JP2015212877A - Log management method, log management system, log management device, and log management program - Google Patents

Log management method, log management system, log management device, and log management program Download PDF

Info

Publication number
JP2015212877A
JP2015212877A JP2014095252A JP2014095252A JP2015212877A JP 2015212877 A JP2015212877 A JP 2015212877A JP 2014095252 A JP2014095252 A JP 2014095252A JP 2014095252 A JP2014095252 A JP 2014095252A JP 2015212877 A JP2015212877 A JP 2015212877A
Authority
JP
Japan
Prior art keywords
log
content
graphing
conversion
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014095252A
Other languages
Japanese (ja)
Other versions
JP6008406B2 (en
Inventor
竹内 格
Kaku Takeuchi
格 竹内
敏浩 元田
Toshihiro Motoda
敏浩 元田
剛 永吉
Takeshi Nagayoshi
剛 永吉
淳哉 秋葉
Atsuya Akiba
淳哉 秋葉
直人 藤木
Naoto Fujiki
直人 藤木
裕一 片山
Yuichi Katayama
裕一 片山
五郎丸 秀樹
Hideki Goromaru
秀樹 五郎丸
勝彦 江口
Katsuhiko Eguchi
勝彦 江口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014095252A priority Critical patent/JP6008406B2/en
Publication of JP2015212877A publication Critical patent/JP2015212877A/en
Application granted granted Critical
Publication of JP6008406B2 publication Critical patent/JP6008406B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To flexibly analyze log data.SOLUTION: A log management method is implemented by a log management system, and includes a conversion process of converting log data output by a computer into an intermediate log of one of a predetermined preset number of kinds, and a relating process of relating the intermediate log to another intermediate log different from the intermediate log by using a pattern in which a relating process corresponding to the kind of the intermediate log is predetermined.

Description

本発明の実施形態は、ログ管理方法、ログ管理システム、ログ管理装置及びログ管理プログラムに関する。   Embodiments described herein relate generally to a log management method, a log management system, a log management apparatus, and a log management program.

近年、情報セキュリティの観点から、適切な情報の取り扱いが求められている。例えば、情報漏えいに対して、事前の対策と事後の対策とが提案されている。   In recent years, appropriate information handling has been demanded from the viewpoint of information security. For example, prior measures and subsequent measures have been proposed for information leakage.

例えば、事前の対策としては、ネットワークを通過するコンテンツを監視することで、情報漏えいを防ぐ技術がある。この技術では、例えば、コンテンツへアクセスするイベントを検知して割り込み、検知したイベントが、情報の適切な取り扱いが定義されたポリシーに反していないかが検査される。ここで、検知したイベントがポリシーに反していれば、例えば、警告やブロック等、ポリシーに応じた応答が行われる。この技術では、適用されるシステム(装置)の構成変更に応じて、ポリシーが定義される必要があるが、あらゆる構成変更に対して、ポリシーを網羅することは困難である。   For example, as a prior measure, there is a technique for preventing information leakage by monitoring content passing through a network. In this technique, for example, an event for accessing content is detected and interrupted, and it is checked whether the detected event violates a policy in which appropriate handling of information is defined. Here, if the detected event violates the policy, for example, a response according to the policy such as a warning or a block is performed. In this technique, a policy needs to be defined according to a configuration change of a system (apparatus) to be applied. However, it is difficult to cover a policy for every configuration change.

このような問題を解決するために、事後の対策として、例えば、コンピュータで生成されるログデータを解析する技術がある。この技術は、例えば、企業内のコンピュータからログデータを収集し、収集したログデータの関係性を調べることで、コンテンツがどのように扱われてきたのか、その経過を明らかにする。この技術は、例えば、コンテンツの監視技術で網羅されていなくとも、情報漏えいの経過を明らかにする。   In order to solve such a problem, there is a technique for analyzing log data generated by a computer, for example, as a subsequent measure. This technology, for example, collects log data from a computer in a company and examines the relationship between the collected log data to clarify how the content has been handled. This technology, for example, reveals the course of information leakage even if not covered by content monitoring technology.

元田敏浩、永吉剛、秋葉淳哉、竹内格、「トレーサビリティ基盤TRX」、NTT技術ジャーナル、2014年3月号、pp.57−62Toshihiro Motoda, Takeshi Nagayoshi, Junya Akiba, Masaru Takeuchi, “Traceability Platform TRX”, NTT Technical Journal, March 2014 issue, pp. 57-62

しかしながら、上述した従来技術には、ログデータの解析を柔軟に行うことが難しいという問題がある。   However, the above-described conventional technology has a problem that it is difficult to analyze log data flexibly.

例えば、情報漏えいの箇所を特定するためには、その箇所を特定できるまで、解析対象とするログデータの種類を追加しながら解析する場合がある。ここで、ログデータを解析するためには、解析結果を得るまでの一連の処理(正規化、関連付け、グラフ化等)を行うための処理プログラムが、ログデータの種類ごとに必要となる。このため、解析対象のログデータを追加するごとに、処理プログラムを用意するための労力がかかるという問題がある。また、例えば、ログデータの種類に応じて処理プログラムが実行されるので、異なる種類のログデータ同士を関連付けることが難しいという問題もある。   For example, in order to identify the location of information leakage, analysis may be performed while adding the type of log data to be analyzed until the location can be identified. Here, in order to analyze log data, a processing program for performing a series of processes (normalization, association, graphing, etc.) until an analysis result is obtained is required for each type of log data. For this reason, every time log data to be analyzed is added, there is a problem that it takes effort to prepare a processing program. Further, for example, since the processing program is executed according to the type of log data, there is a problem that it is difficult to associate different types of log data.

そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ログデータの解析を柔軟に行うことを目的とする。   Therefore, the present invention has been made to solve the above-described problems of the prior art, and an object thereof is to flexibly analyze log data.

実施形態に係るログ管理方法は、ログ管理システムによって実行されるログ管理方法であって、コンピュータから出力されるログデータを、予め設定された所定数の種類のうち、いずれかの種類の中間ログに変換する変換工程と、前記中間ログの種類に対応する関連づけの処理が規定されたパターンを用いて、当該中間ログと、当該中間ログとは異なる他の中間ログとの関連付けを行う関連付け工程とを含む。   A log management method according to an embodiment is a log management method executed by a log management system, wherein log data output from a computer is stored as an intermediate log of any kind among a predetermined number of kinds set in advance. An association step for associating the intermediate log with another intermediate log different from the intermediate log using a pattern in which an association process corresponding to the type of the intermediate log is defined. including.

本願の開示する技術の一つの態様によれば、ログデータの解析を柔軟に行うことができるという効果を奏する。   According to one aspect of the technology disclosed in the present application, there is an effect that log data can be analyzed flexibly.

図1は、本実施形態に係るログ管理装置を含むネットワークシステムの構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a configuration of a network system including a log management apparatus according to the present embodiment. 図2は、本実施形態に係るログ管理装置の構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of the configuration of the log management apparatus according to the present embodiment. 図3は、本実施形態に係る中間ログ記憶部に記憶される中間ログの一例を示す図である。FIG. 3 is a diagram illustrating an example of an intermediate log stored in the intermediate log storage unit according to the present embodiment. 図4Aは、本実施形態に係る操作種別について説明するための図である。FIG. 4A is a diagram for describing the operation types according to the present embodiment. 図4Bは、本実施形態に係る操作種別について説明するための図である。FIG. 4B is a diagram for describing the operation types according to the present embodiment. 図4Cは、本実施形態に係る操作種別について説明するための図である。FIG. 4C is a diagram for describing the operation types according to the present embodiment. 図4Dは、本実施形態に係る操作種別について説明するための図である。FIG. 4D is a diagram for describing operation types according to the present embodiment. 図4Eは、本実施形態に係る操作種別について説明するための図である。FIG. 4E is a diagram for describing operation types according to the present embodiment. 図5は、本実施形態に係るグラフ化ログ記憶部に記憶されるグラフ化ログの一例を示す図である。FIG. 5 is a diagram illustrating an example of the graphing log stored in the graphing log storage unit according to the present embodiment. 図6は、本実施形態に係るグラフ化処理部の処理の概要を説明するための図である。FIG. 6 is a diagram for explaining the outline of the processing of the graphing processing unit according to the present embodiment. 図7は、本実施形態に係るログ管理装置における処理の流れを示すフローチャートである。FIG. 7 is a flowchart showing the flow of processing in the log management apparatus according to this embodiment. 図8は、本実施形態に係るグラフ化処理における処理の流れを示すフローチャートである。FIG. 8 is a flowchart showing the flow of processing in the graphing processing according to this embodiment. 図9Aは、本実施形態に係るログ管理装置の効果について説明するための図である。FIG. 9A is a diagram for explaining the effect of the log management apparatus according to the present embodiment. 図9Bは、本実施形態に係るログ管理装置の効果について説明するための図である。FIG. 9B is a diagram for explaining the effect of the log management apparatus according to the present embodiment. 図10Aは、本実施形態に係るログ管理装置の効果について説明するための図である。FIG. 10A is a diagram for explaining the effect of the log management apparatus according to the present embodiment. 図10Bは、本実施形態に係るログ管理装置の効果について説明するための図である。FIG. 10B is a diagram for explaining the effect of the log management apparatus according to the present embodiment. 図11は、ログ管理プログラムを実行するコンピュータを示す図である。FIG. 11 is a diagram illustrating a computer that executes a log management program.

以下に添付図面を参照して、この発明に係るログ管理方法、ログ管理システム、ログ管理装置及びログ管理プログラムの実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。   Exemplary embodiments of a log management method, a log management system, a log management apparatus, and a log management program according to the present invention will be described below in detail with reference to the accompanying drawings. In addition, this invention is not limited by this embodiment.

(実施形態)
(ログ管理装置100の構成)
図1は、本実施形態に係るログ管理装置100を含むネットワークシステムの構成の一例を示す図である。図1に示すように、本実施形態に係るネットワークシステムは、複数のホスト10−1,10−2,・・・10−n(nは自然数)と、ユーザ端末20と、ログ管理装置100とを備える。複数のホスト10−1,10−2,・・・10−n、ユーザ端末20及びログ管理装置100は、ネットワーク5を介して互いに接続される。なお、以下の説明では、各ホスト10−1,10−2,・・・10−nを区別無く総称する場合に、「ホスト10」と表記する。また、図1は一例に過ぎない。例えば、ネットワーク5に接続されるホスト10の数は、必ずしも複数とは限らず、1つであっても良い。 (Embodiment)
(Configuration of log management apparatus 100)
FIG. 1 is a diagram illustrating an example of a configuration of a network system including a log management apparatus 100 according to the present embodiment. As shown in FIG. 1, the network system according to the present embodiment includes a plurality of hosts 10-1, 10-2,... 10-n (n is a natural number), a user terminal 20, a log management device 100, Is provided. The plurality of hosts 10-1, 10-2,... 10 -n, the user terminal 20, and the log management apparatus 100 are connected to each other via the network 5. In the following description, the hosts 10-1, 10-2,... 10-n are collectively referred to as “host 10” when they are collectively referred to. FIG. 1 is only an example. For example, the number of hosts 10 connected to the network 5 is not necessarily plural, and may be one.

ホスト10は、解析対象となるログデータを出力する装置である。例えば、ホスト10は、各種の情報処理を行った場合に、Syslog形式、CSV形式、XML形式等、各々のフォーマットでログデータ(オリジナルログ)を出力する。ホスト10は、例えば、PC(Personal Computer)やサーバ等、アプリケーションが稼働する情報処理装置である。   The host 10 is a device that outputs log data to be analyzed. For example, when various types of information processing are performed, the host 10 outputs log data (original log) in each format such as Syslog format, CSV format, XML format, and the like. The host 10 is an information processing apparatus on which an application operates, such as a PC (Personal Computer) or a server.

ユーザ端末20は、ユーザが操作する端末装置である。ネットワーク5を経由してログ管理装置100に接続し、後述のグラフ化ログを利用する。これにより、ユーザは、ホスト10から出力されるログデータの関係性を調べ、情報漏えいの経過を明らかにすることができる。   The user terminal 20 is a terminal device operated by a user. It connects to the log management apparatus 100 via the network 5 and uses a graphed log described later. Thereby, the user can investigate the relationship of log data output from the host 10 and clarify the progress of information leakage.

ログ管理装置100は、ホスト10から出力されるログデータの解析を行う装置である。例えば、ログ管理装置100は、解析結果であるグラフ化ログを記憶しており、ユーザからの求めに応じてグラフ化ログを適宜提供する。   The log management apparatus 100 is an apparatus that analyzes log data output from the host 10. For example, the log management apparatus 100 stores a graphed log that is an analysis result, and appropriately provides a graphed log in response to a request from the user.

図2は、本実施形態に係るログ管理装置100の構成の一例を示す図である。図2に示すように、ログ管理装置100は、記憶部110と、制御部120とを備える。   FIG. 2 is a diagram illustrating an example of the configuration of the log management apparatus 100 according to the present embodiment. As illustrated in FIG. 2, the log management apparatus 100 includes a storage unit 110 and a control unit 120.

記憶部110は、ログ記憶部111と、変換プログラム記憶部112と、中間ログ記憶部113と、グラフ化ログ記憶部114とを備える。例えば、記憶部110は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、ハードディスクや光ディスク等の記憶装置によって実現される。   The storage unit 110 includes a log storage unit 111, a conversion program storage unit 112, an intermediate log storage unit 113, and a graphing log storage unit 114. For example, the storage unit 110 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk.

ログ記憶部111は、ホスト10から出力されたログデータを記憶する。例えば、ログ記憶部111に記憶されるログデータは、後述の収集部121によってホスト10から収集され、Syslog形式、CSV形式、XML形式等、各々のフォーマットで記憶される。また、例えば、ログ記憶部111に記憶されるログデータは、後述の選択部122及び変換部123によって参照される。   The log storage unit 111 stores log data output from the host 10. For example, log data stored in the log storage unit 111 is collected from the host 10 by the collection unit 121 described later, and stored in each format such as Syslog format, CSV format, and XML format. For example, the log data stored in the log storage unit 111 is referred to by the selection unit 122 and the conversion unit 123 described later.

なお、ログ記憶部111に記憶されるログデータに対しては、既存の暗号化アルゴリズム(例えば、Camellia、RFC3713等)を用いた暗号化や、タイムスタンププロトコル(例えば、RFC3161)を用いたタイムスタンプの付与、XML署名(例えば、RFC2807、RFC3075)を用いた署名等の処理が別途行われても良い。   For log data stored in the log storage unit 111, encryption using an existing encryption algorithm (for example, Camellia, RFC3713, etc.) or time stamp using a time stamp protocol (for example, RFC3161). , And a signature processing using an XML signature (for example, RFC2807, RFC3075) may be performed separately.

変換プログラム記憶部112は、ログデータを、後述の中間ログに変換するための変換プログラムを記憶する。例えば、変換プログラム記憶部112に記憶される変換プログラムは、解析対象とするログデータが追加される際に、追加されるログデータの種類ごとにユーザによって設定される。また、例えば、変換プログラム記憶部112に記憶される変換プログラムは、後述の変換部123によって読み出される。なお、変換プログラムの処理(変換部123の処理)については、後述する。   The conversion program storage unit 112 stores a conversion program for converting log data into an intermediate log described later. For example, the conversion program stored in the conversion program storage unit 112 is set by the user for each type of log data to be added when log data to be analyzed is added. For example, the conversion program stored in the conversion program storage unit 112 is read by the conversion unit 123 described later. Note that the processing of the conversion program (processing of the conversion unit 123) will be described later.

中間ログ記憶部113は、予め決められた所定数の種類のうち、いずれかの種類の中間ログを記憶する。例えば、中間ログ記憶部113は、後述の変換部123によって変換された中間ログを記憶する。また、例えば、中間ログ記憶部113は、後述のグラフ化処理部124によって参照される。   The intermediate log storage unit 113 stores any type of intermediate log among a predetermined number of types. For example, the intermediate log storage unit 113 stores the intermediate log converted by the conversion unit 123 described later. For example, the intermediate log storage unit 113 is referred to by a graphing processing unit 124 described later.

図3は、本実施形態に係る中間ログ記憶部113に記憶される中間ログの一例を示す図である。図3に示すように、中間ログ記憶部113に記憶される中間ログは、「ログID」と、「日時」と、「操作種別」と、「入力コンテンツIDリスト」と、「出力コンテンツIDリスト」とが対応づけられた情報である。ここで、ログIDは、中間ログを一意に識別するための識別子である。例えば、このログIDは、中間ログに変換される前のログデータのID(識別子)と同一であっても良い。日時は、イベント(ログデータ)が発生した日時を表す情報である。操作種別は、イベントにおいてコンテンツに対して行われた操作の種類を表す情報である。入力コンテンツIDリストは、イベントの入力となるコンテンツのコンテンツIDのリストである。このコンテンツIDとは、コンテンツを一意に識別するための識別子である。出力コンテンツIDリストは、イベントの出力となるコンテンツのコンテンツIDのリストである。例えば、コンテンツがファイルであれば、入力コンテンツID及び出力コンテンツIDは、ログデータで示される操作が行われたホスト10の識別情報(例えば、IPアドレスやMACアドレス)と、ファイルパスとの組み合わせで表現される。また、コンテンツがメールのメッセージであれば、入力コンテンツID及び出力コンテンツIDは、そのメッセージの識別情報(メッセージID等)で表現される。なお、一つの中間ログにおいて、入力コンテンツID及び出力コンテンツIDが異なる場合もあれば、一致する場合もある。   FIG. 3 is a diagram illustrating an example of an intermediate log stored in the intermediate log storage unit 113 according to the present embodiment. As illustrated in FIG. 3, the intermediate log stored in the intermediate log storage unit 113 includes a “log ID”, “date / time”, “operation type”, “input content ID list”, and “output content ID list”. "Is a piece of information associated with each other. Here, the log ID is an identifier for uniquely identifying the intermediate log. For example, this log ID may be the same as the ID (identifier) of log data before being converted into the intermediate log. The date and time is information indicating the date and time when the event (log data) occurs. The operation type is information indicating the type of operation performed on the content in the event. The input content ID list is a list of content IDs of contents to be input for an event. The content ID is an identifier for uniquely identifying the content. The output content ID list is a list of content IDs of content to be output as events. For example, if the content is a file, the input content ID and the output content ID are a combination of the identification information (for example, IP address or MAC address) of the host 10 on which the operation indicated by the log data is performed and the file path. Expressed. If the content is a mail message, the input content ID and the output content ID are expressed by identification information (message ID or the like) of the message. Note that, in one intermediate log, the input content ID and the output content ID may be different or may match.

なお、図3は一例に過ぎない。例えば、中間ログ記憶部113は、必ずしも図3に例示した全ての情報を有していなくても良く、入力コンテンツID及び出力コンテンツIDのうち少なくとも一方を有していればよい。また、例えば、図3に例示した情報以外にも、付加的な情報として「オプション項目」を有していても良い。オプション項目は、例えば、可視化の際に使用される変換前のログデータの項目や、説明・補足に使われる情報である。オプション項目の具体例としては、ログデータで示される操作を行った主体が何かを示すための「ユーザID(WHO)」や、ログデータで示される操作がどこで行われたのかを示すための「ホストID(WHERE)」等が挙げられる。   Note that FIG. 3 is merely an example. For example, the intermediate log storage unit 113 does not necessarily have to include all of the information illustrated in FIG. 3, and may have at least one of the input content ID and the output content ID. For example, in addition to the information illustrated in FIG. 3, “optional item” may be included as additional information. The option items are, for example, log data items before conversion used for visualization, and information used for explanation and supplement. Specific examples of option items include “user ID (WHO)” for indicating what the subject who performed the operation indicated by the log data is, and where the operation indicated by the log data is performed. “Host ID (WHERE)” and the like can be mentioned.

ここで、操作種別について説明する。本実施形態においては、操作種別は、「生成」、「削除」、「変換」、「分岐」、「合流」の5種類の情報のいずれかで表される。ここで、「生成」は、コンテンツが生成されたことを表す情報である。「削除」は、コンテンツが削除されたことを表す情報である。「変換」は、コンテンツが変換されたことを表す情報である。「分岐」は、コンテンツが複数のコンテンツに分岐したことを表す情報である。「合流」は、複数のコンテンツが一つのコンテンツに合流したことを表す情報である。   Here, the operation type will be described. In the present embodiment, the operation type is represented by any of the five types of information “generation”, “deletion”, “conversion”, “branch”, and “join”. Here, “generation” is information indicating that the content has been generated. “Delete” is information indicating that the content has been deleted. “Conversion” is information indicating that the content has been converted. “Branch” is information indicating that the content has branched into a plurality of contents. “Merging” is information indicating that a plurality of contents are merged into one content.

図4Aから図4Eは、本実施形態に係る操作種別について説明するための図である。図4Aには、操作種別「生成」の中間ログの一例を示し、図4Bには、操作種別「削除」の中間ログの一例を示し、図4Cには、操作種別「変換」の中間ログの一例を示し、図4Dには、操作種別「分岐」の中間ログの一例を示し、図4Eには、操作種別「合流」の中間ログの一例を示す。   4A to 4E are diagrams for explaining operation types according to the present embodiment. 4A shows an example of an intermediate log of the operation type “generation”, FIG. 4B shows an example of an intermediate log of the operation type “delete”, and FIG. 4C shows an intermediate log of the operation type “conversion”. An example is shown, FIG. 4D shows an example of an intermediate log of the operation type “branch”, and FIG. 4E shows an example of an intermediate log of the operation type “join”.

図4Aに示すように、操作種別「生成」の中間ログは、ログIDと、日時と、操作種別「生成」と、出力コンテンツIDとが対応づけられた情報である。操作種別「生成」の中間ログの例としては、新規ファイルの作成や新規メッセージの生成が挙げられる。   As illustrated in FIG. 4A, the intermediate log of the operation type “generation” is information in which a log ID, a date and time, an operation type “generation”, and an output content ID are associated with each other. Examples of the intermediate log of the operation type “generation” include creation of a new file and generation of a new message.

また、図4Bに示すように、操作種別「削除」の中間ログは、ログIDと、日時と、操作種別「削除」と、入力コンテンツIDとが対応づけられた情報である。操作種別「削除」の中間ログの例としては、ファイルの削除やメッセージの削除が挙げられる。   Further, as illustrated in FIG. 4B, the intermediate log of the operation type “deletion” is information in which the log ID, the date, the operation type “deletion”, and the input content ID are associated with each other. Examples of the intermediate log of the operation type “delete” include file deletion and message deletion.

また、図4Cに示すように、操作種別「変換」の中間ログは、ログIDと、日時と、操作種別「変換」と、入力コンテンツIDと、出力コンテンツIDとが対応づけられた情報である。操作種別「変換」の中間ログの例としては、コンテンツの名前や識別子の変更、ファイルの移動や変名、コンテンツの内容(バイト列)の変化、ファイルの編集等が挙げられる。なお、コンテンツが閲覧されただけの場合には、通常、コンテンツの変化は無いので、ログデータが発生しない結果、それに対応する中間ログも存在しない。   As shown in FIG. 4C, the intermediate log of the operation type “conversion” is information in which a log ID, date and time, operation type “conversion”, input content ID, and output content ID are associated with each other. . Examples of the intermediate log of the operation type “conversion” include content name and identifier change, file movement and name change, content content (byte string) change, file editing, and the like. If the content is only browsed, there is usually no change in the content. Therefore, no log data is generated, and as a result there is no corresponding intermediate log.

また、図4Dに示すように、操作種別「分岐」の中間ログは、ログIDと、日時と、操作種別「分岐」と、入力コンテンツIDと、複数の出力コンテンツID〜ID(Nは自然数)とが対応づけられた情報である。操作種別「分岐」の中間ログの例としては、ファイルの複製(元のファイルから複製ファイルへの分岐)、メールへのファイルの添付(元のファイルからメールの添付ファイルへの分岐)、メールに添付されたファイルの保存(メールから保存ファイルへの分岐)等が挙げられる。 As shown in FIG. 4D, the intermediate log of the operation type “branch” includes a log ID, a date and time, an operation type “branch”, an input content ID, and a plurality of output content ID 1 to ID N (N is (Natural number) is associated with the information. Examples of intermediate logs of operation type "branch" include file duplication (branch from original file to duplicate file), file attachment to email (branch from original file to email attachment), email For example, storage of attached files (branch from mail to storage file).

また、図4Eに示すように、操作種別「合流」の中間ログは、ログIDと、日時と、操作種別「合流」と、複数の入力コンテンツID〜ID(Nは自然数)と、出力コンテンツIDとが対応づけられた情報である。操作種別「合流」の中間ログの例としては、ファイルの圧縮が挙げられる。 As shown in FIG. 4E, the intermediate log of the operation type “join” includes a log ID, date and time, operation type “join”, a plurality of input contents ID 1 to ID N (N is a natural number), and an output. This is information associated with a content ID. An example of the intermediate log of the operation type “join” is file compression.

グラフ化ログ記憶部114は、後述のグラフ化ログを記憶する。例えば、グラフ化ログ記憶部114は、後述のグラフ化処理部124によって生成されるグラフ化ログを記憶する。ここで、グラフ化ログは、中間ログと、その中間ログとは異なる他の中間ログとの関連付けを表す情報である。グラフ化ログ記憶部114に記憶されたグラフ化ログは、ユーザ端末20から検索や閲覧が可能な状態で格納される。なお、グラフ化ログを記憶する記憶領域は、「グラフ化ログ領域」とも称される。また、グラフ化ログは、単に「ノード」とも称される。   The graphing log storage unit 114 stores a graphing log described later. For example, the graphing log storage unit 114 stores a graphing log generated by the graphing processing unit 124 described later. Here, the graphed log is information representing an association between the intermediate log and another intermediate log different from the intermediate log. The graphing log stored in the graphing log storage unit 114 is stored in a state that can be searched and viewed from the user terminal 20. The storage area for storing the graphing log is also referred to as “graphing log area”. The graphed log is also simply referred to as “node”.

図5は、本実施形態に係るグラフ化ログ記憶部114に記憶されるグラフ化ログの一例を示す図である。図5に示すように、グラフ化ログ記憶部114に記憶されるグラフ化ログは、「ログID」と、「日時」と、「操作種別」と、「入力ログリスト」と、「出力ログリスト」とが対応づけられた情報である。ここで、ログIDは、ノードを一意に識別するための識別子であり、中間ログと同一のログIDによって表される。日時は、ログIDに対応するログデータが発生した日時を表す情報である。操作種別は、ログIDに対応するログデータにおいてコンテンツに対して行われた操作の種類を表す情報である。入力ログリストは、ログIDに対応する操作の入力となったコンテンツのコンテンツIDと、そのコンテンツを出力した操作のログIDとが対応づけられた情報のリストである。出力ログリストは、ログIDに対応する操作により出力されたコンテンツのコンテンツIDと、そのコンテンツを入力とした操作のログIDとが対応づけられた情報のリストである。例えば、入力ログリスト及び出力ログリストによって、ノード間の関連付け(一方向或いは双方向のリンク関係)が形成される。   FIG. 5 is a diagram illustrating an example of the graphing log stored in the graphing log storage unit 114 according to the present embodiment. As shown in FIG. 5, the graphing log stored in the graphing log storage unit 114 includes “log ID”, “date / time”, “operation type”, “input log list”, and “output log list”. "Is a piece of information associated with each other. Here, the log ID is an identifier for uniquely identifying a node, and is represented by the same log ID as the intermediate log. The date / time is information representing the date / time when the log data corresponding to the log ID occurred. The operation type is information indicating the type of operation performed on the content in the log data corresponding to the log ID. The input log list is a list of information in which the content ID of the content that is the input of the operation corresponding to the log ID is associated with the log ID of the operation that output the content. The output log list is a list of information in which the content ID of the content output by the operation corresponding to the log ID is associated with the log ID of the operation using the content as an input. For example, an association (one-way or two-way link relationship) between nodes is formed by the input log list and the output log list.

なお、図5は一例に過ぎない。例えば、グラフ化ログ記憶部114は、中間ログ記憶部113と同様に、「オプション項目」を有していても良い。   Note that FIG. 5 is merely an example. For example, like the intermediate log storage unit 113, the graphed log storage unit 114 may have “option items”.

制御部120は、収集部121と、選択部122と、変換部123と、グラフ化処理部124とを備える。例えば、制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されても良い。   The control unit 120 includes a collection unit 121, a selection unit 122, a conversion unit 123, and a graphing processing unit 124. For example, the control unit 120 is realized by executing a program stored in an internal storage device using a RAM as a work area by a CPU (Central Processing Unit), an MPU (Micro Processing Unit), or the like. The control unit 120 may be realized by an integrated circuit such as an application specific integrated circuit (ASIC) or a field programmable gate array (FPGA).

収集部121は、ログデータを収集する。例えば、収集部121は、各ホスト10からログデータが出力されるごとに、出力されたログデータを受信する。そして、収集部121は、受信したログデータをログ記憶部111に格納する。   The collection unit 121 collects log data. For example, each time the log data is output from each host 10, the collection unit 121 receives the output log data. Then, the collection unit 121 stores the received log data in the log storage unit 111.

なお、収集部121は、受動的にログデータを収集するのみならず、能動的に収集しても良い。この場合、例えば、各ホスト10で生成されたログデータは、ホスト10に保存される。そして、収集部121は、所定のタイミングで各ホスト10に保存されたログデータを収集する。言い換えると、収集部121としては、ログデータを収集するための既存の技術を広く適用可能である。例えば、収集部121としては、UNIX(登録商標)系で利用されるSyslogプロトコル(RFC3164,RFC5424)や、ファイル転送で利用されるFTP(RFC959)、SCP/SSH(RFC4250,RFC4251,RFC4252,RFC4253,RFC4254,RFC4255,RFC4256)等が単独、若しくは適宜組み合わせて適用されて良い。   The collecting unit 121 may not only passively collect log data but also actively collect log data. In this case, for example, log data generated by each host 10 is stored in the host 10. Then, the collection unit 121 collects log data stored in each host 10 at a predetermined timing. In other words, the collecting unit 121 can widely apply existing techniques for collecting log data. For example, as the collection unit 121, a Syslog protocol (RFC3164, RFC5424) used in the UNIX (registered trademark) system, FTP (RFC959) used in file transfer, SCP / SSH (RFC4250, RFC4251, RFC4252, RFC4253, RFC4254, RFC4255, RFC4256) or the like may be applied alone or in appropriate combination.

選択部122は、変換プログラムを選択する。例えば、選択部122は、解析対象(処理対象)であるログデータをログ記憶部111から取得する。そして、選択部122は、変換プログラム記憶部112を参照し、解析対象であるログデータの種類に対応する変換プログラムを選択する。そして、選択部122は、解析対象であるログデータと、選択した変換プログラムを示す情報とを、変換部123に出力する。   The selection unit 122 selects a conversion program. For example, the selection unit 122 acquires log data that is an analysis target (processing target) from the log storage unit 111. Then, the selection unit 122 refers to the conversion program storage unit 112 and selects a conversion program corresponding to the type of log data to be analyzed. Then, the selection unit 122 outputs log data to be analyzed and information indicating the selected conversion program to the conversion unit 123.

なお、選択部122によって選択される変換プログラムは、ログデータの種類に応じて予め設定されている。例えば、選択部122は、特定のホスト10によって出力されたログデータ、若しくは特定のアプリケーションによって出力されたログデータ等、そのログデータの種類を、そのログデータに対応づけられた情報を用いて識別し、特定の変換プログラムを選択する。   Note that the conversion program selected by the selection unit 122 is set in advance according to the type of log data. For example, the selection unit 122 identifies the type of log data, such as log data output by a specific host 10 or log data output by a specific application, using information associated with the log data. And select a specific conversion program.

変換部123は、ホスト10から出力されるログデータを中間ログに変換する。例えば、変換部123は、選択部122から出力されたログデータと、選択した変換プログラムを示す情報とを受け付ける。そして、変換部123は、受け付けた変換プログラムを示す情報に対応する変換プログラムを、変換プログラム記憶部112から読み出す。そして、変換部123は、読み出した変換プログラムを用いて、選択部122から受け付けたログデータを中間ログに変換する。   The conversion unit 123 converts log data output from the host 10 into an intermediate log. For example, the conversion unit 123 receives log data output from the selection unit 122 and information indicating the selected conversion program. Then, the conversion unit 123 reads a conversion program corresponding to information indicating the received conversion program from the conversion program storage unit 112. Then, the conversion unit 123 converts the log data received from the selection unit 122 into an intermediate log using the read conversion program.

具体的には、変換部123は、解析対象であるログデータを入力データとして、そのログデータの種類(例えば、フォーマットの種類)に応じて、ログデータから項目を抽出する。ここで抽出される項目は、例えば、ログデータのログID、日時、操作種別、入力となるコンテンツのコンテンツID、出力となるコンテンツのコンテンツIDである。そして、変換部123は、抽出した各項目の正規化(例えば、日付の様式の統一等)を行い、正規化した各項目を対応づけることで、中間ログを生成する。言い換えると、ここで生成される中間ログは、予め設定された所定数の操作種別(生成、削除、変換、分岐、合流の5種類)に分類される。そして、変換部123は、変換した中間ログを変換部123に格納する。   Specifically, the conversion unit 123 uses the log data to be analyzed as input data, and extracts items from the log data according to the type of the log data (for example, the type of format). The items extracted here are, for example, a log ID of log data, a date and time, an operation type, a content ID of content to be input, and a content ID of content to be output. Then, the conversion unit 123 performs normalization of each extracted item (for example, unification of date format, etc.) and associates each normalized item to generate an intermediate log. In other words, the intermediate logs generated here are classified into a predetermined number of operation types (generation, deletion, conversion, branching, and merge). Then, the conversion unit 123 stores the converted intermediate log in the conversion unit 123.

グラフ化処理部124は、中間ログからグラフ化を行うグラフ化処理を行う。例えば、グラフ化処理部124は、グラフ化処理において、例えば、中間ログの種類に対応する関連づけの処理が規定されたパターン(処理パターン)を用いて、中間ログと、その中間ログとは異なる他の中間ログとの関連付けが行われる。具体的には、グラフ化処理部124は、ログデータで示される操作の入力となったコンテンツの識別子、又は、その操作により出力されたコンテンツの識別子が共通する中間ログ同士を関連付ける。この結果、グラフ化処理部124は、グラフ化ログを生成し、生成したグラフ化ログをグラフ化ログ記憶部114に格納する。なお、グラフ化処理部124は、関連付け部の一例である。   The graphing processing unit 124 performs graphing processing for graphing from the intermediate log. For example, the graphing processing unit 124 uses, for example, a pattern (processing pattern) in which association processing corresponding to the type of the intermediate log is defined in the graphing process, and the intermediate log is different from the intermediate log. Is associated with the intermediate log. Specifically, the graphing processing unit 124 associates the intermediate logs that share the identifier of the content that is the input of the operation indicated by the log data or the content identifier output by the operation. As a result, the graphing processing unit 124 generates a graphing log, and stores the generated graphing log in the graphing log storage unit 114. The graphing processing unit 124 is an example of an association unit.

図6は、本実施形態に係るグラフ化処理部124の処理の概要を説明するための図である。図6に示す例では、ログID0の中間ログは、操作種別が「生成」であり、出力コンテンツが「コンテンツID0」である。また、ログID1の中間ログは、操作種別が「分岐」であり、入力コンテンツが「コンテンツID0」であり、出力コンテンツが「コンテンツIDN(Nは自然数)」である。また、ログID2の中間ログは、操作種別が「削除」であり、入力コンテンツが「コンテンツIDN」である。   FIG. 6 is a diagram for explaining the outline of the processing of the graphing processing unit 124 according to the present embodiment. In the example illustrated in FIG. 6, the intermediate log with the log ID 0 has the operation type “generation” and the output content “content ID 0”. In the intermediate log of log ID 1, the operation type is “branch”, the input content is “content ID 0”, and the output content is “content IDN (N is a natural number)”. In the intermediate log of log ID 2, the operation type is “delete” and the input content is “content IDN”.

図6に示すように、例えば、グラフ化処理部124は、ログID0の中間ログと、ログID1の中間ログと、ログID2の中間ログとの関連づけを行う。ここで、ログID0の中間ログの出力コンテンツと、ログID1の中間ログの入力コンテンツとが、いずれも「コンテンツID0」で一致するので、グラフ化処理部124は、両者の中間ログを関連付ける。また、ログID1の中間ログの出力コンテンツと、ログID2の中間ログの入力コンテンツとが、いずれも「コンテンツIDN」で一致するので、グラフ化処理部124は、両者の中間ログを関連付ける。   As illustrated in FIG. 6, for example, the graphing processing unit 124 associates the intermediate log with the log ID 0, the intermediate log with the log ID 1, and the intermediate log with the log ID 2. Here, since the output content of the intermediate log with the log ID 0 and the input content of the intermediate log with the log ID 1 both match with the “content ID 0”, the graphing processing unit 124 associates the intermediate logs with each other. In addition, since the output content of the intermediate log with the log ID 1 and the input content of the intermediate log with the log ID 2 both match with “content IDN”, the graphing processing unit 124 associates the intermediate logs with each other.

このように、グラフ化処理部124は、中間ログ記憶部113に記憶された各中間ログの関連づけを行う。なお、図6は一例に過ぎない。また、具体的には、グラフ化処理部124は、「生成」、「削除」、「変換」、「分岐」、「合流」の5種類の中間ログにそれぞれ対応する処理パターンを用いて、各中間ログの関連づけを行う。以下、この処理パターンについて具体的に説明する。   As described above, the graphing processing unit 124 associates each intermediate log stored in the intermediate log storage unit 113. Note that FIG. 6 is merely an example. Specifically, the graphing processing unit 124 uses processing patterns corresponding to five types of intermediate logs of “generation”, “deletion”, “conversion”, “branch”, and “confluence”, respectively, Associate intermediate logs. Hereinafter, this processing pattern will be specifically described.

(生成用のグラフ化処理)
まず、操作種別「生成」の中間ログの関連付けを行うためのグラフ化処理の処理パターン(生成用のグラフ化処理)について説明する。ここでは、解析対象となる中間ログが「中間ログA」である場合を説明する。この中間ログAは、ログID「La」、日時「Da」、操作種別「生成」、出力コンテンツIDリスト「COa」、及びオプション項目「Opta」が対応づけられた情報である。 (Graphing process for generation)
First, a processing pattern (graphing processing for generation) of graphing processing for associating the intermediate log of the operation type “generation” will be described. Here, a case where the intermediate log to be analyzed is “intermediate log A” will be described. The intermediate log A is information in which a log ID “La”, a date and time “Da”, an operation type “generation”, an output content ID list “COa”, and an option item “Opta” are associated with each other.

この場合、グラフ化処理部124は、中間ログAの情報に基づいて、ノードを作成する。生成用のグラフ化処理では、グラフ化処理部124は、新規に作成されるノードの出力ログIDリストに、出力コンテンツIDリストに含まれる各コンテンツIDと、「NULL」とが登録され、他の項目(ログID、日時、操作種別、オプション項目)は中間ログと同じ値が登録される。つまり、グラフ化処理部124は、ログID「La」、日時「Da」、操作種別「生成」、出力ログIDリスト「<COa,NULL>」、及びオプション項目「Opta」が対応づけられたノードを作成する。なお、「NULL」は、空の値を示す。   In this case, the graphing processing unit 124 creates a node based on the information of the intermediate log A. In the graphing process for generation, the graphing processing unit 124 registers each content ID included in the output content ID list and “NULL” in the output log ID list of the newly created node. Items (log ID, date / time, operation type, option item) are registered with the same values as the intermediate log. That is, the graphing processing unit 124 associates the log ID “La”, the date and time “Da”, the operation type “generation”, the output log ID list “<COa, NULL>”, and the option item “Opta”. Create “NULL” indicates an empty value.

(削除用のグラフ化処理)
次に、操作種別「削除」の中間ログの関連付けを行うためのグラフ化処理の処理パターン(削除用のグラフ化処理)について説明する。ここでは、解析対象となる中間ログが「中間ログA」である場合を説明する。この中間ログAは、ログID「La」、日時「Da」、操作種別「生成」、入力コンテンツIDリスト「CIa」、及びオプション項目「Opta」が対応づけられた情報である。 (Graphing process for deletion)
Next, a graphing process pattern (deleting graphing process) for associating the intermediate log of the operation type “deletion” will be described. Here, a case where the intermediate log to be analyzed is “intermediate log A” will be described. The intermediate log A is information in which a log ID “La”, date and time “Da”, operation type “generation”, input content ID list “CIa”, and option item “Opta” are associated with each other.

この場合、グラフ化処理部124は、グラフ化領域(グラフ化ログ記憶部114)から、条件「解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時以前の日時を有するノードのうち、最も日時が新しいノード」を満たすノードを取得する。そして、グラフ化処理部124は、取得したノードの出力ログIDリストにおいて同一のコンテンツIDに対応するログID「NULL」に、解析対象の中間ログのログIDを登録する。   In this case, the graphing processing unit 124 selects the element of the output content ID that is the same as each content ID included in the input content ID list of the intermediate log to be analyzed from the graphing region (graphing log storage unit 114). Of the nodes having the date and time before the date and time of the intermediate log in the output log ID list, the node satisfying the node having the latest date and time is acquired. Then, the graphing processing unit 124 registers the log ID of the intermediate log to be analyzed in the log ID “NULL” corresponding to the same content ID in the acquired output log ID list of the node.

ここでは、グラフ化処理部124は、「入力コンテンツIDリスト「CIa」と同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時「Da」以前の日時を有するノードのうち、最も日時が新しいノード」として、ログID「Lx」のノードを取得する。そして、グラフ化処理部124は、取得したログID「Lx」のノードの出力ログIDリストの「CIa」に対応するログID「NULL」に、「La」を登録する。   Here, the graphing processing unit 124 indicates that “the node having the output content ID element identical to the input content ID list“ CIa ”in the output log ID list and having the date and time before the date and time“ Da ”of the intermediate log. Among them, the node having the log ID “Lx” is acquired as “the node with the newest date and time”. Then, the graphing processing unit 124 registers “La” in the log ID “NULL” corresponding to “CIa” in the output log ID list of the node with the acquired log ID “Lx”.

また、グラフ化処理部124は、中間ログAの情報に基づいて、ノードを作成する。削除用のグラフ化処理では、グラフ化処理部124は、新規に作成されるノードの入力ログIDリストに、解析対象の中間ログの入力コンテンツIDリストと、それぞれのコンテンツIDを用いて取得されたノードのログIDとが登録され、他の項目は中間ログと同じ値が登録される。つまり、グラフ化処理部124は、ログID「La」、日時「Da」、操作種別「削除」、入力ログIDリスト「<CIa,Lx>」、及びオプション項目「Opta」が対応づけられたノードを作成する。   Further, the graphing processing unit 124 creates a node based on the information of the intermediate log A. In the graphing process for deletion, the graphing processing unit 124 uses the input content ID list of the intermediate log to be analyzed and each content ID as the input log ID list of the newly created node. The log ID of the node is registered, and the same values as the intermediate log are registered for the other items. That is, the graphing processing unit 124 associates the log ID “La”, the date and time “Da”, the operation type “delete”, the input log ID list “<CIa, Lx>”, and the option item “Opta”. Create

(変換用のグラフ化処理)
次に、操作種別「変換」の中間ログの関連付けを行うためのグラフ化処理の処理パターン(変換用のグラフ化処理)について説明する。ここでは、解析対象となる中間ログが「中間ログA」である場合を説明する。この中間ログAは、ログID「La」、日時「Da」、操作種別「変換」、入力コンテンツIDリスト「CIa」、出力コンテンツIDリスト「COa」、及びオプション項目「Opta」が対応づけられた情報である。 (Graphization processing for conversion)
Next, a graphing process pattern (conversion graphing process) for associating the intermediate log of the operation type “conversion” will be described. Here, a case where the intermediate log to be analyzed is “intermediate log A” will be described. This intermediate log A is associated with log ID “La”, date and time “Da”, operation type “conversion”, input content ID list “CIa”, output content ID list “COa”, and option item “Opta”. Information.

この場合、グラフ化処理部124は、中間ログAの情報に基づいて、ノードを作成する。変換用のグラフ化処理では、グラフ化処理部124は、新規に作成されるノードの入力ログIDリストには「NULL」が登録され、出力ログIDリストには、出力コンテンツIDリストに含まれる各コンテンツIDと、「NULL」とが登録され、他の項目は中間ログと同じ値が登録される。つまり、グラフ化処理部124は、ログID「La」、日時「Da」、操作種別「変換」、入力ログIDリスト「NULL」、出力ログIDリスト「<COa,NULL>」、及びオプション項目「Opta」が対応づけられたノードを作成する。   In this case, the graphing processing unit 124 creates a node based on the information of the intermediate log A. In the graphing process for conversion, the graphing processing unit 124 registers “NULL” in the input log ID list of the newly created node, and each output included in the output content ID list in the output log ID list. The content ID and “NULL” are registered, and the same values as the intermediate log are registered for the other items. That is, the graphing processing unit 124 includes the log ID “La”, the date and time “Da”, the operation type “conversion”, the input log ID list “NULL”, the output log ID list “<COa, NULL>”, and the option item “ A node associated with “Opta” is created.

また、グラフ化処理部124は、グラフ化領域から、条件「解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時以前の日時を有するノードのうち、最も日時が新しいノード」を満たすノードを取得する。そして、グラフ化処理部124は、取得したノードの出力ログIDリストにおいて同一のコンテンツIDに対応するログID「NULL」に、解析対象の中間ログのログIDを登録する。   Further, the graphing processing unit 124 has an element of the output content ID that is the same as each content ID included in the input content ID list of the intermediate log to be analyzed in the output log ID list from the graphing area, and , Among the nodes having the date and time before the date and time of the intermediate log, the node that satisfies the node having the newest date and time is acquired. Then, the graphing processing unit 124 registers the log ID of the intermediate log to be analyzed in the log ID “NULL” corresponding to the same content ID in the acquired output log ID list of the node.

ここでは、グラフ化処理部124は、「入力コンテンツIDリスト「CIa」と同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時「Da」以前の日時を有するノードのうち、最も日時が新しいノード」として、ログID「Lx」のノードを取得する。そして、グラフ化処理部124は、取得したログID「Lx」のノードの出力ログIDリストの「CIa」に対応するログID「NULL」に、「La」を登録する。   Here, the graphing processing unit 124 indicates that “the node having the output content ID element identical to the input content ID list“ CIa ”in the output log ID list and having the date and time before the date and time“ Da ”of the intermediate log. Among them, the node having the log ID “Lx” is acquired as “the node with the newest date and time”. Then, the graphing processing unit 124 registers “La” in the log ID “NULL” corresponding to “CIa” in the output log ID list of the node with the acquired log ID “Lx”.

また、グラフ化処理部124は、作成したノードの入力ログIDリスト「NULL」に、解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと、取得されたノードのノードIDとが対応づけられた情報を登録する。つまり、グラフ化処理部124は、作成したログID「La」のノードの入力ログIDリスト「NULL」に、入力ログIDリスト「<CIa,Lx>」を登録する。   Further, the graphing processing unit 124 associates each content ID included in the input content ID list of the intermediate log to be analyzed with the node ID of the acquired node in the created node input log ID list “NULL”. Register the attached information. In other words, the graphing processing unit 124 registers the input log ID list “<CIa, Lx>” in the input log ID list “NULL” of the node with the created log ID “La”.

(分岐用のグラフ化処理)
次に、操作種別「分岐」の中間ログの関連付けを行うためのグラフ化処理の処理パターン(分岐用のグラフ化処理)について説明する。ここでは、解析対象となる中間ログが「中間ログA」である場合を説明する。この中間ログAは、ログID「La」、日時「Da」、操作種別「生成」、入力コンテンツIDリスト「CIa」、出力コンテンツIDリスト「COa1,COa2,・・・COaN’(N’は自然数)」、及びオプション項目「Opta」が対応づけられた情報である。 (Graphization processing for branching)
Next, a graphing process pattern (branching graphing process) for associating the intermediate log of the operation type “branch” will be described. Here, a case where the intermediate log to be analyzed is “intermediate log A” will be described. This intermediate log A includes log ID “La”, date and time “Da”, operation type “generation”, input content ID list “CIa”, output content ID list “COa1, COa2,... COaN ′ (N ′ is a natural number) ) ”And the option item“ Opta ”are associated with each other.

この場合、グラフ化処理部124は、中間ログAの情報に基づいて、ノードを作成する。分岐用のグラフ化処理では、グラフ化処理部124は、新規に作成されるノードの入力ログIDリストには「NULL」が登録され、出力ログIDリストには、出力コンテンツIDリストに含まれる各コンテンツIDと、「NULL」とが登録され、他の項目は中間ログと同じ値が登録される。つまり、グラフ化処理部124は、ログID「La」、日時「Da」、操作種別「分岐」、入力ログIDリスト「NULL」、出力ログIDリスト「<COa1,NULL>,<COa2,NULL>,・・・<COaN’,NULL>」、及びオプション項目「Opta」が対応づけられたノードを作成する。   In this case, the graphing processing unit 124 creates a node based on the information of the intermediate log A. In the graphing process for branching, the graphing processing unit 124 registers “NULL” in the input log ID list of the newly created node, and the output log ID list includes each item included in the output content ID list. The content ID and “NULL” are registered, and the same values as the intermediate log are registered for the other items. That is, the graphing processing unit 124 includes a log ID “La”, a date and time “Da”, an operation type “branch”, an input log ID list “NULL”, and an output log ID list “<COa1, NULL>, <COa2, NULL>”. ,... <COaN ′, NULL> ”and the option item“ Opta ”are associated with each other.

また、グラフ化処理部124は、グラフ化領域から、条件「解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時以前の日時を有するノードのうち、最も日時が新しいノード」を満たすノードを取得する。そして、グラフ化処理部124は、取得したノードの出力ログIDリストにおいて同一のコンテンツIDに対応するログID「NULL」に、解析対象の中間ログのログIDを登録する。   Further, the graphing processing unit 124 has an element of the output content ID that is the same as each content ID included in the input content ID list of the intermediate log to be analyzed in the output log ID list from the graphing area, and , Among the nodes having the date and time before the date and time of the intermediate log, the node that satisfies the node having the newest date and time is acquired. Then, the graphing processing unit 124 registers the log ID of the intermediate log to be analyzed in the log ID “NULL” corresponding to the same content ID in the acquired output log ID list of the node.

ここでは、グラフ化処理部124は、「入力コンテンツIDリスト「CIa」と同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時「Da」以前の日時を有するノードのうち、最も日時が新しいノード」として、ログID「Lx」のノードを取得する。そして、グラフ化処理部124は、取得したログID「Lx」のノードの出力ログIDリストの「CIa」に対応するログID「NULL」に、「La」を登録する。   Here, the graphing processing unit 124 indicates that “the node having the output content ID element identical to the input content ID list“ CIa ”in the output log ID list and having the date and time before the date and time“ Da ”of the intermediate log. Among them, the node having the log ID “Lx” is acquired as “the node with the newest date and time”. Then, the graphing processing unit 124 registers “La” in the log ID “NULL” corresponding to “CIa” in the output log ID list of the node with the acquired log ID “Lx”.

また、グラフ化処理部124は、作成したノードの入力ログIDリスト「NULL」に、解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと、取得されたノードのノードIDとが対応づけられた情報を登録する。つまり、グラフ化処理部124は、作成したログID「La」のノードの入力ログIDリスト「NULL」に、入力ログIDリスト「<CIa,Lx>」を登録する。   Further, the graphing processing unit 124 associates each content ID included in the input content ID list of the intermediate log to be analyzed with the node ID of the acquired node in the created node input log ID list “NULL”. Register the attached information. In other words, the graphing processing unit 124 registers the input log ID list “<CIa, Lx>” in the input log ID list “NULL” of the node with the created log ID “La”.

(合流用のグラフ化処理)
次に、操作種別「合流」の中間ログの関連付けを行うためのグラフ化処理の処理パターン(合流用のグラフ化処理)について説明する。ここでは、解析対象となる中間ログが「中間ログA」である場合を説明する。この中間ログAは、ログID「La」、日時「Da」、操作種別「合流」、入力コンテンツIDリスト「CIa1,CIa2,・・・CIaN(Nは自然数)」、出力コンテンツIDリスト「COa」、及びオプション項目「Opta」が対応づけられた情報である。 (Graphing process for merge)
Next, a graphing process pattern (merging graphing process) for associating intermediate logs of the operation type “join” will be described. Here, a case where the intermediate log to be analyzed is “intermediate log A” will be described. This intermediate log A includes log ID “La”, date and time “Da”, operation type “join”, input content ID list “CIa1, CIa2,... CIaN (N is a natural number)”, and output content ID list “COa”. , And the option item “Opta” are associated with each other.

この場合、グラフ化処理部124は、中間ログAの情報に基づいて、ノードを作成する。合流用のグラフ化処理では、グラフ化処理部124は、新規に作成されるノードの入力ログIDリストには「NULL」が登録され、出力ログIDリストには、出力コンテンツIDリストに含まれる各コンテンツIDと、「NULL」とが登録され、他の項目は中間ログと同じ値が登録される。つまり、グラフ化処理部124は、ログID「La」、日時「Da」、操作種別「変換」、入力ログIDリスト「NULL」、出力ログIDリスト「<COa,NULL>」、及びオプション項目「Opta」が対応づけられたノードを作成する。   In this case, the graphing processing unit 124 creates a node based on the information of the intermediate log A. In the graphing process for merging, the graphing processing unit 124 registers “NULL” in the input log ID list of the newly created node, and each output included in the output content ID list in the output log ID list. The content ID and “NULL” are registered, and the same values as the intermediate log are registered for the other items. That is, the graphing processing unit 124 includes the log ID “La”, the date and time “Da”, the operation type “conversion”, the input log ID list “NULL”, the output log ID list “<COa, NULL>”, and the option item “ A node associated with “Opta” is created.

また、グラフ化処理部124は、グラフ化領域から、条件「解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時以前の日時を有するノードのうち、最も日時が新しいノード」を満たすノード群を取得する。そして、グラフ化処理部124は、取得したノードの出力ログIDリストにおいて同一のコンテンツIDに対応するログID「NULL」に、解析対象の中間ログのログIDを登録する。   Further, the graphing processing unit 124 has an element of the output content ID that is the same as each content ID included in the input content ID list of the intermediate log to be analyzed in the output log ID list from the graphing area, and , A node group satisfying the node having the latest date among the nodes having the date and time before the date and time of the intermediate log is acquired. Then, the graphing processing unit 124 registers the log ID of the intermediate log to be analyzed in the log ID “NULL” corresponding to the same content ID in the acquired output log ID list of the node.

ここでは、グラフ化処理部124は、「入力コンテンツIDリスト「CIai(1≦i≦N)」とそれぞれ同一の出力コンテンツIDの要素を出力ログIDリストに有し、かつ、中間ログの日時「Da」以前の日時を有するノードのうち、最も日時が新しいノード」として、ログID「Lxj(1≦j≦M,Mは自然数)」のノード群Xjを取得する。そして、グラフ化処理部124は、取得したログID「Lxj」のノードの出力ログIDリストの「CIai」に対応するログID「NULL」に、「La」を登録する。   Here, the graphing processing unit 124 has elements of the output content ID that are the same as the “input content ID list“ CIai (1 ≦ i ≦ N) ”in the output log ID list, and the date and time“ The node group Xj with the log ID “Lxj (1 ≦ j ≦ M, M is a natural number)” is acquired as “the node with the newest date among the nodes having the date before Da”. Then, the graphing processing unit 124 registers “La” in the log ID “NULL” corresponding to “CIai” in the output log ID list of the node with the acquired log ID “Lxj”.

また、グラフ化処理部124は、作成したノードの入力ログIDリスト「NULL」に、解析対象の中間ログの入力コンテンツIDリストに含まれる各コンテンツIDと、取得されたノードのノードIDとが対応づけられた情報を登録する。つまり、グラフ化処理部124は、作成したログID「La」のノードの入力ログIDリスト「NULL」に、入力ログIDリスト「<CIai,Lxj>」を登録する。   Further, the graphing processing unit 124 associates each content ID included in the input content ID list of the intermediate log to be analyzed with the node ID of the acquired node in the created node input log ID list “NULL”. Register the attached information. That is, the graphing processing unit 124 registers the input log ID list “<CIai, Lxj>” in the input log ID list “NULL” of the created node with the log ID “La”.

このように、グラフ化処理部124は、中間ログ記憶部113に記憶された中間ログごとに、各中間ログの種類に対応する処理パターンを用いて、他の中間ログとの関連付けを行う。そして、グラフ化処理部124は、関連付けによって作成されるノードをグラフ化ログ記憶部114に格納する。   As described above, the graphing processing unit 124 associates each intermediate log stored in the intermediate log storage unit 113 with another intermediate log using the processing pattern corresponding to the type of each intermediate log. Then, the graphing processing unit 124 stores the node created by the association in the graphing log storage unit 114.

(ログ管理装置100における処理の流れ)
図7は、本実施形態に係るログ管理装置100における処理の流れを示すフローチャートである。図7に示すように、ログ管理装置100は、各ホスト10からログデータが出力されるごとに、出力されるログデータを収集する(ステップS101)。ここで、収集されたログデータは、ログ記憶部111に格納される。 (Processing flow in the log management apparatus 100)
FIG. 7 is a flowchart showing the flow of processing in the log management apparatus 100 according to the present embodiment. As illustrated in FIG. 7, the log management device 100 collects output log data each time log data is output from each host 10 (step S <b> 101). Here, the collected log data is stored in the log storage unit 111.

続いて、ログ管理装置100は、解析対象であるログデータの種類に対応する変換プログラムを選択する(ステップS102)。そして、ログ管理装置100は、選択した変換プログラムを用いて、収集されたログデータを中間ログに変換する(ステップS103)。ここで、中間ログは、中間ログ記憶部113に格納される。   Subsequently, the log management apparatus 100 selects a conversion program corresponding to the type of log data to be analyzed (step S102). Then, the log management apparatus 100 converts the collected log data into an intermediate log using the selected conversion program (step S103). Here, the intermediate log is stored in the intermediate log storage unit 113.

そして、ログ管理装置100は、グラフ化処理を行う(ステップS104)。ここで、図8を用いて、グラフ化処理について説明する。   Then, the log management apparatus 100 performs graphing processing (step S104). Here, the graphing process will be described with reference to FIG.

図8は、本実施形態に係るグラフ化処理における処理の流れを示すフローチャートである。図8に示すように、ログ管理装置100において、グラフ化処理部124は、中間ログ記憶部113に記憶される複数の中間ログ(中間ログ群)を日時でソートする(ステップS201)。そして、グラフ化処理部124は、一番古い中間ログを取り出す(ステップS202)。   FIG. 8 is a flowchart showing the flow of processing in the graphing processing according to this embodiment. As shown in FIG. 8, in the log management apparatus 100, the graphing processing unit 124 sorts a plurality of intermediate logs (intermediate log group) stored in the intermediate log storage unit 113 by date and time (step S201). Then, the graphing processing unit 124 takes out the oldest intermediate log (step S202).

続いて、グラフ化処理部124は、取り出した中間ログの操作種別が「生成」であるか否かを判定する(ステップS203)。ここで、「生成」であれば(ステップS203Yes)、グラフ化処理部124は、生成用のグラフ化処理を行い(ステップS204)、このグラフ化処理によって作成したノードをグラフ化ログ領域に登録する(ステップS214)。   Subsequently, the graphing processing unit 124 determines whether or not the operation type of the extracted intermediate log is “generation” (step S203). Here, if it is “generation” (Yes in step S203), the graphing processing unit 124 performs graphing processing for generation (step S204), and registers the node created by this graphing processing in the graphing log area. (Step S214).

一方、「生成」でなければ(ステップS203No)、グラフ化処理部124は、取り出した中間ログの操作種別が「削除」であるか否かを判定する(ステップS205)。ここで、「削除」であれば(ステップS205Yes)、グラフ化処理部124は、削除用のグラフ化処理を行い(ステップS206)、このグラフ化処理によって作成したノードをグラフ化ログ領域に登録する(ステップS214)。   On the other hand, if it is not “generation” (No in step S203), the graphing processing unit 124 determines whether or not the operation type of the extracted intermediate log is “deletion” (step S205). If it is “delete” (step S205 Yes), the graphing processing unit 124 performs a graphing process for deletion (step S206), and registers the node created by this graphing process in the graphing log area. (Step S214).

一方、「削除」でなければ(ステップS205No)、グラフ化処理部124は、取り出した中間ログの操作種別が「変換」であるか否かを判定する(ステップS207)。ここで、「変換」であれば(ステップS207Yes)、グラフ化処理部124は、変換用のグラフ化処理を行い(ステップS208)、このグラフ化処理によって作成したノードをグラフ化ログ領域に登録する(ステップS214)。   On the other hand, if it is not “delete” (No in step S205), the graphing processing unit 124 determines whether or not the operation type of the extracted intermediate log is “conversion” (step S207). If it is “conversion” (step S207 Yes), the graphing processing unit 124 performs graphing processing for conversion (step S208), and registers the node created by this graphing processing in the graphing log area. (Step S214).

一方、「変換」でなければ(ステップS207No)、グラフ化処理部124は、取り出した中間ログの操作種別が「分岐」であるか否かを判定する(ステップS209)。ここで、「分岐」であれば(ステップS209Yes)、グラフ化処理部124は、分岐用のグラフ化処理を行い(ステップS210)、このグラフ化処理によって作成したノードをグラフ化ログ領域に登録する(ステップS214)。   On the other hand, if it is not “conversion” (No in step S207), the graphing processing unit 124 determines whether or not the operation type of the extracted intermediate log is “branch” (step S209). Here, if it is “branch” (step S209 Yes), the graphing processing unit 124 performs graphing processing for branching (step S210), and registers the node created by this graphing processing in the graphing log area. (Step S214).

一方、「分岐」でなければ(ステップS209No)、グラフ化処理部124は、取り出した中間ログの操作種別が「合流」であるか否かを判定する(ステップS211)。ここで、「合流」であれば(ステップS211Yes)、グラフ化処理部124は、合流用のグラフ化処理を行い(ステップS212)、このグラフ化処理によって作成したノードをグラフ化ログ領域に登録する(ステップS214)。   On the other hand, if it is not “branch” (No in step S209), the graphing processing unit 124 determines whether or not the operation type of the extracted intermediate log is “join” (step S211). Here, if it is “join” (step S211 Yes), the graphing processing unit 124 performs graphing processing for joining (step S212), and registers the node created by this graphing processing in the graphing log area. (Step S214).

そして、グラフ化処理部124は、中間ログがまだあるか否かを判定する(ステップS215)。そして、中間ログがまだある場合には(ステップS215Yes)、ステップS202の処理に移行する。また、中間ログがない場合には(ステップS215No)、処理を終了する。   Then, the graphing processing unit 124 determines whether or not there is an intermediate log (step S215). If there is still an intermediate log (step S215 Yes), the process proceeds to step S202. If there is no intermediate log (step S215 No), the process is terminated.

なお、ステップS211において、「合流」でなければ(ステップS211No)、グラフ化処理部124は、エラーを出力し(ステップS213)、処理を終了する。   In step S211, if it is not “join” (step S211 No), the graphing processing unit 124 outputs an error (step S213) and ends the process.

なお、図7及び図8は一例に過ぎず、上記の各処理は、処理内容が矛盾しない範囲で適宜変更されて良い。例えば、各操作種別に応じたグラフ化処理を選択する処理は、どのような順序で実行されても良い。   7 and 8 are merely examples, and each of the processes described above may be appropriately changed within a range in which the process contents do not contradict each other. For example, the process of selecting the graphing process corresponding to each operation type may be executed in any order.

(ログ管理装置100による効果)
本実施形態に係るログ管理装置100は、ホスト10から出力されるログデータを、所定の種類の中間ログに変換する。そして、ログ管理装置100は、中間ログの種類に応じて、その中間ログと、その中間ログとは異なる中間ログとの関連付けを行う。このため、ログ管理装置100は、ログデータの解析を柔軟に行うことが可能となる。 (Effects of log management apparatus 100)
The log management apparatus 100 according to the present embodiment converts log data output from the host 10 into a predetermined type of intermediate log. Then, the log management apparatus 100 associates the intermediate log with an intermediate log different from the intermediate log according to the type of the intermediate log. For this reason, the log management apparatus 100 can flexibly analyze log data.

図9Aから図10Bは、本実施形態に係るログ管理装置100の効果について説明するための図である。従来技術では、ログデータの種類に応じて、グラフ化までを行う処理プログラムが実行されていた(図9A)。このため、処理プログラムごとに異なるグラフ化ログが作成されることとなるので、ログデータの種類が異なる場合には、それらのログデータ同士を関連付けることが難しかった。なお、可視化とは、例えば、ログデータ単体ではわからなかった情報を、目に見える形式で表現したり、そのような形式で提供したりすることである。   9A to 10B are diagrams for explaining the effect of the log management apparatus 100 according to the present embodiment. In the prior art, a processing program for performing graphing is executed according to the type of log data (FIG. 9A). For this reason, since a different graphed log is created for each processing program, it is difficult to associate the log data with each other when the types of log data are different. Note that visualization means, for example, expressing information that is not understood by log data alone in a visible format or providing the information in such a format.

これに対して、本実施形態に係るログ管理装置100は、ログデータの種類に応じて変換プログラムを選択し、選択した変換プログラムを用いて、ログデータを中間ログに変換する(図9B)。この中間ログは、予め設定された所定数の種類のうち、いずれかの種類で表される。そして、ログ管理装置100は、中間ログの種類に対応する関連づけの処理パターンを用いて、関連付け(グラフ化処理)を行う。このため、ログ管理装置100は、異なる種類のログデータ同士であっても、中間ログに変換することで、相互に関連付けを行うことができる。   In contrast, the log management apparatus 100 according to the present embodiment selects a conversion program according to the type of log data, and converts the log data into an intermediate log using the selected conversion program (FIG. 9B). The intermediate log is represented by one of a predetermined number of types. Then, the log management apparatus 100 performs association (graphing process) using the association processing pattern corresponding to the type of the intermediate log. For this reason, the log management apparatus 100 can associate each other even if different types of log data are converted into an intermediate log.

また、従来技術では、グラフ化ログを生成するまでの一連の処理(正規化、関連付け、グラフ化等)を行うための処理プログラムが、ログデータの種類ごとに必要となっていた(図10A)。このため、解析対象のログデータを追加するごとに、一連の処理を行う処理プログラム、例えば、処理プログラムN+1を用意するための労力がかかっていた。   In the prior art, a processing program for performing a series of processing (normalization, association, graphing, etc.) until a graphed log is generated is required for each type of log data (FIG. 10A). . For this reason, every time log data to be analyzed is added, it takes effort to prepare a processing program for performing a series of processing, for example, processing program N + 1.

これに対して、本実施形態に係るログ管理装置100は、ログデータを中間ログに一旦変換することで、ログデータの種類に依存する処理と、共通の処理(グラフ化処理)とに分けることが可能となる(図10B)。このため、ログ管理装置100においては、解析対象のログデータを追加する場合、中間ログに変換するための変換プログラムN+1のみを追加するだけで、グラフ化処理を追加することなく一連の処理を実行することが可能となる。このため、ログ管理装置100は、少ない労力で解析対象のログデータを追加することが可能となる。   On the other hand, the log management apparatus 100 according to the present embodiment divides the log data into an intermediate log, and divides it into a process depending on the type of the log data and a common process (graphing process). Is possible (FIG. 10B). Therefore, in the log management apparatus 100, when adding log data to be analyzed, only a conversion program N + 1 for conversion to an intermediate log is added, and a series of processing is executed without adding graphing processing. It becomes possible to do. For this reason, the log management apparatus 100 can add log data to be analyzed with less effort.

(その他の実施形態)
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されて良いものである。 (Other embodiments)
Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the above-described embodiments.

(システム構成)
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 (System configuration)
Also, among the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、ログ管理装置100は、収集部121、選択部122及び変換部123を備える変換装置と、グラフ化処理部124を備える関連付け装置とを備えるログ管理システムとして実現されても良い。   Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part of the distribution / integration may be functionally or physically distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, the log management device 100 may be realized as a log management system including a conversion device including a collection unit 121, a selection unit 122, and a conversion unit 123, and an association device including a graphing processing unit 124.

(プログラム)
上記実施形態で説明したログ管理装置100は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示したログ管理装置100と同様の機能を実現するログ管理プログラムを実行するコンピュータの一例を説明する。 (program)
The log management apparatus 100 described in the above embodiment can also be realized by executing a program prepared in advance by a computer. Therefore, in the following, an example of a computer that executes a log management program that realizes the same function as the log management apparatus 100 illustrated in FIG. 2 will be described.

図11は、ログ管理プログラムを実行するコンピュータ1000を示す図である。図11に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。   FIG. 11 is a diagram illustrating a computer 1000 that executes a log management program. As illustrated in FIG. 11, the computer 1000 includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, and a network interface 1070, and these units are connected by a bus 1080. The

メモリ1010は、図11に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図11に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図11に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012 as illustrated in FIG. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1031 as illustrated in FIG. The disk drive interface 1040 is connected to the disk drive 1041 as illustrated in FIG. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive.

ここで、図11に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のデータ処理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。   Here, as illustrated in FIG. 11, the hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, the above data processing program is stored in, for example, the hard disk drive 1031 as a program module in which a command executed by the computer 1000 is described.

また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各手順を実行する。   The various data described in the above embodiment is stored as program data, for example, in the memory 1010 or the hard disk drive 1031. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1031 to the RAM 1012 as necessary, and executes each procedure.

なお、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、ログ管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the log management program are not limited to being stored in the hard disk drive 1031, but are stored in, for example, a removable storage medium and read out by the CPU 1020 via the disk drive or the like. Also good. Alternatively, the program module 1093 and the program data 1094 related to the log management program are stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.), and the network interface 1070 is stored. Via the CPU 1020.

これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   These embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.

100 ログ管理装置
123 変換部
124 グラフ化処理部 100 log management device 123 conversion unit 124 graphing processing unit

Claims (8)

ログ管理システムによって実行されるログ管理方法であって、
コンピュータから出力されるログデータを、予め設定された所定数の種類のうち、いずれかの種類の中間ログに変換する変換工程と、
前記中間ログの種類に対応する関連づけの処理が規定されたパターンを用いて、当該中間ログと、当該中間ログとは異なる他の中間ログとの関連付けを行う関連付け工程と
を含むことを特徴とするログ管理方法。 A log management method executed by a log management system,
A conversion step of converting log data output from the computer into an intermediate log of any kind among a predetermined number of kinds set in advance;
An association step of associating the intermediate log with another intermediate log different from the intermediate log using a pattern in which an association process corresponding to the type of the intermediate log is defined. Log management method. 前記変換工程は、前記所定数の種類を表す情報として、コンテンツが生成されたことを表す生成情報、コンテンツが削除されたことを表す削除情報、コンテンツが変換されたことを表す変換情報、コンテンツが複数のコンテンツに分岐したことを表す分岐情報、及び、複数のコンテンツが一つのコンテンツに合流したことを表す合流情報のうち、いずれかを含む前記中間ログに、前記ログデータを変換し、
前記関連付け工程は、前記中間ログに含まれる前記生成情報、前記削除情報、前記変換情報、前記分岐情報、及び、前記合流情報のいずれかに応じて、前記関連付けを行うことを特徴とする請求項1に記載のログ管理方法。 In the conversion step, the information indicating the predetermined number of types includes generation information indicating that the content has been generated, deletion information indicating that the content has been deleted, conversion information indicating that the content has been converted, and content. The log data is converted into the intermediate log including any one of branch information indicating that the content has been branched into a plurality of contents and merge information indicating that the plurality of contents are merged into one content,
The association step performs the association according to any of the generation information, the deletion information, the conversion information, the branch information, and the merge information included in the intermediate log. The log management method according to 1. 前記変換工程は、前記ログデータを、当該ログデータに応じたプログラムを用いて、前記中間ログに変換することを特徴とする請求項1又は2に記載のログ管理方法。   The log management method according to claim 1 or 2, wherein the conversion step converts the log data into the intermediate log by using a program corresponding to the log data. 前記変換工程は、前記ログデータを、前記ログデータを識別する識別子、コンテンツに関する操作が行われた日時、コンテンツに対して行われた操作の内容、前記操作の入力となったコンテンツの識別子のリスト、および、前記操作により出力されたコンテンツの識別子のリストのうち、いずれか一つまたは複数の項目を有する中間ログに変換することを特徴とする請求項1〜3のいずれか一つに記載のログ管理方法。   In the converting step, the log data includes an identifier for identifying the log data, a date and time when an operation related to the content is performed, a content of the operation performed on the content, and a list of identifiers of the content that is the input of the operation And converting to an intermediate log having any one or a plurality of items from the list of content identifiers output by the operation. Log management method. 前記関連付け工程は、前記操作の入力となったコンテンツの識別子、又は、前記操作により出力されたコンテンツの識別子が共通する中間ログ同士を関連付けることを特徴とする請求項4に記載のログ管理方法。   5. The log management method according to claim 4, wherein the associating step associates the intermediate logs having the same content identifier that is the input of the operation or the content identifier output by the operation. 変換装置と、関連付け装置とを備えたログ管理システムであって、
前記変換装置は、コンピュータから出力されるログデータを、予め設定された所定数の種類のうち、いずれかの種類の中間ログに変換する変換部を備え、
前記関連付け装置は、前記中間ログの種類に対応する関連づけの処理が規定されたパターンを用いて、当該中間ログと、当該中間ログとは異なる他の中間ログとの関連付けを行う関連付け部を備えることを特徴とするログ管理システム。 A log management system comprising a conversion device and an association device,
The conversion device includes a conversion unit that converts log data output from a computer into an intermediate log of any type among a predetermined number of types set in advance,
The associating device includes an associating unit that associates the intermediate log with another intermediate log different from the intermediate log using a pattern in which an association process corresponding to the type of the intermediate log is defined. Log management system characterized by コンピュータから出力されるログデータを、予め設定された所定数の種類のうち、いずれかの種類の中間ログに変換する変換部と、
前記中間ログの種類に対応する関連づけの処理が規定されたパターンを用いて、当該中間ログと、当該中間ログとは異なる他の中間ログとの関連付けを行う関連付け部と
を備えることを特徴とするログ管理装置。 A conversion unit that converts log data output from the computer into an intermediate log of any type among a predetermined number of types set in advance;
Using the pattern in which the association process corresponding to the type of the intermediate log is defined, and an association unit that associates the intermediate log with another intermediate log different from the intermediate log. Log management device. コンピュータから出力されるログデータを、予め設定された所定数の種類のうち、いずれかの種類の中間ログに変換する変換ステップと、
前記中間ログの種類に対応する関連づけの処理が規定されたパターンを用いて、当該中間ログと、当該中間ログとは異なる他の中間ログとの関連付けを行う関連付けステップと
をコンピュータに実行させることを特徴とするログ管理プログラム。 A conversion step for converting log data output from the computer into an intermediate log of any type among a predetermined number of types set in advance;
Using a pattern in which an association process corresponding to the type of the intermediate log is defined, causing the computer to execute an association step of associating the intermediate log with another intermediate log different from the intermediate log. Feature log management program.
JP2014095252A 2014-05-02 2014-05-02 Log management method, log management system, log management apparatus, and log management program Active JP6008406B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014095252A JP6008406B2 (en) 2014-05-02 2014-05-02 Log management method, log management system, log management apparatus, and log management program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014095252A JP6008406B2 (en) 2014-05-02 2014-05-02 Log management method, log management system, log management apparatus, and log management program

Publications (2)

Publication Number Publication Date
JP2015212877A true JP2015212877A (en) 2015-11-26
JP6008406B2 JP6008406B2 (en) 2016-10-19

Family

ID=54697108

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014095252A Active JP6008406B2 (en) 2014-05-02 2014-05-02 Log management method, log management system, log management apparatus, and log management program

Country Status (1)

Country Link
JP (1) JP6008406B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101758207B1 (en) * 2016-04-04 2017-07-26 숭실대학교산학협력단 Apparatus for processing network packet using service function chaining and Method for controlling the same
JP2020031369A (en) * 2018-08-23 2020-02-27 株式会社リコー Communication terminal, communication system, log data transmission method, and program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005128609A (en) * 2003-10-21 2005-05-19 Yaskawa Information Systems Co Ltd Server computer, computer, and method for processing communication log
JP2012238113A (en) * 2011-05-10 2012-12-06 Nippon Telegr & Teleph Corp <Ntt> File management device, file management method, and file management program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005128609A (en) * 2003-10-21 2005-05-19 Yaskawa Information Systems Co Ltd Server computer, computer, and method for processing communication log
JP2012238113A (en) * 2011-05-10 2012-12-06 Nippon Telegr & Teleph Corp <Ntt> File management device, file management method, and file management program

Non-Patent Citations (9)

* Cited by examiner, † Cited by third party
Title
JPN6015034692; 元田敏浩、永吉 剛、秋葉淳哉、竹内 格: '"トレーサビリティ基盤TRX"' NTT技術ジャーナル 第26巻,第3号(通巻300号), 20140301, pp.57-62, 一般社団法人電気通信協会 *
JPN6015034693; 中山佑輝、稲場太郎、芝口誠仁、岡田謙一: '"機密データの伝搬経路可視化手法"' 情報処理学会研究報告 Vol.2009,No.3, 20090115, pp.31-36(2009-GN-70(6)), 社団法人情報処理学会 *
JPN6015034696; 張 一凡、秋葉淳哉、松村隆宏、元田敏浩: '"汎用的利用シーンにおけるファイル追跡技術の提案"' CSS2013 コンピュータセキュリティシンポジウム2013論文集 合同開催 マルウェア対策研究人材育 Vol.2013,No.4, 20131014, pp.832-839, 一般社団法人情報処理学会 *
JPN6015034698; 五郎丸秀樹、小林英史、徳永大典: '"ファイルの操作履歴を可視化するトレーサビリティー技術の適用"' 電子情報通信学会技術研究報告 Vol.113,No.92, 20130613, pp.13-18(IN2013-27), 一般社団法人電子情報通信学会 *
JPN6015034699; 中原慎一、張 一凡: '"クラウドサービスの説明能力とトレーサビリティ技術"' 電子情報通信学会技術研究報告 Vol.112,No.22, 20120503, pp.81-85(ICM2012-8), 一般社団法人電子情報通信学会 *
JPN6015034702; 張 一凡、竹内 格: '"MapReduceを用いたログ間の依存関係ツリーの抽出アルゴリズムの提案"' 第74回(平成24年)全国大会 講演論文集(1) , 20120306, pp.1-277〜1-278(2B-6), 一般社団法人情報処理学会 *
JPN6015034704; 中原 慎一 藤木 直人 牛島 重彦: '"クラウドトレーサビリティ(CBoC TRX)"' NTT技術ジャーナル 第23巻,第10号(通巻271号), 20111001, pp.31-35, 社団法人電気通信協会 *
JPN6015034706; 福島健太、山内利宏、谷口秀夫: '"機密情報の拡散経路を可視化する機能の提案"' CSS2011 コンピュータセキュリティシンポジウム2011論文集 併催 マルウェア対策研究人材育成ワ Vol.2011,No.3, 20111012, pp.367-372, 一般社団法人情報処理学会 *
JPN6016034834; 小高祐樹、高田慎也、石本英隆: '"ログ管理による情報流通の追跡・可視化方式の検討"' 第74回(平成24年)全国大会 講演論文集(3) , 20120306, pp.3-575〜3-576(6E-5), 一般社団法人情報処理学会 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101758207B1 (en) * 2016-04-04 2017-07-26 숭실대학교산학협력단 Apparatus for processing network packet using service function chaining and Method for controlling the same
JP2020031369A (en) * 2018-08-23 2020-02-27 株式会社リコー Communication terminal, communication system, log data transmission method, and program
JP7176296B2 (en) 2018-08-23 2022-11-22 株式会社リコー Communication terminal, communication system, log data transmission method, program

Also Published As

Publication number Publication date
JP6008406B2 (en) 2016-10-19

Similar Documents

Publication Publication Date Title
US10498744B2 (en) Integrity monitoring in a local network
US10482242B2 (en) System and method for performing event inquiries in a network
CN106796635B (en) Determining device determines method
CN103150509B (en) A kind of virus detection system based on virtual execution
EP2560120B1 (en) Systems and methods for identifying associations between malware samples
CN106997367B (en) Program file classification method, classification device and classification system
US20120311709A1 (en) Automatic management system for group and mutant information of malicious codes
US10970391B2 (en) Classification method, classification device, and classification program
US9680857B1 (en) Cyber intelligence clearinghouse
US20130111018A1 (en) Passive monitoring of virtual systems using agent-less, offline indexing
US20180196861A1 (en) Method for generating graph database of incident resources and apparatus thereof
CN104572085A (en) Method and device for analyzing application program
CN110362994A (en) Detection method, equipment and the system of malicious file
KR20180079434A (en) Virus database acquisition methods and devices, equipment, servers and systems
KR101783298B1 (en) Method for creating and managing node information from input data based on graph database and server using the same
US10121150B2 (en) Compliance as a service for an organization
JP6008406B2 (en) Log management method, log management system, log management apparatus, and log management program
KR102128008B1 (en) Method and apparatus for processing cyber threat information
KR101625890B1 (en) Test automation system and test automation method for detecting change for signature of internet application traffic protocol
CN106060025A (en) Automatic application classification method and automatic application classification device
CN106101061A (en) The automatic classification method of rogue program and device
KR20130068421A (en) System for generating overall information for malicious code and management system for the same
US11977642B2 (en) Information processing device, information processing method and computer readable medium
US8984157B2 (en) Network analysis in a file transfer system
CN115270136A (en) Binary group-based vulnerability clone detection system and method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150901

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151029

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160329

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160623

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160705

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160907

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160908

R150 Certificate of patent or registration of utility model

Ref document number: 6008406

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150