3.2.5 メッセージテキストに不足している情報を監査ログに埋め込む
「3.2.4 メッセージテキストを監査ログフォーマットに対応づける」で,メッセージテキスト上にある情報は,監査ログフォーマットに対応づけました。
次に,監査ログとして必要な情報がメッセージテキスト上にない場合に,不足している情報を監査ログに埋め込みます。監査ログに情報を埋め込むことを「フィールドを生成する」ともいいます。
情報を監査ログに埋め込む方法は,次の2種類があります。
-
JP1イベントの属性値から埋め込む
-
任意の文字列を埋め込む
ここでは,次の情報を監査ログに埋め込みます。
埋め込む情報 |
埋め込む方法 |
---|---|
日時 |
JP1イベントの属性値から埋め込む |
共通情報−監査事象の結果 |
|
共通情報−発生場所 |
|
共通情報−メッセージID |
|
共通情報−監査事象の種別 |
任意の文字列を埋め込む |
共通情報−プログラム名 |
|
共通情報−コンポーネント名 |
|
固有情報(事象情報)−オブジェクト情報 |
|
固有情報(事象情報)−動作情報 |
手順を次に示します。
(1) 手順
-
[正規化ルール定義]ダイアログで,[フィールド生成]タブをクリックする。
[フィールド生成]タブの項目が表示されます。
図3‒11 [フィールド生成]タブ -
「JP1イベント属性値から生成」の[追加]ボタンをクリックする。
[生成フィールド定義]ダイアログが表示されます。
図3‒12 [生成フィールド定義]ダイアログ(JP1イベント属性値を埋め込む場合) -
JP1イベントの属性値から埋め込む情報を定義する。
ここでは,まず,日時の情報を埋め込む定義をします。[生成フィールド定義]ダイアログの各項目に,次の内容を指定します。
表3‒4 日時の情報を埋め込むための定義内容 項目
設定する内容
説明
種別
日時
埋め込む情報が,監査ログフォーマットのどの種別に当たるかを選択します。
ここでは,日時の情報を埋め込むので,「日時」を選択します。
形式
1970/01/01からの経過秒数
埋め込む情報を,監査ログフォーマットのどの形式に変換するかを選択します。
ここでは,「1970/01/01からの経過秒数」を選択します。
属性種別
拡張属性(固有情報)
埋め込む情報は,どのJP1イベント属性値に当たるかを選択します。
ここでは,「拡張属性(固有情報)」の「Windowsログ登録日時」を選択します。
属性名
Windowsログ登録日時
-
[OK]ボタンをクリックする。
[正規化ルール定義]ダイアログの「JP1イベント属性値から生成」に,定義した内容が表示されます。
図3‒13 定義した日時の情報が表示された[フィールド生成]タブ -
日時の情報を埋め込んだ要領で,日時以外の情報も埋め込む。
ここでは,「共通情報−監査事象の結果」,「共通情報−発生場所」,および「共通情報−メッセージID」の情報をJP1イベントの属性値から埋め込みます。
図3‒14 日時以外の情報をJP1イベント属性値から対応づけた[フィールド生成]タブ 次に,監査ログに必要な情報がJP1イベントの属性値にない場合に,任意の文字列を監査ログの情報として埋め込みます。
-
[フィールド生成]タブの「入力した文字列から生成」で,[追加]ボタンをクリックする。
[生成フィールド定義]ダイアログが表示されます。
図3‒15 [生成フィールド定義]ダイアログ(文字列を埋め込む場合) -
監査ログに埋め込む情報を入力する。
ここでは,まず,「監査事象の種別」情報を入力し,監査ログに埋め込みます。[生成フィールド定義]ダイアログの各項目に,次の内容を指定します。
表3‒5 「コンポーネント名」情報を埋め込むための定義内容 項目
設定する内容
説明
種別
共通情報
埋め込む情報が,監査ログフォーマットのどの種別および形式に当たるかを選択します。
ここでは,「共通情報」および「監査事象の種別」を選択します。
形式
監査事象の種別
文字列
Authentication
監査ログに埋め込む情報を入力します。
ここでは,メッセージ「A0001」の監査事象の種別に当たる「Authentication」を入力します。
-
[OK]ボタンをクリックする。
[正規化ルール定義]ダイアログの「入力した文字列から生成」に,定義した内容が表示されます。
図3‒16 定義した監査事象の種別が表示された[フィールド生成]タブ -
コンポーネント名の情報を埋め込んだ要領で,コンポーネント名以外の情報も埋め込む。
ここでは,「共通情報−コンポーネント名」,「固有情報(事象情報)−オブジェクト情報」,「固有情報(事象情報)−動作情報」,および「共通情報−プログラム名」の情報を入力し,監査ログに埋め込みます。
図3‒17 監査事象の種別以外の情報に任意の文字列を対応づけた[フィールド生成]タブ -
[正規化ルール定義]ダイアログの[OK]ボタンをクリックする。
正規化ルール定義中にエラーがない場合は,メイン画面のツリーエリアに,定義した正規化ルールが表示されます。
図3‒18 正規化ルールの定義が完了したメイン画面 正規化ルール定義中にエラーがある場合,確認メッセージが表示されます。[はい]ボタンをクリックすると,正規化ルールを一時的に保存できます。一時的に保存した場合,製品情報のアイコンが「(「編集(未完了)」状態)」に変わります。
図3‒19 製品状態のアイコンが「編集(未完了)」状態に変わったツリーエリア 次回編集時に,エラーのある個所を修正してください。一度定義した正規化ルールを変更する方法については,「4.2.1 「編集」状態の正規化ルールの定義を変更する」を参照してください。
- 注意事項
-
正規化ルール名とWindowsイベントIDにエラーがある場合はエラーメッセージが表示され,保存できません。エラー部分を入力方法に従って修正してください。この項目の入力方法の詳細は「5.7 [正規化ルール定義]ダイアログ」を参照してください。
これで,正規化ルールの定義は完了です。次に,正規化ルールを変換で使用できる状態にします。
(2) 関連情報
-
[フィールド生成]タブの項目の詳細については,「5.7.2 [フィールド生成]タブ」を参照してください。
-
[生成フィールド定義]ダイアログの項目の詳細については,「5.10 [生成フィールド定義]ダイアログ」を参照してください。