JP2018097461A - Computer system, log analysis method and log analysis device - Google Patents

Computer system, log analysis method and log analysis device Download PDF

Info

Publication number
JP2018097461A
JP2018097461A JP2016239329A JP2016239329A JP2018097461A JP 2018097461 A JP2018097461 A JP 2018097461A JP 2016239329 A JP2016239329 A JP 2016239329A JP 2016239329 A JP2016239329 A JP 2016239329A JP 2018097461 A JP2018097461 A JP 2018097461A
Authority
JP
Japan
Prior art keywords
log
log analysis
processing
log data
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016239329A
Other languages
Japanese (ja)
Inventor
礒川 弘実
Hiromi Isogawa
弘実 礒川
宏樹 内山
Hiroki Uchiyama
宏樹 内山
熊谷 洋子
Yoko Kumagai
洋子 熊谷
訓 大久保
Satoshi Okubo
訓 大久保
耕平 山口
Kohei Yamaguchi
耕平 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016239329A priority Critical patent/JP2018097461A/en
Publication of JP2018097461A publication Critical patent/JP2018097461A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To realize an efficient log analysis processing by using limited computer resources in a control system.SOLUTION: A computer system includes a device for acquiring log data on a monitoring object and a log analysis device for executing log data analysis processing. When receiving a message including a type and an importance level, the log analysis device determines a candidate parameter to identify log analysis processing and log data to be used for the log analysis processing on the basis of the type and the importance level, corrects the candidate parameter on the basis of processing load of the log analysis device so as to execute adjustment processing to determine a parameter for execution, corrects an internal parameter defining contents of processing of the log analysis processing in order to execute the log analysis processing with the parameter for execution, acquires log data on the basis of the parameter for execution and executes the log analysis processing with the acquired log data.SELECTED DRAWING: Figure 2

Description

本発明は、制御システムを構成する機器に関するログの分析方法に関する。   The present invention relates to a log analysis method relating to devices constituting a control system.

電力、鉄道、水道、及びガス等の社会インフラ並びに自動車に利用される制御システムは、センサから取得した情報に基づいて、あらかじめ設定されている圧力及び温度等の条件を満たすために、バルブ及びアクチュエータ等の機器を制御する。   Control systems used in social infrastructure such as electric power, railways, water supply, and gas, and automobiles are based on information acquired from sensors, in order to satisfy preset conditions such as pressure and temperature, valves and actuators. Control the equipment.

前述の制御を実現するために、組込み装置は、周期的にセンサから情報を取得し、制御対象の装置の状態を確認し、サーバ等に通知し、必要に応じて機器の制御を行う。このため、制御システムは、一般的に、大量の通信データに基づいて処理を行う。   In order to realize the above-described control, the embedded device periodically acquires information from the sensor, checks the state of the device to be controlled, notifies the server, etc., and controls the device as necessary. For this reason, the control system generally performs processing based on a large amount of communication data.

制御システムは、専用OS及び専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されている。そのため、コンピュータウィルス及びサービス不能攻撃といったサイバー攻撃からは無縁であると考えられてきた。   The control system uses a dedicated OS and a dedicated protocol, and is installed in an isolated state in an area that cannot be accessed from an external network such as the Internet. For this reason, it has been considered to be free from cyber attacks such as computer viruses and denial of service attacks.

しかし、汎用OS及び汎用プロトコルを利用する制御システムが増加しており、制御の効率を向上させるために情報システムと接続するシステム形態も進んできている。そのため、サイバー攻撃の危険性が高まっている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが出現している。そのため、制御システムにもマルウェア及び不正アクセス等を検出する技術が必要となっている。   However, the number of control systems using a general-purpose OS and a general-purpose protocol is increasing, and a system configuration for connecting to an information system is also progressing in order to improve control efficiency. Therefore, the risk of cyber attacks is increasing. In recent years, computer viruses targeting control systems have emerged. Therefore, a technology for detecting malware and unauthorized access is also required for the control system.

情報システムへの不正アクセスを検出するための技術として特許文献1に記載の技術が知られている。特許文献1には、「不正アクセス情報データベース22aは、不正アクセス情報を逐次格納する。同一者判定処理部24は、不正アクセス情報データベース22aを参照し、不正アクセス情報間において、所定の項目に関する一致の度合を基に同一者による不正アクセス情報かを判定する。判断条件データベース23bは、予め不正アクセス行為の判断条件を格納する。不正者判別処理部25は、同一者判定処理部24が同一者と判定した複数の不正アクセス情報に対し、判断条件データベース23bの判断条件を参照して不正アクセス行為であるか判断し、該同一者が不正者であるか判別する。」ことが記載されている。   As a technique for detecting unauthorized access to an information system, a technique described in Patent Document 1 is known. Patent Document 1 states that “the unauthorized access information database 22a sequentially stores unauthorized access information. The identical person determination processing unit 24 refers to the unauthorized access information database 22a and matches the predetermined items between the unauthorized access information. The determination condition database 23b stores in advance conditions for determining unauthorized access behavior, and the unauthorized person determination processing unit 25 includes the same person determination processing unit 24 as the same person. For the plurality of unauthorized access information determined to be, it is determined whether or not it is an unauthorized access action with reference to the determination condition of the determination condition database 23b, and it is determined whether or not the same person is an unauthorized person. .

特開2002−334061号公報JP 2002-334061 A

特許文献1の技術を制御システムに適用する場合、判断条件データベースを参照して不正アクセス行為であるか否かを判定するための装置が必要である。当該装置には、高い性能が求められる。そのため、計算機リソースが限られた組み込み機器等の装置を用いて特許文献1に記載の技術を実現するのは困難である。   When applying the technique of Patent Document 1 to a control system, an apparatus for determining whether or not an unauthorized access action is performed with reference to a determination condition database is necessary. The apparatus is required to have high performance. Therefore, it is difficult to realize the technology described in Patent Document 1 using an apparatus such as an embedded device having limited computer resources.

本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、監視対象のログデータを取得する装置、及び前記ログデータの分析処理を実行するログ分析装置を含む計算機システムであって、前記ログ分析装置は、種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定し、前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行し、前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正し、前記実行用のパラメータに基づいて、前記ログデータを取得し、前記取得したログデータを用いて、前記ログ分析処理を実行することを特徴とする。   A typical example of the invention disclosed in the present application is as follows. That is, a computer system that includes a device that acquires log data to be monitored and a log analysis device that executes analysis processing of the log data, wherein the log analysis device receives a message that includes a type and an importance level Determining candidate parameters for specifying log analysis processing and log data used for the log analysis processing based on the type and importance, and correcting the candidate parameters based on the processing load of the log analysis device To execute an adjustment process for determining an execution parameter, and to execute a log analysis process using the execution parameter, modify an internal parameter that defines the processing content of the log analysis process, The log data is acquired based on the execution parameters, and the log analysis process is performed using the acquired log data. Characterized by a run.

本発明によれば、限られた計算機リソースを有するログ分析装置が、効率的にログ分析処理を実行できる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。   According to the present invention, a log analysis apparatus having limited computer resources can efficiently execute log analysis processing. Problems, configurations, and effects other than those described above will be clarified by the following description of embodiments.

実施例1の計算機システムの全体の構成例を説明する図である。1 is a diagram illustrating an example of the overall configuration of a computer system according to Embodiment 1. FIG. 実施例1のログ分析装置のハードウェア構成及びソフトウェア構成の一例を説明する図である。2 is a diagram illustrating an example of a hardware configuration and a software configuration of the log analysis apparatus according to the first embodiment. FIG. 実施例1の制御装置のハードウェア構成及びソフトウェア構成の一例を説明する図である。FIG. 2 is a diagram illustrating an example of a hardware configuration and a software configuration of a control device according to the first embodiment. 実施例1のネットワーク監視装置のハードウェア構成及びソフトウェア構成の一例を説明する図である。2 is a diagram illustrating an example of a hardware configuration and a software configuration of the network monitoring apparatus according to the first embodiment. FIG. 実施例1のセキュリティ対策装置のハードウェア構成及びソフトウェア構成の一例を説明する図である。FIG. 2 is a diagram illustrating an example of a hardware configuration and a software configuration of a security countermeasure device according to the first embodiment. 実施例1のログ分析定義情報の構成例を説明する図である。6 is a diagram illustrating a configuration example of log analysis definition information according to Embodiment 1. FIG. 実施例1の調整ポリシ情報の構成例を説明する図である。It is a figure explaining the structural example of the adjustment policy information of Example 1. FIG. 実施例1のスケジュール情報の構成例を説明する図である。It is a figure explaining the structural example of the schedule information of Example 1. FIG. 実施例1の計算機システムにおける処理の流れを説明するシーケンス図である。It is a sequence diagram explaining the flow of a process in the computer system of Example 1. FIG. 実施例1のログ分析装置が制御装置からメッセージを受信した場合に実行する処理を説明するフローチャートである。6 is a flowchart illustrating processing executed when the log analysis device according to the first embodiment receives a message from a control device. 実施例1の出力装置に表示される画面の一例を示す説明する図である。FIG. 6 is a diagram illustrating an example of a screen displayed on the output device according to the first embodiment. 実施例1の出力装置に表示される画面の一例を示す説明する図である。FIG. 6 is a diagram illustrating an example of a screen displayed on the output device according to the first embodiment. 実施例1のログ分析モジュールが実行する調整処理の詳細を説明するフローチャートである。10 is a flowchart illustrating details of adjustment processing executed by the log analysis module according to the first embodiment. 実施例1のログ分析装置がスケジュール情報にしたがって実行する処理を説明するフローチャートである。6 is a flowchart illustrating processing executed by the log analysis apparatus according to the first embodiment according to schedule information. 実施例2の計算機システムの全体の構成例を説明する図である。FIG. 6 is a diagram illustrating an example of the overall configuration of a computer system according to a second embodiment. 実施例2のログ分析装置が制御装置からメッセージを受信した場合に実行する処理を説明するフローチャートである。10 is a flowchart illustrating processing executed when the log analysis device according to the second embodiment receives a message from a control device. 実施例2のログ分析装置がスケジュール情報にしたがって実行する処理を説明するフローチャートである。It is a flowchart explaining the process which the log analyzer of Example 2 performs according to schedule information.

以下、本発明に係る実施例を添付図面を用いて説明する。各図において共通の構成については同一の参照符号が付されている。   Embodiments according to the present invention will be described below with reference to the accompanying drawings. In each figure, the same reference numerals are given to common configurations.

図1は、実施例1の計算機システムの全体の構成例を説明する図である。   FIG. 1 is a diagram illustrating an example of the overall configuration of a computer system according to the first embodiment.

計算機システムは、ログ分析装置101、制御装置102、ネットワーク監視装置103、及びセキュリティ対策装置104から構成される。各装置は、ネットワーク105を介して互いに接続される。   The computer system includes a log analysis device 101, a control device 102, a network monitoring device 103, and a security countermeasure device 104. Each device is connected to each other via a network 105.

ログ分析装置101は、ログ分析処理を実行する。制御装置102は、制御システムの制御対象の装置を制御する。ネットワーク監視装置103は、ネットワークの監視を行う。セキュリティ対策装置104は、ユーザ認証等のセキュリティに関する処理を実行する。本実施例では、ネットワーク監視装置103及びセキュリティ対策装置104が、それぞれの監視対象のログデータを収集し、収集したログデータを管理する。   The log analysis device 101 executes log analysis processing. The control device 102 controls a device to be controlled by the control system. The network monitoring apparatus 103 performs network monitoring. The security countermeasure device 104 executes security-related processing such as user authentication. In the present embodiment, the network monitoring device 103 and the security countermeasure device 104 collect log data to be monitored and manage the collected log data.

管理者106は、ログ分析装置101が出力するログ分析結果を閲覧することができる。   The administrator 106 can view the log analysis result output by the log analysis apparatus 101.

図2は、実施例1のログ分析装置101のハードウェア構成及びソフトウェア構成の一例を説明する図である。   FIG. 2 is a diagram illustrating an example of a hardware configuration and a software configuration of the log analysis apparatus 101 according to the first embodiment.

ログ分析装置101は、プロセッサ201、メモリ202、記憶装置203、入出力インタフェース204、及びネットワークインタフェース205を有し、各ハードウェアはバス206を介して接続される。   The log analysis apparatus 101 includes a processor 201, a memory 202, a storage device 203, an input / output interface 204, and a network interface 205, and each hardware is connected via a bus 206.

プロセッサ201は、メモリ202に格納されるプログラムを実行する。プロセッサ201がプログラムにしたがって処理を実行することによって、所定の機能を有するモジュールとして動作する。以下の説明では、モジュールを主語に処理を説明する場合、プロセッサ201が、当該モジュールを実現するプログラムを実行していることを表す。   The processor 201 executes a program stored in the memory 202. When the processor 201 executes processing according to a program, the processor 201 operates as a module having a predetermined function. In the following description, when a process is described using a module as a subject, it indicates that the processor 201 is executing a program that realizes the module.

メモリ202は、プロセッサ201が実行するプログラム及び当該プログラムに必要な情報を格納する。また、メモリ202は、プログラムが一時的に使用するワークエリアを含む。   The memory 202 stores a program executed by the processor 201 and information necessary for the program. The memory 202 includes a work area that is temporarily used by the program.

記憶装置203は、データを永続的に格納する。記憶装置203は、HDD(Hard Disk Drive)及びSSD(Solid State Drive)等の記憶媒体、又は不揮発性メモリ等が考えられる。なお、メモリ202に格納されるプログラム及び情報は、記憶装置203に格納されてもよい。この場合、プロセッサ201は、記憶装置203からプログラム及び情報を読み出し、メモリ202にプログラム及び情報をロードし、また、メモリ202にロードされたプログラムを実行する。   The storage device 203 stores data permanently. The storage device 203 may be a storage medium such as an HDD (Hard Disk Drive) and an SSD (Solid State Drive), or a nonvolatile memory. Note that the program and information stored in the memory 202 may be stored in the storage device 203. In this case, the processor 201 reads the program and information from the storage device 203, loads the program and information into the memory 202, and executes the program loaded into the memory 202.

入出力インタフェース204は、入力装置207及び出力装置208と接続するためのインタフェースである。なお、入力装置207は、キーボード、マウス、及びタッチパネル等を含み、また、出力装置208は、タッチパネル及びディスプレイ等を含む。   The input / output interface 204 is an interface for connecting to the input device 207 and the output device 208. Note that the input device 207 includes a keyboard, a mouse, a touch panel, and the like, and the output device 208 includes a touch panel, a display, and the like.

ネットワークインタフェース205は、ネットワークを介して他の計算機と接続するためのインタフェースである。   The network interface 205 is an interface for connecting to other computers via a network.

メモリ202は、プログラムとして、ログ分析モジュール211を実現するプログラムを格納し、また、情報として、ログ分析定義情報212、調整ポリシ情報213、及びスケジュール情報214を格納する。記憶装置203は、データとして、ログデータ管理情報215を格納する。   The memory 202 stores a program for realizing the log analysis module 211 as a program, and stores log analysis definition information 212, adjustment policy information 213, and schedule information 214 as information. The storage device 203 stores log data management information 215 as data.

ログ分析モジュール211は、異なるログ分析処理を実行する複数の実行モジュール221を含む。ログ分析モジュール211は、実行するログ分析処理の種類に応じて、呼び出す実行モジュールを選択する。   The log analysis module 211 includes a plurality of execution modules 221 that execute different log analysis processes. The log analysis module 211 selects an execution module to be called according to the type of log analysis processing to be executed.

ログ分析定義情報212は、メッセージ種別及びメッセージレベルに基づいて、実行するログ分析処理、及び当該ログ分析処理に使用するログデータを特定するためのパラメータに関する定義情報を格納する。ログ分析定義情報212の詳細は図6を用いて説明する。   The log analysis definition information 212 stores definition information regarding a log analysis process to be executed and parameters for specifying log data used for the log analysis process based on the message type and the message level. Details of the log analysis definition information 212 will be described with reference to FIG.

調整ポリシ情報213は、ログ分析装置101の処理負荷に応じてパラメータを調整するためのポリシを格納する。調整ポリシ情報213の詳細は図7を用いて説明する。   The adjustment policy information 213 stores a policy for adjusting parameters according to the processing load of the log analysis apparatus 101. Details of the adjustment policy information 213 will be described with reference to FIG.

スケジュール情報214は、遅延を発生させるログ分析処理の実行スケジュールを管理する情報である。本実施例では、即時に実行できないログ分析処理の実行スケジュールがスケジュール情報214に登録される。例えば、処理負荷が高いログ分析処理が同時に発生した場合、スケジュール情報214にログ分析処理の実行スケジュールが登録される。スケジュール情報214の詳細は、図8を用いて説明する。   The schedule information 214 is information for managing an execution schedule of log analysis processing that causes a delay. In this embodiment, an execution schedule of log analysis processing that cannot be executed immediately is registered in the schedule information 214. For example, when a log analysis process with a high processing load occurs simultaneously, an execution schedule of the log analysis process is registered in the schedule information 214. Details of the schedule information 214 will be described with reference to FIG.

ログデータ管理情報215は、ログ分析処理に使用されるログデータを格納する。ログデータ管理情報215は、データサイズが大きいため、記憶装置203に格納されている。ただし、メモリ202の容量が大きい場合、ログデータ管理情報215は、メモリ202に格納されてもよい。なお、ログ分析処理の開始前のログデータ管理情報215にはログデータが格納されておらず、ログ分析処理の実行時に取得したログデータが格納される。   The log data management information 215 stores log data used for log analysis processing. The log data management information 215 is stored in the storage device 203 because the data size is large. However, when the capacity of the memory 202 is large, the log data management information 215 may be stored in the memory 202. Note that log data is not stored in the log data management information 215 before the start of the log analysis process, but the log data acquired when the log analysis process is executed.

なお、メモリ202には、ログ分析装置101を制御するOS(Operating System)等のプログラムが格納されるが、本発明とは直接関係しないため省略している。   Note that a program such as an OS (Operating System) for controlling the log analysis apparatus 101 is stored in the memory 202, but is omitted because it is not directly related to the present invention.

図3は、実施例1の制御装置102のハードウェア構成及びソフトウェア構成の一例を説明する図である。   FIG. 3 is a diagram illustrating an example of a hardware configuration and a software configuration of the control device 102 according to the first embodiment.

制御装置102は、プロセッサ301、メモリ302、記憶装置303、入出力インタフェース304、及びネットワークインタフェース305を有し、各ハードウェアはバス306を介して接続される。   The control device 102 includes a processor 301, a memory 302, a storage device 303, an input / output interface 304, and a network interface 305, and each hardware is connected via a bus 306.

プロセッサ301、メモリ302、記憶装置303、入出力インタフェース304、ネットワークインタフェース305、及びバス306は、プロセッサ201、メモリ202、記憶装置203、入出力インタフェース204、ネットワークインタフェース205、及びバス206と同様のものであるため説明を省略する。   The processor 301, memory 302, storage device 303, input / output interface 304, network interface 305, and bus 306 are the same as the processor 201, memory 202, storage device 203, input / output interface 204, network interface 205, and bus 206. Therefore, the description is omitted.

なお、制御装置102の入出力インタフェース304には、制御対象の装置であるバルブ307及びアクチュエータ308が接続される。なお、バルブ307及びアクチュエータ308は、制御対象の装置の一例であってこれに限定されない。   Note that a valve 307 and an actuator 308 which are devices to be controlled are connected to the input / output interface 304 of the control device 102. The valve 307 and the actuator 308 are examples of devices to be controlled, and are not limited thereto.

メモリ302は、プログラムとして、制御モジュール311を実現するプログラムを格納する。   The memory 302 stores a program for realizing the control module 311 as a program.

制御モジュール311は、制御装置102全体を制御する。また、制御モジュール311は、バルブ307及びアクチュエータ308を制御する。具体的には、制御モジュール311は、バルブ307及びアクチュエータ308の動作を変更し、また、バルブ307及びアクチュエータ308の状態を監視する。制御モジュール311は、バルブ307及びアクチュエータ308の停止及び再起動等のイベントを検出した場合、各イベントに対応したメッセージをログ分析装置101に送信する。メッセージには、メッセージの種別及びメッセージレベル等の情報が含まれる。なお、メッセージレベルは、重要度を表す値である。   The control module 311 controls the entire control device 102. The control module 311 controls the valve 307 and the actuator 308. Specifically, the control module 311 changes the operation of the valve 307 and the actuator 308, and monitors the state of the valve 307 and the actuator 308. When the control module 311 detects an event such as stop and restart of the valve 307 and the actuator 308, the control module 311 transmits a message corresponding to each event to the log analysis apparatus 101. The message includes information such as message type and message level. The message level is a value representing the importance.

図4は、実施例1のネットワーク監視装置103のハードウェア構成及びソフトウェア構成の一例を説明する図である。   FIG. 4 is a diagram illustrating an example of a hardware configuration and a software configuration of the network monitoring apparatus 103 according to the first embodiment.

ネットワーク監視装置103は、プロセッサ401、メモリ402、記憶装置403、及びネットワークインタフェース405を有し、各ハードウェアはバス406を介して接続される。なお、ネットワーク監視装置103は、入出力インタフェースを有してもよい。   The network monitoring apparatus 103 includes a processor 401, a memory 402, a storage device 403, and a network interface 405, and each hardware is connected via a bus 406. The network monitoring apparatus 103 may have an input / output interface.

プロセッサ401、メモリ402、記憶装置403、ネットワークインタフェース405、及びバス406は、プロセッサ201、メモリ202、記憶装置203、ネットワークインタフェース205、及びバス206と同様のものであるため説明を省略する。   Since the processor 401, the memory 402, the storage device 403, the network interface 405, and the bus 406 are the same as the processor 201, the memory 202, the storage device 203, the network interface 205, and the bus 206, description thereof is omitted.

メモリ402は、プログラムとして、ネットワーク管理モジュール411を実現するプログラムを格納する。記憶装置403は、データとして、ネットワークログデータ管理情報412を格納する。   The memory 402 stores a program for realizing the network management module 411 as a program. The storage device 403 stores network log data management information 412 as data.

ネットワークログデータ管理情報412は、ネットワーク105を流れるデータに関するログであるネットワークログデータを管理する情報である。なお、ネットワークログデータはタイムスタンプを含む。   The network log data management information 412 is information for managing network log data that is a log related to data flowing through the network 105. The network log data includes a time stamp.

ネットワーク管理モジュール411は、ネットワークログデータを取得し、ネットワークログデータ管理情報412にネットワークログデータを格納する。また、ネットワーク管理モジュール411は、ログ分析装置101から受信した要求にしたがって、ネットワークログデータ管理情報412に格納されるネットワークログデータをログ分析装置101に送信する。   The network management module 411 acquires network log data and stores the network log data in the network log data management information 412. Further, the network management module 411 transmits network log data stored in the network log data management information 412 to the log analysis apparatus 101 in accordance with the request received from the log analysis apparatus 101.

図5は、実施例1のセキュリティ対策装置104のハードウェア構成及びソフトウェア構成の一例を説明する図である。   FIG. 5 is a diagram illustrating an example of a hardware configuration and a software configuration of the security countermeasure device 104 according to the first embodiment.

セキュリティ対策装置104は、プロセッサ501、メモリ502、記憶装置503、及びネットワークインタフェース505を有し、各ハードウェアはバス506を介して接続される。なお、セキュリティ対策装置104は、入出力インタフェースを有してもよい。   The security countermeasure device 104 includes a processor 501, a memory 502, a storage device 503, and a network interface 505, and each hardware is connected via a bus 506. The security countermeasure device 104 may have an input / output interface.

プロセッサ501、メモリ502、記憶装置503、ネットワークインタフェース505、及びバス506は、プロセッサ201、メモリ202、記憶装置203、ネットワークインタフェース205、及びバス206と同様のものであるため説明を省略する。   Since the processor 501, the memory 502, the storage device 503, the network interface 505, and the bus 506 are the same as the processor 201, the memory 202, the storage device 203, the network interface 205, and the bus 206, description thereof is omitted.

メモリ502は、プログラムとして、セキュリティ対策モジュール511を実現するプログラムを格納する。記憶装置503は、データとして、セキュリティログデータ管理情報512を格納する。   The memory 502 stores a program for realizing the security countermeasure module 511 as a program. The storage device 503 stores security log data management information 512 as data.

セキュリティログデータ管理情報512は、セキュリティ機能に関するログであるセキュリティログデータを管理する情報である。なお、セキュリティログデータはタイムスタンプを含む。   The security log data management information 512 is information for managing security log data that is a log related to a security function. The security log data includes a time stamp.

セキュリティ対策モジュール511は、ユーザ認証等のセキュリティ機能を提供する。セキュリティ対策モジュール511は、セキュリティログデータを取得し、セキュリティログデータ管理情報512にセキュリティログデータを格納する。また、セキュリティ対策モジュール511は、ログ分析装置101から受信した要求にしたがって、セキュリティログデータ管理情報512に格納されるセキュリティログデータをログ分析装置101に送信する。   The security countermeasure module 511 provides a security function such as user authentication. The security countermeasure module 511 acquires security log data and stores the security log data in the security log data management information 512. Further, the security countermeasure module 511 transmits the security log data stored in the security log data management information 512 to the log analysis device 101 in accordance with the request received from the log analysis device 101.

図6は、実施例1のログ分析定義情報212の構成例を説明する図である。   FIG. 6 is a diagram illustrating a configuration example of the log analysis definition information 212 according to the first embodiment.

ログ分析定義情報212は、ID601、メッセージ種別602、メッセージレベル603、ログデータ種別604、対象期間605、及びモジュール種別606から構成されるレコードを含む。一つのレコードが一つの定義情報に対応する。   The log analysis definition information 212 includes a record including an ID 601, a message type 602, a message level 603, a log data type 604, a target period 605, and a module type 606. One record corresponds to one definition information.

ID601は、ログ分析定義情報212のレコードを一意に識別するための識別情報を格納するフィールドである。   The ID 601 is a field for storing identification information for uniquely identifying a record of the log analysis definition information 212.

メッセージ種別602は、制御装置102等から通知されたメッセージの種別を格納するフィールドである。メッセージレベル603は、制御装置102等から通知されたメッセージレベルを格納するフィールドである。   The message type 602 is a field for storing the type of message notified from the control device 102 or the like. The message level 603 is a field for storing the message level notified from the control device 102 or the like.

ログデータ種別604は、取得対象のログデータの種別を格納するフィールドである。ログデータ種別604には、ログデータの種別、及びログデータに含める項目を示す値が格納される。対象期間605は、取得対象のログデータの時間範囲を格納するフィールドである。本実施例では、ログデータ種別604及び対象期間605に基づいて、取得対象のログデータが特定される。   The log data type 604 is a field for storing the type of log data to be acquired. The log data type 604 stores a value indicating the type of log data and items included in the log data. The target period 605 is a field for storing the time range of the log data to be acquired. In this embodiment, the log data to be acquired is specified based on the log data type 604 and the target period 605.

モジュール種別606は、呼び出される実行モジュール221の種別を格納するフィールドである。すなわち、モジュール種別606はログ分析処理の種別を表す。   The module type 606 is a field for storing the type of the execution module 221 to be called. That is, the module type 606 represents the type of log analysis processing.

本実施例では、メッセージレベル603に応じて、処理負荷が異なるログ分析処理が実行される。すなわち、取得するログデータに応じて実行モジュール221が実行するログ分析処理の粒度が異なる。本実施例では、処理の粒度毎に、ログ分析処理で使用する変数、コード、及び関数等の処理内容を規定するパラメータ(内部パラメータ)が予め設定されているものとする。   In this embodiment, log analysis processing with different processing loads is executed according to the message level 603. That is, the granularity of the log analysis processing executed by the execution module 221 differs depending on the acquired log data. In this embodiment, it is assumed that parameters (internal parameters) that define processing contents such as variables, codes, and functions used in log analysis processing are set in advance for each processing granularity.

なお、レコードは、内部パラメータを格納するフィールドを含んでもよい。   Note that the record may include a field for storing an internal parameter.

図7は、実施例1の調整ポリシ情報213の構成例を説明する図である。   FIG. 7 is a diagram illustrating a configuration example of the adjustment policy information 213 according to the first embodiment.

調整ポリシ情報213は、ID701、優先度702、負荷条件703、及び調整方法704から構成されるレコードを含む。一つのレコードが一つの調整ポリシに対応する。   The adjustment policy information 213 includes a record including an ID 701, a priority 702, a load condition 703, and an adjustment method 704. One record corresponds to one adjustment policy.

ID701は、調整ポリシ情報213のレコードを一意に識別するための識別情報を格納するフィールドである。   The ID 701 is a field for storing identification information for uniquely identifying the record of the adjustment policy information 213.

優先度702は、ポリシの優先度を格納するフィールドである。本実施例では、「1」から順に優先度を表す数値が優先度702に設定される。「1」が最も優先度が高いものとする。適用可能な調整ポリシが複数存在した場合、ログ分析モジュール211は、優先度が最も高い調整ポリシを、使用する調整ポリシとして選択する。   The priority 702 is a field for storing the priority of the policy. In this embodiment, a numerical value representing the priority is set as the priority 702 in order from “1”. “1” is the highest priority. When there are a plurality of applicable adjustment policies, the log analysis module 211 selects the adjustment policy with the highest priority as the adjustment policy to be used.

負荷条件703は、調整ポリシの適用条件であるログ分析装置101の負荷に関する情報を格納するフィールドである。   The load condition 703 is a field for storing information related to the load of the log analysis apparatus 101 that is an application condition of the adjustment policy.

調整方法704は、具体的なログ分析処理の調整方法に関する情報を格納するフィールドである。ID701が「1」のレコードの調整方法704には、ログ分析処理の実行時間を遅延させるためのスケジューリングが調整方法として設定される。また、ID701が「2」のレコードの調整方法704には、処理負荷が低いログ分析処理に変更する調整方法が設定される。また、ID701が「5」のレコードの調整方法704には、処理負荷を低減するために、取得するログデータの時間範囲を狭める調整方法が設定される。   The adjustment method 704 is a field for storing information related to a specific log analysis processing adjustment method. In the adjustment method 704 for the record whose ID 701 is “1”, scheduling for delaying the execution time of the log analysis processing is set as the adjustment method. Further, an adjustment method for changing to a log analysis process with a low processing load is set in the adjustment method 704 for the record whose ID 701 is “2”. In the adjustment method 704 for the record whose ID 701 is “5”, an adjustment method for narrowing the time range of the log data to be acquired is set in order to reduce the processing load.

図8は、実施例1のスケジュール情報214の構成例を説明する図である。   FIG. 8 is a diagram illustrating a configuration example of the schedule information 214 according to the first embodiment.

スケジュール情報214は、ID801、ログデータ種別802、対象期間803、及びモジュール種別804から構成されるレコードを含む。一つのレコードが一つのログ分析処理に対応する。   The schedule information 214 includes a record including an ID 801, a log data type 802, a target period 803, and a module type 804. One record corresponds to one log analysis process.

ID801は、スケジュール情報214のレコードを一意に識別するための識別情報を格納するフィールドである。ログデータ種別802、対象期間803、及びモジュール種別804は、ログデータ種別604、対象期間605、及びモジュール種別606と同一のものである。   The ID 801 is a field for storing identification information for uniquely identifying the record of the schedule information 214. The log data type 802, the target period 803, and the module type 804 are the same as the log data type 604, the target period 605, and the module type 606.

次に、計算機システムにおける処理について説明する。   Next, processing in the computer system will be described.

図9は、実施例1の計算機システムにおける処理の流れを説明するシーケンス図である。   FIG. 9 is a sequence diagram illustrating the flow of processing in the computer system according to the first embodiment.

制御装置102は、イベントの発生を検出した場合、当該イベントに対応するメッセージをログ分析装置101に送信する(ステップS901)。メッセージには、及びメッセージ種別を特定するための情報を含むメッセージ内容及びメッセージレベルが含まれる。   When the occurrence of an event is detected, the control device 102 transmits a message corresponding to the event to the log analysis device 101 (step S901). The message includes message content and message level including information for specifying the message type.

ログ分析装置101は、メッセージを解析することによって、実行するログ分析処理及びパラメータを決定する(ステップS902)。本実施例では、ログデータの種別、ログデータに含める項目、及びログデータの時間範囲等がパラメータとして決定される。   The log analysis apparatus 101 determines a log analysis process and parameters to be executed by analyzing the message (step S902). In the present embodiment, the type of log data, the items included in the log data, the time range of the log data, and the like are determined as parameters.

ログ分析装置101は、パラメータによって特定されるログデータを取得するために、ネットワーク監視装置103及びセキュリティ対策装置104に取得要求を送信する(ステップS903、S904)。なお、スケジュール情報214に実行するログ分析処理の情報が登録された場合、ログ分析装置101は、実行契機の経過後に取得要求を送信する。   The log analysis apparatus 101 transmits an acquisition request to the network monitoring apparatus 103 and the security countermeasure apparatus 104 in order to acquire log data specified by the parameters (steps S903 and S904). Note that when log analysis processing information to be executed is registered in the schedule information 214, the log analysis apparatus 101 transmits an acquisition request after the execution trigger has elapsed.

セキュリティ対策装置104及びネットワーク監視装置103は、取得要求にしたがって、要求されたログデータをログ分析装置101に送信する(ステップS905、S906)。   The security countermeasure device 104 and the network monitoring device 103 transmit the requested log data to the log analysis device 101 in accordance with the acquisition request (steps S905 and S906).

ログ分析装置101は、ログデータを受信した後、ログ分析処理を実行する(ステップS907)。ログ分析装置101は、管理者106に対して分析結果を表示する(ステップS908)。   After receiving the log data, the log analysis apparatus 101 executes log analysis processing (step S907). The log analyzer 101 displays the analysis result for the administrator 106 (step S908).

ログ分析装置101は、管理者106から再分析指示を受け付けた場合(ステップS909)、実行するログ分析処理及びパラメータを決定する(ステップS910)。再分析指示には、前回のログ分析処理におけるメッセージ種別及びメッセージレベルが含まれる。   When the log analysis apparatus 101 receives a reanalysis instruction from the administrator 106 (step S909), the log analysis apparatus 101 determines a log analysis process and parameters to be executed (step S910). The reanalysis instruction includes the message type and message level in the previous log analysis process.

本実施例では、ログ分析装置101は、ログ分析定義情報212を参照し、再分析指示に含まれるメッセージレベルより高いメッセージレベルに対応するログ分析処理を選択する。例えば、再分析指示に含まれるメッセージ種別が「T1」かつメッセージレベルが「軽微」である場合、ログ分析装置101は、メッセージ種別602が「T1」かつメッセージレベル603が「注意」であるレコードを選択する。   In this embodiment, the log analysis apparatus 101 refers to the log analysis definition information 212 and selects a log analysis process corresponding to a message level higher than the message level included in the reanalysis instruction. For example, when the message type included in the reanalysis instruction is “T1” and the message level is “Minor”, the log analysis apparatus 101 selects a record whose message type 602 is “T1” and the message level 603 is “Caution”. select.

ログ分析装置101は、パラメータによって特定されるログデータを取得するために、ネットワーク監視装置103及びセキュリティ対策装置104に取得要求を送信する(ステップS911、S912)。   The log analysis apparatus 101 transmits an acquisition request to the network monitoring apparatus 103 and the security countermeasure apparatus 104 in order to acquire log data specified by the parameters (steps S911 and S912).

セキュリティ対策装置104及びネットワーク監視装置103は、取得要求にしたがって、要求されたログデータをログ分析装置101に送信する(ステップS913、S914)。   The security countermeasure device 104 and the network monitoring device 103 transmit the requested log data to the log analysis device 101 in accordance with the acquisition request (steps S913 and S914).

ログ分析装置101は、ログデータを受信した後、ログ分析処理を実行する(ステップS915)。ログ分析装置101は、管理者106に対して分析結果を表示する(ステップS916)。   After receiving the log data, the log analysis device 101 executes log analysis processing (step S915). The log analyzer 101 displays the analysis result to the administrator 106 (step S916).

図10は、実施例1のログ分析装置101が制御装置102からメッセージを受信した場合に実行する処理を説明するフローチャートである。   FIG. 10 is a flowchart illustrating processing executed when the log analysis apparatus 101 according to the first embodiment receives a message from the control apparatus 102.

ログ分析モジュール211は、制御装置102からメッセージを受信した場合、以下で説明する処理を開始する。   When the log analysis module 211 receives a message from the control device 102, the log analysis module 211 starts processing described below.

ログ分析モジュール211は、メッセージからメッセージ種別及びメッセージレベルを取得する(ステップS1001)。   The log analysis module 211 acquires a message type and a message level from the message (step S1001).

具体的には、ログ分析モジュール211は、メッセージに含まれるメッセージ内容からメッセージ種別を取得し、また、メッセージに含まれるメッセージレベルを取得する。   Specifically, the log analysis module 211 acquires the message type from the message content included in the message, and acquires the message level included in the message.

ログ分析モジュール211は、調整処理を実行する(ステップS1002)。当該処理では、実行するログ分析処理及びパラメータが決定される。調整処理の詳細は図12を用いて説明する。   The log analysis module 211 executes adjustment processing (step S1002). In this process, a log analysis process and parameters to be executed are determined. Details of the adjustment processing will be described with reference to FIG.

次に、ログ分析モジュール211は、実行するログ分析処理の実行スケジュールがスケジュール情報214に登録されたか否かを判定する(ステップS1003)。   Next, the log analysis module 211 determines whether or not the execution schedule of the log analysis processing to be executed is registered in the schedule information 214 (step S1003).

実行するログ分析処理の実行スケジュールがスケジュール情報214に登録されていると判定された場合、ログ分析モジュール211は処理を終了する。実行スケジュールがスケジュール情報214に登録された場合、この時点ではログ分析処理は実行されない。   When it is determined that the execution schedule of the log analysis process to be executed is registered in the schedule information 214, the log analysis module 211 ends the process. When the execution schedule is registered in the schedule information 214, the log analysis process is not executed at this point.

実行するログ分析処理の実行スケジュールがスケジュール情報214に登録されていないと判定された場合、ログ分析モジュール211は、調整処理によって決定されたログデータを取得するための取得要求を対象の機器に送信する(ステップS1004)。   When it is determined that the execution schedule of the log analysis process to be executed is not registered in the schedule information 214, the log analysis module 211 transmits an acquisition request for acquiring log data determined by the adjustment process to the target device. (Step S1004).

後述するように調整処理では、取得するログデータの種別、ログデータに含める項目、及びログデータの時間範囲等が決定される。ログ分析モジュール211は、ログデータの種別に基づいてログデータを取得する機器を特定し、項目の識別情報及び時間範囲を含む取得要求を特定された機器に送信する。   As described later, in the adjustment process, the type of log data to be acquired, items to be included in the log data, the time range of the log data, and the like are determined. The log analysis module 211 specifies a device from which log data is acquired based on the type of log data, and transmits an acquisition request including item identification information and a time range to the specified device.

次に、ログ分析モジュール211は、ログデータを取得した後、調整処理によって決定されたログ分析処理を実行する(ステップS1005)。   Next, after acquiring the log data, the log analysis module 211 executes the log analysis process determined by the adjustment process (step S1005).

具体的には、ログ分析モジュール211は、調整処理によって決定された実行モジュール221を呼び出し、処理の実行を指示する。なお、ログ分析処理は公知の技術であるため詳細な説明は省略する。また、本実施例は、ログ分析処理の内容に限定されない。   Specifically, the log analysis module 211 calls the execution module 221 determined by the adjustment process, and instructs the execution of the process. Since the log analysis process is a known technique, a detailed description thereof is omitted. Further, the present embodiment is not limited to the contents of log analysis processing.

次に、ログ分析モジュール211は、分析結果を管理者106に対して出力する(ステップS1006)。その後、ログ分析モジュール211は処理を終了する。   Next, the log analysis module 211 outputs the analysis result to the administrator 106 (step S1006). Thereafter, the log analysis module 211 ends the process.

具体的には、ログ分析モジュール211は、分析結果を表示するための表示情報を生成し、表示情報に基づいて出力装置208に画面を表示する。   Specifically, the log analysis module 211 generates display information for displaying the analysis result, and displays a screen on the output device 208 based on the display information.

なお、ログ分析モジュール211は、管理者106から再分析指示を受け付けた場合、同様の処理を実行する。   The log analysis module 211 executes the same processing when receiving a reanalysis instruction from the administrator 106.

図11A及び図11Bは、実施例1の出力装置208に表示される画面の一例を示す説明する図である。ここでは、ログデータの要約処理がログ分析処理として実行された場合の画面について説明する。   11A and 11B are diagrams illustrating an example of a screen displayed on the output device 208 according to the first embodiment. Here, a screen when log data summarization processing is executed as log analysis processing will be described.

図11Aは、メッセージレベルが「重大」であるメッセージを受信した場合に表示される画面1100を表し、図11Bはメッセージレベルが「軽微」であるメッセージを受信した場合に表示される画面1110を表す。   FIG. 11A shows a screen 1100 displayed when a message with a message level “critical” is received, and FIG. 11B shows a screen 1110 displayed when a message with a message level “minor” is received. .

画面1100は、メッセージ内容表示エリア1101及びログ分析結果表示エリア1102から構成される。   The screen 1100 includes a message content display area 1101 and a log analysis result display area 1102.

メッセージ内容表示エリア1101は、メッセージの内容を表示するエリアである。メッセージ内容表示エリア1101には、メッセージの発生日時、メッセージレベル、及びメッセージ内容等が表示される。   The message content display area 1101 is an area for displaying the content of the message. The message content display area 1101 displays the date and time of message generation, message level, message content, and the like.

ログ分析結果表示エリア1102は、ログ分析処理の結果を表示するエリアである。ログ分析結果表示エリア1102には、パラメータ及び分析結果等が表示される。   The log analysis result display area 1102 is an area for displaying the result of the log analysis processing. The log analysis result display area 1102 displays parameters, analysis results, and the like.

画面1110は、メッセージ内容表示エリア1111、ログ分析結果表示エリア1112、及び補足表示エリア1113から構成される。   The screen 1110 includes a message content display area 1111, a log analysis result display area 1112, and a supplement display area 1113.

メッセージ内容表示エリア1111及びログ分析結果表示エリア1112は、メッセージ内容表示エリア1101及びログ分析結果表示エリア1102と同様のエリアである。ただし、メッセージ内容表示エリア1111及びログ分析結果表示エリア1112に表示される情報は、メッセージ内容表示エリア1101及びログ分析結果表示エリア1102に表示される情報より粒度が荒い。   The message content display area 1111 and the log analysis result display area 1112 are the same areas as the message content display area 1101 and the log analysis result display area 1102. However, the information displayed in the message content display area 1111 and the log analysis result display area 1112 has a coarser granularity than the information displayed in the message content display area 1101 and the log analysis result display area 1102.

補足表示エリア1113は、調整処理によって変更されたログ分析処理の変更内容等を表示するエリアである。図11Bに示す補足表示エリア1113には、実行されたログ分析処理より詳細な分析結果を出力するログ分析処理の実行を指示するための実行ボタンが含まれる。管理者106は、当該実行ボタンを操作することによって、ログ分析装置101に再分析指示を入力する。   The supplement display area 1113 is an area for displaying the changed contents of the log analysis process changed by the adjustment process. The supplemental display area 1113 illustrated in FIG. 11B includes an execution button for instructing execution of a log analysis process that outputs a more detailed analysis result than the executed log analysis process. The administrator 106 inputs a reanalysis instruction to the log analysis apparatus 101 by operating the execution button.

メッセージレベルの違いによって実行されるログ分析処理が異なるため、図11A及び図11Bに示すように、ログ分析処理の結果を表示する画面が異なる。   Since the log analysis process to be executed is different depending on the message level, the screen for displaying the result of the log analysis process is different as shown in FIGS. 11A and 11B.

図12は、実施例1のログ分析モジュール211が実行する調整処理の詳細を説明するフローチャートである。   FIG. 12 is a flowchart illustrating details of the adjustment process executed by the log analysis module 211 according to the first embodiment.

ログ分析モジュール211は、ログ分析装置101の処理負荷を示す負荷情報を取得する(ステップS1201)。   The log analysis module 211 acquires load information indicating the processing load of the log analysis apparatus 101 (step S1201).

次に、ログ分析モジュール211は、ログ分析定義情報212に基づいて、実行するログ分析処理及び候補パラメータを決定する(ステップS1202)。   Next, the log analysis module 211 determines a log analysis process to be executed and candidate parameters based on the log analysis definition information 212 (step S1202).

具体的には、ログ分析モジュール211は、ログ分析定義情報212を参照して、メッセージ種別602及びメッセージレベル603が、受信したメッセージのメッセージ種別及びメッセージレベルと一致するレコードを検索する。ログ分析モジュール211は、検索されたレコードのモジュール種別606を実行するログ分析処理に決定し、検索されたレコードのログデータ種別604及び対象期間605を候補パラメータに決定する。   Specifically, the log analysis module 211 refers to the log analysis definition information 212 and searches for a record in which the message type 602 and the message level 603 match the message type and message level of the received message. The log analysis module 211 determines the log analysis processing to execute the module type 606 of the retrieved record, and determines the log data type 604 and the target period 605 of the retrieved record as candidate parameters.

次に、ログ分析モジュール211は、負荷情報及び調整ポリシ情報213に基づいて、ログ分析処理のスケジューリングが必要であるか否かを判定する(ステップS1203)。具体的には、以下のような処理が実行される。   Next, the log analysis module 211 determines whether or not the log analysis process needs to be scheduled based on the load information and the adjustment policy information 213 (step S1203). Specifically, the following processing is executed.

ログ分析モジュール211は、負荷情報に基づいて負荷条件703を参照して、負荷条件703を満たす該当するレコードを検索する。   The log analysis module 211 refers to the load condition 703 based on the load information and searches for a corresponding record that satisfies the load condition 703.

負荷条件703を満たすレコードが存在しない場合、ログ分析モジュール211は、ログ分析処理のスケジューリングが必要でないと判定する。   When there is no record satisfying the load condition 703, the log analysis module 211 determines that log analysis processing scheduling is not necessary.

負荷条件703を満たすレコードが複数存在する場合、ログ分析モジュール211は、検索されたレコードの優先度702を参照し、優先度が最も高いレコードを選択する。ログ分析モジュール211は、選択されたレコードの調整方法704が「スケジュール情報に登録」であるか否かを判定する。選択されたレコードの調整方法704が「スケジュール情報」である場合、ログ分析モジュール211は、ログ分析処理のスケジューリングが必要であると判定する。以上がステップS1203の処理の説明である。   When there are a plurality of records satisfying the load condition 703, the log analysis module 211 refers to the priority 702 of the retrieved record and selects the record with the highest priority. The log analysis module 211 determines whether the adjustment method 704 for the selected record is “register in schedule information”. When the adjustment method 704 of the selected record is “schedule information”, the log analysis module 211 determines that the log analysis processing needs to be scheduled. The above is the description of step S1203.

ログ分析処理のスケジューリングが必要であると判定された場合、ログ分析モジュール211は、スケジュール情報214にログ分析処理の実行スケジュールを登録し(ステップS1204)、調整処理を終了する。   When it is determined that the log analysis process needs to be scheduled, the log analysis module 211 registers the execution schedule of the log analysis process in the schedule information 214 (step S1204), and ends the adjustment process.

具体的には、ログ分析モジュール211は、スケジュール情報214にレコードを追加し、追加されたレコードのID801に識別情報を設定する。また、ログ分析モジュール211は、追加されたレコードのログデータ種別802、対象期間803、及びモジュール種別804に、ステップS1202において検索されたレコードのログデータ種別604、対象期間605、及びモジュール種別606を設定する。ログ分析処理の実行スケジュールを登録する場合、候補パラメータは変更されない。   Specifically, the log analysis module 211 adds a record to the schedule information 214 and sets identification information in the ID 801 of the added record. Further, the log analysis module 211 adds the log data type 604, the target period 605, and the module type 606 of the record searched in step S1202 to the log data type 802, the target period 803, and the module type 804 of the added record. Set. When registering the execution schedule of the log analysis process, the candidate parameters are not changed.

ログ分析処理のスケジューリングが必要でないと判定された場合、ログ分析モジュール211は、候補パラメータを変更する必要があるか否かを判定する(ステップS1205)。   When it is determined that the log analysis processing does not need to be scheduled, the log analysis module 211 determines whether the candidate parameter needs to be changed (step S1205).

具体的には、ログ分析モジュール211は、ステップS1203において調整ポリシ情報213から検索されたレコードの調整方法704を参照し、当該調整方法704が候補パラメータを変更する調整方法であるか否かを判定する。   Specifically, the log analysis module 211 refers to the adjustment method 704 for the record retrieved from the adjustment policy information 213 in step S1203, and determines whether the adjustment method 704 is an adjustment method for changing candidate parameters. To do.

例えば、検索されたレコードのID701が「2」である場合、ログ分析モジュール211は、候補パラメータを変更する必要があると判定する。   For example, when the ID 701 of the retrieved record is “2”, the log analysis module 211 determines that the candidate parameter needs to be changed.

候補パラメータを変更する必要があると判定された場合、ログ分析モジュール211は、選択されたレコードの調整方法704に基づいて、候補パラメータを変更し(ステップS1206)、実行するログ分析処理及び実行用パラメータを決定する(ステップS1207)。その後、ログ分析モジュール211は調整処理を終了する。この場合、変更後のパラメータが実行用パラメータに決定される。   When it is determined that the candidate parameter needs to be changed, the log analysis module 211 changes the candidate parameter based on the selected record adjustment method 704 (step S1206), and executes the log analysis process and the execution A parameter is determined (step S1207). Thereafter, the log analysis module 211 ends the adjustment process. In this case, the changed parameter is determined as the execution parameter.

このとき、ログ分析モジュール211は、候補パラメータの変更に伴って、ログ分析処理の処理内容を変更する。すなわち、ログ分析モジュール211は、実行用パラメータを用いたログ分析処理を実行するために、内部パラメータを変更する。これによって、粒度が異なるログ分析処理を実行することができる。   At this time, the log analysis module 211 changes the processing content of the log analysis processing in accordance with the change of the candidate parameter. That is, the log analysis module 211 changes the internal parameters in order to execute the log analysis process using the execution parameters. As a result, log analysis processing with different granularities can be executed.

候補パラメータを変更する必要がないと判定された場合、ログ分析モジュール211は、実行するログ分析処理及び実行用パラメータを決定する(ステップS1207)。その後、ログ分析モジュール211は調整処理を終了する。この場合、候補パラメータが実行用パラメータに決定される。   When it is determined that it is not necessary to change the candidate parameter, the log analysis module 211 determines a log analysis process to be executed and an execution parameter (step S1207). Thereafter, the log analysis module 211 ends the adjustment process. In this case, the candidate parameter is determined as the execution parameter.

本実施例では、メッセージの受信を契機に、ログ分析処理に必要なログデータのみが取得される。これによって、計算機システム全体の通信負荷を低減し、また、ログ分析装置101の処理負荷を低減できる。   In the present embodiment, only log data necessary for log analysis processing is acquired upon receipt of a message. As a result, the communication load of the entire computer system can be reduced, and the processing load of the log analysis apparatus 101 can be reduced.

また、ログ分析モジュール211は、処理負荷を考慮して、実行するログ分析処理の処理内容を決定する。これによって、限られた計算機リソースを利用してセキュリティ対策及び障害対策等に必要なログ分析処理を実行できる。   In addition, the log analysis module 211 determines the processing content of the log analysis processing to be executed in consideration of the processing load. This makes it possible to execute log analysis processing necessary for security countermeasures and failure countermeasures using limited computer resources.

図13は、実施例1のログ分析装置101がスケジュール情報214にしたがって実行する処理を説明するフローチャートである。   FIG. 13 is a flowchart for explaining processing executed by the log analysis apparatus 101 according to the first embodiment in accordance with the schedule information 214.

ログ分析モジュール211は、周期的に、以下で説明する処理を実行する。   The log analysis module 211 periodically executes processing described below.

ログ分析モジュール211は、スケジュール情報214に実行スケジュールが登録されているか否かを判定する(ステップS1301)。   The log analysis module 211 determines whether or not an execution schedule is registered in the schedule information 214 (step S1301).

スケジュール情報214に実行スケジュールが登録されていないと判定された場合、ログ分析モジュール211は処理を終了する。   When it is determined that the execution schedule is not registered in the schedule information 214, the log analysis module 211 ends the process.

スケジュール情報214に実行スケジュールが登録されていると判定された場合、ログ分析モジュール211は、ログ分析装置101の負荷情報を取得し(ステップS1302)、処理負荷が低いか否かを判定する(ステップS1303)。   When it is determined that the execution schedule is registered in the schedule information 214, the log analysis module 211 acquires the load information of the log analysis apparatus 101 (step S1302), and determines whether the processing load is low (step S1302). S1303).

例えば、ログ分析モジュール211は、プロセッサ使用率が第1閾値より小さく、かつ、メモリ使用率が第2閾値より小さいか否かを判定する。いずれかの条件を満たさない場合、ログ分析モジュール211は、処理負荷が高いと判定する。   For example, the log analysis module 211 determines whether the processor usage rate is smaller than a first threshold value and the memory usage rate is smaller than a second threshold value. If any of the conditions is not satisfied, the log analysis module 211 determines that the processing load is high.

処理負荷が高いと判定された場合、ログ分析モジュール211は、待ち状態に移行し、一定時間経過した後、ステップS1302に戻り同様の処理を実行する。   When it is determined that the processing load is high, the log analysis module 211 shifts to a waiting state, and after a predetermined time has elapsed, returns to step S1302 and executes similar processing.

処理負荷が低いと判定された場合、ログ分析モジュール211は、スケジュール情報214から実行する分析処理を選択する(ステップS1304)。   When it is determined that the processing load is low, the log analysis module 211 selects an analysis process to be executed from the schedule information 214 (step S1304).

具体的には、ログ分析モジュール211は、スケジュール情報214に登録されたレコードを一つ選択する。本実施例では、スケジュール情報214の上のレコードから順に選択されるものとする。   Specifically, the log analysis module 211 selects one record registered in the schedule information 214. In this embodiment, it is assumed that the records are selected in order from the record on the schedule information 214.

次に、ログ分析モジュール211は、選択されたレコードのログデータ種別802及び対象期間803によって特定されるログデータを取得するための取得要求を対象の機器に送信する(ステップS1305)。   Next, the log analysis module 211 transmits an acquisition request for acquiring log data specified by the log data type 802 and the target period 803 of the selected record to the target device (step S1305).

次に、ログ分析モジュール211は、ログデータを取得した後、選択されたレコードに対応するログ分析処理を実行する(ステップS1306)。   Next, the log analysis module 211 acquires log data, and then executes log analysis processing corresponding to the selected record (step S1306).

具体的には、ログ分析モジュール211は、選択されたレコードのモジュール種別804に対応する実行モジュール221を呼び出し、処理の実行を指示する。   Specifically, the log analysis module 211 calls the execution module 221 corresponding to the module type 804 of the selected record, and instructs the execution of the process.

次に、ログ分析モジュール211は、分析結果を管理者106に対して出力する(ステップS1307)。   Next, the log analysis module 211 outputs the analysis result to the administrator 106 (step S1307).

次に、ログ分析モジュール211は、スケジュール情報214にレコードが存在するか否かを判定する(ステップS1308)。   Next, the log analysis module 211 determines whether or not a record exists in the schedule information 214 (step S1308).

スケジュール情報214にレコードが存在すると判定された場合、ログ分析モジュール211は、ステップS1302に戻り、同様の処理を実行する。   When it is determined that there is a record in the schedule information 214, the log analysis module 211 returns to step S1302 and executes the same processing.

スケジュール情報214にレコードが存在しないと判定された場合、ログ分析モジュール211は処理を終了する。   When it is determined that there is no record in the schedule information 214, the log analysis module 211 ends the process.

なお、ログ分析装置101は、周期的に、ネットワーク監視装置103及びセキュリティ対策装置104からログデータを取得し、ログデータ管理情報215に登録してもよい。この場合、ステップS1003及びステップS1305では、ログ分析モジュール211は、ログデータ管理情報215から必要な項目を含むログデータを取得する。   Note that the log analysis device 101 may periodically acquire log data from the network monitoring device 103 and the security countermeasure device 104 and register the log data in the log data management information 215. In this case, in step S1003 and step S1305, the log analysis module 211 acquires log data including necessary items from the log data management information 215.

実施例1によれば、ログ分析装置101は、制御装置102からメッセージを受信した場合に、ログデータを取得する。ログ分析装置101は、常時、ログデータを取得する必要がないため、ログ分析装置101の処理負荷を低減し、また、ネットワーク105の帯域を有効に活用することができる。   According to the first embodiment, the log analysis apparatus 101 acquires log data when a message is received from the control apparatus 102. Since the log analysis device 101 does not always need to acquire log data, the processing load on the log analysis device 101 can be reduced and the bandwidth of the network 105 can be used effectively.

ログ分析装置101は、メッセージレベルに応じて実行するログ分析処理を決定し、また、処理負荷に応じて、ログ分析処理の実行時間及びログ分析処理の処理内容を調整する。これによって、ログ分析装置101は、限られた計算機リソースを活用して、ログ分析処理を実行できる。   The log analysis device 101 determines log analysis processing to be executed according to the message level, and adjusts the execution time of the log analysis processing and the processing content of the log analysis processing according to the processing load. As a result, the log analysis apparatus 101 can execute log analysis processing using limited computer resources.

実施例2では、制御装置102がログデータを保持し、ログ分析装置101は当該ログデータを用いたログ分析処理を実行する点が実施例1と異なる。実施例2では、ログ分析装置101は、制御装置102の処理負荷に応じて、取得するログデータのデータ量を調整する。以下、実施例1との差異を中心に、実施例2について説明する。   The second embodiment is different from the first embodiment in that the control apparatus 102 holds log data, and the log analysis apparatus 101 executes log analysis processing using the log data. In the second embodiment, the log analysis apparatus 101 adjusts the amount of log data to be acquired according to the processing load of the control apparatus 102. Hereinafter, the second embodiment will be described with a focus on differences from the first embodiment.

図14は、実施例2の計算機システムの全体の構成例を説明する図である。   FIG. 14 is a diagram illustrating an example of the overall configuration of the computer system according to the second embodiment.

実施例2の計算機システムは、ログ分析装置101及び制御装置102から構成される。各装置は、ネットワーク105を介して互いに接続される。   The computer system according to the second embodiment includes a log analysis device 101 and a control device 102. Each device is connected to each other via a network 105.

図15は、実施例2のログ分析装置101が制御装置102からメッセージを受信した場合に実行する処理を説明するフローチャートである。   FIG. 15 is a flowchart illustrating processing executed when the log analysis apparatus 101 according to the second embodiment receives a message from the control apparatus 102.

ログ分析モジュール211は、ステップS1003の処理の後、制御装置102の処理負荷を示す負荷情報を取得する(ステップS1501)。   The log analysis module 211 acquires load information indicating the processing load of the control apparatus 102 after the process of step S1003 (step S1501).

ログ分析モジュール211は、取得した負荷情報に基づいて、制御装置102の処理負荷が高いか否かを判定する(ステップS1502)。   Based on the acquired load information, the log analysis module 211 determines whether the processing load on the control device 102 is high (step S1502).

例えば、ログ分析モジュール211は、制御装置102のプロセッサの使用率が第3の閾値より小さいか否かを判定する。制御装置102のプロセッサの使用率が第3の閾値より小さい場合、ログ分析モジュール211は、制御装置102の処理負荷が小さいと判定する。   For example, the log analysis module 211 determines whether the usage rate of the processor of the control device 102 is smaller than the third threshold value. When the usage rate of the processor of the control device 102 is smaller than the third threshold, the log analysis module 211 determines that the processing load of the control device 102 is small.

制御装置102の処理負荷が低いと判定された場合、ログ分析モジュール211は、ステップS1004に進む。   When it is determined that the processing load on the control device 102 is low, the log analysis module 211 proceeds to step S1004.

制御装置102の処理負荷が高いと判定された場合、ログ分析モジュール211は、ログデータの取得範囲を変更する(ステップS1503)。その後、ログ分析モジュール211は、ステップS1004に進む。   When it is determined that the processing load on the control device 102 is high, the log analysis module 211 changes the acquisition range of log data (step S1503). Thereafter, the log analysis module 211 proceeds to step S1004.

具体的には、ログ分析モジュール211は、制御装置102が送信するログデータのデータ量が少なくなるように、ログデータの時間範囲を変更する。例えば、ログ分析モジュール211は、現在の時間範囲を半分に変更する。   Specifically, the log analysis module 211 changes the time range of the log data so that the data amount of the log data transmitted by the control device 102 is reduced. For example, the log analysis module 211 changes the current time range in half.

制御装置102の処理負荷が高い場合、単位時間当たりのログデータの送信量が少なくなるため、ログ分析処理に要する時間が長くなる。したがって、管理者106に分析結果を表示までの待ち時間が長くなる。そこで、本実施例では、制御装置102の処理負荷が高い場合、ログ分析装置101は、ログデータのデータ量が小さくなるように取得範囲を変更する。   When the processing load of the control device 102 is high, the amount of log data transmitted per unit time decreases, and the time required for log analysis processing increases. Therefore, the waiting time until the manager 106 displays the analysis result is increased. Therefore, in this embodiment, when the processing load on the control device 102 is high, the log analysis device 101 changes the acquisition range so that the data amount of the log data becomes small.

なお、ログ分析モジュール211は、ステップS1503の代わりに、制御装置102の処理負荷が低くなるまでステップS1501及びステップS1502の処理を繰り返し実行してもよいし、スケジュール情報214にログ分析処理の実行スケジュールを登録してもよい。   In place of step S1503, the log analysis module 211 may repeatedly execute the processing of step S1501 and step S1502 until the processing load on the control apparatus 102 becomes low, or the log analysis processing execution schedule is included in the schedule information 214. May be registered.

図16は、実施例2のログ分析装置101がスケジュール情報214にしたがって実行する処理を説明するフローチャートである。   FIG. 16 is a flowchart for explaining processing executed by the log analysis apparatus 101 according to the second embodiment according to the schedule information 214.

ログ分析モジュール211は、ステップS1303の処理の後、制御装置102から負荷情報を取得する(ステップS1601)。   The log analysis module 211 acquires load information from the control apparatus 102 after the process of step S1303 (step S1601).

ログ分析モジュール211は、取得した負荷情報に基づいて、制御装置102の処理負荷が高いか否かを判定する(ステップS1602)。   Based on the acquired load information, the log analysis module 211 determines whether or not the processing load on the control device 102 is high (step S1602).

制御装置102の処理負荷が高いと判定された場合、ログ分析モジュール211は、ログデータの取得範囲を変更する(ステップS1603)。その後、ログ分析モジュール211は、ステップS1304に進む。   When it is determined that the processing load on the control device 102 is high, the log analysis module 211 changes the acquisition range of log data (step S1603). Thereafter, the log analysis module 211 proceeds to step S1304.

ステップS1601、ステップS1602、及びステップS1603の処理は、ステップS1501、ステップS1502、及びステップS1503の処理と同一である。   The processing in steps S1601, S1602, and S1603 is the same as the processing in steps S1501, S1502, and S1503.

なお、実施例1でも同様の処理を実行してもよい。例えば、ログ分析装置101は、ネットワーク監視装置103からネットワークログデータを取得する場合に、ネットワーク監視装置103の負荷情報に基づいて、ログデータの取得範囲を変更してもよい。   Note that the same processing may be executed in the first embodiment. For example, when the log analysis apparatus 101 acquires network log data from the network monitoring apparatus 103, the log analysis apparatus 101 may change the acquisition range of log data based on the load information of the network monitoring apparatus 103.

実施例2によれば、ログ分析装置101は、制御装置102からログデータを取得する場合に、制御装置102の処理負荷を考慮して、取得するログデータのデータ量又はログデータの取得タイミングを調整する。これによって、ログ分析処理が完了するまでの待ち時間を短縮することができる。   According to the second embodiment, when the log analysis apparatus 101 acquires log data from the control apparatus 102, the log analysis apparatus 101 determines the data amount of the log data to be acquired or the acquisition timing of the log data in consideration of the processing load of the control apparatus 102. adjust. Thereby, the waiting time until the log analysis processing is completed can be shortened.

なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。   In addition, this invention is not limited to an above-described Example, Various modifications are included. Further, for example, the above-described embodiments are described in detail for easy understanding of the present invention, and are not necessarily limited to those provided with all the described configurations. Further, a part of the configuration of each embodiment can be added to, deleted from, or replaced with another configuration.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるCPUが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。   Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. The present invention can also be realized by software program codes that implement the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the computer, and a CPU included in the computer reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing it constitute the present invention. As a storage medium for supplying such a program code, for example, a flexible disk, a CD-ROM, a DVD-ROM, a hard disk, an SSD (Solid State Drive), an optical disk, a magneto-optical disk, a CD-R, a magnetic tape, A non-volatile memory card, ROM, or the like is used.

また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。   The program code for realizing the functions described in the present embodiment can be implemented by a wide range of programs or script languages such as assembler, C / C ++, perl, Shell, PHP, Java (registered trademark).

さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、コンピュータが備えるCPUが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。   Furthermore, by distributing the program code of the software that implements the functions of the embodiments via a network, the program code is stored in a storage means such as a hard disk or memory of a computer or a storage medium such as a CD-RW or CD-R. The CPU included in the computer may read and execute the program code stored in the storage unit or the storage medium.

上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。   In the above-described embodiments, the control lines and information lines indicate what is considered necessary for the explanation, and not all control lines and information lines on the product are necessarily shown. All the components may be connected to each other.

101 ログ分析装置
102 制御装置
103 ネットワーク監視装置
104 セキュリティ対策装置
105 ネットワーク
106 管理者
201、301、401、501 プロセッサ
202、302、402、502 メモリ
203、303、403、503 記憶装置
204、304、 入出力インタフェース
205、305、405、505 ネットワークインタフェース
206、306、406、506 バス
207 入力装置
208 出力装置
211 ログ分析モジュール
212 ログ分析定義情報
213 調整ポリシ情報
214 スケジュール情報
215 ログデータ管理情報
221 実行モジュール
307 バルブ
308 アクチュエータ
311 制御モジュール
411 ネットワーク管理モジュール
412 ネットワークログデータ管理情報
511 セキュリティ対策モジュール
512 セキュリティログデータ管理情報
101 Log analysis device 102 Control device 103 Network monitoring device 104 Security countermeasure device 105 Network 106 Administrator 201, 301, 401, 501 Processor 202, 302, 402, 502 Memory 203, 303, 403, 503 Storage device 204, 304, On Output interface 205, 305, 405, 505 Network interface 206, 306, 406, 506 Bus 207 Input device 208 Output device 211 Log analysis module 212 Log analysis definition information 213 Adjustment policy information 214 Schedule information 215 Log data management information 221 Execution module 307 Valve 308 Actuator 311 Control module 411 Network management module 412 Network log data management information 511 Security Countermeasure module 512 security log data management information

Claims (15)

監視対象のログデータを取得する装置、及び前記ログデータの分析処理を実行するログ分析装置を含む計算機システムであって、
前記ログ分析装置は、
種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定し、
前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行し、
前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正し、
前記実行用のパラメータに基づいて、前記ログデータを取得し、
前記取得したログデータを用いて、前記ログ分析処理を実行することを特徴とする計算機システム。 A computer system including an apparatus that acquires log data to be monitored and a log analysis apparatus that executes analysis processing of the log data,
The log analyzer is
When receiving a message including a type and importance, based on the type and importance, determine a candidate parameter for specifying log analysis processing and log data used for the log analysis processing,
Executing an adjustment process for determining parameters for execution by modifying the candidate parameters based on the processing load of the log analyzer;
In order to execute the log analysis process using the parameters for execution, modify the internal parameters that define the processing content of the log analysis process,
Based on the execution parameters, obtain the log data,
A computer system, wherein the log analysis process is executed using the acquired log data. 請求項1に記載の計算機システムであって、
前記ログ分析装置は、
前記種別及び前記重要度の組み合わせと、前記ログ分析処理及び前記候補パラメータを特定する値とから構成されるレコードを含むログ分析定義情報と、
前記ログ分析装置の処理負荷を示す指標に関する条件と、前記候補パラメータの調整方法とから構成されるレコードを含む調整ポリシ情報と、を保持し、
前記種別及び前記重要度に基づいて前記ログ分析定義情報を参照することによって、前記ログ分析処理及び前記候補パラメータを決定し、
前記ログ分析装置の処理負荷から算出された指標に基づいて前記調整ポリシ情報を参照することによって、前記候補パラメータの調整方法を特定し、
前記特定された調整方法に基づいて、前記候補パラメータを修正することによって、前記実行用のパラメータを決定することを特徴とする計算機システム。 The computer system according to claim 1,
The log analyzer is
Log analysis definition information including a record including a combination of the type and the importance, and a value specifying the log analysis process and the candidate parameter;
Holding the condition relating to the index indicating the processing load of the log analyzer and the adjustment policy information including a record composed of the adjustment method of the candidate parameter;
By determining the log analysis process and the candidate parameter by referring to the log analysis definition information based on the type and the importance,
By specifying the adjustment method of the candidate parameter by referring to the adjustment policy information based on the index calculated from the processing load of the log analyzer,
A computer system, wherein the execution parameter is determined by modifying the candidate parameter based on the specified adjustment method. 請求項2に記載の計算機システムであって、
前記調整ポリシ情報は、前記候補パラメータに基づいて取得されたログデータを用いたログ分析処理の実行を遅延させるためのスケジューリングを前記調整方法として含むレコードを含むことを特徴とする計算機システム。 The computer system according to claim 2,
The computer system characterized in that the adjustment policy information includes a record including scheduling for delaying execution of a log analysis process using log data acquired based on the candidate parameter as the adjustment method. 請求項2に記載の計算機システムであって、
前記ログ分析装置は、
前記実行用のパラメータに基づいて前記装置から前記ログデータを取得する場合、前記装置の処理負荷を示す負荷情報を取得し、
前記負荷情報に基づいて、前記装置の処理負荷が高いか否かを判定し、
前記装置の処理負荷が高いと判定された場合、前記装置から取得する前記ログデータのデータ量が少なくなるように前記実行用のパラメータを修正することを特徴とする計算機システム。 The computer system according to claim 2,
The log analyzer is
When obtaining the log data from the device based on the parameters for execution, obtain load information indicating the processing load of the device,
Based on the load information, determine whether the processing load of the device is high,
When it is determined that the processing load of the device is high, the computer system is characterized in that the execution parameter is modified so that the data amount of the log data acquired from the device is reduced. 請求項4に記載の計算機システムであって、
前記ログデータは、タイムスタンプを含み、
前記パラメータは、取得対象のログデータの種別、前記取得対象のログデータに含める項目、及び前記取得対象のログデータの時間範囲を含むことを特徴とする計算機システム。 A computer system according to claim 4, wherein
The log data includes a time stamp,
The computer system according to claim 1, wherein the parameter includes a type of log data to be acquired, items to be included in the log data to be acquired, and a time range of the log data to be acquired. 監視対象のログデータを取得する装置、及び前記ログデータの分析処理を実行するログ分析装置を含む計算機システムにおけるログ分析方法であって、
前記ログ分析装置が、種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定する第1のステップと、
前記ログ分析装置が、前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行する第2のステップと、
前記ログ分析装置が、前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正する第3のステップと、
前記ログ分析装置が、前記実行用のパラメータに基づいて、前記ログデータを取得する第4のステップと、
前記ログ分析装置が、前記取得したログデータを用いて、前記ログ分析処理を実行する第5のステップと、を含むことを特徴とするログ分析方法。 A log analysis method in a computer system including an apparatus that acquires log data to be monitored and a log analysis apparatus that executes an analysis process of the log data,
When the log analysis apparatus receives a message including a type and an importance level, the log analysis process and candidate parameters for specifying log data to be used for the log analysis process are determined based on the type and the importance level. A first step to:
A second step in which the log analysis device executes an adjustment process for determining an execution parameter by correcting the candidate parameter based on a processing load of the log analysis device;
A third step in which the log analysis device corrects an internal parameter that defines the processing content of the log analysis processing in order to execute the log analysis processing using the parameters for execution;
A fourth step in which the log analysis device acquires the log data based on the parameters for execution;
A log analysis method comprising: a fifth step in which the log analysis device executes the log analysis processing using the acquired log data. 請求項6に記載のログ分析方法であって、
前記ログ分析装置は、
前記種別及び前記重要度の組み合わせと、前記ログ分析処理及び前記候補パラメータを特定する値とから構成されるレコードを含むログ分析定義情報と、
前記ログ分析装置の処理負荷を示す指標に関する条件と、前記候補パラメータの調整方法とから構成されるレコードを含む調整ポリシ情報と、を保持し、
前記第1のステップでは、前記種別及び前記重要度に基づいて前記ログ分析定義情報を参照することによって、前記ログ分析処理及び前記候補パラメータを決定し、
前記第2のステップは、
前記ログ分析装置が、前記ログ分析装置の処理負荷から算出された指標に基づいて前記調整ポリシ情報を参照することによって、前記候補パラメータの調整方法を特定するステップと、
前記ログ分析装置が、前記特定された調整方法に基づいて、前記候補パラメータを修正することによって、前記実行用のパラメータを決定するステップと、を含むことを特徴とするログ分析方法。 The log analysis method according to claim 6,
The log analyzer is
Log analysis definition information including a record including a combination of the type and the importance, and a value specifying the log analysis process and the candidate parameter;
Holding the condition relating to the index indicating the processing load of the log analyzer and the adjustment policy information including a record composed of the adjustment method of the candidate parameter;
In the first step, the log analysis process and the candidate parameter are determined by referring to the log analysis definition information based on the type and the importance.
The second step includes
The log analysis device identifying the adjustment method of the candidate parameter by referring to the adjustment policy information based on an index calculated from the processing load of the log analysis device;
The log analysis method includes the step of determining the parameters for execution by modifying the candidate parameters based on the specified adjustment method. 請求項7に記載のログ分析方法であって、
前記調整ポリシ情報は、前記候補パラメータに基づいて取得されたログデータを用いたログ分析処理の実行を遅延させるためのスケジューリングを前記調整方法として含むレコードを含むことを特徴とするログ分析方法。 The log analysis method according to claim 7,
The log analysis method characterized in that the adjustment policy information includes a record including scheduling for delaying execution of log analysis processing using log data acquired based on the candidate parameter as the adjustment method. 請求項7に記載のログ分析方法であって、
前記第4のステップは、
前記ログ分析装置が、前記装置の処理負荷を示す負荷情報を取得するステップと、
前記ログ分析装置が、前記負荷情報に基づいて、前記装置の処理負荷が高いか否かを判定するステップと、
前記装置の処理負荷が高いと判定された場合、前記ログ分析装置が、前記装置から取得する前記ログデータのデータ量が少なくなるように前記実行用のパラメータを修正するステップと、を含むことを特徴とするログ分析方法。 The log analysis method according to claim 7,
The fourth step includes
The log analysis device acquiring load information indicating a processing load of the device;
The log analysis device determining whether the processing load of the device is high based on the load information;
When it is determined that the processing load of the device is high, the log analysis device includes a step of correcting the parameters for execution so that a data amount of the log data acquired from the device is reduced. A featured log analysis method. 請求項9に記載のログ分析方法であって、
前記ログデータは、タイムスタンプを含み、
前記パラメータは、取得対象のログデータの種別、前記取得対象のログデータに含める項目、及び前記取得対象のログデータの時間範囲を含むことを特徴とするログ分析方法。 The log analysis method according to claim 9, comprising:
The log data includes a time stamp,
The log analysis method, wherein the parameter includes a type of log data to be acquired, items to be included in the log data to be acquired, and a time range of the log data to be acquired. 監視対象のログデータを管理する装置から取得した前記ログデータの分析処理を実行するログ分析装置であって、
種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定し、
前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行し、
前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正し、
前記実行用のパラメータに基づいて、前記ログデータを取得し、
前記取得したログデータを用いて、前記ログ分析処理を実行することを特徴とするログ分析装置。 A log analysis device that executes analysis processing of the log data acquired from a device that manages log data to be monitored,
When receiving a message including a type and importance, based on the type and importance, determine a candidate parameter for specifying log analysis processing and log data used for the log analysis processing,
Executing an adjustment process for determining parameters for execution by modifying the candidate parameters based on the processing load of the log analyzer;
In order to execute the log analysis process using the parameters for execution, modify the internal parameters that define the processing content of the log analysis process,
Based on the execution parameters, obtain the log data,
A log analysis apparatus that executes the log analysis processing using the acquired log data. 請求項11に記載のログ分析装置であって、
前記種別及び前記重要度の組み合わせと、前記ログ分析処理及び前記候補パラメータを特定する値とから構成されるレコードを含むログ分析定義情報と、
前記ログ分析装置の処理負荷を示す指標に関する条件と、前記候補パラメータの調整方法とから構成されるレコードを含む調整ポリシ情報と、を保持し、
前記種別及び前記重要度に基づいて前記ログ分析定義情報を参照することによって、前記ログ分析処理及び前記候補パラメータを決定し、
前記ログ分析装置の処理負荷から算出された指標に基づいて前記調整ポリシ情報を参照することによって、前記候補パラメータの調整方法を特定し、
前記特定された調整方法に基づいて、前記候補パラメータを修正することによって、前記実行用のパラメータを決定することを特徴とするログ分析装置。 The log analyzer according to claim 11,
Log analysis definition information including a record including a combination of the type and the importance, and a value specifying the log analysis process and the candidate parameter;
Holding the condition relating to the index indicating the processing load of the log analyzer and the adjustment policy information including a record composed of the adjustment method of the candidate parameter;
By determining the log analysis process and the candidate parameter by referring to the log analysis definition information based on the type and the importance,
By specifying the adjustment method of the candidate parameter by referring to the adjustment policy information based on the index calculated from the processing load of the log analyzer,
The log analysis apparatus characterized in that the execution parameter is determined by correcting the candidate parameter based on the specified adjustment method. 請求項12に記載のログ分析装置であって、
前記調整ポリシ情報は、前記候補パラメータに基づいて取得されたログデータを用いたログ分析処理の実行を遅延させるためのスケジューリングを前記調整方法として含むレコードを含むことを特徴とするログ分析装置。 The log analysis device according to claim 12,
The log analysis apparatus characterized in that the adjustment policy information includes a record including scheduling for delaying execution of log analysis processing using log data acquired based on the candidate parameter as the adjustment method. 請求項12に記載のログ分析装置であって、
前記実行用のパラメータに基づいて、前記装置から前記ログデータを取得する場合、前記装置の処理負荷を示す負荷情報を取得し、
前記負荷情報に基づいて、前記装置の処理負荷が高いか否かを判定し、
前記装置の処理負荷が高いと判定された場合、前記装置から取得する前記ログデータのデータ量が少なくなるように前記実行用のパラメータを修正することを特徴とするログ分析装置。 The log analysis device according to claim 12,
When acquiring the log data from the device based on the parameters for execution, acquire load information indicating the processing load of the device,
Based on the load information, determine whether the processing load of the device is high,
When it is determined that the processing load of the device is high, the execution parameter is corrected so that the amount of the log data acquired from the device is reduced. 請求項14に記載のログ分析装置であって、
前記ログデータは、タイムスタンプを含み、
前記パラメータは、取得対象のログデータの種別、前記取得対象のログデータに含める項目、及び前記取得対象のログデータの時間範囲を含むことを特徴とするログ分析装置。 The log analyzer according to claim 14,
The log data includes a time stamp,
The log analysis apparatus, wherein the parameter includes a type of log data to be acquired, items to be included in the log data to be acquired, and a time range of the log data to be acquired.
JP2016239329A 2016-12-09 2016-12-09 Computer system, log analysis method and log analysis device Pending JP2018097461A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016239329A JP2018097461A (en) 2016-12-09 2016-12-09 Computer system, log analysis method and log analysis device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016239329A JP2018097461A (en) 2016-12-09 2016-12-09 Computer system, log analysis method and log analysis device

Publications (1)

Publication Number Publication Date
JP2018097461A true JP2018097461A (en) 2018-06-21

Family

ID=62633272

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016239329A Pending JP2018097461A (en) 2016-12-09 2016-12-09 Computer system, log analysis method and log analysis device

Country Status (1)

Country Link
JP (1) JP2018097461A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351126A (en) * 2019-06-26 2019-10-18 中信百信银行股份有限公司 Log rank method of adjustment, device and electronic equipment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351126A (en) * 2019-06-26 2019-10-18 中信百信银行股份有限公司 Log rank method of adjustment, device and electronic equipment

Similar Documents

Publication Publication Date Title
US9619654B2 (en) Application monitoring through collective record and replay
US9454324B1 (en) Methods and apparatus for data lifecycle analysis
US11138600B2 (en) Smart contract regulation
US8190599B2 (en) Stream data processing method and system
US9264449B1 (en) Automatic privilege determination
US20130198840A1 (en) Systems, methods and computer programs providing impact mitigation of cyber-security failures
JP6093043B2 (en) Quality configurable random data service
CN103581187A (en) Method and system for controlling access rights
US20120084412A1 (en) Configuration reporting
CN112565026B (en) Test frame generation method, device and equipment
US20130066954A1 (en) Computer software analysis system, client computer, method of controlling operation of same and operation program therefor
US11625382B2 (en) Blockchain as a service method, apparatus, and system
CN111522703A (en) Method, apparatus and computer program product for monitoring access requests
US9460399B1 (en) Dynamic event driven storage system optimization
JPWO2012127987A1 (en) Information monitoring apparatus and information monitoring method
CN115001967A (en) Data acquisition method and device, electronic equipment and storage medium
US11005719B2 (en) Internet of Things system topology generation
US20220327038A1 (en) Electronic system for application monitoring and preemptive remediation of associated events
KR20200100472A (en) Blockchain Network Node and Method for Processing Transaction
JP2018097461A (en) Computer system, log analysis method and log analysis device
JP7487769B2 (en) Abnormal access prediction system, abnormal access prediction method, and abnormal access prediction program
US11200325B2 (en) Dynamic data asset security using cognitive data analysis
TWI677802B (en) Information processing device, information processing method, and non-transitory computer-readable recording medium
WO2016144304A1 (en) Dynamic api management
US9998495B2 (en) Apparatus and method for verifying detection rule