JP4050497B2 - ログ情報管理装置及びログ情報管理プログラム - Google Patents
ログ情報管理装置及びログ情報管理プログラム Download PDFInfo
- Publication number
- JP4050497B2 JP4050497B2 JP2001341113A JP2001341113A JP4050497B2 JP 4050497 B2 JP4050497 B2 JP 4050497B2 JP 2001341113 A JP2001341113 A JP 2001341113A JP 2001341113 A JP2001341113 A JP 2001341113A JP 4050497 B2 JP4050497 B2 JP 4050497B2
- Authority
- JP
- Japan
- Prior art keywords
- log information
- application
- data
- name
- syslog data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、主としてシステム管理に資するシステムログに関するデータを管理するログ情報管理装置及びログ情報管理プログラムに関する。
【0002】
【従来の技術】
UNIXサーバ(UNIXは登録商標である)やルータ等のネットワーク機器などは、動作ログをファイルに記録するシステムログ(syslog)と呼ばれる機能を有し、システムログはシステム管理を行うための重要な情報収集源になっている。システムログに記録されるログには様々なものがあり、例えばカーネルが出力する情報、システムへのログイン・ログアウト・ログインの失敗、通信セッションの開始・終了等がある。
【0003】
システムログや動作ログの管理に関連する公知技術として、特開平6−216899号のターミナルアダプタがある。前記ターミナルアダプタは、公衆回線によって接続され、通常の呼制御の情報を通信ログとして内部に記録するように構成されており、Dチャネルからの通信ログ収集用のパケット呼の着呼を判定すると共に、通信ログ収集用のパケット呼以外の着呼を拒否するパケット呼処理手段と、通信ログ収集用のパケット呼の指示に従ってDチャネルパケットを使用することにより通信ログを送信するログ送信手段を有する。そして、ターミナルアダプタ内部に蓄積された通信ログをログ収集用ホストにて収集し、通信ログを一元管理できるとされている。
【0004】
また、他の公知技術として、特開平9−212390号のシステムログ処理方式がある。前記システムログ処理方式は、定期的にチェックポイントを採取し、障害が発生した場合にシステムを直前のチェックポイントの状態に復元し、その状態からデータ処理を再開する計算機システムであって、システムが採取するログ情報を記録するためのバッファメモリを備え、障害発生後の故障回復処理において障害発生時のシステムログ情報を上記バッファに採取し、故障回復後に採取したシステムログ情報を上記バッファメモリから読み込み主記憶装置に書き込むものであり、耐障害性を確保しつつ、正常にシステムログを採取できる処理機構が実現できるとされている。
【0005】
また、他の公知技術として、特開2000−148541号のUNIXサーバの障害検知システムがある。前記障害検知システムは、監視対象ソフトウェアを監視し、前記監視対象ソフトウェアの障害を検知する障害検知手段と、前記障害検知手段からの障害内容を含む障害メッセージに基づいて障害に対する制御を行う障害監視制御手段と、前記障害監視制御手段の指示により障害発生を外部に通知する通知手段とを具備しており、UNIXサーバの障害検知を高品質で行うことができ、システムの変更に柔軟に対応できるとされている。
【0006】
【発明が解決しようとする課題】
ところで、例えばUNIXサーバに記録されるシステムログは、システムの管理作業に不可欠な情報収集源であり、システムで発生したトラブルの原因はシステムログを調べて分かることが多い。しかしながら、UNIXサーバで記憶されているシステムログは、システム管理でトラブルの発生原因を調べるための使い勝手に於いて充分なものとはいえない。そのため、例えばシステムログに関する情報をキーワードに基づき検索することが可能であると共に、その意味内容に基づき検索することが可能である等、最適なログ情報を適宜に抽出するために複数の検索方式が可能なログ情報管理装置が求められている。
【0007】
本発明は上記課題に鑑み提案するものであって、例えばシステムログに関する情報をキーワードに基づき検索することを可能にすると共に、その意味内容に基づき検索することを可能として、複数の検索方式を可能とする等により、最適なログ情報を適宜に抽出することができるログ情報管理装置及びログ情報管理プログラムを提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明のログ情報管理装置は、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、所要の検索条件の入力に応じて、前記検索条件に適合するログ情報を前記記憶しているツリー構造形式のログ情報の中から抽出する手段とを備えることを特徴とする。例えばログ情報は検索用としてデータベースに格納される。又、ログ情報は、例えばXMLとすると他のアプリケーションでも使用可能で汎用性に優れるので好適であるが、論理的に意味を保持させられるツリー構造の形式であれば適宜使用可能であって、例えばLISP言語とすることができ、又、前記ツリー構造以外の情報の形式とすることも可能である。
【0009】
また、本発明のログ情報管理装置は、ネットワークで接続される送信元機器から発生したイベントのシスログデータを受信する手段と、該受信したシスログデータ及び該シスログデータに付加された受信時刻及び該イベントが発生した送信元機器を特定可能なデータに基づき、該受信時刻及び該送信元機器を特定可能なデータ及びファシリティ及びプライオリティ及びアプリケーション名及びプロセスID及びメッセージの各データを有する基本事項と、該メッセージから抽出したタグ名及びタグ名の対象データを有する動作関連事項と、該メッセージから抽出したキーワードとを有するログ情報を取得する手段と、取得した該ログ情報を記憶する手段と、所要の検索条件の入力に応じて、該検索条件に適合するログ情報若しくはその基本事項を記憶しているログ情報の中から抽出する手段とを有することを特徴とする。本発明に於けるログ情報には適宜の形式のログ情報を使用可能であるが、XMLのログ情報とするとログ情報の各項目或いは各事項に意味内容を付加し、統一的に管理することができると共に多様な検索等の処理が可能になって好適である。更に、本発明のログ情報管理装置は、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現と、タグを識別する正規表現とを記憶する手段と、シスログデータと、アプリケーションの正規表現、アプリケーション動作名の正規表現及びタグを識別する正規表現とを比較して、その合致に基づき、基本事項のアプリケーション名、動作関連事項のアプリケーション動作名、タグ名を取得する手段とを有することを特徴とする。
【0010】
また、本発明のログ情報管理装置は、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、設定された検出条件を記憶する手段と、前記記憶しているツリー構造形式のログ情報に基づき該検出条件に該当する検出事項の発生を認識して所要処理を実行する手段とを備えることを特徴とする。例えば検出条件に該当する不正アクセスや障害を表現するログ情報等の検出事項を検出した場合に、自動的に管理者端末へ電子メールを送信する等の所要のアクションを実行する構成とすることにより、不正アクセスや障害等を監視することができる。
【0011】
更に、本発明のログ情報管理装置は、少なくとも、前記ログ情報を生成する手段と、前記ログ情報を記憶する手段がネットワークを介して接続されることを特徴とする。ログ情報管理装置は、単独のコンピュータでシステムを構成してもよいが、適宜の手段をネットワークで接続して構築することが可能である。
【0012】
また、本発明のログ情報管理プログラムは、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、所要の検索条件の入力に応じて、前記検索条件に適合するログ情報を前記記憶しているツリー構造形式のログ情報の中から抽出する手段として、コンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とする。
【0013】
また、本発明のログ情報管理プログラムは、ネットワークで接続される送信元機器から発生したイベントのシスログデータを受信する手段と、該受信したシスログデータ及び該シスログデータに付加された受信時刻及び該イベントが発生した送信元機器を特定可能なデータに基づき、該受信時刻及び該送信元機器を特定可能なデータ及びファシリティ及びプライオリティ及びアプリケーション名及びプロセスID及びメッセージの各データを有する基本事項と、該メッセージから抽出したタグ名及びタグ名の対象データを有する動作関連事項と、該メッセージから抽出したキーワードとを有するログ情報を取得する手段と、取得した該ログ情報を記憶する手段と、所要の検索条件の入力に応じて、該検索条件に適合するログ情報若しくはその基本事項を記憶しているログ情報の中から抽出する手段としてコンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とする。
【0014】
また、本発明のログ情報管理プログラムは、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、設定された検出条件を記憶する手段と、前記記憶しているツリー構造形式のログ情報に基づき該検出条件に該当する検出事項の発生を認識して所要処理を実行する手段として、コンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とする。
【0015】
【発明の実施の形態】
以下では、本発明について具体的な実施例に基づき説明する。図1はログ情報管理サーバと接続機器の接続状態を示すブロック図、図2はログ情報管理サーバの構成を示すブロック図である。
【0016】
本実施例のシステムの全体構成は、図1に示すように、ログ情報管理サーバ1が一若しくは複数の送信元機器とネットワークで接続されており、図示例では送信元機器として複数のサーバ6aと複数のルータ6bがログ情報管理サーバ1に接続され、サーバ6aやルータ6bにはシステムログのシスログデータをログ情報管理サーバ1に送信するプログラムが設定されており、システムログのシスログデータをログ情報管理サーバ1が受信するようになっている。尚、シスログデータと共にIPアドレス或いはサーバ名、送信元名など送信元機器を特定可能なデータをサーバ6aやルータ6bが送信し、シスログデータと共に送信元機器を特定可能なデータをログ情報管理サーバ1が受信するようにしてもよい。
【0017】
さらに、ログ情報管理サーバ1は、システム管理者の管理者端末7にネットワークで接続されており、ログ情報管理サーバ1は障害等を検出した場合に自動的に管理者端末7に検出情報を送信し、管理者端末3が受信した検出情報をその表示部で表示する等により障害等の認識が可能である。他方で管理者端末7はログ情報管理サーバ1にネットワークを介して接続してログ情報の検索や集計が可能な構成である。尚、前記ネットワークには、インターネットやLANなどの有線或いは無線のネットワーク等、コンピュータを適宜接続可能なネットワークを使用可能であり、又、例えば後述するログ情報生成装置1aとログ情報格納装置1b間のネットワーク上で送受信するデータをSSLで暗号化する等、各ネットワーク上で送受信する適宜のデータはSSL等で暗号化してもよく、又、ネットワークの接続方式は例えばIP接続等適宜である。
【0018】
ログ情報管理サーバ1は、図2に示すように、CPU等の中央処理手段2、ROMやRAM等の記憶手段3、キーボードやマウス等の入力手段4、通信制御手段5を有する。記憶手段3は、シスログデータに基づくログ情報の生成及び格納処理や、ログ情報に対する検索処理・集計処理・検出処理や、検出情報の送信処理などログ情報の管理処理の全体動作を制御するログ情報管理プログラムを記憶するログ情報管理プログラム記憶部301と、受信したシスログデータに受信時刻及び送信元名若しくはIPアドレスが付加されたデータを記憶するアクトログファイル302と、所定条件を充足した場合にアクトログファイル302から移動される前記データを記憶するインアクトログファイル303を有する。
【0019】
更に、記憶手段3は、シスログデータのアプリケーション名やアプリケーションIDを認識するための所要データが設定されているアプリケーション識別テーブル304と、キーワードを抽出するためにシスログデータのメッセージから除外する部分が設定されている除外ワードファイル305と、シスログデータのアプリケーション動作名及びアプリケーション動作IDを認識するための所要データが設定されているアプリケーション動作識別テーブル306と、動作関連データのタグを設定する対象をメッセージから抽出するための所要データが設定されているアプリケーションタグ抽出テーブル307と、シスログデータのタグ名を抽出するための所要データが設定されているタグ定義テーブル308と、ログ情報の基本データに対応する基本情報を格納する基本情報格納部309と、ログ情報の動作関連データに対応する動作関連情報を格納する動作関連情報格納部310と、ログ情報のインデックスデータに対応するインデックス情報を格納するインデックス情報格納部311と、検出情報を抽出するための検出条件が設定されている検出条件ファイル312と、検索や集計に必要なデータやプログラムが設定されている検索集計機能設定ファイル313とを有しており、その他にもログ情報の管理処理に必要なデータ等を記憶する記憶部やバックアップファイル等を有する。
【0020】
次に、ログ情報管理サーバ1でXMLのログ情報を生成して格納する処理について説明する。図3はXMLのログ情報を生成して格納する流れを示すフローチャート、図4乃至図7はそれぞれアプリケーション識別テーブル、アプリケーション動作識別テーブル、アプリケーションタグ抽出テーブル、タグ定義テーブルを示す図、図8はXMLのログ情報の例を示す図である。図9乃至図11はそれぞれ基本情報テーブル、動作関連情報テーブル、インデックス情報テーブルの例を示す図である。
