JP2009043018A - Log analysis support apparatus - Google Patents
Log analysis support apparatus Download PDFInfo
- Publication number
- JP2009043018A JP2009043018A JP2007207262A JP2007207262A JP2009043018A JP 2009043018 A JP2009043018 A JP 2009043018A JP 2007207262 A JP2007207262 A JP 2007207262A JP 2007207262 A JP2007207262 A JP 2007207262A JP 2009043018 A JP2009043018 A JP 2009043018A
- Authority
- JP
- Japan
- Prior art keywords
- log
- abstract
- user
- code sentence
- sentence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 57
- 238000006243 chemical reaction Methods 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 8
- 238000000034 method Methods 0.000 description 45
- 238000012545 processing Methods 0.000 description 40
- 230000008569 process Effects 0.000 description 38
- 230000008859 change Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 19
- 230000004044 response Effects 0.000 description 16
- 238000013461 design Methods 0.000 description 12
- 238000003745 diagnosis Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 12
- 238000000605 extraction Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 10
- 238000012360 testing method Methods 0.000 description 10
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 230000008520 organization Effects 0.000 description 7
- 230000014509 gene expression Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
この発明は、情報セキュリティ技術に関連し、特に、ログファイルを解析するための技術、に関する。 The present invention relates to information security technology, and more particularly to technology for analyzing log files.
企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、クライアント端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。業務情報システムが取り扱う情報の中には、IR(Investor Relations)情報のように組織内外からアクセス可能な公開情報もあれば、顧客情報のように組織内においても厳重に管理すべき機密情報もある。 Business information systems that support the operation of companies and public facilities, so-called enterprise systems, are now the foundation of organizations of various sizes. The business information system supports complicated organization management by outputting higher value-added information after totaling, accumulating, analyzing and processing data obtained from client terminals and databases. Among the information handled by the business information system, there is public information that can be accessed from inside and outside the organization, such as IR (Investor Relations) information, and there is confidential information that must be strictly managed inside the organization, such as customer information. .
ところで、2002年にアメリカで成立したSOX(Sarbanes-Oxley)法に倣って、日本でも日本版SOX法が導入される予定である。業務情報システム運営においても日本版SOX法への対応が急務となっている。日本版SOX法は、上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化を求めている。日本版SOX法の要請に応えるためには、情報漏洩の防止だけでなく、業務情報システムの情報セキュリティを客観的に証明できることも重要である。
通常、業務情報システムを構成するさまざまな装置は、自装置に対するアクセス履歴をログファイルに記録する。各装置のログファイルを解析すれば、不正アクセスや障害発生の有無を事後的に検証できる。業務情報システムの情報セキュリティを証明する上でログファイルは有用なツールである。 Usually, various devices constituting the business information system record access histories for the devices in a log file. By analyzing the log file of each device, the presence or absence of unauthorized access or failure can be verified afterwards. Log files are a useful tool in proving the information security of business information systems.
しかし、多くのサーバやルータを含む業務情報システムからは大量のログファイルが生成される。また、ログファイルの記録形式はベンダによってさまざまである。このような多種多量なログファイルを事後的に解析する作業の負荷は膨大なものとなる。更に、ログファイルから問題発生箇所を特定する判断は属人的スキルに依存しているのが現状である。 However, a large amount of log files are generated from a business information system including many servers and routers. The log file recording format varies depending on the vendor. The workload of analyzing such a large number of log files afterwards becomes enormous. In addition, the current situation is that the determination of the problem location from the log file depends on the personal skill.
本発明は、上記課題に基づいて完成された発明であり、その主たる目的は、業務情報システムにおけるアクセス履歴を効率的に解析するための技術、を提供することにある。 The present invention has been completed based on the above-mentioned problems, and its main object is to provide a technique for efficiently analyzing an access history in a business information system.
本発明のある態様は、ログ解析支援装置に関する。
この装置は、サーバなどの所定機器に対するユーザの操作履歴を示すソースログを取得する。このソースログは、所定の記録形式、たとえば、サーバに搭載されるOS(Operating System)の記録形式に基づく原符号文の集合として記録される。さまざまな記録形式による原符号文に対して統一的な抽象符号文をあらかじめ割り当てておき、原符号文の集合として表現されるソースログから抽象符号文の集合として表現される抽象ログを生成する。
One embodiment of the present invention relates to a log analysis support apparatus.
This apparatus acquires a source log indicating a user operation history for a predetermined device such as a server. This source log is recorded as a set of original code sentences based on a predetermined recording format, for example, an OS (Operating System) recording format installed in the server. A unified abstract code sentence is assigned in advance to original code sentences in various recording formats, and an abstract log expressed as a set of abstract code sentences is generated from a source log expressed as a set of original code sentences.
このような態様によれば、さまざまな記録形式にて作成されるソースログを抽象ログという標準的な表記に統一しやすくなる。このため、さまざまなベンダの装置が混在する業務情報システムにおいて、ログ解析作業にともなう作業負荷を軽減しやすくなる。 According to such an aspect, it becomes easy to unify source logs created in various recording formats into a standard notation called an abstract log. For this reason, in a business information system in which devices of various vendors are mixed, it is easy to reduce the workload associated with log analysis work.
なお、以上の構成要素の任意の組合せ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above-described components, and the present invention expressed by a method, system, recording medium, and computer program are also effective as an aspect of the present invention.
本発明によれば、業務情報システムにおけるアクセス履歴を効率的に解析しやすくなる。 According to the present invention, it becomes easy to efficiently analyze the access history in the business information system.
図1は、本実施例における業務情報システム220のハードウェア構成図である。
ここに示す業務情報システム220は、企業や公共施設のような組織の業務管理のために導入されるシステムである。業務情報システム220は、地理的に分散された複数の組織を統合するシステムとして構成されてもよい。ここでは、インターネット証券会社の業務情報システムを例として説明する。
FIG. 1 is a hardware configuration diagram of the
The
業務情報システム220はインターネット202と接続される。外部端末200aや外部端末200b(以下、単に「外部端末200」とよぶ)は顧客や従業員などにより利用される端末である。外部端末200のユーザはインターネット202を介して業務情報システム220にアクセスできる。内部端末212は従業員により利用される端末である。内部端末212のユーザはインターネット202を経由することなく業務情報システム220内の各装置にアクセスできる。インターネット202を経由するアクセス、すなわち、外部端末200からのアクセスは、ファイアウォール204によってアクセス可否判定される。ファイアウォール204により、外部端末200から業務情報システム220への不正アクセスを防止している。
The
業務情報システム220は、内部端末212やファイアウォール204のほかに、外部公開サーバ206、内部公開サーバ208、限定公開サーバ210を含む。
外部公開サーバ206は、組織内のみならず組織外にも公開可能な情報(以下、「外部公開情報」とよぶ)を保持する。たとえば、投資信託の手数料や運用成績が外部公開情報に該当する。外部端末200から外部公開サーバ206にアクセスする場合、ファイアウォール204は原則としてアクセス拒否しない。
The
The external
限定公開サーバ210は、条件付きにて組織外に公開可能な情報(以下、「限定公開情報」とよぶ)を保持する。たとえば、顧客の口座残高が限定公開情報に該当する。パスワードなどによりユーザ認証された顧客のみが、自己の口座情報にアクセスできる。また、所定権限を有する従業員であれば、内部端末212から顧客の口座情報にアクセスできる。限定公開情報は慎重に管理されなければならない。本実施例においては、従業員は外部端末200からは限定公開情報にはアクセスできないものとして説明する。
The
内部公開サーバ208は、組織内からのみアクセス可能な情報(以下、「内部公開情報」とよぶ)を保持する。たとえば、会社の人事情報や顧客リストが内部公開情報に該当する。本実施例においては社内情報と同義である。内部公開情報も慎重な管理が必要である。従業員は、あらかじめ申請しておけば、外部端末200からでも内部公開サーバ208にアクセスできる。顧客から内部公開サーバ208へのアクセスは禁止される。ただし、内部公開情報の一部については、従業員であってもアクセスを禁止される。
The internal
ファイアウォール204や外部公開サーバ206、内部公開サーバ208、限定公開サーバ210あるいは内部端末212は、アクセス対象となる情報の種別とユーザの属性、申請の有無に関してあらかじめ定められているるアクセスルールに基づいて、アクセス可否を判定している。
The
しかし、このようなアクセスルールを設定していても、ルール設定に人為的なミスがあったり、セキュリティーホールなどのシステムの弱点の存在などにより、不正アクセスを完全防止するのは難しい。また、不正アクセスを完全防止したとしても、システムの安全運用を定期的に確認する必要がある。このような理由から、業務情報システム220の各装置に対するアクセス履歴を事後的に検証することにより、業務情報システム220の情報セキュリティを定期的に診断する必要がある。
However, even if such an access rule is set, it is difficult to completely prevent unauthorized access due to a human error in the rule setting or the presence of a weak point in the system such as a security hole. Even if unauthorized access is completely prevented, it is necessary to regularly check the safe operation of the system. For this reason, it is necessary to periodically diagnose the information security of the
外部公開サーバ206、内部公開サーバ208、限定公開サーバ210、ファイアウォール204は、自装置に対する、あるいは、自装置を経由するさまざまな制御コマンドに基づくアクセス履歴を「ログファイル」に記録する。たとえば、外部端末200からTELNETプロトコルにて限定公開サーバ210に制御コマンドを送信する場合、限定公開サーバ210は外部端末200による制御内容をログファイルに記録する。また、ファイアウォール204は、中継した制御コマンドを自らのログファイルに記録する。
The external
内部公開サーバ208は、コマンドに対するレスポンスを返信することもある。この場合、内部公開サーバ208はその返信内容を自らのログファイルに記録する。ファイアウォール204は、レスポンスを中継し、その中継したレスポンスを自らのログファイルに記録する。
The internal
ファイアウォール204のログファイルと内部公開サーバ208のログファイルを突き合わせることにより、どこからどのようなアクセスがどのような経路にてなされたか、また、どのような結果が生じているかを検証できる。
By comparing the log file of the
従来、システムの管理者は、各装置のログファイルを参照して、業務情報システム10のアクセス履歴を解析していた。しかし、さまざまな装置が混在する業務情報システム220において、多くのログファイルを解析する作業は容易ではない。たとえば、ファイアウォール204によるログファイルのフォーマットと内部公開サーバ208によるログファイルのフォーマットは異なるかもしれない。
Conventionally, a system administrator analyzes an access history of the
WINDOWS(登録商標)によるイベントログの記述方法と、UNIX(登録商標)によるイベントログの記述方法は異なる。また、UNIX(登録商標)においてディレクトリ変更を指示するためのコマンドは、「cd」と「chdir」の2種類がある。このように同じ意味でありながら複数の表記が可能な場合がある。ログ解析に際して、管理者は「cd」と「chdir」が同じ意味「ディレクトリ変更」であることを知っていなければならない。管理者はさまざまな機器のログファイルの記録形式を理解しなければ正確にシステムを診断することはできない。業務情報システム220の装置構成は多種多様であるため、ログ解析にともなう作業負担は膨大なものとなりかねない。
The event log description method by WINDOWS (registered trademark) is different from the event log description method by UNIX (registered trademark). In addition, there are two types of commands for instructing directory change in UNIX (registered trademark): “cd” and “chdir”. In this way, there are cases where a plurality of notations are possible with the same meaning. For log analysis, the administrator must know that "cd" and "chdir" are equivalent to "change directory". Administrators cannot accurately diagnose the system without understanding the log file recording format of various devices. Since the device configuration of the
更に問題となるのは、ログファイルには制御コマンドだけが記録されるとは限らないことである。ログファイルには、ターゲットマシンに対するコマンドだけでなく、コマンドに対するターゲットマシンからのレスポンスも記録される。あるいは、ターゲットマシンの制御に直接関わらないテキストデータが記録されることもある。たとえば、ログファイルに「cd」という文字列が含まれていたとしても、この「cd」がディレクトリ変更を示すコマンドなのか、それともファイル名や、あるいは、ファイルに含まれる単なるテキスト情報を示すのかはログファイルの文脈から判断しなくてはならない。ログファイル解析時においては、コマンドを示す符号文、レスポンスを示す符号文、あるいは、それ以外の単なるテキスト情報を区別しなければならない。 A further problem is that not only the control command is recorded in the log file. The log file records not only the command for the target machine but also the response from the target machine for the command. Alternatively, text data not directly related to control of the target machine may be recorded. For example, even if the log file contains the string "cd", whether this "cd" is a command that indicates a directory change, whether it is a file name, or just text information included in the file. You must judge from the context of the log file. When analyzing a log file, it is necessary to distinguish between a code sentence indicating a command, a code sentence indicating a response, or other simple text information.
本実施例においては、ログ解析支援装置100を導入することにより、ログ解析にともなう管理者の作業負担軽減を図っている。
In the present embodiment, by introducing the log
ログファイルを解析して不正アクセスや障害の発生している箇所、あるいは、発生している可能性が高い箇所(以下、「危険箇所」とよぶ)を特定する作業は属人的スキルに依存する部分が多い。その一方、危険箇所の特徴をある程度の類型化することは可能である。たとえば、ログイン名やパスワードを変更しながら執拗にログインを試みたりサーバのウェルノウンポート番号を探している場合、不正アクセスの可能性がある。このような危険箇所の特徴をあらかじめ類型化しておけば、ログ解析作業の一部を自動化できると考えられる。ログ解析支援装置100は、このような考え方に基づき、ログファイルから危険箇所を自動的に抽出する機能を備える。
なお、本実施例に示すように、ログ解析支援装置100は専用ハードウェアとして提供されてもよいが、汎用コンピュータにより実行されるソフトウェアとして提供されてもよい。
Analyzing the log file to identify the location where unauthorized access or failure has occurred, or the location where there is a high possibility of occurrence (hereinafter referred to as “dangerous location”) depends on the personal skill There are many parts. On the other hand, it is possible to classify the characteristics of dangerous places to some extent. For example, if you try to log in persistently while changing your login name or password, or if you are looking for a server well-known port number, there is a possibility of unauthorized access. It is considered that a part of log analysis work can be automated if the characteristics of such dangerous places are classified in advance. Based on such a concept, the log
As shown in the present embodiment, the log
図2は、本実施例におけるログ解析の処理過程を示す模式図である。
ログ解析処理過程は、収集フェーズと診断フェーズに大別される。以下、順番に説明する。
FIG. 2 is a schematic diagram illustrating a log analysis process in the present embodiment.
The log analysis process is roughly divided into a collection phase and a diagnosis phase. Hereinafter, it demonstrates in order.
1.収集フェーズ
各装置からログを収集し蓄積するフェーズである。承認データ214は、内部公開情報や限定公開情報に対するアクセス申請であって、所定の承認権限者による承認済みの内容を示すデータである。内部公開情報の一部については、従業員であってもアクセスを禁止されるが、他の一部については、従業員はあらかじめアクセス申請をすれば、内部端末212からアクセスできる。このアクセス申請においては、アクセス予定時間、アクセス対象となるファイルやディレクトリ名などが指定される。承認されると、承認データ214として承認データベース218に蓄積される。
1. Collection phase This phase collects and accumulates logs from each device. The
ソースログ216は、ファイアウォール204や内部公開サーバ208といったさまざまな装置において記録されるログファイルであり、装置によってその記録形式はさまざまである。ソースログにおいて、ターゲットマシンに対するコマンドやターゲットマシンからのレスポンスを示す文のことを「原符号文」とよぶ。原符号文は、後述する抽象化処理を施され、「抽象符号文」に変換される。抽象化処理については図4(a)、図4(b)、図4(c)等に関連して後に詳述する。原符号文は、装置によって記載形式はさまざまであるが、抽象符号文は標準的な記録形式に基づく符号文であるため機種に依存する必要がない。抽象符号文によれば、アクセス履歴を標準的な記載形式に統一できる。原符号文の集合であるソースログは、抽象符号文の集合である抽象ログに変換され、ログデータベース230に蓄積される。
The
承認データベース218やログデータベース230には、たとえば、3年分程度の承認データ214や抽象ログが保持される。不正アクセスや障害が発生したとき、あるいは、定期診断時において、承認データ群と抽象ログ群は診断フェーズに供される。
In the
2.診断フェーズ
診断フェーズにおいては、検査対象期間、たとえば、1日分の承認データ214と抽象ログが承認スナップ232、ログスナップ234として取得される。診断処理においては、承認データと抽象ログの突き合わせが行われる。先ほどの例の場合、アクセス予定時間として申請された時間内に限って内部公開情報へのアクセスがなされているか、のように、承認データ214に示される承認内容と、抽象ログに示される実際のアクセス内容の整合性が検証される。診断の結果は診断結果データベース236に格納される。抽象ログの内容と診断結果は表示処理により画面表示される。管理者は、この画面を参照して、ログの解析を行う。
2. Diagnosis Phase In the diagnosis phase,
一方、ログスナップ234の抽象ログは、実現判定処理、危険判定処理、再抽象化処理に供される。これらの処理の結果は表示処理により画面表示されてもよい。
On the other hand, the abstract log of the
A.実現判定処理
抽象符号文に示されるコマンドがターゲットマシンにおいて実現されている可能性を判定するための処理である。たとえば、抽象符号文に先述した「cd」という文字列が含まれている場合、この「cd」はディレクトリ変更を示すコマンドであるかもしれないし、単なるテキスト情報であるかもしれない。前者であれば有効に実現されている可能性が高いが、後者であれば「ディレクトリ変更」のような操作は実行されない。また、前者の場合であっても、外部端末200からファイアウォール204を経由して、内部公開サーバ208のディレクトリ変更を指示する場合、ファイアウォール204によりコマンド転送が拒否され、内部公開サーバ208のディレクトリ変更は実行されていないかもしれない。したがって、ファイアウォール204のログファイルから「cd」コマンドが検出されても、実際にターゲットとなる内部公開サーバ208には実現されていないかもしれない。実現判定処理については、図5や図6等に関連して後述する。
A. Realization determination processing This processing is for determining the possibility that the command indicated in the abstract code sentence is realized in the target machine. For example, when the above-described character string “cd” is included in the abstract code sentence, this “cd” may be a command indicating a directory change or may be simply text information. If it is the former, there is a high possibility that it is effectively realized, but if it is the latter, an operation such as “change directory” is not executed. Even in the former case, when the
B.危険判定処理
抽象ログから危険箇所を抽出するための処理である。たとえば、ログイン名を変更しながら何度もログインに失敗している場合、不正が試みられている可能性がある。いいかえれば、このような箇所は危険箇所である可能性が高い。危険判定処理については、図8や図9等に関連して後に詳述する。
B. Danger determination process This process is used to extract a dangerous spot from the abstract log. For example, if the login name has been changed and login has failed repeatedly, fraud may have been attempted. In other words, such a place is likely to be a dangerous place. The danger determination process will be described later in detail with reference to FIGS.
C.再抽象化処理
抽象ログは、さまざまな記録形式の原符号文を抽象符号文に変換することにより生成される。このため、管理者は、さまざまな原符号文の文法を理解しなくても、抽象符号文の文法さえ理解していればアクセス履歴を解析可能である。たとえば、「cd」や「chdir」という原符号文を「ディレクトリ変更」という抽象符号文に割り当てておけば、「cd」や「chdir」というコマンド名を知らなくても抽象ログからアクセス履歴を読み取ることができる。再抽象化処理は、この抽象符号文を更にユーザ定義の変換規則にて、「ユーザ符号文」に変換するための処理である。再抽象化処理については、図4(a)、図4(b)、図4(c)において抽象化処理とあわせて説明する。
C. Re-abstraction processing Abstract logs are generated by converting original code sentences of various recording formats into abstract code sentences. For this reason, the administrator can analyze the access history without understanding the grammar of various original code sentences as long as the grammar of the abstract code sentence is understood. For example, if the original code sentence “cd” or “chdir” is assigned to the abstract code sentence “directory change”, the access history is read from the abstract log without knowing the command name “cd” or “chdir”. be able to. The re-abstraction process is a process for further converting this abstract code sentence into a “user code sentence” using a user-defined conversion rule. The re-abstraction process will be described in conjunction with the abstraction process in FIGS. 4 (a), 4 (b), and 4 (c).
本実施例におけるログ解析支援装置100は、上述した抽象化処理、実現判定処理、危険判定処理、再抽象化処理を実行することにより、ログ解析を支援するための装置である。なお、図2に示した承認データベース218やログデータベース230、承認スナップ232、ログスナップ234、診断結果データベース236は業務情報システム220に含まれる所定のデータベースにより実現されればよい。また、診断処理や表示処理はログ解析支援装置100の機能として実現されてもよいし、他の装置の機能として実現されてもよい。
The log
図3は、ログ解析支援装置100の機能ブロック図である。
ここに示す各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
ここでは、各部の機能を中心として説明し、それらの連携、データ構造、作用については、図4以降に関連して詳述する。
FIG. 3 is a functional block diagram of the log
Each block shown here can be realized in hardware by an element such as a CPU of a computer or a mechanical device, and in software it is realized by a computer program or the like. Draw functional blocks. Therefore, those skilled in the art will understand that these functional blocks can be realized in various forms by a combination of hardware and software.
Here, the function of each unit will be mainly described, and their cooperation, data structure, and operation will be described in detail with reference to FIG.
ログ解析支援装置100は、データ通信部110、ユーザインタフェース処理部120、データ処理部130およびデータ保持部170を含む。
データ通信部110は、ログの送受を行う。ユーザインタフェース処理部120は、ユーザインタフェース全般を担当する。データ処理部130は、データ通信部110やユーザインタフェース処理部120から取得されたデータを元にして各種のデータ処理を実行する。データ処理部130は、データ通信部110、ユーザインタフェース処理部120とデータ保持部170の間のインタフェースの役割も果たす。
データ保持部170は、各種データを保持するための記憶領域である。
The log
The data communication unit 110 transmits and receives logs. The user
The
データ通信部110:
データ通信部110は、ログ受信部112とログ送信部114を含む。ログ受信部112は、各種装置からソースログを受信する。ログ送信部114は、ログ解析支援装置100により生成される抽象ログを外部のログデータベース230に送出する。あるいは、抽象ログの抽象符号文をユーザ符号文に変換することにより得られる「ユーザ定義ログ」をログスナップ234等に送出する。
Data communication unit 110:
The data communication unit 110 includes a
ユーザインタフェース処理部120:
ユーザインタフェース処理部120は、入力部122と表示部124を含む。入力部122は管理者からの操作入力を受け付け、表示部124は各種情報を画面表示させる。
User interface processing unit 120:
The user
データ保持部170:
データ保持部170は、標準抽象規則保持部172、ユーザ抽象規則保持部174、別名保持部176、捨象規則保持部178、ログ保持部180、実現率テーブル保持部182および危険度テーブル保持部184を含む。標準抽象規則保持部172は、原符号文と抽象符号文を対応づける「標準抽象テーブル」を保持する。標準抽象テーブルにより、原符号文は抽象符号文に変換される。ユーザ抽象規則保持部174は、抽象符号文とユーザ符号文を対応づける「ユーザ抽象テーブル」を保持する。ユーザ抽象テーブルにより、抽象符号文はユーザ符号文に変換される。別名保持部176は、ソースログにおいて操作対象となるデータの別名を保持する。抽象ログの生成に際しては、ソースログのデータの一部は別名に変換される。詳細は後述する。
Data holding unit 170:
The
捨象規則保持部178は、抽象符号文への変換対象外となる原符号文の条件を示す「捨象規則」を保持する。捨象規則に合致する原符号文は抽象符号文に変換されない。ログ保持部180は、ソースログや、抽象ログ、ユーザ定義ログを一時的に保持する。実現率テーブル保持部182は、ログに含まれる各符号文が実際に有効に機能した可能性を判定するための「実現率テーブル」を保持する。危険度テーブル保持部184は、ログに含まれる各符号文の出現態様から、危険箇所を特定するための「危険度テーブル」を保持する。
The discard rule storage unit 178 stores a “discard rule” indicating a condition of an original code sentence that is not subject to conversion to an abstract code sentence. An original code sentence that matches the discard rule is not converted to an abstract code sentence. The
データ処理部130:
データ処理部130は、抽象化部132、実現判定部140および危険判定部160を含む。抽象化部132は、符号文の抽象化を実行する。抽象化部132は、標準抽象化部134とユーザ抽象化部136を含む。標準抽象化部134は、標準抽象テーブルを参照して、原符号文を抽象符号文に変換することにより、抽象ログを生成する。すなわち、標準抽象化部134は、図2の抽象化処理を実行する。先に例示した「cd」や「chdir」であれば抽象符号文「ディレクトリ変更」に変換される。また、ターゲットマシンへのアクセス成功を示す原符号文は「ログオン」、「ログイン」あるいは「アクセス許可」のようにさまざまな記録形式にてソースログに記録されるかもしれない。標準抽象テーブルにおいては、これら3つの原符号文に対して「ログイン成功」という1つの抽象符号文が対応づけられている。標準抽象化部134は、ソースログから「ログオン」、「ログイン」あるいは「アクセス許可」のいずれの原符号文が検出されても、抽象ログには「ログイン成功」という抽象符号文として記録する。このほかにも、抽象化処理には、別名による言い換え、捨象規則による原符号文の捨象などがあるが、これらについては後述する。
Data processing unit 130:
The
ユーザ抽象化部136は、ユーザ抽象テーブルを参照して、抽象符号文をユーザ符号文に変換することにより、ユーザ定義ログを作成する。すなわち、ユーザ抽象化部136は、図2の再抽象化処理を実行する。管理者は、入力部122を介してユーザ抽象テーブルを任意に設定できる。たとえば、「ログイン成功」という抽象符号文に対して「システム使用開始」といった任意のユーザ符号文を対応づけてもよい。さまざまな記録形式の原符号文を、標準的な抽象符号文に変換するだけでなく、更に、管理者の理解しやすいユーザ符号文に変換してユーザ定義ログを生成できる。再抽象化処理により、管理者に対応してログファイルの可読性を高めることができる。たとえば、英語表記の抽象符号文であれば、日本語や中国語などの多言語のユーザ符号文を対応づけてもよい。ユーザ抽象テーブルにおいてこのような対応付けを行うことにより、抽象ログを簡単にローカライズできる。
なお、本実施例においては、抽象符号文からユーザ符号文を生成するとして説明するが、変形例として、原符号文から直接ユーザ符号文を生成してもよい。この場合には、ユーザ抽象テーブルにおいては、原符号文とユーザ符号文が対応づけられることになる。
The
In this embodiment, the user code sentence is generated from the abstract code sentence. However, as a modification, the user code sentence may be directly generated from the original code sentence. In this case, the original code sentence and the user code sentence are associated with each other in the user abstract table.
実現判定部140は、抽象符号文により示されるコマンドがターゲットマシンに有効に機能している可能性を「実現率」として判定する。実現率の判定は、実現率判定テーブルに基づいて実行される。すなわち、実現判定部140は、図2の実現判定処理を実行する。実現判定部140は、出現階層特定部142、実現箇所判定部144、ログ要約部146、実現率調整部148および実現テーブル生成部150を含む。
The
出現階層特定部142は、各符号文の出現階層を特定する。「出現階層」とは、ログファイルにおいて、判定対象となる符号文が基準となる符号文からどのくらい後に実行されているかを示す概念である。詳細は図5以降に関連して詳述する。実現率テーブルにおいては、符号文の出現階層とその実現率が対応づけられている。実現箇所判定部144は、実現率テーブルを参照し、符号文の出現階層から実現率を特定する。実現箇所判定部144は、実現率が所定の閾値以上となる符号文を「実現符号文」、所定の閾値未満となる符号文を「非実現符号文」として抽出する。ログ要約部146は、抽象ログから実現符号文だけを抽出することにより、抽象ログの中でも実際に実現した可能性が高い抽象符号文のみを含む要約としての抽象ログを生成する。実現率調整部148は、レスポンスを示す抽象符号文を検出したときに、対応コマンド符号文の実現率を調整する。実現テーブル生成部150は、管理者からの入力にしたがって実現率テーブルを生成する。
The appearance
危険判定部160は、抽象符号文の出現態様から危険箇所を特定する。危険箇所の特定は、危険度テーブルに基づいて実行される。危険度テーブルにおいては、抽象符号文の出現態様と危険度が対応づけられている。すなわち、図2の危険判定処理は、危険判定部160により実行される。
The
危険判定部160は、危険度特定部162、危険箇所抽出部164および危険度テーブル生成部166を含む。危険度特定部162は、危険度テーブルに基づいて、抽象符号文の危険度を特定する。危険箇所抽出部164は、特定された危険度が所定の閾値以上となる箇所を危険箇所として特定する。危険度テーブル生成部166は、管理者からの入力にしたがって危険度テーブルを生成する。
The
図4(a)、図4(b)、図4(c)は、符号文の抽象化を説明するための模式図である。ここでは、原符号文を抽象符号文に変換する場合を例として説明するが、基本的な考え方は抽象符号文からユーザ符号文への変換についても同様である。本実施例における抽象化は、「変更」、「詳細化」、「捨象」の3つに大別される。 FIG. 4A, FIG. 4B, and FIG. 4C are schematic diagrams for explaining the abstraction of the code sentence. Here, a case in which an original code sentence is converted to an abstract code sentence will be described as an example, but the basic concept is the same for conversion from an abstract code sentence to a user code sentence. The abstraction in this embodiment is roughly classified into “change”, “detail”, and “rejection”.
「変更」とは、原符号文を別の表現に置き換えることにより抽象符号文を生成することである。たとえば、「cd」や「chdir」といった原符号文を「ディレクトリ変更」といった抽象符号文に言い換えるパターンが当てはまる。原符号文と抽象符号文は、基本的に1対1、あるいは、m対n対応となる(m≧n)。 “Change” is to generate an abstract code sentence by replacing the original code sentence with another expression. For example, a pattern in which an original code sentence such as “cd” or “chdir” is replaced with an abstract code sentence such as “directory change” is applicable. The original code sentence and the abstract code sentence basically correspond to one-to-one or m to n (m ≧ n).
「詳細化」とは、原符号文の示す内容を複数の抽象符号文に変換することである。たとえば、n個の原符号文にて示されるアクセスの内容をそれよりも多いm個の抽象符号文により示す場合が該当する。たとえば、「find "穴田" kokyaku.txt」という1つの原符号文は、「kokyaku.txt」というテキストファイルから、「穴田」という単語をサーチするためのコマンドを示す。この場合、「find "穴田" kokyaku.txt」という原符号文は、「テキスト検索」、「kokyaku.txtを選択」、「検索対象は"穴田"」という3つの抽象符号文を変換される。このような変換によれば、ソースログよりも抽象ログの方が処理内容を理解しやすくなる。実際に実行されるコマンドはシンプルでありながら、抽象ログにおける処理内容の可読性を高めることができる。 “Refinement” is to convert the contents indicated by the original code sentence into a plurality of abstract code sentences. For example, this corresponds to the case where the contents of access indicated by n original code sentences are indicated by m more abstract code sentences. For example, one original code sentence “find“ anada ”kokyaku.txt” indicates a command for searching for a word “anada” from a text file “kokyaku.txt”. In this case, the original code sentence “find“ anada ”kokyaku.txt” is converted into three abstract code sentences “text search”, “select kokyaku.txt”, and “search target is“ anada ””. Such conversion makes it easier to understand the processing contents of the abstract log than the source log. Although the command actually executed is simple, the readability of the processing content in the abstract log can be improved.
「捨象」とは、原符号文のうちの一部を変換対象から除外することをいう。たとえば、「find」という検索コマンドを示す原符号文の次の原符号文として「not found」のように検索失敗を示すレスポンスが記述されているときには、この検索コマンドはアクセス履歴において重要な意味を持たない。このような原符号文を変換対象から除外することにより、管理者は、抽象ログにおいて処理の流れを読み取りやすくなる。あるいは、「ファイルの中身を見るためのコマンド」や「ファイルを検索するためのコマンド」のように、システムのデータに直接影響しないコマンドを変換対象外としてもよい。捨象規則においては、このように変換対象から除外すべき原符号文の条件が設定される。 “Abandonment” means that a part of the original code sentence is excluded from the conversion target. For example, when a response indicating search failure is described as “not found” as the next original code sentence indicating the search command “find”, this search command has an important meaning in the access history. do not have. By excluding the original code sentence from the conversion target, the administrator can easily read the processing flow in the abstract log. Alternatively, commands that do not directly affect system data, such as “commands for viewing the contents of files” and “commands for searching for files” may be excluded from conversion. In the discard rule, the conditions of the original code sentence to be excluded from the conversion target are set in this way.
図4(a)は、符号文の抽象化のうち変更の一例を説明するための模式図である。
左のログは、ログイン時においてあるOSにより記録されたソースログを示す。このソースログの場合、「528」等のイベントIDにて識別される3つの原符号文によりログインが示されている。標準抽象テーブルにおいては、これら3つの原符号文に対してイベントID「100」、説明文「ログイン成功」という抽象符号文が対応づけられている。このため、標準抽象化部134は、ソースログの3つの原符号文を「ログイン成功」という1つの抽象符号文に変換して抽象ログに記録する。3つの原符号文が1つの抽象符号文に変換されるため、ソースログよりも抽象ログの方がシンプルで読みやすくなっている。
FIG. 4A is a schematic diagram for explaining an example of the change in the abstraction of the code sentence.
The log on the left shows a source log recorded by an OS at the time of login. In the case of this source log, login is indicated by three original code sentences identified by an event ID such as “528”. In the standard abstract table, an abstract code sentence with an event ID “100” and an explanation sentence “successful login” is associated with these three original code sentences. Therefore, the standard abstraction unit 134 converts the three original code sentences of the source log into one abstract code sentence “successful login”, and records it in the abstract log. Since the three original code sentences are converted into one abstract code sentence, the abstract log is simpler and easier to read than the source log.
図4(b)は、符号文の抽象化のうちの変更の別例を説明するための模式図である。
左のログは、ログイン時において図4(a)にかかるOSとは別のOSにより記録されたソースログを示す。このソースログの場合、「9:1」等のイベントIDにて識別される2つの原符号文によりログインが示されている。標準抽象テーブルにおいては、これら2つの原符号文に対しても先述した抽象符号文「ログイン成功」が対応づけられている。標準抽象化部134は、ソースログの2つの原符号文を「ログイン成功」という1つの抽象符号文に変換して抽象ログに記録する。
FIG. 4B is a schematic diagram for explaining another example of the change in the abstraction of the code sentence.
The log on the left shows a source log recorded by an OS different from the OS according to FIG. In the case of this source log, login is indicated by two original code sentences identified by an event ID such as “9: 1”. In the standard abstract table, the above-described abstract code sentence “login success” is associated with these two original code sentences. The standard abstraction unit 134 converts the two original code sentences of the source log into one abstract code sentence “successful login” and records it in the abstract log.
図4(a)のソースログに示されるアクセス内容と図4(b)のソースログに示されるアクセス内容は表現は異なっていても意味は全く同じである。このため、生成される抽象ログは、同一表現となっている。抽象符号文への変換により、ソフトウェアやハードウェア、プロトコルの違いに依存しないロジカルな抽象ログを生成できる。 The access contents shown in the source log of FIG. 4A and the access contents shown in the source log of FIG. 4B have exactly the same meaning even if the expressions are different. For this reason, the generated abstract logs have the same expression. By converting to an abstract code sentence, a logical abstract log that does not depend on differences in software, hardware, or protocols can be generated.
図4(c)は、符号文の抽象化のうち詳細化を説明するための模式図である。
左のログは、SQL(Structured Query Language)文として「A-TABLE」というテーブルデータを選択するときに記録されるソースログを示す。標準抽象テーブルにおいては、この原符号文「SELECT X」に「データ管理者権限の使用」、「Xの参照」という2つの抽象符号文が対応づけられている。ここでは「X」に相当する部分が「A-TABLE」なので「Xの参照」という抽象符号文は「A-TABLEの参照」となっている。
図4(c)に示す抽象化の場合、「SELECT X」という1つの原符号文によって示されるコマンドが2つの抽象符号文によって詳細化されている。このため、ソースログよりも抽象ログの方が、ターゲットマシンに対して実行されたアクセスの内容をより詳細に理解しやすくなっている。
FIG. 4C is a schematic diagram for explaining the details of the abstraction of the code sentence.
The log on the left shows a source log recorded when table data “A-TABLE” is selected as an SQL (Structured Query Language) statement. In the standard abstract table, this abstract code sentence “SELECT X” is associated with two abstract code sentences “use of data administrator authority” and “reference X”. Here, since the portion corresponding to “X” is “A-TABLE”, the abstract code sentence “X reference” is “A-TABLE reference”.
In the case of the abstraction shown in FIG. 4C, the command indicated by one original code sentence “SELECT X” is detailed by two abstract code sentences. For this reason, the abstract log makes it easier to understand the details of the access executed on the target machine than the source log.
更に、抽象ログにおいては、「SELECT」文による操作対象となるデータ「A-TABLE」を「A-TABLE(個人情報)」に表記変換している。別名保持部176は、「A-TABLE」の別名として「テーブルA(個人情報)」を対応づけて保持している。別名は、管理者により適宜設定されてもよい。このような別名への変換により、「個人情報データにかかわるAというテーブルを参照している」というアクセス内容がいっそう理解しやすくなる。データの内容を説明するための別名を用意しておくことにより、抽象ログの可読性をいっそう高めることができる。
Further, in the abstract log, the data “A-TABLE” to be operated by the “SELECT” statement is converted to “A-TABLE (personal information)”. The
別例として、ユーザID「ade」に該当する正式なユーザ名が「穴寺」であるとする。原符号文において「ade login」のように「ade」がログインした旨が示されているときには、抽象符号文においては「穴寺:ログイン成功」のようにデータ「ade」を「穴寺」という別名に変換してもよい。このような別名変換によれば、誰がログインしたのかを抽象ログから読み取りやすくなる。 As another example, it is assumed that the official user name corresponding to the user ID “ade” is “anaji”. When the original code indicates that “ade” is logged in as “ade login”, the data “ade” is called “anaji” in the abstract code as “anaji: successful login”. It may be converted to an alias. Such alias conversion makes it easy to read from the abstract log who logged in.
図4(a)、図4(b)、図4(c)については、標準抽象化部134による抽象化処理を対象として説明したが、基本的な考え方はユーザ抽象化部136による再抽象化処理についても同様である。ユーザ抽象化部136は、ユーザ抽象テーブルを参照して、抽象符号文を、変更、詳細化、捨象することにより、管理者にとって読み取りやすい形式のユーザ定義ログを生成する。
4 (a), 4 (b), and 4 (c) have been described with reference to the abstraction processing by the standard abstraction unit 134, but the basic concept is re-abstraction by the
抽象化の発展例として、ユーザIDの統一およびファイル名の統一という観点から2例説明する。
オフィスの入退室管理装置(図示せず)からもソースログを取得可能であるとする。社員は、オフィス入退室時において、社員番号の記録されたICカードを入退室管理装置のセンサにかざす。このとき、入退室管理装置は社員番号と入退室時刻を対応づけたソースログを生成する。ここでユーザ(社員)を特定する情報は「社員番号」となる。
また、このユーザは、オフィスにある所定のサーバにログインするとき、このサーバ用にユーザがあらかじめ登録しているログインIDを使用する。したがって、このサーバがユーザを特定する情報は「ログインID」となる。本来同一ユーザの行動でありながら、装置によって別々のIDによってユーザ行動が管理されることになる。
ログ解析支援装置100は、ユーザを一意に特定するための「統一ユーザID」に対して、ログインIDや社員番号を対応づけて保持するユーザ管理部(図示せず)を備える。そして、ログ解析支援装置100の名前変換部(図示せず)は、入退室管理装置やサーバから得られるソースログ中の社員番号やログインIDを統一ユーザIDに変換する。このような態様によれば、入退室管理装置とサーバという本来別々の装置から得られるソースログを突き合わせて、ユーザごとの行動を把握しやすくなる。
Two examples of abstraction will be described from the viewpoint of unifying user IDs and unifying file names.
It is assumed that the source log can be acquired also from an office entrance / exit management device (not shown). When entering or leaving the office, the employee holds the IC card on which the employee number is recorded over the sensor of the entrance / exit management device. At this time, the entry / exit management device generates a source log in which the employee number is associated with the entry / exit time. Here, the information specifying the user (employee) is “employee number”.
Further, when the user logs in to a predetermined server in the office, the user uses a login ID registered in advance for the server. Therefore, information for identifying a user by this server is a “login ID”. Although the behavior is originally the same user, the user behavior is managed by the device with different IDs.
The log
また、業務システムAと業務システムBにおいて、あるファイルCを共用するとする。このとき、業務システムAでは、ファイルCを独自の命名規則にてファイル名「A’」に設定して処理する。一方、業務システムBでは、ファイルCを独自の命名規則にてファイル名「B’」に設定して処理する。ファイル名「A’」とファイル名「B’」は、共に、ファイルCの別名として業務システムAや業務システムBのファイル名命名規則に基づいて設定されることになる。本来同一ファイルでありながら、装置によって別々のファイル名によって管理されることになる。
ログ解析支援装置100は、ファイルを一意に特定するための統一ファイル名「C」に対して、業務システムAにおけるファイル名「A’」、業務システムBにおけるファイル名「B’」とを対応づけて保持するファイル管理部(図示せず)を備える。そして、ログ解析支援装置100の名前変換部(図示せず)は、業務システムAや業務システムBから得られるソースログ中のファイル名「A’」やファイル名「B’」を本来の統一ファイル名「C’」に変換する。このような態様によれば、本来は同じファイルでありながら、システムの命名規則が異なる故に、別々の名前にて取り扱われる場合であっても、各システムから得られるソースログを突き合わせて、ファイル操作の流れを把握しやすくなる。
Further, it is assumed that a file C is shared between the business system A and the business system B. At this time, the business system A sets the file C to the file name “A ′” according to its own naming rule and processes it. On the other hand, in the business system B, the file C is processed with the file name “B ′” set according to a unique naming rule. Both the file name “A ′” and the file name “B ′” are set based on the file name naming rules of the business system A and the business system B as aliases for the file C. Although they are originally the same file, they are managed by different file names depending on the device.
The log
図5は、出現階層と実現率の関係を説明するための模式図である。
ここではSQLに似た記法による抽象ログを例として説明する。通常、抽象ログにはさまざまなテキスト情報が含まれる。これらのテキスト情報は、ターゲットマシンに対するコマンドやターゲットマシンからのレスポンスといった操作に関わる内容を示しているかもしれない。あるいは、単なる変数名やコメントを示しているだけかもしれない。出現階層特定部142は、抽象符号文の出現階層を特定し、実現箇所判定部144は実現率テーブルを参照して、出現階層から実現率を特定する。実現率テーブルは、抽象符号文の出現階層と実現率を対応づけるテーブルである。実現率テーブルの詳細は次の図6に関連して説明する。
FIG. 5 is a schematic diagram for explaining the relationship between the appearance hierarchy and the realization rate.
Here, an abstract log using a notation similar to SQL will be described as an example. An abstract log usually contains various text information. Such text information may indicate contents related to operations such as commands to the target machine and responses from the target machine. Or it may just indicate a variable name or comment. The appearance
1行目「START」は、基準となる符号文であって、この符号文の出現階層は第0階層であり、次の符号文の出現階層は第1階層となる。したがって、2行目の「CREATE A-TABLE」の出現階層は第1階層となる。実現率テーブルにおいては、第1階層に「CREATE」文が出現するときには、次の符号文は第2階層である旨が定義されている。したがって、3行目の「ORA-00 NOT AUTHORISED」の出現階層は第2階層となる。3行目は、2行目の「CREATE A-TABLE」コマンドが失敗した旨を示すレスポンス符号文である。次の符号文の出現階層は、失敗コマンド「CREATE A-TABLE」の出現階層に戻る。したがって、4行目の符号文の出現階層は第1階層となる。 The first line “START” is a reference code sentence. The appearance hierarchy of this code sentence is the 0th hierarchy, and the appearance hierarchy of the next code sentence is the first hierarchy. Therefore, the appearance hierarchy of “CREATE A-TABLE” in the second row is the first hierarchy. In the realization rate table, when a “CREATE” sentence appears in the first layer, it is defined that the next code sentence is the second layer. Therefore, the appearance hierarchy of “ORA-00 NOT AUTHORISED” in the third row is the second hierarchy. The third line is a response code sentence indicating that the “CREATE A-TABLE” command in the second line has failed. The appearance hierarchy of the next code sentence returns to the appearance hierarchy of the failure command “CREATE A-TABLE”. Therefore, the appearance hierarchy of the code sentence on the fourth line is the first hierarchy.
5行目は、再び基準となる符号文「START」であるため、第0階層となる。以下、同様にして、6行目は第1階層、7行目は第2階層となる。7行目の「B-TABLE SUCCESS」は、6行目の「CREATE B-TABLE」コマンドが成功した旨を示すレスポンス符号文である。次の符号文の出現階層は、成功コマンド「CREATE B-TABLE」の出現階層に戻る。したがって、8行目の符号文の出現階層は第1階層となる。出現階層特定部142は、後述の実現率テーブルに設定されているルールにしたがって、抽象符号文それぞれの「出現階層」を特定する。一般的には、処理が進むほど出現階層は深くなる。出現階層は、基準となる符号文から対象となる符号文までの間に実行された符号文の数に応じて変化する。ここでいう基準となる符号文は、「START」のような所定符号文であってもよいし、対象となる符号文の直前の符号文であってもよい。
The fifth line is the 0th layer because the code sentence “START” is the reference again. Similarly, the sixth row is the first layer and the seventh row is the second layer. “B-TABLE SUCCESS” on the seventh line is a response code sentence indicating that the “CREATE B-TABLE” command on the sixth line is successful. The appearance hierarchy of the next code sentence returns to the appearance hierarchy of the success command “CREATE B-TABLE”. Therefore, the appearance hierarchy of the code sentence on the eighth line is the first hierarchy. The appearance
実現率テーブルにおいては、符号文の出現階層と実現率が対応づけられている。たとえば、「CREATE」文の出現階層が第1階層であるとき実現率30%として設定されている。実現箇所判定部144は、2行目の抽象符号文を検出すると、第1階層なので実現率30%と特定する。 In the realization rate table, the code sentence appearance hierarchy and the realization rate are associated with each other. For example, when the appearance hierarchy of the “CREATE” sentence is the first hierarchy, the realization rate is set to 30%. The realization location determination unit 144, when detecting the abstract code sentence in the second row, identifies the realization rate as 30% because it is the first layer.
3行目には、この「CREATE」文の失敗を示すレスポンスが現れている。「CREATE」文の失敗が確定的に示されたため、実現率調整部148は、3行目の「CREATE」文の実現率を0%に変更する。抽象ログを2行目まで検証した段階では、「CREATE」文の出現態様によりその実現率が30%と推定されるが、3行目まで検証したときに、この「CREATE」文が実現していないことが確定することになる。 On the third line, a response indicating the failure of the “CREATE” statement appears. Since the failure of the “CREATE” statement is definitely shown, the realization rate adjustment unit 148 changes the realization rate of the “CREATE” statement on the third line to 0%. At the stage where the abstract log is verified to the second line, the realization rate is estimated to be 30% due to the appearance of the "CREATE" sentence, but when the third line is verified, this "CREATE" sentence is realized. It will be confirmed that there is not.
6行目には、第1階層にて「CREATE」文が出現しているため、2行目のときと同じく実現率は30%と推定される。7行目にはこの「CREATE」文の成功が示されている。この場合、実現率調整部148は、実現率を100%に変更する。 In the sixth line, since the “CREATE” sentence appears in the first hierarchy, the realization rate is estimated to be 30% as in the second line. The seventh line shows the success of this “CREATE” statement. In this case, the realization rate adjustment unit 148 changes the realization rate to 100%.
コマンドに対するレスポンスがログファイルに残っていれば、コマンドの成否を判定できる。しかし、ネットワークの一時的な切断によりレスポンスが返ってこないこともあれば、処理速度の関係からレスポンス不要に設定される場合もある。このような場合、ログファイルに含まれる文字列がコマンドを示すのか、また、コマンドであってもターゲットマシンに対して有効に機能しているかを判定するには、ログファイル全体の文脈から判断しなければならない。 If the response to the command remains in the log file, the success or failure of the command can be determined. However, a response may not be returned due to a temporary disconnection of the network, or a response may not be required due to the processing speed. In such a case, to determine whether the character string included in the log file indicates a command, and whether the command is functioning effectively for the target machine, determine from the context of the entire log file. There must be.
実現箇所判定部144は、符号文の出現階層と実現率の関係を示す実現率テーブルを参照して、各符号文が実現された可能性を判定する。これは、コマンドごとに出現しやすい出現階層が異なるという経験則に基づく。たとえば、「CREATE」文は比較的深い出現階層で実行されるのが通常であるとする。この場合、実現率テーブルにおいては、「CREATE」の出現階層が深いときには浅いときに比べて高い実現率を設定すればよい。一方、浅い出現階層にて文字列「CREATE」が現れたときには、コマンドではなく単なるテキスト情報である可能性が高い。このときには、実現率が低く設定される。実現率は、コマンド的な記載内容の符号文が現実に実行されたコマンドであるか単なるテキストであるかをその出現階層から判断するための判定基準として、管理者の経験則に基づいて設定されればよい。 The realization location determination unit 144 refers to the realization rate table indicating the relationship between the appearance hierarchy of the code sentence and the realization rate, and determines the possibility that each code sentence has been realized. This is based on an empirical rule that the appearance hierarchy that is likely to appear for each command is different. For example, a “CREATE” statement is usually executed in a relatively deep appearance hierarchy. In this case, in the realization rate table, a higher realization rate may be set when the appearance hierarchy of “CREATE” is deep than when it is shallow. On the other hand, when the character string “CREATE” appears in a shallow appearance hierarchy, there is a high possibility that it is not text data but simple text information. At this time, the realization rate is set low. The realization rate is set based on the empirical rules of the administrator as a criterion for judging whether the code statement with the command description is actually executed command or simple text from its appearance hierarchy. Just do it.
ログ要約部146は、抽象ログから、実現率が所定閾値、たとえば、60%以上となる実現符号文のみを含む新たな抽象ログを生成してもよい。 The log summarizing unit 146 may generate a new abstract log including only an actual code sentence having an implementation rate of a predetermined threshold, for example, 60% or more, from the abstract log.
なお、本実施例における実現判定処理は抽象ログを対象として実行されるが、変形例として、ソースログやユーザ定義ログを対象として実現判定処理を実行してもよい。 Note that although the implementation determination process in the present embodiment is executed for an abstract log, the implementation determination process may be executed for a source log or a user-defined log as a modification.
図6は、実現率テーブルのデータ構造図である。
抽出符号欄190は、抽象ログから抽出対象となる文字列を示す。第1実現判定欄192や第2実現判定欄194は、抽出符号欄190に示される文字列の出現階層、次の符号文の出現階層、実現率の関係を示す。第1実現判定欄192によれば、「CREATE」というテキストが第0階層に出現したときには、次の符号文の出現階層は第0階層に設定され、「CREATE」の実現率は5%として特定されることになる。第2実現判定欄194によれば、「CREATE」というテキストが第1階層に出現したときには、次の符号文の出現階層は第2階層に設定され、実現率は30%として特定されることになる。
FIG. 6 is a data structure diagram of the realization rate table.
The
「SUCCESS」の場合、第1実現判定欄192によれば、第1階層で出現した場合、次の符号文の出現階層も第1階層であり、「SUCCESS」の前に実行されたコマンド符号文の実現率は5%として特定されることになる。第2実現判定欄194によれば、第2階層で出現した場合、次の符号文の出現階層は第1階層であり、「SUCCESS」の前に実行されたコマンド符号文の実現率は100%として特定されることになる。「NOT AUTH」の場合、第1実現判定欄192によれば、第1階層で出現した場合、次の符号文の出現階層も第1階層であり、対応コマンド符号文の実現率は0%として特定される。第2実現判定欄194によれば、第2階層で出現した場合、次の符号文の出現階層は第1階層であり、「NOT AUTH」の前に実行されたコマンド符号文の実現率は0%として特定されることになる。すなわち、「NOT AUTH」は、コマンド失敗を示すレスポンス符号文に関わる。
In the case of “SUCCESS”, according to the first
実現率テーブルにおいてどのようなルールを設定するかは管理者の自由である。どのようなテキストがどのような出現階層に出現したとき、想定されるべき実現率をどのように特定し、次の符号文の出現階層をどのように特定するかは管理者のログ解析経験に基づいてルール化されればよい。このような態様によれば、ログ解析経験豊かな管理者が実現率テーブルを設定することにより、経験の浅いシステム管理者であっても注視すべき箇所、すなわち、実現している可能性が高い箇所とそうでない箇所を見極めやすくなる。 It is up to the administrator what rules are set in the realization rate table. It is based on the log analysis experience of the administrator how to specify the realization rate that should be assumed when what text appears in what appearance hierarchy, and how to specify the appearance hierarchy of the next code sentence. It suffices to make rules based on this. According to such an aspect, an administrator with log analysis experience sets the realization rate table, so that even an inexperienced system administrator should be watched, that is, is likely to be realized. This makes it easier to identify where and when not.
図7は、実現率テーブル設計画面250の画面図である。
管理者は、図6に示した抽出符号欄190や第1実現判定欄192に直接テキストや数値を記入することにより、実現率テーブルを設計してもよい。あるいは、所定の抽象ログを対象として出現階層や実現率を設定することにより、実現率テーブルを自動生成できる。実現率テーブル設計画面250は、テスト用の抽象ログをベースとして、実現率テーブルを生成するための入力画面である。
FIG. 7 is a screen diagram of the realization rate
The administrator may design the realization rate table by directly entering text or numerical values in the
実現率テーブルの編集に際して、表示部124は、実現率テーブル設計画面250を表示させる。ログ保持部180に保持される抽象ログのうち、テスト用ログとして管理者に指定された抽象ログがログ表示領域252に表示される。管理者は、出現階層領域254に各符号文ごとの出現階層制御ルールを入力する。
When editing the realization rate table, the
同図では、1行目の「START」に対しては「+1」が入力されている。基準となる「START」の出現階層は第0階層であるため、2行目の出現階層は第1階層となる。2行目には「+1」が入力されているため、3行目の出現階層は第2階層となる。このような入力により、2行目の符号文のうちの選択文字列「CREATE」について、「出現階層が第1階層であるとき次の符号文の出現階層は第2階層」というルールが設定される。
なお、ここでは、出現階層領域254にて出現階層の変化量を設定するとして説明したが、出現階層領域254に変化後の出現階層そのものを設定してもよい。
In the figure, “+1” is input for “START” in the first row. Since the reference “START” appearance hierarchy is the 0th hierarchy, the appearance hierarchy in the second row is the first hierarchy. Since “+1” is input in the second line, the appearance hierarchy in the third line is the second hierarchy. With such an input, for the selected character string “CREATE” in the code sentence on the second line, the rule “the appearance hierarchy of the next code sentence is the second hierarchy when the appearance hierarchy is the first hierarchy” is set. The
Here, the change in the appearance hierarchy is set in the
このような態様によれば、テスト用の抽象ログに対して出現階層を設定していくだけで、実現テーブル生成部150は、各符号文についての出現階層制御ルールを自動的に実現率テーブルに反映させる。実現率についても同様である。2行目に「30%」と設定すれば、実現テーブル生成部150は、第1階層における「CREATE」文字列により示されるコマンドの実現率は30%というルールを実現率テーブルに設定する。また、第1階層の「CREATE」の実現率を30%として設定し、別の部分で第1階層の「CREATE」の実現率を50%として設定したとする。この場合には、その平均をとって、「第1階層の「CREATE」の実現率は40%」というルールを設定してもよい。
また、実績に基づく確率統計処理により実現率を設定・調整してもよい。たとえば、第1階層に出現する「CREATE」文は100箇所あり、そのうち、30箇所が実際に実現されているという実績データが得られるときには、30÷100=30%として実現率を設定してもよい。このような設定方法によれば、実際の運用に基づく実績データが蓄積されるほど、合理的な実現率設定が可能となる。
According to such an embodiment, simply by setting the appearance hierarchy for the test abstract log, the realization
In addition, the realization rate may be set and adjusted by probability statistical processing based on results. For example, there are 100 “CREATE” statements that appear in the first hierarchy, and when actual data is obtained that 30 of them are actually realized, even if the achievement rate is set as 30 ÷ 100 = 30% Good. According to such a setting method, as the performance data based on the actual operation is accumulated, a rational realization rate can be set.
図8は、危険度テーブルのデータ構造図である。
危険度特定部162は、危険度テーブルにしたがって抽象符号文ごとの危険度を特定する。そして、危険箇所抽出部164は、特定された危険度に基づいて抽象ログの危険箇所を特定する。抽出符号欄260は、抽象ログから抽出対象となる文字列を示す。条件欄262は、危険度制御判定のための条件を示す。危険度欄264は、危険度を示す。
FIG. 8 is a data structure diagram of the risk degree table.
The risk
たとえば、「abc.txt」という名前のファイルを取得する行為は、危険度「30」として設定されている。一方、ログインに失敗するという行為は、危険度「15」として設定される。一方、管理者権限によるログイン失敗は、より高い危険度「25」が設定されている。 For example, the act of acquiring a file named “abc.txt” is set as a risk “30”. On the other hand, the act of failing in login is set as a risk “15”. On the other hand, a higher risk “25” is set for the login failure due to the administrator authority.
図9は、危険度判定処理を説明するための抽象ログを示す図である。
この抽象ログの1行目においては、「ログイン失敗」という抽象符号文が記述されている。危険度特定部162は、危険度テーブルにより、1行目の抽象符号文の危険度を「15」と特定する。2行目においても再び「ログイン失敗」という抽象符号文が記述されている。危険度特定部162は、2行目の抽象符号文の危険度を1行目の危険度との累計として「30(=15+15)」と特定する。ログインに2回連続で失敗しているため、危険度が高まっている。
FIG. 9 is a diagram showing an abstract log for explaining the risk determination processing.
In the first line of the abstract log, an abstract code sentence “login failure” is described. The risk
3行目でログインに成功し、4行目で「T-SERVER」という名前のコンピュータにFTP接続、5行目で「abc.txt」というファイルを取得している。3行目の危険度は30のまま、4行目の危険度は40(=30+10)、5行目の危険度は70(=40+30)となる。危険箇所抽出部164は、危険度が所定値、たとえば、50を越える抽象符号文が「危険箇所」に該当するとしてマークをつける。ここでは、「abc.txtを取得」という抽象符号文にマークがつけられることになる。ログインに2回失敗した後にログイン成功し、内部公開サーバ208や限定公開サーバ210のような重要なサーバである「T-SERVER」にFTP接続がなされ、また、重要なファイルである「abc.txt」の取得がなされているため、不正が発生している可能性があると自動推定されることになる。
Login succeeded in the third line, FTP connection to the computer named “T-SERVER” in the fourth line, and “abc.txt” file in the fifth line. The risk level on the third line remains 30 and the risk level on the fourth line is 40 (= 30 + 10), and the risk level on the fifth line is 70 (= 40 + 30). The dangerous
危険度テーブルにおいてどのようなルールを設定するかは管理者の自由である。どのような符号文がどのような条件にて出現したとき、危険度がどの程度かという判断は管理者のログ解析経験に基づいてルール化されればよい。このような態様によれば、経験の浅いシステム管理者であっても注視すべき箇所、すなわち、危険箇所とそうでない箇所を見極めやすくなる。 It is up to the administrator to determine what rules are set in the risk table. What kind of code sentence appears under what conditions may be determined as a rule based on the log analysis experience of the administrator. According to such an aspect, even an inexperienced system administrator can easily identify a spot to be watched, that is, a dangerous spot and a spot that is not.
