1.4.2 文字列の埋め込みを検討する
メッセージテキストにもJP1イベント属性値にもなかった情報は,文字列の埋め込みによって対応づけます。
例えば,コンポーネント名の情報が,メッセージテキストにもJP1イベント属性値にもなかった場合,文字列(例:「LogonEvent」)を埋め込みます。
文字列は,30件まで埋め込めます。
- 注意事項
-
埋め込む文字列は,固定値として対応づけられます。ログファイルに出力されたログの正規化ルールを定義する場合,一つの製品に定義できる正規化ルールは1件です。したがって,その製品が出力するすべてのログに共通する監査ログフォーマットの要素にだけ,固定値を対応づけることができます。例えば,監査ログフォーマットの「発生場所」に当たる情報が,ログによって異なる場合は,文字列を対応づけできません。
Windowsイベントログの正規化ルールを定義する場合は,イベントIDごとに正規化ルールを定義できるため,固定値を埋め込んでも問題ありません。
監査ログフォーマットの各要素に埋められる文字列の規則を次の表に示します。規則に従って検討してください。
|
項番 |
種別 |
形式 |
埋められる文字列の規則 |
|
|---|---|---|---|---|
|
文字列長 |
入力形式 |
|||
|
1 |
共通情報 |
通番 |
1〜10バイト |
1〜2147483647の範囲で指定してください。 |
|
2 |
メッセージID |
9〜11バイト |
次の文字で指定できます。
|
|
|
3 |
プログラム名 |
1〜32バイト |
次の文字で指定できます。
|
|
|
4 |
コンポーネント名 |
1〜32バイト |
次の文字で指定できます。
|
|
|
5 |
プロセスID |
1〜10バイト |
半角数字で指定してください。 |
|
|
6 |
発生場所 |
1〜255バイト |
ホスト名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
|
7 |
監査事象の種別 |
1〜32バイト |
Windowsイベントログに対応する正規化ルールを定義する場合,次の中から選択して指定します。
各事象の意味については,「1.3.1(1)(b) 監査ログの収集カテゴリ」を参照してください。 ログファイルに対応する正規化ルールを定義する場合,監査ログ収集対象プログラムから収集されるログの監査ログの収集カテゴリが,すべて同じ場合にかぎり,正規化ルールエディタで正規化ルールを定義できます。 例えば,ある監査ログ収集対象プログラムから収集される全ログの監査ログの収集カテゴリが起動/終了であれば,文字列「StartStop」を変換後の監査ログに埋め込めます。一つでも監査ログの収集カテゴリが「Authentication」のログがある場合は,文字列を埋め込めません。 |
|
|
8 |
監査事象の結果 |
7〜10バイト |
次の中から選択して指定します。
ログファイルに対応する正規化ルールを定義する場合,監査ログ収集対象プログラムから収集されるログの監査ログの結果が,すべて同じ場合にかぎり,正規化ルールエディタで正規化ルールを定義できます。 例えば,ある監査ログ収集対象プログラムから収集される全ログの監査ログの結果が「成功」であれば,文字列「Success」を変換後の監査ログに埋め込めます。一つでも監査ログの結果が「失敗」のログがある場合は,文字列を埋め込めません。 |
|
|
9 |
サブジェクト識別情報 |
1〜256バイト |
次の文字で指定できます。
pid形式の場合は,半角数字で指定します。 |
|
|
10 |
固有情報 (事象) |
オブジェクト情報 |
1〜256バイト |
次の文字で指定できます。
|
|
11 |
動作情報 |
1〜32バイト |
次の文字で指定できます。
|
|
|
12 |
オブジェクトロケーション情報 |
1〜64バイト |
次の文字で指定できます。
|
|
|
13 |
変更前情報 |
1〜64バイト |
次の文字で指定できます。
|
|
|
14 |
変更後情報 |
1〜64バイト |
次の文字で指定できます。
|
|
|
15 |
権限情報 |
1〜128バイト |
次の文字で指定できます。
|
|
|
16 |
サービスインスタンス名 |
1〜128バイト |
次の文字で指定できます。
|
|
|
17 |
冗長化識別情報 |
1〜2バイト |
1〜99の範囲で指定できます。 |
|
|
18 |
固有情報 (送信) |
リクエスト送信元ホスト |
1〜255バイト |
ホスト名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
19 |
リクエスト送信元ポート番号 |
1〜5バイト |
0〜65535の範囲でポート番号を指定できます。 |
|
|
20 |
リクエスト送信先ホスト |
1〜255バイト |
ホスト名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
|
21 |
リクエスト送信先ポート番号 |
1〜5バイト |
0〜65535の範囲でポート番号を指定できます。 |
|
|
22 |
固有情報 (識別) |
一括操作識別子 |
1〜10バイト |
1〜2147483647の範囲で指定します。 |
|
23 |
ログ種別情報 |
8〜9バイト |
次のどちらかを指定します。
|
|
|
24 |
出力元の場所 |
1〜255バイト |
ホスト名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
|
25 |
指示元の場所 |
1〜255バイト |
ホスト名または完全修飾ドメイン名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
|
26 |
検出場所 |
1〜255バイト |
ホスト名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
|
27 |
ロケーション識別情報 |
1〜64バイト |
次の文字で指定できます。
|
|
|
28 |
エージェント情報 |
1〜255バイト |
ホスト名を指定する場合は,次の文字で指定してください。
IPv4形式のIPアドレスを指定する場合は,xxx.xxx.xxx.xxx形式(xxx:0〜255の数字)で指定してください。 IPv6形式のIPアドレスを指定する場合は,XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX形式(XXXX:4バイトの16進数字)で指定してください。 |
|
|
29 |
固有情報 (自由) |
自由記述1〜30 |
1〜256バイト |
任意の文字列を文字列長の範囲で指定してください。 |