3.2　正規化ルールの定義操作（Windowsイベントログの場合）

Windowsイベントログの正規化ルールを定義します。

ここでは，アプリケーションAがWindows Server 2008のアプリケーションログに出力する次のログメッセージ（メッセージID：A0001）に対応する正規化ルールを定義する例に沿って説明します。

アカウントが正常にログオンしました。↓
↓
サブジェクト:↓
→セキュリティ△ID:→→SYSTEM↓
→アカウント名:→→WIN-DOM$↓
→アカウント△ドメイン:→→AUDIT↓
→ログオン△ID:→→0x1e6↓
↓
ログオン△タイプ:→→→2↓
↓
新しいログオン:↓
→セキュリティ△ID:→→S-1-5-21↓
→アカウント名:→→Administrator↓
→アカウント△ドメイン:→→AUDIT↓
→ログオン△ID:→→0xd7ff4↓
→ログオン△GUID:→→{00000000-0000}↓
↓
プロセス情報:↓
→プロセス△ID:→→0x750↓
→プロセス名:→→C:\Windows\System32\winlogon.exe↓
↓
ネットワーク情報:↓
→ワークステーション名:→WIN-DOM↓
→ソース△ネットワーク△アドレス:→127.0.0.1↓
→ソース△ポート:→→0↓
     (以降省略)

（凡例）

↓：改行を示します。

→：タブを示します。

△：半角スペースを示します。

〈この節の構成〉

• 3.2.1　定義の流れ

• 3.2.2　監査ログ収集対象プログラムの製品情報を定義する

• 3.2.3　正規化ルールの名称を定義する

• 3.2.4　メッセージテキストを監査ログフォーマットに対応づける

• 3.2.5　メッセージテキストに不足している情報を監査ログに埋め込む

• 3.2.6　正規化ルールを変換で使用できる状態にする

ページの先頭へ