JP2014115890A - System, method and program for inputting history of incident response - Google Patents

System, method and program for inputting history of incident response Download PDF

Info

Publication number
JP2014115890A
JP2014115890A JP2012270483A JP2012270483A JP2014115890A JP 2014115890 A JP2014115890 A JP 2014115890A JP 2012270483 A JP2012270483 A JP 2012270483A JP 2012270483 A JP2012270483 A JP 2012270483A JP 2014115890 A JP2014115890 A JP 2014115890A
Authority
JP
Japan
Prior art keywords
incident
response history
history
log
collection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012270483A
Other languages
Japanese (ja)
Other versions
JP6100515B2 (en
Inventor
Hiroaki Kyobayashi
弘晃 京林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2012270483A priority Critical patent/JP6100515B2/en
Publication of JP2014115890A publication Critical patent/JP2014115890A/en
Application granted granted Critical
Publication of JP6100515B2 publication Critical patent/JP6100515B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technique for automatically inputting a history of incident responses.SOLUTION: In an incident response history input system which includes a data center 100 and a monitoring center 200 connected to the data center 100 via a network 140, the monitoring center 200 includes an incident response history input unit 230 for acquiring a response history template corresponding to an incident ID, and the incident response history input unit 230 inputs a response history corresponding to the incident ID on the basis of information extracted from a log file and the response history template.

Description

本発明は、インシデント対応履歴入力システムおよび方法ならびにプログラムに関する。   The present invention relates to an incident response history input system and method, and a program.

インシデント対応業務では、サービスデスクが障害監視対象機器から発生するインシデント(不正アクセス、ウィルス感染などシステム運用に関して保安上の脅威となる現象)に対する対応を行っている。   In the incident response business, the service desk handles incidents (phenomena that pose security threats related to system operations such as unauthorized access and virus infection) that occur from fault monitoring devices.

本発明の技術分野として、例えば、特開2009−181537号公報(特許文献1)がある。この公報には、「発生したインシデント情報および顧客毎のSLA(Service Level Agreement)情報から、各インシデントの優先度を動的に変更させ、この優先度からサービス品質を低下させるインシデントを抽出・警告することによって、顧客毎に異なるSLAを定めた場合でも、インシデント管理業務の運用品質の維持を実現する。」と記載がある。   As a technical field of the present invention, there is, for example, JP 2009-181537 A (Patent Document 1). This gazette states that “from incident information and SLA (Service Level Agreement) information for each customer, the priority of each incident is dynamically changed, and an incident that degrades service quality is extracted and warned from this priority. Thus, even when different SLA is defined for each customer, it is possible to maintain the operational quality of the incident management work. "

特開2009−181537号公報JP 2009-181537 A

特許文献1に記載された技術では、優先度からサービス品質を低下させるインシデントを抽出・警告できる。   With the technique described in Patent Document 1, it is possible to extract and warn incidents that degrade service quality based on priority.

しかし、特許文献1に記載された技術では、インシデントに対するサービスデスクの対応履歴を自動で入力できない。よって、サービスデスクのインシデントへの対応が多発した場合に、対応履歴の入力に工数を要してしまうという問題があった。また、サービスデスクが行うインシデントの対応履歴の入力は、属人的な作業でありサービスデスクによって入力内容にばらつきが生じてしまうという問題があった。   However, the technique described in Patent Document 1 cannot automatically input the service desk response history for incidents. Therefore, there has been a problem that man-hours are required to input a response history when responses to service desk incidents occur frequently. Also, the incident response history input performed by the service desk is a personal work, and there is a problem that the input contents vary depending on the service desk.

本発明の目的は、インシデントの対応履歴を自動で入力する技術を提供することである。   An object of the present invention is to provide a technique for automatically inputting incident response history.

本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。   The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次の通りである。   Of the inventions disclosed in the present application, the outline of typical ones will be briefly described as follows.

前記目的を達成するために、代表的な発明は、データセンタと、前記データセンタにネットワークを介して接続される監視センタとを有するインシデント対応履歴入力システムであって、以下の特徴を有する。前記監視センタは、インシデントIDに対応する対応履歴テンプレートを取得するインシデント対応履歴入力部を有する。さらに、前記インシデント対応履歴入力部は、ログファイルから抽出した情報と前記対応履歴テンプレートとに基づいて、前記インシデントIDに対応履歴を入力することで、前述の課題を解決する。   To achieve the above object, a representative invention is an incident response history input system having a data center and a monitoring center connected to the data center via a network, and has the following features. The monitoring center has an incident response history input unit that acquires a response history template corresponding to an incident ID. Furthermore, the incident response history input unit solves the above-described problem by inputting a response history to the incident ID based on the information extracted from the log file and the response history template.

また、本発明は、インシデントの対応履歴を自動で入力するためのシステムによる方法や、インシデントの対応履歴を自動で入力するシステムとしてコンピュータを機能させるプログラムにも適用することができる。   The present invention can also be applied to a method by a system for automatically inputting incident response history and a program for causing a computer to function as a system for automatically inputting incident response history.

本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。   Among the inventions disclosed in the present application, effects obtained by typical ones will be briefly described as follows.

本発明によれば、インシデントの対応履歴を自動で入力できるようになる。   According to the present invention, incident response history can be automatically input.

本発明の一実施の形態における、インシデント対応履歴入力システムの構成例の概要を示す図である。It is a figure which shows the outline | summary of the structural example of the incident response log | history input system in one embodiment of this invention. 図1のインシデント対応履歴入力システムにおいて、インシデントDBが記憶するインシデントテーブルの構成例を示す図である。FIG. 2 is a diagram illustrating a configuration example of an incident table stored in an incident DB in the incident response history input system of FIG. 1. 図1のインシデント対応履歴入力システムにおいて、インシデントテーブルに記憶する対応履歴の例を示す図である。In the incident response history input system of FIG. 1, it is a figure which shows the example of the response history memorize | stored in an incident table. 図1のインシデント対応履歴入力システムにおいて、インシデントDBが記憶するカスタマーテーブルの構成例を示す図である。FIG. 2 is a diagram illustrating a configuration example of a customer table stored in an incident DB in the incident response history input system of FIG. 1. 図1のインシデント対応履歴入力システムにおいて、受発信ログファイルDBが記憶する受発信ログファイルの構成例を示す図である。In the incident response history input system of FIG. 1, it is a figure which shows the structural example of the transmission / reception log file which the transmission / reception log file DB memorize | stores. 図1のインシデント対応履歴入力システムにおいて、操作ログファイルDBが記憶する操作ログファイルの構成例を示す図である。FIG. 2 is a diagram illustrating a configuration example of an operation log file stored in an operation log file DB in the incident response history input system of FIG. 1. 図1のインシデント対応履歴入力システムにおいて、収集ファイルDBが記憶する収集受発信ログテーブルの構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of a collection reception / transmission log table stored in a collection file DB in the incident response history input system of FIG. 1. 図1のインシデント対応履歴入力システムにおいて、収集ファイルDBが記憶する収集操作ログテーブルの構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of a collection operation log table stored in a collection file DB in the incident response history input system of FIG. 1. 図1のインシデント対応履歴入力システムにおいて、収集ポリシDBが記憶する収集ポリシテーブルの構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of a collection policy table stored in a collection policy DB in the incident response history input system of FIG. 1. (a)、(b)は図1のインシデント対応履歴入力システムにおいて、履歴作成テンプレートDBが記憶する対応履歴テンプレートの構成例を示す図である。(A), (b) is a figure which shows the structural example of the response history template which history creation template DB memorize | stores in the incident response history input system of FIG. 図1のインシデント対応履歴入力システムにおいて、インシデント対応履歴入力処理の処理フローの一例を示す図である。FIG. 3 is a diagram illustrating an example of a process flow of incident response history input processing in the incident response history input system of FIG. 1. 図11に続くインシデント対応履歴入力処理の処理フローの一例を示す図である。It is a figure which shows an example of the processing flow of the incident response log | history input process following FIG.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.

<システム構成>
図1は、本発明の一実施の形態における、インシデント対応履歴入力システムの構成例の概要を示す図である。図1において、インシデント対応履歴入力システムは例えば、データセンタ100と、このデータセンタ100にネットワーク140を介して接続される監視センタ200とを有する。 <System configuration>
FIG. 1 is a diagram showing an outline of a configuration example of an incident response history input system according to an embodiment of the present invention. In FIG. 1, the incident response history input system includes, for example, a data center 100 and a monitoring center 200 connected to the data center 100 via a network 140.

また、データセンタ100および監視センタ200は、所定のハードウェアおよびソフトウェアにより実装される。例えば、データセンタ100および監視センタ200は、プロセッサやメモリなどを有し、プロセッサによるメモリ上のプログラムの実行により、情報送信システムとして、データセンタ100および監視センタ200のコンピュータを機能させる。   Further, the data center 100 and the monitoring center 200 are implemented by predetermined hardware and software. For example, the data center 100 and the monitoring center 200 include a processor, a memory, and the like, and the computers of the data center 100 and the monitoring center 200 function as an information transmission system by executing a program on the memory by the processor.

データセンタ100は、監視対象機器110と障害監視装置120とを有する。障害監視装置120は、監視対象機器110を監視する。そして、障害監視装置120は、監視対象機器110で発生したインシデント(障害メッセージ)を、監視センタに送信する。障害監視装置120が送信したインシデント(障害メッセージ)は、インシデント管理部210が受信する。   The data center 100 includes a monitoring target device 110 and a failure monitoring device 120. The failure monitoring apparatus 120 monitors the monitoring target device 110. Then, the failure monitoring apparatus 120 transmits an incident (failure message) that has occurred in the monitored device 110 to the monitoring center. The incident management unit 210 receives the incident (failure message) transmitted by the failure monitoring apparatus 120.

監視センタ200は、インシデント管理部210と、CTI部220と、インシデント対応履歴入力部230と、受発信ログファイルDB310と、収集ポリシDB320と、履歴作成テンプレートDB330と、操作ログファイルDB340と、インシデントDB350と、収集ファイルDB380と、操作部10とを有する。   The monitoring center 200 includes an incident management unit 210, a CTI unit 220, an incident response history input unit 230, a transmission / reception log file DB 310, a collection policy DB 320, a history creation template DB 330, an operation log file DB 340, and an incident DB 350. And a collection file DB 380 and an operation unit 10.

インシデント管理部210は、データセンタ100が送信したインシデント(障害メッセージ)を受信し、受信したインシデント(障害メッセージ)を、インシデントDB350(Database)のインシデントテーブル360に記憶する。   The incident management unit 210 receives the incident (failure message) transmitted by the data center 100, and stores the received incident (failure message) in the incident table 360 of the incident DB 350 (Database).

サービスデスクは、インシデントテーブル360に記憶されたインシデントを参照し、インシデントに対応した手順書に基づいてCTI部220を介して顧客にインシデントの内容を通知するとともに、監視対象機器110に対して対応作業を行う。   The service desk refers to the incident stored in the incident table 360, notifies the customer of the content of the incident via the CTI unit 220 based on the procedure manual corresponding to the incident, and responds to the monitored device 110. I do.

インシデント対応履歴入力部230は、インシデントIDに対応する対応履歴テンプレート460を取得する。また、インシデント対応履歴入力部230は、ログファイルから抽出した情報と対応履歴テンプレート460とに基づいて、インシデントIDに対応する対応履歴をインシデントテーブル360に入力する。さらに、インシデント対応履歴入力部230は、収集ポリシDB320が記憶する収集ポリシテーブル450から取得する収集ポリシに基づき、ログファイルから情報を抽出する。   The incident response history input unit 230 acquires the response history template 460 corresponding to the incident ID. Further, the incident response history input unit 230 inputs the response history corresponding to the incident ID to the incident table 360 based on the information extracted from the log file and the response history template 460. Further, the incident response history input unit 230 extracts information from the log file based on the collection policy acquired from the collection policy table 450 stored in the collection policy DB 320.

<詳細構成>
図2はインシデントDB350が記憶するインシデントテーブル360の構成例を示す図である。インシデントテーブル360は、[インシデントID]、[発生日時]、[ホスト名]、[発生システム]、[顧客名]、[メッセージ]、[対応事例]、[対応履歴]、[受付日時]、[対応完了日時]などのデータ項目を含む。[インシデントID]はインシデントを識別するための記号である。[発生日時]は、インシデントが発生した日時を示す。[ホスト名]は、インシデントが発生した監視対象機器110の名称を示す。[発生システム]は、データセンタ100の名称を示す。[顧客名]は、顧客の名称を示す。[メッセージ]は、インシデントの内容を示す。[対応事例]は、インシデント管理部210によって付加される情報であり、インシデントに対する対応事例を示す。[対応履歴]は後述する図3の内容を記憶する。[受付日時]は、インシデントがインシデントテーブル360に記憶された日時を示す。[対応完了日時]は、インシデントへの対応が完了した日時を示す。 <Detailed configuration>
FIG. 2 is a diagram illustrating a configuration example of the incident table 360 stored in the incident DB 350. The incident table 360 includes [incident ID], [occurrence date / time], [host name], [occurrence system], [customer name], [message], [response case], [response history], [acceptance date], [ Data items such as [Completion date and time]. [Incident ID] is a symbol for identifying an incident. [Occurrence date and time] indicates the date and time when the incident occurred. [Host name] indicates the name of the monitoring target device 110 in which the incident has occurred. [Generation system] indicates the name of the data center 100. [Customer name] indicates the name of the customer. [Message] indicates the content of the incident. [Corresponding Case] is information added by the incident management unit 210, and indicates a corresponding case for the incident. [Correspondence history] stores the contents of FIG. 3 to be described later. [Reception Date / Time] indicates the date and time when the incident is stored in the incident table 360. [Response completion date and time] indicates the date and time when the response to the incident was completed.

図3は、インシデントテーブル360の[対応履歴]に記憶する対応履歴の例を示す図である。対応履歴は「2012-07-10 10:02:15 A社に障害内容を報告」「2012-07-10 10:05:42 tanmatsu1よりHost1にログインしXYZプロセスの起動をチェック」のように、日時と対応内容とを対応付けて記憶する。   FIG. 3 is a diagram illustrating an example of the response history stored in [Response History] of the incident table 360. The correspondence history is as follows: “2012-07-10 10:02:15 Report the failure to Company A” “2012-07-10 10:05:42 Log in to Host1 from tanmatsu1 and check the startup of the XYZ process” The date and time and the corresponding contents are stored in association with each other.

図4は、インシデントDB350が記憶するカスタマーテーブル370の構成例を示す図である。カスタマーテーブル370は、[顧客名]、[担当者氏名]、[連絡先1]、[連絡先2]、[連絡先3]などのデータ項目を含む。[顧客名]は、顧客の名称を示す。[担当者氏名]は、顧客側の担当者の氏名を示す。[連絡先1]、[連絡先2]、[連絡先3]は顧客の連絡先を示す。   FIG. 4 is a diagram illustrating a configuration example of the customer table 370 stored in the incident DB 350. The customer table 370 includes data items such as [customer name], [name of person in charge], [contact 1], [contact 2], and [contact 3]. [Customer name] indicates the name of the customer. [Name of person in charge] indicates the name of the person in charge on the customer side. [Contact 1], [Contact 2], and [Contact 3] indicate customer contacts.

図5は、受発信ログファイルDB310が記憶する受発信ログファイルの構成例を示す図である。受発信ログファイルは、[日時]と、受信したか発信したかを示す[受発信情報]と、[電話番号]と、[利用者名]と、[通話時間]などのデータ項目からなるレコードを複数記憶する。[日時]は、受発信ログファイルを受信又は発信した日時を示す。[受発信情報]は、受発信ログファイルが受信又は発信のいずれについてのものかを示す。[電話番号]は、受信又は発信した電話番号を示す。[利用者名]は、サービスデスクの氏名を示す。[通話時間]は、サービスデスクが顧客と通話した時間を示す。   FIG. 5 is a diagram illustrating a configuration example of a transmission / reception log file stored in the transmission / reception log file DB 310. The incoming / outgoing log file is a record consisting of data items such as [date / time], [incoming / outgoing call information] indicating whether it was received or sent, [phone number], [user name], and [call time]. Is stored in memory. [Date / Time] indicates the date / time when the received / sent log file is received or transmitted. [Reception / transmission information] indicates whether the reception / transmission log file is received or transmitted. [Telephone number] indicates a telephone number received or transmitted. [User name] indicates the name of the service desk. [Call duration] indicates the time when the service desk talks to the customer.

図6は、操作ログファイルDB340が記憶する操作ログファイルの構成例を示す図である。操作ログファイルは、[日時]と、操作した[端末名]と、[利用者名]と、操作対象の[センタ名]と、[操作内容]などのデータ項目からなるレコードを複数記憶する。なお、[日時]は、サービスデスクが操作をした日時を示す。   FIG. 6 is a diagram illustrating a configuration example of an operation log file stored in the operation log file DB 340. The operation log file stores a plurality of records including data items such as [date / time], operated [terminal name], [user name], [center name] to be operated, and [operation details]. [Date / Time] indicates the date / time when the service desk operated.

図7は、収集ファイルDB380が記憶する収集受発信ログテーブル400の構成例を示す図である。収集受発信ログテーブル400は、[日時]、[受発信情報]、[電話番号]、[利用者名]、[通話時間]、[収集期間]などのデータ項目を含む。[収集期間]は、ログを収集するための期間を示す。   FIG. 7 is a diagram illustrating a configuration example of the collection reception / transmission log table 400 stored in the collection file DB 380. The collection reception / transmission log table 400 includes data items such as [date / time], [transmission / reception information], [phone number], [user name], [call time], and [collection period]. [Collection period] indicates a period for collecting logs.

図8は、収集ファイルDB380が記憶する収集操作ログテーブル410の構成例を示す図である。収集操作ログテーブル410は、[日時]、[端末名]、[利用者名]、[センタ名]、[操作内容]、[収集期間]などのデータ項目を含む。   FIG. 8 is a diagram illustrating a configuration example of the collection operation log table 410 stored in the collection file DB 380. The collection operation log table 410 includes data items such as [date / time], [terminal name], [user name], [center name], [operation content], and [collection period].

図9は、収集ポリシDB320が記憶する収集ポリシテーブル450の構成例を示す図である。収集ポリシDB320が記憶する収集ポリシテーブル450は、[対象]、[ファイルパス]、[収集期間]、[条件1]、[条件2]などのデータ項目を含む。[対象]は、受発信ログ、操作ログのいずれかを示す。[ファイルパス]は、対応するログが記憶されている所在を示す。 [条件1]、[条件2]は、ログを収集するための収集期間以外の他の条件を示す。   FIG. 9 is a diagram illustrating a configuration example of the collection policy table 450 stored in the collection policy DB 320. The collection policy table 450 stored in the collection policy DB 320 includes data items such as [target], [file path], [collection period], [condition 1], and [condition 2]. [Target] indicates either a transmission / reception log or an operation log. [File path] indicates the location where the corresponding log is stored. [Condition 1] and [Condition 2] indicate conditions other than the collection period for collecting logs.

図10(a)(b)は、履歴作成テンプレートDB330が記憶する対応履歴テンプレート460の構成例を示す図である。履歴作成テンプレートDB330は、[対応事例]ごとに、対応履歴テンプレート460を記憶する。そして、各対応履歴テンプレート460は、[行数]、[収集期間]、[履歴登録文字列の雛形]、[ログ種別]、[ログ検索条件]などのデータ項目を含む。[収集期間] は、図9のテーブルの[収集期間]のデータ項目に対応している。[履歴登録文字列の雛形]は、インシデント管理部210の[対応履歴](前述、図3)に入力される内容を示す。図10の例では、「○○○」には、インシデントIDをキーにインシデントテーブル360から取得した[顧客名]が入力され、「□□□」には、ログファイルから抽出される内容が入力される。[ログ種別]は、収集したログの種別を示し、図9のテーブルの[対象]のデータ項目に記憶された内容に対応する。[ログ検索条件]は、ログファイルを抽出する条件を示す。   FIGS. 10A and 10B are diagrams illustrating a configuration example of the correspondence history template 460 stored in the history creation template DB 330. The history creation template DB 330 stores a correspondence history template 460 for each [correspondence case]. Each correspondence history template 460 includes data items such as [number of rows], [collection period], [history of registered history character string], [log type], and [log search condition]. [Collection period] corresponds to the data item of [Collection period] in the table of FIG. The “history of registered history character string” indicates the content input in the “response history” of the incident management unit 210 (described above, FIG. 3). In the example of FIG. 10, “custom name” acquired from the incident table 360 using the incident ID as a key is input to “XX”, and the content extracted from the log file is input to “□□□”. Is done. [Log type] indicates the type of the collected log, and corresponds to the content stored in the [Target] data item of the table of FIG. [Log Search Condition] indicates a condition for extracting a log file.

<インシデント対応履歴入力処理>
図11、図12は、本システムにおけるインシデント対応履歴入力処理の処理フローの一例を示す図である。なお、図12は、図11に続く図である。 <Incident response history input process>
FIG. 11 and FIG. 12 are diagrams showing an example of the processing flow of incident response history input processing in this system. In addition, FIG. 12 is a figure following FIG.

まず、S901にて、インシデント対応履歴入力部230は、[インシデントID]を操作部10から受信する。なお、[インシデントID]は、操作部10がサービスデスクから入力を受け付ける。   First, in S <b> 901, the incident response history input unit 230 receives [incident ID] from the operation unit 10. Note that the [incident ID] is input by the operation unit 10 from the service desk.

次に、S902にて、インシデント対応履歴入力部230は、収集ポリシDB320が記憶する収集ポリシテーブル450から収集ポリシを取得する。なお、収集ポリシは、受発信ログの[ファイルパス]、[収集期間]、[条件1]、[条件2]と、操作ログの[ファイルパス]、[収集期間]、[条件1]、[条件2]からなる。   Next, in S902, the incident response history input unit 230 acquires the collection policy from the collection policy table 450 stored in the collection policy DB 320. The collection policy includes [File path], [Collection period], [Condition 1], [Condition 2] in the sending / receiving log and [File path], [Collection period], [Condition 1], [Condition] in the operation log. Condition 2].

次に、S903にて、インシデント対応履歴入力部230は、S901にて受信した[インシデントID]と、S902で取得した受発信ログの[収集期間]とをキーに、インシデントテーブル360を検索し、キーに対応する受発信ログの日時を取得する。さらに、インシデント対応履歴入力部230は、S901にて受信した[インシデントID]と、S902で取得した操作ログの[収集期間]とをキーに、インシデントテーブル360を検索し、キーに対応する操作ログの日時を取得する。例えば、インシデントIDが1000であり、かつ受発信ログの[収集期間]が「受付日時」と「対応完了日時」とからなり、操作ログの[収集期間]が「発生日時」である場合、図2のインシデントテーブル360から取得する日時は、受発信ログが「2012−07−10 10:00:20(受付日時)」、「2012−07−10 10:15:11(対応完了日時)」となり、操作ログが「2012−07−10 10:00:00(発生日時)」となる。   Next, in S903, the incident response history input unit 230 searches the incident table 360 using the [incident ID] received in S901 and the [collection period] of the transmission / reception log acquired in S902 as keys, Get the date and time of the incoming / outgoing log corresponding to the key. Further, the incident response history input unit 230 searches the incident table 360 using the [incident ID] received in S901 and the [collection period] of the operation log acquired in S902 as keys, and the operation log corresponding to the key Get the date and time. For example, if the incident ID is 1000, the [collection period] of the incoming / outgoing log consists of “acceptance date / time” and “response completion date / time”, and the [collection period] of the operation log is “occurrence date / time” The date and time acquired from the incident table 360 of No. 2 is “2012-07-10 10:00:20 (reception date)” and “2012-07-10 10:15:11 (response completion date)”. , The operation log becomes “2012-07-10 10:00: 00 (occurrence date)”.

次に、S904にて、インシデント対応履歴入力部230は、S903で取得した受発信ログの日時をキーにS902で取得した受発信ログの[ファイルパス]に記憶されている受発信ログファイルを検索し、一致する日時を含むレコードを抽出する。そして、抽出したレコードを[収集期間]と対応付けて収集ファイルDB380の収集受発信ログテーブル400に記憶する。また、インシデント対応履歴入力部230は、S903で取得した操作ログの日時をキーにS902で取得した操作ログの[ファイルパス]に記憶されている操作ログファイルを検索し、一致する日時を含むレコードを抽出する。そして、抽出したレコードを[収集期間]と対応付けて収集ファイルDB380の収集操作ログテーブル410に記憶する。   Next, in S904, the incident response history input unit 230 searches the transmission / reception log file stored in [File path] of the transmission / reception log acquired in S902 using the date / time of the transmission / reception log acquired in S903 as a key. And extract records that contain the matching date and time. Then, the extracted record is stored in the collection reception / transmission log table 400 of the collection file DB 380 in association with the [collection period]. In addition, the incident response history input unit 230 searches the operation log file stored in [File path] of the operation log acquired in S902 using the operation log date and time acquired in S903 as a key, and records including the matching date and time To extract. Then, the extracted record is stored in the collection operation log table 410 of the collection file DB 380 in association with the [collection period].

次に、S905にて、インシデント対応履歴入力部230は、S902にて取得した収集ポリシに基づき、S904にてログファイル(受発信ログファイルおよび操作ログファイル)からすべてのレコードを抽出したか否かを判定する。ログファイルから、すべてのレコードを抽出していないと判定する場合(S905−Yes)、S904に進む。一方、ログファイルから、すべてのレコードを抽出したと判定する場合(S905−No)、S906に進む。   Next, in S905, the incident response history input unit 230 determines whether or not all records have been extracted from the log file (receiving / receiving log file and operation log file) in S904 based on the collection policy acquired in S902. Determine. If it is determined that not all records have been extracted from the log file (S905-Yes), the process proceeds to S904. On the other hand, when it is determined that all records have been extracted from the log file (S905-No), the process proceeds to S906.

次に、S906にて、インシデント対応履歴入力部230は、S901にて受信したインシデントIDをキーにインシデントテーブル360を検索し、キーに対応する[対応事例]を取得する。   Next, in S906, the incident response history input unit 230 searches the incident table 360 using the incident ID received in S901 as a key, and acquires a [response case] corresponding to the key.

次に、S907にて、インシデント対応履歴入力部230は、S906で取得した[対応事例]をキーに履歴作成テンプレートDB330を検索し、対応する対応履歴テンプレート460を取得する。   Next, in S907, the incident response history input unit 230 searches the history creation template DB 330 using the [response case] acquired in S906 as a key, and acquires the corresponding response history template 460.

次に、S908にて、インシデント対応履歴入力部230は、取得した対応履歴テンプレート460を参照する[行数]を「1」として設定する。   Next, in S908, the incident response history input unit 230 sets “number of rows” referring to the acquired response history template 460 as “1”.

次に、S909にて、インシデント対応履歴入力部230は、S907で取得した対応履歴テンプレート460を参照する[行数]のレコードの[ログ種別]に応じて([ログ種別]が、受発信ログである場合には、収集受発信ログテーブル400を検索し、[ログ種別]が、操作ログである場合には、収集操作ログテーブル410を検索する)、収集受発信ログテーブル400または収集操作ログテーブル410を[ログ検索条件]に基づいて検索し、対応するレコードを抽出する。より詳細には、[ログ検索条件]が、「電話番号=03−××××―××××かつ受発信情報=発信」である場合には、[電話番号]が03−××××―××××であってかつ、[受発信情報]が発信であるレコードを抽出する。   Next, in S909, the incident response history input unit 230 determines that the [Log Type] is the incoming / outgoing log according to the [Log Type] of the [Number of Rows] record that refers to the response history template 460 acquired in S907. If the log type is an operation log, the collection operation log table 410 or the collection operation log is searched. The table 410 is searched based on [log search condition], and the corresponding record is extracted. More specifically, when [Log Search Condition] is “Telephone Number = 03−XXX × −XXX and Call / Receive Information = Call”, [Phone Number] is 03−XXX. A record that is × —xxxx and [transmission / reception information] is outgoing is extracted.

次に、S910にて、インシデント対応履歴入力部230は、S909で抽出したレコードがインシデントテーブル360の[対応履歴]に記憶されているか否かを判定する。そして、S909で抽出したレコードがインシデントテーブル360の[対応履歴]に記憶されている場合(S910−Yes)、S914に進む。一方、S909で抽出したレコードがインシデントテーブル360の[対応履歴]に記憶されていない場合(S910−No)、S911に進む。   In step S <b> 910, the incident response history input unit 230 determines whether the record extracted in step S <b> 909 is stored in the “response history” of the incident table 360. If the record extracted in S909 is stored in [Reaction History] of the incident table 360 (S910-Yes), the process proceeds to S914. On the other hand, when the record extracted in S909 is not stored in the [response history] of the incident table 360 (S910-No), the process proceeds to S911.

次に、S911にて、インシデント対応履歴入力部230は、S901で受信したインシデントIDをキーにインシデントテーブル360を検索し対応する[顧客名]を取得する。そして、取得した[顧客名]を、対応履歴テンプレート460の[履歴登録文字列の雛形]の「○○○」に入力する。そして、インシデント対応履歴入力部230は、対応履歴テンプレート460の[ログ種別]が操作ログである場合、対応履歴テンプレート460の[収集期間]をキーに収集ファイルDB380を検索し、対応する[端末名]を取得する。そして、取得した[端末名]を、対応履歴テンプレート460の[履歴登録文字列の雛形]の「□□□」に入力する。   Next, in S911, the incident response history input unit 230 searches the incident table 360 using the incident ID received in S901 as a key, and acquires the corresponding [customer name]. Then, the acquired [customer name] is input to “XX” of “history of registered history character string” of the correspondence history template 460. If the [log type] of the response history template 460 is an operation log, the incident response history input unit 230 searches the collection file DB 380 using the [collection period] of the response history template 460 as a key, and selects the corresponding [terminal name] ] To get. Then, the acquired [terminal name] is input to “□□□” of “history of registered history character string” of the correspondence history template 460.

次に、S912にて、インシデント対応履歴入力部230は、対応履歴テンプレート460の[収集期間]と[ログ種別]をキーに収集ファイルDB380を検索し、対応する日時を取得する。そして、取得した日時を、インシデントテーブル360の[対応履歴]の日時に入力する。また、S911にて「○○○」と「□□□」へ入力後の対応履歴テンプレート460の[履歴登録文字列の雛形]を対応内容としてインシデントテーブル360の[対応履歴]に入力する。   Next, in S912, the incident response history input unit 230 searches the collection file DB 380 using the [collection period] and [log type] of the response history template 460 as keys, and acquires the corresponding date and time. Then, the acquired date / time is input as the date / time of [Correspondence History] in the incident table 360. In S911, the “history of registered history character string” of the response history template 460 after the input to “XXX” and “□□□” is input to the “response history” of the incident table 360 as the corresponding content.

次に、S913にて、インシデント対応履歴入力部230は、対応履歴テンプレート460のすべての[行数]に対応するレコードについて、インシデントテーブル360に、日時と対応内容を入力していないかを判定する。すべての[行数]に対応するレコードについて、日時と対応内容を入力している場合(S913−No)、処理を終了する。一方、すべての[行数]に対応するレコードについて、日時と対応内容を入力していない場合(S913−Yes)、S914に進む。S914では、[行数]をインクリメントし、S909へ進む。   In step S <b> 913, the incident response history input unit 230 determines whether the date and the response content have been input to the incident table 360 for records corresponding to all [number of rows] in the response history template 460. . For the records corresponding to all [number of rows], when the date and the corresponding contents are input (S913-No), the process is terminated. On the other hand, when the date and the corresponding content have not been input for all the records corresponding to [number of rows] (S913-Yes), the process proceeds to S914. In S914, [number of rows] is incremented, and the process proceeds to S909.

ここで、本発明のインシデント対応履歴入力方法およびプログラムは、S906、S907が第1ステップに相当し、S909〜S914が第2ステップに相当する。   Here, in the incident response history input method and program of the present invention, S906 and S907 correspond to the first step, and S909 to S914 correspond to the second step.

<本実施の形態の効果>
以上説明した本実施の形態におけるインシデント対応履歴入力システムによれば、ログファイルから抽出した情報と対応履歴テンプレートとに基づいて、インシデントIDに対応する対応履歴を入力することで、インシデントの対応履歴を自動で入力できるようになる。 <Effects of the present embodiment>
According to the incident response history input system in the present embodiment described above, the incident response history is obtained by inputting the response history corresponding to the incident ID based on the information extracted from the log file and the response history template. It becomes possible to input automatically.

また、インシデント対応履歴入力部は、収集ポリシに基づき、ログファイルから情報を抽出することで、収集ポリシに基づいてログファイルから抽出した情報と対応履歴テンプレートとに基づいて、インシデントの対応履歴を自動で入力できるようになる。   In addition, the incident response history input unit automatically extracts incident response history based on the information extracted from the log file based on the collection policy and the response history template by extracting information from the log file based on the collection policy. It becomes possible to input with.

以上、本発明によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。   As mentioned above, although the invention made | formed by this invention was concretely demonstrated based on embodiment, this invention is not limited to the said embodiment, It can change variously in the range which does not deviate from the summary. Needless to say.

本発明は、インシデントの対応履歴を自動で入力できるようになるという優れた効果を有し、インシデント対応履歴入力システムおよび方法ならびにプログラムにも適用することができる。   The present invention has an excellent effect that an incident response history can be automatically input, and can also be applied to an incident response history input system, method, and program.

10 操作部
100 データセンタ
110 監視対象機器
120 障害監視装置
140 ネットワーク
200 監視センタ
210 インシデント管理部
220 CTI部
230 インシデント対応履歴入力部
310 受発信ログファイルDB
320 収集ポリシDB
330 履歴作成テンプレートDB
340 操作ログファイルDB
350 インシデントDB
360 インシデントテーブル
370 カスタマーテーブル
380 収集ファイルDB
400 収集受発信ログテーブル
410 収集操作ログテーブル
450 収集ポリシテーブル
460 対応履歴テンプレート DESCRIPTION OF SYMBOLS 10 Operation part 100 Data center 110 Monitoring object apparatus 120 Fault monitoring apparatus 140 Network 200 Monitoring center 210 Incident management part 220 CTI part 230 Incident handling log | history input part 310 Transmission / reception log file DB
320 Collection Policy DB
330 History creation template DB
340 Operation log file DB
350 Incident DB
360 Incident table 370 Customer table 380 Collection file DB
400 Collection reception / transmission log table 410 Collection operation log table 450 Collection policy table 460 Correspondence history template

Claims (6)

データセンタと、前記データセンタにネットワークを介して接続される監視センタとを有するインシデント対応履歴入力システムであって、
前記監視センタは、インシデントIDに対応する対応履歴テンプレートを取得するインシデント対応履歴入力部を有し、
前記インシデント対応履歴入力部は、ログファイルから抽出した情報と前記対応履歴テンプレートとに基づいて、前記インシデントIDに対応履歴を入力することを特徴とするインシデント対応履歴入力システム。 An incident response history input system having a data center and a monitoring center connected to the data center via a network,
The monitoring center has an incident response history input unit for acquiring a response history template corresponding to an incident ID,
The incident response history input system, wherein the incident response history input unit inputs a response history to the incident ID based on information extracted from a log file and the response history template. 請求項1に記載のインシデント対応履歴入力システムにおいて、
前記インシデント対応履歴入力部は、収集ポリシに基づき、前記ログファイルから前記情報を抽出することを特徴とするインシデント対応履歴入力システム。 In the incident response history input system according to claim 1,
The incident response history input system, wherein the incident response history input unit extracts the information from the log file based on a collection policy. データセンタと、前記データセンタにネットワークを介して接続される監視センタとを有するインシデント対応履歴入力システムにおけるインシデント対応履歴入力方法であって、
前記監視センタにより、インシデントIDに対応する対応履歴テンプレートを取得する第1ステップと、ログファイルから抽出した情報と前記対応履歴テンプレートとに基づいて、前記インシデントIDに対応履歴を入力する第2ステップと、を有することを特徴とするインシデント対応履歴入力方法。 An incident response history input method in an incident response history input system having a data center and a monitoring center connected to the data center via a network,
A first step of acquiring a response history template corresponding to an incident ID by the monitoring center; a second step of inputting a response history to the incident ID based on information extracted from a log file and the response history template; An incident response history input method characterized by comprising: 請求項3に記載のインシデント対応履歴入力方法において、前記第2ステップでは、収集ポリシに基づき前記ログファイルから抽出した前記情報と前記対応履歴テンプレートとに基づいて、前記インシデントIDに前記対応履歴を入力することを特徴とするインシデント対応履歴入力方法。   4. The incident response history input method according to claim 3, wherein, in the second step, the response history is input to the incident ID based on the information extracted from the log file based on a collection policy and the response history template. Incident response history input method. データセンタと、前記データセンタにネットワークを介して接続される監視センタとを有するインシデント対応履歴入力システムのコンピュータを機能させるためのプログラムであって、
前記監視センタにより、インシデントIDに対応する対応履歴テンプレートを取得する第1ステップと、ログファイルから抽出した情報と前記対応履歴テンプレートとに基づいて、前記インシデントIDに対応履歴を入力する第2ステップと、を前記コンピュータに実行させることを特徴とするインシデント対応履歴入力プログラム。 A program for causing a computer of an incident response history input system having a data center and a monitoring center connected to the data center via a network,
A first step of acquiring a response history template corresponding to an incident ID by the monitoring center; a second step of inputting a response history to the incident ID based on information extracted from a log file and the response history template; , Causing the computer to execute the incident response history input program. 請求項5に記載のプログラムにおいて、前記第2ステップでは、収集ポリシに基づき前記ログファイルから抽出した前記情報と前記対応履歴テンプレートとに基づいて、前記インシデントIDに前記対応履歴を入力することを特徴とするインシデント対応履歴入力プログラム。   6. The program according to claim 5, wherein in the second step, the response history is input to the incident ID based on the information extracted from the log file based on a collection policy and the response history template. Incident response history input program.
JP2012270483A 2012-12-11 2012-12-11 Incident response history input system, method and program Expired - Fee Related JP6100515B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012270483A JP6100515B2 (en) 2012-12-11 2012-12-11 Incident response history input system, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012270483A JP6100515B2 (en) 2012-12-11 2012-12-11 Incident response history input system, method and program

Publications (2)

Publication Number Publication Date
JP2014115890A true JP2014115890A (en) 2014-06-26
JP6100515B2 JP6100515B2 (en) 2017-03-22

Family

ID=51171803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012270483A Expired - Fee Related JP6100515B2 (en) 2012-12-11 2012-12-11 Incident response history input system, method and program

Country Status (1)

Country Link
JP (1) JP6100515B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017107348A (en) * 2015-12-09 2017-06-15 株式会社日立製作所 Integrated operation monitoring system and method for calculating degree of association with operation handling log

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005352848A (en) * 2004-06-11 2005-12-22 Fujitsu Ltd Operation report creating method
JP2012150703A (en) * 2011-01-20 2012-08-09 Hitachi Systems Ltd Incident management information system, elapsed time collection method therefor and elapsed time collection program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005352848A (en) * 2004-06-11 2005-12-22 Fujitsu Ltd Operation report creating method
JP2012150703A (en) * 2011-01-20 2012-08-09 Hitachi Systems Ltd Incident management information system, elapsed time collection method therefor and elapsed time collection program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017107348A (en) * 2015-12-09 2017-06-15 株式会社日立製作所 Integrated operation monitoring system and method for calculating degree of association with operation handling log

Also Published As

Publication number Publication date
JP6100515B2 (en) 2017-03-22

Similar Documents

Publication Publication Date Title
US10862906B2 (en) Playbook based data collection to identify cyber security threats
CN109525608A (en) Log reporting method and device, blog management method and device and terminal device
US11677704B1 (en) Techniques for scam detection and prevention
CN105701122B (en) Log collection method, device and system
WO2019089795A1 (en) Analysis and reporting of suspicious email
CN103827810A (en) Asset model import connector
CN112106049A (en) System and method for generating private data isolation and reporting
CN102982049B (en) Methods and systems for implementing email recipient templates
CN105827459B (en) Method and device for calling maintenance center by intelligent equipment
CN104184653B (en) A kind of method and apparatus of message screening
CN109800098A (en) Service exception node positioning method, device, computer equipment and storage medium
CN107634947A (en) Limitation malice logs in or the method and apparatus of registration
CN112073923A (en) Communication method, device, gateway and readable storage medium compatible with multiple operators
JP5823185B2 (en) Sender information providing apparatus and program
CN109495350B (en) Office data checking method, office data checking device and storage medium
US8831192B1 (en) Telemarketer identity verification
CN102799820B (en) A kind of restoration methods of user cipher
CN114090921A (en) Page display method and device, storage medium and electronic device
US20200067985A1 (en) Systems and methods of interactive and intelligent cyber-security
US11258768B2 (en) Optimization of the isolation and disabling of unauthorized applications by detection of false positives
JP6100515B2 (en) Incident response history input system, method and program
CN111177536B (en) Method and device for transmitting customized information to unregistered user based on device fingerprint and electronic device
CN108737350B (en) Information processing method and client
US11134062B1 (en) Isolating and disabling unauthorized applications
US11425100B2 (en) Optimization of redundant usage patterns based on historical data and security constraints

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170223

R150 Certificate of patent or registration of utility model

Ref document number: 6100515

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees