用語集

（ダウンロードする）モジュール

モジュールは、サブスクリプションを通じてダウンロードが可能になるコンポーネント更新の論理グループです。モジュールは、バイナリ更新またはコンテンツ更新、あるいはその両方を含む場合があります。たとえば、すべてのレポートから構成されるモジュールもあれば、すべてのスポンサーバイナリ更新から構成されるモジュールもあります。 CA によって、各モジュールの構成要素が定義されます。

○証明書

CA Enterprise Log Manager によって使用される定義済みの証明書は、CAELMCert.cer と CAELM_AgentCert.cer です。すべての CA Enterprise Log Manager サービスは、CAELMCert.cer を使用して管理サーバと通信します。すべてのエージェントは、CAELM_AgentCert.cer を使用してそれぞれの収集サーバと通信します。

Administrator ロール

Administrator ロールは、すべての CA Enterprise Log Manager リソースへのすべての有効なアクションを実行する権限をユーザに付与します。 Administrator だけが、ログ収集およびサービスの設定や、ユーザ、アクセスポリシー、およびアクセスフィルタの管理を許可されます。

Analyst ロール

Analyst ロールは、カスタムレポートおよびカスタムクエリの作成および編集、レポートの編集および注釈付け、タグの作成、レポートおよびアクションアラートのスケジュールを実行する権限をユーザに付与します。 Analyst は、すべての Auditor タスクも実行できます。

AppObjects

AppObjects、すなわちアプリケーションオブジェクトは、特定の製品のアプリケーションインスタンス下にある CA EEM に格納された製品固有のリソースです。 CAELM アプリケーションインスタンスの場合、これらのリソースには、レポートおよびクエリのコンテンツ、レポートおよびアラート用のスケジュール済みジョブ、エージェントのコンテンツおよび設定、サービス、アダプタ、および統合の設定、データマッピングファイルおよびメッセージ解析ファイル、抑制ルールおよび集約ルールが含まれます。

Auditor ロール

Auditor ロールは、レポートおよびレポートに格納されているデータへのアクセス権をユーザに付与します。 Auditor は、レポート、レポートテンプレートリスト、スケジュール済みレポートジョブリスト、作成済みレポートリストを表示できます。 Auditor はレポートをスケジュールし、レポートに注釈を追加できます。アクションアラートを表示する際に認証は不要と設定されていない限り、Auditor には RSS （Rich Site Summary）フィードへのアクセス権はありません。

CA Embedded Entitlements Manager の URL

CA Embedded Entitlements Manager （CA EEM）の URL は、https://<ip_address>:5250/spin/eiam です。ログインするには、アプリケーションとして CAELM を選択し、EiamAdmin ユーザ名に関連付けられたパスワードを入力します。

CA Enterprise Log Manager

CA Enterprise Log Manager は、さまざまなタイプの広く分散したイベントソースからログを収集し、クエリおよびレポートの準拠状況をチェックし、外部の長期用ストレージに移動した圧縮済みログのデータベースを記録するのに役立ちます。

CA Enterprise Log Manager の URL

CA Enterprise Log Manager の URL は、https://<ip_address>:5250/spin/calm です。ログインするには、管理者によってアカウントに定義されたユーザ名および関連するパスワードを入力します。または、デフォルトのスーパーユーザ名 EiamAdmin および関連するパスワードを入力します。

CA IT PAM

CA IT PAM は、CA IT Process Automation Manager の略です。この CA 製品は、定義されたプロセスを自動化するものです。 CA Enterprise Log Manager では 2 つのプロセスを使用します。CA Service Desk などのローカル製品のイベント/アラート出力プロセスを作成するプロセスと、キー設定済み値としてインポートできるリストを動的に生成するプロセスです。統合には CA IT PAM r2.1 が必要です。

CA Spectrum

CA Spectrum はネットワーク障害管理製品で、CA Enterprise Log Manager に統合して、SNMP トラップの形で送信されるアラートの宛先として使用することができます。

CA アダプタ

CA アダプタは、iTechnology を介してネイティブにイベントを送信するソースに加えて、CA Audit クライアント、iRecorders、SAPI レコーダなどの CA Audit コンポーネントからイベントを受信する、リスナのグループです。

CA サブスクリプションサーバ

CA サブスクリプションサーバは、CA からのサブスクリプション更新のソースです。

CAELM

CAELM は、CA EEM が CA Enterprise Log Manager に使用するアプリケーションインスタンス名です。 CA Embedded Entitlements Manager 内の CA Enterprise Log Manager 機能を使用するには、URL https://<ip_address>:5250/spin/eiam/eiam.csp を入力し、アプリケーション名として CAELM を選択し、EiamAdmin ユーザのパスワードを入力します。

caelmadmin

caelmadmin ユーザ名およびパスワードは、ソフトウェアアプライアンスのオペレーティングシステムにアクセスするのに必要な認証情報です。 caelmadmin ユーザ ID は、このオペレーティングシステムのインストール中に作成されます。インストーラは、ソフトウェアコンポーネントのインストール中に、CA EEM スーパーユーザアカウント EiamAdmin 用のパスワードを指定する必要があります。 caelmadmin アカウントには、これと同じパスワードが割り当てられます。サーバ管理者は、caelmadmin ユーザとして ssh でログインし、このデフォルトのパスワードを変更することをお勧めします。管理者は root として ssh でログインできませんが、必要な場合には、ユーザを root に切り替えることができます。

caelmservice

caelmservice は、iGateway およびローカル CA EEM サービスを root 以外のユーザとして実行できるようにするサービスアカウントです。 caelmservice アカウントは、サブスクリプション更新と共にダウンロードされたオペレーティングシステム更新をインストールするために使用されます。

CALM

CALM は、Alert、ArchiveQuery、calmTag、Data、EventGrouping、Integration、および Report の CA Enterprise Log Manager リソースを含んでいる事前定義済みリソースクラスです。このリソースクラスで許されるアクションは、注釈付け（Report）、作成（Alert、calmTag、EventGrouping、Integration、および Report）、データアクセス（Data）、実行（ArchiveQuery）、およびスケジュール（Alert、Report）です。

calmTag

calmTag は、特定のタグに属するレポートとクエリにユーザを制限するスコープポリシーを作成する際に使用される AppObject の名前付き属性です。すべてのレポートおよびクエリは AppObjects で、属性は calmTag になります（これはリソース Tag と混同されないようにするためです）。

CALM アプリケーションアクセスポリシー

CALM アプリケーションアクセスポリシーは、CA Enterprise Log Manager にログインできるユーザを定義するアクセス制御リストタイプのスコープポリシーです。デフォルトでは、（グループの）Administrator、（グループの）Analyst、および（グループの）Auditor がアクセスを許可されています。

CEG フィールド

CEG フィールドは、異なるイベントソースからの元のイベントのフィールド表示を標準化するために使用されるラベルです。イベント精製中に、CA Enterprise Log Manager によって、元のイベントメッセージが一連の名前/値のペアに解析され、その後、元のイベントの名前が標準の CEG フィールドにマップされます。この精製によって、元のイベントからの CEG フィールドと値で構成された名前/値ペアが作成されます。つまり、同一のデータオブジェクトやネットワーク要素に対して使用されている、元のイベント内の異なるラベルが、元のイベントを精製する際に、同じ CEG フィールド名に変換されるわけです。 CEG フィールドは SNMP トラップに使用された MIB 内の OID にマップされます。

EEM ユーザ

EEM ユーザは、イベントログストアの［自動アーカイブ］セクションで設定し、アーカイブクエリの実行、アーカイブデータベースのカタログ再作成、LMArchive ユーティリティの実行、および検査用にアーカイブデータベースを復元する restore-ca-elm シェルスクリプトの実行が可能なユーザを指定します。このユーザには、事前定義済みの Administrator ロール、またはデータベースリソースへの編集アクションを許可するカスタムポリシーに関連付けられたカスタムロールが割り当てられている必要があります。

EiamAdmin ユーザ名

EiamAdmin は、CA Enterprise Log Manager サーバのインストール実施者に割り当てられるデフォルトのスーパーユーザ名前です。最初に CA Enterprise Log Manager ソフトウェアをインストールする際に、リモート CA EEM サーバがまだ存在していない場合は、インストーラが、このスーパーユーザアカウント用のパスワードを作成します。存在する場合は、インストーラが既存のパスワードを入力する必要があります。ソフトウェアアプライアンスをインストールした後、インストーラは、ワークステーションからブラウザを開き、CA Enterprise Log Manager 用の URL を入力し、関連するパスワードを使用して EiamAdmin としてログインします。この最初のユーザが、ユーザストアを設定し、パスワードポリシーを作成し、Administrator ロールを持つ最初のユーザアカウントを作成します。必要に応じて、EiamAdmin ユーザは、CA EEM によって制御された操作を実行できます。

EPHI 関連のレポート

EPHI 関連のレポートは、HIPAA セキュリティに焦点を合わせたレポートです。EPHI は、Electronic Protected Health Information （電子保護健康情報）を表します。これらのレポートは、作成、管理、または送信される患者関連の個人医療情報がすべて電子的に保護されていることを証明するのに役立ちます。

event_action

event_action は、CEG によって使用されるイベント正規化の第 4 レベルのイベント専用のフィールドです。一般的なアクションについて記述します。イベントアクションのタイプには、プロセスの開始、プロセスの停止、アプリケーションエラーがあります。

event_category

event_category は、CEG によって使用されるイベント正規化の第 2 のレベルのイベント専用フィールドです。これによって、特定の ideal_model を備えたイベントをさらに分類できます。イベントカテゴリタイプには、運用セキュリティ、ID 管理、設定管理、リソースアクセス、およびシステムアクセスがあります。

event_class

event_class は、CEG によって使用されるイベント正規化の第 3 レベルのイベント専用のフィールドです。これによって、特定の event_category 内のイベントをさらに分類できます。

HTTP プロキシサーバ

HTTP プロキシサーバは、ファイアウォールと同様の働きをするプロキシサーバで、インターネットトラフィックがプロキシ経由でない企業への出入りを阻止します。送信トラフィックは、ID およびパスワードを指定して、プロキシサーバをバイパスできます。サブスクリプション管理でローカル HTTP プロキシサーバを使用するかどうかを設定できます。

CA Enterprise Log Manager の ID は、CAELM アプリケーションインスタンスおよびそのリソースへのアクセスが許可されるユーザまたはグループです。 CA 製品用の ID は、グローバルユーザ、アプリケーションユーザ、グローバルグループ、アプリケーショングループ、動的グループのいずれかです。

ID アクセス制御リスト

ID アクセス制御リストを使用すると、選択した ID が選択した各リソースに実行できるさまざまなアクションを指定できます。たとえば、 ID アクセス制御リストを使用して、ある ID にレポートの作成を許可し、別の ID にレポートのスケジュールおよび注釈付けを許可することができます。 ID アクセス制御リストは、リソース中心ではなく ID 中心という点でアクセス制御リストと異なります。

ideal_model

ideal_model は、イベントを表現するテクノロジを表します。これは、イベントの分類および正規化に使用されるフィールドの階層内で最初の CEG フィールドです。推奨されるモデルの例には、アンチウイルス、DBMS、ファイアウォール、オペレーティングシステム、Web サーバがあります。 Check Point、Cisco PIX、Netscreen/Juniper のファイアウォール製品は、フィールド「ideal_model」では「ファイアウォール」の値を使用して正規化されます。

iTech イベントプラグイン

iTech イベントプラグインは、選択したマッピングファイルを使用して管理者が設定できる CA アダプタです。リモート iRecorders、CA EEM、iTechnology 自身、または iTechnology を介してイベントを送信する製品からイベントを受信します。

LMArchive ユーティリティ

LMArchive ユーティリティは、CA Enterprise Log Manager サーバ上のイベントログストアに対するアーカイブ済みデータベースのバックアップおよび復元を追跡するコマンドラインユーティリティです。 LMArchive を使用して、アーカイブが可能なウォームデータベースファイルのリストを照会します。リスト表示されたデータベースをバックアップし、長期的な（コールド）ストレージに移動させた後、このデータベースがバックアップされた CA Enterprise Log Manager に関する記録を作成する際にも LMArchive を使用します。元の CA Enterprise Log Manager にコールドデータベースを復元した後には、LMArchive を使用して CA Enterprise Log Manager に通知します。そこで、CA Enterprise Log Manager によってコールドデータベースファイルがクエリ可能な解凍済み状態に変更されます。

LMSEOSImport ユーティリティ

LMSEOSImport ユーティリティは、監査レポータ、ビューア、または監査コレクタからデータを移行する過程で、SEOSDATA （既存イベント）を CA Enterprise Log Manager にインポートするために使用されるコマンドラインユーティリティです。このユーティリティは、Microsoft Windows および Sun Solaris Sparc 上でのみサポートされています。

MIB （management information base、管理情報ベース）

CA Enterprise Log Manager 用 MIB （management information base）である CA-ELM.MIB は、CA Enterprise Log Manager から SNMP トラップという形でアラートを受信する製品でインポートされコンパイルされる必要があります。 MIB では、SNMP トラップメッセージで使用される各数値オブジェクト識別子（OID）の源が、そのデータオブジェクトやネットワーク要素の説明と共に示されます。 CA Enterprise Log Manager によって送信された SNMP トラップの MIB では、各データオブジェクトの説明は、関連する CEG フィールド用になっています。 MIB を使用すると、SNMP トラップで送信されたすべての名前/値ペアが、宛先で正しく解釈されるようになります。

NIST

アメリカ国立標準技術研究所（NIST）は、CA Enterprise Log Manager のベースとして使用された特別文書 800-92 「Guide to Computer Security Log Management」で推奨事項を提供している米国連邦政府の科学技術機関です。

ODBC および JDBC のアクセス

CA Enterprise Log Manager イベントログストアへの ODBC および JDBC のアクセスでは、サードパーティレポートツールを使用したカスタムイベントのレポートや、相関エンジンを使用したイベントの相関、侵入やマルウェアの検知製品を使用したイベント評価など、各種サードパーティ製品でのイベントデータの使用をサポートしています。 Windows オペレーティングシステムを備えたシステムでは、ODBC アクセスを使用します。UNIX や Linux オペレーティングシステムを備えたシステムでは、JDBC アクセスを使用します。

ODBC サーバ

ODBC サーバは、ODBC や JDBC のクライアントと、CA Enterprise Log Manager サーバ間の通信に使用されるポートを設定し、SSL 暗号化を使用するべきかどうかを指定する設定済みサービスです。

OID （オブジェクト識別子）

OID （オブジェクト識別子）は、SNMP トラップメッセージ内で値とペアになっているデータオブジェクトの一意の数値識別子です。 CA Enterprise Log Manager によって送信された SNMP トラップ内で使用されている各 OID は、MIB 内のテキスト形式の CEG フィールドにマップされます。 CEG フィールドにマップされた OID の構文は、「1.3.6.1.4.1.791.9845.x.x.x、791」のようになっています。791 は CA の企業番号、9845 は CA Enterprise Log Manager の製品識別子です。

pozFolder

pozFolder は、AppObject の属性で、値は AppObject の親パスです。 pozFolder 属性および値は、レポート、クエリ、設定などのリソースへのアクセスを制限するアクセスポリシー用フィルタで使用されます。

RSS イベント

RSS イベントは、サードパーティ製品やユーザにアクションアラートを送信するために CA Enterprise Log Manager によって生成されるイベントです。このイベントは、各アクションアラート結果のサマリであり、結果ファイルへのリンクでもあります。指定した RSS フィード項目の期間は設定可能です。

SafeObject

SafeObject は、CA EEM 内の事前定義済みリソースクラスです。アプリケーションのスコープ下に保存された AppObjects が属するリソースクラスです。 AppObjects へのアクセスを許可するポリシーおよびフィルタを定義するユーザは、このリソースクラスを参照します。

SAPI コレクタ

SAPI コレクタは、CA Audit クライアントからイベントを受信する CA アダプタです。 CA Audit クライアントは、組み込みのフェイルオーバーを提供するコレクタアクションを使用して通信します。管理者は、選択した暗号および DM ファイルなどを使用して、CA Audit SAPI コレクタを設定します。

SAPI ルータ

SAPI ルータは、メインフレームなどの、統合からイベントを受信し、CA Audit ルータに送信する CA アダプタです。

SAPI レコーダ

SAPI レコーダは、iTechnology 以前に CA Audit に情報を送信するために使用されていた技術です。 SAPI は、Submit API （アプリケーションプログラミングインターフェース）を表しています。 SAPI レコーダの例としては、CA ACF2、CA Top Secret、RACF、Oracle、Sybase、DB2 用の CA Audit レコーダがあります。

scp ユーティリティ

scp セキュアコピー（リモートファイルコピープログラム）は、ネットワーク上の UNIX コンピュータ間でファイルを転送する UNIX ユーティリティです。このユーティリティは、オンラインサブスクリプションプロキシからオフラインサブスクリプションプロキシにサブスクリプション更新ファイルを転送する際に使用できるよう、CA Enterprise Log Manager のインストール時に利用可能になります。

SNMP

SNMP は、Simple Network Management Protocol の頭字語で、エージェントシステムから 1 つ以上の管理システムにアラートメッセージを SNMP トラップという形で送信するためのオープンスタンダードです。

SNMP トラップの宛先

アクションアラートをスケジュールする際に、1 つ以上の SNMP トラップの宛先は追加できます。各 SNMP トラップの宛先には、IP アドレスとポートが設定されています。宛先は、通常 CA Spectrum や CA NSM などの NOC または管理サーバです。 SNMP トラップは、スケジュールしたアラートジョブのクエリによって結果が返されたときに、設定した宛先に送信されます。

SNMP トラップの内容

SNMP トラップは名前/値ペアで構成されます。各名前は OID （オブジェクト識別子）、各値はスケジュールしたアラートから返される値です。アクションアラートから返されるクエリ結果は、CEG フィールドと値で構成されています。 SNMP トラップは、この名前/値ペアの名前に使用されている CEG フィールドを OID に置換して、生成されます。各 CEG フィールドの OID へのマッピングは、MIB に格納されています。 SNMP トラップには、アラートを設定する際に選択したフィールドの名前/値ペアが含まれます。

XMP ファイル分析

XMP ファイル分析は、メッセージ解析ユーティリティによって実行されるプロセスです。このプロセスでは、各事前一致文字列が含まれるすべてのイベントを検索し、一致したイベントを 1 つずつ解析して、同じ事前一致文字列を使用していると判明した最初のフィルタを使用しているイベントをトークンに変換します。

アーカイブカタログ

「カタログ」を参照してください。

アーカイブクエリ

アーカイブクエリは、クエリを実行するために、復元して解凍する必要のあるコールドデータベースを特定する際に使用されるカタログへのクエリです。通常のクエリがホットデータベース、ウォームデータベース、および解凍済みデータベースをターゲットにするのに対して、アーカイブクエリは、コールドデータベースをターゲットにするという点で、通常のクエリと異なります。管理者は、［管理］タブ -［ログ収集］サブタブ -［カタログクエリのアーカイブ］オプションから、アーカイブクエリを発行できます。

アーカイブログ

ログアーカイブは、ホットデータベースが最大サイズに到達すると発生するプロセスで、このとき、行レベルで圧縮が実行され、状態がホットからウォームに変更されます。削除のしきい値に達する前に、管理者は手動でウォームデータベースをバックアップし、LMArchive ユーティリティを実行して、バックアップ名を記録する必要があります。その後に、この情報はアーカイブクエリによって表示できるようになります。

アーカイブ済みデータベース

ある CA Enterprise Log Manager サーバ上で「アーカイブ済みデータベース」に含まれるデータベースとは、クエリの実行が可能だが有効期限が切れる前に手動でバックアップする必要があるすべてのウォームデータベース、バックアップ済みとして記録されているすべてのコールドデータベース、およびバックアップから復元済みとして記録されているすべてのデータベースです。

アカウント

アカウントは、CALM アプリケーションユーザでもあるグローバルユーザです。 1 人の人が、1 つ以上のアカウントを持ち、それぞれに異なるユーザ定義ロールを設定することができます。

アクションアラート用の RSS フィード URL

アクションアラート用の RSS フィード URL は、https： https://{elmhostname}:5250/spin/calm/getActionQueryRssFeeds.csp です。この URL から、有効期間およびデータ量の最大値の設定に従ってアクションアラートを表示できます。

アクションクエリ

アクションクエリは、アクションアラートをサポートするクエリです。アクションクエリは、繰り返しのスケジュールで実行され、関連付けられているアクションアラートによって規定された条件に対してテストします。

アクションアラート

アクションアラートは、スケジュール済みのクエリジョブです。ポリシー違反、使用状況、ログインパターンなど、近い将来に注意が必要となるイベントアクションを検出するために使用できます。デフォルトでは、アラートクエリから結果が返されたときに、CA Enterprise Log Manager ［アラート］ページに結果が表示され、RSS フィードにも追加されます。アラートをスケジュールする際に、電子メール、CA IT PAM イベント/アラート出力プロセス、SNMP トラップなどの宛先を追加指定できます。

アクセスフィルタ

アクセスフィルタは、管理者以外のユーザまたはグループが表示できるイベントデータを制御するために、管理者が設定できるフィルタです。たとえば、アクセスフィルタを設定して、指定した ID がレポートに表示できるデータを制限できます。アクセスフィルタは自動的に責任ポリシーに変換されます。

アクセスポリシー

アクセスポリシーは、アプリケーションリソースへの ID （ユーザまたはユーザグループ）のアクセス権を許可または拒否するルールです。 CA Enterprise Log Manager は、ID、リソース、リソースクラスを照合し、フィルタを評価して、特定のユーザにポリシーを適用するかどうかを決定します。

アプリケーションユーザ

アプリケーションユーザは、アプリケーションレベルの詳細を割り当てられたグローバルユーザです。 CA Enterprise Log Manager アプリケーションユーザの詳細には、ユーザグループおよびアクセスへのすべての制限が含まれています。ユーザストアがローカルリポジトリである場合、アプリケーションユーザの詳細には、ログオン認証情報およびパスワードポリシーも含まれています。

アプリケーションリソース

アプリケーションリソースは、CALM アクセスポリシーによって、特定の ID に対する、作成、スケジュール、編集といったアプリケーション固有のアクションの実行が許可または拒否される CA Enterprise Log Manager 固有のリソースです。たとえば、レポート、アラート、統合などがあります。「グローバルリソース」も参照してください。

アプリケーションインスタンス

アプリケーションインスタンスは、すべての許可ポリシー、ユーザ、グループ、コンテンツ、および設定が格納されている CA EEM リポジトリ内の共用領域です。通常、企業内のすべての CA Enterprise Log Manager サーバは、同じアプリケーションインスタンス（デフォルトでは CAELM）を使用します。複数のアプリケーションインスタンスを備えた CA Enterprise Log Manager サーバをインストールできますが、連携できるのは、同じアプリケーションインスタンスを共有するサーバのみです。同じ CA EEM サーバを使用するよう設定され、複数のアプリケーションインスタンスを備えたサーバでは、ユーザストア、パスワードポリシー、およびグローバルグループのみが共有されます。複数の CA 製品には、複数のデフォルトのアプリケーションインスタンスがあります。

アプリケーショングループ

アプリケーショングループは、グローバルユーザに割り当てることができる製品固有のグループです。 CA Enterprise Log Manager で使用される事前定義済みアプリケーショングループ、すなわちロールとは、Administrator、Analyst、および Auditor です。これらのアプリケーショングループ、は CA Enterprise Log Manager ユーザのみが使用できます。同じ CA EEM サーバに登録されたほかの製品のユーザへの割り当てには利用できません。ユーザ定義アプリケーショングループは、そのユーザが CA Enterprise Log Manager にアクセスできるように、 CALM アプリケーションアクセスデフォルトポリシーに追加する必要があります。

アラートサーバ

アラートサーバは、アクションアラートおよびアクションアラートジョブ用のストアです。

イベント

CA Enterprise Log Manager の中のイベントは、指定した各イベントソースによって生成されたログレコードです。

イベントログストレージ

イベントログストレージは、アーカイブ処理の結果です。この処理では、ユーザがウォームデータベースをバックアップし、LMArchive ユーティリティを実行して CA Enterprise Log Manager に通知し、バックアップ済みデータベースをイベントログストアから長期用ストレージに移動させます。

イベント/アラート出力プロセス

イベント/アラート出力プロセスは、CA Enterprise Log Manager で設定されたアラートデータに応答するサードパーティ製品を呼び出す CA IT PAM プロセスです。アラートジョブをスケジュールする際に、宛先として CA IT PAM プロセスを選択できます。 CA IT PAM プロセスがアラートによって実行されると、CA Enterprise Log Manager によって CA IT PAM アラートデータが送信され、CA IT PAM によって、イベント/アラート出力プロセスの一環として、アラートデータが独自のプロセスパラメータと共にサードパーティ製品に転送されます。

イベントカテゴリ

イベントカテゴリは、CA Enterprise Log Manager によって使用されるタグで、イベントストアに挿入する前にイベントを機能によって分類するためのものです。

イベントソース

イベントソースは、コネクタによるイベント収集元となるホストです。イベントソースに複数のログストアが含まれ、各ログストアが個別のコネクタによってアクセスされる場合があります。新しいコネクタの展開には、通常、イベントソースを設定する作業が伴います。エージェントがイベントソースにアクセスし、ログストアの 1 つから元のイベントを読み取れるように設定する必要があります。オペレーティングシステム、複数のデータベース、およびさまざまなセキュリティアプリケーションのそれぞれの元のイベントが、イベントソース上に別々に格納されます。

イベント転送ルール

イベント転送ルールによって、選択したイベントを、イベントログストアへの保存後に、イベントの関連付けなどを行うサードパーティ製品に転送するよう指定します。

イベントの集約

イベント集約は、類似する複数のログエントリを、イベント発生数が格納された単一のエントリに統合するプロセスです。集約ルールによって、イベントの集約方法が定義されます。

イベントフィルタリング

イベントフィルタリングは、CEG フィルタに基づいてイベントを除外するプロセスです。

イベントログストア

イベントログストアは、受信イベントがデータベースに格納される CA Enterprise Log Manager サーバ上のコンポーネントです。イベントログストア内のデータベースは、手動でバックアップし、設定された削除時間に達する前に、リモートログストレージソリューションに移動する必要があります。アーカイブされたデータベースは、イベントログストアに復元できます。

イベント収集

イベント収集は、元のイベント文字列をイベントソースから読み取り、設定された CA Enterprise Log Manager に送信するプロセスです。イベント収集の後に、イベント精製が実行されます。

イベント精製

イベント精製は、収集された元のイベント文字列が、構成要素のイベントフィールドに解析され、CEG フィールドにマッピングされるプロセスです。クエリを実行して、結果として精製済みイベントデータを表示できます。イベント精製は、イベントの収集後、イベントの格納の前に実行されます。

イベント精製ライブラリ

イベント精製ライブラリは、事前定義済みおよびユーザ定義の統合、マッピングファイルおよび解析ファイル、抑制ルールおよび集約ルールのストアです。

インストーラ

インストーラは、ソフトウェアアプライアンスとエージェントをインストールする個人です。インストール処理中に、caelmadmin と EiamAdmin というユーザ名が作成され、EiamAdmin に指定されたパスワードが、caelmadmin に割り当てられます。これらの caelmadmin 認証情報は、オペレーティングシステムに最初にアクセスする際に必要となります。EiamAdmin 認証情報は、CA Enterprise Log Manager ソフトウェアに最初にアクセスする際、およびエージェントをインストール際に必要になります。

ウォームデータベース状態

ウォームデータベース状態は、ホットデータベースのサイズ（最大行数）を超えたとき、または新規イベントログストアへのコールドデータベースの復元後にカタログ再作成が実行されたときに、イベントログのホットデータベースが移行する状態です。ウォームデータベースは、経過日数が［アーカイブの最大日数］に設定された値を超えるまで、イベントログストア内で圧縮されて保持されます。ホット、ウォーム、および解凍済みの状態のデータベースに含まれるイベントログにクエリを実行できます。

エージェント

エージェントは、コネクタによって設定される汎用サービスであり、それぞれが単一のイベントソースから元のイベントを収集して、処理のために CA Enterprise Log Manager に送信します。各 CA Enterprise Log Manager に、エージェントが 1 つ組み込まれています。また、リモート収集ポイント上にエージェントをインストールし、エージェントをインストールできないホスト上のイベントを収集できます。さらに、イベントソースが実行されているホスト上にエージェントをインストールすると、抑制ルールの適用や CA Enterprise Log Manager への転送の暗号化などのメリットが得られます。

エージェントエクスプローラ

エージェントエクスプローラは、エージェント設定用のストアです（エージェントは、収集ポイント上、またはイベントソースが存在するエンドポイント上にインストールできます）。

エージェント管理

エージェント管理は、連携されたすべての CA Enterprise Log Manager に関連付けられたすべてのエージェントを制御するソフトウェアプロセスです。これによって、通信相手のエージェントが認証されます。

エージェントグループ

エージェントグループは、選択したエージェントに適用できるタグです。これによって、複数のエージェントに同時にエージェント設定を適用し、グループに基づいたレポートを取得することができます。特定のエージェントは、一度に 1 つのグループにしか所属できません。エージェントグループは、地理的地域や重要度など、ユーザ定義の基準をベースにします。

カタログ

カタログは、アーカイブされたデータベースの状態を管理する各 CA Enterprise Log Manager 上に格納されたデータベースで、すべてのデータベースについての高機能なインデックスとしても機能します。状態情報（ウォーム、コールド、または解凍済み）には、これまでにこの CA Enterprise Log Manager 上に存在したすべてのデータベース、および解凍済みデータベースとしてこの CA Enterprise Log Manager に復元されたすべてのデータベースの状態が保持されます。インデックス機能は、この CA Enterprise Log Manager 上のイベントログストア内にあるすべてのホットおよびウォームデータベースを対象とします。

カタログ再作成

カタログ再作成は、強制的なカタログの再構築です。カタログ再作成は、データが作成されたサーバとは異なるサーバ上のイベントログストアにデータを復元する場合にのみ必要になります。たとえば、CA Enterprise Log Manager の 1 つを、コールドデータの調査用復元ポイントとして機能するよう指定すると、指定した復元ポイントにデータベースを復元した後、強制的なデータベースのカタログ再作成が必要になります。必要な場合は、iGateway が再起動されたときに、カタログ再作成が自動的に実行されます。単一のデータベースファイルのカタログ再作成に、数時間かかる場合があります。

カレンダ

カレンダは、アクセスポリシーが有効である時間を制限するための手段です。ポリシーによって、指定した時間の、指定したリソースに対する指定したアクションの実行が、指定した ID に許可されます。

監査レコード

監査レコードには、認証の試行、ファイルへのアクセス、およびセキュリティポリシーや、ユーザアカウント、権限への変更などの、セキュリティイベントが記録されます。管理者は、監査が必要なイベントのタイプ、およびログ記録の対象を指定します。

関数マッピング

関数マッピングは、製品統合用のデータマッピングファイルのオプション部分です。関数マッピングは、ソースイベントから必要な値を直接取得できない場合に CEG フィールドを挿入するために使用されます。すべての関数マッピングは、CEG フィールド名、事前定義済みフィールド値またはクラスフィールド値、および値を取得または計算する際に使用される関数から構成されます。

管理サーバ

管理サーバは、最初にインストールされる CA Enterprise Log Manager サーバに割り当てられるロールです。この CA Enterprise Log Manager サーバには、すべての CA Enterprise Log Manager で共有されるポリシーなどのコンテンツが格納されるリポジトリが含まれています。通常、このサーバは、デフォルトのサブスクリプションプロキシです。管理サーバはすべてのロールを実行できますが、大部分の実稼働環境では推奨されません。

キー値

キー値は、ユーザ定義値に割り当てられたユーザ定義リスト（キーグループ）です。クエリがキーグループを使用する場合、検索結果には、キーグループ内のキー値のいずれかに一致するものが含まれます。事前定義済みキーグループは複数あり、その中には事前定義済みキー値が含まれているものもあります。事前定義済みキー値は、事前定義済みクエリおよびレポートの中で使用されます。

クエリ

クエリは、アクティブな CA Enterprise Log Manager サーバ、および、指定した場合にはその連携サーバの、イベントログストアを検索する際に使用される条件のセットです。クエリは、クエリの WHERE 句内で指定されたホット、ウォーム、または解凍済みデータベースをターゲットにします。たとえば、WHERE 句によって、ある時間帯に source_username="myname" であるイベントにクエリが制限されていて、カタログデータベースに格納されている情報に基づくと、この条件に一致するレコードが 1000 個のデータベースのうち 10 にしか格納されていない場合、クエリはその 10 のデータベースに対してのみ実行されます。クエリは、データの行を最大 5000 まで返すことができます。事前定義済みロールを持つすべてのユーザが、クエリを実行できます。 Analyst および Administrator だけが、アクションアラートを配布するためのクエリのスケジュール、含めるクエリの選択によるレポートの作成、またはクエリの設計ウィザードを使用したカスタムクエリの作成を実行できます。「アーカイブクエリ」も参照してください。

クエリライブラリ

クエリライブラリは、事前定義済みおよびユーザ定義のクエリ、クエリタグ、およびプロンプトフィルタをすべて格納するライブラリです。

グローバルグループ

グローバルグループは、同じ CA Enterprise Log Manager 管理サーバに登録されたアプリケーションインスタンス間で共有されるグループです。すべてのユーザは、1 つ以上のグループに割り当てることができます。アクセスポリシーを定義する際に、選択したリソースに選択したアクションを実行する権限を許可または拒否された ID としてグローバルグループを使用できます。

グローバル設定

グローバル設定は、同じ管理サーバを使用するすべての CA Enterprise Log Manager サーバに適用される一連の設定です。

グローバルフィルタ

グローバルフィルタは、すべてのレポートの表示内容を制限するために指定できる条件のセットです。たとえば、「過去 7 日間」というグローバルフィルタでは、過去 7 日間に生成されたイベントがレポートされます。

グローバルユーザ

グローバルユーザは、アプリケーション固有の詳細を除いたユーザアカウント情報です。グローバルユーザの詳細およびグローバルグループメンバシップは、デフォルトのユーザストアに統合されるすべての CA アプリケーションで共有されます。グローバルユーザの詳細は、組み込みリポジトリまたは外部ディレクトリに保存できます。

グローバルリソース

CA Enterprise Log Manager 製品のグローバルリソースは、ほかの CA アプリケーションと共有されるリソースです。グローバルリソースに関するスコープポリシーを作成できます。たとえば、ユーザ、ポリシー、カレンダなどがあります。「アプリケーションリソース」も参照してください。

コールドデータベース状態

管理者が LMArchive ユーティリティを実行して、データベースがバックアップされたことを CA Enterprise Log Manager に通知すると、ウォームデータベースに、コールドデータベース状態が適用されます。管理者は、削除される前に、ウォームデータベースをバックアップし、このユーティリティを実行する必要があります。ウォームデータベースは、経過日数が［アーカイブの最大日数］を超えたときか、設定された［アーカイブディスク領域］しきい値に達したときの、どちらか早いほうが発生したときに、自動的に削除されます。アーカイブデータベースにクエリを実行し、ウォーム状態およびコールド状態にあるデータベースを特定することができます。

コネクタ

コネクタは、特定のエージェント上に設定された特定のイベントソース用の統合です。エージェントは、似たタイプまたは異なったタイプの複数のコネクタをメモリにロードできます。コネクタによって、イベントソースから元のイベントを収集したり、変換されたイベントをルールに基づいてイベントログストアに転送して、ホットデータベースに挿入したりすることが可能になります。あらかじめ用意されている統合を使用すると、オペレーティングシステム、データベース、Web サーバ、ファイアウォール、多種多様なセキュリティアプリケーションなど、さまざまなタイプのイベントソースからの収集を最適化することができます。ゼロから、または統合をテンプレートとして使用して、独自に作成したイベントソース用のコネクタを定義できます。

コンテンツ更新

コンテンツ更新は、CA Enterprise Log Manager 管理サーバ内に格納されているサブスクリプション更新の非バイナリ部分です。コンテンツ更新には、XMP ファイル、DM ファイル、CA Enterprise Log Manager モジュール用の設定更新、公開鍵更新などのコンテンツが含まれています。

コンピュータセキュリティログ管理

コンピュータセキュリティログ管理は、NIST によって、「コンピュータセキュリティログデータの生成、転送、格納、分析、および処理するプロセス」と定義されています。

サービス

CA Enterprise Log Manager サービスは、イベントログストア、レポートサーバ、およびサブスクリプションです。管理者はこれらのサービスをグローバルレベルで設定します。デフォルトで、すべての設定がすべての CA Enterprise Log Manager に適用されます。サービスの大部分のグローバル設定は、ローカルレベルで、すなわち、指定されている CA Enterprise Log Manager について変更される可能性があります。

サブスクリプションクライアント

サブスクリプションクライアントは、サブスクリプションプロキシサーバと呼ばれる別の CA Enterprise Log Manager サーバからコンテンツ更新を取得する CA Enterprise Log Manager サーバです。サブスクリプションクライアントでは、設定されたサブスクリプションプロキシサーバを定期的にポーリングし、利用可能な場合には新しい更新を取得します。更新を取得したら、ダウンロードされたコンポーネントがクライアントによってインストールされます。

サブスクリプションプロキシ（オフライン）

オフラインサブスクリプションプロキシは、オンラインサブスクリプションプロキシから手動のディレクトリコピー（scp を使用）によってサブスクリプション更新を取得する CA Enterprise Log Manager サーバです。オフラインサブスクリプションプロキシは、要求しているクライアントにバイナリ更新をダウンロードし、コンテンツ更新の最新バージョンをまだ受信していない管理サーバに更新を送信するように設定できます。オフラインサブスクリプションプロキシは、インターネットにアクセスする必要はありません。

サブスクリプションプロキシ（オンライン）

オンラインサブスクリプションプロキシは、インターネットアクセス権を持つCA Enterprise Log Manager で、CA サブスクリプションサーバからサブスクリプション更新を反復スケジュールで取得します。特定のオンラインサブスクリプションプロキシに、1 つ以上のクライアント用のプロキシリストを保存することができます。クライアントは、リストに挙げられたプロキシにラウンドロビン方式で接続し、バイナリ更新を要求します。別のプロキシによってまだ送信されていない場合に、管理サーバに新しいコンテンツ更新および設定更新を送信するよう、特定のオンラインプロキシを設定することができます。オンラインプロキシのサブスクリプション更新ディレクトリを選択して、オフラインサブスクリプションプロキシに更新をコピーするためのソースとして使用できます。

サブスクリプションプロキシ（クライアント用）

クライアント用のサブスクリプションプロキシは、クライアントが CA Enterprise Log Manager ソフトウェアおよびオペレーティングシステムの更新を取得する際に、ラウンドロビン方式で接続するサブスクリプションプロキシリストを構成します。あるプロキシがビジーな場合は、リスト内の次のプロキシに接続します。すべてが使用不可で、クライアントがオンラインの場合には、デフォルトのサブスクリプションプロキシが使用されます。

サブスクリプションプロキシ（コンテンツ更新用）

コンテンツ更新用のサブスクリプションプロキシは、CA サブスクリプションサーバからダウンロードされるコンテンツ更新がある CA Enterprise Log Manager 管理サーバを更新するために選択されたサブスクリプションプロキシです。冗長性を持たせるために複数のプロキシを設定することをお勧めします。

サブスクリプションプロキシ（デフォルト）

デフォルトのサブスクリプションプロキシは通常、最初にインストールされた CA Enterprise Log Manager サーバで、プライマリ CA Enterprise Log Manager である場合もあります。デフォルトのサブスクリプションプロキシは、オンラインサブスクリプションプロキシでもあるため、インターネットにアクセスできる必要があります。ほかにオンラインサブスクリプションプロキシが定義されていない場合、このサーバは、CA サブスクリプションサーバからサブスクリプション更新を取得し、すべてのクライアントにバイナリ更新をダウンロードし、CA EEM にコンテンツ更新を送信します。ほかのプロキシが定義されている場合でも、このサーバはサブスクリプション更新を取得しますが、更新を取得するためにクライアントによって接続されるのは、サブスクリプションプロキシリストが設定されていない場合、または設定されているリストをすべて使用した場合のみです。

サブスクリプションモジュール

サブスクリプションモジュールは、CA サブスクリプションサーバからのサブスクリプション更新が、すべての CA Enterprise Log Manager サーバおよびすべてのエージェントに自動的にダウンロードおよび配布されるようにするサービスです。グローバル設定は、ローカル CA Enterprise Log Manager サーバに適用されます。ローカル設定には、サーバがオフラインプロキシ、オンラインプロキシ、サブスクリプションクライアントのどれであるか、などが含まれます。

サブスクリプション更新

サブスクリプション更新は、CA サブスクリプションサーバによって使用可能にされた、バイナリファイルおよび非バイナリファイルを指します。バイナリファイルとは、通常、CA Enterprise Log Manager にインストールされる製品モジュール更新です。非バイナリファイルは、コンテンツ更新を指し、管理サーバに保存されます。

サブスクリプション用の RSS フィード URL

サブスクリプション用の RSS フィード URL は、サブスクリプション更新を取得するプロセスでオンラインサブスクリプションプロキシサーバによって使用される、あらかじめ設定されたリンクです。この URL は、CA サブスクリプションサーバのものです。

自己監視イベント

自己監視イベントは、CA Enterprise Log Manager によってログに記録されるイベントです。このようなイベントは、ログインしたユーザによって実行された操作や、サービスおよびリスナなどの各種モジュールによって実行された機能によって、自動的に生成されます。 SIM 操作自己監視イベントの詳細レポートは、レポートサーバを選択し、［自己監視イベント］タブを開いて、表示することができます。

スコープポリシー

スコープポリシーはアクセスポリシーの一種で、AppObjects、ユーザ、グループ、フォルダ、ポリシーなど、管理サーバに保存されたリソースへのアクセスを許可または拒否します。スコープポリシーでは、指定されたリソースにアクセスできる ID を定義します。

ソフトウェアアプライアンス

ソフトウェアアプライアンスには、オペレーティングシステムコンポーネントおよび CA Enterprise Log Manager ソフトウェアコンポーネントが含まれます。

タグ

タグは、同じビジネス関連グループに属するクエリやレポートを識別するために使用する言葉またはキーフレーズです。タグを使用すると、ビジネス関連グループに基づいた検索を実行できます。なお、Tag は、ユーザにタグを作成する権限を付与するポリシー内で使用されるリソース名です。

直接ログ収集

直接ログ収集は、イベントソースと CA Enterprise Log Manager ソフトウェアの間に中間エージェントがないログ収集方法です。

データアクセス

データアクセスは、CALM リソースクラスに関するデフォルトデータアクセスポリシーによってすべての CA Enterprise Log Manager に付与された許可の一種です。すべてのユーザは、データアクセスフィルタによって制限された場所以外にあるすべてデータにアクセスできます。

データマッピング（DM）

データマッピングは、キー値ペアを CEG にマッピングするプロセスです。データマッピングは DM ファイルによって実行されます。

データマッピング（DM）ファイル

データマッピング（DM）ファイルは XML ファイルです。CA 共通イベント文法（CEG）を使用して、イベントをソース形式から、イベントログストア内でのレポートや分析用として格納できる CEG 準拠形式に変換します。イベントデータを保存するには、ログ名ごとに 1 つの DM ファイルが必要になります。ユーザは、DM ファイルのコピーを変更して、指定したコネクタに適用できます。

データベースの状態

データベースの状態には、新規イベントの圧縮されていないデータベースを指す「ホット」、圧縮されたイベントのデータベースを指す「ウォーム」、バックアップされたデータベースを指す「コールド」、および、バックアップ元のイベントログストアに復元されたデータベースを指す「解凍済み」があります。ホットデータベース、ウォームデータベース、および解凍済みデータベースにクエリを実行できます。アーカイブクエリには、コールドデータベースに関する情報が表示されます。

デフォルトエージェント

デフォルトエージェントは、CA Enterprise Log Manager サーバと共にインストールされる組み込みエージェントです。 syslog イベントに加えて、CA Access Control r12 SP1、Microsoft Active Directory 証明書サービス、Oracle9i データベースなど、syslog 以外の各種イベントソースからのイベントの直接収集用に設定することができます。

デフロスティング

デフロスティングは、データベースの状態をコールドから解凍済みに変更するプロセスです。既知のコールドデータベースが復元されたことが LMArchive ユーティリティによって通知されると、CA Enterprise Log Manager によってこのプロセスが実行されます（コールドデータベースを元の CA Enterprise Log Manager に復元しない場合は、LMArchive ユーティリティは使用しません。デフロスティングの必要はありません。カタログ再作成によって、復元されたデータベースがウォームデータベースとして追加されます）。

統合

統合は、クエリおよびレポートに表示できるように、未分類のイベントを精製済みイベントに加工する手段です。統合は、特定のエージェントおよびコネクタが多種多様なイベントソースの 1 つからイベントを収集して、CA Enterprise Log Manager に送信できるようにする、要素のセットで実装されます。この要素のセットには、ログセンサ、および特定の製品から読み込むよう設計された XMP ファイルと DM のファイルが含まれています。事前定義済み統合の例には、syslog イベントおよび WMI イベントの処理用の統合などがあります。未分類のイベントの処理を可能にするカスタム統合を作成できます。

動的値プロセス

動的値プロセスは、レポートやアラートで使用されている選択済みキーの値を登録または更新する際に呼び出される CA IT PAM プロセスです。動的値プロセスへのパスは、IT PAM 設定の一部として、［管理］タブの［レポートサーバサービスリスト］に入力します。これと同じ UI ページの［キー値］に関連付けられた［値］セクションの［動的値リストのインポート］をクリックします。動的値プロセスの呼び出しは、キーに値を追加する際に使用できる 3 つの方法のうちの 1 つです。

ネイティブイベント

ネイティブイベントは、元のイベントの発生要因となる状態またはアクションです。ネイティブイベントは、受信され、必要に応じて解析/マッピングされてから、元のイベントまたは精製済みイベントとして転送されます。失敗した認証はネイティブイベントです。

フィルタ

フィルタは、イベントログストアクエリを制限する手段です。

フォルダ

フォルダは、CA Enterprise Log Manager オブジェクトタイプを格納するために CA Enterprise Log Manager 管理サーバが使用するディレクトリパスの場所です。指定したオブジェクトタイプにアクセスする権限を付与または拒否する際に、スコープポリシー内のフォルダを参照します。

プロファイル

プロファイルは、任意の、設定可能なタグおよびデータフィルタのセットです。フィルタは、製品固有、テクノロジ固有、または選択したカテゴリ限定のいずれかになっています。たとえば、製品用のタグフィルタを使用すると、リスト表示されるタグが、選択した製品タグに制限されます。製品用のデータフィルタを使用すると、作成するレポート、スケジュールするアラート、および表示するクエリ結果に、指定した製品のデータのみが表示されます。必要なプロファイルを作成したら、ログイン時に常に有効になるようにプロファイルを設定できます。複数のプロファイルを作成した場合は、セッション中のアクティビティに複数のプロファイルを 1 つずつ適用できます。事前定義済みフィルタは、サブスクリプション更新と共に提供されます。

プロンプト

プロンプトとは、ユーザが入力した値、および選択した CEG フィールドに基づいて結果を表示する特殊なクエリです。ユーザが入力した値が、選択された 1 つまたは複数の CEG フィールド内に存在するイベントについてのみ、行が返されます。

保存済み設定

保存済み設定は、新しい統合を作成する際にテンプレートとして使用できる統合のデータアクセス属性の値と共に保存された設定です。

ホットデータベース状態

ホットデータベース状態は、新規イベントが挿入されるイベントログストア内にあるデータベースの状態です。ホットデータベースは、収集サーバ上の設定可能なサイズに到達すると、圧縮され、カタログが作成され、レポートサーバ上のウォームストレージに移動されます。さらに、ホットデータベース内には、すべてのサーバによって新しい自己監視イベントが保存されます。

マッピング分析

マッピング分析は、データマッピング（DM）ファイルをテストし、変更を加えるマッピングファイルウィザードの手順の 1 つです。サンプルイベントが DM ファイルに対してテストされ、結果が CEG を使用して検証されます。

メッシュ統合

CA Enterprise Log Manager サーバのメッシュ統合は、サーバ間にピア関係を構築するトポロジです。最も単純な形式では、サーバ 2 はサーバ 1 の子であり、サーバ 1 はサーバ 2 の子であります。メッシュ型のサーバのペアには、双方向の関係があります。メッシュ統合では、多くのサーバがすべて相互のピアになるように定義できます。連携クエリでは、選択したサーバおよびそのすべてのピアから結果が返されます。

メッセージ解析

メッセージ解析は、元のイベントログの分析にルールを適用して、タイムスタンプ、IP アドレス、ユーザ名などの関連情報を取得するプロセスです。解析するルールでは、文字一致を使用して特定のイベントテキストを検索し、選択された値にリンクさせます。

メッセージ解析トークン（ELM）

メッセージ解析トークンは、CA Enterprise Log Manager メッセージ解析で使用される正規表現構文を構築するための再使用可能なテンプレートです。トークンは、名前、タイプ、および対応する正規表現文字列で構成されます。

メッセージ解析ファイル（XMP）

メッセージ解析ファイル（XMP）は、解析ルールを適用する特定のイベントソースタイプに関連付けられた XML ファイルです。解析ルールによって、収集された元のイベント内の関連データから名前/値ペアが抽出され、さらなる処理のためにデータマッピングファイルに渡されます。このファイルタイプは、すべての統合で使用され、統合に基づいてコネクタで使用されます。 CA アダプタの場合、XMP ファイルは CA Enterprise Log Manager サーバにも適用できます。

メッセージ解析ライブラリ

メッセージ解析ライブラリは、リスナキューからイベントを受け取り、正規表現を使用して文字列を名前/値ペアにトークン化するライブラリです。

元のイベント

元のイベントは、監視エージェントによって Log Manager コレクタに送信されたネイティブイベントがトリガとなる情報です。元のイベントは、通常、syslog 文字列または名前/値ペアとしてフォーマットされます。イベントを CA Enterprise Log Manager 内で元の形式で確認できます。

ユーザグループ

ユーザグループは、アプリケーショングループ、グローバルグループ、動的グループのいずれかです。事前定義済み CA Enterprise Log Manager アプリケーショングループは、Administrator、Analyst、および Auditor です。 CA Enterprise Log Manager ユーザは、CA Enterprise Log Manager とは別のメンバシップを通して、グローバルグループに属している場合があります。動的グループは、ユーザ定義のグループで、動的グループポリシーによって作成されます。

ユーザストア

ユーザストアは、グローバルユーザ情報およびパスワードポリシー用のリポジトリです。 CA Enterprise Log Manager ユーザストアは、デフォルトではローカルリポジトリですが、CA SiteMinder を参照したり、Microsoft Active Directory、Sun One、Novell eDirectory などのサポートされている LDAP ディレクトリを参照したりするよう設定できます。ユーザストアの設定内容にかかわらず、管理サーバ上のローカルリポジトリには、ユーザロールや関連付けられたアクセスポリシーなど、ユーザに関するアプリケーション固有の情報が格納されています。

ユーザロール

ユーザロールには、事前定義済みのアプリケーションユーザグループか、ユーザ定義のアプリケーショングループを指定できます。事前定義済みアプリケーショングループ（Administrator、Analyst、および Auditor）では詳細な担当職務を十分カバーできない場合は、カスタムユーザロールを作成する必要があります。カスタムユーザロールを作成するには、カスタムアクセスポリシーを設定し、事前定義済みポリシーを変更して、この新しいロールを追加する必要があります。

抑制

抑制は、CEG フィルタに基づいてイベントを除外するプロセスです。抑制は SUP ファイルによって実行されます。

抑制ルール

抑制ルールは、精製済みの特定のイベントをレポートに表示されないようにするために設定するルールです。セキュリティ上問題のないルーチンイベントを抑制する永続的な抑制ルールを作成したり、多数の新規ユーザの作成などの計画されたイベントのログ記録を抑制する一時的なルールを作成したりすることができます。

リモートイベント

リモートイベントは、2 つの異なるホスト名（ソースおよび宛先）を含んだイベントです。リモートイベントは、共通イベント文法（CEG）内で使用される 4 つのイベントタイプのタイプ 2 です。

リモートストレージサーバ

リモートストレージサーバは、1 つ以上のレポートサーバから自動アーカイブ済みデータベースを取得するサーバに割り当てられたロールです。リモートストレージサーバでは、必要な年数の間コールドデータベースが保存されます。ストレージに使用されるリモートホストには、通常、CA Enterprise Log Manager やほかの製品をインストールしません。自動アーカイブの場合は、非対話型認証を設定します。

レポート

レポートは、フィルタを備えた事前定義済みクエリやカスタムクエリの実行によって生成されるイベントログデータを、グラフィック形式や表形式で表示したものです。データの取得先には、選択したサーバや、必要な場合はその連携サーバの、イベントログストア内にあるホットデータベース、ウォームデータベース、および解凍済みデータベースを指定できます。

レポートライブラリ

レポートライブラリは、事前定義済みおよびユーザ定義のレポート、レポートタグ、作成済みレポート、およびスケジュール済みレポートジョブをすべて格納したライブラリです。

レポートサーバ

レポートサーバは CA Enterprise Log Manager サーバによって実行されるロールです。レポートサーバは、1 つ以上の収集サーバから、自動アーカイブ済みウォームデータベースを取得します。レポートサーバによって、クエリ、レポート、スケジュール済みアラート、およびスケジュール済みレポートが処理されます。

レポートサーバ

レポートサーバは、アラートを電子メールで送信する際に使用する電子メールサーバ、PDF 形式で保存されるレポートの外観、レポートサーバに保存するレポートや RSS フィードに送信するアラート用ポリシーの保持などの、設定情報を格納するサービスです。

ローカルイベント

ローカルイベントは、単一のエンティティを含んだイベントで、ここでは、イベントのソースおよび宛先が同じホストマシンです。ローカルイベントは、共通イベント文法（CEG）内で使用される 4 つのイベントタイプのタイプ 1 です。

ローカルフィルタ

ローカルフィルタは、現在のレポートに表示されているデータを制限するために、レポートの表示中に設定できる条件のセットです。

ログ

ログは、イベントまたはイベントコレクションの監査レコード、すなわち記録されたメッセージです。ログは、監査ログ、トランザクションログ、侵入ログ、接続ログ、システムパフォーマンスレコード、ユーザアクティビティログ、またはアラートのいずれかです。

ログエントリ

ログエントリは、システム上またはネットワーク内で発生した特定のイベントについての情報が格納されているログ内のエントリです。

ログセンサ

ログセンサは、データベース、syslog、ファイル、SNMP などの特定のログタイプから読み込むよう設計された統合コンポーネントです。ログセンサは再利用されます。通常、ユーザはカスタムログセンサを作成しません。

ログレコード

ログレコードは、個別の監査レコードです。

ログ解析

ログ解析は、ログ管理の後の段階で解析済み値を使用できるように、ログからデータを抽出するプロセスです。

ログ分析

ログ分析とは、対象のイベントを識別するためのログエントリの検証です。適切なタイミングで分析しないと、ログの価値はきわめて低くなります。

委任ポリシー

委任ポリシーは、ユーザが別のユーザ、アプリケーショングループ、グローバルグループ、または動的グループに自分の権限を委任できるようにするアクセスポリシーです。削除または無効化されたユーザによって作成された委任ポリシーを明示的に削除する必要があります。

解析

解析は、メッセージ解析（MP）とも呼ばれ、元のデバイスデータを取得し、それをキー/値ペアに変換するプロセスです。解析は XMP ファイルによって実行されます。解析は、イベントソースから収集された元のイベントを表示可能な精製済みイベントに変換する統合プロセスの手順の 1 つで、データマッピングの前に実行されます。

解析ファイルウィザード

解析ファイルウィザードは、CA Enterprise Log Manager 管理サーバに格納された eXtensible Message Parsing （XMP）ファイルを作成、編集、および分析するために管理者が使用する CA Enterprise Log Manager の機能です。受信イベントデータの解析のカスタマイズには、事前一致文字列およびフィルタの編集が含まれます。新規作成されたファイルおよび編集されたファイルは、［ログ収集エクスプローラ］、［イベント精製ライブラリ］、［解析ファイル］、［ユーザフォルダ］に表示されます。

解凍済みデータベース状態

解凍済みデータベース状態は、アーカイブディレクトリに復元されたデータベースに適用される状態で、管理者が LMArchive ユーティリティを実行して CA Enterprise Log Manager に復元を通知した後に適用されます。解凍済みデータベースは、［ポリシーのエクスポート］に設定された時間数の間保持されます。ホット、ウォーム、および解凍済みの状態のデータベースに含まれるイベントログにクエリを実行できます。

階層統合

CA Enterprise Log Manager サーバの階層統合は、サーバ間に階層関係を構築するトポロジです。最も単純な形式では、サーバ 2 はサーバ 1 の子ですが、サーバ 1 はサーバ 2 の子ではありません。すなわち、関係は一方向のみです。階層統合は、複数のレベルの親子関係を持つことができ、1 つの親サーバが多数の子サーバを持つことができます。連携クエリでは、選択したサーバおよびその子から結果が返されます。

観察されたイベント

観察されたイベントは、ソース、宛先、およびエージェントを含んだイベントで、ここでは、イベントが、イベント収集エージェントによって観察および記録されます。

記録されたイベント

記録されたイベントは、データベースに挿入された後の元のイベント情報または精製済みイベント情報を指します。抑制または集約されていない場合、元のイベントは、常に精製済みイベントです。この情報は保存され、検索の対象になります。

共通イベント文法（CEG）

共通イベント文法（CEG）は、イベントがイベントログストアに格納される前に、CA Enterprise Log Manager により解析ファイルおよびマッピングファイルを使用して変換される標準形式を提供するスキーマです。 CEG は、さまざまなプラットフォームおよび製品からのセキュリティイベントを定義するための一般的な正規化フィールドを使用します。解析またはマッピングできないイベントは、元のイベントとして格納されます。

視覚化コンポーネント

視覚化コンポーネントは、表、グラフ（線グラフ、棒グラフ、縦棒グラフ、円グラフ）、イベントビューアなど、レポートデータを表示する際に使用できるオプションです。

資格管理

資格管理は、ユーザが認証され、CA Enterprise Log Manager インターフェースにログオンした後、実行を許可される内容を制御する手段です。これは、ユーザに割り当てられたロールに関連付けられたアクセスポリシーを使用して行います。ロール、すなわちアプリケーションユーザグループと、アクセスポリシーは、事前定義済みかユーザ定義のどちらかです。資格管理は、CA Enterprise Log Manager 内部のユーザストアによって処理されます。

自動アーカイブ

自動アーカイブは、あるサーバから別のサーバへのアーカイブデータベースの移動を自動化する設定可能なプロセスです。自動アーカイブの最初の段階で、収集サーバが、指定された間隔で新しくアーカイブされたデータベースをレポートサーバに送信します。第 2 段階で、レポートサーバが、古くなったデータベースを長期保存用のリモートストレージサーバに送信します。これによって、手動によるバックアップおよび移動の手順が必要なくなります。自動アーカイブでは、ソースサーバから宛先サーバへのパスワードを使用しない認証を設定する必要があります。

収集サーバ

収集サーバは、CA Enterprise Log Manager サーバによって実行されるロールです。収集サーバは、受信イベントログを精製し、ホットデータベースにそれらを挿入し、ホットデータベースを圧縮し、関連するレポートサーバに自動アーカイブ、すなわちコピーします。ホットデータベースは、設定されたサイズに達すると、収集サーバによって圧縮され、設定されたスケジュールで自動アーカイブされます。

収集ポイント

収集ポイントは、エージェントがインストールされるサーバです。このサーバには、そのエージェントのコネクタに関連付けられたイベントソースが含まれているすべてのサーバに対する、ネットワーク隣接性があります。

集約ルール

集約ルールは、同じタイプの複数のネイティブイベントを結合して、単一の精製済みイベントとするルールです。たとえば、集約ルールは、同じソースおよび宛先 IP アドレス/ポートを持つ重複イベントを最大 1000 まで、単一の集約イベントで置き換えるように設定できます。このようなルールは、イベント分析を簡略化し、ログトラフィックを軽減します。

精製済みイベント

精製済みイベントは、元のイベントまたは集約されたイベントから派生した、解析またはマッピングされたイベント情報です。 CA Enterprise Log Manager では、格納された情報を検索できるように、マッピングおよび解析を実行します。

責任ポリシー

責任ポリシーは、アクセスフィルタを作成したときに自動的に作成されるポリシーです。責任ポリシーを直接、作成、編集、または削除しようとしないでください。代わりに、アクセスフィルタを作成、編集、または削除します。

統合の要素

統合の要素には、センサ、設定ツール、データアクセスファイル、1 つ以上の XMP メッセージ解析（XMP）ファイル、および 1 つ以上のデータマッピングファイルがあります。

動的ユーザグループ

動的ユーザグループは、1 つ以上の共通属性を共有するグローバルユーザから構成されます。動的ユーザグループは、特殊な動的ユーザグループポリシーによって作成されます。このポリシーでは、リソース名が動的ユーザグループ名で、メンバシップのベースがユーザ属性およびグループ属性に設定されたフィルタセットになります。

復元ポイントサーバ

復元ポイントサーバは CA Enterprise Log Manager サーバによって実行されるロールです。「コールド」イベントを調査するには、ユーティリティを使用して、リモートストレージサーバから復元ポイントサーバにデータベースを移動し、そのデータベースをカタログに追加し、クエリを実行します。コールドデータベースを専用の復元ポイントに移動するのは、調査のために元のレポートサーバに移動する必要がなくなります。

連携サーバ

連携サーバは、ログデータ収集を配布するためにネットワーク内で相互接続された CA Enterprise Log Manager サーバですが、収集されたデータをレポート用に集約することはしません。連携サーバは、階層型トポロジまたはメッシュ型トポロジで接続することができます。連携されたデータのレポートには、ターゲットサーバからのデータに加えて、そのサーバの子またはピアからのデータがすべて含まれます。

このトピックについて CA Technologies に電子メールを送信する