JP2009053992A - ログ収集システム - Google Patents
ログ収集システム Download PDFInfo
- Publication number
- JP2009053992A JP2009053992A JP2007220923A JP2007220923A JP2009053992A JP 2009053992 A JP2009053992 A JP 2009053992A JP 2007220923 A JP2007220923 A JP 2007220923A JP 2007220923 A JP2007220923 A JP 2007220923A JP 2009053992 A JP2009053992 A JP 2009053992A
- Authority
- JP
- Japan
- Prior art keywords
- server
- log
- data
- hash value
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000009825 accumulation Methods 0.000 claims abstract description 7
- 238000013500 data storage Methods 0.000 claims description 32
- 230000006854 communication Effects 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 29
- 230000005540 biological transmission Effects 0.000 claims description 24
- 230000002776 aggregation Effects 0.000 claims description 19
- 238000004220 aggregation Methods 0.000 claims description 19
- 238000007726 management method Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 12
- 238000013480 data collection Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013213 extrapolation Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】セキュアな環境でログを収集し、クライアントシステム側から出力されたログデータと、サーバシステム側で収集、蓄積したログデータの同一性を保証することのできるログ収集システムを提供する。
【解決手段】ログデータを発生する個別サーバ10と、ログデータを収集し送信するログ収集サーバ11とを備えたクライアントシステム1と、ログデータを受信するログ受信サーバ21と、ログデータを記憶するデータ蓄積サーバ22とを備えたサーバシステム2とからなり、ログ収集サーバは収集したログデータから第1ハッシュ値を生成してサーバシステムに送信し、ログ受信サーバは受信したログデータから第2ハッシュ値を生成し、第2ハッシュ値と第1ハッシュ値とを比較することでログ収集サーバから受信したログデータの改ざんの有無を検出する。
【選択図】図1
【解決手段】ログデータを発生する個別サーバ10と、ログデータを収集し送信するログ収集サーバ11とを備えたクライアントシステム1と、ログデータを受信するログ受信サーバ21と、ログデータを記憶するデータ蓄積サーバ22とを備えたサーバシステム2とからなり、ログ収集サーバは収集したログデータから第1ハッシュ値を生成してサーバシステムに送信し、ログ受信サーバは受信したログデータから第2ハッシュ値を生成し、第2ハッシュ値と第1ハッシュ値とを比較することでログ収集サーバから受信したログデータの改ざんの有無を検出する。
【選択図】図1
Description
本発明は、クライアントシステムで発生したログデータを通信回線を介して送信しサーバシステムに蓄積するログ収集システムに関し、特にクライアントシステムで発生したログデータとサーバシステムに蓄積されるログデータとの同一性を保証できるログ収集システムに関する。
企業システムにおいては、個別のサーバにおいて発生するシステムログを収集、解析することで内部統制等に利用することが行われている。従来、システムログを始めとするログデータを収集、解析するためには、企業毎に固有のシステムが構築されていた。このように企業内で発生したログを収集し、解析等するログ収集システムとしては、例えば特許文献1に挙げるようなものがある。
特開2005−277796号公報
しかし、従来のログ収集システムは、個別の企業毎にシステム構築していたため、コストがかかるという問題があった。このため、通信回線を介して多数の企業のログを収集し、蓄積するサーバシステムを用意し、各企業からはこのサーバシステムにアクセスすることで、ログに基づいた所定のレポートを取得することが考えられる。このようにすることで、ログの収集、蓄積、解析を共通の基盤で行うことができるため、コストを低減することができる。その一方で、セキュリティの確保が課題であり、ログの改ざんを防止する必要がある。
本発明は前記課題を鑑みてなされたものであり、セキュアな環境でログを収集し、クライアントシステム側から出力されたログデータと、サーバシステム側で収集、蓄積したログデータの同一性を保証することのできるログ収集システムを提供することを目的とする。
前記課題を解決するため、本発明に係るログ収集システムは、システムログからなるログデータを発生する個別サーバと、該個別サーバのログデータを収集し通信回線を介して該ログデータを送信するログ収集サーバとを備えたクライアントシステムと、前記ログデータを受信するログ受信サーバと、該ログ受信サーバで受信したログデータを記憶するデータ蓄積サーバとを備えたサーバシステムとからなるログ収集システムであって、
前記ログ収集サーバは収集したログデータから第1ハッシュ値を生成して前記ログデータと共に第1ハッシュ値を前記サーバシステムに送信し、前記ログ受信サーバは受信したログデータから第2ハッシュ値を生成し、該第2ハッシュ値と前記第1ハッシュ値とを比較することで前記ログ収集サーバから受信したログデータの改ざんの有無を検出することを特徴として構成されている。
前記ログ収集サーバは収集したログデータから第1ハッシュ値を生成して前記ログデータと共に第1ハッシュ値を前記サーバシステムに送信し、前記ログ受信サーバは受信したログデータから第2ハッシュ値を生成し、該第2ハッシュ値と前記第1ハッシュ値とを比較することで前記ログ収集サーバから受信したログデータの改ざんの有無を検出することを特徴として構成されている。
また、本発明に係るログ収集システムは、前記個別サーバは複数設けられ、各個別サーバは発生したログデータから第3ハッシュ値を生成し、前記ログ収集サーバは各個別サーバから収集したログデータ毎に第4ハッシュ値を生成し、各第4ハッシュ値と対応する個別サーバの第3ハッシュ値とを比較することで前記各個別サーバから収集したログデータの改ざんの有無を検出することを特徴として構成されている。
さらに、本発明に係るログ収集システムは、前記各個別サーバはそれぞれ固有に割り当てられた識別情報から第5ハッシュ値を生成し、前記ログ収集サーバは各識別情報と各第5ハッシュ値を前記サーバシステムに送信し、前記ログ受信サーバは受信した各識別情報からそれぞれ第6ハッシュ値を生成し、各第6ハッシュ値と対応する個別サーバの第5ハッシュ値とを比較することで前記各個別サーバの識別情報の改ざんの有無を検出することを特徴として構成されている。
さらにまた、本発明に係るログ収集システムは、前記サーバシステムは前記クライアントシステムからの要求に応じてログレポートデータを生成し、前記クライアントシステムに送信するレポート送信サーバを備え、
前記レポート送信サーバは前記データ蓄積サーバからログデータを読み出し、該読み出されたログデータを変換エンジンで所定の形式に変換して前記ログレポートデータを生成し、該ログレポートデータを通信回線を介して前記クライアントシステムに送信することを特徴として構成されている。
前記レポート送信サーバは前記データ蓄積サーバからログデータを読み出し、該読み出されたログデータを変換エンジンで所定の形式に変換して前記ログレポートデータを生成し、該ログレポートデータを通信回線を介して前記クライアントシステムに送信することを特徴として構成されている。
そして、本発明に係るログ収集システムは、前記サーバシステムは前記データ蓄積サーバに記憶されたログデータを集計処理する集計処理サーバを備え、
前記集計処理サーバは前記データ蓄積サーバからログデータを読み出し、該読み出されたログデータを所定の集計ルールに従って集計処理し、該集計処理した集計データをログデータとして前記データ蓄積サーバに記憶させ、
前記レポート送信サーバは集計処理されたログデータを前記データ蓄積サーバから読み出して前記ログレポートデータを生成することを特徴として構成されている。
前記集計処理サーバは前記データ蓄積サーバからログデータを読み出し、該読み出されたログデータを所定の集計ルールに従って集計処理し、該集計処理した集計データをログデータとして前記データ蓄積サーバに記憶させ、
前記レポート送信サーバは集計処理されたログデータを前記データ蓄積サーバから読み出して前記ログレポートデータを生成することを特徴として構成されている。
また、本発明に係るログ収集システムは、前記クライアントシステムはサーバシステムから送信されるデータを閲覧すると共に、各種設定値を前記サーバシステムに対して送信することのできる閲覧端末を備え、
前記サーバシステムのデータ蓄積サーバには前記閲覧端末で設定された分析ルールを記憶する分析ルール記憶部が設けられ、該分析ルール記憶部には分析ルールがクライアントシステム毎に記憶され、
前記データ蓄積サーバは前記分析ルール記憶部から対応するクライアントシステムの分析ルールを取得して、前記ログデータの分析処理を行うことを特徴として構成されている。
前記サーバシステムのデータ蓄積サーバには前記閲覧端末で設定された分析ルールを記憶する分析ルール記憶部が設けられ、該分析ルール記憶部には分析ルールがクライアントシステム毎に記憶され、
前記データ蓄積サーバは前記分析ルール記憶部から対応するクライアントシステムの分析ルールを取得して、前記ログデータの分析処理を行うことを特徴として構成されている。
さらに、本発明に係るログ収集システムは、前記サーバシステムは前記クライアントシステム毎の利用状況情報を監視し記憶するサービス監視サーバと、前記クライアントシステム毎のサービス内容を記憶した顧客管理サーバとを備え、該顧客管理サーバは前記サービス監視サーバから前記利用状況情報を取得し、当該利用状況情報の変化から利用状況の将来予測情報を算出し、該将来予測情報に適合するサービス内容情報を前記クライアントシステムに送信することを特徴として構成されている。
本発明に係るログ収集システムによれば、ログ収集サーバは収集したログデータから第1ハッシュ値を生成してログデータと共に第1ハッシュ値をサーバシステムに送信し、ログ受信サーバは受信したログデータから第2ハッシュ値を生成し、第2ハッシュ値と第1ハッシュ値とを比較することでログ収集サーバから受信したログデータの改ざんの有無を検出することにより、クライアントシステムとサーバシステムとの間でログデータを送受信する際に、ログデータが改ざんされた場合にはそれを検出することができるので、収集、蓄積したログデータが改ざんされていないことを保証することができる。
また、本発明に係るログ収集システムによれば、各個別サーバは発生したログデータから第3ハッシュ値を生成し、ログ収集サーバは各個別サーバから収集したログデータ毎に第4ハッシュ値を生成し、各第4ハッシュ値と対応する個別サーバの第3ハッシュ値とを比較することで各個別サーバから収集したログデータの改ざんの有無を検出することにより、クライアントシステム内においてログ収集サーバにより収集されたログデータが、改ざんされていた場合にはそれを検出することができるので、収集したログデータが改ざんされていないことを保証することができる。
さらに、本発明に係るログ収集システムによれば、各個別サーバはそれぞれ固有に割り当てられた識別情報から第5ハッシュ値を生成し、ログ収集サーバは各識別情報と各第5ハッシュ値をサーバシステムに送信し、ログ受信サーバは受信した各識別情報からそれぞれ第6ハッシュ値を生成し、各第6ハッシュ値と対応する個別サーバの第5ハッシュ値とを比較することで各個別サーバの識別情報の改ざんの有無を検出することにより、クライアントシステムとサーバシステムとの間で、個別サーバの識別情報が改ざんされていないことを保証でき、確実なログの収集を行うことができる。
さらにまた、本発明に係るログ収集システムによれば、データ蓄積サーバからログデータを読み出し、読み出されたログデータを変換エンジンで所定の形式に変換してログレポートデータを生成し、ログレポートデータを通信回線を介してクライアントシステムに送信するレポート送信サーバを備えたことにより、ログデータをクライアントシステム側にアダプティブなファイル形式とすることができ、またクライアントシステムに応じたフォーマットとすることもできる。
そして、本発明に係るログ収集システムによれば、データ蓄積サーバからログデータを読み出し、読み出されたログデータを所定の集計ルールに従って集計処理し、集計処理した集計データをログデータとしてデータ蓄積サーバに記憶させる集計処理サーバを備え、レポート送信サーバは集計処理されたログデータをデータ蓄積サーバから読み出してログレポートデータを生成することにより、処理すべきデータ量を予め少なくしておくことができ、システム負荷を低減することができる。
また、本発明に係るログ収集システムによれば、サーバシステムのデータ蓄積サーバにはクライアントシステムの閲覧端末で設定された分析ルールを記憶する分析ルール記憶部が設けられ、分析ルール記憶部には分析ルールがクライアントシステム毎に記憶され、データ蓄積サーバは分析ルール記憶部から対応するクライアントシステムの分析ルールを取得して、ログデータの分析処理を行うことにより、収集したログデータを所定のルールで分析して、クライアントシステム側で内部統制等に役立てることができる。
さらに、本発明に係るログ収集システムによれば、サーバシステムはクライアントシステム毎の利用状況情報を監視し記憶するサービス監視サーバと、クライアントシステム毎のサービス内容を記憶した顧客管理サーバとを備え、顧客管理サーバはサービス監視サーバから利用状況情報を取得し、当該利用状況情報の変化から利用状況の将来予測情報を算出し、将来予測情報に適合するサービス内容情報をクライアントシステムに送信することにより、クライアントシステムにおいて利用状況に応じた最適なサービス内容を把握することができる。
本発明の実施形態について、図面に沿って詳細に説明する。図1には、本実施形態におけるログ収集システムの概要的なブロック図を示している。本実施形態のログ収集システムは、ユーザ側であるクライアントシステム1とサービス提供者側であるサーバシステム2とがインターネット等の通信回線3を介して接続され構成されている。このログ収集システムは、クライアントシステム1側で発生したシステムログをサーバシステム2で収集し、保存すると共に解析等を行ってクライアントシステム1から閲覧することができるようにしたものである。クライアントシステム1は、顧客毎に設けられており多数が存在するが、本実施形態では説明の簡易化のため1つのクライアントシステム1のみが存在するものとする。
本実施形態のクライアントシステム1には、3つの個別サーバ10a、10b、10cがあって、各個別サーバは所定のシステムログを発生するものとする。ただし、個別サーバの数はこれに限られず、1つ以上あればよい。これら個別サーバ10a、10b、10cは、いずれもログ収集サーバ11に接続されている。ログ収集サーバ11は、各個別サーバが発生するシステムログを収集し、サーバシステム2に送信する機能を有している。また、クライアントシステム1には、サーバシステム2と通信回線3を介して接続され、サーバシステム2が収集したログデータ等を閲覧できると共に、サーバシステム2における分析ルール等の設定を行うことのできる閲覧・設定端末12が設けられる。閲覧・設定端末12としては、ブラウザソフトを備えたPC等を用いることができる。
サーバシステム2は、通信回線3を介してクライアントシステム1とデータを送受信する通信制御サーバ20と、クライアントシステム1から送信されたデータを受信し復号化等の処理を行うログ受信サーバ21と、クライアントシステム1から送信されたログデータ等を保存するデータ蓄積サーバ22と、データ蓄積サーバ22に保存されたログデータをクライアントシステム1で閲覧可能な形式に変換して送信するレポート送信サーバ23と、データ蓄積サーバ22に保存されたログデータを所定のルールで集計処理し、ログデータをサマリ化する集計処理サーバ24と、各サーバの運用ログデータや利用状況データなどを収集するサービス監視サーバ25と、顧客に関する情報を管理すると共に、サービス監視サーバ25で得た利用状況データを基にサービスの最適化を行う顧客管理サーバ26とを備えている。
次に、ログデータの収集についてより詳細に説明する。図2には、クライアントシステム1に設けられるログ収集サーバ11の概要的なブロック図を示している。この図に示すように、ログ収集サーバ11には各種処理を行う中央制御部30と、データ等を記憶する記憶部31と、個別サーバに対してログデータを送信するようにリクエストすると共に、個別サーバから送信されたログデータを受信するクライアント内通信制御部32と、収集したログデータをサーバシステム2に送信する外部通信制御部33とを備えている。
図3には、クライアントシステム1におけるログデータの処理の過程を表した概念図を示している。各個別サーバは、前述のようにそれぞれシステムログとしてログデータを発生する。ここでは、個別サーバ10aはログデータAを、個別サーバ10bはログデータBを、個別サーバ10cはログデータCを、それぞれ発生するものとする。個別サーバ10aは、発生したログデータAから第3ハッシュ値Aを算出する。同様に個別サーバ10bは、発生したログデータBから第3ハッシュ値Bを算出し、個別サーバ10cは、発生したログデータCから第3ハッシュ値Cを算出する。
各個別サーバには固有の識別符号が付与されており、個別サーバはこの識別符号から第5ハッシュ値を算出する。ここでは、個別サーバ10aは第5ハッシュ値Aを、個別サーバ10bは第5ハッシュ値Bを、個別サーバ10cは第5ハッシュ値Cを、それぞれ算出する。
ログ収集サーバ11は、クライアント内通信制御部32によって各個別サーバにおけるログデータを取得すると共に、各個別サーバが算出した第3ハッシュ値及び第5ハッシュ値も取得して、これらを記憶部31に記憶させる。中央制御部30は、記憶部31に記憶された各ログデータから第4ハッシュ値を算出する。ここでは、個別サーバ10aから取得したログデータAからは第4ハッシュ値Aを、個別サーバ10bから取得したログデータBからは第4ハッシュ値Bを、個別サーバ10cから取得したログデータCからは第4ハッシュ値Cを、それぞれ算出する。
続いて中央制御部30は、算出した第4ハッシュ値と記憶部31に記憶された第3ハッシュ値とを比較し、これらが同一であるか否かを判別する。第3ハッシュ値と第4ハッシュ値が同一であれば、各個別サーバで発生したログデータと記憶部31に記憶されているログデータが同一であり、改ざんがされていないことを確認することができる。第3ハッシュ値と第4ハッシュ値とが同一でない場合は、ログデータが改ざんされている可能性があり、その旨を記憶部31に記憶する。
記憶部31に記憶されたログデータは複数存在しているので、中央制御部30はサーバシステム2に送信するためにこれらを1つのデータに統合して統合ログデータを生成する。統合ログデータでは、各ログデータと、当該ログデータを発生した個別サーバの識別符号とが関連付けられる。
中央制御部30は、統合ログデータから第1ハッシュ値を算出する。この第1ハッシュ値と前述の第5ハッシュ値は、サーバシステム2に送信されるデータにログ情報の一部として含められる。また、統合ログデータは共通鍵により暗号化され、暗号化ログデータとしてサーバシステム2に送信されるデータの一部とされる。さらにサーバシステム2に送信されるデータとしては、クライアントシステム1の固有のID等を含むユーザ情報や、暗号化ログデータを復号化するための共通鍵が含まれる。このサーバシステム2に送信されるデータは、中央制御部30においてさらに暗号化されると共に、圧縮処理されて送信データとなる。ここでの暗号化は、公開鍵暗号を用いることが望ましい。
送信データを生成したら、中央制御部30は外部通信制御部33によって通信回線を介して送信データをサーバシステム2に送信する。図4には、サーバシステム2におけるログデータの処理の過程を表した概念図を示している。サーバシステム2では、通信制御サーバ20でクライアントシステム1からの送信データを受信したら、当該送信データはログ受信サーバ21に送られる。
ログ受信サーバ21において送信データは、解凍処理されると共に復号化されて、ユーザ情報とログ情報、共通鍵及び暗号化ログデータを含むデータとされる。ここで暗号化ログデータは共通鍵によって復号化され、統合ログデータが生成される。ログ情報には、クライアントシステム1の各個別サーバで生成した3つの第5ハッシュ値と、クライアントシステム1のログ収集サーバ11で生成した第1ハッシュ値とが含まれている。
また、ログ受信サーバ21は統合ログデータから第2ハッシュ値を算出する。これをログ情報に含まれる第1ハッシュ値と比較し、これらが同一であるか否かを判別する。第1ハッシュ値と第2ハッシュ値が同一であれば、クライアントシステム1で生成した統合ログデータとサーバシステム2で受信し解凍、複合処理して得た統合ログデータとが同一であり、改ざんがされていないことを確認することができる。第1ハッシュ値と第2ハッシュ値とが同一でない場合は、統合ログデータが改ざんされている可能性があり、その旨の情報はサービス監視サーバ25において管理される。
このように、クライアントシステム1側で算出した第1ハッシュ値と、サーバシステム2側で受信したログデータから算出した第2ハッシュ値とを比較することで、ログデータが特に通信の過程で改ざんされておらず同一性を保持していることを保証することができる。
さらに、ログ受信サーバ21は統合ログデータを個別のログデータとする。この際、各個別サーバに固有の識別符号を基に個別のログデータとしているが、各識別符号について第6ハッシュ値を算出する。ここでは、個別サーバ10aに対応する識別符号Aから第6ハッシュ値Aを、個別サーバ10bに対応する識別符号Bから第6ハッシュ値Bを、個別サーバ10cに対応する識別符号Cから第6ハッシュ値Cを、それぞれ算出する。そして、各第6ハッシュ値とログ情報に含まれる各第5ハッシュ値とを比較し、これらが同一であるか否かを判別する。これによって、クライアントシステム1側において各個別サーバに付与されている識別符号と、サーバシステム2で受信した送信データに含まれる識別符号とが同一性を保持していることを保証することができる。
次に、蓄積したログデータの処理について説明する。図5にはデータ蓄積サーバ22とレポート送信サーバ23及び集計処理サーバ24の概要的なブロック図を示している。データ蓄積サーバ22には、クライアントシステム1からログ受信サーバ21が受信したログデータが記憶されている。レポート送信サーバ23は、データ蓄積サーバ22に記憶されたログデータを読み出して、所定の形式に変換する変換エンジン部50と、変換エンジン部50における変換のルールを記憶した変換ルール記憶部51と、通信制御サーバ50に接続され変換エンジン部50で変換したデータをクライアントシステム1に送信する通信制御部52とを備えている。
レポート送信サーバ23は、クライアントシステム1の閲覧・設定端末12からのリクエストに応じてログデータを変換し、変換したデータをログレポートデータとして閲覧・設定端末12に送信する。変換エンジン部50は、変換ルール記憶部51を参照しながらログデータをXML形式に変換する。閲覧・設定端末12は、XML形式のデータを参照できるソフトウェアを備え、任意にデータの操作や参照及び分析を行うことができる。
集計処理サーバ24は、データ蓄積サーバ22に記憶されたログデータを読み出し所定の集計ルールに基づいて集計処理を行う集計処理部60と、集計処理部60における集計ルールを記憶した集計ルール記憶部61とを備えている。集計処理部60で集計処理された集計ログデータは、データ蓄積サーバ22に記憶される。集計処理サーバ24は、データ蓄積サーバ22にログデータが記憶されたら、それに応じてログデータを集計処理して、集計ログデータをデータ蓄積サーバ22に記憶しておく。
レポート送信サーバ23は、前述のようにデータ蓄積サーバ22からログデータを読み出す代わりに、集計ログデータを読み出してXML形式に変換し、ログレポートデータをクライアントシステム1に送信するようにしてもよい。このようにすることで、複数のクライアントシステム1からの複数のレポート出力のリクエストに対し、システム負荷を軽減することができる。
データ蓄積サーバ22では、ログデータの蓄積と共に分析も行う。データ蓄積サーバ22は、ログデータの分析を行うログ分析部40と、ログ分析部40における分析ルールを記憶した分析ルール記憶部41と、通信制御サーバ50に接続されクライアントシステム1と通信する通信制御部42と、ログデータと分析ルールからナレッジ抽出処理を行うナレッジ抽出処理部43とを備えている。
データ蓄積サーバ22に対しては、クライアントシステム1の閲覧・設定端末12から分析ルールを設定することができ、分析ルール記憶部41には分析ルールがクライアントシステム1毎に記憶される。ここでの分析ルールは、例えばログデータのうちどの項目を証跡管理対象とするか、ログデータのうちどの項目をレポートの対象とするか、またログデータの所定の項目についての閾値などがある。このうち閾値は、証跡管理対象の各項目について設定され、その値を超えたログデータをログ分析部40で検出した場合に、クライアントシステム1の閲覧・設定端末12にその旨を表示あるいは電子メール等の別の手段で顧客にメッセージを送信するためのパラメータとして設定される。
ログ分析部40では、分析ルール記憶部41から参照してクライアントシステム1に応じた分析ルールにより、ログデータを随時分析する。ここで、分析する対象は集計処理サーバ24で集計処理された集計ログデータとしているが、集計前のログデータを分析の対象としてもよい。ただし、集計ログデータを分析の対象とした方が、システム負荷を小さくすることができる。ログ分析部40はログデータを分析し、所定の閾値を超える証跡管理対象の項目が検出された場合には、通信制御部42を介して顧客にその旨を通知する。
また、ナレッジ抽出処理部43は、クライアントシステム1毎に設定された分析ルールと蓄積されたログデータについて解析し、傾向を分析する。ここで抽出されたナレッジルールは分析ルール記憶部41に記憶される。このナレッジルールは、汎用的かつ継続的に利用されている実用的なルールとしてクライアントシステム1の閲覧・設定端末12で閲覧することができ、このルールを閲覧・設定端末12で設定する分析ルールに取り込むことにより、集合知による分析を行うことができる。
次に、サービス管理について説明する。図6には、サービス監視サーバ25及び顧客管理サーバ26とその他のサーバとの関係について表した概要的なブロック図を示している。サービス監視サーバ25は、サーバシステム2を構成するログ受信サーバ21、データ蓄積サーバ22、レポート送信サーバ23、集計処理サーバ24及び顧客管理サーバ26と接続されており、これらの各サーバから運用ログデータ及び利用状況データを収集するデータ収集部70を有している。サービス監視サーバ25はさらに、収集したデータを記憶させる記憶部71と、収集したデータを通信制御サーバ50を介してクライアントシステム1に送信する出力処理部72とを備えている。
データ収集部70は、各サーバから定期的に運用ログデータと利用状況データとを収集し、それを記憶部31に蓄積する。また、ログ受信サーバ21からは、ログデータの収集履歴データも収集される。これらの運用ログデータ及び収集履歴データがサービス監視サーバ25で収集され、それらのデータをクライアントシステム1に提供することができるので、クライアントシステム1で発生したログデータが、サービスの運用管理者によって人為的に改ざん等されていないことを証明することができる。
また、顧客管理サーバ26には、サービス監視サーバ25で収集された利用状況データを基に、将来の利用予測を行う予測処理部80と、顧客毎のサービス内容等を記憶する顧客情報記憶部81と、通信制御サーバ50を介してクライアントシステム1と通信することのできる通信制御部82とを備えている。
予測処理部80は、サービス監視サーバ25から各サーバの利用状況データを得て、過去の利用状況から将来の利用状況を予測した将来予測情報を外挿等の手法により算出する。本実施形態のログ収集システムは、提供するサービスの内容やデータの通信量及び蓄積量に応じて料金が設定されており、予測処理部80は将来予測情報においてどのサービス内容が最適であるか、並びにその切替時期を算出する。予測処理部80において算出された情報は、通信制御部82からクライアントシステム1に送信され、クライアントシステム1の閲覧・設定端末12において当該情報を閲覧することができる。
以上、本発明の実施形態について説明したが、本発明の適用は本実施形態には限られず、その技術的思想の範囲内において様々に適用されうるものである。
1 クライアントシステム
2 サーバシステム
3 通信回線
10 個別サーバ
11 ログ収集サーバ
12 閲覧・設定端末
20 通信制御サーバ
21 ログ受信サーバ
22 データ蓄積サーバ
23 レポート送信サーバ
24 集計処理サーバ
25 サービス監視サーバ
26 顧客管理サーバ
2 サーバシステム
3 通信回線
10 個別サーバ
11 ログ収集サーバ
12 閲覧・設定端末
20 通信制御サーバ
21 ログ受信サーバ
22 データ蓄積サーバ
23 レポート送信サーバ
24 集計処理サーバ
25 サービス監視サーバ
26 顧客管理サーバ
Claims (7)
- システムログからなるログデータを発生する個別サーバと、該個別サーバのログデータを収集し通信回線を介して該ログデータを送信するログ収集サーバとを備えたクライアントシステムと、前記ログデータを受信するログ受信サーバと、該ログ受信サーバで受信したログデータを記憶するデータ蓄積サーバとを備えたサーバシステムとからなるログ収集システムであって、
前記ログ収集サーバは収集したログデータから第1ハッシュ値を生成して前記ログデータと共に第1ハッシュ値を前記サーバシステムに送信し、前記ログ受信サーバは受信したログデータから第2ハッシュ値を生成し、該第2ハッシュ値と前記第1ハッシュ値とを比較することで前記ログ収集サーバから受信したログデータの改ざんの有無を検出することを特徴とするログ収集システム。 - 前記個別サーバは複数設けられ、各個別サーバは発生したログデータから第3ハッシュ値を生成し、前記ログ収集サーバは各個別サーバから収集したログデータ毎に第4ハッシュ値を生成し、各第4ハッシュ値と対応する個別サーバの第3ハッシュ値とを比較することで前記各個別サーバから収集したログデータの改ざんの有無を検出することを特徴とする請求項1記載のログ収集システム。
- 前記各個別サーバはそれぞれ固有に割り当てられた識別情報から第5ハッシュ値を生成し、前記ログ収集サーバは各識別情報と各第5ハッシュ値を前記サーバシステムに送信し、前記ログ受信サーバは受信した各識別情報からそれぞれ第6ハッシュ値を生成し、各第6ハッシュ値と対応する個別サーバの第5ハッシュ値とを比較することで前記各個別サーバの識別情報の改ざんの有無を検出することを特徴とする請求項2記載のログ収集システム。
- 前記サーバシステムは前記クライアントシステムからの要求に応じてログレポートデータを生成し、前記クライアントシステムに送信するレポート送信サーバを備え、
前記レポート送信サーバは前記データ蓄積サーバからログデータを読み出し、該読み出されたログデータを変換エンジンで所定の形式に変換して前記ログレポートデータを生成し、該ログレポートデータを通信回線を介して前記クライアントシステムに送信することを特徴とする請求項1〜3のいずれか1項に記載のログ収集システム。 - 前記サーバシステムは前記データ蓄積サーバに記憶されたログデータを集計処理する集計処理サーバを備え、
前記集計処理サーバは前記データ蓄積サーバからログデータを読み出し、該読み出されたログデータを所定の集計ルールに従って集計処理し、該集計処理した集計データをログデータとして前記データ蓄積サーバに記憶させ、
前記レポート送信サーバは集計処理されたログデータを前記データ蓄積サーバから読み出して前記ログレポートデータを生成することを特徴とする請求項4記載のログ収集システム。 - 前記クライアントシステムはサーバシステムから送信されるデータを閲覧すると共に、各種設定値を前記サーバシステムに対して送信することのできる閲覧端末を備え、
前記サーバシステムのデータ蓄積サーバには前記閲覧端末で設定された分析ルールを記憶する分析ルール記憶部が設けられ、該分析ルール記憶部には分析ルールがクライアントシステム毎に記憶され、
前記データ蓄積サーバは前記分析ルール記憶部から対応するクライアントシステムの分析ルールを取得して、前記ログデータの分析処理を行うことを特徴とする請求項1〜5のいずれか1項に記載のログ収集システム。 - 前記サーバシステムは前記クライアントシステム毎の利用状況情報を監視し記憶するサービス監視サーバと、前記クライアントシステム毎のサービス内容を記憶した顧客管理サーバとを備え、該顧客管理サーバは前記サービス監視サーバから前記利用状況情報を取得し、当該利用状況情報の変化から利用状況の将来予測情報を算出し、該将来予測情報に適合するサービス内容情報を前記クライアントシステムに送信することを特徴とする請求項1〜6のいずれか1項に記載のログ収集システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007220923A JP2009053992A (ja) | 2007-08-28 | 2007-08-28 | ログ収集システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007220923A JP2009053992A (ja) | 2007-08-28 | 2007-08-28 | ログ収集システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009053992A true JP2009053992A (ja) | 2009-03-12 |
Family
ID=40505007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007220923A Pending JP2009053992A (ja) | 2007-08-28 | 2007-08-28 | ログ収集システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009053992A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020135002A (ja) * | 2019-02-13 | 2020-08-31 | 株式会社セキュアイノベーション | セキュリティインシデント検知装置、セキュリティインシデント検知システム及びセキュリティインシデント検知方法 |
| CN113138891A (zh) * | 2020-01-19 | 2021-07-20 | 上海臻客信息技术服务有限公司 | 一种基于日志的业务监控系统 |
| US11474985B2 (en) | 2019-07-23 | 2022-10-18 | Mitsubishi Electric Corporation | Data processing apparatus, method, and recording medium |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0612288A (ja) * | 1992-06-29 | 1994-01-21 | Hitachi Ltd | 情報処理システム及びその監視方法 |
| JP2001350875A (ja) * | 2000-06-07 | 2001-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 流行アイテム予測方法及びシステム装置 |
| JP2002041456A (ja) * | 2000-07-25 | 2002-02-08 | Nri & Ncc Co Ltd | ジャーナル管理サーバ、ログ収集方法および記録媒体 |
| JP2002297540A (ja) * | 2001-03-29 | 2002-10-11 | Japan Research Institute Ltd | ログ収集システムならびにログ収集システムに用いられるサーバおよびサーバを制御するプログラムを記録した媒体 |
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2005327261A (ja) * | 2004-04-16 | 2005-11-24 | Ns Solutions Corp | 性能監視装置、性能監視方法及びプログラム |
| JP2007172450A (ja) * | 2005-12-26 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | ログ監査システム、ログ監査方法、ログ管理装置及びそのプログラム、並びにログ監査装置及びそのプログラム |
-
2007
- 2007-08-28 JP JP2007220923A patent/JP2009053992A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0612288A (ja) * | 1992-06-29 | 1994-01-21 | Hitachi Ltd | 情報処理システム及びその監視方法 |
| JP2001350875A (ja) * | 2000-06-07 | 2001-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 流行アイテム予測方法及びシステム装置 |
| JP2002041456A (ja) * | 2000-07-25 | 2002-02-08 | Nri & Ncc Co Ltd | ジャーナル管理サーバ、ログ収集方法および記録媒体 |
| JP2002297540A (ja) * | 2001-03-29 | 2002-10-11 | Japan Research Institute Ltd | ログ収集システムならびにログ収集システムに用いられるサーバおよびサーバを制御するプログラムを記録した媒体 |
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2005327261A (ja) * | 2004-04-16 | 2005-11-24 | Ns Solutions Corp | 性能監視装置、性能監視方法及びプログラム |
| JP2007172450A (ja) * | 2005-12-26 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | ログ監査システム、ログ監査方法、ログ管理装置及びそのプログラム、並びにログ監査装置及びそのプログラム |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020135002A (ja) * | 2019-02-13 | 2020-08-31 | 株式会社セキュアイノベーション | セキュリティインシデント検知装置、セキュリティインシデント検知システム及びセキュリティインシデント検知方法 |
| JP7328635B2 (ja) | 2019-02-13 | 2023-08-17 | 株式会社セキュアイノベーション | セキュリティインシデント検知装置、セキュリティインシデント検知システム、セキュリティインシデント検知方法およびプログラム |
| US11474985B2 (en) | 2019-07-23 | 2022-10-18 | Mitsubishi Electric Corporation | Data processing apparatus, method, and recording medium |
| CN113138891A (zh) * | 2020-01-19 | 2021-07-20 | 上海臻客信息技术服务有限公司 | 一种基于日志的业务监控系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10917417B2 (en) | Method, apparatus, server, and storage medium for network security joint defense | |
| US9912638B2 (en) | Systems and methods for integrating cloud services with information management systems | |
| US8843618B2 (en) | Cloud service information overlay | |
| US7225343B1 (en) | System and methods for adaptive model generation for detecting intrusions in computer systems | |
| US8955091B2 (en) | Systems and methods for integrating cloud services with information management systems | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| EP2532121B1 (en) | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions | |
| CN105706062B (zh) | 车载信息系统及其信息处理方法 | |
| CN111371774A (zh) | 一种信息处理方法及装置、设备、存储介质 | |
| CN111371889B (zh) | 消息处理方法、装置、物联网系统和存储介质 | |
| CA3139747A1 (en) | System and method for certifying integrity of data assets | |
| CN110049015A (zh) | 网络安全态势感知系统 | |
| EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
| JP2009053992A (ja) | ログ収集システム | |
| KR100984282B1 (ko) | 메모리캐쉬를 이용한 통합보안관리시스템 | |
| US10135853B2 (en) | Multi-tier aggregation for complex event correlation in streams | |
| CN113506096B (zh) | 一种基于工业互联网标识解析体系的系统间接口方法 | |
| KR20070059227A (ko) | 중앙집중식 팩스 데이터 통합 관리 방법, 팩스 단말기, 팩스 통합 서버 및 그 시스템 | |
| CN117201501B (zh) | 一种智慧工程共享管理系统及运行方法 | |
| CN114257442B (zh) | 一种传输漏洞的检测方法及装置、存储介质 | |
| WO2002086845A1 (fr) | Procede de controle de contenu, dispositif de fourniture de contenu et dispositif de controle de contenu | |
| JP2022187071A (ja) | 監視システム | |
| JP5447394B2 (ja) | セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム | |
| CN108111812B (zh) | 一种视频安全监测方法及监测系统 | |
| CN119557810A (zh) | 一种信息资产大模型自动化决策系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20091120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20091120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100118 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100405 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111212 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120216 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120306 |