JP2018109930A - ログ出力プログラム、情報処理装置及びログ出力方法 - Google Patents

ログ出力プログラム、情報処理装置及びログ出力方法 Download PDF

Info

Publication number
JP2018109930A
JP2018109930A JP2017001029A JP2017001029A JP2018109930A JP 2018109930 A JP2018109930 A JP 2018109930A JP 2017001029 A JP2017001029 A JP 2017001029A JP 2017001029 A JP2017001029 A JP 2017001029A JP 2018109930 A JP2018109930 A JP 2018109930A
Authority
JP
Japan
Prior art keywords
log
information
character information
time
incident
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017001029A
Other languages
English (en)
Other versions
JP6820472B2 (ja
Inventor
洋子 米本
Yoko Yonemoto
洋子 米本
清志 ▲高▼下
清志 ▲高▼下
Kiyoshi Takashita
勝明 川口
Katsuaki Kawaguchi
勝明 川口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017001029A priority Critical patent/JP6820472B2/ja
Priority to US15/848,261 priority patent/US20180196959A1/en
Publication of JP2018109930A publication Critical patent/JP2018109930A/ja
Application granted granted Critical
Publication of JP6820472B2 publication Critical patent/JP6820472B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】調査に用いられないログの秘匿性を維持することを可能とするログ出力プログラム、情報処理装置及びログ出力方法を提供する。【解決手段】インシデントの発生時刻を特定し、ソフトウエアのログ情報を記憶する記憶部を参照して、そのログ情報に含まれる複数のログのうち、特定した発生時刻に応じた期間に取得された第1のログと、その期間以外の期間に取得された第2のログとを特定し、特定した第1のログに含まれる文字情報が、その文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した第2のログに含まれる文字情報が、第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力する。【選択図】図5

Description

本発明は、ログ出力プログラム、情報処理装置及びログ出力方法に関する。
近年、物理マシンの性能向上に伴い、複数の仮想マシンを1つの物理マシンに集約する仮想化技術の研究が進められている。この仮想化技術は、例えば、仮想化ソフトウエア(以下、ハイパバイザとも呼ぶ)が物理マシンの物理リソースを複数の仮想マシンに割り当てて、各仮想マシンにインストールされたソフトウエアによるサービスの提供を可能にする。
そして、近年、物理マシンのリソースやインフラ等の仮想マシンの利用環境を提供する事業者(以下、クラウド事業者とも呼ぶ)によって、仮想マシンを利用してサービスの提供等を行う事業者(以下、サービス事業者とも呼ぶ)への仮想マシンの貸し出しが行われている。具体的に、クラウド事業者は、例えば、契約で定めた条件に基づいて、サービス事業者に対する仮想マシンの貸し出しを行う。
上記のようなクラウド事業者は、例えば、サービス事業者による仮想マシンの利用に伴って出力されたログ(以下、ログ情報とも呼ぶ)を記憶装置に蓄積する。そして、クラウド事業者は、例えば、サービス事業者から仮想マシンにおいて発生した事象等に関する問合せを受け付けた場合、記憶装置に蓄積したログから必要なログを抽出し、受け付けた問合せに対する調査を行う(例えば、特許文献1乃至4参照)。
特開2012−190345号公報 特開2011−237975号公報 特開2010−9223号公報 特開2014−235568号公報
上記のようなクラウド事業者は、記憶装置においてログの蓄積を行う際に、各サービス事業者に貸し出しを行った仮想マシンから出力されたログを区別することなく蓄積する場合がある。そのため、問合せに対する調査を行うクラウド事業者の担当者(以下、サポート担当者とも呼ぶ)は、問合せを行ったサービス事業者に関するログのみの抽出を行うことができない場合がある。したがって、サポート担当者は、問合せに対する調査を行う際に、例えば、他のサービス事業者に関するログ(調査に用いられないログ)を含めて抽出し、問合せに対する調査を行う。
しかしながら、記憶装置に蓄積されたログには、サービス事業者が提供するサービスを利用する者(以下、ユーザとも呼ぶ)の個人情報等が含まれている可能性がある。そのため、クラウド事業者は、サポート担当者が他のサービス事業者に関するログを閲覧する機会を可能な限り少なくすることが好ましい。
これに対し、クラウド事業者は、例えば、サポート担当者がログの閲覧をする前に、抽出されたログに含まれる情報の秘匿化を行う。これにより、クラウド事業者は、サポート担当者による他のサービス事業者に関するログの閲覧を防止することが可能になる。
しかしながら、この場合、記憶装置から抽出されたログのうち、問合せに対する調査に用いられるログ(問合せを行ったサービス事業者に関するログ)についても秘匿化が行われる可能性がある。そのため、サポート担当者は、問合せに対する調査を十分に行うことができない場合がある。
そこで、一つの側面では、本発明は、調査に用いられないログの秘匿性を維持することを可能とするログ出力プログラム、情報処理装置及びログ出力方法を提供することを目的とする。
実施の形態の一態様では、インシデントの発生時刻を特定し、ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定し、特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力する、処理をコンピュータに実行させる。
一つの側面によれば、調査に用いられないログの秘匿性を維持することを可能とする。
図1は、情報処理システム10の構成を示す図である。 図2は、情報処理システム10の構成を示す図である。 図3は、情報処理装置1のハードウエア構成を示す図である。 図4は、情報処理装置1の機能ブロック図である。 図5は、第1の実施の形態におけるログ出力処理の概略を説明するフローチャート図である。 図6は、第1の実施の形態におけるログ出力処理の概略を説明する図である。 図7は、第1の実施の形態におけるログ出力処理の概略を説明する図である。 図8は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図9は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図10は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図11は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図12は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図13は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図14は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。 図15は、インシデント情報131の具体例を説明する図である。 図16は、記憶装置2aに記憶されたログ情報231の具体例を説明する図である。 図17は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図18は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図19は、認証情報133の具体例を説明する図である。 図20は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図21は、利用情報132の具体例を説明する図である。 図22は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図23は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図24は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図25は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。 図26は、インシデント情報131の具体例を説明する図である。 図27は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。
[情報処理システムの構成]
初めに、情報処理システム10の構成について説明を行う。図1及び図2は、情報処理システム10の構成を示す図である。図1に示す情報処理システム10は、例えば、情報処理装置1と、物理マシン2と、操作端末4とを有する。
物理マシン2は、1台以上の物理マシンから構成される。各物理マシンは、例えば、CPU(Central Computing Unit)、メモリ(DRAM:Dynamic Random Access Memory)及びハードディスク(HDD:Hard Disk Drive)等を有する。そして、物理マシン2の物理リソースは、複数の仮想マシン3(図1に示す例では、仮想マシン3a、3b及び3c)に割当てられる。
各仮想マシン3は、例えば、サービス事業者がユーザに対してサービスを提供するための業務システム(図示しない)を稼働させる。そして、各仮想マシン3は、業務システムの稼働に伴って発生したログをログ情報231として記憶装置2aに蓄積する。
操作端末4は、例えば、ユーザがサポート担当者に対してサービスに関する問合せを行った場合に、サポート担当者が受け付けた問合せ(以下、インシデントとも呼ぶ)の内容を入力する端末である(図1の(1))。操作端末4は、例えば、PC(Personal Computer)である。
情報処理装置1は、例えば、操作端末4からインシデントの内容の入力があった場合、入力されたインシデントの内容からインシデント情報131を生成する(図1の(2))。そして、情報処理装置1は、生成したインシデント情報131を記憶装置1aに記憶する(図1の(3))。
また、情報処理装置1は、例えば、サポート担当者から操作端末4を介してインシデントの調査を行う旨の入力があった場合に、調査対象のインシデントに対応するインシデント情報131を記憶装置1aから取得する(図2の(4))。そして、情報処理装置1は、記憶装置1aから取得したインシデント情報131に対応するログ情報231を記憶装置2aから取得する(図2の(5))。その後、情報処理装置1は、例えば、記憶装置2aから取得したログ情報231を操作端末4に送信する(図2の(6))。これにより、サポート担当者は、調査対象のインシデント情報131の調査を行うためのログ情報231を取得することが可能になる。
ここで、上記のようなクラウド事業者は、記憶装置2aにおいてログの蓄積を行う際に、各サービス事業者に貸し出しを行った仮想マシンから出力されたログをまとめて蓄積する場合がある。すなわち、この場合、記憶装置2aに蓄積されるログには、複数のサービス事業者のそれぞれが利用する仮想マシン3から出力されたログが区分けされることなく含まれる。そのため、サポート担当者は、問合せを行ったサービス事業者に関するログのみの抽出を行うことができない場合がある。したがって、サポート担当者は、問合せに対する調査を行う際に、他のサービス事業者に関するログ(調査に用いられないログ)を含めて閲覧しながら調査を行う必要がある。
しかしながら、記憶装置2aに蓄積されたログには、ユーザの個人情報等が含まれている可能性がある。そのため、クラウド事業者は、サポート担当者が他のサービス事業者に関するログを閲覧する機会を可能な限り少なくすることが好ましい。
そこで、クラウド事業者は、例えば、サポート担当者がログの閲覧をする前に、抽出されたログに含まれる情報の秘匿化を行う。これにより、クラウド事業者は、サポート担当者による他のサービス事業者に関するログの閲覧を防止することが可能になる。
しかしながら、この場合、記憶装置2aから抽出したログのうち、問合せに対する調査に用いられるログ(問合せを行ったサービス事業者に関するログ)についても秘匿化が行われる可能性がある。そのため、サポート担当者は、問合せに対する調査を十分に行うことができない場合がある。
そこで、本実施の形態における情報処理装置1は、インシデント情報131に情報が含まれるインシデントの発生時刻を特定する。そして、情報処理装置1は、ソフトウエアのログ情報231を記憶する記憶装置2aを参照して、ログ情報231に含まれる複数のログのうち、特定した発生時刻に応じた期間に取得されたログ(以下、第1のログとも呼ぶ)を特定する。また、情報処理装置1は、ソフトウエアのログ情報231を記憶する記憶装置2aを参照して、ログ情報231に含まれる複数のログのうち、特定した発生時刻に応じた期間以外の期間に取得されたログ(以下、第2のログとも呼ぶ)を特定する。
その後、情報処理装置1は、第1のログに含まれる文字情報をその文字情報よりも秘匿性が高い文字情報(以下、第1の文字情報とも呼ぶ)に変換し、第2のログに含まれる文字情報を第1の文字情報よりも秘匿性が高い文字情報(以下、第2の文字情報とも呼ぶ)に変換する。そして、情報処理装置1は、第1のログ及び第2のログに含まれる文字情報を変換した新たなログ情報(以下、ログ情報231aとも呼ぶ)を出力する。
すなわち、調査対象のインシデントの調査に用いられるログは、調査対象のインシデントの発生時刻と近い時刻に取得(記憶)されている可能性が高い。そのため、情報処理装置1は、調査対象のインシデントの発生時刻と近い時刻に取得されたログの秘匿性が、それ以外のログの秘匿性よりも低くなるように、ログ情報231に含まれる各ログの秘匿化を行う。
これにより、情報処理装置1は、調査に用いられる可能性が高いログの秘匿性を相対的に低くし、調査に用いられる可能性がログの秘匿性を相対的に高くすることが可能になる。そのため、情報処理装置1は、サポート担当者による調査を妨げることなく、サポート担当者が調査に用いないログの秘匿性を維持することが可能になる。
[情報処理システムのハードウエア構成]
次に、情報処理システム10のハードウエア構成について説明する。図3は、情報処理装置1のハードウエア構成を示す図である。
情報処理装置1は、プロセッサであるCPU101と、メモリ102と、外部インターフェース(I/Oユニット)103と、記憶媒体104とを有する。各部は、バス105を介して互いに接続される。
記憶媒体104は、例えば、記憶媒体104内のプログラム格納領域(図示しない)に、秘匿化したログを出力する処理(以下、ログ出力処理とも呼ぶ)を行うためのプログラム110を記憶する。また、記憶媒体104は、例えば、ログ出力処理を行う際に用いられる情報を記憶する情報格納領域130(以下、記憶部130とも呼ぶ)を有する。なお、情報格納領域130は、図1等で説明した記憶装置1aに対応する。
CPU101は、プログラム110の実行時に、プログラム110を記憶媒体104からメモリ102にロードし、プログラム110と協働してログ出力処理を行う。また、外部インターフェース103は、例えば、操作端末4と通信を行う。
[情報処理システムの機能]
次に、情報処理システム10の機能について説明する。図4は、情報処理装置1の機能ブロック図である。
情報処理装置1のCPU101は、プログラム110と協働することにより、例えば、インシデント生成部111と、情報管理部112と、発生時刻特定部113と、ログ特定部114と、文字情報変換部115と、ログ出力部116として動作する。そして、情報格納領域130には、例えば、インシデント情報131と、利用情報132と、認証情報133とが記憶される。
インシデント生成部111は、例えば、操作端末4から入力された問合せ(インシデント)の内容からインシデント情報131を生成する。そして、情報管理部112は、インシデント生成部111が生成したインシデント情報131を情報格納領域130に記憶する。
発生時刻特定部113は、調査対象のインシデントの発生時刻を特定する。具体的に、発生時刻特定部113は、情報格納領域130に記憶されたインシデント情報131のうち、調査対象のインシデントに関する情報を含むインシデント情報131に含まれる発生時刻を特定する。
ログ特定部114は、記憶装置2aを参照し、ログ情報231に含まれる複数のログのうち、発生時刻特定部113が特定した発生時刻に応じた期間に取得された第1のログを特定する。発生時刻に応じた期間は、例えば、発生時刻特定部113が特定した発生時刻の所定時間前(例えば、10分前)から、発生時刻特定部113が特定した発生時刻の所定時間後(例えば、10分後)までの期間である。また、ログ特定部114は、記憶装置2aを参照し、ログ情報231に含まれる複数のログのうち、発生時刻特定部113が特定した発生時刻に応じた期間以外の期間に取得された第2のログを特定する。
文字情報変換部115は、ログ特定部114が特定した第1のログに含まれる文字情報をその文字情報よりも秘匿性が高い第1の文字情報に変換する。また、文字情報変換部115は、ログ特定部114が特定した第2のログに含まれる文字情報を第1の文字情報よりも秘匿性が高い第2の文字情報に変換する。
ログ出力部116は、第1のログ及び第2のログに含まれる文字情報を変換したログ情報231aを出力する。利用情報132及び認証情報133の説明については後述する。
[第1の実施の形態]
次に、第1の実施の形態の概略について説明する。図5は、第1の実施の形態におけるログ出力処理の概略を説明するフローチャート図である。また、図6及び図7は、第1の実施の形態におけるログ出力処理の概略を説明する図である。図6及び図7を参照しながら、図5のログ出力処理の詳細を説明する。
情報処理装置1は、図5に示すように、ログ出力タイミングになるまで待機する(S1のNO)。ログ出力タイミングは、例えば、サポート担当者が操作端末4を介してインシデントの調査を行う旨の入力を行ったタイミングであってよい。
そして、ログ出力タイミングになった場合(S1のYES)、情報処理装置1は、図6に示すように、特定のインシデントの発生時刻を特定する(S2)。特定のインシデントは、例えば、サポート担当者が操作端末4を介して調査を行う旨の入力を行ったインシデント(調査対象のインシデント)である。具体的に、情報処理装置1は、S2の処理において、情報格納領域130に記憶されたインシデント情報131のうち、特定のインシデントに関する情報を含むインシデント情報131に含まれる発生時刻を特定する。
続いて、情報処理装置1は、図6に示すように、ソフトウエアのログ情報231を記憶する記憶装置2aを参照して、ログ情報231に含まれる複数のログのうち、S2の処理で特定した発生時刻に応じた期間に取得された第1のログと、S2の処理で特定した期間以外の期間に取得された第2のログとを特定する(S3)。
さらに、情報処理装置1は、図7に示すように、S3の処理で特定した第1のログに含まれる文字情報をその文字情報よりも秘匿性が高い第1の文字情報に変換する(S4)。また、情報処理装置1は、図7に示すように、S3の処理で特定した第2のログに含まれる文字情報を第1の文字情報よりも秘匿性が高い第2の文字情報に変換する(S5)。
すなわち、調査対象のインシデントの調査に用いられるログは、調査対象のインシデントの発生時刻と近い時刻に出力されている可能性が高い。そのため、情報処理装置1は、調査対象のインシデントの発生時刻と近い時刻に出力されたログの秘匿性が、それ以外のログの秘匿性よりも低くなるように、ログ情報231に含まれる各ログの秘匿化を行う。
そして、情報処理装置1は、図7に示すように、S4及びS5の処理で文字情報を変換した第1のログ及び第2のログ(ログ情報231a)を出力する(S6)。
これにより、情報処理装置1は、調査に用いられる可能性が高いログの秘匿性を相対的に低くし、調査に用いられる可能性がログの秘匿性を相対的に高くすることが可能になる。そのため、情報処理装置1は、サポート担当者による調査を妨げることなく、サポート担当者が調査に用いないログの秘匿性を維持することが可能になる。
[第1の実施の形態の詳細]
次に、第1の実施の形態の詳細について説明する。図8から図14は、第1の実施の形態におけるログ出力処理の詳細を説明するフローチャート図である。また、図15から図27は、第1の実施の形態におけるログ出力処理の詳細を説明する図である。図15から図27を参照しながら、図8から図14のログ出力処理の詳細を説明する。
初めに、ログ出力処理のうち、インシデント情報131の蓄積を行う処理(以下、インシデント蓄積処理とも呼ぶ)について説明を行う。図8は、インシデント蓄積処理を説明するフローチャート図である。
情報処理装置1のインシデント生成部111は、図8に示すように、新たなインシデントが発生するまで待機する(S11のNO)。具体的に、インシデント生成部111は、例えば、サポート担当者が操作端末4を介して問合せ(インシデント)の内容を入力するまで待機する。
そして、新たなインシデントが発生した場合(S11のYES)、インシデント生成部111は、S11の処理で発生したインシデントの内容を含むインシデント情報131を生成する(S12)。その後、情報処理装置1の情報管理部112は、S12の処理で生成されたインシデント情報131を情報格納領域130に記憶する(S13)。以下、インシデント情報131の具体例について説明を行う。
[インシデント情報の具体例]
図15及び図26は、インシデント情報131の具体例を説明する図である。図15等に示すインシデント情報131は、ある1つのインシデントに関するインシデント情報131であり、情報格納領域130に記憶されたインシデント情報131の一部である。
そして、図15等に示すインシデント情報131は、各インシデントを識別する番号である「インシデント番号」と、各インシデントが発生した時刻である「発生日時」と、サポート担当者に問合せを行ったユーザの識別情報である「ユーザ」とを含む。また、図15に示すインシデント情報131は、問合せの内容に対応するソフトウエアである「発生ソフト」と、問合せの内容である「現象」とを含む。
具体的に、図15に示すインシデント情報131には、「インシデント番号」として「016−0707−0123」が設定され、「発生日時」として「2016/07/07 10:30」が設定され、「ユーザ」として「User1」が設定されている。また、図15に示すインシデント情報131には、「発生ソフト」として「不明」が設定され、「現象」として「“☆テストユーザNo.1☆”というユーザを登録しようとしたところ、エラーが発生した。」という内容が設定されている。なお、図15に示すインシデント情報131に含まれる各情報は、例えば、ユーザから問合せを受け付けたサポート担当者が操作端末4において入力する情報である。
図8に戻り、インシデント生成部111は、S13の処理の後、次のインシデントが発生するまで待機する(S11のNO)。
次に、インシデント蓄積処理以外のログ出力処理について説明を行う。図9から図14は、インシデント蓄積処理以外のログ出力処理を説明するフローチャート図である。
情報処理装置1の発生時刻特定部113は、図9に示すように、ログ出力タイミングになるまで待機する(S21のNO)。そして、ログ出力タイミングになった場合(S21のYES)、情報処理装置1のログ特定部114は、情報格納領域130に記憶されたインシデント情報131を参照し、特定のインシデントに対応するインシデント情報131に含まれる発生時刻を特定する(S22)。
具体的に、図15に示すインシデント情報131の「発生日時」には、インシデントの発生時刻である「10:30」が含まれている。そのため、ログ特定部114は、例えば、図15に示すインシデント情報131を参照し、特定のインシデントに対応する発生時刻として「10:30」を特定する。
その後、情報処理装置1のログ特定部114は、S22の処理で特定した発生時刻の所定時間前の時刻から、S22の処理で特定した発生時刻の所定時間後の時刻までの期間を特定する(S23)。
具体的に、S22の処理で特定された発生時刻が「10:30」である場合、ログ特定部114は、例えば、特定された発生時刻の10分前(10:20)から、特定された発生時刻の10分後(10:40)までの期間をログ取得期間として特定する。
そして、ログ特定部114は、記憶装置2aに記憶されたログ情報231から、S23の処理で特定したログ取得期間に取得されたログを取得する(S24)。以下、記憶装置2aに記憶されたログ情報231の具体例について説明を行う。
[ログ情報の具体例]
図16は、記憶装置2aに記憶されたログ情報231の具体例を説明する図である。また、図17、図18、図20、図22、図23、図24、図25及び図27は、記憶装置2aに記憶されたログ情報231から取得されたログの具体例を説明する図である。
図16に示すログ情報231等は、各ログを識別する「項番」と、各ログが取得された時刻(以下、生成時刻とも呼ぶ)が設定される「時刻」と、各ログの内容が設定される「ログ内容」とを項目として有する。
図16に示すログ情報231等において、「ログ内容」には、各ログの内容が示す事象が発生したソフトウエアを識別する情報として、「AP1」、「AP2」、「AP3」及び「OS」のいずれかの文字情報が含まれる。「AP1」、「AP2」及び「AP3」は、それぞれソフトウエアを示す文字情報であり、「OS」は、各ソフトウエアが動作するOS(Operating System)を示す文字情報である。
また、図16に示すログ情報231において、「ログ情報」には、各ログの内容が示す事象の種別を識別する情報として、異常が発生していることを示す「ERROR」と異常が発生していないことを示す「INFO」とのいずれかの文字情報が含まれる。
具体的に、「項番」が「1」であるログには、「時刻」として「07:20」が設定され、「ログ内容」として「AP1 INFO AP1が起動しました。」という内容が設定されている。また、「項番」が「4」であるログには、「時刻」として「07:48」が設定され、「ログ内容」として「OS ERROR 接続が拒否されました。IP=10.20.30.40,errno=5656」が設定されている。図16に含まれる他の情報については説明を省略する。
そして、ログ特定部114は、S24の処理において、例えば、図16に示すログ情報231に含まれるログから、「時刻」に設定された時刻がS23の処理で特定したログ取得期間に含まれるログを取得する。具体的に、ログ取得期間が「10:20」から「10:40」までの間の期間である場合、図17に示すように、図16に示すログ情報231から、「項番」に「11」から「14」が設定されたログを取得する。
これにより、ログ特定部114は、サポート担当者が受け付けた問合せに対する調査を行う際に用いられる可能性が高いログを抽出することが可能になる。
図10に戻り、ログ特定部114は、特定のインシデントに対応するインシデント情報131に特定の用語が含まれているか否かを判定する(S31)。特定の用語は、例えば、一般用語以外の名詞からなる文字情報であって、インシデント情報131の「現象」に設定された文章に含まれる文字情報である。
具体的に、ログ特定部114は、例えば、特定のインシデント情報131の「現象」に設定された文字情報に対して形態素分割を行い、「☆テストユーザNo.1☆」、「ユーザ」、「登録」、「エラー」及び「発生」をそれぞれ特定する。ここで、「ユーザ」、「登録」、「エラー」及び「発生」は、一般用語である。そのため、ログ特定部114は、例えば、特定のインシデントに対応するインシデント情報131に、特定の用語である「☆テストユーザNo.1☆」が存在するものと判定する。
そして、特定のインシデント情報131に特定の用語が含まれていると判定した場合(S31のYES)、ログ特定部114は、S24の処理で特定したログに特定の用語を含むログが存在するか否かを判定する(S32)。
その結果、S24の処理で特定したログに特定の用語を含むログが存在すると判定した場合(S32のYES)、ログ特定部114は、S23の処理で特定したログ取得期間を、S32の処理で存在すると判定したログが取得された時刻の所定時間前から、S32の処理で存在すると判定したログが取得された時刻の所定時間後までの期間に更新する(S33)。
具体的に、図17に示すログのうちの「項番」が「12」であるログの「ログ内容」には、「☆テストユーザNo.1☆」の文字情報が含まれる。そして、「項番」が「12」であるログの「時刻」には「10:27」が設定されている。そのため、ログ特定部114は、この場合、ログ取得期間を「10:17」から「10:37」までの期間に更新する。
すなわち、インシデント情報131に含まれる各情報は、例えば、サポート担当者がユーザからの問合せの内容(例えば、ユーザから送信されたメールの内容)から抽出して設定した情報である。そのため、インシデント情報131に含まれる各情報は、必ずしも正確でない場合がある。そこで、ログ特定部114は、インシデント情報131の「現象」に含まれる特定の用語を含むログが存在した場合、そのログがユーザから受け付けた問合せの内容に対応するログであると判定する。そして、ログ特定部114は、ユーザから受け付けた問合せの内容に対応する事象が、存在したログの「時刻」に設定された時刻に発生したものと判定し、ログ取得期間の更新を行う。
これにより、ログ特定部114は、サポート担当者が受け付けた問合せに対する調査を行う際に用いられる可能性が高いログをより効率的に抽出することが可能になる。
その後、ログ特定部114は、記憶装置2aに記憶されたログ情報231から、S33の処理で更新したログ取得期間に取得されたログを取得する(S34)。具体的に、ログ特定部114は、ログ取得期間を「10:17」から「10:37」までの間の期間に更新した場合、図18に示すように、図16に示すログ情報231から、「項番」に「10」から「13」が設定されたログを取得する。
一方、特定のインシデント情報131に特定の用語が含まれていないと判定した場合(S31のNO)、または、S24の処理で特定したログに特定の用語を含むログが存在しないと判定した場合(S32のNO)、ログ特定部114は、S33及びS34の処理を行わない。すなわち、これらの場合、ログ特定部114は、ユーザから受け付けた問合せの内容に対応するログの特定を行うことができないため、ログ取得期間の更新等を行わない。
その後、ログ特定部114は、図11に示すように、情報格納領域130に記憶されたインシデント情報131を参照し、特定のインシデントに対応するインシデント情報131に対応するユーザを特定する(S41)。具体的に、ログ特定部114は、例えば、図15で説明したインシデント情報131を参照し、「ユーザ」に設定された情報である「User1」を特定する。
そして、ログ特定部114は、S41の処理で特定したユーザがログインを行った時刻がS23の処理で特定したログ取得期間(S33の処理で更新したログ取得期間)に含まれているか否かを判定する(S42)。その結果、S41の処理で特定したユーザがログインを行った時刻がログ取得期間に含まれていないと判定した場合(S42のNO)、ログ特定部114は、S41の処理で特定したユーザがログインを行った時刻を特定する(S43)。
具体的に、ログ特定部114は、情報格納領域130に記憶された認証情報133を参照し、S41の処理で特定したユーザがログインを行った時刻を特定する。認証情報133は、例えば、各ユーザが各ソフトウエア(仮想マシン3で動作するソフトウエア)にログインした時刻またはログアウトした時刻を示す情報である。なお、S41の処理で特定したユーザが複数のソフトウエアについてそれぞれログインを行っている場合、ログ特定部114は、S41の処理で特定したユーザがログインを行った時刻のうちの最も早い時間を特定するものであってよい。以下、認証情報133の具体例について説明を行う。
[認証情報の具体例]
図19は、認証情報133の具体例を説明する図である。図19に示す認証情報133には、「07:52」、「User2」、「AP1」及び「ログイン」が対応付けられた情報が含まれる。すなわち、図19に示す認証情報133には、User2が「07:52」にAP1にログインを行ったことを示す情報が含まれる。また、図19に示す認証情報133には、「08:02」、「User1」、「AP1」及び「ログイン」が対応付けられた情報が含まれる。すなわち、図19に示す認証情報133には、User1が「08:02」にAP1にログインを行ったことを示す情報が含まれる。図19に含まれる他の情報については説明を省略する。
そして、S23の処理で特定したログ取得期間(S33の処理で更新したログ取得期間)が「10:17」から「10:37」までの間の期間である場合、User1がログインを行った時刻である「08:02」は、ログ取得期間に含まれない。そのため、ログ特定部114は、例えば、S43の処理において、User1がログインを行った時刻である「08:02」を特定する。
図11に戻り、ログ特定部114は、S23の処理で特定したログ取得期間(S33の処理で更新したログ取得期間)の開始時刻を、S43の処理で特定した時刻に更新する(S44)。具体的に、ログ取得期間が「10:17」から「10:37」までの間の期間であり、User1がログインを行った時刻である「08:02」である場合、ログ特定部114は、ログ取得期間を「08:02」から「10:37」までの間の期間に更新する。
そして、ログ特定部114は、記憶装置2aに記憶されたログ情報231から、S44の処理で更新したログ取得期間に取得されたログを取得する(S45)。具体的に、ログ特定部114は、ログ取得期間を「08:02」から「10:37」までの間の期間に更新した場合、図20に示すように、図16に示すログ情報231から、「項番」に「5」から「13」が設定されたログを取得する。
すなわち、サポート担当者が受け付けた問合せに対する調査を行う際に用いられるログは、問合せを行ったユーザがログインを行った後に含まれている可能性がある。そのため、ログ特定部114は、問合せを行ったユーザがいずれかのソフトウエアにログインを行った時刻がログ取得時間よりも前にある場合、そのログインの時刻がログ取得時間に含まれるように開始時刻を早める。
これにより、ログ特定部114は、サポート担当者が受け付けた問合せに対する調査を行う際に用いられる可能性が高いログをより効率的に抽出することが可能になる。
なお、S41の処理で特定したユーザがログインを行った時刻がログ取得期間に含まれていると判定した場合(S42のYES)、ログ特定部114は、S43からS45の処理を行わない。すなわち、この場合、ログ特定部114は、ログ取得期間の開始時刻を前の時刻に更新する必要がないため、ログ取得期間の更新等を行わない。
続いて、ログ特定部114は、図12に示すように、S24、S34またはS45の処理で取得したログのうち、S22の処理で特定した発生時刻(S32の処理で存在したログが取得された時刻)から、S23の処理で特定したログ取得期間(S33の処理等で更新したログ取得期間)の終了時刻までの間に取得されたログを特定する。そして、ログ特定部114は、特定したログのうち、S41の処理で特定したユーザに対応するログであって、特定種別の文字情報を含むログが存在するか否かを判定する(S51)。特定種別の文字情報は、例えば、「ERROR」からなる文字情報である。
具体的に、ログ特定部114は、例えば、情報格納領域130に記憶された利用情報132を参照し、S41の処理で特定したユーザが利用するソフトウエアを特定する。そして、ログ特定部114は、例えば、特定したソフトウエアを示す文字情報と「ERROR」からなる文字情報とを含む文字情報が「ログの内容」に設定されたログを特定する。以下、利用情報132の具体例について説明を行う。
[利用情報の具体例]
図21は、利用情報132の具体例を説明する図である。図21に示す利用情報132は、「AP1」を利用するユーザが「User1」及び「User2」であり、「AP2」を利用するユーザが「User1」及び「User2」であり、「AP3」を利用するユーザが「User2」及び「User3」であることを示している。
そのため、ログ特定部114は、S51の処理において、図15で説明したインシデント情報131の「ユーザ」に設定された情報が「User1」である場合、「User1」が利用するソフトウエアとして「AP1」及び「AP2」を特定する。
ここで、インシデントの発生時刻が「10:27」であって、ログ取得時間の終了時刻が「10:37」である場合、図20に示すログ情報231において、インシデントの発生時刻とログ取得時間の終了時刻との間の時刻が「時刻」に設定されたログは、「項番」が「13」であるログのみである。そして、「項番」が「13」であるログの「ログ内容」には、「ERROR」からなる文字情報が含まれているが、「AP1」、「AP2」または「OS」からなる文字情報は含まれていない。そのため、ログ特定部114は、この場合、S51の処理において、条件に合致するログが存在しないと判定する(S52のNO)。
図12に戻り、S51の処理でログが存在しないと判定した場合(S52のNO)、ログ特定部114は、例えば、S23の処理で特定したログ取得期間(S33の処理等で更新したログ取得期間)よりも後に取得されたログのうち、S41の処理で特定したユーザに対応するログであって、特定種別の文字情報を含むログが取得された時刻のうちの最初の時刻を特定する(S53)。そして、ログ特定部114は、S23の処理で特定したログ取得期間(S33またはS44の処理で更新したログ取得期間)の終了時刻を、S53の処理で特定した時刻に更新する(S54)。
具体的に、ログ特定部114は、例えば、図16で説明したログ情報231から、ログ取得期間の終了時刻である「10:37」よりも後の時刻が「時刻」に設定されたログであって、「AP1」、「AP2」または「OS」からなる文字情報と「ERROR」からなる文字情報とを含む文字情報が「ログ内容」に含まれるログとして、「項番」が「15」及び「17」であるログを特定する。そして、ログ特定部114は、「項番」が「15」及び「17」であるログのうち、最初に取得されたログである「項番」が「15」であるログを特定する。さらに、ログ特定部114は、ログ取得期間の終了時刻である「10:37」を、「項番」が「15」であるログの「時刻」に設定された「10:51」に更新する。
すなわち、サポート担当者が受け付けた問合せに対する調査を行う際に用いられるログは、S23の処理で特定したログ取得期間(S33の処理等で更新したログ取得期間)よりも後の時刻に取得された可能性がある。また、調査を行う際に用いられるログは、異常な事象が発生したことを示す「ERROR」の文字情報を含む可能性が高い。
そこで、ログ特定部114は、ログ取得時間に取得されたログのうち、インシデントの発生時刻とログ取得時間の終了時刻との間に取得されたログに、「ERROR」の文字情報を含むログが存在しない場合、調査を行う際に用いられるログがログ取得時間の後に取得されている可能性があると判定する。そして、ログ特定部114は、この場合、ログ取得期間の終了時刻を、ログ取得時間よりも後に取得されたログであって、「AP1」、「AP2」または「OS」からなる文字情報と「ERROR」の文字情報を含むログのうち、最初に取得されたログが取得された時刻に更新する。
その後、ログ特定部114は、記憶装置2aに記憶されたログ情報のうち、S54の処理で更新したログ取得期間に取得されたログ(第1のログ)を取得する(S55)。具体的に、ログ特定部114は、ログ取得期間を「08:02」から「10:51」までの間の期間に更新した場合、図22に示すように、図16に示すログ情報231から、「項番」に「5」から「15」が設定されたログを取得する。
一方、ログ特定部114は、S51の処理でログが存在すると判定した場合(S52のYES)、S53、S54及びS55の処理を行わない。すなわち、この場合、ログ特定部114は、ログ取得期間の終了時刻を後の時刻に更新する必要がないため、ログ取得期間の更新等を行わない。
そして、ログ特定部114は、図13に示すように、情報格納領域130に記憶されたログ情報231を参照し、ログ情報231に含まれる複数のログのうち、S23の処理で特定したログ取得期間(S33の処理等で更新したログ取得期間)以外の期間に取得されたログ(第2のログ)を取得する(S61)。具体的に、ログ特定部114は、図23に示すように、図16で説明したログ情報231のうち、図22で説明した第1のログ以外のログ(「項番」が「1」から「4」であるログ及び「項番」が「16」から「18」であるログ)を、第2のログとして取得する。
なお、ログ特定部114は、記憶装置2aに記憶されたログ情報231のうち、第1のログ以外のログの一部のみを第2のログとして取得するものであってもよい。具体的に、ログ特定部114は、例えば、S22の処理で特定した発生時刻(S32の処理で存在したログが取得された時刻)の所定時間前(例えば、1時間前)の時刻から、その発生時刻の所定時間後(例えば、1時間後)の時刻まで間に取得されたログのうち、第1のログ以外のログを第2のログとして取得するものであってもよい。
その後、情報処理装置1の文字情報変換部115は、S55の処理で取得した第1のログのうち、S41の処理で特定したユーザに対応するログであって、特定種別の文字情報を含むログに含まれる文字情報を、その文字情報よりも秘匿性が高い第1の文字情報に変換する(S62)。
また、文字情報変換部115は、S61の処理で取得した第2のログのうち、特定種別の文字情報を含むログに含まれる文字情報を、第1の文字情報よりも秘匿性が高い第2の文字情報に変換する(S63)。さらに、文字情報変換部115は、S55の処理で取得した第1のログのうち、S62の処理で文字情報の変換が行われたログ以外のログに含まれる文字情報を、第2の文字情報に変換する(S64)。以下、S62からS64の処理で文字情報を変換した後のログについて説明を行う。
[文字情報を変換した後のログの具体例(1)]
図24は、S62からS64の処理で文字情報を変換した後のログの具体例を説明する図である。図24に示すログのうち、「項番」が「1」から「4」であるログ及び「項番」が「16」から「18」であるログは、図23に示す第2のログに含まれる文字情報を変換した後のログである(S63)。また、図24に示すログのうち、「項番」が「5」から「15」であるログは、図22に示す第1のログに含まれる文字情報を変換した後のログである(S62、S64)。
以下、第2の文字情報への変換は、変換対象の文字情報の全てを「XXXX」に変換することにより行われるものとする。また、第1の文字情報への変換は、変換対象の文字情報がIPアドレスである場合、「IPaddr1」に変換し、変換対象の文字情報がユーザ名である場合、「Username1」に変換することにより行われるものとする。また、第1の文字情報への変換は、変換対象の文字情報がホスト名である場合、「hostname1」に変換することにより行われるものとする。なお、変換後においても変換前の文字情報の一意性を確保するために、末尾の「1」は変換前の文字情報毎に変わるものとする。
さらに、第3の文字情報への変換は、変換対象の文字情報の文字数を変えることなく、変換対象の文字情報に含まれる数字を「1」に変換し、ひらがなを「あ」に変換し、カタカナを「ア」に変換し、漢字を「全」に変換し、記号を「○」に変換することにより行われるものとする。なお、変換後においても変換前の文字情報の一意性を確保するために、末尾の1文字は変換前の文字情報毎に変わるものとする。
具体的に、図24に示す第1のログ(「項番」が「5」から「15」であるログ)のうち、S41の処理で特定したユーザが利用するソフトウエアである「AP1」、「AP2」または「OS」からなる文字情報と「ERROR」からなる文字情報とを含むログは、「項番」が「5」、「6」、「8」、「10」、「12」及び「15」であるログである。
そのため、文字情報変換部115は、図24の下線部分に示すように、例えば、図16で説明したログ情報231における「項番」が「5」であるログの「ログ内容」に設定された情報のうち、「hostname=」に続く文字情報を「dbserver1」から第1の文字情報である「hostname1」に変換する。また、文字情報変換部115は、例えば、図16で説明したログ情報231における「項番」が「6」であるログの「ログ内容」に設定された情報のうち、「hostname=」に続く文字情報を「dbserver2」から第1の文字情報である「hostname2」に変換する。さらに、文字情報変換部115は、例えば、図16で説明したログ情報231における「項番」が「8」であるログの「ログ内容」に設定された情報のうち、「IP=」に続く文字情報を「10.20.30.60」から第1の文字情報である「IPaddr1」に変換する。
一方、図24に示す第1のログ(「項番」が「5」から「15」であるログ)のうち、S41の処理で特定したユーザが利用するソフトウエアである「AP1」、「AP2」または「OS」からなる文字情報と「ERROR」からなる文字情報との両方を含まないログは、「項番」が「7」、「9」、「11」、「13」及び「14」であるログである。また、図24に示す第2のログは、「項番」が「1」から「4」であるログ及び「項番」が「16」から「18」であるログである。
そのため、文字情報変換部115は、図24の下線部分に示すように、例えば、図16で説明したログ情報231における「項番」が「7」であるログの「ログ内容」に設定された情報のうち、「IP=」に続く文字情報を「10.20.30.50」から第2の文字情報である「XXXX」に変換する。また、文字情報変換部115は、例えば、図16で説明したログ情報231における「項番」が「14」であるログの「ログ内容」に設定された情報のうち、「IP=」に続く文字情報を「10.20.30.60」から第2の文字情報である「XXXX」に変換する。
すなわち、第1のログは、調査対象のインシデントの発生時刻に近い時刻に取得されたログである。そして、第1のログのうち、サポート担当者に対して問合せを行ったユーザが利用するソフトウエアの関するログは、調査対象のインシデントの調査に用いられる可能性が高いログであると判断できる。
そのため、文字情報変換部115は、第1のログのうち、S41の処理で特定したユーザが利用するソフトウエアの関するログの秘匿性を、第1のログのうち、S41の処理で特定したユーザ以外のユーザが利用するソフトウエアに関するログの秘匿性よりも低くする。同様に、文字情報変換部115は、第1のログのうち、S41の処理で特定したユーザが利用するソフトウエアの関するログの秘匿性を、第2のログの秘匿性よりも低くする。
これにより、情報処理装置1は、調査に用いられる可能性が高いログの秘匿性を相対的に低くし、調査に用いられる可能性がログの秘匿性を相対的に高くすることが可能になる。そのため、情報処理装置1は、サポート担当者による調査を妨げることなく、サポート担当者が調査に用いないログの秘匿性を維持することが可能になる。
なお、図19で説明した認証情報133には、User1がAP2にログインしたことを示す情報が含まれていない。そのため、情報処理装置1は、「AP2」からなる文字情報を含むログが、問合せに対する調査を行う際に用いられる可能性が低いログであると判定するものであってよい。そして、文字情報変換部115は、この場合、第1のログのうち、「AP2」からなる文字情報を含むログに含まれる文字情報については、第2の文字情報に変換するものであってもよい(S62、S64)。
これにより、文字情報変換部115は、秘匿性を低くするログをより限定することが可能になる。
そして、文字情報変換部115は、図14に示すように、S62の処理で変換したログに特定の用語を含むログが存在するか否かを判定する(S71)。具体的に、文字情報変換部115は、例えば、S31の処理において特定のインシデント情報131に含まれるか否かの判定を行った文字情報(例えば、「☆テストユーザNo.1☆」)を含むログが存在するか否かを判定する。
その結果、S62の処理で変換したログに特定の用語を含むログが存在すると判定した場合(S71のYES)、文字情報変換部115は、S71の処理で存在したログのうち、S41の処理で特定したユーザに対応するログに含まれる文字情報を、第1の文字情報よりも秘匿性が低い第3の文字情報に変換する(S73)。
すなわち、インシデント情報131の「現象」に含まれる特定の用語を含むログが存在した場合、文字情報変換部115は、存在したログがユーザから受け付けた問合せの内容に対応するものと判定する。そのため、文字情報変換部115は、特定の用語を含むログが調査に用いられる可能性が極めて高いログであると判定し、特定の用語を含むログの秘匿性をさらに低くする。以下、S73の処理で文字情報を変換した後のログについて説明を行う。
[文字情報を変換した後のログの具体例(2)]
図25は、S73の処理で文字情報を変換した後のログの具体例を説明する図である。具体的に、図25に示す第1のログのうち、特定の用語である「☆テストユーザNo.1☆」からなる文字情報と、S41の処理で特定したユーザが利用するソフトウエアである「AP1」、「AP2」または「OS」からなる文字情報と、「ERROR」からなる文字情報とを含むログは、「項番」が「12」であるログのみである。
そのため、文字情報変換部115は、図25の下線部分に示すように、例えば、図24で説明したログ情報231における「項番」が「12」であるログの「ログ内容」に設定された情報のうち、「Username=」に続く文字情報を「Username1」から第3の文字情報である「○アアアアアア○全○」に変換する。
これにより、文字情報変換部115は、サポート担当者による調査がログの秘匿化によって妨げられる可能性をより低くすることを可能になる。
図14に戻り、S62の処理で変換したログに特定の用語を含むログが存在しないと判定した場合(S71のNO)、文字情報変換部115は、S62の処理で変換した第1のログのうち、S41の処理で特定したユーザに対応するログに含まれる文字情報を、第1の文字情報よりも秘匿性が低い第3の文字情報に変換する(S72)。
すなわち、インシデント情報131の「現象」に含まれる特定の用語を含むログが存在しない場合、文字情報変換部115は、第1のログに含まれるログのうち、調査に用いられる可能性が極めて高いログを特定することができない。そのため、文字情報変換部115は、例えば、第1のログに含まれる文字情報の秘匿性を一律に低くする。以下、S72の処理で文字情報を変換した後のログについて説明を行う。
[文字情報を変換した後のログの具体例(3)]
図26は、図15で説明したインシデント情報131とは異なるインシデント情報131の具体例である。また、図27は、S72の処理で文字情報を変換した後のログの具体例を説明する図である。
初めに、図26に示すインシデント情報131について説明を行う。図26に示すインシデント情報131の「インシデント番号」、「発生日時」、「ユーザ」及び「発生ソフト」には、図15で説明したインシデント情報131と同じ情報が設定されている。そして、図26に示すインシデント情報131の「現象」には、「複数のサーバーのCPU使用率が上限閾値を超えたままになっている。」という内容の文字情報が設定されている。
ここで、図26に示すインシデント情報131の「現象」に設定された文字情報には、一般用語以外の文字情報が含まれない。そのため、文字情報変換部115は、S62の処理で文字情報を変換したログに特定の用語を含むログが存在しないものと判定する(S71のNO)。したがって、文字情報変換部115は、この場合、S71の処理で存在したログのうち、S41の処理で特定したユーザが利用するソフトウエアである「AP1」、「AP2」または「OS」からなる文字情報と、「ERROR」からなる文字情報とを含むログに含まれる文字情報を、第3の文字情報に変換する。
次に、S72の処理で文字情報を変換した後のログの具体例について説明を行う。図27に示す第1のログ(「項番」が「5」から「15」であるログ)のうち、S41の処理で特定したユーザが利用するソフトウエアである「AP1」、「AP2」または「OS」からなる文字情報と、「ERROR」からなる文字情報とを含むログは、「項番」が「5」、「6」、「8」、「10」、「12」及び「15」であるログである。
そのため、文字情報変換部115は、図27の下線部分に示すように、例えば、図24で説明したログ情報231における「項番」が「5」であるログの「ログ内容」に設定された情報のうち、「hostname=」に続く文字情報を「hostname1」から第3の文字情報である「aaaaaaaa1」に変換する。また、文字情報変換部115は、例えば、図24で説明したログ情報231における「項番」が「6」であるログの「ログ内容」に設定された情報のうち、「hostname=」に続く文字情報を「hostname2」から第3の文字情報である「aaaaaaaa2」に変換する。また、文字情報変換部115は、例えば、図24で説明したログ情報231における「項番」が「8」であるログの「ログ内容」に設定された情報のうち、「IP=」に続く文字情報を「IPaddr1」から第3の文字情報である「11.11.11.11」に変換する。さらに、文字情報変換部115は、例えば、図24で説明したログ情報231における「項番」が「12」であるログの「ログ内容」に設定された情報のうち、「Username=」に続く文字情報を「Username1」から第3の文字情報である「○アアアアアア○全○」に変換する。
これにより、文字情報変換部115は、インシデント情報131の「現象」に含まれる特定の用語を含むログが存在しない場合であっても、サポート担当者による調査がログの秘匿化によって妨げられる可能性をより低くすることを可能になる。
以上の実施の形態をまとめると、以下の付記のとおりである。
(付記1)
インシデントの発生時刻を特定し、
ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定し、
特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力する、
処理をコンピュータに実行させることを特徴とするログ出力プログラム。
(付記2)
付記1において、
前記期間は、前記発生時刻の所定時間前の時刻から前記発生時刻の所定時間後の時刻までの期間である、
ことを特徴とするログ出力プログラム。
(付記3)
付記1において、
前記新たなログ情報を出力する処理では、前記第1のログに特定種別の文字情報を含むログが含まれる場合、前記特定種別の文字情報を含むログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が低い第3の文字情報に変換された前記新たなログ情報の出力を行う、
ことを特徴とするログ出力プログラム。
(付記4)
付記3において、
前記特定種別の文字情報は、前記ソフトウエアの実行に伴って異常が発生したことを示す文字情報である、
ことを特徴とするログ出力プログラム。
(付記5)
付記3において、
前記新たなログ情報を出力する処理では、前記インシデントに含まれる特定の用語を含むログが前記第1のログに含まれる場合、前記第1のログのうち、前記特定の用語を含むログに含まれる文字情報が、前記第3の文字情報に変換された前記新たなログ情報の出力を行い、前記特定の用語を含むログが前記第1のログに含まれていない場合、前記第1のログのそれぞれに含まれる文字情報が、前記第3の文字情報に変換された前記新たなログ情報の出力を行う、
ことを特徴とするログ出力プログラム。
(付記6)
付記1において、
前記新たなログ情報を出力する処理では、前記第1のログに、前記インシデントに関連する特定のユーザ以外のユーザが利用するソフトウエアのログが含まれる場合、前記特定のユーザが利用するソフトウエアのログに含まれる文字情報が、前記第1の文字情報に変換され、前記特定のユーザ以外のユーザが利用するソフトウエアのログに含まれる文字情報が、前記第2の文字情報に変換された前記新たなログ情報の出力を行う、
ことを特徴とするログ出力プログラム。
(付記7)
付記1において、
前記複数のログは、各ログの生成時刻をそれぞれ有し、さらに、
前記新たなログ情報を出力する処理の前において、前記第1のログに、前記生成時刻が前記インシデントの発生時刻から前記期間の終了時刻までの間であるログであって特定種別の文字情報を含むログが含まれていない場合、前記期間の終了時刻を、前記生成時刻が前記期間の後であるログであって前記特定種別の文字情報を含む最初のログの前記生成時刻に変更する、
ことを特徴とするログ出力プログラム。
(付記8)
付記1において、
前記複数のログは、各ログの生成時刻をそれぞれ有し、さらに、
前記新たなログ情報を出力する処理の前において、前記第1のログに特定のユーザのログインに関するログが含まれていない場合、前記期間の開始時刻を、前記特定のユーザのログインに関するログの前記生成時刻に変更する、
ことを特徴とするログ出力プログラム。
(付記9)
インシデントの発生時刻を特定する発生時刻特定部と、
ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定するログ特定部と、
特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力するログ出力部と、を有する、
ことを特徴とする情報処理装置。
(付記10)
付記9において、
ログ出力部は、前記第1のログに特定種別の文字情報を含むログが含まれる場合、前記特定種別の文字情報を含むログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が低い第3の文字情報に変換された前記新たなログ情報の出力を行う、
ことを特徴とする情報処理装置。
(付記11)
インシデントの発生時刻を特定し、
ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定し、
特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力する、
ことを特徴とするログ出力方法。
(付記12)
付記11において、
前記新たなログを出力する工程では、前記第1のログに特定種別の文字情報を含むログが含まれる場合、前記特定種別の文字情報を含むログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が低い第3の文字情報に変換された前記新たなログ情報の出力を行う、
ことを特徴とするログ出力方法。
1:情報処理装置 1a:記憶装置
2:物理マシン 2a:記憶装置
3a:仮想マシン 3b:仮想マシン
3c:仮想マシン 4:操作端末

Claims (10)

  1. インシデントの発生時刻を特定し、
    ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定し、
    特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力する、
    処理をコンピュータに実行させることを特徴とするログ出力プログラム。
  2. 請求項1において、
    前記期間は、前記発生時刻の所定時間前の時刻から前記発生時刻の所定時間後の時刻までの期間である、
    ことを特徴とするログ出力プログラム。
  3. 請求項1において、
    前記新たなログ情報を出力する処理では、前記第1のログに特定種別の文字情報を含むログが含まれる場合、前記特定種別の文字情報を含むログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が低い第3の文字情報に変換された前記新たなログ情報の出力を行う、
    ことを特徴とするログ出力プログラム。
  4. 請求項3において、
    前記特定種別の文字情報は、前記ソフトウエアの実行に伴って異常が発生したことを示す文字情報である、
    ことを特徴とするログ出力プログラム。
  5. 請求項3において、
    前記新たなログ情報を出力する処理では、前記インシデントに含まれる特定の用語を含むログが前記第1のログに含まれる場合、前記第1のログのうち、前記特定の用語を含むログに含まれる文字情報が、前記第3の文字情報に変換された前記新たなログ情報の出力を行い、前記特定の用語を含むログが前記第1のログに含まれていない場合、前記第1のログのそれぞれに含まれる文字情報が、前記第3の文字情報に変換された前記新たなログ情報の出力を行う、
    ことを特徴とするログ出力プログラム。
  6. 請求項1において、
    前記新たなログ情報を出力する処理では、前記第1のログに、前記インシデントに関連する特定のユーザ以外のユーザが利用するソフトウエアのログが含まれる場合、前記特定のユーザが利用するソフトウエアのログに含まれる文字情報が、前記第1の文字情報に変換され、前記特定のユーザ以外のユーザが利用するソフトウエアのログに含まれる文字情報が、前記第2の文字情報に変換された前記新たなログ情報の出力を行う、
    ことを特徴とするログ出力プログラム。
  7. 請求項1において、
    前記複数のログは、各ログの生成時刻をそれぞれ有し、さらに、
    前記新たなログ情報を出力する処理の前において、前記第1のログに、前記生成時刻が前記インシデントの発生時刻から前記期間の終了時刻までの間であるログであって特定種別の文字情報を含むログが含まれていない場合、前記期間の終了時刻を、前記生成時刻が前記期間の後であるログであって前記特定種別の文字情報を含む最初のログの前記生成時刻に変更する、
    ことを特徴とするログ出力プログラム。
  8. 請求項1において、
    前記複数のログは、各ログの生成時刻をそれぞれ有し、さらに、
    前記新たなログ情報を出力する処理の前において、前記第1のログに特定のユーザのログインに関するログが含まれていない場合、前記期間の開始時刻を、前記特定のユーザのログインに関するログの前記生成時刻に変更する、
    ことを特徴とするログ出力プログラム。
  9. インシデントの発生時刻を特定する発生時刻特定部と、
    ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定するログ特定部と、
    特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力するログ出力部と、を有する、
    ことを特徴とする情報処理装置。
  10. インシデントの発生時刻を特定し、
    ソフトウエアのログ情報を記憶する記憶部を参照して、前記ログ情報に含まれる複数のログのうち、特定した前記発生時刻に応じた期間に取得された第1のログと、前記期間以外の期間に取得された第2のログとを特定し、
    特定した前記第1のログに含まれる文字情報が、該文字情報よりも秘匿性が高い第1の文字情報に変換され、かつ、特定した前記第2のログに含まれる文字情報が、前記第1の文字情報よりも秘匿性が高い第2の文字情報に変換された新たなログ情報を出力する、
    ことを特徴とするログ出力方法。
JP2017001029A 2017-01-06 2017-01-06 ログ出力プログラム、情報処理装置及びログ出力方法 Expired - Fee Related JP6820472B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017001029A JP6820472B2 (ja) 2017-01-06 2017-01-06 ログ出力プログラム、情報処理装置及びログ出力方法
US15/848,261 US20180196959A1 (en) 2017-01-06 2017-12-20 Log output apparatus and log output method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017001029A JP6820472B2 (ja) 2017-01-06 2017-01-06 ログ出力プログラム、情報処理装置及びログ出力方法

Publications (2)

Publication Number Publication Date
JP2018109930A true JP2018109930A (ja) 2018-07-12
JP6820472B2 JP6820472B2 (ja) 2021-01-27

Family

ID=62781904

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017001029A Expired - Fee Related JP6820472B2 (ja) 2017-01-06 2017-01-06 ログ出力プログラム、情報処理装置及びログ出力方法

Country Status (2)

Country Link
US (1) US20180196959A1 (ja)
JP (1) JP6820472B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007265296A (ja) * 2006-03-29 2007-10-11 Fujitsu Ltd ログ提供システム、ログ提供方法、およびコンピュータプログラム
JP2011065364A (ja) * 2009-09-16 2011-03-31 Konica Minolta Business Technologies Inc ログ管理装置、ログ管理方法、およびコンピュータプログラム
JP2011237975A (ja) * 2010-05-10 2011-11-24 Ricoh Co Ltd 情報処理システム
JP2014067369A (ja) * 2012-09-27 2014-04-17 Fujitsu Ltd 情報処理装置,プログラム,情報処理方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013098915A1 (ja) * 2011-12-26 2013-07-04 株式会社日立製作所 管理サーバ、管理システム、および、管理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007265296A (ja) * 2006-03-29 2007-10-11 Fujitsu Ltd ログ提供システム、ログ提供方法、およびコンピュータプログラム
JP2011065364A (ja) * 2009-09-16 2011-03-31 Konica Minolta Business Technologies Inc ログ管理装置、ログ管理方法、およびコンピュータプログラム
JP2011237975A (ja) * 2010-05-10 2011-11-24 Ricoh Co Ltd 情報処理システム
JP2014067369A (ja) * 2012-09-27 2014-04-17 Fujitsu Ltd 情報処理装置,プログラム,情報処理方法

Also Published As

Publication number Publication date
US20180196959A1 (en) 2018-07-12
JP6820472B2 (ja) 2021-01-27

Similar Documents

Publication Publication Date Title
US11750607B2 (en) Identifying accounts having shared credentials
US20220006828A1 (en) System and user context in enterprise threat detection
US11916920B2 (en) Account access security using a distributed ledger and/or a distributed file system
JP6626095B2 (ja) 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム
CN110704863B (zh) 配置信息处理方法、装置、计算机设备和存储介质
EP3794487B1 (en) Obfuscation and deletion of personal data in a loosely-coupled distributed system
CN109194671B (zh) 一种异常访问行为的识别方法及服务器
US20170178026A1 (en) Log normalization in enterprise threat detection
US20150339479A1 (en) Polymorphic Treatment of Data Entered At Clients
US20180285596A1 (en) System and method for managing sensitive data
EP2860906A1 (en) Identity authentication method and device
CN108809895B (zh) 弱口令的检测方法和装置
US20170178025A1 (en) Knowledge base in enterprise threat detection
JP6030272B2 (ja) ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム
US20150106903A1 (en) Information processing system, information processing method, and non-transitory computer-readable medium
WO2019120038A1 (zh) 数据加密存储
US10067862B2 (en) Tracking asynchronous entry points for an application
US9646149B2 (en) Accelerated application authentication and content delivery
JP2015070615A (ja) Nxdクエリの監視方法
JP6820472B2 (ja) ログ出力プログラム、情報処理装置及びログ出力方法
JPWO2020170806A1 (ja) 推定方法、推定装置及び推定プログラム
CN107517177B (zh) 接口授权的方法和装置
US20220269769A1 (en) Delegating multi-factor authentication in legacy databases
JP6836068B2 (ja) 学習方法、学習装置、学習プログラム、検索方法、検索装置及び検索プログラム
CN114329591A (zh) 应用接口的访问用户确定方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190910

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201214

R150 Certificate of patent or registration of utility model

Ref document number: 6820472

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees