JP2017182160A - Monitoring control program, monitoring control system and monitoring control method - Google Patents
Monitoring control program, monitoring control system and monitoring control method Download PDFInfo
- Publication number
- JP2017182160A JP2017182160A JP2016063824A JP2016063824A JP2017182160A JP 2017182160 A JP2017182160 A JP 2017182160A JP 2016063824 A JP2016063824 A JP 2016063824A JP 2016063824 A JP2016063824 A JP 2016063824A JP 2017182160 A JP2017182160 A JP 2017182160A
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- virtual machine
- user
- risk value
- monitoring interval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、監視制御プログラム,監視制御装置および監視制御方法に関する。 The present invention relates to a monitoring control program, a monitoring control apparatus, and a monitoring control method.
PC(Personal Computer)からの情報漏えいリスク対策として、組織内のユーザが各々のPCで行なった操作をログとして記録・保管・分析することが行なわれている。 As measures against risk of information leakage from PCs (Personal Computers), operations performed by users in an organization on each PC are recorded, stored, and analyzed as a log.
ここで、ログの対象となる「ユーザがPCで行なった操作」とは、例えば、USB(Universal Serial Bus)ストレージへの書き込み,メール送信,ファイルサーバへのアクセス,ファイル更新等である。 Here, the “operation performed by the user on the PC” as a log target includes, for example, writing to a USB (Universal Serial Bus) storage, mail transmission, access to a file server, file update, and the like.
また、ネットワーク機器の管理や監視を行なうミドルウェア製品において、情報漏えいを防止するために、PCにエージェントを導入して、操作ログを自動で収集して記録し、また、特定操作の禁止等を行なうものがある。 Also, in middleware products that manage and monitor network devices, in order to prevent information leakage, an agent is installed on the PC, and operation logs are automatically collected and recorded, and specific operations are prohibited. There is something.
このようなミドルウェア製品においては、例えば、エージェントが収集した情報をネットワークを通じて管理サーバに送信し、この管理サーバが、受信した情報をデータベースに格納することより、操作ログの一元管理機能を提供する。 In such a middleware product, for example, information collected by an agent is transmitted to a management server via a network, and the management server provides a unified management function of operation logs by storing the received information in a database.
例えば、ミドルウェア製品の運用管理ソフトウェアにおいては、定期的に(例えば、0.5秒間隔で)デスクトップ監視処理を実行して、PCのデスクトップ上のアクティブウィンドウについての情報(例えば、タイトル,アプリケーション,URL:Uniform Resource Locator)を記録する。 For example, in the operation management software of middleware products, desktop monitoring processing is executed periodically (for example, at intervals of 0.5 seconds), and information about active windows on the desktop of the PC (for example, title, application, URL) : Uniform Resource Locator).
このデスクトップ監視処理においては、具体的には、先ず、デスクトップ上における現在のアクティブなウィンドウを特定し、このアクティブウィンドウのタイトル、アプリケーション、URLを取得する。そして、取得した情報が前回取得した情報と同じであるかを照合する。照合の結果、取得した情報が前回の取得時と異なる場合にはその情報を記録し、同じである場合には取得した情報を無視する。 In this desktop monitoring process, specifically, first, a currently active window on the desktop is specified, and the title, application, and URL of this active window are acquired. Then, it is verified whether the acquired information is the same as the previously acquired information. As a result of collation, when the acquired information is different from the previous acquisition, the information is recorded, and when it is the same, the acquired information is ignored.
なお、上述したデスクトップ監視処理を定期的に行なう理由は、アクティブウィンドウはユーザの操作(起動/切替/移動/終了)によって不定期に状態が変化するからである。 The reason why the desktop monitoring process described above is periodically performed is that the state of the active window changes irregularly depending on the user's operation (start / switch / move / end).
また、このようなデスクトップ監視処理には、1つのデスクトップあたり目安として常時3%程度のCPU使用率を消費する。 Further, such desktop monitoring processing always consumes a CPU usage rate of about 3% as a guide for each desktop.
従来のコンピュータシステムにおいては、1人のユーザが1台の物理マシンを占有しており、このユーザが使用しているソフトウェアでCPUを占有できる状態であったので、デスクトップ監視処理にCPUの3%を常時使用しても影響は問題視されなかった。 In the conventional computer system, one user occupies one physical machine, and the software used by the user can occupy the CPU, so 3% of the CPU is used for desktop monitoring processing. The effect was not regarded as a problem even if it was always used.
しかしながら、近年では、仮想化技術の発展により、1台の物理マシンのリソースを複数の仮想マシンで共有する環境等が登場した。そのような環境において、従来のデスクトップ監視処理ではCPU枯渇による性能問題が発生する。 However, in recent years, with the development of virtualization technology, an environment in which the resources of one physical machine are shared by a plurality of virtual machines has appeared. In such an environment, a performance problem due to CPU exhaustion occurs in the conventional desktop monitoring process.
例えば、コア数が10(10コア)のサーバ上で80台の仮想マシンが稼動しているシステムであって、1コアあたり8台の仮想マシンの処理を担当する場合を想定する。このようなシステムで仮想マシン1台のデスクトップ監視のためにCPUの3%を常時使用すると、サーバ上の1コアあたりデスクトップ監視のためだけに、常時CPUの24%が消費されることになる。その結果、通常の業務に割り当てられる共有CPUが圧迫される。 For example, assume a system in which 80 virtual machines are operating on a server having 10 cores (10 cores) and is in charge of processing of 8 virtual machines per core. In such a system, when 3% of the CPU is constantly used for desktop monitoring of one virtual machine, 24% of the CPU is always consumed only for desktop monitoring per core on the server. As a result, the shared CPU that is allocated to normal work is under pressure.
なお、デスクトップ監視処理によるCPU負荷を軽減するために、単純に監視間隔を長くすると、共有CPUの圧迫は軽減されるものの、アクティブウィンドウ情報を適切に記録できず、セキュリティリスクが増大する。 Note that if the monitoring interval is simply increased in order to reduce the CPU load due to the desktop monitoring process, although the pressure on the shared CPU is reduced, the active window information cannot be properly recorded and the security risk increases.
そのため、仮想マシンで行なわれる通常業務処理を妨害しないように共有CPUを圧迫しないデスクトップ監視処理を行なうことと、ユーザの操作・結果を効果的に記録することでセキュリティリスクに備えるという、相反する要件の両立が求められている。 Therefore, conflicting requirements to prepare for security risks by performing desktop monitoring processing that does not compress the shared CPU so as not to interfere with normal business processing performed in the virtual machine and effectively recording user operations and results Is required.
1つの側面では、本発明は、セキュリティレベルを高く維持しつつ、CPU負荷を軽減できるようにすることを目的とする。 In one aspect, an object of the present invention is to reduce a CPU load while maintaining a high security level.
このため、この監視制御プログラムは、仮想マシンに対して利用端末で行なわれる操作を監視する監視処理を実行する監視制御プログラムにおいて、プロセッサの使用率が基準を満たした場合に、当該プロセッサが割り当てられた仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンに関する前記監視処理の実行頻度を低下させる処理をコンピュータに実行させる。 For this reason, this monitoring control program is assigned to a processor when the usage rate of the processor satisfies a criterion in the monitoring control program for executing a monitoring process for monitoring an operation performed on the user terminal on the virtual machine. The computer is caused to execute a process for reducing the execution frequency of the monitoring process related to at least one of the virtual machines included in the virtual machine group.
一実施形態によれば、セキュリティレベルを高く維持しつつ、CPU負荷を軽減できる。 According to one embodiment, the CPU load can be reduced while maintaining a high security level.
以下、図面を参照して本監視制御プログラム,監視制御装置および監視制御方法に係る実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形(実施形態及び各変形例を組み合わせる等)して実施することができる。又、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。 Hereinafter, embodiments of the monitoring control program, the monitoring control apparatus, and the monitoring control method will be described with reference to the drawings. However, the embodiment described below is merely an example, and there is no intention to exclude application of various modifications and techniques not explicitly described in the embodiment. In other words, the present embodiment can be implemented with various modifications (combining the embodiments and modifications) without departing from the spirit of the present embodiment. Each figure is not intended to include only the components shown in the figure, and may include other functions.
(A)構成
図1は実施形態の一例としてのコンピュータシステム1の構成を模式的に示す図、図2はそのハードウェア構成図である。
(A) Configuration FIG. 1 is a diagram schematically illustrating a configuration of a
また、図3は実施形態の一例としてのコンピュータシステム1の管理サーバ2の機能図、図4は、その仮想環境サーバ3の機能構成図である。
FIG. 3 is a functional diagram of the
なお、便宜上、図3中には、管理サーバ2の機能に加えて、仮想環境サーバ3の一部の機能も図示しており、図4中には仮想環境サーバ3の機能に加えて、管理サーバ2の一部の機能も図示している。
For the sake of convenience, FIG. 3 also shows some functions of the
図1に示すコンピュータシステム1は、管理サーバ2,仮想環境サーバ3,管理者端末101および、1つ以上のユーザ端末102を、ネットワーク50を介して相互に接続して構成されている。
A
本コンピュータシステム1は、仮想環境サーバ3が提供する仮想的な計算機環境、すなわち、仮想マシン301を、ユーザがユーザ端末102を介して利用する。
In the
(a)管理者端末およびユーザ端末
管理者端末101は、システム管理者等が使用するコンピュータであり、図示しないプロセッサとメモリとを備え、プロセッサがプログラムを実行することで種々の機能を実現する。システム管理者は、この管理者端末101を用いて、管理サーバ2や仮想環境サーバ3に対する設定操作等を行なう。
(A) Administrator terminal and user terminal The
例えば、システム管理者は、管理者端末101を介して、後述するセキュリティポリシー202や監視設定201を入力する。
For example, the system administrator inputs a
ユーザ端末102は、ユーザが使用するコンピュータであり、図示しないプロセッサとメモリとを備え、プロセッサがプログラムを実行することで種々の機能を実現する。
The
ユーザ端末102は、ネットワーク50を介して仮想環境サーバ3に接続し、この仮想環境サーバ3において提供される仮想マシン301にアクセスして、各種処理を実行する。すなわち、ユーザ端末102は仮想マシン301に対する操作を行なう利用端末に相当する。
The
ユーザ端末102は、デスクトップに同時に複数のウィンドウを表示できるマルチウィンドウ機能を有する。ユーザは、このユーザ端末102のデスクトップに表示されたウィンドウを介して、種々の入出力処理を行なう。
The
また、後述する仮想環境サーバ3のログ収集部31(図4参照)は、デスクトップ監視処理等を実行し、このユーザ端末102のデスクトップを監視し、また、デスクトップ等において行なわれた処理等の記録を収集する。
Further, the log collection unit 31 (see FIG. 4) of the
(b)管理サーバ
管理サーバ2は、サーバ機能を有するコンピュータ(サーバコンピュータ,情報処理装置)であり、仮想環境サーバ3の各種管理を行なう。
(B) Management Server The
管理サーバ2は、図2に示すように、CPU13,メモリ14および記憶装置15を備える。
As shown in FIG. 2, the
なお、図2に例示するコンピュータシステム1においては、便宜上、管理サーバ2,仮想環境サーバ3,管理者端末101およびユーザ端末102のそれぞれにおいて、マウスやキーボード等の入力装置や、表示装置の図示を省略している。また、コンピュータシステム1には、これら以外の装置を備えてもよい。
In the
また、管理サーバ2,仮想環境サーバ3,管理者端末101およびユーザ端末102のそれぞれが、これら以外の機器を備えてもよい。
In addition, each of the
メモリ14はROM(Read Only Memory)及びRAM(Random Access Memory)を含む記憶メモリである。メモリ14のROMには、ソフトウェアプログラム(監視制御プログラム)やこのプログラム用のデータ類が書き込まれている。メモリ14上のソフトウェアプログラムは、CPU13に適宜読み込まれて実行される。又、メモリ14のRAMは、一次記憶メモリあるいはワーキングメモリとして利用される。
The
記憶装置15は、ハードディスクドライブ(Hard disk drive:HDD)、SSD(Solid State Drive)、ストレージクラスメモリ(Storage Class Memory:SCM)等の記憶装置であって、種々のデータを格納するものである。
The
また、記憶装置15の記憶領域には、ログ25,仮想マシンCPU情報26,仮想マシングループ情報27,禁止操作リスク値情報28,仮想マシン利用者情報29,セキュリティポリシー202,禁止操作実行履歴251および監視設定201が格納される(図3参照)。
The storage area of the
ログ25は、本コンピュータシステム1においてユーザがユーザ端末102を用いて行なった操作等に関するログ(履歴,記録)であり、例えば、ユーザ操作ログ25aやプロセス監視ログ25bおよびデスクトップ監視ログ25c等が含まれる。
The
以下、仮想マシン301において、ユーザ端末102を用いて行なわれた操作等に関するログを収集することを、監視するという場合がある。
Hereinafter, in the
図5〜図7は実施形態の一例としてのコンピュータシステム1において収集されるログを例示する図であり、図5はユーザ操作ログ25aを例示する図、図6はプロセス稼動監視ログ25bを例示する図、図7はウィンドウタイトル監視ログ25cを例示する図である。
5 to 7 are diagrams illustrating logs collected in the
ユーザ操作ログ25aは、ユーザがユーザ端末102のマウスやキーボード等の図示しない入力デバイスを用いて行なった各種操作についてのログである。図5に示すように、ユーザ操作ログ25aは、例えば、操作時間,操作内容,操作対象および処理時間等を含む。
The
プロセス稼動監視ログ25bは、仮想マシン301において実行されたプロセスについてのログである。図6に示すように、プロセス稼動監視ログ25bは、例えば、操作日時,操作内容,操作対象,アプリケーションおよびプロセスID(identification)を含む。
The process
ウィンドウタイトル監視ログ25cは、ユーザ端末102のデスクトップに開かれたウィンドウ(図示省略)において実行された処理に関するログである。ウィンドウタイトル監視ログは、図7に示すように、操作日時,ウィンドウタイトルおよびプロセスIDを含む。
The window
これらのログ25a〜25cは、後述する仮想環境サーバ3のエージェント30のログ収集部31によって各仮想マシン301において収集され、各仮想マシン301から後述する基本サーバ機能部24がそれぞれ収集し、ログ25として格納される。
These
本コンピュータシステム1においては、このログ25として格納された各種情報が、保管/分析され、ユーザ端末102等からの情報漏えいリスク対策に役立てられる。
In the
仮想マシンCPU情報26は、後述する仮想環境サーバ3に備えられた各CPU10−1〜10−4のCPU使用率である。これらのCPU使用率は、後述するCPU状況確認部21によって収集される。
The virtual
図8は実施形態の一例としてのコンピュータシステム1において仮想マシンCPU情報26を例示する図である。この図8に示すように、仮想マシンCPU情報26においては、CPU10−1〜10−4を特定するための識別情報(CPU ID)に対して、CPU使用率が対応付けられている。
FIG. 8 is a diagram illustrating virtual
以下、仮想環境サーバ3に備えられたCPUを示す符号としては、複数のCPUのうち1つを特定する必要があるときには符号10−1〜10−4を用いるが、任意のCPUを指すときには符号10を用いる。
Hereinafter, as reference numerals indicating CPUs provided in the
仮想マシングループ情報27は、仮想マシングループ(仮想マシン群)を管理する情報である。本コンピュータシステム1の仮想環境サーバ3において、一のCPU10が複数の仮想マシン301を実現する場合に、この同じCPU10によって実現される複数の仮想マシン301を仮想マシングループという。
The virtual
図9は、実施形態の一例としてのコンピュータシステム1における仮想マシングループ情報27を例示する図である。仮想マシングループ情報27は、図9に示すように、マシン名,IP(Internet Protocol)アドレス,割当てCPUおよびグループを相互に関連付けて構成されている。
FIG. 9 is a diagram illustrating virtual
ここで、マシン名は仮想マシン301を特定するための識別情報である。IPアドレスは仮想マシン301にアクセスするためのIPアドレスである。割当てCPUは、その仮想マシン301を実現するCPU10のCPU IDである。また、グループは仮想マシングループを特定する識別情報である。
Here, the machine name is identification information for specifying the
この図9に示す例においては、マシン名“VM001”,“VM002”および“VM003”の3つの仮想マシン301が、CPU ID“cpu001”で特定されるCPU10によって実現されている。
In the example shown in FIG. 9, three
また、マシン名“VM004”および“VM005”の2つの仮想マシン301が、CPU ID“cpu002”で特定されるCPU10によって実現されている。
Further, two
本コンピュータシステム1においては、同じCPU10によって実現される複数の仮想マシン301を同じ仮想マシングループとする。
In the
例えば、図9に示す例において、CPU ID“cpu001”のCPU10で実行される“VM001”,“VM002”および“VM003”の3つの仮想マシン10が、同じ仮想マシングループとして取り扱われ、共通の仮想マシングループID“1”が設定されている。
For example, in the example shown in FIG. 9, three
禁止操作実行履歴251は、個々のユーザについて、情報セキュリティの観点から禁止されている操作(禁止操作)を行なった日(禁止操作実行日)を管理する情報である。
The prohibited
図10は実施形態の一例としてのコンピュータシステム1における禁止操作実行履歴251を例示する図である。
FIG. 10 is a diagram illustrating a prohibited
禁止操作実行履歴251は、図10に示すように、ユーザIDに禁止操作実行日を対応付けて構成されている。
As shown in FIG. 10, the prohibited
禁止操作実行履歴251は、後述する利用者評価部23が、ログ25から禁止操作が実行された履歴を抽出することにより作成される。
The prohibited
禁止操作リスク値情報28は、個々のユーザについて、情報セキュリティの観点から設定されたリスクを示す情報である。
The prohibited operation
図11は実施形態の一例としてのコンピュータシステム1における禁止操作リスク値情報28を例示する図である。
FIG. 11 is a diagram exemplifying prohibited operation
禁止操作リスク値情報28は、図11に示すように、ユーザIDに禁止操作リスク値を対応付けて構成されている。
As shown in FIG. 11, the prohibited operation
ユーザIDはユーザを特定するための識別情報である。禁止操作リスク値は、ユーザの操作実績に基づいて情報セキュリティの観点から設定されたリスクを数値で表す評価値である。図11に示す例においては、禁止操作リスク値として1〜3のいずれかの整数が用いられ、数値が大きいほど、情報セキュリティの観点から禁止されている操作(禁止操作)を行なうリスクが高いことを示す。すなわち、禁止操作リスク値の1が低リスクを、2が中リスクを、3が高リスクを、それぞれ示す。 The user ID is identification information for specifying the user. The prohibited operation risk value is an evaluation value that expresses a risk that is set from the viewpoint of information security based on the user's operation results. In the example shown in FIG. 11, any integer of 1 to 3 is used as the prohibited operation risk value, and the larger the value, the higher the risk of performing an operation (prohibited operation) that is prohibited from the viewpoint of information security. Indicates. That is, a prohibited operation risk value of 1 indicates a low risk, 2 indicates a medium risk, and 3 indicates a high risk.
この禁止操作リスク値情報28は、後述する利用者評価部23によって設定、更新される。
The prohibited operation
仮想マシン利用者情報29は、仮想マシン301を利用しているユーザを管理する情報である。
The virtual
図12は実施形態の一例としてのコンピュータシステム1における仮想マシン利用者情報29を例示する図である。
FIG. 12 is a diagram illustrating virtual
仮想マシン利用者情報29は、図12に示すように、マシン名にユーザIDを対応付けて構成されている。
As shown in FIG. 12, the virtual
マシン名は仮想マシン301を特定するための情報であり、このマシン名によって特定される仮想マシン301を利用しているユーザのユーザIDが、このマシン名に対応付けて登録される。
The machine name is information for specifying the
本コンピュータシステム1においては、ユーザがユーザ端末102を用いて仮想環境サーバ3にログインを行なうことで、一つの仮想マシン301が新たに形成される。すなわち、ユーザと仮想マシン301とが1対1で対応しており、一つの仮想マシン301を複数のユーザが使用することは想定していないものとする。
In the
セキュリティポリシー202は、本コンピュータシステム1における情報セキュリティに関する基本方針を規定した情報である。
The
このセキュリティポリシー202には、利用者情報に関するセキュリティポリシー202a,操作に関するセキュリティポリシー202bおよびアクセス先に関するセキュリティポリシー202cが含まれる。
The
図13〜図15は、それぞれ実施形態の一例としてのコンピュータシステム1におけるセキュリティポリシー202を例示する図である。なお、図13は利用者情報に関するセキュリティポリシー202aを、図14は操作に関するセキュリティポリシー202bを、図15はアクセス先に関するセキュリティポリシー202cを、それぞれ示す。
13 to 15 are diagrams each illustrating a
利用者情報に関するセキュリティポリシー202aは、ユーザに対してその所属や権限(利用者情報)に基づいて情報セキュリティの観点から設定されたリスクを示す。
The
このセキュリティポリシー202aは、図13に示すように、ユーザIDに対して、所属,役職および役職リスク値を対応付けて構成されている。
As shown in FIG. 13, this
ここで役職リスク値は、ユーザの所属や役職等に基づいて情報セキュリティの観点から設定されたリスクを数値で表す評価値である。すなわち、役職リスク値はユーザ端末102のユーザのユーザ権限に応じて設定される。
Here, the post risk value is an evaluation value that expresses the risk set from the viewpoint of information security based on the user's affiliation, post, etc., as a numerical value. That is, the post risk value is set according to the user authority of the user of the
システム管理者等は、ユーザの業務内容や役職、扱うデータ等を鑑み、ユーザ毎に予めリスク値(役職リスク値,ユーザ権限リスク値)をセキュリティポリシー202aとして設定しておく。すなわち、ユーザ毎に、ユーザの役職等の利用者情報に応じた役職リスク値が予め設定されている。
A system administrator or the like sets a risk value (position risk value, user authority risk value) as a
図13に示す例においては、役職リスク値として1〜3の整数が用いられ、数値が大きいほど、情報セキュリティの観点から取り扱う情報の重要度や機密性が高くリスクが高いことを示す。すなわち、役職リスク値の1が低リスクを、2が中リスクを、3が高リスクを、それぞれ示す。
In the example shown in FIG. 13,
操作に関するセキュリティポリシー202bは、ユーザによって行なわれる各種操作についての実行の可否等を所属や役職に応じて設定した情報である。
The operation-related
このセキュリティポリシー202bは、図14に示すように、操作内容(操作)に対して、禁止,所属および役職の各項目を対応付けて構成されている。
As shown in FIG. 14, the
項目“禁止”には禁止または注意のいずれかが登録されており、当該セキュリティポリシー202bに設定された所属と役職との組合せのユーザに、その操作が禁止されている、もしくは、その操作が行なされる際に何らかの注意(警告)が出力されることを示す。
In the item “prohibited”, either prohibition or caution is registered, and a user with a combination of affiliation and title set in the
アクセス先に関するセキュリティポリシー202cは、ユーザがユーザ端末102を用いて仮想マシン301に対してデータアクセスを行なう際のアクセス先に対して、情報セキュリティの観点から設定されたリスクを示す。
The
このセキュリティポリシー202cは、図15に示すように、アクセス先に対して、アクセス先リスク値を対応付けて構成されている。
As shown in FIG. 15, the
図15に示す例においては、アクセス先として外部インターネット,企業内イントラネットおよび自端末内が示されている。アクセス先リスク値は、アクセス先について情報セキュリティの観点から設定されたリスクを数値で表す評価値である。 In the example shown in FIG. 15, the external Internet, the corporate intranet, and the own terminal are shown as access destinations. The access destination risk value is an evaluation value that represents the risk set for the access destination from the viewpoint of information security.
図15に示す例においては、アクセス先リスク値として1〜3の整数が用いられ、数値が大きいほど、情報セキュリティの観点からデータアクセスを行なう際のリスクが高いことを示す。すなわち、アクセス先リスク値の1が低リスクを、2が中リスクを、3が高リスクを、それぞれ示す。 In the example shown in FIG. 15, an integer of 1 to 3 is used as the access destination risk value, and the larger the value, the higher the risk when performing data access from the viewpoint of information security. That is, an access destination risk value of 1 indicates a low risk, 2 indicates a medium risk, and 3 indicates a high risk.
なお、セキュリティポリシー202cはこの図15に例示したものに限定されるものではなく、適宜変更して実施することができる。例えば、アクセス対象のデータが自端末にあっても取り扱いに注意が必要なファイルがあるので、このような場合にはより詳細な設定を行なってもよい。例えば、マイナンバーのような機密情報に関するデータについては、アクセス先が企業内イントラネット内であってもアクセス先リスク値を3としてもよい。
Note that the
監視設定201は、本コンピュータシステム1のユーザ端末102において行なわれる操作等のログ収集、すなわち、監視を行なうための各種設定である。
The monitoring setting 201 is various settings for collecting logs such as operations performed at the
本コンピュータシステム1においては、仮想マシン301のエージェント30のログ収集部31が監視設定201に従ってログ収集(監視)を行なう。
In the
この監視設定201には、監視間隔についての監視設定201aとCPU閾値についての監視設定201bとが含まれる。
This monitoring setting 201 includes a
図16および図17は、それぞれ実施形態の一例としてのコンピュータシステム1における監視設定201を例示する図である。なお、図16は監視間隔についての監視設定201aを、図17はCPU閾値についての監視設定201bを、それぞれ示す。
FIGS. 16 and 17 are diagrams each illustrating a monitoring setting 201 in the
監視間隔についての監視設定201aは、後述する仮想環境サーバ3の仮想マシン301において、ログ収集部31がユーザ端末102において行なわれる操作等のログ収集(監視)を行なう間隔を規定する。
The
この監視設定201aは、図16に示すように、監視間隔に対して時間(秒)を対応付けて構成されている。
As shown in FIG. 16, the
図16に示す例においては、監視間隔には最大値(監視間隔最大値)と最小値(監視間隔最小値)とがあり、最大値が10秒、最小値が0.5秒である。 In the example shown in FIG. 16, the monitoring interval has a maximum value (maximum monitoring interval value) and a minimum value (minimum monitoring interval value), the maximum value being 10 seconds and the minimum value being 0.5 seconds.
本コンピュータシステム1においては、ログ収集部31は、基本的に、監視設定201aの最小値の間隔(0.5秒間隔)で、ログ収集を行なう。また、ログ収集部31は、後述する監視間隔再設定指示部22により、仮想マシン301のエージェントにログ収集間隔を変更するように指示を受けると、この最小値の間隔よりも長い間隔でログ収集を行なう。
In the
ログ収集部31による監視間隔(ログ収集間隔)は、例えば段階的に長くしてもよいが、最大値の間隔(10秒間隔)を超えることがないものとする。
The monitoring interval (log collection interval) by the
ログ収集間隔を長くすることで、仮想マシン301におけるログ収集回数を減少させ、ログ収集にかかる負荷を軽減することができるのである。
By extending the log collection interval, the number of log collections in the
なお、監視間隔についての監視設定201aは、図16に例示したものに限定されず、種々変形して実施することができる。例えば、図16に示す例において、監視間隔の最小値と最大値とは、0.5秒と10秒に限定されるものではなく、それぞれ他の値であってもよい。
Note that the
また、例えば、ユーザのリスク度に応じて監視間隔に幅を持たせてもよい。例えば、高リスクなユーザに対しては0.5〜2.0秒の範囲で監視間隔を設定し、中リスクなユーザに対しては、0.5〜10.0秒の、また、低リスクなユーザに対しては0.5〜15秒の範囲で監視間隔をそれぞれ設定してもよい。 Further, for example, the monitoring interval may be widened according to the risk level of the user. For example, the monitoring interval is set in the range of 0.5 to 2.0 seconds for high-risk users, and 0.5 to 10.0 seconds for low-risk users. For a simple user, the monitoring interval may be set in the range of 0.5 to 15 seconds.
また、管理サーバ2のCPU使用状況確認部21は、上述した監視間隔(監視間隔最小値)で仮想環境管理マシン302に対してCPU使用率および仮想マシングループ情報27を問い合わせる。
Further, the CPU usage
CPU閾値についての監視設定201bは、後述する監視間隔再設定指示部22がCPU10の過負荷が切迫していることを判断するために用いられる閾値(CPU閾値)を規定する。
この監視設定201bは、CPU閾値としてCPUの使用率が規定されており、図17に示す例においては、70%のCPU使用率が設定されている。
The
In this monitoring setting 201b, a CPU usage rate is defined as a CPU threshold, and in the example shown in FIG. 17, a CPU usage rate of 70% is set.
なお、CPU閾値についての監視設定201bは、図17に例示したものに限定されず、種々変形して実施することができる。例えば、CPU閾値として、何段階かに分けた複数の値を設定することで、仮想マシン301の稼動状況に即した運用を行なうことができる。
Note that the monitoring setting 201b for the CPU threshold is not limited to that illustrated in FIG. 17 and can be implemented with various modifications. For example, by setting a plurality of values divided into several stages as the CPU threshold value, it is possible to perform an operation according to the operation status of the
CPU13は、種々の制御や演算を行なう処理装置であり、メモリ14に格納されたOS(Operating System)やプログラムを実行することにより、種々の機能を実現する。
The
そして、CPU13が、制御プログラムを実行することにより、図3に示すように、CPU使用状況確認部21,監視間隔再設定指示部22,利用者評価部23および基本サーバ機能部24として機能する。
Then, when the
なお、これらのCPU使用状況確認部21,監視間隔再設定指示部22,利用者評価部23および基本サーバ機能部24としての機能を実現するためのプログラム(監視制御プログラム)は、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW,HD DVD等),ブルーレイディスク,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
Note that a program (monitoring control program) for realizing the functions as the CPU usage
CPU使用状況確認部21は、仮想環境サーバ3の仮想環境管理マシン302に、仮想環境サーバ3の各CPU10のCPU負荷を問い合わせて取得する。
The CPU usage
CPU使用状況確認部21は、取得した各CPU10のCPU負荷の値を、そのCPU10のCPU IDに対応づけて、仮想マシンCPU情報26に格納する。
The CPU usage
また、CPU使用状況確認部21は、取得した各CPU10のCPU負荷の値を、監視設定201bに登録されたCPU閾値と比較する。この比較の結果、CPU10のCPU負荷がCPU閾値よりも高い場合に、CPU使用状況確認部21は、このCPU10の過負荷が切迫していると判断して、監視間隔再設定指示部22に対して過負荷が発生している旨の通知を行なう。
Further, the CPU usage
監視間隔再設定指示部22は、仮想環境サーバ3の仮想マシン301の監視間隔調整部35に、ログ収集部31によるログ収集間隔(監視間隔)の変更を指示する監視間隔変更指示を送信する。
The monitoring interval reset
また、監視間隔再設定指示部22は、監視間隔変更指示とともに、監視間隔を示す情報(監視間隔情報)を通知する。
In addition, the monitoring interval reset
監視間隔情報としては、例えば、監視間隔を長くさせる監視間隔延長指示や、監視間隔を短くさせる監視間隔短縮指示であってもよい。また、監視間隔情報として、監視間隔を監視設定201a(図16参照)の最小値とさせる監視間隔最小指示や、監視設定201a(図16参照)の最大値とさせる監視間隔最大指示であってもよい。 The monitoring interval information may be, for example, a monitoring interval extension instruction that lengthens the monitoring interval or a monitoring interval reduction instruction that shortens the monitoring interval. Further, the monitoring interval information may be a monitoring interval minimum instruction for setting the monitoring interval to the minimum value of the monitoring setting 201a (see FIG. 16) or a monitoring interval maximum instruction for setting the maximum value of the monitoring setting 201a (see FIG. 16). Good.
また、監視間隔延長指示や監視間隔短縮指示においては、例えば、“−10%”や“+20%”のような短縮量や延長量を示す値を送信してもよい。 In addition, in the monitoring interval extension instruction or the monitoring interval reduction instruction, for example, a value indicating a reduction amount or an extension amount such as “−10%” or “+ 20%” may be transmitted.
後述する監視間隔調整部35(第1監視間隔調整部351)は、監視間隔変更指示および監視間隔情報を受信すると、監視間隔情報に従って、ログ収集部31による監視間隔を変更する。
When receiving a monitoring interval change instruction and monitoring interval information, the monitoring interval adjustment unit 35 (first monitoring interval adjustment unit 351) described later changes the monitoring interval by the
監視間隔再設定指示部22は、CPU使用状況確認部21における確認の結果、CPU10使用率が閾値以下である場合、すなわち、CPU10において過負荷が発生している場合に、仮想マシン301(監視間隔調整部25)に、監視間隔を長くさせる監視間隔延長指示や監視間隔最大指示を送信する。これにより、仮想マシン301を実現するCPU10の負荷を軽減することができる。
As a result of confirmation by the CPU usage
ただし、監視間隔再設定指示部22は、仮想マシン301が高リスクの状態である場合には、上記にかかわらず、監視間隔最小指示を通知する。これにより、高リスクの状態にある仮想マシン301のログの取得頻度を高くして、セキュリティリスクに備えることができる。
However, when the
基本サーバ機能部24は、仮想環境サーバ3の仮想マシン301のエージェント30から、そのログ収集部31によって収集されたログを収集し、ログ25に格納する。
The basic
また、基本サーバ機能部24は、セキュリティポリシー202や監視設定201を各仮想マシン301に通知する。
In addition, the basic
なお、これらの基本サーバ機能部24としての機能は、既知の手法を用いて実現することができ、その説明は省略する。
Note that these functions as the basic
利用者評価部23は、基本サーバ機能部24によって収集されたログ25に基づいて、ユーザについての禁止操作リスク値を決定する。
The
この利用者評価部23は、ログ25から禁止操作が実行された履歴を抽出し、禁止操作実行履歴251を作成する。
The
そして、利用者評価部23は、作成した禁止操作実行履歴251に基づいて、各ユーザが禁止操作を実行した回数(禁止操作実行回数)をそれぞれ計数する。
The
利用者評価部23は、ユーザが行なった禁止操作実行回数に基づいて、禁止操作リスク値を決定する。例えば、利用者評価部23は、所定期間(例えば、直近1か月間)における禁止操作実行回数が多い順に全ユーザを並べ、それらの上位1/3を高リスク(禁止操作リスク値=3)とし、それらの下位1/3を低リスク(禁止操作リスク値=1)とする。また、これら以外の中間順位の1/3を中リスク(禁止操作リスク値=2)とする。
The
従って、禁止操作リスク値は、ユーザの操作履歴(操作実績)に基づいて設定されるセキュリティリスク値である。 Therefore, the prohibited operation risk value is a security risk value set based on the user's operation history (operation results).
また、利用者評価部23は、決定したユーザの禁止操作リスク値を禁止操作リスク値情報28に登録する。
In addition, the
上述の如く、本コンピュータシステム1においては、ユーザと仮想マシン301とが1対1で対応するので、ユーザ(ユーザID)に対して設定された禁止操作リスク値は、当該ユーザが利用する仮想マシン301の禁止操作リスク値に相当する。
As described above, in this
なお、利用者評価部23による禁止操作リスク値の決定方法の詳細は、図25を用いて後述する。
Details of a method for determining the prohibited operation risk value by the
(c)仮想環境サーバ
仮想環境サーバ3は、サーバ機能を有するコンピュータ(サーバコンピュータ,情報処理装置)であって、そのハードウェアリソースを論理的に分割することによって、1つ以上の仮想マシン301を提供する。
(C) Virtual environment server The
本実施形態においては、仮想環境サーバ3は複数の仮想マシン301を提供する。
In the present embodiment, the
仮想環境サーバ3は、例えば、ハイパーバイザと呼ばれる制御プログラム(仮想化OS)を実行することで、仮想マシン301を実現する。これにより、仮想環境サーバ3は、複数の仮想マシン301を作成する仮想マシン作成部としての機能を備える。
The
なお、ハイパーバイザによる仮想マシン301の構築方法等は既知であり、その説明は省略する。
Note that the construction method of the
仮想環境サーバ3は、図2に示すように、複数(図2に示す例では4つ)のCPU1010−1〜10−4,メモリ11および記憶装置12を備える。
As illustrated in FIG. 2, the
また、図2に示す例においては、仮想環境サーバ3が4つのCPU10−1〜10−4を備えているが、これに限定されるものではなく、3つ以下、または5つ以上のCPU10を備えてもよい。
In the example illustrated in FIG. 2, the
メモリ11はROM及びRAMを含む記憶メモリである。メモリ11のROMには、ソフトウェアプログラム(制御プログラム)やこのプログラム用のデータ類が書き込まれている。メモリ11上のソフトウェアプログラムは、CPU10−1〜10−4に適宜読み込まれて実行される。又、メモリ11のRAMは、一次記憶メモリあるいはワーキングメモリとして利用される。 The memory 11 is a storage memory including a ROM and a RAM. A software program (control program) and data for the program are written in the ROM of the memory 11. The software program on the memory 11 is appropriately read and executed by the CPUs 10-1 to 10-4. The RAM of the memory 11 is used as a primary storage memory or a working memory.
記憶装置12は、HDD、SSD、SCM等の記憶装置であって、種々のデータを格納するものである。
The
また、記憶装置12の記憶領域には、ログ36,操作履歴37,グループ内順位情報38およびセキュリティリスク値情報39が格納される(図4参照)。
The storage area of the
ログ36は、前述したログ25と同様に、本コンピュータシステム1においてユーザがユーザ端末102を用いて行なった操作等に関するログ(記録)であり、例えば、ユーザ操作ログやプロセス監視ログ、デスクトップ監視ログ等が含まれる。
Similar to the
なお、ログ36として格納される情報は前述したログ25と同様であるので、その説明は省略する。
Note that the information stored as the
このログ収集部36は、ログ収集部31が、自身が実行される仮想マシン301(以下、自仮想マシン301という)において検出された、ユーザ操作ログ,プロセス監視ログおよびデスクトップ監視ログである。
The
操作履歴37は、自仮想マシン301において、ユーザがユーザ端末102を用いて行なった操作の履歴である。
The
図18は実施形態の一例としてのコンピュータシステム1における操作履歴37を例示する図である。
FIG. 18 is a diagram illustrating an
図18に示す例においては、操作履歴37は、操作日時,操作内容,操作対象,アプリケーションおよび時間(秒)の各項目を相互に関連付けて構成されている。ここで、項目“時間”は、操作対象に対して行なわれた操作について、その操作の結果が応答されるまでに要する時間(操作処理時間)を示す。
In the example illustrated in FIG. 18, the
同一の操作対象に対して同一の操作が行なわれた場合には、ほぼ同一の操作処理時間がかかると考えられる。従って、本コンピュータシステム1においては、操作履歴37を参照することで、同じ操作対象に対して同じ操作が行なわれた場合に要する時間を予測することができる。
When the same operation is performed on the same operation target, it is considered that substantially the same operation processing time is required. Therefore, in the
なお、この操作履歴37は、操作履歴作成部33によって作成される
セキュリティリスク値情報39は、後述するセキュリティリスク計算部32によって算出される、仮想マシン301毎のセキュリティリスク値を管理する。
The
セキュリティリスク値は、情報セキュリティの観点から設定されたリスクを数値で表す評価値であり、例えば、数値が大きいほど情報セキュリティ上のリスクが高いことを示す。 The security risk value is an evaluation value that represents a risk set from the viewpoint of information security as a numerical value. For example, the larger the numerical value, the higher the information security risk.
セキュリティリスク値情報39には、自仮想マシン301のセキュリティリスク計算部32(後述)が算出した自仮想マシン301のセキュリティリスク値と、他の仮想マシン301のセキュリティリスク値とが含まれる。
The security risk value information 39 includes the security risk value of the own
なお、他の仮想マシン301のセキュリティリスク値は、後述するエージェント間通信部34が他の仮想マシン301からそれぞれ受信したものである。
Note that the security risk values of the other
グループ内順位情報38は、仮想環境サーバ3において実行される複数の仮想マシン301を、各仮想マシン301に対して決定されたセキュリティリスク値に従って降順に並べ変えることで順位付けした情報である。
The
図19は実施形態の一例としてのコンピュータシステム1におけるグループ内順位情報38を例示する図である。
FIG. 19 is a diagram illustrating the
図19に示す例においては、グループ内順位情報38は、マシン名,順位およびセキュリティリスク値を相互に関連付けて構成されている。
In the example shown in FIG. 19, the in-
このグループ内順位情報38は、同じ仮想マシングループに属する複数の仮想マシン301を、セキュリティリスク値が大きいものから順に降順に並べることで順位が設定されている。
In this
すなわち、グループ内順位情報38は、同じ仮想マシングループに属する複数の仮想マシン301をセキュリティリスク値の値が大きいものから順に並べて示している。
That is, the
CPU10−1〜10−4は、種々の制御や演算を行なう処理装置であり、メモリ11に格納されたOS(Operating System)やプログラムを実行することにより、種々の機能を実現する。これらのCPU10−1〜10−4は互いに同様の構成を有する。 The CPUs 10-1 to 10-4 are processing devices that perform various controls and calculations, and realize various functions by executing an OS (Operating System) and programs stored in the memory 11. These CPUs 10-1 to 10-4 have the same configuration.
本コンピュータシステム1は、複数のCPU10−1〜10−4を備えるマルチプロセッシングシステムである。
The
以下、CPUを示す符号としては、複数のCPUのうち1つを特定する必要があるときには符号10−1〜10−4を用いるが、任意のCPUを指すときには符号10を用いる。
Hereinafter, as reference numerals indicating CPUs, reference numerals 10-1 to 10-4 are used when one of a plurality of CPUs needs to be specified, but
そして、CPU10が、仮想マシン制御プログラムを実行することにより、図4に示すように、仮想環境管理マシン302や仮想マシン301のエージェント30(ログ収集部31,セキュリティリスク計算部32,操作履歴作成部33およびエージェント間通信部34)として機能する。
Then, when the
なお、これらの仮想環境管理マシン302および仮想マシン301(エージェント30)としての機能を実現するためのプログラム(監視制御プログラム)は、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW,HD DVD等),ブルーレイディスク,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
A program (monitoring control program) for realizing the functions as the virtual
仮想環境管理マシン302は、仮想環境サーバ3において、各仮想マシン301の管理を行なう。例えば仮想環境管理マシン302は、各仮想マシン301の稼動状況を監視したり、これらの仮想マシン301を実現するCPU10等のハードウェアリソースの監視を行なう。
The virtual
仮想環境管理マシン302は、このような仮想環境サーバ3におけるハードウェアリソースの管理の一つとして、各CPU10のCPU使用率(CPU負荷)を監視する。仮想環境管理マシン302は、管理サーバ2(CPU使用状況確認部21)からCPU使用率の問合せが行なわれると、管理サーバ2に対して、CPU使用率を応答する。
The virtual
なお、仮想環境管理マシン302は、管理サーバ2(CPU使用状況確認部21)に対して測定したCPU使用率等を定期的もしくは不定期に通知してもよい。例えば、測定したCPU使用率が所定の閾値を超えたことを検知すると、管理サーバ2(CPU使用状況確認部21)に対して通知を行なってもよい。
The virtual
エージェント30は、各仮想マシン301において、各種機能を実現する。図4に示すように、エージェント30は、ログ収集部31,セキュリティリスク計算部32,操作履歴作成部33およびエージェント間通信部34としての機能を備える。
The
ログ収集部31は、ユーザがユーザ端末102を用いて行なった、自仮想マシン301における操作等に関するログを収集する。
The
ログ収集部31は、CPU10の負荷(CPU使用量)が所定の閾値(例えば、70%)を超えていない低負荷状態においては、第1の間隔(例えば、0.5秒間隔)でログ収集を繰り返し行なう。
The
すなわち、ログ収集部31は、仮想マシン301に対してユーザ端末102で行なわれる操作を監視する監視処理を繰り返し行なう監視処理部に相当する。
That is, the
ログ収集部31が収集するログには、例えば、ユーザ操作ログやプロセス監視ログ、デスクトップ監視ログ等が含まれる。
The logs collected by the
ログ収集部31によって収集されたログは、ログ36として記憶装置12やメモリ11のRAMに格納される。
The log collected by the
セキュリティリスク計算部32は、仮想マシン301に関してユーザ端末102から行なわれた操作に基づき、各仮想マシン301についてセキュリティリスク値を算出する。
The security
例えば、セキュリティリスク計算部32は、アクセス範囲に基づくセキュリティリスク値(SR1),ユーザ権限に基づくセキュリティリスク値(SR2)および禁止操作回数に基づくセキュリティリスク値(SR3)、をそれぞれ求め、これらのSR1,SR2およびSR3を合計することでセキュリティリスク値を算出する。
For example, the security
(i)アクセス範囲に基づくセキュリティリスク値(SR1)
セキュリティリスク計算部32は、上述したセキュリティポリシー202c(図15)を参照して、ユーザがユーザ端末102を用いて仮想マシン301に対してデータアクセスを行なう際のアクセス先に応じたセキュリティリスク値(アクセス先リスク値)を決定する。
(I) Security risk value based on access range (SR1)
The security
例えば、ローカルドライブのファイルオープン操作を行なう場合のように、アクセス対象が自端末内にとどまる場合は低リスクであり、セキュリティリスク値(SR1)=1とする。 For example, when the access target stays in the own terminal as in the case of performing a file open operation on the local drive, the risk is low and the security risk value (SR1) = 1.
また、例えば、社内のウェブサーバやファイルサーバのような、アクセス対象が企業イントラネット内にある場合は中リスクであり、セキュリティリスク値(SR1)=2とする。 Further, for example, when the access target is in the corporate intranet, such as an in-house web server or file server, it is a medium risk, and the security risk value (SR1) = 2.
また、社外のウェブサーバやファイルサーバのような、アクセス対象が外部インターネットにある場合は高リスクであり、セキュリティリスク値(SR1)=3とする。 When the access target is on the external Internet, such as an external web server or file server, the risk is high, and the security risk value (SR1) = 3.
(ii)ユーザ権限に基づくセキュリティリスク値(SR2)
セキュリティリスク計算部32は、上述したセキュリティポリシー202a(図13)を参照して、ユーザ端末102を用いてデータアクセスを行なうユーザに対して予め設定されているセキュリティリスク値(役職リスク値)を決定する。
(Ii) Security risk value based on user authority (SR2)
The security
セキュリティポリシー202aにおいては、例えば、役職が高いほど高リスクとなり、また取り扱うデータの機密性が高くなるほど高リスクとなるよう役職リスク値が設定されている。
In the
(iii)禁止操作回数に基づくセキュリティリスク値(SR3)
セキュリティリスク計算部32は、上述した禁止操作リスク値情報28(図11)と仮想マシン利用者情報29(図12)とを参照して、仮想マシン301を利用するユーザに設定された禁止操作リスク値を取得する。すなわち、禁止操作リスク値は、ユーザ端末102のユーザが行なった操作実績に応じた操作実績リスク値である。
(Iii) Security risk value based on the number of prohibited operations (SR3)
The security
そして、セキュリティリスク計算部32は、このユーザに設定された禁止操作リスク値を仮想マシン301のセキュリティリスク値(SR3)とみなす。
Then, the security
なお、本実施形態においては、仮想マシン301を1人のユーザが用いる例を示しているが、仮想マシン301を複数のユーザが用いる場合には、これらの複数のユーザのうち最も禁止操作リスク値が高いユーザの禁止操作リスク値を用いることが望ましい。
In the present embodiment, an example in which one user uses the
(iv)セキュリティリスク値の算出
セキュリティリスク計算部32は、上述の如く決定したセキュリティリスク値SR1,SR2,SR3を合計することで、仮想マシン301毎にセキュリティリスク値をそれぞれ算出する。
(Iv) Calculation of Security Risk Value The security
本コンピュータシステム1においては、このセキュリティリスク値の値が最も小さい仮想マシン301が最もセキュリティリスクが低い仮想マシン301であると考えることができる。
In the
そして、上述したセキュリティリスク計算部32が、情報セキュリティ上のリスクを数値で示すセキュリティリスク値を、仮想マシングループに含まれる各仮想マシン301のそれぞれに設定するセキュリティリスク値設定部に相当する。
The security
操作履歴作成部33は、操作履歴37を作成する。操作履歴作成部33は、例えば、ログ収集部31によって収集されたログ36から、ユーザによって行なわれた操作に関するユーザ操作ログを抽出することにより操作履歴37を作成する。
The operation
エージェント間通信部34は、他の仮想マシン301のエージェント30との間で通信しデータの送受信を実現する。例えば、エージェント間通信部34は、自仮想マシン301のセキュリティリスク計算部32が算出したセキュリティリスク値を、同じ仮想マシングループに属する他の各仮想マシン301に送信する。
The
なお、エージェント間通信部34は、例えば、管理サーバ2の仮想マシングループ情報27を参照することで、同じ仮想マシングループに属する他の各仮想マシン301を知ることができる。
The
エージェント間通信部34は、同じ仮想マシングループに属する他の仮想マシン301からそれぞれ送信される各セキュリティリスク値を受信し、セキュリティリスク値情報39に格納する。
The
また、エージェント間通信部34は、同一仮想マシングループ内の他の仮想マシン301のエージェント30からそれぞれ受信したセキュリティリスク値を用いて、グループ内順位情報38のセキュリティリスク値の値を更新する。また、エージェント間通信部34は、グループ内順位情報38における仮想マシン301の順位を、更新後のセキュリティリスク値に応じて変更する。
Further, the
監視間隔調整部35は、ログ収集部31によって行なわれるログ収集の間隔を変更する。
The monitoring
監視間隔調整部35は、第1監視間隔調整部351および第2監視間隔調整部352を備える。
The monitoring
第1監視間隔調整部351は、管理サーバ2の監視間隔再設定指示部22から監視間隔変更指示を受信すると、ログ収集部31による監視間隔を変更する。
When receiving the monitoring interval change instruction from the monitoring interval resetting
例えば、第1監視間隔調整部351は、監視間隔再設定指示部22から、監視間隔変更指示とともに監視間隔最小指示を受信した場合には、ログ収集部31に対して、監視設定201aの最小値(図16に示す例では0.5秒)毎に監視を行なわせる。
For example, when the first monitoring
また、第1監視間隔調整部351は、監視間隔再設定指示部22から、監視間隔変更指示とともに監視間隔最大指示を受信した場合には、ログ収集部31に対して、監視設定201aの最大値(図16に示す例では10秒)毎に監視を行なわせる。すなわち、監視間隔を疎にする。
Further, when the first monitoring
さらに、第1監視間隔調整部351は、例えば、監視間隔再設定指示部22から監視間隔短縮指示として監視間隔を10%短縮させる(−10%)指示を受信すると、監視間隔が10%短縮されるよう監視間隔を変更する。すなわち、監視間隔を密にする。
Further, for example, when the first monitoring
また、第1監視間隔調整部351は、例えば、監視間隔再設定指示部22から監視間隔短縮指示として監視間隔を10%短縮させる指示を受信すると、この指示に従い、監視間隔を10%短縮させる。すなわち、監視間隔を密にする。
For example, when receiving an instruction to shorten the monitoring interval by 10% as the monitoring interval shortening instruction from the monitoring interval reset
このように、第1監視間隔調整部351は、CPU10の使用率が閾値を超えて基準を満たした場合に、このCPU10が割り当てられた仮想マシングループに含まれる仮想マシン301のうち、少なくともいずれかの仮想マシン301に関する、ログ収集部31による前記監視処理の実行頻度を低下させる、監視頻度変更部に相当する。
As described above, when the usage rate of the
また、第1監視間隔調整部351は、例えば、監視間隔再設定指示部22から監視間隔短縮指示として監視間隔を伸ばす指示を受信すると、監視間隔を段階的に変化させてもよい。
Further, for example, when the first monitoring
例えば、第1監視間隔調整部351は、図16に示す監視設定201aの最大値と最小値との間を複数段階(例えば5段階)に分割する。
For example, the first monitoring
すなわち、第1監視間隔調整部351は、監視間隔の変更量(監視間隔変更量)を以下の式(1)により算出し、この算出された監視間隔変更量だけ監視間隔を変更させる。
That is, the first monitoring
監視間隔変更量={(監視間隔最小値)−(監視間隔最大値)}÷5 ・・・(1)
例えば、監視間隔を上記式(1)により算出した監視間隔変更量だけ伸長させることは、で、監視間隔が疎となり、監視に要するCPU負荷を軽減することができる。また、監視間隔を上記式(1)により算出した監視間隔変更量だけ短縮させることで、監視間隔が密となり、監視回数を増加させることで信頼性を向上させることができる。
Monitoring interval change amount = {(Minimum monitoring interval value) − (Maximum monitoring interval value)} ÷ 5 (1)
For example, by extending the monitoring interval by the monitoring interval change amount calculated by the above equation (1), the monitoring interval becomes sparse and the CPU load required for monitoring can be reduced. Further, by shortening the monitoring interval by the monitoring interval change amount calculated by the above formula (1), the monitoring interval becomes dense, and the reliability can be improved by increasing the number of times of monitoring.
第2監視間隔調整部352は、ユーザがユーザ端末102を介して特定の入力操作を行なった場合に、その入力操作に対して応答がされるまでの時間(応答予測時間)を予測/推定し、この応答予測時間が経過するまでの間、監視を疎にする制御を行なう。
When the user performs a specific input operation via the
図20は実施形態の一例としてのコンピュータシステム1の第2監視間隔調整部352による処理説明するための図である。
FIG. 20 is a diagram for explaining processing by the second monitoring
図20において、符号(A)はCPU使用率の遷移を示す。符号(B)はユーザ端末102における処理を示す。符号(C)はログ収集部31による監視処理の実行タイミングを示す。
In FIG. 20, the symbol (A) indicates the transition of the CPU usage rate. Reference numeral (B) indicates processing in the
ユーザはユーザ端末102において入力操作を行ない(図20の符号P1参照)、この入力操作に対する応答があるまで待機する。 The user performs an input operation on the user terminal 102 (see symbol P1 in FIG. 20) and waits for a response to the input operation.
第2監視間隔調整部352は、ユーザ端末102におけるユーザの一定時間の無操作を検出すると、ユーザから入力された入力操作の内容に基づき、ログ36のユーザ操作ログ(操作履歴37)を確認する。すなわち、何らかの入力操作を行なった後の応答待ちであるかを確認する。
When the second monitoring
確認の結果、応答待ちである場合に、ユーザ操作ログにおいて、過去に同一操作、且つ、同一操作対象の記録がある場合には、応答時間も同じであると予測することができる(図20の符号P2参照)。 As a result of the confirmation, when waiting for a response, if there is a record of the same operation and the same operation target in the past in the user operation log, it can be predicted that the response time is also the same (FIG. 20). (See symbol P2).
そこで、第2監視間隔調整部352は、ユーザ操作ログに記録された、過去の同一操作、且つ、同一操作対象の処理における処理時間(実績処理時間)を取得し、この実績処理時間の間ログ収集部31による監視間隔を広くする(図20の符号P3参照)。
Therefore, the second monitoring
すなわち、第2監視間隔調整部352は、ユーザ端末において入力操作が行なわれてから、実績処理時間が経過するまでの間、監視間隔を疎にさせる。
That is, the second monitoring
また、確認の結果、ユーザ操作ログにおいて、過去に同一操作、且つ、同一操作対象の記録がない場合には、第2監視間隔調整部352は、他のエージェント30において、同一操作、且つ、同一操作対象の記録があるかを確認する。
Further, as a result of the confirmation, when the same operation is not recorded in the past in the user operation log, the second monitoring
すなわち、第2監視間隔調整部352は、他のエージェント30に対して、入力操作および操作対象を検索キーとして検索を依頼する。
That is, the second monitoring
他のいずれかのエージェント30において、ユーザ操作ログに、過去に同一操作、且つ、同一操作対象の記録が検出された場合には、検索依頼元の第2監視間隔調整部352に対してその実績処理時間が応答される。
In any
そして、第2監視間隔調整部352は、ユーザ端末において入力操作が行なわれてから、実績処理時間が経過するまでの間、監視間隔を疎にさせる。
Then, the second monitoring
なお、検索依頼の結果、他のいずれのエージェント30においても、ユーザ操作ログに、過去に同一操作、且つ、同一操作対象の記録が検出されない場合には、第2監視間隔調整部352は、監視間隔の変更を行なわない。
As a result of the search request, in any
(B)動作
先ず、図21を参照しながら、実施形態の一例としてのコンピュータシステム1における負荷管理方法の概要を説明する。
(B) Operation First, an overview of a load management method in the
仮想環境サーバ3は、CPU10やメモリ11等のハードウェアリソースを用いて、複数の仮想マシン301を実行させる。
The
図21に示す例においては、CPU10−1を用いて3つ仮想マシン301が実行されている。CPU10−1を用いて実行されたこれらの3つ仮想マシン301を、仮想マシン#1〜#3という場合がある。
In the example shown in FIG. 21, three
本コンピュータシステム1においては、同じCPU10−1を用いて実行された仮想マシン#1〜#3は同じ仮想マシングループとして取り扱われる(図21の符号P1参照)。
In this
なお、仮想マシングループについては、管理サーバ2が仮想マシングループ情報27を用いて管理する。
The
ユーザはユーザ端末102を用いて仮想マシン301にアクセスし、種々の処理を行なう(図21の符号P2参照)
仮想環境サーバ3において、各仮想マシン301のエージェント30のログ収集部31は、CPU10のCPU負荷が所定の閾値(例えば、75%)を超えた低負荷状態においては、第1の間隔(例えば、0.5秒間隔)でログ収集を行なう。
The user accesses the
In the
管理サーバ2においては、CPU使用状況確認部21が、仮想環境サーバ3の仮想環境管理マシン302に、仮想マシン301を実行している仮想環境サーバ3の各CPU10のCPU使用量を問い合わせることで、CPU10の負荷を常時監視する(図21の符号P3参照)。
In the
管理サーバ2において、CPU使用状況確認部21が、仮想環境サーバ3のいずれかのCPU10のCPU使用量が所定の閾値(例えば、75%)を超えた場合には、このCPU10が過負荷状態であり切迫した状態であると判断する。このような場合には、以下の処理(a1),(a2)が実行される。
In the
(a1)監視間隔再設定指示部22が、過負荷状態が検出されたCPU10によって実行させる仮想マシングループに属する各仮想マシン301に対して監視間隔の再設定を指示する。
(A1) The monitoring interval reset
具体的には、監視間隔再設定指示部22は、過負荷状態であると判断されたCPU10を用いた仮想マシングループに属する各仮想マシン301に、ログ収集間隔(監視間隔)を疎にするよう調整する。これにより、仮想マシン301のログ収集を行ないつつも過負荷状態のCPU10の負荷を軽減することができる。
Specifically, the monitoring interval reset
(a2)仮想マシン301のエージェント30は、ユーザの操作傾向、操作対象とユーザの権限(役割)等からセキュリティリスク値を計算する。仮想マシン301のエージェント30は、仮想マシングループ内で協調しながら、仮想マシン301の監視間隔を調節する。
(A2) The
監視間隔再設定指示部22は、CPU10の負荷が閾値以下になるまで、同一の仮想マシングループの仮想マシン301の監視間隔を疎にする処理を繰り返し行なう。
The monitoring interval reset
また、CPU10の負荷が前記閾値以下になった場合には、監視間隔再設定指示部22は、疎にしていた仮想マシン301の監視間隔を密に戻す。これにより、仮想マシン301のログ収集が行なわれ、システムの信頼性を維持することができる。
When the load on the
次に、図22を参照しながら、実施形態の一例としてのコンピュータシステム1におけるユーザログオン時の処理の概要を説明する。
ユーザログオン時には、以下の処理(b1)〜(b4)が実行される。
Next, an outline of processing at the time of user logon in the
At the time of user logon, the following processes (b1) to (b4) are executed.
(b1)ユーザがユーザ端末102を介して仮想環境サーバ3にログオンすると(図22の符号P1参照)、仮想環境サーバ3に仮想マシン301(図22に示す例では仮想マシン#4)が新たに起動される(図22の符号P2参照)。
(B1) When the user logs on to the
(b2)新たに起動された仮想マシン#4のエージェント30から、管理サーバ2にマシン情報(例えば、IPアドレスやMACアドレス)とログオンしたユーザのユーザ情報が通知される(図22の符号P3参照)。
(B2) The
(b3)管理サーバ2は仮想環境管理マシン302に問い合わせて、仮想マシン#4に割り当てられているCPU情報(識別番号;CPU ID)を取得する(図22の符号P4参照)。管理サーバ2は、取得したCPU情報に基づいて仮想マシングループ情報27を更新する(図22の符号P5参照)。すなわち、新たに起動された仮想マシン301を、当該仮想マシン301を実行するCPUのCPU IDに対応付けて仮想マシングループ情報27に登録する。
(B3) The
(b4)管理サーバ2は、エージェント30が所属する仮想マシングループに属する全ての仮想マシン301のエージェントのそれぞれに対して、新しく起動した仮想マシン301のマシン情報を通知する(図22の符号P6参照)。
(B4) The
次に、実施形態の一例としてのコンピュータシステム1におけるユーザログオフ時の処理の概要を説明する。
ユーザログオフ時には、以下の処理(c1)〜(c3)が実行される。
Next, an outline of processing at the time of user logoff in the
At the time of user logoff, the following processes (c1) to (c3) are executed.
(c1)ユーザがユーザ端末102を介してログオフ操作を行なうと、エージェント30は、ユーザがログオフしたことを管理サーバ2に通知する(図22の符号P6参照)。
(C1) When the user performs a logoff operation via the
(c2)管理サーバ2は、仮想マシングループ情報27を更新する。すなわち、ログオフしたユーザが用いていた仮想マシン301(以下、ログオフした仮想マシン301という)を、仮想マシングループ情報27から削除する。
(C2) The
(c3)管理サーバ2は、ログオフした仮想マシン301が属していた仮想マシングループの各仮想マシン301に、ログオフした仮想マシン301のマシン情報を通知する。
(C3) The
次に、実施形態の一例としてのコンピュータシステム1の管理サーバ2の処理の概要を、図23に示すフローチャート(ステップA1〜A5)に従って説明する。
Next, an outline of processing of the
ステップA1において、本コンピュータシステム1のシステム管理者が、管理者端末101を用いてセキュリティポリシー202や監視設定201を入力する。これにより、セキュリティポリシー202a〜202cおよび監視設定201a,201bが設定される。
In step A <b> 1, the system administrator of the
ステップA2において、管理サーバ2(CPU使用状況確認部21)が、上述した監視間隔(監視間隔最小値)で仮想環境管理マシン302に対してCPU使用率および仮想マシングループ情報27を問い合わせる。また、これらの問合せに対して行なわれた応答に従って、仮想マシンCPU情報26および仮想マシングループ情報27が更新される。
In step A2, the management server 2 (CPU usage status confirmation unit 21) inquires of the virtual
ステップA3において、ユーザによる仮想マシン301へのログインが検出されると、仮想マシングループ情報27が更新される。
In step A3, when the login to the
ステップA4において、新規にログが収集されたかを確認する。確認の結果、新規にログが収集された場合には(ステップA4の“された場合”ルート参照)、ステップA5において、利用者評価部23が、禁止操作リスク値情報28を更新する。また、ステップA4における確認の結果、新規にログが収集されていない場合は(ステップA4の“されていない”ルート参照)、ステップA5をスキップして処理を終了する。
In step A4, it is confirmed whether a new log has been collected. As a result of the confirmation, when a new log is collected (refer to the “when done” route in step A4), the
次に、実施形態の一例としてのコンピュータシステム1の仮想環境サーバ3の仮想マシン301におけるエージェント30の処理を、図24に示すフローチャート(ステップB1〜B10)に従って説明する。
Next, the processing of the
ステップB1において、ユーザがユーザ端末102を用いて仮想マシン301にログインを行なう。
In step B <b> 1, the user logs in to the
ステップB2において、仮想マシン301(セキュリティリスク計算部32)が、自仮想マシン301が所属する仮想マシン301に関する仮想マシングループ情報27や、セキュリティポリシー202および監視設定201を取得する。
In step B <b> 2, the virtual machine 301 (security risk calculation unit 32) acquires the virtual
ステップB3において、ユーザ端末102を介してユーザ操作入力が行なわれると、操作履歴作成部33が操作履歴37を作成する。なお、操作履歴作成部33による処理の詳細は、図26を用いて後述する。
In step B <b> 3, when a user operation input is made via the
ステップB4において、ログ収集部31が収集したログが、所定の間隔で定期的に管理サーバ2(基本サーバ機能部24)に送信される。
In step B4, the logs collected by the
ステップB5において、アクテヒブウィンドウの変更を検知したかを確認する。アクティブウィンドウの変更が検知された場合には(ステップB5のYESルート参照)、ステップB6において、セキュリティリスク計算部32が、セキュリティポリシー202を計算する。
In step B5, it is confirmed whether an active window change is detected. If a change in the active window is detected (see YES route in step B5), the security
ステップB6において、セキュリティリスク計算部32がセキュリティリスク値の計算を行なう。ステップB5における確認の結果、アクティブウィンドウの変更が検知されたかを確認する。
In step B6, the security
ステップB5における確認の結果、アクティブウィンドウの変更が検知された場合には(ステップB5のYESルート参照)ステップB6に移行する。 As a result of the confirmation in step B5, if a change in the active window is detected (see YES route in step B5), the process proceeds to step B6.
ステップB6において、セキュリティリスク計算部32がセキュリティリスク値の値を算出する。なお、セキュリティリスク計算部32によるセキュリティリスク値の算出方法の詳細は、図27を用いて後述する。
In step B6, the security
ステップB7において、エージェント間通信部34が、グループ内順位情報38における仮想マシン301の順位を更新する。なお、エージェント間通信部34による処理の詳細は、図28を用いて後述する。
In step B <b> 7, the
また、ステップB5おける確認の結果、アクティブウィンドウの変更が検知されない場合には(ステップB5のNOルート参照)、ステップB6をスキップして、ステップB7に移行する。 As a result of the confirmation in step B5, if no change in the active window is detected (see NO route in step B5), step B6 is skipped and the process proceeds to step B7.
ステップB8において、監視間隔調整部35(第1監視間隔調整部351)が監視間隔の調整を行なう。なお、この第1監視間隔調整部351による監視間隔の調整方法の詳細は、図29を用いて後述する。
In step B8, the monitoring interval adjustment unit 35 (first monitoring interval adjustment unit 351) adjusts the monitoring interval. The details of the monitoring interval adjustment method by the first monitoring
ステップB9において、監視間隔調整部35(第2監視間隔調整部352)が監視間隔の調整を行なう。なお、この第2監視間隔調整部352による監視間隔の調整方法の詳細は、図30を用いて後述する。
In step B9, the monitoring interval adjustment unit 35 (second monitoring interval adjustment unit 352) adjusts the monitoring interval. The details of the monitoring interval adjustment method by the second monitoring
ステップB10において、ユーザがログアウトしたかが確認され、ユーザがログアウトしていない場合には(ステップB10のNOルート参照)、ステップB3に戻る。また、ユーザがログアウトした場合には(ステップB10のYESルート参照)、処理を終了する。 In step B10, it is confirmed whether or not the user has logged out. If the user has not logged out (see NO route in step B10), the process returns to step B3. If the user has logged out (see YES route in step B10), the process is terminated.
次に、実施形態の一例としてのコンピュータシステム1の管理サーバ2における利用者評価部23による処理を、図25に示すフローチャート(ステップC1〜C9)に従って説明する。
Next, processing by the
ステップC1において、利用者評価部23は、基本サーバ機能部24によって仮想マシン301から新規に収集されたログに基づき、ユーザが行なった禁止操作実行回数を更新する。
In step C <b> 1, the
ステップC2において、利用者評価部23は、ログ25から禁止操作が実行された履歴を抽出し、禁止操作実行履歴251に登録(追記)する。
In step C <b> 2, the
ステップC3において、利用者評価部23は、禁止操作実行履歴251における、現在の日時から所定期間(例えば30日以前)の履歴を削除する。
In step C3, the
ステップC4において、利用者評価部23は、仮想マシングループ情報27を参照して、入力操作を行なったユーザ(仮想マシン301)と同一の仮想マシングループに属する他のユーザの一覧を取得する。
In step C4, the
ステップC5において、利用者評価部23は、禁止操作実行履歴251を参照して、ステップC4において取得したユーザ一覧に登録されている各ユーザの禁止操作実行回数を取得する。
In step C5, the
ステップC6において、利用者評価部23は、ユーザ一覧に登録されている全ユーザを、禁止操作の実行回数が多い順に並べる。そして、利用者評価部23は、禁止操作の実行回数が多い順に並べられたユーザの上位1/3を高リスク(禁止操作リスク値=3)とし(ステップC9)、それらの下位1/3を低リスク(禁止操作リスク値=1)とする(ステップC7)。また、これら以外の中間順位の1/3を中リスク(禁止操作リスク値=2)とする(ステップC8)。
In step C6, the
次に、実施形態の一例としてのコンピュータシステム1の仮想環境サーバ3における操作履歴作成部33の処理を、図26に示すフローチャート(ステップD1〜D5)に従って説明する。
Next, processing of the operation
ステップD1において、ログ収集部31によって収集されたログ36に基づき、プロセス稼動監視ログが記録されている。
In step D1, a process operation monitoring log is recorded based on the
ステップD2において、利用者評価部23は、ユーザが操作を行なっているユーザ端末102におけるアクティブウィンドウの情報を取得する。
In step D <b> 2, the
ステップD3において、利用者評価部23は、取得したアクティブウィンドウのタイトルに対応する記録がウィンドウタイトル監視ログ25cに登録されているかを確認する。
In step D3, the
確認の結果、取得したアクティブウィンドウのタイトルに対応する記録がウィンドウタイトル監視ログ25cに登録されている場合には(ステップD3のYESルート参照)、処理を終了する。
As a result of the confirmation, if a record corresponding to the acquired title of the active window is registered in the window
また、確認の結果、取得したアクティブウィンドウのタイトルに対応する記録がウィンドウタイトル監視ログ25cに登録されていない場合には(ステップD3のNOルート参照)、ステップD4に移行する。
As a result of the confirmation, if the record corresponding to the acquired title of the active window is not registered in the window
ステップD4において、利用者評価部23は、アクティブウィンドウにおいて実行されているプロセスは、仮想環境サーバ3の起動後初めて操作されたものであると判断する。そして、その時点の時刻を、入力操作の結果が応答された時刻として、処理時間を算出してユーザ操作ログ25aに記録する。
In step D <b> 4, the
ステップD5において、利用者評価部23は、アクティブウィンドウにおいて実行され操作に関して、プロセス稼動監視ログ25bおよびウィンドウタイトル監視ログ25cに記録し、処理を終了する。
In step D5, the
次に、実施形態の一例としてのコンピュータシステム1の仮想環境サーバ3におけるセキュリティリスク計算部32の処理を、図27に示すフローチャート(ステップE1〜E6)に従って説明する。
Next, processing of the security
ステップE1において、セキュリティリスク計算部32は、ユーザがユーザ端末102において行なっている入力操作について、そのアクセス先を取得する。
In step E <b> 1, the security
ステップE2において、セキュリティリスク計算部32は、取得したアクセス先に基づいてセキュリティポリシー202cを参照して、当該アクセス先に対応するアクセス先リスク値(SR1)を取得する。
In step E2, the security
ステップE3において、セキュリティリスク計算部32は、セキュリティポリシー202aを参照して、ユーザの所属と役職(権限情報)を取得する。
In step E3, the security
ステップE4において、セキュリティリスク計算部32は、セキュリティポリシー202aを参照して、ユーザの役職リスク値(SR2)を取得する。
In step E4, the security
ステップE5において、セキュリティリスク計算部32は、ユーザIDに基づいて禁止操作リスク値情報28を参照して、禁止操作リスク値(SR3)を取得する。
In step E5, the security
ステップE6において、セキュリティリスク計算部32は、アクセス先リスク値(SR1)と役職リスク値(SR2)と禁止操作リスク値(SR3)とを合計することで、仮想マシン301(エージェント30)に対するセキュリティリスク値を算出し、処理を終了する。
In step E6, the security
次に、実施形態の一例としてのコンピュータシステム1の仮想環境サーバ3におけるエージェント間通信部34によるグループ内順位情報38の作成方法を、図28に示すフローチャート(ステップF1〜F3)に従って説明する。
Next, a method for creating the
ステップF1において、エージェント間通信部34は、仮想マシングループ情報27を参照して、仮想マシングループに属する仮想マシン301のIPの一覧を取得する。
In step F1, the
ステップF2において、エージェント間通信部34は、IPの一覧に示された他の各仮想マシン301のエージェント30から、それぞれのセキュリティリスク値を取得する。
In step F2, the
ステップF3において、エージェント間通信部34は、IPの一覧に示された他の各仮想マシン301を、セキュリティリスク値で降順にソートすることで、グループ内順位情報38を作成し、処理を終了する。
In step F3, the
なお、上述した各仮想マシン301のセキュリティリスク値の取得方法は、これらのステップF1,F2に示された方法に限定されるものではなく、種々変形して実施することができる。例えば、各仮想マシン301のエージェント30がエージェント間通信部34により相互に自身のセキュリティリスク値を通知し合ってもよい。
Note that the method for acquiring the security risk value of each
次に、実施形態の一例としてのコンピュータシステム1の仮想環境サーバ3における第1監視間隔調整部351の処理を、図29に示すフローチャート(ステップG1〜G7)に従って説明する。
Next, processing of the first monitoring
ステップG1において、第1監視間隔調整部351は、CPU使用率を閾値と比較する。比較の結果、CPU使用率が閾値以下である場合には(ステップG1の“[CPU使用率]が「閾値」以下”ルート参照)、ステップG2に移行する。
In step G1, the first monitoring
ステップG2においては、第1監視間隔調整部351は、同じ仮想マシングループに属する各仮想マシン301の監視間隔を−10%にすることで、監視間隔を密にし、処理を終了する。
In step G2, the first monitoring
一方、ステップG1における比較の結果、CPU使用率が閾値よりも高い場合には(ステップG1の“[CPU使用率]が「閾値」よりも高い”ルート参照)、ステップG3に移行する。 On the other hand, if the CPU usage rate is higher than the threshold value as a result of the comparison in step G1 (see the route “[CPU usage rate] is higher than“ threshold value ”in step G1), the process proceeds to step G3.
ステップG3においては、第1監視間隔調整部351は、グループ内順位情報38を参照して、自仮想マシンの仮想マシングループ内における順位を確認する。
In step G <b> 3, the first monitoring
自仮想マシンが同じ仮想マシングループにおける下位1/3に相当する場合には(ステップG3の“下位1/3の低リスクの場合”ルート参照)、ステップG4に移行する。 When the own virtual machine corresponds to the lower 1/3 in the same virtual machine group (see the route of “lower risk of lower 1/3” in step G3), the process proceeds to step G4.
ステップG4においては、第1監視間隔調整部351は、自仮想マシン301の監視間隔を確認する。確認の結果、監視間隔が監視間隔最大値より短い場合には(ステップG4の“監視間隔最大値より短い場合”ルート参照)、ステップG5に移行する。
In step G4, the first monitoring
ステップG5において、第1監視間隔調整部351は、自仮想マシン301の監視間隔を監視間隔変更量だけ伸ばした後、処理を終了する。
In step G5, the first monitoring
また、ステップG4における確認の結果、監視間隔が監視間隔最大値と等しい場合には(ステップG4の“監視間隔最大値と等しい場合”ルート参照)、ステップG6に移行する。 When the monitoring interval is equal to the maximum monitoring interval as a result of the confirmation in step G4 (see the route “when equal to the maximum monitoring interval” in step G4), the process proceeds to step G6.
ステップG6において、第1監視間隔調整部351は、エージェント間通信部34により、同じ仮想マシングループ内における、中リスクの他の仮想マシン301に、それぞれ監視間隔を伸ばすよう通知を行なう。その後、処理を終了する。
In step G6, the first monitoring
また、ステップG3における確認の結果、自仮想マシンが仮想マシングループにおける上位1/3に相当する場合には(ステップG3の“上位1/3の高リスクの場合”ルート参照)、ステップG7に移行する。 If the result of the confirmation in step G3 is that the own virtual machine corresponds to the top 1/3 in the virtual machine group (see the route “in the case of high risk of the top 1/3” in step G3), the process proceeds to step G7. To do.
ステップG7において、第1監視間隔調整部351は、自仮想マシン301の監視間隔を監視間隔最小値に設定した後、処理を終了する。
In step G7, the first monitoring
また、ステップG3による確認の結果、自仮想マシンが仮想マシングループにおける上
位1/3および下位1/3のいずれにも相当しない場合には(ステップG3の“それ以外、中リスクの場合”ルート参照)、処理を終了する。
Further, as a result of the confirmation in step G3, if the own virtual machine does not correspond to either the upper 1/3 or the lower 1/3 in the virtual machine group (refer to the route of “other than medium risk” in step G3) ), The process is terminated.
次に、実施形態の一例としてのコンピュータシステム1の仮想環境サーバ3における第2監視間隔調整部352の処理を、図30に示すフローチャート(ステップH1〜H6)に従って説明する。
Next, the process of the second monitoring
ステップH1において、第2監視間隔調整部352は、例えばログ収集部31を介してユーザ端末102におけるユーザの操作を確認する。
In step H <b> 1, the second monitoring
確認の結果、ユーザがユーザ端末102において、何らかの操作を行なっている場合には(ステップH1の“マウス操作中,ファイル選択中,文字入力中”ルート参照)、処理を終了する。 As a result of the confirmation, if the user is performing any operation on the user terminal 102 (refer to the route “Mouse operation, file selection, character input” in step H1), the process is terminated.
ユーザがユーザ端末102の操作を行なっていない場合には(ステップH1の“操作していない”ルート参照)、ステップH2に移行する。 If the user is not operating the user terminal 102 (see the “not operated” route in step H1), the process proceeds to step H2.
ステップH2において、第2監視間隔調整部352は、自仮想マシン301における操作履歴37を検索し、操作の結果待ちであるかを確認する。
In step H <b> 2, the second monitoring
確認の結果、操作の結果待ちである場合には(ステップH2の“「操作の結果」待ちである”ルート参照)、ステップH3に移行する。 As a result of the confirmation, when waiting for the result of the operation (see the route “Waiting for“ result of operation ”” in step H2), the process proceeds to step H3.
ステップH3においては、第2監視間隔調整部352は、同様の操作の実施記録を操作履歴37に対して検索する。この検索対象は、自仮想マシン301のみならず、仮想マシングループ内の他の仮想マシン301も含む。
In step H <b> 3, the second monitoring
同様の操作の実施記録が操作履歴37にある場合には、第2監視間隔調整部352は、その記録された処理時間(実績処理時間)に基づき、入力操作に対して応答がされる時刻を予測する。
When the operation record of the similar operation is in the
ステップH4において、第2監視間隔調整部352は、予測時刻までの時間を確認する。予測時刻までの時間が監視間隔最大値より長い場合には(ステップH4の“監視間隔最大値よりも長い”ルート参照)、ステップH5に移行する。
In step H4, the second monitoring
ステップH5においては、第2監視間隔調整部352は、第1監視間隔調整部351が設定した監視間隔を伸ばす。例えば、第2監視間隔調整部352は監視間隔を監視間隔変更量だけ伸ばす。その後、処理を終了する。
In step H5, the second monitoring
また、ステップH4における確認の結果、予測時刻までの時間が監視間隔最大値以下の場合には(ステップH4の“監視間隔最大値以下の場合”ルート参照)、そのまま処理を終了する。 As a result of the confirmation in step H4, if the time until the predicted time is less than or equal to the maximum value of the monitoring interval (see the route in the case of “below the maximum value of the monitoring interval” in step H4), the processing is ended as it is.
また、ステップH2における確認の結果、操作の結果待ちでない場合(ステップH2の“「操作の結果」待ちでない”ルート参照、ステップH6に移行する。 If the result of the confirmation in step H2 is not waiting for the operation result (step H2 “not waiting for“ operation result ”” route reference, the process proceeds to step H6.
ステップH6においては、第2監視間隔調整部352は、第1監視間隔調整部351が設定した監視間隔を伸ばす。例えば、第2監視間隔調整部352は監視間隔を監視間隔変更量だけ伸ばす。その後、処理を終了する。
In step H <b> 6, the second monitoring
(C)効果
このように、実施形態の一例としてのコンピュータシステム1によれば、仮想環境サーバ3において、CPU10の高負荷時に、監視間隔調整部35(第1監視間隔調整部351)が、ログ収集部31によるログ収集処理(監視処理)の実行間隔(監視間隔)を長く設定する(疎にする)。これにより、CPU10の負荷を軽減することができる。また、ログ収集部31によるログ収集処理は、回数は減るものの実行はされるので、セキュリティレベルの維持も実現できる。
(C) Effect As described above, according to the
また、第1監視間隔調整部351は、自仮想マシン301と同じCPU10によって実現される仮想マシングループに属する他の仮想マシン301の監視間隔を長くする。これにより、高負荷状態となっているCPU10の負荷を効率的に低減させることができる。
Further, the first monitoring
第2監視間隔調整部352は、ユーザがユーザ端末102を介して特定の入力操作を行なった場合に、その入力操作に対して応答がされるまでの応答予測時間を予測し、この応答予測時間が経過するまでの間、監視感覚を長くする制御を行なう。これにより、入力操作に対する応答待ちの間に、高負荷状態となっているCPU10の負荷を効率的に低減させることができる。
When the user performs a specific input operation via the
(D)その他
なお、上述した実施形態に関わらず、本実施形態の趣旨を逸脱しない範囲で種々変形して実施することができる。
(D) Others Regardless of the embodiment described above, various modifications can be made without departing from the spirit of the present embodiment.
例えば、上述した実施形態では、コンピュータシステム1に管理サーバ2と仮想環境サーバ3とが備えられているが、これに限定されるものではない。例えば、これらの管理サーバ2としての機能と仮想環境サーバ3としての機能を、一つのコンピュータに備えてもよく、また、これらの機能を3台以上のコンピュータに分散して備えてもよい。
For example, in the above-described embodiment, the
また、上述した開示により本実施形態を当業者によって実施・製造することが可能である。 Further, according to the above-described disclosure, this embodiment can be implemented and manufactured by those skilled in the art.
(E)付記 (E) Appendix
(付記1)
仮想マシンに対して利用端末で行なわれる操作を監視する監視処理を実行する監視制御プログラムにおいて、
プロセッサの使用率が基準を満たした場合に、当該プロセッサ割り当てられた仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンに関する前記監視処理の実行頻度を低下させる
処理をコンピュータに実行させる監視制御プログラム。
(Appendix 1)
In a monitoring control program that executes a monitoring process for monitoring operations performed on a user terminal on a virtual machine,
When the processor usage rate satisfies the standard, the computer is caused to execute a process of reducing the execution frequency of the monitoring process related to at least one of the virtual machines included in the virtual machine group assigned to the processor. Supervisory control program.
(付記2)
情報セキュリティ上のリスクを数値で示すセキュリティリスク値を、前記仮想マシン群に含まれる各仮想マシンのそれぞれに設定し、
前記仮想マシン群に含まれる前記仮想マシンのうち、前記セキュリティリスク値が最も低い仮想マシンに関する、前記監視処理の実行頻度を低下させる
処理を前記コンピュータに実行させる、付記1記載の監視制御プログラム。
(Appendix 2)
Set a security risk value that indicates information security risk numerically for each virtual machine included in the virtual machine group,
The monitoring control program according to
(付記3)
前記セキュリティリスク値が、前記利用端末から前記仮想マシンに対してデータアクセスを行なう際のアクセス範囲に応じたアクセス先リスク値を有する
ことを特徴とする、付記2記載の監視制御プログラム。
(Appendix 3)
The monitoring control program according to
(付記4)
前記セキュリティリスク値が、前記利用端末の利用者のユーザ権限に応じたユーザ権限リスク値を有する
ことを特徴とする、付記2または3記載の監視制御プログラム。
(Appendix 4)
The monitoring control program according to
(付記5)
前記セキュリティリスク値が、前記利用端末の利用者の操作実績に応じた操作実績リスク値を有する
ことを特徴とする、付記2〜4のいずれか1項に記載の監視制御プログラム。
(Appendix 5)
The monitoring control program according to any one of
(付記6)
前記利用端末で行なわれた操作内容に基づいて操作履歴を参照して、前記操作内容に相当する応答処理時間を取得し、
前記応答実績時間の間、前記監視処理の実行頻度を低下させる
処理を前記コンピュータに実行させる、付記1〜5のいずれか1項に記載の監視制御プログラム。
(Appendix 6)
Refer to the operation history based on the operation content performed on the user terminal, obtain a response processing time corresponding to the operation content,
The monitoring control program according to any one of
(付記7)
仮想マシンに対して利用端末で行なわれる操作を監視する監視処理を繰り返し行なう監視処理部と、
プロセッサの使用率が基準を満たした場合に、当該プロセッサが割り当てられた仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンに関する、前記監視処理部による前記監視処理の実行頻度を低下させる、監視頻度変更部と
を備える、監視制御装置。
(Appendix 7)
A monitoring processing unit that repeatedly performs a monitoring process for monitoring operations performed on the use terminal for the virtual machine;
When the usage rate of a processor satisfies the standard, the monitoring processing unit performs a lower frequency of execution of the monitoring processing on at least one of the virtual machines included in the virtual machine group to which the processor is assigned A monitoring control device comprising: a monitoring frequency changing unit.
(付記8)
情報セキュリティ上のリスクを数値で示すセキュリティリスク値を、前記仮想マシン群に含まれる各仮想マシンのそれぞれに設定するセキュリティリスク値設定部を備え、
前記監視頻度変更部が、前記仮想マシン群に含まれる前記仮想マシンのうち、前記セキュリティリスク値が最も低い仮想マシンに関する、前記監視処理部による前記監視処理の実行頻度を低下させる
ことを特徴とする、付記7記載の監視制御装置。
(Appendix 8)
A security risk value setting unit configured to set a security risk value indicating information security risk numerically in each virtual machine included in the virtual machine group;
The monitoring frequency changing unit lowers an execution frequency of the monitoring processing by the monitoring processing unit regarding a virtual machine having the lowest security risk value among the virtual machines included in the virtual machine group. The monitoring control device according to
(付記9)
前記セキュリティリスク値が、前記利用端末から前記仮想マシンに対してデータアクセスを行なう際のアクセス範囲に応じたアクセス先リスク値を有する
ことを特徴とする、付記8記載の監視制御装置。
(Appendix 9)
The monitoring control device according to
(付記10)
前記セキュリティリスク値が、前記利用端末の利用者のユーザ権限に応じたユーザ権限リスク値を有する
ことを特徴とする、付記8または9記載の監視制御装置。
(Appendix 10)
The monitoring control apparatus according to
(付記11)
前記セキュリティリスク値が、前記利用端末の利用者の操作実績に応じた操作実績リスク値を有する
ことを特徴とする、付記8〜10のいずれか1項に記載の監視制御装置。
(Appendix 11)
The monitoring control device according to any one of
(付記12)
前記利用端末で行なわれた操作内容に基づいて操作履歴を参照して、前記操作内容に相当する応答処理時間を取得し、
前記監視頻度変更部が、前記応答実績時間の間、前記監視処理部による前記監視処理の実行頻度を低下させる
ことを特徴とする、付記7〜11のいずれか1項に記載の監視制御装置。
(Appendix 12)
Refer to the operation history based on the operation content performed on the user terminal, obtain a response processing time corresponding to the operation content,
The monitoring control device according to any one of
(付記13)
仮想マシンに割り当てられたプロセッサの識別情報を該仮想マシンに対応付けて記憶する記憶部を参照して、同一のプロセッサが割り当てられた仮想マシン群を特定する処理と、
前記同一のプロセッサの使用率が基準を満たした場合、特定した前記仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンについて、該仮想マシンの利用端末での操作を監視する監視処理の実行頻度を低下させる処理と
を備えることを特徴とする、監視制御方法。
(Appendix 13)
A process of identifying a virtual machine group to which the same processor is assigned with reference to a storage unit that stores the identification information of the processor assigned to the virtual machine in association with the virtual machine;
When the usage rate of the same processor satisfies a standard, a monitoring process for monitoring an operation at a use terminal of the virtual machine for at least one of the virtual machines included in the specified virtual machine group And a process for reducing the execution frequency of the monitoring control method.
(付記14)
情報セキュリティ上のリスクを数値で示すセキュリティリスク値を、前記仮想マシン群に含まれる各仮想マシンのそれぞれに設定する処理と、
前記仮想マシン群に含まれる前記仮想マシンのうち、前記セキュリティリスク値が最も低い仮想マシンに関する、前記監視処理の実行頻度を低下させる
処理と
を備えることを特徴とする、付記13記載の監視制御方法。
(Appendix 14)
A process of setting a security risk value that indicates information security risk numerically in each virtual machine included in the virtual machine group;
The monitoring control method according to
(付記15)
前記セキュリティリスク値が、前記利用端末から前記仮想マシンに対してデータアクセスを行なう際のアクセス範囲に応じたアクセス先リスク値を有する
ことを特徴とする、付記14記載の監視制御方法。
(Appendix 15)
15. The monitoring control method according to
(付記16)
前記セキュリティリスク値が、前記利用端末の利用者のユーザ権限に応じたユーザ権限リスク値を有する
ことを特徴とする、付記14または15記載の監視制御方法。
(Appendix 16)
The monitoring control method according to
(付記17)
前記セキュリティリスク値が、前記利用端末の利用者の操作実績に応じた操作実績リスク値を有する
ことを特徴とする、付記14〜16のいずれか1項に記載の監視制御方法。
(Appendix 17)
The monitoring control method according to any one of
(付記18)
前記利用端末で行なわれた操作内容に基づいて操作履歴を参照して、前記操作内容に相当する応答処理時間を取得する処理と、
前記応答実績時間の間、前記監視処理の実行頻度を低下させる
処理と
を備えることを特徴とする、付記13〜17のいずれか1項に記載の監視制御方法。
(Appendix 18)
A process of referring to an operation history based on the operation content performed at the user terminal and acquiring a response processing time corresponding to the operation content;
The monitoring control method according to any one of
(付記19)
プロセッサに複数の仮想マシンを実行させる仮想環境装置を管理する管理装置であって、
前記仮想環境装置に対して、の前記プロセッサの使用率を問合せる使用率確認部と、
プロセッサの使用率が基準を満たした場合に、前記仮想環境装置に対して、当該プロセッサが割り当てられた仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンに関して繰り返し行なわれる監視処理の実行頻度を低下させる、監視頻度変更指示部と
を備える、管理装置。
(Appendix 19)
A management device that manages a virtual environment device that causes a processor to execute a plurality of virtual machines,
A usage rate confirmation unit that queries the usage rate of the processor of the virtual environment device;
A monitoring process that is repeatedly performed for at least one of the virtual machines included in the virtual machine group to which the processor is assigned to the virtual environment device when the usage rate of the processor satisfies the standard. A management apparatus comprising: a monitoring frequency change instruction unit that reduces an execution frequency.
1 コンピュータシステム
2 管理サーバ
3 仮想環境サーバ
10−1〜10−4,10,13 CPU
11,14 メモリ
12,15 記憶装置
21 CPU使用状況確認部
22 監視間隔再設定指示部
23 利用者評価部
24 基本サーバ機能部
25,36 ログ
25a ユーザ操作ログ
25b プロセス稼動監視ログ
25c ウィンドウタイトル監視ログ
26 仮想マシンCPU情報
27 仮想マシングループ情報
28 禁止操作リスク値情報
29 仮想マシン利用者情報
30 エージェント
31 ログ収集部
32 セキュリティリスク計算部
33 操作履歴作成部
34 エージェント間通信部
35 監視間隔調整部
351 第1監視間隔調整部
352 第2監視間隔調整部
37 操作履歴
38 グループ内順位情報
39 セキュリティリスク値情報
101 管理者端末
102 ユーザ端末
201,201a,201b 監視設定
202,202a,202b,202c セキュリティポリシー
251 禁止操作実行履歴
301 仮想マシン
302 仮想環境管理マシン
1
DESCRIPTION OF
Claims (8)
プロセッサの使用率が基準を満たした場合に、当該プロセッサが割り当てられた仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンに関する前記監視処理の実行頻度を低下させる
処理をコンピュータに実行させる監視制御プログラム。 In a monitoring control program that executes a monitoring process for monitoring operations performed on a user terminal on a virtual machine,
When the processor usage rate meets the standard, the computer executes a process for reducing the frequency of execution of the monitoring process for at least one of the virtual machines included in the virtual machine group to which the processor is assigned. Supervisory control program.
前記仮想マシン群に含まれる前記仮想マシンのうち、前記セキュリティリスク値が最も低い仮想マシンに関する、前記監視処理の実行頻度を低下させる
処理を前記コンピュータに実行させる、請求項1記載の監視制御プログラム。 Set a security risk value that indicates information security risk numerically for each virtual machine included in the virtual machine group,
The monitoring control program according to claim 1, wherein the computer is caused to execute a process of reducing an execution frequency of the monitoring process related to a virtual machine having the lowest security risk value among the virtual machines included in the virtual machine group.
ことを特徴とする、請求項2記載の監視制御プログラム。 The monitoring control program according to claim 2, wherein the security risk value has an access destination risk value corresponding to an access range when data is accessed from the user terminal to the virtual machine.
ことを特徴とする、請求項2または3記載の監視制御プログラム。 The monitoring control program according to claim 2 or 3, wherein the security risk value has a user authority risk value corresponding to a user authority of a user of the user terminal.
ことを特徴とする、請求項2〜4のいずれか1項に記載の監視制御プログラム。 The monitoring control program according to any one of claims 2 to 4, wherein the security risk value has an operation result risk value corresponding to an operation result of a user of the user terminal.
前記応答実績時間の間、前記監視処理の実行頻度を低下させる
処理を前記コンピュータに実行させる、請求項1〜5のいずれか1項に記載の監視制御プログラム。 Refer to the operation history based on the operation content performed on the user terminal, obtain a response processing time corresponding to the operation content,
The monitoring control program according to any one of claims 1 to 5, which causes the computer to execute a process of reducing an execution frequency of the monitoring process during the response performance time.
プロセッサの使用率が基準を満たした場合に、当該プロセッサが割り当てられた仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンに関する、前記監視処理部による前記監視処理の実行頻度を低下させる、監視頻度変更部と
を備える、監視制御装置。 A monitoring processing unit that repeatedly performs a monitoring process for monitoring operations performed on the use terminal for the virtual machine;
When the usage rate of a processor satisfies the standard, the monitoring processing unit performs a lower frequency of execution of the monitoring processing on at least one of the virtual machines included in the virtual machine group to which the processor is assigned A monitoring control device comprising: a monitoring frequency changing unit.
前記同一のプロセッサの使用率が基準を満たした場合、特定した前記仮想マシン群に含まれる仮想マシンのうち、少なくともいずれかの仮想マシンについて、該仮想マシンの利用端末での操作を監視する監視処理の実行頻度を低下させる処理と
を備えることを特徴とする、監視制御方法。 A process of identifying a virtual machine group to which the same processor is assigned with reference to a storage unit that stores the identification information of the processor assigned to the virtual machine in association with the virtual machine;
When the usage rate of the same processor satisfies a standard, a monitoring process for monitoring an operation at a use terminal of the virtual machine for at least one of the virtual machines included in the specified virtual machine group And a process for reducing the execution frequency of the monitoring control method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016063824A JP2017182160A (en) | 2016-03-28 | 2016-03-28 | Monitoring control program, monitoring control system and monitoring control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016063824A JP2017182160A (en) | 2016-03-28 | 2016-03-28 | Monitoring control program, monitoring control system and monitoring control method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017182160A true JP2017182160A (en) | 2017-10-05 |
Family
ID=60006039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016063824A Pending JP2017182160A (en) | 2016-03-28 | 2016-03-28 | Monitoring control program, monitoring control system and monitoring control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017182160A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020154814A (en) * | 2019-03-20 | 2020-09-24 | 富士ゼロックス株式会社 | Information processing device, information processing system and information processing program |
WO2023218517A1 (en) * | 2022-05-10 | 2023-11-16 | 日本電信電話株式会社 | Server monitoring device, server monitoring system, server monitoring method, and program |
-
2016
- 2016-03-28 JP JP2016063824A patent/JP2017182160A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020154814A (en) * | 2019-03-20 | 2020-09-24 | 富士ゼロックス株式会社 | Information processing device, information processing system and information processing program |
JP7331397B2 (en) | 2019-03-20 | 2023-08-23 | 富士フイルムビジネスイノベーション株式会社 | Information processing device, information processing system and information processing program |
WO2023218517A1 (en) * | 2022-05-10 | 2023-11-16 | 日本電信電話株式会社 | Server monitoring device, server monitoring system, server monitoring method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10877986B2 (en) | Obtaining performance data via an application programming interface (API) for correlation with log data | |
US10877987B2 (en) | Correlating log data with performance measurements using a threshold value | |
US10592522B2 (en) | Correlating performance data and log data using diverse data stores | |
US11782989B1 (en) | Correlating data based on user-specified search criteria | |
US10614132B2 (en) | GUI-triggered processing of performance data and log data from an information technology environment | |
US11119982B2 (en) | Correlation of performance data and structure data from an information technology environment | |
US10997191B2 (en) | Query-triggered processing of performance data and log data from an information technology environment | |
JP4922834B2 (en) | Apparatus and method for monitoring performance of resources existing in a computer system | |
JP5427011B2 (en) | Virtual hard disk management server, management method, and management program | |
US20140324862A1 (en) | Correlation for user-selected time ranges of values for performance metrics of components in an information-technology environment with log data from that information-technology environment | |
US20160036722A1 (en) | Monitoring computer process resource usage | |
US10970303B1 (en) | Selecting resources hosted in different networks to perform queries according to available capacity | |
WO2012056596A1 (en) | Computer system and processing control method | |
US20100049934A1 (en) | Storage management apparatus, a storage management method and a storage management program | |
WO2012053393A1 (en) | Method and device for deploying virtual computers | |
WO2018131556A1 (en) | Resource setting control device, resource setting control system, resource setting control method, and computer-readable recording medium | |
JP6015755B2 (en) | Information processing method and apparatus for virtual disk migration | |
JP2017182160A (en) | Monitoring control program, monitoring control system and monitoring control method | |
JP6279816B2 (en) | Storage monitoring system and monitoring method thereof | |
JP6065843B2 (en) | Service level management apparatus, program, and method | |
JP2007265244A (en) | Performance monitoring device for web system | |
JP6285850B2 (en) | Process migration method and cluster system | |
JP5737789B2 (en) | Virtual machine operation monitoring system | |
JP2018190205A (en) | Business operator collective service management device and business operator collective service management method | |
WO2015145677A1 (en) | Management computer and platform improvement method |