JP2006120130A - アクセスログの管理システム及び管理方法 - Google Patents

アクセスログの管理システム及び管理方法 Download PDF

Info

Publication number
JP2006120130A
JP2006120130A JP2005274394A JP2005274394A JP2006120130A JP 2006120130 A JP2006120130 A JP 2006120130A JP 2005274394 A JP2005274394 A JP 2005274394A JP 2005274394 A JP2005274394 A JP 2005274394A JP 2006120130 A JP2006120130 A JP 2006120130A
Authority
JP
Japan
Prior art keywords
access log
access
data
distribution server
user identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005274394A
Other languages
English (en)
Inventor
Kenji Terada
賢二 寺田
Tomoya Yamanashi
智哉 山梨
Kaoru Kojima
薫 小島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SOFTWARE PARTNER KK
Original Assignee
SOFTWARE PARTNER KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SOFTWARE PARTNER KK filed Critical SOFTWARE PARTNER KK
Priority to JP2005274394A priority Critical patent/JP2006120130A/ja
Publication of JP2006120130A publication Critical patent/JP2006120130A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】
汎用性を維持しつつ、システム運用に際し、不正なアクセス者を特定し、情報の漏洩の原因を的確に追求可能とし、ひいては、情報の漏洩を未然に防止する。
【解決手段】
本発明は、監視プログラム31により、Webサーバ3を介して送受される要求データ及び応答データを取得し、監視プログラム31により、要求データ及び応答データから所定の情報を抽出し、抽出された情報をアクセスログとしてアクセスログデータベース7に蓄積し、ログ分析部94によってアクセスログの分析を行う。
【選択図】 図1

Description

本発明は、ネットワークを介したシステムを利用する際、ユーザーとサーバ間における通信データをアクセスログとして取得し、正確なシステム監査を可能とするセキュリティソリューションアクセスログにおける管理システム及び管理方法に関する。
近年、多くの企業において、回線の高速化やPCの普及などにより、ネットワークを通じて、様々な情報を扱うWebシステムが構築されている。その情報には、顧客、契約情報などを含む重要なデータが多く含まれ、外部への漏洩を完全に防止する必要があるものもある。
従来、情報へのアクセスを管理する技術として、情報へのアクセス情報をアクセスログとして蓄積し、これを解析するものがある。このアクセスログの解析については、例えば、特許文献1に開示されたような、システム毎に独自で開発したり、Webページに情報を取得するプログラムを埋め込んだりという形態が採られていた。
この特許文献に開示された技術では、Webサーバに近接させてパケットキャプチャー装置を設置し、このパケットキャプチャー装置にてWebサーバへのパケットを取得し、その取得履歴を、HTTPの「GET」や「POST」等のパラメータを含めたアクセスログとして保存する。パケットキャプチャー装置は、HTML等のブラウザが受信した信号もキャプチャーすることができ、ジャーナルログを作成することで、ユーザーがHTMLデータを受け取ったことも確認することができる。
特開2003−140990号公報
しかしながら、上述した特許文献1に開示された技術は、パケットデータの収集を行うのみに止まるものであることから、パケットデータを送受したアクセス者を特定することが困難であるという問題があった。
上述した情報の漏洩にあっては、ローカルネットワーク内部からの漏洩である場合が多いことから、ローカルネットワークにおいて、システム運用中に内部の誰がどのデータを利用したかを把握し、システムの運用中に誰が不正なアクセスをしたかを追跡することが必要となる。
ところが、上記特許文献1に開示された形態では、情報漏洩が発覚した際、不正なアクセスを実行した本人を完全に特定したり、流出したデータを容易に把握することができないという問題があった。
そこで、本発明は以上の点に鑑みてなされたもので、汎用性を維持しつつ、システム運用に際し、不正なアクセス者を特定し、情報の漏洩の原因を的確に追求可能とし、ひいては、情報の漏洩を未然に防止することができるアクセスログの管理システム及び管理方法を提供することをその課題とする。
上記課題を解決するために、本発明は、通信回線を相互に接続して構築される通信ネットワーク上に設置される配信サーバに対するアクセスログを収集するアクセスログ管理システム及び方法であって、配信サーバ上で動作される監視プログラムにより、配信サーバを介して送受される要求データ及び応答データを取得するとともに、要求データ及び応答データから所定の情報(特定のアクセス者を識別するユーザー識別情報を含む)を抽出し、抽出された情報をアクセスログとしてアクセスログデータベースに蓄積し、この蓄積されたアクセスログを用いてログ分析部によりアクセスログの分析を行う。
上記発明において、ユーザー識別情報は、アクセス先を特定するためのサイト名やURL等のアドレス情報、及びアクセスに際して使用されるユーザー名やユーザーID等のユーザー識別子であることが好ましい。
上記発明において、要求データ及び応答データは、ヘッダー部及び実データ部から構成され、監視プログラムは、ヘッダー部又は実データ部に含まれるデータ(例えば、POSTデータやGETデータ)を選択的に抽出可能であることが好ましい。また、上記発明において、圧縮処理部により、アクセスログを圧縮し、アクセスログデータベースに対して蓄積することが好ましい。
上記発明において、要求データ及び応答データを取得する処理、及び所定の情報を抽出する処理は、前記配信サーバ上の監視プログラムで実行することができる。
また、上記発明において、要求データ及び応答データを取得する処理は、前記通信ネットワークと前記配信サーバとの間に配置され、これら通信ネットワーク及び配信サーバ間で送受されるパケットデータを取得するパケットキャプチャー部で実行し、前記所定の情報を抽出する処理は、前記配信サーバ上で実行することができる。
さらに、要求データ及び応答データを取得する処理、及び所定の情報を抽出する処理は、前記通信ネットワークと前記配信サーバとの間に配置され、これら通信ネットワーク及び配信サーバ間で送受されるデータの交換を行うゲートウェイ装置上で実行することができる。
以上説明したように本発明のアクセスログの管理システム及び管理方法によれば、監視プログラムを組み込むことによって、アクセスログとして必要な情報を収集でき、ログ分析部によって、システムを利用していたユーザーとサーバ間の情報を正確に把握することができる。
さらに、内部からの情報漏洩が発生した際に、誰がどのようにしてデータを入できたかを容易に調査することが可能となり、裁判等で使用する状況証拠として採用することができる。また、分析結果によっては、事前に情報漏洩を防止するための対策などを講じることができる。
[第1実施形態]
本発明の第1実施形態について、図面を参照しつつ説明する。図1は、本実施形態に係るアクセスログ管理システムの概略構成を示す説明図である。
(システムの全体構成)
同図に示すように、通信ネットワーク2を介して接続されたユーザー端末1及びWebサーバ3と、Webサーバ3に接続されたアプリケーションサーバ4,データベースサーバ5,ログ管理サーバ6と、ログ管理サーバ6に接続されたアクセスログデータベース7及び運用端末8とを備えている。
通信ネットワーク2は、通信プロトコルTCP/IPを用いて種々の通信回線(電話回線やISDN回線、ADSL回線などの公衆回線、専用回線、無線通信網)を相互に接続して構築される分散型のIP網であり、10BASE-Tや100BASE-TX等によるイントラネット(企業内ネットワーク)や家庭内ネットワークなどのLANなども含まれる。
ユーザー端末1は、CPUを備えた演算処理装置であり、パーソナルコンピュータ等の汎用コンピュータや、機能を特化させた専用装置により実現することができ、モバイルコンピュータやPDA(Personal Digital Assistance)、携帯電話機も含まれる。
Webサーバ3は、WWW(World Wide Web)等のドキュメントシステムにおいて、HTML(HyperText Markup Language)ファイルや画像ファイル、音楽ファイルなどの情報送信を行うサーバコンピュータ或いはその機能を持ったソフトウェアであり、HTML文書や画像などのWebコンテンツ32の配信や、アプリケーションサーバ4によるアプリケーションサービス、データベースサーバ5によるデータベースサービスを、ユーザー端末1で実行されるWebブラウザなどのクライアントソフトウェアの要求に応じて提供する。
また、Webサーバ3上では、監視プログラム31が実行されており、この監視プログラム31は、Webサーバ3を介して送受される要求データ及び応答データを取得するデータ取得部の機能と、これらの要求データ及び応答データから所定の情報を抽出するフィルタ部の機能とを兼ね備えるモジュールである。
この監視プログラム31は、ユーザーからのアクセスが、監視対象であるか否かを判断する判断部としての機能も備えており、監視対象でない場合には通常のアクセスとして通信を継続させ、監視対象である場合に、要求データ及び応答データを取得し、ログインプロセスページ32aを通じてユーザーが入力するデータや、デジタル証明書、ICカードや携帯端末等の識別情報(端末番号,電話番号,MACアドレス)など、ユーザーが直接入力しないで送受されるデータから、必要な情報を抽出し、ログ管理サーバ6に送出する。
ログインプロセスページ32aは、Webコンテンツ32に含まれ、ユーザーがアクセスをする際に通過するWebページであり、アクセスしてきたユーザーに対してユーザーIDやパスワード等の入力を要求し、その認証等のログイン処理を行う。なお、このログインプロセスページ32aは、単一のページで構成してもよく、階層構造をなす複数のページで構成することもできる。そして、全てのページにおいて、後述するセッション毎に付与されるセッションIDを発行し、これを後述するHTTP-Cookieによりユーザー端末側に保持させ、複数ページ間を遷移する際に、ユーザー端末に対してセッションIDの照合を行い、同一ユーザーの一連のセクション識別する。
詳述すると、監視プログラム31は、ユーザーからのアクセスがあった際に、ユーザーのアクセス先をチェックし、アクセス先が監視範囲であった場合、ログインプロセスページ32aに対するアクセスか否かをチェックする。このチェックの結果、ログインプロセスページ32aに対するアクセスであって、且つ要求データ内にユーザーIDが含まれていたとき、これをユーザー識別処理部53により、取得したユーザーIDデータを、例えば、HTTP-Cookieに追加するなどしてブラウザ側の記憶領域に記憶させる機能も備えている。なお、監視プログラム31には、抽出されなかった不要なデータを削除する機能を設けてもよい。
データを取得する際の具体的な処理は、取得するデータが「要求データ」であるか、「応答データ」であるかに応じて、以下のように実行される。
○要求データ時
(1)アクセス範囲(アクセス先が監視範囲であるか否か)をチェック
(2)初回の通信のみ独自のセッションIDをHTTP-Cookieに追加
(3)必要な要求データを取得
(4)ユーザー識別処理を実施(要求データから抽出)
(5)ユーザー識別処理の結果データをHTTP-Cookieに追加
(6)ログ管理サーバへアクセスログを送信
○応答データ時
(1)必要な応答データを取得(ログ管理サーバへ取得するデータの選別)
(2)ログ管理サーバへ送信
なお、上記アクセス範囲の設定・ユーザー識別処理の設定・応答データの選別の設定については、接続インターフェース54及び81を通じて、分析・運用・管理ツール9の監視プログラム設定部90から行うことができる。
また、監視プログラム31は、上記実データ部に含まれ、タグにより区分されるデータ(POSTデータ)を選択的に抽出する機能も果たす。このタグの設定は、監視プログラム設定部90により設定することが可能であり、例えば、HTML内のPOSTデータに記述されるINPUTタグ内のNAME、INPUT TYPE=text NAME=useridの「userid」等を抽出する。
特に、本実施形態において、要求データ及び応答データは、ヘッダー部及び実データ部から構成されたパケットデータであり、前記監視プログラム31は、これらのヘッダー部や実データ、Webサーバ3の環境変数に含まれる下表のような抽出条件により各種情報を抽出する。
Figure 2006120130
このような抽出条件によって、以下のような情報を取得することができる。
Figure 2006120130
(監視プログラム,ログ管理サーバ及び運用端末の構成)
次いで、監視プログラム31,ログ管理サーバ6及び運用端末8の具体的な内部構成について、説明する。図2は、これらの内部構成を示すブロック図である。
上記監視プログラム31は、通信ネットワーク2を通じてユーザー端末1に接続するための接続インターフェース50と、データを取得する要求データ取得部51及び応答データ取得部52と、ユーザーを識別するユーザー識別処理部53と、ログ管理サーバ6と接続するための接続インターフェース54とを備えている。
接続インターフェース50は、Webサーバ3上で送受されるデータを、要求データと応答データとに分離して、それぞれ要求データ取得部51又は応答データ取得部52に出力するモジュールである。
要求データ取得部51は、ユーザー端末1からWebサーバ3に対して送信されたデータ(要求データ)を取得するモジュールであり、応答データ取得部52は、Webサーバ3からユーザー端末1に対して送信されたデータ(応答データ)を取得するモジュールである。これら要求データ取得部51で取得されたデータはユーザー識別処理部53を経て接続インターフェース54に入力され、応答データ取得部52から出力されたデータは直接、接続インターフェース54に入力される。接続インターフェース54は、これらの入力されたデータをログ管理サーバ6に送出する。
ユーザー識別処理部53は、上述した抽出条件を含むユーザー識別情報により特定のユーザーを識別するための情報を抽出し、アクセスログとして出力するモジュールである。
上記ログ管理サーバ6は、Webサーバ3に接続するための接続インターフェース61と、圧縮処理部66と、アクセスログデータベース7、及びデータベース管理部67とを備えている。
接続インターフェース61は、Webサーバ3上の監視プログラム31から送出されたデータを、要求データと応答データとに分離し、要求データと応答データとに区分されたうえで圧縮処理部66に入力するモジュールである。
アクセスログデータベース7は、監視プログラム31によって抽出されたアクセスログを時系列のリストとして蓄積するデータベース装置であり、下表に示すようなデータをリレーション機能によって相互に関連付けて蓄積する。
Figure 2006120130
圧縮処理部66は、アクセスログを圧縮し、サイズを縮小するモジュールである。なお、本実施形態における圧縮処理部66は、要求データについては、圧縮することなく保存し、応答データのみ、セッション単位で圧縮する。データベース管理部67は、アクセスログデータベース7に対するデータの入出力を管理するモジュールであり、運用端末8からの要求に応じて、蓄積されたアクセスログを送出する。
一方、運用端末8は、ログ管理サーバ6に接続するためにログ管理サーバ6側の接続インターフェース68と通信を行う接続インターフェース81と、分析・運用・管理ツール9を実行する機能を備えている。
分析・運用・管理ツール9は、主として、監視プログラム31やログ管理サーバ6、分析条件の設定を行う機能と、ログ分析機能と、分析結果の出力機能とを備えている。
具体的に、監視プログラムの設定機能は、監視プログラム設定部90により実現され、この監視プログラム設定部90による設定は、接続インターフェース81及び54を通じて、監視プログラム31に送信される。ここで、監視プログラムの設定としては、以下に掲げるように、
・ログインプロセスページのURL(例えば、http://www.xxx.co.jp/logincheck.jspなど)
・ユーザーIDタグ名称(例えば、HTMLに記述されるINPUTタグ内のNAME、INPUT TYPE=text NAME=useridの「userid」)
・ユーザーIDを送信する方法(POSTかGETか)
・認証タイプ(フォーム認証・クライアント認証・基本認証のいずれか)
・デバイス識別子
等が含まれる。
また、ログ管理サーバ6の設定としては、監視プログラムから送出されるデータを受信するためのポート(要求データ用、応答データ用)、アクセスログデータベースの設定(サービスポート、データソースネームの設定など)、圧縮モジュールの設定等が含まれる。
シングルサインオン連携設定部91は、ユーザー識別情報の入力を支援するモジュールであり、具体的には、既にシングルサインオンを導入しているシステムを利用する場合、既に認証処理が済んでいるとログインプロセスページにアクセスしないことがあるので、このシングルサインオン連携で、シングルサインオン製品と連携が取れるように対応する必要があり、このシングルサインオン連携設定部91を通じて、シングルサインオン製品に応じたユーザー識別子がユーザー識別情報の設定として監視プログラムに入力される。
デバイス認証設定部93は、デバイス識別子を取得するモジュールであり、この取得したデバイス識別子をユーザー識別情報の設定として監視プログラム設定部90に入力する。なお、このデバイス識別子は、認証機能を持つ製品名であって、このデバイス識別子によりユーザー識別子を特定する(例えば、電子証明書の場合、CERT_ISSUSERからユーザーIDを取得するなど)。
また、ログ分析機能としては、ログ分析部94と、分析条件設定部98とを備え、出力機能としては、ログ閲覧部95と、レポート出力部97と、利用履歴送信部99とを備えている。
ログ分析部94は、管理者の設定に応じてアクセスログの抽出やソート等を行うモジュールである。分析条件設定部98は、ログ分析部94における分析条件を設定するモジュールであり、テンプレート式のユーザーインターフェースを備え、分析対象とするログを絞り込むための条件(期間、ユーザー名、アクセス先等)を入力させ、入力された条件をログ分析部94に渡す。
ログ閲覧部95は、ログ分析部94で分析(抽出やソート等の加工を含む。)された結果をディスプレイ等に表示するモジュールである。また、レポート出力部97は、上記分析結果の印刷やファイル出力を行うモジュールである。さらに、利用履歴送信部99は、管理者による分析結果や、分析の履歴(管理者セキュリティ)を所定のアドレスに送信したり、管理者グループの同報配信したりするモジュールである。
また、運用端末8は、他のサービスを提供するモジュールとして負荷テスト部82を備えている。この負荷テスト部82は、ユーザー端末からの要求に対するWebサーバ3の応答速度を測定するモジュールであり、この測定結果により各Webサーバの負荷を推定し、ユーザー端末側に通知する。
(アクセスログ管理方法)
以上の構成を有するアクセスログ管理システムを動作させることによって、本発明のアクセスログ管理方法を実施することができる。
(1)アクセスログ収集
上述したシステムにおいて、ユーザー端末1とWebサーバ3間で発生したアクセス(要求データ及び応答データ)を、Webサーバ3に組み込まれた監視プログラム31により選択的に取得・保存する。
具体的には、図3に示すように、監視範囲であるアクセスA2に対しては、監視プログラム31において、ログインプロセスページのアドレス、IDタグ名称、Methodタイプ、認証タイプ(基本認証orクライアント認証など)、デバイス識別子等に基づいてフィルタリングを行い、情報を抽出する。なお、監視範囲外のアクセスA1に対しては、ログ取得しないで通信を継続させる。
(2)アクセスログ分析
監視プログラム31において取得・保存されたアクセスログを用い、有事の際には、分析・運用・管理ツール9のログ分析部94によって、データベースの分析を行う。
(3)ユーザー識別処理
特に、上述した監視プログラム31におけるユーザー識別処理は、監視プログラム設定部90を通じて管理者にシステム毎の情報を入力させ、ユーザー識別情報を設定することよって行う。
具体的には、図4に示すように、先ず、ユーザーからのアクセスがあった際、ステップS101において、必要データ(要求データ及び応答データ)を取得し、セッションIDのチェックを行う(S101)。このセッションIDのチェックでは、HTTP_Cookie内に記述されているSessionID項目をチェックし(S102)、SessionIDが無かった場合は、初回アクセスであるとして、HTTP_Cookie内にSessionID(任意のID)を付与し、一方、SessionIDが有る場合は、継続アクセスであるとしてID付与の処理をせずにステップS104に移行する。
ステップS104では、アクセス先が監視対象であるかをチェックする。監視対象であれば、ステップS105に移行してユーザー識別処理を実施し、対象外であれば、なにも処理せずに終了する。
ステップS105では、ログインプロセスページ(認証ページ)に対するアクセスか否かを判断し、認証ページでなかった場合には、ログ取得しないで通信を継続し、認証ページである場合には、ユーザーIDを取得する方法である認証タイプを判断する(S106)。この変更例としては、認証タイプとして基本認証、クライアント認証及びフォーム認証がある。
基本認証は、AUTH_USERからユーザーIDを取得し、HTTP_Cookieにセットする(S111及びS112)。クライアント認証は、CERT_ISSUERからユーザーIDを取得し、HTTP_Cookieにセットする(S110及びS112)。
フォーム認証では、メソッドがPOSTかGETかのチェックを行い(S107)、POSTである場合には、設定しているユーザーIDタグ名称に基づいて実データ内からユーザーIDを取得し(S109)、GETである場合には、設定しているユーザーIDタグ名称に基づいて、ヘッダー情報(URL)からユーザーIDを取得する(S108)。これらステップS108及びS109の後、ユーザーIDをHTTP_Cookieにセットする(S112)。
(本実施形態による作用・効果)
以上説明したように本実施形態のアクセスログの管理システム及び管理方法によれば、監視プログラム31をWebサーバ3に組み込むことによって、アクセスログとして必要な情報を収集でき、ログ分析部によって、システムを利用していたユーザーとサーバ間の情報を正確に把握することができる。特に、本実施形態では、監視プログラムの機能を、Webサーバ3上に集約したため、単一の装置により、上記ログ分析を実行することができ、設備費を軽減しつつ、セキュリティの向上を図ることができる。
[第2実施形態]
次いで、本発明の第2実施形態について説明する。本実施形態では、上述した第1実施形態において、Webサーバ3上で実行していた、監視プログラム31のアクセスログ収集処理及びユーザー識別処理を、複数の装置に分散させることを特徴とする。図5は、本実施形態にかかるアクセスログ管理システムの概略構成を示す説明図である。なお、本実施形態において、上述した第1実施形態と同一の構成要素には同一の符号を付し、その機能等は特に言及しない限り同一であり、その説明は省略する。
同図に示すように、本実施形態では、通信ネットワーク2とWebサーバ3との間に配置されたHUB10aを介して、パケットキャプチャー装置10が設けられている。このパケットキャプチャー装置10は、HUB10aを介して、通信ネットワーク2及びWebサーバ3間で送受されるパケットデータを取得する装置であり、このパケットキャプチャー装置10の後段に上述したログ管理サーバ6やアクセスログデータベース7、運用端末8が接続されている。
HUB10aは、ネットワーク上の集線装置であり、ネットワーク上を流れるデータを他のネットワーク又は装置に中継する。本実施形態においてこのHUB10aは、通信ネットワーク2とWebサーバ3との間で送受されるデータを複製し、複製したデータを全てパケットキャプチャー装置10に転送する機能を備えている。これにより、パケットキャプチャー装置10は、Webサーバ3に対して送受されるデータの全てを監視することが可能となっている。
本実施形態において、監視プログラムは、Webサーバ3上の監視プログラム31と、パケットキャプチャー装置10上の監視プログラム101とに機能が分散されている。図6は、本実施形態に係る各装置の内部構成を示すブロック図である。
同図に示すように、ユーザー識別処理を行うユーザー識別処理部33は、上述した第1実施形態と同様に、Webサーバ3上の監視プログラム31により実行される。このユーザー識別処理部33で抽出されたユーザー識別情報は、接続インターフェース34を通じて、パケットキャプチャー装置10に送出され、このパケットキャプチャー装置10を介して、ログ管理サーバ6のアクセスログデータベース7に蓄積される。
一方、パケットキャプチャー装置10側の監視プログラム101では、要求データ取得部102及び応答データ取得部103が実行され、Webサーバ3に対して入出力されるパケットデータを接続インターフェース105を介して取得し、この取得されたデータをインターフェース104及び61を介して、ログ管理サーバ6のアクセスログデータベース7に蓄積する。
また、各監視プログラム31及び101の動作に必要な設定は、運用端末8の接続インターフェース81からHUB10aを通じて行うことができるようになっている。
(アクセスログ管理方法)
本実施形態においても、以上の構成を有するアクセスログ管理システムを動作させることによって、本発明のアクセスログ管理方法を実施することができる。
(1)アクセスログ収集
上述したシステムにおいて、ユーザー端末1とWebサーバ3間で発生したアクセス(要求データ及び応答データ)を、パケットキャプチャー装置10の要求データ取得部102及び応答データ取得部103により取得し、アクセスログデータベース7に保存する。
また、Webサーバ3上のユーザー識別処理部33により、ユーザー識別情報の抽出を行い、抽出した情報を、パケットキャプチャー装置10を介して、アクセスログデータベース7に蓄積する。具体的には、第1実施形態と同様、図3に示すように、監視範囲であるアクセスA2に対しては、監視プログラム31において、ログインプロセスページのアドレス、IDタグ名称、Methodタイプ、認証タイプ(基本認証orクライアント認証など)、デバイス識別子等に基づいてフィルタリングを行い、情報を抽出する。なお、監視範囲外のアクセスA1に対しては、ログ取得しないで通信を継続させる。
(2)アクセスログ分析
監視プログラム31及び101において取得・保存されたアクセスログを用い、有事の際には、分析・運用・管理ツール9のログ分析部94によって、データベースの分析を行う。
(3)ユーザー識別処理
特に、上述した監視プログラム31におけるユーザー識別処理は、監視プログラム設定部90を通じて管理者にシステム毎の情報を入力させ、ユーザー識別情報を設定することよって行う。
具体的な動作は、上述した第1実施形態と同様である。図4に示すように、先ず、ユーザーからのアクセスがあった際、ステップS101において、必要データ(要求データ及び応答データ)を取得し、セッションIDのチェックを行う(S101)。このセッションIDのチェックでは、HTTP_Cookie内に記述されているSessionID項目をチェックし(S102)、SessionIDが無かった場合は、初回アクセスであるとして、HTTP_Cookie内にSessionID(任意のID)を付与し、一方、SessionIDが有る場合は、継続アクセスであるとしてID付与の処理をせずにステップS104に移行する。ステップS104では、アクセス先が監視対象であるかをチェックする。監視対象であれば、ステップS105に移行してユーザー識別処理を実施し、対象外であれば、なにも処理せずに終了する。
ステップS105では、ログインプロセスページ(認証ページ)に対するアクセスか否かを判断し、認証ページでなかった場合には、ログ取得しないで通信を継続し、認証ページである場合には、ユーザーIDを取得する方法である認証タイプを判断する(S106)。この変更例としては、認証タイプとして基本認証、クライアント認証及びフォーム認証がある。
基本認証は、AUTH_USERからユーザーIDを取得し、HTTP_Cookieにセットする(S111及びS112)。クライアント認証は、CERT_ISSUERからユーザーIDを取得し、HTTP_Cookieにセットする(S110及びS112)。
フォーム認証では、メソッドがPOSTかGETかのチェックを行い(S107)、POSTである場合には、設定しているユーザーIDタグ名称に基づいて実データ内からユーザーIDを取得し(S109)、GETである場合には、設定しているユーザーIDタグ名称に基づいて、ヘッダー情報(URL)からユーザーIDを取得する(S108)。これらステップS108及びS109の後、ユーザーIDをHTTP_Cookieにセットする(S112)。
(本実施形態による作用・効果)
以上説明したように本実施形態のアクセスログの管理システム及び管理方法によれば、監視プログラム31及び101をWebサーバ3及びパケットキャプチャー装置10に分散させて組み込むことによって、Webサーバ3に過大な改良を加えることなく、アクセスログとして必要な情報を収集でき、ログ分析部によって、システムを利用していたユーザーとサーバ間の情報を正確に把握することができる。
[第3実施形態]
次いで、本発明の第3実施形態について説明する。本実施形態では、上述した第1実施形態において、Webサーバ3上で実行していた、監視プログラム31のアクセスログ収集処理及びユーザー識別処理を、ゲートウェイ装置11で実行することを特徴とする。図7は、本実施形態にかかるアクセスログ管理システムの概略構成を示す説明図である。なお、本実施形態において、上述した第1実施形態と同一の構成要素には同一の符号を付し、その機能等は特に言及しない限り同一であり、その説明は省略する。
同図に示すように、本実施形態では、通信ネットワーク2とWebサーバ3との間にゲートウェイ装置11が配置されており、このゲートウェイ装置11の後段に、上述したログ管理サーバ6やアクセスログデータベース7、運用端末8が接続されている。
ゲートウェイ装置11は、ネットワーク上で、媒体やプロトコルが異なるデータを相互に変換して通信を可能にする機器であり、OSI参照モデルの全階層を認識し、通信媒体や伝送方式の違いを吸収して異機種間の接続を可能とする中継装置である。そして、本実施形態にかかるゲートウェイ装置11は、第1実施形態における監視プログラム31と同様の機能を備えた監視プログラム111が実行されており、このゲートウェイ装置11上において、アクセスログ収集処理及びユーザー識別処理が行われる。図8は、本実施形態に係る各装置の内部構成を示すブロック図である。
上記ゲートウェイ装置11は、通信ネットワーク2を通じてユーザー端末1に接続するための接続インターフェース116と、データを取得する要求データ取得部112及び応答データ取得部114と、ユーザーを識別するユーザー識別処理部113と、ログ管理サーバ6及びWebサーバ3と接続するための接続インターフェース115とを備えている。
接続インターフェース116は、Webサーバ3上で送受されるデータを、要求データと応答データとに分離して、それぞれ要求データ取得部112又は応答データ取得部114に出力するモジュールである。
要求データ取得部112は、ユーザー端末1からWebサーバ3に対して送信されたデータ(要求データ)を取得するモジュールであり、応答データ取得部114は、Webサーバ3からユーザー端末1に対して送信されたデータ(応答データ)を取得するモジュールである。これら要求データ取得部112で取得されたデータはユーザー識別処理部113を経て接続インターフェース115に入力され、応答データ取得部114から出力されたデータは直接、接続インターフェース115に入力される。接続インターフェース115は、これらの入力されたデータ又は情報をログ管理サーバ6に送出するとともに、通信ネットワーク2に対して送受されるデータをそのままWebサーバ3に中継する。ユーザー識別処理部53は、ユーザーを識別するための情報を抽出し、アクセスログとしてアクセスログデータベース7に送出し蓄積させるモジュールである。
(アクセスログ管理方法)
本実施形態においても、以上の構成を有するアクセスログ管理システムを動作させることによって、本発明のアクセスログ管理方法を実施することができる。
(1)アクセスログ収集
上述したシステムにおいて、ユーザー端末1とWebサーバ3間で発生したアクセス(要求データ及び応答データ)を、ゲートウェイ装置11の要求データ取得部102及び応答データ取得部103により取得し、アクセスログデータベース7に保存する。これと併せて、ゲートウェイ装置11では、ユーザー識別処理部113により、ユーザー識別情報の抽出を行い、抽出した情報をアクセスログデータベース7に蓄積する。具体的には、第1実施形態と同様、図3に示すように、監視範囲であるアクセスA2に対しては、監視プログラム111において、ログインプロセスページのアドレス、IDタグ名称、Methodタイプ、認証タイプ(基本認証orクライアント認証など)、デバイス識別子等に基づいてフィルタリングを行い、情報を抽出する。なお、監視範囲外のアクセスA1に対しては、ログ取得しないで通信を継続させる。
(2)アクセスログ分析
監視プログラム111において取得・保存されたアクセスログを用い、有事の際には、分析・運用・管理ツール9のログ分析部94によって、データベースの分析を行う。
(3)ユーザー識別処理
特に、上述した監視プログラム111におけるユーザー識別処理は、監視プログラム設定部90を通じて管理者にシステム毎の情報を入力させ、ユーザー識別情報を設定することよって行う。
具体的な動作は、上述した第1実施形態と同様である。図4に示すように、先ず、ユーザーからのアクセスがあった際、ステップS101において、必要データ(要求データ及び応答データ)を取得し、セッションIDのチェックを行う(S101)。このセッションIDのチェックでは、HTTP_Cookie内に記述されているSessionID項目をチェックし(S102)、SessionIDが無かった場合は、初回アクセスであるとして、HTTP_Cookie内にSessionID(任意のID)を付与し、一方、SessionIDが有る場合は、継続アクセスであるとしてID付与の処理をせずにステップS104に移行する。ステップS104では、アクセス先が監視対象であるかをチェックする。監視対象であれば、ステップS105に移行してユーザー識別処理を実施し、対象外であれば、なにも処理せずに終了する。
ステップS105では、ログインプロセスページ(認証ページ)に対するアクセスか否かを判断し、認証ページでなかった場合には、ログ取得しないで通信を継続し、認証ページである場合には、ユーザーIDを取得する方法である認証タイプを判断する(S106)。この変更例としては、認証タイプとして基本認証、クライアント認証及びフォーム認証がある。
基本認証は、AUTH_USERからユーザーIDを取得し、HTTP_Cookieにセットする(S111及びS112)。クライアント認証は、CERT_ISSUERからユーザーIDを取得し、HTTP_Cookieにセットする(S110及びS112)。
フォーム認証では、メソッドがPOSTかGETかのチェックを行い(S107)、POSTである場合には、設定しているユーザーIDタグ名称に基づいて実データ内からユーザーIDを取得し(S109)、GETである場合には、設定しているユーザーIDタグ名称に基づいて、ヘッダー情報(URL)からユーザーIDを取得する(S108)。これらステップS108及びS109の後、ユーザーIDをHTTP_Cookieにセットする(S112)。
(本実施形態による作用・効果)
以上説明したように本実施形態のアクセスログの管理システム及び管理方法によれば、監視プログラム111をゲートウェイ装置11に組み込むことによって、アクセスログとして必要な情報を収集でき、ログ分析部によって、システムを利用していたユーザーとサーバ間の情報を正確に把握することができる。特に、本実施形態では、監視プログラムの機能を、ゲートウェイ装置11上に集約したため、Webサーバ3の運用に影響を及ぼすことなく、上記ログ分析を実行することができ、設備費を軽減しつつ、セキュリティの向上を図ることができる。
第1実施形態に係るアクセスログ管理システムの全体構成を示すブロック図である。 第1実施形態に係るログ管理サーバ及び運用端末の構成を示すブロック図である。 第1実施形態に係る監視プログラムにおける監視を模式的に示す説明図である。 第1実施形態に係るユーザー識別処理を示すフローチャート図である。 第2実施形態に係るアクセスログ管理システムの全体構成を示すブロック図である。 第2実施形態に係るログ管理サーバ及び運用端末の構成を示すブロック図である。 第3実施形態に係るアクセスログ管理システムの全体構成を示すブロック図である。 第3実施形態に係るログ管理サーバ及び運用端末の構成を示すブロック図である。
符号の説明
A1,A2…アクセス
1…ユーザー端末
2…通信ネットワーク
3…Webサーバ
4…アプリケーションサーバ
5…データベースサーバ
6…ログ管理サーバ
7…アクセスログデータベース
8…運用端末
9…分析・運用・管理ツール
10…パケットキャプチャー装置
10a…HUB
11…ゲートウェイ装置
31,101,111…監視プログラム
32…Webコンテンツ
32a…ログインプロセスページ
33,53,113…ユーザー識別処理部
51,102,112…要求データ取得部
52,103,114…応答データ取得部
66…圧縮処理部
67…データベース管理部
82…負荷テスト部
90…監視プログラム設定部
91…シングルサインオン連携設定部
93…デバイス認証設定部
94…ログ分析部
95…ログ閲覧部
97…レポート出力部
98…分析条件設定部
99…利用履歴送信部

Claims (14)

  1. 通信回線を相互に接続して構築される通信ネットワーク上に設置される配信サーバに対するアクセスログを収集するアクセスログ管理システムであって、
    前記配信サーバで受信される要求データを取得する要求データ取得部と、
    前記配信サーバから送信される応答データを取得する応答データ取得部と、
    前記要求データ及び応答データから所定の情報(特定のアクセス者を識別するユーザー識別情報を含む)を抽出するユーザー識別処理部と、
    前記要求データ取得部、応答データ取得部及びユーザー識別処理部で得られたデータ又は情報をアクセスログとして蓄積するアクセスログデータベースと、
    ユーザー操作に基づいて、前記ユーザー識別情報を設定する監視プログラム設定部と、
    前記アクセスログの分析を行うログ分析部と
    を有することを特徴とするアクセスログ管理システム。
  2. 前記ユーザー識別情報は、アクセス先を特定するアドレス情報、及びアクセスに際して使用されるユーザー識別子であることを特徴とする請求項1に記載のアクセスログ管理システム。
  3. 前記要求データ及び応答データは、ヘッダー部及び実データ部から構成され、
    前記監視プログラムは、ヘッダー部又は実データ部に含まれるデータを選択的に抽出可能であることを特徴とする請求項1に記載のアクセスログ管理システム。
  4. 前記アクセスログを圧縮し、前記アクセスログデータベースに対して蓄積させる圧縮処理部を有することを特徴とする請求項1に記載のアクセスログ管理システム。
  5. 前記要求データ取得部、前記応答データ取得部、及び前記ユーザー識別処理部は、前記配信サーバ上で実行される監視プログラムであることを特徴とする請求項1に記載のアクセスログ管理システム。
  6. 前記通信ネットワークと前記配信サーバとの間に配置され、これら通信ネットワーク及び配信サーバ間で送受されるパケットデータを取得するパケットキャプチャー部をさらに備え、
    前記要求データ取得部及び前記応答データ取得部は、前記パケットキャプチャー装置上で実行され、
    前記ユーザー識別処理部は、前記配信サーバ上で実行される
    ことを特徴とする請求項1に記載のアクセスログ管理システム。
  7. 前記通信ネットワークと前記配信サーバとの間に配置され、これら通信ネットワーク及び配信サーバ間で送受されるデータの交換を行うゲートウェイ装置をさらに備え、
    前記要求データ取得部、前記応答データ取得部、及び前記ユーザー識別処理部は、前記ゲートウェイ装置上で実行されることを特徴とする請求項1に記載のアクセスログ管理システム。
  8. 通信回線を相互に接続して構築される通信ネットワーク上に設置される配信サーバに対するアクセスログを収集するアクセスログ管理方法であって、
    要求データ取得部及び応答データ取得部によって、前記配信サーバに対して送受信される要求データ及び応答データを取得するステップ(1)と、
    前記ユーザー識別処理部により、前記要求データ及び応答データから所定の情報(特定のアクセス者を識別するユーザー識別情報を含む)を抽出するステップ(2)と、
    前記ステップ(1)及び(2)で得られたデータ又は情報をアクセスログとしてアクセスログデータベースに蓄積するステップ(3)と、
    蓄積されたアクセスログを用いてログ分析部により前記アクセスログの分析を行うステップ(4)と
    を有することを特徴とするアクセスログ管理方法。
  9. 前記ステップ(2)において、前記ユーザー識別情報は、アクセス先を特定するアドレス情報、及びアクセスに際して使用されるユーザー識別子であることを特徴とする請求項8に記載のアクセスログ管理方法。
  10. 前記要求データ及び応答データは、ヘッダー部及び実データ部から構成され、
    前記ステップ(2)において、ユーザー識別処理部は、ヘッダー部又は実データ部に含まれるデータを選択的に抽出可能であることを特徴とする請求項8に記載のアクセスログ管理方法。
  11. 前記ステップ(3)において、圧縮処理部により、アクセスログを圧縮し、前記アクセスログデータベースに対して蓄積させることを特徴とする請求項8に記載のアクセスログ管理方法。
  12. 前記ステップ(1)及びステップ(2)は、前記配信サーバ上の監視プログラムにより実行されることを特徴とする請求項8に記載のアクセスログ管理方法。
  13. 前記ステップ(1)は、前記通信ネットワークと前記配信サーバとの間に配置され、これら通信ネットワーク及び配信サーバ間で送受されるパケットデータを取得するパケットキャプチャー部で実行され、
    前記前記ステップ(2)は、前記配信サーバ上で実行される
    ことを特徴とする請求項8に記載のアクセスログ管理方法。
  14. 前記ステップ(1)及びステップ(2)は、通信ネットワークと前記配信サーバとの間に配置され、これら通信ネットワーク及び配信サーバ間で送受されるデータの交換を行うゲートウェイ装置上で実行されることを特徴とする請求項8に記載のアクセスログ管理方法。
JP2005274394A 2004-09-21 2005-09-21 アクセスログの管理システム及び管理方法 Pending JP2006120130A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005274394A JP2006120130A (ja) 2004-09-21 2005-09-21 アクセスログの管理システム及び管理方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004273332 2004-09-21
JP2005274394A JP2006120130A (ja) 2004-09-21 2005-09-21 アクセスログの管理システム及び管理方法

Publications (1)

Publication Number Publication Date
JP2006120130A true JP2006120130A (ja) 2006-05-11

Family

ID=36537919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005274394A Pending JP2006120130A (ja) 2004-09-21 2005-09-21 アクセスログの管理システム及び管理方法

Country Status (1)

Country Link
JP (1) JP2006120130A (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008009607A (ja) * 2006-06-28 2008-01-17 Fuji Xerox Co Ltd 情報処理システムおよび制御プログラム
JP2009026020A (ja) * 2007-07-19 2009-02-05 Hitachi Information Systems Ltd 負荷試験システムおよび負荷試験データ作成方法、ならびにそのプログラム
JP2009181459A (ja) * 2008-01-31 2009-08-13 Mitsubishi Space Software Kk アクセス解析装置及びアクセス解析方法及びアクセス解析プログラム
JP2009282772A (ja) * 2008-05-22 2009-12-03 Hitachi Ltd 監査証跡ファイル作成方法及びその実施装置
JP2009296458A (ja) * 2008-06-06 2009-12-17 Ntt Docomo Inc 通信システム、監視システムおよび信号分岐装置、並びに通信方法、監視方法および信号分岐方法
JP2010512035A (ja) * 2006-11-14 2010-04-15 エフエムアール エルエルシー ネットワークにおける不正行為の検出及び禁止
JP2011091465A (ja) * 2009-10-20 2011-05-06 Hitachi Ltd アクセスログ管理方法
JP2011211544A (ja) * 2010-03-30 2011-10-20 Nippon Telegr & Teleph Corp <Ntt> ネットワーク解析装置およびその動作方法
JP2012226461A (ja) * 2011-04-18 2012-11-15 Nomura Research Institute Ltd Web監査支援システム
KR101271916B1 (ko) 2011-11-08 2013-06-05 주식회사 포스코 엔지니어링 지식 기반 엔지니어링 산출물 관리 시스템 및 그 관리 방법
JPWO2013121572A1 (ja) * 2012-02-17 2015-05-11 株式会社日立製作所 分散システムにおける異種システムデータ提供方法
WO2020066783A1 (ja) * 2018-09-26 2020-04-02 株式会社ラック 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム
JP2022157254A (ja) * 2021-03-31 2022-10-14 エヌ・ティ・ティ・コミュニケーションズ株式会社 分析装置、分析方法及び分析プログラム

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176538B2 (en) 2006-06-28 2012-05-08 Fuji Xerox Co., Ltd. Information processing system, recording medium storing control program, and computer data signal embodied in a carrier wave
JP2008009607A (ja) * 2006-06-28 2008-01-17 Fuji Xerox Co Ltd 情報処理システムおよび制御プログラム
JP2010512035A (ja) * 2006-11-14 2010-04-15 エフエムアール エルエルシー ネットワークにおける不正行為の検出及び禁止
JP2009026020A (ja) * 2007-07-19 2009-02-05 Hitachi Information Systems Ltd 負荷試験システムおよび負荷試験データ作成方法、ならびにそのプログラム
JP4627539B2 (ja) * 2007-07-19 2011-02-09 株式会社日立情報システムズ 負荷試験システムおよび負荷試験データ作成方法、ならびにそのプログラム
JP2009181459A (ja) * 2008-01-31 2009-08-13 Mitsubishi Space Software Kk アクセス解析装置及びアクセス解析方法及びアクセス解析プログラム
JP2009282772A (ja) * 2008-05-22 2009-12-03 Hitachi Ltd 監査証跡ファイル作成方法及びその実施装置
JP2009296458A (ja) * 2008-06-06 2009-12-17 Ntt Docomo Inc 通信システム、監視システムおよび信号分岐装置、並びに通信方法、監視方法および信号分岐方法
JP4590469B2 (ja) * 2008-06-06 2010-12-01 株式会社エヌ・ティ・ティ・ドコモ 通信システム、監視システムおよび信号分岐装置、並びに通信方法、監視方法および信号分岐方法
JP2011091465A (ja) * 2009-10-20 2011-05-06 Hitachi Ltd アクセスログ管理方法
JP2011211544A (ja) * 2010-03-30 2011-10-20 Nippon Telegr & Teleph Corp <Ntt> ネットワーク解析装置およびその動作方法
JP2012226461A (ja) * 2011-04-18 2012-11-15 Nomura Research Institute Ltd Web監査支援システム
KR101271916B1 (ko) 2011-11-08 2013-06-05 주식회사 포스코 엔지니어링 지식 기반 엔지니어링 산출물 관리 시스템 및 그 관리 방법
JPWO2013121572A1 (ja) * 2012-02-17 2015-05-11 株式会社日立製作所 分散システムにおける異種システムデータ提供方法
WO2020066783A1 (ja) * 2018-09-26 2020-04-02 株式会社ラック 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム
JP2020052669A (ja) * 2018-09-26 2020-04-02 株式会社ラック 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム
JP2022157254A (ja) * 2021-03-31 2022-10-14 エヌ・ティ・ティ・コミュニケーションズ株式会社 分析装置、分析方法及び分析プログラム
JP7157200B1 (ja) 2021-03-31 2022-10-19 エヌ・ティ・ティ・コミュニケーションズ株式会社 分析装置、分析方法及び分析プログラム
JP7502385B2 (ja) 2021-03-31 2024-06-18 エヌ・ティ・ティ・コミュニケーションズ株式会社 分析装置、分析方法及び分析プログラム

Similar Documents

Publication Publication Date Title
JP2006120130A (ja) アクセスログの管理システム及び管理方法
US20050044213A1 (en) Network traffic measurement system
CN103023710B (zh) 一种安全测试系统和方法
US20130191890A1 (en) Method and system for user identity recognition based on specific information
CN105516165B (zh) 一种识别计费欺诈的非法代理的方法、设备及系统
CN103595584B (zh) Web应用性能问题的诊断方法及系统
US20030115334A1 (en) Business transaction monitoring system and method
CN107172081A (zh) 一种数据校验的方法和装置
CN108900374A (zh) 一种应用于dpi设备的数据处理方法和装置
CN108173692A (zh) 一种基于主动和被动相结合的全网设备感知系统和感知方法
US20060149771A1 (en) Information processing system and communication retry method
CN111970234A (zh) 一种基于Cookie的NAT私网接入违规外联设备的取证方法
CN109992485A (zh) 一种调试日志提供方法、终端设备及服务器
CN102271331B (zh) 一种检测业务提供商sp站点可靠性的方法及系统
CN111625837A (zh) 识别系统漏洞的方法、装置和服务器
CN103037415B (zh) 网络分析方法及系统
CN100366002C (zh) 互联网共享接入检测系统
CN102035693A (zh) 网络互连设备及其侦测网络连线状态的方法
JP2002041468A (ja) 不正アクセス防止サービスシステム
CN108268370B (zh) 基于Referer和模板库匹配的网站质量分析方法、装置和系统
CN103368783A (zh) 一种网络通信过程的监听方法、系统和设备
CN117370286A (zh) 一种基于云平台的数据存储方法、系统及设备
CN111865724B (zh) 视频监控设备信息采集控制实现方法
CN106658081A (zh) 一种自动配置方法、机顶盒及服务器
CN113542044A (zh) 网络质量监测方法、装置及计算设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060116