5.7.3 「種別」および「形式」プルダウンメニューの内容
ここでは,[正規化ルール定義]ダイアログおよび[生成フィールド定義]ダイアログの,「種別」および「形式」プルダウンメニューの項目について説明します。
項番 |
種別 |
形式 |
必須/推奨/任意 |
---|---|---|---|
1 |
日時 |
YYYY/MM/DD hh:mm:ss※1 |
◎ |
2 |
YYYY-MM-DD hh:mm:ss※1 |
||
3 |
YYYY-MM-DDThh:mm:ss.sTZD※1 |
||
4 |
YYYY-MM-DDThh:mm:ss.sssTZD※1 |
||
5 |
1970/01/01からの経過秒数 |
||
6 |
日付※1 |
YYYY/MM/DD |
|
7 |
YYYY-MM-DD |
||
8 |
YY/MM/DD |
||
9 |
DD/MMM/YYYY |
||
10 |
年※1 |
YY |
|
11 |
YYYY |
||
12 |
月※1 |
MM |
|
13 |
MMM |
||
14 |
日※1 |
DD |
|
15 |
時刻※1 |
hh:mm:ss |
|
16 |
hh:mm:ss.sss |
||
17 |
hh:mm:ss.ssssss |
||
18 |
時※1 |
hh |
|
19 |
分※1 |
mm |
|
20 |
秒※1 |
ss |
|
21 |
ss.sss |
||
22 |
ss.ssssss |
||
23 |
共通情報 |
通番 |
○ |
24 |
メッセージID |
○ |
|
25 |
プログラム名 |
○ |
|
26 |
コンポーネント名 |
○ |
|
27 |
プロセスID |
○ |
|
28 |
発生場所(host)※2 |
○ |
|
29 |
発生場所(ipv4)※2 |
||
30 |
発生場所(ipv6)※2 |
||
31 |
発生場所(自動判定)※2※6 |
||
32 |
監査事象の種別 |
◎ |
|
33 |
監査事象の結果 |
◎ |
|
34 |
サブジェクト識別情報(uid)※3 |
○ |
|
35 |
サブジェクト識別情報(euid)※3 |
||
36 |
サブジェクト識別情報(pid)※3 |
||
37 |
サブジェクト識別情報(自動判定)※3 |
||
38 |
固有情報(事象) |
オブジェクト情報 |
− |
39 |
動作情報 |
− |
|
40 |
オブジェクトロケーション情報※4 |
− |
|
41 |
オブジェクトロケーション情報(from)※4 |
||
42 |
変更前情報 |
− |
|
43 |
変更後情報 |
− |
|
44 |
権限情報 |
− |
|
45 |
サービスインスタンス名 |
− |
|
46 |
冗長化識別情報 |
− |
|
47 |
固有情報(送信) |
リクエスト送信元ホスト(host)※2 |
− |
48 |
リクエスト送信元ホスト(ipv4)※2 |
||
49 |
リクエスト送信元ホスト(ipv6)※2 |
||
50 |
リクエスト送信元ホスト(自動判定)※2※7 |
||
51 |
リクエスト送信元ポート番号 |
− |
|
52 |
リクエスト送信先ホスト(host)※2 |
− |
|
53 |
リクエスト送信先ホスト(ipv4)※2 |
||
54 |
リクエスト送信先ホスト(ipv6)※2 |
||
55 |
リクエスト送信先ホスト(自動判定)※2※7 |
||
56 |
リクエスト送信先ポート番号 |
− |
|
57 |
固有情報(識別) |
一括操作識別子 |
− |
58 |
ログ種別情報 |
− |
|
59 |
出力元の場所(host)※2 |
− |
|
60 |
出力元の場所(ipv4)※2 |
||
61 |
出力元の場所(ipv6)※2 |
||
62 |
出力元の場所(自動判定)※2※7 |
||
63 |
指示元の場所(host)※5 |
− |
|
64 |
指示元の場所(ipv4)※5 |
||
65 |
指示元の場所(ipv6)※5 |
||
66 |
指示元の場所(fqdn)※5 |
||
67 |
指示元の場所(自動判定)※5※7 |
||
68 |
検出場所(host)※2 |
− |
|
69 |
検出場所(ipv4)※2 |
||
70 |
検出場所(ipv6)※2 |
||
71 |
検出場所(自動判定)※2※7 |
||
72 |
ロケーション識別情報 |
− |
|
73 |
エージェント情報(host)※2 |
− |
|
74 |
エージェント情報(ipv4)※2 |
||
75 |
エージェント情報(ipv6)※2 |
||
76 |
エージェント情報(自動判定)※2※7 |
||
77 |
固有情報(自由) |
自由記述1〜30 |
− |
78 |
その他※1 |
情報フィールド |
− |
- (凡例)
-
◎:必ず対応づけます。
○:対応づけを推奨します。
−:必要に応じて対応づけます。
- 注※1
-
[生成フィールド定義]ダイアログの「種別」または「形式」プルダウンメニューには表示されません。
- 注※2
-
メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にホスト名の場合は(host)を,IPv4アドレスの場合は(ipv4)を,IPv6アドレスの場合は(ipv6)を選択してください。
どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
ただし,JP1/Audit Management - ManagerのバージョンとIPアドレスの形式によって,(自動判定)を選択した場合に,サブタグに設定される値が異なります。
サブタグに設定される値を次の表に示します。
項番 |
形式 |
例 |
JP1/NETM/Audit - Manager (10-00より前のJP1/Audit Management - Manager) |
JP1/Audit Management - Manager 10-00以降 |
|
---|---|---|---|---|---|
1 |
区切り文字が「.(ドット)」で0〜255の10進数値が4個並ぶ形式 (255.255.255.255は除く) |
127.0.0.1 |
IPv4アドレス |
IPv4アドレス |
|
2 |
区切り文字が「:(コロン)」で4けたの16進数値が8個並ぶ形式 |
ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff |
IPv6アドレス |
IPv6アドレス |
|
3 |
区切り文字が「:(コロン)」で2けたの16進数値が8個並ぶ形式 |
次のすべての条件を満たす場合
|
ff:ff:ff:ff:ff:ff:ff:ff |
WWN |
WWN |
4 |
フィールドが「共通情報」の「発生場所」の場合 |
ホスト名 |
IPv6アドレス |
||
5 |
上記以外の場合 |
WWN |
IPv6アドレス |
||
6 |
区切り文字が「:(コロン)」で1または3けたの16進数値が8個並ぶ形式 |
f:f:f:f:f:f:f:f |
ホスト名 |
IPv6アドレス |
|
7 |
項番2〜6の形式の0の連続する並びの1か所を,「::(2個のコロン)」で置換した形式 |
|
ホスト名 |
IPv6アドレス |
|
8 |
区切り文字が「:(コロン)」の1〜4けたの16進数6個の形式または,それを項番7と同様に「::(2個のコロン)」で置換した形式にIPv4アドレス(nnn.nnn.nnn.nnn)を追加した形式 |
|
ホスト名 |
IPv6アドレス |
|
9 |
項番2〜8の形式に区切り文字「/(スラッシュ)」と1〜3けたの10進数の値(nnn)を追加した形式 |
ffff::ffff/nnn |
ホスト名 |
IPv6アドレス |
|
10 |
項番2〜8の形式に区切り文字「%(パーセント)」と0バイト以上の文字列を追加した形式 |
|
ホスト名 |
IPv6アドレス |
|
11 |
項番1〜10以外の形式 |
なし |
ホスト名 |
ホスト名 |
- 注※3
-
メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にuidの場合は(uid)を,euidの場合は(euid)を,pidの場合は(pid)を選択してください。
どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
- 注※4
-
Windowsイベントログのセキュリティログの正規化ルールを定義する場合,オブジェクトロケーション情報に当たる情報は,「オブジェクトロケーション情報(from)」に対応づけてください。Windowsイベントログのセキュリティログ以外の正規化ルールを定義する場合は,「オブジェクトロケーション情報」に対応づけてください。
- 注※5
-
メッセージテキストまたはJP1イベント属性値に出力される情報が,確実にホスト名の場合は(host)を,IPv4アドレスの場合は(ipv4)を,IPv6アドレスの場合は(ipv6)を,完全修飾ドメイン名の場合は(fqdn)を選択してください。
どの形式で出力されるかわからない場合は,(自動判定)を選択してください。
- 注※6
-
値がない場合は,サブタグは「host」,値は「N/A」として監査ログに出力されます。
- 注※7
-
値がない場合は,項目は出力されません。