JP2006221439A - Method for storing log - Google Patents

Method for storing log Download PDF

Info

Publication number
JP2006221439A
JP2006221439A JP2005034528A JP2005034528A JP2006221439A JP 2006221439 A JP2006221439 A JP 2006221439A JP 2005034528 A JP2005034528 A JP 2005034528A JP 2005034528 A JP2005034528 A JP 2005034528A JP 2006221439 A JP2006221439 A JP 2006221439A
Authority
JP
Japan
Prior art keywords
log
file
firewall
hard disk
logs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005034528A
Other languages
Japanese (ja)
Inventor
Takahito Ishikawa
崇仁 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2005034528A priority Critical patent/JP2006221439A/en
Publication of JP2006221439A publication Critical patent/JP2006221439A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To arrange acquired logs and prevent compression on a hard disk for storing the logs. <P>SOLUTION: A server including a firewall 101 arranges logs acquired daily by date and stores them in the hard disk device 104 in the firewall 101. A monitoring program 102, when the used capacity of the hard disk device 104 exceeds a predetermined threshold, transfers log files 103 stored in the hard disk device 104 in the firewall 101 to a log collection server 105. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ログの保管方法に係り、特に、Firewall等のネットワーク上に配置され、あるいは、他の機器と連携し、あるいは、単独で処理を行っている情報処理装置で取得されたログの保管方法に関する。   The present invention relates to a log storage method, and in particular, storage of a log acquired by an information processing apparatus that is arranged on a network such as a firewall, or that cooperates with another device or performs processing independently. Regarding the method.

従来、Firewall、サーバ等の情報処理装置により取得された通信ログ、内部処理ログ等のログデータ(以下、単に、ログという)は、1つのファイル内に記録されて保管されるのが一般的である。このため、前述したような1つのファイル内へのログの保管方法では、複数の日に記録されたログの中身をユーザが参照しようとする場合、ログを格納しているファイルサイズが大きいため、参照しようとするログを探し出すのが困難であった。また、障害対応等のためにログを取得して、他の部署等に送付する必要がある場合、ログを格納しているファイルのファイルサイズが大きいため、該当する部分を抽出したり、ファイルを分割したりという作業を行わなければならず、ログの取得、送付のために非常に多くの手間がかかっていた。   Conventionally, log data such as communication logs and internal processing logs (hereinafter simply referred to as logs) acquired by information processing apparatuses such as firewalls and servers are generally recorded and stored in one file. is there. For this reason, in the log storage method in one file as described above, when the user tries to refer to the contents of the log recorded on a plurality of days, the file size storing the log is large. It was difficult to find the log to be referenced. In addition, when it is necessary to obtain a log for troubleshooting, etc. and send it to other departments, the file size of the file storing the log is large. There was a need to divide it, and it took a lot of time to get and send logs.

さらに、ログ全体の量が増加して、ログを記録するファイルを構成しているハードディスク装置を圧迫したような場合、従来、ログを上書きする、あるいは、ログを削除する等の方法により対処しているが、このような方法では、必要なログが消失してしまう可能性があった。   In addition, when the total amount of logs increases and the hard disk drive that constitutes the log recording file is compressed, conventionally, the log has been overwritten or the log has been deleted. However, with such a method, there is a possibility that a necessary log is lost.

また、ログの保管に関する他の従来技術として、例えば、特許文献1等に記載された技術が知られている。この従来技術は、ネットワーク内に設けられ複数のサーバのそれぞれのサーバで収集している稼動ログや稼動データを1ヶ所に時系列的に継続して蓄積していくというものである。そして、この従来技術は、複数のサーバと収集蓄積制御装置とをネットワーク内に存在させ、収集蓄積装置内に設けられた収集プログラムが、所定の周期で稼動ログの転送を各サーバに対して要求し、各サーバのエージェントプログラムが、要求に応じて稼動データを収集蓄積装置に転送し、収集蓄積装置の収集プログラムが、各サーバから送られてきた稼動データを時系列データとして蓄積するというものである。
特開2001−027990号公報 Further, as another conventional technique related to log storage, for example, a technique described in Patent Document 1 is known. According to this conventional technique, operation logs and operation data collected by each of a plurality of servers provided in a network are continuously accumulated in one place in time series. In this prior art, a plurality of servers and a collection / storage control device exist in the network, and a collection program provided in the collection / storage device requests each server to transfer an operation log at a predetermined cycle. Then, the agent program of each server transfers the operation data to the collection and storage device upon request, and the collection program of the collection and storage device stores the operation data sent from each server as time series data. is there.
JP 2001-027990 A

取得したログを1つのファイル内に記録して保管する一般的なログの保管方法は、前述で説明したように、複数の日に渡って記録されたログの中身をユーザが参照しようとする場合、ファイルサイズが大きいために、参照しようとするログを探し出すのが困難であり、また、障害対応等のためにログを取得して、他の部署等に送付する必要がある場合、ログの取得、送付のために非常に多くの手間がかかってしまうという問題点を有している。   The general log storage method that records and stores the acquired log in one file is as described above, when the user wants to refer to the contents of the log recorded over multiple days. If the file size is large, it is difficult to find the log to be referenced, and if it is necessary to obtain the log to respond to a failure and send it to another department, etc. , There is a problem that it takes a great deal of time for sending.

また、特許文献1に記載された従来技術は、ネットワークの負荷(サーバへのアクセス量)が増加し、収集蓄積装置がログを収集する所定の周期以内にサーバが取得するログの量がサーバのハードディスクサイズを超えてしまう可能性があり、このような場合、ログの上書きや削除が一般的な手法として用いられているため、重要なログが消失してしまうという問題点を生じさせる。また、Firewallがログの収集を行う場合、Firewallの機種等によっては、ログの消失を防ぐために活動を停止してしまうことがあり、この場合、Firewallがその機能を果たすことができなくなるという問題点を生じさせる。   In addition, according to the related art described in Patent Document 1, the load on the network (amount of access to the server) increases, and the amount of logs acquired by the server within a predetermined period in which the collection and storage device collects logs is There is a possibility of exceeding the hard disk size. In such a case, overwriting or deleting of logs is used as a general method, which causes a problem that important logs are lost. In addition, when Firewall collects logs, depending on the Firewall model, etc., the activity may be stopped to prevent the loss of logs, and in this case, Firewall will not be able to perform its function. Give rise to

本発明の目的は、前述した従来技術の問題点を解決し、取得したログの整理を行い、ログを格納するハードディスクの圧迫を未然に防止することができるログの保管方法を提供することにある。   An object of the present invention is to provide a log storage method that solves the problems of the prior art described above, organizes acquired logs, and prevents compression of a hard disk that stores the logs. .

本発明によれば前記目的は、自装置で行った各種の処理のログを収集している情報処理装置におけるログの保管方法において、前記情報処理装置は、取得したログを格納する記憶装置と、該記憶装置の使用状況を監視する監視用手段とを備え、該監視用手段は、前記情報処理装置が取得して前記記憶装置の第1のログファイルに記憶していたログを、予め定めた所定の期間毎に整理して、前記記憶装置内の前記所定の期間毎に作成した前記ログファイルとは別の第2のログファイルに格納すると共に、前記記憶装置の使用容量を監視し、該使用容量が予め定めた閾値を越えたとき、前記第2のログファイルに格納されているログを、自情報処理装置に接続されているログ収集サーバに転送することにより達成される。   According to the present invention, the object of the present invention is to provide a log storage method in an information processing apparatus that collects logs of various processes performed by the own apparatus, wherein the information processing apparatus includes a storage device for storing the acquired log Monitoring means for monitoring the usage status of the storage device, and the monitoring means determines in advance a log acquired by the information processing device and stored in the first log file of the storage device. Organize every predetermined period, store in a second log file different from the log file created every predetermined period in the storage device, and monitor the used capacity of the storage device, This is achieved by transferring the log stored in the second log file to a log collection server connected to the information processing apparatus when the used capacity exceeds a predetermined threshold.

本発明によれば、取得したログを日付毎等の所定の期間毎に整理し、その期間毎に作成したログファイルに保管するようにしているので、ログの整理を行うことができ、該当ログを容易に探し出すことが可能となる。また、本発明によれば、障害対応時等に、要求されたログを即時に取得し、そのログを含むファイルを容易に送付することが可能となる。   According to the present invention, since the acquired logs are organized every predetermined period such as by date and stored in a log file created every period, the logs can be organized. Can be easily found. Further, according to the present invention, it is possible to immediately acquire a requested log and to easily send a file including the log when dealing with a failure.

また、本発明によれば、ログの大量出力によるハードディスクの圧迫を監視し、ハードディスク圧迫を検知した際にログ収集サーバへログを転送して、ログを収集しているFirewall、サーバ等の機器内のログを削除することとしているので、ログの消失やFirewallの停止を未然に防止することが可能となる。   In addition, according to the present invention, the compression of the hard disk due to a large amount of log output is monitored, and when the hard disk compression is detected, the log is transferred to the log collection server, and the firewall, server, or the like collecting the log Since it is decided to delete the log, it is possible to prevent the loss of the log and the stop of the firewall.

以下、本発明によるログ保管方法の実施形態を図面により詳細に説明する。   Hereinafter, embodiments of a log storage method according to the present invention will be described in detail with reference to the drawings.

図1は本発明の一実施形態によるログ保管方法を実施するシステムの構成例を示すブロック図である。図1において、101はFirewall、102は監視用プログラム、103、107はログファイル、104、106はハードディスク装置、105はログ収集サーバ、110は内部サーバ、111、112はハブ、113は外部通信網、114は内部LANである。   FIG. 1 is a block diagram showing a configuration example of a system that implements a log storage method according to an embodiment of the present invention. In FIG. 1, 101 is a firewall, 102 is a monitoring program, 103 and 107 are log files, 104 and 106 are hard disk devices, 105 is a log collection server, 110 is an internal server, 111 and 112 are hubs, and 113 is an external communication network. 114 are internal LANs.

図1に示すシステムの例は、公衆通信網等の外部通信網113と企業等における内部LAN114との間に設けられるFirewall101が通信ログ、その他の処理ログ等を収集する場合の例であり、内部LAN114には、Firewall101に接続された内部サーバ110と複数のハブ111、112とが接続されており、ハブ111、112のそれぞれには、図示しない複数のPC、プリンタ等の機器が接続されている。内部サーバ110は、内部LAN114上の通信を監視制御し、また、ハブ111、112を介して接続される機器全体の管理を行うものである。   The example of the system shown in FIG. 1 is an example in which a firewall 101 provided between an external communication network 113 such as a public communication network and an internal LAN 114 in a company collects communication logs and other processing logs. An internal server 110 connected to the firewall 101 and a plurality of hubs 111 and 112 are connected to the LAN 114, and a plurality of devices such as a PC and a printer (not shown) are connected to each of the hubs 111 and 112. . The internal server 110 monitors and controls communications on the internal LAN 114 and manages all devices connected via the hubs 111 and 112.

また、図1に示すFirewall101を含むシステムは、Firewall101とログ収集サーバ105とが相互に接続されて構成されている。Firewall101は、CPU、メモリ等を含む情報処理装置により構成され、その内部に監視用手段としての監視用プログラム102と記憶装置としてのハードディスク装置104とを備えて構成されると共に、内部LAN114に接続された機器と外部通信網上の機器との間での通信を中継しつつ、外部から内部LANを含むシステムへの電子的な攻撃等に対する防御を行っている。   The system including the firewall 101 shown in FIG. 1 is configured by connecting the firewall 101 and the log collection server 105 to each other. The Firewall 101 is configured by an information processing device including a CPU, a memory, and the like. The Firewall 101 includes a monitoring program 102 as a monitoring unit and a hard disk device 104 as a storage device, and is connected to an internal LAN 114. It relays communications between the connected devices and devices on the external communication network, and protects against electronic attacks on the system including the internal LAN from the outside.

前述において、Firewall101は、内部LAN114に接続された機器と外部通信網113上の機器との間での通信の状況を監視して、その通信のログを収集しており、監視用プログラム102は、Firewall101が収集したログを日付毎に整理し、分割してログファイル103として、Firewall101内のハードディスク装置104に保存する処理を行っている。また、監視用プログラム102は、Firewall101内のハードディスク装置104の使用容量を監視し、その使用容量が設定された閾値を超えた場合、ログ収集サーバ105のハードディスク106へFirewall内のログファイル103を転送する。そして、監視用プログラム102は、ログ収集サーバ105へ正しくFirewall101内のログファイル103が転送されたことを確認した後、Firewall101内のログファイル103を削除する。   In the above description, the Firewall 101 monitors the status of communication between a device connected to the internal LAN 114 and a device on the external communication network 113 and collects a log of the communication. Logs collected by the firewall 101 are organized by date, divided and stored as a log file 103 in the hard disk device 104 in the firewall 101. Further, the monitoring program 102 monitors the used capacity of the hard disk device 104 in the firewall 101, and when the used capacity exceeds a set threshold, the log file 103 in the firewall is transferred to the hard disk 106 of the log collection server 105. To do. The monitoring program 102 confirms that the log file 103 in the firewall 101 has been correctly transferred to the log collection server 105, and then deletes the log file 103 in the firewall 101.

本発明によるログの保管方法は、前述により、Firewall101内のハードディスク104が満杯になることを未然に防止することが可能となる。   As described above, the log storage method according to the present invention can prevent the hard disk 104 in the firewall 101 from becoming full.

図2はFirewallが日々のログをFirewall内のハードディスクに保存する処理動作を説明するフローチャート、図3はFirewall101のハードディスク装置104内に作成されるログファイルの構成例を示す図であり、次に、図2、図3を参照して、Firewall101での処理とこの処理によりハードディスク装置104内に作成されるログファイルについて説明する。   FIG. 2 is a flowchart for explaining the processing operation in which the firewall saves the daily log in the hard disk in the firewall. FIG. 3 is a diagram showing a configuration example of the log file created in the hard disk device 104 of the firewall 101. With reference to FIG. 2 and FIG. 3, processing in the firewall 101 and a log file created in the hard disk device 104 by this processing will be described.

(1)Firewall101は、公知の方法で通信の内容をログとして取得し、ハードディスク装置104内のログファイルに格納する。ここで取得されたログは、ハードディスク104内の/var/logディレクトリ302の第1のログファイルに日々のログファイルとして、ログの種類毎に分類した第1のログファイル1〜n303に取得順に日付、時刻情報と共に記録されていく。ログの種類としては、通信ログ、内部処理ログ、外部からの攻撃のログ、各種設定変更のログ等がある(ステップ201)。 (1) The Firewall 101 acquires the contents of communication as a log by a known method and stores it in a log file in the hard disk device 104. The logs acquired here are stored in the first log file 1 to n303 classified by log type as the daily log file in the first log file in the / var / log directory 302 in the hard disk 104 in the order of acquisition. It is recorded with time information. The log types include a communication log, an internal process log, an external attack log, and various setting change logs (step 201).

(2)監視用プログラム102は、一定の時間毎に、ここでは、1日に1回起動されて、第1のログファイル1〜n303に記録されているログの整理を開始し、処理を開始すると、まず、整理したログを格納するためのログファイルを保存するディレクトリ、ここでは、/var/backup ディレクトリ304がハードディスク104内にあるか否かを判定する(ステップ202)。 (2) The monitoring program 102 is activated at regular intervals, here once a day, starts organizing the logs recorded in the first log files 1 to n303, and starts processing. Then, first, it is determined whether or not the directory for storing the log file for storing the organized log, here, the / var / backup directory 304 is in the hard disk 104 (step 202).

(3)ステップ202の判定で、整理したログを格納するためのディレクトリがハードディスク104内になかった場合、監視用プログラム102は、ログファイルを保存する/var/backup ディレクトリ304を作成する(ステップ203)。 (3) If it is determined in step 202 that the directory for storing the organized log is not in the hard disk 104, the monitoring program 102 creates the / var / backup directory 304 for saving the log file (step 203). ).

(4)ステップ202の判定で、ログファイルを保存する/var/backup ディレクトリ304があった場合、あるいは、ステップ203の処理で、ログファイルを保存する/var/backup ディレクトリ304を作成した後、監視用プログラム102は、Firewall101が取得して種類別にログを格納している第1のログファイル1〜n303の1つを選択して、そのログファイルに格納してあるログから前日分のログを抽出する(ステップ204)。 (4) If there is a / var / backup directory 304 for saving the log file in the determination in step 202, or after creating the / var / backup directory 304 for saving the log file in the process in step 203, monitoring is performed. Program 102 selects one of the first log files 1 to n303 acquired by Firewall 101 and stores logs by type, and extracts logs for the previous day from the logs stored in the log file (Step 204).

(5)監視用プログラム102は、ステップ204の処理で抽出したログを、/var/backup ディレクトリ304内の第2のログファイル305としてのログ(当日−1)ファイルに格納し、そのログを抽出した第1のログファイル1〜n303の選択したファイルから削除する(ステップ205、206)。 (5) The monitoring program 102 stores the log extracted in step 204 in the log (today-1) file as the second log file 305 in the / var / backup directory 304, and extracts the log. The first log files 1 to n303 are deleted from the selected files (steps 205 and 206).

(6)次に、監視用プログラム102は、Firewall101が取得して種類別にログを格納している第1のログファイル1〜n303の全てについて処理が終了したか否かを判定し、終了していなければ、ステップ204からの処理に戻って処理を繰り返し、全ての処理が終了していた場合、ここでの処理を終了する(ステップ207)。 (6) Next, the monitoring program 102 determines whether or not the processing has been completed for all of the first log files 1 to n303 acquired by the firewall 101 and storing logs by type, and has been completed. If not, the process returns to the process from step 204 and the process is repeated. If all the processes have been completed, the process is terminated (step 207).

図4はFirewall内のハードディスクの使用容量が閾値を超えた場合に、Firewall内のハードディスクへ保存されている第2のログファイル内のログをログ収集サーバへ転送する処理動作を説明するフローチャート、図5はログ収集サーバのハードディスク装置106内に作成されるログファイルの構成例を示す図であり、次に、図4、図5を参照して、Firewall内のログファイルのログをログ収集サーバへ転送する処理と、ハードディスク装置106内に作成されるログファイルの構成とについて説明する。   FIG. 4 is a flowchart for explaining the processing operation for transferring the log in the second log file stored in the hard disk in the firewall to the log collection server when the used capacity of the hard disk in the firewall exceeds the threshold. 5 is a diagram showing a configuration example of a log file created in the hard disk device 106 of the log collection server. Next, referring to FIGS. 4 and 5, the log file log in the firewall is sent to the log collection server. The transfer process and the structure of the log file created in the hard disk device 106 will be described.

(1)Firewall101は、公知の方法で通信の内容をログファイルに取得する。このログファイルの取得は、図2のステップ201の処理で行っている処理と同一の処理であり、ここで取得されたログは、ハードディスク104内の/var/logディレクトリ302に日々のログファイル303として、ログの種類毎に分類してログファイル1〜nに取得順に日付、時刻情報と共に記録されていく(ステップ401)。 (1) Firewall 101 acquires the contents of communication in a log file by a known method. The acquisition of this log file is the same as the processing performed in the processing of step 201 in FIG. 2. The acquired log is stored in the daily log file 303 in the / var / log directory 302 in the hard disk 104. As shown in FIG. 4, the log files are classified into log files 1 to n and recorded together with date and time information in the order of acquisition (step 401).

(2)監視用プログラム102は、ハードディスク装置104の使用容量が予め定められた閾値以上になったか否かを判定し、閾値以上となっていなかった場合、なにも行わず、Firewall101は、公知の方法で通信の内容をログファイルに取得する処理を続ける(ステップ402)。 (2) The monitoring program 102 determines whether or not the used capacity of the hard disk device 104 is equal to or greater than a predetermined threshold value. If the capacity is not equal to or greater than the threshold value, nothing is performed and the Firewall 101 is publicly known. The process of acquiring the contents of communication in the log file by the method is continued (step 402).

(3)ステップ402の判定で、ハードディスク装置104の使用容量が予め定められた閾値以上になっていた場合、監視用プログラム102は、ログ収集サーバ105へログファイルのログを転送する。ここで監視用プログラム102が転送するログファイルは、Firewall101のハードディスク装置104の/var/backup ディレクトリ304内の第2のログファイル305、すなわち、ログ(当日−1)ファイル〜ログ(当日−n)ファイルの全てである(ステップ403)。 (3) If it is determined in step 402 that the used capacity of the hard disk device 104 is equal to or greater than a predetermined threshold, the monitoring program 102 transfers the log file log to the log collection server 105. Here, the log file transferred by the monitoring program 102 is the second log file 305 in the / var / backup directory 304 of the hard disk device 104 of the firewall 101, that is, log (today-1) file to log (today-n). All of the files (step 403).

(4)監視用プログラム102は、ログ収集サーバ105へログファイルを転送する処理が完了した後、Firewall101のハードディスク装置104内に保存されているログファイル305を削除して、ここでの処理を終了する(ステップ404)。 (4) After the process of transferring the log file to the log collection server 105 is completed, the monitoring program 102 deletes the log file 305 stored in the hard disk device 104 of the firewall 101 and ends the process here. (Step 404).

前述した処理によりログ収集サーバ105のハードディスク装置106内には、図5に示すようにログファイルが格納されることになる。なお、図5に示す例は、ログ収集サーバ105が複数のFirewallから転送されてくるログを、自サーバ内のハードディスク装置106内に格納した場合の例である。   As a result of the processing described above, the log file is stored in the hard disk device 106 of the log collection server 105 as shown in FIG. Note that the example shown in FIG. 5 is an example in which the log collection server 105 stores logs transferred from a plurality of firewalls in the hard disk device 106 in its own server.

そして、ログ収集サーバ105内のハードディスク装置106には、/var/logディレクトリ502にFirewall毎の複数のディレクトリである/var/log/FW-1 ディレクトリ503、/var/log/FW-2 ディレクトリ505が作成される。そして、1つのFirewallのディレクトリである/var/log/FW-1 ディレクトリ503の中に日付毎にまとめた第1のFirewallのログファイル504が記録され、また、同様に、他の1つのFirewallのディレクトリである/var/log/FW-2 ディレクトリ505の中に日付毎にまとめた第2のFirewallのログファイル506が記録される。   The hard disk device 106 in the log collection server 105 includes a / var / log / FW-1 directory 503 and a / var / log / FW-2 directory 505 which are a plurality of directories for each firewall in the / var / log directory 502. Is created. Then, the log file 504 of the first firewall summarized for each date is recorded in the / var / log / FW-1 directory 503 which is one firewall directory, and similarly, the other firewall In the / var / log / FW-2 directory 505 which is a directory, a second firewall log file 506 is recorded for each date.

図6は日毎にまとめたログファイルのログの格納状態を説明する図である。ここに示しているログファイルは、図3に示す第2のログファイル305、図5に示す第1、第2のFirewallのログファイル504、506の状態である。   FIG. 6 is a diagram for explaining a log storage state of log files collected every day. The log files shown here are the states of the second log file 305 shown in FIG. 3 and the log files 504 and 506 of the first and second firewalls shown in FIG.

図2に説明した処理で、監視用プログラム102は、Firewall101が取得して種類別にログを格納している第1のログファイル1〜n303から日毎のログを抽出して日毎に第2のログファイル1〜n305に整理して格納しているが、その際、監視用プログラム102は、複数の第1のログファイル1〜nから所定の順序で順に前日のログを抽出して、第2のログファイルの前日分のログファイルに抽出した順に格納していくという処理を行う。この結果、整理されたログを記録するログファイルには、図6に示すように、同一日のログが、種類1〜種類n毎に順番に記録されることになる。前述のような状態に整理されたログを記録するログファイルが、Firewall101のハードディスク装置104内に第2のログファイルとして格納されるが、このようなファイルを格納管理するログ収集サーバ105内のハードディスク装置106内の各Firewall毎のログファイルも同様なものとなる。   In the process described in FIG. 2, the monitoring program 102 extracts the daily log from the first log files 1 to n303 acquired by the firewall 101 and stores the log by type, and the second log file for each day. 1 to n305, the monitoring program 102 extracts the logs of the previous day in order from the plurality of first log files 1 to n in order to obtain the second log. The process of storing in the order of extraction in the log file for the previous day of the file is performed. As a result, in the log file that records the organized log, logs of the same day are sequentially recorded for each of the types 1 to n as shown in FIG. A log file that records a log arranged in the above-described state is stored as a second log file in the hard disk device 104 of the firewall 101. The hard disk in the log collection server 105 that stores and manages such a file. The log file for each firewall in the device 106 is the same.

このように整理されたログファイルが大きい場合、それを参照したり、利用したりする場合、参照しようとするログを探し出すのが難しくなる場合もある。本発明は、このようなことに対処するため、ログの整理を日毎でなく、より短い期間毎としてもよく、また、日毎を含む所定の期間毎、ログの種類毎に1つのログファイルを作成して、そのログファイル内に、同一期間、同一種類のログを記録するようにすることができる。このようにすることにより、ログを参照したり、利用する場合に、目的のログを迅速、確実に探し出すことが可能となる。   When the log file arranged in this way is large, it may be difficult to find the log to be referred to when referring to or using the log file. In order to deal with such a situation, the present invention may organize the logs not every day but every shorter period, and create one log file for each type of log for a predetermined period including every day. Thus, the same type of log can be recorded in the log file for the same period. In this way, when referring to or using the log, the target log can be quickly and reliably searched.

前述で説明した本発明の実施形態での各処理は、処理プログラムとして構成することができ、この処理プログラムは、HD、DAT、FD、MO、DVD−ROM、CD−ROM等の記録媒体に格納して提供することができる。   Each processing in the embodiment of the present invention described above can be configured as a processing program, and this processing program is stored in a recording medium such as HD, DAT, FD, MO, DVD-ROM, and CD-ROM. Can be provided.

また、前述した本発明の実施形態は、Firewallがログを取得するものとして説明したが、本発明は、ログを取得する機器が、サーバ等の他のどのような情報処理装置であってよく、また、本発明は、ログを収集している複数の情報処理装置等の機器に1つのログ収集サーバを接続して、1つのログ収集サーバが複数の機器から転送されてきたログを格納管理するようにすることができる。   Moreover, although the embodiment of the present invention described above has been described on the assumption that the firewall acquires the log, the present invention may be any other information processing apparatus such as a server as a device for acquiring the log, Further, the present invention connects one log collection server to a plurality of devices such as information processing apparatuses that collect logs, and one log collection server stores and manages logs transferred from a plurality of devices. Can be.

本発明の一実施形態によるログ保管方法を実施するシステムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the system which implements the log storage method by one Embodiment of this invention. Firewallが日々のログをFirewall内のハードディスクに保存する処理動作を説明するフローチャートである。It is a flowchart explaining the processing operation | movement in which Firewall saves a daily log on the hard disk in Firewall. Firewall101のハードディスク装置104内に作成されるログファイルの構成例を示す図である。3 is a diagram illustrating a configuration example of a log file created in the hard disk device 104 of the Firewall 101. FIG. Firewall内のハードディスクの使用容量が閾値を超えた場合に、Firewall内のハードディスクへ保存されている第2のログファイルのログをログ収集サーバへ転送する処理動作を説明するフローチャートである。10 is a flowchart for explaining a processing operation for transferring a log of a second log file stored in a hard disk in the firewall to a log collection server when the used capacity of the hard disk in the firewall exceeds a threshold value. ログ収集サーバのハードディスク装置106内に作成されるログファイルの構成例を示す図である。It is a figure which shows the structural example of the log file produced in the hard disk apparatus 106 of a log collection server. 日毎にまとめたログファイルのログの格納状態を説明する図である。It is a figure explaining the storage state of the log of the log file put together every day.

符号の説明Explanation of symbols

101 Firewall
102 監視用プログラム
103、107 ログファイル
104、106 ハードディスク装置
105 ログ収集サーバ
110 内部サーバ
111、112 ハブ
113 外部通信網
114 内部LAN 101 Firewall
102 Monitoring program 103, 107 Log file 104, 106 Hard disk device 105 Log collection server 110 Internal server 111, 112 Hub 113 External communication network 114 Internal LAN

Claims (3)

自装置で行った各種の処理のログを収集している情報処理装置におけるログの保管方法において、前記情報処理装置は、取得したログを格納する記憶装置と、該記憶装置の使用状況を監視する監視用手段とを備え、該監視用手段は、前記情報処理装置が取得して前記記憶装置の第1のログファイルに記憶していたログを、予め定めた所定の期間毎に整理して、前記記憶装置内の前記所定の期間毎に作成した前記ログファイルとは別の第2のログファイルに格納すると共に、前記記憶装置の使用容量を監視し、該使用容量が予め定めた閾値を越えたとき、前記第2のログファイルに格納されているログを、自情報処理装置に接続されているログ収集サーバに転送することを特徴とするログの保管方法。   In a log storage method in an information processing apparatus that collects logs of various processes performed by the own apparatus, the information processing apparatus monitors a storage device that stores the acquired log and a usage status of the storage device Monitoring means, and the monitoring means organizes the logs acquired by the information processing apparatus and stored in the first log file of the storage device at predetermined intervals, Store in a second log file different from the log file created every predetermined period in the storage device, monitor the used capacity of the storage device, and the used capacity exceeds a predetermined threshold A log storage method, wherein the log stored in the second log file is transferred to a log collection server connected to the information processing apparatus. 前記監視用手段は、前記第1のログファイルに記憶していたログを、予め定めた所定の期間毎に加えてログの種類毎に整理して、前記記憶装置内の前記所定の期間毎、ログの種類毎に作成した前記第1のログファイルとは別の第2のログファイルに格納することを特徴とする請求項1記載のログの保管方法。   The monitoring means organizes the log stored in the first log file for each type of log in addition to a predetermined period, and for each predetermined period in the storage device. The log storage method according to claim 1, wherein the log is stored in a second log file different from the first log file created for each type of log. 前記監視用手段は、前記第2のログファイルに情報処理装置が取得したログを格納したとき、前記第1のログファイル内の対応するログを削除し、前記第2のログファイルに格納されていたログを前記ログ収集サーバに転送したとき、前記第2のログファイルに格納されていたログを削除することを特徴とする請求項1または2記載のログの保管方法。   When the log acquired by the information processing apparatus is stored in the second log file, the monitoring unit deletes the corresponding log in the first log file and stores the log in the second log file. 3. The log storage method according to claim 1, wherein when the log is transferred to the log collection server, the log stored in the second log file is deleted.
JP2005034528A 2005-02-10 2005-02-10 Method for storing log Pending JP2006221439A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005034528A JP2006221439A (en) 2005-02-10 2005-02-10 Method for storing log

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005034528A JP2006221439A (en) 2005-02-10 2005-02-10 Method for storing log

Publications (1)

Publication Number Publication Date
JP2006221439A true JP2006221439A (en) 2006-08-24

Family

ID=36983734

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005034528A Pending JP2006221439A (en) 2005-02-10 2005-02-10 Method for storing log

Country Status (1)

Country Link
JP (1) JP2006221439A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007166175A (en) * 2005-12-13 2007-06-28 Fuji Xerox Co Ltd Image processing program, image processing method, image processing apparatus, and image processing system
JP2010244306A (en) * 2009-04-06 2010-10-28 Nec Corp Device, method and program for gathering of obstacle analysis information
JP2011215783A (en) * 2010-03-31 2011-10-27 Nec Corp Apparatus, method and program for managing extraction of log information difference
JP2013235459A (en) * 2012-05-09 2013-11-21 Mitsubishi Electric Building Techno Service Co Ltd Data management apparatus and program
CN106610874A (en) * 2015-10-26 2017-05-03 富士施乐株式会社 Information processing apparatus, image forming system, and non-transitory computer readable medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0380349A (en) * 1989-08-23 1991-04-05 Nec Corp Communication processor system
JP2001309454A (en) * 2000-02-04 2001-11-02 Ricoh Co Ltd Business office device, method for its remote supervisory, program and recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0380349A (en) * 1989-08-23 1991-04-05 Nec Corp Communication processor system
JP2001309454A (en) * 2000-02-04 2001-11-02 Ricoh Co Ltd Business office device, method for its remote supervisory, program and recording medium

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007166175A (en) * 2005-12-13 2007-06-28 Fuji Xerox Co Ltd Image processing program, image processing method, image processing apparatus, and image processing system
JP2010244306A (en) * 2009-04-06 2010-10-28 Nec Corp Device, method and program for gathering of obstacle analysis information
JP2011215783A (en) * 2010-03-31 2011-10-27 Nec Corp Apparatus, method and program for managing extraction of log information difference
JP2013235459A (en) * 2012-05-09 2013-11-21 Mitsubishi Electric Building Techno Service Co Ltd Data management apparatus and program
CN106610874A (en) * 2015-10-26 2017-05-03 富士施乐株式会社 Information processing apparatus, image forming system, and non-transitory computer readable medium
JP2017084008A (en) * 2015-10-26 2017-05-18 富士ゼロックス株式会社 Information processing apparatus, image forming system, and program

Similar Documents

Publication Publication Date Title
US10795812B1 (en) Virtual copy forward method and system for garbage collection in cloud computing networks
JP5774794B2 (en) Storage system and storage system control method
US8418003B2 (en) Log collecting apparatus, program, method, and system
TWI434190B (en) Storing log data efficiently while supporting querying to assist in computer network security
US8874520B2 (en) Processes and methods for client-side fingerprint caching to improve deduplication system backup performance
US10289694B1 (en) Method and system for restoring encrypted files from a virtual machine image
CN106878074B (en) Flow filtering method and device
US20030187868A1 (en) Data acquisition system
CN108197270B (en) Distributed file system data recovery method
CN104679772A (en) Method, device, equipment and system for deleting files in distributed data warehouse
TW201015371A (en) Storing log data efficiently while supporting querying
JP2006221439A (en) Method for storing log
CN101771548A (en) File synchronizing method and system
CN112839112B (en) Hierarchical data storage system and method and backup management server
CN115460251B (en) Cloud edge cooperation-based equipment data acquisition method, device, equipment and medium
CN112925759A (en) Data file processing method and device, storage medium and electronic device
JP2023530996A (en) Cluster capacity reduction/expansion method and system, capacity reduction/expansion control terminal, and medium
JP2001306511A (en) Method and device for collecting machine information, and recording medium therefor
JP4523772B2 (en) Data storage system using network
US20040153471A1 (en) Method and program for storing performance data, and system using the same
JP2007102267A (en) Access history management method, access history management device, access history management program, storage device, and information processor
JP2000029756A (en) File compression managing system
JP3221538B2 (en) Network operation information collection system
CN109669814A (en) A kind of restoration methods of Metadata Service, device, equipment and readable storage medium storing program for executing
JP2006172401A (en) Information collection apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070612

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091208

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100406