JP2011248433A - ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム - Google Patents

ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム Download PDF

Info

Publication number
JP2011248433A
JP2011248433A JP2010118099A JP2010118099A JP2011248433A JP 2011248433 A JP2011248433 A JP 2011248433A JP 2010118099 A JP2010118099 A JP 2010118099A JP 2010118099 A JP2010118099 A JP 2010118099A JP 2011248433 A JP2011248433 A JP 2011248433A
Authority
JP
Japan
Prior art keywords
monitoring
log
data
packet
missing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010118099A
Other languages
English (en)
Other versions
JP5454355B2 (ja
Inventor
Hisafumi Abe
尚史 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010118099A priority Critical patent/JP5454355B2/ja
Publication of JP2011248433A publication Critical patent/JP2011248433A/ja
Application granted granted Critical
Publication of JP5454355B2 publication Critical patent/JP5454355B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】ネットワーク間におけるログデータの到達性を確保し、その導入コストの抑制を可能とするログデータ欠落検知用のネットワーク管理システムを提供する。
【解決手段】ネットワークAに接続されている例えばログ監視対象端末11から送信されるログデータを監視できる位置に監視装置15を接続する。ネットワークCに接続されているログ管理端末31が受信するログデータを監視できる位置に監視センター装置35を接続する。監視センター装置35は、監視装置15が監視したログ監視対象端末11の送信パケットからなる送信側監視データリストと監視センター装置35が監視したログ監視対象端末11から送信されてログ管理端末31が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する。そして、パケットの欠落が有ると判定した場合には、その欠落パケットをログ管理端末31に送信して補完する。
【選択図】図1

Description

本発明は、ネットワークの管理に関し、特に、ログデータの欠落を検知するネットワーク管理システム、管理方法及び管理プログラムに関する。
UDP(User Datagram Protocol)上で動作するSyslogやSNMPを使用して、ログ監視対象端末からログ管理端末へログデータを送信するようなログ管理システムにおいては、通信のためのプロトコルとしてUDPを使用している。UDPを使用する場合、そのプロトコルの仕様上、TCP(Transmision Control Protocol)のようなパケットの到達確認機能、再送制御機能等は装備されていない。そのため、異なるコンピュータネットワーク間、即ち、パケットの送信元から送信先へのネットワーク経路上に配置されるルータ等のネットワーク機器へ過大なネットワーク負荷がかかり、輻輳が発生するとネットワーク機器上でパケットを廃棄することが知られている。パケットが廃棄された場合、その事実は、パケットの送信元や送信先へは通知されないため、SyslogやSNMPを使用している場合、ログデータが欠落していることに気付かずログデータが不完全なものとなってしまう虞があった。
この不具合を解決するためには、ログデータを通知するプロトコルをUDPからTCPに変更することや、ログデータを通知するUDP自体に再送フラグ、順序番号を付与して再送制御機能を設けること等、ログ監視対象端末およびログ管理端末のプログラム変更やネットワーク構成の変更等を行う必要がある。
例えば、ログデータの到達性を保証する手段として、SNMPやSyslogを利用したイベント情報の通知に関して、HTTPプロトコルを使用しイベント蓄積サーバに送信することでパケットの到達性を保証する、つまりHTTPヘッダの下にSyslog、SNMPを埋め込むという技術が提案されている(特許文献1)。
また、この他に関連する通信管理システムとして、例えば、分散システム環境でオブジェクト同士がメッセージを交換するためのCORBA方式に基づく分散システムにおいてメカトロニクス機器を制御する技術が提案されている(特許文献2)。この技術によれば、クライアントマシンから複数のサーバマシンにデータが送信されるとその送信ログが記録され、各サーバマシンでデータが受信されるとその受信ログが記録され、これらの送信ログと受信ログとを照合して内容の不一致があれば通信障害が発生したものと判別し、各サーバマシンの当該データによる処理結果を無効にする。
また、複数のネットワークが中継装置を通じて接続されており、独自の監視方法で監視対象を監視し、各監視システムが有する監視情報を要求すると共に、受け取った監視情報に基づいて統合的な解析処理を行なう監視情報解析システムの技術が提案されている(特許文献3)。この技術によれば、中継装置を通過する全通信パケットを収集プローブ装置のパケット取得部によって捕捉・保持するように構成されている。
また、パケットの送信端とパケットの受信端とを接続するパケット通信回線としてUDP/IP伝送プロトコル・インタフェースを含むパケット通信方式を用い、送信端末は連続性を検出するためのシーケンス番号を付与して送信パケットを受信端末に送信し、受信端末は受信パケットのシーケンス番号に欠落があることを検出するとその欠落情報を送信端末に送信し、送信端末はその欠落情報に基づき欠落したパケットを再送信するようにした通信方式の技術が提案されている(特許文献4)。
また、送信機と受信機とが複数の網によって接続されているマルチパス環境で各網内でのパケットの順序逆転が発生しない場合においてパケットロスが発生したときは全ての網の順序バッファにパケットが格納される特性に着目し、網毎に設置した順序保証バッファへのパケット滞留状態を監視することによりパケットロスを検出するようにした通信装置の技術が提案されている(特許文献5)。欠落検出部は、取出制御部からパケット取出完了の通知を受けると、パケットロスの有無を確認する。もしパケットロスを発見した場合は、ACK送信部に対して再送要求を行う。
また、ストリーム全体を適正に認証/検証するために、受信したトランスポートストリームのうち選び出したトランスポートストリームパケットからハッシュ値を生成し、次の検証パケットに含まれるハッシュ値と、前記生成されたハッシュ値とが一致しない場合には、当該区間でパケットロスが存在し不正区間であると判定して当該区間を署名検証区間から除外するように構成した受信装置の技術が提案されている(特許文献6)。
特開2009−111655号公報 特開2002−278853号公報 特開2008−244640号公報 特開平10−056479号公報 特開2009−055419号公報 特開2009−081564号公報
しかしながら、特許文献1に開示された技術では、TCPを使用しているためイベント毎のTCPセッションネゴシエーションやTCPの再送制御機能の通信によりトラフィック増加を招き、さらなるネットワーク帯域の消費を招くこととなって、ネットワークの輻輳によるルータ等のネットワーク機器上でのパケット廃棄の可能性が高くなる。また、ログ監視対象の端末へエージェントを導入する必要があるため、既存システムに対する追加作業および追加コストは、ログ監視対象端末に比例して増大するという問題があった。
また、特許文献2から6に開示されたそれぞれの技術においても、ネットワークの輻輳によりネットワーク機器上でパケットが廃棄されることがあり、そのデータの欠落を確実に検出できない可能性、あるいは欠落したデータを取得して補完できない可能性もあった。
[発明の目的]
そこで、本発明は、このような事情に鑑みてなされたものであり、ネットワーク間におけるログデータの到達性を確保できると共に、その導入コストの抑制を可能とするログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラムの提供を目的とするものである。
上記課題を解決するために、本発明に係るログデータ欠落検知用のネットワーク管理システムは、ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムであって、
前記ログ監視対象端末が接続されているネットワークの当該ログ監視対象端末が送信するログデータのパケットを監視できる位置に接続される監視装置と、
前記ログ管理端末が接続されているネットワークの当該ログ管理端末が受信するログデータのパケットを監視できる位置に接続される監視センター装置とを備え、
前記監視センター装置は、
前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較処理部と、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記ログ管理端末に送信する欠落データ送信処理部とを備えていることを特徴とするものである。
また、上記課題を解決するために、本発明に係るログデータ欠落検知用のネットワーク管理方法は、ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末が接続されているネットワークに接続された監視装置が、当該ログ監視対象端末から送信されるログデータのパケットを監視し、
前記ログ管理端末が接続されているネットワークに接続された監視センター装置が、前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視し、
前記監視センター装置に装備された監視データリスト比較処理部が、前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、前記監視センター装置に装備された欠落データ送信処理部が、当該欠落したパケットを前記ログ管理端末に送信するようにしたことを特徴とするものである。
また、上記課題を解決するために、本発明に係るログデータ欠落検知用のネットワーク管理プログラムは、ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視するログ管理端末パケット監視機能、
前記監視装置が監視した前記ログ監視対象端末から送信されるログデータのパケットからなる送信側監視データリストと前記監視センター装置が監視した前記ログ管理端末に受信されたパケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較判定機能、
前記監視データリスト比較判定機能による比較判定の結果、パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視センター装置に要求し当該監視センター装置から送信されてきた前記欠落したパケットを前記ログ管理端末に送信する欠落データ送信機能を設け、
これらの機能をコンピュータに実現させるようにしたことを特徴とするものである。
本発明によれば、送受信されたログデータを比較して欠落検知されたデータのみを取得・補完しているのでネットワーク間のトラフィックの増加を抑えつつログデータの到達性を保証することができる。また、ログデータの送受信を監視する装置をデータ監視可能な位置に接続するのみで通信方法あるいはネットワーク構成を変更する必要が無いためその導入コストの削減を確保することができる。
本発明に係るネットワーク管理システムの実施形態を示すブロック図である。 監視センター装置の内部構成を示す図である。 監視装置の内部構成を示す図である。 ログデータ欠落検知の基本動作の順序を示す図である。 データ記憶部に監視対象のログデータを格納する動作を示すフローチャートである。 データ記憶部に格納された実データとハッシュ値を示す図である。 監視センター装置におけるログデータ欠落検知処理の状態遷移を示す図である。 ログデータ欠落検知処理開始時の動作を示すフローチャートである。 監視データリスト要求コマンドに対する監視装置の返信処理動作を示すフローチャートである。 監視データリスト返信コマンド処理の動作を示すフローチャートである。 監視データリストの比較による欠落検知処理の動作を示すフローチャートである。 欠落データ要求コマンドに対する監視装置の返信処理の動作を示すフローチャートである。 欠落データ送信処理の動作を示すフローチャートである。 監視データ削除要求コマンドに対する監視装置の返信処理の動作を示すフローチャートである。 監視データ削除処理の動作を示すフローチャートである。
以下、本発明に係るネットワーク管理システム1の実施形態を添付図面に基づいて説明する。
図1はネットワーク管理システムの全体構成を示している。ネットワーク管理システム1は、複数のネットワーク(ネットワークA10〜ネットワークD40)を含み構成されている。ネットワークA、B等に接続されているログ監視対象端末12,13、21〜23等からネットワークCに接続されているログ管理端末31へ、トランスポート層のプロトコルであるUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信の際に生じるログ監視対象端末とログ管理端末との間でログデータの欠落を検知する。
ネットワークA10には、監視の対象とされるログ監視対象端末11及び12と、ログ監視対象端末11及び12から送信されてくるパケットを監視する監視装置15が接続されている。ネットワークB20には、監視の対象とされるログ監視対象端末21、22、及び23と、これらのログ監視対象端末21、22、及び23から送信されてくるパケットを監視する監視装置25が接続されている。また、ネットワークC30には、監視の対象とされるログ管理端末31と、上記各ログ監視対象端末11、12、21〜23からログ管理端末31に送信されてくるパケットを監視する監視センター装置35が接続されている。そして、ネットワークD40は、ネットワークA10又はネットワークB20とネットワークC30とを接続する機能を有しており、ネットワークA10又はネットワークB20からネットワークC30への通信はネットワークD40を経由して行われる。
ネットワークC30の監視センター装置35は、ネットワークA10、B20の監視装置15、25に対し制御コマンド要求によって、送信されてくるログデータの欠落を検知する処理に必要なデータを要求し、その要求に応じて監視装置15、25から送信されてくるデータに基づいてログデータ欠落検知処理を実行する。監視装置15、25は、上記監視センター装置35からの制御コマンド要求に対して必要なデータを監視装置15、25内のデータ記憶部(図2参照)から読出し、制御コマンド返信を行う。
ネットワークA10の監視装置15は、ログ監視対象端末11,12から送信されるパケットを監視できる位置、ネットワークB20の監視装置25は、ログ監視対象端末21〜23から送信されるパケットを監視できる位置、例えば、ネットワークスイッチのミラーリングポート(データの入出力をそのまま得られるように設定されたポート)等に接続されており、各ログ監視対象端末から送信されるパケットを監視している。監視装置15、25には、予め監視装置内にIPアドレス、送信先ポート番号等のログ監視対象端末11,12、21〜23に関する識別情報が設定されている。この識別情報に基づいて、監視したパケット(各ログ監視対象端末から送信されたパケット)を監視装置15、25内に設けられているデータベースに記憶する。また、監視装置15、25は、監視したパケットを入力としてハッシュ値を計算し、その値も合わせてデータベースに記憶している。
ログ管理端末31側のネットワークC30の監視センター装置35は、ログ監視対象端末11,12、21〜23からログ監理端末31に送信されてくるパケットを監視できる位置、例えば、ネットワークスイッチのミラーリングポート等に接続されており、ログ監視端末31に送信されてくるパケットを監視している。監視センター装置35には、予め監視センター装置内にIPアドレス、送信先ポート番号等のログ監視対象端末11,12、21〜23に関する識別情報が設定されている。この識別情報に基づいて、監視したパケット(ログ管理端末に送信されてきたパケット)を監視センター装置35内に設けられているデータベースに記憶する。また、監視センター装置35は、監視したパケットを入力としてハッシュ値を計算し、その値も合わせてデータベースに記憶している。
また、監視センター装置35は、監視対象のログ監視対象端末11,12、21〜23のいずれかのログ監視対象端末に関する監視データリスト(送信側監視データリスト)を、上記識別情報に基づいて監視装置15又は25へ要求する。監視装置15又は25は、その要求に応じたログ監視対象端末の監視データリスト(例えば、監視データリストLAとする)を監視センター装置35に送信する。ここで、監視データリストとは、パケットデータを入力として計算し求められたハッシュ値のリストのことをいう。
さらに、監視センター装置35は、監視センター装置内のデータベースに記憶されたデータから監視データリストLC(パケットデータを入力として計算し求められたハッシュ値のリスト)を作成する。そして、この監視データリスト(受信側監視データリスト)LCのハッシュ値と上記監視装置15又は25から送信された監視データリスト(受信側監視データリスト)LAのハッシュ値とを比較する。比較の結果、監視データリストLAに存在して、監視データリストLCに存在しないハッシュ値が検出された場合には、監視センター装置35は、その存在しないハッシュ値の基となったパケットデータを欠落したパケットであると判断し、そのパケットデータを監視装置15又は25に要求する。
要求を受けた監視装置15又は25は、その要求されたパケットデータを監視センター装置へ送信する。そのパケットデータを受信した監視センター装置35は、そのパケットデータのハッシュ値を計算すると共に比較し、自己が要求したパケットデータと合致するか否かを確認する。そして、合致すると確認された場合には、ログ管理端末31へそのパケットデータを送信する。
監視データリストLAにリストされているデータは以下のように処理される。
(1)監視データリストLAに存在するハッシュ値が、監視データリストLCにも存在している場合には、そのハッシュ値を有するパケットは、ログ監視対象端末11,12、21〜23からログ管理端末間のネットワークを正常に到達したと判断され、本装置15、25、35における処理は実行されない。
(2)監視データリストLAに存在するハッシュ値が、監視データリストLCに存在しない場合には、そのハッシュ値を有するパケットは、ログ監視対象端末11,12、21〜23からログ管理端末間のネットワークで欠落した(例えば、廃棄された)と判断される。この場合、監視センター装置35側から監視装置15又は25に対して、欠落したハッシュ値を有するパケットデータを送信するように要求される。監視センター装置35は、その要求に対する返信データからパケットデータを抽出し、ログ管理端末31へ送信する。
(3)監視データリストLAに存在しないハッシュ値が、監視データリストLCに存在する場合には、監視センター装置35側から要求するログデータの範囲外のデータ、即ち、監視データリストLAの範囲外のハッシュ値が存在している可能性があるため、次タイミングのログデータ欠落検出処理において、同じログデータ欠落検出処理を再度、実行して判断する。
以上により、監視装置15又は25の監視データリストと監視センター装置35の監視データリストとを比較することによりパケットの欠落の有無を検知する。そして、パケットが欠落していると検知された場合には、その欠落したパケットを監視装置15又は25から入手し、入手したパケットをログ管理端末31へ送信する。これにより、ログデータの欠落検知と欠落したログデータの補完を実現することができる。
次に、図2に基づいて、監視センター装置35の内部構成を説明する。
設定情報部115は予め設定された監視センター装置の各情報が記録されている情報部であり、具体的には、ログ監視対象端末11,12、21〜23の識別情報(IPアドレス、ポート番号等)、ログデータ欠落検知処理部112が動作を開始するタイマー情報、及びログ欠落検知処理を実行するログデータの個数等が記述されている。
監視系LANインタフェース101は、ログ管理端末31に送信されてくるログデータを受信する機能を有しており、送信されてくるログデータが監視できる位置、例えば、スイッチのミラーリングポート等に接続されている。
パケット監視処理部103は、受信したログデータのパケットを判別する監視パケットフィルタ処理部104と、ハッシュ値を算出する監視データリスト作成処理部105とを含み構成されている。監視パケットフィルタ処理部104は、設定情報115に予め設定されているログ監視対象端末11,12、21〜23のIPアドレスやポート番号等の識別子を用いて監視系LANインタフェース101で受信したパケットを検査し、検査したパケットがデータ記憶部106に格納すべきデータ(ログ監視対象のパケット)であるか否かを判別する。尚、ログ監視の対象ではないパケットはここで廃棄される。
ログ監視の対象であると判別されたパケットは、監視データリスト作成処理部105に送られる。監視データリスト作成処理部105は、パケットのIPヘッダ以下を入力として、SHA−1、SHA−2等のハッシュ計算アルゴリズム関数を用いてハッシュ値を計算する。
データ記憶部106は、パケット監視処理部103で処理されたデータを格納する記憶部であり、受信した順番を示す受信インデックス番号と実データ(ハッシュ値に変換されていないログ監視対象のパケットのデータ)を実データ記憶部107に、受信インデックス番号とハッシュ値を監視データリスト記憶部108へ格納する。
制御系LANインタフェース102は、コマンド制御処理部109からの要求コマンドを監視装置15又は25へ送信する機能を有するほか、監視装置15又は25側から返信されてくる返信コマンドをコマンド制御処理部109へ送る機能を有している。
コマンド制御処理部109は、後述する監視データリスト要求コマンド処理部111、監視データ削除要求コマンド処理部113、欠落データ要求コマンド処理部114からの要求コマンドを制御系LANインタフェース102へ送る機能、それぞれの要求コマンドに対する返信コマンドを各コマンド処理部111、113、114へ送る機能を有している。
ログデータ欠落検知処理部112は、設定情報115に記述されているタイマー情報に基づき起動し、監視装置15又は25に対して行う監視データ要求コマンドの送信要求を監視データリスト要求コマンド処理部111に対して実行する。
監視データリスト要求コマンド処理部111は、監視装置15又は25が保持している監視データリストを要求するコマンドを作成し、作成した要求コマンドをコマンド制御部109へ送る。また、監視データリスト要求コマンド処理部111は、コマンド制御部109から返信されてくる監視データリスト返信コマンドを受信した後、そのコマンド内から監視データリストを抽出し、抽出した監視データリストをログデータ欠落検知処理部112へ送る。
ログデータ欠落検知処理部(監視データリスト比較処理部)112は、監視データリスト要求コマンド処理部111から送られた監視装置15又は25側の監視データリストと、自装置(監視センター装置35)内の監視データリスト記憶部108から読み出した監視データリストとの比較処理(監視データリスト比較処理)を行い、送信されてきた監視データリストに欠落がないか否かのログデータ欠落検知処理を実行する。そして、ログデータ欠落検知処理によって欠落しているログデータを検知した場合には、その欠落していると判断されたログデータを欠落データ要求コマンド処理部114へ送る。
また、ログデータ欠落検知処理部112は、ログデータ欠落検知処理において、監視センター装置35側の監視データリストの中に監視装置15又は25側の監視データリストに存在しないログデータを確認した場合には、その確認されたログデータを削除する要求コマンドを監視データ削除要求コマンド処理部113に送る。
欠落データ要求コマンド処理部114は、ログデータ欠落検知処理部112からの要求に応じて欠落データ要求コマンドを作成し、その作成したコマンドをコマンド制御部109へ送る。また、欠落データ要求コマンド処理部114は、コマンド制御部109から返信されてきた欠落データ返信コマンドを受信した後に、受信した欠落データの中から実データを抽出し、抽出した実データを欠落データ送信処理部110へ送る。
欠落データ送信処理部110は、欠落データ要求コマンド処理部114から送られた実データを制御系LANインタフェース102へ送る。制御系LANインタフェース102は、欠落データ送信処理部110から送られた実データをログ管理端末31へ送信する。
監視データ削除要求コマンド処理部113は、ログデータ欠落検知処理部112からの要求に応じて監視データ削除要求コマンドを作成し、その作成したコマンドをコマンド制御部109へ送る。また、監視データ削除要求コマンド処理部113は、コマンド制御部109から返信されてきた監視データ削除完了コマンドを受信した後、実データ記憶部107及び監視データリスト記憶部108に記憶されているデータの中から該当するログデータを削除する。
次に、図3に基づいて、監視装置15、25の内部構成を説明する。
設定情報部213は予め設定された監視装置の各情報が記録されている情報部であり、具体的には、ログ監視対象端末11,12、21〜23の識別情報(IPアドレス、ポート番号等)等が記述されている。
監視系LANインタフェース201は、ログ監視対称端末11,12、21〜23からログ管理端末31に送信されるログデータを受信する機能を有しており、送信されてくるログデータを監視できる位置、例えば、スイッチのミラーリングポート等に接続されている。
パケット監視処理部203は、受信したログデータのパケットを判別する監視パケットフィルタ処理部204と、ハッシュ値を算出する監視データリスト作成処理部205とを含み構成されている。監視パケットフィルタ処理部204は、設定情報213に予め設定されているログ監視対象端末11,12、21〜23のIPアドレスやポート番号等の識別子を用いて監視系LANインタフェース201で受信したパケットを検査し、検査したパケットがデータ記憶部206に格納すべきデータ(ログ監視対象のパケット)であるか否かを判別する。尚、ログ監視の対象ではないパケットはここで廃棄される。
ログ監視の対象であると判別されたパケットは、監視データリスト作成処理部205に送られる。監視データリスト作成処理部205は、パケットのIPヘッダ以下を入力として、SHA−1、SHA−2等のハッシュ計算アルゴリズム関数を用いてハッシュ値を計算する。
データ記憶部206は、パケット監視処理部203で処理されたデータを格納する記憶部であり、受信インデックス番号と実データ(ハッシュ値に変換されていないログ監視対象のパケットのデータ)を実データ記憶部207に、受信インデックス番号とハッシュ値を監視データリスト記憶部208に格納する。
制御系LANインタフェース202は、監視センター装置35から送信された要求コマンドをコマンド制御処理部209へ送る機能を有するほか、要求コマンドに対するコマンド制御処理部209からの返信コマンドを監視センター装置35へ送信する機能を有している。
コマンド制御処理部209は、後述する監視データリスト要求コマンド返信処理部210、監視データ削除要求コマンド返信処理部211、欠落データ要求コマンド返信処理部212からの要求コマンドを制御系LANインタフェース202へ送る機能、及びそれぞれの要求コマンドに対する返信コマンドを各コマンド返却処理部210、211、212へ送る機能を有している。
監視データリスト要求コマンド返信処理部210は、監視センター装置35から送信された監視データリスト要求コマンドを受信した後、この要求コマンドを分析して、指定・要求されたログデータに関する監視データリストを監視データリスト記憶部208から読み出す。その後、読み出した監視データリストを含んだ監視データリスト返信コマンドを作成し、作成したこの返信コマンドをコマンド制御処理部209に送る。
監視データ削除要求コマンド返信処理部211は、監視センター装置35から送信された監視データ削除要求コマンドを受信した後、この要求コマンドを分析して、指定・要求されたログデータに関する監視データリストを監視データリスト記憶部208から削除する。併せて、指定・要求されたログデータに関する実データを実データ記憶部207から削除する。また、データの削除完了後に、監視データ削除返信コマンドを作成し、作成したこの返信コマンドをコマンド制御処理部209に送る。
欠落データ要求コマンド返信処理部212は、監視センター装置35から送信された欠落データ要求コマンドを受信した後、この要求コマンドを分析して、指定・要求されたログデータに関する実データを実データ記憶部207から読み出す。そして、読み出した実データを含んだ欠落データ返信コマンドを作成し、作成したこの返信コマンドをコマンド制御処理部209に送る。
次に、図4に基づいて、ログデータの欠落を検知する基本動作シーケンスについて説明する。尚、ここでは図1に示す監視装置15と監視センター装置35との間でログデータ欠落検知処理を実行する場合について説明する。
ログ監視対象端末11からログ管理端末31にログデータが送信されている。この送信は定期的なものではなく不定期に行われる。ログデータがネットワークA10からネットワークC30に到達するためには、ネットワークD40を経由するものとする。即ち、ログ監視対象端末とログ管理端末との間の通信は、両端末がそれぞれ接続されているネットワークにそれぞれ接続された別のネットワークを経由して行われている。
ログ監視対象端末11から送信されたログデータは、同じネットワークA10に接続されている監視装置15によってそのトラフィックが常時監視されており、監視されたログデータは監視装置15内のデータ記憶部206に蓄積されている(ステップS101)。
また、ログ監視対象端末11からログ管理端末31へ送信されたログデータは監視センター装置35によってそのトラフィックが常時監視されており、監視されたログデータは監視センター装置35内のデータ記憶部106に蓄積されている(ステップS102)。
ログ監視対象端末11から送信されたログデータの一部がネットワークD40の経路上で欠落し、ネットワークC30に接続されているログ管理端末31に到達しなかった場合(ステップS103)、以下の順序でログデータ欠落検知処理が実行される。
先ず、監視センター装置35においてログデータの欠落検知処理が開始される(ステップS104)。監視センター装置35は“監視データリスト要求コマンド”を監視装置15へ送信する。
監視センター装置35からの上記要求コマンドを受信した監視装置15は、監視データリストの返却処理を行う(ステップS105)。監視装置15は、要求された監視データリストを自装置内のデータ記憶部206から読み出し、読み出したデータを含む“監視データリスト返信コマンド”を作成して、それを監視センター装置35へ送信する。
続いて、監視センター装置35は、自装置内のデータ記憶部106から監視データリストを読み出すと共に、当該読み出した監視データリストと上記ステップS105で返信されてきた監視装置15の監視データリストとを比較してログデータに欠落があるか否かのログデータ欠落検知処理を実行する(ステップS106)。
ステップS106の結果、ログデータ欠落ありと判別された場合(分岐YESの場合)には、監視センター装置15は、“欠落データ要求コマンド”作成しその要求コマンドを監視装置15へ送信する。これに対して、ステップS106の結果、ログデータ欠落なしと判別された場合(分岐NOの場合)には、“監視データ削除要求コマンド”を作成しその要求コマンドを監視装置15に送信する。
監視センター装置15からの欠落データ要求コマンドを受信した監視装置15は、欠落データの返却処理を行う(ステップS107)。監視装置15は、要求された欠落データを自装置内のデータ記憶部206から読み出し、読み出したデータを含む“欠落データ返信コマンド”を監視センター装置35に返信する。
監視センター装置35は、返信されてきた欠落データ返信コマンドから欠落データを抽出する(ステップS108)。監視センター装置35は、抽出した欠落データをログ管理端末31へ送信する。欠落データの送信後にステップS106に戻り、ログデータに欠落があるか否かの検知処理を実行する。
上記したようにステップS106の結果、ログデータ欠落なしと判別された場合には、監視センター装置35は、“監視データ削除要求コマンド”を作成し、その要求コマンドを監視装置15に送信する。
監視装置15は、監視センター装置35から要求された監視データを自装置内のデータ記憶部206から削除する(ステップS109)。監視装置15はデータを削除した後に、監視データ削除返信コマンドを監視センター装置35に送信する。
監視センター装置35は、監視装置15に対して削除要求したデータと同じデータを自装置内のデータ記憶部106から削除する(ステップS110)。
以上でログデータ欠落検知の一連の動作を終了し、次のログデータ欠落検知処理開始時間になったら、再びステップS104からの処理動作を実行する。
次に、図4に示す動作手順における監視装置15(25)及び監視センター装置35の各内部処理について説明する。
図5は、自装置内に装備するデータ記憶部106、206に監視対象のログデータを格納する処理のフローチャートを示している。この格納処理は監視装置15と監視センター装置35とで共通の処理内容である。以下、監視装置15を例にとって説明する。
監視系LANインタフェース201で受信された監視データをここでデータD1とおく。データD1は、受信したパケットのIPヘッダ以下のデータ(パケットD1)であるとする。パケットD1の受信によりこの処理が開始される(ステップS201)。
パケット監視処理部203は、受信したデータD1が監視対象データであるか否かを、予め設定されているログ監視対象端末11,12の識別情報(IPアドレス、ポート番号等)に基づいて判別する(ステップS202)。データD1を監視対象データではないと判別した場合、パケット監視処理部203はデータD1を廃棄する(ステップS203)。
これに対して、データD1を監視対象データであると判別した場合には、パケット監視処理部203は、データD1を入力とするハッシュ値H(D1)を算出する(ステップS204)。ここで、ハッシュ値を算出するために使用するハッシュ関数は、SHA−1、SHA−2等の既知のアルゴリズムを使用することができる。あるいは、独自に考案したアルゴリズムを使用してもよい。但し、監視装置15(25)と監視センター装置35とで使用するハッシュ関数は同じアルゴリズムを使用しなければならない。
パケット監視処理部203は、データD1と算出したハッシュ値H(D1)とを、データ記憶部206の実データ記憶部207と監視データリスト記憶部208とに格納する(ステップS205)。
図6は、データ記憶部206に格納されたデータD1とハッシュ値H(D1)を示す。データ記憶部と監視データリストのデータベーステーブル構造である。データテーブルは、監視対象IPアドレス207Aとポート番号207Bの組み合わせ毎に保持される。順序番号208Aは、監視装置15、25または監視センター装置35が受信したパケットの順番を示している。順序番号とデータ番号(D1、2、3・・・)が相違するのは、監視装置15、25側のネットワークから送信されたパケットの順番と、監視センター装置35側のネットワークに到達するパケットの順番とは異なる可能性があるためである。
データ記憶部206は、実データ記憶部207と、監視データリスト記憶部208とから構成されている。また、監視対象となる監視対象端末15のIPアドレス207A、ポート番号207B、データD1(IPヘッダ以降のデータ)207C、受信した順番を示すインデックス番号208A、及びハッシュ値H(D1)208Bの組み合わせを格納している。
ここで、監視データリストとは、データ記憶部から監視データリスト記憶部のデータを読み出したリストである。
以降の処理においても制御コマンドの送受信が発生するが、制御コマンドに関する通信は、すべて監視センター装置35の制御系LANインタフェース102と、監視装置15の制御系LANインタフェース202の間で送受信が行われる。
また、監視センター装置35から送信される制御コマンドの送受信状態により、ログデータ欠落検知処理は状態遷移するが、その状態リストは図7に示すとおりである。尚、監視装置15は、監視センター装置35からの制御コマンド(要求コマンド)に対してそれぞれ適切な処理を実行した後にその返信コマンドを送信するのみであり、状態遷移は発生しない。
図8は、監視センター装置35におけるログデータ欠落検知の処理開始時のフローチャートである。
監視センター装置35においてログデータ欠落検知処理を実行する時間になったとき、ログデータ欠落検知処理部112は監視データリスト要求コマンドの処理を開始する(ステップS301)。この処理は、図4におけるステップS104に該当する。尚、ログデータ欠落検知処理の開始時間のタイミングはタイマー処理等を用いることができる。
処理が開始されると、ログデータ欠落検知処理自体の状態遷移が発生し、“イベント待ち(状態E)”から“監視データリスト要求コマンドを送信可能状態(状態A0)”に遷移する(ステップS302:状態遷移は図7参照)。
続いて、監視センター装置35は、要求する監視データリストの監視対象ログデータのレコード個数Xを指定する。そして、監視データリストLAを要求する“監視データリスト要求コマンド”を作成し監視装置15又は25へ送信する(ステップS303)。
これにより、ログデータ欠落検知処理の状態遷移が発生し、“監視データリスト要求コマンドを送信可能状態(状態A0)”から“監視データリスト返信受信待ち(状態A1)”に遷移する(ステップS304)。
図9は、監視データリスト要求コマンドに対する監視装置15(25)の返信処理のフローチャートである。
監視センター装置35からの“監視データリスト要求コマンド”を受信したとき、監視装置15(25)は返信処理を開始する(ステップS401)。
受信した“監視データリスト要求コマンド”を分析し、そのコマンド中に記述されている要求データのX個のデータについて監視データリスト記憶部208からデータを読出し、監視データリストLAを作成する(ステップS402)。この処理は、図4におけるステップS105に該当する。
続いて、監視装置15(25)は、監視データリストLAを含む“監視データリスト返信コマンド”を作成し、作成したこの返信コマンドを監視センター装置35へ送信する(ステップS403)。
図10は、監視センター装置35における監視データリスト返信コマンド処理のフローチャートである。
この処理は、監視センター装置35が監視装置15(25)からの“監視データリスト返信コマンド”を受信したときに開始される。監視センター装置35は受信した“監視データリスト返信コマンド”を分析し、返信コマンドの中から監視データリストLAを抽出する(ステップS312)。
続いて、抽出した監視データリストLAに基づいて、データ比較欠落検知処理が開始される(ステップS313)。
図11は、監視センター装置35における監視データリストの比較による欠落検知処理のフローチャートである。
データ比較欠落検知処理では、監視装置15(25)から取得した監視データリストLAと監視センター装置35内に格納されている監視データリストLCとの比較処理が実行される(ステップS313)。
監視装置15(25)の監視データリストLA220は、n個のレコードを有しており、ハッシュ値をH(AX)、X=1〜nとする(ステップS321、322)。これに対して、監視センター装置35の監視データリストLC120は、m個のレコードを有しており、ハッシュ値をH(CY)、Y=1〜mとする(ステップS323、324)。
X=1〜nに対して、式H(AX)==H(CY)(Y=1〜m)を評価する(ステップS325、326)。
H(AX)に等しいハッシュ値が監視データリストLC中に見つからなかった場合には、H(AX)を欠落したデータであると判定して“欠落データ要求コマンド”に書き込む(ステップS327)。そして欠落データ要求フラグを有効(ON)にする(ステップS328)。
上記の処理をX=1〜nに対して繰り返し実行することにより、“欠落データ要求コマンド”には、監視データリストLAに存在して監視データリストLCに存在しないデータのハッシュ値が書き込まれることになる(ステップS329〜332)。この処理によって、ネットワークAに接続されている監視装置15によって監視されたログデータが、ネットワークCに接続されている監視センター装置35によっては監視されなかったと判定し、ログデータが欠落したと判定する。
監視データリストトLAと監視データリストLCとの比較処理を終了した後において、欠落データ要求送信フラグが有効(ON)か否かの判定を行う(ステップS333)。判定の結果、欠落データ要求送信フラグが有効(ON)の場合には、“欠落データ要求コマンド”を作成し、作成したこの要求コマンドを監視センター装置35から監視装置15へ送信する(ステップS334)。これによりログデータ欠落検知処理の状態遷移が発生し、“監視データリスト返信受信待ち(状態A1)”から“欠落データ返信 受信待ち(状態B)”に遷移する(ステップS335)。
これに対してステップS333の判定結果、欠落データ要求フラグが無効(OFF)の場合には、ステップS312(図10)の処理で取得している監視データリストLAに含まれるデータと同じデータに対する“監視データ削除要求コマンド”を作成し、監視センター装置35から監視装置15へ送信する(ステップS336)。これによりログデータ欠落検知処理の状態遷移が発生し、“監視データリスト返信受信待ち(状態A1)”から“監視データ削除返信 受信待ち(状態C)”に遷移する(ステップS337)。
図12は、欠落データ要求コマンドに対する監視装置15(25)の返信処理のフローチャートである。
この処理は、監視装置15(25)が、監視センター装置35からの“欠落データ要求コマンド”を受信したときに処理が開始される(ステップS411)。
監視装置15(25)は、受信した“欠落データ要求コマンド”を分析し、分析したこの要求コマンドからハッシュ値を抽出して、要求されたハッシュ値を有するログデータを実データ記憶部207から読み出す。さらに要求されているログデータを全て読み出す(ステップS412)。
続いて、監視装置15(25)は、読み出したデータから“欠落データ返信コマンド”を作成し、作成した“欠落データ返信コマンド”を監視センター装置35へ送信する(ステップS413)。この処理は図4のステップS107に該当する。
図13は、監視センター装置35における欠落データ送信処理のフローチャートである。
この処理は、監視センター装置35が監視装置15(25)から“欠落データ返信コマンド”を受信したときに開始される(ステップS341)。受信した“欠落データ返信コマンド”を分析し、分析したこの返信コマンドからログデータDを抽出する(ステップS343)。この処理は図4のステップS108に該当する。
監視センター装置35は、抽出したログデータDをログ管理端末31へ送信する(ステップS344)。欠落データ返信コマンド内にある全ての欠落データをログ管理端末31に送信したか判別し、送信していない場合には、再度、欠落データ返信コマンドからログデータDを抽出しログ管理端末31へ送信する処理を繰り返す(ステップS342からS345)。
欠落データ返信コマンドに含まれている全てのログデータをログ管理端末31に送信し終えたら、ステップS312(図10)で取得した監視データリストLAに含まれるデータと同じデータに対する“監視データ削除要求コマンド”を作成し、作成したこの削除要求コマンドを監視センター装置35から監視装置15(25)へ送信する(ステップS346)。これによりログデータ欠落検知処理の状態遷移が発生し、“欠落データ返信受信待ち(状態B)”から“監視データ削除返信 受信待ち(状態C)”に遷移する(ステップS347)。
図14は、監視データ削除要求コマンドに対する監視装置15(25)の返信処理のフローチャートである。
この処理は、監視装置15(25)が監視センター装置35からの“監視データ削除要求コマンド”を受信したときに開始される(ステップS421)。
監視装置15(25)は、受信した“監視データ削除要求コマンド”を分析し、削除の要求をされているログデータをデータ記憶部206から削除する(ステップS422)。この処理は図4のステップS109に該当する。
続いて、監視装置15(25)は、“監視データ削除返信コマンド”を作成し、作成したこの削除返信コマンドを監視センター装置35へ送信する(ステップS423)。
図15は、監視センター装置35における監視データ削除処理のフローチャートである。
この処理は、監視センター装置35が、監視装置15(25)から監視データの削除を完了したことを示す“監視データ削除返信コマンド”を受信したときに開始される(ステップS423)。
監視センター装置35は、ステップS336(図11)及びステップS346(図13)の処理における“監視データ削除要求コマンド”で監視装置15(25)に対して削除要求したログデータと同じデータを監視センター装置35内のデータ記憶部106から削除する(ステップS352)。この処理は図4のステップS110に該当する。
これによりログデータ欠落検知処理の状態遷移が発生し、“監視データ削除返信 受信待ち(状態C)”から“イベント待ち(状態E)”に遷移する(ステップS353)。
以上の処理をログデータ欠落検知処理のタイミングにより繰り返すことにより、ログ監視対象端末11,12、21〜23からログ管理端末31へのログデータの到達性を保証できる。
このような構成を有する実施形態によれば、UDPを使用してログ管理を行っているシステムにおいて既存ネットワークへのトラフィックの増加を抑えつつログデータの到達性を保証することができる。これは、監視装置および監視センター装置によってログデータに関する通信を監視し、それぞれの装置におけるログデータの監視状況を比較して、ログデータの欠落検知処理を実行しているからである。また、ログデータのサイズは大小様々でありログデータ欠落検知処理時に実ログデータを送受信すると過大なトラフィックが発生してしまうため、本実施形態ではデータ比較にハッシュ値を用いており、これにより監視装置と監視センター装置間のトラフィックを抑制できるからである。そして、欠落したデータのみ(必要なデータのみ)を監視装置から取得し、そのログデータをログ管理端末へ送信してログデータを補完しているからである。
また、既存のログ管理システムへの通信方法やネットワーク構成の変更が困難な場合、あるいは、監視しているログ監視対象端末の台数が非常に多いログ管理システムを使用している場合にその導入コスト削減を期待することができる。これは、監視装置はログ監視対象端末の通信を監視できる位置に、監視センター装置はログ管理端末の通信を監視できる位置にそれぞれ接続するだけでよく、既存のログ監視対象端末およびログ管理端末の通信方法の変更やネットワーク構成の変更の必要がないため、システム管理者の作業を軽減することができるからである。
ここで、本発明の実施の形態に係るネットワーク用通信管理装置の各構成部分が実行する機能の一部又は全部を他の実現方式としてプログラム化し、そのプログラムをコンピュータに実行させるようにしてもよい。その場合にも上記実施の形態で記載した効果と同様の効果を得ることができる。
上述した各実施形態については、その新規な技術的内容の要点をまとめると、以下のようになる。尚、上記実施形態の一部又は全部は、新規な技術として以下のようになるが、本発明は必ずしもこれに限定されるものではない。
(付記1)ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムであって、
前記ログ監視対象端末が接続されているネットワークの当該ログ監視対象端末が送信するログデータのパケットを監視できる位置に接続される監視装置と、
前記ログ管理端末が接続されているネットワークの当該ログ管理端末が受信するログデータのパケットを監視できる位置に接続される監視センター装置とを備え、
前記監視センター装置は、
前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較処理部と、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記ログ管理端末に送信する欠落データ送信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
(付記2)付記1に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
さらに、前記監視センター装置は、
前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求する監視データリスト要求コマンド処理部と、
前記パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視装置に対して要求すると共に、当該要求に応じて前記監視装置から返信された欠落パケットを受信し当該受信した欠落パケットを前記欠落データ送信処理部に送信する欠落データ要求コマンド処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
(付記3)付記2に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記監視装置は、
前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出すと共に当該読み出した送信側監視データリストを前記監視センター装置に返信する監視データリスト要求コマンド返信処理部と、
前記欠落データ要求コマンド処理部から要求される欠落パケットを予め記憶しておいた記憶部から読み出すと共に当該読み出した欠落パケットを前記監視センター装置に返信する欠落データ要求コマンド返信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
(付記4)付記1から3のいずれか1つに記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記監視装置及び監視センター装置は、前記各ネットワークに設けられたネットワークスイッチのミラーリングポートに接続されていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
(付記5)付記1から4のいずれか1つに記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記送信側監視データリスト及び受信側監視データリストは、前記ログ監視対象端末が送信したパケットのデータ及び前記ログ管理端末が受信したパケットのデータを入力として算出したハッシュ値のリストであり、当該ハッシュ値を算出するための監視データリスト作成処理部が前記監視装置及び監視センター装置に設けられていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
(付記6)ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末が接続されているネットワークに接続された監視装置が、当該ログ監視対象端末から送信されるログデータのパケットを監視し、
前記ログ管理端末が接続されているネットワークに接続された監視センター装置が、前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視し、
前記監視センター装置に装備された監視データリスト比較処理部が、前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、前記監視センター装置に装備された欠落データ送信処理部が、当該欠落したパケットを前記ログ管理端末に送信するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。
(付記7)付記6に記載のログデータ欠落検知用のネットワーク管理方法において、
前記監視センター装置に装備された監視データリスト要求コマンド処理部が、前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記監視装置に対して要求し、当該要求に応じて前記監視装置から返信された欠落したパケットを前記欠落データ送信処理部に送信する、当該要求、及び送信の各処理動作を前記監視センター装置に装備された欠落データ要求コマンド処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。
(付記8)付記7に記載のログデータ欠落検知用のネットワーク管理方法において、
前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出し、当該読み出した送信側監視データリストを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された監視データリスト要求コマンド返信処理部が実行し、
前記欠落データ要求コマンド処理部から要求される欠落したパケットを予め記憶しておいた記憶部から読み出し、当該読み出した欠落したパケットを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された欠落データ要求コマンド返信処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。
(付記9)ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視するログ管理端末パケット監視機能、
前記監視装置が監視した前記ログ監視対象端末から送信されるログデータのパケットからなる送信側監視データリストと前記監視センター装置が監視した前記ログ管理端末に受信されたパケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較判定機能、
前記監視データリスト比較判定機能による比較判定の結果、パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視センター装置に要求し当該監視センター装置から送信されてきた前記欠落したパケットを前記ログ管理端末に送信する欠落データ送信機能を設け、
これらの機能をコンピュータに実現させるようにしたことを特徴とするログデータ欠落検知用のネットワーク管理プログラム。
例えば、UDPを使用したログ管理システム等のデータ到達性を保証する必要があるシステムへの用途に利用可能である。
1 (ログデータの欠落を検知する)ネットワーク管理システム
10 ネットワークA
11,12,21〜23 ログ監視対称端末
15,25 監視装置
20 ネットワークB
30 ネットワークC
31 ログ管理端末
35 監視センター装置
40 ネットワークD
103,203 パケット監視処理部
106,206 データ記憶部
112 ログデータ欠落検知処理部(監視データリスト比較処理部)

Claims (9)

  1. ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムであって、
    前記ログ監視対象端末が接続されているネットワークの当該ログ監視対象端末が送信するログデータのパケットを監視できる位置に接続される監視装置と、
    前記ログ管理端末が接続されているネットワークの当該ログ管理端末が受信するログデータのパケットを監視できる位置に接続される監視センター装置とを備え、
    前記監視センター装置は、
    前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較処理部と、
    前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記ログ管理端末に送信する欠落データ送信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
  2. 請求項1に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
    さらに、前記監視センター装置は、
    前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求する監視データリスト要求コマンド処理部と、
    前記パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視装置に対して要求すると共に、当該要求に応じて前記監視装置から返信された欠落パケットを受信し当該受信した欠落パケットを前記欠落データ送信処理部に送信する欠落データ要求コマンド処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
  3. 請求項2に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
    前記監視装置は、
    前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出すと共に当該読み出した送信側監視データリストを前記監視センター装置に返信する監視データリスト要求コマンド返信処理部と、
    前記欠落データ要求コマンド処理部から要求される欠落パケットを予め記憶しておいた記憶部から読み出すと共に当該読み出した欠落パケットを前記監視センター装置に返信する欠落データ要求コマンド返信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
  4. 請求項1から3のいずれか1項に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
    前記監視装置及び監視センター装置は、前記各ネットワークに設けられたネットワークスイッチのミラーリングポートに接続されていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
  5. 請求項1から4のいずれか1項に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
    前記送信側監視データリスト及び受信側監視データリストは、前記ログ監視対象端末が送信したパケットのデータ及び前記ログ管理端末が受信したパケットのデータを入力として算出したハッシュ値のリストであり、当該ハッシュ値を算出するための監視データリスト作成処理部が前記監視装置及び監視センター装置に設けられていることを特徴とするログデータ欠落検知用のネットワーク管理システム。
  6. ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
    前記ログ監視対象端末が接続されているネットワークに接続された監視装置が、当該ログ監視対象端末から送信されるログデータのパケットを監視し、
    前記ログ管理端末が接続されているネットワークに接続された監視センター装置が、前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視し、
    前記監視センター装置に装備された監視データリスト比較処理部が、前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定し、
    前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、前記監視センター装置に装備された欠落データ送信処理部が、当該欠落したパケットを前記ログ管理端末に送信するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。
  7. 請求項6に記載のログデータ欠落検知用のネットワーク管理方法において、
    前記監視センター装置に装備された監視データリスト要求コマンド処理部が、前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求し、
    前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記監視装置に対して要求し、当該要求に応じて前記監視装置から返信された欠落したパケットを前記欠落データ送信処理部に送信する、当該要求、及び送信の各処理動作を前記監視センター装置に装備された欠落データ要求コマンド処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。
  8. 請求項7に記載のログデータ欠落検知用のネットワーク管理方法において、
    前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出し、当該読み出した送信側監視データリストを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された監視データリスト要求コマンド返信処理部が実行し、
    前記欠落データ要求コマンド処理部から要求される欠落したパケットを予め記憶しておいた記憶部から読み出し、当該読み出した欠落したパケットを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された欠落データ要求コマンド返信処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。
  9. ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
    前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視するログ管理端末パケット監視機能、
    前記監視装置が監視した前記ログ監視対象端末から送信されるログデータのパケットからなる送信側監視データリストと前記監視センター装置が監視した前記ログ管理端末に受信されたパケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較判定機能、
    前記監視データリスト比較判定機能による比較判定の結果、パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視センター装置に要求し当該監視センター装置から送信されてきた前記欠落したパケットを前記ログ管理端末に送信する欠落データ送信機能を設け、
    これらの機能をコンピュータに実現させるようにしたことを特徴とするログデータ欠落検知用のネットワーク管理プログラム。
JP2010118099A 2010-05-24 2010-05-24 ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム Active JP5454355B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010118099A JP5454355B2 (ja) 2010-05-24 2010-05-24 ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010118099A JP5454355B2 (ja) 2010-05-24 2010-05-24 ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム

Publications (2)

Publication Number Publication Date
JP2011248433A true JP2011248433A (ja) 2011-12-08
JP5454355B2 JP5454355B2 (ja) 2014-03-26

Family

ID=45413655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010118099A Active JP5454355B2 (ja) 2010-05-24 2010-05-24 ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム

Country Status (1)

Country Link
JP (1) JP5454355B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017163231A (ja) * 2016-03-07 2017-09-14 富士通株式会社 パケット検証プログラム、パケット検証装置、およびパケット検証方法
WO2020059532A1 (ja) * 2018-09-20 2020-03-26 日本電信電話株式会社 ネットワークサービスシステム、イベントログ記録装置、イベントログ管理方法、及びプログラム
JP2022128404A (ja) * 2021-02-22 2022-09-01 株式会社日立製作所 データパケット管理方法およびコンピュータプログラム

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05298215A (ja) * 1992-04-20 1993-11-12 Fujitsu Ltd 欠落データ検出再送方法
JPH1056479A (ja) * 1996-08-12 1998-02-24 Nippon Telegr & Teleph Corp <Ntt> パケット通信方式
JPH11187017A (ja) * 1997-12-22 1999-07-09 Nri & Ncc Co Ltd 欠落データの自動回復処理を行う複数局同時配信システム及びその配信方法
JP2006085623A (ja) * 2004-09-17 2006-03-30 Toshiba Corp Web監視システム、データ処理方法、および被監視装置
JP2007081454A (ja) * 2005-09-09 2007-03-29 Oki Electric Ind Co Ltd 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
JP2008530903A (ja) * 2005-02-08 2008-08-07 ソニー株式会社 ハンドシェークなしの再伝送プロトコル
JP2008217735A (ja) * 2007-03-08 2008-09-18 Nec Corp 障害解析システム、方法、及び、プログラム
JP2008278272A (ja) * 2007-04-27 2008-11-13 Kddi Corp 電子システム、電子機器、中央装置、プログラム、および記録媒体
JP2009081564A (ja) * 2007-09-25 2009-04-16 Kyocera Corp 署名検証方法および受信装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05298215A (ja) * 1992-04-20 1993-11-12 Fujitsu Ltd 欠落データ検出再送方法
JPH1056479A (ja) * 1996-08-12 1998-02-24 Nippon Telegr & Teleph Corp <Ntt> パケット通信方式
JPH11187017A (ja) * 1997-12-22 1999-07-09 Nri & Ncc Co Ltd 欠落データの自動回復処理を行う複数局同時配信システム及びその配信方法
JP2006085623A (ja) * 2004-09-17 2006-03-30 Toshiba Corp Web監視システム、データ処理方法、および被監視装置
JP2008530903A (ja) * 2005-02-08 2008-08-07 ソニー株式会社 ハンドシェークなしの再伝送プロトコル
JP2007081454A (ja) * 2005-09-09 2007-03-29 Oki Electric Ind Co Ltd 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
JP2008217735A (ja) * 2007-03-08 2008-09-18 Nec Corp 障害解析システム、方法、及び、プログラム
JP2008278272A (ja) * 2007-04-27 2008-11-13 Kddi Corp 電子システム、電子機器、中央装置、プログラム、および記録媒体
JP2009081564A (ja) * 2007-09-25 2009-04-16 Kyocera Corp 署名検証方法および受信装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
森岡 千晴 CHIHARU MORIOKA: "IP網におけるユーザ・フロー毎ネットワーク品質管理法 Management of Network Quality per-flow basis a", 電子情報通信学会技術研究報告 VOL.107 NO.30 IEICE TECHNICAL REPORT, vol. 第107巻, JPN6013061029, 3 May 2007 (2007-05-03), JP, pages 111 - 114, ISSN: 0002701894 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017163231A (ja) * 2016-03-07 2017-09-14 富士通株式会社 パケット検証プログラム、パケット検証装置、およびパケット検証方法
WO2020059532A1 (ja) * 2018-09-20 2020-03-26 日本電信電話株式会社 ネットワークサービスシステム、イベントログ記録装置、イベントログ管理方法、及びプログラム
JP2022128404A (ja) * 2021-02-22 2022-09-01 株式会社日立製作所 データパケット管理方法およびコンピュータプログラム

Also Published As

Publication number Publication date
JP5454355B2 (ja) 2014-03-26

Similar Documents

Publication Publication Date Title
KR101715080B1 (ko) 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
WO2017066359A1 (en) Determining direction of network sessions
WO2015180292A1 (zh) 检测虚拟专用网络的用户网络侧接口连通性的方法及装置
CN112311580B (zh) 报文传输路径确定方法、装置及系统、计算机存储介质
WO2010099754A1 (zh) 一种发送日志信息的方法及装置
US20180041471A1 (en) Control device, border router, control method, and control program
CN104243408A (zh) 域名解析服务dns系统中监控报文的方法、装置及系统
JP5454355B2 (ja) ログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラム
JP4687590B2 (ja) 情報配信システム及び障害判定方法
JP2008059114A (ja) Snmpを利用した自動ネットワーク監視システム
CN114301676A (zh) 一种电力监控系统的无损化资产探测方法
US20100014542A1 (en) Network processing apparatus and processing method thereof
US10680930B2 (en) Method and apparatus for communication in virtual network
JP6733147B2 (ja) 通信システム、中継方法、及び中継プログラム
US8064454B2 (en) Protocol incompatibility detection
JP4204053B2 (ja) パケット交換網の品質劣化箇所の切り分け方法およびその装置、ならびにそのプログラムと記録媒体
US8935387B2 (en) Information processing device, address duplication handling method, and computer-readable non-transitory recording medium
JP3892322B2 (ja) 不正アクセス経路解析システム及び不正アクセス経路解析方法
CN109495311B (zh) 一种网络故障检测方法及装置
CN108076070B (zh) 一种fasp协议阻断方法、装置及分析系统
JP2009199556A (ja) 通信監視装置、通信監視方法、コンピュータプログラム、そのシステム
JP2003060735A (ja) 通信プロトコル試験装置
KR100710766B1 (ko) 감시 시스템, 피감시 장치, 감시 장치, 및 감시 방법
CN106603335B (zh) 私有软件流量监控方法和设备
JP4983287B2 (ja) ルール検証装置およびルール検証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130412

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131223

R150 Certificate of patent or registration of utility model

Ref document number: 5454355

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150