JP2020052669A - Terminal device, file analysis device, file analysis system, file analysis method and program - Google Patents
Terminal device, file analysis device, file analysis system, file analysis method and program Download PDFInfo
- Publication number
- JP2020052669A JP2020052669A JP2018180718A JP2018180718A JP2020052669A JP 2020052669 A JP2020052669 A JP 2020052669A JP 2018180718 A JP2018180718 A JP 2018180718A JP 2018180718 A JP2018180718 A JP 2018180718A JP 2020052669 A JP2020052669 A JP 2020052669A
- Authority
- JP
- Japan
- Prior art keywords
- file
- analysis
- log
- unit
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
Description
本発明は、端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラムに関する。 The present invention relates to a terminal device, a file analysis device, a file analysis system, a file analysis method, and a program.
分析対象となるシステムにおいて発生するログを取得して分析するログ分析システムが知られている(例えば、特許文献1参照。)。当該ログとして、例えば、セキュリティに関するログがある。
このようなログ分析システムでは、セキュリティ用のセンサが、分析対象となるシステムにおいて発生するログを監視して検出する。このような監視は、常時行われる。また、当該ログ分析システムでは、分析対象となるシステムが、センサによって検出されたログをネットワークを介してログ分析装置に伝送する。また、当該ログ分析システムでは、ログ分析装置が、分析対象となるシステムから伝送されたログを分析する。
2. Description of the Related Art A log analysis system that acquires and analyzes a log generated in a system to be analyzed is known (for example, see Patent Literature 1). The log includes, for example, a log related to security.
In such a log analysis system, a security sensor monitors and detects a log generated in a system to be analyzed. Such monitoring is always performed. In the log analysis system, a system to be analyzed transmits a log detected by a sensor to a log analysis device via a network. In the log analysis system, the log analysis device analyzes the log transmitted from the analysis target system.
しかしながら、このようなログ分析システムを動作させるためには、センサによって検出されたログをログ分析装置に伝送するための設定が必要であった。当該設定としては、例えば、センサの環境を整えるための設定、および、ネットワークの環境を整えるための設定を含む。
このため、ログ分析システムを動作させるために、このような環境の設定を行う作業に時間および負担がかかる場合があった。また、ログ分析システムを動作させるために、センサの環境およびネットワークの環境を変更する必要があるが、分析対象となるシステムを有する組織等によっては、このような変更の許可を得ることが難しい場合があった。
However, in order to operate such a log analysis system, a setting for transmitting a log detected by a sensor to a log analysis device is required. The setting includes, for example, a setting for preparing a sensor environment and a setting for preparing a network environment.
Therefore, in order to operate the log analysis system, it takes time and burden to perform such an environment setting operation. In addition, in order to operate the log analysis system, it is necessary to change the environment of the sensor and the environment of the network. was there.
上記のように、従来では、ログ分析システムを動作可能な状態にするための初期的な負担が大きかった。 As described above, conventionally, the initial burden for making the log analysis system operable was large.
本発明の実施形態は、このような事情に鑑み、簡易にログの分析を行うことができる端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラムを提供する。 In view of such circumstances, embodiments of the present invention provide a terminal device, a file analysis device, a file analysis system, a file analysis method, and a program that can easily perform log analysis.
本発明の一態様に係る端末装置は、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、前記ファイル生成部によって生成された前記ファイルをファイル分析装置に送信するファイル送信部と、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、を備える端末装置である。 The terminal device according to an aspect of the present invention acquires a part of the plurality of logs output from a security sensor that constantly monitors a log and outputs the constantly monitored log, and obtains the acquired log. A file generation unit that generates a file including the log, a file transmission unit that transmits the file generated by the file generation unit to a file analysis device, and a notification of an analysis result of the file sent from the file analysis device. And a notification control unit.
本発明の一態様に係る端末装置において、分析対象とされることが不要である不要ログを特定する情報に基づいて、前記不要ログを前記ファイルに含められる前記ログから削減することで、前記ファイルに含められる前記ログのデータ量を削減する不要ログ削減部を備える、構成であってもよい。
本発明の一態様に係る端末装置において、前記ファイルに含められる前記ログの範囲を削減することで、前記ファイルに含められる前記ログのデータ量を所定の上限値以下とするログ範囲削減部を備える、構成であってもよい。
本発明の一態様に係る端末装置において、前記ファイルの分析の要求が可能であるか否かを判定する分析要求可否判定部を備える、構成であってもよい。
In the terminal device according to an aspect of the present invention, based on information identifying unnecessary logs that are not required to be analyzed, the unnecessary logs may be reduced from the logs included in the file, so that the file And an unnecessary log reduction unit that reduces the amount of log data included in the log.
The terminal device according to an aspect of the present invention includes a log range reduction unit configured to reduce a range of the log included in the file to reduce a data amount of the log included in the file to a predetermined upper limit or less. , May be a configuration.
The terminal device according to an aspect of the present invention may be configured to include an analysis request availability determination unit that determines whether a request for analysis of the file is possible.
本発明の一態様に係るファイル分析装置は、端末装置から送信されたファイルを受信する受信部と、前記受信部によって受信された前記ファイルについて分析を行うファイル分析部と、前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、を備え、前記ファイルは、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを含む。
本発明の一態様に係るファイル分析装置において、前記ファイル分析部によって行われる前記分析に関する課金情報を管理する管理部を備え、前記課金情報は、前記分析の回数に応じた金額の情報を含み、前記分析の回数に応じた金額の情報は、前記分析の回数に応じた有料の金額の情報、または、前記分析の回数が所定の回数以下では無料であることを示す情報である、構成であってもよい。
A file analyzing device according to an aspect of the present invention includes a receiving unit that receives a file transmitted from a terminal device, a file analyzing unit that analyzes the file received by the receiving unit, and a file analyzing unit that performs analysis by the file analyzing unit. A notification unit that sends a notification of the result of the analysis of the file to the terminal device, wherein the file is a plurality of the security sensors that constantly monitor a log and output the log that is constantly monitored. The log includes a part of the logs.
In the file analysis device according to one aspect of the present invention, the file analysis device further includes a management unit that manages accounting information related to the analysis performed by the file analysis unit, wherein the accounting information includes information on an amount of money according to the number of times of the analysis, The information on the amount of money according to the number of times of the analysis is information on a charged amount according to the number of times of the analysis, or information indicating that the number of times of the analysis is free when the number of times of the analysis is equal to or less than a predetermined number. You may.
本発明の一態様に係るファイル分析システムは、端末装置と、ファイル分析装置と、を備えたファイル分析システムであって、前記端末装置は、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、前記ファイル生成部によって生成された前記ファイルを前記ファイル分析装置に送信するファイル送信部と、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、を備え、前記ファイル分析装置は、前記端末装置から送信された前記ファイルを受信する受信部と、前記受信部によって受信された前記ファイルについて分析を行うファイル分析部と、前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、を備える。 A file analysis system according to an aspect of the present invention is a file analysis system including a terminal device and a file analysis device, wherein the terminal device constantly monitors a log and outputs the constantly monitored log. A file generation unit that obtains a part of the plurality of logs output from the security sensor and generates a file including the obtained log, and the file generated by the file generation unit. A file transmission unit for transmitting to the file analysis device; and a notification control unit for receiving a notification of the analysis result of the file transmitted from the file analysis device, wherein the file analysis device transmits the file transmitted from the terminal device. A receiving unit that receives the file, a file analyzing unit that analyzes the file received by the receiving unit, The results of the notification of the analysis of the file made by Airu analyzer and a notification unit to send to the terminal device.
本発明の一態様に係るファイル分析方法は、端末装置が、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成し、生成された前記ファイルをファイル分析装置に送信し、前記ファイル分析装置が、前記端末装置から送信された前記ファイルを受信し、受信された前記ファイルについて分析を行い、前記ファイルの分析の結果の通知を前記端末装置に送り、前記端末装置が、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける。 In the file analysis method according to one aspect of the present invention, the terminal device constantly monitors a log and acquires a part of the plurality of logs output from a security sensor that outputs the constantly monitored log. And generating a file including the obtained log, transmitting the generated file to a file analyzer, the file analyzer receives the file transmitted from the terminal device, the received file The file is analyzed, a notification of the result of the file analysis is sent to the terminal device, and the terminal device receives a notification of the file analysis result sent from the file analysis device.
本発明の一態様に係るプログラムは、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得する機能と、取得された前記ログを含むファイルを生成する機能と、生成された前記ファイルをファイル分析装置に送信する機能と、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける機能と、をコンピュータに実現させるためのプログラムである。 A program according to an aspect of the present invention includes a function of constantly monitoring logs and a function of acquiring a part of the plurality of logs output from a security sensor that outputs the constantly monitored logs. A computer that has a function of generating a file including the log, a function of transmitting the generated file to a file analysis device, and a function of receiving a notification of the analysis result of the file transmitted from the file analysis device. It is a program to make it.
上記したファイル分析システム、ファイル分析装置、端末装置、ファイル分析方法およびプログラムによれば、簡易にログの分析を行うことができる。 According to the above-described file analysis system, file analysis device, terminal device, file analysis method, and program, log analysis can be easily performed.
本発明の実施形態について図面を参照して詳細に説明する。 An embodiment of the present invention will be described in detail with reference to the drawings.
[ファイル分析システム]
図1は、本発明の一実施形態に係るファイル分析システム1の概略的な構成例を示す図である。なお、図1に示される機能ブロックの構成は、一例であり、他の構成が用いられてもよい。
ファイル分析システム1は、分析部11と、複数の端末部21〜23と、ネットワーク31を備える。
それぞれの端末部21〜23と分析部11とは、ネットワーク31を介して通信可能に接続される。
[File analysis system]
FIG. 1 is a diagram showing a schematic configuration example of a
The
The
ここで、それぞれの端末部21〜23は、それぞれ異なる管理主体により管理されている。当該管理主体は、例えば、会社または学校などの組織であってもよく、あるいは、個人であってもよい。当該管理主体が組織である場合には、当該組織に属する者が端末部21〜23を管理する。また、当該管理主体が個人である場合には、当該個人に相当する者が端末部21〜23を管理する。本実施形態では、それぞれの端末部21〜23を管理する者をユーザと呼ぶ場合もある。
なお、複数の端末部21〜23のうちの2個以上の端末部が、同じ管理主体によって管理されてもよい。当該2個以上の端末部は、複数の端末部21〜23のうちの一部であってもよく、あるいは、全部であってもよい。
Here, each of the
Note that two or more terminal units among the plurality of
端末部21〜23の数は、1以上の任意の数であってもよい。
本実施形態では、説明の便宜上、複数の端末部21〜23の構成および動作は、それぞれの端末部21〜23の管理主体が異なり得る点を除いて、同様である。このため、本実施形態では、1個の端末部21を代表させて説明する。
なお、それぞれの端末部21〜23の構成あるいは動作が異なる態様が用いられてもよい。
The number of
In the present embodiment, for convenience of description, the configurations and operations of the plurality of
In addition, an aspect in which the configuration or operation of each of the
本実施形態では、分析部11は、複数の端末部21〜23のそれぞれに対して、それぞれの端末部21〜23の管理主体が異なり得る点を除いて、同様な動作を行う。
なお、分析部11は、複数の端末部21〜23のそれぞれに対して、異なる動作を行う構成が用いられてもよい。
In the present embodiment, the
Note that the
本実施形態では、分析部11は、複数の端末部21〜23に対して共通になっている。
なお、ファイル分析システム1は、複数の分析部11を備えてもよい。この場合、複数の分析部11が、複数の端末部21〜23を分担して、動作を行う。
ここで、分析部11は、例えば、装置あるいはシステムであると捉えられてもよい。
また、端末部21は、例えば、装置あるいはシステムであると捉えられてもよい。
In the present embodiment, the
The
Here, the
Further, the
ネットワーク31は、任意のネットワークであってもよい。ネットワーク31は、例えば、インターネットであってもよく、あるいは、専用のネットワークであってもよい。
なお、それぞれの端末部21〜23と分析部11との通信は、例えば、有線の通信であってもよく、無線の通信であってもよく、あるいは、有線の通信と無線の通信との両方を組み合わせて含んでもよい。
The
The communication between each of the
[端末部の概要]
端末部21を代表させて説明する。
端末部21は、ログ検出装置51と、ログ管理装置52と、端末装置53を備える。
ログ管理装置52は、記憶部151を備える。
図1の例では、ログ検出装置51とログ管理装置52と端末装置53のそれぞれがネットワーク31と接続される構成を示すが、これに限られない。
[Overview of Terminal]
The
The
The
Although the example of FIG. 1 shows a configuration in which each of the
ログ検出装置51は、所定のログを検出する。本実施形態では、ログ検出装置51は、常時、所定の対象を監視して、当該対象のログを検出する。本実施形態では、当該ログは、セキュリティに関するログ(セキュリティログ)であり、例えば、ネットワーク31を介する通信を対象としたログである。
ログ検出装置51は、例えば、所定のログを検出するセンサを用いて構成されてもよい。本実施形態では、ログ検出装置51は、端末装置53によって行われる通信に関するログを検出する。ログ検出装置51は、検出されたログを出力する。本実施形態では、ログ検出装置51は、検出されたログをログ管理装置52に送信する。
なお、本実施形態では、ログ検出装置51は、検出されたログを記憶しない。他の例として、ログ検出装置51は、検出されたログを記憶する記憶部を備えてもよい。
The
The
In the present embodiment, the
ログ管理装置52は、ログ検出装置51により検出されたログを記憶部151に記憶して管理する。
ここで、ログ管理装置52は、ログ検出装置51により検出されたログを、所定のまとまりごとに、記憶部151に記憶してもよい。当該所定のまとまりは、例えば、ログの検出時刻が所定の期間に含まれる当該ログのまとまりであってもよい。当該所定のまとまりは、例えば、ファイルとして生成されてもよい。当該所定の期間は、例えば、1日単位の期間であってもよい。
ログ管理装置52は、例えば、ログを記憶して管理するログ管理サーバ装置を用いて構成されてもよい。
ログ検出装置51あるいはログ管理装置52は、例えば、コンピュータシステムのログを記録するための通信プロトコルであるシスログ(syslog)を使用してもよい。
The
Here, the
The
The
端末装置53は、例えば、ユーザによって操作される情報処理装置を用いて構成される。当該情報処理装置は、例えば、コンピュータである。当該コンピュータは、例えば、デスクトップ型のコンピュータ、ノート型のコンピュータ、携帯電話のコンピュータ、あるいは、スマートフォンのコンピュータなどであってもよい。
端末装置53は、ログ管理装置52の記憶部151に記憶されたログに基づいて、ログ管理装置52の記憶部151に記憶されたログの少なくとも一部を含む所定のファイルを生成する。端末装置53は、生成されたファイルをネットワーク31を介して分析部11に送信する。
また、端末装置53は、分析部11から送信された電子メールをネットワーク31を介して受信する。
また、端末装置53は、分析部11により提供されるWebページの情報を取得する。
The
The
The
Further, the
[ファイル分析部の概要]
分析部11は、ファイル分析装置41と、Webサーバ装置42と、メールサーバ装置43を備える。
図1の例では、ファイル分析装置41と、Webサーバ装置42と、メールサーバ装置43のそれぞれがネットワーク31と接続される構成を示すが、これに限られない。
[Overview of File Analysis Department]
The
In the example of FIG. 1, a configuration is shown in which each of the
ファイル分析装置41は、記憶部111と、通信部112と、ファイル検査部113と、ファイル分析部114と、通知部115と、管理部116を備える。
通信部112は、受信部121を備える。
ファイル検査部113は、復号部131と、解凍部132を備える。
なお、本実施形態では、「圧縮」と「解凍」という語を使用して説明するが、例えば、「解凍」の代わりに「伸張」などの語が使用されてもよい。
The
The
The
In the present embodiment, the description will be made using the words “compression” and “decompression”. However, for example, a word such as “decompression” may be used instead of “decompression”.
ファイル分析装置41において行われる動作の概要を示す。
記憶部111は、各種の情報を記憶する。
通信部112は、情報の通信を行う。本実施形態では、通信部112は、ネットワーク31を介した通信を行う。
受信部121は、端末装置53からネットワーク31を介して分析部11に送信されたファイルを受信する。受信部121は、受信されたファイルをファイル検査部113に出力する。本実施形態では、端末装置53は、当該ファイルをファイル分析装置41に宛てて送信する。
The outline of the operation performed in the
The
The
The receiving
ファイル検査部113は、受信部121から出力されたファイルを入力する。ファイル検査部113は、入力されたファイルについて、所定の条件(説明の便宜上、「検査条件」ともいう。)が満たされるか否かを判定する検査を行う。ファイル検査部113は、入力されたファイルについて、検査条件が満たされると判定した場合には、当該ファイルをファイル分析部114に出力する。一方、ファイル検査部113は、入力されたファイルについて、検査条件が満たされないと判定した場合には、所定の情報(説明の便宜上、「検査エラー情報」ともいう。)を通知部115に出力する。
本実施形態では、記憶部111は、検査条件を特定する情報を記憶する。ファイル検査部113は、当該情報に基づいて、検査条件を取得する。
The
In the present embodiment, the
ここで、本実施形態では、端末装置53からファイル分析装置41に送信されるファイルは、当該ファイルの情報が圧縮された後に、圧縮後のファイルが暗号化された状態である。
ファイル検査部113では、入力されたファイルは暗号化された状態であり、復号部131が当該ファイルを復号する。また、ファイル検査部113では、復号されたファイルの情報は圧縮されており、解凍部132が、当該情報を解凍する。これにより、圧縮および暗号化されたファイルが、圧縮および暗号化される前のファイル(説明の便宜上、「元のファイル」ともいう。)に変換される。ファイル検査部113は、これにより得られた元のファイルについて、所定の検査を行う。ファイル検査部113は、検査条件が満たされると判定した場合には、このような元のファイルをファイル分析部114に出力する。
Here, in the present embodiment, the file transmitted from the
In the
検査条件としては、任意の条件が用いられてもよい。
検査条件としては、例えば、1回の分析対象のファイルに含まれるログのデータ量が所定の上限値以下であるという条件、または、1回の分析対象のファイルのサイズが所定の上限値以下であるという条件、あるいは、これら両方の条件を含んでもよい。
検査条件としては、例えば、分析対象のファイルがコンピュータウィルスに侵されていないという条件を含んでもよい。なお、分析対象のファイルがコンピュータウィルスに侵されているか否かは、例えば、アンチウィルスソフトウェアを用いて判定されてもよい。
検査条件としては、例えば、分析対象のファイルが所定のフォーマットのファイルであるという条件を含んでもよい。
検査条件としては、例えば、分析対象のファイルが所定の情報を含むという条件を含んでもよい。当該所定の情報は、例えば、正当な端末装置53から送信されたファイルであることを示す情報であってもよい。
Any conditions may be used as the inspection conditions.
The inspection conditions include, for example, a condition that the data amount of a log included in a file to be analyzed once is equal to or less than a predetermined upper limit, or a condition that the size of a file to be analyzed once is equal to or smaller than the predetermined upper limit. The condition that there is, or both conditions may be included.
The inspection condition may include, for example, a condition that the file to be analyzed is not affected by a computer virus. Note that whether or not the file to be analyzed is affected by a computer virus may be determined using, for example, anti-virus software.
The inspection condition may include, for example, a condition that the file to be analyzed is a file of a predetermined format.
The inspection condition may include, for example, a condition that a file to be analyzed includes predetermined information. The predetermined information may be, for example, information indicating that the file is transmitted from the legitimate
ファイル分析部114は、ファイル検査部113から出力されたファイルを入力する。ファイル分析部114は、入力されたファイルについて、所定の条件(説明の便宜上、「分析条件」ともいう。)に基づいて、分析を行う。ファイル分析部114は、入力されたファイルについて、分析を行った結果に関する所定の情報(説明の便宜上、「分析結果情報」ともいう。)を通知部115に出力する。
本実施形態では、記憶部111は、分析条件を特定する情報を記憶する。ファイル分析部114は、当該情報に基づいて、分析条件を取得する。
The
In the present embodiment, the
分析条件としては、任意の条件が用いられてもよい。
分析条件としては、例えば、分析対象のファイルに含まれるログについて、問題があるか否かを判定するための条件が用いられてもよい。当該問題は、例えば、コンピュータウィルスであってもよく、あるいは、他の事象であってもよい。
分析条件としては、例えば、「ログに含まれる送信元を識別する情報、ログに含まれる送信先を識別する情報、あるいは、ログに含まれる他の情報が、所定の情報に一致する場合には、問題があると判定する条件」が用いられてもよい。分析条件としては、例えば、問題があると判定すべきログの条件がリスト化されたブラックリストに記述された当該条件が用いられてもよい。また、問題があると判定すべき条件は、例えば、「ルール」と呼ばれてもよい。
なお、分析対象のファイルに複数の種類のログが含まれ得る場合には、例えば、ファイル分析部114は、それぞれのログの種類を判定する。この場合、それぞれのログの情報は、当該ログの種類を特定する情報を含む。他の例として、このようなログの種類は、ファイル分析部114の代わりに、ファイル検査部113によって判定されてもよい。
Arbitrary conditions may be used as analysis conditions.
As the analysis condition, for example, a condition for determining whether or not there is a problem with a log included in a file to be analyzed may be used. The problem may be, for example, a computer virus or another event.
The analysis conditions include, for example, “when information identifying a transmission source included in a log, information identifying a transmission destination included in a log, or other information included in a log matches predetermined information. , A condition for determining that there is a problem "may be used. As the analysis condition, for example, a condition described in a blacklist in which a condition of a log to be determined as having a problem is listed may be used. The condition to be determined to have a problem may be referred to as a “rule”, for example.
When a plurality of types of logs can be included in a file to be analyzed, for example, the
通知部115は、ファイル検査部113から検査エラー情報が入力された場合、当該検査エラー情報に基づく所定の情報を端末装置53に通知する。当該所定の情報としては、端末装置53に検査のエラーに関する情報を通知するための情報が用いられ、任意の情報が用いられてもよい。
また、通知部115は、ファイル分析部114から分析結果情報が入力された場合、当該分析結果情報に基づく所定の情報を端末装置53に通知する。当該所定の情報としては、端末装置53に分析結果に関する情報を通知するための情報が用いられ、任意の情報が用いられてもよい。
When the inspection error information is input from the
When the analysis result information is input from the
ここで、通知部115から端末装置53に情報を通知する手法としては、任意の手法が用いられてもよい。
本実施形態では、端末装置53に通知すべき情報が発生した場合、通知部115は、端末装置53に宛てた電子メールを作成し、作成された電子メールをメールサーバ装置43に送信する。この場合、通知部115は、端末装置53からアクセスすることが可能なアクセス先の情報を当該電子メールに含める。当該情報は、例えば、URL(Uniform Resource Locator)であってもよい。
通知部115は、電子メールに含めたアクセス先の情報に該当するWebページを生成し、生成されたWebページの情報をWebサーバ装置42に送信する。通知部115は、当該Webページに、端末装置53に通知する情報を含める。
Here, an arbitrary method may be used as a method of notifying information to the
In the present embodiment, when information to be notified to the
The
メールサーバ装置43は、通知部115から送信された電子メールを受信する。メールサーバ装置43は、受信された電子メールを、当該電子メールの宛先に送信する。本実施形態では、端末装置53が宛先となっている電子メールが、メールサーバ装置43からネットワーク31を介して端末装置53に送信される。
Webサーバ装置42は、通知部115から送信されたWebページの情報を受信する。Webサーバ装置42は、受信された情報に基づいて、当該Webページを閲覧可能に提供する。本実施形態では、Webサーバ装置42は、端末装置53からのアクセスに応じて、当該Webページを端末装置53に閲覧可能に提供する。
The
The
管理部116は、端末装置53について、各種の管理を行う。
本実施形態では、分析部11において、端末装置53の情報が未知である場合と、端末装置53の情報が既知である場合があり得る。
本実施形態では、端末装置53の管理主体と、分析部11によってファイル分析のサービスを提供する管理主体との間で、当該サービスに関する契約が締結されている場合に、当該契約に関して端末装置53の情報が分析部11に設定される。当該情報は、例えば、記憶部111に記憶されてもよい。当該情報は、例えば、端末装置53を特定する情報を含んでもよい。当該情報は、端末装置53の電子メールのアドレスを含んでもよい。
一方、本実施形態では、このような契約が締結されていない場合に、分析部11において、端末装置53の情報が未知である。
The
In the present embodiment, in the
In the present embodiment, when a contract regarding the service is concluded between the management entity of the
On the other hand, in the present embodiment, when such a contract has not been concluded, the information of the
ここで、契約に関して設定される端末装置53の情報としては、例えば、サービスを受けることが可能なファイル分析の範囲を特定する情報、あるいは、サービスを受けるために必要な料金に関する情報(説明の便宜上、「課金情報」ともいう。)などであってもよい。
サービスを受けることが可能なファイル分析の範囲は、例えば、データ量、回数、期間などのうちの1以上を用いて設定されてもよい。サービスを受けることが可能なファイル分析の範囲は、例えば、所定の期間において分析対象とするすべてのログのデータ量の総和に対する上限値、1回の分析対象とするログのデータ量に対する上限値、所定の期間においてファイル分析のサービスを受けることが可能な回数の上限値などのうちの1以上を用いて特定されてもよい。
Here, the information of the
The range of the file analysis that can receive the service may be set using, for example, one or more of the data amount, the number of times, the period, and the like. The range of file analysis in which the service can be received is, for example, an upper limit value for the sum of data amounts of all logs to be analyzed in a predetermined period, an upper limit value for the data amount of logs to be analyzed once, It may be specified using one or more of the upper limit of the number of times that the file analysis service can be received in a predetermined period.
一例として、サービスは、固定額で課金されてもよい。
他の例として、サービスは、従量的に課金されてもよい。この場合、管理部116は、端末装置53に対して提供したサービスについて、課金する料金を決定するための情報を記憶部111に記憶して管理する。当該情報は、例えば、所定の期間においてファイル分析のサービスを受けたログのデータ量の総和、所定の期間においてファイル分析のサービスを受けた回数などのうちの1以上の情報であってもよい。例えば、ファイル分析を利用したデータ量または回数に応じた金額の課金が行われてもよい。また、例えば、ファイル分析を利用した所定のデータ量までは無料とするサービス、または、ファイル分析を利用した所定の回数までは無料とするサービスが行われてもよい。
また、管理部116は、端末装置53について現時点で課金されている料金を特定する情報を記憶部111に記憶して管理してもよい。
As an example, the service may be charged for a fixed amount.
As another example, the service may be charged on a pay-as-you-go basis. In this case, the
Further, the
具体例として、管理部116は、ファイル分析部114によって行われるファイル分析に関する課金情報を管理する。当該課金情報は、ファイル分析の回数に応じた金額の情報を含む。ファイル分析の回数に応じた金額の情報は、例えば、ファイル分析の回数に応じた有料の金額の情報、または、ファイル分析の回数が所定の回数以下では無料であることを示す情報である。
なお、ここでは、ファイル分析の回数に応じた課金について具体例を示したが、ファイル分析のデータ量に応じた課金などについても同様である。
As a specific example, the
Here, a specific example of the charging according to the number of times of the file analysis has been described, but the same applies to the charging according to the data amount of the file analysis.
[端末装置の詳細]
図2は、本発明の一実施形態に係る端末装置53の概略的な構成例を示す図である。なお、図2に示される機能ブロックの構成は、一例であり、他の構成が用いられてもよい。
端末装置53は、入力部211と、出力部212と、操作部213と、表示部214と、通信部215と、記憶部216と、制御部217を備える。
制御部217は、ログ取得部231と、ファイル条件取得部232と、ファイル条件判定部233と、ログ削減部234と、ファイル生成部235と、圧縮部236と、暗号化部237と、通知制御部238と、分析要求可否判定部239を備える。
[Details of terminal device]
FIG. 2 is a diagram illustrating a schematic configuration example of the
The
The
入力部211は、外部の装置から出力される情報を入力する。
出力部212は、外部の装置に情報を出力する。
ここで、外部の装置は、任意の装置であってもよい。当該外部の装置は、例えば、持ち運びが可能な記録媒体であってもよい。当該外部の装置は、例えば、印刷装置であってもよい。
操作部213は、ユーザにより行われる操作に対応する情報を入力する。操作部213は、例えば、キーボード、あるいは、マウスなどを含んでもよい。
表示部214は、画面を有し、情報を当該画面に出力する。これにより、当該情報が当該画面に表示される。
The
The
Here, the external device may be any device. The external device may be, for example, a portable recording medium. The external device may be, for example, a printing device.
The
The
通信部215は、ネットワーク31を介した通信を行う。本実施形態では、端末装置53は、通信部215によって、ネットワーク31と通信可能に接続される。
なお、端末装置53は、ログ検出装置51を経由して、ネットワーク31と接続されてもよい。この場合、通信部215は、送信対象の信号を、ログ検出装置51を経由して、ネットワーク31に出力する。この場合、ログ検出装置51は、通信部215から出力された信号を入力し、入力された信号をネットワーク31に出力する。また、この場合、通信部215は、ネットワーク31から、ログ検出装置51を経由して、信号を入力する。この場合、ログ検出装置51は、ネットワーク31から信号を入力し、入力された信号を通信部215に出力する。
The
Note that the
記憶部216は、各種の情報を記憶する。
制御部217は、端末装置53における各種の制御を行う。
The
The
ログ取得部231は、ログを取得する。本実施形態では、ログ取得部231は、ログ管理装置52に記憶されたログのなかから、所定のログを取得する。
ファイル条件取得部232は、ファイルの条件(説明の便宜上、「ファイル条件」ともいう。)を取得する。
本実施形態では、記憶部216は、ファイル条件を特定する情報を記憶する。ファイル条件取得部232は、当該情報に基づいて、ファイル条件を取得する。
ファイル条件判定部233は、ファイル条件取得部232により取得されたファイル条件に基づいて、判定の対象となるファイルについて、当該ファイル条件が満たされるか否かを判定する。
The
The file
In the present embodiment, the
The file
ここで、本実施形態では、ファイル条件は、少なくとも、1回の分析対象となるファイルに含められるログの情報について、許容されるデータ量の上限値の条件を含む。
なお、1回の分析対象となるファイルが1個である場合には、許容されるデータ量の上限値は、1個のファイルに含められるログの情報について許容されるデータ量の上限値となる。
また、1回の分析対象となるファイルが複数である所定個数である場合には、許容されるデータ量の上限値は、当該所定個数のファイルに含められるログの情報の総和について許容されるデータ量の上限値となる。
Here, in the present embodiment, the file condition includes at least a condition of an upper limit value of an allowable data amount for log information included in a file to be analyzed once.
When the number of files to be analyzed at one time is one, the upper limit of the allowable data amount is the upper limit value of the allowable data amount of the log information included in one file. .
If the number of files to be analyzed at one time is a predetermined number, which is a plurality of files, the upper limit of the allowable data amount is the data allowable for the total sum of log information included in the predetermined number of files. It is the upper limit of the amount.
ログ削減部234は、分析対象として不要なログ(説明の便宜上、「不要ログ」ともいう。)を削減する処理(説明の便宜上、「不要ログ削減処理」ともいう。)を行う機能と、分析対象とするログの範囲(説明の便宜上、「ログ範囲」ともいう。)を制限することで分析対象とするログを削減する処理(説明の便宜上、「ログ範囲削減処理」ともいう。)を行う機能を有する。これにより、ログ削減部234は、分析対象とするログのデータ量を削減する。なお、本実施形態では、ファイルに含められるログのデータ量が大きくなると、当該ファイルのサイズが大きくなる、または、当該ファイルの数が多くなる。
本実施形態では、ログ削減部234は、分析対象とするファイルが生成されるときには、常時、不要ログ削減処理を行う。
また、本実施形態では、ログ削減部234は、1回の分析対象となるファイルに含められる予定のログの情報について、そのデータ量が許容されるデータ量の上限値を超えた場合に、ログ範囲削減処理を行う。
The
In the present embodiment, the
Further, in the present embodiment, the
なお、他の構成例として、ログ削減部234は、1回の分析対象となるファイルに含められる予定のログの情報について、そのデータ量が許容されるデータ量の上限値以下である場合には、不要ログ削減処理を行わなくてもよい。そして、ログ削減部234は、1回の分析対象となるファイルに含められる予定のログの情報について、そのデータ量が許容されるデータ量の上限値を超えた場合に、不要ログ削減処理を行ってもよい。この場合、ログ削減部234は、不要ログ削減処理の後においても、1回の分析対象となるファイルに含められる予定のログの情報について、そのデータ量が許容されるデータ量の上限値を超えた場合に、ログ範囲削減処理を行う。
Note that, as another configuration example, the
ファイル生成部235は、1回の分析対象となるファイルに含められる予定のログの情報を用いて、当該情報が含められたファイルを生成する。当該情報は、例えば、ログ削減部234によって削減されていない場合と、ログ削減部234によって削減された場合がある。
なお、一例として、ファイル生成部235は、ログ管理装置52の記憶部151に記憶された所定期間ごとのログのまとまり(例えば、ファイルにされたまとまり)を、ファイル生成部235によって生成されたファイルとして、利用してもよい。この際、ファイル生成部235は、ログ管理装置52の記憶部151に記憶された所定期間ごとのログのまとまり(例えば、ファイルにされたまとまり)について、フォーマット等を変更してもよい。
他の例として、ファイル生成部235は、ログ管理装置52の記憶部151に記憶された所定期間ごとのログのまとまり(例えば、ファイルにされたまとまり)から一部のログが削減されたログのまとまりを用いてファイルを生成してもよい。
The
Note that, as an example, the
As another example, the
圧縮部236は、ファイル生成部235によって生成されたファイルを圧縮する。
暗号化部237は、圧縮部236によって圧縮されたファイルを暗号化する。
制御部217では、暗号化部237によって暗号化されたファイルを、通信部215によって、ネットワーク31を介して、ファイル分析装置41に送信する。
The
The
The
ここで、端末装置53における暗号化部237によって暗号化された情報は、ファイル分析装置41における復号部131によって行われる復号によって、元の情報に戻される。
また、端末装置53における圧縮部236によって圧縮された情報は、ファイル分析装置41における解凍部132によって行われる解凍によって、元の情報に戻される。
Here, the information encrypted by the
The information compressed by the
通知制御部238は、ファイル分析装置41の通知部115によって行われる通知の内容を受信するための処理を行う。
本実施形態では、通知制御部238は、メールサーバ装置43からネットワーク31を介して端末装置53に宛てて送信される電子メールを、通信部215によって、受信する。また、通知制御部238は、受信された電子メールに記述されているアクセス先のWebページにアクセスし、Webサーバ装置42によって提供される当該Webページの情報を取得する。このアクセスは、例えば、ユーザによって行われる操作部213の操作に応じて行われてもよい。
The
In the present embodiment, the
分析要求可否判定部239は、所定の条件(説明の便宜上、「分析要求条件」という。)に基づいて、端末装置53からファイル分析装置41に対してファイル分析の要求を行うことが可能か否かを判定する。当該分析要求条件としては、任意の条件が用いられてもよく、例えば、データ量、回数、期間などのうちの1以上に関する条件が用いられてもよい。
The analysis request
ここで、本実施形態では、分析要求可否判定部239は、端末装置53の管理主体と、分析部11によってファイル分析のサービスを提供する管理主体との間で、当該サービスに関する契約が締結されている場合に、このような判定を行う。分析要求可否判定部239は、当該契約の内容と、端末装置53における当該サービスの利用状況に基づいて、端末装置53からファイル分析装置41に対してファイル分析の要求を行うことが可能か否かを判定する。
例えば、記憶部216は、契約が締結された端末装置53を特定する情報、当該契約の内容を特定する情報、および端末装置53におけるサービスの利用状況を特定する情報を記憶する。端末装置53を特定する情報は、例えば、端末装置53の電子メールのアドレスを含んでもよい。
分析部11によってファイル分析のサービスを提供する管理主体から見ると、当該サービスに関する契約が締結された端末装置53の管理主体は、顧客となる。複数の端末部21〜23の管理主体は、それぞれ、異なる顧客となり得る。
Here, in the present embodiment, the analysis request
For example, the
From the viewpoint of the management entity that provides the file analysis service by the
[ファイル]
図3は、本発明の一実施形態に係るファイル1011の概略的な構成例を示す図である。
ファイル1011は、ヘッダと、複数のログ情報を含む。
ログ情報は、例えば、発生等の日時、シグネチャ、送信元を識別する情報、送信先を識別する情報、エラーコードなどのうちの1以上の情報を含んでもよい。送信元を識別する情報および送信先を識別する情報としては、例えば、IP(Internet Protocol)アドレスが用いられてもよい。これらの情報は、例えば、ヘッダに含まれてもよい。
また、ヘッダは、例えば、端末装置53の電子メールのアドレスを含んでもよい。
[File]
FIG. 3 is a diagram illustrating a schematic configuration example of the
The
The log information may include, for example, one or more pieces of information such as date and time of occurrence, signature, information for identifying a transmission source, information for identifying a transmission destination, and an error code. As the information for identifying the transmission source and the information for identifying the transmission destination, for example, an IP (Internet Protocol) address may be used. These pieces of information may be included in a header, for example.
The header may include, for example, an e-mail address of the
なお、図3の例では、ファイル1011に複数のログ情報が区分されて含まれる構成例を示したが、他の例として、ファイル1011に1個のまとまりのログ情報が含まれると捉えられてもよい。
また、複数のファイル1011が1回の分析対象のまとまりとなる場合には、例えば、それぞれのファイル1011のヘッダに、このようなまとまりであることを特定する情報が含まれてもよい。
Note that, in the example of FIG. 3, a configuration example in which a plurality of pieces of log information are included in the
When a plurality of
図4は、本発明の一実施形態に係るファイル分析結果を表す情報の一例を示す図である。
図4には、Webサーバ装置42により提供されるWebページに基づいて、端末装置53の表示部214によって画面に表示される表示内容2011の一例を示してある。
図4の例では、表示内容2011において、「ファイル分析の結果」として、「問題は検出されませんでした。」という文字情報が表示されている。つまり、ファイル分析の結果として、問題が検出されなかった場合を示してある。なお、このような場合の表示内容2011は、他の内容であってもよい。
FIG. 4 is a diagram illustrating an example of information indicating a file analysis result according to an embodiment of the present invention.
FIG. 4 shows an example of the
In the example of FIG. 4, in the
図5は、本発明の一実施形態に係るファイル分析結果を表す情報の他の一例を示す図である。
図5には、Webサーバ装置42により提供されるWebページに基づいて、端末装置53の表示部214によって画面に表示される表示内容2111の一例を示してある。
図5の例では、表示内容2111において、「ファイル分析の結果」として、「以下の問題が検出されました。・・・」という文字情報が表示されている。つまり、ファイル分析の結果として、問題が検出された場合を示してある。この場合、このような表示の内容は、警告(アラート)と捉えられてもよい。なお、このような場合の表示内容2111は、他の内容であってもよい。
なお、ファイル分析の結果における「問題」は、例えば、「インシデント」あるいは「異常」などと呼ばれてもよい。
FIG. 5 is a diagram illustrating another example of the information indicating the file analysis result according to the embodiment of the present invention.
FIG. 5 shows an example of the
In the example of FIG. 5, in the
The “problem” in the result of the file analysis may be called, for example, “incident” or “abnormal”.
[分析対象とするログの削減:不要ログ削減処理]
ログ削減部234は、ログ取得部231によって取得されたログのうちで、不要なログを削減することで、分析対象とするログを削減する。
本実施形態では、端末装置53において、分析対象とされることが不要なログを特定する情報が記憶部216に記憶されている。
[Reduction of logs to be analyzed: unnecessary log reduction processing]
The
In the present embodiment, in the
ここで、分析対象とされることが不要なログは、任意に定められてもよい。
一例として、分析対象とされることが不要なログは、分析対象とされることが不要な1以上のログを特定する情報を含むリストを用いて定められてもよい。当該リストは、ホワイトリストと呼ばれてもよい。ログ削減部234は、当該リストの内容に基づいて、ログ取得部231によって取得されたログのうちで、分析対象とされることが不要なログを分析対象から削減する。
Here, logs that do not need to be analyzed may be arbitrarily determined.
As an example, logs that do not need to be analyzed may be determined using a list including information that specifies one or more logs that do not need to be analyzed. The list may be called a whitelist. The
[分析対象とするログの削減:ログ範囲削減処理]
本実施形態では、ファイル条件には、少なくとも、1回の分析の対象とすることができるログのデータ量の上限値が含まれている。
本実施形態では、端末装置53において、ファイル条件判定部233は、1回の分析の対象の候補となっているログを判定対象のログとして、当該ログのデータ量の総和が所定の上限値以下であるか否かを判定する。
この結果、当該ログのデータ量の総和が所定の上限値を超える場合には、ログ削減部234は、1回の分析の対象の候補となっているログの一部を当該候補から削除することによって、1回の分析の対象の候補となっているログを削減する。
[Reduction of logs to be analyzed: Log range reduction processing]
In the present embodiment, the file condition includes at least an upper limit value of the log data amount that can be subjected to one analysis.
In the present embodiment, in the
As a result, if the total data amount of the log exceeds a predetermined upper limit, the
なお、本実施形態では、ログ削減部234は、分析の対象の候補となっているログの一部を当該候補から削除するが、当該ログの一部自体はログ管理装置52の記憶部151に記憶されたままとする。
また、本実施形態では、不要ログ削減処理とログ範囲削減処理との両方が行われる場合を示すが、不要ログ削減処理とログ範囲削減処理とのうちの任意の一方が他方とは独立に行われてもよい。
In the present embodiment, the
Further, in the present embodiment, a case is shown in which both the unnecessary log reduction processing and the log range reduction processing are performed, but any one of the unnecessary log reduction processing and the log range reduction processing is performed independently of the other. May be.
図6は、本発明の一実施形態に係るファイル分析が可能なログの範囲を表す情報の一例を示す図である。
図6には、1回の分析の対象とすることができるログの範囲を提示するために、端末装置53の表示部214によって画面に表示される表示内容2211の一例を示してある。
図6の例では、期間が「2018/7/10 13:00〜2018/7/12 15:45」であり、センサが「センサA」であれば、ファイル分析が可能であることを示している。
FIG. 6 is a diagram illustrating an example of information indicating a log range in which file analysis is possible according to an embodiment of the present invention.
FIG. 6 shows an example of
In the example of FIG. 6, the period is “2018/7/10 13:00 to 2018/7/12 15:45”, and if the sensor is “Sensor A”, it indicates that file analysis is possible. I have.
ここで、期間は、ログが発生した日時が含まれるべき期間を示している。図6に示される「2018/7/10 13:00〜2018/7/12 15:45」は、2018年7月10日の13時00分から2018年7月12日の15時45分までの期間を表している。
図6の例では、期間は、ひとまとまりの連続した期間であるが、離散した2以上のまとまりの期間が用いられてもよい。
通常、ある期間の範囲から、期間の範囲が短くされると、ログのデータ量の総和も減少する。
Here, the period indicates a period that should include the date and time when the log is generated. “2018/7/10 13:00 to 2018/7/12 15:45” shown in FIG. 6 is from 13:00 on July 10, 2018 to 15:45 on July 12, 2018. Represents a period.
In the example of FIG. 6, the period is a group of continuous periods; however, two or more discrete groups of periods may be used.
Normally, when the range of the period is shortened from the range of a certain period, the total amount of log data also decreases.
センサは、ログを検出したセンサを示している。図6に示される「センサA」は、例えば、ログ検出装置51のセンサを示している。
なお、センサとしては、例えば、1個のセンサが指定されてもよく、あるいは、2個以上のセンサが指定されてもよい。通常、ある個数のセンサから、センサの個数が減少させられると、ログのデータ量の総和も減少する。
The sensor indicates the sensor that detected the log. “Sensor A” illustrated in FIG. 6 indicates a sensor of the
As the sensor, for example, one sensor may be specified, or two or more sensors may be specified. Usually, when the number of sensors is reduced from a certain number of sensors, the total amount of log data is also reduced.
本実施形態では、端末装置53において、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234は、ユーザからの明示の指示が無くても自動的にそれぞれの処理を実行する。これにより、端末装置53では、ファイル分析の対象となるファイルが生成される前に、自動的に、分析の対象とするログの削減が行われる。そして、図6に示される表示内容2211が、ユーザに対して表示される。つまり、データ量の点で分析対象とすることが可能なログの範囲が、推奨されるログの範囲として、ユーザに提示される。
In the present embodiment, in the
ここで、端末装置53では、例えば、初期的に表示するログの範囲の条件が設定されている。当該条件は、任意の条件であってもよい。当該条件を特定する情報が記憶部216に記憶されている。
例えば、当該条件は、開始から終了までの期間に関して、終了時点が定められていてもよい。一例として、当該終了時点は、初期的にログの範囲を表示する処理が行われる時点(つまり、現時点)に設定される規則、あるいは、その時点よりも所定時間だけ前の時点に設定される規則に基づいて設定されてもよい。この場合、ログ削減部234は、設定された終了時点におけるログを最新のログとして、当該ログから古い方(開始時点)へ遡って所定のデータ量のログを分析対象として抽出することが可能である。
また、例えば、当該条件は、センサに関して、1以上の所定のセンサが定められていてもよい。一例として、当該所定のセンサは、あらかじめ定められた「センサA」に設定されるという規則に基づいて設定されてもよい。
Here, in the
For example, in the condition, an end point may be set for a period from the start to the end. As an example, the end time point is a rule set to a time point at which the process of displaying the log range is initially performed (that is, the current time point) or a rule set to a time point a predetermined time before the time point. May be set based on In this case, the
Further, for example, the condition may be such that one or more predetermined sensors are defined for the sensors. As an example, the predetermined sensor may be set based on a rule that it is set to a predetermined “sensor A”.
また、端末装置53は、ユーザによって行われる操作部213の操作に応じて、制御部217によって、ログの範囲の一部または全部を変更してもよい。
この場合、制御部217では、ユーザの操作によって変更された後のログの範囲が1回の分析の対象とすることができるログの範囲にあるとファイル条件判定部233によって判定された場合には、ユーザによる変更を承認する。
The
In this case, when the file
一方、制御部217では、ユーザの操作によって変更された後のログの範囲が1回の分析の対象とすることができるログの範囲を超えるとファイル条件判定部233によって判定された場合には、ログ削減部234によってログを削減する。この際、ログ削減部234は、例えば、ユーザの操作によって変更された箇所については変更しない。つまり、ユーザによる変更を優先させる。そして、制御部217では、ログの削減が行われた結果として得られたログの範囲を表示部214の画面に表示する。
なお、ユーザの操作によって変更された箇所について変更しないとファイル条件が満たされない場合には、制御部217では、エラーを示す情報を表示部214の画面に表示してもよい。
On the other hand, if the file
If the file condition is not satisfied unless the part changed by the user operation is changed, the
このような構成により、例えば、ユーザは、1回の分析の対象とすることができるログの範囲を把握していなくても、端末装置53によって適切なログの範囲が提示されて、このようなログの範囲を利用することができる。
また、例えば、ユーザは、当該ユーザの希望に応じて、端末装置53によって提示されたログの範囲を不可能なログの範囲へ変更した場合においても、端末装置53によって再びログの範囲が調整されて新たなログの範囲が提示されるため、非常に便利である。
With such a configuration, for example, even if the user does not know the range of logs that can be subjected to one analysis, an appropriate range of logs is presented by the
Further, for example, even when the user changes the range of the log presented by the
図6に示される表示内容2211には、「アップロード」を示す所定のボタン2221が含まれている。
ユーザは、端末装置53の操作部213を操作することで、画面において当該ボタン2221を押下(例えば、マウスでクリックなど)することが可能である。当該ボタン2221が押下されると、その時点で表示されているログの範囲が採用されて、当該範囲にあるログが含まれるファイルが生成され、生成されたファイルが端末装置53からネットワーク31を介してファイル分析装置41に送信される。
The
The user can press the
なお、本実施形態では、ログの範囲を決定するためのパラメータとして、「期間」と「センサ」が用いられるが、他のパラメータが用いられてもよい。 In the present embodiment, “period” and “sensor” are used as parameters for determining the log range, but other parameters may be used.
[契約の内容]
図7は、本発明の一実施形態に係る契約情報3011の一例を示す図である。
図7の例では、契約情報3011は、顧客の識別情報と、契約の内容と、が対応付けられている。契約の内容は、例えば、回数、容量、期間などである。
なお、図7の例では、契約情報3011は、顧客の契約の内容とともに、契約の内容に関して利用の状況も含んでいる。他の例として、顧客の契約の内容と、契約の内容に関する利用の状況とが、別々に管理されてもよい。
[Contract Details]
FIG. 7 is a diagram illustrating an example of the
In the example of FIG. 7, the
In the example of FIG. 7, the
顧客の識別情報は、例えば、番号の情報であってもよい。本実施形態では、顧客の識別情報によって、それぞれの顧客の端末装置53が識別される。図7の例では、識別情報として、「001」、「002」、「003」などの情報が用いられている。
The customer identification information may be, for example, number information. In the present embodiment, the
回数は、それぞれの顧客の端末装置53について、ファイル分析のサービスを受けることが可能な最大の回数を表す。図7の例では、回数として、「2/10」などの情報が用いられている。例えば、「2/10」は、最大の回数が10であり、そのうち2回が既に行われたことを表している。
容量は、それぞれの顧客の端末装置53について、ファイル分析のサービスを受けることが可能なデータ量の総容量を表す。図7の例では、容量として、「300/1000」などの情報が用いられている。例えば、「300/1000」は、最大の容量が1000Gバイトであり、そのうち300Gバイトのサービスが既に行われたことを表している。
期間は、それぞれの顧客の端末装置53について、ファイル分析のサービスを受けることが可能な期間を表す。図7の例では、期間として、「2018/1/1〜2018/12/31」などの情報が用いられている。例えば、「2018/1/1〜2018/12/31」は、2018年1月1日から2018年12月31日までが有効な期間であることを表している。
The number of times indicates the maximum number of times that the
The capacity indicates the total capacity of the data amount that can receive the file analysis service for the
The period represents a period during which the
本実施形態では、ファイル分析装置41において、管理部116は、契約情報3011を管理する。例えば、契約情報3011は、記憶部111に記憶される。
また、本実施形態では、端末装置53において、契約情報3011のうち当該端末装置53の顧客に該当する部分の情報を記憶部216に記憶する。つまり、ファイル分析装置41では複数の顧客に関する情報を管理するが、それぞれの顧客の端末装置53では当該顧客に関する情報を管理する。
In the present embodiment, in the
Further, in the present embodiment, in the
[端末装置からファイル分析装置へのアクセス]
端末装置53からファイル分析装置41にアクセスする手法としては、特に限定はない。
一例として、端末装置53は、分析部11によってファイル分析のサービスを提供する管理主体によって閲覧可能にされているWebページにアクセスする。当該Webページは、例えば、Webサーバ装置42によって提供されてもよい。
端末装置53は、例えば、ユーザによって行われる操作部213の操作に応じて、当該Webページにアクセスしてもよい。
また、端末装置53は、例えば、ファイル分析のサービスを受けるための契約を締結している場合に、ファイル分析装置41からアクセスされてもよい。この場合、ファイル分析装置41では、端末装置53を特定する情報が記憶部111に記憶されており、管理部116が当該情報に基づいて端末装置53にアクセスする。
[Access to file analyzer from terminal device]
The method for accessing the
As an example, the
The
The
ファイル分析のサービスにおいて、端末装置53とファイル分析装置41とは、オンデマンドで処理を実行してもよい。例えば、端末装置53から発せられる要求に応じて、ファイル分析装置41によって当該要求を満たすための処理を実行してもよい。
In the file analysis service, the
[ファイル分析のための専用のツール]
端末装置53において、ファイル分析のサービスを受けるための専用のツール(説明の便宜上、「専用ツール」ともいう。)を備えてもよい。当該専用ツールは、ソフトウェアであってもよい。当該ソフトウェアは、プログラムであってもよい。
端末装置53において、当該ソフトウェアは、例えば、記憶部216に記憶されている。そして、端末装置53において、当該ソフトウェアの内容に基づいて処理を行う。
[Dedicated tool for file analysis]
The
In the
専用ツールは、例えば、分析部11によってファイル分析のサービスを提供する管理主体によって,端末装置53の管理主体に配布される。当該専用ツールは、例えば、記録媒体に格納されて配布されてもよく、あるいは、ファイル分析装置41などから端末装置53に対してネットワーク31を介して送信(ダウンロード)されてもよい。端末装置53では、例えば、当該専用ツールであるプログラムをインストールして利用可能にする。
専用ツールは、例えば、無料で配布されてもよく、あるいは、有料で配布されてもよい。
また、専用ツールは、例えば、ファイル分析のサービスを受けるための契約をした者に配布されてもよく、あるいは、このような契約をしなくても、任意の者に配布されてもよい。
The dedicated tool is distributed to the management entity of the
The dedicated tool may be distributed free of charge, for example, or may be distributed for a fee.
In addition, the dedicated tool may be distributed to, for example, a person who has contracted to receive a file analysis service, or may be distributed to any person without such a contract.
端末装置53において、専用ツールを備える場合には、当該専用ツールの機能によって、ファイル分析装置41にアクセスしてもよい。当該アクセスの先は、所定のWebページであってもよい。
また、端末装置53において、専用ツールを備える場合には、ファイル分析装置41から端末装置53への通信は、電子メールを用いた通信、あるいは、Webプッシュ通知を用いた通信であってもよい。
If the
When the
図2の例では、端末装置53におけるファイル条件取得部232の機能とファイル条件判定部233の機能は、例えば、専用ツールによって実現される機能に含まれてもよい。この場合、例えば、専用ツールが端末装置53に備えられていない状態では、端末装置53においてファイル条件取得部232の機能とファイル条件判定部233の機能が備えられていなくてもよい。
この場合、端末装置53では、例えば、これらの機能と同様な処理を行うときには、ユーザによって行われる操作部213の操作に応じて当該処理を行う。つまり、ユーザの手動の操作によって、これらの機能と同様な処理を行う。
In the example of FIG. 2, the function of the file
In this case, in the
同様に、図2の例では、端末装置53におけるログ削減部234の機能は、例えば、専用ツールによって実現される機能に含まれてもよい。この場合、例えば、専用ツールが端末装置53に備えられていない状態では、端末装置53においてログ削減部234の機能が備えられていなくてもよい。
この場合、端末装置53では、例えば、当該機能と同様な処理を行うときには、ユーザによって行われる操作部213の操作に応じて当該処理を行う。つまり、ユーザの手動の操作によって、当該機能と同様な処理を行う。
Similarly, in the example of FIG. 2, the function of the
In this case, in the
また、同様に、図2の例では、端末装置53における圧縮部236の機能、暗号化部237の機能、分析要求可否判定部239、およびファイル生成部235の機能のうちの1以上は、例えば、専用ツールによって実現される機能に含まれてもよい。この場合、例えば、専用ツールが端末装置53に備えられていない状態では、端末装置53において該当する機能が備えられていなくてもよい。
この場合、端末装置53では、例えば、当該機能と同様な処理を行うときには、ユーザによって行われる操作部213の操作に応じて当該処理を行う。つまり、ユーザの手動の操作によって、当該機能と同様な処理を行う。
Similarly, in the example of FIG. 2, one or more of the functions of the
In this case, in the
また、専用ツールは、他の機能を実現してもよい。
ここで、専用ツールが、所定の機能を実現するために参照する情報を記憶部216などに記憶して管理する場合には、例えば、ファイル分析装置41などからの要求によって当該情報が自動的に更新されてもよい。当該情報は、例えば、ホワイトリストの情報であってもよい。端末装置53における当該情報は、例えば、定期的に、あるいは、当該情報の元となる情報に変化があったときに、自動的に更新されてもよい。これにより、当該情報は、端末装置53とファイル分析装置41との間で共有されて同じ情報に保たれ、最新の情報に維持される。当該情報の更新は、例えば、専用ツールによって行われてもよい。
Further, the dedicated tool may realize other functions.
Here, when the dedicated tool stores and manages information to be referred to for realizing a predetermined function in the
専用ツールは、圧縮部236の機能として、独自のフォーマットで圧縮を行う機能を備えてもよい。この場合、ファイル分析装置41では、解凍部132の機能として、当該フォーマットに適合したフォーマットで解凍を行う機能を備える。ファイル分析システム1では、このような独自のフォーマットが用いられることで、セキュリティリスクを低減することができる。
一例として、専用ツールは、独自のフォーマットでファイルを圧縮するときに、圧縮後のファイルが解凍されなくても読み出すことが可能なヘッダなどに、所定の情報を書き込んでもよい。この場合、ファイル分析装置41では、ファイル検査部113によって、圧縮後のファイルに含まれる当該所定の情報があらかじめ定められた情報であると判定された場合には、当該圧縮後のファイルが安全であるとみなす。当該所定の情報は、任意の情報であってもよく、例えば、専用ツールによって圧縮されたことを示す情報である。
The dedicated tool may have a function of performing compression in a unique format as a function of the
As an example, when compressing a file in a unique format, the dedicated tool may write predetermined information in a header or the like that can be read even if the compressed file is not decompressed. In this case, in the
同様に、専用ツールは、暗号化部237の機能として、独自のフォーマットで暗号化を行う機能を備えてもよい。この場合、ファイル分析装置41では、復号部131の機能として、当該フォーマットに適合したフォーマットで復号を行う機能を備える。ファイル分析システム1では、このような独自のフォーマットが用いられることで、セキュリティリスクを低減することができる。
Similarly, the dedicated tool may include, as a function of the
同様に、専用ツールは、ファイル生成部235の機能として、独自のフォーマットでファイルを生成する機能を備えてもよい。この場合、ファイル分析装置41では、ファイル検査部113は、このような独自のフォーマットが用いられているか否かを検査する。この場合、ファイル分析装置41では、このような独自のフォーマットが用いられることで、セキュリティリスクを低減することができる。
Similarly, the dedicated tool may have a function of generating a file in a unique format as a function of the
専用ツールとしては、例えば、ファイル条件の判定を行う機能を備えるツール、ログの削減を行う機能を備えるツール、圧縮を行う機能を備えるツール、暗号化を行う機能を備えるツールなどのように、複数の異なる機能のツールが別々に備えられてもよく、あるいは、これらのうちの2以上がまとめられたツールが備えられてもよい。
また、専用ツールとしては、圧縮と解凍の両方の機能を有するツールが備えられてもよい。また、専用ツールとしては、暗号化と復号の両方の機能を有するツールが備えられてもよい。
As a dedicated tool, for example, a tool having a function of determining a file condition, a tool having a function of reducing a log, a tool having a function of performing compression, a tool having a function of performing encryption, and the like are provided. May be separately provided, or a tool in which two or more of them are put together may be provided.
Further, a tool having both functions of compression and decompression may be provided as a dedicated tool. Further, a tool having both functions of encryption and decryption may be provided as a dedicated tool.
ファイル分析システム1では、端末装置53において専用ツールによって分析対象のファイルが生成されることで、例えば、端末装置53からファイル分析装置41に送信される当該ファイルが所定の検査条件を満たす状態を確保することが容易となる。つまり、ユーザによって行われる任意の操作に応じてファイルが生成される場合と比べて、専用に設けられた専用ツールによってファイルが生成される場合の方が、所定の検査条件に適合させやすい。つまり、専用ツールによって所定の検査条件が満たされるファイルを生成する構成としておくことで、ファイル分析装置41におけるファイル検査部113によるファイル検査を省略すること、あるいは、当該ファイル検査に要する負担を低減することが可能である。これにより、ファイル分析装置41におけるファイル検査部113によるファイルの検査を簡易化することが可能である。
In the
ここで、専用ツールによって図6に示される表示内容2211を用いた制御を行う一例を示す。
端末装置53において、表示部214の画面に、専用ツールによる枠が表示されているとする。このとき、ユーザによって行われる操作部213の操作に応じて、分析対象の情報のアイコンが当該枠にドラッグアンドドロップされる。当該アイコンは、例えば、セキュリティセンサのログファイルを表すアイコンであってもよい。
すると、専用ツールは、分析対象のログを読み取り、ホワイトリストに基づいて当該ログから分析に必要のない行(不要ログ)を削除する。そして、専用ツールは、必要に応じて、分析対象となるログが所定のサイズに収まってサイズオーバーにならないように、最新の日時のログから過去に遡ってログを切り出す。この際、専用ツールは、ログの日時の範囲を算出して表示部214の画面に表示する。ユーザは、この表示内容(図6の例では、表示内容2211)を確認し、アップロードのボタン2221を押下する操作を行う。これに応じて、専用ツールは、分析対象のログを含むファイルを独自のフォーマットで圧縮してファイル分析装置41に送信する。ファイル分析装置41は、受信されたファイルについて検査、分析を行い、通知を行う。
このようにして、専用ツールを用いて、ユーザによる簡単な操作で、サイズが制限されたファイルをファイル分析装置41に送信することが可能である。
専用ツールは、例えば、ブラウザ上でファイルをアップロードまたは加工して使用する形態でもよい。
Here, an example of performing control using the
In the
Then, the dedicated tool reads the log to be analyzed, and deletes lines (unnecessary logs) that are not necessary for analysis from the log based on the whitelist. Then, the dedicated tool cuts out the logs retrospectively from the log of the latest date and time as necessary so that the log to be analyzed is not oversized because it fits in a predetermined size. At this time, the dedicated tool calculates the range of the date and time of the log and displays it on the screen of the
In this way, it is possible to transmit a file whose size is limited to the
The dedicated tool may be, for example, a form in which a file is uploaded or processed on a browser and used.
[ファイル分析システムにおいて行われる処理]
図8は、本発明の一実施形態に係る端末装置53において行われる処理の手順の一例を示す図である。
図8の例では、端末装置53は、ユーザによって行われる手動の操作に基づいて、ファイル分析のサービスを利用する場合を示す。
本例では、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能がオフ(無効)になっている場合あるいは当該機能が端末装置53に備えられていない場合を示す。
[Process Performed in File Analysis System]
FIG. 8 is a diagram illustrating an example of a procedure of a process performed in the
The example of FIG. 8 illustrates a case where the
This example shows a case where the functions of the file
(ステップS1)
端末装置53では、操作部213が、ユーザによって行われる操作の内容を受け付けて取得する。そして、ステップS2の処理へ移行する。本例では、当該操作は、ファイル分析のサービスを利用するための操作である。
(Step S1)
In the
(ステップS2)
端末装置53では、ファイル生成部235が、取得された操作の内容に基づいて、ファイル分析の対象とするファイルを生成する。そして、ステップS3の処理へ移行する。
ここで、端末装置53では、生成されたファイルについて、圧縮部236による圧縮、および暗号化部237による暗号化のうちの一方または両方を行ってもよい。
(Step S2)
In the
Here, the
(ステップS3)
端末装置53では、制御部217が通信部215によって、生成されたファイルをネットワーク31を介してファイル分析装置41に送信する。そして、ステップS4の処理へ移行する。
これにより、ファイル分析装置41では、端末装置53から受信されたファイルについて検査、分析の処理を行い、端末装置53に対して通知を行う。
なお、端末装置53では、例えば、ユーザによる所定の操作を操作部213によって受け付けたことに応じて、ファイルの送信を行ってもよい。
(Step S3)
In the
As a result, the
In the
(ステップS4)
端末装置53では、通知制御部238が、ファイル分析装置41からの通知を受信する。その後、端末装置53では、通知制御部238が、表示部214の画面に、受信された通知の内容を表示する。そして、本フローの処理を終了する。これにより、ユーザは、当該通知の内容を把握することができ、つまり、ファイル分析の結果を把握することができる。
(Step S4)
In the
図9は、本発明の一実施形態に係る端末装置53において行われる処理の手順の一例を示す図である。
図9の例では、端末装置53は、所定の規則(説明の便宜上、「ファイル生成規則」ともいう。)に基づいて、ファイル分析のサービスを利用する場合を示す。ファイル生成規則は、例えば、記憶部216に記憶されている。ファイル生成規則は、ファイルを生成するための規則であり、例えば、ファイルを生成するタイミング、ファイルに含めるログの範囲などのうちの1以上の規則が含まれてもよい。
本例では、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能がオフ(無効)になっている場合あるいは当該機能が端末装置53に備えられていない場合を示す。
FIG. 9 is a diagram illustrating an example of a procedure of a process performed in the
The example of FIG. 9 illustrates a case where the
This example shows a case where the functions of the file
(ステップS21)
端末装置53では、ファイル生成部235が、ファイル生成規則を読み出して取得する。そして、ステップS22の処理へ移行する。
(Step S21)
In the
(ステップS22)
端末装置53では、ファイル生成部235が、取得されたファイル生成規則の内容に基づいて、ファイル分析の対象とするファイルを生成する。そして、ステップS23の処理へ移行する。
ここで、端末装置53では、生成されたファイルについて、圧縮部236による圧縮、および暗号化部237による暗号化のうちの一方または両方を行ってもよい。
(Step S22)
In the
Here, the
(ステップS23)
端末装置53では、制御部217が通信部215によって、生成されたファイルをネットワーク31を介してファイル分析装置41に送信する。そして、ステップS24の処理へ移行する。
これにより、ファイル分析装置41では、端末装置53から受信されたファイルについて検査、分析の処理を行い、端末装置53に対して通知を行う。
(Step S23)
In the
As a result, the
(ステップS24)
端末装置53では、通知制御部238が、ファイル分析装置41からの通知を受信する。そして、端末装置53では、通知制御部238が、表示部214の画面に、受信された通知の内容を表示する。そして、本フローの処理を終了する。これにより、ユーザは、当該通知の内容を把握することができ、つまり、ファイル分析の結果を把握することができる。
(Step S24)
In the
図10は、本発明の一実施形態に係る端末装置53において行われる処理の手順の一例を示す図である。
図10の例では、端末装置53は、所定のファイル条件に適合するファイルを生成する。なお、ファイル生成の前後の処理としては、任意の処理が用いられてもよい。
本例では、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能が端末装置53に備えられていてオン(有効)になっている場合を示す。
FIG. 10 is a diagram illustrating an example of a procedure of a process performed in the
In the example of FIG. 10, the
This example shows a case where the functions of the file
(ステップS41)
端末装置53では、ファイル生成部235が、ログ取得部231によって取得されたログに基づいて、ファイルを生成する。そして、ステップS42の処理へ移行する。本例では、当該ファイルは、ファイル条件に適合するか否かを判定するために仮に生成されたファイルである。
(Step S41)
In the
(ステップS42)
端末装置53では、ファイル条件取得部232が、ファイル条件を取得する。そして、ステップS43の処理へ移行する。
(Step S42)
In the
(ステップS43)
端末装置53では、ファイル条件判定部233が、生成されたファイルがファイル条件を満たすか否かを判定する。
この結果、端末装置53では、ファイル条件判定部233が、生成されたファイルがファイル条件を満たすと判定した場合には(ステップS43:YES)、本フローの処理を終了する。この場合、生成されたファイルが分析対象の候補として確定され、それに対応するログの範囲がユーザに提示される(例えば、図6の例)。そのログの範囲がユーザによって承認されると、当該ファイルが分析対象として確定される。
一方、端末装置53では、ファイル条件判定部233が、生成されたファイルがファイル条件を満たさないと判定した場合には(ステップS43:NO)、ステップS44の処理へ移行する。
(Step S43)
In the
As a result, in the
On the other hand, in the
(ステップS44)
端末装置53では、ログ削減部234が、ファイルに含められるログを削減する。そして、ステップS41の処理に移行する。
なお、本例では、ログの削減の後に、再び、生成されるファイルがファイル条件を満たすか否かを判定する処理を行う場合を示すが、生成されるファイルがファイル条件を満たすようにログの削減が行われる構成ではステップS44の処理の後に本フローの処理を終了してもよい。
(Step S44)
In the
In this example, after the log is reduced, the process of determining whether the generated file satisfies the file condition is performed again. In a configuration in which the reduction is performed, the processing of this flow may be ended after the processing of step S44.
図11は、本発明の一実施形態に係る端末装置53において行われる処理の手順の一例を示す図である。
図11の例では、端末装置53は、ファイルの分析要求が可能であるか否かを判定する。なお、本フローの処理は、端末装置53においてファイル分析のサービスを受けるための処理が行われるときに、任意のタイミングで行われてもよい。
本例では、分析要求可否判定部239が端末装置53に備えられていてオン(有効)である場合を示す。なお、分析要求可否判定部239がオフ(無効)である場合あるいは端末装置53に備えられていない場合には、本フローの処理は行われない。
FIG. 11 is a diagram illustrating an example of a procedure of a process performed in the
In the example of FIG. 11, the
This example shows a case where the analysis request
(ステップS61)
端末装置53では、分析要求可否判定部239が、ファイルの分析要求が可能であるか否かを判定する。この場合、分析要求可否判定部239は、例えば、契約情報3011と同様な情報に基づいてファイルの分析要求が可能であるか否かを判定してもよい。当該情報は、例えば、記憶部216に記憶されて、分析要求可否判定部239によって管理されてもよい。
この結果、端末装置53では、分析要求可否判定部239が、ファイルの分析要求が可能であると判定した場合には(ステップS61:YES)、本フローの処理を終了する。
一方、端末装置53では、分析要求可否判定部239が、ファイルの分析要求が可能ではないと判定した場合には(ステップS61:NO)、ステップS62の処理へ移行する。
(Step S61)
In the
As a result, in the
On the other hand, in the
(ステップS62)
端末装置53では、分析要求可否判定部239が、ファイル分析のサービスを受けるための処理を中止させる。この場合、分析要求可否判定部239は、その旨を表示部214の画面に表示させてもよい。そして、本フローの処理を終了する。
なお、端末装置53では、その後に、再び、ファイル分析のサービスを受けるための処理が行われてもよい。
(Step S62)
In the
In the
図12は、本発明の一実施形態に係るファイル分析装置41において行われる処理の手順の一例を示す図である。
FIG. 12 is a diagram illustrating an example of a procedure of a process performed in the
(ステップS101)
ファイル分析装置41では、受信部121によって、端末装置53から送信された分析対象のファイルを受信する。そして、ステップS102の処理へ移行する。
(Step S101)
In the
(ステップS102)
ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされるか否かを判定する。
この結果、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされると判定した場合には(ステップS102:YES)、ステップS103の処理へ移行する。
一方、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされないと判定した場合には(ステップS102:NO)、ステップS104の処理へ移行する。
(Step S102)
In the
As a result, in the
On the other hand, in the
(ステップS103)
ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、分析条件に基づいて、分析を行う。そして、ステップS104の処理へ移行する。
(Step S103)
In the
(ステップS104)
ファイル分析装置41では、通知部115が、端末装置53に対して通知を行う。
ここで、通知部115は、ファイル検査部113によってファイルが検査条件を満たさないと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題が無いと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題があると判定された場合には、その旨の情報を端末装置53に対して通知する。
(Step S104)
In the
Here, when the
When the
When the
<変形例>
図13を参照して、変形例を説明する。
図13は、本発明の一実施形態に係るファイル分析装置41において行われる処理の手順の一例を示す図である。
本例では、ファイル分析装置41において、ファイル分析部114が、ファイルがファイル条件を満たすか否かを判定する機能と、ファイルに含まれるログを削減する機能を備える場合を示す。
本例では、記憶部111に、ファイル条件を特定する情報が記憶されている。
本例では、端末装置53において、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能がオフ(無効)になっている場合あるいは当該機能が端末装置53に備えられていない場合に特に有効である。なお、本フローの処理は、端末装置53において、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能が備えられていてオン(有効)である場合に適用されてもよい。
本例では、検査条件の内容は、ファイル条件の内容を含まないとする。なお、検査条件の内容が、ファイル条件の内容の一部を含んでもよい。
<Modification>
A modification will be described with reference to FIG.
FIG. 13 is a diagram illustrating an example of a procedure of processing performed in the
In the present example, a case is shown in which the
In this example, information for specifying a file condition is stored in the
In this example, when the functions of the file
In this example, it is assumed that the content of the inspection condition does not include the content of the file condition. Note that the content of the inspection condition may include a part of the content of the file condition.
(ステップS121)
ファイル分析装置41では、受信部121によって、端末装置53から送信された分析対象のファイルを受信する。そして、ステップS122の処理へ移行する。
(Step S121)
In the
(ステップS122)
ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされるか否かを判定する。
この結果、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされると判定した場合には(ステップS122:YES)、ステップS123の処理へ移行する。
一方、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされないと判定した場合には(ステップS122:NO)、ステップS126の処理へ移行する。
(Step S122)
In the
As a result, in the
On the other hand, in the
(ステップS123)
ファイル分析装置41では、ファイル分析部114が、ファイル条件を取得する。その後、ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、ファイル条件が満たされるか否かを判定する。
この結果、ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、ファイル条件が満たされると判定した場合には(ステップS123:YES)、ステップS125の処理へ移行する。この場合、当該ファイルが分析対象となる。
一方、ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、ファイル条件が満たされないと判定した場合には(ステップS123:NO)、ステップS124の処理へ移行する。
(Step S123)
In the
As a result, in the
On the other hand, in the
(ステップS124)
ファイル分析装置41では、ファイル分析部114が、検査後のファイルに含まれるログを削減する。そして、ステップS125の処理に移行する。この場合、削減後のログを含むファイルが分析対象となる。
なお、本例では、ファイル分析部114は、削減後のログが含められるファイルがファイル条件を満たすようにログの削減を行う。
(Step S124)
In the
In this example, the
(ステップS125)
ファイル分析装置41では、ファイル分析部114が、分析対象となるファイルについて、分析条件に基づいて、分析を行う。そして、ステップS126の処理へ移行する。
(Step S125)
In the
(ステップS126)
ファイル分析装置41では、通知部115が、端末装置53に対して通知を行う。
ここで、通知部115は、ファイル検査部113によってファイルが検査条件を満たさないと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題が無いと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題があると判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってログの削減が行われた場合には、その旨の情報を端末装置53に対して通知する。当該情報は、例えば、削減されたログを特定する情報と、削減されなかったログを特定する情報のうちの一方または両方を含んでもよい。これにより、端末装置53のユーザは、ファイル分析装置41において分析対象のログの削減が行われた場合には、そのことを把握することができる。
(Step S126)
In the
Here, when the
When the
When the
Further, when the log is reduced by the
ここで、ファイル分析装置41におけるファイル条件の判定処理およびログの削減処理については、例えば、端末装置53におけるファイル条件の判定処理およびログの削減処理と同様なものであってもよい。つまり、本例では、端末装置53においてファイル条件の判定処理およびログの削減処理が行われなくても、ファイル分析装置41においてファイル条件の判定処理およびログの削減処理が行われる。
なお、ファイル分析装置41において用いられるファイル条件と、端末装置53において用いられるファイル条件が存在する場合には、例えば、これらのファイル条件は、同じであってもよく、あるいは、一部または全部が異なってもよい。
Here, the file condition determination process and the log reduction process in the
If the file conditions used in the
また、本例では、ファイル分析装置41において、ファイル分析部114がファイル条件の判定処理およびログの削減処理を行う場合を示したが、他の例として、ファイル分析部114の代わりにファイル検査部113がファイル条件の判定処理およびログの削減処理を行ってもよい。この場合、検査条件の内容がファイル条件の内容のうちの一部または全部を含んでもよい。検査条件の内容がファイル条件の内容の全部を含む場合には、検査条件の判定だけ行われてもよく、ファイル条件の判定は不要である。
In this example, the
<変形例>
図14を参照して、変形例を説明する。
図14は、本発明の一実施形態に係るファイル分析装置41において行われる処理の手順の一例を示す図である。
本例では、ファイル分析装置41が、所定のタイミング(説明の便宜上、「分析推奨タイミング」ともいう。)で、端末装置53に対してファイル分析のサービスを利用することを推奨する。分析推奨タイミングは、任意のタイミングであってもよく、例えば、定期的なタイミングであってもよい。
本例では、分析推奨タイミングを特定する情報が、記憶部111に記憶されている。
<Modification>
A modified example will be described with reference to FIG.
FIG. 14 is a diagram illustrating an example of a procedure of a process performed in the
In this example, it is recommended that the
In this example, information for specifying the recommended analysis timing is stored in the
(ステップS141)
ファイル分析装置41では、管理部116が、分析推奨タイミングになったか否かを判定する。この場合、管理部116は、例えば、ファイル分析装置41の内部または外部に備えられた時計機能(図示せず)の情報を参照してもよい。
この結果、ファイル分析装置41では、管理部116が、分析推奨タイミングになったと判定した場合には(ステップS141:YES)、ステップS142の処理へ移行する。
一方、ファイル分析装置41では、管理部116が、分析推奨タイミングになっていないと判定した場合には(ステップS141:NO)、本フローの処理を終了する。
(Step S141)
In the
As a result, in the
On the other hand, in the
(ステップS142)
ファイル分析装置41では、管理部116が、通知部115によって、端末装置53に対して、分析推奨タイミングになったことを示す情報を通知する。そして、本フローの処理を終了する。
なお、本フローの処理は、例えば、一定の時間間隔ごとに行われてもよい。
また、通知部115によって端末装置53に対して通知を行う手法としては、任意の手法が用いられてもよい。
(Step S142)
In the
Note that the processing of this flow may be performed at regular time intervals, for example.
In addition, any method may be used as a method of notifying the
ここで、端末装置53では、ファイル分析装置41から分析推奨タイミングであることを推奨(通知)された場合に、一例として、その旨を表す情報を表示部214の画面に表示してもよい。この場合、ユーザは、分析推奨タイミングであることを把握することができる。
また、端末装置53では、ファイル分析装置41から分析推奨タイミングであることを推奨(通知)された場合に、他の例として、ユーザの操作が無くても、自動的に、ファイル分析のサービスを受けるための処理(例えば、図9に示されるフローの処理)を行ってもよい。
Here, when the
In addition, when the
図15は、本発明の一実施形態に係る情報処理装置4001のハードウェア構成の一例を示す図である。
本実施形態における端末装置53あるいはファイル分析装置41などとして、図15に示されるようなハードウェア構成を有する情報処理装置4001が使用されてもよい。
FIG. 15 is a diagram illustrating an example of a hardware configuration of an
An
図15の例では、情報処理装置4001は、プロセッサ4011と、操作部4012と、表示部4013と、記憶装置4014と、メモリ4015と、入出力インターフェイス4016と、ネットワークインターフェイス4017と、これらを接続するバス4021を備える。
In the example of FIG. 15, the
プロセッサ4011は、CPU(Central Processing Unit)などから構成されており、プログラムを実行することで、当該プログラムに規定された処理を実行する。
操作部4012は、キーボード、マウスなどのうちの1以上の入力装置を備え、ユーザ(人)により行われる操作を受け付ける。
表示部4013は、画面を有しており、情報を当該画面に表示出力する。
The
The
The
記憶装置4014は、不揮発性の記憶部であり、例えば、ハードディスクなどから構成されており、情報を記憶する。
メモリ4015は、揮発性の記憶部であり、RAM(Random Access Memory)などから構成されており、情報を一時的に記憶する。RAMとしては、例えば、DRAM(Dynamic Random Access Memory)が用いられてもよい。
記憶装置4014あるいはメモリ4015は、例えば、プロセッサ4011により実行されるプログラムの情報を記憶してもよい。
The
The
The
入出力インターフェイス4016は、外部の記録媒体などと接続するインターフェイスである。
ネットワークインターフェイス4017は、外部のネットワークと接続するインターフェイスである。
The input /
The
ここで、情報処理装置4001は、プロセッサ4011として、1個のプロセッサを備えてもよく、または、2個以上のプロセッサを備えてもよい。一例として、情報処理装置4001は、複数個のCPUを備えて、それぞれのCPUによりそれぞれの処理を実行するとともに、これら複数個のCPUにより連携して全体の処理を実現してもよい。
Here, the
[実施形態のまとめ]
以上のように、本実施形態に係るファイル分析システム1では、端末装置53は、分析対象とするログが含まれるファイルをファイル分析装置41に送信することで、当該ログについてファイル分析装置41によって分析された結果の通知を受けることができる。このため、本実施形態に係るファイル分析システム1では、ログを分析するシステムを動作可能な状態にするための初期的な設定が行われなくても、簡易にログの分析を行うことができ、ログ分析のサービスを簡易に実現することができる。
[Summary of Embodiment]
As described above, in the
例えば、端末装置53のユーザは、センサの設定およびネットワークの設定が行われなくても、セキュリティセンサのログが含まれるファイルを端末装置53からファイル分析装置41に送ることで、監視機能の分析精度の評価あるいは確認を行うことができる。
通常、セキュリティセンサでは常にログを監視することが行われるが、本実施形態に係るファイル分析システム1では、端末装置53からファイル分析装置41に、分析が希望されるログが含まれるファイルが送信されればよく、ファイル分析のサービスを簡易に試用することが可能である。
For example, the user of the
Normally, logs are always monitored by the security sensor. However, in the
また、本実施形態に係るファイル分析システム1では、例えば、端末装置53では、セキュリティリスクが高まった期間に限って、ファイル分析のサービスを受けることも可能である。
例えば、端末装置53では、大規模な新型ウィルスが発生したときに、そのときから過去の所定期間のログを対象としてファイル分析のサービスを受けることが可能である。当該所定期間は、例えば、過去2週間などの期間であってもよい。また、端末装置53において、サービスを受けるための契機としては、例えば、ユーザによって行われる操作に応じてサービスを受けてもよく、あらかじめ設定された新型ウィルスの発生時に関する規則に基づいてサービスを受けてもよく、あるいは、ファイル分析装置41からの要求に応じてサービスを受けてもよい。
In the
For example, when a large-scale new virus occurs, the
本実施形態に係るファイル分析システム1では、端末装置53において、ログ削減部234によってログの削減が行われることで、端末装置53からファイル分析装置41に送信されるファイルに含まれるログのデータ量が削減される。これにより、本実施形態に係るファイル分析システム1では、例えば、ファイル分析が行われることが不要なログが端末装置53において除かれるため、ファイル分析のサービスの効率化を図ることができる。また、本実施形態に係るファイル分析システム1では、例えば、分析対象となるファイルに含まれるログのデータ量に上限値の条件がある場合には、当該条件が満たされるように端末装置53において当該ログが削減されるため、ファイル分析のサービスを円滑に進めることが可能である。
In the
通常、セキュリティセンサでは、ログファイルのデータサイズが大きいことから、当該ログファイルの分析に多大な時間がかかること、あるいは、分析の容量制限の条件が満たされないことが発生し易いが、本実施形態に係るファイル分析システム1では、このような問題を解消することができる。本実施形態に係るファイル分析システム1では、例えば、分析対象とすることが可能なログのデータ量を制限することで、ファイル分析のサービスにかかる負荷を小さくして、ファイル分析のサービスにかかる料金を低価格に抑えることが可能である。
Normally, in the security sensor, since the data size of the log file is large, it often takes a long time to analyze the log file, or the condition of the analysis capacity limitation is not easily satisfied. In the
また、本実施形態に係るファイル分析システム1では、例えば、端末装置53において、ファイル分析のサービスを受けるための専用ツールが使用されることで、端末装置53のユーザによって行われる操作を簡易化することが可能である。また、専用ツールが使用されることで、例えば、セキュリティ性を高めることが可能である。
また、本実施形態に係るファイル分析システム1では、端末装置53とファイル分析装置41との間でオンデマンドの通信が用いられることで、例えば、低コスト化を図ることが可能である。
In the
Further, in the
[ログの種類]
本実施形態では、ファイル分析の対象とするログとして、セキュリティセンサのログが用いられる場合を示した。セキュリティセンサのログとしては、例えば、FW(FireWall)、NGFW(New Generation FireWall)、IPS(Intrusion prevention system)、IDS(Intrusion Detection System)、UTM(Unified Threat Managemant)、WAF(Web Application FireWall)などのログがある。
[Log Type]
In the present embodiment, the case where the log of the security sensor is used as the log to be subjected to the file analysis has been described. As a log of a security sensor, for example, FW (FireWall), NGFW (New Generation FireWall), IPS (Intrusion presentation system), IDS (Intrusion Detection System), UTM (UnificationWatation, WAT, WAT, WF, etc.) There is a log.
一例として、ログを検出する装置は、コンピュータネットワークにおいて不正な侵入を防止する侵入防止システム(IPS)の装置であってもよい。例えば、当該装置は、不正に関係する可能性があるログを検出してもよい。
他の例として、ログを検出する装置は、通過させてはいけない通信を阻止するファイアウォール(FW)の装置であってもよい。例えば、当該装置は、不正に関係する可能性があるログと、不正に関係しないログとの両方を検出してもよい。
なお、一般に、IPSとファイアウォールとを比較すると、ファイアウォールでは通過した信号についてのログもあるためデータ量が多大になり易く、IPSの方が、問題のある可能性があるログの密度が高いといえる。
As an example, the device that detects logs may be an intrusion prevention system (IPS) device that prevents unauthorized intrusion in a computer network. For example, the device may detect a log that may be related to fraud.
As another example, the device that detects the log may be a device of a firewall (FW) that blocks communication that should not be passed. For example, the device may detect both logs that may be related to fraud and logs that are not related to fraud.
In general, when comparing the IPS with the firewall, it is easy to increase the amount of data because there is a log of a signal passed through the firewall, and it can be said that the IPS has a higher density of logs that may have a problem. .
ファイル分析の対象とするログとして、他のログを用いることも可能である。他のログとしては、例えば、認証ログ、エラーログ、端末スキャンログ、通信ログ、プログラム稼働ログ、アプリケーション動作ログなどがある。
認証ログとしては、例えば、Active Directory、BIND(Berkeley Internet Name Domain)、DNS(Domain Name System)などのログがある。
エラーログとしては、例えば、WinEvtなどのログがある。
端末スキャンログとしては、アンチウィルス、EDR(Endpoint Detection and Response)などのログがある。
通信ログとしては、Proxy、mail、Fileアクセス、データベース(DB:DataBase)アクセスなどのログがある。
プログラム稼働ログとしては、例えば、bootログ、dmesgなどのログがある。
アプリケーション動作ログとしては、例えば、イベントログ、固有ログなどのログがある。
Other logs can be used as logs to be analyzed. Other logs include, for example, an authentication log, an error log, a terminal scan log, a communication log, a program operation log, and an application operation log.
