JP2008269401A - ログ管理プログラム及びログ管理装置 - Google Patents

ログ管理プログラム及びログ管理装置 Download PDF

Info

Publication number
JP2008269401A
JP2008269401A JP2007112971A JP2007112971A JP2008269401A JP 2008269401 A JP2008269401 A JP 2008269401A JP 2007112971 A JP2007112971 A JP 2007112971A JP 2007112971 A JP2007112971 A JP 2007112971A JP 2008269401 A JP2008269401 A JP 2008269401A
Authority
JP
Japan
Prior art keywords
log
summarized
logs
management program
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007112971A
Other languages
English (en)
Inventor
Kazuya Okochi
一弥 大河内
Seiichi Suzaki
誠一 洲崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2007112971A priority Critical patent/JP2008269401A/ja
Publication of JP2008269401A publication Critical patent/JP2008269401A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】複数のログを圧縮しつつも、各ログの前後関係が分かるようにする。
【解決手段】未圧縮ログテーブル22Aに格納されている複数のログのうち、予め定められた要約禁止条件を満たすログの要約禁止フィールド22gに、要約禁止である旨を設定し、未圧縮ログテーブル22Aで要約禁止フィールド22gに要約禁止である旨が設定されていないログを、予め定められた要約手法で要約する。そして、圧縮処理済みログテーブル22Bには、要約されたログを格納すると共に、要約禁止である旨が設定されているログに関しては、そのまま格納する。
【選択図】 図2

