JP2009075940A - Log analyzing apparatus and program - Google Patents
Log analyzing apparatus and program Download PDFInfo
- Publication number
- JP2009075940A JP2009075940A JP2007245466A JP2007245466A JP2009075940A JP 2009075940 A JP2009075940 A JP 2009075940A JP 2007245466 A JP2007245466 A JP 2007245466A JP 2007245466 A JP2007245466 A JP 2007245466A JP 2009075940 A JP2009075940 A JP 2009075940A
- Authority
- JP
- Japan
- Prior art keywords
- work
- log
- business
- information
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 71
- 230000006870 function Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 4
- 238000000034 method Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、サーバへのアクセスログを管理し分析する技術に関する。 The present invention relates to a technique for managing and analyzing an access log to a server.
コンピュータを用いた情報処理システムにおいて、システムの運用管理やセキュリティ上の必要から、アクセスログを保存することが一般的に行われる。企業等では、内部統制の観点からも、業務用サーバのアクセスログを管理することが重要である。 In an information processing system using a computer, it is generally performed to save an access log because of system management and security requirements. In companies and the like, it is important to manage the access log of the business server from the viewpoint of internal control.
この種の従来技術として、特許文献1には、汎用性を維持しつつ、システム運用に際し、不正なアクセス者を特定し、情報の漏洩の原因を的確に追求可能とし、ひいては、情報の漏洩を未然に防止するアクセスログ管理システムが開示されている。同文献に記載されたシステムは、監視プログラムにより、Webサーバを介して送受される要求データ及び応答データを取得し、要求データ及び応答データから所定の情報を抽出し、抽出された情報をアクセスログとしてアクセスログデータベースに蓄積する。そして、ログ分析部によってアクセスログの分析を行う。
As this type of prior art,
一方、業務を効率良く行うために、コンピュータでワークフロー(業務フロー)を管理するシステムが存在する。
この種の他の従来技術として、特許文献2には、操作を行う際に承認手続きを必要とする操作対象装置に対する操作依頼、承認申請、操作実行、操作結果報告、ログ保持管理までのワークフローを自動化するシステムが開示されている。同文献に記載されたシステムは、操作情報管理PCが、個人端末から申請された操作対象PCの操作依頼情報に対する承認の可否を承認PCに要求して確認し、承認可とされた個人端末に対応する操作の実行を操作対象PCに指示して操作依頼情報を反映させるとともに、個人端末から送信された操作依頼情報、該操作依頼情報の承認結果、該操作依頼情報の反映結果を操作申請書DBで記憶管理する構成を備える。
On the other hand, there is a system for managing a workflow (business flow) with a computer in order to perform business efficiently.
As another conventional technology of this type,
業務サーバに対するアクセスログの管理では、保存したアクセスログを解析し、不適当なアクセスを検出することが重要である。ここで、不適当なアクセスとは、正当なアクセス権限に基づかない(不正な)アクセスのみならず、アクセス権限はあっても業務上想定されていないアクセス等を含むものとする。しかし、ログ管理システムでは、サーバに対して行われたアクセスの履歴は保存されるものの、行われたアクセスと業務との関係が不明であった。 In managing access logs for business servers, it is important to analyze stored access logs and detect inappropriate access. Here, inappropriate access includes not only (unauthorized) access based on a legitimate access authority but also access that has access authority but is not assumed in business. However, in the log management system, although the history of accesses made to the server is saved, the relationship between the access made and the business is unknown.
今日、業務を効率的に行う目的等から、コンピュータでワークフローを管理することが行われている。この種のワークフロー管理システムでは、業務に関して、進行状況や状態、実行時期や実行主体(いつ誰が行ったか)等の情報が管理される。しかし、この種のシステムでも、所定の作業を実行するためにサーバに対して行われるアクセスについては管理されていない。 Today, a workflow is managed by a computer for the purpose of performing business efficiently. In this type of workflow management system, information such as progress status, status, execution time, execution subject (when and who performed), and the like are managed for business. However, even in this type of system, access to the server for executing a predetermined work is not managed.
本発明は、上記の課題に鑑みてなされたものであり、ログ管理システムに保存されたアクセスログをワークフローにより管理される作業に関する情報に対応づけ、業務に対する適否の観点からアクセスログを管理できるようにすることを目的とする。 The present invention has been made in view of the above problems, and associates an access log stored in a log management system with information on work managed by a workflow so that the access log can be managed from the viewpoint of suitability for business. The purpose is to.
かかる目的を達成するために、本発明は、次のようなログ分析装置として実現される。この装置は、業務の種類および作業時刻を含む業務情報を取得する業務情報取得手段と、業務サーバのアクセスログを取得するログ取得手段と、業務情報により特定される作業時刻における業務情報により特定される作業のためのアクセスコマンド以外のアクセスコマンドをアクセスログから検出する検出手段とを備えることを特徴とする。 In order to achieve such an object, the present invention is realized as the following log analysis apparatus. This device is specified by business information acquisition means for acquiring business information including the type of work and work time, log acquisition means for acquiring the access log of the business server, and business information at the work time specified by the business information. And detecting means for detecting an access command other than the access command for the work to be performed from the access log.
より詳しくは、検出手段は、アクセスログにおいて、業務情報により特定される作業時刻に記載され、業務情報により特定される作業には不要なアクセスコマンドを検出する。
または、検出手段は、アクセスログにおいて、業務情報により特定される作業時刻には該当しない時間帯に記載されているアクセスコマンドを検出する。
More specifically, the detection means detects an access command that is described at the work time specified by the business information in the access log and is unnecessary for the work specified by the business information.
Alternatively, the detecting means detects an access command described in a time zone not corresponding to the work time specified by the business information in the access log.
また、本発明による他のログ分析装置は、業務の種類および作業時刻を含む業務情報を取得する業務情報取得手段と、業務サーバのアクセスログを取得するログ取得手段と、業務の種類ごとに業務サーバへのアクセスで使用されるアクセスコマンドを定義した定義情報を保持する定義情報保持手段と、業務情報により特定される作業の定義情報を定義情報保持手段から取得し、業務情報により特定される作業時刻におけるアクセスログに記録されたアクセスコマンドが定義情報に対応するアクセスコマンドか否かを分析する分析手段とを備えることを特徴とする。 Further, another log analysis apparatus according to the present invention includes a business information acquisition unit that acquires business information including a business type and a work time, a log acquisition unit that acquires an access log of a business server, and a business type for each business type. Definition information holding means that holds the definition information that defines the access command used to access the server, and work definition information that is obtained from the definition information holding means that is obtained from the definition information holding means. And analyzing means for analyzing whether or not the access command recorded in the access log at the time is an access command corresponding to the definition information.
より好ましくは、このログ分析装置は、分析手段が、業務情報により特定される作業時刻に、業務情報により特定される作業に対応しないアクセスコマンドを検出した場合に、通知を行う通知手段をさらに備える。 More preferably, the log analysis apparatus further includes a notification unit that performs notification when the analysis unit detects an access command that does not correspond to the work specified by the business information at the work time specified by the business information. .
より詳細には、この通知手段は、予め設定された特定のアクセスコマンドに関しては、業務情報により特定される作業に対応しないアクセスコマンドとして検出された場合でも通知を行わない。
さらに、この通知手段は、予め設定された特定のアクセスコマンドに関しては、業務情報により特定される作業に対応するアクセスコマンドとして検出された場合でも通知を行う。
More specifically, this notification means does not notify a specific access command set in advance even if it is detected as an access command that does not correspond to the work specified by the business information.
Further, the notification means notifies the preset specific access command even when it is detected as an access command corresponding to the work specified by the business information.
また、本願発明は、上記のように構成されたログ分析装置をコンピュータで実現するためのプログラムとしても実現される。このプログラムは、磁気ディスクや光ディスク、半導体メモリ、その他の記録媒体に格納して配布したり、ネットワークを介して配信したりすることにより提供することができる。 The present invention is also realized as a program for realizing the log analysis device configured as described above by a computer. This program can be provided by being stored and distributed in a magnetic disk, an optical disk, a semiconductor memory, or other recording medium, or distributed via a network.
以上のように構成された本発明によれば、ワークフローにより管理される業務情報に基づいてアクセスログを検査し、業務に対する適否の観点からアクセスログを管理することが可能となる。 According to the present invention configured as described above, it is possible to check an access log based on business information managed by a workflow and manage the access log from the viewpoint of suitability for business.
以下、添付図面を参照して、本発明を実施するための最良の形態(以下、実施形態)について詳細に説明する。
<システム構成>
図1は、本実施形態によるログ管理システムの全体構成を示す図である。
図1に示すように、本実施形態のログ管理システムは、各種の業務を行うための業務サーバ100と、業務サーバ100からアクセスログを取得して分析するログ分析サーバ200とを備える。ログ分析サーバ200は、アクセスログを管理するログ管理サーバとしての機能と、業務担当者によって行われる業務のワークフローを管理するワークフロー管理サーバとしての機能とを合わせ持つ。したがって、業務サーバ100により作業を行う場合、まず、業務担当者がログ分析サーバ200に作業申請の登録を行い、業務責任者がこの作業申請に対する承認(作業承認)を行った後、業務担当者が業務サーバ100を使用して作業を行うこととなる。
The best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described below in detail with reference to the accompanying drawings.
<System configuration>
FIG. 1 is a diagram showing an overall configuration of a log management system according to the present embodiment.
As shown in FIG. 1, the log management system of this embodiment includes a
図2は、本実施形態のログ分析サーバ200を実現するコンピュータのハードウェア構成例を示す図である。
図2に示すコンピュータ10は、演算手段であるCPU(Central Processing Unit)10aと、記憶手段であるメインメモリ10cおよび磁気ディスク装置(HDD:Hard Disk Drive)10gを備える。また、ネットワークを介して外部装置に接続するためのネットワークインターフェイス10fと、ディスプレイ装置へ表示出力を行うための表示機構10dと、音声出力を行うための音声機構10hとを備える。さらに、キーボードやマウス等の入力デバイス10iを備える。
FIG. 2 is a diagram illustrating a hardware configuration example of a computer that implements the
The computer 10 shown in FIG. 2 includes a CPU (Central Processing Unit) 10a that is a calculation means, a
図2に示すように、メインメモリ10cおよび表示機構10dは、M/B(マザーボード)チップセット10bを介してCPU10aに接続されている。また、ネットワークインターフェイス10f、磁気ディスク装置10g、音声機構10hおよび入力デバイス10iは、ブリッジ回路10eを介してM/Bチップセット10bと接続されている。各構成要素は、システムバスや入出力バス等の各種のバスによって接続される。例えば、CPU10aとメインメモリ10cの間は、システムバスやメモリバスにより接続される。また、CPU10aと磁気ディスク装置10g、ネットワークインターフェイス10f、表示機構10d、音声機構10h、入力デバイス10i等との間は、PCI(Peripheral Components Interconnect)、PCI Express、シリアルATA(AT Attachment)、USB(Universal Serial Bus)、AGP(Accelerated Graphics Port)等の入出力バスにより接続される。
As shown in FIG. 2, the
なお、図2は、ログ分析サーバ200を実現するのに好適なコンピュータのハードウェア構成を例示するに過ぎず、図示の構成に限定されないことは言うまでもない。例えば、補助記憶装置として磁気ディスク装置10gの他に、各種の光学ディスクやフレキシブルディスクをメディアとするドライブを設けても良い。また、音声機構10hを独立した構成とせず、M/Bチップセット10bの機能として備えるようにしても良い。
2 merely illustrates a hardware configuration of a computer suitable for realizing the
図3は、ログ分析サーバ200の機能構成を示す図である。
図3に示すように、ログ分析サーバ200は、ログ取得部201と、フロー管理部202と、ログ分析部203と、アラート管理部204と、マスタ管理部205と、データ保持部206とを備える。ここで、ログ取得部201は、例えば図2に示したコンピュータ10において、メインメモリ10cに読み込まれたプログラムをCPU10aが実行しネットワークインターフェイス10fを制御することで実現される。フロー管理部202、ログ分析部203、アラート管理部204、マスタ管理部205は、メインメモリ10cに読み込まれたプログラムをCPU10aが実行することにより実現される機能である。データ保持部206は、メインメモリ10cや磁気ディスク装置10g等の記憶手段で実現される。このように、図3に示すログ分析サーバ200の各機能ブロックは、ソフトウェアとハードウェア資源とが協働して実現される手段である。
FIG. 3 is a diagram illustrating a functional configuration of the
As illustrated in FIG. 3, the
ログ取得部201は、各々の業務サーバ100において記録されたアクセスログを取得するログ取得手段である。業務サーバ100は、例えば図2に示すようなコンピュータ10により実現され、動作に応じてアクセスログを取り、磁気ディスク装置10g等の記憶手段に保持している。ログ取得部201によるアクセスログの取得は、ログ取得部201から各業務サーバ100にアクセスしてアクセスログの送信を指示しても良いし、定期的にあるいは所定のタイミングで業務サーバ100からログ分析サーバ200へ送信しログ取得部201が受け付けるようにしても良い。取得された各業務サーバ100のアクセスログは、データ保持部206に格納される。
The
フロー管理部202は、業務に関する情報(以下、業務情報)として作業申請およびその承認を受け付け、ワークフローに登録して管理する。すなわち、フロー管理部202は、業務情報取得手段として機能する。作業申請では、作業を行う予定時刻、業務担当者、作業に使用する業務サーバ100、作業の内容(種類)などの業務情報が登録される。業務情報が登録されたワークフローのデータは、データ保持部206に格納される。
The
ログ分析部203は、ログ取得部201により取得された業務サーバ100のアクセスログとフロー管理部202により管理されるワークフローとを照合して、アクセスログに記録されたアクセスが正当な業務に基づくものか否かを分析するログ分析手段である。具体的には、まず業務ごとに、業務サーバ100へのアクセスで使用されるアクセスコマンド(以下、単にコマンドと記す)のパターン(組み合わせおよび順番)を定義情報としてマスタ化しておく。そして、この定義情報に基づき、ワークフローで特定される業務とアクセスログに記録されたアクセスコマンド群とを比較して、対応しているか否かを判断する。例えば、アクセスログ中に特定の業務に対応するパターンのコマンド群が存在するが、ワークフローにはその業務の作業申請および承認が存在しない場合、そのアクセスは不適当なアクセスと判断できる。また、ワークフローにより特定される業務に対応するアクセスログ中に、その業務では使用されないコマンドが存在する場合、そのアクセスは不適当なアクセスと判断できる。ログ分析部203の処理については、後で具体的な例を挙げてさらに詳細に説明する。
The
アラート管理部204は、ログ分析部203による分析結果に基づいて、不適当と判断された作業を管理者に通知する。通知方法としては、例えば図2に示した表示機構10dや音声機構10hによりメッセージや警告音を出力することができる。また、アラート管理部204は、通知の履歴をデータ保持部206に格納し、この通知に対する調査や対応措置が行われたか否か等の情報をステータスとして管理する。さらに、アラート管理部204は、通知後の経過時間とステータスに応じて、管理者に調査や対応を催促するメッセージやレポートの出力を行う。
The
マスタ管理部205は、ログ分析サーバ200により管理されるノード(業務サーバ100)、業務の種類、業務サーバ100にログインするためのアカウント等、フロー管理部202やログ分析部203の処理に用いられる情報を管理する。上述した業務ごとの使用コマンドの定義情報もこのマスタ管理部205により管理される。
The
データ保持部206は、ログ取得部201により取得されたアクセスログ、フロー管理部202により受け付けられた業務情報を登録したワークフロー、マスタ管理部205により管理される上記の各種情報を保持する。
The
<データ構造>
図4(a)〜(c)は、作業申請および作業承認の画面イメージとワークフローのデータ構造を示す図である。
図4(a)は、業務担当者が作業申請を行う際に用いられる申請用の画面イメージを示す。業務担当者は、自身の端末装置からログ分析サーバ200にアクセスし、図4(a)に示すような申請用画面を表示させて必要な情報を入力する。図4(a)に示す例では、作業予定時刻(開始予定時刻および終了予定時刻)、担当者(コード)、作業を行うノード(業務サーバ100のコード)、作業内容、備考等の情報を入力するように申請用画面が構成されている。また、図示されていないが、申請用画面には申請の登録を実行するためのサブミットボタン等が存在し、このサブミットボタンのクリック等の操作により、申請用画面で入力された情報がワークフローのデータとして登録される。
<Data structure>
4A to 4C are diagrams showing a screen image of work application and work approval and a data structure of the workflow.
FIG. 4A shows a screen image for application used when a business person makes a work application. The person in charge of business accesses the
図4(b)は、業務責任者が作業承認を行う際に用いられる承認用の画面イメージを示す。業務責任者は、自身の端末装置からログ分析サーバ200にアクセスし、図4(b)に示すような承認用画面を表示させて作業の承認を行う。図4(b)に示す例では、図4(a)の申請用画面で入力された情報が表示され、承認時コメントを入力できるように承認用画面が構成されている。また、図示されていないが、承認用画面には承認の登録を実行するためのサブミットボタン等が存在し、このサブミットボタンのクリック等の操作により、作業が承認されたことを示す情報がワークフローのデータとして登録される。なお、業務責任者が承認用画面を使用する際には、ログイン操作によって業務責任者の認証が行われており、承認を行った業務責任者のコードも登録されるものとする。
FIG. 4B shows a screen image for approval used when the business manager approves the work. The person in charge of business accesses the
図4(c)は、登録されたワークフローのデータのデータ構造の例を示す。図4(c)の1行目のデータを参照すると、左から順に、作業ID(J070508-012)、データの種類(申請)、作業担当者(USR001)、作業予定時刻(070508 1400, 070508 1800)、ノード(SVR025)、作業内容(バックアップ)、申請時刻(070506 100239)、備考(Yyyyyy)といった情報が記録されている。申請時刻とは、申請用画面においてサブミットボタンのクリック等の操作が行われた時刻である。また、図4(c)の2行目のデータを参照すると、作業ID(J070508-012)、データの種類(承認)、承認者(USRA09)、承認時刻(070506 130225)、備考(Hoge)といった情報が記録されている。承認時刻とは、承認用画面においてサブミットボタンのクリック等の操作が行われた時刻である。 FIG. 4C shows an example of the data structure of registered workflow data. Referring to the data in the first line of FIG. 4C, in order from the left, work ID (J070508-012), data type (application), worker (USR001), scheduled work time (070508 1400, 070508 1800) ), Node (SVR025), work content (backup), application time (070506 100239), and remarks (Yyyyyy). The application time is the time when an operation such as clicking the submit button is performed on the application screen. Also, referring to the data on the second line in FIG. 4C, the work ID (J070508-012), data type (approval), approver (USRA09), approval time (070506 130225), remarks (Hoge), etc. Information is recorded. The approval time is the time when an operation such as clicking the submit button is performed on the approval screen.
図5は、業務ごとの使用コマンドの定義情報の構成例を示す図である。
定義情報には、業務ごとに使用されるコマンドの種類と順番が記録される。したがって、アクセスログ中に、特定の業務の定義情報に記されたコマンドが、当該定義情報に記された順番で記録されていれば、その業務が実行されたことがわかる。図5に示す定義情報には、業務の種類、コマンドの順番、プラットフォームの種類、コマンドの種類の各項目が記録される。オプションには、バックアップ先のディレクトリ等、コマンドの種類に応じて作業上の設定情報が記録される。
FIG. 5 is a diagram illustrating a configuration example of definition information of a use command for each business.
In the definition information, the type and order of commands used for each job are recorded. Therefore, if the commands described in the definition information of a specific task are recorded in the order described in the definition information in the access log, it is understood that the task has been executed. In the definition information shown in FIG. 5, items of business type, command order, platform type, and command type are recorded. In the option, work setting information such as a backup destination directory is recorded according to the type of command.
図5に示す例では、バックアップ業務における使用コマンドと死活監視業務における使用コマンドの例が記載されている。バックアップ業務に関しては、プラットフォームの種類に応じて異なる使用コマンドの定義情報が設定されている。同じ業務であっても、使用する業務サーバ100によっては、OS(Operating System)やアプリケーション等のプラットフォームの違いによって使用コマンドの組み合わせが異なる場合があり、この場合は図示のように、個別に対応する定義情報を設定することが必要となる。
In the example shown in FIG. 5, examples of commands used in backup work and commands used in life and death monitoring work are described. For backup operations, different command definition information is set depending on the platform type. Even in the same business, depending on the
図5に示すコマンドにおいて、「login」は、OSへログインする際に使用するコマンドである。「sqlplus」は、オラクル・データベース(Oracle Database)に対し、SQL文を使って操作する際に使用するコマンドである。「connect」は、DBMS(Data Base Management System)にログインする際に使用するコマンドである。「backup」は、DBMSに格納されている情報をバックアップする際に使用するコマンドである。「exit」は、DBMSまたはOSからログアウトする際に使用するコマンドである。「export」は、DBMSに格納されている情報をバックアップする際に使用するコマンドである。「copy」は、ファイルをコピーする際に使用するコマンドである。「ps」は、起動中のプロセス一覧を閲覧する際に使用するコマンドである。 In the command shown in FIG. 5, “login” is a command used when logging into the OS. “Sqlplus” is a command used to operate an Oracle database using an SQL statement. “Connect” is a command used when logging into a DBMS (Data Base Management System). “Backup” is a command used when backing up information stored in the DBMS. “Exit” is a command used when logging out from the DBMS or the OS. “Export” is a command used when backing up information stored in the DBMS. “Copy” is a command used when copying a file. “Ps” is a command used when browsing a list of active processes.
図5を参照すると、例えば、「データベースサーバにおけるバックアップ業務2」という業務では、「login」、「export」、「copy」、「exit」という4つのコマンドが、この順番で実行されることがわかる。したがって、特定のノードにおいて「データベースサーバにおけるバックアップ業務2」が実行されたならば、当該ノードのアクセスログには、この4つのコマンドがこの順番で記録されることとなる。すなわち、ワークフローに登録された業務情報により業務の種類と作業時刻(図4(a)の作業予定時刻に対応)を特定し、この時刻におけるアクセスログに、当該業務の定義情報で定義されたコマンド群が定義された順番で記録されていれば、その業務が適正に実施されたことがわかる。
Referring to FIG. 5, for example, in the operation “
<ログ分析の例>
次に、ログ分析部203によるログ分析の処理について、具体例を挙げて詳細に説明する。
図6は、所定の業務サーバ100から取得されたアクセスログの例を示す図である。
図6のアクセスログからは、3つの作業に対応するコマンド群が抽出される。時刻02:21:43〜02:26:00に行われた作業(作業1)、時刻05:43:22〜05:44:21に行われた作業(作業2)、時刻08:12:43〜08:15:21に行われた作業(作業3)である。図6に記載されたコマンドにおいて、「cd」は、カレントディレクトリを変更する際に使用するコマンドである。「cp」は、「copy」と同一のコマンドである。「passwd」は、パスワードを変更する際に使用するコマンドである。
<Example of log analysis>
Next, the log analysis processing by the
FIG. 6 is a diagram illustrating an example of an access log acquired from a
From the access log in FIG. 6, command groups corresponding to three tasks are extracted. Work performed at time 02: 21: 43-02: 26: 00 (work 1), work performed at time 05: 43: 22-05: 44: 21 (work 2), time 08:12:43 It is the work (work 3) performed at ~ 08: 15: 21. In the command described in FIG. 6, “cd” is a command used when changing the current directory. “Cp” is the same command as “copy”. “Passwd” is a command used when changing the password.
図6に示したコマンド群により構成される作業のうち、作業1および作業3は対応する業務がワークフローに登録されており、作業2は対応する業務がワークフローに登録されていないものとする。また、作業3のコマンド群には、登録された業務情報に基づいて特定される定義情報には含まれていない(すなわち、当該業務では使用されない)コマンド(「cp」および「passwd」)が含まれているものとする。
Of the operations configured by the command group illustrated in FIG. 6, it is assumed that the operations corresponding to
この場合、ログ分析部203は、作業1については、対応する業務がワークフローに登録されており、アクセスログのコマンド群が当該業務に基づいて特定される定義情報に一致するので、適正な作業と判断する。作業2については、対応する業務がワークフローに登録されていないので、適正な作業ではない(不適当)と判断する。作業3については、対応する業務がワークフローに登録されているものの、当該業務では使用されないコマンドを含むため、適正な作業ではない(不適当)と判断する。
In this case, the
ところで、ワークフローに登録されていない作業におけるアクセスや、業務自体はワークフローに登録されていてもその業務では使用されないコマンドによるアクセスは、原則としては上述のように不適当なアクセスである。しかし、実行される処理の内容によっては、セキュリティやシステムの運用上、特に問題のないアクセスがある。例えば、ディレクトリ情報を閲覧するようなアクセスは、システムに対して何ら影響を与えず、業務中にその業務とは関係なく実行されても問題は生じないと考えられる。そこで、そのようなコマンドについては、ホワイトリストコマンドとして管理しておき、ワークフローに登録されていない作業やワークフローに登録された業務では使用されないコマンドとして検出された場合でも、アラート管理部204による通知を行わないこととしても良い。
By the way, as a general rule, access in operations that are not registered in the workflow or access by commands that are not used in the business even if the business itself is registered in the workflow are inappropriate access as described above. However, depending on the contents of the processing to be executed, there is access with no particular problem in terms of security and system operation. For example, an access such as browsing directory information has no effect on the system, and it is considered that no problem occurs even if it is executed regardless of the business during the business. Therefore, such a command is managed as a white list command, and even if it is detected as a command that is not used in a work that is not registered in the workflow or a task that is registered in the workflow, the notification by the
反対に、通常の業務では使用されることがなく、使用された場合にシステムに対する影響の大きいコマンドは、適正な業務で使用されているか否かに関わらず、管理者に通知することが好ましいと考えられる。そこで、そのようなコマンドについては、ブラックリストコマンドとして管理しておき、アクセスログ中に当該コマンドが存在するならば直ちにアラート管理部204による通知を行うこととしても良い。
On the other hand, it is preferable to notify the administrator of commands that are not used in normal operations and that have a large impact on the system when they are used, regardless of whether they are used in appropriate operations. Conceivable. Therefore, such a command may be managed as a blacklist command, and if the command exists in the access log, the
図7は、ホワイトリストコマンドおよびブラックリストコマンドの例を示す図である。
図7では、コマンドをノーマルコマンド、ホワイトリストコマンド、ブラックリストコマンドの3種類に分類している。ノーマルコマンドは、ワークフローに登録された適正な業務で使用される場合にはアラート管理部204による通知が行われず、その他の場合にはアラート管理部204による通知が行われる。ホワイトリストコマンドは、上述したように、その使用態様に関わらずアラート管理部204による通知が行われない。また、ブラックリストコマンドは、上述したように、その使用態様に関わらず使用されていればアラート管理部204による通知が行われる。
FIG. 7 is a diagram illustrating an example of a white list command and a black list command.
In FIG. 7, commands are classified into three types: normal commands, white list commands, and black list commands. The normal command is not notified by the
図7に示したようなコマンドリスト(あるいはホワイトリストコマンドおよびブラックリストコマンドのみを列挙したコマンドリスト)は、データ保持部206に保存される。ログ分析部203は、アクセスログの分析の際に、このコマンドリストを参照し、アクセスログ中にホワイトリストコマンドやブラックリストコマンドが記録されていないかを調べる。
A command list as shown in FIG. 7 (or a command list listing only whitelist commands and blacklist commands) is stored in the
図7に記載されたコマンドにおいて、「pwd」は、カレントディレクトリを閲覧する際に使用するコマンドである。「ls」は、ディレクトリ情報を閲覧する際に使用するコマンドである。「chown」は、ファイル、ディレクトリの所有者を変更する際に使用するコマンドである。また、「login」は、通常、業務サーバ100で実施される各種の作業の開始時に実行されるコマンドである。しかし、特定のアカウントによるログインまたは特定のアカウント以外のアカウントによるログインといった条件を付加してブラックリストコマンド化することで、正当な権限を持たない者によるログインを効果的に検出することができる。
In the command described in FIG. 7, “pwd” is a command used when browsing the current directory. “Ls” is a command used when browsing directory information. “Chown” is a command used when changing the owner of a file or directory. Also, “login” is a command that is normally executed at the start of various operations performed on the
図6に示したアクセスログにおいて、作業2は、上述したように、対応する業務がワークフローに登録されていないため、アラート管理部204による通知の対象(以下、アラート対象と呼ぶ)となっている。しかし、1行目の「login」がブラックリストコマンドの条件に合致するならば、これによってもアラート対象となる。また、作業3は、上述したように、登録された業務では使用されないコマンドを含むため、アラート対象となっている。しかし、4行目の「passwd」がブラックリストコマンドなので、これによってもアラート対象となる。
In the access log shown in FIG. 6, as described above,
上記のログ分析では、業務情報により特定される作業および作業時刻に対応するコマンドをアクセスログから抽出する手法を説明したが、ログ分析の手法はこれに限定されるものではない。例えば、所定の作業に関して、コマンドそのものは業務情報により特定される作業に対応するものであっても、業務情報に登録されている業務担当者と、アクセスログ中のアカウント認証に関するログにより特定されるアクセス主体とが異なっている場合に、適正な作業ではない(不適当)と判断することができる。また、業務情報には、作業が実施されるノード(業務サーバ)も登録されるが、図6を参照して説明した上記のログ分析に先立って、業務情報に登録された業務サーバのアクセスログが分析対象として選択されることは言うまでもない。 In the above-described log analysis, the method of extracting the command corresponding to the work specified by the business information and the work time from the access log has been described. However, the log analysis method is not limited to this. For example, for a given task, even if the command itself corresponds to the task specified by the task information, the command is specified by the task person registered in the task information and the account authentication log in the access log. When the access subject is different, it can be determined that the work is not appropriate (unsuitable). In addition, although the node (business server) on which the work is performed is registered in the business information, the access log of the business server registered in the business information prior to the log analysis described with reference to FIG. Needless to say, is selected for analysis.
<ログ分析の手順>
次に、ログ分析部203によるログ分析の動作手順を説明する。
図8は、ログ分析部203の動作例を示すフローチャートである。
事前の動作として、ログ取得部201により業務サーバ100のアクセスログが既に収集されているものとする。また、ワークフローへの業務情報の登録(作業申請および承認を含む)も完了している。
<Log analysis procedure>
Next, an operation procedure of log analysis by the
FIG. 8 is a flowchart illustrating an operation example of the
As a pre-operation, it is assumed that the access log of the
ログ分析部203は、まずワークフローに登録されている業務の1つを処理対象として選択し(ステップ801)、選択した業務情報に基づき、業務に対応する定義情報をデータ保持部206から読み込む(ステップ802)。次に、ログ分析部203は、ワークフローの業務情報に基づき、作業が行われた業務サーバ100と作業時刻とを特定する。そして、当該業務サーバ100のアクセスログにおける当該時刻に、ステップ802で読み込んだ定義情報に対応するコマンド群がアクセスログ中にあるか否かを検索する(ステップ803)。
The
ここで、実際の業務においては、作業を実行した時刻が、作業申請の際に申請した予定時刻に完全に一致するとは限らない。したがって、ある程度の時間的な幅を持たせて対応するコマンド群を検索する。どの程度の幅を持たせるかについては、業務の運用基準等に基づいて任意に定めれば良い。また、実際の業務においては、操作ミス等により同じコマンドを数回繰り返したり、手順を遡ってやり直したりする場合が起こり得る。さらに、特に業務に関係ないが、情報の確認等のために挿入される操作もある。そこで、アクセスログ中のコマンド群が定義情報に対応するか否かの判断においても、個々のコマンドやいくつかのコマンドの組み合わせの繰り返しを数回までは容認したり、ホワイトリストコマンドの存在を許容したりする等、判断にある程度の曖昧さを持たせても良い。 Here, in actual work, the time at which the work is executed does not always coincide with the scheduled time applied at the time of the work application. Therefore, the corresponding command group is searched with a certain time width. What range should be given may be determined arbitrarily based on operational standards for business. In actual work, the same command may be repeated several times due to an operation error or the procedure may be repeated retroactively. In addition, there are operations that are inserted for information confirmation or the like, although they are not particularly related to business. Therefore, even when determining whether or not the command group in the access log corresponds to the definition information, the repetition of individual commands or combinations of several commands is allowed up to several times, or the existence of whitelist commands is allowed. You may give a certain degree of ambiguity to the judgment.
定義情報に対応するコマンド群がアクセスログ中に存在しない場合(ステップ804でNo)、ログ分析部203は、この検索結果をアラート管理部204に知らせる。そして、アラート管理部204は、業務不履行の可能性がある旨を管理者に通知する(ステップ805)。一方、定義情報に対応するコマンド群がアクセスログ中に存在する場合(ステップ804でYes)、ログ分析部203は、検索されたコマンド群にブラックリストコマンドが存在するか調べる。ブラックリストコマンドが含まれている場合(ステップ806でYes)、ログ分析部203は、ブラックリストコマンドを検出したことをアラート管理部204に知らせる。そして、アラート管理部204は、不適当なアクセスが行われた可能性があることを管理者に通知する(ステップ811)。
When the command group corresponding to the definition information does not exist in the access log (No in step 804), the
検索されたコマンド群にブラックリストコマンドが含まれていない場合(ステップ806でNo)、ログ分析部203は、定義情報に対応するコマンド群の中に定義情報にないコマンドが存在するか調べる。定義情報にないコマンドが存在する場合(ステップ807でYes)、ログ分析部203は、そのコマンドがホワイトリストコマンドか否かを調べる。ホワイトリストコマンドでない場合(ステップ808でNo)、ログ分析部203は、不審なコマンドを検出したことをアラート管理部204に知らせる。そして、アラート管理部204は、不適当なアクセスが行われた可能性があることを管理者に通知する(ステップ811)。一方、ステップ807で発見されたコマンドがホワイトリストコマンドであった場合は(ステップ808でYes)、アラート管理部204による通知は行わない。
When the blacklist command is not included in the retrieved command group (No in step 806), the
定義情報に対応するコマンド群の中に定義情報にないコマンドが存在しない場合、すなわち検出されたコマンド群が定義情報のコマンド群と一致している場合(ステップ807でNo)および定義情報にないコマンドが存在するがホワイトリストコマンドであった場合(ステップ808でNo)、ログ分析部203は、ワークフローに登録された業務のうちで未検索のものが残っているか調べる。未検索の業務があるならば(ステップ809でYes)、ログ分析部203は、ステップ801に戻り、未検索の業務の1つを処理対象として選択し、これ以降の動作を繰り返す。
When there is no command not included in the definition information in the command group corresponding to the definition information, that is, when the detected command group matches the command group of the definition information (No in step 807), and the command not included in the definition information Is a whitelist command (No in step 808), the
ワークフローに登録された全ての業務に対して処理が終わり、未検索の業務が残っていなければ(ステップ809でNo)、次にログ分析部203は、ワークフローに登録されていないコマンドが存在するか調べる。ここで、ワークフローに登録されていないコマンドには、特定の作業を構成する一連のコマンド群、単独で存在するコマンド、いくつかのコマンドの組などが含まれる。ワークフローに登録されていないコマンドが存在するならば(ステップ810でYes)、ログ分析部203は、未登録のコマンドを検出したことをアラート管理部204に知らせる。そして、アラート管理部204は、不適当なアクセスが行われた可能性があることを管理者に通知する(ステップ811)。一方、ワークフローに登録されていないコマンドが存在しない場合は、処理を終了する(ステップ810でNo)。このとき、不適当なアクセスが行われた可能性がないことを管理者に通知するようにしても良い。
If the processing is completed for all tasks registered in the workflow and there is no unsearched task (No in step 809), then the
なお、以上のログ分析部203の動作手順は一例に過ぎず、ワークフローの業務情報とアクセスログとを比較して、ワークフローに登録された業務に対応しない不審なコマンドを検出する手法であれば、他の手順であっても良いことは言うまでもない。例えば、ブラックリストコマンドは、その使用態様に関わらずアラート管理部204による通知の対象となるので、アクセスログを取得した後、最初にブラックリストコマンドの有無を調べても良い。また、ステップ803で作業対象の業務サーバ100のアクセスログからアクセスアカウントを抽出し、業務情報に登録されている業務担当者と比較して、異なっている場合には、アラート管理部204が不適当なアクセスが行われた可能性があることを管理者に通知するようにしても良い。
Note that the operation procedure of the
<他のシステム構成>
図1および図3に示した上記実施形態のシステム構成では、ログ分析サーバ200がログ管理サーバおよびワークフロー管理サーバの機能を合わせ持つこととした。そのため、ログ分析サーバ200が業務サーバ100から直接アクセスログを取得し、またワークフローに登録する業務情報の入力を受け付けることとした。これに対し、ログ管理サーバおよびワークフロー管理サーバの一方または双方を独立のサーバとして備えるシステムとして構成しても良い。ログ管理サーバを独立に備える構成では、各業務サーバ100のアクセスログはログ管理サーバに集められ、管理されることとなる。そして、ログ分析サーバ200は、ログ管理サーバからアクセスログを取得して分析を行う。また、ワークフロー管理サーバを独立に備える構成では、このワークフロー管理サーバに対して作業申請や作業承認による業務情報の登録が行われることとなる。そして、ログ分析サーバ200は、ワークフロー管理サーバから業務情報またはワークフローのデータ自体を取得して、業務情報に基づくアクセスログの分析を行う。このような構成は、既にログ管理サーバやワークフロー管理サーバが存在するシステムに本実施形態を導入する場合に有効である。
<Other system configuration>
In the system configuration of the embodiment shown in FIGS. 1 and 3, the
10a…CPU、10c…メインメモリ、10d…表示機構、10f…ネットワークインターフェイス、10g…磁気ディスク装置、10h…音声機構、10i…入力デバイス、100…業務サーバ、200…ログ分析サーバ、201…ログ取得部、202…フロー管理部、203…ログ分析部、204…アラート管理部、205…マスタ管理部、206…データ保持部 10a ... CPU, 10c ... main memory, 10d ... display mechanism, 10f ... network interface, 10g ... magnetic disk device, 10h ... audio mechanism, 10i ... input device, 100 ... business server, 200 ... log analysis server, 201 ... log acquisition , 202 ... Flow management unit, 203 ... Log analysis unit, 204 ... Alert management unit, 205 ... Master management unit, 206 ... Data holding unit
Claims (8)
業務サーバのアクセスログを取得するログ取得手段と、
前記業務情報により特定される前記作業時刻における当該業務情報により特定される作業のためのアクセスコマンド以外のアクセスコマンドを前記アクセスログから検出する検出手段と
を備えることを特徴とするログ分析装置。 Business information acquisition means for acquiring business information including business type and work time;
Log acquisition means for acquiring the access log of the business server;
A log analyzing apparatus comprising: a detecting unit that detects, from the access log, an access command other than an access command for a work specified by the work information at the work time specified by the work information.
業務サーバのアクセスログを取得するログ取得手段と、
業務の種類ごとに前記業務サーバへのアクセスで使用されるアクセスコマンドを定義した定義情報を保持する定義情報保持手段と、
前記業務情報により特定される作業の前記定義情報を前記定義情報保持手段から取得し、当該業務情報により特定される前記作業時刻における前記アクセスログに記録されたアクセスコマンドが当該定義情報に対応するアクセスコマンドか否かを分析する分析手段と
を備えることを特徴とするログ分析装置。 Business information acquisition means for acquiring business information including business type and work time;
Log acquisition means for acquiring the access log of the business server;
Definition information holding means for holding definition information defining an access command used for accessing the business server for each type of business;
The definition information of the work specified by the business information is acquired from the definition information holding unit, and the access command recorded in the access log at the work time specified by the business information corresponds to the definition information. A log analysis apparatus comprising: analysis means for analyzing whether or not the command is issued.
業務の種類および作業時刻を含む業務情報を取得する業務情報取得手段と、
業務サーバのアクセスログを取得するログ取得手段と、
業務の種類ごとに前記業務サーバへのアクセスで使用されるアクセスコマンドを定義した定義情報を保持する定義情報保持手段から前記業務情報により特定される作業の定義情報を取得し、当該業務情報により特定される前記作業時刻における前記アクセスログに記録されたアクセスコマンドが当該定義情報に対応するアクセスコマンドか否かを分析する分析手段として
機能させることを特徴とするプログラム。 Business information acquisition means for acquiring business information including the type of work and work time;
Log acquisition means for acquiring the access log of the business server;
For each type of business, obtain the definition information of the work specified by the business information from the definition information holding means that holds the definition information that defines the access command used to access the business server, and specify it by the business information A program that functions as an analysis unit that analyzes whether or not an access command recorded in the access log at the working time is an access command corresponding to the definition information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007245466A JP2009075940A (en) | 2007-09-21 | 2007-09-21 | Log analyzing apparatus and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007245466A JP2009075940A (en) | 2007-09-21 | 2007-09-21 | Log analyzing apparatus and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009075940A true JP2009075940A (en) | 2009-04-09 |
Family
ID=40610830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007245466A Pending JP2009075940A (en) | 2007-09-21 | 2007-09-21 | Log analyzing apparatus and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009075940A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100098839A1 (en) * | 2007-04-10 | 2010-04-22 | Tomoyuki Toyoda | Method for producing image display apparatus |
JP2011003132A (en) * | 2009-06-22 | 2011-01-06 | Nippon Telegr & Teleph Corp <Ntt> | Access control system, access controller and access control method |
JP2011233053A (en) * | 2010-04-30 | 2011-11-17 | Encourage Technologies Co Ltd | Information processing apparatus, information processing method, and program |
JP2013191133A (en) * | 2012-03-15 | 2013-09-26 | Mitsubishi Electric Corp | Address extraction device |
JP5535391B1 (en) * | 2013-11-06 | 2014-07-02 | ソフトバンクBb株式会社 | Command processing system and program |
US9286036B2 (en) | 2013-12-18 | 2016-03-15 | Fujitsu Limited | Computer-readable recording medium storing program for managing scripts, script management device, and script management method |
JP5936798B2 (en) * | 2014-02-12 | 2016-06-22 | 三菱電機株式会社 | Log analysis device, unauthorized access audit system, log analysis program, and log analysis method |
KR101926329B1 (en) * | 2016-12-07 | 2018-12-07 | (주)씽크포비엘 | Method and apparatus for reporting job performance through analysis of job and job log data |
-
2007
- 2007-09-21 JP JP2007245466A patent/JP2009075940A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100098839A1 (en) * | 2007-04-10 | 2010-04-22 | Tomoyuki Toyoda | Method for producing image display apparatus |
JP2011003132A (en) * | 2009-06-22 | 2011-01-06 | Nippon Telegr & Teleph Corp <Ntt> | Access control system, access controller and access control method |
JP2011233053A (en) * | 2010-04-30 | 2011-11-17 | Encourage Technologies Co Ltd | Information processing apparatus, information processing method, and program |
JP2013191133A (en) * | 2012-03-15 | 2013-09-26 | Mitsubishi Electric Corp | Address extraction device |
JP5535391B1 (en) * | 2013-11-06 | 2014-07-02 | ソフトバンクBb株式会社 | Command processing system and program |
US9286036B2 (en) | 2013-12-18 | 2016-03-15 | Fujitsu Limited | Computer-readable recording medium storing program for managing scripts, script management device, and script management method |
JP5936798B2 (en) * | 2014-02-12 | 2016-06-22 | 三菱電機株式会社 | Log analysis device, unauthorized access audit system, log analysis program, and log analysis method |
US9965624B2 (en) | 2014-02-12 | 2018-05-08 | Mitsubishi Electric Corporation | Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method |
KR101926329B1 (en) * | 2016-12-07 | 2018-12-07 | (주)씽크포비엘 | Method and apparatus for reporting job performance through analysis of job and job log data |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11700264B2 (en) | Systems and methods for role-based computer security configurations | |
JP2009075940A (en) | Log analyzing apparatus and program | |
US9479527B2 (en) | Methods and systems for automated network scanning in dynamic virtualized environments | |
EP1769618B1 (en) | End user risk management | |
US7636919B2 (en) | User-centric policy creation and enforcement to manage visually notified state changes of disparate applications | |
US7805419B2 (en) | System for tracking and analyzing the integrity of an application | |
CN109831420A (en) | The determination method and device of kernel process permission | |
US20100095273A1 (en) | Analysis of effects of a software maintenance patch on configuration items of a cmdb | |
JP2008257577A (en) | Security diagnostic system, method and program | |
JP5008006B2 (en) | Computer system, method and computer program for enabling symptom verification | |
US7565695B2 (en) | System and method for directly accessing data from a data storage medium | |
US20070294708A1 (en) | System, method and program tool to reset an application | |
US20080307505A1 (en) | Determining roles for automated tasks in a role-based access control environment | |
JP4383413B2 (en) | Unauthorized operation determination system, unauthorized operation determination method, and unauthorized operation determination program | |
US8978151B1 (en) | Removable drive security monitoring method and system | |
JP6238221B2 (en) | Apparatus, method and program for monitoring execution of software | |
JP2009026294A (en) | Data security control system | |
JP2009080561A (en) | External device management system | |
JPWO2005103909A1 (en) | Security maintenance method, data storage device, security maintenance server, and recording medium recording the program | |
US20060150032A1 (en) | State management device, state management system, and job processing system | |
JP2005107726A (en) | Security management device, security management method and security management program | |
JP4138856B1 (en) | Operation monitoring system | |
WO2023188092A1 (en) | Information processing device, information processing method, and computer-readable recording medium | |
US20160105451A1 (en) | Information processing apparatus, security management method and information processing system | |
JP7037514B2 (en) | Plant monitoring system and plant monitoring method |