Examples of the authentication log include logs such as Active Directory, BIND (Berkeley Internet Name Domain), and DNS (Domain Name System).
The error log includes, for example, a log such as WinEvt.
Examples of the terminal scan log include logs such as antivirus and EDR (Endpoint Detection and Response).
As communication logs, there are logs such as Proxy, mail, File access, and database (DB: DataBase) access.
Examples of the program operation log include a log such as a boot log and dmesg.
Examples of the application operation log include logs such as an event log and a unique log.
本実施形態では、ファイル分析の対象としてログが用いられる場合を示したが、ファイル分析の対象としてログ以外の情報を用いることも可能である。
ログ以外の情報としては、例えば、オペレーティングシステム(OS:Operating System)の設定の情報がある。
OSの設定の情報としては、例えば、レジストリの情報などがある。
また、例えば、Webの閲覧の履歴、操作の履歴、あるいは、ログインの履歴などが用いられてもよい。
In the present embodiment, a case is described in which a log is used as a target of file analysis. However, information other than a log can be used as a target of file analysis.
The information other than the log includes, for example, information on the setting of an operating system (OS).
Examples of the OS setting information include registry information.
Further, for example, a web browsing history, an operation history, or a log-in history may be used.
本実施形態では、1個のログ検出装置51によって1種類のログを検出する場合を示したが、2個以上のログ検出装置が備えられて、2種類以上のログを検出する構成が用いられてもよい。
なお、ログ検出装置は、例えば、端末装置53の外部に備えられてもよく、あるいは、端末装置53の内部の機能として備えられてもよい。
In the present embodiment, a case where one type of log is detected by one
The log detection device may be provided, for example, outside the
ログ管理装置52は、複数のログ検出装置によって検出されたログの情報を記憶部151に記憶して管理してもよい。
例えば、複数の異なる種類のログの情報が時間順に混じった形で記憶等されてもよい。各ログには、例えば、当該各ログを検出したセンサを識別する情報が付加されている。当該各ログは、当該情報に基づいて、区別されることが可能である。これにより、複数の異なる種類のログの情報が混じった情報から、所定の種類のログの情報が抽出されることが可能である。
The
For example, information of a plurality of different types of logs may be stored in a form mixed in chronological order. For example, information for identifying a sensor that has detected each log is added to each log. The logs can be distinguished based on the information. This makes it possible to extract information of a predetermined type of log from information in which information of a plurality of different types of logs is mixed.
端末装置53において、分析対象とするファイルには、例えば、1種類のログが含まれてもよく、あるいは、2種類以上のログが含まれてもよい。
ファイル分析装置41において、ファイル検査部113によるファイルの検査は、例えば、ログの種類ごとに行われてもよく、あるいは、2以上のログの種類についてまとめて行われてもよい。
ファイル分析装置41において、ファイル分析部114によるファイルの分析は、例えば、ログの種類ごとに行われてもよく、あるいは、2以上のログの種類についてまとめて行われてもよい。
In the
In the
In the
<構成例>
一構成例として、端末装置(本実施形態では、端末装置53)において、ログを常時監視し常時監視されたログを出力するセキュリティセンサ(本実施形態では、ログ検出装置51のセンサ)から出力された複数のログのうちの一部のログを取得し、取得されたログを含むファイルを生成するファイル生成部(本実施形態では、ファイル生成部235)と、ファイル生成部によって生成されたファイルをファイル分析装置(本実施形態では、ファイル分析装置41)に送信するファイル送信部(本実施形態では、通信部215)と、ファイル分析装置から送られるファイルの分析結果の通知を受ける通知制御部(本実施形態では、通知制御部238)と、を備える。
一構成例として、端末装置において、分析対象とされることが不要である不要ログ(不要なログ)を特定する情報に基づいて、不要ログをファイルに含められるログから削減することで、ファイルに含められるログのデータ量を削減する不要ログ削減部(本実施形態では、ログ削減部234が有する機能)を備える。
一構成例として、端末装置において、ファイルに含められるログの範囲を削減することで、ファイルに含められるログのデータ量を所定の上限値以下とするログ範囲削減部(本実施形態では、ログ削減部234が有する機能)を備える。
一構成例として、端末装置において、ファイルの分析の要求が可能であるか否かを判定する分析要求可否判定部(本実施形態では、分析要求可否判定部239)を備える。
<Example of configuration>
As an example of the configuration, in the terminal device (the
As one configuration example, in the terminal device, unnecessary logs are reduced from logs included in the file based on information that specifies unnecessary logs (unnecessary logs) that are unnecessary to be analyzed, so that the An unnecessary log reduction unit (in this embodiment, a function of the log reduction unit 234) that reduces the data amount of logs to be included is provided.
As an example of the configuration, the terminal device reduces the range of the log included in the file to reduce the data amount of the log included in the file to a predetermined upper limit value or less. (The function of the unit 234).
As one configuration example, the terminal device includes an analysis request availability determination unit (in the present embodiment, an analysis request availability determination unit 239) that determines whether a file analysis request is possible.
一構成例として、ファイル分析装置(本実施形態では、ファイル分析装置41)において、端末装置(本実施形態では、端末装置53)から送信されたファイルを受信する受信部(本実施形態では、受信部121)と、受信部によって受信されたファイルについて分析を行うファイル分析部(本実施形態では、ファイル分析部114)と、ファイル分析部によって行われたファイルの分析の結果の通知を端末装置に送る通知部(本実施形態では、通知部115)と、を備え、ファイルは、ログを常時監視し常時監視されたログを出力するセキュリティセンサ(本実施形態では、ログ検出装置51のセンサ)から出力された複数のログのうちの一部のログを含む。
一構成例として、ファイル分析装置において、ファイル分析部によって行われる分析に関する課金情報を管理する管理部(本実施形態では、管理部116)を備える。課金情報は、分析の回数に応じた金額の情報を含む。分析の回数に応じた金額の情報は、分析の回数に応じた有料の金額の情報、または、分析の回数が所定の回数以下では無料であることを示す情報である。
As an example of the configuration, in the file analysis device (the
As an example of the configuration, the file analysis device includes a management unit (in this embodiment, the management unit 116) that manages accounting information related to the analysis performed by the file analysis unit. The billing information includes information on the amount of money according to the number of times of analysis. The information on the amount of money according to the number of times of the analysis is information on a charged amount according to the number of times of the analysis, or information indicating that the number of times of the analysis is free when the number of times of the analysis is equal to or less than a predetermined number.
なお、本発明は、端末装置あるいはファイル分析装置などの装置、ファイル分析システムなどのシステム、ファイル分析方法などの方法、プログラム、プログラムを記録した記録媒体など、様々な態様で実施されてもよい。記録媒体としては、例えば、一時的記録媒体であってもよい。 The present invention may be embodied in various forms such as a terminal device or a device such as a file analysis device, a system such as a file analysis system, a method such as a file analysis method, a program, and a recording medium on which the program is recorded. The recording medium may be, for example, a temporary recording medium.
以上のように、実施形態に係る各装置(例えば、端末装置53、ファイル分析装置41など)の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体(記憶媒体)に記録(記憶)して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、処理を行うことができる。
なお、ここでいう「コンピュータシステム」とは、オペレーティングシステムあるいは周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークあるいは電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えば、DRAM)のように、一定時間プログラムを保持しているものも含む。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)あるいは電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記のプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、上記のプログラムは、前述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
As described above, the program for realizing the function of each device (for example, the
Here, the “computer system” may include an operating system or hardware such as a peripheral device.
The “computer-readable recording medium” includes a flexible disk, a magneto-optical disk, a writable nonvolatile memory such as a ROM (Read Only Memory), a flash memory, a portable medium such as a DVD (Digital Versatile Disc), A storage device such as a hard disk built in a computer system.
Further, a “computer-readable recording medium” refers to a volatile memory (for example, DRAM) in a computer system serving as a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. ) As well as those that hold programs for a certain period of time.
Further, the above program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Further, the above program may be a program for realizing a part of the functions described above. Further, the above program may be a program that can realize the above-described functions in combination with a program already recorded in the computer system, that is, a so-called difference file (difference program).
なお、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。 Although the present invention has been described using the embodiment, the technical scope of the present invention is not limited to the above embodiment. It will be apparent to those skilled in the art that various modifications and alternative embodiments can be made without departing from the spirit and scope of the invention.
1…ファイル分析システム、11…分析部、21〜23…端末部、31…ネットワーク、41…ファイル分析装置、42…Webサーバ装置、43…メールサーバ装置、51…ログ検出装置、52…ログ管理装置、53…端末装置、111、151、216…記憶部、112、215…通信部、113…ファイル検査部、114…ファイル分析部、115…通知部、116…管理部、121…受信部、131…復号部、132…解凍部、211…入力部、212…出力部、213、4012…操作部、214、4013…表示部、217…制御部、231…ログ取得部、232…ファイル条件取得部、233…ファイル条件判定部、234…ログ削減部、235…ファイル生成部、236…圧縮部、237…暗号化部、238…通知制御部、239…分析要求可否判定部、1011…ファイル、2011、2111、2211…表示内容、2221…ボタン、3011…契約情報、4001…情報処理装置、4011…プロセッサ、4014…記憶装置、4015…メモリ、4016…入出力インターフェイス、4017…ネットワークインターフェイス、4021…バス
DESCRIPTION OF
本発明の一態様に係る端末装置は、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、前記ファイル生成部によって生成された前記ファイルを、1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされる場合にファイル分析を行うファイル分析装置に送信するファイル送信部と、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、前記1回の分析対象となる1個または複数個の前記ファイルに含められる予定の前記ログの情報が許容されるデータ量の前記上限値以下であるという条件が満たされるか否かを判定するファイル条件判定部と、前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減するログ削減部と、を備え、前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ログ削減部によって前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイル生成部が前記ファイルを生成し、前記ファイル送信部が前記ファイルを前記ファイル分析装置に送信する、端末装置である。 The terminal device according to an aspect of the present invention acquires a part of the plurality of logs output from a security sensor that constantly monitors a log and outputs the constantly monitored log, and obtains the acquired log. A file generation unit for generating a file including the log, and information of the log included in one or more files to be analyzed once is allowed for the file generated by the file generation unit. A file transmitting unit that transmits to a file analyzing device that performs file analysis when a condition that the data amount is equal to or less than an upper limit value of a data amount, and a notification control unit that receives a notification of the file analysis result transmitted from the file analyzing device And the amount of data in which the information of the log to be included in the one or more files to be analyzed once is allowed. A file condition determining unit that determines whether a condition that the condition is equal to or less than an upper limit value is determined, and when the file condition determining unit determines that the condition is not satisfied, the data amount of the log included in the file is determined. A log reduction unit for reducing, and when the file condition determination unit determines that the condition is not satisfied, the log reduction unit reduces the data amount of the log included in the file, and the condition is satisfied. The terminal device , wherein the file generation unit generates the file using information of the log that is satisfied, and the file transmission unit transmits the file to the file analysis device .
本発明の一態様に係る端末装置において、前記ログ削減部は、前記ログが発生した日時が含まれるべき期間であって当該期間に含まれる前記ログの情報について前記条件が満たされる当該期間が表示されるようにし、前記ログ削減部は、表示された前記期間がユーザの操作によって変更されたときに、前記条件が満たされない場合には、前記条件が満たされるように前記期間を変更し、前記ファイル生成部は、前記条件が満たされる前記期間に含まれる前記ログの情報を用いて前記ファイルを生成する、構成であってもよい。
本発明の一態様に係る端末装置において、前記ユーザの操作によって1個または2個以上のセンサが指定され、前記ファイルに含められる予定の前記ログの情報には、指定された前記センサによって検出された前記ログの情報が含められる、構成であってもよい。
本発明の一態様に係る端末装置において、前記ファイルの分析のサービスに関する契約の内容と、前記サービスの利用状況とに基づいて、前記ファイルの分析の要求が可能であるか否かを判定する分析要求可否判定部を備える、構成であってもよい。
In the terminal device according to an aspect of the present invention, the log reduction unit may display a time period in which the date and time when the log has occurred should be included and the time period in which the condition is satisfied for the information of the log included in the time period. The log reduction unit, when the displayed period is changed by a user's operation, if the condition is not satisfied, changes the period so that the condition is satisfied, The file generation unit may be configured to generate the file using information of the log included in the period in which the condition is satisfied .
In the terminal device according to one aspect of the present invention, one or two or more sensors are designated by an operation of the user, and information of the log to be included in the file is detected by the designated sensor. The information of the log may be included.
In the terminal device according to an aspect of the present invention, an analysis that determines whether or not a request for analysis of the file is possible based on the contents of a contract related to the file analysis service and the use status of the service. A configuration including a request availability determination unit may be employed.
本発明の一態様に係るファイル分析装置は、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを含むファイルであって端末装置から送信された1回の分析対象となる1個または複数個の前記ファイルを受信する受信部と、前記受信部によって受信された前記ファイルについて、前記1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報が許容されるデータ量の上限値以下であるという検査条件が満たされるか否かを判定するファイル検査部と、前記ファイル検査部によって前記検査条件が満たされると判定された前記1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報について分析を行うファイル分析部と、前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、を備える。
本発明の一態様に係るファイル分析装置において、前記ファイル分析部によって行われる前記分析に関する課金情報を管理する管理部を備え、前記課金情報は、前記分析の回数に応じた金額の情報を含み、前記分析の回数に応じた金額の情報は、前記分析の回数に応じた有料の金額の情報、または、前記分析の回数が所定の回数以下では無料であることを示す情報である、構成であってもよい。
The file analysis device according to an aspect of the present invention is a file including a part of the plurality of logs output from a security sensor that constantly monitors a log and outputs the constantly monitored log, A receiving unit that receives one or a plurality of the files to be analyzed once from the terminal device; and, for the file received by the receiving unit, one or the one to be analyzed once. A file inspection unit that determines whether an inspection condition that information of the log included in the plurality of files is equal to or less than an upper limit of an allowable data amount is satisfied, and the inspection condition is determined by the file inspection unit. file analysis information of said log contained satisfied is determined to be said once one or more of the files to be analyzed in an analysis When, a notification unit for sending the results of the notification of the analysis of the file made by the file analysis unit to the terminal device, Ru provided with.
In the file analysis device according to one aspect of the present invention, the file analysis device further includes a management unit that manages accounting information related to the analysis performed by the file analysis unit, wherein the accounting information includes information on an amount of money according to the number of times of the analysis, The information on the amount of money according to the number of times of the analysis is information on a charged amount according to the number of times of the analysis, or information indicating that the number of times of the analysis is free when the number of times of the analysis is equal to or less than a predetermined number. You may.
本発明の一態様に係るファイル分析システムは、端末装置と、ファイル分析装置と、を備えたファイル分析システムであって、前記端末装置は、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、前記ファイル生成部によって生成された前記ファイルを前記ファイル分析装置に送信するファイル送信部と、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、1回の分析対象となる1個または複数個の前記ファイルに含められる予定の前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされるか否かを判定するファイル条件判定部と、前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減するログ削減部と、を備え、前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ログ削減部によって前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイル生成部が前記ファイルを生成し、前記ファイル送信部が前記ファイルを前記ファイル分析装置に送信し、前記ファイル分析装置は、前記端末装置から送信された前記ファイルを受信する受信部と、前記受信部によって受信された前記ファイルについて所定の検査条件が満たされるか否かを判定するファイル検査部と、前記ファイル検査部によって前記検査条件が満たされると判定された前記ファイルについて分析を行うファイル分析部と、前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、を備える。 A file analysis system according to an aspect of the present invention is a file analysis system including a terminal device and a file analysis device, wherein the terminal device constantly monitors a log and outputs the constantly monitored log. A file generation unit that obtains a part of the plurality of logs output from the security sensor and generates a file including the obtained log, and the file generated by the file generation unit A file transmission unit for transmitting to the file analysis device; a notification control unit for receiving a notification of the analysis result of the file transmitted from the file analysis device; and a notification control unit included in one or more files to be analyzed once. A file condition for determining whether or not the condition that the information of the scheduled log is less than or equal to the upper limit of the allowable data amount is satisfied A determining unit; and a log reducing unit configured to reduce a data amount of the log included in the file when the file condition determining unit determines that the condition is not satisfied , wherein the file condition determining unit determines the condition. If it is determined that is not satisfied, the file generation unit reduces the data amount of the log included in the file by the log reduction unit, and uses the information of the log that is configured to satisfy the condition. Generates the file, the file transmission unit transmits the file to the file analysis device, the file analysis device receives the file transmitted from the terminal device, the reception unit, received by the reception unit A file inspection unit that determines whether a predetermined inspection condition is satisfied for the file that has been identified; A file analysis unit by part performing analysis on the file it is judged that the test conditions are met, a notification unit for sending the results of the notification of the analysis of the file made by the file analysis unit to the terminal device, the Prepare.
本発明の一態様に係るファイル分析方法は、端末装置が、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、1回の分析対象となる1個または複数個のファイルに含められる予定の前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされるか否かを判定し、前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイルを生成し、前記ファイルをファイル分析装置に送信し、前記ファイル分析装置が、前記端末装置から送信された前記ファイルを受信し、受信された前記ファイルについて所定の検査条件が満たされるか否かを判定し、前記検査条件が満たされると判定された前記ファイルについて分析を行い、前記ファイルの分析の結果の通知を前記端末装置に送り、前記端末装置が、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける。 In the file analysis method according to one aspect of the present invention, the terminal device constantly monitors a log and acquires a part of the plurality of logs output from a security sensor that outputs the constantly monitored log. And determining whether or not a condition that information of the log scheduled to be included in one or a plurality of files to be analyzed once is equal to or less than an upper limit of an allowable data amount is satisfied; When it is determined that the condition is not satisfied, the data amount of the log included in the file is reduced, and the file is generated using the information of the log that is configured to satisfy the condition, and the file is generated. To the file analyzer, the file analyzer receives the file transmitted from the terminal device, and the received file satisfies a predetermined inspection condition. Determine whether or not to be performed, analyze the file determined that the inspection conditions are satisfied , send a notification of the result of the analysis of the file to the terminal device, the terminal device, the file analysis device To be notified of the analysis result of the file.
本発明の一態様に係るプログラムは、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得する機能と、1回の分析対象となる1個または複数個のファイルに含められる予定の前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされるか否かを判定する機能と、前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイルを生成する機能と、生成された前記ファイルを、前記1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報が許容されるデータ量の前記上限値以下であるという前記条件が満たされる場合にファイル分析を行うファイル分析装置に送信する機能と、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける機能と、をコンピュータに実現させるためのプログラムである。 Program according to an embodiment of the present invention has a function of acquiring a portion of the log of the plurality of the log output from a security sensor for outputting the log that is constantly monitored constantly monitors the log, once A function of determining whether or not a condition that information of the log scheduled to be included in one or a plurality of files to be analyzed is equal to or less than an upper limit value of an allowable data amount is satisfied; When it is determined that the condition is not satisfied, a function of reducing the data amount of the log included in the file and using the information of the log adapted to satisfy the condition to generate the file, The log information contained in the one or more files to be analyzed at one time is equal to or less than the upper limit of the allowable data amount. It is a program for causing a computer to realize a function of transmitting a file analysis device that performs file analysis when a condition is satisfied and a function of receiving a notification of the analysis result of the file transmitted from the file analysis device.
Claims (9)
前記ファイル生成部によって生成された前記ファイルをファイル分析装置に送信するファイル送信部と、
前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、
を備える端末装置。 A file generation unit that constantly monitors a log, acquires a part of the plurality of logs output from a security sensor that outputs the constantly monitored log, and generates a file including the acquired log When,
A file transmission unit that transmits the file generated by the file generation unit to a file analysis device,
A notification control unit that receives a notification of the analysis result of the file sent from the file analysis device,
A terminal device comprising:
請求項1に記載の端末装置。 By reducing the unnecessary logs from the logs included in the file based on the information specifying the unnecessary logs that are not required to be analyzed, the data amount of the logs included in the file is reduced. Equipped with unnecessary log reduction unit,
The terminal device according to claim 1.
請求項1または請求項2のいずれか1項に記載の端末装置。 A log range reduction unit configured to reduce a data amount of the log included in the file by reducing a range of the log included in the file to be equal to or less than a predetermined upper limit.
The terminal device according to claim 1.
請求項1から請求項3のいずれか1項に記載の端末装置。 An analysis request availability determination unit that determines whether a request for analysis of the file is possible,
The terminal device according to claim 1.
前記受信部によって受信された前記ファイルについて分析を行うファイル分析部と、
前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、
を備え、
前記ファイルは、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを含む、
ファイル分析装置。 A receiving unit that receives a file transmitted from the terminal device;
A file analysis unit that analyzes the file received by the reception unit,
A notification unit that sends a notification of the result of the analysis of the file performed by the file analysis unit to the terminal device,
With
The file includes a part of the plurality of logs output from a security sensor that constantly monitors a log and outputs the constantly monitored log,
File analyzer.
前記課金情報は、前記分析の回数に応じた金額の情報を含み、
前記分析の回数に応じた金額の情報は、前記分析の回数に応じた有料の金額の情報、または、前記分析の回数が所定の回数以下では無料であることを示す情報である、
請求項5に記載のファイル分析装置。 A management unit that manages charging information related to the analysis performed by the file analysis unit,
The billing information includes information on the amount of money according to the number of times of the analysis,
The information of the amount of money according to the number of times of the analysis is information of a charged amount according to the number of times of the analysis, or information indicating that the number of times of the analysis is free when the number of times is equal to or less than a predetermined number.
The file analysis device according to claim 5.
前記端末装置は、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、
前記ファイル生成部によって生成された前記ファイルを前記ファイル分析装置に送信するファイル送信部と、
前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、
を備え、
前記ファイル分析装置は、
前記端末装置から送信された前記ファイルを受信する受信部と、
前記受信部によって受信された前記ファイルについて分析を行うファイル分析部と、
前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、
を備える、
ファイル分析システム。 A file analysis system including a terminal device and a file analysis device,
The terminal device constantly monitors a log, acquires a part of the plurality of logs output from the security sensor that outputs the constantly monitored log, and stores a file including the acquired log. A file generation unit to generate,
A file transmission unit that transmits the file generated by the file generation unit to the file analysis device;
A notification control unit that receives a notification of the analysis result of the file sent from the file analysis device,
With
The file analyzer,
A receiving unit that receives the file transmitted from the terminal device,
A file analysis unit that analyzes the file received by the reception unit,
A notification unit that sends a notification of the result of the analysis of the file performed by the file analysis unit to the terminal device,
Comprising,
File analysis system.
前記ファイル分析装置が、前記端末装置から送信された前記ファイルを受信し、受信された前記ファイルについて分析を行い、前記ファイルの分析の結果の通知を前記端末装置に送り、
前記端末装置が、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける、
ファイル分析方法。 A terminal device constantly monitors a log, acquires a part of the plurality of logs output from the security sensor that outputs the constantly monitored log, and generates a file including the acquired log. Sending the generated file to a file analyzer,
The file analysis device receives the file transmitted from the terminal device, performs an analysis on the received file, sends a notification of the result of the analysis of the file to the terminal device,
The terminal device receives a notification of the analysis result of the file sent from the file analysis device,
File analysis method.
取得された前記ログを含むファイルを生成する機能と、
生成された前記ファイルをファイル分析装置に送信する機能と、
前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける機能と、
をコンピュータに実現させるためのプログラム。 A function of constantly monitoring a log and obtaining a part of the plurality of logs output from the security sensor that outputs the constantly monitored log,
A function of generating a file including the obtained log,
A function of transmitting the generated file to a file analyzer,
A function of receiving a notification of the analysis result of the file sent from the file analysis device,
To make a computer realize
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018180718A JP6563578B1 (en) | 2018-09-26 | 2018-09-26 | Terminal device, file analysis device, file analysis system, file analysis method and program |
PCT/JP2019/036533 WO2020066783A1 (en) | 2018-09-26 | 2019-09-18 | Terminal device, file analysis device, file analysis system, file analysis method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018180718A JP6563578B1 (en) | 2018-09-26 | 2018-09-26 | Terminal device, file analysis device, file analysis system, file analysis method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6563578B1 JP6563578B1 (en) | 2019-08-21 |
JP2020052669A true JP2020052669A (en) | 2020-04-02 |
Family
ID=67692163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018180718A Active JP6563578B1 (en) | 2018-09-26 | 2018-09-26 | Terminal device, file analysis device, file analysis system, file analysis method and program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6563578B1 (en) |
WO (1) | WO2020066783A1 (en) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006120130A (en) * | 2004-09-21 | 2006-05-11 | Software Partner:Kk | System and method for managing access log |
JP2010237975A (en) * | 2009-03-31 | 2010-10-21 | Fujitsu Social Science Laboratory Ltd | Incident monitoring apparatus, method and program |
JP2011100228A (en) * | 2009-11-04 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | Log management method, management system, and management program |
WO2013105128A1 (en) * | 2012-01-11 | 2013-07-18 | 株式会社日立製作所 | Data processing method, data processing system and data processing device |
WO2015151668A1 (en) * | 2014-03-31 | 2015-10-08 | 株式会社ラック | Log analysis system |
WO2017110100A1 (en) * | 2015-12-25 | 2017-06-29 | 株式会社ラック | Information processing device, information processing method, and program |
WO2018159362A1 (en) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | Log analysis apparatus, log analysis method, and log analysis program |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5396894B2 (en) * | 2009-02-06 | 2014-01-22 | 富士通モバイルコミュニケーションズ株式会社 | Portable terminal |
JP2012088843A (en) * | 2010-10-18 | 2012-05-10 | Nec Corp | Filtering rule determination system, filtering rule determination method, filtering method, and program |
-
2018
- 2018-09-26 JP JP2018180718A patent/JP6563578B1/en active Active
-
2019
- 2019-09-18 WO PCT/JP2019/036533 patent/WO2020066783A1/en active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006120130A (en) * | 2004-09-21 | 2006-05-11 | Software Partner:Kk | System and method for managing access log |
JP2010237975A (en) * | 2009-03-31 | 2010-10-21 | Fujitsu Social Science Laboratory Ltd | Incident monitoring apparatus, method and program |
JP2011100228A (en) * | 2009-11-04 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | Log management method, management system, and management program |
WO2013105128A1 (en) * | 2012-01-11 | 2013-07-18 | 株式会社日立製作所 | Data processing method, data processing system and data processing device |
WO2015151668A1 (en) * | 2014-03-31 | 2015-10-08 | 株式会社ラック | Log analysis system |
WO2017110100A1 (en) * | 2015-12-25 | 2017-06-29 | 株式会社ラック | Information processing device, information processing method, and program |
WO2018159362A1 (en) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | Log analysis apparatus, log analysis method, and log analysis program |
Also Published As
Publication number | Publication date |
---|---|
JP6563578B1 (en) | 2019-08-21 |
WO2020066783A1 (en) | 2020-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6282728B2 (en) | Efficient data compression and analysis as a service | |
US20170041337A1 (en) | Systems, Methods, Apparatuses, And Computer Program Products For Forensic Monitoring | |
CN106713332B (en) | Network data processing method, device and system | |
US9438618B1 (en) | Threat detection and mitigation through run-time introspection and instrumentation | |
US11722496B2 (en) | Tracking or storing of equipment configuration data using immutable ledger functionality of blockchains | |
US10795991B1 (en) | Enterprise search | |
KR20060053170A (en) | Managing terminal services accounts and sessions for online utilization of a hosted application | |
JP7278299B2 (en) | Data management server, data utilization server, data distribution system, data management method and program | |
CN108985095B (en) | Non-public file access method, system, electronic equipment and storage medium | |
US9054942B1 (en) | Monitoring of services | |
WO2020066783A1 (en) | Terminal device, file analysis device, file analysis system, file analysis method, and program | |
JP6517416B1 (en) | Analyzer, terminal device, analysis system, analysis method and program | |
JP5639501B2 (en) | Theft state determination system and theft state determination program | |
JP6606222B1 (en) | Log information collection and analysis system | |
JP6419679B2 (en) | Study device and study method | |
JP5536944B1 (en) | Computer program | |
JP2012022641A (en) | Information analysis apparatus for analyzing system stability, information analysis method, information analysis system and program | |
EP2961210A1 (en) | Authentication system, authentication method, authentication apparatus, and recording medium | |
US8656385B2 (en) | Data processor, data monitoring method thereof, and recording medium storing data monitoring program thereof | |
JP7268742B2 (en) | Policy evaluation device, control method, and program | |
JP7235109B2 (en) | Evaluation device, system, control method, and program | |
US20180307842A1 (en) | Information processing apparatus, security management system, security measure providing method, security information distribution method, and program | |
Cho et al. | Detection of damaged files and measurement of similarity to originals using entropy graph characteristics | |
CN112118208B (en) | Method and device for reporting data | |
CN117077130A (en) | File detection method, device, electronic equipment and readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181206 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181213 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20181213 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190319 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190515 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190724 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6563578 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |