JP2009110220A - 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ - Google Patents

監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ Download PDF

Info

Publication number
JP2009110220A
JP2009110220A JP2007281221A JP2007281221A JP2009110220A JP 2009110220 A JP2009110220 A JP 2009110220A JP 2007281221 A JP2007281221 A JP 2007281221A JP 2007281221 A JP2007281221 A JP 2007281221A JP 2009110220 A JP2009110220 A JP 2009110220A
Authority
JP
Japan
Prior art keywords
evaluation
log
collection
audit log
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007281221A
Other languages
English (en)
Inventor
Kiyoshi Takahashi
潔 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2007281221A priority Critical patent/JP2009110220A/ja
Publication of JP2009110220A publication Critical patent/JP2009110220A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】ログを用いて、システムの評価を効率的に行うことを課題とする。
【解決手段】収集・評価コンピュータ101は、収集対象コンピュータ118から受信した監査ログに基づいてそのログを出力したソフトウェアの動作結果に関する所定の指標を累計してその累計結果を記憶部に格納する累計処理部107と、記憶部に格納された累計結果及び当該監査ログに関連する1つ前の監査ログの評価結果に基づいて当該監査ログに関して評価し、その評価結果と監査ログを合わせて評価監査ログとして記憶部に格納する評価処理部106と、を備える。
【選択図】図1

Description

本発明は、コンピュータ上のプログラム(ソフトウェア)のログを収集し、そのログを用いて、システムの状況を監査(把握)する技術に関する。
従来のログ収集システムでは、収集対象となるコンピュータのログ情報を収集して、統一的なフォーマットに変換して、統一的なログ情報をユーザの傾向分析などに利用していた(例えば特許文献1参照)。
特開2004−295303号公報
しかしながら、前記した特許文献1などの従来技術においては、ログ収集時に変換する統一的なフォーマットは、ログの整形が主たる目的であったため、監査のような目的を持ったシステム評価に利用することはできない。
また、収集したログの分析についても、履歴データとして格納し、検索や傾向の分析を行うものとしているが、収集し、変換したログ情報のみを格納しているため、分析に時間がかかるとともに、システムの評価について有用な分析手段を提供できない、つまり、システムの評価を効率的に行うことができないという課題がある。
本発明は、前記課題に鑑みてなされたものであり、ログを用いて、システムの評価を効率的に行うことを課題とする。
前記課題を解決するために、本発明は、ソフトウェアの動作結果であるログの収集対象となる収集対象コンピュータと、前記収集対象コンピュータのログを収集してその評価とともに当該ログを記憶部に記憶する収集・評価コンピュータと、を有する監査ログ収集・評価システムである。
前記収集対象コンピュータは、前記ログを取得するログ取得部と、前記取得したログを所定の規則にしたがってフォーマットを統一して監査ログとする監査ログ生成部と、前記監査ログを前記収集・評価コンピュータに送信する送信部と、を備える。
前記収集・評価コンピュータは、前記収集対象コンピュータから受信した監査ログに基づいてそのログを出力したソフトウェアの動作結果に関する所定の指標を累計してその累計結果を前記記憶部に格納する累計処理部と、前記記憶部に格納された累計結果及び当該監査ログに関連する1つ前の監査ログの評価結果に基づいて当該監査ログに関して評価し、その評価結果と前記監査ログを合わせて評価監査ログとして前記記憶部に格納する評価処理部と、を備える。
その他の手段については後記する。
本発明によれば、ログを用いて、システムの評価を効率的に行うことができる。
以下、本発明を実施するための最良の形態(以下、「実施形態」という。)を、図面に基づいて詳細に説明する。なお、言及図以外の図も適宜参照するものとする。
図1は、本実施形態の監査ログ収集・評価システムSの収集対象コンピュータ118、収集・評価コンピュータ101(監査ログの収集および収集ログの評価を行うコンピュータ)の構成の一例を表す図である。
収集対象コンピュータ118は、プロセッサ125とメモリ119と記憶装置126とを有し、通信インタフェース240を介してLAN(Local Area Network)やWAN(Wide Area Network)等のネットワークNに接続する。なお、収集対象コンピュータ118は、図1では1つしか示していないが、複数であってもよい。
記憶装置126からメモリ119に展開したログ送信部121(送信部)、ログ正規化部122(監査ログ生成部)、ログ取得部123、ログ収集指示受付部124などを含むプログラム120をプロセッサ125が実行することで、ログ送信処理、ログ正規化処理、ログ取得処理、ログ収集受付処理などの各処理が行われる。なお、以下において、「プロセッサ125がログ送信部121を実行することでログ送信処理を行う」と「ログ送信部121がログ送信処理を実行する」は同じ意味内容である。
ここで、監査ログとは、収集対象コンピュータ118に導入されているソフトウェアが出力するコンピュータシステムに対するアクセス内容(操作内容)やコンピュータシステムの変更履歴などを後から確認できるように記録したログを指す。監査ログは、内部および外部監査に対応できるように、網羅性、正確性、正当性を維持し、長期保管できることが求められる。
監査ログは、後から参照する場合の検索容易性を高めるため、既定のフォーマット(監査ログフォーマット)に加工する。ここでいう、加工とは、データの内容を変更することではなく、表示形式を変更し、情報の順序を整理して決められた格納領域に格納することを指す。
図10に示すように、監査ログフォーマット1000は、ログID(IDentification)1001、日時1002、プログラム1003、IP(Internet Protocol)アドレスやホスト名で示される場所1004、動作主体となるユーザ1005、動作の種別1006、動作の結果1007、ログのメッセージ1008やその他ソフトウェア固有の付加情報1009などで示されるプログラムの動作などを表す情報(評価・分析観点)で構成される。実施例では、評価・分析の際の観点として、ユーザを1つの例として説明しているが、その他の要素(プログラムの動作などを表す情報として取得可能な情報)に着目して監査ログを評価・分析するように構成することができる。
図1に戻って、ログ送信部121は、収集指示のあった収集対象コンピュータ118に導入されているソフトウェアが出力したログを収集・評価コンピュータ101へ送信する。ログ正規化部122は、取得したログを監査ログへ変換するために正規化を実施する。なお、ここで、ログの正規化とは、ログのフォーマットを統一することをいう(詳細は後記)。
ログ取得部123は、収集指示のあったソフトウェアが出力したログを収集指示に従って取得する。ログ収集指示受付部124は、収集・評価コンピュータ101から送信される収集指示情報を受信し、収集対象コンピュータ118上に格納する。
なお、ログ送信部121、ログ正規化部122、ログ取得部123、ログ収集指示受付部124などによる各機能は、プログラム120をプロセッサ125で実行することで実現するようにしたが、それ以外に、各機能を集積回路化するなどしてハードウェアで実現することもできる。
記憶装置126は、ログ情報127、ログ取得状況情報128(図9参照)、収集対象情報129、正規化ルール情報130などを格納する。
収集・評価コンピュータ101は、プロセッサ110とメモリ102と記憶装置111(記憶部)と入力部180と表示部181とを有し、通信インタフェース117を介してネットワークNに接続する。
入力部180は、収集・評価コンピュータ101のユーザ(以下、単に「ユーザ」という。)が情報を入力する手段であり、例えば、キーボードやマウスなどである。
表示部181は、情報を表示する手段であり、例えば、液晶表示装置などである。
記憶装置111からメモリ102に展開した表示処理部104、分析処理部105、評価処理部106、累計処理部107、ログ収集指示部108、ログ収集部109などを含むプログラム103をプロセッサ110が実行することで、表示処理、分析処理、評価処理、累計処理、ログ収集指示処理、ログ収集処理などの各処理が行われる。なお、以下において、「プロセッサ110が表示処理部104を実行することで表示処理を行う」と「表示処理部104が表示処理を実行する」は同じ意味内容である。
表示処理部104は、ユーザによる入力部180からの入力を受け付ける画面を表示部181に表示し、また、入力データを処理し、分析処理部105へ引き渡す。分析処理部105は、収集・評価コンピュータ101上の記憶装置111に格納されている評価監査ログテーブル114の評価監査ログを集計する。評価処理部106は、収集対象コンピュータ118から送信された監査ログを評価し、評価監査ログとして評価監査ログテーブル114に格納する。
累計処理部107は、収集対象コンピュータ118から送信された監査ログを累計し、累計結果を累計テーブル115に格納する。ログ収集指示部108は、収集対象コンピュータ118に導入されているソフトウェアから出力されたログを取得し、収集・評価コンピュータ101へと送信することを指示するため収集指示情報を収集対象コンピュータ118へ送信する。ログ収集部109は、収集対象コンピュータ118から送信される監査ログを受信し、以降の処理へと監査ログを引き渡す。
なお、表示処理部104、分析処理部105、評価処理部106、累計処理部107、ログ収集指示部108、ログ収集部109などによる各機能は、プログラム103をプロセッサ110で実行することで実現するようにしたが、それ以外に、各機能を集積回路化するなどしてハードウェアで実現することもできる。
また、記憶装置111は、収集対象情報112(図7参照)、正規化ルール情報113(図8参照)、評価監査ログテーブル114(図13参照)、累計テーブル115(図11参照)、ログレベル情報116(図12参照)などを格納する。
図2は、監査ログ収集・評価システムSの各コンピュータで行う処理の全体のフローを表した図の一例である。以下、処理の流れについて説明する。
監査ログ収集・評価システムが処理を開始すると、収集・評価コンピュータ101は、収集対象コンピュータ118に対してログ収集指示を実施する(ステップ201)。このログ収集指示処理では、ログ収集指示部108が記憶装置111に格納されている収集対象情報112および正規化ルール情報113を取得し、収集対象コンピュータ118に収集指示情報として送信する。
収集・評価コンピュータ101が収集指示情報を送信すると、収集対象コンピュータ118は、ログ収集指示受付を実施する(ステップ202)。このログ収集指示受付処理では、送信された収集指示情報を受信し、記憶装置126に収集対象情報129および正規化ルール情報130として格納する。
収集指示を受け付けた後、収集対象コンピュータ118は、ログ取得を実施する(ステップ203)。このログ取得では、ログ取得部123が記憶装置126に収集対象情報129を参照し、対象であるログを取得する。
ログを取得した後、収集対象コンピュータ118は、正規化を実施する(ステップ204)。この正規化では、ログ正規化部122が記憶装置126に格納されている収集対象情報129に従い対応する正規化ルール情報130を参照し、ソフトウェアが出力したログを監査ログフォーマットに合わせて変換する。前記したように、ログを監査ログフォーマットに合わせたものを、監査ログと呼ぶ。
ログを正規化して監査ログとした後、収集対象コンピュータ118は、監査ログ送信を実施する(ステップ205)。この監査ログ送信では、ログ取得部123が記憶装置126に格納されている収集対象情報129に従い対応する収集・評価コンピュータ101へ、変換した監査ログ情報を送信する。
収集対象コンピュータ118が監査ログ情報を送信すると、収集・評価コンピュータ101は、監査ログ受信を実施する(ステップ206)。この監査ログ受信では、ログ収集部109が収集対象コンピュータ118から送信された監査ログ情報を受信し、次の処理へ引き渡す。
監査ログ情報を受信した後、収集・評価コンピュータ101は、監査ログ累計を実施する(ステップ207)。この監査ログ累計では、累計処理部107が受信した監査ログ情報を累計処理し、累計結果を記憶装置111上にある累計テーブル115へ格納する。
監査ログ情報を累計した後、収集・評価コンピュータ101は、監査ログ評価を実施する(ステップ208)。この監査ログ評価では、評価処理部106が受信した監査ログ情報および記憶装置111上にある累計テーブル115を参照し、評価処理を実施し、監査ログ情報に評価結果を付加し、評価監査ログテーブル114へ評価監査ログとして格納する。この監査ログ情報の評価を実施すると、監査ログ収集・評価システムSは一連の処理を終了する。
図3は、収集・評価コンピュータ101おけるログ収集指示部108、収集対象コンピュータ118におけるログ収集指示受付部124の処理のフローを表した図の一例である(図2のフローチャートのステップ201,202に相当)。以下、収集・評価コンピュータ101と収集対象コンピュータ118におけるログ収集指示の処理の流れを説明する。
収集・評価コンピュータ101上でプログラム103の動作が開始されると、ログ収集指示部108が収集対象コンピュータ118に関する収集対象情報112を取得する(ステップ301)。収集対象情報112とは、監査ログとして収集する収集対象コンピュータ118のソフトウェアが出力するログ情報を対象として収集方法を示す情報である。この収集対象情報112に従って、ログが収集される。
ここで、図7に示すように、収集対象情報112は、収集対象コンピュータ118を識別するIP(Internet Protocol)アドレスもしくはホスト名を示す収集対象コンピュータ701、収集の対象となるログを出力するソフトウェアを識別するプログラム702、収集の対象となるログが出力されるファイルを識別するログファイル703、収集のタイミングとして定期的に収集するのか即時的に収集するのか収集の方法を示す収集方法704、定期的に収集する際にその時刻と時間間隔を示す収集タイミング705を含む情報である。
図3に戻って、収集対象情報112を取得した後、ログ収集指示部108が収集対象コンピュータ118に関する正規化ルール情報113を取得する(ステップ302)。正規化ルール情報113とは、収集対象コンピュータ118のソフトウェアが出力するログを監査ログへ変換するためのルールを示す情報である。この正規化ルール情報113に従って、ログがを変換される。
ここで、図8に示すように、正規化ルール情報113は、収集対象コンピュータ118に導入されているソフトウェアに対応するプログラム801、プログラムが出力するログ情報の区切り文字列を示す区切り802、また、ログの情報を監査ログへ対応づける順番を示すマップ情報803を含む情報である。なお、例外804としてログID805ごとに区切り802a(802)、マップ情報803a(803)を定義することを可能とする。また、正規化ルール情報113には、複数のプログラムに対する正規化ルール情報を定義することができる。さらに、各プログラムについて、例外情報を複数個定義できる。
図3に戻って、正規化ルール情報113を取得した後、ログ収集指示部108は収集対象情報112および正規化ルール情報113を合わせて収集指示情報として、収集対象情報112の収集対象コンピュータで示される収集対象コンピュータ118へ送信する(収集指示する)(ステップ303)。
収集・評価コンピュータ101が収集指示情報を送信した後、収集対象コンピュータ118のログ収集指示受付部124が収集指示情報として収集対象情報112および正規化ルール情報113を受信する(受け付ける)(ステップ304)。
収集指示情報を受信した後、ログ収集指示受付部124は収集指示情報を収集対象コンピュータ118上の記憶装置126に収集対象情報129および正規化ルール情報130として格納する(ステップ305)。
収集対象情報129および正規化ルール情報130に各情報を格納した後、ログ収集指示受付部124は、収集対象情報129の収集方法を参照し、即時収集または定期収集の指示に従い即時的な収集を実施するのか定期的な収集を実施するのかを判定する(ステップ306)。
即時的な収集が指示されている場合は、ログ取得部123に対してログ取得要求を発行する(ステップ307)。定期的な収集が指示されている場合は、すぐにログ取得を行う必要がないのでステップ307をスキップし、処理を終了する。
図4は、収集対象コンピュータ118におけるログ送信部121、ログ正規化部122およびログ取得部123の処理のフローを表した図の一例である。以下、収集対象コンピュータ118におけるログ取得および監査ログ送信の処理の流れについて説明する。
収集・評価コンピュータ101から収集対象コンピュータ118へ収集指示が行われると、プログラム120の処理が開始される。プログラム120の処理が開始されると、ログ取得部123が収集対象コンピュータ118に関する収集対象情報129を取得する(ステップ401)。
ログ取得部123は収集対象情報129を取得した後、収集対象情報に定義されている収集方法を参照し、現在が収集タイミングであるか否か判断する(ステップ402)。具体的には、まず、収集方法が即時収集、定期収集のいずれであるかを判定する。収集方法が即時収集の場合は現在が収集タイミングであるので(ステップ402でYes)ステップ403に進む。
収集方法が定期収集の場合、ログ取得部123は収集タイミング判定を実施する。この収集タイミング判定では、収集対象情報129の収集タイミングを参照し、収集するタイミングに合致するか否かを判定する。収集するタイミングに合致しない場合は現在が収集タイミングではないので(ステップ402でNo)、処理を終了する。
ステップ403において、ログ取得部123はログ取得状況情報128が存在するか否かを判定する。ログ取得状況情報128が存在しない場合(ステップ403でNo)、ログ取得部123は、ログ取得状況情報128を新たに生成する(ステップ405)。
ログ取得状況情報128が存在する場合(ステップ403でYes)、ログ取得部123は、既存のログ取得状況情報128を取得する(ステップ404)。ログ取得状況情報128とは、収集対象コンピュータ118に導入されているソフトウェアが出力するログをどれだけ取得しているかを示す情報である。このログ取得状況情報128を利用することでログをどこから取得すれば良いかが判断できる。
ここで、図9に示すように、ログ取得状況情報128は、取得する対象のソフトウェアを表すプログラム901、取得する対象のソフトウェアがログを出力しているファイルを示すログファイル902、ログを既にどこまで取得しているかを示す取得済みバイト数903を含む情報である。また、ログ取得状況情報128は、収集対象コンピュータ118に導入されているソフトウェアごとに対応して生成することを可能とする。
ログ取得状況情報128を生成(ステップ405)もしくは取得(ステップ404)した後、ログ取得部123は、収集対象情報129およびログ取得状況情報128に従って、取得する対象ソフトウェアが出力するログをログファイルから取得する(ステップ406)。
ログを取得した後、ログ取得部123は処理をログ正規化部122へと引き渡す。処理を引き渡されたログ正規化部122は、収集対象コンピュータ118上の記憶装置126に格納されている正規化ルール情報130を取得する(ステップ407)。
ここで、正規化ルール情報130の取得の際には、収集対象情報129の正規化ルールID(不図示)に従って、ログを取得するソフウェアに対応した正規化ルール情報130を取得することを可能とする。つまり、収集対象コンピュータ118上の複数のソフトウェアに対して正規化ルール情報130を対応づけることを可能とする。
正規化ルール情報130を取得した後、ログ正規化部122は、取得したログを正規化ルール情報130に従って監査ログへ変換する正規化を実施する(ステップ408)。
正規化では、取得したログおよび正規化ルール情報130を入力とし、正規化ルール情報130ではプログラム801(図8参照)に対応するプログラムが出力するログごとに処理を実施する。また、正規化ルール情報130の区切り802(図8参照)の文字列によってログを区切り、マップ情報803(図8参照)の番号順に区切られたそれぞれのログ情報を対応づけ、監査ログフォーマット1000(図10参照)の形式へ変換し、監査ログフォーマットに従った監査ログを出力する。
図4に戻って、正規化を実施した後、ログ正規化部122は処理をログ取得部123に戻して、ログ取得部123がログ取得が完了したか否かを判定する(ステップ409)。このログ取得完了判定では、取得すべきソフトウェアのログをすべて取得したか否かを判定する。ログ取得が完了した場合(ステップ409でYes)、ステップ410に進む。ログ取得が完了していない場合(ステップ409でNo)、ステップ406に戻る、つまり、ログ取得を完了するまで、ログ取得(ステップ406)、正規化ルール情報取得(ステップ407)および正規化(ステップ408)の処理を繰り返す。
なお、ログを取得する対象のソフトウェアが出力するログファイルについても、収集対象情報129のログファイルを参照し、確認を行う。これにより、ログを取得する対象のソフトウェアが複数のログファイルにログを出力する場合についても対応することを可能とする。
ログ取得が完了した後、ログ取得部123は、取得したバイト数を算出し、ログ取得状況情報128のログ取得済みバイト数903(図9参照)を更新する(ステップ410)。これにより、次回ログを取得する際にどこからログを取得すればよいか判断することを可能とする。
ログ取得状況情報128を更新した後、ログ取得部123は、収集対象情報129を参照して収集方法が即時収集であるか定期収集であるかを判定する(ステップ411)。収集方法が定期収集である場合、ログ取得部123は、定期収集タイマをセット(設定)する(ステップ412)。これにより、次回の定期収集を実施することを可能とする。収集方法が即時収集の場合、ログ取得部123は、ステップ412をスキップする。
最後に、ログ取得部123は、処理をログ送信部121に引き渡す。処理を引き渡されたログ送信部121は、取得および正規化を実施した監査ログを収集・評価コンピュータ101へ送信する(ステップ413)。監査ログを送信すると、ログ取得およびログ送信の一連の処理を終了する。
図5は、収集・評価コンピュータ101におけるログ収集部109、累計処理部107および評価処理部106の処理のフローを表した図の一例である。以下、収集・評価コンピュータ101における収集、累計および評価の処理の流れについて説明する。
収集・評価コンピュータ101上のプログラム103が収集対象コンピュータ118から送信される監査ログを受信することによって処理が開始する。収集対象コンピュータ118から送信された監査ログは収集・評価コンピュータ101のログ収集部109が受信する(ステップ501)。ログ収集部109が監査ログを受信すると、処理および監査ログ情報を累計処理部107に引き渡す。
収集対象コンピュータ118の監査ログを受信した後、累計処理部107は、累計情報が存在するか否かを判定する(ステップ502)。この累計情報の存在判定では、収集・評価コンピュータ101上の記憶装置111にある累計テーブル115に、監査ログ情報に示されるユーザに対応する累計情報が存在するか否かを判定する。累計テーブル115とは、収集した監査ログをユーザごとに監査ログの結果に基づいて成功・失敗・その他に区別して累計した結果を示す情報を格納しているテーブルである。なお、成功・失敗(成功または失敗に関する情報)とは、監査ログを出力したソフトウェアの動作結果(例えば遠隔のユーザからのアクセスに対する応答結果)についての所定の指標の一例である。
ここで、図11に示すように、累計テーブル115は、各累計情報を識別する累計ID1101、累計情報の種別を示す分類1102、累計の対象を示す対象1103、監査ログの結果が成功である監査ログ数を示す成功1104、監査ログの結果が失敗である監査ログ数を示す失敗1105、監査ログの結果が成功でも失敗でもない監査ログ数を示すその他1106、累計の対象に合致する監査ログの総数を示す総ログ数1107を含む情報である。
図5に戻って、対応する累計情報が既に存在している場合(ステップ502でYes)、累計処理部107はステップ504に進む。対応する累計情報が存在しない場合(ステップ502でNo)、累計処理部107は対応する累計情報を生成する(ステップ503)。この累計情報の生成では、累計テーブル115に監査ログ情報に示されるユーザに対応する累計情報を追加する。新たに累計情報を生成した場合、累計テーブル115の分類1102(図11参照)には監査ログのユーザを格納し、成功1104、失敗1105、その他1106、総ログ数1107には「0」を格納する。
既に累計情報が存在する場合(ステップ502でYes)、もしくは新たに累計情報を生成した(ステップ503)後、累計処理部107は、累計処理を実施する(ステップ504)。この累計処理では、監査ログの結果を参照し、成功、失敗もしくはその他に対応した累計テーブル115の成功1104、失敗1105もしくはその他1106および総ログ数1107に格納されている数値をカウントアップした数値を算出する。
累計情報をカウントアップした後、累計処理部107は、その算出結果を累計テーブル115の対応する各累計情報に格納し、更新する(ステップ505)。累計情報を更新した後、累計処理部107は、評価処理部106に処理および監査ログ情報を引き渡す。
評価処理部106は、累計処理部107から処理および監査ログ情報を引き渡されると、評価監査ログテーブル114から監査ログに示されるユーザの前回の評価監査ログを取得する(ステップ506)。この前回の評価監査ログ取得では、評価監査ログテーブル114に格納されている監査ログに示されるユーザを検索し、その評価監査ログ情報を取得する。評価監査ログテーブル114とは、監査ログにその監査ログを評価した結果を付加した情報を格納しているテーブルである。
ここで、図13に示されるように、評価監査ログテーブル114は、評価監査ログ情報を識別するための評価監査ログID1301、監査ログを識別するためのログID1302、監査ログの発生した日時を示す日時1303、監査ログを出力したソフトウェアを示すプログラム1304、監査ログを出力した収集対象コンピュータ118を識別するIPアドレスもしくはホスト名を示す場所1305、監査ログを出力したユーザを示すユーザ1306、監査ログを出力したソフトウェアの動作の種別を示す種別1307、監査ログを出力したソフトウェアの動作の結果を示す結果1308、監査ログを出力したソフトウェアの動作を説明するメッセージ1309、監査ログを出力したソフトウェアの付加的な情報を示す付加情報1310、評価結果のひとつであるユーザ成功/失敗率(成功率か失敗率のいずれか。以下同様)1311、評価結果のひとつであるシステム成功/失敗率1312、評価結果のひとつであるログ影響度1313(影響度)、評価結果としてログ影響度に対応して付与されるログレベル1314を含む情報を格納しているテーブルである。
なお、ユーザ成功/失敗率1311とは、監査ログを出力したユーザごとに、成功および失敗の監査ログ数を示したものである。これにより、各ユーザの操作結果として成功および失敗の監査ログの割合を把握することができる。システム成功/失敗率1312とは、収集対象とするコンピュータ全体で出力された監査ログの成功および失敗の監査ログ数を示したものである。これにより、システム内の成功および失敗の監査ログの割合を把握することができる。
また、ログ影響度1313とは、ユーザ成功/失敗率およびシステム成功/失敗率から算出された評価値(指標)を示したものである。これにより、出力されたある監査ログがシステムに対してどの程度影響したのかを把握することができる。さらに、ログレベル1314とは、ログ影響度の範囲をレベル分けした文字列を示す。これにより、ログ影響度を段階的なレベルとして表すことができる。
図5に戻って、ステップ506において監査ログに示されるユーザの前回の評価監査ログが存在しない場合は、ユーザ成功/失敗率、システム成功/失敗率およびログ影響度を「0」として扱うようにして処理を進める。
前回評価監査ログを取得した後、評価処理部106は、前回の評価監査ログを含めて監査ログの評価を実施する(ステップ507)。
この評価処理では、(1)監査ログに示されるユーザおよび全ユーザに対応する累計テーブル115(図11参照)の成功1104、失敗1105、その他1106、総ログ数1107と、(2)前回の評価監査ログと、(3)取得した監査ログと、を入力とし、2つの観点から評価を実施する。まず、初めに監査ログの絶対評価として、ユーザ成功/失敗率を算出し、システム成功/失敗率を算出する。絶対評価では、累計テーブル115から監査ログのユーザに対応する累計情報を取得し、そのユーザの「成功もしくは失敗/総ログ数(%)」によりユーザ成功率もしくは失敗率を出力する。また、全ユーザに対応する累計情報を取得し、全ユーザの「成功もしくは失敗/総ログ数(%)」によりシステム成功率もしくは失敗率を出力する。
続いて、監査ログの相対評価として、ログ影響度を算出する。相対評価では、前回の評価監査ログのユーザ成功率もしくは失敗率と、絶対評価として算出した今回のユーザ成功率もしくは失敗率の差分を「前回のユーザ成功率/失敗率−今回のユーザ成功率/失敗率(ユーザ成功率/失敗率差分)」として算出する。
また、前回の評価監査ログのシステム成功率もしくは失敗率と絶対評価として算出した今回のシステム成功率もしくは失敗率の差分を「前回のシステム成功率/失敗率−今回のシステム成功率/失敗率(システム成功率/失敗率差分)」として算出する。
その後、ユーザ成功率/失敗率差分に対するシステム成功率/失敗率差分の比率を「システム成功率もしくは失敗率差分/ユーザ成功率もしくは失敗率差分」として算出し、ログ影響度として出力する。
絶対評価および相対評価の評価処理を実施した後、評価処理部106は、監査ログに評価結果を付加した情報を評価監査ログとして生成する(ステップ508)。
評価監査ログを生成した後、評価処理部106は、ログレベル情報が存在するか否かを判定する(ステップ509)。このログレベル情報の判定では、収集・評価コンピュータ101上の記憶装置111にあるログレベル情報116が存在するか否かを判定する。ログレベル情報116が存在しない場合(ステップ509でNo)、ステップ510をスキップしてステップ511に進む。
ログレベル情報116が存在する場合(ステップ509でYes)、評価処理部106は、評価監査ログ情報にログレベル情報を付与する(ステップ510)。このログレベル情報付与では、評価処理により算出したログ影響度に対応するログレベルを評価監査ログ情報にログレベルとして付与する。ログレベル情報116とは、ログ影響度の区分をレベルとして示す情報である。
ここで、図12に示すように、ログレベル情報116は、ログの影響度の区分を示すレベル1201、および、各レベルに対応するログ影響度の範囲を示す影響度範囲1202を含む情報である。
ログレベル情報116が存在しない場合(ステップ509でNo)、もしくはログレベル情報が存在して付与した(ステップ510)後、評価処理部106は、評価監査ログを記憶装置111の評価監査ログテーブル114に格納する(ステップ511)。評価監査ログを格納した後、評価処理部106は、処理をログ収集部109に引き渡す。
ログ収集部109は、評価処理部106から処理を引き渡された後、収集が完了したか否かを判定する(ステップ512)。この収集完了判定では、受信した監査ログがすべて処理されたか否かを判定する。収集が完了していない場合(ステップ512でNo)、ログ収集部109は、ステップ502に戻り、処理を累計処理部107に引渡し繰り返し処理を実施する。収集が完了した場合(ステップ512でYes)、収集・評価コンピュータ101における収集、累計および評価の処理を終了する。
入力部180を用いたユーザからのデータ入力については、例えば図14に示すようなGUI(Graphical User Interface)を利用して入力が行われる。図14は、ユーザからのデータ入力を行うためのGUIを示した一例である。この表示例では、表示部181において、入力データの各項目が表示されており、表示ボタン1409を押下することで入力データに従ったグラフを表示することができる。以下、図14の入力データの各項目について説明する。
図14の入力データの各項目として、表示種別1401では、プロットグラフ、棒グラフ、線グラフなどのグラフの種類を選択することができる。期間1402では、表示対象とする評価監査ログの日時の範囲を指定することができる。条件1403では、監査ログフォーマット1000の各項目で条件が指定できる。このとき、追加ボタン1408を押下することにより、条件入力項目を追加し、絞り込むことが可能である。結果1404では、表示する結果となるデータを指定することができる。
単位(縦)1405では、縦軸の単位を指定することができる。単位(横)1406では、横軸の単位を指定することができる。ログレベル1407では、表示対象とするログレベルを指定することができる。
図6は、収集・評価コンピュータ101における表示処理部104および分析処理部105の処理のフローを表した図の一例である。以下、収集・評価コンピュータ101における分析および表示の処理の流れについて説明する。
収集・評価コンピュータ101上のプログラム103に対して入力部180からのデータ入力が行われることによって開始する。処理が開始すると、表示処理部104は、入力部180から入力されたデータを受け付ける(ステップ601)。この入力受付では、入力されたデータを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。入力されるデータには、前記したように、表示種別、条件、結果、単位がある(図14参照)。
入力を受け付けた後、表示処理部104は、入力された表示種別情報を設定する(ステップ602)。この表示種別設定では、入力された表示種別データを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。表示処理部104が表示種別を設定すると、処理および入力データを分析処理部105に引き渡す。
表示種別を設定した後、処理を引き渡された分析処理部105は、入力された条件情報を設定する(ステップ603)。この条件設定では、入力された条件データを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
条件を設定した後、分析処理部105は、入力された結果情報を設定する(ステップ604)。この結果設定では、入力された結果データを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
結果を設定した後、分析処理部105は、単位の一覧情報を取得する(ステップ605)。この単位一覧取得では、収集・評価コンピュータ101上の記憶装置111に格納されている評価監査ログテーブル114のレコードを単位情報に従って検索し、単位一覧情報を取得し、収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
単位一覧を取得した後、分析処理部105は、取得した単位情報一覧から単位情報を設定する(ステップ606)。この単位設定では、入力された単位データを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。また、単位データに従って、検索クエリを生成し、単位情報一覧を取得する。単位情報一覧を取得すると、分析処理部105は、単位情報一覧を収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。さらに、最初の単位情報を収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
単位を設定した後、分析処理部105は、収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持している条件、結果、単位のデータから集計条件を生成する(ステップ607)。この集計条件生成では、集計処理を行うための条件を検索クエリとして生成する。生成した検索クエリを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
集計条件を生成した後、分析処理部105は、収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持している検索クエリを発行し、集計処理を実施する(ステップ608)。この集計処理では、発行した検索クエリに従って、収集・評価コンピュータ101上の記憶装置111に格納されている評価監査ログテーブル114のレコードを集計する。
集計を実施した後、分析処理部105は、集計結果を取得する(ステップ609)。この集計結果取得では、集計結果データを収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
集計結果を取得した後、分析処理部105は、集計が完了したか否かを判定する(ステップ610)。この集計完了判定では、収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持している単位情報一覧を参照し、集計を実施していない単位情報が存在する(つまり、集計未完了の)場合(ステップ610でNo)、次の単位情報を収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持する。
集計を実施していない単位情報が存在しない(つまり、集計完了の)場合(ステップ610でYes)、分析処理部105は、収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持している集計結果情報を取得し、表示処理部104に処理および集計結果情報を分析処理部105に引き渡す。
処理を引き渡された表示処理部104は、引き渡された集計結果情報と収集・評価コンピュータ101上のメモリ102の作業領域に一時的に保持している表示種別情報に従って、表示部181に集計結果を表示する(ステップ611)。この集計結果表示では、表示種別情報によって、グラフに集計結果を表示する。集計結果を表示すると、分析および表示の一覧の処理を終了する。
図15は、収集・評価コンピュータ101上の記憶装置111に格納されている評価監査ログテーブル114および累計テーブル115の情報を分析した結果を表示部181に表示した一例である。この表示例では、縦軸をプログラム1501、横軸を場所1503として軸を取っている。
横棒グラフ1052では、各プログラムにおけるログ件数を示している。評価監査ログテーブル114(図13参照)のプログラム1304を入力とし、プログラムごとのレコード数の合計を算出し、各プログラムにおけるログ件数として出力とする。
縦棒グラフ1504では、各場所におけるログ件数を示している。評価監査ログテーブル114(図13参照)の場所1305を入力とし、場所ごとのレコード数の合計を算出し、各場所におけるログ件数として出力する。
プロットグラフ1505では、各プログラム1501および各場所1503について点をプロットし(符号1506)、ログレベル(A〜D。図12参照)ごとに円マークの色でログレベルを区分し、ログレベルを付加している。評価監査ログテーブル114(図13参照)において、各プログラム1304かつ各場所1305に一致するログ影響度1313を入力とし、その平均を算出しログ影響度とし、ログレベル情報116(図12参照)に従ってそのログ影響度に対応するログレベルを出力する。また、各ログレベルについて、円マークの大きさでプロットされたプログラムかつ場所についての、ユーザの密度を表す。これには、評価監査ログテーブル114(図13参照)において、各プログラム1304かつ各場所1305について、そのユーザの全ユーザに対する割合を算出し、出力とすればよい。
プロットされた点を選択する(画面上のポインタ(矢印)を近づける)と、円グラフが表示される。円グラフ1507では、プロットされた各プログラムおよび各場所について、各ユーザのログ件数の割合を示している。これには、評価監査ログテーブル114(図13参照)において、各プログラムかつ各場所に一致する各ユーザのログ件数を入力とし、各ユーザの割合を算出し、出力とすればよい。
このような、分析の表示により、どのプログラムやどの場所にどのログレベルのログがどの程度出力されているのかを視覚的に把握することを可能とする。また、ユーザごとにどの程度のログが出力されているのかも視覚的に把握できる。さらに、各プログラムおよび各場所について、ログ影響度でソートすれば、どのプログラムのどの場所がシステムに対する影響が高いかを容易に把握することができる。これにより、システム内で問題となっている対象を容易に発見することができる。このような、表示例は、例えば図14の表示を押下することにより表示することが可能である。
図16は、収集・評価コンピュータ101上の記憶装置111に格納されている評価監査ログテーブル114および累計テーブル115の情報を分析した結果を表示部181に表示した一例である。この表示例では、縦軸をユーザ1601、横軸をログ件数1602として軸を取っている。なお、縦軸について、ここではユーザを軸としているが、ログID、プログラム、場所、種別などの情報を軸とすることも可能である。
横棒グラフ1603では、ユーザの成功もしくは失敗のログ件数を各ログレベル(A〜D。図12参照)の割合として示している。これには、評価監査ログテーブル114(図13参照)において、ユーザ1306および結果1308を入力として、各ユーザの各結果のレコード数を合計し、その割合を算出し、出力とすればよい。
これにより、どのユーザがどのログレベルのログをどのくらい出力しているのかを把握することが可能となる。このような表示例は、例えば図15のユーザ割合からリンクすることが可能である。
図17は、収集・評価コンピュータ101上の記憶装置111に格納されている評価監査ログテーブル114および累計テーブル115の情報を分析した結果を表示部181に表示した一例である。この表示例では、縦軸をログ影響度1701および成功率/失敗率、横軸を時間1702として軸を取っている。なお、横軸の時間に関しては、時刻、日、月、年など様々な単位で示すことを可能とする。また、縦軸のログ影響度および成功率/失敗率に関しては、プラス方向に成功についてのグラフ、マイナス方向に失敗についてのグラフを表示することを可能とする。
横棒グラフ1703は、ログ影響度の範囲で区分し、各区分に含まれるログ数を示している。これには、評価監査ログテーブル114(図13参照)において、ログ影響度1313を入力とし、一定の範囲ごとに区分し、その区分ごとのレコード数の合計を算出し、各区分のログ数として出力すればよい。
縦棒グラフ1704は、対象とするユーザに関する時間単位ごとのログ影響度を示している。これには、評価監査ログテーブル114(図13参照)において、ユーザ1306を入力とし、対象とするユーザについて設定された時間単位ごとにログ影響度の平均を算出し、出力とすればよい。
実線グラフ1705は、対象とするユーザに関する時間単位ごとのユーザ成功率/失敗率を示している。これには、評価監査ログテーブル114(図13参照)において、ユーザ1306を入力とし、対象とするユーザについて設定された時間単位ごとにユーザ成功率/失敗率1311の平均を算出し、出力とすればよい。
点線グラフ1706は、システムとして全ユーザに関する時間単位ごとのシステム成功率/失敗率を示している。評価監査ログテーブル114(図13参照)において、ユーザ1306を入力とし、全ユーザについて設定された時間単位ごとにシステム成功率/失敗率1312の平均を算出し、出力とすればよい。
なお、ここではユーザを対象としているが、ログID、プログラム、場所、種別などの情報を対象とすることも可能である。
また、この表示例では示していないが、時間単位について周期的な時間単位を設定することにより、定期的な期間についての累積表示を可能とする。例えば、1年の範囲で1ヶ月周期の累積表示の場合では、横棒グラフ1703では、12ヶ月分の積上げグラフとして各ログ影響度区分のログ数を表示する。縦棒グラフ1704では、12ヶ月分の積上げグラフとしてログ影響度を表示する。実線グラフ1705では、12ヶ月分の色分けされた実線グラフとしてユーザ成功率/失敗率を表示する。点線グラフ1706では、12ヶ月分の色分けされた点線グラフとしてシステム成功率/失敗率を表示する。
このような、分析の表示により、成功率や失敗率に加えて、ログ影響度によってシステムとユーザごとのログ出力状況が把握できる。また、システム成功率/失敗率を超えるユーザ成功率/失敗率が発生した時間を把握することを可能とする。このような、表示例は、例えば図16のユーザからリンクすることが可能である。
このように、本実施形態の監査ログ収集・評価システムSによれば、ログを正規化および評価して評価監査ログとして蓄積することで、システムの評価を効率的に行うことができる。
また、ソフトウェアの動作結果に関する成功または失敗に関する情報を使用してログ影響度を算出し、そのログ影響度を評価結果とすることで、システムの評価をより適切に行うことができる。
さらに、蓄積した評価監査ログを集計して表示部181に表示することで、ユーザはシステムの状況を迅速かつ容易に把握することができる。
以上で実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。
例えば、ハードウェア、プログラム、表示画面などの具体的な構成について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
本実施形態の監査ログ収集・評価システムのハードウェア構成を表した図である。 本実施形態の監査ログ収集・評価システムの全体の処理フローを示した図である。 収集・評価コンピュータおけるログ収集指示部と、収集対象コンピュータにおけるログ収集指示受付部の処理フローを示した図である。 収集対象コンピュータの処理フローを示した図である。 収集・評価コンピュータの処理フローを示した図である。 収集・評価コンピュータの処理フローを示した図である。 収集対象情報の一例を示した図である。 正規化ルール情報の一例を示した図である。 ログ取得状況情報の一例を示した図である。 監査ログフォーマットの一例を示した図である。 累計テーブルの一例を示した図である。 ログレベル情報の一例を示した図である。 評価監査ログテーブルの一例を示した図である。 データ入力画面の表示例を示した図である。 分析結果プロットグラフの表示例を示した図である。 分析結果棒グラフの表示例を示した図である。 分析結果線・棒グラフの表示例を示した図である。
符号の説明
101 収集・評価コンピュータ
104 表示処理部
105 分析処理部
106 評価処理部
107 累計処理部
111 記憶装置(記憶部)
118 収集対象コンピュータ
121 ログ送信部
122 ログ正規化部(監査ログ生成部)
123 ログ取得部
126 記憶装置

Claims (12)

  1. ソフトウェアの動作結果であるログの収集対象となる収集対象コンピュータと、前記収集対象コンピュータのログを収集してその評価とともに当該ログを記憶部に記憶する収集・評価コンピュータと、を有する監査ログ収集・評価システムであって、
    前記収集対象コンピュータは、
    前記ログを取得するログ取得部と、
    前記取得したログを所定の規則にしたがってフォーマットを統一して監査ログとする監査ログ生成部と、
    前記監査ログを前記収集・評価コンピュータに送信する送信部と、を備え、
    前記収集・評価コンピュータは、
    前記収集対象コンピュータから受信した監査ログに基づいてそのログを出力したソフトウェアの動作結果に関する所定の指標を累計してその累計結果を前記記憶部に格納する累計処理部と、
    前記記憶部に格納された累計結果及び当該監査ログに関連する1つ前の監査ログの評価結果に基づいて当該監査ログに関して評価し、その評価結果と前記監査ログを合わせて評価監査ログとして前記記憶部に格納する評価処理部と、を備える
    ことを特徴とする監査ログ収集・評価システム。
  2. 前記所定の指標は、前記ソフトウェアの動作結果に関する成功または失敗に関する情報であることを特徴とする請求項1に記載の監査ログ収集・評価システム。
  3. 前記評価処理部は、
    所定のソフトウェアに関して、前記収集対象コンピュータの評価・分析観点ごとの前記成功または失敗に関する情報の統計値と、全てのログの前記成功または失敗に関する情報の統計値と、当該監査ログに関連する1つ前の監査ログの評価結果に基づいて、プログラムの動作などを表す情報ごとの影響の度合いを示す影響度を算出し、その影響度を前記評価結果とする
    ことを特徴とする請求項2に記載の監査ログ収集・評価システム。
  4. 前記収集・評価コンピュータは、さらに、
    情報を表示する表示部と、
    前記記憶部に格納された評価監査ログの情報を集計する分析処理部と、
    前記分析処理部が集計した結果を前記表示部に表示する表示処理部と、
    を備えることを特徴とする請求項1から請求項3のいずれか一項に記載の監査ログ収集・評価システム。
  5. ソフトウェアの動作結果であるログの収集対象となる収集対象コンピュータと、前記収集対象コンピュータのログを収集してその評価とともに当該ログを記憶部に記憶する収集・評価コンピュータと、を有する監査ログ収集・評価システムによる監査ログ収集・評価方法であって、
    前記収集対象コンピュータは、
    ログ取得部が、前記ログを取得し、
    監査ログ生成部が、前記取得したログを所定の規則にしたがってフォーマットを統一して監査ログとし、
    送信部が、前記監査ログを前記収集・評価コンピュータに送信し、
    前記収集・評価コンピュータは、
    累計処理部が、前記収集対象コンピュータから受信した監査ログに基づいてそのログを出力したソフトウェアの動作結果に関する所定の指標を累計してその累計結果を前記記憶部に格納し、
    評価処理部が、前記記憶部に格納された累計結果及び当該監査ログに関連する1つ前の監査ログの評価結果に基づいて当該監査ログに関して評価し、その評価結果と前記監査ログを合わせて評価監査ログとして前記記憶部に格納する
    ことを特徴とする監査ログ収集・評価方法。
  6. 前記所定の指標は、前記ソフトウェアの動作結果に関する成功または失敗に関する情報であることを特徴とする請求項5に記載の監査ログ収集・評価方法。
  7. 前記評価処理部は、
    所定のソフトウェアに関して、前記収集対象コンピュータの評価・分析観点ごとの前記成功または失敗に関する情報の統計値と、全てのログの前記成功または失敗に関する情報の統計値と、当該監査ログに関連する1つ前の監査ログの評価結果に基づいて、プログラムの動作などを表す情報ごとの影響の度合いを示す影響度を算出し、その影響度を前記評価結果とする
    ことを特徴とする請求項6に記載の監査ログ収集・評価方法。
  8. 前記収集・評価コンピュータは、さらに、情報を表示する表示部を備え、
    分析処理部が、前記記憶部に格納された評価監査ログの情報を集計し、
    表示処理部が、前記分析処理部が集計した結果を前記表示部に表示する
    ことを特徴とする請求項5から請求項7のいずれか一項に記載の監査ログ収集・評価方法。
  9. ソフトウェアの動作結果であるログの収集対象となる収集対象コンピュータから、ログを所定の規則にしたがってフォーマットを統一した監査ログを収集してその評価とともに当該監査ログを記憶部に記憶する収集・評価コンピュータであって、
    前記収集対象コンピュータから受信した監査ログに基づいてそのログを出力したソフトウェアの動作結果に関する所定の指標を累計してその累計結果を前記記憶部に格納する累計処理部と、
    前記記憶部に格納された累計結果及び当該監査ログに関連する1つ前の監査ログの評価結果に基づいて当該監査ログに関して評価し、その評価結果と前記監査ログを合わせて評価監査ログとして前記記憶部に格納する評価処理部と、を備える
    ことを特徴とする収集・評価コンピュータ。
  10. 前記所定の指標は、前記ソフトウェアの動作結果に関する成功または失敗に関する情報であることを特徴とする請求項9に記載の収集・評価コンピュータ。
  11. 前記評価処理部は、
    所定のソフトウェアに関して、前記収集対象コンピュータの評価・分析観点ごとの前記成功または失敗に関する情報の統計値と、全ユーザの前記成功または失敗に関する情報の統計値と、当該監査ログに関連する1つ前の監査ログの評価結果に基づいて、プログラムの動作などを表す情報ごとの影響の度合いを示す影響度を算出し、その影響度を前記評価結果とする
    ことを特徴とする請求項10に記載の収集・評価コンピュータ。
  12. 情報を表示する表示部と、
    前記記憶部に格納された評価監査ログの情報を集計する分析処理部と、
    前記分析処理部が集計した結果を前記表示部に表示する表示処理部と、
    をさらに備えることを特徴とする請求項9から請求項11のいずれか一項に記載の収集・評価コンピュータ。
JP2007281221A 2007-10-30 2007-10-30 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ Pending JP2009110220A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007281221A JP2009110220A (ja) 2007-10-30 2007-10-30 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007281221A JP2009110220A (ja) 2007-10-30 2007-10-30 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ

Publications (1)

Publication Number Publication Date
JP2009110220A true JP2009110220A (ja) 2009-05-21

Family

ID=40778657

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007281221A Pending JP2009110220A (ja) 2007-10-30 2007-10-30 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ

Country Status (1)

Country Link
JP (1) JP2009110220A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221861A (ja) * 2010-04-12 2011-11-04 Hitachi Kokusai Electric Inc 情報処理装置
US8621436B2 (en) 2010-03-02 2013-12-31 Fuji Xerox Co., Ltd. Computer readable medium, verification support method and verification support apparatus
CN110796336A (zh) * 2019-09-18 2020-02-14 广东电网有限责任公司审计中心 一种基于数据分析的审计项目实施质量监测方法和设备
JP2020119279A (ja) * 2019-01-24 2020-08-06 日本電気株式会社 端末、ログ収集サーバ、ログ解析システム、ログ情報生成方法及びプログラム
CN112346938A (zh) * 2019-08-08 2021-02-09 腾讯科技(深圳)有限公司 操作审计方法、装置及服务器和计算机可读存储介质
WO2022253251A1 (zh) * 2021-06-02 2022-12-08 青岛海尔科技有限公司 用于评价交互系统交互性能的方法和装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8621436B2 (en) 2010-03-02 2013-12-31 Fuji Xerox Co., Ltd. Computer readable medium, verification support method and verification support apparatus
JP2011221861A (ja) * 2010-04-12 2011-11-04 Hitachi Kokusai Electric Inc 情報処理装置
JP2020119279A (ja) * 2019-01-24 2020-08-06 日本電気株式会社 端末、ログ収集サーバ、ログ解析システム、ログ情報生成方法及びプログラム
CN112346938A (zh) * 2019-08-08 2021-02-09 腾讯科技(深圳)有限公司 操作审计方法、装置及服务器和计算机可读存储介质
CN112346938B (zh) * 2019-08-08 2023-05-26 腾讯科技(深圳)有限公司 操作审计方法、装置及服务器和计算机可读存储介质
CN110796336A (zh) * 2019-09-18 2020-02-14 广东电网有限责任公司审计中心 一种基于数据分析的审计项目实施质量监测方法和设备
CN110796336B (zh) * 2019-09-18 2023-09-01 广东电网有限责任公司审计中心 一种基于数据分析的审计项目实施质量监测方法和设备
WO2022253251A1 (zh) * 2021-06-02 2022-12-08 青岛海尔科技有限公司 用于评价交互系统交互性能的方法和装置

Similar Documents

Publication Publication Date Title
US11409645B1 (en) Intermittent failure metrics in technological processes
JP6803754B2 (ja) ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法
JP6823265B2 (ja) 分析装置、分析システム、分析方法および分析プログラム
JP2009110220A (ja) 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ
CN110728422A (zh) 用于施工项目的建筑信息模型、方法、装置和结算系统
US20190213002A1 (en) Analysis software managing system and analysis software managing method
CN109445768B (zh) 数据库脚本生成方法、装置、计算机设备及存储介质
KR101425868B1 (ko) 규칙집합 기반 대용량 데이터 처리 시스템 및 방법
JP5711677B2 (ja) 監視情報分析装置及び方法
JP5856906B2 (ja) 業務課題分析支援システム
JP6842397B2 (ja) 業務支援システムおよび業務支援方法
JP2012123675A (ja) システム部品の抽出方法およびシステム
KR102197152B1 (ko) 투자정보 제공 시스템
CN113094088A (zh) 数据库配置信息采集方法、装置、计算机设备及存储介质
JP2013037478A (ja) 作業工数算出装置、作業工数算出方法、およびプログラム
JP5403273B2 (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
JP2021149489A (ja) 業務可視化装置、業務可視化方法、及びプログラム
JP5490509B2 (ja) 工事・業務実績検索システム
JPWO2009008129A1 (ja) 開発書類データ管理装置、開発書類データ管理システム、開発書類データ管理方法及び、そのプログラム並びに記憶媒体
JP6703925B2 (ja) 見積装置、プログラム
JP2011048459A (ja) プロジェクト立案支援システムおよびプロジェクト立案支援方法
JP2010134552A (ja) コンテンツ管理システム、コンテンツ管理方法及びコンテンツ管理プログラム
JP4846483B2 (ja) ソフトウェア部品再利用支援システム
JP2007122220A (ja) 情報分析処理装置、および情報分析処理方法、並びにコンピュータ・プログラム
CN110555625B (zh) 一种信息处理方法、装置、计算机设备及存储介质