Systemwalker Centric Manager 監査ログ管理/監査ログ分析 SHieldWARE連携ガイド - UNIX/Windows(R)共通 - |
目次
![]() ![]() |
本章では、SHieldWAREと連携した場合に提供する正規化ルール定義ファイルによって、どのような形式で正規化ログファイルに変換されるかを説明します。
監査ログテキスト(正規化前)と、正規化ログテキスト(正規化後)の形式を示します。
正規化ログテキスト(正規化後)の文字コードはUTF-8です。
OS,メッセージタイプ,メッセージID,MACアドレス,IPアドレス,日付,ソースIPアドレス,プロセス名,ユーザ名,メッセージ,検出ルール,深刻度 |
OS:ログの発生元SHieldWAREエージェントのOS名
メッセージタイプ:メッセージの種類(下表参照)
メッセージID:メッセージID(例:LSM-10110)
MACアドレス:ログの発生元SHieldWAREエージェントのMACアドレス
IPアドレス:ログの発生元SHieldWAREエージェントのIPアドレス
日付:YYYY-MM-DD HH:MM:SS.sss(ログの発生元SHieldWAREエージェントでの時刻)
ソースIPアドレス:ログの発生元SHieldWAREエージェントへのアクセス元IPアドレス
プロセス名:ログの原因となったプロセス
ユーザ名:ログの原因となったアクセス主体のユーザID
メッセージ:メッセージ本文
検出ルール:検出の根拠となったセキュリティポリシー
深刻度:“警告”または“情報”
“警告”に属するログは、何らかのセキュリティ違反が発生したことを示します。
“情報”に属するログは、コマンド実行ログやログイン情報など通常の運用で発生するログです。
メッセージタイプにより以下のように設定されます。
深刻度 |
メッセージタイプ |
警告 |
block |
error |
|
expire |
|
fail |
|
mac(ただしメッセージIDが、LSM-10115/LKM-10115/WKM-20115以外) |
|
reject |
|
warning |
深刻度 |
メッセージタイプ |
情報 |
audit_start |
authorize |
|
config |
|
dac |
|
exec |
|
login |
|
logout |
|
mac(ただしメッセージIDが、LSM-10115/LKM-10115/WKM-20115のどれか) |
|
secpv |
|
setuid |
|
setgid |
|
socket |
|
success |
日時,日付,時刻,時間帯,曜日,"-",操作IPアドレス,実行ホスト,実行IPアドレス,操作者,"-",操作種別,操作内容,"-","-",追加情報,深刻度,ログテキスト,"shieldware","Process Name",拡張値1, "Message ID",拡張値2, "OS",拡張値3, "MAC Address",拡張値4,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, |
正規化ログテキストの各項目は、以下のように設定されます。
項番 |
正規化ログ項目名 |
設定元の監査ログ項目名 |
1 |
日時 |
日付、時刻 |
2 |
日付 |
日付 |
3 |
時刻 |
時刻 |
4 |
時間帯 |
HH(ローカル時刻) |
5 |
曜日 |
(日付より算出) |
6 |
操作場所 |
“_" |
7 |
操作IPアドレス |
ソースIPアドレス |
8 |
実行ホスト |
正規化の処理で自動設定 |
9 |
実行IPアドレス |
IPアドレス |
10 |
操作者 |
ユーザ名 |
11 |
操作対象 |
“_" |
12 |
操作種別 |
メッセージタイプ(※) |
13 |
操作内容 |
メッセージ |
14 |
実行結果 |
“_" |
15 |
コンポーネント |
“_" |
16 |
追加情報 |
検出ルール |
17 |
深刻度 |
深刻度 |
18 |
ログテキスト |
監査ログテキスト |
19 |
ログ種別 |
“shieldware”固定 |
20 |
拡張種別1 |
“Process Name”固定 |
21 |
拡張値1 |
プロセス名 |
22 |
拡張種別2 |
“Message ID”固定 |
23 |
拡張値2 |
メッセージID |
24 |
拡張種別3 |
“OS”固定 |
25 |
拡張値3 |
OS |
26 |
拡張種別4 |
“MAC Address”固定 |
27 |
拡張値4 |
MACアドレス |
28 |
拡張種別5 |
− |
29 |
拡張値5 |
− |
30 |
拡張種別6 |
− |
31 |
拡張値6 |
− |
32 |
拡張種別7 |
− |
33 |
拡張値7 |
− |
34 |
拡張種別8 |
− |
35 |
拡張値8 |
− |
36 |
拡張種別9 |
− |
37 |
拡張値9 |
− |
38 |
拡張種別10 |
− |
39 |
拡張値10 |
− |
40 |
拡張種別11 |
− |
41 |
拡張値11 |
− |
42 |
拡張種別12 |
− |
43 |
拡張値12 |
− |
44 |
拡張種別13 |
− |
45 |
拡張値13 |
− |
46 |
拡張種別14 |
− |
47 |
拡張値14 |
− |
48 |
拡張種別15 |
− |
49 |
拡張値15 |
− |
50 |
拡張種別16 |
− |
51 |
拡張値16 |
− |
52 |
拡張種別17 |
− |
53 |
拡張値17 |
− |
54 |
拡張種別18 |
− |
55 |
拡張値18 |
− |
56 |
拡張種別19 |
− |
57 |
拡張値19 |
− |
58 |
拡張種別20 |
− |
59 |
拡張値20 |
− |
備考.「−」は未設定の意味を表し、値は設定されません。
※メッセージタイプについて
SHieldWAREの統合管理サーバのDBでは、強制アクセス制御のログは“拒否ログ”も“許可ログ”もメッセージタイプは“mac”です。テキストログでも同様ですが、正規化ルール定義ファイルで正規化した後は、強制アクセス制御の“許可ログ”はメッセージタイプが“mac_allow”に変換されています。そのため正規化ログテキストでは、強制アクセス制御のログは、メッセージタイプが“mac”の“拒否ログ”と、メッセージタイプが“mac_allow”の“許可ログ”とに分かれています。
目次
![]() ![]() |