JP2008003862A - Audit log creating device, audit event recording program and image processing device - Google Patents

Audit log creating device, audit event recording program and image processing device Download PDF

Info

Publication number
JP2008003862A
JP2008003862A JP2006173000A JP2006173000A JP2008003862A JP 2008003862 A JP2008003862 A JP 2008003862A JP 2006173000 A JP2006173000 A JP 2006173000A JP 2006173000 A JP2006173000 A JP 2006173000A JP 2008003862 A JP2008003862 A JP 2008003862A
Authority
JP
Japan
Prior art keywords
log
request
audit
data
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006173000A
Other languages
Japanese (ja)
Other versions
JP4967473B2 (en
Inventor
Kenichi Ishida
健一 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2006173000A priority Critical patent/JP4967473B2/en
Publication of JP2008003862A publication Critical patent/JP2008003862A/en
Application granted granted Critical
Publication of JP4967473B2 publication Critical patent/JP4967473B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a method to surely storing required log information in a limited storage area. <P>SOLUTION: Every time an electronic device for executing a process according to a request from outside receives a request, the audit log creation device receives data such as a process content included by the request from the electronic device and creates a log by referring a table for corresponding description items and description formats of the log to the process content as an execution history of the process. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は電子機器の実行した処理の履歴を生成する装置に関する。   The present invention relates to an apparatus for generating a history of processing executed by an electronic device.

電子機器の障害原因の解析手法として、その電子機器の実行した処理の履歴をログファイルとしてハードディスクなどの記憶部へ保存し、障害発生後に読み出して障害原因の解析に役立てる解析手法が知られている。障害原因の確実な解析のためには、ログとして記憶される情報は多いほど望ましい。しかし記憶部の記憶容量は有限であるため、履歴を無制限に保存することはできない。   As an analysis method of the cause of failure of an electronic device, an analysis method is known that saves a history of processing executed by the electronic device as a log file in a storage unit such as a hard disk and reads it after the failure occurs to help analyze the cause of the failure . For a reliable analysis of the cause of a failure, the more information stored as a log, the better. However, since the storage capacity of the storage unit is finite, the history cannot be saved indefinitely.

このような問題点を改善するため、次のようなログファイル管理方法が提案されている。特許文献1には、発生頻度が低い障害事象の場合はログファイルに障害事象情報(発生日時、コマンド、データ送信元アドレスなど)を逐一記録し、発生頻度が高い障害事象の場合にはログファイルにその発生回数のみを記録することで、限られた記憶容量でより多くの情報を蓄積する方法が開示されている。また特許文献2には、履歴ごとに重要度を判別し、新規の履歴を記録するために必要な記憶領域を確保するために既存のログファイルを消去する際に、重要度の低いログファイルから順に消去し、重要度の高いログファイルは消去されることなく残すことで、有用なログファイルを残す技術が開示されている。
特開平8−69395号公報 特開2000−267902号公報 In order to improve such problems, the following log file management methods have been proposed. In Patent Document 1, in the case of a fault event with a low occurrence frequency, fault event information (occurrence date, command, data source address, etc.) is recorded one by one in a log file, and in the case of a fault event with a high occurrence frequency, a log file is recorded. Discloses a method of storing more information with a limited storage capacity by recording only the number of occurrences. In Patent Document 2, the importance is determined for each history, and when an existing log file is deleted in order to secure a storage area necessary for recording a new history, a log file with a low importance is used. A technique for leaving a useful log file by erasing in order and leaving a log file having a high importance level without being erased is disclosed.
JP-A-8-69395 JP 2000-267902 A

しかしながら、特許文献1では発生頻度が高い障害事象については発生回数のみが記録されるため、たとえばDoS攻撃においては、事象ごとに異なる重要な情報(送信元アドレスなど)が記録されないといった問題点がある。なおDoS攻撃とは、標的とするネットワーク機器に対し短時間に大量のリクエストを送信することにより負荷をかけ、サービスの提供を不能にする行為などを指す。   However, in Patent Document 1, only the number of occurrences is recorded for a failure event with a high occurrence frequency. For example, in a DoS attack, there is a problem in that important information (such as a source address) that is different for each event is not recorded. . The DoS attack refers to an act of applying a load by transmitting a large number of requests to a target network device in a short time and disabling service provision.

また特許文献2で開示された技術においては、DoS攻撃に関する履歴に低い重要度を割り当ててしまうと、より重要度の高いログを記録する過程で、DoS攻撃についてのログが消去されてしまい、DoS攻撃の事実を記録できない。逆に重要度の高いログとして記録されると記憶領域を使い切ってしまう。
本発明の目的は、必要なログ情報を確実に保存し、限りある記憶領域を有効に活用する方法を提供することにある。 In the technique disclosed in Patent Document 2, if a low importance level is assigned to a history regarding a DoS attack, the log about the DoS attack is erased in the process of recording a log with a higher importance level. The fact of the attack cannot be recorded. Conversely, if it is recorded as a highly important log, the storage area will be used up.
An object of the present invention is to provide a method for reliably storing necessary log information and effectively utilizing a limited storage area.

本発明に係る監査ログ生成装置の第一の構成は、複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくともそのリクエストの要求元および要求内容を表すデータを前記電子機器から受取る受取り手段と、前記複数種の処理ごとにその処理の実行履歴であるログの記載項目および記載形式が規定されたテーブルと、前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの記載項目および記載形式を選択し、そのログを生成する生成手段とを有することを特徴とする。   The first configuration of the audit log generation device according to the present invention is that at least a request source and a request content of the request each time an electronic device that executes any of a plurality of types of processing in response to an external request receives the request. Receiving means for receiving data representing the data from the electronic device, a table in which a description item and description format of a log, which is an execution history of the processing, is defined for each of the plurality of types of processing, the data received by the receiving means, It has a generating means for checking the contents of the table, selecting a description item and description format of a log of processing executed by the electronic device according to the request content, and generating the log.

本発明に係る監査ログ生成装置の第二の構成は、上記第一の構成において、前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記電子機器が不正アクセスを受けていることを示すログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、不正アクセスを受けたことを示すログが含まれていると前記判定手段により判定された場合に、該当するログを不正アクセスを示すログとして予め定められた形式のログへ変換する変換手段とを有することを特徴とする。   According to a second configuration of the audit log generation apparatus according to the present invention, in the first configuration, a write unit that writes the logs generated by the generation unit to a storage device in the generation order, and a predetermined number of logs by the write unit Is determined whether or not a log indicating that the electronic device has been illegally accessed is included in a predetermined number of logs stored in the storage device, triggered by being written to the storage device When the determination means determines that a log indicating that the unauthorized access has been received is included, the corresponding log is converted into a log having a predetermined format as a log indicating the unauthorized access. Conversion means.

本発明に係る監査ログ生成装置の第三の構成は、上記第二の構成において、前記不正アクセスはDoS攻撃であり、前記不正アクセスを受けたことを示すログはDoS攻撃を受けていることを示す複数のログをそれらに含まれる共通のデータを省略した単一のログであることを特徴とする。   A third configuration of the audit log generation device according to the present invention is that, in the second configuration, the unauthorized access is a DoS attack, and the log indicating that the unauthorized access has been received is subjected to a DoS attack. The plurality of logs shown is a single log in which common data included in them is omitted.

本発明に係る監査事象記録プログラムの構成は、コンピュータ装置に、複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくともそのリクエストの要求元および要求内容を表すデータを前記電子機器から受取る第1のステップと、前記複数種の処理の各々に対応づけてその処理の実行履歴であるログの記載項目および記載形式が規定されたテーブルの内容と前記受け取り手段により受取ったデータとを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの記載項目および記載形式を選択し、そのログを生成する第2のステップとを実行させることを特徴とする。   The audit event recording program according to the present invention has a configuration in which at least a request source and a request of an electronic device that executes any of a plurality of types of processing in response to a request from the outside are received by the computer device. A first step of receiving data representing the contents from the electronic device, a contents of a table in which a description item and a description format of a log, which is an execution history of the process, are defined in association with each of the plurality of types of processes; Checking data received by the receiving means, selecting a description item and description format of a log of processing executed by the electronic device according to the request content, and executing a second step of generating the log It is characterized by.

本発明に係る画像処理装置の構成は、外部からのリクエストに応じて画像処理を実行する画像処理手段と、前記リクエストを受取る度に少なくともそのリクエストの要求元および要求内容を表すデータを受取る受取り手段と、前記リクエストの各々に対応づけてその処理の実行履歴であるログの記載項目および記載形式が規定されたテーブルと、前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記画像処理手段が実行する処理のログの記載項目および記載形式を選択し、そのログを生成する生成手段とを有する監査ログ生成装置とを備えることを特徴とする。   The configuration of the image processing apparatus according to the present invention includes an image processing means for executing image processing in response to an external request, and a receiving means for receiving at least the request source of the request and data representing the request contents each time the request is received. And the table in which the description items and description format of the log, which is the execution history of the processing, are associated with each of the requests, the data received by the receiving means, and the contents of the table, An audit log generation device having a generation unit that selects a description item and a description format of a log of processing executed by the image processing unit according to the content and generates the log is provided.

本発明により、電子機器の監査ログにおいて記録する内容を動作ごとに選択することにより、より有用な監査ログを生成させることができる。   According to the present invention, a more useful audit log can be generated by selecting contents to be recorded in an audit log of an electronic device for each operation.

(A:実施形態の構成)
以下、本発明を実施する際の最良の形態について図面を参照して具体的に説明する。
(A−1:システム構成)
図1は本実施形態に係る監査ログ生成装置を有する画像処理装置200が接続された情報処理システム100の構成を示した図である。情報処理システム100は、画像処理装置200、処理要求装置300aを有し、画像処理装置200および処理要求装置300aは通信網500を介して接続されている。 (A: Configuration of the embodiment)
Hereinafter, the best mode for carrying out the present invention will be specifically described with reference to the drawings.
(A-1: System configuration)
FIG. 1 is a diagram illustrating a configuration of an information processing system 100 to which an image processing apparatus 200 having an audit log generation apparatus according to the present embodiment is connected. The information processing system 100 includes an image processing device 200 and a processing requesting device 300a, and the image processing device 200 and the processing requesting device 300a are connected via a communication network 500.

通信網500は、例えば情報処理システム100を利用するオフィスに敷設されたEthernet(登録商標)であり、PCや画像形成装置などの各装置間で所定の通信プロトコルにしたがって行われるデータ通信を仲介するためのものである。本実施形態では、ネットワーク層の通信プロトコルとしてはIPが用いられており、トランスポート層の通信プロトコルにはTCPが用いられている。ここで通信網500は、インターネットなどの外部ネットワーク400に接続されており、その外部ネットワーク400に接続されている処理要求装置300bとの間の通信を仲介する機能も備えている。なお、本実施形態では、通信網500がEthernetである場合について説明するが、トークンリングであっても良いことは勿論である。要は、上記所定の通信プロトコルにしたがって行われる通信を仲介する機能を備えた通信網であれば、どのような通信網であっても良い。また、本実施形態ではトランスポート層の通信プロトコルとしてTCPを用いる場合について説明するが、UDPを用いるとしても勿論良い。   The communication network 500 is, for example, Ethernet (registered trademark) laid in an office using the information processing system 100, and mediates data communication performed according to a predetermined communication protocol between devices such as a PC and an image forming apparatus. Is for. In this embodiment, IP is used as the communication protocol for the network layer, and TCP is used as the communication protocol for the transport layer. Here, the communication network 500 is connected to an external network 400 such as the Internet, and also has a function of mediating communication with the processing requesting device 300b connected to the external network 400. In the present embodiment, the case where the communication network 500 is Ethernet will be described, but it is needless to say that it may be a token ring. In short, any communication network may be used as long as it has a function of mediating communication performed according to the predetermined communication protocol. In this embodiment, the case where TCP is used as the transport layer communication protocol will be described, but it is of course possible to use UDP.

なお、上記の画像処理装置200および処理要求装置300a、bにはそれぞれにIPアドレスが割り振られており、それぞれの機器はネットワーク上で一元的に識別される。具体的には、画像処理装置200には“255.255.0.0”が、処理要求装置300aには“255.255.0.1“が割り振られている。   Note that an IP address is assigned to each of the image processing device 200 and the processing requesting devices 300a and 300b, and each device is uniquely identified on the network. Specifically, “255.255.0.0” is allocated to the image processing apparatus 200, and “255.255.0.1” is allocated to the processing request apparatus 300a.

画像処理装置200は、具体的にはいわゆる複合機であり、画像読取機能や画像形成機能、画像転送機能を兼ね備えている。ここで、画像読取機能とは、記録材上に形成された画像を光学的に読取り、読取った画像に応じた画像データを生成する画像読取処理を実行する機能である。また画像形成機能とは、通信網500を介して受信した画像データや上記画像読取機能により生成した画像データに応じた画像を印刷用紙やOHP(Over Head Projector)シートなどの記録材上に形成する画像形成処理を実行する機能である。なお本実施形態においては、画像処理装置200は、電子写真方式で上記画像データに応じたトナー画像を上記記録材上に形成する。そして、画像転送機能とは、例えば上記画像読取機能によって読取った画像に応じた画像データを、通信網500を介して所定の宛先へ転送する画像転送処理を実行する機能である。   Specifically, the image processing apparatus 200 is a so-called multi-function peripheral, and has an image reading function, an image forming function, and an image transfer function. Here, the image reading function is a function for optically reading an image formed on a recording material and executing an image reading process for generating image data corresponding to the read image. The image forming function forms an image corresponding to the image data received via the communication network 500 or the image data generated by the image reading function on a recording material such as a printing sheet or an OHP (Over Head Projector) sheet. This function executes image forming processing. In this embodiment, the image processing apparatus 200 forms a toner image corresponding to the image data on the recording material by electrophotography. The image transfer function is a function for executing an image transfer process for transferring image data corresponding to an image read by the image reading function to a predetermined destination via the communication network 500, for example.

この画像処理装置200は、通信網500を介して所定の通信プロトコルにしたがって送信されてくるメッセージを受信し、そのメッセージの内容に応じた処理(本実施形態では、画像形成処理、画像読取処理および画像転送処理や、それらを制御するプログラムの変更・追加など)を実行するように構成されている。なお、以下では、画像処理装置200に、上記各処理の実行を要求すること、およびその要求を示した信号を「リクエスト」と称する。リクエストには、画像処理装置200に実行させる実行ジョブを指定するコマンドや、その対象となるデータおよびデータの属性、そのリクエストの要求元を識別するためのアドレス(以下、要求元識別子と呼ぶ)、そのリクエストの送信日時などが含まれている。   The image processing apparatus 200 receives a message transmitted according to a predetermined communication protocol via the communication network 500, and performs processing according to the content of the message (in this embodiment, image formation processing, image reading processing, and The image transfer process and the change / addition of a program for controlling the image transfer process are executed. In the following, requesting the image processing apparatus 200 to execute each of the above processes and a signal indicating the request will be referred to as a “request”. The request includes a command for specifying an execution job to be executed by the image processing apparatus 200, data to be processed and attributes of the data, an address for identifying the request source of the request (hereinafter referred to as a request source identifier), It includes the date and time of sending the request.

さて、画像処理装置200においては、上記の各処理の実行を指示する旨のリクエストの送受信に利用する通信ポート(以下、データ通信用ポートと呼ぶ)が各処理毎に予め定められている。例えば、画像形成処理用のデータ通信用ポートとしてポート番号が“631”であるデータ通信用ポートが割り当てられている。なお、トランスポート層の通信プロトコルとしてUDPを用いる場合には、UDPにおける通信ポートを上記データ通信用ポートに割り当てるようにすれば良い。
処理要求装置300aは例えばPCであり、上記の処理を画像処理装置200へ要求するためのリクエストをユーザの指示に応じて生成し、そのリクエストを上記所定の通信プロトコルにしたがって送信する機能を備えている。 In the image processing apparatus 200, a communication port (hereinafter referred to as a data communication port) used for transmission / reception of a request for instructing execution of each process is determined in advance for each process. For example, a data communication port whose port number is “631” is assigned as a data communication port for image forming processing. When UDP is used as a transport layer communication protocol, a UDP communication port may be assigned to the data communication port.
The processing requesting device 300a is, for example, a PC, and has a function of generating a request for requesting the above processing from the image processing device 200 according to a user instruction and transmitting the request according to the predetermined communication protocol. Yes.

(A−2:画像処理装置の構成)
図2は、画像処理装置200のハードウェア構成の一例を示す図である。
画像処理装置200は、制御部210と、通信インタフェース(以下、「IF」と表記する)部220と、情報処理部230と、記憶部240と、UI(User interface)部250と、監査ログ生成装置600と、それら各構成要素間のデータ通信を仲介するシステムバス260とを有している。 (A-2: Configuration of image processing apparatus)
FIG. 2 is a diagram illustrating an example of a hardware configuration of the image processing apparatus 200.
The image processing apparatus 200 includes a control unit 210, a communication interface (hereinafter referred to as “IF”) unit 220, an information processing unit 230, a storage unit 240, a UI (User interface) unit 250, and an audit log generation. The apparatus 600 has a system bus 260 that mediates data communication between these components.

制御部210は、例えばCPU(Central Processing Unit)であり、後述する記憶部240に格納されている各種プログラムを実行し、他の構成要素の作動制御を行う機能を有する。
通信IF部220は、例えばNIC(Network Interface Card)であり、通信網500に接続されている。この通信IF部220は、通信網500を介して送信されてくるデータを受信し制御部210へ引渡すとともに、制御部210から引渡されたデータを通信網500へと送出するためのものである。 The control unit 210 is a CPU (Central Processing Unit), for example, and has a function of executing various programs stored in a storage unit 240 described later and controlling the operation of other components.
The communication IF unit 220 is, for example, a NIC (Network Interface Card), and is connected to the communication network 500. The communication IF unit 220 is for receiving data transmitted via the communication network 500 and delivering the data to the control unit 210 and sending the data delivered from the control unit 210 to the communication network 500.

情報処理部230は、スキャナ部と、印刷部と、情報処理制御部とを含んでいる。スキャナ部は、図示せぬプラテンガラス上に置かれた記録材上に形成されている画像を光学的に読取りその画像に応じた画像データを生成して情報処理制御部へと引渡すものである。印刷部は、図示せぬ用紙トレイに格納された記録材を取り出し、情報処理制御部から引渡された画像データに応じてトナー像を電子写真方式でその記録材上に形成する。情報処理制御部は、制御部210による制御の元で、スキャナ部や印刷部の作動を制御する。   The information processing unit 230 includes a scanner unit, a printing unit, and an information processing control unit. The scanner unit optically reads an image formed on a recording material placed on a platen glass (not shown), generates image data corresponding to the image, and delivers the image data to the information processing control unit. The printing unit takes out the recording material stored in a paper tray (not shown), and forms a toner image on the recording material by electrophotography in accordance with the image data delivered from the information processing control unit. The information processing control unit controls the operation of the scanner unit and the printing unit under the control of the control unit 210.

UI部250は、画像処理装置200に設けられた操作パネルおよびボタンなどである。ユーザは操作パネルの表示を参照しながらボタンを押すことにより、UI部250からシステムバス260を介して、ユーザが要求した実行ジョブを指定するコマンド、要求元識別子(この場合は画像処理装置200に割り当てられたIPアドレス)、ユーザが要求を出した日時などのデータが制御部210に送信され、特定の処理を画像処理装置200に実行させることができる。以下では、UI部250から制御部210に送信される信号を、上述した処理要求装置300から画像処理装置200に対して送られる信号と合わせて「リクエスト」と呼ぶ。なお、UI部250から制御部210に送信されるリクエストには、処理の対象となる画像データは含まれず、画像処理装置200の情報処理部230から供給される。   The UI unit 250 includes an operation panel and buttons provided in the image processing apparatus 200. When the user presses a button while referring to the display on the operation panel, a command for specifying an execution job requested by the user from the UI unit 250 via the system bus 260, a request source identifier (in this case, the image processing apparatus 200). Data such as the assigned IP address) and the date and time when the user makes a request is transmitted to the control unit 210, and the image processing apparatus 200 can execute specific processing. Hereinafter, the signal transmitted from the UI unit 250 to the control unit 210 is referred to as a “request” together with the signal transmitted from the processing requesting apparatus 300 to the image processing apparatus 200 described above. The request transmitted from the UI unit 250 to the control unit 210 does not include image data to be processed, and is supplied from the information processing unit 230 of the image processing apparatus 200.

記憶部240は、HDD240a(Hard Disk Drive)と、RAM(Random Access Memory)240bと、ROM(Read Only Memory)240cとを含んでいる。RAM240bは、各種プログラムにしたがって作動している制御部210によってワークエリアとして利用される。ROM240cは、本発明に係る画像処理装置200に特徴的な機能を制御部210に実現させるためのデータやプログラムを格納している。HDD240aは、生成された監査ログを記憶する。   The storage unit 240 includes an HDD 240a (Hard Disk Drive), a RAM (Random Access Memory) 240b, and a ROM (Read Only Memory) 240c. The RAM 240b is used as a work area by the control unit 210 operating according to various programs. The ROM 240c stores data and programs for causing the control unit 210 to realize functions characteristic of the image processing apparatus 200 according to the present invention. The HDD 240a stores the generated audit log.

ここで、ROM240cに格納されているプログラムについて説明する。ROM240cには、制御プログラムが格納されている。この制御プログラムに従って作動している制御部210は、処理要求装置300aから送付されたリクエストを受信し、このリクエストに含まれるデータのうち上記のコマンドと、データおよびデータの属性と、要求元識別子と、送信日時とを、監査ログ生成装置600に対して送信する。一方、ユーザがUI部250を介して画像処理装置200を送信した場合、制御部210は、コマンドすなわちユーザが行ったUI操作と、情報処理部230において生成された画像データと、画像処理装置200に割り当てられた要求元識別子と、送信日時とを、監査ログ生成装置600に送信する。   Here, the program stored in the ROM 240c will be described. A control program is stored in the ROM 240c. The control unit 210 operating according to this control program receives the request sent from the processing requesting device 300a, and among the data included in the request, the above command, data and data attributes, request source identifier, The transmission date and time is transmitted to the audit log generation device 600. On the other hand, when the user transmits the image processing apparatus 200 via the UI unit 250, the control unit 210 displays the command, that is, the UI operation performed by the user, the image data generated in the information processing unit 230, and the image processing apparatus 200. The request source identifier assigned to and the transmission date and time are transmitted to the audit log generation device 600.

(A−3:監査ログ生成装置の構成)
次に監査ログ生成装置600の構成について図3を用いて説明する。
監査ログ生成装置600は、CPU610と、RAM630と、入出力部640と、ROM620と、これら各構成要素間のデータ通信を仲介するバス650とを有している。
RAM630は、各種プログラムに従って作動しているCPU610によってワークエリアとして利用される。また、RAM630は、画像処理装置200が受信したリクエストに関するデータを一件分だけ記憶するバッファメモリとしての役割を持っている。
入出力部640は、システムバス260に接続されており、システムバス260を介して送信されてくるデータをCPU610へ引渡すとともに、CPU610から引渡されたデータをシステムバス260へ送出したり、制御部210に対して画像処理装置200のシステムの停止を指示したりする機能を持つ。 (A-3: Configuration of the audit log generation device)
Next, the configuration of the audit log generation device 600 will be described with reference to FIG.
The audit log generation apparatus 600 includes a CPU 610, a RAM 630, an input / output unit 640, a ROM 620, and a bus 650 that mediates data communication between these components.
The RAM 630 is used as a work area by the CPU 610 operating according to various programs. Further, the RAM 630 has a role as a buffer memory that stores only one data related to the request received by the image processing apparatus 200.
The input / output unit 640 is connected to the system bus 260, passes data transmitted via the system bus 260 to the CPU 610, sends data transferred from the CPU 610 to the system bus 260, and controls the control unit 210. The function of instructing the system of the image processing apparatus 200 to stop.

ROM620には、本発明に特徴的な機能を監査ログ生成装置600に対し付与するデータおよび監査事象記録プログラム10が記憶されている。
そのようなデータの一例としては、図5に示す記録方式選択テーブルが挙げられる。この記録方式選択テーブルには、画像処理装置200が受信する各種のリクエストと、それぞれのリクエストを受信した際にそのことを記録する監査ログに記載する項目が列挙されている。ここで、監査ログの記録方式について図5に示した記録方式選択テーブルを用いて説明する。監査ログの記録方式には簡潔なログ、高度なログの2種類がある。まず簡潔なログには、要求された実行ジョブの種類、画像データの属性、要求元識別子、リクエストの送信された日時、および処理結果(エラーが発生した場合はそのうち重要なエラーの内容)に関するデータが記載される。一方高度なログには、要求された実行ジョブの種類、処理画像、画像データの属性、要求元識別子、リクエストの送信された日時、および処理結果(エラーが発生した場合はそのエラーの内容)に関するデータが記載される。上記処理画像とは、画像処理装置200が生成または受信した画像データを指す。なおログの容量を縮小するため、画像データを圧縮した後HDD240aに記憶しておいてもよい。
簡潔なログを生成する監査事象としては、画像処理装置200による画像読取り、画像形成、画像転送が挙げられる。高度なログを生成する監査事象としては、画像処理装置200のシステムデータの登録、変更、削除および、新規アプリケーションの追加が挙げられる。 The ROM 620 stores data for assigning functions characteristic of the present invention to the audit log generation apparatus 600 and the audit event recording program 10.
An example of such data is a recording method selection table shown in FIG. The recording method selection table lists various requests received by the image processing apparatus 200 and items to be recorded in an audit log that records the requests when each request is received. Here, the audit log recording method will be described with reference to the recording method selection table shown in FIG. There are two types of audit log recording methods: a simple log and an advanced log. The first concise log contains data about the type of requested execution job, image data attributes, requester identifier, date and time the request was sent, and processing results (if any errors occurred, the content of the important error) Is described. On the other hand, in the advanced log, the type of requested execution job, processed image, image data attribute, request source identifier, request transmission date and time, and processing result (if an error occurs, the content of the error) Data is described. The processed image refers to image data generated or received by the image processing apparatus 200. In order to reduce the log capacity, the image data may be compressed and stored in the HDD 240a.
Examples of audit events that generate a simple log include image reading by the image processing apparatus 200, image formation, and image transfer. Examples of the audit event that generates an advanced log include registration, change, and deletion of system data of the image processing apparatus 200 and addition of a new application.

監査事象記録プログラム10に従って作動しているCPU610には、以下に挙げるような画像処理装置200が行った処理の履歴(監査ログ)を生成する機能が付与される。
図4は監査ログ生成装置600の機能構成を示したブロック図である。具体的には、上に監査事象記録プログラム10に従って作動しているCPU610は、図4において二重線で囲った手段すなわち、監査事象検知手段700と、記録方式選択手段710と、ログ生成手段720と、監査ログ書き込み手段730と、空き領域検知手段740と、DoS攻撃検知手段750と、ログ圧縮手段760と、ログ削除手段770と、カウンタ780として機能する。 The CPU 610 operating according to the audit event recording program 10 is provided with a function for generating a history (audit log) of processing performed by the image processing apparatus 200 as described below.
FIG. 4 is a block diagram showing a functional configuration of the audit log generation device 600. Specifically, the CPU 610 operating in accordance with the audit event recording program 10 above has a means surrounded by a double line in FIG. 4, that is, an audit event detecting means 700, a recording method selecting means 710, and a log generating means 720. Audit log writing means 730, free space detection means 740, DoS attack detection means 750, log compression means 760, log deletion means 770, and counter 780.

監査事象検知手段700は、RAM630に記憶されたデータに基づいて、前述した監査事象の発生の有無を監査する。以下に監査の方法を説明する。監査事象検知手段700は、RAM630に記憶されたリクエストが、記録方式選択テーブルに記載されているリクエスト(以下、監査事象と呼ぶ)の一つと一致するかどうかについて判断する。一致した場合、監査事象検知手段700は、記録方式選択手段710に対してその監査事象の種類を示すデータを送信する。   The audit event detection unit 700 audits the occurrence of the audit event described above based on the data stored in the RAM 630. The audit method is described below. The audit event detection unit 700 determines whether or not the request stored in the RAM 630 matches one of the requests described in the recording method selection table (hereinafter referred to as an audit event). If they match, the audit event detection unit 700 transmits data indicating the type of the audit event to the recording method selection unit 710.

記録方式選択手段710は、監査事象検知手段700から受信したデータに基づき、簡潔なログもしくは高度なログのいずれかの監査ログ記録方式を選択し、ログ生成手段720に選択した記録方式を示す信号を送る。
ログ生成手段720は記録方式選択手段710により選択された監査ログ記録方式に基づいてログデータを生成する。図8は、監査ログ生成装置600によって生成されたログの内容である。ログ1に示されたログは、処理要求装置300aから画像処理装置200に対し、画像の印刷を要求するリクエストが送信された履歴を示す。この場合「実行ジョブ」には、画像形成を意味するPRINTおよび実行を意味するDOが記載される。「データの属性」は、印刷された画像データの種類を示す拡張子(たとえば“jpeg”)が記載される。「要求元識別子」には、処理要求装置300aに割り当てられたIPアドレスが記載される。「送信日時」には、日、月、年、時、分、秒が順に記載される。「処理結果」には、要求された処理を支障なく完了したかどうか、また、エラーを生じた場合はそのエラーの内容を意味する番号が記載される。ここで、記載されている番号“200”は、支障なく処理を完了したことを意味する。また、ログ2に示されたログは、ユーザが画像処理装置200のUI部250における操作によって画像の読取をおこなったことを示す。この場合、要求元識別子には、画像処理装置200自体に割り当てられたIPアドレスが記載される。 The recording method selection means 710 selects either a simple log or an advanced log based on the data received from the audit event detection means 700, and the log generation means 720 indicates the selected recording method. Send.
The log generation unit 720 generates log data based on the audit log recording method selected by the recording method selection unit 710. FIG. 8 shows the contents of the log generated by the audit log generation device 600. The log shown in the log 1 indicates a history of a request for requesting image printing from the processing requesting device 300a to the image processing device 200. In this case, “execution job” describes PRINT meaning image formation and DO meaning execution. In the “data attribute”, an extension (for example, “jpeg”) indicating the type of printed image data is described. The “request source identifier” describes the IP address assigned to the process requesting device 300a. In “transmission date and time”, day, month, year, hour, minute, and second are described in order. In the “processing result”, whether or not the requested processing has been completed without any problem, and if an error occurs, a number indicating the content of the error is described. Here, the described number “200” means that the processing has been completed without any trouble. Further, the log shown in the log 2 indicates that the user has read an image by an operation on the UI unit 250 of the image processing apparatus 200. In this case, the request source identifier describes the IP address assigned to the image processing apparatus 200 itself.

ログ生成手段720は生成したログデータを監査ログ書き込み手段730へ送信する。
監査ログ書き込み手段730は、ログ生成手段720により生成されたログデータを受信し、ログファイルに書き込む。
ここで、空き領域検知手段740は、HDD240aの空き領域を検知し、監査ログ書き込み手段730に通知する機能を有する。監査ログ書き込み手段730は生成したログデータの容量を検知し、検知した空き領域よりもファイル容量が小さいときはログの書き込みを行う。一方、監査ログ書き込み手段730は、検出した空き領域よりもファイル容量が大きいときは、ログの書き込みを中止し、画像処理装置200がシステムを停止するよう制御部210に対して信号を送信する。なお、システムの停止を行う代わりに、監査ログ書き込み手段730は入出力部640に指示し、アラートの発呼を行わせてもよい。
監査ログ書き込み手段730は、ログの書き込みを行う際にカウンタ780のインクリメントを行う。なお、カウンタ780の初期値は0である。書き込みおよびインクリメントを繰り返した結果、カウンタ780があらかじめ規定された値N(Nは2以上の自然数であり、この場合50である)に達すると、CPU610は、カウンタ780を初期値0にリセットし、同時に、DoS攻撃検知手段750に対し、カウンタ780が規定の値Nに達した旨の信号を送信する。 The log generation unit 720 transmits the generated log data to the audit log writing unit 730.
The audit log writing unit 730 receives the log data generated by the log generation unit 720 and writes it to the log file.
Here, the free space detection unit 740 has a function of detecting a free space in the HDD 240 a and notifying the audit log writing unit 730. The audit log writing means 730 detects the capacity of the generated log data, and writes a log when the file capacity is smaller than the detected free area. On the other hand, when the file capacity is larger than the detected free space, the audit log writing unit 730 stops log writing and transmits a signal to the control unit 210 so that the image processing apparatus 200 stops the system. Instead of stopping the system, the audit log writing unit 730 may instruct the input / output unit 640 to issue an alert.
The audit log writing means 730 increments the counter 780 when writing the log. Note that the initial value of the counter 780 is zero. As a result of repeating the writing and incrementing, when the counter 780 reaches a predetermined value N (N is a natural number equal to or larger than 2 and is 50 in this case), the CPU 610 resets the counter 780 to the initial value 0, At the same time, a signal indicating that the counter 780 has reached a specified value N is transmitted to the DoS attack detection means 750.

DoS攻撃検知手段750は、カウンタ780が規定の値Nに達した旨の信号を受信すると、ログファイルに記録された最新のログ50個について、DoS攻撃と疑われるログが存在するか否かを監査する。その詳細を以下に説明する。
図8において、ログ550のログが記録され、カウンタ780がリセットされた時点を例にとって説明する。DoS攻撃検知手段750は、カウンタ780からの信号を受信し、最新のログ50個すなわちログ501ないしログ550についてDoS攻撃を疑われる監査ログの有無を監査する。前述のようにDoS攻撃は、短時間に大量のリクエストを特定のデータ通信用ポートに対して送信するものであるから、50個のログの少なくとも一部に次に述べる(a)または(b)のような傾向が見られたとき、それらはDoS攻撃を疑われるログであると判断する。
(a)単位時間あたりのリクエストの数が規定値を超える場合
(b)処理結果に高負荷による障害が規定数を超えて記録されている場合 When the DoS attack detection unit 750 receives a signal indicating that the counter 780 has reached the specified value N, the DoS attack detection unit 750 determines whether or not there is a suspected DoS attack log for the 50 most recent logs recorded in the log file. audit. Details thereof will be described below.
In FIG. 8, the case where the log 550 is recorded and the counter 780 is reset will be described as an example. The DoS attack detection unit 750 receives the signal from the counter 780 and audits the presence or absence of an audit log suspected of a DoS attack for the latest 50 logs, that is, the logs 501 to 550. As described above, since the DoS attack is to send a large number of requests to a specific data communication port in a short time, the following (a) or (b) is described in at least a part of the 50 logs. When such a tendency is observed, it is determined that the logs are suspected DoS attacks.
(A) When the number of requests per unit time exceeds the specified value (b) When a failure due to high load is recorded in the processing result exceeding the specified number

ここで、図8においてログ“523”から“550”においては、2006年9月1日の00時28分00秒から00時28分20秒までの20秒という短時間の間にjpg形式の画像を印刷するよう指示する処理要求メッセージを全て異なる要求元から計28個受信したことが記録されている。また、その際に高負荷による障害が起きた事を示す処理結果が記録されている。ここで(a)または(b)の基準に照らし合わせ、DoS攻撃検知手段750はログ523ないしログ550はDoS攻撃を疑われるログであると判断する。DoS攻撃検知手段750は、DoS攻撃を疑われるログであると判断されたログの番号を含む信号を、ログ圧縮手段760へ送信する。なお、DoS攻撃であると判断する基準は上記(a)および(b)に限定されず、他にもDoS攻撃の性質に照らし合わせて、異なる基準の設定が可能である。また、ここではNを50として説明をしたが、50以外の自然数を用いてもよい。要するに、複数のログを監査し、それらがDoS攻撃を疑われるログであるか否かについて判断をするのに十分な値であればよい。   Here, in the logs “523” to “550” in FIG. 8, the jpg format is used in a short period of 20 seconds from 00:28:00 to 00:28:20 on September 1, 2006. It is recorded that a total of 28 processing request messages for instructing to print images have been received from different request sources. In addition, a processing result indicating that a failure due to a high load has occurred is recorded. Here, in light of the criteria (a) or (b), the DoS attack detection means 750 determines that the logs 523 to 550 are logs suspected of DoS attacks. The DoS attack detection unit 750 transmits a signal including a log number determined to be a log suspected of DoS attack to the log compression unit 760. Note that the criteria for determining a DoS attack are not limited to the above (a) and (b), and other criteria can be set in light of the nature of the DoS attack. In addition, although N is described here as 50, a natural number other than 50 may be used. In short, it may be a value sufficient to audit a plurality of logs and determine whether or not they are logs suspected of DoS attacks.

DoS攻撃検知手段750から信号を受信したログ圧縮手段760は、ログファイルから該ログを読み出し、そのデータを元にして「差分ログ」を生成する。その生成方法について具体例をとって以下に説明する。新たに生成されたログのログ番号には、“523―550”のように圧縮するログの始まりの番号と終わりの番号を並べた数字が割り振られる。差分ログの記載内容には、各ログにおいて異なる項目については、それぞれ記載されていたデータが残され、一方各ログに共通する項目は一つにまとめられる。この例においては、要求元識別子は各ログ毎に異なることから、要求元識別子は全てのログにそれぞれ記載されていた要求元識別子が記載され、一方各ログに共通の内容を持つその他の項目については、共通の内容が代表して記載される。なお送信日時については、最も番号が若いログに記載されていた日時すなわちDoS攻撃の開始された日時が代表して記載される。「累積発生回数」には、差分ログとしてまとめられたログの数が記載される。差分ログは、以上のようにDoS攻撃を疑われるログに対して事後的に生成される。   The log compression unit 760 that has received the signal from the DoS attack detection unit 750 reads the log from the log file and generates a “difference log” based on the data. A specific example of the generation method will be described below. A log number of a newly generated log is assigned a number in which the start number and end number of the log to be compressed are arranged, such as “523-550”. In the description content of the difference log, the data described for each item different in each log is left, while the items common to each log are combined into one. In this example, since the request source identifier is different for each log, the request source identifier is described as the request source identifier described in each log, while the other items have common contents in each log. The common content is described as a representative. As for the transmission date / time, the date / time when the log with the smallest number was described, that is, the date / time when the DoS attack was started is representatively described. In “cumulative occurrence count”, the number of logs collected as a difference log is described. As described above, the differential log is generated after the log for which a DoS attack is suspected.

ログ削除手段770は、ログ圧縮手段760がログファイルからDoS攻撃を疑われるログを読み出した後、それらをログファイルから削除する。
また、DoS攻撃検知手段750は、DoS攻撃を検知すると制御部210に対し、DoS攻撃が行われたデータ通信ポートを遮断するよう指示する信号を送る。制御部210は信号を受信すると、DoS攻撃を受信したデータ通信ポートを遮断する。ここで、画像処理装置200は図示せぬタイマを持つ。制御部210が上記データ通信ポートを遮断すると、タイマはその時点から経過した時間のカウントを始める。一定の時間T1が経過すると、制御部210は上記データ通信ポートを開放し、リクエストを再び受信するように待ち構える。 The log deleting unit 770 deletes logs from the log file after the log compressing unit 760 reads logs suspected of being DoS attacks from the log file.
In addition, when the DoS attack detection unit 750 detects a DoS attack, the DoS attack detection unit 750 sends a signal instructing the control unit 210 to block the data communication port in which the DoS attack is performed. When the control unit 210 receives the signal, the control unit 210 blocks the data communication port that has received the DoS attack. Here, the image processing apparatus 200 has a timer (not shown). When the control unit 210 shuts off the data communication port, the timer starts counting the time elapsed from that point. When the predetermined time T1 has elapsed, the control unit 210 opens the data communication port and waits to receive the request again.

以上が監査ログ生成装置600の構成である。以上に説明したように、本実施形態に係る監査ログ生成装置600の構成は、一般的なコンピュータ装置の構成と同一であり、本発明に係る監査ログ生成装置に特徴的な機能はソフトウェアモジュールにより実現されている。   The above is the configuration of the audit log generation apparatus 600. As described above, the configuration of the audit log generation apparatus 600 according to the present embodiment is the same as the configuration of a general computer apparatus, and the characteristic functions of the audit log generation apparatus according to the present invention are based on software modules. It has been realized.

(B:実施形態の動作)
次いで、本発明に係る監査ログ生成装置600が行う動作のうち、その特徴を顕著に示している動作について図面を参照して説明する。以下では、まず画像処理装置200の正常な動作に対するログ記録について、次に画像処理装置200が受けたDoS攻撃に対するログ記録について説明する。 (B: Operation of the embodiment)
Next, among the operations performed by the audit log generation apparatus 600 according to the present invention, operations that significantly show the features will be described with reference to the drawings. In the following, log recording for normal operation of the image processing apparatus 200 will be described first, and then log recording for a DoS attack received by the image processing apparatus 200 will be described.

(B−1:正常な動作に対するログ記録)
以下では、本実施形態の実施の一事例として、通信網500に接続された処理要求装置300aから画像処理装置200に対し画像形成を要求するリクエストが送信された場合に、監査ログ生成装置600が実行するログ記録処理について説明する。なお、本動作の開始時点では、HDD240aにはログデータは1件も記憶されていないものとする。 (B-1: Log recording for normal operation)
Hereinafter, as an example of implementation of the present embodiment, when a request for image formation is transmitted from the processing requesting device 300a connected to the communication network 500 to the image processing device 200, the audit log generating device 600 The log recording process to be executed will be described. It is assumed that no log data is stored in the HDD 240a at the start of this operation.

処理要求装置300aには、そのHDD240aにデータA(jpeg形式の画像)が記憶されている。ユーザは、処理要求装置300aを適宜操作することによって、データAの表す画像を形成する旨のリクエストを、画像処理装置200に送信させることができる。このとき処理要求装置300aは、画像形成を命令するコマンド、データAおよびデータAの属性に関するデータ(この場合jpeg)、処理要求装置300aのIPアドレス、リクエストの送信日時とを含んだリクエストを生成し、そのリクエストを画像処理装置200のデータ通信用ポート631へ宛てて送信する。このようにして送信されたリクエストは通信網500を介して画像処理装置200の制御部210により受信される。
リクエストを受信した制御部210は、処理要求装置300aから受信したリクエストのうち、コマンド、データAの属性、処理要求装置300aのIPアドレス、リクエストの送信日時に関するデータを、システムバス260を介して監査ログ生成装置600のCPU610へ受け渡し、そのデータは一旦RAM630に記憶される。 The processing requesting device 300a stores data A (image in jpeg format) in the HDD 240a. The user can cause the image processing apparatus 200 to transmit a request for forming an image represented by the data A by appropriately operating the processing requesting apparatus 300a. At this time, the processing requesting device 300a generates a request including a command for instructing image formation, data A and data related to the attribute of the data A (in this case, jpeg), the IP address of the processing requesting device 300a, and the request transmission date and time. The request is transmitted to the data communication port 631 of the image processing apparatus 200. The request transmitted in this way is received by the control unit 210 of the image processing apparatus 200 via the communication network 500.
The control unit 210 that has received the request audits the command, the attribute of the data A, the IP address of the process requesting device 300a, and the data related to the transmission date and time of the request received from the process requesting device 300a via the system bus 260. The data is transferred to the CPU 610 of the log generation device 600 and the data is temporarily stored in the RAM 630.

図6は、監査事象記録プログラム10に従って作動しているCPU610が、上記リクエストに関するデータを受取った場合に実行するログ記録処理の流れを示すフローチャートである。
RAM630に新規のリクエストに関するデータが追加されると(ステップSA10:Yes)、監査事象検知手段700は、そのデータの中からコマンドに関するデータを読み出す。このコマンドは監査事象に該当するため、監査事象検知手段700は、コマンドに関するデータを記録方式選択手段710に対して通知する。 FIG. 6 is a flowchart showing the flow of log recording processing executed when the CPU 610 operating in accordance with the audit event recording program 10 receives data related to the request.
When data related to a new request is added to the RAM 630 (step SA10: Yes), the audit event detection unit 700 reads data related to a command from the data. Since this command corresponds to an audit event, the audit event detection unit 700 notifies the recording method selection unit 710 of data related to the command.

記録方式選択手段710は、受信したコマンドに関するデータと記録方式選択テーブルの格納内容とを照らし合わせ、そのコマンドに該当する監査事象について生成するログの記録方式を選択し(ステップSA20)、その選択結果を示す信号をログ生成手段720へ送信する。本実施形態では、画像形成処理については簡潔なログとして記録することが記録方式選択テーブル(図5参照)に規定されている。従って記録方式選択手段710は、上記ステップSA20において、簡潔なログを選択する。
ログ生成手段720は、RAM630に記憶されたデータから、簡潔なログに記載する項目、すなわちコマンド(実行ジョブ)の種類、データの属性、要求元識別子、送信日時に関するデータを読取り、それらの項目から成るログデータを生成し(ステップSA30)、監査ログ書き込み手段730へ送信する。 The recording method selection means 710 compares the data related to the received command with the stored contents of the recording method selection table, selects the recording method of the log generated for the audit event corresponding to the command (step SA20), and the selection result Is transmitted to the log generation means 720. In this embodiment, the recording method selection table (see FIG. 5) stipulates that image formation processing is recorded as a simple log. Accordingly, the recording method selection means 710 selects a simple log in step SA20.
The log generation unit 720 reads items described in a simple log from data stored in the RAM 630, that is, data related to the type of command (execution job), data attributes, request source identifier, and transmission date and time, and from these items. Log data is generated (step SA30) and transmitted to the audit log writing means 730.

また、空き領域検知手段740はHDD240aの空き領域を検知し、監査ログ書き込み手段730に対し通知する。監査ログ書き込み手段730は、ログ生成手段720から通知されたログデータの容量とHDD240aの空き領域とを比較し、そのログデータを書き込むに充分な大きさの空き領域がHDD240aにあるか否か判定する(ステップSA40)。   Also, the free space detection unit 740 detects a free space in the HDD 240a and notifies the audit log writing unit 730 of the free space. The audit log writing unit 730 compares the capacity of the log data notified from the log generation unit 720 with the free area of the HDD 240a, and determines whether or not the HDD 240a has a free area large enough to write the log data. (Step SA40).

ステップSA40の判定結果が“Yes”である場合、すなわち充分な大きさの空き領域がある場合には、監査ログ書き込み手段730はHDD240a内にログファイルを生成し、ログ生成手段720か受信したログデータをそのログファイルへ書き込む(ステップSA50)。逆に、ステップSA40の判定結果が“No”である場合、すなわち充分な大きさの空き領域がない場合には、監査ログ書き込み手段730は、システムを停止する旨の指示を制御部210へ送信し、画像処理装置200のシステムを停止させる(ステップSA120)。   If the determination result in step SA40 is “Yes”, that is, if there is a sufficiently large free space, the audit log writing unit 730 generates a log file in the HDD 240a and the log received by the log generation unit 720. Data is written to the log file (step SA50). On the contrary, if the determination result in step SA40 is “No”, that is, if there is not a sufficiently large free area, the audit log writing unit 730 transmits an instruction to stop the system to the control unit 210. Then, the system of the image processing apparatus 200 is stopped (step SA120).

前述したように、本動作例では、その開始時点においてHDD240aにはログデータは1件も記憶されていないのであるから、ステップSA40の判定結果は“Yes”になり、上述したステップSA50の処理が実行される。ステップSA50に後続して実行されるステップSA60においては、監査ログ書き込み手段730は、カウンタ780をインクリメントする(ステップSA60)。
インクリメントによりカウンタ780のカウントが規定の値N(この場合50)に達した場合(ステップSA70:Yes)、CPU610は、カウンタ780を初期値“0”にリセットし(ステップSA80)、差分ログ生成処理を実行する(ステップSA90)。なお、この差分ログ生成処理については後に詳細に説明する。一方、ステップSA60にてインクリメントされたカウンタ780の値が上記規定の値Nに達していない場合(ステップSA70:No)は、CPU610は、ステップSA80およびSA90の処理を行うことなく、後述するステップSA100の処理を実行する。 As described above, in this operation example, since no log data is stored in the HDD 240a at the start time, the determination result in step SA40 is “Yes”, and the processing in step SA50 described above is performed. Executed. In step SA60 executed subsequent to step SA50, the audit log writing unit 730 increments the counter 780 (step SA60).
When the count of the counter 780 reaches the specified value N (in this case, 50) due to the increment (step SA70: Yes), the CPU 610 resets the counter 780 to the initial value “0” (step SA80), and the difference log generation process Is executed (step SA90). The difference log generation process will be described later in detail. On the other hand, when the value of the counter 780 incremented in step SA60 has not reached the prescribed value N (step SA70: No), the CPU 610 does not perform the processes of steps SA80 and SA90, but will be described later in step SA100. Execute the process.

画像処理装置200の制御部210は、この段階で初めて、処理要求装置300aから受信したリクエストに応じた処理(本動作例では、画像形成)を行い(ステップSA100)、その処理結果を上記書き込み済みのログに追記する(ステップSA110)。例えば、画像形成を試みた結果、支障なく印刷が完了した場合には、制御部210は、書き込み済みのログに、支障なく処理が完了したことを示す番号“200”を追記する。逆に、処理の過程で何らかのエラーが発生した場合には、制御部210は、そのエラーを別途設けられた手段により解析し、解析の結果明らかになったエラーの内容を追記する。
以降、処理要求装置300aからリクエストが送信されてくる度に、図6に示すログ記録処理が実行される結果、HDD240aには、例えば、図8に示すようなログファイルが記録されることになる。 For the first time at this stage, the control unit 210 of the image processing apparatus 200 performs processing (image formation in this operation example) according to the request received from the processing requesting device 300a (step SA100), and the processing result has been written. Is added to the log (step SA110). For example, when printing is completed without any trouble as a result of the image formation, the control unit 210 adds a number “200” indicating that the processing has been completed without trouble to the written log. Conversely, when an error occurs in the course of processing, the control unit 210 analyzes the error by means provided separately, and additionally writes the content of the error clarified as a result of the analysis.
Thereafter, whenever a request is transmitted from the process requesting device 300a, the log recording process shown in FIG. 6 is executed. As a result, for example, a log file as shown in FIG. 8 is recorded in the HDD 240a. .

(B−2:DoS攻撃に対するログ記録)
次に、本実施形態の実施の好適事例として、画像処理装置200がDoS攻撃を受けた場合を例にとって、監査ログ生成装置600の動作を説明する。
図7は、図6のステップSA90にて実行される差分ログの生成処理”の流れを詳細に示すフローチャートである。DoS攻撃検知手段750は、リセットされたカウンタ780から送信された信号を受信すると、ログファイルに記憶されている最新の50個のログ(図8:ログ501ないし550)について、それらにDoS攻撃を疑われるログが含まれているか否かを判定する(ステップSA910)。 (B-2: Log recording for DoS attack)
Next, the operation of the audit log generation device 600 will be described as a case where the image processing device 200 is subjected to a DoS attack as a suitable example of the implementation of the present embodiment.
FIG. 7 is a flowchart showing in detail the flow of “difference log generation processing executed in step SA90 of FIG. 6.” When the DoS attack detection unit 750 receives the signal transmitted from the reset counter 780, FIG. The latest 50 logs stored in the log file (FIG. 8: logs 501 to 550) are determined whether or not they contain logs suspected of DoS attacks (step SA910).

ステップSA910の判定結果が“Yes”である場合(すなわち、Dos攻撃を疑われるログが含まれていると判定した場合)には、CPU610は、図7のステップSA920からSA980までの処理を実行し、本差分ログ生成処理を終了する。逆に、ステップSA910の判定結果が“No”である場合には、CPU610は、上記ステップSA920からSA980までの処理を実行することなく、本差分ログ生成処理を終了する。
本動作例では、図8に示すログ501からログ550までの50個のログのうち、ログ523ないし550が前述した基準(a)または(b)に該当する場合(すなわち、これら28個のログについてDoS攻撃が疑われる場合)について説明する。このように、上記50個のログには、Dos攻撃が疑われるログが含まれているのであるから、本動作例では、ステップSA910の判定結果は“Yes”になり、ステップSA920からSA980までの処理が実行される。 When the determination result in step SA910 is “Yes” (that is, when it is determined that a log that is suspected of Dos attack is included), the CPU 610 executes the processes from step SA920 to SA980 in FIG. Then, the difference log generation process is terminated. Conversely, when the determination result in step SA910 is “No”, the CPU 610 ends the difference log generation process without executing the processes from step SA920 to SA980.
In this operation example, among the 50 logs from the log 501 to the log 550 shown in FIG. 8, when the logs 523 to 550 correspond to the above-mentioned criteria (a) or (b) (that is, these 28 logs) Will be described). As described above, since the 50 logs include logs in which a Dos attack is suspected, in this operation example, the determination result in step SA910 is “Yes”, and steps SA920 to SA980 are performed. Processing is executed.

ステップSA910の判定結果が“Yes”である場合に後続して実行されるステップSA920においては、DoS攻撃検知手段750は、制御部210に対して、ログ523ないし550に係るリクエストを受信したデータ通信用ポート(この場合631)を一時的に遮断するよう指示する。   In step SA920, which is subsequently executed when the determination result in step SA910 is “Yes”, the DoS attack detection unit 750 receives the data communication in which the requests related to the logs 523 to 550 are received from the control unit 210. An instruction is given to temporarily block the service port (631 in this case).

次いで、CPU610は、タイマによる計時を開始し(ステップSA930)、DoS攻撃を疑われるログの番号(この場合523から550)に関するデータをログ圧縮手段760へ送る。
DoS攻撃を疑われるログの番号に関するデータを受信したログ圧縮手段760は、該当するログを圧縮する(ステップSA940)。具体的には、ログ圧縮手段は、ログファイルから該ログを読み出し、そのデータから前述の手順にしたがって差分ログデータを生成し、監査ログ書き込み手段730へ送信する。この差分ログは、監査ログ書き込み手段730によってログファイルへ書き込まれ(ステップSA950)、圧縮前のログ(すなわち、図8のログ523ないし550)はログ削除手段によってログファイルから削除される(ステップSA960)。なお、本動作例では、差分ログの書き込みを行った後にその圧縮前のログを削除する場合について説明したが、圧縮前のログの削除を行った後に、差分ログの書き込みを行うとしても勿論良い。 Next, the CPU 610 starts timing by a timer (step SA930), and sends data relating to the log number suspected of being a DoS attack (in this case, from 523 to 550) to the log compression means 760.
The log compressing means 760 that has received the data relating to the log number suspected of DoS attack compresses the corresponding log (step SA940). Specifically, the log compression unit reads the log from the log file, generates differential log data from the data according to the above-described procedure, and transmits it to the audit log writing unit 730. The difference log is written to the log file by the audit log writing unit 730 (step SA950), and the logs before compression (that is, the logs 523 to 550 in FIG. 8) are deleted from the log file by the log deletion unit (step SA960). ). In this operation example, the case where the log before the compression is deleted after the difference log is written has been described. However, the difference log may be written after the log before the compression is deleted. .

以降、ステップSA920にて制御部210により遮断されたデータ通信用ポート631は、上記タイマにより計時された時間が予め決められた時間T1に達した時点で(ステップSA970:Yes)、制御部210によって開放される(ステップSA980)。
以上に説明した動作が為される結果、Dos攻撃を疑われるログについては、差分ログに集約されるので、そのDos攻撃の攻撃元通信アドレスなどの重要な情報を保持しつつ限りある記憶領域を有効に利用することが可能になる。 Thereafter, the data communication port 631 blocked by the control unit 210 in step SA920, when the time counted by the timer reaches a predetermined time T1 (step SA970: Yes), It is opened (step SA980).
As a result of the operations described above, logs that are suspected of being a Dos attack are aggregated into a differential log. Therefore, a limited storage area is maintained while retaining important information such as the attack source communication address of the Dos attack. It can be used effectively.

(C:変形例)
以上、本発明の1実施形態について説明したが、かかる実施形態に以下に述べるような変形を加えても良いことは勿論である。 (C: Modification)
Although one embodiment of the present invention has been described above, it is needless to say that the embodiment may be modified as described below.

(1)上記実施例においては、監査ログ生成装置は画像処理装置に対して設けられていたが、設置対象はもちろん画像処理装置に限定されず、さまざまな電子機器に対して設置することができる。
(2)上記実施例においては、本発明に係る画像処理装置に特徴的な機能をソフトウェアモジュールで実現する場合について説明したが、上記各機能を担っているハードウェアモジュールを組み合わせて本発明に係る監査ログ生成装置を構成するようにしても良いことは勿論である。 (1) In the above embodiment, the audit log generation apparatus is provided for the image processing apparatus. However, the installation target is not limited to the image processing apparatus, and can be installed for various electronic devices. .
(2) In the above embodiment, the case has been described where the functions characteristic of the image processing apparatus according to the present invention are realized by software modules. However, the present invention is based on a combination of hardware modules having the above functions. Of course, the audit log generation device may be configured.

(3)上記実施例においては、記録方式選択手段710は、処理要求装置300aまたは画像処理装置200のUI部250から受信したリクエストに含まれるコマンドによって監査ログの記録方式を選択した。しかし、監査ログとして記録すべき事象には、コマンドに対応付けられないものも存在する。上述したDoS攻撃はその一例である。したがって実施例に示した事象以外にも、以下に挙げるような場合などにログを作成してもよい。ユーザが認証エラーを連続して行った場合、ユーザが大量の画像読取・画像形成・画像転送を行った場合、画像処理装置200にインストールされたウイルス等の検知プログラムがウイルスを検知した場合、画像処理装置200に対してポートスキャンや認証チャレンジなどの疑わしいネットアクセスがあったりした場合などである。以上は、図5に示した記録方式選択テーブルと合わせることにより、図9に示したテーブルにまとめられる。 (3) In the above embodiment, the recording method selection unit 710 selects the audit log recording method by the command included in the request received from the processing requesting device 300a or the UI unit 250 of the image processing device 200. However, some events that should be recorded as audit logs are not associated with commands. The DoS attack described above is an example. Therefore, in addition to the events shown in the embodiment, a log may be created in the following cases. When the user performs authentication errors continuously, when the user performs a large amount of image reading / image formation / image transfer, when a detection program such as a virus installed in the image processing apparatus 200 detects a virus, This is the case when there is a suspicious net access such as a port scan or an authentication challenge to the processing device 200. The above is summarized in the table shown in FIG. 9 by combining with the recording method selection table shown in FIG.

(4)上記実施例においては、LAN(Local area network)に接続された処理要求装置300aから、通信網500を介して画像処理装置200に対しリクエストが送信された場合などについて説明をしたが、インターネットなどの外部ネットワーク400上に接続された処理要求装置300bからのリクエストやアクセスについても処理要求装置300aからのリクエストやアクセスと同様に対応することができる。 (4) In the above embodiment, a case has been described in which a request is transmitted from the processing requesting device 300a connected to a LAN (Local Area Network) to the image processing device 200 via the communication network 500. Requests and accesses from the processing request apparatus 300b connected on the external network 400 such as the Internet can be handled in the same manner as requests and accesses from the processing request apparatus 300a.

本実施形態に係る監査ログ生成装置を有する画像処理装置が接続された情報処理システムの構成を示した図である。It is the figure which showed the structure of the information processing system to which the image processing apparatus which has an audit log production | generation apparatus which concerns on this embodiment was connected. 本実施形態に係る監査ログ生成装置を有する画像処理装置のハードウェア構成を示した図である。It is the figure which showed the hardware constitutions of the image processing apparatus which has an audit log production | generation apparatus concerning this embodiment. 監査ログ生成装置の構成を示した図である。It is the figure which showed the structure of the audit log production | generation apparatus. 監査ログ生成装置の機能構成を示したブロック図である。It is the block diagram which showed the function structure of the audit log production | generation apparatus. 監査事象に応じた監査ログの記録方式を示した記録方式選択テーブルである。It is a recording method selection table showing an audit log recording method according to an audit event. 監査ログ生成装置による監査事象のログ記録処理過程を示したフローチャートである。It is the flowchart which showed the log recording processing process of the audit event by the audit log generation device. 監査ログ生成装置によるDoS攻撃の差分ログの生成過程を示したフローチャートである。It is the flowchart which showed the production | generation process of the difference log of the DoS attack by the audit log production | generation apparatus. 監査ログ生成装置が生成した監査ログの内容である。This is the content of the audit log generated by the audit log generation device. 監査事象に応じた監査ログの記録方式をまとめたテーブルである。It is a table that summarizes the audit log recording method according to the audit event.

符号の説明Explanation of symbols

10…監査事象記録プログラム、100…情報処理システム、200…画像処理装置、210…制御部、220…通信IF部、230…情報処理部、240…記憶部、250…UI部、260…システムバス、300a、300b…処理要求装置、400…外部ネットワーク、500…通信網、600…監査ログ生成装置、610…CPU、620…ROM、630…RAM、640…入出力部、650…バス、700…監査事象検知手段、710…記録方式選択手段、720…ログ生成手段、730…監査ログ書き込み手段、740…空き領域検知手段、750…DoS攻撃検知手段、760…ログ圧縮手段、770…ログ削除手段、780…カウンタ DESCRIPTION OF SYMBOLS 10 ... Audit event recording program, 100 ... Information processing system, 200 ... Image processing apparatus, 210 ... Control part, 220 ... Communication IF part, 230 ... Information processing part, 240 ... Memory | storage part, 250 ... UI part, 260 ... System bus , 300a, 300b ... processing request device, 400 ... external network, 500 ... communication network, 600 ... audit log generation device, 610 ... CPU, 620 ... ROM, 630 ... RAM, 640 ... input / output unit, 650 ... bus, 700 ... Audit event detection means, 710 ... Recording method selection means, 720 ... Log generation means, 730 ... Audit log writing means, 740 ... Free space detection means, 750 ... DoS attack detection means, 760 ... Log compression means, 770 ... Log deletion means 780 ... Counter

Claims (5)

複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくともそのリクエストの要求元および要求内容を表すデータを前記電子機器から受取る受取り手段と、
前記複数種の処理ごとにその処理の実行履歴であるログの記載項目および記載形式が規定されたテーブルと、
前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの記載項目および記載形式を選択し、そのログを生成する生成手段と
を有することを特徴とする監査ログ生成装置。 A receiving means for receiving from the electronic device at least the request source and request content of the request every time the electronic device that executes any of a plurality of types of processing in response to an external request receives the request;
A table in which a description item and a description format of a log that is an execution history of the processing are defined for each of the plurality of types of processing;
Generating means for comparing the data received by the receiving means with the contents of the table, selecting a description item and description format of a log of processing executed by the electronic device according to the request content, and generating the log; An audit log generation device characterized by comprising: 前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、
前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記電子機器が不正アクセスを受けていることを示すログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、
不正アクセスを受けたことを示すログが含まれていると前記判定手段により判定された場合に、該当するログを不正アクセスを示すログとして予め定められた形式のログへ変換する変換手段と
を有することを特徴とする請求項1に記載の監査ログ生成装置。 Writing means for writing the log generated by the generating means to the storage device in the order of generation;
When a predetermined number of logs are written to the storage device by the writing means, a log indicating a predetermined number of logs stored in the storage device indicating that the electronic device has received unauthorized access Determining means for determining whether or not included in,
Conversion means for converting a corresponding log into a log in a predetermined format as a log indicating unauthorized access when the determination means determines that a log indicating that unauthorized access has been received is included. The audit log generation device according to claim 1. 前記不正アクセスはDoS攻撃であり、前記不正アクセスを受けたことを示すログはDoS攻撃を受けていることを示す複数のログをそれらに含まれる共通のデータを省略した単一のログであること
を特徴とする請求項2に記載の監査ログ生成装置。 The unauthorized access is a DoS attack, and the log indicating that the unauthorized access has been received is a single log obtained by omitting a plurality of logs indicating that the DoS attack has been received and common data included therein. The audit log generation device according to claim 2. コンピュータ装置に、
複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくともそのリクエストの要求元および要求内容を表すデータを前記電子機器から受取る第1のステップと、
前記複数種の処理の各々に対応づけてその処理の実行履歴であるログの記載項目および記載形式が規定されたテーブルの内容と前記受け取り手段により受取ったデータとを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの記載項目および記載形式を選択し、そのログを生成する第2のステップと
を実行させることを特徴とする監査事象記録プログラム。 Computer equipment,
A first step of receiving, from the electronic device, at least data indicating the request source and request contents of the request every time the electronic device that executes any of a plurality of types of processing in response to an external request receives the request;
The contents of the table in which the description items and description format of the log, which is the execution history of the processes in association with each of the plurality of types of processes, are compared with the data received by the receiving means, and according to the request contents And a second step of selecting a description item and a description format of a log of processing executed by the electronic device and generating the log. 外部からのリクエストに応じて画像処理を実行する画像処理手段と、
前記リクエストを受取る度に少なくともそのリクエストの要求元および要求内容を表すデータを受取る受取り手段と、前記リクエストの各々に対応づけてその処理の実行履歴であるログの記載項目および記載形式が規定されたテーブルと、前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記画像処理手段が実行する処理のログの記載項目および記載形式を選択し、そのログを生成する生成手段とを有する監査ログ生成装置と
を備えることを特徴とする画像処理装置。 Image processing means for executing image processing in response to an external request;
Each time a request is received, receiving means for receiving at least the request source and data indicating the request contents, and a description item and description format of a log that is an execution history of the processing are defined in association with each request. Compare the table, the data received by the receiving means, and the contents of the table, select the description item and description format of the processing log executed by the image processing means according to the requested content, and generate the log An image processing apparatus comprising: an audit log generation device having a generation means for performing
JP2006173000A 2006-06-22 2006-06-22 Audit log generation device, audit event recording program, and image processing device Expired - Fee Related JP4967473B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006173000A JP4967473B2 (en) 2006-06-22 2006-06-22 Audit log generation device, audit event recording program, and image processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006173000A JP4967473B2 (en) 2006-06-22 2006-06-22 Audit log generation device, audit event recording program, and image processing device

Publications (2)

Publication Number Publication Date
JP2008003862A true JP2008003862A (en) 2008-01-10
JP4967473B2 JP4967473B2 (en) 2012-07-04

Family

ID=39008186

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006173000A Expired - Fee Related JP4967473B2 (en) 2006-06-22 2006-06-22 Audit log generation device, audit event recording program, and image processing device

Country Status (1)

Country Link
JP (1) JP4967473B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009282772A (en) * 2008-05-22 2009-12-03 Hitachi Ltd Method of preparing audit trail file and execution apparatus thereof
US11973912B2 (en) 2022-09-15 2024-04-30 Sharp Kabushiki Kaisha Image processing apparatus, log information management system, and log information management method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002215432A (en) * 2001-01-16 2002-08-02 Murata Mach Ltd Server device
JP2002269333A (en) * 2001-03-09 2002-09-20 Vivarium Inc Work efficiency improving method in using information processing device
JP2005191686A (en) * 2003-12-24 2005-07-14 Canon Inc Image forming apparatus, operation history storage method, and computer program
JP2005250802A (en) * 2004-03-03 2005-09-15 Toshiba Solutions Corp Device and program for detecting improper access
JP2006048332A (en) * 2004-08-04 2006-02-16 Ricoh Co Ltd Apparatus, method and program for managing log, and storage medium

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002215432A (en) * 2001-01-16 2002-08-02 Murata Mach Ltd Server device
JP2002269333A (en) * 2001-03-09 2002-09-20 Vivarium Inc Work efficiency improving method in using information processing device
JP2005191686A (en) * 2003-12-24 2005-07-14 Canon Inc Image forming apparatus, operation history storage method, and computer program
JP2005250802A (en) * 2004-03-03 2005-09-15 Toshiba Solutions Corp Device and program for detecting improper access
JP2006048332A (en) * 2004-08-04 2006-02-16 Ricoh Co Ltd Apparatus, method and program for managing log, and storage medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009282772A (en) * 2008-05-22 2009-12-03 Hitachi Ltd Method of preparing audit trail file and execution apparatus thereof
US11973912B2 (en) 2022-09-15 2024-04-30 Sharp Kabushiki Kaisha Image processing apparatus, log information management system, and log information management method

Also Published As

Publication number Publication date
JP4967473B2 (en) 2012-07-04

Similar Documents

Publication Publication Date Title
US8533468B2 (en) Image forming apparatus, launching method of program in the apparatus, image forming system, and program and storage medium therefor
US7827220B2 (en) Image log recording system, control method therefor, and storage medium storing a control program therefor, that store image logs and control transfer settings for transmitting image logs to an image processing server
US8479058B2 (en) Information processor and information processing method
US8582142B2 (en) Image processing system
US20090083317A1 (en) File system, data processing apparatus, file reference method, and storage medium
US8452194B2 (en) System, image processing apparatus, image forming apparatus, and method thereof
JP2011035675A (en) Data processing system and method of controlling the same
JP2006041764A (en) Log recording apparatus, log recording program, and recording medium
JP2008152499A (en) Image formation restriction control system, image formation restriction control program and recording medium
US9832340B2 (en) Image forming apparatus and method of performing error notification and error recovery functions in image forming apparatus
JP2011138348A (en) Information processing apparatus, control method of the same, and computer program
JP4967473B2 (en) Audit log generation device, audit event recording program, and image processing device
JP2008165606A (en) Electronic equipment and program to be executed by computer
JP5929384B2 (en) Information processing apparatus and information processing program
JP5847120B2 (en) Internet facsimile machine
US9961232B2 (en) Image forming device having different ways of storing preview data
JP2008234125A (en) Information processor, information processing method, program, and recording medium
JP2008048084A (en) Image processor, image processing record management device, and program
JP2008117021A (en) Print data management device, print data management program, and recording medium
JP7102969B2 (en) Image forming system, image forming apparatus, and image forming method
US11301185B2 (en) Method for managing log generated in image forming apparatus
US10795625B2 (en) Image forming apparatus, reservation job managing and control performance restoration
JP4711140B2 (en) Setting terminal, management device, management system, and program
JP6962159B2 (en) Server, data generation method for reproduction and data generation program for reproduction
JP2023163807A (en) Image processing apparatus, method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110920

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120306

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120319

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150413

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees