JP2005235134A - アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム - Google Patents
アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム Download PDFInfo
- Publication number
- JP2005235134A JP2005235134A JP2004047058A JP2004047058A JP2005235134A JP 2005235134 A JP2005235134 A JP 2005235134A JP 2004047058 A JP2004047058 A JP 2004047058A JP 2004047058 A JP2004047058 A JP 2004047058A JP 2005235134 A JP2005235134 A JP 2005235134A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access log
- data processing
- processing
- format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
ネットワークに設置されたセキュリティ対策装置から出力されるアクセスログに対して、異なる複数の情報処理が必要な場合に、入力されたアクセスログに対応した適切な情報処理が実行でき、実行された情報処理結果を任意のタイミングで参照できるアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供する。
【解決手段】
データ形式が異なるアクセスログデータのデータ処理を実行するアクセスログ処理装置において、前記アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部と、前記複数のデータ処理部の各々は、異なる処理規則に対応してデータ処理を実行し、データ処理実行規則を格納する記憶部と、前記アクセスログデータの処理手順を決定するデータ処理管理部とを具備える。そして、前記データ処理管理部は、前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定する。
【選択図】 図2
Description
前記アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部(25、27〜29、32、33、37)と、前記複数のデータ処理部(25、27〜29、32、33、37)の各々は、独立したモジュールで構成され、異なる処理規則に対応してデータ処理を実行するものであり、さらにデータ処理実行規則(50)を格納する記憶部(3)と、前記アクセスログデータの処理手順を決定することによって、前記処理手順を確定するデータ処理管理部(11)とを具備し、
前記データ処理管理部(11)は、前記データ処理実行規則(50)に基づいて前記複数のデータ処理部(25、27〜29、32、33、37)の各々の配列を決定するアクセスログ処理装置(2)を使用してセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、モジュール化されたデータ処理部を自由に配列したアクセスログ解析装置を構成することが可能になり、データ処理を行う場合の手順を任意に変更することができる。
図1は、本発明の実施の形態におけるアクセスログ処理装置を備えるコンピュータ1を含むネットワークシステムの構成を示すブロック図である。図1を参照すると、そのネットワークシステムは、コンピュータ1と、そのコンピュータ1に接続または内蔵されるファイアウォール5、IDS6及びログ出力プログラム7と、そのファイアウォール5、IDS6及びログ出力プログラム7の各々に接続されるネットワーク8と、コンピュータ1に接続される表示部9とで構成される。図1に示されるファイアウォール5、IDS6及びログ出力プログラム7は、並列の接続され各々が直接コンピュータ1と接続しているが、この構成は本実施の形態におけるセキュリティ対策装置の接続関係を限定しない。本実施の形態のアクセスログ処理は、異なる種類のセキュリティ対策装置を直列に接続した場合でも実行可能である。また、本実施の形態におけるセキュリティ対策装置は、ファイアウォール5、IDS6及びログ出力プログラム7のみに限定されない。
<ファイル定義>
<処理名キー> 実際の処理手順名
<フィルタ段数指定キー>:
フィルタ名
指定オプション
が記述され、フロー管理部11はその設定ファイル50の記述を順次読込むことで、データ処理実行部10の構成を決定する。上述の設定ファイル50の記述形式は、本実施の形態における設定ファイルの記述形式を限定するものではなく、更に詳細な設定ファイルを構成することも可能である。
図4Aおよび図4Bは、本実施の形態の動作を示すフロー―チャートである。図4Aは本実施の形態の動作の前半部分を示し、図4Bは本実施の形態の動作の後半部分を示す。図4Aを参照すると、本実施の形態の動作は、アクセスログデータ処理部2を起動(または再起動)すると開始する(ステップS101)。ステップS102において、アクセスログデータ処理部2のフロー管理部11は起動開始に対応して記憶部3に格納された設定ファイル50を読込む。フロー管理部11はその読込んだ設定ファイル50に基づいてデータ処理実行部10の構成を決定する。以下では、ステップS102で決定されたデータ処理実行部10の構成が、図2に示される構成である場合を例に、本実施の形態における動作について述べる。
2…アクセスログデータ処理部
3…記憶部
4…CPU
5…ファイアウォール、5a…ファイアウォールログファイル生成部
6…IDS、6a…IDSログファイル生成部
7…ログ出力プログラム、7a…ログデータ生成部
8…ネットワーク
9…表示部
10…データ処理実行部
11…フロー管理部
12…通信用インターフェース
21…ファイアウォールログ読込部、22…IDSログ読込部
23…ライブラリ出力ログ読込部
24…第1内部キュー
25…中間形式変換/ログ蓄積処理部
26…第1ディスパッチャ
27…パススル―処理部、28…シーケンス検査部、29…統計処理部
30…第2内部キュー
31…第2ディスパッチャ
32…外部コマンド起動部、33…形式変換処理部、34…外部コマンド
35…第3内部キュー
36…第3ディスパッチャ
37…外部出力処理部
40…中間形式蓄積ログファイル、50…設定ファイル
60…統計情報蓄積ログファイル
51…処理名、
52〜54…フィルタ段数指定キー
Claims (21)
- アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部と、前記複数のデータ処理部の各々は、異なる処理規則に対応してデータ処理を実行し、
データ処理実行規則を格納する記憶部と、
前記アクセスログデータの処理手順を決定するデータ処理管理部と
を具備し、
前記データ処理管理部は、前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定する
アクセスログ処理装置。 - 請求項1に記載のアクセスログ処理装置において、
前記データ処理実行規則は、データ振分け情報と、データ処理実行順序情報とを含み、
前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、
前記データ処理順序情報は、前記複数のデータ処理部の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報である
アクセスログ処理装置。 - 請求項2に記載のアクセスログ処理装置において、
前記複数のデータ処理部の少なくとも一つは、データ形式変換処理を実行するデータ形式変換部であり、
前記データ形式変換部には、前記アクセスログデータが逐次入力され、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成し、
前記形式変換済データを前記記憶部に格納する
アクセスログ処理装置。 - 請求項2または3に記載のアクセスログ処理装置において、
前記複数のデータ処理部の少なくとも一つは、統計処理を実行する統計処理部であり、
前記統計処理部は、前記複数のデータ処理部の少なくとも一つから、異常なアクセスに関する情報を受信し、前記情報に応答して、前記アクセスログデータの統計処理結果を出力する
アクセスログ処理装置。 - 請求項2から4の何れか1項に記載のアクセスログ処理装置において、
前記複数のデータ処理部の少なくとも一つは、外部プログラムの起動を実行する外部プログラム起動部であり、
前記外部プログラム起動部は、前記複数のデータ処理部の少なくとも一つから出力された、データ処理済のアクセスログデータが入力され、前記データ処理済のアクセスログデータの入力に応答して、前記外部プログラムを起動する
アクセスログ処理装置。 - 請求項2から5の何れか1項に記載のアクセスログ装置において、
前記複数のデータ処理部の少なくとも一つは、入力されたアクセスログデータの関連性を判別するための関連性情報を備えた連続ログデータ処理部であり、
前記連続ログデータ処理部には、前記アクセスログデータが逐次入力され、
前記連続ログデータ処理部は、入力された前記アクセスログデータの順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出する
アクセスログ処理装置。 - 請求項6に記載のアクセスログ処理装置において、
前記データ処理管理部は、前記データ処理実行規則に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成し、
前記データ処理機能ブロックの各々は、少なくとも一つの前記データ処理部を含み、
前記複数のデータ処理機能ブロックの第1ブロックは、前記データ形式変換部を含む
アクセスログ処理装置。 - データ処理実行規則を読み出すステップと、
前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定するステップと、
アクセスログデータが入力され、前記アクセスログデータのデータ処理を異なる処理規則に対応して実行するステップと、
前記配列に基づいて前記アクセスログデータの処理手順を決定するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項8に記載のプログラムにおいて、
前記データ処理実行規則は、データ振分け情報と、データ処理実行順序情報とを含み、
前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、
前記データ処理順序情報は、前記複数のデータ処理部の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報である
コンピュータで実行可能なプログラム。 - 請求項9に記載のプログラムにおいて、
所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップと、
生成された前記形式変換済データを前記記憶部に格納するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項9または10に記載のプログラムにおいて、
異常なアクセスに関する情報を受信するステップと、
前記情報に応答して、前記アクセスログデータの統計処理結果を出力するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項9から11の何れか1項に記載のプログラムにおいて、
データ処理済のアクセスログデータを外部プログラムで処理するべきかどうか判断するステップと、
前記データ処理済のアクセスログデータが、前記外部プログラムで処理するべきものであった場合、前記外部プログラムを起動するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項9から12の何れか1項に記載のプログラムにおいて、
アクセスログデータが逐次入力され、入力された前記アクセスログデータの順列または組合せを判別するステップと、
前記順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項13に記載のプログラムにおいて、
前記データ処理実行規則に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成するステップと、
前記複数のデータ処理機能ブロックの第1ブロックによって、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - データ処理実行規則を読み出すステップと、
前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定するステップと、
アクセスログデータが入力され、前記アクセスログデータのデータ処理を異なる処理規則に対応して実行するステップと、
前記配列に基づいて前記アクセスログデータの処理手順を決定するステップ
を具備するアクセスログデータ処理方法。 - 請求項15に記載のアクセスログデータ処理方法において、
前記データ処理実行規則は、データ振分け情報と、データ処理実行順序情報とを含み、
前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、
前記データ処理順序情報は、前記複数のデータ処理部の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報である
アクセスログデータ処理方法。 - 請求項16に記載のアクセスログデータ処理方法において、
所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップと、
生成された前記形式変換済データを前記記憶部に格納するステップ
を具備するアクセスログデータ処理方法。 - 請求項16または17に記載のアクセスログデータ処理方法において、
異常なアクセスに関する情報を受信するステップと、
前記情報に応答して、前記アクセスログデータの統計処理結果を出力するステップ
を具備するアクセスログデータ処理方法。 - 請求項16から18の何れか1項に記載のアクセスログデータ処理方法において、
データ処理済のアクセスログデータを外部プログラムで処理するべきかどうか判断するステップと、
前記データ処理済のアクセスログデータが、前記外部プログラムで処理するべきものであった場合、前記外部プログラムを起動するステップ
を具備するアクセスログデータ処理方法。 - 請求項16から19の何れか1項に記載のアクセスログデータ処理方法において、
アクセスログデータが逐次入力され、入力された前記アクセスログデータの順列または組合せを判別するステップと、
前記順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するステップ
を具備するアクセスログデータ処理方法。 - 請求項20に記載のアクセスログデータ処理方法において、
前記データ処理実行規則に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成するステップと、
前記複数のデータ処理機能ブロックの第1ブロックによって、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップ
を具備するアクセスログデータ処理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004047058A JP4155208B2 (ja) | 2004-02-23 | 2004-02-23 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004047058A JP4155208B2 (ja) | 2004-02-23 | 2004-02-23 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005235134A true JP2005235134A (ja) | 2005-09-02 |
JP4155208B2 JP4155208B2 (ja) | 2008-09-24 |
Family
ID=35018006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004047058A Expired - Fee Related JP4155208B2 (ja) | 2004-02-23 | 2004-02-23 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4155208B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009032253A (ja) * | 2007-07-06 | 2009-02-12 | Ntt Docomo Inc | クライアント・サーバ・アーキテクチャに使用するためのミドルウェア |
JP2016181263A (ja) * | 2016-04-25 | 2016-10-13 | 株式会社ラック | 情報処理システム、情報処理方法およびプログラム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7862763B2 (en) | 2005-06-23 | 2011-01-04 | Anchor Wall Systems, Inc. | Methods of quality control in concrete block production |
-
2004
- 2004-02-23 JP JP2004047058A patent/JP4155208B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009032253A (ja) * | 2007-07-06 | 2009-02-12 | Ntt Docomo Inc | クライアント・サーバ・アーキテクチャに使用するためのミドルウェア |
JP2016181263A (ja) * | 2016-04-25 | 2016-10-13 | 株式会社ラック | 情報処理システム、情報処理方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP4155208B2 (ja) | 2008-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108600029B (zh) | 一种配置文件更新方法、装置、终端设备及存储介质 | |
CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
TWI314705B (en) | System security approaches using multiple processing units | |
JP5571847B2 (ja) | 複数の制御システムの異常を検知する異常検知システム | |
CN112468488A (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
JP5198154B2 (ja) | 障害監視システム及びデバイスと監視装置並びに障害監視方法 | |
CN111866016A (zh) | 日志的分析方法及系统 | |
CN112437920A (zh) | 异常检测装置和异常检测方法 | |
JP2006338305A (ja) | 監視装置及び監視プログラム | |
CN113572760A (zh) | 一种设备协议漏洞检测方法及装置 | |
US10986112B2 (en) | Method for collecting cyber threat intelligence data and system thereof | |
CN111679968A (zh) | 接口调用异常的检测方法、装置、计算机设备及存储介质 | |
CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
CN104901833B (zh) | 一种发现异常设备的方法及装置 | |
CN108804914B (zh) | 一种异常数据检测的方法及装置 | |
CN114553543A (zh) | 一种网络攻击检测方法、硬件芯片及电子设备 | |
JP4155208B2 (ja) | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム | |
KR20110037969A (ko) | 모니터링 시스템에서의 메시지의 타겟화된 사용자 통지 | |
CN114595219A (zh) | 一种数据存储方法、装置和系统 | |
WO2023181241A1 (ja) | 監視サーバ装置、システム、方法、及びプログラム | |
CN116125853A (zh) | 集成电路的安全控制方法、装置、存储介质及电子设备 | |
CN115033889A (zh) | 非法提权检测方法和装置、存储介质、计算机设备 | |
KR20080047248A (ko) | 알피씨 기반 소프트웨어의 원격지 보안 테스팅 장치 및방법 | |
US11894981B1 (en) | Systems and methods for generating soar playbooks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Effective date: 20071107 Free format text: JAPANESE INTERMEDIATE CODE: A971007 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071114 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080115 |
|
A02 | Decision of refusal |
Effective date: 20080205 Free format text: JAPANESE INTERMEDIATE CODE: A02 |
|
RD01 | Notification of change of attorney |
Effective date: 20080306 Free format text: JAPANESE INTERMEDIATE CODE: A7421 |
|
A521 | Written amendment |
Effective date: 20080306 Free format text: JAPANESE INTERMEDIATE CODE: A821 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080407 |
|
A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080411 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080604 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080617 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Effective date: 20080630 Free format text: JAPANESE INTERMEDIATE CODE: A61 |
|
FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110718 Year of fee payment: 3 |
|
R150 | Certificate of patent (=grant) or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |