◆ Auditログ フィルタの登録

– ボタンをクリックして登録するログの詳細情報を入力します。

– 適用されたお勧めのフィルタの内容を参照してください。

1. サーバーグループ:フィルタするサーバーグループを選択します。
2. オペレーティングシステム:WindowsまたはLinuxを選択します。
3. 分類:Windows(監査ポリシー)/ Linux(Facility)で選択します。

4. チャンネル:Linuxのチャンネルを選択して(Syslog / Auditlog)フィルタを登録することができます。
5. イベントID:分類に合わせて、イベントIDが表示されたら、必要なリストを選択します。
6. サーバーのリスト:フィルタを希望するグループを選択します。目的のサーバーまたは登録されているすべてのサーバーを選択することができます。
7. フィルタ名:簡単に認識可能な名前で指定します。
8. フィルタ時間:フィルタを希望する時間帯に指定してフィルタリングすることができます。 (デフォルトは24時間です。)
9. リスク:リスクを設定することができます。 (デフォルトは中間です。)

10. フィルタの通知:フィルタ通知回数を設定することができます。 (デフォルトではリスクに応じて、1回、3回、5回、なしに設定されます。)

11. 選択条件:データ名、データ値を入力します。
11-1. データ名:記載されてデータの名前の中から選択します。
11-2. データ値:フィルタリングを必要とする値を入力します。
11-3. 追加/削除:フィルタリング時に入力値を含む/除外する通知を受け取ります。
11-4. 選択条件を追加:データ名を追加します。
11-5. データ値の追加:データ値を追加します。

※ フィルタ登録例

1. イベント・ログ」続きを読む」をクリックした後、必要なデータを検索し、データ値の追加に必要なデータを選択します。

上の画像は、auditlogから出てくるログです。
画像のmsg部分にsyscallの後ろの2回を登録したい場合は以下のように登録します。 msg部分の全体ではなく、このような言葉だけでフィルタリングを行うことができます。

 

2. データの名前を追加して、データの値を入力できます。

3. データの値を含めるか除外することができます。