Description

本発明は、記憶装置に記憶されている複数のログを圧縮するログ管理プログラム、及びログ管理装置に関する。
様々なシステムは、そのシステム上における利用者の振る舞いなどを記述したログを出力することがある。例えば、ウェブサーバにおけるアクセスログや、アンチウィルスソフトウェアにおける検疫のログなどは、この一例である。他の例としては、企業内の業務システムが、システム上での利用者の行動履歴をログとして残すこともある。これらのログは、コンピュータ上での利用者の振る舞いを後になって検証する場合や、システムの正当に運用されていることの証明、また時にはシステムの不正な利用の発見などの場合に非常に有益である。しかし、こういったログは、場合によっては膨大な量となり、人間がログから必要な情報を取り出すことが不可能なレベルに達することも少なくない。
このため、ログを圧縮し、必要な情報のみを入手するための技術が必要となってきている。そのためのアプローチとして、例えば、特許文献1では、アクセスログの中から、予め定められた要件を満たすログのみを抽出し、残りのログを削除する方法が提案されている。
特開2003-76814号
しかしながら、特許文献1に記載の技術では、ログ数を当初より少なくできるものの、抽出したログの前後のログが削除されてしまい、抽出したログや、このログを実行したシステムの利用者の振る舞い等を検証することができないことがあるという問題点がある。
本発明は、このような従来技術の問題点に着目し、複数のログを圧縮しつつも、各ログの前後関係が分かるログ圧縮プログラムを提供することを目的とする。
前記問題点を解決するためのログ管理プログラムは、
記憶装置に記憶されている複数のログを圧縮するログ管理プログラムにおいて、
前記記憶装置から前記複数のログを読み込む読込ステップと、
前記読込ステップで読み込んだ前記複数のログのうち、予め定められた要約禁止条件を満たすログに対して、要約しない旨の情報を関連付ける要約禁止ログ特定ステップと、
前記読込ステップで読み込んだ前記複数のログのうち、前記要約しない旨の情報が関連付けられていないログを、予め定められた要約手法で要約する要約ステップと、
前記要約しない旨の情報が関連付けられているログ、及び前記要約ステップで要約されたログを記憶装置に格納する圧縮ログ格納ステップと、
をコンピュータに実行させることを特徴とする。
ここで、前記要約禁止ログ特定ステップでは、前記読込ステップで読み込んだ前記複数のログを、一連の処理の区切りを判定するルールに従って、複数のセクションに分割し、各セクション毎に、前記要約禁止条件を満たすか否かを判断し、該要約禁止条件を満たすセクション中の各ログに対して、前記要約しない旨の情報を関連付ける、ことが好ましい。さらに、前記要約ステップでは、前記読込ステップで読み込んだ前記複数のログを、一連の処理の区切りを判定するルールに従って、複数のセクションに分割し、該複数のセクションのうち、前記要約しない旨の情報が関連付けられているログを含まないセクションを、前記予め定められた要約手法で要約する、ことが好ましい。
前記問題点を解決するためのログ管理装置は、
記憶装置に記憶されている複数のログを圧縮するログ管理装置において、
前記記憶装置から前記複数のログを読み込む読込手段と、
前記読込手段が読み込んだ前記複数のログのうち、予め定められた要約禁止条件を満たすログに対して、要約しない旨の情報を関連付ける要約禁止ログ特定手段と、
前記読込手段が読み込んだ前記複数のログのうち、前記要約しない旨の情報が関連付けられていないログを、予め定められた要約手法で要約する要約手段と、
前記要約しない旨の情報が関連付けられているログ、及び前記要約ステップで要約されたログを記憶装置に格納する圧縮ログ格納手段と、
を備えていることを特徴とする。
本発明によれば、不審な又は不可解な処理である蓋然性に高くないログは要約される一方で、不審な又は不可解な処理である蓋然性に高いログは要約されずにそのまま残る。このため、要約されない、不審な又は不可解な処理である蓋然性に高いログの前後のログは、なんらかのかたちで残っているため、このログの前後のログを確認することができる。また、本発明では、このログを実行したシステムの利用者の長時間に渡る全体の振る舞いも把握することができる。
以下、本発明に係る各種実施形態について、図面を用いて説明する。
まず、図1〜図7を用いて、本発明に係るログ管理装置の第一の実施形態について説明する。
図1に示すように、ログ管理装置10は、ネットワーク40を介して、複数のコンピュータと接続されている。このネットワーク40に接続されているコンピュータとしては、ここでは、各ユーザが使用する端末45a,45b,…と、電子メールの送受信処理等を行うメールサーバ41と、文書や画像などの情報を蓄積しておき端末45a,45b,…からの要求に応じて、これら情報を送信するWebサーバ42と、経理処理を行う経理システム43と、資材管理を行う資材システム44とがある。
ログ管理装置10は、コンピュータであり、各種処理を実行するCPU11と、各種データが格納されるハードディスク装置等の記憶装置20と、CPU11が処理を実行する際のワークエリア等となるメモリ31と、キーボードやマウス等の入力装置32と、ディスプレイやプリンタ等の出力装置33と、LAN(Local Area Network)等のネットワーク40を介して外部と通信するためのNIC(Network Interface Card)等の通信インタフェース34と、を備えている。
記憶装置20には、コンピュータをログ管理装置として機能させるためのログ管理プログラム21が格納されていると共に、複数のログが格納されるログテーブル22が設定されている。CPU11は、機能的に、ネットワーク40に接続されているコンピュータからログを受け付けるログ受付部12と、受け付けた複数のログのうちで予め定められた要約禁止条件を満たすログを特定する要約禁止ログ特定部13と、受け付けたログのうち要約禁止条件を満たさないログを要約する要約部14と、要約されたログ等を記憶装置20に格納する圧縮処理済みログ格納部15と、記憶装置に格納されているログを出力装置33から出力させるログ出力部16と、を有している。これらの各機能部は、いずれも、CPU11がログ管理プログラム21を実行することにより、機能する。
図2の左側に示すログテーブル22Aは、アクションの実行日時が格納される時刻フィールド22aと、利用システム名又は利用ジョブ名が格納されるシステム名フィールド22bと、ユーザ識別子又はユーザが使用する端末の識別子が格納されるユーザ識別子フィールド22cと、アクション内容が格納されるアクションフィールド22dと、アクションの詳細内容やアクションの関連事項が格納されるパラメータフィールド22e,22f,…と、ログの要約を禁止する旨の情報が格納される要約禁止フィールド22gと、圧縮処理が終了した旨の情報が格納される圧縮処理済みフィールド22hと、を有している。要約禁止フィールド22gは、初期状態として「0」が設定されており、該当ログが要約禁止条件を満たす場合に「1」が設定される。また、圧縮処理済みフィールド22hは、初期状態として「0」が設定されており、要約禁止フィールド22gに「1」が設定された場合、及び該当ログが要約された場合に「1」が設定される。
このログテーブル22Aの最上段のレコード位置には、時刻「2007年1月12日12:34:56」に、経理システム43に対して、ユーザ「AA」が「ログイン」したことを示すログが格納されている。第二段目のレコード位置には、時刻「2007年1月12日12:35:59」に、経理システム43に対して、ユーザ「AA」が「旅費清算」し、その旅費は、「2007年1月9日」の「東京」行きで発生したことを示すログが格納されている。また、第五段目のレコード位置には、時刻「2007年1月12日13:05:22」に、ウェブサーバ42に対して、ユーザ「AA」が「ウェブ閲覧」し、このウェブページのアドレスが「www.abc.co.jp」であることを示すログが格納されている。このように、各ログのパラメータ「旅費清算」「東京」、「ウェブ閲覧」「www.abc.co.jp」は、システム又はジョブとアクションに対して固有のものである。なお、同図では、パラメータフィールド22e,22fとして、二つのフィールドしか描いていないが、さらに幾つかのフィールドを設けてもよい。また、ここでは、パラメータフィールド22e,22fに一つの情報しか格納していないが、複数の情報を格納するようにしてもよい。
次に、本実施形態のログ管理装置10の動作について説明する。
ログ管理装置10の通信インタフェース34が、各コンピュータから送られてくるログを受信すると、ログ受付部12が、これを受け付け、記憶装置20のログテーブル22に、受け付け順に格納する。なお、前述のログテーブル22Aは、後述するように、ユーザ識別子毎に分類して、メモリ31上に展開してテーブルであり、記憶装置20内のログテーブル22には、各コンピュータからの受け入れ順に各ログが格納されるので、このログテーブル22は、正確に時系列順に並んでいるわけでも、ユーザ識別子毎に分類されているわけでもない。
次に、記憶装置20のログテーブル22に格納された複数のログの圧縮処理について、図3に示すフローチャートに従って説明する。このログ圧縮処理は、このログ管理装置10の管理者からの指示時、所定期間経過時、未圧縮ログの数が所定数になった時等に起動する。
このログ圧縮処理では、まず、ログ圧縮前処理部13が、記憶装置20内のログテーブル22に格納されている複数のログのうち、圧縮処理済みフィールド22hに「0」が設定されているログ、つまり未圧縮ログを読み込み(S10)、この未圧縮ログをユーザ識別子毎に分類して、テーブル形式でメモリ31上に展開する(S20)。すなわち、メモリ31上には、図2の左側に示すように、未圧縮ログテーブル22Aの形式で、読み込んだログが展開される。ここで、処理の対象となるユーザ識別子は、読み込んだ全未圧縮ログに含まれている全ユーザ識別子であってもよいが、管理者が入力装置32を操作して、対象となるユーザ識別子を指定し、この指定されたユーザ識別子であってもよい。
メモリ31上に、ユーザ識別子毎に分類された未圧縮ログが展開されると、要約禁止ログ特定部14が起動して、未圧縮ログのうちで要約しないログを特定する(S30)。この要約禁止ログ特定処理(S30)は、ネットワーク40に接続されているコンピュータの処理、言い換えると、このログ管理装置10がログの管理対象としているコンピュータの処理が、不審な又は不可解な処理であると疑う蓋然性に高い場合に、この処理を示すログを要約しないようにするために、このログにマークを付ける処理である。
ここで、図4に示すフローチャートに従って、要約禁止ログ特定処理(S30)の詳細について説明する。
要約禁止ログ特定部14は、まず、メモリ31上に展開されているユーザ識別子毎に分類された未圧縮ログに対して、初期設定処理を行う(S31)。具体的には、時刻フィールド22aを参照して、未圧縮ログを時系列にソートする。
次に、要約禁止ログ特定部14は、メモリ31上にソートされた未圧縮ログを、予め定められたルールに従って区切って、セッションと呼ばれる一連のログ群を特定する(S32)。このルールとしては、例えば、以下の二つのルールを用いる。
第1ルール:あるログのアクション時刻から、次のログのアクション時刻までの間の時間が予め定められた時間以上、例えば、5分以上である場合には、あるログと次のログとの間をセクションの区切りとして区切る。
第2ルール:あるログでの利用システム又は利用ジョブと、次のログでの利用システム又は利用ジョブとが異なる場合に、あるログと次のログとの間をセクションの区切りとして区切る。
以上のルールのうち、まず、第1ルールにより、セクションを分けた後、第2ルールにより、セクション分けが可能な場合に、さらにセクションを分ける。以上のルールに従って、図2中の左側の未圧縮ログテーブル22A中の複数の未圧縮ログを複数のセクションに分けると、第1ルールにより、最上段のログから第4段目のログまで、第5段目のログから第7段目のログまで、第8段目のログから第10段目のログまで、第11段目のログから第13段目のログまでが、それぞれ、一つのセクションとなる。なお、例えば、第10段目のログのアクション実行時刻と第11段目のログのアクション実行時刻との間の時間が予め定められた時間よりも小さい場合には、第2ルールにより、第10段目のログと第11段目のログとの間がセクションの区切りとなる。
次に、要約禁止ログ特定部14は、ステップ32で特定したセッションが要約禁止ルールに該当するか否かを判断する(S33)。要約禁止ルールに該当する場合、メモリ31上に展開されている未圧縮ログテーブル22Aで、このセッションを構成する全てのログの要約禁止フィールド22gに「1」を設定、つまりこれらのログの要約を禁止する旨を設定し(S34)、未処理のログが存在するか否か、言い換えると、セッション特定されていないログがあるか否かを判断し(S35)、セッション特定されていないログがあれば、ステップ32に戻り、セッション特定されていないログが無ければ、要約禁止ログの特定処理(S30)は終了する。また、ステップ33で、特定したセッションが要約禁止ルールに該当しないと判断した場合には、直ちに、ステップ35に進む。
要約禁止ルールとしては、例えば、図6に示すように、四つのルールを用いる。
第1ルール:アクションとして「ログイン」「ログアウト」が存在すべきセッションであるにも関わらず、このいずれかが存在しないセッションである。
第2ルール:アクションとして「ログイン失敗」が4回以上連続している。
第3ルール:アクションとして「メール送信」のときの送信先アドレスがフリーメールアドレスである。送信先アドレスがフリーメールアドレスの場合、情報漏洩の可能性が高いからである。
第4ルール:利用許可のないユーザがシステム又はジョブを利用している。この第4ルールの適用を実施するためには、図6に示すように、各システム毎に、利用可能なユーザ識別子をテーブル25等で管理しておく必要がある。
以上の4つのルールのうち、第1ルールから第3ルールに関しては、予めログ管理プログラム21内に組み込んでおけばよい。また、第4ルールも、予めログ管理プログラム21内に組み込んでおくことは勿論、ログ管理装置10の起動時等に、このルールを適用するか否かを管理者に確認を求め、管理者がこのルールの適用を求めている場合には、さらに、管理者から各システム毎に、利用可能なユーザ識別子のデータを受け付けて、このデータを前述したようにテーブル25等で管理しておく必要がある。
図2中の左側に示す未圧縮ログテーブル22Aに格納されている複数のログに対して、以上の要約禁止ログの特定処理(S30)を施した場合、最上段のログから第4段目のログまでの第1セッション、第5段目のログから第7段目のログまでの第2セッション、及び第11段目のログから第13段目のログまでの第4セッションに関しては、先に説明した要約禁止ルールのいずれにも該当しないため、第1、第2及び第4セッションを構成する各ログの要約禁止フィールド22gは、「0」のままである。一方、第8段目のログから第10段目のログまで第3セッションに関しては、「ログイン」が存在すべきであるにも関わらず、「ログイン」が存在せず、不審な又は不可解な処理であると疑う蓋然性に高いセッションであり、第1ルールに該当するため、この第3セッションを構成する全てのログの要約禁止フィールド22gは、「0」から「1」へ設定変更される。
要約禁止ログ特定部14による要約禁止ログ特定処理(S30)が終了すると、図3のフローチャートに示すように、ログ要約部15によるログ要約処理(S40)が実行される。このログ要約処理(S40)の詳細について、図5に示すフローチャートに従って説明する。
ログ要約部15は、まず、メモリ31上に展開されているユーザ識別子毎に分類された未圧縮ログを、前述の定められたルールに従って区切って、セッションと呼ばれる一連のログ群を特定する(S41)。ここで使用するルールは、前述のステップ32で使用したルールと同じルールを用いる。但し、このステップ41で使用するルールは、必ずしも、前述のステップ32で使用したルールと同じである必要はない。また、ここでは、要約禁止ログ特定処理(S30)の処理結果がメモリ31上に展開されているので、このログ要約処理(S40)では、直ちに、セクションの特定処理(S41)を実行しているが、要約禁止ログ特定処理(S30)の処理結果を記憶装置22に格納する場合には、このログ要約処理(S40)においても、要約禁止ログ特定処理(S30)の初期設定(S31)と同様に初期設定を行うことになる。
ログ要約部15は、次に、メモリ31上に展開されている未圧縮ログテーブル22Aを参照して、ステップ41で特定したセッションを構成する各ログの要約禁止フィールド22gに「1」が設定されているか否かを判断する(S42)。特定したセッションを構成する各ログの要約禁止フィールド22gに「1」が設定されていなければ、予め定められている要約手法に従って、特定したセッションを構成する各ログを要約して、これをメモリ31上の新たなログテーブル、つまり圧縮処理後のログテーブル22B(図2中の左側のテーブル)に格納する(S43)。そして、この圧縮処理後のログテーブル22Bの該当ログのログ圧縮済みフィールド22hに「1」を設定し、つまり該当ログが圧縮処理済みである旨を設定すると共に、未圧縮ログテーブル22Aの該当ログのログ圧縮済みフィールド22hに「1」を設定する(S44)。また、ステップ42で、特定したセッションを構成する各ログの要約禁止フィールド22gに「1」が設定されていると判断した場合には、特定したセッションを構成する各ログを要約することなく、前述のステップ44の処理を実行する。
ログ要約部15は、圧縮処理後のログテーブル22B及び未圧縮ログテーブル22Aの該当ログのログ圧縮済みフィールド22hに「1」を設定すると(S44)、未圧縮ログテーブル22A中に未処理のログが存在するか否か、言い換えると、セッション特定されておらず、ログ圧縮済みフィールド22hに「1」が設定されていないログがあるか否かを判断し(S45)、セッション特定されていないログがあれば、ステップ41に戻り、セッション特定されていないログが無ければ、ログ要約処理(S40)は終了する。なお、ここでは、メモリ31上に、未圧縮ログテーブル22Aのほかに、新たに、圧縮処理後のログテーブル22Bを展開するようにしているが、この圧縮処理後のログテーブル22Bに関しては、未圧縮ログテーブル22A中の対応部分に上書きするようにしてもよい。
ここで、要約手法について説明する。
一つのセッションの要約では、時刻としては、一つのセッション中の最後のログの実行時刻が採用され、「ログイン」「ログアウト」が存在するセクションでは、これら「ログイン」「ログアウト」が削除され、「ログイン」「ログアウト」を除くアクションがアクションとして採用される。また、パラメータに関しては、前述したように、システム又はジョブとアクションに対して固有であるため、システム又はジョブとアクションに応じて、どのように要約するかが定められている。なお、ここでは、時刻としては、一つのセッション中の最後のログの実行時刻を採用するようにしているが、一つのセッション中の最初のログの実行時刻を採用するようにしてもよい。
例えば、図2中の左側に示す未圧縮ログテーブル22Aに格納されている複数のログに対して、以上のログ要約処理(S40)を施した場合、最上段のログから第4段目のログまでの第1セッション、第5段目のログから第7段目のログまでの第2セッション、及び第11段目のログから第13段目のログまでの第3セッションに関しては、図2中の左側に示す圧縮処理後のログテーブル22Aに示すように、それぞれ、一つのレコードに要約される。
第1セッションを要約すると、圧縮処理後のログテーブル22Bの時刻フィールド22aには、この第1セッションの最後のログの実行時刻である「2007/1/12 12:37:15」が格納され、システム名フィールド22bには、圧縮処理前と同様の「経理」がそのまま格納され、ユーザ識別子フィールド22cには、圧縮処理前と同様の「AA」がそのまま格納され、アクションフィールド22dには、このセッションにおける「ログイン」「ログアウト」を除くアクションである「旅費清算」が格納され、第1パラメータフィールド22eには、「清算件数:2件」が格納され、第2パラメータフィールド22fには、各行先としての「東京、大阪」が格納される。なお、ここでは、2つのパラメータフィールド22e,22fのそれぞれに、「清算件数:2件」「東京、大阪」を格納するようにしているが、いずれか一方のみを一つのパラメータフィールド22eに格納するようにしてもよい。
また、第2セッションを要約すると、圧縮処理後のログテーブル22Bの時刻フィールド22aには、この第2セッションの最後のログの実行時刻である「2007/1/12 13:06:10」が格納され、システム名フィールド22bには、圧縮処理前と同様の「ウェブ」がそのまま格納され、ユーザ識別子フィールド22cには、圧縮処理前と同様の「AA」がそのまま格納され、アクションフィールド22dには、圧縮処理前と同様の「ウェブ閲覧」が格納され、第1パラメータフィールド22eには、「閲覧件数:3件」が格納され、第2パラメータフィールド22fには、この第2セクション中の最後のログでのウェブページのアドレス「www.ghi.co.jp」が格納される。なお、ここでは、第2パラメータフィールド22fには、この第2セクション中の最後のログでのウェブページのアドレスを格納しているが、最初のログでのウェブページアドレスを格納するようにしてもよい。また、ここでは、2つのパラメータフィールド22e,22fのそれぞれに、「閲覧件数:3件」「www.ghi.co.jp」を格納するようにしているが、いずれか一方のみを一つのパラメータフィールド22eに格納するようにしてもよい。
第3セッションに関しては、この第三セッションを構成する各ログの要約禁止フィールド22gに「1」が格納されているため、つまり、不審な又は不可解な処理であると疑う蓋然性に高いため、要約処理は実行されず、そのまま、圧縮処理後のログテーブル22Bに格納される。
また、第4セッションを要約すると、圧縮処理後のログテーブル22Bの時刻フィールド22aには、この第4セッションの最後のログの実行時刻である「2007/1/12 15:32:09」が格納され、システム名フィールド22bには、圧縮処理前と同様の「メール」がそのまま格納され、ユーザ識別子フィールド22cには、圧縮処理前と同様の「AA」がそのまま格納され、アクションフィールド22dには、圧縮処理前と同様の「送信」が格納され、第1パラメータフィールド22eには、「送信件数:3件」が格納され、第2パラメータフィールド22fには、この第4セクション中の最後のログでのメール送信先アドレス「mail@xx.cc.co.jp」が格納される。なお、ここでは、第2パラメータフィールド22fには、この第4セクション中の最後のログでのメール送信先アドレスを格納しているが、最初のログでのメール送信先アドレスを格納するようにしてもよい。また、ここでは、2つのパラメータフィールド22e,22fのそれぞれに、「送信件数:3件」「mail@xx.cc.co.jp」を格納するようにしているが、いずれか一方のみを一つのパラメータフィールド22eに格納するようにしてもよい。
ログ要約部15によるログ要約処理(S40)が終了すると、図3のフローチャートに示すように、圧縮処理済みログ格納部16により、圧縮処理済みのログが記憶装置20に格納される(S50)。すなわち、図2中の圧縮処理後のログテーブル22Bが、記憶装置20のログテーブル22の対応部分に上書きされる。
圧縮処理後のログを参照したい場合には、入力装置32を操作して、対象時間帯及び対象ユーザ識別子を入力する。ログ出力部17は、これを受け付け、対象時間帯及び対象ユーザ識別子に対応するログを記憶装置20のログテーブル22Bから抽出し、図7に示すように、出力装置33に出力する。この出力では、要約したログに対して、要約していないログ23、つまり不審な又は不可解な処理である蓋然性に高いログが異なる表示形態で表示される。例えば、要約したログが「黒色」で表示される場合には、要約していないログ23は例えば「赤色」で表示される等である。
以上のように、本実施形態では、不審な又は不可解な処理である蓋然性に高くないログは要約される一方で、不審な又は不可解な処理である蓋然性に高いログは要約されずにそのまま残る。このため、要約されない、不審な又は不可解な処理である蓋然性に高いログの前後のログは、なんらかのかたちで残っているため、このログの前後のログを確認することができる。また、このログを実行したシステムの利用者の長時間(例えば、一日)に渡る全体の振る舞いも把握することができる。具体的には、図2の左側に示す圧縮処理後のログテーブル22Aでは、上から3段目〜5段目のレコードに格納されているログは、要約されず、そのままここに格納されたログであるが、この直前のログを参照すると、アクションが「ウェブ閲覧」であるため、例えば、このウェブ閲覧によるウィルス感染により、上から3段目〜5段目のレコードに格納されているログが不審な又は不可解な処理であると判断された原因ではないかと考察することができる。
