Systemwalker Centric Manager 監査ログ管理/監査ログ分析 SHieldWARE連携ガイド - UNIX/Windows(R)共通 -
目次 前ページ次ページ

第4章 監査ログ項目名と正規化ログ項目名の対応一覧

本章では、SHieldWAREと連携した場合に提供する正規化ルール定義ファイルによって、どのような形式で正規化ログファイルに変換されるかを説明します。

4.1 SHieldWARE監査ログ

監査ログテキスト(正規化前)と、正規化ログテキスト(正規化後)の形式を示します。

正規化ログテキスト(正規化後)の文字コードはUTF-8です。

監査ログテキストの形式

OS,メッセージタイプ,メッセージID,MACアドレス,IPアドレス,日付,ソースIPアドレス,プロセス名,ユーザ名,メッセージ,検出ルール,深刻度

OS:ログの発生元SHieldWAREエージェントのOS名

メッセージタイプ:メッセージの種類(下表参照)

メッセージID:メッセージID(例:LSM-10110)

MACアドレス:ログの発生元SHieldWAREエージェントのMACアドレス

IPアドレス:ログの発生元SHieldWAREエージェントのIPアドレス

日付:YYYY-MM-DD HH:MM:SS.sss(ログの発生元SHieldWAREエージェントでの時刻)

ソースIPアドレス:ログの発生元SHieldWAREエージェントへのアクセス元IPアドレス

プロセス名:ログの原因となったプロセス

ユーザ名:ログの原因となったアクセス主体のユーザID

メッセージ:メッセージ本文

検出ルール:検出の根拠となったセキュリティポリシー

深刻度:“警告”または“情報”

“警告”に属するログは、何らかのセキュリティ違反が発生したことを示します。

“情報”に属するログは、コマンド実行ログやログイン情報など通常の運用で発生するログです。

メッセージタイプにより以下のように設定されます。

深刻度

メッセージタイプ

警告

block

error

expire

fail

mac(ただしメッセージIDが、LSM-10115/LKM-10115/WKM-20115以外)

reject

warning

深刻度

メッセージタイプ

情報

audit_start

authorize

config

dac

exec

login

logout

mac(ただしメッセージIDが、LSM-10115/LKM-10115/WKM-20115のどれか)

secpv

setuid

setgid

socket

success

正規化ログテキストの形式

日時,日付,時刻,時間帯,曜日,"-",操作IPアドレス,実行ホスト,実行IPアドレス,操作者,"-",操作種別,操作内容,"-","-",追加情報,深刻度,ログテキスト,"shieldware","Process Name",拡張値1, "Message ID",拡張値2, "OS",拡張値3, "MAC Address",拡張値4,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

正規化ログテキストの各項目は、以下のように設定されます。

項番

正規化ログ項目名

設定元の監査ログ項目名

1

日時

日付、時刻

2

日付

日付

3

時刻

時刻

4

時間帯

HH(ローカル時刻)

5

曜日

(日付より算出)

6

操作場所

“_"

7

操作IPアドレス

ソースIPアドレス

8

実行ホスト

正規化の処理で自動設定

9

実行IPアドレス

IPアドレス

10

操作者

ユーザ名

11

操作対象

“_"

12

操作種別

メッセージタイプ(※)

13

操作内容

メッセージ

14

実行結果

“_"

15

コンポーネント

“_"

16

追加情報

検出ルール

17

深刻度

深刻度

18

ログテキスト

監査ログテキスト

19

ログ種別

“shieldware”固定

20

拡張種別1

“Process Name”固定

21

拡張値1

プロセス名

22

拡張種別2

“Message ID”固定

23

拡張値2

メッセージID

24

拡張種別3

“OS”固定

25

拡張値3

OS

26

拡張種別4

“MAC Address”固定

27

拡張値4

MACアドレス

28

拡張種別5

29

拡張値5

30

拡張種別6

31

拡張値6

32

拡張種別7

33

拡張値7

34

拡張種別8

35

拡張値8

36

拡張種別9

37

拡張値9

38

拡張種別10

39

拡張値10

40

拡張種別11

41

拡張値11

42

拡張種別12

43

拡張値12

44

拡張種別13

45

拡張値13

46

拡張種別14

47

拡張値14

48

拡張種別15

49

拡張値15

50

拡張種別16

51

拡張値16

52

拡張種別17

53

拡張値17

54

拡張種別18

55

拡張値18

56

拡張種別19

57

拡張値19

58

拡張種別20

59

拡張値20

備考.「−」は未設定の意味を表し、値は設定されません。

※メッセージタイプについて

SHieldWAREの統合管理サーバのDBでは、強制アクセス制御のログは“拒否ログ”も“許可ログ”もメッセージタイプは“mac”です。テキストログでも同様ですが、正規化ルール定義ファイルで正規化した後は、強制アクセス制御の“許可ログ”はメッセージタイプが“mac_allow”に変換されています。そのため正規化ログテキストでは、強制アクセス制御のログは、メッセージタイプが“mac”の“拒否ログ”と、メッセージタイプが“mac_allow”の“許可ログ”とに分かれています。


目次 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2008