3.2 正規化ルールの定義操作(Windowsイベントログの場合)
Windowsイベントログの正規化ルールを定義します。
ここでは,アプリケーションAがWindows Server 2008のアプリケーションログに出力する次のログメッセージ(メッセージID:A0001)に対応する正規化ルールを定義する例に沿って説明します。
アカウントが正常にログオンしました。↓ ↓ サブジェクト:↓ →セキュリティ△ID:→→SYSTEM↓ →アカウント名:→→WIN-DOM$↓ →アカウント△ドメイン:→→AUDIT↓ →ログオン△ID:→→0x1e6↓ ↓ ログオン△タイプ:→→→2↓ ↓ 新しいログオン:↓ →セキュリティ△ID:→→S-1-5-21↓ →アカウント名:→→Administrator↓ →アカウント△ドメイン:→→AUDIT↓ →ログオン△ID:→→0xd7ff4↓ →ログオン△GUID:→→{00000000-0000}↓ ↓ プロセス情報:↓ →プロセス△ID:→→0x750↓ →プロセス名:→→C:\Windows\System32\winlogon.exe↓ ↓ ネットワーク情報:↓ →ワークステーション名:→WIN-DOM↓ →ソース△ネットワーク△アドレス:→127.0.0.1↓ →ソース△ポート:→→0↓ (以降省略)
- (凡例)
-
↓:改行を示します。
→:タブを示します。
△:半角スペースを示します。