JP2011003090A - システムログ分析方法、情報処理端末およびシステムログ分析プログラム - Google Patents

システムログ分析方法、情報処理端末およびシステムログ分析プログラム Download PDF

Info

Publication number
JP2011003090A
JP2011003090A JP2009146764A JP2009146764A JP2011003090A JP 2011003090 A JP2011003090 A JP 2011003090A JP 2009146764 A JP2009146764 A JP 2009146764A JP 2009146764 A JP2009146764 A JP 2009146764A JP 2011003090 A JP2011003090 A JP 2011003090A
Authority
JP
Japan
Prior art keywords
system log
user
log
analysis
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009146764A
Other languages
English (en)
Inventor
Toshiya Takahashi
稔哉 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009146764A priority Critical patent/JP2011003090A/ja
Publication of JP2011003090A publication Critical patent/JP2011003090A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】ユーザの不正操作を管理可能なシステムログ分析方法を得ること。
【解決手段】システムログを蓄積するシステムに対してシステムログを出力させ、システムに応じた変換ルールにしたがって、出力されたシステムログを変換し、変換後のシステムログを登録することとし、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出し、また、システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得する。
【選択図】図7

Description

本発明は、ディレクトリサービスと連携したシステムログ分析方法に関する。
近年、企業の内部統制を適正に行うために、ITシステムの監査が重要となっている。内部統制を実施する場合には、一般に、業務プロセスの実行・操作履歴(システムログなど)を記録し、セキュリティ事故発生時や障害対応時に当該システムログを分析することで情報漏洩対策などに役立てる。
このような場合には、従来、システム管理者がシステムログ分析を行い、不審または不正な操作がないかどうかを分析していた。さらに、不正操作と思われるシステムログを発見し、情報漏洩の発生が疑われる場合には、システム管理者は、当該不正操作を行ったユーザを具体的に特定するために、ユーザ情報(ユーザ名,組織名など)を調査する必要があった。
これに対し、ユーザ情報が一元的に格納されたディレクトリサービスと呼ばれるシステムと連携することで、システムログ分析を容易に実行可能とする方法が考案されている。たとえば、下記特許文献1には、Webコンテンツのログ分析にてディレクトリサービスを活用し、アクセスにかかるユーザおよび当該ユーザの所属組織を特定する、といった技術が開示されている。
また、下記特許文献2には、ユーザが印刷情報のログを参照する際にディレクトリサービスを活用することとし、各ユーザは、自身がアクセス権を有するログのみ閲覧可能とする、といった技術が開示されている。
特開2006−113805号公報 特開2007−128359号公報
しかしながら、上記従来の技術では、ユーザおよびユーザの所属する組織を把握することは可能であるが、不正操作と思われる操作を行ったユーザに不正操作の旨を通知しないため、分析による効果が限定的である、という問題があった。
また、システムログ分析は、システム管理者が行うため、不正操作を行ったユーザが多数に上る場合にはシステム管理者の負担が増大する、という問題があった。
本発明は、上記に鑑みてなされたものであって、ユーザによる不正操作を管理可能なシステムログ分析方法を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、変換後のシステムログを登録するシステムログ登録ステップと、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、を含むことを特徴とする。
本発明によれば、システム管理者の負担を大幅に軽減でき、また、システム管理者が自身の裁量により不正操作を分析する場合と比べ、正確かつ漏れのない管理が可能となる、という効果を奏する。
図1は、本発明にかかるシステムログ分析システムの、実施の形態の構成例を示す図である。 図2は、ITシステムにおけるシステムログのデータ形式の一例を示す図である。 図3は、ディレクトリサービスシステムが保持するユーザ情報のデータ例を示す図である。 図4は、システムログのデータ例を示す図である。 図5は、データ形式の変換前と後におけるシステムログの例を示す図である。 図6は、システムログの変換後のデータ例を示す図である。 図7は、システムログ分析処理を説明するためのフローチャートである。 図8は、不正なログを抽出する場合を説明する図である。 図9は、不正操作を行ったユーザが検索された状態を示す図である。 図10は、システムログ検索処理を説明するためのフローチャートである。
以下に、本発明にかかるシステムログ分析方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態.
図1は、本発明にかかるシステムログ分析システムの、実施の形態の構成例を示す図である。図1のシステムログ分析システムは、管理サーバ1と、ITシステム2と、ディレクトリサービスシステム3と、メールサーバ4と、クライアント端末5−M(M=1,2,…)と、ネットワーク6とを備える。
管理サーバ1は、システムログの収集および分析を実行する情報処理端末である。ITシステム2は、既存の業務システムであって、たとえば、ファイル管理システム,会計システムといった1以上のシステムを備え、各システムにおけるユーザの操作履歴を記録したシステムログを保持する。ディレクトリサービスシステム3は、ユーザやネットワーク上のリソースを一元的に管理してこれらの情報を提供するシステムであって、ユーザ情報を保持する。ディレクトリサービスの提供には、たとえば、LDAP(Lightweight Directory Access Protocol)を用いる。メールサーバ4は、メールを配送するためのサーバである。クライアント端末5−Mは、情報処理端末であって、管理サーバ1にアクセスして定期分析または不定期分析の実行を要求できる。ネットワーク6は、LAN(Local Area Network)などの社内ネットワークである。
また、管理サーバ1は、一例として、システムログ収集部11と、システムログ分析部12と、システムログ検索部13と、システムログ変換ルールDB14と、システムログ管理DB15と、定期分析設定情報管理DB16とを備える。システムログ収集部11は、ITシステム2が蓄積するシステムログを出力させ、定期分析および不定期分析が行えるデータ形式に変換してシステムログ管理DB15に登録する。システムログ分析部12は、システムログを定期的に自動で分析する。システムログ検索部13は、システムログをユーザのリクエストに応じて検索および表示させる。システムログ変換ルールDB14は、システムログのデータ形式を変換するための「変換ルール」を格納するデータベースである。システムログ管理DB15は、データ形式が変換されたシステムログを格納するデータベースである。定期分析設定情報管理DB16は、定期分析を実行するための条件であって、不正な操作を抽出するための条件である「分析設定情報」を格納するデータベースである。
つづいて、以上のように構成されたシステムログ分析システムの動作について説明する。以下では、一例として、ファイルに対するアクセスを制限するファイル管理システムに対して、システムログ分析を行う場合を説明する。
まず、ITシステム2が蓄積するシステムログを説明する。図2は、ITシステム2におけるシステムログのデータ形式の一例を示す図である。図2のデータ形式は、一例として、「日時」,「ユーザ名」,「イベントID」,「マシン名」,「監査」,「操作」,「パス」といったデータ項目を備える。「日時」は、操作がなされた際のシステム時刻である。「ユーザ名」は、操作を行ったユーザの名前である。「イベントID」は、操作にかかるイベントのIDであって、たとえば、ファイル管理システムに対する操作,会計システムに対する操作、などのイベントを識別する。イベントは、メニューなどに対応して細分化された情報もよい。「マシン名」は、操作がなされたサーバなどの名称である。「監査」は、操作が正当な操作であるかどうかを示す。「パス」は、操作がなされたファイルへのパスである。
また、図3は、ディレクトリサービスシステム3が保持するユーザ情報のデータ例を示す図である。図3のユーザ情報は、一例として、「ユーザID」,「氏名」,「メールアドレス」,「組織ID」,「上長フラグ」といったデータ項目を備える。「ユーザID」は、ユーザを一意に特定する識別子である。「氏名」は、ユーザIDに該当するユーザの氏名である。「メールアドレス」は、当該ユーザのメールアドレスである。「組織ID」は、当該ユーザの属する部署やグループである。「上長フラグ」は、当該ユーザが上長であるかどうかを示すフラグであって、上長の場合にON(“1”)である。
システムログは、図3のユーザ情報を用いて、図2の形式によって、出力され蓄積されている。図4は、システムログのデータ例を示す図である。図4にて、1件目のデータ例を参照すると、「日時」:“2009/01/30,09:15:12”に、「ユーザ」:“A_user1”により「イベントID」:“560”(たとえば、ファイル管理システムへのアクセス、を意味するとする)が、「マシン名」:“Server−1”に対してなされたこと、「監査」:“成功の監査”(正当な操作)であり、「操作」:“削除”であって、アクセスされた「パス」:“C:\WWW\temp”であったことがわかる。
以上のようなシステムログが蓄積されていることを前提として、システムログ分析を実行する場合について説明する。まず、システムログを収集する処理を説明する。
システムログ収集部11は、定期的に起動し、ネットワーク6を介して、ITシステム2に対してシステムログの出力を要求する。ITシステム2では、予め自システムにて決定されたデータ形式にてシステムログを出力し、出力したシステムログを、ネットワーク6を介してシステムログ収集部11へ送信する。出力はテキストデータのファイルとし、CSVのような、データベースへの格納が容易に行える形式とする。システムログのデータ形式は、どのようであってもよい。出力の要求は、システムログ収集部11が、ITシステム2内のサーバ等(図示せず)に対し、telnetやFTP(File Transfer Protocol)によりリモートで接続して行う。また、システムログ収集部11は、システムログが保管されるフォルダパスを予め自身内に設定しておき、フォルダパスに対してログの差分、すなわち、前回収集したシステム時刻より後の日時を持つログを収集する。
システムログ収集部11は、システムログを受信すると、システムログ変換ルールDB14が保持する変換ルールにしたがって当該システムログのデータ形式を変換する。
変換ルールは、ITシステム2にて稼動するシステムごとに設定する。具体的には、各システムのシステムログにおける出力される項目の並びを、システムログ分析にて必要とする項目の並びに変換する。その際、一部データを補うこともできる。また、システムログにおける一部データのみを取捨選択してもよい。
図5は、データ形式の変換前と後におけるシステムログの例を示す図である。図5に示すように、変換前のデータ項目は、「日時」,「ユーザ名」,「イベントID」,「マシン名」,「監査」,「操作」,「パス」といった順に並んでいる。これをファイル管理システムに対して設定された変換ルールで変換する。変換後のデータ項目は、「ログの種類」,「イベントID」,「マシン名」,「ユーザ名」,「監査」,「操作」,「日時」,「パス」といった順に並んでいる。ここで、「ログの種類」は、新たに追加された項目であって、ここでは、ファイル管理システムからのログであることを示すために“FILE”という文字列がセットされる。
図6は、システムログの変換後のデータ例を示す図である。図6のデータ例では、図4のデータ例を変換した場合を示す。システムログ収集部11は、このようにして変換したデータを、システムログ管理DB15に登録する。データベース登録にあたっては、変換後のログについて、SQL(Structured Query Language)によりインサート文を作成し、登録を実行する。
つぎに、システムログを定期的に分析する処理を説明する。管理サーバ1のシステムログ分析部12は、定期的に、システムログを分析する処理を起動する。起動タイミングは、たとえば、毎週月曜日6時に実行などと設定しておく。
図7は、システムログ分析処理(定期分析処理)を説明するためのフローチャートである。管理サーバ1のシステムログ分析部12は、まず、定期分析設定情報管理DB16から「分析設定情報」を読み出す(ステップS11)。そして、分析設定情報にしたがって、システムログ管理DB15が蓄積する変換後のシステムログを検索する(ステップS12)。たとえば、変換後のシステムログが図6である場合に、分析設定情報が“ログの種類がFILE”かつ“失敗の監査”であった場合には、不正操作となるシステムログは、図8の点線で囲むログとなる。図8は、不正なログを抽出する場合を説明する図である。点線箇所のログは、「ログの種類」が“FILE”であり、「監査」が“失敗の監査”となっている。
管理サーバ1のシステムログ分析部12は、このようにして不正操作に該当するログを検索すると(ステップS13)、検索結果に含まれるログのユーザIDについて、ディレクトリサービスシステム3に問合せ、ユーザ情報を要求する。ディレクトリサービスシステム3では、問合せを受けたユーザIDに合致するユーザ情報、および当該ユーザIDの上長に該当するユーザのユーザ情報を応答する(ステップS14)。
図9は、図2のユーザ情報において、不正操作を行ったユーザが検索された状態を示す図である。図9では、上記ユーザIDに該当するユーザおよび上長のユーザ情報を、点線で囲んで示す。ここでは「ユーザID」:“A_user2”であるので、ユーザ情報を参照すると「メールアドレス」は“A_user2@test.com”である。したがって、システムログ分析部12は、メールアドレス“A_user2@test.com”を宛先として、不正操作を行ったことを通知または警告するメールを生成する。また、「ユーザID」:“A_user2”の「組織ID」は“GroupA”であるため、当該ユーザの上長は、「上長フラグ」:“1”であるユーザである“A_userBoss”であり、「メールアドレス」は“A_userBoss@test.com”である。したがって、システムログ分析部12は、メールアドレス“A_userBoss@test.com”を宛先として、「ユーザID」:“A_user2”のユーザを氏名により特定して、当該ユーザが不正操作を行ったことを通知または警告するメールを生成する(ステップS15)。
管理サーバ1のシステムログ分析部12は、メールを生成すると、メールサーバ4にこれらのメールを送信する(ステップS16)。メールサーバ4は、宛先にしたがってこれらのメールを配信する。なお、メールの配送は、システム側からユーザに対してのみ行われ、その逆の経路(ユーザからシステム側)には配送できないとする。
つぎに、システムログを不定期に分析する処理を説明する。管理サーバ1のシステムログ検索部13は、ユーザの要求によって、不定期に、ユーザがシステムログを分析するための処理であるシステムログ検索処理を起動する。利用者には、システム管理者または上長を想定する。
図10は、システムログ検索処理(不定期分析処理)を説明するためのフローチャートである。たとえば、上長が、自身のクライアント端末を用いてシステムログ検索処理の起動要求を送信する。管理サーバ1のシステムログ検索部13は、自身に対する当該要求を検知すると(ステップS21)、表示部にログイン画面を表示させる(ステップS22)。当該画面にて上長がログインを行うと(ステップS23)、そのログイン情報(たとえば、ユーザIDおよびパスワード)を受信したシステムログ検索部13は、ディレクトリサービスシステム3に対して、当該ユーザIDおよびパスワードを添えて、当該ユーザが上長であるかどうかを問合せる。ディレクトリサービスシステム3では、認証を行うためのユーザIDとパスワードとの対応関係を保持している。指定されたユーザIDおよびパスワードによりユーザを認証し、認証できた場合には、さらに、ユーザ情報から上長フラグを読み出す。そして、認証結果および上長フラグを含めた応答を返信する。
管理サーバ1のシステムログ検索部13は、応答にてユーザを認証した旨が通知された場合には、さらに、応答に含まれる上長フラグを取得する。そして、上長フラグがON:“1”であるかどうかをチェックし(ステップS24)、上長フラグがONである場合には(ステップS24:Yes)、ユーザがシステムログの分析を行うために参照するシステムログ分析画面へのログインを許可する(ステップS25)。システムログ検索部13は、この場合、システムログ管理DB15から変換後のシステムログを取得し、システムログ分析画面に表示させる。
なお、表示させるシステムログは、当該上長の組織に属するユーザのみである。すなわち、たとえば、上長が組織ID“GroupA”に所属する場合には、組織ID“GroupA”に所属するユーザIDに合致するシステムログのみが表示される。上長は、さらに検索条件を適宜設定して、所望のシステムログを検索する。管理サーバ1のシステムログ検索部13は、設定された検索条件を取得すると(ステップS26)、組織ID“GroupA”のシステムログを、当該検索条件にて絞り込み、その実行結果を表示させる(ステップS27)。なお、メールによる通知については、システムログ検索部13は行わない。
一方、上長フラグがONでない場合には(ステップS24:No)、管理サーバ1のシステムログ検索部13は、システムログ分析画面へのログインを許可しない。この場合には、上長以外はログイン不可である旨のメッセージを画面に表示させ(ステップS28)、ステップS22の処理に戻る。
以上のシステムログ検索処理は、ユーザがシステムログ分析画面またはログイン画面を閉じるまでの間、実行される。
なお、図1に示す上記管理サーバ1は、本実施の形態におけるシステムログ分析処理を実現可能な一般的な計算機システムであり、たとえば、システムログ収集部11,システムログ分析部12,システムログ検索部13がCPUを含む制御ユニットとして動作し、システムログ変換ルールDB14,システムログ管理DB15,定期分析設定情報管理DB16がRAM,ROM等を含むメモリユニットの一部として動作する。また、この計算機システムは、上記制御ユニットおよびメモリユニットの他にさらに、たとえば、表示ユニット,入力ユニット,CD−ROMドライブユニット,ディスクユニット,外部I/Fユニット等を備え、これらすべてのユニットは、それぞれシステムバスを介して接続されている。
上記制御ユニットは、本実施の形態のファイル管理機能を実現するための処理を実行する。メモリユニットは、制御ユニットが実行すべきプログラム(実施の形態の定期分析処理および不定期分析処理を実現する専用ソフトウェア),処理の過程で得られたデータ等を記憶する。また、表示ユニットは、CRTやLCD(液晶表示パネル)等で構成され、計算機システムの使用者に対して各種画面を表示する。入力ユニットは、たとえば、キーボード,マウス等で構成され、計算機システムの使用者が各種情報の入力を行うために使用する。また、ここでは、一例として、本実施の形態のシステムログ分析処理およびシステムログ検索処理を実現するための処理を記述したプログラムが、CD−ROMに格納されて提供される。
以上の構成において、図1の計算機システムでは、まず、CD−ROMドライブユニットにセットされたCD−ROMからプログラムがディスクユニットにインストールされる。そして、計算機システムを立ち上げるときにディスクユニットから読み出されたプログラムが、メモリユニットに格納される。この状態で、制御ユニットは、メモリユニットに格納されたプログラムにしたがって、本実施の形態に示す処理を実行する。このプログラムは、上記計算機システム内で常駐プログラムとして動作する。なお、上記では、CD−ROMにてプログラムを提供しているが、このプログラムを提供する記録媒体は、これに限定されることなく、システムを構成するコンピュータに応じて、DVD等、どのようなメディアであってもよい。
以上説明したように、本実施の形態では、不正操作を特定するために予め設定された条件にしたがって定期的にシステムログを自動分析し、所定の条件に合致する操作を行ったとみられるシステムログを、不正操作によるシステムログとみなして抽出する構成とした。また、本実施の形態では、ディレクトリサービスシステムと連携して、システムログの分析を行う構成とした。これにより、システム管理者の負担を大幅に軽減でき、また、システム管理者が自身の裁量により不正操作を分析する場合と比べ、正確かつ漏れのない管理が可能となる。また、一元管理されるユーザ情報を用いるので、正確かつ漏れのない分析が可能となる。
また、抽出したシステムログが示すユーザに対して画一的にメール送信を行う構成とした。これにより、不正操作を行ったユーザは、自身の端末にて当該メールを受信するので、自身が不正操作を行ったことを認識でき、不正操作を抑止し、さらには、機密情報などの漏洩を抑止する効果がある。また、ユーザの上長に対してもメールを送信するので、上長は、配下のスタッフなどが不正操作を行ったことを認識でき、さらに情報漏洩を抑止する効果がある。また、上長にも通知することで、上長および配下ユーザの内部統制に対する意識を向上させる効果がある。
また、本実施の形態では、稼動する各システムにて蓄積されるシステムログに対して、管理サーバ側でシステムごとにログの変換ルールを管理し、分析に必要なデータに変換して用いる構成とした。これにより、既存システムに手を加えずに、必要なデータを取得でき、システムに対して影響を与えることを回避でき、メンテナンスも容易となる。
また、本実施の形態では、組織の上長によるリクエストベースのシステムログ検索を可能とする構成とした。これにより、上長による所望するタイミングでの不定期分析が可能となり、組織単位のユーザを対象に不正操作をチェックする体制を提供できる。
なお、上記実施の形態では、システムログ分析部12は予め設定されたタイミングにより起動することとしたが、さらに、システム管理者などの指示により起動するとしてもよい。
また、上記実施の形態では、システムログ分析部12による分析処理またはシステムログ検索部13による検索処理を、リモートログインにて実行する場合を示したが、これらの機能をWebシステムにて提供されることとしてもよい。この場合には、クライアント端末は、ブラウザを備える必要がある。
以上のように、本発明にかかるシステムログ分析方法は、システムログを蓄積するシステムである場合に有用であり、特に、システムログを用いて不正操作を管理する場合に適している。
1 管理サーバ
2 ITシステム
3 ディレクトリサービスシステム
4 メールサーバ
5−M クライアント端末
11 システムログ収集部
12 システムログ分析部
13 システムログ検索部
14 システムログ変換ルールDB
15 システムログ管理DB
16 定期分析設定情報管理DB

Claims (9)

  1. ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、
    変換後のシステムログを登録するシステムログ登録ステップと、
    変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、
    前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、
    を含むことを特徴とするシステムログ分析方法。
  2. 前記ユーザ情報取得ステップでは、ユーザ情報として、ユーザ名およびメールアドレスを取得することとし、
    さらに、
    前記ユーザ情報取得ステップを実行して得られたユーザ名およびメールアドレスを用いて、不正な操作を行ったユーザに対し、不正な操作を行った旨を通知するためのメールを配信する通知メール配信ステップ、
    を含むことを特徴とする請求項1に記載のシステムログ分析方法。
  3. 前記ユーザ情報取得ステップでは、ユーザ情報として、さらに、不正な操作を行ったユーザの上長のユーザ名およびメールアドレスを取得することとし、
    さらに、
    前記ユーザ情報取得ステップを実行して得られた上長のユーザ名およびメールアドレスを用いて、当該上長に対し、配下のユーザが不正な操作を行った旨を通知するためのメールを配信する上長通知メール配信ステップ、
    を含むことを特徴とする請求項2に記載のシステムログ分析方法。
  4. さらに、
    ユーザよりシステムログ検索処理が要求されたことを検出した場合に、当該ユーザに対してログインを要求し、入力されたログイン情報を前記ディレクトリサービスシステムに送信してユーザ認証を要求する認証要求ステップと、
    前記ディレクトリサービスシステムから応答されるユーザ認証の結果、当該ユーザが上長であることが応答された場合に、当該ユーザがシステムログの分析を行うために参照するシステムログ分析画面に対するログインを許可し、変換後のシステムログのなかから当該ユーザの所属する組織に関するシステムログを抽出して当該システムログ分析画面に表示させるシステムログ提示ステップと、
    検索条件が入力された場合に、当該検索条件に合致するシステムログを絞り込んで表示させる検索結果表示ステップと、
    を含むことを特徴とする請求項2または3に記載のシステムログ分析方法。
  5. システムごとに、ユーザによる操作の記録であるシステムログのデータ形式を変換するための変換ルールを格納するためのシステムログ変換ルール記憶手段と、
    データ形式が変換されたシステムログを格納するためのシステムログ管理手段と、
    分析を実行するための条件である分析設定情報を格納するための分析設定情報管理手段と、
    システムログを蓄積するシステムに対して、当該システムログの出力を要求し、また、前記システムログ変換ルール記憶手段から変換ルールを読み出して、当該変換ルールにしたがって出力されたシステムログを変換し、変換後のシステムログを前記システムログ管理手段に登録するシステムログ収集手段と、
    前記分析設定情報管理手段が保持する分析設定情報を読み出し、前記システムログ管理手段が格納するシステムログを対象に、当該分析設定情報に合致するシステムログを検索して、不正な操作とみなされるシステムログを抽出し、また、抽出したシステムログにて示されるユーザのユーザ情報を、ディレクトリサービスシステムより取得するシステムログ分析手段と、
    を備えることを特徴とする情報処理端末。
  6. 前記システムログ分析手段は、
    前記ユーザ情報として、ユーザ名およびメールアドレスを取得することとし、
    さらに、
    取得したユーザ名およびメールアドレスを用いて、不正な操作を行ったユーザに対し、不正な操作を行った旨を通知するためのメールを配信する制御を行う、
    ことを特徴とする請求項5に記載の情報処理端末。
  7. 前記システムログ分析手段は、さらに、
    前記ユーザ情報として、不正な操作を行ったユーザの上長のユーザ名およびメールアドレスを取得することとし、
    取得した上長のユーザ名およびメールアドレスを用いて、当該上長に対し、配下のユーザが不正な操作を行った旨を通知するためのメールを配信する制御を行う、
    ことを特徴とする請求項6に記載の情報処理端末。
  8. さらに、ユーザの要求に応じてシステムログを検索および表示させる制御を行うシステムログ検索手段、
    を備え、
    前記システムログ検索手段は、
    ユーザよりシステムログ検索処理が要求されたことを検出した場合には、当該ユーザに対してログインを要求し、入力されたログイン情報を前記ディレクトリサービスシステムに送信してユーザ認証を要求し、当該ディレクトリサービスシステムから応答されるユーザ認証の結果、当該ユーザが上長である場合には、当該ユーザがシステムログの分析を行うために参照するシステムログ分析画面に対するログインを許可し、
    前記システムログ管理手段から変換後のシステムログを読み出し、当該システムログのなかから当該ユーザの所属する組織に関するシステムログを抽出して、前記システムログ分析画面に表示させる制御を行い、また、ユーザにより検索条件が入力された場合には、当該検索条件に合致するシステムログを絞り込んで表示させる制御を行う、
    ことを特徴とする請求項6または7に記載の情報処理端末。
  9. 請求項1〜4のいずれか1つに記載のシステムログ分析方法を、コンピュータに実行させることを特徴とするシステムログ分析プログラム。
JP2009146764A 2009-06-19 2009-06-19 システムログ分析方法、情報処理端末およびシステムログ分析プログラム Pending JP2011003090A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009146764A JP2011003090A (ja) 2009-06-19 2009-06-19 システムログ分析方法、情報処理端末およびシステムログ分析プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009146764A JP2011003090A (ja) 2009-06-19 2009-06-19 システムログ分析方法、情報処理端末およびシステムログ分析プログラム

Publications (1)

Publication Number Publication Date
JP2011003090A true JP2011003090A (ja) 2011-01-06

Family

ID=43560984

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009146764A Pending JP2011003090A (ja) 2009-06-19 2009-06-19 システムログ分析方法、情報処理端末およびシステムログ分析プログラム

Country Status (1)

Country Link
JP (1) JP2011003090A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019101448A (ja) * 2017-11-28 2019-06-24 株式会社 インターコム セキュリティ管理システム及びセキュリティ管理方法
CN113486370A (zh) * 2021-06-25 2021-10-08 杭州天宽科技有限公司 一种安卓日志审计系统和方法
WO2021261015A1 (ja) * 2020-06-24 2021-12-30 オムロン株式会社 ログ処理装置および制御プログラム

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
CSND200600166011; 岸部貞治: 'ネットワーク構築シミュレーション' N+I NETWORK 第5巻、第6号, 20050601, pp.118-123, ソフトバンクパブリッシング株式会社 *
CSNH200800110011; 黒田清隆: '情報システム基盤からの取り組み' 三菱電機技報 第82巻、第10号, 20081025, pp.50-53, 三菱電機エンジニアリング株式会社 *
CSNH200900089001; 宇野浩司: '光アクセスシステムとオペレーション' NTT技術ジャーナル 第21巻、第3号, 20090301, pp.10-13, 社団法人電気通信協会 *
JPN6013042179; 黒田清隆: '情報システム基盤からの取り組み' 三菱電機技報 第82巻、第10号, 20081025, pp.50-53, 三菱電機エンジニアリング株式会社 *
JPN6013042182; 岸部貞治: 'ネットワーク構築シミュレーション' N+I NETWORK 第5巻、第6号, 20050601, pp.118-123, ソフトバンクパブリッシング株式会社 *
JPN6013042184; 宇野浩司: '光アクセスシステムとオペレーション' NTT技術ジャーナル 第21巻、第3号, 20090301, pp.10-13, 社団法人電気通信協会 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019101448A (ja) * 2017-11-28 2019-06-24 株式会社 インターコム セキュリティ管理システム及びセキュリティ管理方法
WO2021261015A1 (ja) * 2020-06-24 2021-12-30 オムロン株式会社 ログ処理装置および制御プログラム
CN113486370A (zh) * 2021-06-25 2021-10-08 杭州天宽科技有限公司 一种安卓日志审计系统和方法

Similar Documents

Publication Publication Date Title
CN106713332B (zh) 网络数据的处理方法、装置和系统
DK2779572T3 (en) System and method for monitoring authentication attempts
US10542044B2 (en) Authentication incident detection and management
JP5422753B1 (ja) ポリシ管理システム、idプロバイダシステム及びポリシ評価装置
US8255507B2 (en) Active directory object management methods and systems
US20120158454A1 (en) Method and system for monitoring high risk users
JP5383838B2 (ja) 認証連携システム、idプロバイダ装置およびプログラム
US11216423B2 (en) Granular analytics for software license management
JP2008112284A (ja) 資源管理方法、資源管理システム、およびコンピュータプログラム
US10296182B2 (en) Managed access graphical user interface
US8949599B2 (en) Device management apparatus, method for device management, and computer program product
US20210182364A1 (en) Software license manager security
JP5858878B2 (ja) 認証システムおよび認証方法
JP2011003090A (ja) システムログ分析方法、情報処理端末およびシステムログ分析プログラム
JP6636605B1 (ja) 履歴監視方法、監視処理装置および監視処理プログラム
JP5362125B1 (ja) ポリシ更新システム及びポリシ更新装置
US7845001B2 (en) Method and system for managing secure platform administration
JP2006079228A (ja) アクセス管理装置
JP2019087176A (ja) 監視システム、監視方法、監視システム用プログラム
US20180359136A1 (en) Managing alerts regarding additions to user groups
JP2014191455A (ja) 情報処理装置、情報処理システム及び情報処理プログラム
US11087020B2 (en) Providing transparency in private-user-data access
JP5541215B2 (ja) 不正利用検知システム
JP2013077182A (ja) セキュリティ管理システム及び方法並びにプログラム
KR20090001812A (ko) 복수의 모니터링 장소에 대한 환경 관리 시스템 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120528

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130821

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130827

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140107