JP2014153742A - Log management system, log management device and log management method - Google Patents
Log management system, log management device and log management method Download PDFInfo
- Publication number
- JP2014153742A JP2014153742A JP2013020255A JP2013020255A JP2014153742A JP 2014153742 A JP2014153742 A JP 2014153742A JP 2013020255 A JP2013020255 A JP 2013020255A JP 2013020255 A JP2013020255 A JP 2013020255A JP 2014153742 A JP2014153742 A JP 2014153742A
- Authority
- JP
- Japan
- Prior art keywords
- log
- file
- file operation
- access
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
この発明は、電子ファイル(以下、単に「ファイル」ともいう)に対するファイル操作ログを蓄積し、蓄積したファイル操作ログを検索して電子ファイルに関する操作の履歴を追跡するログ管理技術に関する。 The present invention relates to a log management technique for accumulating file operation logs for electronic files (hereinafter also simply referred to as “files”), searching the accumulated file operation logs, and tracking the history of operations relating to electronic files.
近年、クラウドサービスの普及に伴い、オンラインストレージサービスに代表される、ネットワーク上の仮想的なストレージ領域に業務データを預託するサービスが普及しつつある。このようなサービスの利用には、自ら設備を構築、運用することなく業務効率を向上させることができるという利点がある。一方で、預託したデータやファイルが適切に取り扱われているか、元のファイルから派生したファイルが拡散していないかといったセキュリティ面での懸念が指摘されている。 In recent years, with the spread of cloud services, services that deposit business data in a virtual storage area on a network, represented by online storage services, are becoming widespread. The use of such a service has the advantage that the business efficiency can be improved without having to construct and operate the facility itself. On the other hand, security concerns have been pointed out, such as whether the deposited data and files are handled appropriately and whether the files derived from the original files are spread.
これに対応する技術として、ファイル操作ログを用いてファイルの派生状況を明らかにする方法がある。例えば以下のように行う。まず、ファイル操作を行うクライアント端末からファイル操作ログを収集して一元的に蓄積する。次に、蓄積されたファイル操作ログに対して、ファイルの保存場所や操作内容などのファイル操作に関する情報などを検索条件として検索する。このようにすることで、特定のファイルが取り扱われている様子を示すログを抽出することができる。 As a technique corresponding to this, there is a method of clarifying a derivation state of a file using a file operation log. For example, it is performed as follows. First, file operation logs are collected from client terminals that perform file operations and stored in a unified manner. Next, the stored file operation log is searched using information related to file operations such as a file storage location and operation contents as a search condition. In this way, it is possible to extract a log indicating how a specific file is handled.
また、任意のファイル操作ログを起点として時系列に追跡することで、特定のファイルに対する一連のファイル操作を明らかにすることができる。この追跡結果からファイルの取り扱い状況を調査することで、ファイルに含まれる重要情報の残存を確認することができる。ここでは、追跡調査において、起点とするファイル操作ログを起点ログと呼ぶ。起点ログに記載された操作時刻を基準として、未来方向に向かって一連のログを追跡する処理を派生追跡と呼び、過去に向かって一連のログを追跡する処理を由来追跡と呼ぶ。 In addition, a series of file operations on a specific file can be clarified by tracking an arbitrary file operation log as a starting point in time series. By investigating the handling status of the file from the tracking result, it is possible to confirm the remaining important information contained in the file. Here, the file operation log that is the starting point in the follow-up survey is called the starting point log. The process of tracking a series of logs toward the future based on the operation time described in the origin log is called derivative tracking, and the process of tracking a series of logs toward the past is called origin tracking.
このようなファイル操作ログを用いてファイルの取り扱い状況を明らかにすることができる機能を有し、特定のファイルに対する一連の操作ログをツリー形式で表示する技術として、特許文献1、特許文献2が知られている。 Patent Literature 1 and Patent Literature 2 are technologies for displaying a series of operation logs for a specific file in a tree format having a function of clarifying a file handling status using such a file operation log. Are known.
従来のコンピュータシステムは、操作を行うクライアント端末に直接接続されたハードディスクに格納されているファイルや、ファイル共有サーバによってネットワークを介して共有可能なファイルに対して、操作を行うクライアント端末において生成されるファイル操作ログを収集し、ファイルの派生関係を記録し、表示するものである。 A conventional computer system is generated at a client terminal that operates on a file stored in a hard disk directly connected to the client terminal that performs the operation, or a file that can be shared via a network by a file sharing server. It collects file operation logs and records and displays file derivation relationships.
しかしながら、従来のコンピュータシステムでは、ファイルをダウンロードさせるサーバ(ウェブサーバ、FTPサーバ、メールサーバやオンラインストレージサービスを構成するサーバ等)からダウンロードしたファイルを起点として派生追跡すること、および任意のファイルがダウンロードされたものであるかを由来追跡することは、アクセス方法が異なるために困難である。 However, in a conventional computer system, a file downloaded from a server (web server, FTP server, mail server, server constituting an online storage service, etc.) that downloads a file is derived and traced, and an arbitrary file is downloaded. It is difficult to track the origin of the information because the access method is different.
この発明はこのような点に鑑みてなされたものであり、サーバのアクセスログとクライアント端末のファイル操作ログを収集し、ダウンロードに対するファイル操作ログを生成することで、全体としてファイルの派生状況を効率的に把握することができるログ管理技術を提供することを目的とする。 The present invention has been made in view of these points, and collects server access logs and client terminal file operation logs, and generates file operation logs for downloads. The purpose is to provide log management technology that can be grasped automatically.
上記の課題を解決するために、本発明の第一の態様によれば、ログ管理システムは、自端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログを生成するクライアント端末と、クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するサーバと、ファイル操作ログとアクセスログとを蓄積するログ管理装置と、ログ管理装置に検索条件を送信し、ログ管理装置から検索結果を受信する検索装置と、を含む。ログ管理装置は、ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、アクセスログを蓄積するサーバログ記憶部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む。 In order to solve the above problem, according to the first aspect of the present invention, the log management system includes a client terminal that generates a file operation log including at least information indicating a file operation target file in the terminal, A server that generates an access log including at least information indicating a file to be accessed accessed from a client terminal, a log management device that accumulates file operation logs and access logs, a search condition to the log management device, and log management A search device that receives search results from the device. The log management device assigns log identification information for uniquely identifying a series of file operation logs to the file operation log, accumulates the file operation log storage unit, stores the access log, server log storage unit, and file operation An access log that includes an access target file that matches the operation target file of the file operation log stored in the log storage unit is extracted from the access log stored in the server log storage unit, and the extracted access log is a series of file operations. A log accumulation unit that accumulates in the file operation log storage unit by adding log identification information that uniquely identifies the series of file operation logs as a starting point in the log, and among the file operation logs accumulated in the file operation log storage unit A log search / aggregation unit that extracts file operation logs that match the search conditions and generates search results, and a log Based on the information, including a log tracking unit for generating a tracking result of the derived tracking or derived track, the.
上記の課題を解決するために、本発明の他の態様によれば、ログ管理装置は、クライアント端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログを蓄積するサーバログ記憶部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積部と、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む。 In order to solve the above problem, according to another aspect of the present invention, the log management device adds a series of file operation logs to a file operation log including at least information indicating a file operation target file in the client terminal. A file operation log storage unit that assigns and accumulates log identification information that is uniquely identified, a server log storage unit that stores an access log including at least information indicating an access target file for access to the server, and a file operation log storage unit The access log that contains the access target file that matches the operation target file of the file operation log accumulated in the server is extracted from the access log accumulated in the server log storage unit, and the extracted access log is the starting point in the series of file operation logs. Log identification information that uniquely identifies the set of file operation logs. Is added to the file operation log storage unit, and the file operation log that matches the search conditions specified by the search device is extracted from the file operation log stored in the file operation log storage unit. A log search / aggregation unit for generating a search result; and a log tracking unit for generating a tracking result of derivative tracking or origin tracking based on the log identification information.
上記の課題を解決するために、本発明の他の態様によれば、ログ管理方法は、クライアント端末が、自端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログを生成するステップと、サーバが、クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するステップと、ログ管理装置が、ファイル操作ログとアクセスログとを蓄積するログ管理ステップと、検索装置が、ログ管理装置に検索条件を送信し、ログ管理装置から検索結果を受信するステップと、を含む。ログ管理ステップは、ログ管理装置が、ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、操作ログ記憶部に、蓄積するファイル操作ログ記憶ステップと、ログ管理装置が、サーバログ記憶部にアクセスログを蓄積するサーバログ記憶ステップと、ログ管理装置のログ蓄積部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積ステップと、ログ管理装置のログ検索/集計部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、ログ管理装置のログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む。 In order to solve the above problems, according to another aspect of the present invention, the log management method includes a step of generating a file operation log including at least information indicating an operation target file of the file operation in the client terminal. A server generating an access log including at least information indicating an access target file accessed from a client terminal, a log management device storing a file operation log and an access log, and a search device Transmitting a search condition to the log management device and receiving a search result from the log management device. The log management step includes a file operation log storage step in which the log management device assigns log identification information that uniquely identifies a series of file operation logs to the file operation log, and accumulates in the operation log storage unit; Server log storage step in which the device stores the access log in the server log storage unit, and the access target file in which the log storage unit of the log management device matches the operation target file of the file operation log stored in the file operation log storage unit Is extracted from the access logs stored in the server log storage unit, and the log identification information that uniquely identifies the series of file operation logs as the starting point in the series of file operation logs. Log accumulation step to be added and accumulated in the file operation log storage unit, and log search / aggregation of the log management device However, the log search / aggregation step for extracting the file operation log that matches the search condition from the file operation log accumulated in the file operation log storage unit and generating the search result, and the log tracking unit of the log management device, And a log tracking step for generating a tracking result of the derived tracking or the origin tracking based on the log identification information.
上記の課題を解決するために、本発明の他の態様によれば、ログ管理方法は、クライアント端末におけるファイル操作の操作対象ファイルを示す情報を少なくとも含むファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、ファイル操作ログ記憶部に蓄積するファイル操作ログ記憶ステップと、サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログをサーバログ記憶部に蓄積するサーバログ記憶ステップと、ログ蓄積部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加してファイル操作ログ記憶部に蓄積するログ蓄積ステップと、ログ検索/集計部が、ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、ログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む。 In order to solve the above problem, according to another aspect of the present invention, a log management method includes a series of file operation logs in a file operation log including at least information indicating a file operation target file in a client terminal. A file operation log storage step for accumulating in the file operation log storage unit by assigning uniquely identifying log identification information and an access log including at least information indicating an access target file for access to the server are stored in the server log storage unit In the access log stored in the server log storage unit, the server log storage step and the log storage unit include an access log including an access target file that matches the operation target file of the file operation log stored in the file operation log storage unit. And extract the extracted access logs into a series of file operation logs A log accumulation step for adding log identification information for uniquely identifying a series of file operation logs and accumulating them in the file operation log storage unit and a log search / aggregation unit are accumulated in the file operation log storage unit. The log search / aggregation step that extracts the file operation log that matches the search conditions specified by the search device from the file operation log and generates the search result, and the log tracking unit derives the tracking based on the log identification information Or a log tracking step for generating a tracking result of origin tracking.
この発明のログ管理装置は、ファイル操作ログを蓄積する際に、クライアント端末のファイル操作ログに加えて、サーバのファイルに対するアクセスログを取得することで、サーバに保管されていたファイルの派生状況を追跡することができる。 When accumulating file operation logs, the log management apparatus according to the present invention acquires the access logs for the server files in addition to the file operation logs of the client terminal, thereby indicating the derivation status of the files stored in the server. Can be tracked.
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。 Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the component which has the same function in drawing, and duplication description is abbreviate | omitted.
図1は、この実施例のログ管理装置100と周辺機器の構成を示すブロック図である。ログ管理システム10は、ログ管理装置100と検索装置200とN台のファイル操作ログの監視対象となるクライアント端末300n(n=1,2,…,N)とサーバ400とを含み、各装置は、ネットワーク1に接続される。ネットワーク1は、ログ管理装置100と検索装置200、およびログ管理装置100とN台のクライアント端末300nそれぞれとサーバ400とが相互に通信可能なように構成される。ネットワーク1は、例えば、インターネットやLAN、WANなどで構成することができる。ログ管理装置100は、ログ追跡部110とログ蓄積部120とログ検索/集計部130とファイル操作ログ記憶部140とサーバログ記憶部150とを備える。
FIG. 1 is a block diagram showing the configuration of the
[ログ蓄積方法の説明]
N台のクライアント端末300nは、それぞれ自端末におけるファイル操作を監視し、ファイル操作がなされる都度、その操作内容を記述したファイル操作ログを生成し、ログ管理装置100へ送信する。ファイル操作の監視は、後述するファイル操作ログに設定される情報が取得できる方法であれば、既知のいかなる方法も用いることができる。例えば、監視対象装置であるクライアント端末300nで常時動作するエージェントプログラムにより取得してもよいし、クライアント端末300nを構成する基本ソフトウェア(Operation System)の提供するセキュリティログから取得してもよい。
[Explanation of log accumulation method]
Each of the N client terminals 300n monitors a file operation at the own terminal, and each time a file operation is performed, a file operation log describing the operation content is generated and transmitted to the
サーバ400は、クライアント端末300nからの自サーバに対するアクセスを監視し、アクセス情報を記述したアクセスログを生成し、ログ管理装置100へ送信する。サーバ400は、ファイルのダウンロードサービスを提供するウェブサーバとして実施例を説明するが、オンラインストレージサービスを構成するサーバでもよく、また、添付ファイルを送受信する電子メールを扱うメールサーバでもよい。要は、クライアント端末300nからの求めに応じて、ファイルをダウンロードさせるサーバであればどのようなサーバであってもよい。ファイルへのアクセスの監視は、後述するアクセスログに設定される情報が取得できる方法であれば、既知のいかなる方法も用いることができる。例えばサーバ400を構成するミドルウェアが提供するアクセスログから取得してもよい。
The
図2にファイル操作ログの構成例を示す。「日時=」に続く文字列は、操作が行われた日時(以下、操作日時)を表す。「ホスト=」に続く文字列は、ファイル操作が行われたクライアント端末300m(mは1,2,…,Nの何れかであり、クライアント端末300mを以下、操作端末とも呼ぶ)の名称を表す。「ユーザ=」に続く文字列は、ファイル操作が行われた際に、操作端末にログインしていたユーザを表す。「アプリケーション=」に続く文字列は、ファイル操作に用いられたアプリケーションの名称を表す。「操作種別=」に続く文字列は、ファイル操作内容の種別を表す。「元ファイル名=」に続く文字列は、ファイル操作前のファイル名を表す。「元ファイルパス=」に続く文字列は、ファイル操作前のファイルパスを表す。「先ファイル名=」に続く文字列は、ファイル操作後のファイル名を表す。「先ファイルパス=」に続く文字列は、ファイル操作後のファイルパスを表す。操作種別には、作成(Create)、削除(Delete)、参照(Read)、更新(Modify)、複製(Copy)、移動(Move)、変名(Rename)、別名保存(SaveAs)などが設定される。元ファイルパスおよび先ファイルパスは、ローカルパスで設定してもよいし、ネットワークパスで設定してもよい。ローカルパスとは、操作端末に搭載されているディスクドライブを示す情報を含むファイルパスの記述方式である。ネットワークパスとは、ファイルを保有する端末のホスト名(IPアドレスを含む)を含むファイルパスの記述方法である。パスの記述方法は装置を構成する基本ソフトウェアによって異なるが、例えば、Microsoft社のWindows(登録商標)であれば、ローカルパスはディスクドライブのドライブ文字で始まる文字列となり、ネットワークパスは「\\」にホスト名が続いた文字列から始まる文字列となる。 FIG. 2 shows a configuration example of the file operation log. A character string following “date and time =” represents the date and time when the operation was performed (hereinafter, the operation date and time). The character string following “host =” represents the name of the client terminal 300m (m is any one of 1, 2,..., N, and the client terminal 300m is also referred to as an operation terminal hereinafter) on which the file operation is performed. . The character string following “user =” represents the user who has logged in to the operation terminal when the file operation is performed. The character string following “application =” represents the name of the application used for the file operation. The character string following “operation type =” represents the type of file operation content. A character string following “original file name =” represents a file name before the file operation. The character string following “original file path =” represents the file path before the file operation. A character string following “destination file name =” represents a file name after file operation. The character string following “destination file path =” represents the file path after the file operation. Create (Delete), reference (Read), update (Modify), duplicate (Copy), move (Move), rename (Rename), save as (SaveAs), etc. are set as the operation type . The original file path and the destination file path may be set as a local path or a network path. The local path is a description method of a file path including information indicating a disk drive mounted on the operation terminal. The network path is a file path description method including the host name (including the IP address) of the terminal that holds the file. The path description method differs depending on the basic software that configures the device. For example, in the case of Microsoft Windows (registered trademark), the local path is a character string that starts with the drive letter of the disk drive, and the network path is "\\". The string starts with a string followed by the host name.
図2(A)は、ファイルが生成された際に出力されるファイル操作ログの例である。2012年11月12日10時10分15.311秒に、ホスト名が「PC_001」であるいずれかのクライアント端末300mにおいて、ユーザ「User_001」が、アプリケーション「APPLICATION01.exe」を用いて、ファイルパスが「C:\My Documents\説明資料.txt」であるファイル名「説明資料.txt」を、作成したことを示している。操作種別が作成(Create)の場合、ファイル操作の前には操作対象ファイルが存在しなかったため、先ファイル名および先ファイルパスには空文字列が設定される。操作種別が削除(Delete)のようにファイル操作の後には操作対象ファイルが存在しなくなる場合や、参照(Read)や更新(Modify)のように、ファイル操作の前後で操作対象ファイルのファイル名およびファイルパスが変更されない場合にも、先ファイル名および先ファイルパスには空文字列が設定される。 FIG. 2A is an example of a file operation log that is output when a file is generated. On November 12, 2012 at 10: 10: 15.311 seconds, at any client terminal 300m with the host name "PC_001", the user "User_001" uses the application "APPLICATION01.exe" and the file path is " This indicates that the file name “Explanation document.txt”, which is “C: \ My Documents \ Explanation document.txt”, has been created. When the operation type is “Create”, since the operation target file does not exist before the file operation, an empty string is set in the destination file name and the destination file path. If the operation target file does not exist after the file operation, such as when the operation type is Delete (Delete), or the file name and the operation target file before and after the file operation, such as referencing (Read) or updating (Modify) Even when the file path is not changed, an empty string is set in the destination file name and the destination file path.
図2(B)は、ファイルが複製された際に出力されるファイル操作ログの例である。2012年11月12日11時35分05.335秒に、ホスト名が「PC_002」であるいずれかのクライアント端末300mにおいて、ユーザ「User_002」が、アプリケーション「APPLICATION02.exe」を用いて、ファイルパスが「\\10.10.1.5\File\解説資料.doc」であるファイル名「解説資料.doc」を、ファイルパス「C:\My Documents\解説資料.doc」であるファイル名「解説資料.doc」として、複製したことを示している。操作種別が複製(Copy)もしくは移動(Move)もしくは変名(Rename)もしくは別名保存(SaveAs)の場合には、ファイル操作の前後で操作対象ファイルのファイル名もしくはファイルパスが変更されるため、先ファイル名および先ファイルパスが設定される。 FIG. 2B is an example of a file operation log that is output when a file is replicated. At 11: 35: 05.335 on November 12, 2012, the user "User_002" uses the application "APPLICATION02.exe" and the file path is " The file name “explanation material.doc” with \\ 10.10.1.5 \ File \ explanation material.doc ”is changed to the file name“ explanation material.doc ”with the file path“ C: \ My Documents \ explanation material.doc ”. , Indicating that it was duplicated. If the operation type is Duplicate (Copy), Move (Move), Rename (Rename) or Save As (SaveAs), the file name or file path of the operation target file is changed before and after the file operation, so the destination file Name and destination file path are set.
図3にサーバ400におけるアクセスログの構成例を示す。「ホスト名」の列にある文字列は、アクセス元のクライアント端末300p(pは1,2,…,Nの何れかであり、クライアント端末300pを以下、アクセス端末ともいう)の名称を表す。「日時」の列にある文字列はアクセスが行われた日時(以下、アクセス日時)を表す。「メールアドレス」の列にある文字列は、サーバ400に対してアクセスを行ったユーザのユーザ識別子(本実施例ではメールアドレス)を表す。「リクエスト」の列にある文字列は、サーバ400に対するリクエストの内容とプロトコルを表す。「ステータス」の列にある文字列は、アクセス結果を意味し、クライアントに送信されたHTTPステータスコードを表す。例えば、HTTPステータスコードが「200」の場合、アクセス結果が成功であることを意味する。「バイト数」の列にある文字列は、クライアントに送信されたファイルのバイト数を表す。「リクエスト」の列にある文字列は、GET、PUT等のリクエストの種別とURL(http://で始まるアクセス先を示す文字列)とプロトコル種別(HTTP/1.0等の文字列)により構成される。さらにストレージサービスを構成するサーバ400のログと組み合わせて、ユーザ名、メールアドレス、ファイルパス名を取得する構成例としてもよい。アクセスログには、アクセスのアクセス対象ファイルを示す情報が含まれ、この例では、図3の「リクエスト」の文字列に含まれるファイル名がアクセス対象ファイルである。例えば、図3の1行目のアクセスログのアクセス対象ファイルは「index.html」である。
FIG. 3 shows a configuration example of the access log in the
ログ管理装置100は、クライアント端末300nからファイル操作ログを受信し、一連のファイル操作ログを一意に識別するログ識別情報を付与して、ファイル操作ログ記憶部140に蓄積する。また、ログ管理装置100は、サーバ400からアクセスログを受信し、サーバログ記憶部150に蓄積する。
The
ファイル操作ログ記憶部140には、以前に受信したファイル操作ログが記憶されている。また、特定ファイルに対する一連のファイル操作が連結されて保存されている。具体的には、ファイルA.txtが作成され、複製され、変名された、というそれぞれのログに対して同一の識別子(以下「ログ識別情報」ともいう)が付与されて保存されている(図4の1〜3行目参照)。サーバログ記憶部150には、以前に受信したアクセスログが記憶される。ファイル操作ログ記憶部140とサーバログ記憶部150は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。ここでは、ファイル操作ログ記憶部140とサーバログ記憶部150をリレーショナルデータベースにより構成した場合を例として説明する(図3及び図4参照)。この場合、蓄積されたファイル操作ログとアクセスログは、各要素に対応するカラムを持つそれぞれのテーブルに、1件のログを1レコードとして登録される。
The file operation
ファイル操作ログ記憶部140では、ファイル操作ログの到着順を監視し、予め登録されたルールに合致した場合には新たなファイル操作ログを生成する。例えば、クライアント端末300mが「名前を付けて保存」のウィンドウタイトルを表示したときに、ログ管理装置100は、表示したことを示す情報をクライアント端末300mから受信するものとする。その場合、ログ管理装置100は、クライアント端末300mから一定時間内において、「名前を付けて保存」のウィンドウタイトルを表示したことを示す情報と、操作種別が作成(Create)であるファイル操作ログと、操作種別が参照(Read)であるファイル操作ログとがファイル操作ログ記憶部140に到着するか否かを監視し、三つのファイル操作ログの到着が検出できた場合(予め登録されたルールに合致した場合)、操作種別を別名保存(SaveAs)として、新たにファイル操作ログを生成する。このとき、新たに生成するファイル操作ログの元ファイル名、元ファイルパスを操作種別が参照(Read)であるファイル操作ログの元ファイル名、元ファイルパスとし、新たに生成するファイル操作ログの先ファイル名、先ファイルパスを別名保存時の別名、保存先とする。このようなファイル操作時の変更前ファイル名と変更後ファイル名を含むファイル操作ログを生成することで、一連のファイル操作を一意に識別する識別情報を付与してファイル操作ログを蓄積することができるようになる。なお、ここで示したファイル操作ログの到着順を監視し、予め登録されたルールに合致した場合に新たなファイル操作ログを生成する処理はクライアント端末において実施し、新たに生成されたファイル操作ログをログ管理装置に送信する構成としても構わない。
The file operation
従来技術において、ファイルの派生を判定するにあたり、文書作成アプリケーションを用いて「名前を付けて保存」のファイル操作を行ったログを取得する場合に、文書作成アプリケーションを変更することなくログを取得するために、ファイルI/O監視用のアプリケーションを用いる方法が有効であった。しかし、別名保存(SaveAs)のログではなく、作成(Create)のログが出力されるため、新規に作成、保存されたと判定される問題があった。その場合、本来、別名保存されたファイルは元のファイルから派生したものであるにもかかわらず、派生したものとして扱うことができなかった。 In the conventional technology, when determining the derivation of a file, when acquiring a log for performing a “Save As” file operation using a document creation application, the log is acquired without changing the document creation application. Therefore, a method using an application for monitoring file I / O was effective. However, there is a problem that it is judged that the file has been newly created and saved because the log of creation is output instead of the log of saving as (SaveAs). In that case, the file saved under a different name was originally derived from the original file, but could not be treated as derived.
一方、本実施例の構成では、一連のファイル操作ログとして保存することができる。より詳しくいうと、名前を付けて保存時に変更前ファイル名、変更後ファイル名を含んだファイル操作ログを生成することで、名前を付けて保存時に一連のファイル操作のツリーが途切れることなく追跡することができ、ファイル操作の関係性を把握できる。よって、従来技術では、派生したものとみなされなかった別名保存により生成されたファイルを参照(Read)の対象となるファイルの派生したものとみなすことができ、一連のファイル操作ログとして保存することができる。 On the other hand, in the configuration of the present embodiment, it can be stored as a series of file operation logs. More specifically, by generating a file operation log that includes the pre-change file name and the post-change file name when saving with a name, the tree of a series of file operations is tracked without interruption when saving with a name. And understand the relationship of file operations. Therefore, in the conventional technology, a file generated by saving as a different name that was not considered as a derived file can be regarded as a derived file for reference (Read) and saved as a series of file operation logs. Can do.
図5を参照して、サーバ400からファイルをダウンロードした際のログ蓄積部120の動作を説明する。ログ蓄積部120は、ファイル操作ログ記憶部140に記憶する際に、アプリケーションがウェブブラウザ(InternetExplorer(登録商標)等)であり、操作種別が作成(Create)であるファイル操作ログを抽出する(S1101)。この場合、抽出したファイル操作ログに含まれる元ファイル名と日時をキーとして、サーバログ記録部150から同一ファイル名であり、同一日時のアクセスログを抽出する(S1102)。なお、この実施例では「リクエスト」の列にある文字列の中にこのアクセスの対象となるファイルの名前が含まれる。例えば、図3の2行目のアクセスログの場合、「document001.txt」がアクセス対象ファイルである。日時については時刻の同期ずれ、操作のタイムラグを考慮して、ファイル操作ログに含まれる日時の近傍の日時を含むアクセスログを抽出することが望ましい。よって、同一日時とは、完全に同一である必要はなく、時刻の同期ずれ、操作のタイムラグを考慮したファイル操作日時の前後の所定の期間を意味する。また、このとき、図2の「ユーザ」が例えばWindows(登録商標)のユーザ名である場合、図3の「メールアドレス」とは異なるため、予め「メールアドレス」と「ユーザ名」との対応関係をログ蓄積部120に登録しておき、S1102における抽出条件として使用してもよい。つまり、ファイル操作ログの「ユーザ」とアクセスログの「メールアドレス」を持つユーザとが同一であることも抽出条件として追加する。このような構成とすることで、より正確にファイルの関連性を把握することができる。より詳しく言うと、ファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含み、ファイル操作ログの操作日時と同じアクセス日時を含むアクセスログではあるが、本来関連性のないアクセスログを、誤って抽出することを防ぐことができる。ログ蓄積部120はアクセスログが抽出できたか判定する(S1103)。抽出できた場合には、ログ蓄積部120が作成(Create)のログに対してツリーの先頭となるように操作種別をダウンロードとして、ファイル操作ログを生成し、一連のファイル操作ログに追加する(S1104)。さらに、追加したファイル操作ログをファイル操作ログ記憶部140に保存する(S1105)。抽出できなかった場合には、ログの到着遅延を考慮して、予め設定された規定回数で、予め設定された一定時間待つ(S1106,S1107)。規定回数を超えた場合は、該当するアクセスログがないと判断し、終了する。例えば、図2(A)のファイル操作ログをログ識別情報を付与して、ファイル操作ログ記憶部140に記憶する際に(図4の4行目参照)、ログ蓄積部120は、「説明資料.txt」をアクセス対象ファイルとし、「2012/11/12 10:10:15.311」と同じアクセス日時とする(言い換えると、ファイル操作日時の前後の所定の期間内にアクセス日時が含まれる)アクセスログがサーバログ記憶部150に存在しないか否かを判定し、存在する場合には、そのアクセスログを抽出する。図3の場合(ただし、「APPLICATION01.exe」はウェブブラウザとする)、三行目のアクセスログを抽出し、これを元にファイル操作ログを生成し、ファイル操作ログ記憶部140に保存する(図4の5行目参照)。仮に、条件を満たすアクセスログがサーバログ記憶部150に存在しない場合(図3の3行目のアクセスログが存在しない場合)、図4の5行目のファイル操作ログを生成されず、図4の4行目の「説明資料.txt」はダウンロードされたファイルではなく、新規に作成されたファイルと判定され、一連のファイル操作ログの起点となる。
With reference to FIG. 5, the operation of the
このようにファイル操作ログを蓄積することで、ダウンロードしたファイルを起点として追跡すること、および任意のファイルがダウンロードされたものであるかを追跡することができ、サーバに保管されていたファイルの派生状況を追跡することができる。 By accumulating file operation logs in this way, it is possible to track the downloaded file as the starting point, and track whether any file has been downloaded, and derivation of the file stored on the server The situation can be tracked.
[ログ検索方法の説明]
検索装置200を用いて、ダウンロードファイルを検索し、さらに、ダウンロードファイルの派生追跡を行い、追跡結果を表示する場合の例を説明する。図6に検索装置200が検索結果を表示する例を示す。検索装置200は、ログ検索画面50の検索ボタン511が押下されると、検索条件欄51に入力されている検索条件をログ管理装置100へ送信する。例えば、検索条件欄51には、システムを管理する管理者のユーザ名である管理者欄、ダウンロードファイルを検索する対象の日時である期間欄のそれぞれに対する検索条件を入力することができる。図6では、管理者に情報担当Aを指定し、期間を2012年11月12日0時0分0秒から2012年11月13日23時59分59秒と指定している。管理者は、管理者によって検索範囲を特定することに用いることができる。その場合、管理者毎に検索できる範囲を予め設定しておくことができる。例えば、クライアント端末3001〜300pのファイル操作ログは検索できる範囲、クライアント端末300(p+1)〜300Nのファイル操作ログは検索できない範囲として設定しておく。また、範囲の指定には、特定のユーザを複数指定し、指定されたユーザのファイル操作ログのみを検索できることとしてもよい。また、クライアント端末とユーザ名の組み合わせで範囲を指定してもよい。また、管理者と同一のユーザを含むファイル操作ログのみを検索できる範囲として設定してもよい。また、管理者は検索装置200を用いてログ検索画面50を表示させる際にログイン行為を行うこととし、ログインユーザ名を表示することとでもよい。なお、管理者欄を設けず、検索装置200の利用者全てが全てのファイル操作ログを検索できる構成としてもよい。図6の例では、情報担当Aは全てのファイル操作ログを検索できるものとする。
[Explanation of log search method]
An example in which a download file is searched using the
ログ管理装置100の備えるログ検索/集計部130は、ファイル操作ログを抽出した後で、特定の検索条件に従って集計を行い、検索結果を生成する。以下、図7を参照して、ログ管理装置100の備えるログ検索/集計部130の動作を説明する。ログ検索/集計部130は、検索装置200から検索条件(例えば、「期間」)を受信する(S1201)。次に、ファイル操作ログ記憶部140に蓄積されたファイル操作ログから、検索条件に指定された期間における、操作種別がダウンロードのファイル操作ログ(以下、ダウンロードログともいう)を抽出する(S1202)。続いて、該当するダウンロードログが抽出されたかどうかを判定する(S1203)。該当するダウンロードログが抽出された場合には、抽出されたダウンロードログを用いて、ダウンロードファイルの件数と、ダウンロードファイルの派生ファイルが削除された件数と未削除の件数を算出する(S1204)。ダウンロードファイルが複製されて派生している場合は1件でも残存していれば未削除とし、全ての派生ファイルが削除された時点で削除済みとする。派生ファイルの数を算出して、削除か未削除かを表示することでもよい。この場合、ダウンロードログに対して派生追跡を行い、ダウンロードファイルとその派生ファイルの合計の件数と、ダウンロードファイルまたはその派生ファイルが削除された件数と未削除の件数を算出し、表示する。続いて、算出した件数を検索結果として検索装置200へ送信する(S1205)。該当するダウンロードログが抽出されなかった場合には、該当するダウンロードログは存在しなかったことを示す情報を検索装置200へ返信する(S1206)。
The log search /
検索装置200は、ログ管理装置100から検索結果を受信すると、検索結果欄52へ検索結果を表示する。図6は、検索条件欄51の例のように検索条件を設定して、ダウンロードログを検索した場合の検索結果を表示した例である。検索結果521は、検索条件に指定された期間におけるダウンロードされたファイルの件数を示し、検索結果522は、ダウンロードされたファイルの中で削除されたファイルの件数を示し、検索結果523は、ダウンロードされたファイルの中で削除されていないファイルの件数を示した例である。また、検索結果524はサーバ400が運用開始した日時を予め登録しておくことで、運用開始から検索条件に指定した範囲の末尾側の日時までの期間におけるダウンロードされたファイルの中で削除されていないファイルの件数を示した例である。図6のように検索条件を指定することで、利用者は、例えば、自部署が運用するサーバ400からダウンロードされたファイルが削除されているか否かを把握することができる。
When the
検索装置200は、検索結果欄52に表示されている一覧表示ボタン531、532が押下されると、検索装置200はその一覧表示ボタンに対応するダウンロードログの表示要求をログ管理装置100へ送信する。ログ管理装置100は、S1202で抽出したダウンロードログを一覧として検索装置200へ返信する。検索装置200は、ログ管理装置100から一覧を受信すると、ダウンロードファイル一覧画面を表示する。図8は、一覧表示ボタン531が押下され、ダウンロードログをダウンロードファイル一覧画面60に表示した例である。例えば、図8の「ファイル」の列にある文字列はダウンロード先のファイルパスであり、「IPアドレス」の列になる文字列はクライアントクライアント端末300mのIPアドレスであり、「削除」の列は、ダウンロードファイルの派生ファイルが削除されたか否かを表す。
When the
検索装置200は、一覧表示欄61の表示結果611〜618に表示されている追跡ボタン621〜628のいずれかが押下されると、検索装置200はその追跡ボタンに対応するダウンロードログを起点ログとして追跡要求をログ管理装置100へ送信する。ダウンロードログは一連のファイル操作ログの起点として、ログ識別情報が付与された状態でファイル操作ログ記憶部140に記憶されている。そのため、ログ管理装置100では、追跡ボタンに対応するダウンロードログを起点ログとして追跡要求を受信すると、そのダウンロードログを起点とする一連のファイル操作ログを容易に取得することができる。
When any of the tracking
図9を参照して、ログ管理装置100の備えるログ追跡部110の動作を説明する。ログ追跡部110は、検索装置200から起点ログの情報を受信する(S1301)。次に、起点ログを起点として派生追跡を実施する(S1302)。派生追跡とは、起点ログと操作対象ファイルが同じであり、かつ起点ログよりも操作日時が新しいファイル操作ログを抽出する追跡方法であり、一連の操作の関係を特定するために付与されたログ識別情報を用いて、ファイルの派生状況を示すことができる方法であればいかなる方法でも構わない。例えば、ログ識別情報が同じファイル操作ログを全て取り出し、ダウンロードログを起点ログとして、時系列にファイル操作ログを並べることでダウンロードファイルの派生状況を示すことができる。
With reference to FIG. 9, the operation of the
そして、派生追跡により抽出されたファイル操作ログと起点ログであるファイル操作ログとを併合して追跡結果を生成する。例えば、図4において、4行目の操作種別が「Create」であるファイル操作ログと起点ログである5行目のファイル操作ログとは同じダウンロード操作を意味するので、併合する。検索装置200が追跡結果を表示する処理を軽減するために、追跡結果は操作日時を基準として時系列に整列してもよい。
Then, the file operation log extracted by the derivation tracking and the file operation log as the starting point log are merged to generate a tracking result. For example, in FIG. 4, the file operation log with the operation type “Create” on the fourth line and the file operation log on the fifth line, which is the origin log, mean the same download operation and are merged. In order to reduce the processing for the
続いて、ログ追跡部110は、派生追跡により追跡結果が抽出されたかどうかを判定する(S1303)。派生追跡により追跡結果が抽出された場合には、抽出された追跡結果を検索装置200へ送信する(S1304)。派生追跡により追跡結果が抽出されなかった場合には、追跡対象のファイル操作ログは存在しなかったことを示す情報を検索装置200へ返信する(S1305)。ただし、派生追跡により追跡結果が抽出されなかった場合に、起点ログであるファイル操作ログのみを追跡結果として検索装置200へ送信してもよい。
Subsequently, the
図10に検索装置200が追跡結果を表示する例を示す。検索装置200は、ログ管理装置100から追跡結果を受信すると、ログ追跡画面70に受信した追跡結果を樹形図に整形して表示する。図10は、図8のダウンロードファイル一覧画面60において、追跡ボタン622を押下した場合の追跡結果を表示した例である。
FIG. 10 shows an example in which the
樹形図は追跡結果に含まれるファイル操作ログを各ノードとして、画面上部から画面下部に向かって操作日時の時系列に配列される。各四角枠711〜713の枠内には操作日時、操作種別、ホスト名、ユーザが表示される。各丸枠721〜723の枠内には追跡結果レコードの元ファイル名もしくは先ファイル名が表示される。元ファイルパスもしくは先ファイルパスが表示されてもよい。四角枠と丸枠は矢印によって結合され、一連のファイル操作として表示される。ノード722はノード721から複製(Copy)されており、ノード722はその後の操作でファイル名が変更され(変名(Rename))、ノード723に派生していることが分かる。
The tree diagram is arranged in chronological order of operation date and time from the upper part of the screen to the lower part of the screen, with each file operation log included in the tracking result as each node. The operation date and time, operation type, host name, and user are displayed in the
従来技術において、ファイルの取り扱い状況を把握する際に、確実に削除されたかどうかを追跡する場合には、ファイルのツリーを最後まで追いかける必要があり、視認性が低いという問題があった。一方。本実施例では、ダウンロードファイル一覧画面を表示し、ダウンロードされたファイルのツリーを最後まで追いかけることをせずに、残存状況を容易に視認することができ、視認性を向上させている(図8参照)。さらに、利用者の選択により、選択されたダウンロードファイルの派生状況をより詳細に表示することができる(図10参照)。 In the prior art, when tracking whether a file has been reliably deleted when grasping the handling status of the file, it is necessary to follow the tree of the file to the end, and there is a problem that visibility is low. on the other hand. In this embodiment, the download file list screen is displayed, and the remaining status can be easily visually recognized without chasing the downloaded file tree to the end, thereby improving the visibility (FIG. 8). reference). Furthermore, the derivation status of the selected download file can be displayed in more detail by the user's selection (see FIG. 10).
また、サーバ400からダウンロードされたファイルの取り扱い状況の集計処理により、特定のファイルの残存状況を容易に把握することができる(図6参照)。そのため、重要情報が残存し、追跡すべきファイルが存在するか否かを容易に特定することができる。したがって、ログ管理システム10によれば、情報の適切な取り扱い状況を把握するための作業効率が全体として向上することができる。
Moreover, the remaining status of a specific file can be easily grasped by the totalization processing of the handling status of the files downloaded from the server 400 (see FIG. 6). Therefore, it is possible to easily identify whether important information remains and there is a file to be tracked. Therefore, according to the
検索条件の指定において、予めノード722のファイル名が分かっている(例えばクライアント端末に存在する実物ファイル)場合には、当該ファイル名を指定した由来追跡を行うことで、ダウンロードされた操作が起点となっているファイルであることを把握することができる。由来追跡とは、検索対象ファイルと操作対象ファイルが同じであり、かつ検索対象ファイルよりも操作日時が古いファイル操作ログを抽出する追跡方法である。ここでは、検索装置200を用いて、ファイルの由来追跡を行い、追跡結果を表示する場合の例を説明する。
When specifying the search condition, if the file name of the
図11に検索装置200が検索結果を表示する例を示す。検索装置200は、ログ検索画面80の検索ボタン811が押下されると、検索条件欄81に入力されている検索条件をログ管理装置100へ送信する。例えば、検索条件欄81には、検索条件として、検索対象ファイルのファイル名を入力することができる。
FIG. 11 shows an example in which the
ログ管理装置100の備えるログ検索/集計部110の動作を説明する。ログ検索/集計部110は、検索端末200から検索条件(例えば、「検索対象ファイルのファイル名」)を受信する。次に、ログ検索/集計部110は、「元ファイル名」または「先ファイル名」が「検索対象ファイルのファイル名」と一致するファイル操作ログをファイル操作ログ記憶部140に蓄積されたファイル操作ログの中から抽出する。ログ検索/集計部110は、抽出した件数をカウントし、件数を検索結果として検索装置200へ送信する。
An operation of the log search /
検索装置200は、ログ管理装置100から検索結果を受信すると、検索結果欄82へ検索結果を表示する。図11は、検索条件欄81の例のように検索条件を設定して、ファイル操作ログを検索した場合の検索結果を表示した例である。検索結果821は、検索条件に指定されたファイル名と同じ「元ファイル名」または「先ファイル名」を持つファイル操作ログの件数を示した例である。
When the
検索装置200は、検索結果欄82に表示されている一覧表示ボタン831が押下されると、検索装置200はその一覧表示ボタンに対応するファイル操作ログの表示要求をログ管理装置100へ送信する。ログ管理装置100は、抽出したファイル操作ログを、一覧として検索装置200へ返信する。検索装置200は、ログ管理装置100から一覧を受信すると、ファイル操作ログ一覧画面を表示する。
When the
図12は、一覧表示ボタン831が押下され、ファイル操作ログをファイル操作ログ一覧画面90に表示した例である。例えば、図12の「元ファイル」の列の文字列は、ファイル操作前のファイルパスを表す。「先ファイル」の列の文字列は、ファイル操作後のファイルパスを表す。「IPアドレス」の列になる文字列はクライアントクライアント端末300mのIPアドレスである。
FIG. 12 shows an example in which the file operation log is displayed on the file operation
検索装置200は、一覧表示欄91の表示結果911〜913に表示されている追跡ボタン921〜923のいずれかが押下されると、検索装置200はその追跡ボタンに対応するファイル操作ログを起点ログとして由来追跡要求をログ管理装置100へ送信する。
When any of the tracking
ログ管理装置100の備えるログ追跡部110の動作を説明する。ログ追跡部110は、検索装置200から起点ログの情報を受信する。次に、起点ログを起点として由来追跡を実施する。一連の操作の関係を特定するために付与されたログ識別情報を用いて、ファイルの由来状況を示すことができる方法であればいかなる方法でも構わない。例えば、ログ識別情報が同じファイル操作ログを全て取り出し、起点ログよりも操作日時が古いファイル操作ログを抽出し、時系列にファイル操作ログを並べることで検索対象ファイルの由来状況を示すことができる。また、図10のように樹形図として表示してもよい。
An operation of the
<効果>
このような構成とすることで、発明のログ管理装置は、ファイル操作ログを蓄積する際に、クライアント端末のファイル操作ログに加えて、サーバのファイルに対するアクセスログを取得することで、サーバに保管されていたファイルの派生状況を追跡することができる。ダウンロードしたファイルを起点として派生追跡することができ、任意のファイルがダウンロードされたものであるかを由来追跡することができる。
<Effect>
With this configuration, the log management device of the invention stores the file operation log in the server by acquiring the access log for the server file in addition to the file operation log of the client terminal when accumulating the file operation log. You can track the derivation status of files that have been. The downloaded file can be derived and traced from the starting point, and whether or not an arbitrary file is downloaded can be traced.
また、サーバからダウンロードされたファイルの取り扱い状況の集計処理により、特定のファイルの残存状況を容易に把握することができる。そのため、重要情報が残存し、追跡すべきファイルが存在するか否かを容易に特定することができる。したがって、この発明のログ管理装置によれば、情報の適切な取り扱い状況を把握するための作業効率が全体として向上することができる。 Moreover, the remaining status of a specific file can be easily grasped by the totaling processing of the handling status of the files downloaded from the server. Therefore, it is possible to easily identify whether important information remains and there is a file to be tracked. Therefore, according to the log management apparatus of the present invention, the work efficiency for grasping the appropriate handling status of information can be improved as a whole.
[変形例]
本実施例では、サーバが一つの場合について説明したが、複数の場合であっても同様に処理することができる。
[Modification]
In the present embodiment, the case where there is one server has been described. However, even when there are a plurality of servers, the same processing can be performed.
ファイル操作ログとして少なくとも操作日時と操作対象ファイルを示す情報を含めばよく、またアクセスログとして少なくともアクセス日時とアクセス対象ファイルを示す情報を含めばよい。さらに、ログ蓄積部120において、ファイル操作ログ記憶部140に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログをサーバログ記憶部150に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点となる起点ログとし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積する場合、ファイル操作ログとして少なくとも操作対象ファイルを示す情報を含めばよく、またアクセスログとして少なくともアクセス対象ファイルを示す情報を含めばよい。
The file operation log may include at least information indicating the operation date and time and the operation target file, and the access log may include at least information indicating the access date and time and the access target file. Further, in the
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
[Program, recording medium]
The present invention is not limited to the above-described embodiment, and it goes without saying that modifications can be made as appropriate without departing from the spirit of the present invention. The various processes described in the above-described embodiments are not only executed in time series according to the order described, but may be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes.
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。上記実施例では、ログ管理装置100と検索装置200とサーバ400とクライアント端末300nとをそれぞれ別々のコンピュータによって実現しているが、その一部または全部を一つのコンピュータによって実現してもよい。
When various processing functions in each device described in the above embodiment are realized by a computer, the processing contents of the functions that each device should have are described by a program. Then, by executing this program on a computer, various processing functions in each of the above devices are realized on the computer. In the above embodiment, the
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。 The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。 The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。 A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.
1 ネットワーク
10 ログ管理システム
100 ログ管理装置
110 ログ追跡部
120 ログ蓄積部
130 ログ検索/集計部
140 ファイル操作ログ記憶部
150 サーバログ記憶部
200 検索装置
300n クライアント端末
400 サーバ
DESCRIPTION OF SYMBOLS 1
Claims (8)
前記クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するサーバと、
前記ファイル操作ログと前記アクセスログとを蓄積するログ管理装置と、
前記ログ管理装置に検索条件を送信し、前記ログ管理装置から検索結果を受信する検索装置と、を含み、
前記ログ管理装置は、
前記ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、蓄積するファイル操作ログ記憶部と、
前記アクセスログを蓄積するサーバログ記憶部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、前記検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、
ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む、
ログ管理システム。 A client terminal that generates a file operation log including at least information indicating an operation target file of the file operation in the terminal;
A server that generates an access log including at least information indicating an access target file accessed from the client terminal;
A log management device for accumulating the file operation log and the access log;
A search device that transmits search conditions to the log management device and receives search results from the log management device, and
The log management device includes:
A file operation log storage unit for accumulating and accumulating log identification information for uniquely identifying a series of file operation logs in the file operation log; and
A server log storage unit for accumulating the access log;
An access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit is extracted from the access log stored in the server log storage unit, and the extracted access log is A log storage unit that is a starting point in a series of file operation logs, adds log identification information that uniquely identifies the series of file operation logs, and accumulates in the file operation log storage unit;
A log search / aggregation unit that extracts a file operation log that matches the search condition from the file operation logs accumulated in the file operation log storage unit and generates a search result;
A log tracking unit that generates tracking results for derivative tracking or origin tracking based on log identification information, and
Log management system.
サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログを蓄積するサーバログ記憶部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積部と、
前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計部と、
ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡部と、を含む、
ログ管理装置。 A file operation log storage unit that adds log identification information that uniquely identifies a series of file operation logs to a file operation log that includes at least information indicating a file operation target file in a client terminal,
A server log storage unit for accumulating an access log including at least information indicating an access target file for access to the server;
An access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit is extracted from the access log stored in the server log storage unit, and the extracted access log is A log storage unit that is a starting point in a series of file operation logs, adds log identification information that uniquely identifies the series of file operation logs, and accumulates in the file operation log storage unit;
A log search / aggregation unit that extracts a file operation log that matches a search condition specified by a search device from the file operation logs stored in the file operation log storage unit and generates a search result;
A log tracking unit that generates tracking results for derivative tracking or origin tracking based on log identification information, and
Log management device.
前記ファイル操作ログにはファイル操作の操作日時と操作種別を示す情報が含まれるものとし、前記アクセスログにはアクセスのアクセス日時を示す情報が含まれるものとし、ログ蓄積部は、操作種別が作成であるファイル操作ログがファイル操作ログ記憶部に蓄積されると、そのファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含み、かつ、そのファイル操作ログの操作日時と同じアクセス日時を含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積する、
ログ管理装置。 The log management device according to claim 2,
The file operation log includes information indicating the operation date / time and operation type of the file operation, the access log includes information indicating the access date / time of access, and the log storage unit creates the operation type When the file operation log is accumulated in the file operation log storage unit, the access includes the access target file that matches the operation target file of the file operation log and includes the same access date and time as the operation date and time of the file operation log. The log is extracted from the access log accumulated in the server log storage unit, the extracted access log is set as the starting point in the series of file operation logs, and log identification information for uniquely identifying the series of file operation logs is added. Accumulated in the file operation log storage unit,
Log management device.
一定時間におけるファイル操作ログの到着を監視し、予め登録されたルールに従ってファイル操作ログを生成し、蓄積する、
ログ管理装置。 The log management device according to claim 2 or 3,
Monitor the arrival of file operation logs at a certain time, generate and accumulate file operation logs according to pre-registered rules,
Log management device.
前記検索条件を一定期間とし、前記ログ検索/集計部は、その一定期間内に前記ログ蓄積部において起点としてログ識別情報を付加されたファイル操作ログの件数を集計し、起点としてログ識別情報を付加された各ファイル操作ログに関する一連のファイル操作ログを派生追跡し、一連のファイル操作ログの末端の操作種別が全て削除である件数と、それ以外の件数とを集計し、集計結果を検索結果として検索装置に送信する、
ログ管理装置。 A log management device according to any one of claims 2 to 4,
The search condition is a predetermined period, and the log search / aggregation unit totals the number of file operation logs to which log identification information is added as a starting point in the log storage unit within the predetermined period, and uses the log identification information as a starting point. Derived and traced a series of file operation logs related to each added file operation log, totaled the number of cases where the operation type at the end of the series of file operation logs is all deleted, and the number of other cases, and searched the aggregated results To the search device as
Log management device.
サーバが、前記クライアント端末からアクセスされたアクセス対象ファイルを示す情報を少なくとも含むアクセスログを生成するステップと、
ログ管理装置が、前記ファイル操作ログと前記アクセスログとを蓄積するログ管理ステップと、
検索装置が、前記ログ管理装置に検索条件を送信し、前記ログ管理装置から検索結果を受信するステップと、を含み、
前記ログ管理ステップは、
前記ログ管理装置が、前記ファイル操作ログに、一連のファイル操作ログを一意に識別するログ識別情報を付与して、操作ログ記憶部に、蓄積するファイル操作ログ記憶ステップと、
前記ログ管理装置が、サーバログ記憶部に前記アクセスログを蓄積するサーバログ記憶ステップと、
前記ログ管理装置のログ蓄積部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積ステップと、
前記ログ管理装置のログ検索/集計部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、前記検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、
前記ログ管理装置のログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む、
ログ管理方法。 A step in which the client terminal generates a file operation log including at least information indicating an operation target file of the file operation in the terminal;
A server generating an access log including at least information indicating an access target file accessed from the client terminal;
A log management step in which the log management device accumulates the file operation log and the access log;
A search device transmits a search condition to the log management device and receives a search result from the log management device, and
The log management step includes:
A file operation log storage step in which the log management device assigns log identification information that uniquely identifies a series of file operation logs to the file operation log, and accumulates in the operation log storage unit;
A server log storage step in which the log management device accumulates the access log in a server log storage unit;
The log storage unit of the log management device stores an access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit. A log accumulation step of extracting the access log as a starting point in a series of file operation logs, adding log identification information for uniquely identifying the series of file operation logs, and accumulating the log in the file operation log storage unit; ,
Log search / aggregation unit in which the log search / aggregation unit of the log management device extracts a file operation log that matches the search condition from the file operation logs accumulated in the file operation log storage unit and generates a search result Steps,
A log tracking unit for generating a tracking result of derivative tracking or origin tracking based on log identification information, and a log tracking unit of the log management device,
Log management method.
サーバに対するアクセスのアクセス対象ファイルを示す情報を少なくとも含むアクセスログをサーバログ記憶部に蓄積するサーバログ記憶ステップと、
ログ蓄積部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積するログ蓄積ステップと、
ログ検索/集計部が、前記ファイル操作ログ記憶部に蓄積されたファイル操作ログの中から、検索装置から指定された検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索/集計ステップと、
ログ追跡部が、ログ識別情報に基づき、派生追跡または由来追跡の追跡結果を生成するログ追跡ステップと、を含む、
ログ管理方法。 File operation log storage that accumulates in a file operation log storage unit by adding log identification information that uniquely identifies a series of file operation logs to a file operation log that includes at least information indicating a file operation target file in a client terminal Steps,
A server log storage step of accumulating in the server log storage unit an access log including at least information indicating an access target file for access to the server;
A log storage unit that extracts an access log including an access target file that matches an operation target file of the file operation log stored in the file operation log storage unit from the access log stored in the server log storage unit; A log accumulating step in which the extracted access log is set as a starting point in a series of file operation logs, and log identification information for uniquely identifying the series of file operation logs is added and accumulated in the file operation log storage unit;
A log search / aggregation unit that extracts a file operation log that matches a search condition specified by a search device from the file operation logs accumulated in the file operation log storage unit and generates a search result Steps,
A log tracking step, wherein the log tracking unit generates a tracking result of the derived tracking or the origin tracking based on the log identification information,
Log management method.
前記ファイル操作ログにはファイル操作の操作日時と操作種別を示す情報が含まれるものとし、前記アクセスログにはアクセスのアクセス日時を示す情報が含まれるものとし、ログ蓄積ステップにおいて、操作種別が作成であるファイル操作ログがファイル操作ログ記憶部に蓄積されると、そのファイル操作ログの操作対象ファイルに合致するアクセス対象ファイルを含み、かつ、そのファイル操作ログの操作日時と同じアクセス日時を含むアクセスログを前記サーバログ記憶部に蓄積されたアクセスログの中から抽出し、抽出したアクセスログを一連のファイル操作ログにおける起点とし、その一連のファイル操作ログを一意に識別するログ識別情報を付加して前記ファイル操作ログ記憶部に蓄積する、
ログ管理方法。 The log management method according to claim 7, comprising:
The file operation log includes information indicating the operation date / time and operation type of the file operation, and the access log includes information indicating the access date / time of access. The operation type is created in the log accumulation step. When the file operation log is accumulated in the file operation log storage unit, the access includes the access target file that matches the operation target file of the file operation log and includes the same access date and time as the operation date and time of the file operation log. The log is extracted from the access log accumulated in the server log storage unit, the extracted access log is set as the starting point in the series of file operation logs, and log identification information for uniquely identifying the series of file operation logs is added. Accumulated in the file operation log storage unit,
Log management method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013020255A JP5603447B2 (en) | 2013-02-05 | 2013-02-05 | Log management system, log management apparatus, and log management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013020255A JP5603447B2 (en) | 2013-02-05 | 2013-02-05 | Log management system, log management apparatus, and log management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014153742A true JP2014153742A (en) | 2014-08-25 |
JP5603447B2 JP5603447B2 (en) | 2014-10-08 |
Family
ID=51575601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013020255A Active JP5603447B2 (en) | 2013-02-05 | 2013-02-05 | Log management system, log management apparatus, and log management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5603447B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017068378A (en) * | 2015-09-28 | 2017-04-06 | 株式会社富士通エフサス | Incident management system, incident management method, and incident management program |
CN111008123A (en) * | 2019-10-23 | 2020-04-14 | 贝壳技术有限公司 | Database testing method and device, storage medium and electronic equipment |
CN112801619A (en) * | 2021-01-29 | 2021-05-14 | 中国农业银行股份有限公司上海市分行 | Method and device for screening financial business operation logs |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008052570A (en) * | 2006-08-25 | 2008-03-06 | Hitachi Software Eng Co Ltd | System for managing operation history |
JP2009122995A (en) * | 2007-11-15 | 2009-06-04 | Hitachi Ltd | Management system and management method of related process record |
JP2009176119A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | File use circumstance determination system |
-
2013
- 2013-02-05 JP JP2013020255A patent/JP5603447B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008052570A (en) * | 2006-08-25 | 2008-03-06 | Hitachi Software Eng Co Ltd | System for managing operation history |
JP2009122995A (en) * | 2007-11-15 | 2009-06-04 | Hitachi Ltd | Management system and management method of related process record |
JP2009176119A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | File use circumstance determination system |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017068378A (en) * | 2015-09-28 | 2017-04-06 | 株式会社富士通エフサス | Incident management system, incident management method, and incident management program |
CN111008123A (en) * | 2019-10-23 | 2020-04-14 | 贝壳技术有限公司 | Database testing method and device, storage medium and electronic equipment |
CN111008123B (en) * | 2019-10-23 | 2023-10-24 | 贝壳技术有限公司 | Database testing method and device, storage medium and electronic equipment |
CN112801619A (en) * | 2021-01-29 | 2021-05-14 | 中国农业银行股份有限公司上海市分行 | Method and device for screening financial business operation logs |
Also Published As
Publication number | Publication date |
---|---|
JP5603447B2 (en) | 2014-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8515902B2 (en) | Automatic and semi-automatic tagging features of work items in a shared workspace for metadata tracking in a cloud-based content management system with selective or optional user contribution | |
US8700567B2 (en) | Information apparatus | |
WO2013038489A1 (en) | Computer system, management method for client computer, and storage medium | |
JP2007519106A (en) | Method and system for recording a search trail across one or more search engines in a communication network | |
KR20120101365A (en) | Method and system for processing information of a stream of information | |
US11531658B2 (en) | Criterion-based retention of data object versions | |
JP2016539401A (en) | Hierarchical data archiving | |
US8671108B2 (en) | Methods and systems for detecting website orphan content | |
US20140358868A1 (en) | Life cycle management of metadata | |
JP2006302170A (en) | Log management method and device | |
US20120317112A1 (en) | Operation log management system and operation log management method | |
US20210165785A1 (en) | Remote processing of memory and files residing on endpoint computing devices from a centralized device | |
JP2011191862A (en) | File management apparatus, file management system, and file management program | |
Reddy et al. | Preprocessing the web server logs: an illustrative approach for effective usage mining | |
WO2015157209A1 (en) | Remote processing of files residing on endpoint computing devices | |
CN110245037A (en) | A kind of Hive user's operation behavior restoring method based on log | |
JP5603447B2 (en) | Log management system, log management apparatus, and log management method | |
JP2005242904A (en) | Document group analysis device, document group analysis method, document group analysis system, program and storage medium | |
JP2008305352A (en) | Full text search system | |
WO2017221445A1 (en) | Management device, management method, and management program | |
US10528536B1 (en) | Managing data object versions in a storage service | |
JP2012208565A (en) | Log management method, log management device, and program | |
Reichert et al. | Feeding the world: a comprehensive dataset and analysis of a real world snapshot of web feeds | |
CN107958022A (en) | A kind of method that Web log excavates | |
JP6279969B2 (en) | Communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140812 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140821 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5603447 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |