フィルタとは

フィルタ条件はルールをいつ適用するかを指定します。フィルタ条件が真であると評価された場合、これらの条 件を含むルールが一致とみなされ、そのルールで指定されたアクションが実行されます。

フィルタ条件は必要に応じて複雑にすることができます。ブール演算と条件のネストがサポートされています。

WinSyslog v14 マニュアル rev1.2 75 デフォルトでは、フィルタ条件は空です。それぞれのツリーには、フィルタを簡単に追加できるようにするため、ト ップレベルに「AND」が１つだけ含まれています（トップレベルで使用されるノードは通常「AND」なので、デフォ ルトで設定されています）。この「AND」のみを含むフィルタ条件は常に真と評価されます。

デフォルトのフィルタ条件（「AND」のみを含むフィルタ条件）の場合、受信されたすべてのメッセージに対してこ のルールに関連付けられたアクションが実行されます。これは、例えば、受信したすべてのインフォメーションユ ニットをデータベースやテキストファイルに書き込みたい場合などによく使用されます。

一方、特定の条件において（メッセージを絞り込んで）アクションを実行させたい場合には、フィルタ条件を指定 する必要があります。これは、複数階層のブール演算を含む複雑なフィルタ条件が必要になる場合もあります。

下図はこのような場合のサンプルです：

WinSyslog v14 マニュアル rev1.2 76 このフィルタ条件は、侵入検知ルールセットの一部です。ここでは、Windows ファイルシステム監査を使用して、

Internet Information Server (IIS)を介して潜在的に成功した侵入を検出します。これはすべての実行可能ファ イルで監査を有効にすることで実行されます。Internet Information Serverは、IUSR_<machinename>アカウ ント下でこれらのアカウントにアクセスします（この例の場合は、「P15111116¥IUSR_ROOTSERVER」です）。

このユーザーが予期しない実行ファイル（exeファイル）を実行した場合、誰かがIIS経由でコンピューターに侵 入した可能性があります。PerlとPHPスクリプトがPerlおよびPHPエンジンを実行する必要があることに注意 してください。これは、perl.exeとphp.exeが実行されているかどうかを確認することで反映されます。もしそうで あれば、アラートはトリガされません。

具体的には、上記のサンプルは以下のように動作します：

まず、メッセージにperl.exeまたはphp.exeへのフルパス名が含まれている場合、メッセージの内容がチェック されます。これは、下部の「OR」ブランチで行われます。フィルタ条件が「真（True）」と評価されたときにアクショ ンが実行されることにご注意ください。perl.exeとphp.exeの場合、希望するものの逆です（この場合はアクショ ンを実行したくありません）。アクションは他のファイルが実行されたときに実行する必要があります。このため、

「OR」の結果を否定（ブール演算「NOT」）します。「NOT」オペレーションの結果が「AND」を介して他の必要な プロパティと結合されます。

まず、特定のイベントが実際に発生したかどうかを確認します。このためには「イベントログの監視」のインフォ メーションユニットを処理する必要があります。次に、これらのインフォメーションユニットはイベントソース

（Security）とイベントID（ID=560）で識別されます。また、イベントユーザー

（P15111116¥IUSR_ROOTSERVER）も確認します。最後に、メッセージに「.exe」という文字列が含まれてい るかどうかを確認します。

さらに、上のサンプルでは、頻繁にアラートが発生しないように、「最少の待ち時間」を60秒に指定しています。

したがって、全ての条件が真であっても、フィルタの条件は 60 秒ごとに「真（True）」と評価し、アクションを実行 します。

注記：

フィルタ条件の文字列比較では大文字と小文字が区別されます。例えば、「ws01」という名前のソースシステ ムに対してフィルタ条件に「WS01」と定義した場合、このフィルタ条件は決して「真（True）」であると評価され ません。

WinSyslog v14 マニュアル rev1.2 77