は,「1.4 メッセージテキストに不足している情報をどのように補うか」で,JP1イベント属性値,または任意の文字列を埋め込むことで対応づけます。
-
日付情報
-
監査ログの収集カテゴリ
-
監査ログの結果
各要素の詳細を説明します。
(a) 日付情報
監査ログの日付情報のフォーマットは,次の表から選択できます。
例えば,メッセージテキストに次のような日付情報があるとします。
2008/01/09△14:48:26.687△[Information]△KMMV4010-I△業務プログラムAを開始します。△[MANAGER01,3388(gyoumu.exe),GYOUMU001,StartStop]
- (凡例)
-
下線部:日付情報に当たる情報を示します。
△:半角スペースを示します。
「2008/01/09△14:48:26.687」のままでは,表1-2の監査ログフォーマットに該当する種別および形式がありません。このような場合は,「2008/01/09」と「14:48:26.687」に分割して,次のように対応づけます。
-
「2008/01/09」は,表1-2の「日付」種別の「YYYY/MM/DD」形式に該当するので,「YYYY/MM/DD」形式に対応づけます。
-
「14:48:26.687」は,表1-2の「時刻」種別の「hh:mm:ss.sss」形式に該当するので,「hh:mm:ss.sss」形式に対応づけます。
表1-2の形式に該当するように,メッセージテキストを分割して,対応づけてください。
なお,メッセージテキストに年の情報がない場合は,自動的に年の情報が付加されます。年の情報は,次のように付加されます。
-
メッセージテキストに出力された月情報が,ログが収集された月以前の場合
「ログが収集された時点の年」の情報が付加されます。
-
メッセージテキストに出力された月情報が,ログが収集されたの月よりも後の場合
「ログが収集された時点の年 - 1」の情報が付加されます。
例えば,メッセージテキストに出力された月が12月で,2009年1月にログが収集された場合,2008年12月として年の情報が付加されます。
(b) 監査ログの収集カテゴリ
監査ログの収集カテゴリは,ログが出力される契機となった事象の種別を指します。正規化ルールエディタでは,「監査事象の種別」と表示されます。
メッセージテキストに,監査ログの収集カテゴリが次の表のどれかで表示される場合は,そのメッセージテキストの要素を対応づけます。
項番 |
カテゴリ |
説明 |
---|---|---|
1 |
StartStop |
ソフトウェアの起動と終了を示す事象です。 |
2 |
Authentication |
管理者やユーザが,接続・認証を試みて成功・失敗したことを示す事象です。 |
3 |
AccessControl |
管理者やユーザが,管理リソースまたはセキュリティリソースへのアクセスを試みて成功・失敗したことを示す事象です。 |
4 |
ConfigurationAccess |
管理者が許可された運用操作を実行し,操作が正常終了・失敗したことを示す事象です。 |
5 |
Failure |
ソフトウェアの異常を示す事象です。 |
6 |
LinkStatus |
機器間のリンク状態を示す事象です。 |
7 |
ExternalService |
日立オープンミドルウェア製品と外部サービスとの通信結果を示す事象です。 |
8 |
ContentAccess |
重要なデータへのアクセスを試みて成功・失敗したことを示す事象です。 |
9 |
Maintenance |
管理者や保守員が保守操作を実行し,操作が正常終了・失敗したことを示す事象です。 |
10 |
AnomalyEvent |
しきい値オーバーなどの異常が発生したことを示す事象です。 |
異常な通信の発生を示す事象です。 |
||
11 |
ManagementAction |
プログラムの重要なアクションの実行を示す事象や,ほかの監査カテゴリを契機とし実行するアクションを示す事象です。 |
例えば,次のメッセージテキストの場合は,下線部の情報を対応づけます。
2008/01/09△14:48:26.687△[Information]△KMMV4010-I△業務プログラムAを開始します。△[MANAGER01,3388(gyoumu.exe),GYOUMU001,StartStop]
- (凡例)
-
△:半角スペースを示します。
下線部:監査ログの収集カテゴリに当たる情報を示します。
監査ログの収集カテゴリに当たる情報がメッセージテキストにない場合は,次のように対処してください。
-
Windowsイベントログに対応する正規化ルールを定義する場合
表1-3のうち,該当するカテゴリの文字列を,変換後の監査ログに埋め込んでください。例えば,サービスの起動と終了に関するイベントログの場合は,「StartStop」という文字列を,変換後の監査ログに埋め込みます。文字列の埋め込みについては,「1.4.2 文字列の埋め込みを検討する」を参照してください。
-
ログファイルに対応する正規化ルールを定義する場合
メッセージテキスト中に,監査ログの収集カテゴリに当たる情報がない場合,正規化ルールエディタで正規化ルールを定義できません。
ただし,監査ログ収集対象プログラムから収集されるログの監査ログの収集カテゴリが,すべて同じ場合にかぎり,正規化ルールエディタで正規化ルールを定義できます。
例えば,ある監査ログ収集対象プログラムから収集される全ログの監査ログの収集カテゴリが起動/終了であれば,文字列「StartStop」を変換後の監査ログに埋め込めます。一つでも監査ログの収集カテゴリが「Authentication」のログがある場合は,文字列を埋め込めません。文字列の埋め込みについては,「1.4.2 文字列の埋め込みを検討する」を参照してください。
(c) 監査ログの結果
監査ログの結果は,成功か失敗かなどの事象の結果情報を指します。正規化ルールエディタでは,「監査事象の結果」と表示されます。
メッセージテキストに,監査ログの結果が次のどれかで表示される場合は,そのメッセージテキストの要素を対応づけます。
-
Success
-
Audit_Success
-
Failure
-
Error
-
Critical
-
Audit_Failure
-
Failed
-
Occurrence
-
Warning
-
Information
-
Verbose
-
None
-
Occurred
例えば,次のメッセージテキストの場合は,下線部の情報を対応づけます。
2008/01/09△14:48:26.687△[Information]△KMMV4010-I△業務プログラムAを開始します。△[MANAGER01,3388(gyoumu.exe),GYOUMU001,StartStop]
- (凡例)
-
△:半角スペースを示します。
下線部:監査ログの結果に当たる情報を示します。
なお,対応づけた監査ログの結果は,監査ログフォーマットに変換されると,次の3種類で表示されます。
変換前の監査ログの結果 |
変換後の監査ログの結果 |
---|---|
Success |
Success |
Audit_Success |
|
Failure |
Failure |
Error |
|
Critical |
|
Audit_Failure |
|
Failed |
|
Occurrence |
Occurrence |
Warning |
|
Information |
|
Verbose |
|
None |
|
Occurred |
監査ログの結果に当たる情報がメッセージテキストにない場合は,次のように対処してください。
-
Windowsイベントログに対応する正規化ルールを定義する場合
JP1イベント属性値の「拡張属性(固有情報)−Windowsログ種類」を対応づけてください。
JP1イベント属性値については,「1.4.1 JP1イベント属性値との対応づけを検討する」を参照してください。
-
ログファイルに対応する正規化ルールを定義する場合
メッセージテキストに,監査ログの結果に当たる情報がない場合,正規化ルールエディタで正規化ルールを定義できません。
ただし,監査ログ収集対象プログラムから収集されるログの監査ログの結果が,すべて同じ場合にかぎり,正規化ルールエディタで正規化ルールを定義できます。
例えば,ある監査ログ収集対象プログラムから収集される全ログの監査ログの結果が「成功」であれば,文字列「Success」を変換後の監査ログに埋め込めます。一つでも監査ログの結果が「失敗」のログがある場合は,文字列を埋め込めません。文字列の埋め込みについては,「1.4.2 文字列の埋め込みを検討する」を参照してください。
(2) 対応づけが推奨されている要素
次の表に示す要素は,監査ログにあることが推奨されている要素です。メッセージテキスト,JP1イベント属性値,または任意の文字列を対応づけてください。
項番 |
種別 |
形式 |
説明 |
---|---|---|---|
1 |
監査ログの通し番号に当たる情報を対応づけます。 |
||
2 |
メッセージIDに当たる情報を対応づけます。 |
||
3 |
プログラム名に当たる情報を対応づけます。 |
||
4 |
コンポーネント名に当たる情報を対応づけます。 |
||
5 |
プロセスIDに当たる情報を対応づけます。 |
||
6 |
ログ出力の契機となった事象が起こった場所(ホスト名またはIPアドレス)を対応づけます。 |
||
7 |
ログ出力の契機となった事象を起こしたユーザの情報を対応づけます。ユーザと対応づけられない場合は,事象を起こしたプロセスのIDを対応づけます。 |
(3) 任意に対応づける要素
任意で対応づけられる要素を次の表に示します。必要に応じて対応づけてください。
項番 |
種別 |
形式 |
説明 |
---|---|---|---|
1 |
(事象) |
ログ出力の契機となった事象で,ユーザが参照,追加,更新,削除などを実行したファイルなどの情報を対応づけます。 |
|
2 |
ログ出力の契機となった事象を起こしたユーザの行為(参照,追加,更新,削除など)を対応づけます。 |
||
3 |
オブジェクト情報を特定するために必要に応じて出力される,位置情報(設定ファイル名,親パラメーター名など)を対応づけます。 |
||
4 |
ファイルなどが変更された場合に必要に応じて出力される,変更前の情報を対応づけます。 |
||
5 |
ファイルなどが変更された場合に必要に応じて出力される,変更後の情報を対応づけます。 |
||
6 |
ログ出力の契機となった事象を起こしたユーザに付与されている権限の情報を対応づけます。 |
||
7 |
日立オープンミドルウェア製品が提供するサービスの識別子を対応づけます。 |
||
8 |
ログ出力の契機となった事象の発生場所が冗長化構成を採っている場合に,冗長化構成に関する識別情報(実行系/待機系など)を対応づけます。 |
||
9 |
(送信) |
リクエスト送信元ホストの識別情報(ホスト名またはIPアドレス)を対応づけます。 |
|
10 |
リクエスト送信元のポート番号を対応づけます。 |
||
11 |
リクエスト送信先ホストの識別情報(ホスト名またはIPアドレス)を対応づけます。 |
||
12 |
リクエスト送信先のポート番号を対応づけます。 |
||
13 |
(識別) |
ログを基本ログと詳細ログに分割して出力した場合に出力される,両者を関連づけるための識別子を対応づけます。 |
|
14 |
ログの種別(基本ログまたは詳細ログ)を示す情報を対応づけます。 |
||
15 |
ログを出力したホストの識別情報(ホスト名またはIPアドレス)を対応づけます。 |
||
16 |
ログ出力の契機となった事象でユーザが使用したホストの識別情報(ホスト名,IPアドレス,または完全修飾ドメイン名)を対応づけます。 |
||
17 |
ログ出力の契機となった事象を検出したホストの識別情報(ホスト名またはIPアドレス)を対応づけます。 |
||
18 |
ユーザが日立オープンミドルウェア製品の運用管理のために設定したロケーション識別情報を対応づけます。 |
||
19 |
マネージャ/エージェント型システムでの,エージェント型プログラムの場所を示す識別情報(ホスト名またはIPアドレス)を対応づけます。 |
||
20 |
これまで紹介した監査ログフォーマットに対応づけないで,自由に表示させたい情報を対応づけます。 固有情報(自由)は,30件まで対応づけられます。 |
||
21 |
メッセージテキスト中の情報で,監査ログとして表示したくない情報がある場合に,対応づけます。 |