【0021】
先ず、送信元機器のサーバ6a或いはルータ6bは、記録対象である所定のイベントの発生に対してシスログデータを記録すると共に、図3に示すように、設定されている送信プログラムと協働し、前記イベントに対応するシスログデータをログ情報管理サーバ1に送信し、ログ情報管理サーバ1はネットワークを介して前記送信されたシスログデータを受信する(S1)。本例ではシスログデータとして、”<ファシリティとプライオリティを示す数値> アプリケーション名 [プロセス番号] メッセージ”のシスログデータが送信されログ情報管理サーバ1が受信する構成であり、具体的な一例として<86>stelnetd[21420]:connect from fw. logstorage. comのシスログデータが送信元機器から送信されログ情報管理サーバ1が受信する。尚、シスログデータとしてログ出力日時やホスト名などの送信元機器を特定可能なデータを含むデータが送信されログ情報管理サーバ1が受信する構成としてもよい。
【0022】
前記シスログデータにはイベントの発生時刻のデータと送信元機器を特定可能なデータが抜けているので、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラム記憶部301のログ情報管理プログラムと協働し、通信発生時刻或いは受信時刻と記憶されている送信元機器の送信元名若しくはIPアドレスを認識し、受信時刻及び送信元名若しくはIPアドレスを前記シスログデータに付加して、例えば(時間)(送信元名)<86>stelnetd[21420]:connect from fw. logstorage. com、又は、例えば(時間)(IPアドレス)<86>stelnetd[21420]:connect from fw. logstorage. comとし(S2)、受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータを書き出しのためのアクトログファイル302に記憶する(S3)。具体例としては1003720153127 kei<86>stelnetd[21420]:connect from fw. logstorage. com又は1003720153127 192.168.254.111<86>stelnetd[21420]:connect from fw. logstorage. comとして記憶する。ここで、IPアドレス192.168.254.111は送信元名keiに対応している。以下では送信元名が付加される前者の例により説明する。尚、前記シスログデータに一旦IPアドレスを付加して、これを前記IPアドレスに対応する送信元名に変換してもよい。
【0023】
中央処理手段2は、アクトログファイル302に記憶された受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータを、例えばアクトログファイル302に初めて記憶された時刻から所定時間が経過したとき、或いはアクトログファイル302に記憶されたデータが所定行数に達したとき等、設定された所定条件を充足した場合に、読み出しのためのインアクトログファイル303に格納すると共にアクトログファイル302から削除し、アクトログファイル302からインアクトログファイル303に移動する(S4)。インアクトログファイル303に記憶されるデータはアクトログファイル302に記憶されたデータと同様であり、例えば1003720153127 kei<86>stelnetd[21420]:connect from fw. logstorage. comである。書出専用のアクトログファイル302と読出専用のインアクトログファイル303を分けることにより、資源の競合を防ぐという実装上のメリットが得られると共に、XMLにコンバートするシスログデータ等のデータの集合単位を所定の条件に従ってインアクトログファイル303に記憶し分けることで処理を効率化することができ、又、XMLに変換する際にも読出専用になっていることで処理量を飛躍的に削減することができる。
【0024】
そして、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラムと協働し、インアクトログファイル303に記憶された受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータを個別に認識し、アプリケーション識別テーブル304を読み出し、アプリケーション識別テーブル304に設定されているアプリケーションの正規表現と認識したシスログデータを比較して、前記シスログデータのアプリケーション名及びアプリケーションIDを認識する(S5)。上記例のシスログデータ<86>stelnetd[21420]:connect from fw. logstorage. comを例えば図4のアプリケーション識別テーブル304の正規表現(app_reg)と比較し、合致する正規表現(app_reg)のアプリケーション名(app_name)及びアプリケーションID(app_id)を認識することにより、図4の2番目の前記シスログデータのアプリケーション名(app_name): stelnetdとアプリケーションID(app_id): 2を認識する。
【0025】
また、中央処理手段2は、基本項目として記憶手段3の所定の記憶部に設定されている受信時刻のデータ、送信元機器を特定可能なデータである送信元名のデータ若しくはIPアドレス、ファシリティ及びプライオリティのデータ、アプリケーション名のデータ、プロセスIDのデータ、メッセージのデータを、受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータから取得して抽出する(S6)。上記例では、受信時刻(timestamp)のデータとして1003720153127を抽出し、送信元(host)のデータとしてkeiを抽出し、ファシリティ(facility)のデータ及びプライオリティ(priority)のデータとして、ファシリティ及びプライオリティの種別を示す数値<86>から、記憶部に記憶されている数値に対応するファシリティ及びプライオリティを認識することで、facilityのauth、priorityのnoticeを抽出し、アプリケーション名(application)のデータとしてstelnetdを抽出し、プロセスID(pid)のデータとして21420を抽出し、メッセージ(message)のデータとしてconnect from fw. logstorage. comを抽出する。
【0026】
さらに、中央処理手段2は、メッセージを単語に区切って認識し、除外ワードファイル305を参照して、メッセージから前置詞等の除外ワードファイル305に設定されているワード或いは部分を除外し、キーワードを抽出する(S7)。上記例では除外ワードファイル305に設定されている前置詞fromやピリオド.を除外し、キーワード(keyword)としてconnect、fw、logstorage、comの4つを抽出する。
【0027】
また、中央処理手段2は、アプリケーション動作識別テーブル306を読み出し、アプリケーション動作識別テーブル306のアプリケーションIDと前記認識したシスログデータのアプリケーションIDを比較すると共に、前記シスログデータのアプリケーションIDに対応するアプリケーション動作識別テーブル306のアプリケーション動作の正規表現と前記シスログデータのメッセージを比較して、前記シスログデータと合致するアプリケーション動作名及びアプリケーション動作IDを認識する(S8)。上記例では、例えば図5に示すアプリケーション動作識別テーブル306のアプリケーションID(app_id)とアプリケーション識別テーブル304から認識した前記シスログデータのアプリケーションID(app_id)を比較すると共に、アプリケーションID(app_id): 2が合致するアプリケーション動作識別テーブル306の正規表現(app_action_reg)とメッセージconnect from fw. logstorage. comとを比較し、合致するアプリケーションID(app_id)及び正規表現(app_action_reg)のアプリケーション動作名(app_action_name)及びアプリケーション動作ID(app_action_id)を認識することにより、図5の2番目の前記シスログデータのアプリケーション動作名(app_action_name): connectとアプリケーション動作ID(app_action_id): 2を認識する。
【0028】
その後、中央処理手段2は、アプリケーションタグ抽出テーブル307を読み出し、アプリケーションタグ抽出テーブル307からアプリケーションID及びアプリケーション動作IDが前記シスログデータのアプリケーションID及びアプリケーション動作IDに合致するアプリケーションタグの箇所を認識し、前記箇所のアプリケーションタグの正規表現と前記システムログのメッセージを比較し、前記正規表現の括弧の中に合致するデータをメッセージから抽出すると共に、前記正規表現の関連付けの名前を表すmsgparamとタグIDを認識する(S9)。上記例では、例えば図6に示すアプリケーションタグ抽出テーブル307からアプリケーションID(app_id): 2及びアプリケーション動作ID(app_action_id): 2が合致するアプリケーションタグの箇所を認識し、前記箇所のアプリケーションタグの正規表現(app_tag_reg)とメッセージconnect from fw. logstorage. com若しくはアプリケーション動作を除外した from fw. logstorage. comを比較し、図6の2番目に示す正規表現(app_tag_reg)の(.*?)に対応するfw. logstorage. comを抽出すると共に、msgparamのfromを抽出し、タグID(tag_id): 1 を抽出する。尚、アプリケーションタグ抽出テーブル307に、シスログデータのアプリケーションID及びアプリケーション動作IDと合致するアプリケーションタグの箇所或いは行が複数有る場合には、同様の処理で全て抽出する。
【0029】
さらに、中央処理手段2は、タグ定義テーブル308を読み出し、タグ定義テーブル308からタグIDが前記シスログデータのタグIDと合致するタグ名を認識して抽出する(S10)。上記例では、例えば図7に示すタグ定義テーブル308で、アプリケーションタグ抽出テーブルによって認識したタグID(tag_id): 1 とタグID(tag_id)が合致する1番目のタグ定義箇所を抽出し、そのタグ名(tag_name): fromを認識する。
【0030】
そして、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラムと協働し、上記抽出したデータ中の所要データと記憶手段3の所定の記憶部に記憶されているデータを用いて、基本データ及び動作関連データ及びインデックスデータを有するXMLのログ情報を生成する(S11)。例えば上記例の受信時刻及び送信元名が付加されたシスログデータ1003720153127 kei<86>stelnetd[21420]: connect from fw. logstorage. comからは図8に示すXMLのログ情報を生成する。前記XMLのログ情報には、抽出した基本事項の受信時刻にtimestampのタグ、送信元にhostのタグ、ファシリティ及びプライオリティにfacility及びpriorityのタグ、アプリケーション名にapplicationのタグ、プロセスIDにpidのタグ、メッセージにmessageのタグを設定して基本データとし、抽出した各キーワードにkeywordのタグを設定すると共にキーワード全体に対してindexesのタグを設定してインデックスデータとする。また、上記抽出したアプリケーション動作名connectはアプリケーション情報のタグの属性に設定して、開始タグに<app_info action="connect">と設定し、又、アプリケーションタグ抽出テーブル307により抽出したfw. logstorage. comとfromに対しては、fromのタグを設定すると共に、fromの開始タグに属性としてmsgparam="from"を設定し、<from msgparam="from">とすることにより、動作関連データとする。
【0031】
さらに、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラムと協働し、生成したXMLのログ情報の基本データに対応する基本情報或いは基本事項を基本情報格納部309に記憶し、その動作関連データに対応する動作関連情報或いは動作関連事項を動作関連情報格納部310に記憶し、そのインデックスデータに対応するインデックス情報或いはキーワードをインデックス情報格納部311に記憶する(S12)。図8の例では、timestamp : 1003720153127、host : kei、facility : auth、priority : notice、application : stelnetd、pid : 21420 、message : connect from fw.logstorage.com等の基本事項を基本情報として、図9に示す基本情報格納部309の基本情報テーブルにXML形式で記憶し、タグ名(tag_name): from及びタグの属性(msgparam): from及びタグの対象データ(content): fw.logstorage.com等の動作関連事項を動作関連情報として、図10に示す動作関連情報格納部310の動作関連情報テーブルにXML形式で記憶し、indexesのkeywordであるconnect、fw、logstorage、com等のキーワードをインデックス情報として、図11に示すインデックス情報格納部311のインデックス情報テーブルにXML形式で記憶する。
【0032】
尚、記憶手段3の基本情報格納部309、動作関連情報格納部310、インデックス情報格納部311等に記憶されたデータを他の二次記憶部に移し替えることが可能であり、例えば期間による検索結果等により各テーブルからレコードを読み出し、XML形式或いは元のsyslog形式に復元してアーカイブし、必要に応じて圧縮して記憶すると好適であり、又、その処理を実行する時期は、例えばデータを格納している記憶部の容量が不足した場合や、定期的な日時など所定の条件に従って実行するとよい。又、ログ情報管理サーバ1に於けるシスログデータの解釈の仕方は、ログ情報管理サーバ1の入力手段4或いは管理者端末7の入力手段による入力に応じて自在に設定することが可能であり、例えばタグの対象データ(content): fw.logstorage.comに加え、comのみのデータを抽出し、別途動作関連情報テーブルの項目に格納する、或いは所要のタグを追加して設定する、或いはシスログデータをXML化するためのフォーマットを正規表現で入力して設定し、変更若しくは追加する等適宜である。
【0033】
また、図2には省略したが、ログ情報管理サーバ1には年月日と時間を計測するタイマーが設置されており、中央処理手段2は、ログ情報管理プロクラムと協働し、タイマーの計測で設定記憶されている所定時が到来した場合に、検出条件ファイル312を読み出すと共に、基本情報格納部309の基本情報テーブル、動作関連情報格納部310の動作関連情報テーブル、インデックス情報格納部311のインデックス情報テーブルを読み出し、ログ情報の基本情報若しくは動作関連情報若しくはインデックス情報に対して、検出条件ファイル312に設定されている検出条件に該当する項目の有無を判定し、例えば不正アクセスやハードウェアの障害を表現するログ情報の項目を検出した場合には、自動的に検出項目の検出情報を生成し、その検出情報をネットワークを介して管理者端末7に送信すると共に、検出アクション実行情報格納テーブルに検出情報の生成及び送信をしたことを記憶し、他方で受信した管理者端末7の表示手段で検出情報が表示される構成とする。
【0034】
尚、管理者端末7に送信する他にも、ログ情報管理サーバ1の表示手段に検出情報を表示する、ログ情報管理サーバ1が所定のコマンドを実行する等、検出条件に該当する項目の検出に応じて警告等の適宜の処理を行うことが可能であり、又、検出条件も検出項目を設定する以外にも、シスログデータが発生するタイミングにする、特定のシスログデータ或いはログ情報の発生頻度、異なる種類の特定のシスログデータ或いはログ情報の組み合わせの発生、単位時間に特定のシスログデータ或いはログ情報が発生する所定回数等適宜設定することができ、又、後述する検索条件と集計条件も実施例以外に定義設定することができる。又、検出条件に該当する事態が発生した場合にログ情報管理サーバ1が実行するアクションは上記以外にも適宜であり、この場合に例えば検出条件に該当する事態の発生から所定時間経過後に特定のシスログデータ或いはログ情報を検出した際に、そのアクションを取り消すようにしてもよい。
【0035】
次に、ログ情報管理サーバ1に記憶されているシスログデータのログ情報或いは基本情報を検索する処理について説明する。尚、本実施例では管理者端末7がログ情報管理サーバ1にネットワークでアクセスし、管理者端末7の入力手段で検索条件を入力して検索を実行することにより、ログ情報管理サーバ1が検索処理を実行し、管理者端末7の表示手段にその検索結果を表示する構成とするが、ログ情報管理サーバ1に表示手段を設け、入力手段4で検索条件を入力して実行することにより、ログ情報管理サーバ1が検索処理を実行し、その検索結果を前記表示手段に表示する構成としてもよい。
【0036】
第1に、例えば受信時刻(timestamp)、 送信元名(host)、 ファシリティ(facility)、プライオリティ(priority)、アプリケーション名(application)、プロセスID(pid)、メッセージ(message)、アプリケーション動作名(app_action_name)等、基本情報格納部309の基本情報テーブルに格納されている基本情報の一種若しくは複数種を検索条件として検索する場合には、検索条件の入力及び検索の実行の入力に応じて、ログ情報管理サーバ1の中央処理手段2はログ情報管理プログラムや検索集計機能設定ファイル313のデータ等と協働し、基本情報テーブルを参照して検索条件に該当する全てのログ情報或いは基本情報を抽出し、抽出したシスログデータのログ情報或いは基本情報を表示する。例えば検索条件として期間が入力され検索が実行された場合には、前記期間内に在るシスログデータのログ情報或いは基本情報を抽出して表示する。図9の基本情報テーブルの例では検索条件の期間内に受信時刻(timestamp): 1003720153127が含まれる場合には、ログID(log_id): 1の基本情報を抽出する。尚、本例では受信時刻をtimestampの形式(世界標準時(UTC)の1970年1月1日0時0分0秒から数えたミリ秒)に変換して比較しているが、これ以外にも適宜である。
【0037】
第2に、インデックス情報格納部311のインデックス情報テーブルに格納されているインデックス情報のキーワード若しくはキーワードの組み合わせを検索条件として検索する場合には、検索条件の入力及び検索の実行の入力に応じて、ログ情報管理サーバ1の中央処理手段2はログ情報管理プログラムや検索集計機能設定ファイル313のデータ等と協働し、インデックス情報テーブルを参照して検索条件であるキーワード若しくはキーワードの組み合わせと合致するキーワードデータが設定されているインデックス情報のログIDを全て抽出し、更に基本情報格納部309の基本情報テーブルを参照して前記抽出したログIDに対応するシスログデータのログ情報或いは基本情報を全て抽出し、抽出したシスログデータのログ情報或いは基本情報を表示する。例えば検索条件のキーワードとしてlogstorageが入力され検索が実行された場合には、図11のインデックス情報テーブルを参照してキーワードデータ(content)がlogstorageであるインデックス情報のログID(log_id): 1を抽出し、図9の基本情報テーブルを参照して前記抽出したログID(log_id): 1に対応するシスログデータの基本情報を抽出する。
【0038】
第3に、動作関連情報格納部310の動作関連情報テーブルに格納されていると共に基本情報テーブルに格納されていないタグ名、タグの属性、タグの対象データ或いはこれらの適宜の組み合わせを検索条件として検索する場合には、検索条件の入力及び検索の実行の入力に応じて、ログ情報管理サーバ1の中央処理手段2はログ情報管理プログラムや検索集計機能設定ファイル313のデータ等と協働し、動作関連情報テーブルを参照して検索条件と合致するタグ名若しくはタグの属性若しくはタグの対象データ若しくはこれらの適宜の組み合わせが設定されている動作関連情報のログIDを全て抽出し、更に基本情報格納部309の基本情報テーブルを参照して前記抽出したログIDに対応するシスログデータのログ情報或いは基本情報を全て抽出し、抽出したシスログデータのログ情報或いは基本情報を表示する。例えば検索条件としてタグ名及びタグの対象データからなる<from>fw.logstorage.com</from>が入力され検索が実行された場合には、図10の動作関連情報テーブルを参照してタグ名(tag_name): from及び対象データ(content): fw.logstorage.comである動作関連情報のログID(log_id): 1を抽出し、図9の基本情報テーブルを参照して前記抽出したログID(log_id): 1に対応するシスログデータの基本情報を抽出する。
【0039】
上記検索により抽出した検索結果のシスログデータのログ情報或いは基本情報は、例えば受信時刻を通常の時刻表示に変換して、2001-10-23 11:08:42 kei <86>stelnetd[21420]: connect from fw.logstorage.comのような形式にして表示する。特に前記ログ情報或いは基本情報の所定項目をクリックすると、その所定項目で絞り込み検索が行われる構成とすると好適である。例えばfw.logstorage.comをクリックすると、fw.logstorage.comを有するシスログデータの基本情報或いはログ情報を抽出する。この場合に、所定項目のクリックによる指定入力に応じて、上記第1乃至第3のいずれかの検索方式を自動的に選択し、検索を実行してその検索結果を表示する構成とする。
【0040】
更に、ログ情報管理サーバ1は、ログ情報管理プログラムや検索集計機能設定ファイル313のデータ或いはプログラムと協働し、管理者端末7或いはログ情報管理サーバ1からの集計条件の入力及び集計の実行の入力に応じ、必要に応じて基本情報テーブル、動作関連情報テーブル、インデックス情報テーブルを読み出して、その集計条件に該当するシスログデータのログ情報或いは基本情報を集計し、その集計結果を伝送して管理者端末7の表示手段に表示する或いはログ情報管理サーバ1の表示手段に表示する構成とする。例えばアプリケーション動作名(app_action_name): connectを有するシスログデータのログ情報或いは基本情報の件数が集計条件とされた場合に、ログ情報管理サーバ1は、基本情報格納部309の基本情報テーブルを読み出してアプリケーション動作名(app_action_name)がconnectであるシスログデータのログ情報或いは基本情報の件数をカウントして集計する。集計結果は必要に応じてグラフ化して表示してもよく、集計事項はアプリケーションの転送件数、合計転送データ量等必要に応じて適宜設定することができる。
【0041】
また、上記実施例はログ情報管理サーバ1がログ情報を生成して格納する構成としたが、例えば図14に示すように、各々中央処理手段や記憶手段等を有し所定のプログラムと協働する、ログ情報を生成するログ情報生成装置1aと、ログ情報を格納するログ情報格納装置1bとに分離し、ログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報をネットワークを介して伝送する構成とし、好適にはログ情報生成装置1aでログ情報に所要データを付加し、ログ情報格納装置1bでその所要データを検証し、その検証が誤りである場合に誤りである旨をログ情報格納装置1bからログ情報生成装置1aに返信する構成や、ログ情報生成装置1aから送信されたXMLのデータがXML形式として正しいかログ情報格納装置1bが判定し、正しくない場合にはそのXMLのデータの処理を行わずに、XML形式として誤りである旨をログ情報格納装置1bからログ情報生成装置1aに返信する構成とするとよい。
【0042】
例えばログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報を伝送する場合に、ログ情報の改ざんを検知するためにログ情報生成装置1aが、設定記憶されているアルゴリズムに従ってログ情報のダイジェストを算出し、ログ情報の属性として計算したアルゴリズムの属性とダイジェストの属性をログ情報に付加し、前記付加したログ情報を送信し、他方で前記付加したログ情報を受信したログ情報格納装置1bが、設定記憶されているアルゴリズムから前記ログ情報のアルゴリズムの属性に対応するアルゴリズムを認識し、そのアルゴリズムに従ってハッシュ関数でダイジェストを算出し、受信したログ情報のダイジェストと算出したダイジェストを比較して検証し、両者が同一であれば受け入れて上記実施例と同様に格納処理を行い、両者が相違すればログ情報が改ざんされたものと判断しログ情報生成装置1aにその旨を返信する構成とする。図12の基本情報テーブルにログ情報のアルゴリズム属性がmd5に対応し、ダイジェストがXygekBjaorQc5XESwu521Q ==であるログ情報或いは基本情報を記憶している例を示す。ダイジェストは適宜符号化して表現する。
【0043】
又、例えばログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報を伝送する場合に、XMLのログ情報を含むXMLの文書全体の改ざんの検知や、正しいログ情報生成装置1aから送信されていることの確認のために、ログ情報生成装置1aが、ログ情報を署名対象とし、署名のアルゴリズムの属性と署名の値、公開鍵証明書をXMLで記述することにより、予め作成された鍵の形式に従って電子署名を添付して送信し、他方で前記電子署名が添付されたログ情報を受信したログ情報格納装置1bが、設定記憶されているアルゴリズムから前記ログ情報のアルゴリズムの属性に対応するアルゴリズムを認識し、そのアルゴリズムに従ってログ情報の署名の値を算出し、受信したログ情報の署名の値と算出した署名の値を比較すると共に、受信したログ情報の公開鍵証明書によって電子署名の正当性を検証し、認証した場合には受け入れて上記実施例と同様に格納処理を行い、認証できなかった場合にはログ情報生成装置1aにその旨を返信する構成とする。
【0044】
尚、例えば図8に示す<logs>と</logs>の間に、<log>と</log>との間で表現されるログ情報が複数あり、その複数のログ情報が伝送される場合には、上記ダイジェストの算出及び比較は全ての<log>と</log>との間で表現されるログ情報のそれぞれについて実行し、署名の値の算出及び比較は、<log>と</log>との間で表現されるログ情報の全てを一括して取扱い、一括して取り扱われるデータの集合に対して実行する。又、伝送するログ情報を検証する方式は上記に限定されず適宜であり、又、単独の方式を採用し、或いは複数の方式を併用することが可能である。
【0045】
又、ログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報を伝送し、そのログ情報をログ情報格納装置1bが受信して格納する場合に、ログ情報格納装置1bは検証後のログ情報にログ情報生成装置1aからデータを受信した日時(received_date)を付加して、例えば図13に示す受信ログ情報格納テーブルに書き込んで記憶し、その後にログ情報格納装置1bは、書き込んだログ情報のログ情報生成装置1aが送信元機器からシスログデータを受信した受信時刻のデータ(timestamp)をログ情報生成装置1aに返信する。この場合に例えば図8に示す<logs>と</logs>の間に、<log>と</log>との間で表現されるログ情報が複数あり、その複数のログ情報が伝送される場合には、ログ情報格納装置1bが、受信した複数のログ情報の最後のログ情報の受信時刻のデータ(timestamp)をログ情報生成装置1aに返信すると好適である。図12の基本テーブルには、ログ情報格納装置1bがログ情報生成装置1aからデータを受信した日時(date_entry)を付加して、そのデータを記憶した場合が示されている。
【0046】
又、ログ情報の伝送及び格納を確実に行うため、同一のシスログデータを送信元端末から受信し、ログ情報格納装置1bへXMLの同一のログ情報を伝送可能なログ情報生成装置1aを、例えばログ情報格納装置1bにログ情報生成装置1aの順位を設定して複数設け、ログ情報をログ情報格納装置1bが受信して格納する際に、高順位のログ情報生成装置1aがログ情報格納装置1bへ接続を確立した場合には前記高順位のログ情報生成装置1aがデータを伝送し、ログ情報格納装置1bへの接続の確立が不能であるなど高順位のログ情報生成装置1aに不具合が生じた場合には、ログ情報格納装置1bは次順位のログ情報生成装置1aの接続の確立を許可すると共に、前記次順位のログ情報生成装置1aはログ情報格納装置1bへの接続を確立し、前記次順位のログ情報生成装置1aがデータを伝送する構成とすると好適である。例えばログ情報格納装置1bは、設定記憶されているログ情報生成装置1aのIPアドレス若しくは送信元名とその順位と、接続により認識したログ情報生成装置1aのIPアドレス若しくは送信元名とから、より前順位のログ情報生成装置1aを認識し、その接続を確立すると共に、次順位のログ情報生成装置1aに接続確立を許可せず、又、同様の方式で認識した次順位のログ情報生成装置1aに対しては、その前順位のログ情報生成装置1aの不具合情報が記録された場合にのみ接続確立を許可する。
【0047】
尚、正規のログ情報生成装置1aとバックアップ用のログ情報生成装置1aを設ける他に、異なるシスログデータを受け取って異なるログ情報を伝送する正規のログ情報生成装置1aを複数設け、或いは異なるシスログデータを受け取って異なるログ情報を伝送する正規とバックアップ用のログ情報生成装置1aを複数組設け、ログ情報格納装置1bへ一若しくは複数のログ情報生成装置1aがデータを伝送する構成とすること等も可能である。又、ログ情報生成装置1aが送信元機器からシスログデータを受信する通信路と、ログ情報生成装置1aがログ情報格納装置1bにログ情報を送信する通信路は、例えばポート番号を別にして区別すると、平行してデータの送受信ができて好適である。
【0048】
上記の如くログ情報生成装置1aとログ情報格納装置1bとを分離して設けることにより、ログ情報管理サーバ1にログ情報生成処理とログ情報格納処理等を行う場合よりも、各装置の記憶容量や処理能力等に対する負荷を分散することができると共に、例えば上記正規のログ情報生成装置1aとバックアップ用のログ情報生成装置1aを設けることにより、障害に対する対応力を向上することができる。
【0049】
ログ情報生成装置1aとログ情報格納装置1bの構成は本発明の趣旨の範囲内で適宜であるが、例えばログ情報生成装置1aを中央処理手段、ログ情報管理プログラムの内のログ情報生成プログラムを記憶するログ情報生成プログラム記憶部、アクトログファイル、インアクトログファイル、アプリケーション識別テーブル、除外ワードファイル、アプリケーション動作識別テーブル、アプリケーションタグ抽出テーブル、タグ定義テーブル等を有する記憶手段、入力手段、通信制御手段等を有する構成とし、ログ情報格納装置1bを中央処理手段、ログ情報管理プログラムの内のログ情報格納プログラムや検索プログラム等を記憶するログ情報格納プログラム記憶部、基本情報格納部、動作関連情報格納部、インデックス情報格納部、検出条件ファイル、検索集計機能設定ファイル等を有する記憶手段、入力手段、通信制御手段等を有する構成等とすることができる。
【0050】
【発明の効果】
本発明のログ情報管理装置或いはログ情報管理プログラムを使用することにより、最適なログ情報を適宜に抽出することができる効果を奏する。従来の大量のテキストファイルから必要なシスログデータを人為的に検索する場合と異なり、例えばシステムログに関する情報をキーワードに基づき検索することを可能にすると共に、その意味内容に基づき検索することを可能とし、複数の検索方式を可能とすること等により、最適なログ情報を適宜に抽出することができる。
【0051】
また、サーバやルータなどシスログデータの送信元機器が分散している場合にも、大量且つ分散したシスログデータをログ情報管理装置のデータベースで一元管理することができる。また、一元管理されたデータベースに対する高度な検索機能・検出機能・集計機能を有し、情報の動的な追跡、障害や不正アクセスの検出、障害の予測等が可能である。
【0052】
また、シスログデータをXML形式のログ情報や基本情報で記憶することによって、統一的にログ情報を処理することが可能になると共に、多種多様な検索処理、検出処理、集計処理等の処理が可能となる。また、シスログデータやログ情報の解釈の仕方を自在に設定できる構成により、システム自体に変更を加えることなく、検索処理、検出処理、集計処理等の処理を柔軟に増加し或いは変更することができ高い汎用性を有する。
【図面の簡単な説明】
【図1】実施例のログ情報管理サーバと接続機器の接続状態を示すブロック図。
【図2】実施例のログ情報管理サーバの構成を示すブロック図。
【図3】XMLのログ情報を生成して格納する流れを示すフローチャート。
【図4】アプリケーション識別テーブルを示す図。
【図5】アプリケーション動作識別テーブルを示す図。
【図6】アプリケーションタグ抽出テーブルを示す図。
【図7】タグ定義テーブルを示す図。
【図8】XMLのログ情報の例を示す図。
【図9】基本情報テーブルの例を示す図。
【図10】動作関連情報テーブルの例を示す図。
【図11】インデックス情報テーブルの例を示す図。
【図12】基本情報テーブルの別例を示す図。
【図13】受信ログ情報格納テーブルの例を示す図。
【図14】別の実施例の接続機器とログ情報生成装置とログ情報格納装置の接続状態を示すブロック図。
【符号の説明】
1 ログ情報管理サーバ
1a ログ情報生成装置
1b ログ情報格納装置
2 中央処理手段
3 記憶手段
301 ログ情報管理プログラム記憶部
302 アクトログファイル
303 インアクトログファイル
304 アプリケーション識別テーブル
305 除外ワードファイル
306 アプリケーション動作識別テーブル
307 アプリケーションタグ抽出テーブル
308 タグ定義テーブル
309 基本情報格納部
310 動作関連情報格納部
311 インデックス情報格納部
312 検出条件ファイル
313 検索集計機能設定ファイル
4 入力手段
5 通信制御手段
6a サーバ
6b ルータ
7 管理者端末
【発明の属する技術分野】
本発明は、主としてシステム管理に資するシステムログに関するデータを管理するログ情報管理装置及びログ情報管理プログラムに関する。
【0002】
【従来の技術】
UNIXサーバ(UNIXは登録商標である)やルータ等のネットワーク機器などは、動作ログをファイルに記録するシステムログ(syslog)と呼ばれる機能を有し、システムログはシステム管理を行うための重要な情報収集源になっている。システムログに記録されるログには様々なものがあり、例えばカーネルが出力する情報、システムへのログイン・ログアウト・ログインの失敗、通信セッションの開始・終了等がある。
【0003】
システムログや動作ログの管理に関連する公知技術として、特開平6−216899号のターミナルアダプタがある。前記ターミナルアダプタは、公衆回線によって接続され、通常の呼制御の情報を通信ログとして内部に記録するように構成されており、Dチャネルからの通信ログ収集用のパケット呼の着呼を判定すると共に、通信ログ収集用のパケット呼以外の着呼を拒否するパケット呼処理手段と、通信ログ収集用のパケット呼の指示に従ってDチャネルパケットを使用することにより通信ログを送信するログ送信手段を有する。そして、ターミナルアダプタ内部に蓄積された通信ログをログ収集用ホストにて収集し、通信ログを一元管理できるとされている。
【0004】
また、他の公知技術として、特開平9−212390号のシステムログ処理方式がある。前記システムログ処理方式は、定期的にチェックポイントを採取し、障害が発生した場合にシステムを直前のチェックポイントの状態に復元し、その状態からデータ処理を再開する計算機システムであって、システムが採取するログ情報を記録するためのバッファメモリを備え、障害発生後の故障回復処理において障害発生時のシステムログ情報を上記バッファに採取し、故障回復後に採取したシステムログ情報を上記バッファメモリから読み込み主記憶装置に書き込むものであり、耐障害性を確保しつつ、正常にシステムログを採取できる処理機構が実現できるとされている。
【0005】
また、他の公知技術として、特開2000−148541号のUNIXサーバの障害検知システムがある。前記障害検知システムは、監視対象ソフトウェアを監視し、前記監視対象ソフトウェアの障害を検知する障害検知手段と、前記障害検知手段からの障害内容を含む障害メッセージに基づいて障害に対する制御を行う障害監視制御手段と、前記障害監視制御手段の指示により障害発生を外部に通知する通知手段とを具備しており、UNIXサーバの障害検知を高品質で行うことができ、システムの変更に柔軟に対応できるとされている。
【0006】
【発明が解決しようとする課題】
ところで、例えばUNIXサーバに記録されるシステムログは、システムの管理作業に不可欠な情報収集源であり、システムで発生したトラブルの原因はシステムログを調べて分かることが多い。しかしながら、UNIXサーバで記憶されているシステムログは、システム管理でトラブルの発生原因を調べるための使い勝手に於いて充分なものとはいえない。そのため、例えばシステムログに関する情報をキーワードに基づき検索することが可能であると共に、その意味内容に基づき検索することが可能である等、最適なログ情報を適宜に抽出するために複数の検索方式が可能なログ情報管理装置が求められている。
【0007】
本発明は上記課題に鑑み提案するものであって、例えばシステムログに関する情報をキーワードに基づき検索することを可能にすると共に、その意味内容に基づき検索することを可能として、複数の検索方式を可能とする等により、最適なログ情報を適宜に抽出することができるログ情報管理装置及びログ情報管理プログラムを提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明のログ情報管理装置は、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、所要の検索条件の入力に応じて、前記検索条件に適合するログ情報を前記記憶しているツリー構造形式のログ情報の中から抽出する手段とを備えることを特徴とする。例えばログ情報は検索用としてデータベースに格納される。又、ログ情報は、例えばXMLとすると他のアプリケーションでも使用可能で汎用性に優れるので好適であるが、論理的に意味を保持させられるツリー構造の形式であれば適宜使用可能であって、例えばLISP言語とすることができ、又、前記ツリー構造以外の情報の形式とすることも可能である。
【0009】
また、本発明のログ情報管理装置は、ネットワークで接続される送信元機器から発生したイベントのシスログデータを受信する手段と、該受信したシスログデータ及び該シスログデータに付加された受信時刻及び該イベントが発生した送信元機器を特定可能なデータに基づき、該受信時刻及び該送信元機器を特定可能なデータ及びファシリティ及びプライオリティ及びアプリケーション名及びプロセスID及びメッセージの各データを有する基本事項と、該メッセージから抽出したタグ名及びタグ名の対象データを有する動作関連事項と、該メッセージから抽出したキーワードとを有するログ情報を取得する手段と、取得した該ログ情報を記憶する手段と、所要の検索条件の入力に応じて、該検索条件に適合するログ情報若しくはその基本事項を記憶しているログ情報の中から抽出する手段とを有することを特徴とする。本発明に於けるログ情報には適宜の形式のログ情報を使用可能であるが、XMLのログ情報とするとログ情報の各項目或いは各事項に意味内容を付加し、統一的に管理することができると共に多様な検索等の処理が可能になって好適である。更に、本発明のログ情報管理装置は、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現と、タグを識別する正規表現とを記憶する手段と、シスログデータと、アプリケーションの正規表現、アプリケーション動作名の正規表現及びタグを識別する正規表現とを比較して、その合致に基づき、基本事項のアプリケーション名、動作関連事項のアプリケーション動作名、タグ名を取得する手段とを有することを特徴とする。
【0010】
また、本発明のログ情報管理装置は、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、設定された検出条件を記憶する手段と、前記記憶しているツリー構造形式のログ情報に基づき該検出条件に該当する検出事項の発生を認識して所要処理を実行する手段とを備えることを特徴とする。例えば検出条件に該当する不正アクセスや障害を表現するログ情報等の検出事項を検出した場合に、自動的に管理者端末へ電子メールを送信する等の所要のアクションを実行する構成とすることにより、不正アクセスや障害等を監視することができる。
【0011】
更に、本発明のログ情報管理装置は、少なくとも、前記ログ情報を生成する手段と、前記ログ情報を記憶する手段がネットワークを介して接続されることを特徴とする。ログ情報管理装置は、単独のコンピュータでシステムを構成してもよいが、適宜の手段をネットワークで接続して構築することが可能である。
【0012】
また、本発明のログ情報管理プログラムは、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、所要の検索条件の入力に応じて、前記検索条件に適合するログ情報を前記記憶しているツリー構造形式のログ情報の中から抽出する手段として、コンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とする。
【0013】
また、本発明のログ情報管理プログラムは、ネットワークで接続される送信元機器から発生したイベントのシスログデータを受信する手段と、該受信したシスログデータ及び該シスログデータに付加された受信時刻及び該イベントが発生した送信元機器を特定可能なデータに基づき、該受信時刻及び該送信元機器を特定可能なデータ及びファシリティ及びプライオリティ及びアプリケーション名及びプロセスID及びメッセージの各データを有する基本事項と、該メッセージから抽出したタグ名及びタグ名の対象データを有する動作関連事項と、該メッセージから抽出したキーワードとを有するログ情報を取得する手段と、取得した該ログ情報を記憶する手段と、所要の検索条件の入力に応じて、該検索条件に適合するログ情報若しくはその基本事項を記憶しているログ情報の中から抽出する手段としてコンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とする。
【0014】
また、本発明のログ情報管理プログラムは、アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、シスログデータのメッセージから除外する除外ワードを記憶する手段と、ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、前記ツリー構造形式のログ情報を記憶する手段と、設定された検出条件を記憶する手段と、前記記憶しているツリー構造形式のログ情報に基づき該検出条件に該当する検出事項の発生を認識して所要処理を実行する手段として、コンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とする。
【0015】
【発明の実施の形態】
以下では、本発明について具体的な実施例に基づき説明する。図1はログ情報管理サーバと接続機器の接続状態を示すブロック図、図2はログ情報管理サーバの構成を示すブロック図である。
【0016】
本実施例のシステムの全体構成は、図1に示すように、ログ情報管理サーバ1が一若しくは複数の送信元機器とネットワークで接続されており、図示例では送信元機器として複数のサーバ6aと複数のルータ6bがログ情報管理サーバ1に接続され、サーバ6aやルータ6bにはシステムログのシスログデータをログ情報管理サーバ1に送信するプログラムが設定されており、システムログのシスログデータをログ情報管理サーバ1が受信するようになっている。尚、シスログデータと共にIPアドレス或いはサーバ名、送信元名など送信元機器を特定可能なデータをサーバ6aやルータ6bが送信し、シスログデータと共に送信元機器を特定可能なデータをログ情報管理サーバ1が受信するようにしてもよい。
【0017】
さらに、ログ情報管理サーバ1は、システム管理者の管理者端末7にネットワークで接続されており、ログ情報管理サーバ1は障害等を検出した場合に自動的に管理者端末7に検出情報を送信し、管理者端末3が受信した検出情報をその表示部で表示する等により障害等の認識が可能である。他方で管理者端末7はログ情報管理サーバ1にネットワークを介して接続してログ情報の検索や集計が可能な構成である。尚、前記ネットワークには、インターネットやLANなどの有線或いは無線のネットワーク等、コンピュータを適宜接続可能なネットワークを使用可能であり、又、例えば後述するログ情報生成装置1aとログ情報格納装置1b間のネットワーク上で送受信するデータをSSLで暗号化する等、各ネットワーク上で送受信する適宜のデータはSSL等で暗号化してもよく、又、ネットワークの接続方式は例えばIP接続等適宜である。
【0018】
ログ情報管理サーバ1は、図2に示すように、CPU等の中央処理手段2、ROMやRAM等の記憶手段3、キーボードやマウス等の入力手段4、通信制御手段5を有する。記憶手段3は、シスログデータに基づくログ情報の生成及び格納処理や、ログ情報に対する検索処理・集計処理・検出処理や、検出情報の送信処理などログ情報の管理処理の全体動作を制御するログ情報管理プログラムを記憶するログ情報管理プログラム記憶部301と、受信したシスログデータに受信時刻及び送信元名若しくはIPアドレスが付加されたデータを記憶するアクトログファイル302と、所定条件を充足した場合にアクトログファイル302から移動される前記データを記憶するインアクトログファイル303を有する。
【0019】
更に、記憶手段3は、シスログデータのアプリケーション名やアプリケーションIDを認識するための所要データが設定されているアプリケーション識別テーブル304と、キーワードを抽出するためにシスログデータのメッセージから除外する部分が設定されている除外ワードファイル305と、シスログデータのアプリケーション動作名及びアプリケーション動作IDを認識するための所要データが設定されているアプリケーション動作識別テーブル306と、動作関連データのタグを設定する対象をメッセージから抽出するための所要データが設定されているアプリケーションタグ抽出テーブル307と、シスログデータのタグ名を抽出するための所要データが設定されているタグ定義テーブル308と、ログ情報の基本データに対応する基本情報を格納する基本情報格納部309と、ログ情報の動作関連データに対応する動作関連情報を格納する動作関連情報格納部310と、ログ情報のインデックスデータに対応するインデックス情報を格納するインデックス情報格納部311と、検出情報を抽出するための検出条件が設定されている検出条件ファイル312と、検索や集計に必要なデータやプログラムが設定されている検索集計機能設定ファイル313とを有しており、その他にもログ情報の管理処理に必要なデータ等を記憶する記憶部やバックアップファイル等を有する。
【0020】
次に、ログ情報管理サーバ1でXMLのログ情報を生成して格納する処理について説明する。図3はXMLのログ情報を生成して格納する流れを示すフローチャート、図4乃至図7はそれぞれアプリケーション識別テーブル、アプリケーション動作識別テーブル、アプリケーションタグ抽出テーブル、タグ定義テーブルを示す図、図8はXMLのログ情報の例を示す図である。図9乃至図11はそれぞれ基本情報テーブル、動作関連情報テーブル、インデックス情報テーブルの例を示す図である。
【0021】
先ず、送信元機器のサーバ6a或いはルータ6bは、記録対象である所定のイベントの発生に対してシスログデータを記録すると共に、図3に示すように、設定されている送信プログラムと協働し、前記イベントに対応するシスログデータをログ情報管理サーバ1に送信し、ログ情報管理サーバ1はネットワークを介して前記送信されたシスログデータを受信する(S1)。本例ではシスログデータとして、”<ファシリティとプライオリティを示す数値> アプリケーション名 [プロセス番号] メッセージ”のシスログデータが送信されログ情報管理サーバ1が受信する構成であり、具体的な一例として<86>stelnetd[21420]:connect from fw. logstorage. comのシスログデータが送信元機器から送信されログ情報管理サーバ1が受信する。尚、シスログデータとしてログ出力日時やホスト名などの送信元機器を特定可能なデータを含むデータが送信されログ情報管理サーバ1が受信する構成としてもよい。
【0022】
前記シスログデータにはイベントの発生時刻のデータと送信元機器を特定可能なデータが抜けているので、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラム記憶部301のログ情報管理プログラムと協働し、通信発生時刻或いは受信時刻と記憶されている送信元機器の送信元名若しくはIPアドレスを認識し、受信時刻及び送信元名若しくはIPアドレスを前記シスログデータに付加して、例えば(時間)(送信元名)<86>stelnetd[21420]:connect from fw. logstorage. com、又は、例えば(時間)(IPアドレス)<86>stelnetd[21420]:connect from fw. logstorage. comとし(S2)、受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータを書き出しのためのアクトログファイル302に記憶する(S3)。具体例としては1003720153127 kei<86>stelnetd[21420]:connect from fw. logstorage. com又は1003720153127 192.168.254.111<86>stelnetd[21420]:connect from fw. logstorage. comとして記憶する。ここで、IPアドレス192.168.254.111は送信元名keiに対応している。以下では送信元名が付加される前者の例により説明する。尚、前記シスログデータに一旦IPアドレスを付加して、これを前記IPアドレスに対応する送信元名に変換してもよい。
【0023】
中央処理手段2は、アクトログファイル302に記憶された受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータを、例えばアクトログファイル302に初めて記憶された時刻から所定時間が経過したとき、或いはアクトログファイル302に記憶されたデータが所定行数に達したとき等、設定された所定条件を充足した場合に、読み出しのためのインアクトログファイル303に格納すると共にアクトログファイル302から削除し、アクトログファイル302からインアクトログファイル303に移動する(S4)。インアクトログファイル303に記憶されるデータはアクトログファイル302に記憶されたデータと同様であり、例えば1003720153127 kei<86>stelnetd[21420]:connect from fw. logstorage. comである。書出専用のアクトログファイル302と読出専用のインアクトログファイル303を分けることにより、資源の競合を防ぐという実装上のメリットが得られると共に、XMLにコンバートするシスログデータ等のデータの集合単位を所定の条件に従ってインアクトログファイル303に記憶し分けることで処理を効率化することができ、又、XMLに変換する際にも読出専用になっていることで処理量を飛躍的に削減することができる。
【0024】
そして、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラムと協働し、インアクトログファイル303に記憶された受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータを個別に認識し、アプリケーション識別テーブル304を読み出し、アプリケーション識別テーブル304に設定されているアプリケーションの正規表現と認識したシスログデータを比較して、前記シスログデータのアプリケーション名及びアプリケーションIDを認識する(S5)。上記例のシスログデータ<86>stelnetd[21420]:connect from fw. logstorage. comを例えば図4のアプリケーション識別テーブル304の正規表現(app_reg)と比較し、合致する正規表現(app_reg)のアプリケーション名(app_name)及びアプリケーションID(app_id)を認識することにより、図4の2番目の前記シスログデータのアプリケーション名(app_name): stelnetdとアプリケーションID(app_id): 2を認識する。
【0025】
また、中央処理手段2は、基本項目として記憶手段3の所定の記憶部に設定されている受信時刻のデータ、送信元機器を特定可能なデータである送信元名のデータ若しくはIPアドレス、ファシリティ及びプライオリティのデータ、アプリケーション名のデータ、プロセスIDのデータ、メッセージのデータを、受信時刻及び送信元名若しくはIPアドレスが付加されたシスログデータから取得して抽出する(S6)。上記例では、受信時刻(timestamp)のデータとして1003720153127を抽出し、送信元(host)のデータとしてkeiを抽出し、ファシリティ(facility)のデータ及びプライオリティ(priority)のデータとして、ファシリティ及びプライオリティの種別を示す数値<86>から、記憶部に記憶されている数値に対応するファシリティ及びプライオリティを認識することで、facilityのauth、priorityのnoticeを抽出し、アプリケーション名(application)のデータとしてstelnetdを抽出し、プロセスID(pid)のデータとして21420を抽出し、メッセージ(message)のデータとしてconnect from fw. logstorage. comを抽出する。
【0026】
さらに、中央処理手段2は、メッセージを単語に区切って認識し、除外ワードファイル305を参照して、メッセージから前置詞等の除外ワードファイル305に設定されているワード或いは部分を除外し、キーワードを抽出する(S7)。上記例では除外ワードファイル305に設定されている前置詞fromやピリオド.を除外し、キーワード(keyword)としてconnect、fw、logstorage、comの4つを抽出する。
【0027】
また、中央処理手段2は、アプリケーション動作識別テーブル306を読み出し、アプリケーション動作識別テーブル306のアプリケーションIDと前記認識したシスログデータのアプリケーションIDを比較すると共に、前記シスログデータのアプリケーションIDに対応するアプリケーション動作識別テーブル306のアプリケーション動作の正規表現と前記シスログデータのメッセージを比較して、前記シスログデータと合致するアプリケーション動作名及びアプリケーション動作IDを認識する(S8)。上記例では、例えば図5に示すアプリケーション動作識別テーブル306のアプリケーションID(app_id)とアプリケーション識別テーブル304から認識した前記シスログデータのアプリケーションID(app_id)を比較すると共に、アプリケーションID(app_id): 2が合致するアプリケーション動作識別テーブル306の正規表現(app_action_reg)とメッセージconnect from fw. logstorage. comとを比較し、合致するアプリケーションID(app_id)及び正規表現(app_action_reg)のアプリケーション動作名(app_action_name)及びアプリケーション動作ID(app_action_id)を認識することにより、図5の2番目の前記シスログデータのアプリケーション動作名(app_action_name): connectとアプリケーション動作ID(app_action_id): 2を認識する。
【0028】
その後、中央処理手段2は、アプリケーションタグ抽出テーブル307を読み出し、アプリケーションタグ抽出テーブル307からアプリケーションID及びアプリケーション動作IDが前記シスログデータのアプリケーションID及びアプリケーション動作IDに合致するアプリケーションタグの箇所を認識し、前記箇所のアプリケーションタグの正規表現と前記システムログのメッセージを比較し、前記正規表現の括弧の中に合致するデータをメッセージから抽出すると共に、前記正規表現の関連付けの名前を表すmsgparamとタグIDを認識する(S9)。上記例では、例えば図6に示すアプリケーションタグ抽出テーブル307からアプリケーションID(app_id): 2及びアプリケーション動作ID(app_action_id): 2が合致するアプリケーションタグの箇所を認識し、前記箇所のアプリケーションタグの正規表現(app_tag_reg)とメッセージconnect from fw. logstorage. com若しくはアプリケーション動作を除外した from fw. logstorage. comを比較し、図6の2番目に示す正規表現(app_tag_reg)の(.*?)に対応するfw. logstorage. comを抽出すると共に、msgparamのfromを抽出し、タグID(tag_id): 1 を抽出する。尚、アプリケーションタグ抽出テーブル307に、シスログデータのアプリケーションID及びアプリケーション動作IDと合致するアプリケーションタグの箇所或いは行が複数有る場合には、同様の処理で全て抽出する。
【0029】
さらに、中央処理手段2は、タグ定義テーブル308を読み出し、タグ定義テーブル308からタグIDが前記シスログデータのタグIDと合致するタグ名を認識して抽出する(S10)。上記例では、例えば図7に示すタグ定義テーブル308で、アプリケーションタグ抽出テーブルによって認識したタグID(tag_id): 1 とタグID(tag_id)が合致する1番目のタグ定義箇所を抽出し、そのタグ名(tag_name): fromを認識する。
【0030】
そして、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラムと協働し、上記抽出したデータ中の所要データと記憶手段3の所定の記憶部に記憶されているデータを用いて、基本データ及び動作関連データ及びインデックスデータを有するXMLのログ情報を生成する(S11)。例えば上記例の受信時刻及び送信元名が付加されたシスログデータ1003720153127 kei<86>stelnetd[21420]: connect from fw. logstorage. comからは図8に示すXMLのログ情報を生成する。前記XMLのログ情報には、抽出した基本事項の受信時刻にtimestampのタグ、送信元にhostのタグ、ファシリティ及びプライオリティにfacility及びpriorityのタグ、アプリケーション名にapplicationのタグ、プロセスIDにpidのタグ、メッセージにmessageのタグを設定して基本データとし、抽出した各キーワードにkeywordのタグを設定すると共にキーワード全体に対してindexesのタグを設定してインデックスデータとする。また、上記抽出したアプリケーション動作名connectはアプリケーション情報のタグの属性に設定して、開始タグに<app_info action="connect">と設定し、又、アプリケーションタグ抽出テーブル307により抽出したfw. logstorage. comとfromに対しては、fromのタグを設定すると共に、fromの開始タグに属性としてmsgparam="from"を設定し、<from msgparam="from">とすることにより、動作関連データとする。
【0031】
さらに、ログ情報管理サーバ1の中央処理手段2は、ログ情報管理プログラムと協働し、生成したXMLのログ情報の基本データに対応する基本情報或いは基本事項を基本情報格納部309に記憶し、その動作関連データに対応する動作関連情報或いは動作関連事項を動作関連情報格納部310に記憶し、そのインデックスデータに対応するインデックス情報或いはキーワードをインデックス情報格納部311に記憶する(S12)。図8の例では、timestamp : 1003720153127、host : kei、facility : auth、priority : notice、application : stelnetd、pid : 21420 、message : connect from fw.logstorage.com等の基本事項を基本情報として、図9に示す基本情報格納部309の基本情報テーブルにXML形式で記憶し、タグ名(tag_name): from及びタグの属性(msgparam): from及びタグの対象データ(content): fw.logstorage.com等の動作関連事項を動作関連情報として、図10に示す動作関連情報格納部310の動作関連情報テーブルにXML形式で記憶し、indexesのkeywordであるconnect、fw、logstorage、com等のキーワードをインデックス情報として、図11に示すインデックス情報格納部311のインデックス情報テーブルにXML形式で記憶する。
【0032】
尚、記憶手段3の基本情報格納部309、動作関連情報格納部310、インデックス情報格納部311等に記憶されたデータを他の二次記憶部に移し替えることが可能であり、例えば期間による検索結果等により各テーブルからレコードを読み出し、XML形式或いは元のsyslog形式に復元してアーカイブし、必要に応じて圧縮して記憶すると好適であり、又、その処理を実行する時期は、例えばデータを格納している記憶部の容量が不足した場合や、定期的な日時など所定の条件に従って実行するとよい。又、ログ情報管理サーバ1に於けるシスログデータの解釈の仕方は、ログ情報管理サーバ1の入力手段4或いは管理者端末7の入力手段による入力に応じて自在に設定することが可能であり、例えばタグの対象データ(content): fw.logstorage.comに加え、comのみのデータを抽出し、別途動作関連情報テーブルの項目に格納する、或いは所要のタグを追加して設定する、或いはシスログデータをXML化するためのフォーマットを正規表現で入力して設定し、変更若しくは追加する等適宜である。
【0033】
また、図2には省略したが、ログ情報管理サーバ1には年月日と時間を計測するタイマーが設置されており、中央処理手段2は、ログ情報管理プロクラムと協働し、タイマーの計測で設定記憶されている所定時が到来した場合に、検出条件ファイル312を読み出すと共に、基本情報格納部309の基本情報テーブル、動作関連情報格納部310の動作関連情報テーブル、インデックス情報格納部311のインデックス情報テーブルを読み出し、ログ情報の基本情報若しくは動作関連情報若しくはインデックス情報に対して、検出条件ファイル312に設定されている検出条件に該当する項目の有無を判定し、例えば不正アクセスやハードウェアの障害を表現するログ情報の項目を検出した場合には、自動的に検出項目の検出情報を生成し、その検出情報をネットワークを介して管理者端末7に送信すると共に、検出アクション実行情報格納テーブルに検出情報の生成及び送信をしたことを記憶し、他方で受信した管理者端末7の表示手段で検出情報が表示される構成とする。
【0034】
尚、管理者端末7に送信する他にも、ログ情報管理サーバ1の表示手段に検出情報を表示する、ログ情報管理サーバ1が所定のコマンドを実行する等、検出条件に該当する項目の検出に応じて警告等の適宜の処理を行うことが可能であり、又、検出条件も検出項目を設定する以外にも、シスログデータが発生するタイミングにする、特定のシスログデータ或いはログ情報の発生頻度、異なる種類の特定のシスログデータ或いはログ情報の組み合わせの発生、単位時間に特定のシスログデータ或いはログ情報が発生する所定回数等適宜設定することができ、又、後述する検索条件と集計条件も実施例以外に定義設定することができる。又、検出条件に該当する事態が発生した場合にログ情報管理サーバ1が実行するアクションは上記以外にも適宜であり、この場合に例えば検出条件に該当する事態の発生から所定時間経過後に特定のシスログデータ或いはログ情報を検出した際に、そのアクションを取り消すようにしてもよい。
【0035】
次に、ログ情報管理サーバ1に記憶されているシスログデータのログ情報或いは基本情報を検索する処理について説明する。尚、本実施例では管理者端末7がログ情報管理サーバ1にネットワークでアクセスし、管理者端末7の入力手段で検索条件を入力して検索を実行することにより、ログ情報管理サーバ1が検索処理を実行し、管理者端末7の表示手段にその検索結果を表示する構成とするが、ログ情報管理サーバ1に表示手段を設け、入力手段4で検索条件を入力して実行することにより、ログ情報管理サーバ1が検索処理を実行し、その検索結果を前記表示手段に表示する構成としてもよい。
【0036】
第1に、例えば受信時刻(timestamp)、 送信元名(host)、 ファシリティ(facility)、プライオリティ(priority)、アプリケーション名(application)、プロセスID(pid)、メッセージ(message)、アプリケーション動作名(app_action_name)等、基本情報格納部309の基本情報テーブルに格納されている基本情報の一種若しくは複数種を検索条件として検索する場合には、検索条件の入力及び検索の実行の入力に応じて、ログ情報管理サーバ1の中央処理手段2はログ情報管理プログラムや検索集計機能設定ファイル313のデータ等と協働し、基本情報テーブルを参照して検索条件に該当する全てのログ情報或いは基本情報を抽出し、抽出したシスログデータのログ情報或いは基本情報を表示する。例えば検索条件として期間が入力され検索が実行された場合には、前記期間内に在るシスログデータのログ情報或いは基本情報を抽出して表示する。図9の基本情報テーブルの例では検索条件の期間内に受信時刻(timestamp): 1003720153127が含まれる場合には、ログID(log_id): 1の基本情報を抽出する。尚、本例では受信時刻をtimestampの形式(世界標準時(UTC)の1970年1月1日0時0分0秒から数えたミリ秒)に変換して比較しているが、これ以外にも適宜である。
【0037】
第2に、インデックス情報格納部311のインデックス情報テーブルに格納されているインデックス情報のキーワード若しくはキーワードの組み合わせを検索条件として検索する場合には、検索条件の入力及び検索の実行の入力に応じて、ログ情報管理サーバ1の中央処理手段2はログ情報管理プログラムや検索集計機能設定ファイル313のデータ等と協働し、インデックス情報テーブルを参照して検索条件であるキーワード若しくはキーワードの組み合わせと合致するキーワードデータが設定されているインデックス情報のログIDを全て抽出し、更に基本情報格納部309の基本情報テーブルを参照して前記抽出したログIDに対応するシスログデータのログ情報或いは基本情報を全て抽出し、抽出したシスログデータのログ情報或いは基本情報を表示する。例えば検索条件のキーワードとしてlogstorageが入力され検索が実行された場合には、図11のインデックス情報テーブルを参照してキーワードデータ(content)がlogstorageであるインデックス情報のログID(log_id): 1を抽出し、図9の基本情報テーブルを参照して前記抽出したログID(log_id): 1に対応するシスログデータの基本情報を抽出する。
【0038】
第3に、動作関連情報格納部310の動作関連情報テーブルに格納されていると共に基本情報テーブルに格納されていないタグ名、タグの属性、タグの対象データ或いはこれらの適宜の組み合わせを検索条件として検索する場合には、検索条件の入力及び検索の実行の入力に応じて、ログ情報管理サーバ1の中央処理手段2はログ情報管理プログラムや検索集計機能設定ファイル313のデータ等と協働し、動作関連情報テーブルを参照して検索条件と合致するタグ名若しくはタグの属性若しくはタグの対象データ若しくはこれらの適宜の組み合わせが設定されている動作関連情報のログIDを全て抽出し、更に基本情報格納部309の基本情報テーブルを参照して前記抽出したログIDに対応するシスログデータのログ情報或いは基本情報を全て抽出し、抽出したシスログデータのログ情報或いは基本情報を表示する。例えば検索条件としてタグ名及びタグの対象データからなる<from>fw.logstorage.com</from>が入力され検索が実行された場合には、図10の動作関連情報テーブルを参照してタグ名(tag_name): from及び対象データ(content): fw.logstorage.comである動作関連情報のログID(log_id): 1を抽出し、図9の基本情報テーブルを参照して前記抽出したログID(log_id): 1に対応するシスログデータの基本情報を抽出する。
【0039】
上記検索により抽出した検索結果のシスログデータのログ情報或いは基本情報は、例えば受信時刻を通常の時刻表示に変換して、2001-10-23 11:08:42 kei <86>stelnetd[21420]: connect from fw.logstorage.comのような形式にして表示する。特に前記ログ情報或いは基本情報の所定項目をクリックすると、その所定項目で絞り込み検索が行われる構成とすると好適である。例えばfw.logstorage.comをクリックすると、fw.logstorage.comを有するシスログデータの基本情報或いはログ情報を抽出する。この場合に、所定項目のクリックによる指定入力に応じて、上記第1乃至第3のいずれかの検索方式を自動的に選択し、検索を実行してその検索結果を表示する構成とする。
【0040】
更に、ログ情報管理サーバ1は、ログ情報管理プログラムや検索集計機能設定ファイル313のデータ或いはプログラムと協働し、管理者端末7或いはログ情報管理サーバ1からの集計条件の入力及び集計の実行の入力に応じ、必要に応じて基本情報テーブル、動作関連情報テーブル、インデックス情報テーブルを読み出して、その集計条件に該当するシスログデータのログ情報或いは基本情報を集計し、その集計結果を伝送して管理者端末7の表示手段に表示する或いはログ情報管理サーバ1の表示手段に表示する構成とする。例えばアプリケーション動作名(app_action_name): connectを有するシスログデータのログ情報或いは基本情報の件数が集計条件とされた場合に、ログ情報管理サーバ1は、基本情報格納部309の基本情報テーブルを読み出してアプリケーション動作名(app_action_name)がconnectであるシスログデータのログ情報或いは基本情報の件数をカウントして集計する。集計結果は必要に応じてグラフ化して表示してもよく、集計事項はアプリケーションの転送件数、合計転送データ量等必要に応じて適宜設定することができる。
【0041】
また、上記実施例はログ情報管理サーバ1がログ情報を生成して格納する構成としたが、例えば図14に示すように、各々中央処理手段や記憶手段等を有し所定のプログラムと協働する、ログ情報を生成するログ情報生成装置1aと、ログ情報を格納するログ情報格納装置1bとに分離し、ログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報をネットワークを介して伝送する構成とし、好適にはログ情報生成装置1aでログ情報に所要データを付加し、ログ情報格納装置1bでその所要データを検証し、その検証が誤りである場合に誤りである旨をログ情報格納装置1bからログ情報生成装置1aに返信する構成や、ログ情報生成装置1aから送信されたXMLのデータがXML形式として正しいかログ情報格納装置1bが判定し、正しくない場合にはそのXMLのデータの処理を行わずに、XML形式として誤りである旨をログ情報格納装置1bからログ情報生成装置1aに返信する構成とするとよい。
【0042】
例えばログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報を伝送する場合に、ログ情報の改ざんを検知するためにログ情報生成装置1aが、設定記憶されているアルゴリズムに従ってログ情報のダイジェストを算出し、ログ情報の属性として計算したアルゴリズムの属性とダイジェストの属性をログ情報に付加し、前記付加したログ情報を送信し、他方で前記付加したログ情報を受信したログ情報格納装置1bが、設定記憶されているアルゴリズムから前記ログ情報のアルゴリズムの属性に対応するアルゴリズムを認識し、そのアルゴリズムに従ってハッシュ関数でダイジェストを算出し、受信したログ情報のダイジェストと算出したダイジェストを比較して検証し、両者が同一であれば受け入れて上記実施例と同様に格納処理を行い、両者が相違すればログ情報が改ざんされたものと判断しログ情報生成装置1aにその旨を返信する構成とする。図12の基本情報テーブルにログ情報のアルゴリズム属性がmd5に対応し、ダイジェストがXygekBjaorQc5XESwu521Q ==であるログ情報或いは基本情報を記憶している例を示す。ダイジェストは適宜符号化して表現する。
【0043】
又、例えばログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報を伝送する場合に、XMLのログ情報を含むXMLの文書全体の改ざんの検知や、正しいログ情報生成装置1aから送信されていることの確認のために、ログ情報生成装置1aが、ログ情報を署名対象とし、署名のアルゴリズムの属性と署名の値、公開鍵証明書をXMLで記述することにより、予め作成された鍵の形式に従って電子署名を添付して送信し、他方で前記電子署名が添付されたログ情報を受信したログ情報格納装置1bが、設定記憶されているアルゴリズムから前記ログ情報のアルゴリズムの属性に対応するアルゴリズムを認識し、そのアルゴリズムに従ってログ情報の署名の値を算出し、受信したログ情報の署名の値と算出した署名の値を比較すると共に、受信したログ情報の公開鍵証明書によって電子署名の正当性を検証し、認証した場合には受け入れて上記実施例と同様に格納処理を行い、認証できなかった場合にはログ情報生成装置1aにその旨を返信する構成とする。
【0044】
尚、例えば図8に示す<logs>と</logs>の間に、<log>と</log>との間で表現されるログ情報が複数あり、その複数のログ情報が伝送される場合には、上記ダイジェストの算出及び比較は全ての<log>と</log>との間で表現されるログ情報のそれぞれについて実行し、署名の値の算出及び比較は、<log>と</log>との間で表現されるログ情報の全てを一括して取扱い、一括して取り扱われるデータの集合に対して実行する。又、伝送するログ情報を検証する方式は上記に限定されず適宜であり、又、単独の方式を採用し、或いは複数の方式を併用することが可能である。
【0045】
又、ログ情報生成装置1aからログ情報格納装置1bへXMLのログ情報を伝送し、そのログ情報をログ情報格納装置1bが受信して格納する場合に、ログ情報格納装置1bは検証後のログ情報にログ情報生成装置1aからデータを受信した日時(received_date)を付加して、例えば図13に示す受信ログ情報格納テーブルに書き込んで記憶し、その後にログ情報格納装置1bは、書き込んだログ情報のログ情報生成装置1aが送信元機器からシスログデータを受信した受信時刻のデータ(timestamp)をログ情報生成装置1aに返信する。この場合に例えば図8に示す<logs>と</logs>の間に、<log>と</log>との間で表現されるログ情報が複数あり、その複数のログ情報が伝送される場合には、ログ情報格納装置1bが、受信した複数のログ情報の最後のログ情報の受信時刻のデータ(timestamp)をログ情報生成装置1aに返信すると好適である。図12の基本テーブルには、ログ情報格納装置1bがログ情報生成装置1aからデータを受信した日時(date_entry)を付加して、そのデータを記憶した場合が示されている。
【0046】
又、ログ情報の伝送及び格納を確実に行うため、同一のシスログデータを送信元端末から受信し、ログ情報格納装置1bへXMLの同一のログ情報を伝送可能なログ情報生成装置1aを、例えばログ情報格納装置1bにログ情報生成装置1aの順位を設定して複数設け、ログ情報をログ情報格納装置1bが受信して格納する際に、高順位のログ情報生成装置1aがログ情報格納装置1bへ接続を確立した場合には前記高順位のログ情報生成装置1aがデータを伝送し、ログ情報格納装置1bへの接続の確立が不能であるなど高順位のログ情報生成装置1aに不具合が生じた場合には、ログ情報格納装置1bは次順位のログ情報生成装置1aの接続の確立を許可すると共に、前記次順位のログ情報生成装置1aはログ情報格納装置1bへの接続を確立し、前記次順位のログ情報生成装置1aがデータを伝送する構成とすると好適である。例えばログ情報格納装置1bは、設定記憶されているログ情報生成装置1aのIPアドレス若しくは送信元名とその順位と、接続により認識したログ情報生成装置1aのIPアドレス若しくは送信元名とから、より前順位のログ情報生成装置1aを認識し、その接続を確立すると共に、次順位のログ情報生成装置1aに接続確立を許可せず、又、同様の方式で認識した次順位のログ情報生成装置1aに対しては、その前順位のログ情報生成装置1aの不具合情報が記録された場合にのみ接続確立を許可する。
【0047】
尚、正規のログ情報生成装置1aとバックアップ用のログ情報生成装置1aを設ける他に、異なるシスログデータを受け取って異なるログ情報を伝送する正規のログ情報生成装置1aを複数設け、或いは異なるシスログデータを受け取って異なるログ情報を伝送する正規とバックアップ用のログ情報生成装置1aを複数組設け、ログ情報格納装置1bへ一若しくは複数のログ情報生成装置1aがデータを伝送する構成とすること等も可能である。又、ログ情報生成装置1aが送信元機器からシスログデータを受信する通信路と、ログ情報生成装置1aがログ情報格納装置1bにログ情報を送信する通信路は、例えばポート番号を別にして区別すると、平行してデータの送受信ができて好適である。
【0048】
上記の如くログ情報生成装置1aとログ情報格納装置1bとを分離して設けることにより、ログ情報管理サーバ1にログ情報生成処理とログ情報格納処理等を行う場合よりも、各装置の記憶容量や処理能力等に対する負荷を分散することができると共に、例えば上記正規のログ情報生成装置1aとバックアップ用のログ情報生成装置1aを設けることにより、障害に対する対応力を向上することができる。
【0049】
ログ情報生成装置1aとログ情報格納装置1bの構成は本発明の趣旨の範囲内で適宜であるが、例えばログ情報生成装置1aを中央処理手段、ログ情報管理プログラムの内のログ情報生成プログラムを記憶するログ情報生成プログラム記憶部、アクトログファイル、インアクトログファイル、アプリケーション識別テーブル、除外ワードファイル、アプリケーション動作識別テーブル、アプリケーションタグ抽出テーブル、タグ定義テーブル等を有する記憶手段、入力手段、通信制御手段等を有する構成とし、ログ情報格納装置1bを中央処理手段、ログ情報管理プログラムの内のログ情報格納プログラムや検索プログラム等を記憶するログ情報格納プログラム記憶部、基本情報格納部、動作関連情報格納部、インデックス情報格納部、検出条件ファイル、検索集計機能設定ファイル等を有する記憶手段、入力手段、通信制御手段等を有する構成等とすることができる。
【0050】
【発明の効果】
本発明のログ情報管理装置或いはログ情報管理プログラムを使用することにより、最適なログ情報を適宜に抽出することができる効果を奏する。従来の大量のテキストファイルから必要なシスログデータを人為的に検索する場合と異なり、例えばシステムログに関する情報をキーワードに基づき検索することを可能にすると共に、その意味内容に基づき検索することを可能とし、複数の検索方式を可能とすること等により、最適なログ情報を適宜に抽出することができる。
【0051】
また、サーバやルータなどシスログデータの送信元機器が分散している場合にも、大量且つ分散したシスログデータをログ情報管理装置のデータベースで一元管理することができる。また、一元管理されたデータベースに対する高度な検索機能・検出機能・集計機能を有し、情報の動的な追跡、障害や不正アクセスの検出、障害の予測等が可能である。
【0052】
また、シスログデータをXML形式のログ情報や基本情報で記憶することによって、統一的にログ情報を処理することが可能になると共に、多種多様な検索処理、検出処理、集計処理等の処理が可能となる。また、シスログデータやログ情報の解釈の仕方を自在に設定できる構成により、システム自体に変更を加えることなく、検索処理、検出処理、集計処理等の処理を柔軟に増加し或いは変更することができ高い汎用性を有する。
【図面の簡単な説明】
【図1】実施例のログ情報管理サーバと接続機器の接続状態を示すブロック図。
【図2】実施例のログ情報管理サーバの構成を示すブロック図。
【図3】XMLのログ情報を生成して格納する流れを示すフローチャート。
【図4】アプリケーション識別テーブルを示す図。
【図5】アプリケーション動作識別テーブルを示す図。
【図6】アプリケーションタグ抽出テーブルを示す図。
【図7】タグ定義テーブルを示す図。
【図8】XMLのログ情報の例を示す図。
【図9】基本情報テーブルの例を示す図。
【図10】動作関連情報テーブルの例を示す図。
【図11】インデックス情報テーブルの例を示す図。
【図12】基本情報テーブルの別例を示す図。
【図13】受信ログ情報格納テーブルの例を示す図。
【図14】別の実施例の接続機器とログ情報生成装置とログ情報格納装置の接続状態を示すブロック図。
【符号の説明】
1 ログ情報管理サーバ
1a ログ情報生成装置
1b ログ情報格納装置
2 中央処理手段
3 記憶手段
301 ログ情報管理プログラム記憶部
302 アクトログファイル
303 インアクトログファイル
304 アプリケーション識別テーブル
305 除外ワードファイル
306 アプリケーション動作識別テーブル
307 アプリケーションタグ抽出テーブル
308 タグ定義テーブル
309 基本情報格納部
310 動作関連情報格納部
311 インデックス情報格納部
312 検出条件ファイル
313 検索集計機能設定ファイル
4 入力手段
5 通信制御手段
6a サーバ
6b ルータ
7 管理者端末
Claims (4)
- アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、
シスログデータのメッセージから除外する除外ワードを記憶する手段と、
ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、
前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、
前記ツリー構造形式のログ情報を記憶する手段と、
所要の検索条件の入力に応じて、前記検索条件に適合するログ情報を前記記憶しているツリー構造形式のログ情報の中から抽出する手段とを備えることを特徴とするログ情報管理装置。 - アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、
シスログデータのメッセージから除外する除外ワードを記憶する手段と、
ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、
前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、
前記ツリー構造形式のログ情報を記憶する手段と、
設定された検出条件を記憶する手段と、
前記記憶しているツリー構造形式のログ情報に基づき前記検出条件に該当する検出事項の発生を認識して所要処理を実行する手段とを備えることを特徴とするログ情報管理装置。 - アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、
シスログデータのメッセージから除外する除外ワードを記憶する手段と、
ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、
前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、
前記ツリー構造形式のログ情報を記憶する手段と、
所要の検索条件の入力に応じて、前記検索条件に適合するログ情報を前記記憶しているツリー構造形式のログ情報の中から抽出する手段として、
コンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とするログ情報管理プログラム。 - アプリケーション名と対応するアプリケーションの正規表現と、アプリケーション動作名と対応するアプリケーション動作の正規表現とを記憶する手段と、
シスログデータのメッセージから除外する除外ワードを記憶する手段と、
ネットワークで接続される送信元機器から受信する発生したイベントのシスログデータを認識し、前記シスログデータと、前記アプリケーションの正規表現、前記アプリケーション動作の正規表現とを比較して、その合致に基づき、前記シスログデータのアプリケーション名、アプリケーション動作名を取得すると共に、前記除外ワードファイルを参照し、前記シスログデータのメッセージから除外ワードを除外してキーワードを抽出する手段と、
前記シスログデータの送信元機器を特定可能なデータと、前記シスログデータの送信時刻若しくは受信時刻と、前記シスログデータから取得したアプリケーション名及びアプリケーション動作名と前記キーワードを有するツリー構造形式のログ情報を生成する手段と、
前記ツリー構造形式のログ情報を記憶する手段と、
設定された検出条件を記憶する手段と、
前記記憶しているツリー構造形式のログ情報に基づき前記検出条件に該当する検出事項の発生を認識して所要処理を実行する手段として、
コンピュータ若しくはネットワークで接続されるコンピュータを機能させることを特徴とするログ情報管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001341113A JP4050497B2 (ja) | 2001-11-06 | 2001-11-06 | ログ情報管理装置及びログ情報管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001341113A JP4050497B2 (ja) | 2001-11-06 | 2001-11-06 | ログ情報管理装置及びログ情報管理プログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2003141075A JP2003141075A (ja) | 2003-05-16 |
| JP2003141075A5 JP2003141075A5 (ja) | 2005-07-07 |
| JP4050497B2 true JP4050497B2 (ja) | 2008-02-20 |
Family
ID=19155203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001341113A Expired - Lifetime JP4050497B2 (ja) | 2001-11-06 | 2001-11-06 | ログ情報管理装置及びログ情報管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4050497B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019158972A1 (en) * | 2018-02-15 | 2019-08-22 | Pratik Sharma | Cloud configuration triggers |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005293246A (ja) * | 2004-03-31 | 2005-10-20 | Toshiba Solutions Corp | サーバ計算機保護装置及びサーバ計算機保護プログラム |
| JP2006092010A (ja) * | 2004-09-21 | 2006-04-06 | Fuji Xerox Co Ltd | 画像形成装置、メンテナンス管理システムおよびメンテナンス管理方法 |
| JP4652090B2 (ja) * | 2005-03-15 | 2011-03-16 | 富士通株式会社 | 事象通知管理プログラム、事象通知管理装置及び事象通知管理方法 |
| US7356590B2 (en) * | 2005-07-12 | 2008-04-08 | Visible Measures Corp. | Distributed capture and aggregation of dynamic application usage information |
| JP4786392B2 (ja) * | 2006-03-31 | 2011-10-05 | セコム株式会社 | 事象情報管理システム |
| JP2007304855A (ja) * | 2006-05-11 | 2007-11-22 | Hitachi Electronics Service Co Ltd | ログ収集システム及び監視装置 |
| JP4983805B2 (ja) * | 2006-12-14 | 2012-07-25 | 富士通株式会社 | 実行ログ生成プログラム、実行ログ生成装置および実行ログ生成方法 |
| RU2424568C2 (ru) * | 2006-12-28 | 2011-07-20 | Арксайт, Инк. | Эффективное хранение данных регистрации с поддержкой запроса, способствующее безопасности компьютерных сетей |
| US9166989B2 (en) | 2006-12-28 | 2015-10-20 | Hewlett-Packard Development Company, L.P. | Storing log data efficiently while supporting querying |
| JP5063258B2 (ja) | 2007-08-23 | 2012-10-31 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 操作ログを記録するためのシステム、方法およびコンピュータ・プログラム |
| US8306967B2 (en) | 2007-10-02 | 2012-11-06 | Loglogic, Inc. | Searching for associated events in log data |
| JP4725622B2 (ja) | 2008-09-22 | 2011-07-13 | 日本電気株式会社 | ログ管理装置、システム、方法、及びプログラム |
| KR101231054B1 (ko) * | 2008-12-19 | 2013-02-07 | 한국전자통신연구원 | 전용 하드웨어 엔진이 구비된 하드웨어 가속장치 및 그 방법 |
| CN102907075A (zh) * | 2010-03-11 | 2013-01-30 | 日本电气株式会社 | 终端设备、用于设定终端设备的方法和通信系统 |
| JP5576834B2 (ja) * | 2011-07-26 | 2014-08-20 | 日本電信電話株式会社 | ログファイル収集システム、サーバ、ログファイル収集方法、ログ出力方法およびプログラム |
| JP2013171431A (ja) * | 2012-02-21 | 2013-09-02 | Fujitsu Telecom Networks Ltd | ログ記録装置、ログ記録方法及び記録媒体 |
| JP5547237B2 (ja) * | 2012-06-01 | 2014-07-09 | 株式会社東芝 | 情報処理システム |
| JP6163722B2 (ja) * | 2012-09-14 | 2017-07-19 | 日本電気株式会社 | 資料採取システム、サーバ、資料採取方法及びプログラム |
| JP5592460B2 (ja) * | 2012-11-07 | 2014-09-17 | アンリツ株式会社 | 移動体通信端末の試験システムおよび試験方法 |
| JP2014130464A (ja) * | 2012-12-28 | 2014-07-10 | Mitsubishi Electric Corp | 動作ログ蓄積装置 |
| JP6167859B2 (ja) * | 2013-11-06 | 2017-07-26 | 富士通株式会社 | 検索方法,検索装置,検索プログラム |
| CN106030590A (zh) * | 2014-02-18 | 2016-10-12 | 皇家飞利浦有限公司 | 设备相关日志文件的有效处理 |
| CN107066538B (zh) * | 2017-03-06 | 2020-09-01 | 北京安博通科技股份有限公司 | 一种数据统计的方法及装置 |
| US11088832B2 (en) * | 2020-01-09 | 2021-08-10 | Western Digital Technologies, Inc. | Secure logging of data storage device events |
| CN111274095B (zh) * | 2020-02-24 | 2023-01-24 | 深圳前海微众银行股份有限公司 | 日志数据处理方法、装置、设备及计算机可读存储介质 |
-
2001
- 2001-11-06 JP JP2001341113A patent/JP4050497B2/ja not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019158972A1 (en) * | 2018-02-15 | 2019-08-22 | Pratik Sharma | Cloud configuration triggers |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003141075A (ja) | 2003-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4050497B2 (ja) | ログ情報管理装置及びログ情報管理プログラム | |
| US20200153714A1 (en) | Systems and methods for displaying adjustable metrics on real-time data in a computing environment | |
| US11853303B1 (en) | Data stream generation based on sourcetypes associated with messages | |
| CN104598367B (zh) | 数据中心故障事件管理自动化系统及方法 | |
| JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
| US11615082B1 (en) | Using a data store and message queue to ingest data for a data intake and query system | |
| JP6160064B2 (ja) | 適用判定プログラム、障害検出装置および適用判定方法 | |
| JP5353540B2 (ja) | 動作履歴収集装置、動作履歴収集方法およびプログラム | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| US11966797B2 (en) | Indexing data at a data intake and query system based on a node capacity threshold | |
| JP2009075655A (ja) | ファイル管理システム、ファイル管理方法、およびファイル管理プログラム | |
| KR101436033B1 (ko) | 운용 관리 장치, 운용 관리 방법 및 운용 관리 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체 | |
| WO2014021866A1 (en) | Vulnerability vector information analysis | |
| US20100121841A1 (en) | Automatic diagnosis of search relevance failures | |
| US20190171644A1 (en) | Efficient event searching | |
| US11178160B2 (en) | Detecting and mitigating leaked cloud authorization keys | |
| CN111274218A (zh) | 一种电力信息系统多源日志数据处理方法 | |
| US20080126283A1 (en) | Method of capturing Problem Resolution for Subsequent Use in Managed Distributed Computer Systems | |
| US7894360B2 (en) | Trouble-factor detecting device, trouble-factor detecting method, and computer product | |
| Skopik et al. | Online log data analysis with efficient machine learning: A review | |
| JP2003216457A (ja) | エラーログ収集解析エージェントシステム | |
| CN112714118B (zh) | 网络流量检测方法和装置 | |
| JP2010257066A (ja) | 障害対策支援システム | |
| JP2010066841A (ja) | ヘルプデスク支援システム | |
| KR101484186B1 (ko) | 보안 관제 데이터의 검색을 위한 인덱싱 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041105 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041105 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061226 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070220 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070322 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070420 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20070423 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070607 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070706 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071129 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4050497 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111207 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111207 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121207 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |