JP2006302170A - ログ管理方法及び装置 - Google Patents
ログ管理方法及び装置 Download PDFInfo
- Publication number
- JP2006302170A JP2006302170A JP2005126097A JP2005126097A JP2006302170A JP 2006302170 A JP2006302170 A JP 2006302170A JP 2005126097 A JP2005126097 A JP 2005126097A JP 2005126097 A JP2005126097 A JP 2005126097A JP 2006302170 A JP2006302170 A JP 2006302170A
- Authority
- JP
- Japan
- Prior art keywords
- log
- search
- data
- program
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】
多数の計算機の構成要素(ソフトウェア、ハードウェアを含む)が出力するログから特定の利用者や利用者行為に関係するログを容易に正しく抽出する。
【解決手段】
利用者に使用される単一又は複数の電子計算機を管理対象計算機から出力されるログを管理検索するログ管理装置において、管理対象計算機の構成要素が出力するログから利用者を特定するために使用可能なログ要素の情報を抽出する手段と、抽出されたログ要素の情報を使用して他の構成要素が出力したログから関連するログを抽出する手段を有する。
【選択図】 図4
多数の計算機の構成要素(ソフトウェア、ハードウェアを含む)が出力するログから特定の利用者や利用者行為に関係するログを容易に正しく抽出する。
【解決手段】
利用者に使用される単一又は複数の電子計算機を管理対象計算機から出力されるログを管理検索するログ管理装置において、管理対象計算機の構成要素が出力するログから利用者を特定するために使用可能なログ要素の情報を抽出する手段と、抽出されたログ要素の情報を使用して他の構成要素が出力したログから関連するログを抽出する手段を有する。
【選択図】 図4
Description
本発明は、ログ管理方法および装置に係り、特に多数の計算機の構成要素(ソフトウェア、ハードウェアを含む)の出力するログから特定の利用者や利用者行為に関係するログを正しく抽出することが可能なログ検索方法およびログ管理装置、ログ管理を行うシステムに関する。
インターネットの発展に伴い、電子モールシステムのように、インターネットを利用したサービスが行われるようになってきた。インターネットサービスを実現するシステムは、ユーザからの要求をネットワーク経由で受け付けるネットワークアプリケーションや、ユーザの識別、認証を行うためのバックエンドアプリケーション等の様々な計算機構成要素が絡む複雑なシステムになってきている。また、それに伴い、サーバ計算機や通信機器など、インターネットサービスを実現するネットワークシステムに必要な計算機の種類や台数が増大してきている。
ネットワークシステムの管理者は、ネットワークシステムを構成するサーバ計算機や通信機器などの計算機を運用していく上で、計算機の構成要素がそれぞれ出力するログを適宜確認することで、運用上問題がないかを監視すると共に、問題が発生した時にはその原因を解決して運用することが必要である。通常、ログの確認を行うためには、管理者が一台一台の管理対象計算機を操作し、ログを確認しなければならない。また、ログの確認のためには、構成要素の種別により異なるログフォーマットを理解する必要もある。さらに、複数の構成要素が出力するログの関連付けを行うためには、確認したいものを取捨選択しながら複数のログを時系列で確認していく必要がある。そのため、多種多様で多数台の計算機に対して必要なログ確認を行うには、多大なノウハウと作業工数が必要となっている。
このような計算機運用におけるログ確認作業を支援するための先行技術として、例えば特開平10−198616公報(特許文献1)がある。これは、異なるネットワークに属する2台の計算機が複数の中継装置を経由した通信経路で行った通信について、中継装置に各々分散されて記録されているログを1台の管理装置で管理可能とするものであり、通信で発生したログにセッション識別子を入れておき、ログ調査を行う際にセッション識別子をキーにログ検索を行う技術である。
ネットワークシステムの運用に当っては、1つの計算機構成要素のログだけではなく、複数の計算機構成要素のログをまとめて監視する必要がある。特に、障害復旧やセキュリティ監査を行う場合には、ある特定の利用者やある特定の行為(利用した計算機サービスなど)に対して、何が起こっているのか、何がなされたかなどを把握するために、大量のログファイルから検索対象となる利用者や行為に関係するログを抽出する作業が必要となる。
しかしながら、従来の各計算機のログの中から関連するログを手作業で探し出して確認するといった方法では、必要なログの抽出に時間がかかり、短時間で行うことが困難であり、また不正確となる。特に、利用者アカウントは、運用過程で変更されるが、ログにはその時点での利用者アカウント名が記述されており、過去の時点での利用者を割り出すには、アカウント変更履歴との突合せを行う必要がある。
また、管理対象計算機のログ出力の設定は、管理対象計算機毎に設定可能なため、利用者や行為の検索で必要となるログ情報を管理対象計算機が出力していないこともあり、後でログ検索できない事態も発生してしまう問題があった。
また、上記の先行技術では、管理対象の計算機構成要素がログ出力する際にセッション識別子を入れる必要があり、ログ出力機能(又は加工機能)として管理対象計算機の構成要素に何らかの機能追加を行う必要があるが、インターネットサービスを構成するような多ベンダ、多品種の計算機要素に対して機能追加を行うことは困難であり、適用が難しい。
本発明の目的は、多数の計算機の構成要素が出力するログから特定の利用者や利用者行為に関係するログを容易に正しく抽出することが可能なログ管理方法及びログ管理装置を提供することにある。
本発明に係るログ管理装置は、利用者に使用される単一又は複数の電子計算機を管理対象計算機から出力されるログを管理検索するログ管理装置において、
管理対象計算機の構成要素が出力するログから利用者を特定するために使用可能なログ要素の情報を抽出する手段と、抽出されたログ要素の情報を使用して他の構成要素が出力したログから関連するログを抽出する手段を有するログ管理装置である。
好ましい例では、更に、管理対象計算機に対して構成要素が持つログの出力機能の設定を行う手段と、ログ検索を実施する上で必要となるログを構成要素に出力させるための、構成要素のログ出力機能の設定値を保持する手段を有し、ログ検索時に必要となる情報を含むログを構成要素が出力するようにする。
また、好ましくは、更に、ユーザアカウントの一覧を保持する手段と、ユーザアカウントの一覧の変更履歴を保持する手段と、最新のユーザアカウントの一覧と変更履歴を利用して過去のユーザアカウントの一覧を復元する手段と、あるユーザアカウントに関連するログを抽出する手段を有し、検索対象期間に有効だったユーザアカウントの一覧を使用してログ検索を行う。
また、好ましくは、更に、利用者行為と管理対象計算機の構成要素との関連を保持する手段と、ログから特定構成要素のログを抽出する手段を持ち、利用者行為に関係するログを抽出する。
更にまた、一例では、ログの出力フォーマット及びログの各要素の情報種別を保持する手段と、前記ログの出力フォーマット及びログの各要素の情報種別に従いログに含まれる情報を解析する手段を有する。
また、一例では、ログ検索の結果として、少なくとも、検索実行に当り入力された項目に対する検索結果を表示する結果表示エリアと、検索の結果得られたログとして管理対象プログラム名、時刻、ログの内容を含む画面を表示するユーザインターフェース処理部を更に有する。
管理対象計算機の構成要素が出力するログから利用者を特定するために使用可能なログ要素の情報を抽出する手段と、抽出されたログ要素の情報を使用して他の構成要素が出力したログから関連するログを抽出する手段を有するログ管理装置である。
好ましい例では、更に、管理対象計算機に対して構成要素が持つログの出力機能の設定を行う手段と、ログ検索を実施する上で必要となるログを構成要素に出力させるための、構成要素のログ出力機能の設定値を保持する手段を有し、ログ検索時に必要となる情報を含むログを構成要素が出力するようにする。
また、好ましくは、更に、ユーザアカウントの一覧を保持する手段と、ユーザアカウントの一覧の変更履歴を保持する手段と、最新のユーザアカウントの一覧と変更履歴を利用して過去のユーザアカウントの一覧を復元する手段と、あるユーザアカウントに関連するログを抽出する手段を有し、検索対象期間に有効だったユーザアカウントの一覧を使用してログ検索を行う。
また、好ましくは、更に、利用者行為と管理対象計算機の構成要素との関連を保持する手段と、ログから特定構成要素のログを抽出する手段を持ち、利用者行為に関係するログを抽出する。
更にまた、一例では、ログの出力フォーマット及びログの各要素の情報種別を保持する手段と、前記ログの出力フォーマット及びログの各要素の情報種別に従いログに含まれる情報を解析する手段を有する。
また、一例では、ログ検索の結果として、少なくとも、検索実行に当り入力された項目に対する検索結果を表示する結果表示エリアと、検索の結果得られたログとして管理対象プログラム名、時刻、ログの内容を含む画面を表示するユーザインターフェース処理部を更に有する。
本発明に係るログ管理システムは、ネットワークを介して接続されて利用者により使用される単一又は複数の管理対象計算機と、管理対象計算機の構成要素から出力されるログを統合して管理するログ管理装置と、ログ管理装置を操作するための機能を持つ操作装置とを含むログ管理システムにおいて、管理対象計算機は;ログデータの収集及び設定の変更を行うログ設定処理部と、出力されたログデータを格納する記憶装置と、記憶装置に格納されているログデータをログ管理装置に転送する転送部と、を有し
ログ管理装置は;管理対象計算機から転送されたログデータを記憶する記憶装置と、管理対象計算機の利用者又は利用行為に関連するログデータを抽出するために、操作装置により指定された情報を用いて記憶装置内のログデータを検索する検索処理部と、検索手段により得られたログデータを操作装置に表示するために機能するユーザインターフェース処理部と、を有するログ管理システムである。
好ましくは、管理対象計算機における前記ログ設定処理部及び転送部は、エージェントプログラムによって実現され、ログ管理装置における前記検索処理部及びユーザインターフェース処理部はマネージャプログラムにより実現され、更にマネージャプログラムは、エージェントプログラムへデータ収集の指示、又は設定変更の指示を出す機能を実現するエージェント制御部を有する。
また、一例では、管理対象計算機の記憶装置は、エージェントプログラムと、管理対象計算機で動作する管理対象プログラムと、管理対象プログラムを使用可能な最新のユーザアカウント一覧を保持するユーザアカウント一覧データと、管理対象プログラムのユーザアカウントの変更履歴を保持するユーザアカウント変更ログデータと、管理対象プログラムが出力する管理対象プログラムログデータを格納する。
また、一例では、ログ管理装置の記憶装置は、マネージャプログラムと、
管理対象計算機の一覧情報を保持する管理対象一覧データと、ログフォーマットに合わせてログ解析を行う際に使用するログ解析定義データと、行為に関連する管理対象プログラムを保持する行為定義データと、ログ出力設定の設定値を保持するログ設定定義データと、管理対象計算機から収集したログデータを保存する管理対象プログラムのログデータとを格納する。
ログ管理装置は;管理対象計算機から転送されたログデータを記憶する記憶装置と、管理対象計算機の利用者又は利用行為に関連するログデータを抽出するために、操作装置により指定された情報を用いて記憶装置内のログデータを検索する検索処理部と、検索手段により得られたログデータを操作装置に表示するために機能するユーザインターフェース処理部と、を有するログ管理システムである。
好ましくは、管理対象計算機における前記ログ設定処理部及び転送部は、エージェントプログラムによって実現され、ログ管理装置における前記検索処理部及びユーザインターフェース処理部はマネージャプログラムにより実現され、更にマネージャプログラムは、エージェントプログラムへデータ収集の指示、又は設定変更の指示を出す機能を実現するエージェント制御部を有する。
また、一例では、管理対象計算機の記憶装置は、エージェントプログラムと、管理対象計算機で動作する管理対象プログラムと、管理対象プログラムを使用可能な最新のユーザアカウント一覧を保持するユーザアカウント一覧データと、管理対象プログラムのユーザアカウントの変更履歴を保持するユーザアカウント変更ログデータと、管理対象プログラムが出力する管理対象プログラムログデータを格納する。
また、一例では、ログ管理装置の記憶装置は、マネージャプログラムと、
管理対象計算機の一覧情報を保持する管理対象一覧データと、ログフォーマットに合わせてログ解析を行う際に使用するログ解析定義データと、行為に関連する管理対象プログラムを保持する行為定義データと、ログ出力設定の設定値を保持するログ設定定義データと、管理対象計算機から収集したログデータを保存する管理対象プログラムのログデータとを格納する。
本発明に係るログ管理方法は、ネットワークを介して接続されて利用者により使用される単一又は複数の管理対象計算機の構成要素から出力されるログを統合して管理するログ管理方法において、
管理対象計算機の構成要素から出力されるログを収集して記憶装置に記憶するステップと、検索のために指定された検索対象期間に有効であった管理対象プログラムのユーザアカウント一覧を作成するステップと、管理対象プログラムの解析項目毎に定義を示した解析定義データの内容に従ってログ解析を行い、記憶装置を検索してログデータを抽出し、ログデータから同じアカウント名を含むログを抽出するステップと、ログデータに対して解析定義データの内容に従ってログ解析を行い、ログデータから利用者使用物特定情報を抽出するするステップと、利用者使用物特定情報を含むログを、全ての管理対象プログラムのログデータから抽出するステップと、求められた管理対象プログラムに関するログデータを含む画面を、操作装置の表示器に表示するステップと、を有するログ管理方法である。
管理対象計算機の構成要素から出力されるログを収集して記憶装置に記憶するステップと、検索のために指定された検索対象期間に有効であった管理対象プログラムのユーザアカウント一覧を作成するステップと、管理対象プログラムの解析項目毎に定義を示した解析定義データの内容に従ってログ解析を行い、記憶装置を検索してログデータを抽出し、ログデータから同じアカウント名を含むログを抽出するステップと、ログデータに対して解析定義データの内容に従ってログ解析を行い、ログデータから利用者使用物特定情報を抽出するするステップと、利用者使用物特定情報を含むログを、全ての管理対象プログラムのログデータから抽出するステップと、求められた管理対象プログラムに関するログデータを含む画面を、操作装置の表示器に表示するステップと、を有するログ管理方法である。
また、本発明に係るログ管理用のプログラムは、ネットワークを介して接続されて利用者により使用される単一又は複数の管理対象計算機の構成要素から出力されるログを統合して管理するためのログ管理装置で実行されるプログラムであって、
管理対象計算機の構成要素から出力されるログを収集して記憶装置に記憶する手段と、検索のために指定された検索対象期間に有効であった管理対象プログラムのユーザアカウント一覧を作成する手段と、管理対象プログラムの解析項目毎に定義を示した解析定義データの内容に従ってログ解析を行い、記憶装置を検索してログデータを抽出し、ログデータから同じアカウント名を含むログを抽出する手段と、ログデータに対して解析定義データの内容に従ってログ解析を行い、ログデータから利用者使用物特定情報を抽出するする手段と、利用者使用物特定情報を含むログを、全ての管理対象プログラムのログデータから抽出する手段と、求められた管理対象プログラムに関するログデータを含む画面を、操作装置の表示器に表示する手段と、を有するログ管理用プログラムである。
管理対象計算機の構成要素から出力されるログを収集して記憶装置に記憶する手段と、検索のために指定された検索対象期間に有効であった管理対象プログラムのユーザアカウント一覧を作成する手段と、管理対象プログラムの解析項目毎に定義を示した解析定義データの内容に従ってログ解析を行い、記憶装置を検索してログデータを抽出し、ログデータから同じアカウント名を含むログを抽出する手段と、ログデータに対して解析定義データの内容に従ってログ解析を行い、ログデータから利用者使用物特定情報を抽出するする手段と、利用者使用物特定情報を含むログを、全ての管理対象プログラムのログデータから抽出する手段と、求められた管理対象プログラムに関するログデータを含む画面を、操作装置の表示器に表示する手段と、を有するログ管理用プログラムである。
本発明によれば、管理対象計算機の構成要素のログ出力機能に変更を加えることなく、多数の計算機の構成要素が出力するログから特定の利用者や行為に関係するログを容易に正しく抽出することが可能となる。
以下、図面を参照して本発明の実施形態について説明する。
図1は、一実施例に係るログ管理システムの全体構成を示す。
計算機101は、サービス計算機やネットワーク計算機など、ユーザに対してネットワークサービスを提供するための複数の計算機であり、ログ管理装置102がログ検索の対象とする計算機構成要素(ソフトウェアやハードウェア等)により構成された管理対象計算機である。なお、管理対象計算機101にはインターネット106との接続を行う計算機も含まれる。
図1は、一実施例に係るログ管理システムの全体構成を示す。
計算機101は、サービス計算機やネットワーク計算機など、ユーザに対してネットワークサービスを提供するための複数の計算機であり、ログ管理装置102がログ検索の対象とする計算機構成要素(ソフトウェアやハードウェア等)により構成された管理対象計算機である。なお、管理対象計算機101にはインターネット106との接続を行う計算機も含まれる。
更に、設定対象計算機のログを統合して管理するログ管理装置102と、管理作業を行う管理者104が使用する管理者用計算機103を有し、これらは、管理対象計算機101と同様にネットワーク105に接続している。例えば、ログ管理装置102はサーバであり,管理者用計算機103はPC又は端末装置である。
管理者104は、管理者用計算機104を使用して、ネットワーク106を介してログ管理装置102にアクセスすることで、ログの検索を行う。
管理者104は、管理者用計算機104を使用して、ネットワーク106を介してログ管理装置102にアクセスすることで、ログの検索を行う。
図2は、計算機とソフトウェアプログラムの構成を示す。
図2において、管理対象計算機101では、エージェントプログラム201が実行される。ログ管理装置102では、マネージャプログラム202が実行され、管理者用計算機103では、ユーザインターフェースプログラムであるWebブラウザ103が実行される。
図2において、管理対象計算機101では、エージェントプログラム201が実行される。ログ管理装置102では、マネージャプログラム202が実行され、管理者用計算機103では、ユーザインターフェースプログラムであるWebブラウザ103が実行される。
エージェントプログラム201は、マネージャプログラム202の指示に従い、管理対象計算機101のデータ収集と設定変更を行う。マネージャプログラム202は、収集したログデータを管理すると共に、Webユーザインターフェースによってログ検索機能を管理者104に提供する。
図3は、管理対象計算機101の内部構成を示す。
管理対象計算機101は、メモリ301と、固定ディスク302と、バス303と、プロセッサ304と、I/Oハードウェア305と、通信ハードウェア306とを有して構成される。
プロセッサ304は、プログラムを実行して種々のデータ処理を行う。固定ディスク302はHDD(ハードディスクドライブ)のような記憶装置であり、プログラムやデータを格納する。メモリ301は、実行するプログラムを格納したり、処理用のデータを一時的に格納する。I/Oハードウェア305はモニタへの出力やキーボードからの入力を制御する装置である。通信ハードウェア306は、他の計算機との間のネットワーク回線を制御する装置である。
管理対象計算機101は、メモリ301と、固定ディスク302と、バス303と、プロセッサ304と、I/Oハードウェア305と、通信ハードウェア306とを有して構成される。
プロセッサ304は、プログラムを実行して種々のデータ処理を行う。固定ディスク302はHDD(ハードディスクドライブ)のような記憶装置であり、プログラムやデータを格納する。メモリ301は、実行するプログラムを格納したり、処理用のデータを一時的に格納する。I/Oハードウェア305はモニタへの出力やキーボードからの入力を制御する装置である。通信ハードウェア306は、他の計算機との間のネットワーク回線を制御する装置である。
固定ディスク302には、本実施例によるログ検索を実現するためのプログラム及び各種処理データが格納される。プログラムとしては、OS(オペレーティングシステム)プログラム3021、エージェントプログラム201(図5に詳述)、管理対象計算機101で動作する管理対象プログラム3022を格納する。管理対象プログラム3022で管理対象とするものとしては、ソフトウェア及びハードウェアを問わないログを出力する計算機構の構成要素全てを対象とすることができる。例えば、オペレーティングシステムプログラム、メールサービスプログラム、Webサービスプログラム、認証サービスプログラム、ファイル共有プログラム、プロキシサービスプログラム、ファイアウォールプログラム、通信制御プログラム、アプリケーションプログラム、ルータハードウェア、通信スイッチハードウェア等を管理対象の構成要素として含む。
固定ディスク302に格納されるデータとしては、管理対象プログラムを使用可能な最新のユーザアカウント一覧を保持するユーザアカウント一覧データ3023(図13に詳述)、管理対象プログラムのユーザアカウントの変更履歴を保持するユーザアカウント変更ログデータ3024(図15に詳述)、管理対象プログラムが出力する管理対象プログラムログデータ3025を格納する。ユーザアカウント一覧データ3023及びユーザアカウント変更ログデータ3024は、管理対象プログラム毎に用意される。
メモリ301には、固定ディスク302内のOSプログラム3021が、OSプログラム用領域3011にロードされ、実行される。OSプログラム3011は、I/Oハードウェア305や通信ハードウェア306の制御、固定ディスク302からのデータのロードなどを行う。また、OSプログラム3011は、固定ディスク502からエージェントプログラム201をメモリ領域3012にロードし、実行する。
図4は、ログ管理装置102の内部構成を示す。
ログ管理装置102は、管理対象計算機101と実質的に同様の構成を成し、メモリ401と、固定ディスク402と、バス403と、プロセッサ404と、I/Oハードウェア405と、通信ハードウェア406とを有して構成される。
ログ管理装置102は、管理対象計算機101と実質的に同様の構成を成し、メモリ401と、固定ディスク402と、バス403と、プロセッサ404と、I/Oハードウェア405と、通信ハードウェア406とを有して構成される。
固定ディスク402には、本実施例によるログ管理を実現するためのプログラム及ぶ各種データが格納される。
プログラムとしては、OSプログラム4021、Webサーバプログラム4022、マネージャプログラム202(図6に詳述)を格納する。また、データとしては、管理対象計算機の一覧情報を保持する管理対象一覧データ4023(図7に詳述)、ログフォーマットに合わせてログ解析を行う際に使用するログ解析定義データ4024(図8〜10に詳述)、行為に関連する管理対象プログラムを保持する行為定義データ4025(図11に詳述)、ログ出力設定の設定値を保持するログ設定定義データ4026(図12に詳述)、管理対象計算機から収集したログデータを保存する前管理対象プログラムログデータ4027を格納する。ログ解析定義データ4024及びログ設定定義データ4026は、管理対象プログラムの種別・バージョン毎に用意する。
プログラムとしては、OSプログラム4021、Webサーバプログラム4022、マネージャプログラム202(図6に詳述)を格納する。また、データとしては、管理対象計算機の一覧情報を保持する管理対象一覧データ4023(図7に詳述)、ログフォーマットに合わせてログ解析を行う際に使用するログ解析定義データ4024(図8〜10に詳述)、行為に関連する管理対象プログラムを保持する行為定義データ4025(図11に詳述)、ログ出力設定の設定値を保持するログ設定定義データ4026(図12に詳述)、管理対象計算機から収集したログデータを保存する前管理対象プログラムログデータ4027を格納する。ログ解析定義データ4024及びログ設定定義データ4026は、管理対象プログラムの種別・バージョン毎に用意する。
メモリ401には、固定ディスク402内のOSプログラム4021が、OSプログラム用領域4011にロードされ、実行される。OSプログラム4011は、I/Oハードウェア405や通信ハードウェア406の制御、固定ディスク402からのデータのロードなどを行う。また、OSプログラム4011は、固定ディスク402から、マネージャプログラム202をメモリ領域4013にロードし、実行する。また、OSプログラム4011は、固定ディスク402から、Webサーバプログラム4021をメモリ領域4013にロードし、実行する。
マネージャプログラム4013は、管理者に対してログ検索を行うためのユーザインターフェースを作成し、Webサーバプログラム4012、Webブラウザ203を経由して、管理者へ提供する。
図5は、エージェントプログラム201のモジュール構成を示す。
エージェントプログラム201は、マネージャと必要な通信を行う機能を持つマネージャ間通信処理部501、管理対象プログラムのログ出力の設定を変更する機能を持つログ出力設定処理部502、管理対象プログラムが出力したログデータ3025とユーザアカウント変更ログデータ3024をマネージャに転送する機能を持つログ転送処理部503、ユーザアカウント一覧データ3023をマネージャに転送する機能を持つアカウント情報転送処理部504により構成される。
エージェントプログラム201は、マネージャと必要な通信を行う機能を持つマネージャ間通信処理部501、管理対象プログラムのログ出力の設定を変更する機能を持つログ出力設定処理部502、管理対象プログラムが出力したログデータ3025とユーザアカウント変更ログデータ3024をマネージャに転送する機能を持つログ転送処理部503、ユーザアカウント一覧データ3023をマネージャに転送する機能を持つアカウント情報転送処理部504により構成される。
図6は、マネージャプログラム202のモジュール構成を示す。
マネージャプログラム202は、エージェントとの通信を制御するエージェント間通信処理部601、エージェント間通信処理部601を使用しエージェントへのデータ収集指示、設定変更指示を出す機能を持つエージェント制御部602、ログ検索を行う検索処理部603、ログ検索のための画面を管理者用計算機103に提供する機能を持つユーザインターフェース処理部604により構成される。
管理者用計算機103のWebブラウザ203は、ユーザインターフェース処理部604から画面データを取得し、画面に表示する。また、管理者が画面上で入力した入力値をユーザインターフェース処理部604に送る。
マネージャプログラム202は、エージェントとの通信を制御するエージェント間通信処理部601、エージェント間通信処理部601を使用しエージェントへのデータ収集指示、設定変更指示を出す機能を持つエージェント制御部602、ログ検索を行う検索処理部603、ログ検索のための画面を管理者用計算機103に提供する機能を持つユーザインターフェース処理部604により構成される。
管理者用計算機103のWebブラウザ203は、ユーザインターフェース処理部604から画面データを取得し、画面に表示する。また、管理者が画面上で入力した入力値をユーザインターフェース処理部604に送る。
図7は、管理対象一覧データ4023の構成を示す。
701は管理対象プログラムの識別子を記述する管理対象IDフィールド、702は管理対象IDフィールド701に対応する管理対象プログラムの名称を記述する管理対象プログラム名フィールド、703は管理対象IDフィールド701に対応する管理対象プログラムの種別・バージョンを記述するプログラム種別・バージョンフィールド、704は管理対象IDフィールド701に対応するエージェントプログラムへアクセスするためのIPアドレス・ポート番号を記述するエージェントIPアドレス・ポートフィールドである。
701は管理対象プログラムの識別子を記述する管理対象IDフィールド、702は管理対象IDフィールド701に対応する管理対象プログラムの名称を記述する管理対象プログラム名フィールド、703は管理対象IDフィールド701に対応する管理対象プログラムの種別・バージョンを記述するプログラム種別・バージョンフィールド、704は管理対象IDフィールド701に対応するエージェントプログラムへアクセスするためのIPアドレス・ポート番号を記述するエージェントIPアドレス・ポートフィールドである。
図8〜図10は、ログ解析定義データ4024の構成を示す。
例えば図8において、801は定義を行う項目を識別するための識別名称を記述する解析項目IDフィールド、802は解析項目IDフィールド801に対応する定義値を記載する定義値フィールドである。
ログ解析定義データ4024は、管理対象一覧データ4023で記述された管理対象プログラムの種別・バージョン毎に用意される。
例えば図8において、801は定義を行う項目を識別するための識別名称を記述する解析項目IDフィールド、802は解析項目IDフィールド801に対応する定義値を記載する定義値フィールドである。
ログ解析定義データ4024は、管理対象一覧データ4023で記述された管理対象プログラムの種別・バージョン毎に用意される。
例示として、図8は管理対象プログラム毎に、Auth Server V2.0用のログ解析定義データ4024を示す。同様に、図9はWeb Proxy V1.1用ログ解析定義データ4024を示し、図10はWeb Server V1.0用ログ解析定義データ4024を示す。なお、符号801,901,1001は解析項目IDを示し、符号802,902,1002は定義値を示す。これらの例から、各解析定義データ4024は、解析項目IDとして“log format”、“time”、“account name”、“ip addr”などの定義値を含むことがわかる。
図11は、行為定義データ4025の構成を示す。
1101は定義を行う項目を識別するための識別名称を記述する行為IDフィールド、1102は前記行為IDフィールド1101記載の行為に関係する管理対象プログラムの種別・バージョンを記載する行為関連プログラムフィールドである。行為ごとに行為ID1101が付与され、関連するプログラムが規定される。
1101は定義を行う項目を識別するための識別名称を記述する行為IDフィールド、1102は前記行為IDフィールド1101記載の行為に関係する管理対象プログラムの種別・バージョンを記載する行為関連プログラムフィールドである。行為ごとに行為ID1101が付与され、関連するプログラムが規定される。
図12は、ログ設定定義データ4026の構成を示す。
1201は定義を行う設定項目を識別するための識別名称を記述する設定項目IDフィールド、1202は設定項目IDフィールド1201に対応する管理対象プログラムの設定項目についてログ出力を正しく実施させるための設定値を記載する設定値フィールドである。
1201は定義を行う設定項目を識別するための識別名称を記述する設定項目IDフィールド、1202は設定項目IDフィールド1201に対応する管理対象プログラムの設定項目についてログ出力を正しく実施させるための設定値を記載する設定値フィールドである。
ログ設定定義データ4026は、管理対象プログラムの種別・バージョン毎に用意する。図示の例は、Auth Server V2.0用のログ解析定義データ4024を示す。
図13及び図14は、ユーザアカウント一覧データ3023の構成を示す。
1301はユーザアカウントを識別するための識別名称を記述するアカウント名フィールド、1302はアカウント名フィールド1301に対応するアカウント利用者の氏名を記述するフルネームフィールド、1303はアカウント名フィールド1301に対応するアカウント利用者の社員番号を記述する社員番号フィールドである。ユーザアカウント一覧データ3023は、管理対象一覧データ4023で記述された管理対象プログラム名毎に用意される。
1301はユーザアカウントを識別するための識別名称を記述するアカウント名フィールド、1302はアカウント名フィールド1301に対応するアカウント利用者の氏名を記述するフルネームフィールド、1303はアカウント名フィールド1301に対応するアカウント利用者の社員番号を記述する社員番号フィールドである。ユーザアカウント一覧データ3023は、管理対象一覧データ4023で記述された管理対象プログラム名毎に用意される。
例示として、図13は、管理対象プログラム毎に、管理対象プログラムA用のユーザアカウント一覧データ3023を示し、図14は、管理対象プログラムB用のユーザアカウント一覧データ3023を示す。なお、図14の符号1401〜1403は、図13の対応と同様の部分を示す。
図15〜図16はユーザアカウント変更ログデータ3024の構成を示す。1501はユーザアカウントが変更された日時を記述する日時フィールド、1502は日時フィールド1501記載の日時に発生した変更操作を示す操作フィールド、1503は日時フィールド1501記載の日時に発生した変更について対象となったアカウント名を記述するアカウント名フィールド、1504は日時フィールド1501記載の日時に発生した変更について対象となったアカウントのフルネームを記述するフルネームフィールド、1505は日時フィールド1501記載の日時に発生した変更について対象となったアカウントの社員番号を記述する社員番号フィールドである。ユーザアカウント変更ログデータ3024は、管理対象一覧データ4023で記述された管理対象プログラム名毎に用意される。
例示として、図15は管理対象プログラムA用のユーザアカウント変更ログデータ3024を示し、図16は管理対象プログラムB用のユーザアカウント変更ログデータ3024を示す。なお、図16の符号1601〜1605は、図15の対応と同様の部分を示す。
次に、上記のように構築されたログ管理装置102が、管理対象プログラムからログ収集を行って、全管理対象プログラムログデータ4027に格納するまでの動作について説明する。
まず、ログ管理装置102は、定期的に管理対象計算機101の管理対象プログラム3013のログ出力設定が正しくなされているかをチェックし、必要であればログ出力設定を変更する。
まず、ログ管理装置102は、定期的に管理対象計算機101の管理対象プログラム3013のログ出力設定が正しくなされているかをチェックし、必要であればログ出力設定を変更する。
図21は、設定変更を行う際のマネージャプログラム202及びエージェントプログラム201の動作フローである。
まず、マネージャは、管理対象定義データ4023のエージェントIPアドレス・ポートフィールド704に記載された情報を使用しエージェント間と通信を行い、プログラム種別・バージョンフィールド703に記述された管理対象プログラム種別・バージョンに対応するログ設定定義ファイルを該当するエージェントに転送する(S2102)。
その後、エージェントは、ログ設定定義ファイルに記載された内容と管理対象プログラムのログ出力設定がマッチしているかをチェックし、もしマッチしていなければログ出力設定を変更する(S2103)。マネージャプログラム202は、管理対象定義データ4023に記載されたすべての管理対象プログラムに対して設定変更を行うために、上記のフローを管理対象定義データ4023に記載された全てのエージェントに対して行う。
まず、マネージャは、管理対象定義データ4023のエージェントIPアドレス・ポートフィールド704に記載された情報を使用しエージェント間と通信を行い、プログラム種別・バージョンフィールド703に記述された管理対象プログラム種別・バージョンに対応するログ設定定義ファイルを該当するエージェントに転送する(S2102)。
その後、エージェントは、ログ設定定義ファイルに記載された内容と管理対象プログラムのログ出力設定がマッチしているかをチェックし、もしマッチしていなければログ出力設定を変更する(S2103)。マネージャプログラム202は、管理対象定義データ4023に記載されたすべての管理対象プログラムに対して設定変更を行うために、上記のフローを管理対象定義データ4023に記載された全てのエージェントに対して行う。
また、管理対象プログラム3013は、自身の動作履歴(例えばユーザログイン、通信許可、データ転送など)を、ログとして適宜管理対象プログラムログデータ3025の領域に出力する。また、ユーザアカウント一覧データ3023が変更されたらその変更履歴をユーザアカウント変更ログデータ3024の領域に出力する。なお、管理対象プログラムによるログ出力は、ログ出力設定変更とは同期していても非同期に動作していてもよい。
さらに、ログ管理装置102は、定期的に管理対象プログラム3013が出力したログデータ3025の内容を収集し、全管理対象プログラムログデータ4027に格納する。まず、マネージャプログラム202は、管理対象定義データ4023のエージェントIPアドレス・ポートフィールド704に記載された情報を使用しエージェント間と通信を行い、エージェントプログラム201にログ収集を指令する。その後、エージェントプログラム201は、管理対象定義データ4023の内容をログ設定定義ファイルに記載された内容をマネージャプログラム202に転送する。マネージャプログラム202は、転送されたログデータを全管理対象プログラムログデータ4027に格納する。
マネージャプログラム202は、管理対象定義データ4023に記載されたすべての管理対象プログラムに対してログ収集を行うために、上記のフローを管理対象定義データ4023に記載された全てのエージェントに対して行う。なお、管理対象プログラムによるログ収集は、ログ出力設定変更やログ出力とは同期していても非同期に動作していてもよい。
さて次に、上記の通りログ収集したログ管理装置102を使って、管理者104がログ検索を行う際の動作について説明する。説明上ここでは、社員番号4351、検索対象期間2004年12月1日〜15日、検索対象行為全てで検索する際の動作を説明する。
まず、管理者は、管理者用計算機103のWebブラウザ203を使用して、ログ管理装置102が提供するログ検索画面にアクセスする。
まず、管理者は、管理者用計算機103のWebブラウザ203を使用して、ログ管理装置102が提供するログ検索画面にアクセスする。
図19は、ログ管理装置102のマネージャプログラム202のユーザインターフェース部604が提供する検索タップ画面の構成を示す。
管理者は、この画面を使用してログ検索を行う。検索トップ画面1901は、タイトル表示エリア1902、検索対象入力エリア1903、検索対象入力後に検索実行を開始させる検索実行ボタン1904から構成される。検索対象入力エリア1903には、検索対象利用者を入力するための入力エリア、検索対象期間を入力するためのエリア、検索対象行為を選択するための入力エリアが表示される。検索対象利用者としては、社員番号を入力する。複数指定可とする。入力が空白の場合には、全利用者が検索対象となる。検索対象期間は、年月日時刻で指定した期間で入力する。入力が空白の場合には、期間を限定せずに検索対象とする。検索対象行為としては、行為定義データ4025で記述された行為を選択可能(複数選択可)とすると共に、検索対象行為を限定しない入力(全て)を選択可能とする。
管理者は、検索したい内容について各入力エリアに入力する。その後、検索実行ボタン1904を押すと、検索結果画面に切り替わる。
管理者は、この画面を使用してログ検索を行う。検索トップ画面1901は、タイトル表示エリア1902、検索対象入力エリア1903、検索対象入力後に検索実行を開始させる検索実行ボタン1904から構成される。検索対象入力エリア1903には、検索対象利用者を入力するための入力エリア、検索対象期間を入力するためのエリア、検索対象行為を選択するための入力エリアが表示される。検索対象利用者としては、社員番号を入力する。複数指定可とする。入力が空白の場合には、全利用者が検索対象となる。検索対象期間は、年月日時刻で指定した期間で入力する。入力が空白の場合には、期間を限定せずに検索対象とする。検索対象行為としては、行為定義データ4025で記述された行為を選択可能(複数選択可)とすると共に、検索対象行為を限定しない入力(全て)を選択可能とする。
管理者は、検索したい内容について各入力エリアに入力する。その後、検索実行ボタン1904を押すと、検索結果画面に切り替わる。
図20は、検索結果を表示するための検索結果画面の構成を示す。
検索結果画面2001は、タイトル表示エリア2002、検索結果表示エリア2003、再検索を行うために検索トップ画面1901に戻るための、戻るボタン2004から構成される。検索結果表示エリア2003には、検索トップ画面1901で入力した検索対象の情報と、検索の結果得られたログが時系列で表示される。表示されるログの内容は、管理対象プログラム名、時刻、ログの内容である。
検索結果画面2001は、タイトル表示エリア2002、検索結果表示エリア2003、再検索を行うために検索トップ画面1901に戻るための、戻るボタン2004から構成される。検索結果表示エリア2003には、検索トップ画面1901で入力した検索対象の情報と、検索の結果得られたログが時系列で表示される。表示されるログの内容は、管理対象プログラム名、時刻、ログの内容である。
以上、図19〜図20を参照して説明したものが、管理者によるログ検索手順とユーザインターフェースの構成である。ここで、検索におけるマネージャプログラム202とエージェントプログラム201の動作の流れを、図22〜図23を用いて説明する。
図22は、ログ検索を行う際のマネージャプログラム202の動作フローである。
まず、管理者からのアクセスに応じて、検索トップ画面を表示し(S2202)、管理者からの検索要求を受け付ける(S2203)。
次に、ログ検索を実行すると、管理対象一覧データ4023を読み込む(S2204)。そして、記載されている管理対象プログラムそれぞれに対して、S2205〜S2207の処理を行う。
まず、管理者からのアクセスに応じて、検索トップ画面を表示し(S2202)、管理者からの検索要求を受け付ける(S2203)。
次に、ログ検索を実行すると、管理対象一覧データ4023を読み込む(S2204)。そして、記載されている管理対象プログラムそれぞれに対して、S2205〜S2207の処理を行う。
まず、検索対象期間として指定された時期に有効だった管理対象プログラムのユーザアカウント一覧を復元する(S2205)。ステップS2205の処理を行うマネージャプログラム202の動作フローの詳細を、図23に示す。
図23において、エージェントプログラム201経由で管理対象プログラムのユーザアカウント一覧データ3023及びユーザアカウント変更ログデータ3024を取得する(S2302)。そして、ユーザアカウント変更ログデータ3024の内容を新しいものから順にユーザアカウント一覧データ3023に逆適用し、検索指定期間内で検索指定利用者(社員番号)に対して有効だったアカウント一覧を復元する(S2303)。
図23において、エージェントプログラム201経由で管理対象プログラムのユーザアカウント一覧データ3023及びユーザアカウント変更ログデータ3024を取得する(S2302)。そして、ユーザアカウント変更ログデータ3024の内容を新しいものから順にユーザアカウント一覧データ3023に逆適用し、検索指定期間内で検索指定利用者(社員番号)に対して有効だったアカウント一覧を復元する(S2303)。
図13において示した管理対象プログラムAのユーザアカウント一覧データ3023に対して、図15で示した管理対象プログラムAのユーザアカウント変更ログデータ3024を適用した結果得られる復元後の管理対象プログラムAのユーザアカウント一覧データを、図17に示す。また、図14において示した管理対象プログラムBのユーザアカウント一覧データ3023に対して、図16で示した管理対象プログラムBのユーザアカウント変更ログデータ3024を適用した結果得られる復元後の管理対象プログラムBのユーザアカウント一覧データを、図18に示す。
それから、復元したアカウント一覧から検索対象利用者(社員番号)が同じアカウント名(複数可)を抽出し、解析定義データ4024の内容に従いログ解析を行い、抽出したアカウント名が記載されているログをログデータから全て抽出する(S2206)。
さらに、S2206で抽出したログデータに対して解析定義データ4024の内容に従いログ解析を行い、ログデータから利用者使用物特定情報(IPアドレスなど。複数可)を抽出する。その後、記載されている管理対象プログラムそれぞれに対して、S2207で抽出された利用者使用物特定情報を含むログを、再度全管理プログラムのログデータから抽出する(S2209)。
次に、検索指定行為として指定された行為(複数指定可)に当てはまる管理対象プログラムを行為定義データ4025から求める(S2211)。そして、S2206及びS2209で抽出したログデータから、S2211で求められた管理対象プログラム(複数指定可)以外の管理対象プログラムが出力したログを削除する(S2212)。
最後に、S2212で残ったログデータを時刻でソートし、検索結果画面2001を表示する。
最後に、S2212で残ったログデータを時刻でソートし、検索結果画面2001を表示する。
図24〜図27は、検索元の管理対象プログラムのログデータと検索結果ログデータの例示である。
図24は、管理対象プログラムAのログデータであり、管理対象一覧データ4023の管理対象ID001の示す通り、プログラム種別・バージョンはAuth Server V2.0であり、ログ解析には、図8に示したログ解析データを使用する。
図24は、管理対象プログラムAのログデータであり、管理対象一覧データ4023の管理対象ID001の示す通り、プログラム種別・バージョンはAuth Server V2.0であり、ログ解析には、図8に示したログ解析データを使用する。
図25は、管理対象プログラムBのログデータであり、管理対象一覧データ4023の管理対象ID002の示す通り、プログラム種別・バージョンはWeb Proxy V1.1であり、ログ解析には、図9に示したログ解析データを使用する。
図26は、管理対象プログラムCのログデータであり、管理対象一覧データ4023の管理対象ID003の示す通り、プログラム種別・バージョンはWeb Server V1.0であり、ログ解析には、図10に示したログ解析データを使用する。
図26は、管理対象プログラムCのログデータであり、管理対象一覧データ4023の管理対象ID003の示す通り、プログラム種別・バージョンはWeb Server V1.0であり、ログ解析には、図10に示したログ解析データを使用する。
図24〜図26に示す検索元ログデータに対して、図17〜図18に示した復元後のユーザアカウント一覧データを適用してログ抽出を行う。その後、管理対象プログラムAのログデータの一つ「20041201103930 suzuki login-succeed from 192.168.20.10」に含まれるIPアドレス「192.168.20.10」をログ解析データの内容に従い抽出する。
さらに、図24〜図26に示した検索元ログデータに対して、IPアドレスが「192.168.20.10」のものを抽出し、最終的に抽出したログ検索結果(検索対象行為は「(全て)」であるので行為に関する限定は行われない)を示したものが、図27である。
以上のように、本発明の一実施形態について説明したが、本発明は上記実施形態に限定されず、種々変形した他の実施例として実施し得る。
例えば、上記実施形態では、管理対象計算機の構成要素が出力するログをログ管理装置が一度全て収集した後、管理者の要求に従ってログ検索し、管理者に提供するものとした。しかし、他の例では、ログ管理装置が一度全て一度収集するのではなく、検索要求が発生した時に、管理対象計算機から必要なログを逐次収集し検索する形態でもよい。
例えば、上記実施形態では、管理対象計算機の構成要素が出力するログをログ管理装置が一度全て収集した後、管理者の要求に従ってログ検索し、管理者に提供するものとした。しかし、他の例では、ログ管理装置が一度全て一度収集するのではなく、検索要求が発生した時に、管理対象計算機から必要なログを逐次収集し検索する形態でもよい。
また、上記実施形態では、ユーザアカウント一覧データやユーザアカウント変更ログデータは、管理対象計算機上に存在する例としたが、他の例では、他の計算機に存在する形態についても、その計算機よりアカウント情報を入手することが可能である。
また、上記実施形態では、過去の時点でのユーザアカウントの一覧を復元する方法としてユーザアカウント変更ログデータを使用する例としたが、他の例では、変更時毎にユーザアカウント一覧データを時系列で保存しておくなど別の形態でも適用できる。
さらに、上記実施形態では、管理対象計算機からのログの収集と管理対象計算機の構成要素へのログ出力設定変更は、管理対象計算機上に設置したプログラム(エージェントプログラム)で行う形態とした。しかし他の例では、管理対象計算機上にプログラムを設置せずに、管理対象計算機が提供するネットワークインターフェースやコマンドインターフェースを使用して、ネットワーク経由で外部からログ収集とログ出力設定をする形態についても適用できる。
また、上記実施形態では、管理対象計算機の利用者を特定するために、複数の管理対象プログラムのアカウント間の突合せに使用する利用者識別子として社員番号を使用しているが、他の例では、組織内のシステム利用者を一意に表す識別子としてこれに限定するものではなく、国民番号、住民番号、組織登録番号などを使用する形態についても適用できる。
また、上記実施形態では、利用者が使用した端末など利用者使用物を特定する情報として、IPアドレスを使用しているが、他の例では、IPアドレスに限らず、端末固有情報、通信ポート、ユーザ使用カード番号、利用者生体情報、端末や利用者の位置情報などの情報を使用する例においても、適用できる。
以上説明したように、本実施形態によれば以下の効果が得られる。
まず、管理対象の計算機構成要素毎のログフォーマットを定義したログ解析定義データを使用することで、管理対象プログラムのログ出力機能に変更を加えることなく、ログ解析ができる。
また、管理対象の計算機構成要素の利用者アカウント一覧データ、利用者アカウント変更ログデータなどを使用し、過去の時点のアカウント一覧を復元し、それを元に利用者に関係するログを抽出後、抽出したログから利用者の使用した端末などの利用者使用物を特定可能なIPアドレスなどの情報を抽出し、その利用者使用物特定情報を元にログを再検索することで利用者に関係するログを抽出することができるようになる。
まず、管理対象の計算機構成要素毎のログフォーマットを定義したログ解析定義データを使用することで、管理対象プログラムのログ出力機能に変更を加えることなく、ログ解析ができる。
また、管理対象の計算機構成要素の利用者アカウント一覧データ、利用者アカウント変更ログデータなどを使用し、過去の時点のアカウント一覧を復元し、それを元に利用者に関係するログを抽出後、抽出したログから利用者の使用した端末などの利用者使用物を特定可能なIPアドレスなどの情報を抽出し、その利用者使用物特定情報を元にログを再検索することで利用者に関係するログを抽出することができるようになる。
また、行為に関係する管理対象の計算機構成要素の一覧を記述した行為定義データを使用し、行為に関係するログのみを抽出することができるようになる。また、ログ設定定義データ及びログ出力設定変更プログラムにより、管理対象の計算機構成要素に必要なログ出力設定がなされていない場合には、必要な設定変更を行えるようになる。
101:管理対象計算機、102:ログ管理装置、103:管理者用計算機、104:管理者、105:ネットワーク、106:インターネット、
201:エージェントプログラム、202:マネージャプログラム、203:Webブラウザ、
301:メモリ、3011:OSプログラム、3012:エージェントプログラム、3013:管理対象プログラム、302:固定ディスク、3021:OSプログラム、3022:管理対象プログラム、3023:管理対象プログラムのユーザアカウント一覧データ、3024:管理対象プログラムのユーザアカウント変更ログデータ、3025:管理対象プログラムログデータ、303:バス、304:プロセッサ、305:I/Oハードウェア、306:通信ハードウェア、
401:メモリ、4011:OSプログラム、4012:Webサーバプログラム、4013:マネージャプログラム、402:固定ディスク、4021:OSプログラム、4022:Webサーバプログラム、4023:管理対象一覧データ、4024:ログ解析データ、4025:行為定義データ、4026:ログ設定定義データ、4027:全管理対象プログラムログデータ、403:バス、404:プロセッサ、405:I/Oハードウェア、406:通信ハードウェア、
501:マネージャ間通信処理部、502:ログ出力設定処理部、503:ログ転送処理部、504:アカウント情報転送処理部、
601:エージェント間通信処理部、602:エージェント制御部、603:検索処理部、604:ユーザインターフェース処理部、
701:管理対象IDフィールド、702:管理対象プログラム名フィールド、703:プログラム種別・バージョンフィールド、704:エージェントIPアドレス・ポートフィールド、
801:解析項目IDフィールド、802:定義値フィールド、
901:解析項目IDフィールド、902:定義値フィールド、
1001:解析項目IDフィールド、1002:定義値フィールド、
1101:行為IDフィールド、1102:行為関係プログラムフィールド、
1201:設定項目IDフィールド、1202:設定値フィールド、
1301:設定項目IDフィールド、1302:設定値フィールド、
1401:設定項目IDフィールド、1402:設定値フィールド、
1501:日時フィールド、1502:操作フィールド、1503:アカウント名フィールド、1504:フルネームフィールド、1505:社員番号フィールド、
1601:日時フィールド、1602:操作フィールド、1603:アカウント名フィールド、1604:フルネームフィールド、1605:社員番号フィールド、
1701:復元後の管理対象プログラムAのユーザアカウント一覧データ、1702:アカウント名フィールド、1703:フルネームフィールド、1704:社員番号フィールド、
1801:復元後の管理対象プログラムBのユーザアカウント一覧データ、1802:アカウント名フィールド、1803:フルネームフィールド、1804:社員番号フィールド、
1901:検索トップ画面、1902:タイトル表示エリア、1903:検索対象入力エリア、1904:検索実行ボタン、
2001:検索結果画面、2002:タイトル表示エリア、2003:検索結果表示エリア、2004:戻るボタン、
2501:管理対象プログラムAのログデータ、
2501:管理対象プログラムBのログデータ、
2601:管理対象プログラムCのログデータ、
2701:検索結果ログデータ。
201:エージェントプログラム、202:マネージャプログラム、203:Webブラウザ、
301:メモリ、3011:OSプログラム、3012:エージェントプログラム、3013:管理対象プログラム、302:固定ディスク、3021:OSプログラム、3022:管理対象プログラム、3023:管理対象プログラムのユーザアカウント一覧データ、3024:管理対象プログラムのユーザアカウント変更ログデータ、3025:管理対象プログラムログデータ、303:バス、304:プロセッサ、305:I/Oハードウェア、306:通信ハードウェア、
401:メモリ、4011:OSプログラム、4012:Webサーバプログラム、4013:マネージャプログラム、402:固定ディスク、4021:OSプログラム、4022:Webサーバプログラム、4023:管理対象一覧データ、4024:ログ解析データ、4025:行為定義データ、4026:ログ設定定義データ、4027:全管理対象プログラムログデータ、403:バス、404:プロセッサ、405:I/Oハードウェア、406:通信ハードウェア、
501:マネージャ間通信処理部、502:ログ出力設定処理部、503:ログ転送処理部、504:アカウント情報転送処理部、
601:エージェント間通信処理部、602:エージェント制御部、603:検索処理部、604:ユーザインターフェース処理部、
701:管理対象IDフィールド、702:管理対象プログラム名フィールド、703:プログラム種別・バージョンフィールド、704:エージェントIPアドレス・ポートフィールド、
801:解析項目IDフィールド、802:定義値フィールド、
901:解析項目IDフィールド、902:定義値フィールド、
1001:解析項目IDフィールド、1002:定義値フィールド、
1101:行為IDフィールド、1102:行為関係プログラムフィールド、
1201:設定項目IDフィールド、1202:設定値フィールド、
1301:設定項目IDフィールド、1302:設定値フィールド、
1401:設定項目IDフィールド、1402:設定値フィールド、
1501:日時フィールド、1502:操作フィールド、1503:アカウント名フィールド、1504:フルネームフィールド、1505:社員番号フィールド、
1601:日時フィールド、1602:操作フィールド、1603:アカウント名フィールド、1604:フルネームフィールド、1605:社員番号フィールド、
1701:復元後の管理対象プログラムAのユーザアカウント一覧データ、1702:アカウント名フィールド、1703:フルネームフィールド、1704:社員番号フィールド、
1801:復元後の管理対象プログラムBのユーザアカウント一覧データ、1802:アカウント名フィールド、1803:フルネームフィールド、1804:社員番号フィールド、
1901:検索トップ画面、1902:タイトル表示エリア、1903:検索対象入力エリア、1904:検索実行ボタン、
2001:検索結果画面、2002:タイトル表示エリア、2003:検索結果表示エリア、2004:戻るボタン、
2501:管理対象プログラムAのログデータ、
2501:管理対象プログラムBのログデータ、
2601:管理対象プログラムCのログデータ、
2701:検索結果ログデータ。
Claims (20)
- 利用者に使用される単一又は複数の電子計算機を管理対象計算機とし、該管理対象計算機から出力されるログを管理検索するログ管理装置において、
該管理対象計算機の構成要素が出力するログから利用者を特定するために使用可能なログ要素の情報を抽出する手段と、抽出された該ログ要素の情報を使用して他の構成要素が出力したログから関連するログを抽出する手段を有することを特徴とするログ管理装置。 - 更に、該管理対象計算機に対して該構成要素が持つログの出力機能の設定を行う手段と、ログ検索を実施する上で必要となるログを該構成要素に出力させるための、該構成要素のログ出力機能の設定値を保持する手段を有し、ログ検索時に必要となる情報を含むログを該構成要素が出力するようにすることを特徴とする請求項1のログ管理装置。
- 更に、ユーザアカウントの一覧を保持する手段と、ユーザアカウントの一覧の変更履歴を保持する手段と、該最新のユーザアカウントの一覧と該変更履歴を利用して過去のユーザアカウントの一覧を復元する手段と、あるユーザアカウントに関連するログを抽出する手段を有し、検索対象期間に有効だったユーザアカウントの一覧を使用してログ検索を行うことを特徴とする請求項1又は2のログ管理装置。
- 更に、利用者行為と管理対象計算機の構成要素との関連を保持する手段と、ログから特定構成要素のログを抽出する手段を持ち、利用者行為に関係するログを抽出することを特徴とする請求項1又は3のログ管理装置。
- 更に、ログの出力フォーマット及びログの各要素の情報種別を保持する手段と、前記ログの出力フォーマット及びログの各要素の情報種別に従いログに含まれる情報を解析する手段を有することを特徴とする請求項1又は4のログ管理装置。
- 該ログ検索の結果として、少なくとも、検索実行に当り入力された項目に対する検索結果を表示する結果表示エリアと、検索の結果得られたログとして管理対象プログラム名、時刻、ログの内容を含む画面を表示するユーザインターフェース処理部を更に有することを特徴とする請求項1又は5のログ管理装置。
- ネットワークを介して接続されて利用者により使用される単一又は複数の管理対象計算機と、該管理対象計算機の構成要素から出力されるログを統合して管理するログ管理装置と、該ログ管理装置を操作するための機能を持つ操作装置とを含むログ管理システムにおいて、
該管理対象計算機は;
ログデータの収集及び設定の変更を行うログ設定処理部と、出力されたログデータを格納する記憶装置と、該記憶装置に格納されているログデータを該ログ管理装置に転送する転送部と、を有し、
該ログ管理装置は;
該管理対象計算機から転送されたログデータを記憶する記憶装置と、該管理対象計算機の利用者又は利用行為に関連するログデータを抽出するために、該操作装置により指定された情報を用いて該記憶装置内のログデータを検索する検索処理部と、該検索手段により得られたログデータを該操作装置に表示するために機能するユーザインターフェース処理部と、を有することを特徴とするログ管理システム。 - 該管理対象計算機における前記ログ設定処理部及び転送部は、エージェントプログラムによって実現され、
該ログ管理装置における前記検索処理部及びユーザインターフェース処理部はマネージャプログラムにより実現され、更に該マネージャプログラムは、
該エージェントプログラムへデータ収集の指示、又は設定変更の指示を出す機能を実現するエージェント制御部を有することを特徴とする請求項7のログ管理システム。 - 該管理対象計算機の該記憶装置は、該エージェントプログラムと、該管理対象計算機で動作する管理対象プログラムと、該管理対象プログラムを使用可能な最新のユーザアカウント一覧を保持するユーザアカウント一覧データと、該管理対象プログラムのユーザアカウントの変更履歴を保持するユーザアカウント変更ログデータと、該管理対象プログラムが出力する管理対象プログラムログデータを格納することを特徴とする請求項8のログ管理システム。
- 該ログ管理装置の記憶装置は、該マネージャプログラムと、
該管理対象計算機の一覧情報を保持する管理対象一覧データと、
ログフォーマットに合わせてログ解析を行う際に使用するログ解析定義データと、行為に関連する管理対象プログラムを保持する行為定義データと、ログ出力設定の設定値を保持するログ設定定義データと、該管理対象計算機から収集したログデータを保存する該管理対象プログラムのログデータとを格納することを特徴とする請求項8又は9のログ管理システム。 - 前記管理対象一覧データは、
管理対象プログラムの識別子を示す管理対象IDと、
該管理対象IDに対応して、該管理対象プログラムの名称を記述する管理対象プログラム名と、該管理対象プログラムの種別・バージョンを示すプログラム種別・バージョンと、該エージェントプログラムへアクセスするためのIPアドレス・ポート番号を示すエージェントIPアドレス・ポートを保持するフィールドを有して構成されることを特徴とする請求項10のログ管理システム。 - 該ログ解析定義データは、該管理対象一覧データで示された管理対象プログラムの種別・バージョン毎に用意され、かつ定義を行う項目を識別するための識別名称を記述する解析項目IDと、解析項目IDに対応して定義値を示す定義値のフィールドとを有して構成されることを特徴とする請求項10のログ管理システム。
- 該行為定義データは、行為ごとに付与され、定義を行う項目を識別するための識別名称を記述する行為IDと、該行為に関連する管理対象プログラムの種別・バージョンを示すプログラムのフィールドを有して構成されることを特徴とする請求項10のログ管理システム。
- 該ログ設定定義データは、管理対象プログラムの種別・バージョン毎に用意される、定義を行う設定項目を識別するための識別名称を記述する設定項目IDと、該設定項目IDに対応する管理対象プログラムの設定項目についてログ出力を正しく実施させるための設定値を記載する設定値のフィールドを有して構成されることを特徴とする請求項10のログ管理システム。
- 該操作装置は、管理者によりログ検索管理のために使用される計算機であって、入力器及び表示器を有し、
該表示器には、検索対象利用者を入力するための入力エリア、検索対象期間を入力するためのエリア、及び検索対象行為を選択するための入力エリアを含む検索対象入力エリアと、検索実行を開始させる検索実行ボタンとを含む検索トップ画面と、
少なくとも、検索実行に当り入力された項目に対する検索結果を表示する結果表示エリアと、検索の結果得られたログを含む検索結果画面と、
が表示されることを特徴とする請求項7乃至10のいずれかのログ管理システム。 - ネットワークを介して接続されて利用者により使用される単一又は複数の管理対象計算機の構成要素から出力されるログを統合して管理するログ管理方法において、
該管理対象計算機の構成要素から出力されるログを収集して記憶装置に記憶するステップと、
検索のために指定された検索対象期間に有効であった管理対象プログラムのユーザアカウント一覧を作成するステップと、
管理対象プログラムの解析項目毎に定義を示した解析定義データの内容に従ってログ解析を行い、該記憶装置を検索してログデータを抽出し、該ログデータから同じアカウント名を含むログを抽出するステップと、
該ログデータに対して該解析定義データの内容に従ってログ解析を行い、該ログデータから利用者使用物特定情報を抽出するするステップと、
該利用者使用物特定情報を含むログを、全ての管理対象プログラムのログデータから抽出するステップと、
求められた管理対象プログラムに関するログデータを含む画面を、操作装置の表示器に表示するステップと、
を有することを特徴とするログ管理方法。 - 前記ユーザアカウント一覧の復元は、
管理対象計算機のエージェントプログラムを介して管理対象プログラムのユーザアカウント一覧データ及びユーザアカウント変更ログデータを取得し、該ユーザアカウント変更ログデータの内容に関してユーザアカウント一覧データを参照して、検索指定利用者に対して有効なアカウント一覧を復元することを特徴とする請求項17のログ管理方法。 - 更に、検索対象として指定された行為に該当する管理対象プログラムを行為定義データから求めるステップと、
求められた管理対象プログラム以外の管理対象プログラムが出力したログを、抽出されたログデータから削除するステップと、を有し、
残ったログデータを時刻でソートした結果を示す画面を表示器に表示することを特徴とする請求項17又は18のログ管理方法。 - 該操作装置の該表示器には、検索対象利用者を入力するための入力エリア、検索対象期間を入力するためのエリア、及び検索対象行為を選択するための入力エリアを含む検索対象入力エリアと、検索実行を開始させる検索実行ボタンとを含む検索トップ画面を表示するステップと、
検索結果として、少なくとも、検索実行に当り入力された項目に対する検索結果を表示する結果表示エリアと、検索の結果得られたログとして管理対象プログラム名、時刻、ログの内容を含む画面を表示するステップと、
を有することを特徴とする請求項16乃至18のいずれかのログ管理方法。 - ネットワークを介して接続されて利用者により使用される単一又は複数の管理対象計算機の構成要素から出力されるログを統合して管理するためのログ管理装置で実行されるプログラムであって、
該管理対象計算機の構成要素から出力されるログを収集して記憶装置に記憶する手段と、
検索のために指定された検索対象期間に有効であった管理対象プログラムのユーザアカウント一覧を作成する手段と、
管理対象プログラムの解析項目毎に定義を示した解析定義データの内容に従ってログ解析を行い、該記憶装置を検索してログデータを抽出し、該ログデータから同じアカウント名を含むログを抽出する手段と、
該ログデータに対して該解析定義データの内容に従ってログ解析を行い、該ログデータから利用者使用物特定情報を抽出するする手段と、
該利用者使用物特定情報を含むログを、全ての管理対象プログラムのログデータから抽出する手段と、
求められた管理対象プログラムに関するログデータを含む画面を、操作装置の表示器に表示する手段と、
を有することを特徴とするログ管理用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005126097A JP2006302170A (ja) | 2005-04-25 | 2005-04-25 | ログ管理方法及び装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005126097A JP2006302170A (ja) | 2005-04-25 | 2005-04-25 | ログ管理方法及び装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006302170A true JP2006302170A (ja) | 2006-11-02 |
Family
ID=37470356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005126097A Pending JP2006302170A (ja) | 2005-04-25 | 2005-04-25 | ログ管理方法及び装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006302170A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008210308A (ja) * | 2007-02-28 | 2008-09-11 | Mitsubishi Electric Corp | ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム |
| JP2009129356A (ja) * | 2007-11-27 | 2009-06-11 | Hitachi Ltd | 監査証跡確認装置 |
| JP2009265965A (ja) * | 2008-04-25 | 2009-11-12 | Intec Inc | 異なる複数のログ情報から抽出されたイベントデータの表示方法 |
| JP2010049363A (ja) * | 2008-08-19 | 2010-03-04 | Ricoh Co Ltd | ログ情報解析可視装置、ログ情報解析可視方法、ログ情報解析プログラム及び該プログラムを記憶した記憶媒体 |
| JP2011123752A (ja) * | 2009-12-11 | 2011-06-23 | Fujitsu Ltd | ログ収集装置、ログ収集プログラム、ログ収集方法及びログ収集システム |
| US8266178B2 (en) | 2009-09-14 | 2012-09-11 | Canon Kabushiki Kaisha | Management apparatus, information processing apparatus, and method therefor |
| US8429463B2 (en) | 2008-09-30 | 2013-04-23 | Fujitsu Limited | Log management method and apparatus, information processing apparatus with log management apparatus and storage medium |
| US8533850B2 (en) | 2010-06-29 | 2013-09-10 | Hitachi, Ltd. | Fraudulent manipulation detection method and computer for detecting fraudulent manipulation |
| US8621436B2 (en) | 2010-03-02 | 2013-12-31 | Fuji Xerox Co., Ltd. | Computer readable medium, verification support method and verification support apparatus |
| US8850592B2 (en) | 2010-03-10 | 2014-09-30 | Hitachi, Ltd. | Unauthorized operation detection system and unauthorized operation detection method |
| WO2014178962A1 (en) * | 2013-04-30 | 2014-11-06 | Unisys Corporation | User security comparison and reversion |
| US9124616B2 (en) | 2010-04-02 | 2015-09-01 | Hitachi, Ltd. | Computer system management method and client computer |
| US11500987B2 (en) | 2016-10-27 | 2022-11-15 | Nec Corporation | Incident effect range estimation device, incident effect range estimation method, storage medium, and system |
-
2005
- 2005-04-25 JP JP2005126097A patent/JP2006302170A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008210308A (ja) * | 2007-02-28 | 2008-09-11 | Mitsubishi Electric Corp | ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム |
| JP2009129356A (ja) * | 2007-11-27 | 2009-06-11 | Hitachi Ltd | 監査証跡確認装置 |
| JP2009265965A (ja) * | 2008-04-25 | 2009-11-12 | Intec Inc | 異なる複数のログ情報から抽出されたイベントデータの表示方法 |
| JP2010049363A (ja) * | 2008-08-19 | 2010-03-04 | Ricoh Co Ltd | ログ情報解析可視装置、ログ情報解析可視方法、ログ情報解析プログラム及び該プログラムを記憶した記憶媒体 |
| US8429463B2 (en) | 2008-09-30 | 2013-04-23 | Fujitsu Limited | Log management method and apparatus, information processing apparatus with log management apparatus and storage medium |
| US8266178B2 (en) | 2009-09-14 | 2012-09-11 | Canon Kabushiki Kaisha | Management apparatus, information processing apparatus, and method therefor |
| JP2011123752A (ja) * | 2009-12-11 | 2011-06-23 | Fujitsu Ltd | ログ収集装置、ログ収集プログラム、ログ収集方法及びログ収集システム |
| US8621436B2 (en) | 2010-03-02 | 2013-12-31 | Fuji Xerox Co., Ltd. | Computer readable medium, verification support method and verification support apparatus |
| US8850592B2 (en) | 2010-03-10 | 2014-09-30 | Hitachi, Ltd. | Unauthorized operation detection system and unauthorized operation detection method |
| US9124616B2 (en) | 2010-04-02 | 2015-09-01 | Hitachi, Ltd. | Computer system management method and client computer |
| US8533850B2 (en) | 2010-06-29 | 2013-09-10 | Hitachi, Ltd. | Fraudulent manipulation detection method and computer for detecting fraudulent manipulation |
| WO2014178962A1 (en) * | 2013-04-30 | 2014-11-06 | Unisys Corporation | User security comparison and reversion |
| US11500987B2 (en) | 2016-10-27 | 2022-11-15 | Nec Corporation | Incident effect range estimation device, incident effect range estimation method, storage medium, and system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006302170A (ja) | ログ管理方法及び装置 | |
| CN101782919B (zh) | 一种网页表单数据输出方法、装置及表单处理系统 | |
| US8756385B2 (en) | Software configuration item back-up facility | |
| US20110153748A1 (en) | Remote forensics system based on network | |
| CN102483765A (zh) | 文件搜索系统和程序 | |
| JP2003237914A (ja) | 記憶メディア保管システム及びその運用方法 | |
| JP5353208B2 (ja) | 作業内容分析方法、プログラム及び作業内容分析システム | |
| JP2004295303A (ja) | ログ収集管理システム、ログ収集管理方法およびコンピュータプログラム | |
| WO2008081967A1 (ja) | 情報処理装置および情報処理装置の制御方法およびプログラムおよび記録媒体 | |
| JP5603447B2 (ja) | ログ管理システム、ログ管理装置、及びログ管理方法 | |
| JP4782353B2 (ja) | 情報管理装置、情報処理装置及びそれらの制御方法、情報管理システム、プログラム | |
| JP2007200047A (ja) | アクセスログ表示システムおよび方法 | |
| JP2011070348A (ja) | 情報処理システム、情報処理方法、およびプログラム | |
| JP2004038234A (ja) | 情報分析支援装置及びその制御方法、情報分析支援システム、プログラム | |
| JP2005327297A (ja) | 知識情報収集システムおよび知識情報収集方法 | |
| JP7052370B2 (ja) | 評価プログラム、評価方法及び情報処理装置 | |
| JP2002351702A (ja) | オンライン利用の端末稼働統計データ作成方法及び装置 | |
| JP4885402B2 (ja) | 情報管理サーバ、情報処理装置、情報管理システム及びそれらの制御方法、プログラム | |
| KR20110070767A (ko) | 네트워크 기반 원격 포렌식 시스템 | |
| JP6855364B2 (ja) | ログ収集システム及びプログラム | |
| JP6799257B2 (ja) | 監視サーバ、制御方法、プログラム | |
| KR100567813B1 (ko) | 텐덤 시스템의 트랜잭션 분석 시스템 | |
| JP2005173724A (ja) | 文書管理システム、ファイルサーバ、文書管理プログラム、文書管理方法 | |
| JP2020181429A (ja) | 情報分析装置、情報分析方法、プログラムおよび情報分析システム | |
| JP3725087B2 (ja) | 知識情報収集システムおよび知識情報収集方法 |