JP2008097484A - ログ管理システムおよびフォレンジック調査方法 - Google Patents
ログ管理システムおよびフォレンジック調査方法 Download PDFInfo
- Publication number
- JP2008097484A JP2008097484A JP2006281038A JP2006281038A JP2008097484A JP 2008097484 A JP2008097484 A JP 2008097484A JP 2006281038 A JP2006281038 A JP 2006281038A JP 2006281038 A JP2006281038 A JP 2006281038A JP 2008097484 A JP2008097484 A JP 2008097484A
- Authority
- JP
- Japan
- Prior art keywords
- log
- file
- event
- management system
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】
ログとして取得するファイルの管理を容易化し、インシデント発生後に迅速に調査が可能なログ管理システムを提供する。
【解決手段】
クライアント100にコンピュータ上で発生するイベントを監視しイベントログを出力する監視プログラム101と、イベントに関連するファイルを保全し実ファイルログを出力する保全プログラム102とを設置する。保全プログラム102が、対ファイルを複製する時に、そのファイルのファイル内容からその特徴値を算出し、監視プログラム101が、イベントログにファイルの特徴値を記録する。サーバ110は、ログを回収、検索する回収プログラム111と検索プログラム112とを備える。プログラム112が、記録された特徴値と、実ファイルログに格納される実ファイルのファイル名とを比較することで、イベントログと実ファイルログとを関連付け、検索結果を表示する。
【選択図】図1
ログとして取得するファイルの管理を容易化し、インシデント発生後に迅速に調査が可能なログ管理システムを提供する。
【解決手段】
クライアント100にコンピュータ上で発生するイベントを監視しイベントログを出力する監視プログラム101と、イベントに関連するファイルを保全し実ファイルログを出力する保全プログラム102とを設置する。保全プログラム102が、対ファイルを複製する時に、そのファイルのファイル内容からその特徴値を算出し、監視プログラム101が、イベントログにファイルの特徴値を記録する。サーバ110は、ログを回収、検索する回収プログラム111と検索プログラム112とを備える。プログラム112が、記録された特徴値と、実ファイルログに格納される実ファイルのファイル名とを比較することで、イベントログと実ファイルログとを関連付け、検索結果を表示する。
【選択図】図1
Description
本発明は、業務を遂行するための利用者端末を対象に、情報漏洩などのインシデント発生後に迅速かつ効率的に調査可能なログ管理技術に関する。
近年ITの普及やITを利用して業務を遂行する機会の増加により、個人情報や財務データなどを対象にITを使って作成し蓄積することが行われている。それに伴い、犯行手段の一つとしてITを利用する機会も増加し、その結果、ITを使った犯行を対象とする調査の重要性が増しており、「コンピュータフォレンジック」と呼ばれる調査技術が知られるようになっている。
コンピュータフォレンジックでは、特許文献1にあるように、ネットワークを経由して安全にサーバからクライアントの完全なイメージを証拠として保全する。しかし、例えば証拠隠滅のためにファイルを完全削除された場合には、いくら完全なイメージを保全したとしても調査を行うことができなくなる。そのため、日常的にログを取得しておくことも重要であると言える。
このような日常的に取得するログには、いくつかの種類があるが、特許文献2によれば、印刷データを全てサーバ経由で印刷して印刷ログを取得し、印刷データおよび印刷ログを蓄積保管し、情報漏洩が起きたときに追跡できるようにしている。このようにログとして実ファイルまで取得し保管するためには、ファイル管理が必要となる。
ログとして取得する実ファイルの管理に関し、特許文献3のファイル管理システムによると、新規にファイルを登録する場合に、すでに登録済みのファイルと同名であるかどうか、内容が一致するかどうかを調べた後に、利用されていない新たなIDを割り振るというファイル登録処理を行い、管理している。
しかしながら、特許文献3に開示されているファイル管理システムでは、クライアントとサーバが常に通信し合い、クライアントで扱うファイルをサーバでリアルタイムに集中管理するシステム構成が想定されており、クライアントとサーバが常に通信し合うとは限らない環境、例えば、クライアントが個別に実ファイルをログとして取得し、定期的あるいは不定期にサーバに一括してファイルを転送するというシステム構成のことは想定されていなかった。
そこで、本発明の目的は、ログとして取得するファイルの管理を容易化し、省スペース化を図ると共に、インシデント発生後に迅速に調査が可能なログ管理システムおよびフォレンジック調査方法を提供することにある。
本発明は、クライアントで発生するイベントを監視し、イベントに関連するファイルを含めたログをサーバで管理するログ管理システムとして、クライアントは、イベントを監視し、イベントログを出力するイベント監視部と、イベントに関連するファイルを保全し、実ファイルログを出力するファイル保全部とを有し、このファイル保全部は、ファイル名が同じであるが内容の異なるファイルを別々のファイルとして管理すると共に、等しい内容を持つファイルを単一のファイルとして扱い、サーバは、これらイベントログと実ファイルログをサーバに回収するログ回収部と、回収したイベントログと実ファイルログを検索するログ検索部とを有し、このログ検索部は、ファイル名が同じであるが内容の異なるファイルをイベントログと関連付けて別のファイルとして検索結果を出力し、等しい内容を持つファイルをイベントログと関連付けて別のファイルとして検索結果を出力するログ管理システムを提供する。
また、本発明は、クライアントのコンピュータで発生するイベントを、イベントに関連するファイルを含めてログとし、ログをサーバで集中管理するログ管理システムを用いたフォレンジック調査方法であって、ログ管理システムは、
発生したイベントを時系列に記録した結果を保存するイベントログ保存部と、イベントに関連するファイルを実ファイルログとして保存する実ファイルログ保存部と、イベントログと実ファイルログとを検索するログ検索部とを有し、このログ検索部を用いてインシデントに関係するイベントを絞り込むことによってフォレンジック調査を実行するフォレンジック調査方法を提供する。
発生したイベントを時系列に記録した結果を保存するイベントログ保存部と、イベントに関連するファイルを実ファイルログとして保存する実ファイルログ保存部と、イベントログと実ファイルログとを検索するログ検索部とを有し、このログ検索部を用いてインシデントに関係するイベントを絞り込むことによってフォレンジック調査を実行するフォレンジック調査方法を提供する。
更に、このフォレンジック調査方法において、ログ管理システムに、コンピュータ上のメモリ領域および記憶領域をビット単位でフォレンジックイメージとして取得して保全するフォレンジックイメージ保全部と、フォレンジックイメージを解析するフォレンジック解析部を追加して設置し、ログ検索部を用いてインシデントに関係するイベントを絞り込み、絞り込まれたイベントに関連する前記フォレンジックイメージをフォレンジック解析部で解析するフォレンジック調査方法を提供する。
更にまた、このフォレンジック調査方法において、ログ管理システムに、物理的な監視を行い監視結果を記録するフィジカル監視部と、監視結果を検索するフィジカルログ検索部を追加設置し、ログ検索部を用いてインシデントに関係するイベントを絞り込み、絞り込まれたイベントに関連する監視結果をこのフィジカルログ検索部で検索するフォレンジック調査方法を提供する。
本発明によれば、ログとして取得する実ファイルについて、同一ファイル名でも内容の異なる場合には個別に管理し、さらには等しい内容を持つファイルを単一のファイルとして扱うファイル管理を容易化し、省スペース化を図ることができる。
本発明により、例えばクライアントでファイルが完全削除され証拠隠滅されたとしても、何のファイルを削除したのかをイベントログおよび実ファイルログの両方を使って効率的にフォレンジック調査することができる。
以下、本発明の実施形態について、適宜、図面を参照しながら詳しく説明する。
図1は、本発明の第一の実施例に係るログ管理システムの全体構成を示した図である。図1に示すように、ログ管理システム1は、クライアント100(クライアント100aおよび100b)、ログ管理サーバ110を含んで構成され、クライアント100aおよび100b、ログ管理サーバ110は、ネットワーク125を介して接続される。クライアント100aはユーザ130aが使用し、前記クライアント100bはユーザ130bが使用する端末であり、またログ管理サーバ110は管理者131が使用する端末である。なお、クライアント100aを利用する者がユーザ130aであると識別することは、図示していないクライアント100aの持つ識別・認証プログラムによって実現される。
ログ管理システム1には、ファイルサーバ121、プリンタ122、メールサーバ123、プロキシサーバ124も接続されており、これらはクライアント100aや100bと通信することで、ユーザ130aおよび130bが業務を遂行するものである。また、クライアント100aおよび100bはネットワーク125に常時接続しているとは限らず、必要に応じてネットワークから切断されることがあっても良い。更に、フォレンジックサーバ140とカメラ150もログ管理システム1に接続されているが、これらは第一の実施例では使用されず、第二の実施例において使用される。
クライアント100aと100b上では、イベント監視プログラム101、ファイル保全プログラム102がそれぞれ動作し、クライアント100aと100bで発生するファイル削除などのイベントを監視し、それに伴うログを出力する。またクライアント100aと100bは、イベントログDB103、特徴値リストDB104、実ファイルログDB105、設定情報DB106を保持する。なお、フォレンジックエージェントプログラム107についても第一の実施例では使用しない。
またログ管理サーバ110上では、ログ回収プログラム111、ログ検索プログラム112が動作し、クライアント100aおよび100bで出力したログを回収すると共に、管理者131がログを検索するためのインタフェースを提供する。またログ管理サーバ110は、イベントログDB113、特徴値リストDB114、実ファイルログDB115、設定情報DB116、監視対象DB117を保持する。
図2は、本実施例に係るクライアント100の一例のブロック構成を示した図である。図2に示すように、クライアント100は、中央処理部(CPU)201、メモリ202、記憶装置203、通信部204、表示部205、操作部206、可搬媒体接続部207などを含み、さらにそれらがバス208を介して相互に接続されて構成されたコンピュータからなる。
ここで、メモリ202は、半導体メモリのRAM(Random
Access Memory)などで構成され、CPU201が実行するプログラムがロードされる。記憶装置203は、電源をオフにしても記憶されたデータが保存されるハードディスクなどによって構成される。本明細書において、メモリ202と記憶装置203は記憶部と総称される場合がある。通信部204は、TCP/IP(Transmission Control
Protocol/Internet Protocol)や独自のプロトコルなどを利用し、イーサネット(登録商標)や無線ローカルエリアネットワーク(LAN)などによるネットワーク125を介して、ログ管理サーバ110などと通信する装置によって構成される。表示部205は、LCD(Liquid
Crystal Display)などで構成され、CPU201が処理した結果などを表示する装置である。操作部206は、キーボードやマウスなどの入力装置によって構成される。可搬媒体接続部207は、USBフラッシュメモリを接続するためのUSBインタフェースや、CD−RやDVD−Rへの書き込みを行うためのディスクドライブなどで構成される。
Access Memory)などで構成され、CPU201が実行するプログラムがロードされる。記憶装置203は、電源をオフにしても記憶されたデータが保存されるハードディスクなどによって構成される。本明細書において、メモリ202と記憶装置203は記憶部と総称される場合がある。通信部204は、TCP/IP(Transmission Control
Protocol/Internet Protocol)や独自のプロトコルなどを利用し、イーサネット(登録商標)や無線ローカルエリアネットワーク(LAN)などによるネットワーク125を介して、ログ管理サーバ110などと通信する装置によって構成される。表示部205は、LCD(Liquid
Crystal Display)などで構成され、CPU201が処理した結果などを表示する装置である。操作部206は、キーボードやマウスなどの入力装置によって構成される。可搬媒体接続部207は、USBフラッシュメモリを接続するためのUSBインタフェースや、CD−RやDVD−Rへの書き込みを行うためのディスクドライブなどで構成される。
以上のように構成されたクライアント100は、さらに、イベント監視プログラム101、ファイル保全プログラム102などの機能ブロックを備える。これらの機能ブロックの機能は、CPU201が記憶装置203から所定のプログラムを前記メモリ202にロードし、実行することによって実現される。
また、これら所定のプログラムは、可搬媒体から可搬媒体接続部207を介して、或いはネットワーク125から通信部204を介してクライアント100の記憶部に導入される場合もある。これらの機能ブロックの機能として、CPU201が実行する処理の詳細について、後述する図6を用いて説明する。また、記憶装置203には、前記イベントログDB103、特徴値リストDB104、実ファイルログDB105、設定情報DB106を保持するが、これらの詳細について、後述する図3と図4を用いて説明する。
また、これら所定のプログラムは、可搬媒体から可搬媒体接続部207を介して、或いはネットワーク125から通信部204を介してクライアント100の記憶部に導入される場合もある。これらの機能ブロックの機能として、CPU201が実行する処理の詳細について、後述する図6を用いて説明する。また、記憶装置203には、前記イベントログDB103、特徴値リストDB104、実ファイルログDB105、設定情報DB106を保持するが、これらの詳細について、後述する図3と図4を用いて説明する。
また図示していないが、ログ管理サーバ110のブロック構成も図2と同様のものとなるが、可搬媒体接続部207は必ずしも含まなくて良い。さらに、ログ管理サーバ110は、ログ回収プログラム111、ログ検索プログラム112などの機能ブロックを備える。これらの機能ブロックの機能は、ログ管理サーバ110内のCPUが記憶部に記憶された所定のプログラムを実行することによって実現される。これら所定のプログラムは、ネットワーク125や可搬媒体を介して記憶部に導入される場合もあることは上述の通りである。
これらの機能ブロックの処理の詳細について、後述する図7と図8を用いて説明する。また、記憶装置203には、イベントログDB113、特徴値リストDB114、実ファイルログDB115、設定情報DB116、監視対象DB117を保持するが、これらの詳細について、図3と図4を用いて説明する。
さて、図3は、イベントログDB103および113、特徴値リストDB104および114、実ファイルログDB105および115を示した図である。図3の(a)に示すように、イベントログDB103および113は、列に日時301、マシンID302、ユーザID303、イベント304、ドライブ情報305、パス306、ファイル名307、ファイル種別308、特徴値309、予備310を持つ、0個以上の行からなるテーブルの構成をとる。
図3の(b)に示すように、特徴値リストDB104および114は、ファイルの特徴値330を1行当たり1個記載している、0個以上の特徴値からなる単一ファイルである。図3の(c)に示すように、実ファイルログDB105および115は、ファイル内容321を持ちファイル名320で一意に識別される実ファイルを、0個以上保持するフォルダである。
図4は、設定情報DB106および116と、監視対象DB117を示した図である。図4の(a)に示すように、設定情報DB106および116は、対象イベントテーブル400と対象ファイルテーブル410とからなる。対象イベントテーブル400は、列に対象イベント401と取得フラグ402を持つ、0個以上の行からなるテーブルの構成をとる。また、対象ファイルテーブル410は、列に対象ファイル種別411、マジックナンバ412、取得フラグ413を持つ、0個以上の行からなるテーブルの構成をとる。
図4の(b)に示すように、監視対象DB117は、監視対象とするクライアントの識別子420を1行当たり1個記載している、0個以上のクライアントの識別子からなる単一ファイルである。なお、識別子420としては、クライアント100に割り当てたマシン名、IPアドレス、MACアドレスほか、クライアント100を一意に特定可能な情報のうちのいずれか1つであれば良い。図3の(a)に示したイベントログDB103および113の列のうち、マシンID302には監視対象DB117の識別子420を格納する。これにより、マシンID302を見れば、クライアント100を一意に特定することができる。
また図3の(a)のイベント304には、対象イベントテーブル400の対象イベント401の列のうちのいずれか一つの対象イベントを格納する。このような対象イベント401には、次に示すものがあるが、これだけに限らない。
(1)削除
・ファイル削除
(2)エクスポート
・印刷
・可搬記録媒体(USBメモリ、CD−R、DVD−Rなど)への書き出し
・メールに添付し送信
・ネットワークファイル共有でのアップロード
・Webブラウザでのアップロード
・ネットワークプログラム(FTPなど)でのアップロード
(3)インポート
・可搬記録媒体(USBメモリ、CD−ROM、DVD−ROM)からの読み込み
・メール添付されたファイルの保存
・ネットワークファイル共有でのダウンロード
・Webブラウザでのダウンロード
・ネットワークプログラム(FTPなど)でのダウンロード
(4)設定変更
・レジストリ変更
・設定ファイル変更
またドライブ情報305には「固定ディスク」「リムーバブルディスク」「ネットワークドライブ」「CD−ROMドライブ」「RAMディスク」のいずれか一つを格納する。またファイル種別308には、対象ファイル種別テーブル411の対象ファイル種別411の列のうちいずれか一つのファイル種別を格納する。
(1)削除
・ファイル削除
(2)エクスポート
・印刷
・可搬記録媒体(USBメモリ、CD−R、DVD−Rなど)への書き出し
・メールに添付し送信
・ネットワークファイル共有でのアップロード
・Webブラウザでのアップロード
・ネットワークプログラム(FTPなど)でのアップロード
(3)インポート
・可搬記録媒体(USBメモリ、CD−ROM、DVD−ROM)からの読み込み
・メール添付されたファイルの保存
・ネットワークファイル共有でのダウンロード
・Webブラウザでのダウンロード
・ネットワークプログラム(FTPなど)でのダウンロード
(4)設定変更
・レジストリ変更
・設定ファイル変更
またドライブ情報305には「固定ディスク」「リムーバブルディスク」「ネットワークドライブ」「CD−ROMドライブ」「RAMディスク」のいずれか一つを格納する。またファイル種別308には、対象ファイル種別テーブル411の対象ファイル種別411の列のうちいずれか一つのファイル種別を格納する。
更に、図3の(a)特徴値309にはファイルの特徴値を格納するが、本特徴値の算出については、ファイルの詳細構造を示した図5を用いて詳細に説明する。
図5において、ファイルは、ファイル管理情報501とファイル内容321とで構成され、ファイル管理情報501の保持する情報の一つに上述したファイル名320が含まれる。ファイル内容321の先頭の数バイト(一般的には4バイトあるいは8バイト)は、ファイルの種別ごとに決まっているマジックナンバ502である。また、ファイル内容321の一部には、例えばワープロファイルやスプレッドシートファイルやプレゼンテーションファイルなどの場合に、メタデータ503と呼ばれるデータを含む場合がある。
図5において、ファイルは、ファイル管理情報501とファイル内容321とで構成され、ファイル管理情報501の保持する情報の一つに上述したファイル名320が含まれる。ファイル内容321の先頭の数バイト(一般的には4バイトあるいは8バイト)は、ファイルの種別ごとに決まっているマジックナンバ502である。また、ファイル内容321の一部には、例えばワープロファイルやスプレッドシートファイルやプレゼンテーションファイルなどの場合に、メタデータ503と呼ばれるデータを含む場合がある。
上述の特徴値309は、図5で示すファイルの詳細構造のうち、例えばファイル内容321をSHA(Secure Hash Algorithm)1やMD(Message Digest)5などのハッシュ関数の入力とし、その出力として得られた値を用いる。これにより、ファイル名320が変更されたとしても、特徴値309は変わらないものとなる。このような特徴値309の算出方法によると、例えばワープロファイルをオープンし、一文字追加し同じ文字を削除し保存した場合には、メタデータ503に含まれる改定番号が変更されるために、ファイルサイズや見た目は変わらないが、特徴値309は変更されてしまう。
あるいは特徴値309として、例えばファイル内容321から前記メタデータ503を除いた部分をSHA1やMD5などのハッシュ関数の入力とし、その出力として得られた値を用いても良い。このような特徴値309の算出方法によると、例えばワープロファイルをオープンし、一文字追加し同じ文字を削除し保存した場合にも、特徴値309は変わらないものとなる。
また図4の(a)に示した対象ファイル種別テーブル411に含まれるマジックナンバ412は、図5に示したファイルの詳細構造のうち、ファイル内容321の先頭の数バイトであるマジックナンバ502を表すものである。
以上、ログ管理システム1のシステム構成およびデータ構造を説明してきたが、続いてイベント監視プログラム101、ファイル保全プログラム102、ログ回収プログラム111、ログ検索プログラム111それぞれの詳細な処理フローの一実施例を図面を用いて説明する。
図6は、クライアント100で動作するイベント監視プログラム101とファイル保全プログラム102の詳細な処理フローの一実施例を示したものである。
イベント監視プログラム101は、ログ出力処理を開始すると、ステップ601において、設定情報DB106の対象イベントテーブル400を参照し、取得フラグ402がONとなっている対象イベント401の全てを監視する。このとき、対象イベントを検出した場合には、どのファイルに対するイベントであるかも検出する。
つぎにステップ602において、ステップ601で検出したファイルが、取得対象であるかどうかを設定情報DB106の対象ファイル種別テーブル410を参照して行う。ファイルは図5で説明したように、そのファイル内容321の先頭の数バイトにはマジックナンバ502と呼ばれるファイルの種別ごとに決められた値が格納されている。マジックナンバ502を見つけ、対象ファイル種別テーブル410のマジックナンバ412の列にあるものと一致するかどうかを調べる。さらに一致した場合には、取得フラグ413がONであるかどうかを調べる。このようにして取得対象であるかどうかを判定する。もし取得対象でないならば、ステップ601に戻る。取得対象ならば次のステップ603に進む。
ステップ603では、ステップ601で検出したイベントに応じて分岐を行う。もし、イベントが(1)削除、(2)エクスポートである場合には、次のステップ604に進む。もしイベントが(3)インポート、(4)設定変更である場合には、次のステップ605に進む。
ステップ604では、ステップ601で検出したイベントを一時的にロックする。これにより、削除やエクスポートしようとするイベントに対し、ファイルがクライアント100上に存在するように保全してから、ファイル保全プログラムのステップ606に進む。
一方、ステップ605では、ステップ601で検出したイベントが完了するまで待機する。これにより、インポートや設定変更をおこなうイベントに対し、ファイルがクライアント100上に存在するようにしてから、ファイル保全プログラムのステップ606に進む。
ステップ606では、ファイル保全プログラム102が、ファイルの特徴値を算出する。ファイルは図5で説明したように、ファイル管理情報501とファイル内容321とから構成されるが、特徴値はファイル管理情報501を除いて算出する。ステップ607では、ステップ606で算出した特徴値が、特徴値リスト104にあるかどうかを調べる。もし特徴値リスト104にあるならば、イベント監視プログラムのステップ610に進む。もし特徴値リスト104にないならば、次のステップ608に進む。
ステップ608では、ステップ606で特徴値を算出したファイルをコピーし、実ファイルログDB105に複製を作る。さらに、複製したファイルのファイル名320を、ステップ606で算出した特徴値の文字列に変更する。ステップ609では、ステップ606で算出した特徴値を、特徴値リストDB104に追加する。
ステップ610では、再びイベント監視プログラム101の処理に戻り、ステップ604でロックしたイベントの処理を解除する。ステップ611では、イベントログDB103にイベントログを出力する。なお、図3の(a)に示したイベントログDB103の列の一つである予備310には、例えば以下に示す情報を格納する。
・印刷の場合には、プリンタ名や印刷枚数など
・メールに添付し送信の場合には、宛先メールアドレスなど
・Webブラウザでアップロードの場合には、接続していたURLなど
・USBフラッシュメモリ等の可搬記録媒体への書き出しの場合には、そのシリアル番号など
・ネットワーク共有でのアップロードの場合には、接続先のマシン名など
以上の処理が完了すると、再びステップ601に戻り、次のイベントを監視する。このように、クライアント100において、イベント監視プログラム101とファイル保全プログラム102が連携して動作することにより、クライアント100上で発生したイベントのログをイベントログDB103に出力し、そのイベントに関係する実ファイルを実ファイルログDB105に保全することができる。
・印刷の場合には、プリンタ名や印刷枚数など
・メールに添付し送信の場合には、宛先メールアドレスなど
・Webブラウザでアップロードの場合には、接続していたURLなど
・USBフラッシュメモリ等の可搬記録媒体への書き出しの場合には、そのシリアル番号など
・ネットワーク共有でのアップロードの場合には、接続先のマシン名など
以上の処理が完了すると、再びステップ601に戻り、次のイベントを監視する。このように、クライアント100において、イベント監視プログラム101とファイル保全プログラム102が連携して動作することにより、クライアント100上で発生したイベントのログをイベントログDB103に出力し、そのイベントに関係する実ファイルを実ファイルログDB105に保全することができる。
次に図7を使って、ログ管理サーバ110のログ回収プログラム111がクライアント100からログを回収するフローの一実施例の詳細なを説明する。
ログ回収プログラム111がログ回収処理を開始すると、ステップ701において、監視対象DB117に格納する全てのクライアントからのログ回収を完了したかどうかを判定する。もし、完了したならば次のステップ706に進む。もし完了していないならば次のステップ702に進む。
ステップ702では、ログ管理サーバ110は、クライアント100と通信路を確立する。もし確立できないならば、確立できるまで何度かトライした後に、ステップ701に戻り、次のクライアントに処理を移す。ステップ702でクライアント100と通信路を確立できたならば、ステップ703において、クライアント100のイベントログDB103からイベントログを回収し、ログ管理サーバ110のイベントログDB113にイベントログを移動する。
ステップ704では、同様に実ファイルログDB105から実ファイルログを回収し、ログ管理サーバ110の実ファイルログDB115に実ファイルを移動する。このとき、同名ファイルであった場合にはログ管理サーバ110で上書きする。あるいは、上書きせずに、実ファイルログDB105にある実ファイルを削除するものであっても良い。
ステップ705において、クライアント100との通信路を切断し、ステップ701に戻り、次のクライアントに処理を移す。こうして全てのクライアントからのログ回収が完了すると、ステップ706において、実ファイルログDB115にある実ファイルのファイル名を、特徴値リストDB114に追加する。ステップ707では、ステップ706で更新した特徴値リストDB114を、クライアント全てに配布する。
以上のようにして、ログ管理サーバ110のログ回収プログラム111は、全クライアントからログを回収する。これにより、本実施例において、ログ管理システム1のクライアント100で出力されたログが、ログ管理サーバ110で集中管理できることになる。
次に図8を使って、管理者131がログ管理サーバ110のログ検索プログラム112を使って、回収したログを検索する処理フローの一実施例を詳細に説明する。
ログ検索プログラム112が起動すると、ステップ801において、ログ検索画面を表示する。ログ検索画面の一実施例を図9の(a)に示す。ログ検索画面900は、検索対象項目を指定するためのチェックボックス901〜908および912と、検索条件を詳細に指定するためのプルダウンメニュー909と、検索したいファイル名などの文字列を指定するためのエディットボックス910と、検索を開始するためのボタン911とから構成される。チェックボックス901〜908および912は、図3に示したイベントログDB113と、実ファイルログDB115とに対応して、次に示すように検索対象項目の一つ一つに設けられる。
・日時301に対応して、日時のチェックボックス901とプルダウンメニュー909が設けられる
・マシンID302に対応して、マシンIDのチェックボックス902とプルダウンメニューが設けられる
・ユーザID303に対応して、ユーザIDのチェックボックス903とプルダウンメニューが設けられる
・イベント304に対応して、イベントのチェックボックス904とプルダウンメニューが設けられる
・ファイル種別308に対応して、ファイル種別のチェックボックス905とプルダウンメニューが設けられる
・パス306およびファイル名307に対応して、ファイル名の全てまたは一部のチェックボックス906とエディットボックス910が設けられる
・ファイル内容321に対応して、ファイルに含まれる単語のチェックボックス907とエディットボックスが設けられる
・特徴値309に対応して、ファイルの特徴値のチェックボックス908とエディットボックスが設けられる
・予備310に対応して、予備のチェックボックス912とエディットボックスが設けられる。
・日時301に対応して、日時のチェックボックス901とプルダウンメニュー909が設けられる
・マシンID302に対応して、マシンIDのチェックボックス902とプルダウンメニューが設けられる
・ユーザID303に対応して、ユーザIDのチェックボックス903とプルダウンメニューが設けられる
・イベント304に対応して、イベントのチェックボックス904とプルダウンメニューが設けられる
・ファイル種別308に対応して、ファイル種別のチェックボックス905とプルダウンメニューが設けられる
・パス306およびファイル名307に対応して、ファイル名の全てまたは一部のチェックボックス906とエディットボックス910が設けられる
・ファイル内容321に対応して、ファイルに含まれる単語のチェックボックス907とエディットボックスが設けられる
・特徴値309に対応して、ファイルの特徴値のチェックボックス908とエディットボックスが設けられる
・予備310に対応して、予備のチェックボックス912とエディットボックスが設けられる。
これらのチェックボックス901〜908、912のうち、チェックをつけた検索対象項目についてAND条件で検索を、図8に示す次のステップ802および803で行っていく。ステップ802では、イベントログDB113を検索し、ステップ801で指定した検索条件に合致するイベントログを検索する。又、ステップ803では、実ファイルログDB115を検索し、ステップ801で指定した検索条件に合致する実ファイルログを検索する。
ステップ804では、ステップ802およびステップ803で検索にヒットした結果を表示する。検索結果画面の一例を図9の(b)に示す。検索結果画面920は、これまでに検索した検索条件の履歴を表示する検索履歴表示フィールド923と、検索にヒットしたイベントログを表示する検索結果表示フィールド924と、実ファイルを表示するためのファイル表示フィールド925と、再検索を行うためのメニューボタン921と、ログ取得の設定を行うためのメニューボタン922とから構成される。検索結果表示フィールド924では、検索にヒットしたイベントログが表示され、これらのイベントログは、列項目メニューにあるボタン927を押下することで、ソートすることができる。また検索履歴表示フィールド923に表示される、過去の検索条件をクリックすることで、その検索条件にヒットした検索結果を検索結果表示フィールド924に表示することができる。
ステップ805においては、管理者131が検索結果画面920上での操作に従って処理を分岐する。管理者131が検索結果表示フィールド924の一つの行928を選択した場合には、次のステップ806に進む。管理者131が設定メニューボタン922を押下した場合には、次のステップ809に進む。管理者131が再検索メニューボタン921を押下した場合には、ステップ801に戻り再検索を行う。
ステップ806では、検索結果表示フィールド924で選択された一つの行928に対し、選択行928に含まれる特徴値309を持つファイルを、実ファイルログDB115に格納される実ファイルのファイル名320を検索することで探す。ステップ807では、ステップ806で見つかった実ファイルの特徴値を再度算出し、選択行928に含まれる特徴値309と一致するかどうかを調べ、改ざんされていないかどうかを判定する。
ステップ808では、ファイル表示フィールド925に実ファイルの内容を表示する。その時、ステップ807の改ざんチェック結果を、図9のファイル表示フィールド925の表示領域上の一部929に表示する。なお、このような改ざんチェック結果の表示方法は、これだけに限らない。また、実ファイルの内容については、表示に限らず、必要に応じて他の出力機器を使って出力することも可能である。
図10は、ステップ808でファイル表示フィールド925に表示する実ファイルの一例を示したものである。実ファイルがテキストファイルの場合には、図10の(a)に示すように、ファイル表示フィールド925全体にテキスト情報1001を表示する。あるいは、実ファイルが画像ファイルの場合も同様に、ファイル表示フィールド925全体に画像情報を表示する。実ファイルがワープロファイルの場合には、図10の(b)に示すように、ワープロファイルに含まれるテキスト情報1011と、画像情報1012とを混在させて表示する。実ファイルがレジストリファイルの場合には、図10の(c)に示すように、レジストリのキーの構造を左側のペイン1021に、キーの値などを右側のペイン1022に表示する。ファイル表示フィールド925は、これらの(a)(b)(c)に限らず、その他の実ファイルであっても、適切に表示することができる。例えば、圧縮ファイルであった場合には解凍後のファイルを表示し、また暗号化ファイルであった場合には組織で保有するエスクロー鍵で復号化した結果を表示する。
さて、図8に戻り、ステップ805からの分岐の一つであるステップ809では、ログ取得のための設定画面を表示する。図11に設定画面の一実施例を示す。設定画面1100は、ログ取得対象となるイベントを指定するフィールド1101と、ログ取得対象となるファイルを指定するフィールド1102と、ログ取得対象となるファイルを追加するためのボタン1105と、設定を完了するためのボタン1106とから構成される。
対象イベント指定フィールド1101は、図4の(d)で説明した設定情報DB116の対象イベントテーブル400の一覧を表示すると共に、取得フラグ402のONとOFFとを切り替えるためのチェックボックス1103を表示する。また、対象ファイル指定フィールド1102は、図4の(d)で説明した設定情報DB116の対象ファイル種別テーブル410の一覧を表示すると共に、取得フラグ413のONとOFFとを切り替えるためのチェックボックス1104を表示する。対象ファイル指定フィールド1102に表示される一つの対象ファイル種別707を選択すると、アイテム設定画面1110を表示する。
アイテム設定画面1110は、取得フラグ413に対応したチェックボックス1111と、対象ファイル種別411に対応した入力フィールド1112と、マジックナンバ412に対応した入力フィールド1113と、対象ファイル種別テーブル410の該当する列を更新するための更新ボタン1114と、対象ファイル種別テーブル410の該当する行を削除するための削除ボタン1115とから構成される。アイテム設定画面1110は、追加ボタン1105を押下した場合にも表示する。なお、この時には、削除ボタン1115を非活性化して表示する。管理者131が設定完了ボタン1106を押下すると、次のステップ810に進む。
ステップ810では、設定情報DB116を更新する。ステップ811では、ログ管理サーバ110から、クライアント100に対して設定情報DB116を配信し、設定情報DB106を更新する。以上の処理により、図8のログ検索プログラム112はログを検索するためのインタフェースを管理者131に提供する。
これまで説明してきた第一の実施例によれば、クライアント100で情報漏洩などのインシデントが発生した場合にも、ログ管理サーバ110にあるイベントログと実ファイルログを検索することで、迅速かつ効率的に調査を行うことができ、ファイル管理が非常に単純化される。
例えば、社内の機密情報を印刷した紙が漏洩したことが分かった場合には、管理者は図9の(a)に示したログ検索画面900において、イベントのチェックボックス904にチェックをつけ、プルダウンメニューで「印刷」を選択し、ファイルに含まれる単語907にチェックをつけ、エディットボックスに漏洩した紙に含まれる文字列を入力し検索する。検索結果として表示される図9の(b)に示す検索結果画面920を参照することで、該当する印刷物を、いつ、誰が、どのクライアントで、何部印刷したのかを把握することができる。
さらに例えば、USBフラッシュメモリが盗難あるいは紛失した場合には、管理者は図9の(a)に示したログ検索画面900において、ユーザIDのチェックボックス903にチェックをつけ、プルダウンメニューで該当するユーザIDを選択し、イベントのチェックボックス904にチェックをつけ、プルダウンメニューで「可搬記録媒体への書き出し」を選択し、予備のチェックボックス912にチェックをつけ、エディットボックスにUSBフラッシュメモリのシリアル番号を入力し検索する。検索結果として表示される図9の(b)に示す検索結果画面920を参照することで、該当するUSBフラッシュメモリに書き込んだファイル名やファイル内容を調べることができる。
次に説明する本発明の第二の実施例では、図1を使って説明した実施例1に加えてさらに、フォレンジックエージェントプログラム107と、フォレンジックサーバ140とを使用する。フォレンジックエージェントプログラム107とは、クライアント100上のメモリ202に読み込まれたデータや記憶装置203にあるデータをビット単位で、即ちコンピュータ上のメモリ領域および記憶領域をビット単位でフォレンジックイメージとして取得し、フォレンジックサーバ140のフォレンジックマネージャプログラム141に送信可能なプログラムである。フォレンジックマネージャプログラム141は、フォレンジックエージェントプログラム107と通信可能であり、管理者131にフォレンジックイメージ解析などの操作インタフェースを提供するプログラムである。
実施例1で述べたようなログ管理サーバ110で、ログを検索することによりインシデント調査を行うことはできるが、イベントログDB113と実ファイルログDB115だけでは調査が行き詰った場合には、さらなるクライアント100の捜査が必要となる。例えば、図5に示したファイル詳細構造のうち、ファイル管理情報501に関する情報は、実施例1で述べたログ管理システムでは取得できない。そこで、管理者131がフォレンジックサーバ140のフォレンジックマネージャプログラム141を操作し、フォレンジックエージェントプログラム107に命令を出すことにより、クライアント100上のメモリ202や記憶装置203上のあらゆるデータをフォレンジックイメージとして取得し、フォレンジックイメージDB142に保存する。
管理者131は、フォレンジックイメージDB142を対象にフォレンジックマネージャプログラム141を使って解析することで、例えば、記憶装置上の未割り当て領域やスラック領域やメモリイメージまでも検索することが可能となる。よって、本実施例により、管理者131がクライアント100をわざわざ押収しなくても、クライアント100の詳細なフォレンジック調査を迅速に行うことができる。
本発明の第三の実施例では、図1を使って説明した実施例1に加えてさらに、物理的な監視の手段(フィジカル監視部)としてカメラ150を使用する。カメラ150は所定の撮像範囲を定期的あるいは不定期に撮影し、撮影した静止画あるいは動画を物理的な監視結果(フィジカルログ)として図示していないカメラサーバに送信する。管理者131がこのカメラサーバに記録された映像を物理的な監視結果(フィジカルログ)として図示していないフィジカルログ検索部でディスプレイ表示するなどして検索することにより、フィジカルな事象を確認することができるものである。
例えば、カメラ150はプリンタ122を撮像範囲にとらえる。これにより、クライアント100から出した印刷ジョブの結果、印刷された内容とその紙媒体を持ち出した人物を特定することまでが可能となる。また例えば、クライアント100が共用端末の場合には、ユーザ130がすべてゲストアカウントでログインすることも予想される。そこで、カメラ150で共用端末を撮像範囲にとらえる。これにより、たとえゲストアカウントでログインされたとしても、誰がログインしたのかと言ったフィジカルな事象まで、このフィジカルログを用いて特定することができる。
以上、本実施例によれば、ログ管理サーバ110のイベントログDB113や実ファイルログ115だけを検索しても分からない、とくにフィジカルな事象まで含めたインシデント調査を確実かつ効率的に行うことができる。
なお、本実施例は、第二の実施例と独立した形で説明したが、第二、第三の実施例を組み合わせることにより、より確実なインシデント調査を実施することもできることは言うまでもない。
本発明の第四の実施例では、図1を使って説明したログ管理システム1において、ASP(Application Sevice Provider)サービス形態をとる。クライアント100、ファイルサーバ121、プリンタ122、メールサーバ123、プロキシサーバ124は企業ごとに配置されるものであり、ログ管理サーバ110は、ASPサービスプロバイダに配置される。
ASPサービスプロバイダは、例えば、イベント監視プログラム101、ファイル保全プログラム102は無償で企業に配布し、企業ごとに蓄積されるイベントログ113と実ファイルログ115をログ回収プログラム111が回収し、回収した容量に応じて課金を行う。この課金処理は、図1に示したログ管理サーバ110に更に課金処理部となる課金処理プログラムを追加し、この課金処理プログラムが、各々のクライアント毎に、ログ回収プログラム111が回収したログ容量に基づき課金処理を実行することによって可能である。本実施例により、企業はログ管理サーバを構築することなく、低コストでログ管理システムを導入することができる。
以上、本発明のログ管理システムを詳述してきたが、別の観点からすれば、本発明はログ管理システムに好適な、ログ管理サーバやクライアントや、それらのためのプログラムを提供していると言うこともできる。例えば、本発明は、クライアントがイベントを監視して得たイベントログと、ファイル名が同じであるが内容の異なるファイルを別々のファイルとして管理すると共に、等しい内容を持つファイルを単一のファイルとして扱いながら、イベントに関連するファイルを保全して出力される実ファイルログとを、クライアントから回収するログ回収部と、回収したイベントログと実ファイルログを検索するログ検索部とを有し、このログ検索部は、ファイル名が同じであるが内容の異なるファイルをイベントログと関連付けて別のファイルとして検索結果を出力し、等しい内容を持つファイルをイベントログと関連付けて別のファイルとして検索結果を出力するログ管理サーバ、或いはそのプログラムを提供している。
また例えば、本発明は、イベントを監視し、イベントログを出力するイベント監視部と、ファイル名が同じであるが内容の異なるファイルを別々のファイルとして管理すると共に、等しい内容を持つファイルを単一のファイルとして扱いながら、イベントに関連するファイルを保全して実ファイルログを出力するファイル保全部とからなるクライアント(端末)、或いはそのプログラムを提供している。
上述した本発明は、クライアント(端末)で従業員が業務を遂行し、サーバでクライアントを管理するようなクライアントサーバシステムに適用できる。例えば、LAOA端末の監視や、営業用途で持ち運ぶ端末の監視や、システム管理用の端末の監視や、アウトソーシング業務で客先システムに接続して使用する端末の監視などにも適用できる。
具体的には、クライアントで印刷したファイルの内容について、ログ管理サーバは、イベントログおよび実ファイルログを使ってファイル内容の文字列検索まで行うなど、効率的に調査することができる。
また、具体的には、可搬記録媒体を盗難・紛失した場合にも、ログ管理サーバはその可搬記録媒体に入っていたファイルが何であるかを、イベントログおよび実ファイルログを使って効率的に調査することができる。
更に、具体的には、情報漏洩インシデントに関与したと推測されるクライアントが物理的に発見できないような場合にも、ログ管理サーバは、削除ファイルや、印刷ファイル、持ち出しファイルなど、インシデントに関係性の高い調査を、イベントログと実ファイルログを使って進めることができる。
1…ログ管理システム、100…クライアント、101…イベント監視プログラム、102…ファイル保全プログラム、103…イベントログDB、104…特徴値リストDB、105…実ファイルログDB、106…設定情報DB、
107…フォレンジックエージェントプログラム、110…ログ管理サーバ、
111…ログ回収プログラム、112…ログ検索プログラム、113…イベントログDB、114…特徴値リストDB、115…実ファイルログDB、116…設定情報DB、117…監視対象DB、121…ファイルサーバ、122…プリンタ、123…メールサーバ、124…プロキシサーバ、125…ネットワーク、130…ユーザ、131…管理者、140…フォレンジックサーバ、
141…フォレンジックマネージャプログラム、142…フォレンジックイメージDB、150…カメラ、201…CPU、202…メモリ、203…記憶装置、204…通信部、205…表示部、206…操作部、207…可搬媒体接続部、208…バス。
107…フォレンジックエージェントプログラム、110…ログ管理サーバ、
111…ログ回収プログラム、112…ログ検索プログラム、113…イベントログDB、114…特徴値リストDB、115…実ファイルログDB、116…設定情報DB、117…監視対象DB、121…ファイルサーバ、122…プリンタ、123…メールサーバ、124…プロキシサーバ、125…ネットワーク、130…ユーザ、131…管理者、140…フォレンジックサーバ、
141…フォレンジックマネージャプログラム、142…フォレンジックイメージDB、150…カメラ、201…CPU、202…メモリ、203…記憶装置、204…通信部、205…表示部、206…操作部、207…可搬媒体接続部、208…バス。
Claims (10)
- クライアントで発生するイベントを監視し、前記イベントに関連するファイルを含めたログをサーバで管理するログ管理システムであって、
前記クライアントは、
前記イベントを監視し、イベントログを出力するイベント監視部と、
前記イベントに関連する前記ファイルを保全し、実ファイルログを出力するファイル保全部とを有し、前記ファイル保全部は、ファイル名が同じであるが内容の異なる前記ファイルを別々のファイルとして管理すると共に、等しい内容を持つ前記ファイルを単一のファイルとして扱い、
前記サーバは、
前記イベントログと前記実ファイルログを前記サーバに回収するログ回収部と、
回収した前記イベントログと前記実ファイルログを検索するログ検索部とを有し、
前記ログ検索部は、ファイル名が同じであるが内容の異なる前記ファイルを前記イベントログと関連付けて別のファイルとして検索結果を出力し、等しい内容を持つ前記ファイルを前記イベントログと関連付けて別のファイルとして検索結果を出力する
ログ管理システム。 - 請求項1記載のログ管理システムであって、
前記ファイル保全部が、保全対象となる前記ファイルを複製する時に、前記ファイルの特徴値を算出して、複製後の前記ファイルのファイル名とし、
前記イベント監視部が、前記イベントログに前記特徴値を記録し、
前記ログ検索部が、検索結果を出力する時に、前記イベントログに記録された前記特徴値と、前記実ファイルログに格納された前記ファイルのファイル名とを比較することで、前記イベントログと前記実ファイルログとを関連付け、検索結果を出力する
ログ管理システム。 - 請求項2記載のログ管理システムであって、
前記実ファイルログに含まれる前記ファイルの前記特徴値の一覧を保持する特徴値リストを備え、
前記特徴値リストを、前記ファイル保全部が前記実ファイルログを出力するときと、前記ログ回収部が前記イベントログおよび前記実ファイルログを回収したときのいずれか一つ以上のタイミングで更新し、
前記ファイル保全部が、前記特徴値リストに含まれる前記特徴値と一致する前記ファイルを保全しない
ログ管理システム。 - 請求項2記載のログ管理システムであって、
前記ファイルの前記特徴値の算出を、ファイル管理情報を除いたファイル内容のデータを対象に算出する、あるいは、前記ファイル管理情報とメタデータを除いたファイル内容のデータを対象に算出する
ログ管理システム。 - 請求項2記載のログ管理システムであって、
前記ログ検索部が検索結果を出力する時に、前記ファイルの特徴値を算出し、前記イベントログに記録された前記特徴値と一致しているかどうかを判定し、判定結果を出力する
ログ管理システム。 - 請求項1記載のログ管理システムであって、
前記ファイル保全部が、前記イベントがファイル削除あるいはエクスポートの時には、前記イベントを一時的にロックした上で前記ファイルを保全し、前記イベントがインポートあるいは設定変更の時には、前記イベントが完了してから前記ファイルを保全する
ログ管理システム。 - 請求項1記載のログ管理システムであって、
前記サーバは、前記サーバで集中管理している前記イベントログと前記実ファイルログの容量に応じて課金する課金処理部を更に有する
ログ管理システム。 - クライアントのコンピュータで発生するイベントを、前記イベントに関連するファイルを含めてログとし、前記ログをサーバで集中管理するログ管理システムを用いたフォレンジック調査方法であって、
前記ログ管理システムは、
発生した前記イベントを時系列に記録した結果を保存するイベントログ保存部と、
前記イベントに関連する前記ファイルを実ファイルログとして保存する実ファイルログ保存部と、
前記イベントログと前記実ファイルログとを検索するログ検索部とを有し、
前記ログ検索部を用いてインシデントに関係する前記イベントを絞り込む
フォレンジック調査方法。 - 請求項8記載のフォレンジック調査方法であって、
前記ログ管理システムは、
前記コンピュータ上のメモリ領域および記憶領域をビット単位でフォレンジックイメージとして取得するフォレンジックイメージ保全部と、
前記フォレンジックイメージを解析するフォレンジック解析部を更に有し、
前記ログ検索部を用いてインシデントに関係する前記イベントを絞り込み、絞り込まれた前記イベントに関連する前記フォレンジックイメージを前記フォレンジック解析部で解析する
フォレンジック調査方法。 - 請求項8記載のフォレンジック調査方法であって、
前記ログ管理システムは、
物理的な監視を行い監視結果を記録するフィジカル監視部と、
前記監視結果を検索するフィジカルログ検索部を更に有し、
前記ログ検索部を用いてインシデントに関係する前記イベントを絞り込み、絞り込まれた前記イベントに関連する前記監視結果を前記フィジカルログ検索部で検索する
フォレンジック調査方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006281038A JP2008097484A (ja) | 2006-10-16 | 2006-10-16 | ログ管理システムおよびフォレンジック調査方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006281038A JP2008097484A (ja) | 2006-10-16 | 2006-10-16 | ログ管理システムおよびフォレンジック調査方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008097484A true JP2008097484A (ja) | 2008-04-24 |
Family
ID=39380240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006281038A Pending JP2008097484A (ja) | 2006-10-16 | 2006-10-16 | ログ管理システムおよびフォレンジック調査方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008097484A (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100961179B1 (ko) | 2008-06-02 | 2010-06-09 | 한국전자통신연구원 | 디지털 포렌식 방법 및 장치 |
WO2011122432A1 (ja) * | 2010-03-29 | 2011-10-06 | 株式会社Ubic | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
WO2011122431A1 (ja) * | 2010-03-29 | 2011-10-06 | 株式会社Ubic | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
JP2012022722A (ja) * | 2011-10-31 | 2012-02-02 | Ubic:Kk | フォレンジックシステム及びフォレンジックプログラム |
JP2012099130A (ja) * | 2011-12-26 | 2012-05-24 | Ubic:Kk | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
JP2012181851A (ja) * | 2012-04-18 | 2012-09-20 | Ubic:Kk | フォレンジックシステム |
US8549037B2 (en) | 2010-07-28 | 2013-10-01 | Ubic, Inc. | Forensic system, forensic method, and forensic program |
JP2014153722A (ja) * | 2013-02-04 | 2014-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ログ可視化操作画面制御システム及び方法 |
JP2015092373A (ja) * | 2014-12-16 | 2015-05-14 | 株式会社Ubic | フォレンジックシステム |
CN106250292A (zh) * | 2016-08-11 | 2016-12-21 | 上海泛微网络科技股份有限公司 | 一种办公管理系统性能监控平台 |
-
2006
- 2006-10-16 JP JP2006281038A patent/JP2008097484A/ja active Pending
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8145586B2 (en) | 2008-06-02 | 2012-03-27 | Electronics And Telecommunications Research Institute | Method and apparatus for digital forensics |
KR100961179B1 (ko) | 2008-06-02 | 2010-06-09 | 한국전자통신연구원 | 디지털 포렌식 방법 및 장치 |
US8799317B2 (en) | 2010-03-29 | 2014-08-05 | Ubic, Inc. | Forensic system, forensic method, and forensic program |
CN102696039A (zh) * | 2010-03-29 | 2012-09-26 | Ubic股份有限公司 | 取证系统、取证方法及取证程序 |
JP2011209930A (ja) * | 2010-03-29 | 2011-10-20 | Ubic:Kk | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
US9244920B2 (en) | 2010-03-29 | 2016-01-26 | Ubic, Inc. | Forensic system, forensic method, and forensic program |
WO2011122431A1 (ja) * | 2010-03-29 | 2011-10-06 | 株式会社Ubic | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
WO2011122432A1 (ja) * | 2010-03-29 | 2011-10-06 | 株式会社Ubic | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
US8793277B2 (en) | 2010-03-29 | 2014-07-29 | Ubic, Inc. | Forensic system, forensic method, and forensic program |
JP2011209931A (ja) * | 2010-03-29 | 2011-10-20 | Ubic:Kk | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
US8549037B2 (en) | 2010-07-28 | 2013-10-01 | Ubic, Inc. | Forensic system, forensic method, and forensic program |
JP2012022722A (ja) * | 2011-10-31 | 2012-02-02 | Ubic:Kk | フォレンジックシステム及びフォレンジックプログラム |
JP2012099130A (ja) * | 2011-12-26 | 2012-05-24 | Ubic:Kk | フォレンジックシステム及びフォレンジック方法並びにフォレンジックプログラム |
JP2012181851A (ja) * | 2012-04-18 | 2012-09-20 | Ubic:Kk | フォレンジックシステム |
JP2014153722A (ja) * | 2013-02-04 | 2014-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ログ可視化操作画面制御システム及び方法 |
JP2015092373A (ja) * | 2014-12-16 | 2015-05-14 | 株式会社Ubic | フォレンジックシステム |
CN106250292A (zh) * | 2016-08-11 | 2016-12-21 | 上海泛微网络科技股份有限公司 | 一种办公管理系统性能监控平台 |
CN106250292B (zh) * | 2016-08-11 | 2018-06-08 | 上海泛微网络科技股份有限公司 | 一种办公管理系统性能监控平台 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI434190B (zh) | 在支持查詢時有效地儲存記錄資料以協助電腦網路安全 | |
JP2008097484A (ja) | ログ管理システムおよびフォレンジック調査方法 | |
Adelstein | Live forensics: diagnosing your system without killing it first | |
US8156092B2 (en) | Document de-duplication and modification detection | |
Sindhu et al. | Digital forensics and cyber crime datamining | |
TWI406152B (zh) | 當支援查詢時有效地儲存日誌資料 | |
Quick et al. | Big forensic data management in heterogeneous distributed systems: quick analysis of multimedia forensic data | |
CN105005528B (zh) | 一种日志信息提取方法及装置 | |
US9087207B2 (en) | Obtaining complete forensic images of electronic storage media | |
JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
KR20140036444A (ko) | 사용자 행위분석 기반 디지털 포렌식 감사 시스템 | |
JP2008542865A (ja) | デジタル証拠バッグ | |
Wani et al. | File system anti-forensics–types, techniques and tools | |
Flaglien et al. | Storage and exchange formats for digital evidence | |
JP2009169474A (ja) | システムログ管理支援装置およびシステムログ管理支援方法 | |
Quick et al. | Forensic analysis of windows thumbcache files | |
JP2007200047A (ja) | アクセスログ表示システムおよび方法 | |
Quick et al. | Quick analysis of digital forensic data | |
US20200112621A1 (en) | Method and system for tracking chain of custody on unstructured data | |
Tabona et al. | Intelligence sharing in big data forensics | |
Schroader et al. | Alternate data storage forensics | |
Lokhande et al. | Digital forensics analysis for data theft | |
AU2006250921A1 (en) | Digital evidence bag | |
Abdalla et al. | Guideline model for digital forensic investigation | |
KR102432530B1 (ko) | 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템 |