JP2006277518A - ログ取得プログラムおよび方法 - Google Patents
ログ取得プログラムおよび方法 Download PDFInfo
- Publication number
- JP2006277518A JP2006277518A JP2005097960A JP2005097960A JP2006277518A JP 2006277518 A JP2006277518 A JP 2006277518A JP 2005097960 A JP2005097960 A JP 2005097960A JP 2005097960 A JP2005097960 A JP 2005097960A JP 2006277518 A JP2006277518 A JP 2006277518A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- log
- remote access
- kvm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 リモートアクセスクライアントからリモートアクセスサーバにアクセスし、リモートアクセスサーバに接続されている運用対象機器を操作する際のログを取得可能にする。
【解決手段】 証跡ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取モジュール311、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断モジュール312、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析モジュール314、複数のパケットに分割されたデータを再構成する再構成モジュール315、再構成されたデータを利用者情報に対応付ける対応付けモジュール316、利用者情報に対応付けられたデータをファイルとして出力するファイル出力モジュール317として機能させる。
【選択図】 図3
【解決手段】 証跡ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取モジュール311、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断モジュール312、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析モジュール314、複数のパケットに分割されたデータを再構成する再構成モジュール315、再構成されたデータを利用者情報に対応付ける対応付けモジュール316、利用者情報に対応付けられたデータをファイルとして出力するファイル出力モジュール317として機能させる。
【選択図】 図3
Description
本発明は、リモートアクセスクライアントからリモートアクセスサーバにアクセスし、リモートアクセスサーバに接続されている運用対象機器を操作する際にログを取得するための技術に関する。
遠隔地から操作対象サーバ機器を操作する技術として、シリアル接続の場合(例えば、特許文献1参照)やGUI(graphical user interface)を使用するKVM(keyboard video mouse)接続の場合(例えば、特許文献2参照)が知られている。
特開平10−283316号公報
特表2002−525750号公報
しかし、これらの技術では、データセンタ等、多数の操作端末や多数の対象サーバ機器を必要とする環境ではリモートアクセスサーバ単位の煩雑な利用者登録運用を行う必要があり、利用者の抹消漏れ等に起因する不正操作を防止できない。また、不正に操作された際、その不正利用者を追跡し、特定することができない。
本発明の第1の特徴は、ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取手段、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断手段、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析手段、複数のパケットに分割されたデータを再構成する再構成手段、再構成されたデータを利用者情報に対応付ける対応付け手段、利用者情報に対応付けられたデータをファイルとして出力するファイル出力手段、として機能させることにある。
本発明の第2の特徴は、コンピュータを、採取されたパケットが暗号化されている場合に、パケットを復号化する復号化手段としてさらに機能させることにある。
本発明の第1の特徴によれば、ネットワークパケットを収集し、ログイン情報及びログアウト情報を再構成し、利用者と対応付けて証跡ログとして残すことができる。
また、本発明の第1の特徴によれば、ネットワークパケットを収集し、画面操作に関するビデオ情報を再構成し、利用者と対応付けて証跡ログとして残すことができる。
さらに、本発明の第2の特徴によれば、パケットが暗号化されている場合であっても、利用者と対応付けて証跡ログとして残すことができる。
以下に図面に基づいて、本発明を実施するための最良の形態を説明する。なお、以下の説明は、単なる例示に過ぎず、本発明の技術的範囲は以下の説明に限定されるものではない。
多数の操作端末や多数の対象サーバ機器を必要とする環境において、認証サーバと監査証跡サーバを配備することで、認証を受けた利用者だけに操作端末からのリモートアクセスサーバのエミュレーション操作を許可するとともに、証跡サーバで操作対象サーバに対する操作ログを収集して各認証ユーザの操作状況を再現可能とする。