なお、変形例として、抽象符号文が進むごとに危険度が所定値、たとえば、5ずつ低下するとしてもよい。この場合、
1行目:ログイン失敗:危険度15
2行目:ログイン失敗:危険度25(=15+15−5)
3行目:ログイン成功:危険度20(=25+0−5)
4行目:FTP T-SERVER:危険度25(=20+10−5)
5行目:abc.txtを取得:危険度55(=25+30−5)
となる。このような態様によれば、抽象ログの中でも短期間に危険度が上昇している箇所を危険箇所として特定しやすくなる。
As a modification, each time the abstract code sentence progresses, the degree of danger may be decreased by a predetermined value, for example, by 5. in this case,
First line: Login failure:
2nd line: Login failure: Risk 25 (= 15 + 15-5)
3rd line: Successful login: Risk 20 (= 25 + 0-5)
4th line: FTP T-SERVER: Risk 25 (= 20 + 10-5)
5th line: Get abc.txt: Risk 55 (= 25 + 30-5)
It becomes. According to such an aspect, it becomes easy to identify a part where the degree of danger has increased in a short time in the abstract log as a dangerous part.
危険度判定処理は複数の抽象ログに基づいて実行することもできる。たとえば、外部端末200からファイアウォール204を経由して内部公開サーバ208にアクセスする場合、そのアクセス履歴はファイアウォール204のログファイルと内部公開サーバ208のログファイルの両方に記録されることになる。
The risk determination process can also be executed based on a plurality of abstract logs. For example, when the
たとえば、以下の運用ルールを想定する。
1.外部端末200から業務情報システム220には2時間以上アクセスを継続してはならない。
2.外部端末200から内部公開サーバ208には10分以上アクセスを継続してはならない。内部端末212から内部公開サーバ208には3時間以上アクセスを継続してはならない。
For example, assume the following operational rules:
1. Access from the
2. Access from the
ファイアウォール204のログファイルにおいてログイン・ログアウトが記録された時間と、内部公開サーバ208のログファイルにおけるログイン・ログアウトが記録された時間を比較することにより、このような運用ルールから外れるときに危険度を設定してもよい。たとえば、内部公開サーバ208のログイン時間が10分以上であって、かつ、内部公開サーバ208へのログイン前にファイアウォール204においてログインアクセスが記録されている場合、所定の危険度が設定されてもよい。運用ルールがどの程度まもられているかを危険度により定量的に判定できるため、運用ルールを定めつつも柔軟な運用が可能となる。
また、危険判定部160は、内部公開サーバ208へのアクセスが発生したときに、そのアクセスがリモート・アクセスであるかローカル・アクセスであるかを、ファイアウォール204のログファイルと内部公開サーバ208のログファイルから判定してもよい。たとえば、内部公開サーバ208のログファイルにおいて、2007年7月27日の午前10:00〜午後2:00までにおいて、「ユーザID:A」というユーザのアクセス履歴が記録されているとする。このユーザID:Aに対応するユーザは「X」であるとする。一方、ファイアウォール204のログファイルにおいて、同時間帯において「ユーザID:B」というユーザのアクセス履歴が記録されているとする。このユーザID:Bに対応するユーザも「X」であるとする。ファイアウォール204にて記録されるユーザID、内部公開サーバ208にて記録されるユーザIDがそれぞれ誰に対応するかを管理しておくことにより、危険判定部160は上記時間帯におけるユーザ「X」のアクセスは、外部端末200からのアクセスであると判定できる。
By comparing the time when the log-in / logout was recorded in the log file of the
In addition, when the access to the internal
管理者は、図8に示した抽出符号欄260や条件欄262、危険度欄264に直接テキストや数値を記入することにより、危険度テーブルを設計してもよい。あるいは、所定の抽象ログを対象として条件や危険度を設定することにより、危険度テーブルを自動生成できる。
The administrator may design the risk level table by directly entering text or numerical values in the
そのときの入力インタフェースは図7に示した実現率テーブル設計画面250と同様である。危険度テーブルの編集に際して、表示部124は、危険度テーブル設計画面(図示せず)を画面表示させる。ログ保持部180に保持される抽象ログのうち、テスト用ログとして設計者に指定された抽象ログが表示され、設計者は各符号文ごとの危険度判定ルールを入力する。なお、表示部124は、抽象符号文と原符号文の対応関係がわかるにように、抽象符号文によるソースログと原符号文による抽象ログを併置表示してもよい。原本としての証跡そのものを示すソースログと、可読性を高めた抽象ログを同一画面にて見比べることにより、解析時においてどのような抽象符号化がなされているかをより理解しやすくなる。
The input interface at that time is the same as that of the realization rate
たとえば、図9の抽象ログをテスト用ログとする場合、1行目の「ログイン失敗」に危険度「30」を割り当てると、危険判定部160は危険度テーブルに入力内容を反映させる。このときには、「ログイン失敗」という抽象符号文が現れたときには、自動的に危険度が「30」だけ加算されることになる。なお、このような危険度は、対象となるサーバごとに異なる値が設定されてもよい。たとえば、内部公開サーバ208や限定公開サーバ210に対する「ログイン失敗」は危険度「30」、外部公開サーバ206に対する「ログイン失敗」は危険度「10」として設定されてもよい。
For example, when the abstract log in FIG. 9 is used as the test log, the
なお、本実施例における危険度判定処理は抽象ログを対象として実行されるが、変形例として、ソースログやユーザ定義ログを対象として危険度判定処理を実行してもよい。 The risk determination process in the present embodiment is executed for an abstract log, but as a modification, the risk determination process may be executed for a source log or a user-defined log.
以上、ログ解析支援装置100を実施例に基づいて説明した。
1.抽象化処理、再抽象化処理
本実施例に示した抽象化処理によれば、機種に依存してさまざまな記録形式が存在する原符号文を、機種に依存する必要のない記録形式である抽象符号文に統一できる。このため、管理者は、さまざまなソースログの記録形式に習熟しなくても、抽象ログの記録形式さえ理解していれば、ログ解析を実行できる。管理者に求められるスキルレベルやログ解析にともなう作業負荷を軽減し、ログの可読性を高めることができる。
The log
1. Abstraction processing and re-abstraction processing According to the abstraction processing shown in the present embodiment, an original code sentence in which various recording formats exist depending on the model is converted into an abstract format that does not need to depend on the model. Can be unified into code sentence. Therefore, the administrator can perform log analysis as long as he / she understands the recording format of the abstract log even if he / she is not familiar with various recording formats of the source log. The skill level required for the administrator and the workload associated with log analysis can be reduced, and the readability of the log can be improved.
抽象化においては、アクセス内容をより詳細に示してもよい。通常、UNIX(登録商標)などのコマンドは、入力にともなう負荷を考慮して、「cd」のような簡単な符号により表現される。しかし、入力の容易性と可読性は必ずしも両立しない。UNIX(登録商標)のコマンドを知らなければ「cd」や「chdir」が「ディレクトリ変更(change directory)」の略称であることがわからない。そこで、抽象ログにおいては、ソースログよりも平易な表現でアクセス内容を示すことにより、抽象ログの可読性をいっそう高めることができる。また、データ名をそのまま抽象ログに記録するのではなく、そのデータの意味を示す別名による置き換え、または、別名の付記により、抽象ログの可読性を更に高めることができる。更に、所定の捨象規則に合致するコマンドを抽象ログへの記録対象から除外すれば、必要な内容だけを含むコンパクトな抽象ログを生成できる。
ログ解析支援装置100は、標準記録形式としての抽象符号文をユーザの好みにあわせたユーザ符号文に変換する再抽象化処理により、ログの可読性をいっそう高めている。
In the abstraction, the access contents may be shown in more detail. Normally, a command such as UNIX (registered trademark) is expressed by a simple code such as “cd” in consideration of a load caused by input. However, ease of input and readability are not always compatible. If the UNIX (registered trademark) command is not known, “cd” and “chdir” cannot be understood as an abbreviation of “change directory”. Therefore, in the abstract log, the readability of the abstract log can be further improved by indicating the access contents in a simpler expression than the source log. In addition, instead of recording the data name in the abstract log as it is, the readability of the abstract log can be further improved by replacing it with an alias indicating the meaning of the data or by adding an alias. Furthermore, if a command that matches a predetermined discard rule is excluded from an object to be recorded in the abstract log, a compact abstract log including only necessary contents can be generated.
The log
2.実現判定処理
本実施例に示した実現判定処理によれば、ログに含まれるさまざまなテキストの中から実際にターゲットマシンに対してなんらかの影響を及ぼしている符号文を抽出しやすくなる。実現率テーブルにおいて出現階層と実現率の対応関係を設定することにより、ある程度、ノイズ情報を排除できる。将来的には、出現階層以外の変数に基づいて実現率を特定することも考えられる。また、抽象ログから非実現符号文を排除することにより、有効に実行された可能性が高い符号文だけを含む抽象ログへの要約も可能である。更に、図7に示した実現率テーブル設計画面250に対する入力によれば、テスト用ログを対象とした直感的な入力インタフェースにより、自動的に実現率テーブルを生成できるため、設計利便性も向上する。
2. Realization Determination Processing According to the realization determination processing shown in the present embodiment, it is easy to extract a code sentence that actually has some influence on the target machine from various texts included in the log. By setting the correspondence between the appearance hierarchy and the realization rate in the realization rate table, noise information can be eliminated to some extent. In the future, it may be possible to specify the realization rate based on variables other than the appearance hierarchy. Further, by excluding the non-realized code sentence from the abstract log, it is possible to summarize the abstract log including only the code sentence that is highly likely to be executed effectively. Furthermore, according to the input to the realization rate
3.危険度判定処理
本実施例に示した危険度判定処理によれば、危険度テーブルにおいて、条件と危険度の対応関係を設定することにより、典型的な危険箇所のパターンにあてはまる危険箇所を自動的に特定できる。また、テスト用ログを対象とした直感的な入力インタフェースにより、自動的に危険度テーブルを生成できるため、設計利便性も向上する。更に、複数の装置から生成される複数のログから危険度を特定することもできる。たとえば、内部端末212から内部公開サーバ208へは許可されるが、外部端末200から内部公開サーバ208へのアクセスはルール違反とされる運用の場合を想定する。この場合、ファイアウォール204のログと内部公開サーバ208のログを突き合わせることにより、このような運用ルールが守られているかを自動的に判断できる。
3. Risk Determination Processing According to the risk determination processing shown in the present embodiment, by setting the correspondence relationship between the condition and the risk level in the risk level table, the risk location that applies to the typical risk location pattern is automatically determined. Can be specified. In addition, since the risk level table can be automatically generated by an intuitive input interface for the test log, design convenience is improved. Furthermore, the degree of risk can be specified from a plurality of logs generated from a plurality of devices. For example, it is assumed that the
先述したように、業務情報システムにとって情報セキュリティを客観的に証明できることが重要である。本実施例に示したログ解析支援装置100によれば、抽象符号文という統一的記録形式にて、あらかじめ定められた実現率や危険度を判定するためのルールにしたがってログを解析できるため、客観的に情報セキュリティ・レベルを証明しやすくなる。
As described above, it is important for business information systems to be able to objectively prove information security. According to the log
以上、本発明を実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。 In the above, this invention was demonstrated based on the Example. The embodiments are exemplifications, and it will be understood by those skilled in the art that various modifications can be made to combinations of the respective constituent elements and processing processes, and such modifications are within the scope of the present invention. .
本実施例においては、UNIX(登録商標)やWINDOWS(登録商標)などのコマンドや、FTPコマンド、SQLなどを例としてログの解析方法を説明したが、ログ解析支援装置100の応用範囲はこれらに限られない。たとえば、電子計測器を制御するためのSCPI(Standard Commands for Programmable Instrumentation)言語によるソースコードについても、抽象化により可読性を高めることが可能である。 In this embodiment, the log analysis method has been described using commands such as UNIX (registered trademark) and WINDOWS (registered trademark), FTP commands, SQL, etc. as an example. Not limited. For example, it is possible to improve the readability of the source code in the SCPI (Standard Commands for Programmable Instrumentation) language for controlling the electronic measuring instrument by abstraction.
以上の実施の形態および変形例から把握される発明のいろいろな態様をすでに特許請求の範囲に記載したものも含む形にて以下に例示する。
まず、実現率判定処理に関連して、以下の発明が把握される。
Various aspects of the invention grasped from the above embodiments and modifications will be exemplified below in the form including those already described in the claims.
First, the following invention is grasped in relation to the realization rate determination process.
A1.所定機器に対するユーザの操作の内容が所定形式の符号文により記録されることにより、前記所定機器に対するユーザの操作履歴を符号文の集合として示すログを取得するログ取得部と、
前記ログにおいて、基準となる符号文に基づく所定規則にしたがって、対象となる符号文の出現階層を特定する出現階層特定部と、
符号文ごとに、出現階層と想定される実現率とを対応づけた実現率テーブルを参照して、前記ログに含まれる各符号文の実現率を特定し、前記特定した実現率が所定値以上となる符号文を抽出する符号文抽出部と、
を備えることを特徴とするログ解析支援装置。
A1. A log acquisition unit that acquires a log indicating a user's operation history with respect to the predetermined device as a set of code statements, by recording the contents of the user's operation on the predetermined device in a code sentence of a predetermined format;
In the log, according to a predetermined rule based on a reference code sentence, an appearance hierarchy specifying unit that specifies an appearance hierarchy of a target code sentence;
For each code sentence, refer to the realization rate table that associates the appearance hierarchy with the expected realization rate, identifies the realization rate of each code sentence included in the log, and the identified realization rate is equal to or greater than a predetermined value A code sentence extraction unit that extracts a code sentence that becomes:
A log analysis support apparatus comprising:
A2.前記ログから、前記抽出された符号文の集合として、前記所定機器に対する操作のうち有効に実行された可能性が高い操作の履歴を示す新たなログを生成するログ要約部、を更に備えることを特徴とするA1に記載のログ解析支援装置。 A2. A log summarizing unit that generates a new log indicating a history of operations that are highly likely to be effectively executed among operations on the predetermined device as a set of the extracted code sentences from the log; The log analysis support device according to A1, which is characterized.
A3.前記対象となる符号文の示す操作の実現成否を示す符号文が前記ログに含まれているとき、前記対象となる符号文の実現率を調整する実現率調整部、を更に備えることを特徴とするA1に記載のログ解析支援装置。 A3. An implementation rate adjustment unit that adjusts an implementation rate of the target code sentence when the code sentence indicating the success or failure of the operation indicated by the target code sentence is included in the log. The log analysis support apparatus according to A1.
A4.前記階層特定部は、前記対象となる符号文の示す操作の失敗を示す符号文が前記ログに含まれているときには、前記対象となる符号文に続く符号文の出現階層を変更することを特徴とするA1に記載のログ解析支援装置。 A4. The hierarchy specifying unit changes the appearance hierarchy of a code sentence following the target code sentence when the log includes a code sentence indicating a failure of the operation indicated by the target code sentence. The log analysis support apparatus according to A1.
A5.テスト用のログに含まれる符号文に対して、出現階層と実現率を指定するためのユーザによる入力を受け付ける条件設定部と、
各符号文について付与された出現階層と実現率を参照して、前記実現率テーブルを生成する実現テーブル生成部と、
を更に備えることを特徴とするA1に記載のログ解析支援装置。
A5. A condition setting unit that accepts input by the user for specifying the appearance hierarchy and the realization rate for the code sentence included in the test log,
An implementation table generation unit that generates the implementation rate table with reference to the appearance hierarchy and the implementation rate assigned to each code sentence;
The log analysis support device according to A1, further comprising:
A6.機器に対するユーザの操作の内容が所定形式の符号文により記録されることにより、前記所定機器に対するユーザの操作履歴を符号文の集合として示すログを取得する機能と、
前記ログにおいて、基準となる符号文から対象となる符号文までの間に実行された符号文の数に応じて、前記基準となる符号文から前記対象となる符号文に至るまでの階層を前記対象となる符号文の出現階層として特定する機能と、
符号文ごとに、出現階層と想定される実現率とを対応づけた実現率テーブルを参照して、前記ログに含まれる各符号文の実現率を特定し、前記特定した実現率が所定値以上となる符号文を抽出する機能と、
をコンピュータに発揮させることを特徴とするログ解析支援プログラム。
A6. A function of acquiring a log indicating a user's operation history with respect to the predetermined device as a set of code statements, by recording the contents of the user's operation on the device in a code sentence of a predetermined format;
In the log, according to the number of code sentences executed between the reference code sentence and the target code sentence, the hierarchy from the reference code sentence to the target code sentence is A function to specify the appearance hierarchy of the target code sentence,
For each code sentence, refer to the realization rate table that associates the appearance hierarchy with the expected realization rate, identifies the realization rate of each code sentence included in the log, and the identified realization rate is equal to or greater than a predetermined value A function to extract a code sentence that becomes
A log analysis support program characterized by allowing a computer to demonstrate
また、危険度判定処理に関連して、以下の発明が把握される。 Further, the following invention is grasped in relation to the risk determination process.
B1. 所定機器に対するユーザの操作の内容が所定形式の符号文により記録されることにより、前記所定機器に対するユーザの操作履歴を符号文の集合として示すログを取得するログ取得部と、
異常操作の可能性を特定するための危険度と符号文の出現態様とを対応づけた危険度テーブルを参照して、前記ログに含まれる符号文の危険度を判定する危険度特定部と、
前記特定された危険度が所定値以上となる箇所を特定する危険箇所抽出部と、
を備えることを特徴とするログ解析支援装置。
B1. A log acquisition unit that acquires a log indicating a user's operation history with respect to the predetermined device as a set of code statements, by recording the contents of the user's operation on the predetermined device in a code sentence of a predetermined format;
A risk level identifying unit that determines the risk level of the code sentence included in the log with reference to a risk level table that associates the risk level for identifying the possibility of abnormal operation and the appearance of the code sentence;
A dangerous part extracting unit for identifying a part where the specified degree of risk is a predetermined value or more;
A log analysis support apparatus comprising:
B2.テスト用のログに含まれる符号文に対して、危険度を設定するためのユーザによる入力を受け付ける条件設定部と、
前記テスト用のログにおける各符号文の出現態様とユーザにより付与された危険度を対応づけることにより、前記危険度テーブルを生成する危険度テーブル生成部と、
を更に備えることを特徴とするB1に記載のログ解析支援装置。
B2. A condition setting unit that accepts input by the user for setting the degree of risk for the code sentence included in the test log;
A risk level table generating unit that generates the risk level table by associating the appearance of each code sentence in the test log with the risk level given by the user;
The log analysis support device according to B1, further comprising:
B3.前記所定機器は、所定の中継機器を経由してユーザ端末から遠隔制御されるネットワーク機器であって、
前記ログ取得部は、前記所定機器に対するアクセス履歴および前記中継機器に対するアクセス履歴についてそれぞれ第1および第2のログを取得し、
前記危険度特定部は、前記第1のログにおける符号文の出現態様と前記第2のログにおける符号文の出現態様の組合せと危険度とを対応づけた前記危険度テーブルを参照して、前記第1および第2のログに含まれる各符号文の出現態様の組合せから符号文の危険度を特定することを特徴とするB1に記載のログ解析支援装置。
B3. The predetermined device is a network device remotely controlled from a user terminal via a predetermined relay device,
The log acquisition unit acquires first and second logs for an access history for the predetermined device and an access history for the relay device, respectively.
The risk level specifying unit refers to the risk level table that associates the appearance level of the code sentence in the first log with the risk level and the combination of the appearance mode of the code sentence in the second log. The log analysis support apparatus according to B1, wherein a risk level of the code sentence is specified from a combination of appearance modes of the code sentences included in the first and second logs.
B4.前記所定機器は、所定の中継機器を経由してユーザ端末から遠隔制御されるネットワーク機器であって、
前記ログ取得部は、前記所定機器に対するアクセス履歴および前記中継機器に対するアクセス履歴についてそれぞれ第1および第2のログを取得し、
前記危険度特定部は、前記第1のログを参照して、前記所定機器にアクセスしたユーザとアクセス時間帯を特定し、前記アクセス時間帯における前記第2のログに前記ユーザのアクセス履歴が記録されているか否かを判定することにより、前記所定機器に対するアクセスが前記中継機器を経由するリモートアクセスであるか否かを判定することを特徴とするB1に記載のログ解析支援装置。
B4. The predetermined device is a network device remotely controlled from a user terminal via a predetermined relay device,
The log acquisition unit acquires first and second logs for an access history for the predetermined device and an access history for the relay device, respectively.
The risk specifying unit refers to the first log, specifies a user who has accessed the predetermined device and an access time zone, and records the access history of the user in the second log in the access time zone. The log analysis support apparatus according to B1, wherein it is determined whether or not access to the predetermined device is remote access via the relay device by determining whether or not the access is made to the predetermined device.
B5.所定機器に対するユーザの操作の内容が所定形式の符号文により記録されることにより、前記所定機器に対するユーザの操作履歴を符号文の集合として示すログを取得する機能と、
異常操作の可能性を特定するための危険度と符号文の出現態様とを対応づけた危険度テーブルを参照して、前記ログに含まれる符号文の危険度を判定する機能と、
前記特定された危険度が所定値以上となる箇所を抽出する機能と、
をコンピュータに発揮させることを特徴とするログ解析支援プログラム。
B5. A function of acquiring a log indicating a user's operation history with respect to the predetermined device as a set of code statements by recording the contents of the user's operation on the predetermined device in a code sentence of a predetermined format;
A function for determining a risk level of a code sentence included in the log with reference to a risk level table that associates a risk level for specifying the possibility of an abnormal operation and an appearance mode of the code sentence;
A function of extracting a location where the specified risk is a predetermined value or more;
A log analysis support program characterized by allowing a computer to demonstrate
100 ログ解析支援装置、 110 データ通信部、 112 ログ受信部、 114 ログ送信部、 120 ユーザインタフェース処理部、 122 入力部、 124 表示部、 130 データ処理部、 132 抽象化部、 134 標準抽象化部、 136 ユーザ抽象化部、 140 実現判定部、 142 出現階層特定部、 144 実現箇所判定部、 146 ログ要約部、 148 実現率調整部、 150 実現テーブル生成部、 160 危険判定部、 162 危険度特定部、 164 危険箇所抽出部、 166 危険度テーブル生成部、 170 データ保持部、 172 標準抽象規則保持部、 174 ユーザ抽象規則保持部、 176 別名保持部、 178 捨象規則保持部、 180 ログ保持部、 182 実現率テーブル保持部、 184 危険度テーブル保持部、 190 抽出符号欄、 192 第1実現判定欄、 194 第2実現判定欄、 200 外部端末、 202 インターネット、 204 ファイアウォール、 206 外部公開サーバ、 208 内部公開サーバ、 210 限定公開サーバ、 212 内部端末、 214 承認データ、 216 ソースログ、 218 承認データベース、 220 業務情報システム、 230 ログデータベース、 232 承認スナップ、 234 ログスナップ、 236 診断結果データベース、 250 実現率テーブル設計画面、 252 ログ表示領域、 254 出現階層領域、 260 抽出符号欄、 262 条件欄、 264 危険度欄。 100 log analysis support device, 110 data communication unit, 112 log reception unit, 114 log transmission unit, 120 user interface processing unit, 122 input unit, 124 display unit, 130 data processing unit, 132 abstraction unit, 134 standard abstraction unit 136 User abstraction unit, 140 Realization determination unit, 142 Appearance hierarchy determination unit, 144 Realization location determination unit, 146 Log summarization unit, 148 Realization rate adjustment unit, 150 Realization table generation unit, 160 Risk determination unit, 162 Risk level specification 164, risk location extraction unit, 166 risk level table generation unit, 170 data holding unit, 172 standard abstract rule holding unit, 174 user abstract rule holding unit, 176 alias holding unit, 178 discard rule holding unit, 180 log holding unit, 182 Realization rate table holding unit 184 Risk table holding unit, 190 extracted code field, 192 first realization determination field, 194 second realization determination field, 200 external terminal, 202 Internet, 204 firewall, 206 external public server, 208 internal public server, 210 limited public server 212 Internal terminal, 214 Approval data, 216 Source log, 218 Approval database, 220 Business information system, 230 Log database, 232 Approval snap, 234 Log snap, 236 Diagnosis result database, 250 Realization rate table design screen, 252 Log display area 254 Appearance hierarchy area, 260 Extraction code field, 262 Condition field, 264 Risk level field.
Claims (10)
所定操作を示す一の抽象符号文と前記所定操作を示す一種類以上の記録形式に基づく原符号文とを対応づけた標準抽象規則を参照し、前記ソースログに含まれる前記原符号文を前記抽象符号文に変換することにより、前記原符号文の集合として表現されるソースログから前記抽象符号文の集合として表現される抽象ログを生成する標準抽象化部と、
を備えることを特徴とするログ解析支援装置。 A source log acquisition unit that acquires a source log indicating a user's operation history with respect to the predetermined device as a set of original code sentences by recording the contents of the user's operation on the predetermined apparatus in an original code sentence based on a predetermined recording format When,
Reference is made to a standard abstract rule that associates one abstract code sentence indicating a predetermined operation with an original code sentence based on one or more types of recording formats indicating the predetermined operation, and the original code sentence included in the source log is A standard abstraction unit that generates an abstract log expressed as a set of abstract code sentences from a source log expressed as a set of original code sentences by converting to an abstract code sentence;
A log analysis support apparatus comprising:
前記標準抽象化部は、前記原符号文の対応する操作が前記特定の操作に対応するときには、前記特定の操作に対応する原符号文を前記複数の抽象符号文に変換することを特徴とする請求項1に記載のログ解析支援装置。 In the standard abstract rule, a plurality of abstract code statements are associated with a specific operation in order to indicate details of the specific operation.
The standard abstraction unit, when an operation corresponding to the original code sentence corresponds to the specific operation, converts the original code sentence corresponding to the specific operation into the plurality of abstract code sentences. The log analysis support device according to claim 1.
前記標準抽象化部は、前記原符号文に操作対象としてのデータの名前が含まれているときには、前記データの名前を別名に変換して前記抽象ログに記録することを特徴とする請求項1に記載のログ解析支援装置。 An alias holding unit that holds an alias table that associates the name of the data to be operated with the alias indicating the meaning of the data, and
2. The standard abstraction unit, when the name of data to be operated is included in the original code sentence, converts the name of the data into an alias and records it in the abstract log. Log analysis support device described in 1.
前記ユーザ抽象規則を参照して、前記抽象ログに含まれる抽象符号文をユーザ符号文に変換することにより、ユーザ符号文の集合として表現されるユーザ定義ログを生成するユーザ抽象化部と、
を更に備えることを特徴とする請求項1に記載のログ解析支援装置。 A user abstract rule acquisition unit that acquires a user abstract rule that associates an abstract code sentence with a user-defined user code sentence;
A user abstraction unit that generates a user-defined log expressed as a set of user code sentences by referring to the user abstract rule and converting an abstract code sentence included in the abstract log into a user code sentence;
The log analysis support apparatus according to claim 1, further comprising:
前記ソースログ取得部は、前記ユーザ端末から前記所定機器に制御コマンドが送信されるときに前記所定の中継機器において記録されたログとして、前記ソースログを取得することを特徴とする請求項1に記載のログ解析支援装置。 The predetermined device is a communication device remotely controlled from a user terminal via a predetermined relay device,
The source log acquisition unit acquires the source log as a log recorded in the predetermined relay device when a control command is transmitted from the user terminal to the predetermined device. The log analysis support device described.
前記ユーザが前記第1の機器へのアクセス時に使用するユーザIDである第1ユーザIDおよび前記ユーザが前記第2の機器へのアクセス時に使用するユーザIDである第2ユーザIDとを、前記ユーザの統一ユーザIDと対応づけて保持するユーザ管理部と、
前記第1のソースログに含まれる前記第1ユーザIDおよび前記第2のソースログに含まれる前記第2ユーザIDを前記統一ユーザIDに変換する名前変換部と、
を備えることを特徴とするログ解析支援装置。 A source log acquisition unit that acquires a user operation history for the first device and the second device as a first source log and a second source log from each of the first device and the second device;
A first user ID that is a user ID used when the user accesses the first device, and a second user ID that is a user ID used when the user accesses the second device; A user management unit that stores the user ID in association with each other,
A name conversion unit that converts the first user ID included in the first source log and the second user ID included in the second source log into the unified user ID;
A log analysis support apparatus comprising:
前記第1の機器と前記第2の機器において共用されるファイルについて、前記第1の機器における使用時のファイル名である第1ファイル名および前記第2の機器における使用時のファイル名である第2ファイル名とを、前記共用されるファイルの統一ファイル名と対応づけて保持するファイル管理部と、
前記第1のソースログに含まれる前記第1ファイル名および前記第2のソースログに含まれる前記第2ファイル名を前記統一ファイル名に変換する名前変換部と、
を備えることを特徴とするログ解析支援装置。 A source log acquisition unit that acquires a user operation history for the first device and the second device as a first source log and a second source log from each of the first device and the second device;
For files shared between the first device and the second device, a first file name that is a file name when used in the first device and a file name that is used when used by the second device. A file management unit that stores two file names in association with the unified file name of the shared file;
A name conversion unit that converts the first file name included in the first source log and the second file name included in the second source log into the unified file name;
A log analysis support apparatus comprising:
所定操作を示す一の抽象符号文と前記所定操作を示す一種類以上の記録形式に基づく原符号文とを対応づけた標準抽象規則を参照し、前記ソースログに含まれる前記原符号文を前記抽象符号文に変換することにより、前記原符号文の集合として表現されるソースログから前記抽象符号文の集合として表現される抽象ログを生成する機能と、
をコンピュータに発揮させることを特徴とするログ解析支援プログラム。 A function of acquiring a source log indicating a user's operation history for the predetermined device as a set of original code sentences by recording the contents of the user's operation on the predetermined apparatus by an original code sentence based on a predetermined recording format;
Refer to a standard abstract rule that associates one abstract code sentence indicating a predetermined operation with an original code sentence based on one or more types of recording formats indicating the predetermined operation, and the original code sentence included in the source log is A function of generating an abstract log expressed as a set of abstract code sentences from a source log expressed as a set of original code sentences by converting to an abstract code sentence;
A log analysis support program characterized by allowing a computer to demonstrate
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007207262A JP5102555B2 (en) | 2007-08-08 | 2007-08-08 | Log analysis support device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007207262A JP5102555B2 (en) | 2007-08-08 | 2007-08-08 | Log analysis support device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009043018A true JP2009043018A (en) | 2009-02-26 |
JP5102555B2 JP5102555B2 (en) | 2012-12-19 |
Family
ID=40443702
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007207262A Expired - Fee Related JP5102555B2 (en) | 2007-08-08 | 2007-08-08 | Log analysis support device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5102555B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010224857A (en) * | 2009-03-24 | 2010-10-07 | Kyocera Mita Corp | Image forming apparatus and image forming system |
JP2011237975A (en) * | 2010-05-10 | 2011-11-24 | Ricoh Co Ltd | Information processing system |
JP2018173785A (en) * | 2017-03-31 | 2018-11-08 | コニカミノルタ株式会社 | Business use file management system, business use file management method, and program |
CN113535529A (en) * | 2021-07-22 | 2021-10-22 | 中国银联股份有限公司 | Service log analysis method and device and computer readable storage medium |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004288151A (en) * | 2003-03-21 | 2004-10-14 | Toshiba Corp | Operation history management device, operation history management method, and operation history management program |
JP2004348670A (en) * | 2003-05-26 | 2004-12-09 | Mitsubishi Electric Corp | Log intermediation system |
JP2006259811A (en) * | 2005-03-15 | 2006-09-28 | Nec Corp | Log creating device, and program |
JP2007172221A (en) * | 2005-12-21 | 2007-07-05 | Nippon Telegraph & Telephone East Corp | Quarantine system, quarantine device, quarantine method, and computer program |
-
2007
- 2007-08-08 JP JP2007207262A patent/JP5102555B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004288151A (en) * | 2003-03-21 | 2004-10-14 | Toshiba Corp | Operation history management device, operation history management method, and operation history management program |
JP2004348670A (en) * | 2003-05-26 | 2004-12-09 | Mitsubishi Electric Corp | Log intermediation system |
JP2006259811A (en) * | 2005-03-15 | 2006-09-28 | Nec Corp | Log creating device, and program |
JP2007172221A (en) * | 2005-12-21 | 2007-07-05 | Nippon Telegraph & Telephone East Corp | Quarantine system, quarantine device, quarantine method, and computer program |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010224857A (en) * | 2009-03-24 | 2010-10-07 | Kyocera Mita Corp | Image forming apparatus and image forming system |
US8799995B2 (en) | 2009-03-24 | 2014-08-05 | Kyocera Document Solutions Inc. | Image forming method |
JP2011237975A (en) * | 2010-05-10 | 2011-11-24 | Ricoh Co Ltd | Information processing system |
JP2018173785A (en) * | 2017-03-31 | 2018-11-08 | コニカミノルタ株式会社 | Business use file management system, business use file management method, and program |
CN113535529A (en) * | 2021-07-22 | 2021-10-22 | 中国银联股份有限公司 | Service log analysis method and device and computer readable storage medium |
CN113535529B (en) * | 2021-07-22 | 2024-05-17 | 中国银联股份有限公司 | Service log analysis method, device and computer readable storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP5102555B2 (en) | 2012-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5102556B2 (en) | Log analysis support device | |
USRE49089E1 (en) | Security for WAP servers | |
US9633106B1 (en) | Log data analysis | |
US12010151B2 (en) | Systems and methods for deploying configurations on computing devices and validating compliance with the configurations during scheduled intervals | |
KR101883400B1 (en) | detecting methods and systems of security vulnerability using agentless | |
US7328454B2 (en) | Systems and methods for assessing computer security | |
US20110184982A1 (en) | System and method for capturing and reporting online sessions | |
CN107370719B (en) | Abnormal login identification method, device and system | |
CN112231654B (en) | Operation and data isolation method and device, electronic equipment and storage medium | |
JP5936798B2 (en) | Log analysis device, unauthorized access audit system, log analysis program, and log analysis method | |
CN112131057B (en) | AI test method, client and system of network security equipment | |
CN110737639A (en) | Audit log method, device, computer equipment and storage medium | |
JP5102555B2 (en) | Log analysis support device | |
JP2008015733A (en) | Log management computer | |
US20200167478A1 (en) | Security diagnosis device and security diagnosis method | |
CN114238148A (en) | Business system login test method, device, equipment and medium | |
RU2481633C2 (en) | System and method for automatic investigation of safety incidents | |
JP5069057B2 (en) | Log analysis support device | |
US20060059543A1 (en) | Method and system for managing secure platform administration | |
CN114915500A (en) | Self-media account management method and device based on PC desktop client | |
JP2007200047A (en) | Access log-displaying system and method | |
JP2004310267A (en) | Inspection equipment for web site | |
KR20050100278A (en) | Vulnerability analysis apparatus and method of web application | |
CN112688808A (en) | Operation and maintenance management method and system of internet data center and electronic equipment | |
Stefanek | Information security best practices: 205 basic rules |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100315 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120620 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120717 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120905 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120928 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151005 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5102555 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |