JP2007241850A - 大規模ネットワークシステムにおけるログ収集方法 - Google Patents

大規模ネットワークシステムにおけるログ収集方法 Download PDF

Info

Publication number
JP2007241850A
JP2007241850A JP2006065939A JP2006065939A JP2007241850A JP 2007241850 A JP2007241850 A JP 2007241850A JP 2006065939 A JP2006065939 A JP 2006065939A JP 2006065939 A JP2006065939 A JP 2006065939A JP 2007241850 A JP2007241850 A JP 2007241850A
Authority
JP
Japan
Prior art keywords
log
access
access log
server
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006065939A
Other languages
English (en)
Inventor
Haruo Takagi
治夫 高木
Hiroyasu Kitawaki
裕康 北脇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NET IN KYOTO KK
Original Assignee
NET IN KYOTO KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NET IN KYOTO KK filed Critical NET IN KYOTO KK
Priority to JP2006065939A priority Critical patent/JP2007241850A/ja
Publication of JP2007241850A publication Critical patent/JP2007241850A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】大規模ネットワークシステムにおいて、不測の事態が発生しても、アクセスログの消失や漏洩を防止し得るセキュリティ監視のためのログ収集方法を提供する。
【解決手段】各ネットワーク機器(1−1、1−2、・・・、1−N)とログサーバ(2)間をSSH(暗号通信方式)で接続し、各ネットワーク機器より出力されるアクセスログ情報をリアルタイムでログサーバに送信し、アクセスログデータベース(3)に、各ネットワーク機器の記憶領域(4−1,4−4、・・・、4−N)毎に、格納する。
【選択図】 図1

Description

この発明は、大規模ネットワークシステムにおけるセキュリティ監視のためのログ収集方法に関する。
ネットワークシステムにおけるセキュリティの監視方法として、アクセスログの解析、つまりシステムの利用状況や稼動状況などを記録したログの解析を行うことが一般的であり、そのためにアクセスログを収集することが不可欠である。
従来方式では、アクセスログは各ネットワーク機器のメモリまたはディスク領域に保存され、これを随時取り出して解析を行う。例えば図4に示すように、ブロードバンド用のル−タ等のネットワーク機器10A内のフラッシュROM11Aにアクセスログを保存している。
つまり、機器上で収集されたアクセスログは各機器上に保存される為、基本的に機器の利用者しかそれを取り出すことができず、必然的にログ管理/解析も利用者が行うことになる。
しかしながら、大規模ネットワークシステムに関しては、これらのログを個別管理/解析することはセキュリティ上好ましくない為、一元管理/解析を行う必要がある。
ところで、コンピュータごとに記録されるアクセスログの適切な監視を支援するために、各監視装置でログ編集部がアクセスログを同一の形式に編集し、ログ送信部が編集された統一ログを統合監視装置に送信し、統合監視装置では、ログ収集部が各監視装置から送信された統一ログを受信してログ情報蓄積部に蓄積し、経路分析部が、ログ蓄積部から統一ログを読み出して、経路を分析するとともに、分析結果を統合ログとして生成するアクセスログの監視支援方法が開示されている(例えば特許文献1参照)
特開2002−082849号公報
上記した従来方式のように、特定のタイミングでログを取り出す方法では、リアルタイムのアクセスログ収集が行えない。特に揮発性メモリにアクセスログを保存する機器の場合、不足の事態による機器ダウンによりアクセスログが消失する可能性がある。メモリ容量を超える大量のアクセスログが蓄積された場合、過去のアクセスログが消去される場合も考えられる。
また、アクセスログにはネットワークの接続経路等重要な情報が含まれる場合があり、これらを各機器内に保存しておくことはセキュリティ面で望ましくない。また、上記特許文献1に記載のアクセスログ監視支援方法では、特別に統一ログを蓄積する統合監視装置を、備えるものの、各監視装置にもログ蓄積部を備えるので、やはりセキュリティ面で望ましくない。
この発明は、上記問題点に着目してなされたものであって、不測の事態が発生しても、アクセスログの消失や漏洩を防止し得るセキュリティ監視のためのログ収集方法を提供することを目的とする。
この発明の、大規模ネットワークシステムにおけるセキュリティ監視のためのログ収集方法は、各ネットワーク機器とアクセスログ収集サーバ間をSSH(暗号通信方式)で接続し、各機器より出力されるアクセスログ情報をリアルタイムでアクセスログ収集サーバに送信し、データベース記憶手段に格納してデータベース化することにより、大規模ネットワークにおけるアクセスログ収集を一元化することを特徴とする。
この発明において、データベース記憶手段への、アクセスログ情報の格納は、ネットワーク機器毎に行うことが望ましい。
この発明によれば、アクセスログ収集サーバにアクセスログ情報を収集してデータベースを一元化するので、各機器にアクセスログを残さないため、機器ダウン、容量オーバなどの不測の事態によるアクセスログの消失や漏洩を防ぐことができる。
特に、SSH方式で通信し、ログは暗号化して送られるので、ログサーバで一元管理されるため、漏洩の可能性が低い。
以下、実施の形態により、この発明をさらに詳細に説明する。図1は、この発明の一実施形態である大規模ネットワークシステムの概略機器構成を示すブロック図である。図1において、1−1,1−2、・・・、1−Nは、ネットワークに組み込まれるネットワーク機器であって、例えば、インターネット接続用のブロードバンド用ルータ、利用者のPC(パーソナルコンピュータ)などである。2は、アクセスログ収集用のログサーバである。ネットワークに組み込まれた複数のネットワーク機器1−1,1−2、・・・、1−Nとログサーバ2とは、SSH通信方式で接続され、各ネットワーク機器1−1,1−2、・・・、1−Nより出力されるアクセスログ情報をリアルタイムで、ログサーバ2に送信し、ログサーバ2より、アクセスログデータベース3にアクセスログ情報を格納し、テ゛ータベース化する。
ここで、各ネットワーク機器1−1,1−2、・・・、1−Nとログサーバ2間を接続するSSH通信方式は,SSH(Secure Shell)を用いて、暗号化されたログデータの転送を行う。このSSHは、共通鍵暗号方式と公開鍵暗号方式の暗号化方式を用いてデータの暗号化/復号化を行っているため、第三者が盗聴しても、復号化できない。
一般に、暗号化は、暗号鍵を用い解読不可能な情報(暗号文)に変換するものであり、これに対し、暗号化された情報をもとの情報に復元することを復号化という。暗号化に際し、暗号化と復号化で同じ鍵(キー)を使う共通鍵暗号方式と、別の鍵を使う公開鍵方式がある。
アクセスログは、システムの運用状況の把握や復旧、不正なアクセスの解明などに利用される記録であり、ここでは、アクセスログデータベース3で、アクセスログ収集を一元化するとともに、各ネットワーク機器1−1,1−2、・・・、1−Nにアクセスログを残さないため、不測の事態によるアクセスログの消失や漏洩を防止することができる。
アクセスロデータベース3は、図2に示すように、各ネットワーク機器用のデータベース記憶領域4−1,4−2、・・・、4−Nを備えている。このデータベース記憶領域4−1,4−2、・・・、4−Nのそれぞれに、接続者IPアドレス、接続開始/終了時間、接続先IPアドレス/ポート等を、アクセスログ情報として記憶している。
次に、この実施形態大規模ネットワークシステムにおけるアクセスログ情報の収集処理動作を図3に示すフロー図を参照して説明する。図3の(a)は、ネットワーク機器1−iの処理動作を示すフロー図、図3の(b)は、ログサーバ2の処理動作を示すフロー図である。
ネットワーク1−iが起動すると、ネットワーク機器1−iは、図3の(a)のステップST1に示すように、ログサーバ2に対し,SSH接続のため、送信を行う。ログサーバ2はステップST11において、ネットワーク機器1−iからのSSHによる暗号化されたログデータの転送を受けて、所定のネットワーク機器1−iの接続確認を行う。登録されたネットワーク機器1−iからのログサーバ接続のための送信であると、そのことを確認した旨の回答をネットワーク機器1−iに返送する。ここでの、SSH接続がなされると、以後、そのネットワーク機器1−iとログサーバ2は永続的にSSH接続される。
ネットワーク機器1−iにおいては、ステップST2において、ログサーバ2との接続がOKであるか否か判定する。ここで、ログサーバ2から、ネットワーク機器1−iからの送信に対し、認証OKの返答があった場合には、ステップST2の判定YESで、次のステップST3へ移行する。
ステップST3においては、ネットワーク機器1−iにおいて、アクセスログが発生すると、次のステップST4へ移行する。ステップST4においては、このタイミングで、ログサーバ2に対し、アクセスログ情報を送信する。
ログサーバ2においては、ステップST12において、ネットワーク機器1−iからのアクセスログ情報を受信する。次に、ステップST13へ移行する。ステップST13においては、フィルタ処理、つまり、送信されて来たアクセスログ情報から必要なログ情報のみを取得する。続いて、ステップST14においては、フィルタ処理されたアクセスログ情報をアクセスログデータベース3のネットワーク機器1−iの記憶領域4−iに格納しログデータベース化処理を行う。
以後、ネットワーク機器1−iにおいて、ステップST3におけるアクセスログが発生する度に、ログサーバ2に対し、ステップST4のログ送信処理を実行し、これを受けて、ログサーバ2では、ステップST12におけるログ受信処理、ステップST13におけるフィルタ処理、ステップST14におけるログデータベース化処理を繰り返す。
他のネットワーク機器においても、機器の起動、及びアクセスログが発生した場合、ログサーバ2との間で、上記ネットワーク機器1−iとログサーバ2との間の処理と同様の処理を行う。
この実施形態ネットワークシステムでは、各ネットワーク機器のアクセスログがログサーバで一括処理され、ログデータベースに一元的に収集されるので、アクセス管理が容易である。また、各ネットワーク機器でアクセスログ発生毎に、リアルタイムで送信されるため機器ダウン、容量オーバによるログ消失での恐れがない。
また、各ネットワーク機器から、ログサーバに、暗号化して送られ、ログサーバに暗号化して送られ、サーバで一元管理されるため漏洩の可能性が低い。
この発明の一実施形態である大規模ネットワークシステムの概略機器構成を示すブロック図である。 同実施形態大規模ネットワークシステムのアクセスログデータベースの格納データを説明する図である。 同実施形態大規模ネットワークシステムのネットワーク機器とログサーバ間における、アクセスログ情報の収集処理を説明するためのフロー図である。 従来のアクセスログ収集を説明する図である。
符号の説明
1−1,1−2、・・・、1−N ネットワーク機器
2 ログサーバ
3 アクセスログデータベース
4−1,4−2、・・・、4−N 各ネットワーク機器のデータベース記憶領域

Claims (2)

  1. ネットワークを構成する各ネットワーク機器とアクセスログ収集サーバ間をSSH(暗号通信方式)で接続し、各ネットワーク機器より出力されるアクセスログ情報をリアルタイムでアクセスログ収集サーバに送信し、データベース用記憶手段に格納することを特徴とする大規模ネットワークシステムのログ収集方法。
  2. 前記データベース用記憶手段は、前記ネットワーク機器毎に、アクセスログ情報を格納するものであることを特徴とする請求項1記載の大規模ネットワークシステムのログ収集方法。
JP2006065939A 2006-03-10 2006-03-10 大規模ネットワークシステムにおけるログ収集方法 Pending JP2007241850A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006065939A JP2007241850A (ja) 2006-03-10 2006-03-10 大規模ネットワークシステムにおけるログ収集方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006065939A JP2007241850A (ja) 2006-03-10 2006-03-10 大規模ネットワークシステムにおけるログ収集方法

Publications (1)

Publication Number Publication Date
JP2007241850A true JP2007241850A (ja) 2007-09-20

Family

ID=38587301

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006065939A Pending JP2007241850A (ja) 2006-03-10 2006-03-10 大規模ネットワークシステムにおけるログ収集方法

Country Status (1)

Country Link
JP (1) JP2007241850A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108449343A (zh) * 2018-03-21 2018-08-24 深圳天源迪科信息技术股份有限公司 Ssh协议文本数据采集方法、采集器及计算机设备
KR102567773B1 (ko) * 2023-04-11 2023-08-17 한화시스템(주) 전투체계 시스템에서의 로그 정보 추출장치 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108449343A (zh) * 2018-03-21 2018-08-24 深圳天源迪科信息技术股份有限公司 Ssh协议文本数据采集方法、采集器及计算机设备
CN108449343B (zh) * 2018-03-21 2021-07-09 深圳天源迪科信息技术股份有限公司 Ssh协议文本数据采集方法、采集器及计算机设备
KR102567773B1 (ko) * 2023-04-11 2023-08-17 한화시스템(주) 전투체계 시스템에서의 로그 정보 추출장치 및 그 방법

Similar Documents

Publication Publication Date Title
CN102132521A (zh) 数据交换处理装置及数据交换处理方法
Ling et al. Novel packet size-based covert channel attacks against anonymizer
JP5670272B2 (ja) 情報処理装置、サーバ装置およびプログラム
WO2007076665A1 (fr) Procede, systeme et dispositif de gestion de licence
WO2020252897A1 (zh) 全链路数据鉴权方法、装置、设备及存储介质
CN103218181A (zh) 基于虚拟打印机技术的数据安全打印控制方法
JP6319369B2 (ja) 処理制御装置、処理制御方法、及び、処理制御プログラム
US8010787B2 (en) Communication device, communication log transmitting method suitable for communication device, and communication system
JP2017017378A (ja) データのセキュリティを提供するための装置、システムおよび方法ならびに当該方法をコンピュータに実行させるためのプログラム
US20090265540A1 (en) Home network controlling apparatus and method to obtain encrypted control information
CN104683477B (zh) 一种基于smb协议的共享文件操作过滤方法
CN105743868A (zh) 一种支持加密和非加密协议的数据采集系统与方法
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
JP2007241850A (ja) 大規模ネットワークシステムにおけるログ収集方法
JP2007049455A (ja) 暗号鍵管理サーバ、暗号鍵管理方法および暗号鍵管理プログラム
CN102694796A (zh) 加密文件的管理方法、装置及服务器
KR20120043364A (ko) 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비 및 고성능 네트워크 데이터 처리방법
JP4924477B2 (ja) 着脱式デバイス、ログ収集方法、プログラム及び記録媒体
CN105959147B (zh) 命令存储方法、客户端以及中心服务器
WO2009004590A3 (en) Method, apparatus, system and computer program for key parameter provisioning
JP2007159009A (ja) チケット保護方法およびクライアント
JP2012173388A (ja) ログ採取システム、ストレージ装置及び採取ログ検査方法
JP2007233982A (ja) 通信情報記録から暗号化されたeメールを復号し蓄積する方法とこれを利用したシステム
JP6696161B2 (ja) マルウェア判定装置、マルウェア判定方法、及び、マルウェア判定プログラム
JP2007096413A (ja) パケット記録支援装置、パケット記録支援方法、及びパケット記録支援プログラム