図1にMSP(Management Services Provider)リモートアクセス基盤の概念図の一例を示す。図1に示すように、リモートアクセスクライアントとして使用する社内PC10a〜10cが、社内LAN12に接続されている。また、リモートアクセスクライアントとして使用するモバイルPC14a〜14cはFW(Fire Wall)によってVPN(Virtual Private Network)化されたインターネット16を経由して、社内LAN12にアクセスすることができる。
社内LAN12は、FW21を経由して、リモートアクセスサーバ27a〜27cにアクセスすることができる。リモートアクセスLAN29には、リモートアクセスサーバ27の他に認証サーバ23、証跡サーバ25が接続されている。リモートアクセスサーバ経由で行った操作(キー入力、画像出力、データ出力)は、証跡ログとして証跡サーバ25に自動的に収集、蓄積される。
リモートアクセスサーバ27aは、顧客システム30にアクセスすることができる。顧客システム30は、例えばローカルコンソール31、運用対象ネット機器33、運用対象サーバ35a、35b〜35n(nは任意の自然数)、ルータ37、顧客側本番ネットワーク39によって構成されている。リモートアクセスサーバ27aと運用対象ネット機器33はシリアル接続され、リモートアクセスサーバ27aと運用対象サーバ35a〜35nはKVM接続されている。運用対象ネット機器33、運用対象サーバ35a〜35nはルータ37を経て、ネットワーク39へ接続されている。運用対象サーバ35としては、例えばIA(Intel Architecture)サーバを使用する。
リモートアクセスサーバ27bは、顧客システム40にアクセスすることができる。顧客システム40は、運用対象ネット機器43、運用対象サーバ45a、45b〜45m(mは任意の自然数)、ルータ47、顧客側本番ネットワーク49によって構成されている。リモートアクセスサーバ27bと運用対象ネット機器43、運用対象サーバ45a〜45mはシリアル接続されている。運用対象ネット機器43、運用対象サーバ45a〜45mはルータ47を経て、ネットワーク49へ接続されている。運用対象サーバ45としては、例えばUNIXサーバを使用する。
リモートアクセスサーバ27cは、顧客システム50にアクセスすることができる。顧客システム50は、運用対象サーバ53a、53b〜53k(kは任意の自然数)、ルータ57、顧客側本番ネットワーク59によって構成されている。リモートアクセスサーバ27cと運用対象ネット機器53a〜53kはシリアル接続されている。運用対象ネット機器53a〜53kはルータ57を経て、ネットワーク59へ接続されている。
リモートアクセスクライアント10a〜10c、14a〜14cから、運用対象ネット機器33や運用対象サーバ35a〜35n、45a〜45m、53a〜53kを操作することができる。
<機能ブロック図>
図2に本発明の実施例における機能ブロック図を示す。図2に示すように、リモートアクセスクライアント10は、クライアントプログラム11、キーボード17、マウス18及びモニタ19を備える。マウス18はポインティングデバイスの一例に過ぎない。マウスの代わりに、トラックボール、タッチパッド、ポインティングスティックなどを使用することもできる。また、モニタ19とは、例えば液晶ディスプレイ、CRTディスプレイなどである。
図2に本発明の実施例における機能ブロック図を示す。図2に示すように、リモートアクセスクライアント10は、クライアントプログラム11、キーボード17、マウス18及びモニタ19を備える。マウス18はポインティングデバイスの一例に過ぎない。マウスの代わりに、トラックボール、タッチパッド、ポインティングスティックなどを使用することもできる。また、モニタ19とは、例えば液晶ディスプレイ、CRTディスプレイなどである。
認証サーバ23は、ユーザ認証機構231と、ユーザ情報DB24とを備える。リモートアクセスサーバ27a,bは操作機構271a,bをそれぞれ有する。証跡サーバ25については後述する。
リモートアクセスクライアント10は、インターネットなどの外部ネットワーク12及び図示しないルータを介して、リモートアクセスLAN29へアクセス可能である。また、認証サーバ23と、証跡サーバ25と、リモートアクセスサーバ27は、LAN29へ接続されている。リモートアクセスサーバ27aは、運用対象サーバ35a〜cとKVM接続され、リモートアクセスサーバ27bは、運用対象サーバ45a〜cとシリアル接続されている。
ユーザ認証機構231は、リモートアクセスクライアント10からIDとパスワードを受け取り、受け取ったIDとパスワードが、ユーザ情報DB24に予め対応付けて記憶されているIDとパスワードと一致すれば、リモートアクセスクライアント10からのアクセスを正規なアクセスとして認証する。
より具体的には、ユーザ認証機構231は、(1)リモートアクセスクライアント10から、クライアント10を操作しているユーザのユーザID、パスワードや、クライアント10に割り当てられているIPアドレス等とアクセス先情報を受け取り、(2―1)後述するリモートクライアントDB、ユーザアカウントDB、アクセス権限DB、リモートサーバDBをチェックし、(2−2)正当なアクセス権を持つユーザからのアクセスであると判断したならば、(2−3)セッションID、セッションキーを生成しセッション情報として記録するとともに、(2−4)リモートアクセスクライアント10に渡す。(3)リモートアクセスクライアント10は、認証サーバ23から得たセッションIDをリモートアクセスサーバ27へ伝え、リモート操作セッションの開始を要求する。(4)セッション開始要求を受け取ったリモートアクセスサーバ27は、セッションIDに基づきクライアント10のセッション情報を認証サーバ23へ問い合わせ、セッションキー情報を取得する。(5)クライアント10とリモートアクセスサーバ27は、セッションキー情報を使用して暗号化されたセキュアなリモート操作セッションを開始する。
<証跡サーバ>
図3は、本発明の実施例における証跡サーバの構成を示すブロック図である。図3に示すように、証跡サーバ25は、全体を制御するCPU301と、BIOSなどを記憶するROM303と、プログラムのワークエリアとして機能するRAM305と、サーバ用プログラムやOSなどを記憶するHDD307とを備える。
図3は、本発明の実施例における証跡サーバの構成を示すブロック図である。図3に示すように、証跡サーバ25は、全体を制御するCPU301と、BIOSなどを記憶するROM303と、プログラムのワークエリアとして機能するRAM305と、サーバ用プログラムやOSなどを記憶するHDD307とを備える。
HDD307に記憶されている認証サーバ用プログラム310は、パケット採取モジュール311と、種別判断モジュール312と、復号化モジュール313と、解析モジュール314と、再構成モジュール315と、対応付けモジュール316と、ファイル出力モジュール317とを含む。
パケット採取モジュール311は、MACアドレスが自アドレスでないEthernet(登録商標)フレーム(MACフレーム)も採取する。採取されたEthernet(登録商標)フレームからIPパケットが取り出され、そのIPパケットからTCP又はUDPパケットが取り出され、そのTCP又はUDPパケットからデータが取り出され、そのデータは種別判断モジュール312へ渡される。
種別判断モジュール312は、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて、パケット採取モジュール311が採取したEthernet(登録商標)フレームに含まれていたIPパケットがログインパケットか、KVM関連パケットか、ログアウトパケットかを判断する。なお、ログインパケット、ログアウトパケット、KVM関連パケットは複数パケットから構成される場合もある。
ログインパケットとは、ログインした時刻、ログインしたユーザのユーザID、ログインしたリモートアクセスクライアントのIPアドレス、ログインされたリモートアクセスサーバのIPアドレスとポート番号などを含むパケットを意味する。
KVM関連パケットとは、キーイベント情報、キーシーケンス情報、ビデオ情報、画面遷移情報、マウスイベント情報、マウス操作情報などのKVM情報を含むパケットを意味する。
ログアウトパケットとは、ログアウトした時刻、ログアウトしたユーザのユーザID、ログアウトしたリモートアクセスクライアントのIPアドレス、ログアウトされたリモートアクセスサーバのIPアドレスとポート番号などを含むパケットを意味する。
復号化モジュール313は、KVM関連パケットに含まれる暗号化データを復号化するためのモジュールである。暗号化技術としては、例えばプロダクト毎に利用する秘密鍵方式のDES(Data Encryption Standard)、公開鍵方式のRSAなどの一般的な暗号化方式を使用することができる。
解析モジュール314は、KVM関連パケットに含まれるデータを解析して、キーイベント情報、キーシーケンス情報、ビデオ情報、画面遷移情報、マウスイベント情報、マウス操作情報などのKVM情報を抽出する。
「キーイベント情報」は、キーコードという個々のキーをあらわすコードと押す/離すの情報であり、「キーシーケンス情報」は、連続して押されたキー文字列を表す情報である。
「ビデオ情報」は、いわゆるアナログビデオ信号であり、「画面遷移情報」は、アナログビデオ信号をデジタルデータにキャプチャした、動画もしくは静止画の情報である。
「マウスイベント情報」は、マウスの動きに連動して画面上に表示されるポインタのX座標及びY座標、マウスのホイールの移動量、マウスのボタンの押す/離すなどの情報であり、「マウス操作情報」は、一定時間のマウスイベント情報をまとめた情報である。例えば、「L-B:Press」はマウスの左(Left)ボタンが押されたことを示す「マウスイベント情報」である。
再構成モジュール315は、分割されたパケットを再構成する。分割されたパケットか否かはTCP又はUDPヘッダーのフラグフィールドにより判断できる。分割されてできた複数のパケットはID情報フィールドの値が同じになる。分割されてできた各パケットが元のパケットのどの位置にあったかはフラグメントオフセットフィールドにより判断できる。よって、フラグフィールド、ID情報フィールド、フラグメントオフセットフィールドの情報に基づいて、再構成が可能である。
対応付けモジュール316は、KVM情報を対応するログイン情報に関連付け、またログアウト情報を対応するログイン情報に関連付ける。複数のセッションが存在する場合(例えば、2以上のリモートアクセスクライアントがリモートアクセスサーバへアクセスしている場合)に、ログイン情報、ログアウト情報、キーシーケンス情報、マウス操作情報、画面遷移情報などと各セッションとの対応関係を明確にする必要があるからである。
例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録しても良い。また、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録するとしても良い。
ファイル出力モジュール317は、図示しない内部時計から現在時刻を示す時刻情報を受け取る。そして、ファイル出力モジュール317は、KVM情報に時刻情報を付加して、ログファイル320として出力する。
<全体的な処理の流れ>
図4は、本発明の実施例におけるログ取得処理の流れを示すフローチャートである。図4に示すように、ログ取得プログラム310のパケット採取モジュール311がLAN29のケーブルを流れるパケットを採取する(ステップS401)。採取(キャプチャ)されるパケットは、ログ取得プログラム310がインストールされている証跡サーバ25に向けて送信されているユニキャスト及びブロードキャストのパケットに限定されない。つまり、採取されるパケットの宛先MACアドレスは、ログ取得プログラム310がインストールされている証跡サーバ25が有するMACアドレスとは限らない。LAN29のケーブルを流れる他のホスト向けのパケットも採取される。
図4は、本発明の実施例におけるログ取得処理の流れを示すフローチャートである。図4に示すように、ログ取得プログラム310のパケット採取モジュール311がLAN29のケーブルを流れるパケットを採取する(ステップS401)。採取(キャプチャ)されるパケットは、ログ取得プログラム310がインストールされている証跡サーバ25に向けて送信されているユニキャスト及びブロードキャストのパケットに限定されない。つまり、採取されるパケットの宛先MACアドレスは、ログ取得プログラム310がインストールされている証跡サーバ25が有するMACアドレスとは限らない。LAN29のケーブルを流れる他のホスト向けのパケットも採取される。
種別判断モジュール312は、採取されたパケットを受け取り、採取されたパケットが、ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当するかを調べ(ステップS403)、いずれにも該当しない場合はそのパケットを廃棄する(ステップS404)。採取されたパケットが、ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当するかは、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて判断される。
ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当する場合は、さらに暗号化されているかを調べ(ステップS405)、暗号化されている場合は復号化する(ステップS406)。暗号化されているか否かは、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて判断される。
暗号化されていない場合はそのまま、暗号化されていた場合は復号化された後に、パケットを解析する(ステップS407)。解析方法はプロトコルによって異なる。例えば、UDPの場合はアプリケーションデータは開始点と終点が明確なデータグラムであり、意味あるパケット列の一番先頭のデータヘッダ部分から暗号化の有無と方式を判断できる。一連の全パケットを取得した時点で、暗号化されていた場合は、当該データグラム全体の複合化をデータヘッダ部分から取得できる暗号化方式に従って復号化を行う。また、例えば、TCPの場合は、データ部全体(=データヘッダ+データ本体)がHTTPS等のTCP上の一般的な暗号化方式によってカプセル化されたものを、同方式で復号化する。
次に、解析によって得られたデータを関連する他のデータと対応付けする(ステップS409)。例えば、パケットの送信元IPアドレス、宛先IPアドレス及び宛先ポート番号とに基づいて、既に記憶されているログイン情報と対応付けする。
ユーザ名、ユーザ端末のIPアドレスなどと対応付けられたデータは、ログファイル320としてHDD307に記憶される(ステップS411)。
図5に、本発明の実施例におけるモニタ画面とアクセスログと監査ログの一例を示す。図5に示すように、リモートアクセスクライアント10からユーザ認証を試みると、ユーザID欄及びパスワード欄を有するログイン画面500を描画するための描画情報が、認証サーバ23から、ビデオ出力としてモニタ19へ出力され、ログイン画面500がモニタ19の表示画面に表示される。
例えば、ユーザID及びパスワードが入力され、ログインボタンがクリックされると、図5のアクセスログ内容511に示すように、2004年5月1日の20時34分にログインが認証され、ログインが認証されたユーザのIDはa9472であり、ログインに使用されたクライアントPCのIPアドレスは192.176.144.31であり、ログインの対象となっているリモートアクセスサーバのIPアドレスは192.176.106.10であり、ログインの対象となっている運用対象サーバが接続されているリモートアクセスサーバのポート番号は2であるという内容のログイン情報がログファイル320に記憶される。
また、図5の監査ログ内容521に示すように、2004年5月1日の20時34分16秒にキーボード17のCtrlキー、Altキー、”D”キーが押され、次いで”a”, ”d”, ”m”, ”i”, ”n”, ”i”, ”s”, ”t”, ”r”, ”a”, ”t”, ”o”, ”r”の各キーが押されかつCRキーが押され、さらに”p”, ”a”, ”s”, ”s”, ”w”, ”o”, ”r”, ”d”の各キーが押されかつCRキーが押されたという内容の監査ログがログファイル320に記憶される。
また、図5に示すように、2004年5月1日の20時34分42秒にマウスの左(Left)ボタンが押されたという内容の監査ログがログファイル320に記憶される。
さらに、図5に示すように、2004年5月1日の20時45分09秒のビデオ情報として20040501204509.mpgという名前の証跡ファイルが生成されたという内容の監査ログがログファイル320に記憶される。
図5は、ユーザが1名の例である。ユーザが複数の場合は、各監査ログがどのセッションに関するキーシーケンス情報、マウス操作情報、画面遷移情報かがわかるようにする必要がある。例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録する方法や、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録する等の方法がある。
図6に、本発明の実施例におけるネットワークパケットの一例を示す。パケット610は第1のベンダー社製品の上り電文、パケット620は第1のベンダー社製品の下り電文、パケット630は第2のベンダー社製品の上り電文、パケット640は第2のベンダー社製品の下り電文を示す。パケット610にはキーシーケンス情報、マウス操作情報が含まれ、文字列などが数バイト単位で送出される。パケット620には、画面遷移情報などが含まれる。原則として、画面データの差分情報のみが含まれる。また、パケット不達時に再送処理はされないものとする。パケット630にはキーイベント情報、マウスイベント情報が含まれ、文字などが1バイト単位で送出される。パケット640には、画面遷移情報などが含まれる。原則として、画面データの差分情報のみが含まれるが、パケット不達時に再送処理がなされるものとする。IPヘッダから送信元IPアドレス及び宛先IPアドレスが取得され、TCP又はUDPヘッダから宛先ポート番号が取得される。
図7に、本発明の実施例における証跡データの一例を示す。図7に示すように、「証跡データ」とは、例えばアクセス開始時刻、終了時刻、利用時間、ユーザ名、ユーザ端末のIPアドレス、対象サーバ名、ポート番号、証跡ファイルのサイズを含む。また、KVMセッションID、プロダクト名称、プロダクトバージョンなどを含むとしても良い。KVMセッションIDとは、キーボード・ビデオ・マウス信号による一連の接続を識別するためのIDを意味する。証跡データは、ログファイル320としてHDD307に記憶される。
前記の如く、本発明の実施例によれば、証跡サーバをネットワークへ接続することによってネットワークパケットを採取し、証跡ログを取得することができる。その場合に、リモートアクセスのためにリモートアクセスクライアントやリモートアクセスサーバにインストールされる既存のプロダクト(ソフトウェア)及び認証のために認証サーバにインストールされる既存のプロダクトのいずれについても変更不要である。
また、リモートアクセスクライアントとリモートアクセスサーバとの間でやり取りされるパケットを単に採取しているだけであって、リモートアクセスクライアント等に証跡ログ取得のためのパケット生成を要求しない。つまり、リモートアクセスクライアント等に証跡ログ取得のための負荷をかけない。よって、リモートアクセスクライアント等のパフォーマンスに影響を与えない。
さらに、複数のディジタルKVMスイッチ関連プロダクトが混在する環境においても、各プロダクトの個別のログの他に、KVMセッションのビデオ証跡を含むログを標準的な書式(ファイルフォーマット)で残すことができ、運用上も統一的な取り扱いが可能となる。
10、14…リモートアクセスクライアント 12…LAN
16…インターネット 21…ファイヤーウォール
23…認証サーバ 25…証跡サーバ
27…リモートアクセスサーバ 31…ローカルコンソール
33、43…運用対象ネット機器 35、45、53…運用対象サーバ
37、47、57…ルータ
301…CPU 303…ROM 305…RAM 307…HDD
310…認証サーバ用プログラム 311…パケット採取モジュール
312…種別判断モジュール 313…復号化モジュール
314…解析モジュール 315…再構成モジュール
316…対応付けモジュール 317…ファイル出力モジュール
16…インターネット 21…ファイヤーウォール
23…認証サーバ 25…証跡サーバ
27…リモートアクセスサーバ 31…ローカルコンソール
33、43…運用対象ネット機器 35、45、53…運用対象サーバ
37、47、57…ルータ
301…CPU 303…ROM 305…RAM 307…HDD
310…認証サーバ用プログラム 311…パケット採取モジュール
312…種別判断モジュール 313…復号化モジュール
314…解析モジュール 315…再構成モジュール
316…対応付けモジュール 317…ファイル出力モジュール
Claims (4)
- ログを取得するためにコンピュータを、
宛先アドレスが自アドレスでないパケットも採取するパケット採取手段、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断手段、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、前記パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析手段、
複数のパケットに分割されたデータを再構成する再構成手段、
再構成された前記データを利用者情報に対応付ける対応付け手段、
前記利用者情報に対応付けられた前記データをファイルとして出力するファイル出力手段、として機能させることを特徴とするログ取得プログラム。 - 前記コンピュータを、採取された前記パケットが暗号化されている場合に、前記パケットを復号化する復号化手段としてさらに機能させることを特徴とする請求項1に記載のログ取得プログラム。
- 宛先アドレスが自アドレスでないパケットも採取するステップ、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断するステップ、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、前記パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得するステップ、
複数のパケットに分割されたデータを再構成するステップ、
再構成された前記データを利用者情報に対応付けるステップ、
前記利用者情報に対応付けられた前記データをファイルとして出力するステップ、を含むことを特徴とするログ取得方法。 - 採取された前記パケットが暗号化されている場合に、前記パケットを復号化する復号化ステップをさらに含むことを特徴とする請求項3に記載のログ取得方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005097960A JP4649253B2 (ja) | 2005-03-30 | 2005-03-30 | ログ取得プログラムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005097960A JP4649253B2 (ja) | 2005-03-30 | 2005-03-30 | ログ取得プログラムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006277518A true JP2006277518A (ja) | 2006-10-12 |
| JP4649253B2 JP4649253B2 (ja) | 2011-03-09 |
Family
ID=37212194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005097960A Expired - Fee Related JP4649253B2 (ja) | 2005-03-30 | 2005-03-30 | ログ取得プログラムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4649253B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009278419A (ja) * | 2008-05-15 | 2009-11-26 | Canon Inc | 情報処理装置、制御方法、及びプログラム |
| JP2010081534A (ja) * | 2008-09-29 | 2010-04-08 | Oki Electric Ind Co Ltd | パケット解析装置、プログラム及び方法 |
| JP2010122717A (ja) * | 2008-11-17 | 2010-06-03 | Hitachi Ltd | サーバ管理システム |
| JP2011175622A (ja) * | 2009-12-30 | 2011-09-08 | Intel Corp | コンピューティングデバイス上で遠隔制御ヘルプセッションを行う方法およびシステム |
| JP2017532916A (ja) * | 2014-10-31 | 2017-11-02 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | Rdpデータ収集装置及び方法 |
| JP2019053443A (ja) * | 2017-09-13 | 2019-04-04 | 国立大学法人群馬大学 | 電子カルテ閲覧システム、電子カルテ閲覧方法 |
| US10979674B2 (en) | 2013-07-22 | 2021-04-13 | Intellivision | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| US11601620B2 (en) | 2013-07-22 | 2023-03-07 | Intellivision Technologies Corp. | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0530138A (ja) * | 1991-07-25 | 1993-02-05 | Nippon Telegr & Teleph Corp <Ntt> | マルチメデイア転送方式 |
| JPH1127322A (ja) * | 1997-05-09 | 1999-01-29 | Sony Corp | データ受信装置及びデータ受信方法 |
| JP2001202333A (ja) * | 2000-01-20 | 2001-07-27 | Hucom Inc | 不正侵入者検知サーバ及び記録媒体 |
| JP2002330177A (ja) * | 2001-03-02 | 2002-11-15 | Seer Insight Security Inc | セキュリティ管理サーバおよびこれと連携して動作するホストサーバ |
| JP2003087333A (ja) * | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| WO2005027467A1 (en) * | 2003-09-10 | 2005-03-24 | Qualcomm Incorporated | High data rate interface |
-
2005
- 2005-03-30 JP JP2005097960A patent/JP4649253B2/ja not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0530138A (ja) * | 1991-07-25 | 1993-02-05 | Nippon Telegr & Teleph Corp <Ntt> | マルチメデイア転送方式 |
| JPH1127322A (ja) * | 1997-05-09 | 1999-01-29 | Sony Corp | データ受信装置及びデータ受信方法 |
| JP2001202333A (ja) * | 2000-01-20 | 2001-07-27 | Hucom Inc | 不正侵入者検知サーバ及び記録媒体 |
| JP2002330177A (ja) * | 2001-03-02 | 2002-11-15 | Seer Insight Security Inc | セキュリティ管理サーバおよびこれと連携して動作するホストサーバ |
| JP2003087333A (ja) * | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| WO2005027467A1 (en) * | 2003-09-10 | 2005-03-24 | Qualcomm Incorporated | High data rate interface |
| JP2007505574A (ja) * | 2003-09-10 | 2007-03-08 | クゥアルコム・インコーポレイテッド | 高速データレートインタフェース |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009278419A (ja) * | 2008-05-15 | 2009-11-26 | Canon Inc | 情報処理装置、制御方法、及びプログラム |
| US8402286B2 (en) | 2008-05-15 | 2013-03-19 | Canon Kabushiki Kaisha | Information processing apparatus, control method therefor, and storage medium |
| JP2010081534A (ja) * | 2008-09-29 | 2010-04-08 | Oki Electric Ind Co Ltd | パケット解析装置、プログラム及び方法 |
| JP4683107B2 (ja) * | 2008-09-29 | 2011-05-11 | 沖電気工業株式会社 | パケット解析装置、プログラム及び方法 |
| JP2010122717A (ja) * | 2008-11-17 | 2010-06-03 | Hitachi Ltd | サーバ管理システム |
| JP2011175622A (ja) * | 2009-12-30 | 2011-09-08 | Intel Corp | コンピューティングデバイス上で遠隔制御ヘルプセッションを行う方法およびシステム |
| US10979674B2 (en) | 2013-07-22 | 2021-04-13 | Intellivision | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| US11601620B2 (en) | 2013-07-22 | 2023-03-07 | Intellivision Technologies Corp. | Cloud-based segregated video storage and retrieval for improved network scalability and throughput |
| JP2017532916A (ja) * | 2014-10-31 | 2017-11-02 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | Rdpデータ収集装置及び方法 |
| JP2019053443A (ja) * | 2017-09-13 | 2019-04-04 | 国立大学法人群馬大学 | 電子カルテ閲覧システム、電子カルテ閲覧方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4649253B2 (ja) | 2011-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4649253B2 (ja) | ログ取得プログラムおよび方法 | |
| Baykara et al. | A novel honeypot based security approach for real-time intrusion detection and prevention systems | |
| US9838512B2 (en) | Protocol-based capture of network data using remote capture agents | |
| EP3691217B1 (en) | Web traffic logging system and method for detecting web hacking in real time | |
| CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
| Li et al. | A survey on methods of automatic protocol reverse engineering | |
| KR20230005873A (ko) | 네트워크 트래픽 패턴에서 오펜스 및 어택 실행의 빠른 식별 | |
| KR101909957B1 (ko) | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 | |
| EP2545488A1 (en) | Data capture tool and method | |
| US9749150B2 (en) | Method and system for monitoring network communications | |
| JP4628038B2 (ja) | リモートアクセス制御システムおよびリモートアクセス制御方法 | |
| Yusoff et al. | Network traffic forensics on firefox mobile OS: facebook, twitter, and telegram as case studies | |
| Castiglione et al. | A novel methodology to acquire live big data evidence from the cloud | |
| Wu et al. | IoT network traffic analysis: Opportunities and challenges for forensic investigators? | |
| CN112165494A (zh) | 报文分析方法、装置、电子设备及存储介质 | |
| CN114301802A (zh) | 密评检测方法、装置和电子设备 | |
| Jaswal | Hands-On Network Forensics: Investigate network attacks and find evidence using common network forensic tools | |
| Knöchel et al. | Analysing attackers and intrusions on a high-interaction honeypot system | |
| Chernyshev et al. | Security assessment of IoT devices: The case of two smart TVs | |
| Zaki et al. | Grano-GT: A granular ground truth collection tool for encrypted browser-based Internet traffic | |
| Ghafarian | An empirical study of network forensics analysis tools | |
| Negi et al. | An approach for alert correlation using ArcSight SIEM and Open Source NIDS | |
| Vilalonga et al. | TorKameleon: Improving Tor's Censorship Resistance With K-anonimization and Media-based Covert Channels | |
| Castiglione et al. | Forensically-sound methods to collect live network evidence | |
| ZULKIFLI et al. | XXX-X-XXXX-XXXX-X/XX/$ XX. 00© 20XX IEEE Network Traffic Analysis: Exploring Network Threats with Wireshark and PCAP Files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070919 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090724 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090811 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091013 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100716 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101207 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101213 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131217 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4649253 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |