JP2011041212A - アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム - Google Patents

アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム Download PDF

Info

Publication number
JP2011041212A
JP2011041212A JP2009189435A JP2009189435A JP2011041212A JP 2011041212 A JP2011041212 A JP 2011041212A JP 2009189435 A JP2009189435 A JP 2009189435A JP 2009189435 A JP2009189435 A JP 2009189435A JP 2011041212 A JP2011041212 A JP 2011041212A
Authority
JP
Japan
Prior art keywords
access
server
request
address
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009189435A
Other languages
English (en)
Inventor
Yuzuru Igarashi
譲 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Networks Co Ltd
Original Assignee
Oki Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Networks Co Ltd filed Critical Oki Networks Co Ltd
Priority to JP2009189435A priority Critical patent/JP2011041212A/ja
Publication of JP2011041212A publication Critical patent/JP2011041212A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】異種プロトコルを経由するサーバへのアクセスにおいて、従来サーバへのアクセスによるIPパケットからでは取得できず、膨大な手間と手続きを必要とする調査でしか取得できなかったアクセス元IPアドレスを、サーバが取得する。
【解決手段】異プロトコルネットワークを経由したサーバアクセスにおいて、プロトコル変換装置3Aで変換前のアクセス元アドレス情報をサーバ2側で収集するために、サーバ2からアクセス元クライアントアドレスの調査要求を送信し、調査要求に対して、プロトコル変換装置3A又はクライアント4Aが回答することを特徴とする。
【選択図】図4

Description

本発明は、異種プロトコルを経由する、アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラムに関する。
従来から、Webサーバ等のメンテナンスを行うために、Webサーバはアクセスログを取得し保管するように構成されている。ログの内容は、各種あるが、一般的なログの項目として、アクセス元のIPアドレス,アクセス元のドメイン名,アクセスされた日付と時刻,アクセスされたファイル名,リンク元のページのURL,訪問者のWebブラウザ名とOS名,処理にかかった時間,受信バイト数,送信バイト数,サービス状態コード等がある。
サーバは、これらのログを1回の動作毎に(セッション毎に相当)に収集する。収集されたログは、オペレータの監視作業,サーバのメンテナンス等に使用される。ログ情報の中で、特に誰がサーバにアクセスしたかという情報が重要になり、アクセス元のIPアドレスが相当する。従来のログ収集の手順は、例えば、特許文献1に記載がある。
特開2003−209560号公報(段落0006〜0007、図8)
ところで、近年、サーバへのアクセス形態として、異種ネットワークを経由したアクセスが増加している。例えば、IPv4ネットワークとIPv6ネットワークとを経由するアクセスが増加している。このようなアクセス形態では、パケットをシームレスに導通するために、IPv4ネットワークとIPv6ネットワークとの境界で、ネットワーク間のIPパケットのプロトコル変換を行う変換装置を使って、IPアドレスの変換を行うことがある(図5参照)。このアドレス変換対象には、IPヘッダ内のアクセス元のIPアドレスも含まれる。
このように、ネットワークが異種プロトコルの場合には、境界点でIPアドレス変換が行われるため、最終宛先であるサーバは、到達したIPパケットから変換装置により変換された後のアクセス元IPアドレスは取得できるが、変換装置により変換される前の実際に誰がアクセスしてきたかを示す本当のアクセス元IPアドレスを取得することができない。その為、完全なアクセスログを取得できているとはいえない。
また、サーバへのアクセス元を調査する場合には、運用上、サーバで取得したログ情報と、サーバに到達するまでに経由したネットワーク境界でのアドレス変換ログをすべて突き合わせて、トレースバックすることになり、膨大な手間と手続きが必要になる。
本発明は前記問題に鑑みてなされたものであり、異種プロトコルを経由するサーバへのアクセスにおいて、従来サーバへのアクセスによるIPパケットからでは取得できなかったアクセス元IPアドレスをサーバが取得することができる、アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラムを提供することを目的とする。
前記目的を達成するために、本発明に係るアクセスログ収集システムは、クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、プロトコル変換装置が変換表を利用したプロトコル変換機能で解消している場合に、前記クライアントが前記サーバに対してアクセスした際の前記クライアントのアクセスログを収集するアクセスログ収集システムであって、前記サーバは、前記クライアントからの新規アクセスを認定する新規アクセス判定部と、前記クライアントのアドレスを調査するための要求であり、前記新規アクセスのアクセス元アドレスの情報を含んだ調査要求を前記プロトコル変換装置に送信し、前記調査要求に対する調査回答を受信するアクセス元調査部とを備え、前記プロトコル変換装置は、受信した前記調査要求に含まれる前記アクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とする。
前記目的を達成するために、本発明に係るアクセスログ収集方法は、クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、プロトコル変換装置が変換表を利用したプロトコル変換機能で解消している場合に、前記クライアントが前記サーバに対してアクセスした際の前記クライアントのアクセスログを収集するアクセスログ収集方法であって、前記サーバは、前記クライアントからの新規アクセスを判定し、前記クライアントのアドレスを調査するための要求であり、前記新規アクセスのアクセス元アドレスの情報を含んだ調査要求を前記プロトコル変換装置に送信し、前記プロトコル変換装置は、前記サーバから受信した前記調査要求に含まれる前記アクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とする。
前記目的を達成するために、本発明に係るプロトコル変換装置は、クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、変換表を利用したプロトコル変換機能で解消している場合のプロトコル変換装置であって、前記クライアントのアドレスを調査するための要求であり、前記サーバから受信した調査要求に含まれる、新規アクセスのアクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とする。
前記目的を達成するために、本発明に係るプロトコル変換プログラムは、クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、変換表を利用したプロトコル変換機能で解消しているプロトコル変換装置に対して、前記クライアントのアドレスを前記サーバに到達させる機能を実現させるプロトコル変換プログラムであって、前記クライアントのアドレスを前記サーバに到達させる機能は、前記クライアントのアドレスを調査するための要求であり、前記サーバから受信した調査要求に含まれる、新規アクセスのアクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とする。
このように、クライアント,ネットワーク境界に配備されるプロトコル変換装置,サーバが連携することにより、従来取得できなかったアクセス元を特定する情報すなわちアクセス元IPアドレスをサーバ側に集めることができる。
本発明によれば、異種プロトコルを経由してサーバへアクセスされた場合に、サーバは、サーバへのアクセスによるIPパケットからでは取得できなかったアクセス元IPアドレスを取得することができる。
本発明の第1実施形態に係るアクセスログ収集システムを示す構成図である。 本発明の第1実施形態に係るアクセスログ収集システムで使用するデータフォーマットである。 本発明の第1実施形態に係るアクセスログ収集システムを構成する各装置の機能構成図である。(a)はサーバ、(b)はプロトコル変換装置、(c)はクライアントの機能構成図である。 本発明の第1実施形態に係るアクセスログ収集システムのログ収集動作を説明する動作説明図である。 比較例におけるプロトコル変換装置の動作を説明する動作説明図である。
<第1実施形態に係るアクセスログ収集システムの構成>
(概要)
図1は、第1実施形態に係るアクセスログ収集システムを示す構成図である。図1のアクセスログ収集システム1は、第1実施形態に係るアクセスログ収集システムの最も単純な構成を示す。
アクセスログ収集システム1は、サーバ2,プロトコル変換装置3A,クライアント4A,IPv4ネットワーク5A,及びIPv6ネットワーク6を備えて構成される。IPv4ネットワーク5Aは、IPプロトコルのバージョン4が使われており、IPv6ネットワーク6は、IPプロトコルのバージョン6が使われている。IPv4では、IPアドレスを32ビットで表し、IPv6では、IPアドレスを128ビットで表す。
アクセスログ収集システム100は、アクセスログ収集システム1のIPv6ネットワーク6にプロトコル変換装置3Bを接続し、さらにその先にIPv4ネットワーク5B及びクライアント4Bを接続した構成である。
図1では説明の便宜上、アクセスログ収集システム1,100の2つの構成をしめしたが、第1実施形態に係るアクセスログ収集システムがこれらの構成に限定されるものではない。アクセスログ収集システム100に、さらに複数のネットワークを接続させることが可能である。
また、アクセスログ収集システム1,100は、プロトコル変換装置3Aを挟んで、サーバ2側のネットワーク5AがIPv4であり、クライアント4A側のネットワーク6がIPv6となっているが、サーバ2側のネットワーク5AがIPv6であり、クライアント4A側のネットワーク6がIPv4であってもよい。
以下、アクセスログ収集システム1,100の各構成装置について説明する。
(サーバ)
サーバ2は、分散処理においてネットワーク上の他のマシンにサービスを提供する装置である。サーバ2は、特に提供するサービスを限定されず、WWWサーバ,FTPサーバ等であってよい。提供するサービスにより異なるが、サーバ2は、CPU,メモリ,HDD等を備える。
(プロトコル変換装置)
プロトコル変換装置3A,3B(以下、まとめてプロトコル変換装置3と呼ぶときがある)は、IPv4−IPv6相互間でIPアドレス/IPプロトコル変換を行うNAT−PT(Network Address Translation-Protocol Translation)を提供する装置である。NAT−PTは、RFC2766で規定された機能で、IPv6プロトコルとIPv4プロトコルとの相互交換を実現する。なお、プロトコル変換装置3は、NAPT−PT(Network Address Port Translation-Protocol Translation)を提供する装置であってもよい。
プロトコル変換装置3は、ルータにより実現できる。プロトコル変換装置3にルータを用いた場合、プロトコル変換装置3は、ROM,フラッシュメモリ,NVRAM,RAMを備える。
(クライアント)
クライアント4A,4B(以下、まとめてクライアント4と呼ぶときがある)は、分散処理においてネットワーク経由でサーバにアクセスし、サーバが提供する様々な資源やサービスを利用する装置である。クライアント4は、PC(Personal Computer),携帯端末等がなりうる。
クライアント4は、特に種類を限定されないのでPC,携帯端末等の任意の装置であってよい。クライアント4にPCを用いた場合、クライアント4は、CPU,メモリ,HDD,ディスプレイ,キーボード等を備える。
(ネットワーク)
ネットワーク5A,5B(以下、まとめてネットワーク5と呼ぶときがある)及びネットワーク6は、複数のコンピュータ,サーバ等が接続されたシステム全体をいう。図1では、サーバ2がネットワーク5Aに、クライアント4Aがネットワーク6に、クライアント4Bがネットワーク5Bに接続されているが、その他複数のサーバ又はクライアントがネットワーク5,6に接続されていてもよい。
ネットワーク5,6の回線は、有線と、無線とのどちらか一方、又は両方で構成されていてもよい。有線ネットワークの例を挙げると、例えば、光ファイバ,電話回線等で構成される。無線ネットワークの例を挙げると、例えば、赤外線,電波等を利用して構成される。
<第1実施形態に係るアクセスログ収集システムで使用するデータフォーマット及び機能>
(概要)
第1実施形態に係るアクセスログ収集システム1,100は、サーバにおけるアクセスログの収集を実現するために、OSI(Open Systems Interconnection:開放型システム間相互接続)基本参照モデルで言うところの応用層(第7層)に、又はTCP/IP(Transmission Control Protocol/Internet Protocol)の階層構造で言うところの応用層に、対応するプロトコルを利用する。
第1実施形態に係るアクセスログ収集システム1,100を実現するためには、下位層でIPv4、又はIPv6を使用していればよく、それ以外の通信プロトコルについては特に限定されない。それ以外の通信プロトコルは、適宜選択することができる。
(第1実施形態に係るアクセスログ収集システムで使用するデータフォーマット)
本実施形態に係るアクセスログ収集システム1,100は、図2に記載するデータフォーマット(以下、「アクセス元調査データ」と称す)を使用する。アクセス元調査データ7は、サーバ2からのアクセス元アドレス情報の調査要求として、又はプロトコル変換装置3若しくはクライアント4による調査要求に対する調査回答として使われる。
以下、アクセス元調査データ7の各項目について説明する。
アクセス元調査データ7は、プロトコル変換装置3によるアドレス変換前後のアクセス元アドレスをプロトコル種別及びアクセス時間と共に追記していく形をとる。
「プロトコル」欄には、使用する通信プロトコルが設定される。
「アクセス元アドレス情報」欄には、アクセス元のIPアドレスが設定される。
「アクセス時間」欄には、クライアント4がサーバ2にアクセスする際にプロトコル変換装置3でアドレス変換に使用する変換表(図3(b)参照)を作成若しくは利用した時間、又はサーバ2にアクセスしたアクセス時間が設定される。
なお、アクセス元調査データ7は、これらの項目以外の項目を備えるようにしてもよい。
(第1実施形態に係るアクセスログ収集システムの各構成要素が有する機能)
第1実施形態に係るアクセスログ収集システム1,100を実現するために、各構成要素であるサーバ2,プロトコル変換装置3,クライアント4は、図3(a)〜(c)に示す機能を有する。図3に記載される各部21,22,23,31,32,41,42は、プログラムがCPUによって実行されることによって実現される。
図3には、第1実施形態に係るアクセスログ収集システム1,100で使用する機能以外の一般的機能は図示していない。例えば、サーバ2,クライアント4等のコンピュータシステムを管理し、基本的なユーザー操作環境を提供するソフトウェアであるOS(Operating System)が提供するプロセス管理機能、メモリ,ファイル,周辺機器等の管理機能,ネットワーク機能等は一般的機能として図示していない。
(サーバ)
図3(a)は、第1実施形態に係る収集システムを構成するサーバ2の機能構成図である。
新規アクセス判定部21は、サーバ2への新規アクセスを判定し、アクセス元調査部22の呼び出しを決定する機能である。サーバ2へのアクセスが新規アクセスか否かは、アプリケーションの開始(セッションの開始)で判定する機能である。
アクセス元調査部22は、アクセス元を調査するためにサーバ2外部へ調査要求を送出し、調査要求に対する調査回答を受信する機能である。
調査要求を送出するときには、アクセス元調査部22は、アクセス元調査データ7のプロトコル欄71にサーバ2にアクセスがあったIPパケットのバージョン番号のプロトコルを設定し、アクセス元アドレス情報欄72にアクセスがあったIPパケットの送信元IPアドレスを設定し、アクセス時間欄73にアクセスがあったアクセス時間を設定する。アクセス時間欄73に設定された時間は、後記するプロトコル変換装置3のアクセス元調査応答部32の処理で使用する。具体的には、自身がもつ変換表33から変換前のアドレス情報を抽出する際に、正しい変換を抽出することに利用する。
そして、設定したアクセス元調査データ7を調査要求として送出する。実際は、アクセス元調査データ7は、下位層であるIP(Internet Protocol)等によりパケット化されて送出される。
調査回答を受信したときには、受信した調査回答をアクセスログ蓄積部としてのアクセスログ出力部23に渡す。
アクセスログ出力部23は、アクセス元調査部22から渡された調査回答をアクセス元ログ情報24として蓄積・出力する機能である。
(プロトコル変換装置)
図3(b)は、第1実施形態に係るアクセスログ収集システムを構成するプロトコル変換装置の機能構成図である。
変換表33は、プロトコル変換装置3が、IPv4−IPv6相互間でIPアドレス/IPプロトコル変換を行うNAT−PTを提供するために有するIPv4アドレスとIPv6アドレスとの対応表である。
アクセス元調査応答判定部31は、サーバ2からのアクセス元を調査するための調査要求を受信した際に、事前に設定されている応答方法(何処に何を送信するか)を認定し、アクセス元調査応答部32に認定した応答処理の指示を出す機能である。
応答方法は、以下の3つがあり、同時に複数の応答方法を行ってもよい。
(1)変換表33から変換前のアドレス情報等を抽出し、調査要求として受信したアクセス元調査データ7に追記して、追記したアクセス元調査データ7を調査回答として調査要求送信元サーバ2へ送信する。
(2)変換表33から変換前のアドレス情報等を抽出し、調査要求として受信したアクセス元調査データ7に追記して、追記したアクセス元調査データ7を調査要求としてアクセス元であるクライアント4側へさらに送信する。
(3)アクセス元であるクライアント4のアドレス情報を隠蔽する目的で、変換表33から変換前のアドレス情報以外の応答可能な情報を抽出し、調査要求として受信したアクセス元調査データ7に追記して、追記したアクセス元調査データ7を調査回答として調査要求送信元サーバ2へ送信する。
応答方法は、プロトコル変換装置3を配備する際のネットワーク設計に基づいて事前に設定する。応答方法の設定について、図1を参照しながら説明する。
まず、アクセスログ収集システム1の場合を想定する。この場合、プロトコル変換装置3Aの応答方法は、応答方法(1)に設定すればよい。次に、アクセスログ収集システム100の場合を想定する。この場合、プロトコル変換装置3Aの応答方法は、応答方法(2)に設定すればよい。クライアント4Bのアクセスに対して、プロトコル変換装置3Aの変換表33は、プロトコル変換装置3Bの変換後のアドレス情報しか有しておらず、応答方法(1)ではクライアント4Bの変換前のアドレス情報を入手することができないためである。なお、応答方法(2)を設定した場合で、クライアント4Aからアクセスがあったときには、クライアント4Aがサーバ2に調査回答する。クライアント4の調査回答については後記する。
また、前記では、アクセスログ収集システム1,100の構成が明確に把握できている場合を前提としていたが、ネットワークの性格上、アクセスログ収集システムの構成を把握できない場合がある。すなわち、近接するネットワークにクライアントが接続されているかプロトコル変換装置が接続されているのか分からない場合である。この場合も、プロトコル変換装置3Aに応答方法(2)を設定するようにする。
なお、プロトコル変換装置3Aに応答方法(1)と応答方法(2)とを共に設定するようにしてもよい。そうすると、プロトコル変換装置3とクライアント4との両方からサーバ2に回答が送られることも考えられるが、その場合、サーバ2のアクセス元調査部22は調査回答を受信する際に適切な処理をするようにする。
また、アクセスログ収集システム1の構成で、クライアント4Aのアドレス情報を隠蔽したい場合を想定する。この場合、プロトコル変換装置3Aの応答方法は、応答方法(3)に設定すればよい。
ここまで、プロトコル変換装置3の応答方法の設定方法について説明してきたが、プロトコル変換装置3の応答方法の設定がこれらに限定されるものではない。プロトコル変換装置3を配備する際に、計画的にネットワーク設計され所定のコンフィグレーションがなされるべきである。
図3(b)のアクセス元調査応答部32は、アクセス元調査応答判定部31の指示により、実際の応答を行う機能である。具体的には、応答方法(1)〜(3)の処理を行う。
応答方法(1),(2)が設定された場合の、アクセス元調査応答部32による、アクセス元調査データ7のデータ追記について説明する。
アクセス元調査応答部32は、プロトコル欄71に変換前のプロトコルを設定し、アクセス元アドレス情報欄72に変換前のアドレスを設定し、アクセス時間欄73にサーバ2にアクセスする際にプロトコル変換装置3でアドレス変換に使用する変換表を作成若しくは利用した時間を設定する。
応答方法(3)が設定された場合は、アクセス元アドレス情報欄72に変換前のアドレスを設定しないことが、応答方法(1),(2)が設定された場合と異なる。
(クライアント)
図3(c)は、第1実施形態に係るアクセスログ収集システムを構成するクライアント4の機能構成図である。
アクセス元調査応答判定部41は、サーバ2からのアクセス先を調査するための調査要求を受信した際に、アクセス元調査応答部42に応答処理の指示を出す機能である。
応答方法は、自身が認識するアドレスを調査要求として受信したアクセス元調査データ7に追記して、追記したアクセス元調査データ7を調査回答として調査要求送信元サーバ2へ送信する。仮にアクセス元調査データ7に自身が認識するアドレスが既に設定されている場合には、受信したアクセス元調査データ7をそのまま調査回答として調査要求送信元サーバ2に送信する。
アクセス元調査応答部42は、アクセス元調査応答判定部41の指示により、実際の応答を行う機能である。具体的には、前記応答方法の処理を行う。
アクセス元調査応答部42による、クライアント4のアクセス元調査データ7のデータ追記について説明する。
アクセス元調査応答部42は、プロトコル欄71にクライアント4自身が認識するプロトコルを設定し、アクセス元アドレス情報欄72にクライアント4自身が認識するアドレスを設定し、アクセス時間欄73にサーバ2にアクセスしたアクセス時間を設定する。
<第1実施形態に係るアクセスログ収集システムのログ収集動作>
図4は、第1実施形態に係るアクセスログ収集システムのログ収集動作を説明する動作説明図である。図4の動作説明図を参照して、アクセスログ収集システム1の動作について説明する。
図4のアドレス表記について説明する。「アドレス○(△):○にはx,y,z1が該当、△にはA,Bが該当」は、「○」がアドレスを表し、「△」がプロトコルを表す。図4では、プロトコルAはIPv4を、プロトコルBはIPv6を表す。例えば、アドレスx(A)は、プロトコルAで規定されたアドレスxを表す。
(ステップS001)
サーバ2がクライアント4Aによりアクセスされることをトリガとして、アドレス収集の動作が開始する。クライアント4Aによるアクセス方法は、サーバの種類によって異なる。
本動作では、サーバ2への新規アクセス8をトリガとして、アドレス収集動作が開始する。新規アクセス8は、クライアント4Aから送信されたIPパケットを意味する。「アクセス元アドレスz1(B)」は、IPパケットの送信元IPアドレスに設定されているアドレスを、「アクセス先アドレスy(B)」は、IPパケットのあて先IPアドレスに設定されているアドレスを意味する。アクセス元アドレスz1(B)及びアクセス先アドレスy(B)は、クライアント4Aから送信されてサーバ2に到達する途中で、プロトコル変換装置3Aにより変換されている。
新規アクセス判定部21は、クライアント4Aによるサーバ2へのアクセスが新規アクセスかどうかをチェックする。新規アクセスかどうかのチェックは、一般的には、アプリケーションの開始(セッション開始)で判定する。Webサーバであれば、最初のget要求であるか否かを判定する。
また、同一端末が同時刻に同じサービスを受けることがあるが、それを区別するために、TCPセッションの開始,呼接続(SIPセッション)の開始,APレイヤでのセッションの開始又はトランザクションの開始などを、アプリケーションサーバは通常管理している。
新規アクセスの場合は、アクセス元調査部22へ制御を移行する。
(ステップS002)
アクセス元調査部22は、新規アクセスをパラメータとして、アクセス元調査データ7を作成する。図4では、アクセス元調査部22は、アクセス元調査データ7のプロトコル欄71に「プロトコルB」を設定し、アクセス元アドレス情報欄72に「アドレスz1」を設定し、アクセス時間欄73に「新規アクセスがあった時間」を設定する。なお、図4では、アクセス時間欄73を図示していない。
次に、アクセス元調査部22は、作成したアクセス元調査データ7を調査要求として隣接ネットワーク5A(図示せず)へ送出する。図4では図示していないが、実際は、アクセス元調査データ7は、IP(Internet Protocol)によりパケット化されて送出する。IPパケットの送信元IPアドレスには「アドレスy(B)」が、あて先IPアドレスには「アドレスz1(B)」が設定される。
(ステップS003)
プロトコル変換装置3Aは、サーバ2からネットワークに送出された調査要求としてのアクセス元調査データ7を受信する。
次に、アクセス元調査応答判定部31は、事前に設定されている応答方法(1)〜(3)を決定し、アクセス元調査応答判定部31に決定した応答処理の指示を出す。図4では、「応答方法(2)変換表33から変換前のアドレス情報等を抽出し、調査要求として受信したアクセス元調査データ7に追記して、追記したアクセス元調査データ7を調査要求としてアクセス元であるクライアント4側へさらに送信する。」が設定されているものとする。
(ステップS004)
アクセス元調査応答部32は、アクセス元調査応答判定部31の指示により、実際の応答処理を行う。
図4では、プロトコル欄71に「プロトコルA」を設定し、アクセス元アドレス情報欄72に「アドレスx」を設定し、アクセス時間欄73に「変換表33の作成又は利用時間」を設定して、調査要求としてのアクセス元調査データ7に追記する。なお、図4では、アクセス時間欄73を図示していない。
次に、アクセス元調査応答部32は、追記したアクセス元調査データ7を調査要求としてアクセス元であるクライアント側の隣接ネットワーク6(図示せず)へ送出する。図4では図示していないが、実際は、アクセス元調査データ7は、IP(Internet Protocol)によりパケット化されて送出する。IPパケットの送信元IPアドレスには「アドレスPrefix+y(A)」が、あて先IPアドレスには「アドレスx(A)」が設定される。
なお、応答方法として「(1)変換表33から変換前のアドレス情報等を抽出し、調査要求として受信したアクセス元調査データ7に追記して、追記したアクセス元調査データ7を調査回答として調査要求送信元サーバ2へ送信する。」が設定されている場合の処理を、ステップS010として記載する。
(ステップS005)
クライアント4Aは、プロトコル変換装置3Aからネットワーク6(図示せず)に送出された調査要求としてのアクセス元調査データ7を受信する。
次に、アクセス元調査応答判定部41は、アクセス元調査応答部42に応答処理の指示を出す。図4では、プロトコル変換装置3Aによって、クライアント4A自身が認識するアドレスxがアクセス元調査データ7に設定されているので、応答処理「受信したアクセス元調査データ7をそのまま調査回答として調査要求送信元サーバ2に送信する。」指示を出す。
(ステップS006)
アクセス元調査応答部42は、アクセス元調査応答判定部41の指示により、実際の応答処理を行う。
図4では、受信したアクセス元調査データ7をそのまま調査回答として調査要求送信元サーバ2に送信する。図4では図示していないが、実際は、アクセス元調査データ7は、IP(Internet Protocol)によりパケット化されて送出する。IPパケットの送信元IPアドレスには「アドレスx(A)」が、あて先IPアドレスには「アドレスPrefix+y(A)」が設定される。
(ステップS007)
サーバ2は、クライアント4Aから送信された調査回答としてアクセス元調査データ7を受信する。
次に、アクセス元調査部22は、受信したアクセス元調査データ7の情報をアクセスログ出力部23に送る。アクセスログ出力部23は、アクセス元調査データ7をアクセス元ログ情報24として蓄積・出力を行う。
(第1実施形態に係るアクセスログ収集システムの効果)
第1実施形態に係るアクセスログ収集システムにより、通常知りえないアクセス元の変換前アドレスを、公開できる範囲でサーバが直接収集可能となり、メンテナンスに必要な情報の欠落をできる限り防ぐことができる。
また、プロトコル変換装置の変換ログを収集し、サーバのアクセスログと突き合わせる実施方法に比べて、オペレータの手間と手順を削減できる。
さらに、必要に応じてタイムリにサーバから情報収集を行うため、プロトコル変換装置ですべての変換ログを蓄積する必要が無くなるため、従来方法に比較して、全体としてログの収集量を削減する効果がある。
(比較例)
図5は、比較例におけるプロトコル変換装置の動作を説明する動作説明図である。サーバへのアクセスに際し、IPによりパケット化されたパケットデータは、プロトコル変換装置によりIPパケットの送信元IPアドレス及びあて先IPアドレスが変換された後に、サーバに到達する。変換前のIPパケット51は、アドレス変換前のアクセス元アドレス51a及びアクセス先アドレス51bを、変換後のIPパケット52は、アドレス変換後のアクセス元アドレス52a及びアクセス先アドレス52bを有する。
サーバが、アクセス元であるクライアントのアドレスを収集しようとする場合、プロトコル変換装置にアクセスし、該当するアドレス変換のログを収集し、アクセス元ログ情報53と突き合わせることで、アドレス変換前のアクセス元アドレス51aを知ることができる。
図5は単純なシステム構成であるので、1つのプロトコル変換装置にアクセスするだけでアクセス元であるクライアントのアドレスを収集することができたが、ネットワークが複雑になり、複数個のプロトコル変換装置を介してアクセスが行われた場合は、中継された数分のアクセスが必要になり、手間がかかる。
1,100 アクセスログ収集システム
2 サーバ
3,3A,3B プロトコル変換装置
4,4A,4B クライアント
5,5A,5B IPv4ネットワーク
6 IPv6ネットワーク
7 アクセス元調査データ
8 新規アクセス
21 新規アクセス判定部
22 アクセス元調査部
23 アクセスログ出力部(アクセスログ蓄積部)
31 アクセス元調査応答判定部
32 アクセス元調査応答部
33 変換表
41 アクセス元調査応答判定部
42 アクセス元調査応答部

Claims (9)

  1. クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、プロトコル変換装置が変換表を利用したプロトコル変換機能で解消している場合に、前記クライアントが前記サーバに対してアクセスした際の前記クライアントのアクセスログを収集するアクセスログ収集システムであって、
    前記サーバは、
    前記クライアントからの新規アクセスを認定する新規アクセス判定部と、
    前記クライアントのアドレスを調査するための要求であり、前記新規アクセスのアクセス元アドレスの情報を含んだ調査要求を前記プロトコル変換装置に送信し、前記調査要求に対する調査回答を受信するアクセス元調査部とを備え、
    前記プロトコル変換装置は、
    受信した前記調査要求に含まれる前記アクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とするアクセスログ収集システム。
  2. 前記調査要求の送信は、前記追記した調査要求を調査回答として直接前記サーバに返信する機能により実現されることを特徴とする請求項1に記載のアクセスログ収集システム。
  3. 前記調査要求の送信は、前記追記した調査要求を直接又は別のプロトコル変換装置を介して前記クライアントに送信する機能により実現され、
    前記クライアントは、
    受信した前記調査要求に自身が認識するアドレスを追記し、前記追記した調査要求を調査回答として前記プロトコル変換装置を介して前記サーバに送信することを特徴とする請求項1に記載のアクセスログ収集システム。
  4. 前記プロトコル変換装置は、受信した前記調査要求に含まれる前記アクセス元アドレスと自身が備える変換表から、変換前のアドレス以外の応答可能な情報を抽出し、受信した前記調査要求に追記し、前記追記した調査要求を調査回答として前記サーバに送信する機能を更に実行することを特徴とする請求項2又は請求項3に記載のアクセスログ収集システム。
  5. 前記各機能の実行を、プロトコル変換装置を配備する際のネットワーク設計に基づいて事前に選択するアクセス元調査応答判定部を備えることを特徴とする請求項2乃至請求項4の何れか一項に記載のアクセスログ収集システム。
  6. 前記サーバは、前記調査回答をアクセスログとして蓄積するアクセスログ蓄積部を更に備えることを特徴とする請求項1乃至請求項5の何れか一項に記載のアクセスログ収集システム。
  7. クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、プロトコル変換装置が変換表を利用したプロトコル変換機能で解消している場合に、前記クライアントが前記サーバに対してアクセスした際の前記クライアントのアクセスログを収集するアクセスログ収集方法であって、
    前記サーバは、前記クライアントからの新規アクセスを判定し、前記クライアントのアドレスを調査するための要求であり、前記新規アクセスのアクセス元アドレスの情報を含んだ調査要求を前記プロトコル変換装置に送信し、
    前記プロトコル変換装置は、前記サーバから受信した前記調査要求に含まれる前記アクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とするアクセスログ収集方法。
  8. クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、変換表を利用したプロトコル変換機能で解消している場合のプロトコル変換装置であって、
    前記クライアントのアドレスを調査するための要求であり、前記サーバから受信した調査要求に含まれる、新規アクセスのアクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とするプロトコル変換装置。
  9. クライアントとサーバとを結ぶアクセス経路の途中のネットワークのうち少なくとも1つが、前記サーバが属するネットワークとは異なる通信プロトコルで規定されており、前記2つのネットワークの通信プロトコルの相違を、変換表を利用したプロトコル変換機能で解消しているプロトコル変換装置に対して、前記クライアントのアドレスを前記サーバに到達させる機能を実現させるプロトコル変換プログラムであって、
    前記クライアントのアドレスを前記サーバに到達させる機能は、前記クライアントのアドレスを調査するための要求であり、前記サーバから受信した調査要求に含まれる、新規アクセスのアクセス元アドレスと自身が備える変換表から、変換前のアドレスを抽出し、受信した前記調査要求に追記し、この追記した調査要求の回答が前記サーバに到達するように送信することを特徴とするプロトコル変換プログラム。
JP2009189435A 2009-08-18 2009-08-18 アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム Pending JP2011041212A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009189435A JP2011041212A (ja) 2009-08-18 2009-08-18 アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009189435A JP2011041212A (ja) 2009-08-18 2009-08-18 アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム

Publications (1)

Publication Number Publication Date
JP2011041212A true JP2011041212A (ja) 2011-02-24

Family

ID=43768471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009189435A Pending JP2011041212A (ja) 2009-08-18 2009-08-18 アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム

Country Status (1)

Country Link
JP (1) JP2011041212A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110093524A1 (en) * 2009-10-20 2011-04-21 Hitachi, Ltd. Access log management method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110093524A1 (en) * 2009-10-20 2011-04-21 Hitachi, Ltd. Access log management method

Similar Documents

Publication Publication Date Title
CN110225148A (zh) IPv4/IPv6地址转换系统
EP2306689B1 (en) Devices and method for accessing a web server in a local space
CN102884764B (zh) 一种报文接收方法、深度包检测设备及系统
CN107613037B (zh) 一种域名重定向方法和系统
CN108156210A (zh) 目标资源的获取方法和装置
CN101582925A (zh) 一种网络地址转换的方法及系统
CN108632221A (zh) 定位内网中的受控主机的方法、设备及系统
EP1584203B1 (en) Network address translation based mobility management
CN108023877A (zh) 一种基于家庭网关实现防火墙域名控制的系统方法
JP5091217B2 (ja) ホーム機器情報収集装置及びホーム機器情報収集方法
CN105323128A (zh) 前端设备接入服务器的方法、装置及系统
JP5721690B2 (ja) ダイナミックdnsサービスを利用したネットワーク機器の設定方法およびそのシステム
Kirsche et al. A 6lowpan model for omnet++
JP2011041212A (ja) アクセスログ収集システム、収集方法、ならびにプロトコル変換装置及びプロトコル変換プログラム
CN103001928A (zh) 不同网络间终端互联的通信方法
JP6605149B2 (ja) 共有端末の検出方法及びその装置
KR100844293B1 (ko) 상황인식 보안 서비스의 관리 시스템 및 그 관리 방법
JP5228081B2 (ja) 宅内機器管理システム及び宅内機器管理方法
CN106487819B (zh) 一种通过udp代理http请求的方法和装置
KR101051792B1 (ko) 네트워크 주소 변환 장치 및 방법
JP5054666B2 (ja) Vpn接続装置、パケット制御方法、及びプログラム
JP5573835B2 (ja) Dns名解決システム、オーバーライドエージェント、dns名解決方法
CN105323174A (zh) 一种远程桌面协议网关进行路由交换的方法、设备及系统
JP5084716B2 (ja) Vpn接続装置、dnsパケット制御方法、及びプログラム
JP2005339149A (ja) データ処理装置、データ処理方法およびデータ処理プログラム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20120813