JP2009169507A - アーカイブシステムおよびアーカイブシステム用プログラム - Google Patents
アーカイブシステムおよびアーカイブシステム用プログラム Download PDFInfo
- Publication number
- JP2009169507A JP2009169507A JP2008004241A JP2008004241A JP2009169507A JP 2009169507 A JP2009169507 A JP 2009169507A JP 2008004241 A JP2008004241 A JP 2008004241A JP 2008004241 A JP2008004241 A JP 2008004241A JP 2009169507 A JP2009169507 A JP 2009169507A
- Authority
- JP
- Japan
- Prior art keywords
- archive
- data
- connection
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】
接続履歴の検索時間を短縮させ、アーカイブデータをそのまま検索する場合と比べて、小さな検索範囲で効果的な検索結果を得ることのできるアーカイブシステムを提供する。
【解決手段】
アーカイブシステム10は、アーカイブデータ12および接続ログ13が記録される記憶装置11と、LAN20内を通過する特定のプロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータ12として記憶装置11に記憶させるアーカイブ記録処理181と、記憶装置11からアーカイブデータ12を読み込んで、LAN20内に接続されたノード23毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログ13として記憶装置11に記憶させる接続ログ記録処理182と、記憶装置11から接続ログ13を読み込んで、管理者が指定した検索条件に応じて、接続ログ13を検索する検索処理183を備える。
【選択図】図1
接続履歴の検索時間を短縮させ、アーカイブデータをそのまま検索する場合と比べて、小さな検索範囲で効果的な検索結果を得ることのできるアーカイブシステムを提供する。
【解決手段】
アーカイブシステム10は、アーカイブデータ12および接続ログ13が記録される記憶装置11と、LAN20内を通過する特定のプロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータ12として記憶装置11に記憶させるアーカイブ記録処理181と、記憶装置11からアーカイブデータ12を読み込んで、LAN20内に接続されたノード23毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログ13として記憶装置11に記憶させる接続ログ記録処理182と、記憶装置11から接続ログ13を読み込んで、管理者が指定した検索条件に応じて、接続ログ13を検索する検索処理183を備える。
【選択図】図1
Description
本発明は、ローカルエリアネットワーク(LAN)上の通信内容を収集して、その通信内容をアーカイブとして取得・記録するアーカイブシステムおよびそのアーカイブシステム用プログラムに関する。特に、本発明はアーカイブしたデータを効果的に検索し、あるいはその検索結果を効果的に表示させるための技術に関する。
近年の情報セキュリティへの対策として、メールデータや、ウェブアクセス履歴を保存するシステムが普及しつつある。
特許文献1では、通信回線に接続されている電子メールサーバの電子メール受信装置から電子メールデータを取り込む第1データ入力手段と、該第1データ入力手段によって取り込まれた電子メールデータを汎用データベースに入力するアプリケーションインターフェイス(API)とを備えることを特徴とする電子メール・アーカイブシステムが開示されている。このシステムでは、データ入力手段によって読み込まれた電子メールデータに添付ファイルが添付されている場合には、汎用データベースとは別のファイルシステムに入力する添付ファイル保存手段を更に備えることで、汎用データベースの利用効率を向上させている。
特許文献2では、企業等の組織内において、物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し、主として内部統制に有益な情報を提供することを目的として、可能オフィスの入退出(第1のログデータ)と、コンピュータの操作(第2のログデータ)と、ネットワーク上の操作(第3のログデータ)を統合ログとして格納するログ統合管理システム及びログ統合管理方法に関する技術が開示されている。
しかし、特許文献1に記載された電子メール・アーカイブシステムでは、メールの履歴を検索するために、汎用データベースおよび添付ファイル保存手段によって保存された汎用データベースとは別のファイルシステムから全文検索を行う必要がある。したがって、メールデータの検索に時間を要するといった問題がある。
また、特許文献2に記載されたログ統合管理システム及びログ統合管理方法では、可能オフィスの入退出をログとして別途取得・保存する必要があり、システムの構成が複雑となるといった問題がある。
また、特許文献2に記載されたログ統合管理システム及びログ統合管理方法では、可能オフィスの入退出をログとして別途取得・保存する必要があり、システムの構成が複雑となるといった問題がある。
例えば、情報漏えいなどの事案が発生した場合には、複数のログファイルを時系列で辿ってゆき、整理・統合させることが有益となる場合がある。すなわち、複数の無関係と思われるイベントを、操作者を絞り込んだ上で解析することで、これらの原因や被害状況等を特定できる場合が少なくない。
そこで、本発明では、接続履歴の検索時間を短縮させ、アーカイブデータをそのまま検索する場合と比べて、小さな検索範囲で効果的な検索結果を得ることのできるアーカイブシステムおよびそのアーカイブシステム用プログラムを提供とすることを目的とする。
そこで、本発明では、接続履歴の検索時間を短縮させ、アーカイブデータをそのまま検索する場合と比べて、小さな検索範囲で効果的な検索結果を得ることのできるアーカイブシステムおよびそのアーカイブシステム用プログラムを提供とすることを目的とする。
前述した課題を解決するため、本発明第1の構成によるアーカイブシステムは、アーカイブデータおよび接続ログが記録される記憶装置と、ローカルエリアネットワーク内を通過する特定のプロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させるアーカイブ記録処理部と、前記記憶装置から前記アーカイブデータを読み込んで、前記ローカルエリアネットワーク内に接続されたノード毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログとして前記記憶装置に記憶させる接続ログ記録処理部と、前記記憶装置から前記接続ログを読み込んで、管理者が指定した検索条件に応じて、前記接続ログを検索する検索処理部と、を備えた構成としている。
また、本発明第7の構成によるアーカイブシステム用プログラムは、記憶装置と、ローカルエリアネットワーク内を通過するパケットデータを収集するパケット情報取得部を備えたアーカイブシステムで用いられ、前記パケット情報取得部から、特定のプロトコルによる前記パケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータとして前記記憶装置に記憶させるアーカイブ記録処理ステップと、前記記憶装置から前記アーカイブデータを読み込んで、前記ローカルエリアネットワーク内に接続されたノード毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログとして前記記憶装置に記憶させる接続ログ記録処理ステップと、前記記憶装置から前記接続ログを読み込んで、管理者が指定した検索条件に応じて、前記接続ログを検索する検索処理ステップと、からなる各処理を実行する構成としている。
また、本発明第7の構成によるアーカイブシステム用プログラムは、記憶装置と、ローカルエリアネットワーク内を通過するパケットデータを収集するパケット情報取得部を備えたアーカイブシステムで用いられ、前記パケット情報取得部から、特定のプロトコルによる前記パケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータとして前記記憶装置に記憶させるアーカイブ記録処理ステップと、前記記憶装置から前記アーカイブデータを読み込んで、前記ローカルエリアネットワーク内に接続されたノード毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログとして前記記憶装置に記憶させる接続ログ記録処理ステップと、前記記憶装置から前記接続ログを読み込んで、管理者が指定した検索条件に応じて、前記接続ログを検索する検索処理ステップと、からなる各処理を実行する構成としている。
また、本発明第2の構成によるアーカイブシステムは、第1の発明の構成に加え、前記アーカイブ記録処理部は、ウェブアプリケーション用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理部は、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出して、前記統一資源識別子を含んだ情報を前記接続ログとしてまとめる、ことを特徴とした構成としている。
また、本発明第8の構成によるアーカイブシステム用プログラムは、第7の発明の構成に加え、前記アーカイブ記録処理ステップは、ウェブアプリケーション用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出して、前記統一資源識別子を含んだ情報を前記接続ログとしてまとめる、各処理を実行することを特徴とした構成としている。
また、本発明第8の構成によるアーカイブシステム用プログラムは、第7の発明の構成に加え、前記アーカイブ記録処理ステップは、ウェブアプリケーション用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出して、前記統一資源識別子を含んだ情報を前記接続ログとしてまとめる、各処理を実行することを特徴とした構成としている。
また、本発明第3の構成によるアーカイブシステムは、第2の発明の構成に加え、前記アーカイブ記録処理部は、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理部は、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記統一資源識別子、時刻情報および前記ノードの識別子を前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから抽出し、これらの情報をインデックス情報として前記接続ログの該レコードに付加する、ことを特徴とした構成としている。
また、本発明第9の構成によるアーカイブシステム用プログラムは、第8の発明の構成に加え、前記アーカイブ記録処理ステップは、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記統一資源識別子、時刻情報および前記ノードの識別子を前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから抽出し、これらの情報をインデックス情報として前記接続ログの該レコードに付加する、各処理を実行することを特徴とした構成としている。
また、本発明第9の構成によるアーカイブシステム用プログラムは、第8の発明の構成に加え、前記アーカイブ記録処理ステップは、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記統一資源識別子、時刻情報および前記ノードの識別子を前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから抽出し、これらの情報をインデックス情報として前記接続ログの該レコードに付加する、各処理を実行することを特徴とした構成としている。
また、本発明第4の構成によるアーカイブシステムは、第2の発明の構成に加え、前記アーカイブ記録処理部は、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理部は、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記メール用プロトコルのアーカイブデータを前記記憶媒体から検索し、その検索でヒットした前記アーカイブデータのインデックス情報を前記接続ログの該レコードに付加する、ことを特徴とした構成としている。
また、本発明第10の構成によるアーカイブシステム用プログラムは、第8の発明の構成に加え、前記アーカイブ記録処理ステップは、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記メール用プロトコルのアーカイブデータを前記記憶媒体から検索し、その検索でヒットした前記アーカイブデータのインデックス情報を前記接続ログの該レコードに付加する、各処理を実行することを特徴とした構成としている。
また、本発明第10の構成によるアーカイブシステム用プログラムは、第8の発明の構成に加え、前記アーカイブ記録処理ステップは、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記メール用プロトコルのアーカイブデータを前記記憶媒体から検索し、その検索でヒットした前記アーカイブデータのインデックス情報を前記接続ログの該レコードに付加する、各処理を実行することを特徴とした構成としている。
また、本発明第5の構成によるアーカイブシステムは、第3または第4の発明の構成に加え、前記検索処理部は、前記検索条件に従って抽出した前記接続ログを画面表示させるとともに、前記管理者が、前記ウェブメールに関連するメソッドを含む前記接続ログのレコードを指定した場合には、前記インデックス情報に対応する、前記メール用プロトコルのアーカイブデータを前記記憶装置から検索して、その検索でヒットした前記アーカイブデータを画面表示させることを特徴とした構成としている。
また、本発明第11の構成によるアーカイブシステム用プログラムは、第9または第10の発明の構成に加え、前記検索処理ステップは、前記検索条件に従って抽出した前記接続ログを画面表示させるとともに、前記管理者が、前記ウェブメールに関連するメソッドを含む前記接続ログのレコードを指定した場合には、前記インデックス情報に対応する、前記メール用プロトコルのアーカイブデータを前記記憶装置から検索して、その検索でヒットした前記アーカイブデータを画面表示させる処理を実行することを特徴とした構成としている。
また、本発明第11の構成によるアーカイブシステム用プログラムは、第9または第10の発明の構成に加え、前記検索処理ステップは、前記検索条件に従って抽出した前記接続ログを画面表示させるとともに、前記管理者が、前記ウェブメールに関連するメソッドを含む前記接続ログのレコードを指定した場合には、前記インデックス情報に対応する、前記メール用プロトコルのアーカイブデータを前記記憶装置から検索して、その検索でヒットした前記アーカイブデータを画面表示させる処理を実行することを特徴とした構成としている。
また、本発明第6の構成によるアーカイブシステムは、第2ないし第5の発明の構成に加え、前記接続ログ記録処理部は、前記接続ログを前記記憶媒体に記録させる前に、記録すべきデータを前記メール用プロトコルのアーカイブデータと同じフォーマットに変換して、その変換された情報を前記接続ログとして前記記憶装置に記憶させることを特徴とした構成としている。
また、本発明第12の構成によるアーカイブシステム用プログラムは、第8ないし第11の発明の構成に加え、前記接続ログ記録処理ステップは、前記接続ログを前記記憶媒体に記録させる前に、記録すべきデータを前記メール用プロトコルのアーカイブデータと同じフォーマットに変換して、その変換された情報を前記接続ログとして前記記憶装置に記憶させる処理を実行することを特徴とした構成としている。
また、本発明第12の構成によるアーカイブシステム用プログラムは、第8ないし第11の発明の構成に加え、前記接続ログ記録処理ステップは、前記接続ログを前記記憶媒体に記録させる前に、記録すべきデータを前記メール用プロトコルのアーカイブデータと同じフォーマットに変換して、その変換された情報を前記接続ログとして前記記憶装置に記憶させる処理を実行することを特徴とした構成としている。
本発明第1の構成によるアーカイブシステムまたは第7の構成によるアーカイブシステム用プログラムによれば、パケットデータをそのまま記録したアーカイブデータとは別に、LAN内で接続されているノード毎に接続先をまとめた接続ログを記録させておき、接続履歴を探索するときには、その接続ログを検索するようにしておくことで、接続履歴の探索時における検索時間を短縮することができる。特に、接続ログには、ログ検索時で頻繁に用いられる重要なアクセス情報がまとめられており、アーカイブデータをそのまま検索する場合と比べて、小さな検索範囲で効果的な検索結果を得ることができる。
また、端末毎にアクセス履歴を時系列データとして保存することができるほか、特定の端末のアクセス履歴だけを長期的に保存させるといった要請にもこたえることができる。
また、端末毎にアクセス履歴を時系列データとして保存することができるほか、特定の端末のアクセス履歴だけを長期的に保存させるといった要請にもこたえることができる。
本発明第2の構成によるアーカイブシステムまたは第8の構成によるアーカイブシステム用プログラムによれば、アーカイブデータとして、HTML言語などで代表されるウェブアプリケーション用プロトコルのデータを記憶させるとともに、接続ログとして各ノードがリクエストした統一資源識別子(URL等)を記録させるので、前述した効果に加えて、ウェブ等のアクセス履歴を各ノード単位やユーザ単位で把握することができる。
本発明第3の構成によるアーカイブシステムまたは第9の構成によるアーカイブシステム用プログラムによれば、接続ログのなかに、ウェブメールに関連するメソッドが含まれている場合に、そのメソッドに対応する、URL、時刻情報およびノードの識別子をインデックス情報として付加したことで、前述した効果に加えて、ウェブメールに関連するメソッドから、対応するメールアーカイブを容易に探索することができる。特に、接続ログに含まれていないメールの本文を容易に追跡することができ、ウェブアクセス履歴とメール送受信との関係を簡単に把握することができるようになる。
本発明第4の構成によるアーカイブシステムまたは第10の構成によるアーカイブシステム用プログラムによれば、接続ログのなかに、ウェブメールに関連するメソッドが含まれている場合に、そのメソッドに対応する、ウェブメールのアーカイブデータのインデックス情報を付加したことで、前述した効果に加えて、ウェブメールに関連するメソッドから、対応するメールアーカイブを容易に探索することができる。特に、接続ログに含まれていないメールの本文を容易に追跡することができ、ウェブアクセス履歴とメール送受信との関係を簡単に把握することができるようになる。
本発明第5の構成によるアーカイブシステムまたは第11の構成によるアーカイブシステム用プログラムによれば、インデックス情報に対応するメールアーカイブを検索して、その結果を画面表示させることができるため、前述した効果に加えて、ウェブメールに関連するメソッドから、対応するウェブメールの本文を容易に確認することができる。
本発明第6の構成によるアーカイブシステムまたは第12の構成によるアーカイブシステム用プログラムによれば、接続ログを、メール用プロトコルのアーカイブデータと同じフォーマットで記録させているため、前述した効果に加えて、メール用アーカイブシステムとして従来搭載されているメール表示機能やメール検索機能を、そのままウェブアクセス履歴の表示や検索で応用することができる。
また、メール以外のログについても、その内容を通常用いられるメール閲覧用ソフトウエア等で容易に確認することができる。
また、メール以外のログについても、その内容を通常用いられるメール閲覧用ソフトウエア等で容易に確認することができる。
本発明の実施形態を実施例1ないし実施例3にて説明する。
実施例1を図1〜図6に基づいて説明する。
図1は、本発明にかかるアーカイブシステムの構成を示す説明図である。
ローカルエリアネットワーク(LAN20)は、インターネット30とファイヤーウォール(FW21)を介して接続されており、各ノード23a、23b、…、23z(以後、各ノードをまとめて「ノード23」として表すことがある)を含んだ構成となっている。
さらに、LAN20内を通過するパケットデータを取得するために、FW21の手前にTAP装置22を設けた構成となっている。TAP装置22はLAN20を通過するパケットデータをモニタリング・複製して、その複製した信号をアーカイブ装置10に送信する。このように、TAP装置22により通信内容をモニタリングさせることにより、LAN20の構成を変えずして、アーカイブの取得が可能となる。
図1は、本発明にかかるアーカイブシステムの構成を示す説明図である。
ローカルエリアネットワーク(LAN20)は、インターネット30とファイヤーウォール(FW21)を介して接続されており、各ノード23a、23b、…、23z(以後、各ノードをまとめて「ノード23」として表すことがある)を含んだ構成となっている。
さらに、LAN20内を通過するパケットデータを取得するために、FW21の手前にTAP装置22を設けた構成となっている。TAP装置22はLAN20を通過するパケットデータをモニタリング・複製して、その複製した信号をアーカイブ装置10に送信する。このように、TAP装置22により通信内容をモニタリングさせることにより、LAN20の構成を変えずして、アーカイブの取得が可能となる。
アーカイブ装置10は、その内部に記憶装置11と、パケットデータを取得するパケット情報取得部14と、プログラム記憶装置18を備えるほか、所定の情報処理を実現すべく、中央演算処理装置(CPU15)、クロック16、メモリ17、グラフィックカード19などを備える。グラフィックカード19から出力された映像信号はディスプレイ40で表示される。
記憶装置11には、アーカイブデータ12を記憶する記憶領域と、接続ログ13を記憶する記憶領域が確保されており、プログラム記憶装置18には、アーカイブ記録処理181と接続ログ記録処理182と検索処理183をそれぞれ実行させるためのプログラムがインストールされており、これらのプログラムが実行されるときには、これらのプログラムが呼び出されて所定の情報処理が実行される。
なお、記憶装置11は、必ずしも、アーカイブ装置10の内部に設置させる必要はなく、アーカイブ装置10の外部機器として設けられたもので構成させてもよい。
また、アーカイブ記録処理181と接続ログ記録処理182と検索処理183を1台の計算機で行わせる必要もなく、複数の計算機が記憶装置11にアクセス可能な状態とさせながら、これらの各処理を複数の計算機で分担して行わせるようにしても差し支えないし、記憶装置11とプログラム記憶装置18は一つの記憶装置で構成されていても差し支えない。
また、アーカイブ記録処理181と接続ログ記録処理182と検索処理183を1台の計算機で行わせる必要もなく、複数の計算機が記憶装置11にアクセス可能な状態とさせながら、これらの各処理を複数の計算機で分担して行わせるようにしても差し支えないし、記憶装置11とプログラム記憶装置18は一つの記憶装置で構成されていても差し支えない。
アーカイブ記録処理181は、パケット情報取得部14から、特定のプロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータ12として記憶装置11に記憶させる処理を実行するプログラムによって構成されている。
また、接続ログ記録処理182は、記憶装置11からアーカイブデータ12を読み込んで、LAN20内に接続されたノード23毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログ13a、13b、…13z(以後、各接続ログをまとめて「接続ログ13」として表すことがある)として記憶装置11に記憶させる処理を実行するプログラムによって構成されている。
また、検索処理183は、記憶装置11から接続ログ13を読み込んで、管理者が指定した検索条件に応じて、接続ログ13を検索する処理を実行するプログラムによって構成されている。
また、接続ログ記録処理182は、記憶装置11からアーカイブデータ12を読み込んで、LAN20内に接続されたノード23毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログ13a、13b、…13z(以後、各接続ログをまとめて「接続ログ13」として表すことがある)として記憶装置11に記憶させる処理を実行するプログラムによって構成されている。
また、検索処理183は、記憶装置11から接続ログ13を読み込んで、管理者が指定した検索条件に応じて、接続ログ13を検索する処理を実行するプログラムによって構成されている。
すなわち、図1では、パケット情報取得部14と、アーカイブデータ12の記憶領域が確保された記憶装置11と、アーカイブ記録処理181のプログラムを記憶したプログラム記憶装置18と、そのプログラムを実際に処理するCPU15やメモリ17などの構成により、アーカイブ記録処理部が構成される。
また、アーカイブデータ12および接続ログ13の記憶領域が確保された記憶装置11と、接続ログ記録処理182のプログラムを記憶したプログラム記憶装置18と、そのプログラムを実際に処理するCPU15やメモリ17などの構成により、接続ログ記録処理部が構成される。
また、接続ログ13の記憶領域が確保された記憶装置11と、検索処理183のプログラムを記憶したプログラム記憶装置18と、そのプログラムを実際に処理するCPU15やメモリ17と、検索結果をディスプレイ40で表示させるために映像信号を出力するグラフィックカード19などの構成により、検索処理部が構成される。
また、アーカイブデータ12および接続ログ13の記憶領域が確保された記憶装置11と、接続ログ記録処理182のプログラムを記憶したプログラム記憶装置18と、そのプログラムを実際に処理するCPU15やメモリ17などの構成により、接続ログ記録処理部が構成される。
また、接続ログ13の記憶領域が確保された記憶装置11と、検索処理183のプログラムを記憶したプログラム記憶装置18と、そのプログラムを実際に処理するCPU15やメモリ17と、検索結果をディスプレイ40で表示させるために映像信号を出力するグラフィックカード19などの構成により、検索処理部が構成される。
続いて、アーカイブ記録処理181の流れを図2のフローチャートに従って説明する。アーカイブ記録処理181は、アーカイブ装置10において常時起動しており、所定時間(たとえば1時間)ごとにファイル名を変えながら、アーカイブデータ12を作成する。
すなわち、ステップS11では、アーカイブデータとして記録するファイルを開き、ステップS12では、パケット情報取得部14で受信したパケットデータを取得する。そして、取得したパケットデータがアーカイブ対象のデータであるか否かを判断し(ステップS13)、アーカイブ対象でないパケットの場合には、ステップS12に戻って、パケットデータの取得を継続する。そして、取得したパケットデータがアーカイブ対象となるパケットである場合には、そのパケットをアーカイブデータ12に記録し(ステップS14)、ステップS15にて所定時間が経過していなければ、ステップS12に戻って、パケットデータの取得を継続する。一方、ステップS15にて、所定時間が経過したときには、記録を行ったアーカイブデータ12のファイルをクローズして(ステップS16)、再びステップS11に戻って、異なるファイル名でファイルを開き、アーカイブデータ12の取得を継続する。
なお、アーカイブ記録処理181は、ステップS11で開くファイル名を変えることにかえて、ステップS16でファイルを閉じた後で、その閉じたファイルのファイル名をリネームすることで、所定時間毎に作成されるファイルを構成させるようにしても差し支えない。
すなわち、ステップS11では、アーカイブデータとして記録するファイルを開き、ステップS12では、パケット情報取得部14で受信したパケットデータを取得する。そして、取得したパケットデータがアーカイブ対象のデータであるか否かを判断し(ステップS13)、アーカイブ対象でないパケットの場合には、ステップS12に戻って、パケットデータの取得を継続する。そして、取得したパケットデータがアーカイブ対象となるパケットである場合には、そのパケットをアーカイブデータ12に記録し(ステップS14)、ステップS15にて所定時間が経過していなければ、ステップS12に戻って、パケットデータの取得を継続する。一方、ステップS15にて、所定時間が経過したときには、記録を行ったアーカイブデータ12のファイルをクローズして(ステップS16)、再びステップS11に戻って、異なるファイル名でファイルを開き、アーカイブデータ12の取得を継続する。
なお、アーカイブ記録処理181は、ステップS11で開くファイル名を変えることにかえて、ステップS16でファイルを閉じた後で、その閉じたファイルのファイル名をリネームすることで、所定時間毎に作成されるファイルを構成させるようにしても差し支えない。
ここで、アーカイブ対象となるパケットは、メールの送受信等で用いられるメール用プロトコルのほか、HTTP言語などに代表されるウェブアプリケーション用プロトコルや、SQLなどに代表されるデータベース用プロトコルなどが考えられる。
例えば、メール転送プロトコルによるパケットデータを一通分のメールデータとして結合させると、その構成は図3に示す通りであり、一通分のメールデータは、イーサヘッダ31、IPヘッダ32、TCPヘッダ33、メールデータ34によって構成されている。IPヘッダ32の中には、送信元IPアドレス32aや、宛先IPアドレス32bの情報が含まれており、TCPヘッダ33の中には、送信元ポート番号33aや、宛先ポート番号33bの情報が含まれており、メールデータ34の中には、送信元メールアドレス34aや、宛先メールアドレス34bや、送信日時34cや、メールタイトル34dの情報が含まれている。
例えば、メール転送プロトコルによるパケットデータを一通分のメールデータとして結合させると、その構成は図3に示す通りであり、一通分のメールデータは、イーサヘッダ31、IPヘッダ32、TCPヘッダ33、メールデータ34によって構成されている。IPヘッダ32の中には、送信元IPアドレス32aや、宛先IPアドレス32bの情報が含まれており、TCPヘッダ33の中には、送信元ポート番号33aや、宛先ポート番号33bの情報が含まれており、メールデータ34の中には、送信元メールアドレス34aや、宛先メールアドレス34bや、送信日時34cや、メールタイトル34dの情報が含まれている。
図3では、このほか、イーサヘッダ31の前に、拡張ヘッダ35を付加するようにして、その情報として、アーカイブ装置10がそのパケットを受け取った時刻を受信日時35aで記載させるなどしてもよい。そのようにすることで、送信元がデータに付加した送信日時34cだけでなく、アーカイブ装置10が実際に受信した受信時刻での管理が可能となる。
ステップS13において取得したパケットデータの判断について、図3をもとに説明すると、プロトコルの種類は、宛先ポート番号33bなどにより判別することができる。具体的にいうと、メール用プロトコルは、ポート番号として、25番(smtp)や、110番(pop3)や、143番(imap)などが一般的によく用いられる。
ステップS14でアーカイブデータを保存する場合には、図3のようなデータ構造となっているメールデータを、アーカイブデータ12の中にあるメールアーカイブ122にそのまま保存させることが好ましい。
また、後で説明するウェブアプリケーション用プロトコルの場合には、アーカイブデータ12の中のウェブアーカイブ121に保存させることが好ましい。このように、プロトコルの種類に応じて、アーカイブを分けて保存させる形態にしてもよい。
ステップS14でアーカイブデータを保存する場合には、図3のようなデータ構造となっているメールデータを、アーカイブデータ12の中にあるメールアーカイブ122にそのまま保存させることが好ましい。
また、後で説明するウェブアプリケーション用プロトコルの場合には、アーカイブデータ12の中のウェブアーカイブ121に保存させることが好ましい。このように、プロトコルの種類に応じて、アーカイブを分けて保存させる形態にしてもよい。
続いて、接続ログ記録処理182の流れを図4のフローチャートに従って説明する。接続ログ記憶処理182は、アーカイブ記録処理181のステップS16にて、アーカイブデータ12のファイルが閉じられるたびに、あるいは、その閉じられた後の指定したタイミングで起動し、所定時間毎に作成されたアーカイブデータ12の内容から、後に通信内容を追跡するために必要なデータを抽出して、これらをノード23毎に整理したものを接続ログ13として別途保存するものである。
図4において、接続ログ記録処理182が起動すると、ステップS21でアーカイブデータ12に記録されたアーカイブを読み込む。ステップS22では、問題が発生した際に通信内容を追跡するために必要なデータを抽出する。図3のメールデータでいえば、送信先IPアドレス32a、宛先IPアドレス32b、送信元ポート番号33a、宛先ポート番号33b、送信元メールアドレス34a、宛先メールアドレス34b、送信日時34c、メールタイトル34dなどといった、通信履歴を追跡するために必要なデータが対象となる。そして、これら抽出されたデータを、メモリ17などといった記憶装置に一時的に記憶させる(ステップS26)。なお、拡張ヘッダ35による管理が行われている場合には、あわせて、受信日時35aについても抽出・記憶させてもよい。
図4において、接続ログ記録処理182が起動すると、ステップS21でアーカイブデータ12に記録されたアーカイブを読み込む。ステップS22では、問題が発生した際に通信内容を追跡するために必要なデータを抽出する。図3のメールデータでいえば、送信先IPアドレス32a、宛先IPアドレス32b、送信元ポート番号33a、宛先ポート番号33b、送信元メールアドレス34a、宛先メールアドレス34b、送信日時34c、メールタイトル34dなどといった、通信履歴を追跡するために必要なデータが対象となる。そして、これら抽出されたデータを、メモリ17などといった記憶装置に一時的に記憶させる(ステップS26)。なお、拡張ヘッダ35による管理が行われている場合には、あわせて、受信日時35aについても抽出・記憶させてもよい。
続いて、ステップS27では、アーカイブデータ12に次のパケットデータが残っているか否かを判断し、次のパケットデータが残っている場合には、ステップS21に戻って、アーカイブデータ12に記録されたパケットデータの読み込みを再開する。次のパケットデータが残っていない場合には、ステップS28に進み、メモリ17などに記録された抽出データについて、各ノード23と同じIPアドレスとなる送信元IPアドレス32aや、宛先IPアドレス32bをキーとしてデータをソートする。
図5は、実施例1における抽出データをノードごとにソートした結果であり、ステップS22で抽出した各データが、メール番号51、日時52、対象IPアドレス53、相手IPアドレス54、メソッド55、送信元メールアドレス56、宛先メールアドレス57、…などのように整理され、対象IPアドレス53として記載された各ノード23のIPアドレス順にデータがソートされている。
そして、ソートされた抽出データは、接続ログ13a、13b、…、13zのように、各ノードを単位として記録させ(ステップS29)、接続ログ記録処理が終了する。なお、ステップS29では、前の接続ログ記録処理で作成された接続ログ13に新たなデータを追記する形で接続ログ13を記録させることが望ましい。また、接続ログ13a、13b、…、13zは必ずしも一つ一つのファイルとして分割されている必要はなく、これらをまとめたものを一つのファイルとして保存する形態としても差し支えない。
続いて、検索処理部183について説明する。図6は、実施例1における検索処理部で検索を行うためのユーザインターフェースの一例を示したものである。図6において、検索画面61は、対象となるノード23のIPアドレス62を入力し、検索期間63を指定する。その他、フリーワード64の指定が行えるようになっている。検索実行ボタン65をクリックすると、記憶装置11から指定したIPアドレスに対応する検索ログ13を読み込んで、管理者が指定した検索条件に応じて検索結果66をディスプレイ40に表示させる。
このように、実施例1によれば、パケットデータをそのまま記録したアーカイブデータとは別に、LAN内で接続されているノード毎に接続先をまとめた接続ログを記録させておき、接続履歴を探索するときには、その接続ログを検索するようにしておくことで、接続履歴の探索時における検索時間を短縮することができる。特に、接続ログには、ログ検索時で頻繁に用いられる重要なアクセス情報がまとめられており、アーカイブデータをそのまま検索する場合と比べて、小さな検索範囲で効果的な検索結果を得ることができる。
また、端末毎にアクセス履歴を時系列データとして保存することができるほか、特定の端末のアクセス履歴だけを長期的に保存させるといった要請にもこたえることができる。
また、端末毎にアクセス履歴を時系列データとして保存することができるほか、特定の端末のアクセス履歴だけを長期的に保存させるといった要請にもこたえることができる。
実施例2を図7〜図12に基づいて説明する。なお、実施例1と同じ機能・構成となるものについては、同一の符号を付すこととし、詳細な説明は省略する。
アーカイブ記録処理181は、LAN20を通過するウェブアプリケーション用プロトコル(HTML等)によるパケットデータを読み込んで、そのパケットデータを含んだ情報をウェブアーカイブ121として記憶装置11に記憶させ、接続ログ記録処理182は、ウェブアプリケーション用プロトコルによるパケットデータが記録されたウェブアーカイブ121から、該ノード23がリクエストした統一資源識別子(URL)を抽出して、そのURLを含んだ情報を接続ログ13としてまとめるものである。
このように、アーカイブデータとして、HTML言語などで代表されるウェブアプリケーション用プロトコルのデータを記憶させるとともに、接続ログとして各ノードがリクエストした統一資源識別子(URL等)を記録させるので、前述した効果に加えて、ウェブ等のアクセス履歴を各ノード単位やユーザ単位で把握することができる。
すなわち、実施例2では、メールの送受信等で用いられるメール用プロトコルなどのほか、HTTP言語などで代表されるウェブアプリケーション用プロトコルをアーカイブ対象としている。
ウェブアプリケーション用プロトコルによるパケットデータを一件分のアーカイブとして結合させると、その構成は図7に示す通りであり、一件分のHTMLデータは、イーサヘッダ71、IPヘッダ72、TCPヘッダ73、HTTPコマンド74によって構成されている。イーサヘッダ71の中には、宛先MACアドレス71や、送信先MACアドレス71bの情報が含まれており、IPヘッダ72の中には、送信元IPアドレス72aや、宛先IPアドレス72bの情報が含まれており、TCPヘッダ73の中には、送信元ポート番号73aや、宛先ポート番号73bの情報が含まれており、HTTPコマンド74の中には、開始行74aや、バージョン情報74bの情報が含まれている。
ウェブアプリケーション用プロトコルによるパケットデータを一件分のアーカイブとして結合させると、その構成は図7に示す通りであり、一件分のHTMLデータは、イーサヘッダ71、IPヘッダ72、TCPヘッダ73、HTTPコマンド74によって構成されている。イーサヘッダ71の中には、宛先MACアドレス71や、送信先MACアドレス71bの情報が含まれており、IPヘッダ72の中には、送信元IPアドレス72aや、宛先IPアドレス72bの情報が含まれており、TCPヘッダ73の中には、送信元ポート番号73aや、宛先ポート番号73bの情報が含まれており、HTTPコマンド74の中には、開始行74aや、バージョン情報74bの情報が含まれている。
図7では、このほか、実施例1と同様に、イーサヘッダ71の前に、拡張ヘッダ75を付加するようにして、その情報として、アーカイブ装置10がそのパケットを受け取った時刻を受信日時75aで記載させるなどしてもよい。そのようにすることで、アーカイブ装置10が実際に受信した受信時刻での管理が可能となる。
続いて、アーカイブ記録処理181の流れを図8のフローチャートに従って説明する。アーカイブ起動処理181は実施例1と同様に、アーカイブ装置10において常時起動している。ステップS11’では、アーカイブデータとして記録するファイルをウェブアーカイブ121、メールアーカイブ122として開き、ステップS12では、パケット情報取得部14で受信したパケットデータを取得する。そして、取得したパケットデータがアーカイブ対象のデータであるか否かを判断し(ステップS13’)、アーカイブ対象でないパケットの場合には、ステップS12に戻って、パケットデータの取得を継続する。そして、取得したパケットデータがアーカイブ対象となるウェブアプリケーション用プロトコルまたはメール用プロトコルである場合には、そのパケットをウェブアーカイブ121またはメールアーカイブ122としてそれぞれ記録し、(ステップS14’)、ステップS15にて所定時間が経過していなければ、ステップS12に戻って、パケットデータの取得を継続する。一方、ステップS15にて、所定時間が経過したときには、記録を行ったウェブアーカイブ121、メールアーカイブ122のファイルをそれぞれクローズして(ステップS16’)、再びステップS11’に戻って、異なるファイル名でファイルを開き、アーカイブデータ12の取得を継続する。
ステップS13’において取得したウェブアプリケーション用パケットデータの判断について、図7をもとに説明すると、メール用プロトコルと同様、そのプロトコルの種類は、宛先ポート番号73bなどにより判別することができる。具体的にいうと、ウェブアプリケーション用プロトコルは、ポート番号として、80番(http)や、443番(https)などが一般的によく用いられる。
ステップS14’でウェブアプリケーションのアーカイブを保存する場合には、図7のようなデータ構造となっているHTMLデータを、アーカイブデータ12の中にあるウェブアーカイブ121にそのまま保存させることが好ましい。
ステップS14’でウェブアプリケーションのアーカイブを保存する場合には、図7のようなデータ構造となっているHTMLデータを、アーカイブデータ12の中にあるウェブアーカイブ121にそのまま保存させることが好ましい。
続いて、接続ログ記録処理182の流れを図9のフローチャートに従って説明する。接続ログ記憶処理182は、実施例1のときと同様に、アーカイブ記録処理181のステップS16’にて、アーカイブデータ12のファイルが閉じられるたびに起動する。
図9において、接続ログ記録処理182が起動すると、ステップS21’でウェブアーカイブ121やメールアーカイブ122に記録されたアーカイブを読み込む。ステップS22’では、実施例1と同様に、問題が発生した際に通信内容を追跡するために必要なデータを抽出する。図7のHTMLデータでいえば、宛先MACアドレス71a、送信元MACアドレス71b、送信先IPアドレス72a、宛先IPアドレス72b、送信元ポート番号73a、宛先ポート番号73b、開始行74a、バージョン情報74bなどといった、通信内容を追跡するために必要なデータが対象となる。そして、これら抽出されたデータを、メモリ17などといった記憶装置に一時的に記憶させる(ステップS26’)。なお、拡張ヘッダ75による管理が行われている場合には、あわせて、受信日時75aを抽出・記録させてもよい。
図9において、接続ログ記録処理182が起動すると、ステップS21’でウェブアーカイブ121やメールアーカイブ122に記録されたアーカイブを読み込む。ステップS22’では、実施例1と同様に、問題が発生した際に通信内容を追跡するために必要なデータを抽出する。図7のHTMLデータでいえば、宛先MACアドレス71a、送信元MACアドレス71b、送信先IPアドレス72a、宛先IPアドレス72b、送信元ポート番号73a、宛先ポート番号73b、開始行74a、バージョン情報74bなどといった、通信内容を追跡するために必要なデータが対象となる。そして、これら抽出されたデータを、メモリ17などといった記憶装置に一時的に記憶させる(ステップS26’)。なお、拡張ヘッダ75による管理が行われている場合には、あわせて、受信日時75aを抽出・記録させてもよい。
また、アーカイブ記録処理181は、メール用プロトコルによるパケットデータをパケット情報取得部14から読み込んで、そのパケットデータを含んだ情報をメールアーカイブ122として記憶装置11に記憶させるとともに、接続ログ記録処理182は、ウェブアプリケーション用プロトコルによるパケットデータが記録されたウェブアーカイブ121から、該ノード23がリクエストした統一資源識別子(URL)を抽出し、かつ、該ノード23の接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、メールアーカイブ122を記憶媒体11から検索し、その検索でヒットしたメールアーカイブ122のインデックス情報を接続ログ13の該レコードに付加するようにするとよい。
すなわち、ステップS23では、抽出されたウェブアプリケーション用パケットのデータの中に、ウェブメールに関連するメソッドを含むか否かを、開始行74aの記載内容から判断し、ウェブメールに関連するメソッドを含まない場合には、後述するステップS26’にジャンプする一方で、ウェブメールに関連するメソッドを含む場合には、開始行74aの記載内容をキーとして、メールアーカイブ122の中から該当するメールデータを検索して(ステップS24)、該当するメールデータのインデックスを抽出する(ステップS25)。
なお、実施例2では、ステップS23において、開始行74aがPOSTメソッドであるときに、ウェブメールに関連するメソッドが含まれているものと判断している。また、ステップS25のインデックス抽出では、送信元IPアドレス72a、宛先IPアドレス72b、開始行74a、受信日時75aなどの情報から、該当するメールデータを検索するようにしている。
すなわち、ステップS23では、抽出されたウェブアプリケーション用パケットのデータの中に、ウェブメールに関連するメソッドを含むか否かを、開始行74aの記載内容から判断し、ウェブメールに関連するメソッドを含まない場合には、後述するステップS26’にジャンプする一方で、ウェブメールに関連するメソッドを含む場合には、開始行74aの記載内容をキーとして、メールアーカイブ122の中から該当するメールデータを検索して(ステップS24)、該当するメールデータのインデックスを抽出する(ステップS25)。
なお、実施例2では、ステップS23において、開始行74aがPOSTメソッドであるときに、ウェブメールに関連するメソッドが含まれているものと判断している。また、ステップS25のインデックス抽出では、送信元IPアドレス72a、宛先IPアドレス72b、開始行74a、受信日時75aなどの情報から、該当するメールデータを検索するようにしている。
続いて、ステップS27では、アーカイブデータ12に次のパケットデータが残っているか否かを判断し、次のパケットデータが残っている場合には、ステップS21’に戻って、アーカイブデータ12に記録されたパケットデータの読み込みを再開する。次のパケットデータが残っていない場合には、ステップS28に進み、メモリ17等に記録された抽出データについて、各ノード23と同じIPアドレスとなる送信元IPアドレス72aや、宛先IPアドレス72bをキーとしてデータをソートする。
図10は、実施例2における抽出データをノードごとにソートした結果であり、ステップS22’で抽出した各データやステップS25で抽出したメールデータのインデックスが、ウェブ番号101、日時102、対象IPアドレス103、相手IPアドレス104、メソッド105、URL106、メール番号107、…などのように整理され、対象IPアドレス103として記載された各ノード23のIPアドレス順にデータがソートされている。また、ステップS25にてウェブメールが抽出された場合には、そのレコードとして、インデックス情報108があわせて記録される。
そして、ソートされた抽出データは、接続ログ13a、13b、…、13zのように、各ノードを単位として記録させ(ステップS29)、接続ログ記録処理が終了する。
このように、接続ログのなかに、ウェブメールに関連するメソッドが含まれる場合に、そのメソッドに対応する、ウェブメールのアーカイブデータのインデックス情報を付加したことで、前述した効果に加えて、ウェブメールに関連するメソッドから、対応するメールアーカイブを容易に探索することができる。特に、接続ログに含まれていないメールの本文を容易に追跡することができ、ウェブアクセス履歴とメール送受信との関係を簡単に把握することができるようになる。
続いて、検索処理部183について説明する。図11は、実施例2における検索処理部で検索を行うためのユーザインターフェースの一例を示したものである。図11において、検索画面111は、対象となるノード23のIPアドレス112を入力し、検索期間113を指定する。その他、フリーワード114の指定が行えるようになっている。検索実行ボタン115をクリックすると、記憶装置11から指定したIPアドレスに対応する検索ログ13を読み込んで、管理者が指定した検索条件に応じて検索結果116をディスプレイ40に表示させる。
なお、検索結果116でURLを表示させる場合には、該URLの拡張子に応じて色分けを行うことが好ましい。
なお、検索結果116でURLを表示させる場合には、該URLの拡張子に応じて色分けを行うことが好ましい。
また、検索処理183は、検索条件に従って抽出した接続ログ13を画面表示させるとともに、管理者が、ウェブメールに関連するメソッドを含む接続ログ13を指定した場合には、インデックス情報108に対応する、メールアーカイブ122を記憶装置11から検索して、その検索でヒットしたメールアーカイブ122を画面表示させるようにするとよい。
すなわち、ウェブメールのインデックス情報108が含まれる場合には、図11において、検索結果116のなかにリンク117を表示させ、管理者がそのリンク117をクリックした場合には、メールアーカイブ122からそのインデックス情報108についてのメールデータを検索し、その内容をディスプレイ40にて別途表示させるようにするとより好ましい。
すなわち、ウェブメールのインデックス情報108が含まれる場合には、図11において、検索結果116のなかにリンク117を表示させ、管理者がそのリンク117をクリックした場合には、メールアーカイブ122からそのインデックス情報108についてのメールデータを検索し、その内容をディスプレイ40にて別途表示させるようにするとより好ましい。
このように、インデックス情報に対応するメールアーカイブを検索して、その結果を画面表示させることができるため、前述した効果に加えて、ウェブメールに関連するメソッドから、対応するウェブメールの本文を容易に確認することができる。
こういった構成にかわる別の形態としては、接続ログ記録処理182において、接続ログ13を記憶媒体11に記録させる前に、記録すべきデータをメール用プロトコルのアーカイブデータと同じフォーマットに変換して、その変換された情報を接続ログ13として記憶装置11に記憶させるようにするとより好ましい。
図12は、接続ログ13をメールフォーマットに変換した一例を示した説明図である。図12に示すように、抽出データに含まれるウェブ番号123、日時124、相手IPアドレス126、メソッド127、URL128、インデックス情報129などをメール本文に記載し、また、対象IPアドレス125をメールのFromとして記載し、これらをメール形式として置き換えたデータを接続ログ13a、13b、…13zとして記録させるようにするとよい。
このように、接続ログを、メール用プロトコルのアーカイブデータと同じフォーマットで記録させているため、前述した効果に加えて、メール用アーカイブシステムとして従来搭載されているメール表示機能やメール検索機能を、そのままウェブアクセス履歴の表示や検索で応用することができる。
また、メール以外のログについても、その内容を通常用いられるメール閲覧用ソフトウエア等で容易に確認することができる。
また、メール以外のログについても、その内容を通常用いられるメール閲覧用ソフトウエア等で容易に確認することができる。
実施例3を図13および図14に基づいて説明する。実施例3は、実施例2における接続ログ記録処理182および検索処理183を別の形態で実現するものである。
すなわち、アーカイブ記録処理181は、実施例2と同様、メール用プロトコルによるパケットデータをパケット情報取得部14から読み込んで、そのパケットデータを含んだ情報をメールアーカイブ122として記憶装置11に記憶させるとともに、接続ログ記録処理182は、ウェブアプリケーション用プロトコルによるパケットデータが記録されたウェブアーカイブ121から、該ノード23がリクエストした統一資源識別子(URL)を抽出し、かつ、該ノード23の接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、URL、時刻情報およびノード23の識別子(IPアドレス等)をウェブアーカイブ121から抽出し、これらの情報をインデックス情報として接続ログ13の該レコードに付加するようにしたものである。
図13は、実施例3における接続ログ記録処理182の流れを示すフロチャートであり、図9のステップS25の実施形態が異なっている。
すなわち、ステップS23でウェブメールに関連するメソッドを含むか否かを判断した後は、ステップS24(図9)を省略し、ステップS25(図9)に変えて、ステップS25’に進む。ステップS25’では、メールアーカイブ122の中から該当するメールデータのインデックスを抽出するのではなく、ウェブアーカイブ121から該メソッドに対応する、URL、時刻情報およびノード23の識別子(IPアドレス等)を抽出する。なお、URL、時刻情報およびノード23の識別子は、送信元IPアドレス72a、宛先IPアドレス72b、開始行74a、受信日時75aなどの情報から抽出すればよい。
すなわち、ステップS23でウェブメールに関連するメソッドを含むか否かを判断した後は、ステップS24(図9)を省略し、ステップS25(図9)に変えて、ステップS25’に進む。ステップS25’では、メールアーカイブ122の中から該当するメールデータのインデックスを抽出するのではなく、ウェブアーカイブ121から該メソッドに対応する、URL、時刻情報およびノード23の識別子(IPアドレス等)を抽出する。なお、URL、時刻情報およびノード23の識別子は、送信元IPアドレス72a、宛先IPアドレス72b、開始行74a、受信日時75aなどの情報から抽出すればよい。
図14は、実施例3における抽出データをノードごとにソートした結果を示す説明図である。図14では、図10のインデックス情報108にかえて、日時102、対象IPアドレス103、URL106をまとめたものをインデックス情報141としている。
また、検索処理183では、管理者がウェブメールに関連するメソッドを含む接続ログ13を指定した場合に、インデックス情報141に対応する、メールアーカイブ122を記憶装置11から検索して、その検索でヒットしたメールアーカイブ122を画面表示させるようにするとよい。
このように、接続ログのなかに、ウェブメールに関連するメソッドが含まれている場合に、そのメソッドに対応する、URL、時刻情報およびノードの識別子をインデックス情報として付加したことで、前述した効果に加えて、ウェブメールに関連するメソッドから、対応するメールアーカイブを容易に探索することができる。特に、接続ログに含まれていないメールの本文を容易に追跡することができ、ウェブアクセス履歴とメール送受信との関係を簡単に把握することができるようになる。
本発明は、ネットワークを通過するデータを収集して保存しておき、情報漏洩やウイルス感染といった事象が発生した場合には、保存されたデータを解析して、その原因分析や被害範囲を特定するために用いることができる。また、アーカイブデータを保存するに際して、そのデータにタイムスタンプを付加することで、その時にそのデータが確かに存在したことを証明するといったアーカイブシステムとしても活用することもできる。
10 アーカイブ装置
11 記憶装置
12 アーカイブデータ
13、13a、13b、…、13z 接続ログ
14 パケット情報取得部
15 CPU
16 クロック
17 メモリ
18 プログラム記憶装置
19 グラフィックカード
20 LAN
21 ファイアウォール
22 TAP装置
23、23a、23b、…、23z ノード
30 インターネット
31、71 イーサヘッダ
32、72 IPヘッダ
32a、72a 送信元IPアドレス
32b、72b 宛先IPアドレス
33、73 TCPヘッダ
33a、73a 送信元ポート番号
33b、73b 宛先ポート番号
34 メールデータ
34a、56 送信元メールアドレス
34b、57 宛先メールアドレス
34c 送信日時
34d メールタイトル
35、75 拡張ヘッダ
35a、75a 受信日時
40 ディスプレイ
51、107 メール番号
52、102、124 日時
53、103、125 対象IPアドレス
54、104、126 相手IPアドレス
55、105、127 メソッド
61、111 検索画面
62、112 IPアドレス
63、113 検索期間
64、114 フリーワード
65、115 検索実行ボタン
66、116 検索結果
71a 宛先MACアドレス
71b 送信元MACアドレス
74 HTTPコマンド
74a 開始行
74b バージョン情報
101、123 ウェブ番号
106、128 URL
108、129、141 インデックス情報
117 リンク
121 ウェブアーカイブ
122 メールアーカイブ
181 アーカイブ記録処理
182 接続ログ記録処理
183 検索処理
11 記憶装置
12 アーカイブデータ
13、13a、13b、…、13z 接続ログ
14 パケット情報取得部
15 CPU
16 クロック
17 メモリ
18 プログラム記憶装置
19 グラフィックカード
20 LAN
21 ファイアウォール
22 TAP装置
23、23a、23b、…、23z ノード
30 インターネット
31、71 イーサヘッダ
32、72 IPヘッダ
32a、72a 送信元IPアドレス
32b、72b 宛先IPアドレス
33、73 TCPヘッダ
33a、73a 送信元ポート番号
33b、73b 宛先ポート番号
34 メールデータ
34a、56 送信元メールアドレス
34b、57 宛先メールアドレス
34c 送信日時
34d メールタイトル
35、75 拡張ヘッダ
35a、75a 受信日時
40 ディスプレイ
51、107 メール番号
52、102、124 日時
53、103、125 対象IPアドレス
54、104、126 相手IPアドレス
55、105、127 メソッド
61、111 検索画面
62、112 IPアドレス
63、113 検索期間
64、114 フリーワード
65、115 検索実行ボタン
66、116 検索結果
71a 宛先MACアドレス
71b 送信元MACアドレス
74 HTTPコマンド
74a 開始行
74b バージョン情報
101、123 ウェブ番号
106、128 URL
108、129、141 インデックス情報
117 リンク
121 ウェブアーカイブ
122 メールアーカイブ
181 アーカイブ記録処理
182 接続ログ記録処理
183 検索処理
Claims (12)
- アーカイブデータおよび接続ログが記録される記憶装置と、
ローカルエリアネットワーク内を通過する特定のプロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させるアーカイブ記録処理部と、
前記記憶装置から前記アーカイブデータを読み込んで、前記ローカルエリアネットワーク内に接続されたノード毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログとして前記記憶装置に記憶させる接続ログ記録処理部と、
前記記憶装置から前記接続ログを読み込んで、管理者が指定した検索条件に応じて、前記接続ログを検索する検索処理部と、
を備えるアーカイブシステム。 - 前記アーカイブ記録処理部は、ウェブアプリケーション用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、
前記接続ログ記録処理部は、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出して、前記統一資源識別子を含んだ情報を前記接続ログとしてまとめる、
ことを特徴とする請求項1に記載のアーカイブシステム。 - 前記アーカイブ記録処理部は、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、
前記接続ログ記録処理部は、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記統一資源識別子、時刻情報および前記ノードの識別子を前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから抽出し、これらの情報をインデックス情報として前記接続ログの該レコードに付加する、
ことを特徴とする請求項2に記載のアーカイブシステム。 - 前記アーカイブ記録処理部は、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、
前記接続ログ記録処理部は、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記メール用プロトコルのアーカイブデータを前記記憶媒体から検索し、その検索でヒットした前記アーカイブデータのインデックス情報を前記接続ログの該レコードに付加する、
ことを特徴とする請求項2に記載のアーカイブシステム。 - 前記検索処理部は、前記検索条件に従って抽出した前記接続ログを画面表示させるとともに、前記管理者が、前記ウェブメールに関連するメソッドを含む前記接続ログのレコードを指定した場合には、前記インデックス情報に対応する、前記メール用プロトコルのアーカイブデータを前記記憶装置から検索して、その検索でヒットした前記アーカイブデータを画面表示させることを特徴とする請求項3または請求項4に記載のアーカイブシステム。
- 前記接続ログ記録処理部は、前記接続ログを前記記憶媒体に記録させる前に、記録すべきデータを前記メール用プロトコルのアーカイブデータと同じフォーマットに変換して、その変換された情報を前記接続ログとして前記記憶装置に記憶させることを特徴とする請求項2ないし請求項5のいずれかに記載のアーカイブシステム。
- 記憶装置と、ローカルエリアネットワーク内を通過するパケットデータを収集するパケット情報取得部を備えたアーカイブシステムで用いられ、
前記パケット情報取得部から、特定のプロトコルによる前記パケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータとして前記記憶装置に記憶させるアーカイブ記録処理ステップと、
前記記憶装置から前記アーカイブデータを読み込んで、前記ローカルエリアネットワーク内に接続されたノード毎に該ノードの接続先をまとめて、その接続先を含んだ情報を接続ログとして前記記憶装置に記憶させる接続ログ記録処理ステップと、
前記記憶装置から前記接続ログを読み込んで、管理者が指定した検索条件に応じて、前記接続ログを検索する検索処理ステップと、
からなる各処理を実行するアーカイブシステム用プログラム。 - 前記アーカイブ記録処理ステップは、ウェブアプリケーション用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報をアーカイブデータとして前記記憶装置に記憶させ、
前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出して、前記統一資源識別子を含んだ情報を前記接続ログとしてまとめる、
各処理を実行することを特徴とする請求項7に記載のアーカイブシステム用プログラム。 - 前記アーカイブ記録処理ステップは、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、
前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記統一資源識別子、時刻情報および前記ノードの識別子を前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから抽出し、これらの情報をインデックス情報として前記接続ログの該レコードに付加する、
各処理を実行することを特徴とする請求項8に記載のアーカイブシステム用プログラム。 - 前記アーカイブ記録処理ステップは、さらにメール用プロトコルによるパケットデータを読み込んで、そのパケットデータを含んだ情報を前記アーカイブデータとして前記記憶装置に記憶させ、
前記接続ログ記録処理ステップは、前記ウェブアプリケーション用プロトコルによるパケットデータが記録された前記アーカイブデータから、該ノードがリクエストした統一資源識別子を抽出し、かつ、該ノードの接続先として、ウェブメールに関連するメソッドを含んでいる場合には、該メソッドに対応する、前記メール用プロトコルのアーカイブデータを前記記憶媒体から検索し、その検索でヒットした前記アーカイブデータのインデックス情報を前記接続ログの該レコードに付加する、
各処理を実行することを特徴とする請求項8に記載のアーカイブシステム用プログラム。 - 前記検索処理ステップは、前記検索条件に従って抽出した前記接続ログを画面表示させるとともに、前記管理者が、前記ウェブメールに関連するメソッドを含む前記接続ログのレコードを指定した場合には、前記インデックス情報に対応する、前記メール用プロトコルのアーカイブデータを前記記憶装置から検索して、その検索でヒットした前記アーカイブデータを画面表示させる処理を実行することを特徴とする請求項9または請求項10に記載のアーカイブシステム用プログラム。
- 前記接続ログ記録処理ステップは、前記接続ログを前記記憶媒体に記録させる前に、記録すべきデータを前記メール用プロトコルのアーカイブデータと同じフォーマットに変換して、その変換された情報を前記接続ログとして前記記憶装置に記憶させる処理を実行することを特徴とする請求項8ないし請求項11のいずれかに記載のアーカイブシステム用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008004241A JP2009169507A (ja) | 2008-01-11 | 2008-01-11 | アーカイブシステムおよびアーカイブシステム用プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008004241A JP2009169507A (ja) | 2008-01-11 | 2008-01-11 | アーカイブシステムおよびアーカイブシステム用プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009169507A true JP2009169507A (ja) | 2009-07-30 |
| JP2009169507A5 JP2009169507A5 (ja) | 2011-02-24 |
Family
ID=40970634
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008004241A Pending JP2009169507A (ja) | 2008-01-11 | 2008-01-11 | アーカイブシステムおよびアーカイブシステム用プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009169507A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015501559A (ja) * | 2011-09-22 | 2015-01-15 | アルカテル−ルーセント | テキスト・メッセージのアーカイブ制御 |
| JP2018097862A (ja) * | 2016-12-09 | 2018-06-21 | エヌエイチエヌ エンターテインメント コーポレーションNHN Entertainment Corporation | デバイス間のファイル共有のための方法、コンピュータプログラムおよびシステム |
| US10762057B2 (en) | 2016-12-09 | 2020-09-01 | Nhn Corporation | Method and system for sharing file between devices |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004318308A (ja) * | 2003-04-14 | 2004-11-11 | Mitsubishi Electric Corp | アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 |
| JP2004363913A (ja) * | 2003-06-04 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | 通信経路解析装置および方法 |
| JP2005159501A (ja) * | 2003-11-21 | 2005-06-16 | Yokogawa Electric Corp | パケット選別装置 |
| JP2007181031A (ja) * | 2005-12-28 | 2007-07-12 | Canon System Solutions Inc | 情報処理装置、その制御方法、プログラム、及び記憶媒体 |
-
2008
- 2008-01-11 JP JP2008004241A patent/JP2009169507A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004318308A (ja) * | 2003-04-14 | 2004-11-11 | Mitsubishi Electric Corp | アクセス管理システム、アクセス管理装置およびアクセス管理システムに使用される情報通信端末 |
| JP2004363913A (ja) * | 2003-06-04 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | 通信経路解析装置および方法 |
| JP2005159501A (ja) * | 2003-11-21 | 2005-06-16 | Yokogawa Electric Corp | パケット選別装置 |
| JP2007181031A (ja) * | 2005-12-28 | 2007-07-12 | Canon System Solutions Inc | 情報処理装置、その制御方法、プログラム、及び記憶媒体 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015501559A (ja) * | 2011-09-22 | 2015-01-15 | アルカテル−ルーセント | テキスト・メッセージのアーカイブ制御 |
| JP2018097862A (ja) * | 2016-12-09 | 2018-06-21 | エヌエイチエヌ エンターテインメント コーポレーションNHN Entertainment Corporation | デバイス間のファイル共有のための方法、コンピュータプログラムおよびシステム |
| US10762057B2 (en) | 2016-12-09 | 2020-09-01 | Nhn Corporation | Method and system for sharing file between devices |
| US10776324B2 (en) | 2016-12-09 | 2020-09-15 | Nhn Entertainment Corporation | Method and system for managing cloud storage |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8056007B2 (en) | System and method for recognizing and storing information and associated context | |
| US8412696B2 (en) | Real time searching and reporting | |
| US8589432B2 (en) | Real time searching and reporting | |
| US7966398B2 (en) | Synthetic transaction monitor with replay capability | |
| Abd Wahab et al. | Data pre-processing on web server logs for generalized association rules mining algorithm | |
| US7849072B2 (en) | Local terminal search system, filtering method used for the same, and recording medium storing program for performing the method | |
| CN101651707A (zh) | 一种网络用户行为日志自动获取方法 | |
| JP2014501066A (ja) | 部分データストリームにおけるデータ損失の監視 | |
| US8244719B2 (en) | Computer method and apparatus providing social preview in tag selection | |
| CN101635718A (zh) | 网络爬虫系统及其获取资源的方法和网络资源抓取装置 | |
| JP2003141075A (ja) | ログ情報管理装置及びログ情報管理プログラム | |
| JP2010224705A (ja) | ログ検索システム | |
| US7797340B2 (en) | Method and system for searchable web services | |
| JP2009169507A (ja) | アーカイブシステムおよびアーカイブシステム用プログラム | |
| CN111460255A (zh) | 一种音乐作品信息数据采集及存储方法 | |
| CN111245880B (zh) | 基于行为轨迹重建的用户体验监控方法及装置 | |
| JP2009075908A (ja) | ウェブ・ページ閲覧履歴管理システム及びウェブ・ページ閲覧履歴管理方法、並びにコンピュータ・プログラム | |
| US7653742B1 (en) | Defining and detecting network application business activities | |
| US7895529B1 (en) | System and method for processing featured content | |
| CN114546825A (zh) | 故障追踪系统、方法、电子设备及可读介质 | |
| JP2005321910A (ja) | ログデータ管理システム、方法、及びプログラム | |
| JP3664923B2 (ja) | 情報源観測装置および情報源観測方法、ならびに情報源観測プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| US20100251270A1 (en) | Selective Mobile Metering | |
| JP4028795B2 (ja) | 電子メール収集・検索システム | |
| Kävrestad et al. | Collecting Data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110106 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110106 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120517 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120529 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120703 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130326 |