JP2013235408A - Log management system, log management server, and program - Google Patents

Log management system, log management server, and program Download PDF

Info

Publication number
JP2013235408A
JP2013235408A JP2012107225A JP2012107225A JP2013235408A JP 2013235408 A JP2013235408 A JP 2013235408A JP 2012107225 A JP2012107225 A JP 2012107225A JP 2012107225 A JP2012107225 A JP 2012107225A JP 2013235408 A JP2013235408 A JP 2013235408A
Authority
JP
Japan
Prior art keywords
log
search operation
file
access
operation history
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012107225A
Other languages
Japanese (ja)
Inventor
Ryo Habara
亮 羽原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2012107225A priority Critical patent/JP2013235408A/en
Publication of JP2013235408A publication Critical patent/JP2013235408A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

PROBLEM TO BE SOLVED: To eliminate access logs corresponding to a file search operation from access logs of a file server.SOLUTION: A file server 3 transmits access logs of a predetermined period registered with an access log DB 30 to a log management server 1 via a network 5 under predetermined conditions. Each user terminal 4 transmits search operation history data concerning a history of file search operations on the file server 3 to the log management server 1 via the network 5 under predetermined conditions. The log management server 1 refers to the search operation history data transmitted from each user terminal 4, and eliminates access logs corresponding to a file search operation from access logs transmitted from the file server 3.

Description

本発明は、共有ファイルへのアクセスに対するログを管理する技術に関する。   The present invention relates to a technique for managing a log for access to a shared file.

近年、企業内に構築される基幹業務システム等の情報システムは、大規模化し、複雑化する傾向にある。その一方で、外部からだけでなく、内部の者による不正アクセスや情報漏えいといった問題の発生も増加する傾向にある。これに対し、例えば、ファイルサーバに保存されている機密性の高いファイルに対する不正アクセスの防止策として、ファイルへのアクセスに対するログの管理が有効活用されている。   In recent years, information systems such as mission-critical systems built in companies tend to be large and complicated. On the other hand, problems such as unauthorized access and information leakage not only from the outside but also by insiders tend to increase. On the other hand, for example, as a measure for preventing unauthorized access to a highly confidential file stored in a file server, log management for access to the file is effectively utilized.

この種のログ管理では、ファイルサーバによって、利用者端末からアクセスがある度に記録されるアクセスログ(例えば、誰が、いつ、何のファイルに、どのような操作を行ったか等の情報)を、システム管理者、業務責任者、リスク管理責任者等のログ管理者が、定期的にモニタリング(監視活動)することで、不正アクセス行為の有無の確認、抑制を行うのが一般的である。アクセスログの管理技術に関しては、従来より種々の提案がなされている(例えば、特許文献1乃至3等)。   In this type of log management, an access log (for example, information on who performed what, what file, what operation, etc.) is recorded by the file server every time a user terminal accesses. It is common for log administrators such as system administrators, business managers, risk managers, etc. to check and control the existence of unauthorized access by regularly monitoring (monitoring activities). Various proposals have been made regarding access log management techniques (for example, Patent Documents 1 to 3).

特開平6−67956号公報JP-A-6-67956 特開平6−202926号公報JP-A-6-202926 特開2008−77325号公報JP 2008-77325 A

ところで、一般的には、ファイルサーバのアクセスログは、当該ファイルサーバが採用する、汎用的なOSのログ機能に依存するケースが多い。この場合、例えば、Windows(登録商標)のイベントログでは、ファイルに対する実質的な操作(例えば、更新、削除、コピー等)のみならず、ファイル検索等の操作によっても、「読出」のログが出力されてしまう。したがって、このように取得されたアクセスログでは、「読出」と記録されていても、ファイルに対する実質的な操作によるものか否かを判別することが困難であり、不正な行為の検出を阻害する要因になっていた。   By the way, in general, the access log of a file server often depends on a general-purpose OS log function employed by the file server. In this case, for example, in a Windows (registered trademark) event log, a “read” log is output not only by a substantial operation (for example, update, delete, copy, etc.) on a file but also by an operation such as a file search. Will be. Therefore, in the access log acquired in this way, even if “read” is recorded, it is difficult to determine whether or not the file is due to a substantial operation on the file, which hinders detection of fraudulent acts. It was a factor.

上記の点に関し、上記特許文献1乃至3の何れにおいても、何ら有効な解決策を開示していない。   With respect to the above points, none of the above Patent Documents 1 to 3 discloses an effective solution.

本発明は、このような実情に鑑みてなされたものであり、ファイルサーバによって取得されたアクセスログから、ファイルに対する実質的な操作以外の操作によるものを除去することのできるログ管理システム等を提供することを目的とする。   The present invention has been made in view of such a situation, and provides a log management system and the like that can remove a file generated by an operation other than a substantial operation on a file from an access log acquired by a file server. The purpose is to do.

上記目的を達成するため、本発明に係るログ管理システムは、
ファイルサーバと、利用者端末と、ログ管理サーバと、を備えると共に、これらが所定のネットワークを介してデータ通信可能に構成されるログ管理システムであって、
前記ファイルサーバは、
前記ネットワーク上で共有されるファイルを記憶するファイル記憶手段と、
前記ネットワークを介した前記利用者端末からの前記ファイル記憶手段へのアクセスが行われた場合、当該利用者端末の識別情報と、アクセス日時と、操作種別と、を含むアクセスログをアクセスログデータベースに登録するアクセスログ登録手段と、
所定条件の下、前記アクセスログデータベースに登録されている所定期間分のアクセスログ群を前記ネットワークを介して前記ログ管理サーバに送信するアクセスログ送信手段と、を備え、
前記利用者端末は、
前記ファイル記憶手段に対するファイル検索操作が行われると、当該利用者端末の識別情報と、当該ファイル検索操作の開始及び終了日時からなるファイル検索操作期間と、を含む検索操作履歴を検索操作履歴記憶手段に記憶されている検索操作履歴テーブルに登録する検索操作履歴登録手段と、
所定条件の下、前記検索操作履歴テーブルの内容を格納した検索操作履歴データを生成し、生成した検索操作履歴データを前記ネットワークを介して前記ログ管理サーバに送信する検索操作履歴送信手段と、を備え、
前記ログ管理サーバは、
前記利用者端末から送られてきた前記検索操作履歴データを参照して、前記ファイルサーバから送られてきた前記アクセスログ群から、前記ファイル検索操作に該当するアクセスログを除去する検索ログ除去手段を備えることを特徴とする。 In order to achieve the above object, a log management system according to the present invention includes:
A log management system comprising a file server, a user terminal, and a log management server, which are configured to be capable of data communication via a predetermined network,
The file server is
File storage means for storing files shared on the network;
When an access to the file storage means from the user terminal via the network is performed, an access log including identification information of the user terminal, access date and time, and operation type is stored in the access log database. Access log registration means to be registered;
An access log transmitting means for transmitting an access log group for a predetermined period registered in the access log database to the log management server via the network under a predetermined condition;
The user terminal is
When a file search operation is performed on the file storage unit, the search operation history storage unit includes a search operation history including identification information of the user terminal and a file search operation period including start and end dates and times of the file search operation. Search operation history registration means for registering in the search operation history table stored in
Search operation history transmission means for generating search operation history data storing the contents of the search operation history table under a predetermined condition, and transmitting the generated search operation history data to the log management server via the network; Prepared,
The log management server
Search log removal means for removing an access log corresponding to the file search operation from the access log group sent from the file server with reference to the search operation history data sent from the user terminal It is characterized by providing.

本発明によれば、ファイルサーバによって取得されたアクセスログから、ファイル検索操作によるものを除去することができるため、不正な行為の容易且つ的確な検出に貢献できる。   According to the present invention, since an access log acquired by a file server can be removed by a file search operation, it can contribute to easy and accurate detection of an illegal act.

本発明の実施形態に係るログ管理システムの全体構成を示す図である。It is a figure showing the whole log management system composition concerning an embodiment of the present invention. 本実施形態のファイルサーバが備えるアクセスログDBに登録されるアクセスログの一例を示す図である。It is a figure which shows an example of the access log registered into access log DB with which the file server of this embodiment is provided. 本実施形態の利用者端末の構成を示すブロック図である。It is a block diagram which shows the structure of the user terminal of this embodiment. 本実施形態の利用者端末が備える検索操作履歴テーブルに格納される検索操作履歴の一例を示す図である。It is a figure which shows an example of the search operation history stored in the search operation history table with which the user terminal of this embodiment is provided. 本発明の実施形態に係るログ管理サーバの構成を示すブロック図である。It is a block diagram which shows the structure of the log management server which concerns on embodiment of this invention. 本実施形態のログ管理サーバが備える検索操作履歴記憶部に保存される各利用者端末の検索操作履歴の一例を示す図である。It is a figure which shows an example of the search operation log | history of each user terminal preserve | saved at the search operation log | history memory | storage part with which the log management server of this embodiment is provided. 検索操作ログが除去された後のアクセスログ群の一例を示す図である。It is a figure which shows an example of the access log group after a search operation log is removed. ログレポート生成処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of a log report production | generation process. 他の実施形態のログ管理サーバが備えるアクセスログ記憶部に登録されるアクセスログ群の一例を示す図である。It is a figure which shows an example of the access log group registered into the access log memory | storage part with which the log management server of other embodiment is provided. 他の実施形態において、検索操作ログが除去された後のアクセスログ群の一例を示す図である。In another embodiment, it is a figure which shows an example of the access log group after a search operation log is removed.

以下、本発明の一実施形態について図面を参照して詳細に説明する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

図1は、本実施形態に係るログ管理システムの全体構成を示す図である。このログ管理システムは、企業等に導入され、ネットワーク上で共有するファイルへのアクセスを管理するシステムである。本実施形態のログ管理システムは、ログ管理サーバ1と、管理者端末2と、ファイルサーバ3と、複数の利用者端末4と、から構成され、これらは、相互にデータの送受信が可能となるように、イントラネット等のネットワーク5に接続している。   FIG. 1 is a diagram showing an overall configuration of a log management system according to the present embodiment. This log management system is a system that is installed in companies and manages access to files shared on a network. The log management system according to the present embodiment includes a log management server 1, an administrator terminal 2, a file server 3, and a plurality of user terminals 4. These can transmit and receive data to and from each other. Thus, it is connected to a network 5 such as an intranet.

ファイルサーバ3は、ネットワーク5上で共有される複数のファイルを保存し、管理する装置であり、一般的なサーバ・コンピュータと同等のハードウェア構成を有する。即ち、ファイルサーバ3は、何れも図示しないが、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成される制御装置、読み書き可能な不揮発性の半導体メモリやハードディスクドライブ等から構成される外部記憶装置(ファイル記憶手段)、ネットワーク5を介した通信を行うための通信インタフェース等を備える。   The file server 3 is a device that stores and manages a plurality of files shared on the network 5, and has a hardware configuration equivalent to that of a general server computer. That is, the file server 3 is not shown, but includes a control device including a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), etc., a readable / writable nonvolatile semiconductor memory, An external storage device (file storage means) composed of a hard disk drive and the like, a communication interface for performing communication via the network 5, and the like are provided.

また、ファイルサーバ3は、ネットワーク5を介した利用者端末4等の他の装置からのアクセスがあると、当該アクセスに対するログ(アクセスログ)をアクセスログDB(アクセスログデータベース)30に登録するアクセスログ登録手段(図示せず)を備える。ファイルサーバ3は、例えば、OS(Operating System)として、Windows(登録商標)を採用し、かかるOSの一機能がアクセスログ登録手段として機能する。即ち、本実施形態では、OSに依存したログ方式により、アクセスログを取得し、アクセスログDB30に登録する。図2に示すように、一のアクセスログは、「ユーザ名」、「コンピュータ名」、「アクセス日時」、「操作種別」、「結果」、「ファイルパス」、「サーバ名」等の各項目から構成される。   Further, when there is an access from another device such as the user terminal 4 via the network 5, the file server 3 registers a log (access log) for the access in the access log DB (access log database) 30. Log registration means (not shown) is provided. For example, the file server 3 employs Windows (registered trademark) as an OS (Operating System), and one function of the OS functions as an access log registration unit. That is, in this embodiment, an access log is acquired and registered in the access log DB 30 by a log method depending on the OS. As shown in FIG. 2, one access log includes items such as “user name”, “computer name”, “access date / time”, “operation type”, “result”, “file path”, “server name”, and the like. Consists of

「ユーザ名」には、アクセスした利用者端末4等のコンピュータのユーザを識別するための名称(例えば、アルファベットと数字で表される。)が格納される。「コンピュータ名」には、アクセスしたコンピュータを識別するための名称(例えば、アルファベットと数字で表される。)が格納される。「アクセス日時」には、アクセスを開始した日付(西暦)及び時刻(時・分・秒)が格納される。「操作種別」には、操作内容の種別を示す情報(本実施形態では、“読出”又は“書込”)が格納される。「結果」には、当該操作が成功したか失敗したかを示す情報(本実施形態では、“成功”又は“失敗”)が格納される。「ファイルパス」は、当該コンピュータによりアクセスされたファイル名をフルパスで示した情報が格納される。「サーバ名」には、当該ファイルサーバ3に予め付されたコンピュータ名(本実施形態では、“HOST01”)が格納される。   The “user name” stores a name (for example, expressed in alphabets and numbers) for identifying a user of the computer such as the user terminal 4 that has accessed. The “computer name” stores a name (for example, represented by alphabets and numbers) for identifying the accessed computer. In the “access date / time”, the date (AD) and time (hour / minute / second) when access is started are stored. In the “operation type”, information indicating the type of operation content (“read” or “write” in the present embodiment) is stored. Information indicating whether the operation has succeeded or failed (in this embodiment, “success” or “failure”) is stored in the “result”. The “file path” stores information indicating a file name accessed by the computer in a full path. The “server name” stores a computer name assigned in advance to the file server 3 (in this embodiment, “HOST01”).

各利用者装置4は、一般的なパーソナルコンピュータと同等のハードウェア構成を有する。より詳細には、各利用者装置4は、図3に示すように、通信部40と、入力部41と、表示部42と、記憶部43と、制御部44と、を備える。各部はバス45を介して互いに接続されている。   Each user device 4 has a hardware configuration equivalent to that of a general personal computer. More specifically, each user device 4 includes a communication unit 40, an input unit 41, a display unit 42, a storage unit 43, and a control unit 44, as shown in FIG. Each unit is connected to each other via a bus 45.

通信部40は、ネットワークカード等の通信インタフェースを含んで構成され、制御部44の制御の下、ネットワーク5を介して、ファイルサーバ3、ログ管理サーバ1等の他の装置と所定の通信方式に則った通信を行う。入力部41は、キーボード,マウス,キーパッド,タッチパッドやタッチパネル等から構成され、ユーザからの入力操作を受け付け、受け付けた入力操作に係る信号(操作信号)を制御部44に送出する。   The communication unit 40 is configured to include a communication interface such as a network card. Under the control of the control unit 44, the communication unit 40 communicates with other devices such as the file server 3 and the log management server 1 through a predetermined communication method. Communicate in line. The input unit 41 includes a keyboard, a mouse, a keypad, a touch pad, a touch panel, and the like, receives an input operation from the user, and sends a signal (operation signal) related to the received input operation to the control unit 44.

表示部42は、CRTや液晶ディスプレイ等から構成され、制御部44の制御の下、ユーザ操作用の画面等の表示を行う。   The display unit 42 includes a CRT, a liquid crystal display, and the like, and displays a screen for user operation and the like under the control of the control unit 44.

記憶部43は、ハードディスクドライブやフラッシュメモリ等の読み書き可能な不揮発性の半導体メモリで構成され、様々な汎用プログラムや各種のデータ等を記憶する。本発明の特有の構成としては、記憶部43には、後述する検索操作検出処理及び検索操作履歴送信処理をそれぞれ実行するための検索操作検出プログラム430及び検索操作履歴送信プログラム431が予め記憶され、また、検索操作検出処理の実行によって検出された結果(検索操作履歴)を格納するための検索操作履歴テーブル432が記憶されている。   The storage unit 43 is configured by a readable / writable nonvolatile semiconductor memory such as a hard disk drive or a flash memory, and stores various general-purpose programs and various data. As a specific configuration of the present invention, the storage unit 43 stores in advance a search operation detection program 430 and a search operation history transmission program 431 for executing a search operation detection process and a search operation history transmission process, which will be described later, respectively. In addition, a search operation history table 432 for storing a result (search operation history) detected by executing the search operation detection process is stored.

検索操作履歴テーブル432は、当該利用者端末4において、起動からシャットダウンされるまでの間のファイルサーバ3へのファイル検索操作の履歴(検索操作履歴)が格納されたデータテーブルである。図4に示すように、検索操作履歴テーブル432に格納される一の検索操作履歴は、「ユーザ名」、「コンピュータ名」、「ファイル検索開始日時」、「ファイル検索終了日時」等の各項目から構成される。   The search operation history table 432 is a data table in which a history of file search operations (search operation history) to the file server 3 from startup to shutdown in the user terminal 4 is stored. As shown in FIG. 4, one search operation history stored in the search operation history table 432 includes items such as “user name”, “computer name”, “file search start date and time”, “file search end date and time”, and the like. Consists of

「ユーザ名」には、当該利用者端末4のユーザを識別するための名称(例えば、アルファベットと数字で表される。)が格納される。「コンピュータ名」には、当該利用者端末4を識別するための名称(例えば、アルファベットと数字で表される。)が格納される。「ファイル検索開始日時」には、ファイル検索操作を開始した日付(西暦)及び時刻(時・分・秒)が格納される。「ファイル検索終了日時」には、ファイル検索が終了した日付(西暦)及び時刻(時・分・秒)が格納される。   The “user name” stores a name for identifying the user of the user terminal 4 (for example, represented by alphabets and numbers). The “computer name” stores a name for identifying the user terminal 4 (for example, represented by alphabets and numbers). The “file search start date and time” stores the date (year) and time (hour / minute / second) when the file search operation is started. “File search end date and time” stores the date (Western calendar) and time (hour / minute / second) when the file search is ended.

図3に戻り、制御部44は、CPU、ROM、RAM等から構成され、バス45を介して各部を制御する。制御部44は、本発明の特有の構成として、機能的には、図3に示すように、検索操作検出部440と、検索操作履歴送信部441と、を備える。これらの各機能部の機能は、CPUが記憶部43に記憶されている検索操作検出プログラム430及び検索操作履歴送信プログラム431をそれぞれ実行することで実現される。   Returning to FIG. 3, the control unit 44 includes a CPU, a ROM, a RAM, and the like, and controls each unit via the bus 45. As a specific configuration of the present invention, the control unit 44 functionally includes a search operation detection unit 440 and a search operation history transmission unit 441 as shown in FIG. The functions of these functional units are realized by the CPU executing the search operation detection program 430 and the search operation history transmission program 431 stored in the storage unit 43, respectively.

検索操作検出部440(検索操作履歴登録手段)は、検索操作検出処理を実行する。検索操作検出処理では、検索操作検出部440は、当該利用者端末4からファイルサーバ3に対するファイル検索操作の有無を監視する。検索操作検出部440は、ファイル検索操作が行われると、その日時(開始日時)を当該利用者端末4が備える図示しない時計機能部から取得し、取得した開始日時をRAMに一時保存する。   The search operation detection unit 440 (search operation history registration means) executes a search operation detection process. In the search operation detection process, the search operation detection unit 440 monitors the presence or absence of a file search operation on the file server 3 from the user terminal 4. When a file search operation is performed, the search operation detection unit 440 acquires the date and time (start date and time) from a clock function unit (not shown) included in the user terminal 4 and temporarily stores the acquired start date and time in the RAM.

そして、検索操作検出部440は、当該ファイル検索操作に係るファイル検索が終了すると、その日時(終了日時)を上記の時計機能部から取得する。検索操作検出部440は、当該利用者端末4のユーザ名称と、当該利用者端末4の名称と、取得した開始日時及び終了日時と、をそれぞれ、「ユーザ名」、「コンピュータ名」、「ファイル検索開始日時」及び「ファイル検索終了日時」に格納した検索操作履歴を生成し、検索操作履歴テーブル432に追加登録する。   Then, when the file search related to the file search operation ends, the search operation detection unit 440 acquires the date / time (end date / time) from the clock function unit. The search operation detection unit 440 displays the user name of the user terminal 4, the name of the user terminal 4, and the acquired start date / time and end date / time as “user name”, “computer name”, “file”, respectively. Search operation histories stored in “search start date and time” and “file search end date and time” are generated and additionally registered in the search operation history table 432.

検索操作履歴送信部441は、検索操作履歴送信処理を実行する。検索操作履歴送信処理では、検索操作履歴送信部441は、ユーザによる当該利用者端末4のシャットダウン操作の有無を監視し、シャットダウン操作が行われると、検索操作履歴テーブル432の内容(即ち、検索操作履歴)を格納したデータ(検索操作履歴データ)を生成し、生成した検索操作履歴データをログ管理サーバ1に送信する。この送信が完了すると、検索操作履歴送信部441は、検索操作履歴テーブル432の内容をクリアする。即ち、登録されている各検索操作履歴のレコードを削除する。   The search operation history transmission unit 441 executes search operation history transmission processing. In the search operation history transmission process, the search operation history transmission unit 441 monitors whether or not the user terminal 4 is shut down by the user, and when the shutdown operation is performed, the contents of the search operation history table 432 (that is, the search operation history). (History) stored data (search operation history data) is generated, and the generated search operation history data is transmitted to the log management server 1. When this transmission is completed, the search operation history transmission unit 441 clears the contents of the search operation history table 432. That is, the registered record of each search operation history is deleted.

図1に戻り、管理者端末2は、利用者端末4と同様、一般的なパーソナルコンピュータと同等のハードウェア構成を有する。管理者端末2は、ログ管理サーバ1から定期的(例えば、1日毎)に送られてくるログレポート(詳細は後述する)を受信し、受信したログレポートの内容を液晶モニタ等の図示しない表示装置を介して表示する。   Returning to FIG. 1, the administrator terminal 2 has a hardware configuration equivalent to that of a general personal computer, like the user terminal 4. The administrator terminal 2 receives a log report (details will be described later) sent from the log management server 1 on a regular basis (for example, every day), and displays the contents of the received log report on a liquid crystal monitor or the like (not shown). Display through the device.

ログ管理サーバ1は、ファイルサーバ3のアクセスログDB30から取得したアクセスログと、各利用者端末4から取得した検索操作履歴と、に基づいて、ログレポートを生成し、管理者端末2に送信する。ログ管理サーバ1は、一般的なサーバ・コンピュータ等と同等のハードウェア構成を有する。即ち、ログ管理サーバ1は、何れも図示しないが、CPU、ROM、RAM等から構成される制御装置、読み書き可能な不揮発性の半導体メモリやハードディスクドライブ等から構成される外部記憶装置、ネットワーク5を介した通信を行うための通信インタフェース等を備える。   The log management server 1 generates a log report based on the access log acquired from the access log DB 30 of the file server 3 and the search operation history acquired from each user terminal 4 and transmits the log report to the administrator terminal 2. . The log management server 1 has a hardware configuration equivalent to that of a general server computer. That is, the log management server 1 includes a control device composed of a CPU, a ROM, a RAM, etc., an external storage device composed of a readable / writable nonvolatile semiconductor memory, a hard disk drive, etc. A communication interface for performing communication via the network.

ログ管理サーバ1は、図5に示すように、機能的には、アクセスログ取得部10と、アクセスログ記憶部11と、検索操作履歴取得部12と、検索操作履歴記憶部13と、検索ログ除去部14と、ログレポート生成部15と、ログレポート送信部16と、を備える。これらの各機能部の機能は、CPUがROMあるいは外部記憶装置に記憶されている所定のプログラムを実行することで実現される。   As shown in FIG. 5, the log management server 1 functionally includes an access log acquisition unit 10, an access log storage unit 11, a search operation history acquisition unit 12, a search operation history storage unit 13, and a search log. A removal unit 14, a log report generation unit 15, and a log report transmission unit 16 are provided. The functions of these functional units are realized by the CPU executing predetermined programs stored in the ROM or the external storage device.

アクセスログ取得部10は、所定のタイミング(例えば、1日毎)でファイルサーバ3から送られてくる所定期間分のアクセスログ(アクセスログ群)が含まれたデータを受信し、受信したデータから抽出したアクセスログ群をアクセスログ記憶部11に保存する。本実施形態では、ファイルサーバ3が備える図示しないアクセスログ送信手段が、所定時刻(例えば、午前0時)になると、アクセスログDB30に登録されている過去所定期間(例えば、1日)分のアクセスログ群を抽出し、これを取り込んだデータを生成し、ログ管理サーバ1に送信する。   The access log acquisition unit 10 receives data including an access log (access log group) for a predetermined period sent from the file server 3 at a predetermined timing (for example, every day), and extracts from the received data The access log group is stored in the access log storage unit 11. In this embodiment, when an access log transmission unit (not shown) included in the file server 3 reaches a predetermined time (for example, midnight), accesses for the past predetermined period (for example, one day) registered in the access log DB 30 are performed. A log group is extracted, data incorporating the log group is generated, and transmitted to the log management server 1.

検索操作履歴取得部12は、各利用者端末4から送られてくる検索操作履歴データを受信し、受信した検索操作履歴データから抽出した検索操作履歴を検索操作履歴記憶部13に保存する。検索ログ除去部14は、アクセスログ取得部10によってアクセスログ群がアクセスログ記憶部11に保存されると、アクセスログ記憶部11から当該アクセスログ群を読み出す。そして、検索ログ除去部14は、検索操作履歴記憶部13に保存されている各利用者端末4の検索操作履歴を参照して、読み出したアクセスログ群から、所定の条件に該当するアクセスログを検索操作ログとしてみなし、これを除去する。   The search operation history acquisition unit 12 receives the search operation history data sent from each user terminal 4 and stores the search operation history extracted from the received search operation history data in the search operation history storage unit 13. When the access log group is stored in the access log storage unit 11 by the access log acquisition unit 10, the search log removal unit 14 reads the access log group from the access log storage unit 11. Then, the search log removal unit 14 refers to the search operation history of each user terminal 4 stored in the search operation history storage unit 13 and retrieves an access log corresponding to a predetermined condition from the read access log group. Consider it as a search operation log and remove it.

本実施形態では、検索ログ除去部14は、以下の(1)及び(2)の何れの条件にも該当するアクセスログを検索操作ログとして判定する。   In the present embodiment, the search log removal unit 14 determines an access log that satisfies any of the following conditions (1) and (2) as a search operation log.

(1)アクセスログの「操作種別」が“読出”であること
(2)アクセスログの「ユーザ名」及び「コンピュータ名」のそれぞれに格納されているユーザの名称及び利用者端末4の名称と一致する検索操作履歴であって、アクセスログの「アクセス日時」に格納されている日時が、ファイル検索操作期間(「ファイル検索開始日時」に格納された日時から「ファイル検索終了日時」に格納された日時までの期間)に含まれる検索操作履歴があること (1) The “operation type” of the access log is “read” (2) the name of the user and the name of the user terminal 4 stored in each of the “user name” and “computer name” of the access log The search operation history that matches and the date and time stored in the “access date and time” of the access log is stored in the “file search end date and time from the date and time stored in the“ file search start date and time ”. Search operation history included in the period until the date and time)

例えば、アクセスログ記憶部11から読み出したアクセスログ群の内容が、図2に示すようなものであり、検索操作履歴記憶部13に保存されている各利用者端末4の検索操作履歴が、図6に示すようなものである場合、検索ログ除去部14は、当該アクセスログ群から、No.4〜101のアクセスログとNo.105〜175のアクセスログを検索操作ログとして除去する。検索操作ログが除去された後のアクセスログ群の内容は、図7に示すようなものとなる。   For example, the contents of the access log group read from the access log storage unit 11 are as shown in FIG. 2, and the search operation history of each user terminal 4 stored in the search operation history storage unit 13 is shown in FIG. 6, the search log removal unit 14 determines from the access log group No. 6. Nos. 4 to 101 and the access log No. The access logs 105 to 175 are removed as search operation logs. The contents of the access log group after the search operation log is removed are as shown in FIG.

図5に戻り、ログレポート生成部15は、検索ログ除去部14により検索操作ログが除去された後のアクセスログ群の内容に基づいて、ログレポートを作成する。例えば、ログレポートには、当該アクセスログ群の内容が含まれると共に、その他の付加情報(例えば、同一のファイルに対するアクセス数や、ユーザ毎のアクセス数等の情報)が加えられる。   Returning to FIG. 5, the log report generation unit 15 creates a log report based on the contents of the access log group after the search operation log is removed by the search log removal unit 14. For example, the log report includes the contents of the access log group and other additional information (for example, information such as the number of accesses to the same file and the number of accesses for each user).

ログレポート送信部16は、ログレポート生成部15によって生成されたログレポートを管理者端末2に送信する。   The log report transmission unit 16 transmits the log report generated by the log report generation unit 15 to the administrator terminal 2.

続いて、以上のように構成されたログ管理サーバ1で実行されるログレポート生成処理について、図8のフローチャートに沿って説明する。アクセスログ取得部10によって、ファイルサーバ3からアクセスログ群が含まれたデータが受信され、受信されたデータから抽出したアクセスログ群がアクセスログ記憶部11に保存されると(ステップS101;YES)、検索ログ除去部14は、アクセスログ記憶部11から当該アクセスログ群を読み出し、検索操作履歴記憶部13に保存されている各利用者端末4の検索操作履歴を参照して、前述した条件に該当するアクセスログ、即ち、検索操作ログを検索する(ステップS102)。   Next, log report generation processing executed by the log management server 1 configured as described above will be described with reference to the flowchart of FIG. When the access log acquisition unit 10 receives data including the access log group from the file server 3 and the access log group extracted from the received data is stored in the access log storage unit 11 (step S101; YES). The search log removing unit 14 reads the access log group from the access log storage unit 11, refers to the search operation history of each user terminal 4 stored in the search operation history storage unit 13, and satisfies the above-described conditions. The corresponding access log, that is, the search operation log is searched (step S102).

検索ログ除去部14は、当該アクセスログ群から全ての検索操作ログを除去する(ステテップS103)。そして、検索ログ除去部14は、検索操作ログを除去したアクセスログ群をログレポート生成部15に供給する。   The search log removal unit 14 removes all search operation logs from the access log group (step S103). Then, the search log removing unit 14 supplies the access log group from which the search operation log has been removed to the log report generating unit 15.

ログレポート生成部15は、検索ログ除去部14から供給されたアクセスログ群の内容に基づいて、前述したようにしてログレポートを生成する(ステップS104)。そして、ログレポート送信部16は、ログレポート生成部15により生成されたログレポートをネットワーク5を介して管理者端末2に送信する(ステップS105)。   The log report generation unit 15 generates a log report as described above based on the contents of the access log group supplied from the search log removal unit 14 (step S104). And the log report transmission part 16 transmits the log report produced | generated by the log report production | generation part 15 to the administrator terminal 2 via the network 5 (step S105).

以上説明したように、本発明の本実施形態に係るログ管理システムによれば、ファイルサーバ3のOSに依存したログ方式により取得されたアクセスログから、ファイルに対する実質的な操作(例えば、更新、削除、コピー等)とは異なるファイル検索操作によるアクセスログを自動的に除去することができる。したがって、共有のファイルへのアクセスに対する不正な行為の容易且つ的確な検出に貢献できる。   As described above, according to the log management system according to this embodiment of the present invention, a substantial operation (for example, update, file) is performed on the file from the access log acquired by the log method depending on the OS of the file server 3. It is possible to automatically remove an access log by a file search operation different from deletion, copy, etc.). Therefore, it is possible to contribute to easy and accurate detection of an illegal act with respect to access to a shared file.

なお、本発明は、上記実施形態に限定されず、本発明の要旨を逸脱しない範囲での種々の変更は勿論可能である。   In addition, this invention is not limited to the said embodiment, Of course, the various change in the range which does not deviate from the summary of this invention is possible.

例えば、上述した検索操作ログとみなすための条件は、任意の設計事項であり、上述したものに限られない。例えば、上述した(1)、(2)の条件に、以下のような条件(3)を加えてもよい。   For example, the condition for considering the above-described search operation log is an arbitrary design matter and is not limited to the above-described one. For example, the following condition (3) may be added to the above conditions (1) and (2).

(3)「ユーザ名」、「コンピュータ名」及び「ファイルパス」のそれぞれに格納されて内容が同一であり、対応する検索操作履歴が共通するアクセスログが複数存在する場合では、時系列的に最も古いアクセスログであること (3) When there are a plurality of access logs stored in each of “user name”, “computer name”, and “file path” and having the same contents and a common search operation history, The oldest access log

このような条件(3)を加えると、例えば、アクセスログ記憶部11から読み出したアクセスログ群の内容が、図9に示すようなものであり、検索操作履歴記憶部13に保存されている各利用者端末4の検索操作履歴が、図6に示すようなものである場合、検索ログ除去部14は、当該アクセスログ群から、No.4〜100のアクセスログとNo.105〜175のアクセスログを検索操作ログとして除去する。検索操作ログが除去された後のアクセスログ群の内容は、図10に示すようなものとなる。   When such a condition (3) is added, for example, the contents of the access log group read from the access log storage unit 11 are as shown in FIG. When the search operation history of the user terminal 4 is as shown in FIG. 6, the search log removal unit 14 selects No. 1 from the access log group. 4 to 100 and access log No. The access logs 105 to 175 are removed as search operation logs. The contents of the access log group after the search operation log is removed are as shown in FIG.

このようにすると、例えば、ある利用者端末4において、ファイル検索操作に並行して、ファイルサーバ3の特定のファイルに対する実質的な操作が行われていた場合、その実質的な操作に係るアクセスログを除去せずに残すことができる。   In this way, for example, in a certain user terminal 4, when a substantial operation is performed on a specific file of the file server 3 in parallel with the file search operation, an access log related to the substantial operation is performed. Can be left without removal.

また、上記実施形態では、ファイルサーバ3が所定のタイミング(例えば、1日毎)で所定期間(例えば、1日)分のアクセスログをログ管理サーバ1に対して送信していたが、このようにファイルサーバ3が自発的にアクセスログを送信する仕様のみならず、ログ管理サーバ1からの送信要求に応じて、ファイルサーバ3がアクセスログを送信する仕様を採用してもよい。   In the above embodiment, the file server 3 transmits an access log for a predetermined period (for example, one day) to the log management server 1 at a predetermined timing (for example, every day). Not only the specification that the file server 3 voluntarily transmits the access log, but also the specification that the file server 3 transmits the access log in response to a transmission request from the log management server 1 may be adopted.

また、利用者端末4が検索操作履歴を送信するタイミングも任意であり、例えば、起動時(電源ON時)に送信するようにしてもよい。   The timing at which the user terminal 4 transmits the search operation history is also arbitrary. For example, it may be transmitted at startup (when the power is turned on).

また、上記実施形態では、ログ管理サーバ1は、ファイルサーバ3からのアクセスログ群を受信する度に、当該受信したアクセスログ群に対応するログレポートを生成していたが、例えば、複数回受信した後に、複数のアクセスログ群に対応するログレポートを生成するようにしてもよい。   In the above embodiment, each time the log management server 1 receives an access log group from the file server 3, the log management server 1 generates a log report corresponding to the received access log group. After that, log reports corresponding to a plurality of access log groups may be generated.

また、上記実施形態のログ管理サーバ1や利用者端末4が実行したプログラムを既存のサーバ・コンピュータやパーソナルコンピュータ等に適用することで、これらを本発明に係るログ管理サーバや利用者端末として機能させることも可能である。   In addition, by applying the program executed by the log management server 1 and the user terminal 4 of the above embodiment to an existing server computer, personal computer, etc., these function as a log management server and a user terminal according to the present invention. It is also possible to make it.

このようなプログラムの配布方法は任意であり、例えば、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto Optical Disk)、メモリカードなどのコンピュータ読み取り可能な記録媒体に格納して配布してもよいし、インターネットなどの通信ネットワークを介して配布してもよい。   Such a program distribution method is arbitrary, for example, a computer-readable recording medium such as a CD-ROM (Compact Disk Read-Only Memory), a DVD (Digital Versatile Disk), an MO (Magneto Optical Disk), or a memory card. It may be stored and distributed in a network, or distributed via a communication network such as the Internet.

本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施形態及び変形が可能とされるものである。また、上述した実施形態は、本発明を説明するためのものであり、本発明の範囲を限定するものではない。つまり、本発明の範囲は、実施形態ではなく、特許請求の範囲によって示される。そして、特許請求の範囲内及びそれと同等の発明の意義の範囲内で施される様々な変形が、本発明の範囲内とみなされる。   Various embodiments and modifications can be made to the present invention without departing from the broad spirit and scope of the present invention. Further, the above-described embodiment is for explaining the present invention, and does not limit the scope of the present invention. That is, the scope of the present invention is shown not by the embodiments but by the claims. Various modifications within the scope of the claims and within the scope of the equivalent invention are considered to be within the scope of the present invention.

1 ログ管理サーバ
2 管理者端末
3 ファイルサーバ
4 利用者端末
5 ネットワーク
10 アクセスログ取得部
11 アクセスログ記憶部
12 検索操作履歴取得部
13 検索操作履歴記憶部
14 検索ログ除去部
15 ログレポート生成部
16 ログレポート送信部
30 アクセスログDB
40 通信部
41 入力部
42 表示部
43 記憶部
44 制御部
45 バス
430 検索操作検出プログラム
431 検索操作履歴送信プログラム
432 検索操作履歴テーブル
440 検索操作検出部
441 検索操作履歴送信部 1 log management server 2 administrator terminal 3 file server 4 user terminal 5 network 10 access log acquisition unit 11 access log storage unit 12 search operation history acquisition unit 13 search operation history storage unit 14 search log removal unit 15 log report generation unit 16 Log report transmitter 30 Access log DB
40 communication unit 41 input unit 42 display unit 43 storage unit 44 control unit 45 bus 430 search operation detection program 431 search operation history transmission program 432 search operation history table 440 search operation detection unit 441 search operation history transmission unit

Claims (5)

ファイルサーバと、利用者端末と、ログ管理サーバと、を備えると共に、これらが所定のネットワークを介してデータ通信可能に構成されるログ管理システムであって、
前記ファイルサーバは、
前記ネットワーク上で共有されるファイルを記憶するファイル記憶手段と、
前記ネットワークを介した前記利用者端末からの前記ファイル記憶手段へのアクセスが行われた場合、当該利用者端末の識別情報と、アクセス日時と、操作種別と、を含むアクセスログをアクセスログデータベースに登録するアクセスログ登録手段と、
所定条件の下、前記アクセスログデータベースに登録されている所定期間分のアクセスログ群を前記ネットワークを介して前記ログ管理サーバに送信するアクセスログ送信手段と、を備え、
前記利用者端末は、
前記ファイル記憶手段に対するファイル検索操作が行われると、当該利用者端末の識別情報と、当該ファイル検索操作の開始及び終了日時からなるファイル検索操作期間と、を含む検索操作履歴を検索操作履歴記憶手段に記憶されている検索操作履歴テーブルに登録する検索操作履歴登録手段と、
所定条件の下、前記検索操作履歴テーブルの内容を格納した検索操作履歴データを生成し、生成した検索操作履歴データを前記ネットワークを介して前記ログ管理サーバに送信する検索操作履歴送信手段と、を備え、
前記ログ管理サーバは、
前記利用者端末から送られてきた前記検索操作履歴データを参照して、前記ファイルサーバから送られてきた前記アクセスログ群から、前記ファイル検索操作に該当するアクセスログを除去する検索ログ除去手段を備える、
ことを特徴とするログ管理システム。 A log management system comprising a file server, a user terminal, and a log management server, which are configured to be capable of data communication via a predetermined network,
The file server is
File storage means for storing files shared on the network;
When an access to the file storage means from the user terminal via the network is performed, an access log including identification information of the user terminal, access date and time, and operation type is stored in the access log database. Access log registration means to be registered;
An access log transmitting means for transmitting an access log group for a predetermined period registered in the access log database to the log management server via the network under a predetermined condition;
The user terminal is
When a file search operation is performed on the file storage unit, the search operation history storage unit includes a search operation history including identification information of the user terminal and a file search operation period including start and end dates and times of the file search operation. Search operation history registration means for registering in the search operation history table stored in
Search operation history transmission means for generating search operation history data storing the contents of the search operation history table under a predetermined condition, and transmitting the generated search operation history data to the log management server via the network; Prepared,
The log management server
Search log removal means for removing an access log corresponding to the file search operation from the access log group sent from the file server with reference to the search operation history data sent from the user terminal Prepare
A log management system characterized by that. 前記ログ管理サーバの前記検索ログ除去手段は、前記アクセスログに含まれている操作種別がファイルの読み出しを示すものであり、且つ、前記検索操作履歴データの中に、当該アクセスログに含まれている前記利用者端末の識別情報と一致する検索操作履歴であって、当該アクセスログに含まれている前記アクセス日時が前記ファイル検索操作期間に含まれる検索操作履歴が存在する場合に、当該アクセスログを前記ファイル検索操作に該当するアクセスログとして判定する、
ことを特徴とする請求項1に記載のログ管理システム。 The search log removing means of the log management server indicates that the operation type included in the access log indicates reading of a file, and is included in the access log in the search operation history data. If there is a search operation history that matches the identification information of the user terminal that is included and the access date and time included in the access log is included in the file search operation period, the access log As an access log corresponding to the file search operation,
The log management system according to claim 1. 前記ファイルサーバの前記アクセスログ送信手段は、所定期間毎に前記アクセスログ群を前記ログ管理サーバに送信し、
前記利用者端末の前記検索操作履歴送信手段は、ユーザにより当該利用者端末に対するシャットダウン操作が行われた際に前記検索操作履歴データを前記ログ管理サーバに送信する、
ことを特徴とする請求項1又は2に記載のログ管理システム。 The access log transmission means of the file server transmits the access log group to the log management server every predetermined period,
The search operation history transmission unit of the user terminal transmits the search operation history data to the log management server when a shutdown operation is performed on the user terminal by a user.
The log management system according to claim 1 or 2, characterized in that 所定のネットワークを介してファイルサーバから送られてくる、当該ファイルサーバに対する利用者端末のアクセスログ群を取得するアクセスログ取得手段と、
前記ネットワークを介して前記利用者端末から送られてくる、前記ファイルサーバに対する当該利用者端末によるファイル検索操作の履歴に関する検索操作履歴データを取得する検索操作履歴取得手段と、
前記検索操作履歴データを参照して、前記アクセスログ群から、前記ファイル検索操作に該当するアクセスログを除去する検索ログ除去手段と、を備える、
ことを特徴とするログ管理サーバ。 Access log acquisition means for acquiring an access log group of a user terminal for the file server, which is sent from the file server via a predetermined network;
Search operation history acquisition means for acquiring search operation history data relating to a history of file search operations by the user terminal with respect to the file server sent from the user terminal via the network;
A search log removing unit that refers to the search operation history data and removes an access log corresponding to the file search operation from the access log group;
A log management server characterized by that. コンピュータを、
所定のネットワークを介してファイルサーバから送られてくる、当該ファイルサーバに対する利用者端末のアクセスログ群を取得するアクセスログ取得手段、
前記ネットワークを介して前記利用者端末から送られてくる、前記ファイルサーバに対する当該利用者端末によるファイル検索操作の履歴に関する検索操作履歴データを取得する検索操作履歴取得手段、
前記検索操作履歴データを参照して、前記アクセスログ群から、前記ファイル検索操作に該当するアクセスログを除去する検索ログ除去手段、として機能させる、
ことを特徴とするプログラム。 Computer
Access log acquisition means for acquiring a user terminal access log group for the file server, which is sent from the file server via a predetermined network;
Search operation history acquisition means for acquiring search operation history data relating to a history of file search operations by the user terminal with respect to the file server, which is sent from the user terminal via the network,
With reference to the search operation history data, function as search log removal means for removing an access log corresponding to the file search operation from the access log group,
A program characterized by that.
JP2012107225A 2012-05-09 2012-05-09 Log management system, log management server, and program Pending JP2013235408A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012107225A JP2013235408A (en) 2012-05-09 2012-05-09 Log management system, log management server, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012107225A JP2013235408A (en) 2012-05-09 2012-05-09 Log management system, log management server, and program

Publications (1)

Publication Number Publication Date
JP2013235408A true JP2013235408A (en) 2013-11-21

Family

ID=49761490

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012107225A Pending JP2013235408A (en) 2012-05-09 2012-05-09 Log management system, log management server, and program

Country Status (1)

Country Link
JP (1) JP2013235408A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016025169A1 (en) * 2014-08-13 2016-02-18 Netapp, Inc. Coalescing storage operations
JP2018005545A (en) * 2016-07-01 2018-01-11 富士ゼロックス株式会社 Information processing device and program
CN110119337A (en) * 2019-04-16 2019-08-13 深圳市轱辘汽车维修技术有限公司 A kind of data analysing method, device and server

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016025169A1 (en) * 2014-08-13 2016-02-18 Netapp, Inc. Coalescing storage operations
JP2017526066A (en) * 2014-08-13 2017-09-07 ネットアップ,インコーポレイテッド Combined storage operations
JP2018005545A (en) * 2016-07-01 2018-01-11 富士ゼロックス株式会社 Information processing device and program
CN110119337A (en) * 2019-04-16 2019-08-13 深圳市轱辘汽车维修技术有限公司 A kind of data analysing method, device and server
CN110119337B (en) * 2019-04-16 2023-03-10 深圳市轱辘车联数据技术有限公司 Data analysis method and device and server

Similar Documents

Publication Publication Date Title
Ghafur et al. A retrospective impact analysis of the WannaCry cyberattack on the NHS
US20220019693A1 (en) Data processing systems for generating and populating a data inventory
US11042447B2 (en) Retention rule compliance of record deletion based on deletion log
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
CN109815746B (en) Data tamper-proofing method and system based on block chain technology
US9507946B2 (en) Program vulnerability identification
US10650476B2 (en) Electronic discovery process using a blockchain
JP6160064B2 (en) Application determination program, failure detection apparatus, and application determination method
US11003563B2 (en) Compliance testing through sandbox environments
US10114960B1 (en) Identifying sensitive data writes to data stores
US20090077136A1 (en) File management system, file management method, and file management program
US20120290544A1 (en) Data compliance management
US8930326B2 (en) Generating and utilizing a data fingerprint to enable analysis of previously available data
JP2014067369A (en) Information processor, program, and information processing method
JP2008204223A (en) Document management program and system
US9952917B2 (en) Identifying defunct nodes in data processing systems
JP2013235408A (en) Log management system, log management server, and program
Thimbleby Misunderstanding IT: Hospital cybersecurity and IT problems reach the courts
JP5231035B2 (en) Job processing system and job processing method
US20160275293A1 (en) Information processing system and control method of the information processing system
JP6780478B2 (en) Management program, management method and management device
JP7294059B2 (en) Display system, program and display method
US20220345499A1 (en) Device management system, device management method, and recording medium having device management program recorded thereon
JP2010205115A (en) Integrated management system, integrated management device, and integrated management method and program
Smallman Analysis of Time Activity Data Characteristics and Data Degradation in Digital Forensics