3.2.4 メッセージテキストを監査ログフォーマットに対応づける
Windowsイベントログのメッセージテキストを,「1.3 メッセージテキストを監査ログフォーマットにどのように対応づけるか」で検討した内容に沿って分割し,監査ログフォーマットに対応づけます。
ここでは,メッセージID「A0001」のメッセージテキストを次の図のように分割し,監査ログフォーマットに対応づけます。
|
メッセージテキストを分割するために,まず,サンプルとなるメッセージテキストを登録します。手順を次に示します。
(1) 手順
-
[正規化ルール定義]ダイアログの[メッセージ分割]タブにある,「サンプルメッセージ」の[追加]ボタンをクリックする。
[サンプルメッセージ追加]ダイアログが表示されます。
図3‒7 [サンプルメッセージ追加]ダイアログ -
サンプルとなるメッセージテキストを「サンプルメッセージ」に入力する。
ここでは,メッセージID「A0001」のメッセージテキストを入力します。
-
[OK]ボタンをクリックする。
[正規化ルール定義]ダイアログの[メッセージ分割]タブの「サンプルメッセージ」に,入力したサンプルメッセージが表示されます。
図3‒8 サンプルメッセージが表示された[正規化ルール定義]ダイアログ サンプルメッセージは,3件まで登録できます。ここでは1件だけを登録しました。
次に,登録したサンプルメッセージテキストを分割し,分割した各要素に監査ログフォーマットの要素を対応づけます。
-
メッセージテキストの先頭の要素に対応づける監査ログフォーマットの要素を,「種別」と「形式」プルダウンメニューから選択する。
ここでは,メッセージID「A0001」のメッセージテキストを図3-6のように分割します。先頭の要素は,「アカウントが正常にログオンしました。」です。「アカウントが正常にログオンしました。」には,固有情報(自由)を対応づけるので,「種別」プルダウンメニューで「固有情報(自由)」を,「形式」プルダウンメニューで「自由記述1」を選択します。
次に,メッセージテキストを「アカウントが正常にログオンしました。」で区切ります。
-
先頭の要素「アカウントが正常にログオンしました。」で区切るために,「サンプルメッセージリスト」で分割するメッセージテキストを選択し,「後区切」に区切りとなる情報を入力する。
区切りとなるのは,「↓↓」(↓:改行コード)です。
[メッセージ分割]タブの1行目の「後区切」に「↓↓」を入力してください。
-
[プレビュー]ボタンをクリックする。
「プレビュー」で,「アカウントが正常にログオンしました。」が正常に分割されていることを確認できます。
図3‒9 メッセージテキストの先頭の要素を定義した[正規化ルール定義]ダイアログ -
先頭の要素を定義した要領で,以降のメッセージテキストを分割し,監査ログフォーマットの要素を対応づける。
図3-6に従って,監査ログフォーマットの種別と形式を対応づけます。
図3‒10 メッセージテキストすべてを監査ログフォーマットに対応づけた[正規化ルール定義]ダイアログ 空行ができないように入力してください。
途中で分割位置を誤り,分割位置を増やしたり減らしたりしたい場合は,[行挿入]ボタンまたは[行削除]ボタンで修正してください。[行挿入]ボタンは,カーソルがある行の上に空行を挿入します。[行削除]ボタンは,カーソルがある行を削除します。[行挿入]ボタンまたは[行削除]ボタンを使用すると,「プレビュー」の内容がいったん削除されます。
これで,メッセージテキストを監査ログフォーマットの要素に対応づける操作は完了です。
次に,メッセージテキストに不足している情報を,監査ログに埋め込む定義をします。[正規化ルール定義]ダイアログを開いた状態で,次項を参照してください。
(2) 関連情報
-
すでに定義してある正規化ルールの定義,および標準サポート製品のテンプレートを流用して,新規に正規化ルールを定義することもできます。[正規化ルール定義]ダイアログの[選択]ボタンで,流用する正規化ルールを選択します。[正規化ルール定義]ダイアログの項目については,「5.7 [正規化ルール定義]ダイアログ」を参照してください。
-
[正規化ルール定義]ダイアログの,「種別」および「形式」プルダウンメニューの各項目については,「5.7.3 「種別」および「形式」プルダウンメニューの内容」を参照してください。
-
ここで説明した手順では,メッセージテキストを分割する際,区切り文字で分割しました。区切り文字以外に,バイト単位でメッセージテキストを分割することもできます。詳細は,「3.4 メッセージテキストを分割する方法」を参照してください。