次に、本発明に係るログ管理装置の第二の実施形態について、図8を用いて説明する。
第1の実施形態は、記憶装置22のログテーブル22に圧縮処理後のログテーブル22Bを上書きするものであるが、本実施形態は、記憶装置20の記憶領域中で、当初のログテーブル22が記憶されている記憶領域と異なる記憶領域に、圧縮処理後のログテーブル22Bを格納し、要約されたログを指定することで、このログに対応する要約されていないログを呼び出せるようにしたものである。なお、本実施形態において、第一の実施形態と同一部位については、同一の符号を付し、重複した説明を省略する。
このため、本実施形態のCPU11aは、要約されたログの指定を受け付ける要約ログ指定部18と、この指定されたログに対応する要約されていないログを当初のログテーブル22から抽出する未圧縮ログ検索部19とを有する。さらに、本実施形態の圧縮処理済みログ格納部16aは、第一の実施形態と異なり、前述したように、記憶装置20の記憶領域中で、当初のログテーブル22が記憶されている記憶領域と異なる記憶領域に、圧縮処理後のログテーブル22Bを格納する。
以上のように、本実施形態では、第一の実施形態と比べて、CPU11aの機能が付加されていると共に、一部の機能が変更されているため、当然、記憶装置20に格納されているログ管理プログラム21aは、第一の実施形態のログ管理プログラム21と異なっている。
次に、本実施形態のログ管理装置10aの動作について説明する。
本実施形態のログ管理装置10aのログ圧縮処理は、図3等を用いて説明した第一の実施形態のログ管理装置10のログ圧縮処理と基本的に同一である。但し、繰り返すことになるが、圧縮処理後のログテーブル22Bは、記憶装置20の記憶領域中で、当初のログテーブル22が記憶されている記憶領域と異なる記憶領域に格納される。
また、本実施形態のログ管理装置10aの圧縮済みログの出力処理に関しても、図7を用いて説明した第一の実施形態と基本的に同様である。但し、この図7に示す出力画面中で、要約されたログ(図7中でハッチングが施されていないログ)を指定することで、前述したように、このログに対応する要約されていないログを呼び出せる。
具体的には、要約ログ指定部18が、入力装置32の操作による要約されたログの指定を受け付けると、未圧縮ログ検索部19が、指定されたログを解析して、このログに対応した、要約されていないログを記憶装置20のログテーブル22から抽出する。この際、未圧縮ログ検索部19は、要約されたログに含まれている、実行時刻、システム名、ユーザ識別子を取得し、これらと同じデータを含むログを当初のログテーブル22から抽出する。
例えば、図7に示す出力画面33a中で、不審な又は不可解な処理である蓋然性に高いログとして、要約されないログ23の前のログ24の詳細を調べたい場合には、この前のログ24を指定すると、未圧縮ログ検索部19は、この前のログ24に含まれている実行時刻「2007/1/12 13:06:06」、システム名「ウェブ」、ユーザ識別子「AA」を取得し、これらデータを含むログを記憶装置20の当初のログテーブル22から抽出する。この場合、図2の左側に示す未圧縮ログテーブル22Aの例では、上から7段目のログ24aが抽出される。ところで、図7中の要約されたログ24は、図2中の上から7段目のログ24aと、その一段上のログと、さらに二段上のログとを要約したものである。このため、この実施形態では、ログ24aを抽出した後、図7中の要約されたログ24に含まれている実行時刻「2007/1/12 13:06:06」から所定時間(例えば、1時間)前までのログ、つまり、実行時刻が例えば「2007/1/12 13:06:06〜2007/1/12 12:06:06」であって、図7中の要約されたログ24に含まれているシステム名「ウェブ」、ユーザ識別子「AA」のログをさらに抽出する。なお、ここでは、要約されたログ24を指定すると、この要約されたログ24に対応する、要約されていない全てのログを抽出するようにしているが、要約されたログ24に対応する、要約されていない一つのログ24aのみを抽出するようにしてもよい。
ログ出力部17は、以上のように、未圧縮ログ検索部19により要約されていないログが抽出されると、これを出力装置33に出力させる。
以上のように、本実施形態では、当初のログテーブル22の他に、圧縮処理後のログテーブル22Bも、記憶装置20に格納するため、第一の実施形態よりも、記憶装置20の記憶容量は大きくなければならないが、ログ管理者にとっては、極めて見易く且つ理解し易い圧縮処理後のログテーブル22Bを参照できる上に、要約されたログの詳細を知りたい場合には、要約されていないログも参照することができるというメリットがある。
本発明に係る第一の実施形態におけるログ管理システムの構成図である。 本発明に係る第一の実施形態における未圧縮ログテーブル及び圧縮処理済みログテーブルのデータ構成を示す説明図である。 本発明に係る第一の実施形態におけるログ圧縮処理の手順を示すフローチャートである。 図3中の要約禁止ログ特定処理の詳細を示すフローチャートである。 図3中のログ要約処理の詳細を示すフローチャートである。 本発明に係る第一の実施形態における要約禁止ルールを示す説明図である。 本発明に係る第一の実施形態における圧縮処理済みのログの出力例を示す説明図である。 本発明に係る第二の実施形態におけるログ管理システムの構成図である。
符号の説明
10,10a:ログ管理装置、11,11a:CPU、12:ログ受付部、13:ログ圧縮前処理部、14:要約禁止ログ特定部、15:ログ要約部、16,16a:圧縮処理済みログ格納部、17:ログ出力部、18:要約ログ指定部、19:未圧縮ログ検索部、20:記憶装置、21,21a:ログ管理プログラム、22,22A:未圧縮ログテーブル、22B:圧縮処理済みログテーブル、31:メモリ、32:入力装置、33:出力装置、34:通信インタフェース

Claims (9)

  1. 記憶装置に記憶されている複数のログを圧縮するログ管理プログラムにおいて、
    前記記憶装置から前記複数のログを読み込む読込ステップと、
    前記読込ステップで読み込んだ前記複数のログのうち、予め定められた要約禁止条件を満たすログに対して、要約しない旨の情報を関連付ける要約禁止ログ特定ステップと、
    前記読込ステップで読み込んだ前記複数のログのうち、前記要約しない旨の情報が関連付けられていないログを、予め定められた要約手法で要約する要約ステップと、
    前記要約しない旨の情報が関連付けられているログ、及び前記要約ステップで要約されたログを記憶装置に格納する圧縮ログ格納ステップと、
    をコンピュータに実行させることを特徴とするログ管理プログラム。
  2. 請求項1に記載のログ管理プログラムにおいて、
    前記要約禁止ログ特定ステップでは、前記読込ステップで読み込んだ前記複数のログを、一連の処理の区切りを判定するルールに従って、複数のセクションに分割し、各セクション毎に、前記要約禁止条件を満たすか否かを判断し、該要約禁止条件を満たすセクション中の各ログに対して、前記要約しない旨の情報を関連付ける、
    ことを特徴とするログ管理プログラム。
  3. 請求項1及び2のいずれか一項に記載のログ管理プログラムにおいて、
    前記要約ステップでは、前記読込ステップで読み込んだ前記複数のログを、一連の処理の区切りを判定するルールに従って、複数のセクションに分割し、該複数のセクションのうち、前記要約しない旨の情報が関連付けられているログを含まないセクションを、前記予め定められた要約手法で要約する、
    ことを特徴とするログ管理プログラム。
  4. 請求項1から3のいずれか一項に記載のログ管理プログラムにおいて、
    前記コンピュータは、1以上の他のコンピュータと通信する通信手段を備え、
    前記通信手段を用いて、前記1以上の他のコンピュータからログを受け付けるログ受付ステップを、
    前記コンピュータに実行させることを特徴とするログ管理プログラム。
  5. 請求項1から4のいずれか一項に記載のログ管理プログラムにおいて、
    前記コンピュータは、入力手段及び出力手段を備え、
    前記圧縮ログ格納ステップで前記記憶装置に格納された複数のログのうち、前記入力手段の操作により指定された1以上のログを前記出力手段に出力させるログ出力ステップを、
    前記コンピュータに実行させることを特徴とするログ管理プログラム。
  6. 請求項5に記載のログ管理プログラムにおいて、
    前記ログ出力ステップでは、前記要約しない旨の情報が関連付けられているログを、該要約しない旨の情報が関連付けられていないログと視覚的に異なるよう、前記出力手段に出力させる、
    ことを特徴とするログ管理プログラム。
  7. 請求項1から6のいずれか一項に記載のログ管理プログラムにおいて、
    前記読込ステップで読み込まれる前記複数のログが記憶されている前記記憶装置の記憶領域は、前記圧縮ログ格納ステップで、前記要約しない旨の情報が関連付けられているログ及び前記要約ステップで要約されたログが格納される前記記憶装置の記憶領域とは異なる未圧縮ログ記憶領域である、
    ことを特徴とするログ管理プログラム。
  8. 請求項7に記載のログ管理プログラムにおいて、
    前記コンピュータの入力装置により、前記圧縮ログ格納ステップで前記記憶装置に格納された前記要約ステップで要約されたログの指定を受け付ける要約ログ指定ステップと、
    前記要約ログ指定ステップで受け付けた前記要約されたログを解析して、該要約されたログに対応するログを、前記未圧縮ログ記憶領域から抽出する未圧縮ログ検索ステップと、
    前記未圧縮ログ検索ステップで抽出された前記ログを、前記コンピュータの出力装置に出力させる出力ステップと、
    を前記コンピュータに実行させることを特徴とするログ管理プログラム。
  9. 記憶装置に記憶されている複数のログを圧縮するログ管理装置において、
    前記記憶装置から前記複数のログを読み込む読込手段と、
    前記読込手段が読み込んだ前記複数のログのうち、予め定められた要約禁止条件を満たすログに対して、要約しない旨の情報を関連付ける要約禁止ログ特定手段と、
    前記読込手段が読み込んだ前記複数のログのうち、前記要約しない旨の情報が関連付けられていないログを、予め定められた要約手法で要約する要約手段と、
    前記要約しない旨の情報が関連付けられているログ、及び前記要約ステップで要約されたログを記憶装置に格納する圧縮ログ格納手段と、
    を備えていることを特徴とするログ管理装置。
JP2007112971A 2007-04-23 2007-04-23 ログ管理プログラム及びログ管理装置 Pending JP2008269401A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007112971A JP2008269401A (ja) 2007-04-23 2007-04-23 ログ管理プログラム及びログ管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007112971A JP2008269401A (ja) 2007-04-23 2007-04-23 ログ管理プログラム及びログ管理装置

Publications (1)

Publication Number Publication Date
JP2008269401A true JP2008269401A (ja) 2008-11-06

Family

ID=40048790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007112971A Pending JP2008269401A (ja) 2007-04-23 2007-04-23 ログ管理プログラム及びログ管理装置

Country Status (1)

Country Link
JP (1) JP2008269401A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011158966A (ja) * 2010-01-29 2011-08-18 Fujitsu Frontech Ltd 情報処理装置、情報処理方法、および情報処理プログラム
JP2014215753A (ja) * 2013-04-24 2014-11-17 京セラドキュメントソリューションズ株式会社 電子機器及びログ情報転送方法
WO2019026968A1 (ja) * 2017-08-04 2019-02-07 日本電気株式会社 メッセージ入出力装置、方法および記録媒体
WO2020145279A1 (ja) * 2019-01-10 2020-07-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 車載型情報処理装置、ユーザ端末、情報処理方法およびプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011158966A (ja) * 2010-01-29 2011-08-18 Fujitsu Frontech Ltd 情報処理装置、情報処理方法、および情報処理プログラム
JP2014215753A (ja) * 2013-04-24 2014-11-17 京セラドキュメントソリューションズ株式会社 電子機器及びログ情報転送方法
WO2019026968A1 (ja) * 2017-08-04 2019-02-07 日本電気株式会社 メッセージ入出力装置、方法および記録媒体
JPWO2019026968A1 (ja) * 2017-08-04 2020-07-30 日本電気株式会社 メッセージ入出力装置、方法およびプログラム
US11113141B2 (en) 2017-08-04 2021-09-07 Nec Corporation Message input/output device, method, and recording medium
WO2020145279A1 (ja) * 2019-01-10 2020-07-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 車載型情報処理装置、ユーザ端末、情報処理方法およびプログラム
CN113272794A (zh) * 2019-01-10 2021-08-17 Ntt通信公司 车载型信息处理装置、用户终端、信息处理方法以及程序

Similar Documents

Publication Publication Date Title
JP5753350B2 (ja) フォーム操作のためにスクリーン・キャプチャ機能を強化する方法およびコンピュータ・プログラム
US9420068B1 (en) Log streaming facilities for computing applications
US7464004B2 (en) Troubleshooting to diagnose computer problems
JP4354950B2 (ja) 情報処理装置、情報処理方法、コンピュータプログラム、及び記憶媒体
US10775751B2 (en) Automatic generation of regular expression based on log line data
CN111798161A (zh) 流程配置方法、装置、设备及存储介质
JP2008269401A (ja) ログ管理プログラム及びログ管理装置
US20100064290A1 (en) Computer-readable recording medium storing a control program, information processing system, and information processing method
JP2005242904A (ja) 文書群分析装置、文書群分析方法、文書群分析システム、プログラムおよび記録媒体
US20180052862A1 (en) Log collection system and log collection method
JP7353076B2 (ja) 会話関連データを収集する方法、コンピュータプログラム、コンピュータ機器及びサーバーシステム
JP4405503B2 (ja) 情報処理装置および情報処理装置の制御方法およびプログラムおよび記録媒体
JP4636775B2 (ja) ネットワーク監視システム
Barakat et al. Windows forensic investigations using powerforensics tool
JP2007200047A (ja) アクセスログ表示システムおよび方法
JP2011070348A (ja) 情報処理システム、情報処理方法、およびプログラム
JP2014092821A (ja) ログ取得プログラム、ログ取得装置及びログ取得方法
JP2018120256A (ja) 設定操作入力支援装置、設定操作入力支援システム
CN106484596A (zh) 一种计算机安全监控系统
JP5668492B2 (ja) データ処理装置、コンピュータプログラム及びデータ処理方法
JP4729089B2 (ja) ウェブサイト集計装置及びウェブサイト集計プログラム
US20090288027A1 (en) Visualization and management of information technology components
JP5941823B2 (ja) 整合性確認方法およびシステム
US20100023479A1 (en) Hexadecimal file fast decompression method
WO2023073952A1 (ja) セキュリティ分析装置、セキュリティ分析方法、及びコンピュータ読み取り可能な記録媒体