管理ガイド › クエリおよびレポート › プロンプト › ログ名プロンプトの使用

ログ名プロンプトの使用

同じ統合に基づいたコネクタでは、イベント ソースから収集されたイベント ログが、事前に定義された名前を持つログ ファイルの形で CA Enterprise Log Manager 収集サーバに返されます。ログ名プロンプトが、指定されたログ名を含むイベントに対してクエリを実行します。

ログ名プロンプトを使用して、指定した名前を持つログ ファイルで転送されたイベントにクエリを実行します。 各コネクタは、1 つの統合に基づいています。 各統合には、1 つの事前定義済みログ名が使用されています。 指定されたログ名に対するクエリによって、同じ統合または類似した統合に基づいたコネクタを使用する別のエージェントによって収集されたイベントの結果が返されます。

さまざまな命名規則が、ログに名前を付ける際に使用されます。

• 統合名。 「CA Federation」は、CA_Federation_Manager 統合のログ名です。
• 製品名。 「McAfee Vulnerability Manager」は、McAfee_VM と McAfee_VM_CM 両方のログ名です。 「MS AD Rights Management Services」は、Microsoft_Active_Directory_RMS と Microsoft_Active_Directory_RMS_ODBC 両方のログ名です。
• ベンダー名。「Oracle」は、Oracl10g、Oracle9i、Oracle_AppLog、および Oracle_Syslog のログ名です。
• ログ タイプ。「UNIX」は、AIX_Syslog、HPUX_Syslog、Linux_Syslog、SLES_Syslog、および Solaris_Syslog といった統合のログ名です。

新しいリリースまたはプラットフォームが追加される際、再利用されるログ名があります。 たとえば、「NT-Security」は、NTEventLog、Windows2k8、および WinRM といった統合のセキュリティ ログのログ名です。

ログ名プロンプトを使用する方法

1. ［クエリおよびレポート］を選択します。

   ［クエリ リスト］に、［プロンプト］フォルダおよびほかのクエリ用の 1 つ以上のフォルダが表示されます。

2. ［プロンプト］を展開し、ログ名を選択します。

   ログ名プロンプト フィルタが表示され、以下のフィールドが表示されます。

   event_logname

   特定の統合と関連付けられたログ ファイルの名前です。

3. 表示させたいイベントが転送される際に使用されるログ名を選択し、［実行］をクリックします。

   ログ名プロンプト クエリの結果が表示されます。

4. 以下の説明を使用して、クエリ結果を解釈します。

   CA 重大度

   イベントの重大度を示します。値には、重大度が大きくなる順に、情報、警告、マイナー インパクト、メジャー インパクト、クリティカル、および致命的、があります。

   日付

   イベントが発生した日付を示します。

   カテゴリ

   対応するイベント アクションの高位のカテゴリを示します。 たとえば、「システム アクセス」は認証アクション用のカテゴリです。

   ［アクション］

   対応する実行ユーザによって実行されたイベント アクションを示します。

   ホスト

   コネクタによるイベント収集元であるイベント ソース ホストを示します。

   実行ユーザ

   イベントのソース アクタ、すなわちアクションを開始した ID を示します。 実行ユーザは、ソース ユーザ名またはソース プロセス名として表される場合があります。

   アカウント

   認証に使用されたアカウントのユーザ名を示します。 コネクタによってイベント ソースへの接続が試行される際に、認証が行われます。 認証には、通常、権限レベルの低いアカウントが使用されます。 コネクタの展開時に、管理者によって、イベント ソースにこのアカウントの認証情報が設定され、次に、ログ センサにこのアカウントが指定されます。

   Result

   対応するアクションのイベント結果のコードを示します。「S」は成功、「F」は失敗、「A」は許可、「D」は廃棄、「R」は拒否、「U」は不明を表します。

   ログ名

   プロンプト フィルタ フィールドに入力されたログ名