JP2014153742A - Log management system, log management device and log management method - Google Patents

Log management system, log management device and log management method Download PDF

Info

Publication number
JP2014153742A
JP2014153742A JP2013020255A JP2013020255A JP2014153742A JP 2014153742 A JP2014153742 A JP 2014153742A JP 2013020255 A JP2013020255 A JP 2013020255A JP 2013020255 A JP2013020255 A JP 2013020255A JP 2014153742 A JP2014153742 A JP 2014153742A
Authority
JP
Japan
Prior art keywords
log
file
file operation
access
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013020255A
Other languages
Japanese (ja)
Other versions
JP5603447B2 (en
Inventor
Naoto Fujiki
直人 藤木
Takeshi Nagayoshi
剛 永吉
Shinichi Nakahara
慎一 中原
Kaku Takeuchi
格 竹内
Shinya Takada
慎也 高田
Yifan Zhang
一凡 張
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013020255A priority Critical patent/JP5603447B2/en
Publication of JP2014153742A publication Critical patent/JP2014153742A/en
Application granted granted Critical
Publication of JP5603447B2 publication Critical patent/JP5603447B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a log management technology for enabling a user to efficiently grasp the derivative status of a file.SOLUTION: A log management device includes: a file operation log storage part for storing a file operation log including at least information indicating the operation target file of a file operation in a client terminal, which is applied with log identification information for uniquely identifying a series of file operation logs; a server log storage part for storing an access log including at least information indicating the access target file of access to the server; and a log storage part for extracting the access log including the access target file matching the operation target file of the file operation log stored in the file operation log storage part from among access logs stored in the server log storage part, and for setting the extracted access log to a start point in the series of file operation logs, and for storing the file operation log added with the log identification information for uniquely identifying the series of file operation logs in the file operation log storage part.

Description

この発明は、電子ファイル(以下、単に「ファイル」ともいう)に対するファイル操作ログを蓄積し、蓄積したファイル操作ログを検索して電子ファイルに関する操作の履歴を追跡するログ管理技術に関する。   The present invention relates to a log management technique for accumulating file operation logs for electronic files (hereinafter also simply referred to as “files”), searching the accumulated file operation logs, and tracking the history of operations relating to electronic files.

近年、クラウドサービスの普及に伴い、オンラインストレージサービスに代表される、ネットワーク上の仮想的なストレージ領域に業務データを預託するサービスが普及しつつある。このようなサービスの利用には、自ら設備を構築、運用することなく業務効率を向上させることができるという利点がある。一方で、預託したデータやファイルが適切に取り扱われているか、元のファイルから派生したファイルが拡散していないかといったセキュリティ面での懸念が指摘されている。   In recent years, with the spread of cloud services, services that deposit business data in a virtual storage area on a network, represented by online storage services, are becoming widespread. The use of such a service has the advantage that the business efficiency can be improved without having to construct and operate the facility itself. On the other hand, security concerns have been pointed out, such as whether the deposited data and files are handled appropriately and whether the files derived from the original files are spread.

これに対応する技術として、ファイル操作ログを用いてファイルの派生状況を明らかにする方法がある。例えば以下のように行う。まず、ファイル操作を行うクライアント端末からファイル操作ログを収集して一元的に蓄積する。次に、蓄積されたファイル操作ログに対して、ファイルの保存場所や操作内容などのファイル操作に関する情報などを検索条件として検索する。このようにすることで、特定のファイルが取り扱われている様子を示すログを抽出することができる。   As a technique corresponding to this, there is a method of clarifying a derivation state of a file using a file operation log. For example, it is performed as follows. First, file operation logs are collected from client terminals that perform file operations and stored in a unified manner. Next, the stored file operation log is searched using information related to file operations such as a file storage location and operation contents as a search condition. In this way, it is possible to extract a log indicating how a specific file is handled.

また、任意のファイル操作ログを起点として時系列に追跡することで、特定のファイルに対する一連のファイル操作を明らかにすることができる。この追跡結果からファイルの取り扱い状況を調査することで、ファイルに含まれる重要情報の残存を確認することができる。ここでは、追跡調査において、起点とするファイル操作ログを起点ログと呼ぶ。起点ログに記載された操作時刻を基準として、未来方向に向かって一連のログを追跡する処理を派生追跡と呼び、過去に向かって一連のログを追跡する処理を由来追跡と呼ぶ。   In addition, a series of file operations on a specific file can be clarified by tracking an arbitrary file operation log as a starting point in time series. By investigating the handling status of the file from the tracking result, it is possible to confirm the remaining important information contained in the file. Here, the file operation log that is the starting point in the follow-up survey is called the starting point log. The process of tracking a series of logs toward the future based on the operation time described in the origin log is called derivative tracking, and the process of tracking a series of logs toward the past is called origin tracking.

このようなファイル操作ログを用いてファイルの取り扱い状況を明らかにすることができる機能を有し、特定のファイルに対する一連の操作ログをツリー形式で表示する技術として、特許文献1、特許文献2が知られている。   Patent Literature 1 and Patent Literature 2 are technologies for displaying a series of operation logs for a specific file in a tree format having a function of clarifying a file handling status using such a file operation log. Are known.

特開2008−052570号公報JP 2008-052570 A 特開2009−015659号公報JP 2009-015659 A

従来のコンピュータシステムは、操作を行うクライアント端末に直接接続されたハードディスクに格納されているファイルや、ファイル共有サーバによってネットワークを介して共有可能なファイルに対して、操作を行うクライアント端末において生成されるファイル操作ログを収集し、ファイルの派生関係を記録し、表示するものである。   A conventional computer system is generated at a client terminal that operates on a file stored in a hard disk directly connected to the client terminal that performs the operation, or a file that can be shared via a network by a file sharing server. It collects file operation logs and records and displays file derivation relationships.

しかしながら、従来のコンピュータシステムでは、ファイルをダウンロードさせるサーバ(ウェブサーバ、FTPサーバ、メールサーバやオンラインストレージサービスを構成するサーバ等)からダウンロードしたファイルを起点として派生追跡すること、および任意のファイルがダウンロードされたものであるかを由来追跡することは、アクセス方法が異なるために困難である。   However, in a conventional computer system, a file downloaded from a server (web server, FTP server, mail server, server constituting an online storage service, etc.) that downloads a file is derived and traced, and an arbitrary file is downloaded. It is difficult to track the origin of the information because the access method is different.

この発明はこのような点に鑑みてなされたものであり、サーバのアクセスログとクライアント端末のファイル操作ログを収集し、ダウンロードに対するファイル操作ログを生成することで、全体としてファイルの派生状況を効率的に把握することができるログ管理技術を提供することを目的とする。   The present invention has been made in view of these points, and collects server access logs and client terminal file operation logs, and generates file operation logs for downloads. The purpose is to provide log management technology that can be grasped automatically.

上記の課題を解決するために、本発明の第一の態様によれば、ログ管理システムは、自端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログを生成するクライアント端末と、クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するサーバと、ファイル操作ログとアクセスログとを蓄積するログ管理装置と、ログ管理装置に検索条件を送信し、ログ管理装置から検索結果を受信する検索装置と、を含む。ログ管理装置は、ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、アクセスログを蓄積するサーバログ記憶部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む。   In order to solve the above problem, according to the first aspect of the present invention, the log management system includes a client terminal that generates a file operation log including at least information indicating a file operation target file in the terminal, A server that generates an access log including at least information indicating a file to be accessed accessed from a client terminal, a log management device that accumulates file operation logs and access logs, a search condition to the log management device, and log management A search device that receives search results from the device. The log management device assigns log identification information for uniquely identifying a series of file operation logs to the file operation log, accumulates the file operation log storage unit, stores the access log, server log storage unit, and file operation An access log that includes an access target file that matches the operation target file of the file operation log stored in the log storage unit is extracted from the access log stored in the server log storage unit, and the extracted access log is a series of file operations. A log accumulation unit that accumulates in the file operation log storage unit by adding log identification information that uniquely identifies the series of file operation logs as a starting point in the log, and among the file operation logs accumulated in the file operation log storage unit A log search / aggregation unit that extracts file operation logs that match the search conditions and generates search results, and a log Based on the information, including a log tracking unit for generating a tracking result of the derived tracking or derived track, the.

上記の課題を解決するために、本発明の他の態様によれば、ログ管理装置は、クライアント端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログを蓄積するサーバログ記憶部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む。   In order to solve the above problem, according to another aspect of the present invention, the log management device adds a series of file operation logs to a file operation log including at least information indicating a file operation target file in the client terminal. A file operation log storage unit that assigns and accumulates log identification information that is uniquely identified, a server log storage unit that stores an access log including at least information indicating an access target file for access to the server, and a file operation log storage unit The access log that contains the access target file that matches the operation target file of the file operation log accumulated in the server is extracted from the access log accumulated in the server log storage unit, and the extracted access log is the starting point in the series of file operation logs. Log identification information that uniquely identifies the set of file operation logs. Is added to the file operation log storage unit, and the file operation log that matches the search conditions specified by the search device is extracted from the file operation log stored in the file operation log storage unit. A log search / aggregation unit for generating a search result; and a log tracking unit for generating a tracking result of derivative tracking or origin tracking based on the log identification information.

上記の課題を解決するために、本発明の他の態様によれば、ログ管理方法は、クライアント端末が、自端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログを生成するステップと、サーバが、クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するステップと、ログ管理装置が、ファイル操作ログとアクセスログとを蓄積するログ管理ステップと、検索装置が、ログ管理装置に検索条件を送信し、ログ管理装置から検索結果を受信するステップと、を含む。ログ管理ステップは、ログ管理装置が、ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、操作ログ記憶部に、蓄積するファイル操作ログ記憶ステップと、ログ管理装置が、サーバログ記憶部にアクセスログを蓄積するサーバログ記憶ステップと、ログ管理装置のログ蓄積部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積ステップと、ログ管理装置のログ検索/集計部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、ログ管理装置のログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む。   In order to solve the above problems, according to another aspect of the present invention, the log management method includes a step of generating a file operation log including at least information indicating an operation target file of the file operation in the client terminal. A server generating an access log including at least information indicating an access target file accessed from a client terminal, a log management device storing a file operation log and an access log, and a search device Transmitting a search condition to the log management device and receiving a search result from the log management device. The log management step includes a file operation log storage step in which the log management device assigns log identification information that uniquely identifies a series of file operation logs to the file operation log, and accumulates in the operation log storage unit; Server log storage step in which the device stores the access log in the server log storage unit, and the access target file in which the log storage unit of the log management device matches the operation target file of the file operation log stored in the file operation log storage unit Is extracted from the access logs stored in the server log storage unit, and the log identification information that uniquely identifies the series of file operation logs as the starting point in the series of file operation logs. Log accumulation step to be added and accumulated in the file operation log storage unit, and log search / aggregation of the log management device However, the log search / aggregation step for extracting the file operation log that matches the search condition from the file operation log accumulated in the file operation log storage unit and generating the search result, and the log tracking unit of the log management device, And a log tracking step for generating a tracking result of the derived tracking or the origin tracking based on the log identification information.

上記の課題を解決するために、本発明の他の態様によれば、ログ管理方法は、クライアント端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、ファイル操作ログ記憶部に蓄積するファイル操作ログ記憶ステップと、サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログをサーバログ記憶部に蓄積するサーバログ記憶ステップと、ログ蓄積部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積ステップと、ログ検索/集計部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、ログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む。   In order to solve the above problem, according to another aspect of the present invention, a log management method includes a series of file operation logs in a file operation log including at least information indicating a file operation target file in a client terminal. A file operation log storage step for accumulating in the file operation log storage unit by assigning uniquely identifying log identification information and an access log including at least information indicating an access target file for access to the server are stored in the server log storage unit In the access log stored in the server log storage unit, the server log storage step and the log storage unit include an access log including an access target file that matches the operation target file of the file operation log stored in the file operation log storage unit. And extract the extracted access logs into a series of file operation logs A log accumulation step for adding log identification information for uniquely identifying a series of file operation logs and accumulating them in the file operation log storage unit and a log search / aggregation unit are accumulated in the file operation log storage unit. The log search / aggregation step that extracts the file operation log that matches the search conditions specified by the search device from the file operation log and generates the search result, and the log tracking unit derives the tracking based on the log identification information Or a log tracking step for generating a tracking result of origin tracking.

この発明のログ管理装置は、ファイル操作ログを蓄積する際に、クライアント端末のファイル操作ログに加えて、サーバのファイルに対するアクセスログを取得することで、サーバに保管されていたファイルの派生状況を追跡することができる。   When accumulating file operation logs, the log management apparatus according to the present invention acquires the access logs for the server files in addition to the file operation logs of the client terminal, thereby indicating the derivation status of the files stored in the server. Can be tracked.

ログ管理装置の構成例を示すブロック図である。It is a block diagram which shows the structural example of a log management apparatus. ファイル操作ログの構成例を示す図である。It is a figure which shows the structural example of a file operation log. ファイルアクセスログの構成例を示す図である。It is a figure which shows the structural example of a file access log. 一連のファイル操作を識別するためのログ識別情報が付与されたファイル操作ログの構成例を示す図。The figure which shows the structural example of the file operation log to which the log identification information for identifying a series of file operation was provided. ダウンロードファイルを蓄積する処理手順を示すフロー図である。It is a flowchart which shows the process sequence which accumulate | stores a download file. 検索装置が検索結果を表示する例を示す図である。It is a figure which shows the example in which a search device displays a search result. ダウンロードログを検索/集計する処理手順を示すフロー図である。It is a flowchart which shows the process sequence which searches / aggregates a download log. 検索装置が検索結果としてダウンロードファイルの一覧を表示する例を示す図である。It is a figure which shows the example which a search apparatus displays the list of download files as a search result. ダウンロードログを追跡する処理手順を示すフロー図である。It is a flowchart which shows the process sequence which tracks a download log. 検索装置が追跡結果を表示する例を示す図である。It is a figure which shows the example in which a search device displays a tracking result. 検索装置がファイル名を検索条件に指定した場合の検索結果を表示する例を示す図。The figure which shows the example which displays a search result when a search device designates a file name as a search condition. 検索装置が指定されたファイル名に一致したファイルの一覧を表示する例を示す図。The figure which shows the example which displays the list of the files in which the search device matched the designated file name.

以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the component which has the same function in drawing, and duplication description is abbreviate | omitted.

図1は、この実施例のログ管理装置100と周辺機器の構成を示すブロック図である。ログ管理システム10は、ログ管理装置100と検索装置200とN台のファイル操作ログの監視対象となるクライアント端末300n(n=1,2,…,N)とサーバ400とを含み、各装置は、ネットワーク1に接続される。ネットワーク1は、ログ管理装置100と検索装置200、およびログ管理装置100とN台のクライアント端末300nそれぞれとサーバ400とが相互に通信可能なように構成される。ネットワーク1は、例えば、インターネットやLAN、WANなどで構成することができる。ログ管理装置100は、ログ追跡部110とログ蓄積部120とログ検索/集計部130とファイル操作ログ記憶部140とサーバログ記憶部150とを備える。   FIG. 1 is a block diagram showing the configuration of the log management apparatus 100 and peripheral devices of this embodiment. The log management system 10 includes a log management device 100, a search device 200, a client terminal 300n (n = 1, 2,..., N) to be monitored for N file operation logs, and a server 400. , Connected to the network 1. The network 1 is configured so that the log management device 100 and the search device 200, the log management device 100, each of the N client terminals 300n, and the server 400 can communicate with each other. The network 1 can be configured by, for example, the Internet, a LAN, or a WAN. The log management apparatus 100 includes a log tracking unit 110, a log storage unit 120, a log search / aggregation unit 130, a file operation log storage unit 140, and a server log storage unit 150.

[ログ蓄積方法の説明]
N台のクライアント端末300nは、それぞれ自端末におけるファイル操作を監視し、ファイル操作がなされる都度、その操作内容を記述したファイル操作ログを生成し、ログ管理装置100へ送信する。ファイル操作の監視は、後述するファイル操作ログに設定される情報が取得できる方法であれば、既知のいかなる方法も用いることができる。例えば、監視対象装置であるクライアント端末300nで常時動作するエージェントプログラムにより取得してもよいし、クライアント端末300nを構成する基本ソフトウェア(Operation System)の提供するセキュリティログから取得してもよい。 [Explanation of log accumulation method]
Each of the N client terminals 300n monitors a file operation at the own terminal, and each time a file operation is performed, a file operation log describing the operation content is generated and transmitted to the log management apparatus 100. Any known method can be used for monitoring the file operation as long as the information set in the file operation log described later can be acquired. For example, it may be acquired by an agent program that always operates on the client terminal 300n that is the monitoring target device, or may be acquired from a security log provided by basic software (Operation System) that configures the client terminal 300n.

サーバ400は、クライアント端末300nからの自サーバに対するアクセスを監視し、アクセス情報を記述したアクセスログを生成し、ログ管理装置100へ送信する。サーバ400は、ファイルのダウンロードサービスを提供するウェブサーバとして実施例を説明するが、オンラインストレージサービスを構成するサーバでもよく、また、添付ファイルを送受信する電子メールを扱うメールサーバでもよい。要は、クライアント端末300nからの求めに応じて、ファイルをダウンロードさせるサーバであればどのようなサーバであってもよい。ファイルへのアクセスの監視は、後述するアクセスログに設定される情報が取得できる方法であれば、既知のいかなる方法も用いることができる。例えばサーバ400を構成するミドルウェアが提供するアクセスログから取得してもよい。   The server 400 monitors access to the server from the client terminal 300n, generates an access log describing the access information, and transmits the access log to the log management apparatus 100. The server 400 is described as an example of a web server that provides a file download service. However, the server 400 may be a server that constitutes an online storage service, or may be a mail server that handles e-mails that send and receive attached files. In short, any server that downloads a file in response to a request from the client terminal 300n may be used. Any known method can be used for monitoring access to a file as long as information set in an access log described later can be acquired. For example, you may acquire from the access log which the middleware which comprises the server 400 provides.

図2にファイル操作ログの構成例を示す。「日時=」に続く文字列は、操作が行われた日時(以下、操作日時)を表す。「ホスト=」に続く文字列は、ファイル操作が行われたクライアント端末300m(mは1,2,…,Nの何れかであり、クライアント端末300mを以下、操作端末とも呼ぶ)の名称を表す。「ユーザ=」に続く文字列は、ファイル操作が行われた際に、操作端末にログインしていたユーザを表す。「アプリケーション=」に続く文字列は、ファイル操作に用いられたアプリケーションの名称を表す。「操作種別=」に続く文字列は、ファイル操作内容の種別を表す。「元ファイル名=」に続く文字列は、ファイル操作前のファイル名を表す。「元ファイルパス=」に続く文字列は、ファイル操作前のファイルパスを表す。「先ファイル名=」に続く文字列は、ファイル操作後のファイル名を表す。「先ファイルパス=」に続く文字列は、ファイル操作後のファイルパスを表す。操作種別には、作成(Create)、削除(Delete)、参照(Read)、更新(Modify)、複製(Copy)、移動(Move)、変名(Rename)、別名保存(SaveAs)などが設定される。元ファイルパスおよび先ファイルパスは、ローカルパスで設定してもよいし、ネットワークパスで設定してもよい。ローカルパスとは、操作端末に搭載されているディスクドライブを示す情報を含むファイルパスの記述方式である。ネットワークパスとは、ファイルを保有する端末のホスト名(IPアドレスを含む)を含むファイルパスの記述方法である。パスの記述方法は装置を構成する基本ソフトウェアによって異なるが、例えば、Microsoft社のWindows(登録商標)であれば、ローカルパスはディスクドライブのドライブ文字で始まる文字列となり、ネットワークパスは「\\」にホスト名が続いた文字列から始まる文字列となる。   FIG. 2 shows a configuration example of the file operation log. A character string following “date and time =” represents the date and time when the operation was performed (hereinafter, the operation date and time). The character string following “host =” represents the name of the client terminal 300m (m is any one of 1, 2,..., N, and the client terminal 300m is also referred to as an operation terminal hereinafter) on which the file operation is performed. . The character string following “user =” represents the user who has logged in to the operation terminal when the file operation is performed. The character string following “application =” represents the name of the application used for the file operation. The character string following “operation type =” represents the type of file operation content. A character string following “original file name =” represents a file name before the file operation. The character string following “original file path =” represents the file path before the file operation. A character string following “destination file name =” represents a file name after file operation. The character string following “destination file path =” represents the file path after the file operation. Create (Delete), reference (Read), update (Modify), duplicate (Copy), move (Move), rename (Rename), save as (SaveAs), etc. are set as the operation type . The original file path and the destination file path may be set as a local path or a network path. The local path is a description method of a file path including information indicating a disk drive mounted on the operation terminal. The network path is a file path description method including the host name (including the IP address) of the terminal that holds the file. The path description method differs depending on the basic software that configures the device. For example, in the case of Microsoft Windows (registered trademark), the local path is a character string that starts with the drive letter of the disk drive, and the network path is "\\". The string starts with a string followed by the host name.

図2(A)は、ファイルが生成された際に出力されるファイル操作ログの例である。2012年11月12日10時10分15.311秒に、ホスト名が「PC_001」であるいずれかのクライアント端末300mにおいて、ユーザ「User_001」が、アプリケーション「APPLICATION01.exe」を用いて、ファイルパスが「C:\My Documents\説明資料.txt」であるファイル名「説明資料.txt」を、作成したことを示している。操作種別が作成(Create)の場合、ファイル操作の前には操作対象ファイルが存在しなかったため、先ファイル名および先ファイルパスには空文字列が設定される。操作種別が削除(Delete)のようにファイル操作の後には操作対象ファイルが存在しなくなる場合や、参照(Read)や更新(Modify)のように、ファイル操作の前後で操作対象ファイルのファイル名およびファイルパスが変更されない場合にも、先ファイル名および先ファイルパスには空文字列が設定される。   FIG. 2A is an example of a file operation log that is output when a file is generated. On November 12, 2012 at 10: 10: 15.311 seconds, at any client terminal 300m with the host name "PC_001", the user "User_001" uses the application "APPLICATION01.exe" and the file path is " This indicates that the file name “Explanation document.txt”, which is “C: \ My Documents \ Explanation document.txt”, has been created. When the operation type is “Create”, since the operation target file does not exist before the file operation, an empty string is set in the destination file name and the destination file path. If the operation target file does not exist after the file operation, such as when the operation type is Delete (Delete), or the file name and the operation target file before and after the file operation, such as referencing (Read) or updating (Modify) Even when the file path is not changed, an empty string is set in the destination file name and the destination file path.

図2(B)は、ファイルが複製された際に出力されるファイル操作ログの例である。2012年11月12日11時35分05.335秒に、ホスト名が「PC_002」であるいずれかのクライアント端末300mにおいて、ユーザ「User_002」が、アプリケーション「APPLICATION02.exe」を用いて、ファイルパスが「\\10.10.1.5\File\解説資料.doc」であるファイル名「解説資料.doc」を、ファイルパス「C:\My Documents\解説資料.doc」であるファイル名「解説資料.doc」として、複製したことを示している。操作種別が複製(Copy)もしくは移動(Move)もしくは変名(Rename)もしくは別名保存(SaveAs)の場合には、ファイル操作の前後で操作対象ファイルのファイル名もしくはファイルパスが変更されるため、先ファイル名および先ファイルパスが設定される。   FIG. 2B is an example of a file operation log that is output when a file is replicated. At 11: 35: 05.335 on November 12, 2012, the user "User_002" uses the application "APPLICATION02.exe" and the file path is " The file name “explanation material.doc” with \\ 10.10.1.5 \ File \ explanation material.doc ”is changed to the file name“ explanation material.doc ”with the file path“ C: \ My Documents \ explanation material.doc ”. , Indicating that it was duplicated. If the operation type is Duplicate (Copy), Move (Move), Rename (Rename) or Save As (SaveAs), the file name or file path of the operation target file is changed before and after the file operation, so the destination file Name and destination file path are set.

図3にサーバ400におけるアクセスログの構成例を示す。「ホスト名」の列にある文字列は、アクセス元のクライアント端末300p(pは1,2,…,Nの何れかであり、クライアント端末300pを以下、アクセス端末ともいう)の名称を表す。「日時」の列にある文字列はアクセスが行われた日時(以下、アクセス日時)を表す。「メールアドレス」の列にある文字列は、サーバ400に対してアクセスを行ったユーザのユーザ識別子(本実施例ではメールアドレス)を表す。「リクエスト」の列にある文字列は、サーバ400に対するリクエストの内容とプロトコルを表す。「ステータス」の列にある文字列は、アクセス結果を意味し、クライアントに送信されたHTTPステータスコードを表す。例えば、HTTPステータスコードが「200」の場合、アクセス結果が成功であることを意味する。「バイト数」の列にある文字列は、クライアントに送信されたファイルのバイト数を表す。「リクエスト」の列にある文字列は、GET、PUT等のリクエストの種別とURL(http://で始まるアクセス先を示す文字列)とプロトコル種別(HTTP/1.0等の文字列)により構成される。さらにストレージサービスを構成するサーバ400のログと組み合わせて、ユーザ名、メールアドレス、ファイルパス名を取得する構成例としてもよい。アクセスログには、アクセスのアクセス対象ファイルを示す情報が含まれ、この例では、図3の「リクエスト」の文字列に含まれるファイル名がアクセス対象ファイルである。例えば、図3の1行目のアクセスログのアクセス対象ファイルは「index.html」である。   FIG. 3 shows a configuration example of the access log in the server 400. The character string in the “host name” column represents the name of the access source client terminal 300p (p is any one of 1, 2,..., N, and the client terminal 300p is also referred to as an access terminal hereinafter). A character string in the “date and time” column represents the date and time when access was performed (hereinafter referred to as access date and time). The character string in the “mail address” column represents the user identifier (the mail address in this embodiment) of the user who has accessed the server 400. The character string in the “request” column represents the content and protocol of the request to the server 400. A character string in the “status” column means an access result and represents an HTTP status code transmitted to the client. For example, when the HTTP status code is “200”, it means that the access result is successful. The character string in the “byte count” column represents the byte count of the file transmitted to the client. The character string in the “Request” column consists of the request type such as GET, PUT, URL (character string indicating the access destination starting with http: //), and protocol type (character string such as HTTP / 1.0). The Furthermore, it is good also as a structural example which acquires a user name, an e-mail address, and a file path name combining with the log of the server 400 which comprises a storage service. The access log includes information indicating the access target file. In this example, the file name included in the character string “request” in FIG. 3 is the access target file. For example, the access target file of the access log on the first line in FIG. 3 is “index.html”.

ログ管理装置100は、クライアント端末300nからファイル操作ログを受信し、一連のファイル操作ログを一意に識別するログ識別情報を付与して、ファイル操作ログ記憶部140に蓄積する。また、ログ管理装置100は、サーバ400からアクセスログを受信し、サーバログ記憶部150に蓄積する。   The log management apparatus 100 receives the file operation log from the client terminal 300n, adds log identification information for uniquely identifying a series of file operation logs, and accumulates the log operation information in the file operation log storage unit 140. Further, the log management apparatus 100 receives the access log from the server 400 and accumulates it in the server log storage unit 150.

ファイル操作ログ記憶部140には、以前に受信したファイル操作ログが記憶されている。また、特定ファイルに対する一連のファイル操作が連結されて保存されている。具体的には、ファイルA.txtが作成され、複製され、変名された、というそれぞれのログに対して同一の識別子(以下「ログ識別情報」ともいう)が付与されて保存されている(図4の1〜3行目参照)。サーバログ記憶部150には、以前に受信したアクセスログが記憶される。ファイル操作ログ記憶部140とサーバログ記憶部150は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。ここでは、ファイル操作ログ記憶部140とサーバログ記憶部150をリレーショナルデータベースにより構成した場合を例として説明する(図3及び図4参照)。この場合、蓄積されたファイル操作ログとアクセスログは、各要素に対応するカラムを持つそれぞれのテーブルに、1件のログを1レコードとして登録される。   The file operation log storage unit 140 stores a previously received file operation log. A series of file operations for a specific file are concatenated and stored. Specifically, the same identifier (hereinafter also referred to as “log identification information”) is assigned to each log that file A.txt has been created, copied, and renamed (see FIG. 5). 4 (1-3 lines). The server log storage unit 150 stores previously received access logs. The file operation log storage unit 140 and the server log storage unit 150 include, for example, a semiconductor memory device such as a RAM (Random Access Memory) and a flash memory, a middleware such as a relational database and a key / value store, a hard disk, An auxiliary storage device such as an optical disk can be used. Here, a case where the file operation log storage unit 140 and the server log storage unit 150 are configured by a relational database will be described as an example (see FIGS. 3 and 4). In this case, the accumulated file operation log and access log are registered as one record with one log in each table having a column corresponding to each element.

ファイル操作ログ記憶部140では、ファイル操作ログの到着順を監視し、予め登録されたルールに合致した場合には新たなファイル操作ログを生成する。例えば、クライアント端末300mが「名前を付けて保存」のウィンドウタイトルを表示したときに、ログ管理装置100は、表示したことを示す情報をクライアント端末300mから受信するものとする。その場合、ログ管理装置100は、クライアント端末300mから一定時間内において、「名前を付けて保存」のウィンドウタイトルを表示したことを示す情報と、操作種別が作成(Create)であるファイル操作ログと、操作種別が参照(Read)であるファイル操作ログとがファイル操作ログ記憶部140に到着するか否かを監視し、三つのファイル操作ログの到着が検出できた場合(予め登録されたルールに合致した場合)、操作種別を別名保存(SaveAs)として、新たにファイル操作ログを生成する。このとき、新たに生成するファイル操作ログの元ファイル名、元ファイルパスを操作種別が参照(Read)であるファイル操作ログの元ファイル名、元ファイルパスとし、新たに生成するファイル操作ログの先ファイル名、先ファイルパスを別名保存時の別名、保存先とする。このようなファイル操作時の変更前ファイル名と変更後ファイル名を含むファイル操作ログを生成することで、一連のファイル操作を一意に識別する識別情報を付与してファイル操作ログを蓄積することができるようになる。なお、ここで示したファイル操作ログの到着順を監視し、予め登録されたルールに合致した場合に新たなファイル操作ログを生成する処理はクライアント端末において実施し、新たに生成されたファイル操作ログをログ管理装置に送信する構成としても構わない。   The file operation log storage unit 140 monitors the order of arrival of the file operation logs, and generates a new file operation log when it matches a pre-registered rule. For example, when the client terminal 300m displays a window title of “save as”, the log management apparatus 100 receives information indicating the display from the client terminal 300m. In this case, the log management apparatus 100 includes information indicating that the window title “Save As” is displayed within a certain time from the client terminal 300m, and a file operation log whose operation type is “Create”. , Monitoring whether or not the file operation log whose operation type is reference (Read) arrives at the file operation log storage unit 140, and when the arrival of three file operation logs can be detected (according to the rules registered in advance) If they match), create a new file operation log with the operation type as Save As. At this time, the original file name and original file path of the newly generated file operation log are set as the original file name and original file path of the file operation log whose operation type is “Read”, and the destination of the newly generated file operation log The file name and destination file path are used as aliases and save destinations when saving as aliases. By generating a file operation log that includes the pre-change file name and post-change file name at the time of such file operations, it is possible to accumulate the file operation log with identification information that uniquely identifies a series of file operations. become able to. Note that the order of arrival of the file operation logs shown here is monitored, and a process for generating a new file operation log when it matches a pre-registered rule is executed at the client terminal, and the newly generated file operation log May be transmitted to the log management apparatus.

従来技術において、ファイルの派生を判定するにあたり、文書作成アプリケーションを用いて「名前を付けて保存」のファイル操作を行ったログを取得する場合に、文書作成アプリケーションを変更することなくログを取得するために、ファイルI/O監視用のアプリケーションを用いる方法が有効であった。しかし、別名保存(SaveAs)のログではなく、作成(Create)のログが出力されるため、新規に作成、保存されたと判定される問題があった。その場合、本来、別名保存されたファイルは元のファイルから派生したものであるにもかかわらず、派生したものとして扱うことができなかった。   In the conventional technology, when determining the derivation of a file, when acquiring a log for performing a “Save As” file operation using a document creation application, the log is acquired without changing the document creation application. Therefore, a method using an application for monitoring file I / O was effective. However, there is a problem that it is judged that the file has been newly created and saved because the log of creation is output instead of the log of saving as (SaveAs). In that case, the file saved under a different name was originally derived from the original file, but could not be treated as derived.

一方、本実施例の構成では、一連のファイル操作ログとして保存することができる。より詳しくいうと、名前を付けて保存時に変更前ファイル名、変更後ファイル名を含んだファイル操作ログを生成することで、名前を付けて保存時に一連のファイル操作のツリーが途切れることなく追跡することができ、ファイル操作の関係性を把握できる。よって、従来技術では、派生したものとみなされなかった別名保存により生成されたファイルを参照(Read)の対象となるファイルの派生したものとみなすことができ、一連のファイル操作ログとして保存することができる。   On the other hand, in the configuration of the present embodiment, it can be stored as a series of file operation logs. More specifically, by generating a file operation log that includes the pre-change file name and the post-change file name when saving with a name, the tree of a series of file operations is tracked without interruption when saving with a name. And understand the relationship of file operations. Therefore, in the conventional technology, a file generated by saving as a different name that was not considered as a derived file can be regarded as a derived file for reference (Read) and saved as a series of file operation logs. Can do.

図5を参照して、サーバ400からファイルをダウンロードした際のログ蓄積部120の動作を説明する。ログ蓄積部120は、ファイル操作ログ記憶部140に記憶する際に、アプリケーションがウェブブラウザ(InternetExplorer(登録商標)等)であり、操作種別が作成(Create)であるファイル操作ログを抽出する(S1101)。この場合、抽出したファイル操作ログに含まれる元ファイル名と日時をキーとして、サーバログ記録部150から同一ファイル名であり、同一日時のアクセスログを抽出する(S1102)。なお、この実施例では「リクエスト」の列にある文字列の中にこのアクセスの対象となるファイルの名前が含まれる。例えば、図3の2行目のアクセスログの場合、「document001.txt」がアクセス対象ファイルである。日時については時刻の同期ずれ、操作のタイムラグを考慮して、ファイル操作ログに含まれる日時の近傍の日時を含むアクセスログを抽出することが望ましい。よって、同一日時とは、完全に同一である必要はなく、時刻の同期ずれ、操作のタイムラグを考慮したファイル操作日時の前後の所定の期間を意味する。また、このとき、図2の「ユーザ」が例えばWindows(登録商標)のユーザ名である場合、図3の「メールアドレス」とは異なるため、予め「メールアドレス」と「ユーザ名」との対応関係をログ蓄積部120に登録しておき、S1102における抽出条件として使用してもよい。つまり、ファイル操作ログの「ユーザ」とアクセスログの「メールアドレス」を持つユーザとが同一であることも抽出条件として追加する。このような構成とすることで、より正確にファイルの関連性を把握することができる。より詳しく言うと、ファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含み、ファイル操作ログの操作日時と同じアクセス日時を含むアクセスログではあるが、本来関連性のないアクセスログを、誤って抽出することを防ぐことができる。ログ蓄積部120はアクセスログが抽出できたか判定する(S1103)。抽出できた場合には、ログ蓄積部120が作成(Create)のログに対してツリーの先頭となるように操作種別をダウンロードとして、ファイル操作ログを生成し、一連のファイル操作ログに追加する(S1104)。さらに、追加したファイル操作ログをファイル操作ログ記憶部140に保存する(S1105)。抽出できなかった場合には、ログの到着遅延を考慮して、予め設定された規定回数で、予め設定された一定時間待つ(S1106,S1107)。規定回数を超えた場合は、該当するアクセスログがないと判断し、終了する。例えば、図2(A)のファイル操作ログをログ識別情報を付与して、ファイル操作ログ記憶部140に記憶する際に(図4の4行目参照)、ログ蓄積部120は、「説明資料.txt」をアクセス対象ファイルとし、「2012/11/12 10:10:15.311」と同じアクセス日時とする(言い換えると、ファイル操作日時の前後の所定の期間内にアクセス日時が含まれる)アクセスログがサーバログ記憶部150に存在しないか否かを判定し、存在する場合には、そのアクセスログを抽出する。図3の場合(ただし、「APPLICATION01.exe」はウェブブラウザとする)、三行目のアクセスログを抽出し、これを元にファイル操作ログを生成し、ファイル操作ログ記憶部140に保存する(図4の5行目参照)。仮に、条件を満たすアクセスログがサーバログ記憶部150に存在しない場合(図3の3行目のアクセスログが存在しない場合)、図4の5行目のファイル操作ログを生成されず、図4の4行目の「説明資料.txt」はダウンロードされたファイルではなく、新規に作成されたファイルと判定され、一連のファイル操作ログの起点となる。   With reference to FIG. 5, the operation of the log storage unit 120 when a file is downloaded from the server 400 will be described. When storing in the file operation log storage unit 140, the log storage unit 120 extracts a file operation log in which the application is a web browser (Internet Explorer (registered trademark) or the like) and the operation type is Create (S1101). ). In this case, an access log having the same file name and the same date and time is extracted from the server log recording unit 150 using the original file name and date and time included in the extracted file operation log as keys (S1102). In this embodiment, the name of the file to be accessed is included in the character string in the “request” column. For example, in the case of the access log on the second line in FIG. 3, “document001.txt” is the access target file. Regarding the date and time, it is desirable to extract an access log including a date and time in the vicinity of the date and time included in the file operation log in consideration of time synchronization lag and operation time lag. Therefore, the same date and time does not need to be completely the same, and means a predetermined period before and after the file operation date and time considering the time synchronization deviation and the operation time lag. At this time, when the “user” in FIG. 2 is a Windows (registered trademark) user name, for example, it is different from the “mail address” in FIG. The relationship may be registered in the log storage unit 120 and used as the extraction condition in S1102. That is, the fact that the “user” in the file operation log and the user having the “mail address” in the access log are the same is also added as an extraction condition. With such a configuration, it is possible to grasp the relevance of the file more accurately. More specifically, it is an access log that includes the access target file that matches the operation target file of the file operation log and includes the same access date and time as the operation date and time of the file operation log, Extraction can be prevented. The log storage unit 120 determines whether the access log has been extracted (S1103). If it can be extracted, the operation type is downloaded so that the log storage unit 120 is at the head of the tree for the created log, a file operation log is generated, and added to a series of file operation logs ( S1104). Further, the added file operation log is stored in the file operation log storage unit 140 (S1105). If it cannot be extracted, it takes into account a delay in arrival of the log and waits for a preset time for a preset number of times (S1106, S1107). If the specified number of times is exceeded, it is determined that there is no corresponding access log, and the process ends. For example, when the file operation log of FIG. 2A is given log identification information and stored in the file operation log storage unit 140 (refer to the fourth line in FIG. 4), the log storage unit 120 displays “ .txt ”as the access target file, and the same access date and time as“ 2012/11/12 10: 10: 15.311 ”(in other words, the access date is included within a predetermined period before and after the file operation date and time) Is not present in the server log storage unit 150, and if it exists, the access log is extracted. In the case of FIG. 3 (where “APPLICATION01.exe” is a web browser), the access log in the third line is extracted, a file operation log is generated based on this, and stored in the file operation log storage unit 140 ( (Refer to the fifth line in FIG. 4). If an access log that satisfies the conditions does not exist in the server log storage unit 150 (when the access log on the third line in FIG. 3 does not exist), the file operation log on the fifth line in FIG. 4 is not generated, and FIG. “Explanation material.txt” on the fourth line is determined not to be a downloaded file but a newly created file, and serves as a starting point for a series of file operation logs.

このようにファイル操作ログを蓄積することで、ダウンロードしたファイルを起点として追跡すること、および任意のファイルがダウンロードされたものであるかを追跡することができ、サーバに保管されていたファイルの派生状況を追跡することができる。   By accumulating file operation logs in this way, it is possible to track the downloaded file as the starting point, and track whether any file has been downloaded, and derivation of the file stored on the server The situation can be tracked.

[ログ検索方法の説明]
検索装置200を用いて、ダウンロードファイルを検索し、さらに、ダウンロードファイルの派生追跡を行い、追跡結果を表示する場合の例を説明する。図6に検索装置200が検索結果を表示する例を示す。検索装置200は、ログ検索画面50の検索ボタン511が押下されると、検索条件欄51に入力されている検索条件をログ管理装置100へ送信する。例えば、検索条件欄51には、システムを管理する管理者のユーザ名である管理者欄、ダウンロードファイルを検索する対象の日時である期間欄のそれぞれに対する検索条件を入力することができる。図6では、管理者に情報担当Aを指定し、期間を2012年11月12日0時0分0秒から2012年11月13日23時59分59秒と指定している。管理者は、管理者によって検索範囲を特定することに用いることができる。その場合、管理者毎に検索できる範囲を予め設定しておくことができる。例えば、クライアント端末3001〜300pのファイル操作ログは検索できる範囲、クライアント端末300(p+1)〜300Nのファイル操作ログは検索できない範囲として設定しておく。また、範囲の指定には、特定のユーザを複数指定し、指定されたユーザのファイル操作ログのみを検索できることとしてもよい。また、クライアント端末とユーザ名の組み合わせで範囲を指定してもよい。また、管理者と同一のユーザを含むファイル操作ログのみを検索できる範囲として設定してもよい。また、管理者は検索装置200を用いてログ検索画面50を表示させる際にログイン行為を行うこととし、ログインユーザ名を表示することとでもよい。なお、管理者欄を設けず、検索装置200の利用者全てが全てのファイル操作ログを検索できる構成としてもよい。図6の例では、情報担当Aは全てのファイル操作ログを検索できるものとする。 [Explanation of log search method]
An example in which a download file is searched using the search device 200, the download file is derived and tracked, and the tracking result is displayed will be described. FIG. 6 shows an example in which the search device 200 displays search results. When the search button 511 on the log search screen 50 is pressed, the search device 200 transmits the search condition input in the search condition column 51 to the log management device 100. For example, in the search condition column 51, search conditions for the administrator column that is the user name of the administrator who manages the system and the period column that is the date and time for searching the download file can be input. In FIG. 6, the person in charge of information A is designated as the administrator, and the period is designated from 00: 00: 00: 00 on November 12, 2012 to 23:59:59 on November 13, 2012. The administrator can use the administrator to specify the search range. In that case, a searchable range can be set in advance for each administrator. For example, the file operation logs of the client terminals 3001 to 300p are set as a searchable range, and the file operation logs of the client terminals 300 (p + 1) to 300N are set as a searchable range. In addition, the range may be specified by specifying a plurality of specific users and searching only the file operation logs of the specified users. Further, the range may be specified by a combination of the client terminal and the user name. Alternatively, it may be set as a range in which only file operation logs including the same user as the administrator can be searched. Further, the administrator may perform a login action when displaying the log search screen 50 using the search device 200, and may display the login user name. In addition, it is good also as a structure which all the users of the search device 200 can search all the file operation logs without providing an administrator column. In the example of FIG. 6, it is assumed that the information person A can search all file operation logs.

ログ管理装置100の備えるログ検索/集計部130は、ファイル操作ログを抽出した後で、特定の検索条件に従って集計を行い、検索結果を生成する。以下、図7を参照して、ログ管理装置100の備えるログ検索/集計部130の動作を説明する。ログ検索/集計部130は、検索装置200から検索条件(例えば、「期間」)を受信する(S1201)。次に、ファイル操作ログ記憶部140に蓄積されたファイル操作ログから、検索条件に指定された期間における、操作種別がダウンロードのファイル操作ログ(以下、ダウンロードログともいう)を抽出する(S1202)。続いて、該当するダウンロードログが抽出されたかどうかを判定する(S1203)。該当するダウンロードログが抽出された場合には、抽出されたダウンロードログを用いて、ダウンロードファイルの件数と、ダウンロードファイルの派生ファイルが削除された件数と未削除の件数を算出する(S1204)。ダウンロードファイルが複製されて派生している場合は1件でも残存していれば未削除とし、全ての派生ファイルが削除された時点で削除済みとする。派生ファイルの数を算出して、削除か未削除かを表示することでもよい。この場合、ダウンロードログに対して派生追跡を行い、ダウンロードファイルとその派生ファイルの合計の件数と、ダウンロードファイルまたはその派生ファイルが削除された件数と未削除の件数を算出し、表示する。続いて、算出した件数を検索結果として検索装置200へ送信する(S1205)。該当するダウンロードログが抽出されなかった場合には、該当するダウンロードログは存在しなかったことを示す情報を検索装置200へ返信する(S1206)。   The log search / aggregation unit 130 included in the log management apparatus 100 extracts file operation logs, and then aggregates according to specific search conditions to generate a search result. Hereinafter, the operation of the log search / aggregation unit 130 included in the log management apparatus 100 will be described with reference to FIG. The log search / aggregation unit 130 receives a search condition (for example, “period”) from the search device 200 (S1201). Next, a file operation log whose operation type is download (hereinafter also referred to as a download log) in the period specified in the search condition is extracted from the file operation log accumulated in the file operation log storage unit 140 (S1202). Subsequently, it is determined whether or not the corresponding download log has been extracted (S1203). When the corresponding download log is extracted, the number of download files, the number of deleted files derived from the download file, and the number of undeleted files are calculated using the extracted download log (S1204). If the downloaded file is duplicated and derived, even if one remains, it is not deleted, and it is deleted when all the derived files are deleted. The number of derived files may be calculated to display whether the file is deleted or not deleted. In this case, derivation tracking is performed on the download log, and the total number of download files and their derived files, the number of downloaded files or their derived files deleted and the number of undeleted files are calculated and displayed. Subsequently, the calculated number is transmitted as a search result to the search device 200 (S1205). If the corresponding download log is not extracted, information indicating that the corresponding download log does not exist is returned to the search device 200 (S1206).

検索装置200は、ログ管理装置100から検索結果を受信すると、検索結果欄52へ検索結果を表示する。図6は、検索条件欄51の例のように検索条件を設定して、ダウンロードログを検索した場合の検索結果を表示した例である。検索結果521は、検索条件に指定された期間におけるダウンロードされたファイルの件数を示し、検索結果522は、ダウンロードされたファイルの中で削除されたファイルの件数を示し、検索結果523は、ダウンロードされたファイルの中で削除されていないファイルの件数を示した例である。また、検索結果524はサーバ400が運用開始した日時を予め登録しておくことで、運用開始から検索条件に指定した範囲の末尾側の日時までの期間におけるダウンロードされたファイルの中で削除されていないファイルの件数を示した例である。図6のように検索条件を指定することで、利用者は、例えば、自部署が運用するサーバ400からダウンロードされたファイルが削除されているか否かを把握することができる。   When the search device 200 receives the search result from the log management device 100, the search device 200 displays the search result in the search result column 52. FIG. 6 is an example in which the search result is displayed when the search condition is set and the download log is searched as in the example of the search condition column 51. The search result 521 indicates the number of downloaded files in the period specified in the search condition, the search result 522 indicates the number of deleted files among the downloaded files, and the search result 523 is downloaded. This is an example of the number of files that have not been deleted. In addition, the search result 524 is deleted in the downloaded file in the period from the start of operation to the end date and time of the range specified in the search condition by registering in advance the date and time when the server 400 started operation. This is an example of the number of files that do not exist. By specifying the search condition as shown in FIG. 6, the user can grasp, for example, whether or not a file downloaded from the server 400 operated by the own department has been deleted.

検索装置200は、検索結果欄52に表示されている一覧表示ボタン531、532が押下されると、検索装置200はその一覧表示ボタンに対応するダウンロードログの表示要求をログ管理装置100へ送信する。ログ管理装置100は、S1202で抽出したダウンロードログを一覧として検索装置200へ返信する。検索装置200は、ログ管理装置100から一覧を受信すると、ダウンロードファイル一覧画面を表示する。図8は、一覧表示ボタン531が押下され、ダウンロードログをダウンロードファイル一覧画面60に表示した例である。例えば、図8の「ファイル」の列にある文字列はダウンロード先のファイルパスであり、「IPアドレス」の列になる文字列はクライアントクライアント端末300mのIPアドレスであり、「削除」の列は、ダウンロードファイルの派生ファイルが削除されたか否かを表す。   When the list display buttons 531 and 532 displayed in the search result field 52 are pressed, the search apparatus 200 transmits a download log display request corresponding to the list display button to the log management apparatus 100. . The log management apparatus 100 returns the download log extracted in S1202 to the search apparatus 200 as a list. When the search device 200 receives the list from the log management device 100, the search device 200 displays a download file list screen. FIG. 8 shows an example in which the list display button 531 is pressed and the download log is displayed on the download file list screen 60. For example, the character string in the “file” column in FIG. 8 is the file path of the download destination, the character string that becomes the “IP address” column is the IP address of the client client terminal 300m, and the “delete” column is This indicates whether the derived file of the download file has been deleted.

検索装置200は、一覧表示欄61の表示結果611〜618に表示されている追跡ボタン621〜628のいずれかが押下されると、検索装置200はその追跡ボタンに対応するダウンロードログを起点ログとして追跡要求をログ管理装置100へ送信する。ダウンロードログは一連のファイル操作ログの起点として、ログ識別情報が付与された状態でファイル操作ログ記憶部140に記憶されている。そのため、ログ管理装置100では、追跡ボタンに対応するダウンロードログを起点ログとして追跡要求を受信すると、そのダウンロードログを起点とする一連のファイル操作ログを容易に取得することができる。   When any of the tracking buttons 621 to 628 displayed in the display results 611 to 618 in the list display field 61 is pressed, the searching device 200 uses the download log corresponding to the tracking button as a starting point log. A tracking request is transmitted to the log management apparatus 100. The download log is stored in the file operation log storage unit 140 with log identification information as a starting point of a series of file operation logs. Therefore, when the log management apparatus 100 receives a tracking request using the download log corresponding to the tracking button as a starting point log, a series of file operation logs starting from the download log can be easily acquired.

図9を参照して、ログ管理装置100の備えるログ追跡部110の動作を説明する。ログ追跡部110は、検索装置200から起点ログの情報を受信する(S1301)。次に、起点ログを起点として派生追跡を実施する(S1302)。派生追跡とは、起点ログと操作対象ファイルが同じであり、かつ起点ログよりも操作日時が新しいファイル操作ログを抽出する追跡方法であり、一連の操作の関係を特定するために付与されたログ識別情報を用いて、ファイルの派生状況を示すことができる方法であればいかなる方法でも構わない。例えば、ログ識別情報が同じファイル操作ログを全て取り出し、ダウンロードログを起点ログとして、時系列にファイル操作ログを並べることでダウンロードファイルの派生状況を示すことができる。   With reference to FIG. 9, the operation of the log tracking unit 110 included in the log management apparatus 100 will be described. The log tracking unit 110 receives the starting point log information from the search device 200 (S1301). Next, derivation tracking is performed using the starting point log as a starting point (S1302). Derived tracking is a tracking method that extracts a file operation log that has the same origin log and operation target file and has a newer operation date than the origin log, and is a log given to identify the relationship between a series of operations. Any method that can indicate the derivation status of the file using the identification information may be used. For example, it is possible to show the derivation status of the download file by taking out all the file operation logs having the same log identification information and arranging the file operation logs in time series using the download log as a starting log.

そして、派生追跡により抽出されたファイル操作ログと起点ログであるファイル操作ログとを併合して追跡結果を生成する。例えば、図4において、4行目の操作種別が「Create」であるファイル操作ログと起点ログである5行目のファイル操作ログとは同じダウンロード操作を意味するので、併合する。検索装置200が追跡結果を表示する処理を軽減するために、追跡結果は操作日時を基準として時系列に整列してもよい。   Then, the file operation log extracted by the derivation tracking and the file operation log as the starting point log are merged to generate a tracking result. For example, in FIG. 4, the file operation log with the operation type “Create” on the fourth line and the file operation log on the fifth line, which is the origin log, mean the same download operation and are merged. In order to reduce the processing for the search apparatus 200 to display the tracking result, the tracking result may be arranged in time series based on the operation date and time.

続いて、ログ追跡部110は、派生追跡により追跡結果が抽出されたかどうかを判定する(S1303)。派生追跡により追跡結果が抽出された場合には、抽出された追跡結果を検索装置200へ送信する(S1304)。派生追跡により追跡結果が抽出されなかった場合には、追跡対象のファイル操作ログは存在しなかったことを示す情報を検索装置200へ返信する(S1305)。ただし、派生追跡により追跡結果が抽出されなかった場合に、起点ログであるファイル操作ログのみを追跡結果として検索装置200へ送信してもよい。   Subsequently, the log tracking unit 110 determines whether the tracking result is extracted by the derivative tracking (S1303). When the tracking result is extracted by the derivative tracking, the extracted tracking result is transmitted to the search device 200 (S1304). If the tracking result is not extracted by the derivative tracking, information indicating that there is no file operation log to be tracked is returned to the search device 200 (S1305). However, when the tracking result is not extracted by the derivative tracking, only the file operation log that is the origin log may be transmitted to the search device 200 as the tracking result.

図10に検索装置200が追跡結果を表示する例を示す。検索装置200は、ログ管理装置100から追跡結果を受信すると、ログ追跡画面70に受信した追跡結果を樹形図に整形して表示する。図10は、図8のダウンロードファイル一覧画面60において、追跡ボタン622を押下した場合の追跡結果を表示した例である。   FIG. 10 shows an example in which the search device 200 displays the tracking result. When receiving the tracking result from the log management apparatus 100, the search device 200 shapes the received tracking result on the log tracking screen 70 and displays it in a tree diagram. FIG. 10 is an example in which the tracking result when the tracking button 622 is pressed on the download file list screen 60 of FIG. 8 is displayed.

樹形図は追跡結果に含まれるファイル操作ログを各ノードとして、画面上部から画面下部に向かって操作日時の時系列に配列される。各四角枠711〜713の枠内には操作日時、操作種別、ホスト名、ユーザが表示される。各丸枠721〜723の枠内には追跡結果レコードの元ファイル名もしくは先ファイル名が表示される。元ファイルパスもしくは先ファイルパスが表示されてもよい。四角枠と丸枠は矢印によって結合され、一連のファイル操作として表示される。ノード722はノード721から複製(Copy)されており、ノード722はその後の操作でファイル名が変更され(変名(Rename))、ノード723に派生していることが分かる。   The tree diagram is arranged in chronological order of operation date and time from the upper part of the screen to the lower part of the screen, with each file operation log included in the tracking result as each node. The operation date and time, operation type, host name, and user are displayed in the square frames 711 to 713. The original file name or the destination file name of the tracking result record is displayed in each of the round frames 721 to 723. The original file path or the destination file path may be displayed. The square frame and the round frame are combined by arrows and displayed as a series of file operations. It can be seen that the node 722 is copied from the node 721, and the file name of the node 722 is changed by a subsequent operation (renamed (Rename)) and is derived from the node 723.

従来技術において、ファイルの取り扱い状況を把握する際に、確実に削除されたかどうかを追跡する場合には、ファイルのツリーを最後まで追いかける必要があり、視認性が低いという問題があった。一方。本実施例では、ダウンロードファイル一覧画面を表示し、ダウンロードされたファイルのツリーを最後まで追いかけることをせずに、残存状況を容易に視認することができ、視認性を向上させている(図8参照)。さらに、利用者の選択により、選択されたダウンロードファイルの派生状況をより詳細に表示することができる(図10参照)。   In the prior art, when tracking whether a file has been reliably deleted when grasping the handling status of the file, it is necessary to follow the tree of the file to the end, and there is a problem that visibility is low. on the other hand. In this embodiment, the download file list screen is displayed, and the remaining status can be easily visually recognized without chasing the downloaded file tree to the end, thereby improving the visibility (FIG. 8). reference). Furthermore, the derivation status of the selected download file can be displayed in more detail by the user's selection (see FIG. 10).

また、サーバ400からダウンロードされたファイルの取り扱い状況の集計処理により、特定のファイルの残存状況を容易に把握することができる(図6参照)。そのため、重要情報が残存し、追跡すべきファイルが存在するか否かを容易に特定することができる。したがって、ログ管理システム10によれば、情報の適切な取り扱い状況を把握するための作業効率が全体として向上することができる。   Moreover, the remaining status of a specific file can be easily grasped by the totalization processing of the handling status of the files downloaded from the server 400 (see FIG. 6). Therefore, it is possible to easily identify whether important information remains and there is a file to be tracked. Therefore, according to the log management system 10, the work efficiency for grasping the appropriate handling situation of information can be improved as a whole.

検索条件の指定において、予めノード722のファイル名が分かっている(例えばクライアント端末に存在する実物ファイル)場合には、当該ファイル名を指定した由来追跡を行うことで、ダウンロードされた操作が起点となっているファイルであることを把握することができる。由来追跡とは、検索対象ファイルと操作対象ファイルが同じであり、かつ検索対象ファイルよりも操作日時が古いファイル操作ログを抽出する追跡方法である。ここでは、検索装置200を用いて、ファイルの由来追跡を行い、追跡結果を表示する場合の例を説明する。   When specifying the search condition, if the file name of the node 722 is known in advance (for example, an actual file existing in the client terminal), the downloaded operation is started from the origin tracking by specifying the file name. It can be understood that the file is. Origin tracking is a tracking method for extracting a file operation log in which the search target file and the operation target file are the same and the operation date and time is older than the search target file. Here, an example will be described in which the search device 200 is used to track the origin of a file and display the tracking result.

図11に検索装置200が検索結果を表示する例を示す。検索装置200は、ログ検索画面80の検索ボタン811が押下されると、検索条件欄81に入力されている検索条件をログ管理装置100へ送信する。例えば、検索条件欄81には、検索条件として、検索対象ファイルのファイル名を入力することができる。   FIG. 11 shows an example in which the search device 200 displays search results. When the search button 811 on the log search screen 80 is pressed, the search device 200 transmits the search condition input in the search condition column 81 to the log management device 100. For example, in the search condition column 81, the file name of the search target file can be input as the search condition.

ログ管理装置100の備えるログ検索/集計部110の動作を説明する。ログ検索/集計部110は、検索端末200から検索条件(例えば、「検索対象ファイルのファイル名」)を受信する。次に、ログ検索/集計部110は、「元ファイル名」または「先ファイル名」が「検索対象ファイルのファイル名」と一致するファイル操作ログをファイル操作ログ記憶部140に蓄積されたファイル操作ログの中から抽出する。ログ検索/集計部110は、抽出した件数をカウントし、件数を検索結果として検索装置200へ送信する。   An operation of the log search / aggregation unit 110 included in the log management apparatus 100 will be described. The log search / aggregation unit 110 receives a search condition (for example, “file name of search target file”) from the search terminal 200. Next, the log search / aggregation unit 110 stores the file operation log in which the “original file name” or “destination file name” matches the “file name of the search target file” stored in the file operation log storage unit 140. Extract from the log. The log search / aggregation unit 110 counts the number of extracted cases and transmits the number of cases to the search device 200 as a search result.

検索装置200は、ログ管理装置100から検索結果を受信すると、検索結果欄82へ検索結果を表示する。図11は、検索条件欄81の例のように検索条件を設定して、ファイル操作ログを検索した場合の検索結果を表示した例である。検索結果821は、検索条件に指定されたファイル名と同じ「元ファイル名」または「先ファイル名」を持つファイル操作ログの件数を示した例である。   When the search device 200 receives the search result from the log management device 100, the search device 200 displays the search result in the search result column 82. FIG. 11 is an example in which the search result is displayed when the search condition is set and the file operation log is searched as in the example of the search condition column 81. The search result 821 is an example showing the number of file operation logs having the same “original file name” or “destination file name” as the file name specified in the search condition.

検索装置200は、検索結果欄82に表示されている一覧表示ボタン831が押下されると、検索装置200はその一覧表示ボタンに対応するファイル操作ログの表示要求をログ管理装置100へ送信する。ログ管理装置100は、抽出したファイル操作ログを、一覧として検索装置200へ返信する。検索装置200は、ログ管理装置100から一覧を受信すると、ファイル操作ログ一覧画面を表示する。   When the list display button 831 displayed in the search result column 82 is pressed, the search device 200 transmits a file operation log display request corresponding to the list display button to the log management device 100. The log management apparatus 100 returns the extracted file operation logs to the search apparatus 200 as a list. When the search device 200 receives the list from the log management device 100, the search device 200 displays a file operation log list screen.

図12は、一覧表示ボタン831が押下され、ファイル操作ログをファイル操作ログ一覧画面90に表示した例である。例えば、図12の「元ファイル」の列の文字列は、ファイル操作前のファイルパスを表す。「先ファイル」の列の文字列は、ファイル操作後のファイルパスを表す。「IPアドレス」の列になる文字列はクライアントクライアント端末300mのIPアドレスである。   FIG. 12 shows an example in which the file operation log is displayed on the file operation log list screen 90 when the list display button 831 is pressed. For example, the character string in the column “original file” in FIG. 12 represents the file path before the file operation. The character string in the “destination file” column represents the file path after the file operation. The character string that becomes the column of “IP address” is the IP address of the client client terminal 300m.

検索装置200は、一覧表示欄91の表示結果911〜913に表示されている追跡ボタン921〜923のいずれかが押下されると、検索装置200はその追跡ボタンに対応するファイル操作ログを起点ログとして由来追跡要求をログ管理装置100へ送信する。   When any of the tracking buttons 921 to 923 displayed in the display results 911 to 913 in the list display column 91 is pressed, the searching device 200 displays the file operation log corresponding to the tracking button as a start log. The origin tracking request is transmitted to the log management apparatus 100.

ログ管理装置100の備えるログ追跡部110の動作を説明する。ログ追跡部110は、検索装置200から起点ログの情報を受信する。次に、起点ログを起点として由来追跡を実施する。一連の操作の関係を特定するために付与されたログ識別情報を用いて、ファイルの由来状況を示すことができる方法であればいかなる方法でも構わない。例えば、ログ識別情報が同じファイル操作ログを全て取り出し、起点ログよりも操作日時が古いファイル操作ログを抽出し、時系列にファイル操作ログを並べることで検索対象ファイルの由来状況を示すことができる。また、図10のように樹形図として表示してもよい。   An operation of the log tracking unit 110 included in the log management apparatus 100 will be described. The log tracking unit 110 receives information on the origin log from the search device 200. Next, origin tracking is performed using the origin log as the origin. Any method may be used as long as it can indicate the origin of the file using the log identification information given to identify the relationship between the series of operations. For example, all file operation logs with the same log identification information can be extracted, file operation logs whose operation date and time are older than the start point log can be extracted, and the origin of the search target file can be shown by arranging the file operation logs in time series . Moreover, you may display as a dendrogram like FIG.

<効果>
このような構成とすることで、発明のログ管理装置は、ファイル操作ログを蓄積する際に、クライアント端末のファイル操作ログに加えて、サーバのファイルに対するアクセスログを取得することで、サーバに保管されていたファイルの派生状況を追跡することができる。ダウンロードしたファイルを起点として派生追跡することができ、任意のファイルがダウンロードされたものであるかを由来追跡することができる。 <Effect>
With this configuration, the log management device of the invention stores the file operation log in the server by acquiring the access log for the server file in addition to the file operation log of the client terminal when accumulating the file operation log. You can track the derivation status of files that have been. The downloaded file can be derived and traced from the starting point, and whether or not an arbitrary file is downloaded can be traced.

また、サーバからダウンロードされたファイルの取り扱い状況の集計処理により、特定のファイルの残存状況を容易に把握することができる。そのため、重要情報が残存し、追跡すべきファイルが存在するか否かを容易に特定することができる。したがって、この発明のログ管理装置によれば、情報の適切な取り扱い状況を把握するための作業効率が全体として向上することができる。   Moreover, the remaining status of a specific file can be easily grasped by the totaling processing of the handling status of the files downloaded from the server. Therefore, it is possible to easily identify whether important information remains and there is a file to be tracked. Therefore, according to the log management apparatus of the present invention, the work efficiency for grasping the appropriate handling status of information can be improved as a whole.

[変形例]
本実施例では、サーバが一つの場合について説明したが、複数の場合であっても同様に処理することができる。 [Modification]
In the present embodiment, the case where there is one server has been described. However, even when there are a plurality of servers, the same processing can be performed.

ファイル操作ログとして少なくとも操作日時と操作対象ファイルを示す情報を含めばよく、またアクセスログとして少なくともアクセス日時とアクセス対象ファイルを示す情報を含めばよい。さらに、ログ蓄積部120において、ファイル操作ログ記憶部140に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部150に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点となる起点ログとし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積する場合、ファイル操作ログとして少なくとも操作対象ファイルを示す情報を含めばよく、またアクセスログとして少なくともアクセス対象ファイルを示す情報を含めばよい。   The file operation log may include at least information indicating the operation date and time and the operation target file, and the access log may include at least information indicating the access date and time and the access target file. Further, in the log storage unit 120, an access log including an access target file that matches the operation target file of the file operation log stored in the file operation log storage unit 140 is selected from the access logs stored in the server log storage unit 150. When extracting and extracting the extracted access log as a starting point log as a starting point in a series of file operation logs, adding log identification information that uniquely identifies the series of file operation logs, and accumulating in the file operation log storage unit, Information indicating at least an operation target file may be included as a file operation log, and information indicating at least an access target file may be included as an access log.

[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。 [Program, recording medium]
The present invention is not limited to the above-described embodiment, and it goes without saying that modifications can be made as appropriate without departing from the spirit of the present invention. The various processes described in the above-described embodiments are not only executed in time series according to the order described, but may be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes.

また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。上記実施例では、ログ管理装置100と検索装置200とサーバ400とクライアント端末300nとをそれぞれ別々のコンピュータによって実現しているが、その一部または全部を一つのコンピュータによって実現してもよい。   When various processing functions in each device described in the above embodiment are realized by a computer, the processing contents of the functions that each device should have are described by a program. Then, by executing this program on a computer, various processing functions in each of the above devices are realized on the computer. In the above embodiment, the log management device 100, the search device 200, the server 400, and the client terminal 300n are each realized by separate computers, but a part or all of them may be realized by a single computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

1 ネットワーク
10 ログ管理システム
100 ログ管理装置
110 ログ追跡部
120 ログ蓄積部
130 ログ検索/集計部
140 ファイル操作ログ記憶部
150 サーバログ記憶部
200 検索装置
300n クライアント端末
400 サーバ DESCRIPTION OF SYMBOLS 1 Network 10 Log management system 100 Log management apparatus 110 Log tracking part 120 Log storage part 130 Log search / aggregation part 140 File operation log storage part 150 Server log storage part 200 Search apparatus 300n Client terminal 400 Server

Claims (8)

自端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログを生成するクライアント端末と、
前記クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するサーバと、
前記ファイル操作ログと前記アクセスログとを蓄積するログ管理装置と、
前記ログ管理装置に検索条件を送信し、前記ログ管理装置から検索結果を受信する検索装置と、を含み、
前記ログ管理装置は、
前記ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、
前記アクセスログを蓄積するサーバログ記憶部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、前記検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、
ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む、
ログ管理システム。 A client terminal that generates a file operation log including at least information indicating an operation target file of the file operation in the terminal;
A server that generates an access log including at least information indicating an access target file accessed from the client terminal;
A log management device for accumulating the file operation log and the access log;
A search device that transmits search conditions to the log management device and receives search results from the log management device, and
The log management device includes:
A file operation log storage unit for accumulating and accumulating log identification information for uniquely identifying a series of file operation logs in the file operation log; and
A server log storage unit for accumulating the access log;
An access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit is extracted from the access log stored in the server log storage unit, and the extracted access log is A log storage unit that is a starting point in a series of file operation logs, adds log identification information that uniquely identifies the series of file operation logs, and accumulates in the file operation log storage unit;
A log search / aggregation unit that extracts a file operation log that matches the search condition from the file operation logs accumulated in the file operation log storage unit and generates a search result;
A log tracking unit that generates tracking results for derivative tracking or origin tracking based on log identification information, and
Log management system. クライアント端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、
サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログを蓄積するサーバログ記憶部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、
ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む、
ログ管理装置。 A file operation log storage unit that adds log identification information that uniquely identifies a series of file operation logs to a file operation log that includes at least information indicating a file operation target file in a client terminal,
A server log storage unit for accumulating an access log including at least information indicating an access target file for access to the server;
An access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit is extracted from the access log stored in the server log storage unit, and the extracted access log is A log storage unit that is a starting point in a series of file operation logs, adds log identification information that uniquely identifies the series of file operation logs, and accumulates in the file operation log storage unit;
A log search / aggregation unit that extracts a file operation log that matches a search condition specified by a search device from the file operation logs stored in the file operation log storage unit and generates a search result;
A log tracking unit that generates tracking results for derivative tracking or origin tracking based on log identification information, and
Log management device. 請求項2記載のログ管理装置であって、
前記ファイル操作ログにはファイル操作の操作日時と操作種別を示す情報が含まれるものとし、前記アクセスログにはアクセスのアクセス日時を示す情報が含まれるものとし、ログ蓄積部は、操作種別が作成であるファイル操作ログがファイル操作ログ記憶部に蓄積されると、そのファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含み、かつ、そのファイル操作ログの操作日時と同じアクセス日時を含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積する、
ログ管理装置。 The log management device according to claim 2,
The file operation log includes information indicating the operation date / time and operation type of the file operation, the access log includes information indicating the access date / time of access, and the log storage unit creates the operation type When the file operation log is accumulated in the file operation log storage unit, the access includes the access target file that matches the operation target file of the file operation log and includes the same access date and time as the operation date and time of the file operation log. The log is extracted from the access log accumulated in the server log storage unit, the extracted access log is set as the starting point in the series of file operation logs, and log identification information for uniquely identifying the series of file operation logs is added. Accumulated in the file operation log storage unit,
Log management device. 請求項2または3記載のログ管理装置であって、
一定時間におけるファイル操作ログの到着を監視し、予め登録されたルールに従ってファイル操作ログを生成し、蓄積する、
ログ管理装置。 The log management device according to claim 2 or 3,
Monitor the arrival of file operation logs at a certain time, generate and accumulate file operation logs according to pre-registered rules,
Log management device. 請求項2から4の何れかに記載のログ管理装置であって、
前記検索条件を一定期間とし、前記ログ検索/集計部は、その一定期間内に前記ログ蓄積部において起点としてログ識別情報を付加されたファイル操作ログの件数を集計し、起点としてログ識別情報を付加された各ファイル操作ログに関する一連のファイル操作ログを派生追跡し、一連のファイル操作ログの末端の操作種別が全て削除である件数と、それ以外の件数とを集計し、集計結果を検索結果として検索装置に送信する、
ログ管理装置。 A log management device according to any one of claims 2 to 4,
The search condition is a predetermined period, and the log search / aggregation unit totals the number of file operation logs to which log identification information is added as a starting point in the log storage unit within the predetermined period, and uses the log identification information as a starting point. Derived and traced a series of file operation logs related to each added file operation log, totaled the number of cases where the operation type at the end of the series of file operation logs is all deleted, and the number of other cases, and searched the aggregated results To the search device as
Log management device. クライアント端末が、自端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログを生成するステップと、
サーバが、前記クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するステップと、
ログ管理装置が、前記ファイル操作ログと前記アクセスログとを蓄積するログ管理ステップと、
検索装置が、前記ログ管理装置に検索条件を送信し、前記ログ管理装置から検索結果を受信するステップと、を含み、
前記ログ管理ステップは、
前記ログ管理装置が、前記ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、操作ログ記憶部に、蓄積するファイル操作ログ記憶ステップと、
前記ログ管理装置が、サーバログ記憶部に前記アクセスログを蓄積するサーバログ記憶ステップと、
前記ログ管理装置のログ蓄積部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積ステップと、
前記ログ管理装置のログ検索/集計部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、前記検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、
前記ログ管理装置のログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む、
ログ管理方法。 A step in which the client terminal generates a file operation log including at least information indicating an operation target file of the file operation in the terminal;
A server generating an access log including at least information indicating an access target file accessed from the client terminal;
A log management step in which the log management device accumulates the file operation log and the access log;
A search device transmits a search condition to the log management device and receives a search result from the log management device, and
The log management step includes:
A file operation log storage step in which the log management device assigns log identification information that uniquely identifies a series of file operation logs to the file operation log, and accumulates in the operation log storage unit;
A server log storage step in which the log management device accumulates the access log in a server log storage unit;
The log storage unit of the log management device stores an access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit. A log accumulation step of extracting the access log as a starting point in a series of file operation logs, adding log identification information for uniquely identifying the series of file operation logs, and accumulating the log in the file operation log storage unit; ,
Log search / aggregation unit in which the log search / aggregation unit of the log management device extracts a file operation log that matches the search condition from the file operation logs accumulated in the file operation log storage unit and generates a search result Steps,
A log tracking unit for generating a tracking result of derivative tracking or origin tracking based on log identification information, and a log tracking unit of the log management device,
Log management method. クライアント端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、ファイル操作ログ記憶部に蓄積するファイル操作ログ記憶ステップと、
サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログをサーバログ記憶部に蓄積するサーバログ記憶ステップと、
ログ蓄積部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積ステップと、
ログ検索/集計部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、
ログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む、
ログ管理方法。 File operation log storage that accumulates in a file operation log storage unit by adding log identification information that uniquely identifies a series of file operation logs to a file operation log that includes at least information indicating a file operation target file in a client terminal Steps,
A server log storage step of accumulating in the server log storage unit an access log including at least information indicating an access target file for access to the server;
A log storage unit that extracts an access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit from the access log stored in the server log storage unit; A log accumulating step in which the extracted access log is set as a starting point in a series of file operation logs, and log identification information for uniquely identifying the series of file operation logs is added and accumulated in the file operation log storage unit;
A log search / aggregation unit that extracts a file operation log that matches a search condition specified by a search device from the file operation logs accumulated in the file operation log storage unit and generates a search result Steps,
A log tracking step, wherein the log tracking unit generates a tracking result of the derived tracking or the origin tracking based on the log identification information,
Log management method. 請求項7記載のログ管理方法であって、
前記ファイル操作ログにはファイル操作の操作日時と操作種別を示す情報が含まれるものとし、前記アクセスログにはアクセスのアクセス日時を示す情報が含まれるものとし、ログ蓄積ステップにおいて、操作種別が作成であるファイル操作ログがファイル操作ログ記憶部に蓄積されると、そのファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含み、かつ、そのファイル操作ログの操作日時と同じアクセス日時を含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積する、
ログ管理方法。 The log management method according to claim 7, comprising:
The file operation log includes information indicating the operation date / time and operation type of the file operation, and the access log includes information indicating the access date / time of access. The operation type is created in the log accumulation step. When the file operation log is accumulated in the file operation log storage unit, the access includes the access target file that matches the operation target file of the file operation log and includes the same access date and time as the operation date and time of the file operation log. The log is extracted from the access log accumulated in the server log storage unit, the extracted access log is set as the starting point in the series of file operation logs, and log identification information for uniquely identifying the series of file operation logs is added. Accumulated in the file operation log storage unit,
Log management method.
JP2013020255A 2013-02-05 2013-02-05 Log management system, log management apparatus, and log management method Active JP5603447B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013020255A JP5603447B2 (en) 2013-02-05 2013-02-05 Log management system, log management apparatus, and log management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013020255A JP5603447B2 (en) 2013-02-05 2013-02-05 Log management system, log management apparatus, and log management method

Publications (2)

Publication Number Publication Date
JP2014153742A true JP2014153742A (en) 2014-08-25
JP5603447B2 JP5603447B2 (en) 2014-10-08

Family

ID=51575601

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013020255A Active JP5603447B2 (en) 2013-02-05 2013-02-05 Log management system, log management apparatus, and log management method

Country Status (1)

Country Link
JP (1) JP5603447B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017068378A (en) * 2015-09-28 2017-04-06 株式会社富士通エフサス Incident management system, incident management method, and incident management program
CN111008123A (en) * 2019-10-23 2020-04-14 贝壳技术有限公司 Database testing method and device, storage medium and electronic equipment
CN112801619A (en) * 2021-01-29 2021-05-14 中国农业银行股份有限公司上海市分行 Method and device for screening financial business operation logs

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008052570A (en) * 2006-08-25 2008-03-06 Hitachi Software Eng Co Ltd System for managing operation history
JP2009122995A (en) * 2007-11-15 2009-06-04 Hitachi Ltd Management system and management method of related process record
JP2009176119A (en) * 2008-01-25 2009-08-06 Sky Co Ltd File use circumstance determination system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008052570A (en) * 2006-08-25 2008-03-06 Hitachi Software Eng Co Ltd System for managing operation history
JP2009122995A (en) * 2007-11-15 2009-06-04 Hitachi Ltd Management system and management method of related process record
JP2009176119A (en) * 2008-01-25 2009-08-06 Sky Co Ltd File use circumstance determination system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017068378A (en) * 2015-09-28 2017-04-06 株式会社富士通エフサス Incident management system, incident management method, and incident management program
CN111008123A (en) * 2019-10-23 2020-04-14 贝壳技术有限公司 Database testing method and device, storage medium and electronic equipment
CN111008123B (en) * 2019-10-23 2023-10-24 贝壳技术有限公司 Database testing method and device, storage medium and electronic equipment
CN112801619A (en) * 2021-01-29 2021-05-14 中国农业银行股份有限公司上海市分行 Method and device for screening financial business operation logs

Also Published As

Publication number Publication date
JP5603447B2 (en) 2014-10-08

Similar Documents

Publication Publication Date Title
US8515902B2 (en) Automatic and semi-automatic tagging features of work items in a shared workspace for metadata tracking in a cloud-based content management system with selective or optional user contribution
US8700567B2 (en) Information apparatus
WO2013038489A1 (en) Computer system, management method for client computer, and storage medium
JP2007519106A (en) Method and system for recording a search trail across one or more search engines in a communication network
KR20120101365A (en) Method and system for processing information of a stream of information
US11531658B2 (en) Criterion-based retention of data object versions
JP2016539401A (en) Hierarchical data archiving
US8671108B2 (en) Methods and systems for detecting website orphan content
US20140358868A1 (en) Life cycle management of metadata
JP2006302170A (en) Log management method and device
US20120317112A1 (en) Operation log management system and operation log management method
US20210165785A1 (en) Remote processing of memory and files residing on endpoint computing devices from a centralized device
JP2011191862A (en) File management apparatus, file management system, and file management program
Reddy et al. Preprocessing the web server logs: an illustrative approach for effective usage mining
WO2015157209A1 (en) Remote processing of files residing on endpoint computing devices
CN110245037A (en) A kind of Hive user&#39;s operation behavior restoring method based on log
JP5603447B2 (en) Log management system, log management apparatus, and log management method
JP2005242904A (en) Document group analysis device, document group analysis method, document group analysis system, program and storage medium
JP2008305352A (en) Full text search system
WO2017221445A1 (en) Management device, management method, and management program
US10528536B1 (en) Managing data object versions in a storage service
JP2012208565A (en) Log management method, log management device, and program
Reichert et al. Feeding the world: a comprehensive dataset and analysis of a real world snapshot of web feeds
CN107958022A (en) A kind of method that Web log excavates
JP6279969B2 (en) Communication device

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140812

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140821

R150 Certificate of patent or registration of utility model

Ref document number: 5603447

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150