JP4100638B2 - Server operation information acquisition apparatus, method, and computer program - Google Patents

Server operation information acquisition apparatus, method, and computer program Download PDF

Info

Publication number
JP4100638B2
JP4100638B2 JP2006102145A JP2006102145A JP4100638B2 JP 4100638 B2 JP4100638 B2 JP 4100638B2 JP 2006102145 A JP2006102145 A JP 2006102145A JP 2006102145 A JP2006102145 A JP 2006102145A JP 4100638 B2 JP4100638 B2 JP 4100638B2
Authority
JP
Japan
Prior art keywords
packet
command
response
request
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006102145A
Other languages
Japanese (ja)
Other versions
JP2007279835A (en
Inventor
邦彦 神山
秀之 喜多村
Original Assignee
株式会社インテリジェントワークス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社インテリジェントワークス filed Critical 株式会社インテリジェントワークス
Priority to JP2006102145A priority Critical patent/JP4100638B2/en
Publication of JP2007279835A publication Critical patent/JP2007279835A/en
Application granted granted Critical
Publication of JP4100638B2 publication Critical patent/JP4100638B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明は、クライアントサーバシステムにおいて、クライアントからサーバに対しておこなわれた操作のログデータを取得する技術であって、特に、サーバ側に負荷を掛けずに、またサーバやクライアント側に特別なコンピュータプログラムを搭載しなくとも、ネットワークに接続するだけでサーバ側のOS(Operating System)なども気にせずにログデータを取得するための仕組みとして好適なものである。   The present invention is a technique for acquiring log data of operations performed on a server from a client in a client-server system, and in particular, does not put a load on the server side and is a special computer on the server or client side. Even if a program is not installed, it is suitable as a mechanism for acquiring log data by simply connecting to a network without worrying about the OS (Operating System) on the server side.

最近、企業などの組織内で、コンピュータ内に記録されているデータを勝手に外部に持ち出したり、アクセス権限のない従業員などが不正にコンピュータにアクセスして、データを取得し、これを外部に不正に流出させるという社会的な問題が発生している。
このような事態を防止するため、組織内のファイルを記憶し管理しているファイル管理サーバに対して、どのクライアントがいつアクセスしたのか、またファイル管理サーバ上のどのファイルを作成、変更、削除したかなどの操作ログデータを取得する仕組みが提供されている。 Recently, in organizations such as companies, the data recorded in the computer is taken out without permission, or unauthorized employees access the computer to obtain the data, There is a social problem of illegal leakage.
To prevent this situation, which client accessed the file management server that stores and manages the files in the organization, and which files on the file management server were created, modified, or deleted A mechanism is provided to obtain operation log data such as

このような仕組みとしては、一般に、サーバ上にアクセス監視用のコンピュータプログラムを実行させておき、どのクライントからアクセスがあったのか、またクライアントがどのファイルに対してどのような操作を行ったのかといったログデータを取得する仕組みが提案されている。
また、ログを取得する仕組みの一例として、例えば、Webサーバにおいてログファイルを有するアクセス回数統計処理部により、各ユーザからのアクセス状態を前記ログファイルにそれぞれ記録し、前記ログファイルの記録内容に基づき各ユーザ毎のアクセス回数についての統計処理を行う技術が提案されている(例えば、特許文献1参照)。 As such a mechanism, in general, a computer program for access monitoring is executed on a server, which client has accessed, and what operation the client has performed on which file. A mechanism for obtaining log data has been proposed.
Further, as an example of a mechanism for acquiring a log, for example, an access count statistics processing unit having a log file in a Web server records the access status from each user in the log file, and based on the recorded contents of the log file A technique for performing statistical processing on the number of accesses for each user has been proposed (see, for example, Patent Document 1).

特開2002−288069JP 2002-288069

しかしながら、上述のような従来の仕組みでは、サーバ上にアクセス監視のためのプログラムを実行させておく必要があったため、サーバのトラフィックがアクセス管理処理に取られてしまい、サーバの処理速度が低下してしまうという問題があった。
また、サーバ上で監視を行う場合、監視を行うファイルやクライアントなどの情報をサーバ側で設定する必要があるし、またサーバの機種やOSによって使用する管理プログラムを替える必要があるため、各サーバに応じた監視プログラムを用意しなければならないとう問題があった。
また、サーバ上で監視を行う場合には、監視できるクライアント数についても制限があるなどの問題もあった。
また、サーバ側で監視する場合、その監視ログデータはサーバ上に記録されるため、このログデータに不正にアクセスされたり、また改ざんされたりする恐れがあり、せっかくログデータを取得してもその信頼性に問題があった。 However, in the conventional mechanism as described above, it is necessary to execute an access monitoring program on the server, so that the server traffic is taken up by the access management process, and the server processing speed decreases. There was a problem that.
Also, when monitoring on a server, it is necessary to set information such as files and clients to be monitored on the server side, and it is necessary to change the management program used depending on the server model and OS. There was a problem that we had to prepare a monitoring program according to the situation.
In addition, when monitoring is performed on the server, there is a problem that the number of clients that can be monitored is limited.
In addition, when monitoring on the server side, the monitoring log data is recorded on the server, so there is a risk that this log data may be illegally accessed or tampered with. There was a problem with reliability.

本発明は、上述のような課題を解決するためになされたものであって、サーバ及びクライアントに負荷を掛けずに、またサーバなどの機種やOSにかかわらずにクライアントからの操作ログを取得することができる仕組みを提供することを目的とする。   The present invention has been made to solve the above-described problems, and acquires an operation log from a client without imposing a load on the server and the client, regardless of the model of the server or the OS and the OS. The purpose is to provide a mechanism that can do this.

上記目的を達成するため、本発明の一の観点に係る操作情報取得装置は、実データと管理データとから成るファイルを複数記憶し、階層構造のファイルシステムを持つファイル管理サーバと、当該ファイル管理サーバとネットワークを介して接続された複数のクライアント端末からなるシステムにおいて、上記ネットワークに接続され、上記ファイル管理サーバに対するクライアント端末からの操作に関するログデータを取得するための装置であって、上記クライアント端末からファイル管理サーバに対する操作を表すメソッドと、プロトコルの種別に応じて、各メソッドを実行するために必要な特定のコマンド及び特定コマンドの集合体であるコマンドパッケージシーケンスと、対応付けて記憶するメソッド定義記憶手段と、上記管理データは上記階層構造の階層項目毎に付されるIDを有し、パケットに含まれる当該ID、上記階層構造項目の名称を対応付けて記憶するID対応項目情報記憶手段と、応答待ち又は要求待ちパケットを一時的に記憶する一時記憶手段と、 上記ファイル管理サーバと上記クラインアント端末との間で送受信されるパケットを取得するパケット取得処理手段と、上記取得したパケットのデータから通信プロトコルを判別して、一定サイズ以上のパケットを廃棄し、更に、断片化されたパケット、ネットワークのコントロールパケット、プロトコルにおける不用コマンドのパケットを廃棄すると共に、予め決められたプロトコルに該当するパケットを選択するフィルタリング処理手段と、上記フィルタリングされたパケットの中から、パケットに含まれるコマンドから要求パケット又は応答パケットかを判別して上記一時記憶手段に記憶し、上記一時記憶手段に記憶された要求パケット又は応答パケットの中から、上記応答待ち又は要求待ちパケットに対応するコマンドを含むパケットがあるか否か判別し、対応するコマンドが存在するときに要求パケットに対する応答パケットの結合処理又は応答パケットに対する要求パケットの結合処理を行う要求応答結合手段と、上記結合したパケットの中から、パケット内に格納される、上記クライアント端末と上記ファイル管理サーバ内の階層項目との間でのセッション確立からセッション解放まで付される固有識別子を参照し、参照済み固有識別子を有するパケットがあるか否かを判別するシーケンスパケット解析手段と、上記判別されたパケット内を参照し、どのクライアントがログインをしたのかを特定するクライアント特定手段と、上記特定されたパケット内に格納されている上記階層項目毎に付されるIDを参照し、上記ID対応項目情報記憶手段を参照して、ファイル管理サーバ上での対応する階層項目を特定するID対応項目特定手段と、上記要求応答結合手段により完結したコマンド、又は、上記シーケンスパケット解析手段により完結したコマンドパッケージシーケンスに基づき、上記メソッド定義記憶手段を参照して、当該コマンド又はコマンドパッケージシーケンスに該当するメソッドを特定するメソッド特定手段と、少なくとも、上記メソッドが発生した日時、上記クライアントを特定する情報、上記解析されたメソッドを含む情報、上記階層項目をログデータとして記憶する解析結果記憶手段と、上記解析結果記憶手段に記憶されている上記ログデータに基づいて、出力データを生成して、出力する出力手段と、を有することを特徴とする。
In order to achieve the above object, an operation information acquisition apparatus according to an aspect of the present invention includes a file management server that stores a plurality of files composed of actual data and management data , has a hierarchical file system, and the file management In a system comprising a plurality of client terminals connected to a server via a network, the apparatus is connected to the network and acquires log data relating to operations from the client terminal to the file management server, the client terminal and methods that represent the operation on the file management server from methods according to the type of protocol, and a command package sequence, the association with each other is a set of specific commands and specific commands required to perform each method and the definition storage means, the management de Data has an ID that is assigned to each hierarchy items above hierarchical structure, and the ID included in the packet, the ID corresponding item information store means corresponding with and stores the name of the hierarchical structure fields, the response waiting or requests Temporary storage means for temporarily storing waiting packets ; packet acquisition processing means for acquiring packets transmitted and received between the file management server and the client terminal; and determining a communication protocol from the acquired packet data Filtering processing that discards packets of a certain size or more, further discards fragmented packets, network control packets, and unnecessary command packets in the protocol, and selects packets corresponding to a predetermined protocol. It means, from among the filtered packets, the packet Stored in the temporary storage means to determine whether the request packet or response packet from Murrell command, from the stored request packet or response packet to the temporary storage means, the command corresponding to the response-waiting or request packets waiting Request response combining means for determining whether or not there is a packet including a response packet, and combining a response packet with a request packet or a request packet with a response packet when a corresponding command exists , and among the combined packets To a unique identifier that is stored in the packet and that is assigned from session establishment to session release between the client terminal and the hierarchical item in the file management server, and has a packet having a referenced unique identifier Sequence packet analyzing means for determining whether or not The ID corresponding item information by referring to the client specifying means for specifying which client has logged in by referring to the inside of the packet, and the ID assigned to each of the hierarchical items stored in the specified packet. A command package sequence completed by an ID corresponding item specifying unit for specifying a corresponding hierarchical item on the file management server with reference to the storage unit, a command completed by the request / response combining unit, or a sequence packet analyzing unit Based on the method definition storage means, the method specifying means for specifying the method corresponding to the command or command package sequence, at least the date and time when the method occurred, the information for specifying the client, and the analysis are performed. information, including the method was, Rogude the above hierarchy item Analysis result storage means for storing as data, and output means for generating and outputting output data based on the log data stored in the analysis result storage means.

上記ID対応項目特定手段は、IDと階層項目名の情報を含むパケットが到着するごとに、上記ID対応項目情報記憶手段に記憶されている当該ID及び階層項目名に対応したデータを更新するようにしてもよい。
The ID corresponding item specifying means updates the data corresponding to the ID and the hierarchical item name stored in the ID corresponding item information storing means every time a packet including information on the ID and the hierarchical item name arrives. It may be.

本発明の一の観点にかかるサーバの操作情報取得方法は、実データと管理データとから成るファイルを複数記憶し、階層構造のファイルシステムを持つファイル管理サーバと、当該ファイル管理サーバとネットワークを介して接続された複数のクライアント端末からなるシステムにおいて、上記ネットワークに接続され、上記クライアント端末からファイル管理サーバに対する操作を表すメソッドと、プロトコルの種別に応じて、各メソッドを実行するために必要な特定のコマンド及び特定コマンドの集合体であるコマンドパッケージシーケンスと、対応付けて記憶するメソッド定義記憶手段と、上記管理データは上記階層構造の階層項目毎に付されるIDを有し、パケットに含まれる当該ID、上記階層構造項目の名称を対応付けて記憶するID対応項目情報記憶手段と、応答待ち又は要求待ちパケットを一時的に記憶する一時記憶手段と、を有する装置により行われる方法であって、上記ファイル管理サーバと上記クラインアント端末との間で送受信されるパケットを取得する処理と、上記取得したパケットのデータから通信プロトコルを判別して、一定サイズ以上のパケットを廃棄し、更に、断片化されたパケット、ネットワークのコントロールパケット、プロトコルにおける不用コマンドのパケットを廃棄すると共に、予め決められたプロトコルに該当するパケットを選択する処理と、上記フィルタリングされたパケットの中から、パケットに含まれるコマンドから要求パケット又は応答パケットかを判別して上記一時記憶手段に記憶し、上記一時記憶手段に記憶された要求パケット又は応答パケットの中から、上記応答待ち又は要求待ちパケットに対応するコマンドを含むパケットがあるか否か判別し、対応するコマンドが存在するときに要求パケットに対する応答パケットの結合処理又は応答パケットに対する要求パケットの結合を行う処理と、上記結合したパケットの中から、パケット内に格納される、上記クライアント端末と上記ファイル管理サーバ内の階層項目との間でのセッション確立からセッション解放まで付される固有識別子を参照し、参照済み固有識別子を有するパケットがあるか否かを判別する処理と、上記判別されたパケット内を参照し、どのクライアントがログインをしたのかを特定する処理と、上記特定されたパケット内に格納されている上記階層項目毎に付されるIDを参照し、上記ID対応項目情報記憶手段を参照して、ファイル管理サーバ上での対応する階層項目を特定する処理と、上記要求応答結合手段により完結したコマンド、又は、上記シーケンスパケット解析手段により完結したコマンドパッケージシーケンスに基づき、上記メソッド定義記憶手段を参照して、当該コマンド又はコマンドパッケージシーケンスに該当するメソッドを特定する処理と、少なくとも、上記メソッドが発生した日時、上記クライアントを特定する情報、上記解析されたメソッドを含む情報、上記階層項目をログデータとして記憶する処理と、上記記憶されている上記ログデータに基づいて、出力データを生成して、出力する処理と、を有することを特徴とする。
A server operation information acquisition method according to an aspect of the present invention stores a plurality of files composed of actual data and management data, and has a file management server having a hierarchical file system , the file management server and the network via the network. In a system consisting of a plurality of client terminals connected to each other, a method that is connected to the network and that represents an operation from the client terminal to the file management server, and a specification necessary for executing each method according to the protocol type a method definition storage means in association with the command package sequence, which is a collection of commands and specific commands, the management data includes an ID that is assigned to each hierarchy items above hierarchical structure, included in the packet and the ID which, in association with the name of the hierarchy item serial And ID corresponding item information storage means for, a method performed by a device comprising a temporary storage means for temporarily storing the response wait or request packets waiting, and between the file management server and the Klein Ant terminal Processing for acquiring transmitted / received packets and determining the communication protocol from the acquired packet data, discarding packets of a certain size or more, further fragmented packets, network control packets, and unnecessary commands in the protocol A process of selecting a packet corresponding to a predetermined protocol, and determining whether the packet is a request packet or a response packet from a command included in the packet from the filtered packets. Stored in the temporary storage means. From the request packet or response packet, it determines whether there is a packet including a command corresponding to the response-waiting or request packets waiting, binding processing or response packet of the response packet to the request packet when the corresponding command exists A process for combining request packets to the client, and from the combined packet to the session establishment and session release between the client terminal and the hierarchical item in the file management server stored in the packet. A process for determining whether or not there is a packet having a referenced unique identifier, a process for identifying which client has logged in by referring to the determined packet, and the above identification Refer to the ID assigned to each hierarchical item stored in the received packet, A process for specifying the corresponding hierarchical item on the file management server with reference to the ID corresponding item information storage means, a command completed by the request response combining means, or a command package completed by the sequence packet analyzing means Based on the sequence, referring to the method definition storage means, the process for identifying the method corresponding to the command or command package sequence, at least the date and time when the method occurred, the information for identifying the client, and the analysis And a process for storing information including a method and the hierarchical item as log data, and a process for generating and outputting output data based on the stored log data .

本発明の一の観点にかかるコンピュータプログラムは、実データと管理データとから成るファイルを複数記憶し、階層構造のファイルシステムを持つファイル管理サーバと、当該ファイル管理サーバとネットワークを介して接続された複数のクライアント端末からなるシステムにおいて、上記ネットワークに接続され、上記クライアント端末からファイル管理サーバに対する操作を表すメソッドと、プロトコルの種別に応じて、各メソッドを実行するために必要な特定のコマンド及び特定コマンドの集合体であるコマンドパッケージシーケンスと、対応付けて記憶するメソッド定義記憶手段と、上記管理データは上記階層構造の階層項目毎に付されるIDを有し、パケットに含まれる当該ID、上記階層構造項目の名称を対応付けて記憶するID対応項目情報記憶手段と、応答待ち又は要求待ちパケットを一時的に記憶する一時記憶手段と、とを有するコンピュータを操作情報取得装置として機能させるためのコンピュータプログラムであって、上記コンピュータに対して、上記ファイル管理サーバと上記クラインアント端末との間で送受信されるパケットを取得する処理と、上記取得したパケットのデータから通信プロトコルを判別して、一定サイズ以上のパケットを廃棄し、更に、断片化されたパケット、ネットワークのコントロールパケット、プロトコルにおける不用コマンドのパケットを廃棄すると共に、予め決められたプロトコルに該当するパケットを選択する処理と、上記フィルタリングされたパケットの中から、パケットに含まれるコマンドから要求パケット又は応答パケットかを判別して上記一時記憶手段に記憶し、上記一時記憶手段に記憶された要求パケット又は応答パケットの中から、上記応答待ち又は要求待ちパケットに対応するコマンドを含むパケットがあるか否か判別し、対応するコマンドが存在するときに要求パケットに対する応答パケットの結合処理又は応答パケットに対する要求パケットの結合を行う処理と、上記結合したパケットの中から、パケット内に格納される、上記クライアント端末と上記ファイル管理サーバ内の階層項目との間でのセッション確立からセッション解放まで付される固有識別子を参照し、参照済み固有識別子を有するパケットがあるか否かを判別する処理と、上記判別されたパケット内を参照し、どのクライアントがログインをしたのかを特定する処理と、上記特定されたパケット内に格納されている上記階層項目毎に付されるIDを参照し、上記ID対応項目情報記憶手段を参照して、ファイル管理サーバ上での対応する階層項目を特定する処理と、上記要求応答結合手段により完結したコマンド、又は、上記シーケンスパケット解析手段により完結したコマンドパッケージシーケンスに基づき、上記メソッド定義記憶手段を参照して、当該コマンド又はコマンドパッケージシーケンスに該当するメソッドを特定する処理と、少なくとも、上記メソッドが発生した日時、上記クライアントを特定する情報、上記解析されたメソッドを含む情報、上記階層項目をログデータとして記憶する処理と、上記記憶されている上記ログデータに基づいて、出力データを生成して、出力する処理と、を実行させることを特徴とする。
A computer program according to an aspect of the present invention stores a plurality of files composed of actual data and management data, and is connected to a file management server having a hierarchical file system and the file management server via a network. In a system composed of a plurality of client terminals, a method that represents an operation from the client terminal to the file management server connected to the network, and a specific command and a specification necessary for executing each method according to the protocol type a command package sequence is a set of commands, and method definition storage means for storing in association with, the management data includes an ID that is assigned to each hierarchy items above hierarchical structure, and the ID included in the packet , while correlating and storing the name of the hierarchy item And ID corresponding item information storage unit that includes a temporary storage means for temporarily storing response-waiting or request packets waiting, a computer program for functioning as an operation information acquisition apparatus a computer having a city, to the computer Processing for acquiring packets transmitted and received between the file management server and the client terminal, determining a communication protocol from the data of the acquired packets, discarding packets of a certain size or more, Discards fragmented packets, network control packets, and unnecessary command packets in the protocol, and selects a packet corresponding to a predetermined protocol, and is included in the packet from among the filtered packets. request packet from the command also To determine whether the response packet is stored in the temporary storage means, whether or not from the request packet or response packet is stored in the temporary storage means, there is a packet including a command corresponding to the response-waiting or request packets waiting The client stored in the packet out of the combined packet and the process of combining the response packet with the request packet or the process of combining the request packet with the response packet when the corresponding command exists A process for determining whether or not there is a packet having a referenced unique identifier by referring to a unique identifier assigned from session establishment to session release between the terminal and the hierarchical item in the file management server, and the determination To identify which client has logged in, and A process of referring to the ID assigned to each hierarchy item stored in the specified packet and specifying the corresponding hierarchy item on the file management server with reference to the ID corresponding item information storage means And a method corresponding to the command or command package sequence with reference to the method definition storage unit based on the command completed by the request / response combining unit or the command package sequence completed by the sequence packet analyzing unit. A process for storing at least the date and time when the method occurs, information for identifying the client, information including the analyzed method, the hierarchy item as log data, and the stored log data. based on, to generate output data, is performed and outputting a And wherein the Rukoto.

本発明によれば、サーバに蓄積された操作記録を、サーバに負荷を掛けることなく記憶することができ、サーバ上のファイルが外部へ流出したり、不正に改ざん、削除されたりしたことを監視できる。
また、サーバの機種やOSに依存しなくとも、サーバ上の全てのファイルを監視することができる。
また、装置をクライアント−サーバのネットワークに接続するだけで、監視を行うことができるから、クライアント数の増加等によってもサーバの設定変更の必要がなく、設定変更の手間を省くことができる。
さらに、操作ログデータは、監視対象サーバには記録されずに、ログを記憶する装置側に記憶されることから、操作ログデータに不正にアクセスされたり、改ざんされたりすることを防止できる。 According to the present invention, operation records accumulated in a server can be stored without imposing a load on the server, and monitoring of whether a file on the server has leaked to the outside, has been tampered with, or has been deleted. it can.
Further, all files on the server can be monitored without depending on the server model or OS.
In addition, since monitoring can be performed simply by connecting the apparatus to a client-server network, it is not necessary to change server settings even when the number of clients increases, and the labor of setting changes can be saved.
Furthermore, since the operation log data is not recorded on the monitoring target server but is stored on the device side that stores the log, it is possible to prevent the operation log data from being illegally accessed or falsified.

以下、本発明に係る一実施形態について、図面を参照して説明する。
本実施例に係るシステムの全体構成を図1に示す。
図1は、本発明にかかるサーバ操作情報記憶装置を利用したシステムの全体構成を示したものであって、監視対象となるサーバ1と、このサーバ1にLAN(Local Area Network)やWAN(Wide Area Network)などの所定のネットワークを介して接続可能に構成された複数のクライアント端末3と、サーバ1とクライアント端末3との間で通信データのスイッチングを行うスイッチ2と、このスイッチ2を介してネットワークに接続可能に構成されたアクセスログ取得装置4から構成されている。 Hereinafter, an embodiment according to the present invention will be described with reference to the drawings.
FIG. 1 shows the overall configuration of the system according to the present embodiment.
FIG. 1 shows the overall configuration of a system using a server operation information storage device according to the present invention. A server 1 to be monitored and a LAN (Local Area Network) or WAN (Wide) are connected to the server 1. A plurality of client terminals 3 configured to be connectable via a predetermined network such as an area network), a switch 2 for switching communication data between the server 1 and the client terminal 3, and the switch 2 The access log acquisition device 4 is configured to be connectable to a network.

サーバ1は、複数のクライアント端末3により利用可能なファイルを記憶することができるコンピュータである。
サーバ1は、所定のOSや、必要に応じて搭載しているアプリケーションプログラムを実行することで、各クライアント端末3との間でファイルを送受信したり、またクライアント端末3からの操作に応じて、フォルダやファイルなどを作成、変更、削除したりする処理を行うことができる。
なお、サーバ1は、クライアントごとにアクセス権限を管理するようにしてもよい。この場合、サーバ1は、クライアントごとにサーバ1へのアクセス権限があるか否か、アクセス権限が設定されているフォルダやファイルごとに、クライアントが新規作成、変更、削除などの処理を行う権限を持っているか否かという権限を管理する。 The server 1 is a computer capable of storing files that can be used by a plurality of client terminals 3.
The server 1 sends and receives files to and from each client terminal 3 by executing a predetermined OS and an application program installed as necessary, and according to an operation from the client terminal 3, You can create, change, and delete folders and files.
The server 1 may manage access authority for each client. In this case, the server 1 determines whether or not each client has an access right to the server 1 and the right for the client to perform processing such as new creation, change, and deletion for each folder or file for which the access right is set. Manage the authority of whether or not you have.

クライアント端末3は、サーバ1にアクセスして、サーバ1上のフォルダやファイルを作成、変更、削除、データの取得といった操作を行うことができるコンピュータである。
このクライアント端末3は、いわゆるパソコンなどにより構成され、スイッチ2を介してサーバ1に接続可能であればよく、当該クライアント端末3が搭載しているOSやアプリケーションプログラムは特に限定されるものではない。
そして、これらサーバ1とクライアント端末3との間では、パケットによりデータの送受信が行われるようになっている。 The client terminal 3 is a computer that can access the server 1 and perform operations such as creating, changing, deleting, and acquiring data of folders and files on the server 1.
The client terminal 3 is constituted by a so-called personal computer or the like, as long as it can be connected to the server 1 via the switch 2, and the OS and application program installed in the client terminal 3 are not particularly limited.
Data is transmitted / received between the server 1 and the client terminal 3 using packets.

スイッチ2は、いわゆる集線装置であって、サーバ1とクライアント端末3との間でのデータをスイッチングして相互にデータ通信するための処理を行う。
このスイッチ2としては、スイッチの通常のポートを通過する全てのデータを複製して通過させるミラーポート方式、タップ方式、ブリッジ結線されたブリッジ方式であってもよい。
そして、スイッチ2により、クライアント−サーバ間で送受信されているパケットデータを複製して、この複製されたパケットデータをアクセスログ取得装置4が取得するようになっている。 The switch 2 is a so-called line concentrator, and performs processing for switching data between the server 1 and the client terminal 3 to perform data communication with each other.
The switch 2 may be a mirror port system that allows all data passing through a normal port of the switch to be copied and passed, a tap system, or a bridge system that is bridge-connected.
Then, the switch 2 duplicates packet data transmitted and received between the client and the server, and the access log obtaining apparatus 4 obtains the duplicated packet data.

アクセスログ取得装置4は、クライアント端末3からサーバ1へのアクセスログを取得する装置である。
このアクセスログ取得装置4は、CPU(Central Processing Unit)及び、CPUが実行するコンピュータプログラム、コンピュータプログラムやその他のデータを記憶するRAM(Random Access Memory)などの記憶手段により構成されており、これによって図2に示す機能ブロックを実現する。
図2に示した機能ブロックは、ID対応情報記憶部41、シーケンス処理情報記憶部42、アクセス記録データベース43、ネットワークインタフェース(I/F)44、1次フィルタ45、プロトコル解析処理部46、データベース登録処理部47、管理画面表示処理部48から構成されている。 The access log acquisition device 4 is a device that acquires an access log from the client terminal 3 to the server 1.
The access log acquisition device 4 is composed of a CPU (Central Processing Unit) and storage means such as a computer program executed by the CPU, a RAM (Random Access Memory) for storing computer programs and other data, and the like. The functional block shown in FIG. 2 is realized.
The functional block shown in FIG. 2 includes an ID correspondence information storage unit 41, a sequence processing information storage unit 42, an access record database 43, a network interface (I / F) 44, a primary filter 45, a protocol analysis processing unit 46, and a database registration. The processing unit 47 and the management screen display processing unit 48 are included.

ID対応情報記憶部41は、プロトコルの種別に応じて、パケット内に含まれるIDの種類と、サーバ1内の実際のボリューム、フォルダ、ファイルの名前との対応付けを記憶しておくテーブルである。
これは、例えば、AFP(AppleTalk Filing Protocol)では、ボリューム・フォルダ・ファイルの指定は、セッションごとに設定される数値にIDにより指定されるが、監視ログを記録する際、IDをそのままで記録してしまうとサーバ1のファイルシステム内のボリューム、フォルダ、ファイルとの対応関係が分からなくなることから、このID対応情報記憶部41に予めIDと実際のボリューム・フォルダ・ファイルとの対応付けを予め定義したものである。
このID対応情報記憶部41に記憶されるデータとしては、例えば、図3に示すように、AFPの場合、IDの種類、対象AFPコマンドパケット、管理項目を対応付けて記憶する。一例として、ボリュームIDの場合、対象AFPコマンドパケットとしては「FPGetVolParms」、「FPGetFileDirParms」、「FPEnumerate」となり、管理項目としては、IDと名称となる。
なお、このID対応情報記憶部41に記憶されているデータは、IDと名前の情報を含むAFPパケットが到着するごとにこの表が更新され、実際のサーバ1上のファイルシステムのデータに対応するようになっている。 The ID correspondence information storage unit 41 is a table that stores correspondences between the types of IDs included in the packets and the names of actual volumes, folders, and files in the server 1 according to the type of protocol. .
For example, in AFP (AppleTalk Filing Protocol), the volume, folder, and file are specified by ID in the numerical value set for each session, but when recording the monitoring log, the ID is recorded as it is. If this happens, the correspondence relationship between volumes, folders, and files in the file system of the server 1 will not be known. Therefore, the correspondence between IDs and actual volumes, folders, and files is previously defined in the ID correspondence information storage unit 41. It is a thing.
As data stored in the ID correspondence information storage unit 41, for example, as shown in FIG. 3, in the case of AFP, an ID type, a target AFP command packet, and a management item are stored in association with each other. As an example, in the case of a volume ID, the target AFP command packet is “FPGetVolParms”, “FPGetFileDirParms”, “FPEnumerate”, and the management items are ID and name.
The data stored in the ID correspondence information storage unit 41 is updated each time an AFP packet including ID and name information arrives, and corresponds to the actual file system data on the server 1. It is like that.

シーケンス処理情報記憶部42は、プロトコルの種別に応じて、記憶しておくメソッドと抽出すべきコマンドの対応付けを記憶する記憶部である。
これは、例えば、AFPでは、ファイルの読み書きはファイルの2つのフォーク、すなわちデータフォークとリソースフォークに対する参照番号(RefNo)を使用して行われるが、このRefNoは、AFPのコマンドパケットのFPOpenForkで取得され、取得したRefNoでFPReadあるいはFPWriteを行うことでファイルのアクセスが行われ、FPCloseForkでそのRefNoを解放するようになっている。
したがって、ファイルのアクセスを監視するには、FPOpenFork、FPReadあるいはFPWrite、FPCloseForkのAFPコマンドパッケージシーケンスをトレースする必要があるため、そのシーケンス処理を行う対象となるコマンドが定義されている。
一例として、AFPの場合を図4に示し、SMBプロトコルの場合を図5に示す。
例えば、図4に示すようにファイルの読み込みの場合、AFPではFPOpenFork、FPRead、FPCloseForkの順でトレースすることにより、あるファイルに対して読み込み処理が行われたログとして記録することができる。 The sequence processing information storage unit 42 is a storage unit that stores a correspondence between a method to be stored and a command to be extracted according to the type of protocol.
For example, in AFP, reading and writing of a file is performed using a reference number (RefNo) for two forks of the file, that is, a data fork and a resource fork. Then, the file is accessed by performing FPRead or FPWrite with the acquired RefNo, and the RefNo is released with the FPCCloseFork.
Therefore, in order to monitor file access, it is necessary to trace the AFP command package sequence of FPopenFork, FPRead, FPWrite, and FPCCloseFork, and thus a command to be subjected to the sequence processing is defined.
As an example, FIG. 4 shows the case of AFP, and FIG. 5 shows the case of SMB protocol.
For example, as shown in FIG. 4, in the case of reading a file, AFP can record a log obtained by performing reading processing on a certain file by tracing in order of FPopenFork, FPRead, and FPCcloseFork.

アクセス記録データベース43は、アクセスログデータをデータベース化したものである。このアクセス記録データベース43には、図6に示すように、項目名とその説明が対応付けて記憶できるようになっている。
項目名としては、日時、セッション、ユーザ、メソッド(メソッドの種類及び、付属情報、状態コード)がそれぞれ記憶できるようになっている。
日時は、年月日、時分秒、マイクロ秒が記憶できるようになっている。
セッションにはMACアドレス、IPアドレスが記憶できるようになっている。
メソッドとしては、メソッド名と、付属情報としてフルパス名、リネーム時のターゲット名など、状態として状態コード(0=OK、0以外=NG)が記憶できるようになっている。
また、メソッド名としては、メソッド一覧にあるように、ファイルの新規作成、読み込み、書き込み、リネーム、移動、削除、フォルダの新規作成、リネーム、移動、削除、ログイン、ログアウトである。 The access record database 43 is a database of access log data. In the access record database 43, as shown in FIG. 6, item names and descriptions thereof can be stored in association with each other.
As item names, date, session, user, and method (method type and attached information, status code) can be stored.
Date, time, hour, minute, and microsecond can be stored.
A MAC address and an IP address can be stored in the session.
As a method, a status code (0 = OK, non-zero = NG) such as a method name, a full path name as attached information, and a target name at the time of renaming can be stored.
As the method name, as shown in the method list, new file creation, reading, writing, renaming, moving, deleting, creating a new folder, renaming, moving, deleting, logging in, and logging out.

ネットワークインタフェース44は、アクセスログ監視装置4がネットワークに接続するためのインタフェースである。
このネットワークインタフェース44は、所定のポートを介してスイッチング装置3に接続するとともに、所定のデータフォーマットに基づいた論理的インタフェースにより、ネットワーク内を流れているパケットを取得する処理を行う。 The network interface 44 is an interface for the access log monitoring device 4 to connect to the network.
The network interface 44 is connected to the switching device 3 via a predetermined port, and performs processing for acquiring a packet flowing in the network by a logical interface based on a predetermined data format.

1次フィルタ45は、取得したパケットの中から不要なパケットを破棄するための処理を行う。
1次フィルタ45は、セッション情報(MACアドレス、IPアドレス)、プロトコル(ポート)、パケットサイズを判別して廃棄すべきパケットを判別したり、その他不要なパケットを廃棄する処理を行う。
これにより、不要なパケットを予めフィルタリングできることから、処理を効率化することができる。 The primary filter 45 performs processing for discarding unnecessary packets from the acquired packets.
The primary filter 45 determines session information (MAC address, IP address), protocol (port), packet size, determines a packet to be discarded, and performs processing for discarding other unnecessary packets.
Thereby, since unnecessary packets can be filtered in advance, the processing can be made more efficient.

プロトコル解析処理部46は、プロトコルに応じて、パケットを解析してログを取得する処理を行う。
プロトコル解析処理部46は、クライアントのログインからアクセスのログを取得したり、各クライアントがファイルへのアクセスしたログを取得する。
また、ファイルへのアクセスログをより分かりやすくするため、パケット内のIDとサーバのファイルシステム内のボリューム、フォルダ、ファイルとの対応付けなどの処理を行う。 The protocol analysis processing unit 46 performs processing for analyzing a packet and acquiring a log according to a protocol.
The protocol analysis processing unit 46 acquires an access log from a client login, or acquires a log in which each client accesses a file.
Further, in order to make the access log to the file easier to understand, processing such as associating the ID in the packet with the volume, folder, and file in the server file system is performed.

データベース登録処理部47は、プロトコル解析処理部46により解析されたログデータを、アクセス記録データベース43に記憶する処理を行う。   The database registration processing unit 47 performs processing for storing the log data analyzed by the protocol analysis processing unit 46 in the access record database 43.

管理画面表示処理部48は、アクセス記録データベース43に記憶されているアクセスログデータに基づいて、管理画面上に表示する出力画面のデータを生成し、これを図示しないディスプレイ上に表示させる処理を行う。   The management screen display processing unit 48 generates output screen data to be displayed on the management screen based on the access log data stored in the access record database 43, and performs processing to display this on a display (not shown). .

次に、図7を参照してシステム全体の処理の流れを説明する。
図7において、まずクライアント端末3からサーバ1に対してファイルの取得要求を行う(S1)と、この取得要求がスイッチ2を介してサーバ1に送信される(S2)。
また同時に、スイッチ2のミラーリング機能により、ファイル取得要求のデータがアクセスログ取得装置4にも送信される(S3)。
これにより、アクセスログ取得装置4は、ネットワークインタフェース44を介してパケットを取得し、一次フィルタ45が取得したパケットをフィルタリングして、不要なパケットを廃棄するとともに、プロトコル解析処理部46が、どのクライアントがアクセスし、どのファイル等に操作を行ったのかのログの解析を行い、データベース登録処理部47が解析されたログデータをアクセス記録データベース43に記憶する処理を行う。 Next, the flow of processing of the entire system will be described with reference to FIG.
In FIG. 7, first, when a file acquisition request is made from the client terminal 3 to the server 1 (S1), this acquisition request is transmitted to the server 1 via the switch 2 (S2).
At the same time, the file acquisition request data is also transmitted to the access log acquisition device 4 by the mirroring function of the switch 2 (S3).
Thereby, the access log acquisition device 4 acquires packets via the network interface 44, filters the packets acquired by the primary filter 45, discards unnecessary packets, and the protocol analysis processing unit 46 determines which client Is accessed, and the log of which file or the like has been operated is analyzed, and the database registration processing unit 47 performs processing of storing the analyzed log data in the access record database 43.

サーバ1は、クライアント端末3からの取得要求に応じて、ファイルの取得応答をスイッチ2に送信する(S4)。クライント端末2はスイッチ2を介してファイルの取得応答を受信して、所定の処理を行う(S5)。
同時に、スイッチ2は、ミラーリング機能により、サーバ1からのファイルの取得応答をアクセスログ取得装置4へ送信する(S6)。
これにより、アクセスログ取得装置4は、ネットワークインタフェース44を介してパケットを取得し、一次フィルタ45が取得したパケットをフィルタリングして、不要なパケットを廃棄するとともに、プロトコル解析処理部46が、どのクライアント端末3がサーバ1へアクセスし、どのファイル等に操作を行ったのかのログの解析を行い、データベース登録処理部47が解析されたログデータをアクセス記録データベース43に記憶する処理を行う。
そして、サーバ1のデータベース登録処理部47は、解析したアクセスログをアクセス記録データベース43に記録する(S7)。この時、少なくとも、メソッドが行われた日時、ユーザ、メソッドの内容等が記憶される。 The server 1 transmits a file acquisition response to the switch 2 in response to the acquisition request from the client terminal 3 (S4). The client terminal 2 receives a file acquisition response via the switch 2 and performs a predetermined process (S5).
At the same time, the switch 2 transmits a file acquisition response from the server 1 to the access log acquisition device 4 by the mirroring function (S6).
Thereby, the access log acquisition device 4 acquires packets via the network interface 44, filters the packets acquired by the primary filter 45, discards unnecessary packets, and the protocol analysis processing unit 46 determines which client The terminal 3 accesses the server 1 to analyze a log indicating which file or the like has been operated, and the database registration processing unit 47 performs processing of storing the analyzed log data in the access record database 43.
Then, the database registration processing unit 47 of the server 1 records the analyzed access log in the access record database 43 (S7). At this time, at least the date and time when the method was performed, the user, the contents of the method, and the like are stored.

これらS1からS7までの処理をサーバ1とクライアント端末3との間で繰り返し行うことでサーバ1へのアクセスログが記憶される。   By repeatedly performing the processes from S1 to S7 between the server 1 and the client terminal 3, an access log to the server 1 is stored.

一方、ある時点で、アクセスログ取得装置4に記録されているアクセスログを管理者が見る場合には、まず管理者がサーバ1又は図示しないネットワークに接続された管理者用端末等から管理画面表示要求を行う(S11)。
これにより、アクセス記録データベース43を参照して、指定された項目に該当するデータを検索する(S12)。
検索が完了すると、サーバ1の管理画面表示処理部48が、アクセス記録データベース43から検索結果のデータを取得し(S13)、図示しないディスプレイ上に管理画面表示を行う(S14)。 On the other hand, when an administrator views the access log recorded in the access log acquisition device 4 at a certain point in time, the administrator first displays the management screen from the server 1 or an administrator terminal connected to a network (not shown). A request is made (S11).
Thereby, the access record database 43 is referred to search for data corresponding to the designated item (S12).
When the search is completed, the management screen display processing unit 48 of the server 1 acquires search result data from the access record database 43 (S13), and displays the management screen on a display (not shown) (S14).

なお、この画面表示としては、図8に示すように、所定期間(例えば、1ヶ月ごと)にクライアント端末3に対応するオペレータごとに作成したページ数を表示するようにしてもよい。この場合、週ごとの作成ページ数が分かるように分けて表示させてもよい。
また、図9に示すように、一つのファイルごとにいつ誰がアクセスして、どのような操作を行ったかを表示させても良い。この例では、「ファイルA」に対して、いつ(例えば、2006年2月3日16時38分)、だれが(例えば、オペレータA)、どのような操作を行ったか(例えば、新規作成)を一覧表として表示してもよい。
さらに、図10に示すように、特定のファイルの参照回数を、週ごとにグラフ化して表示してもよい。 As the screen display, as shown in FIG. 8, the number of pages created for each operator corresponding to the client terminal 3 during a predetermined period (for example, every month) may be displayed. In this case, the number of pages created per week may be displayed separately.
Further, as shown in FIG. 9, it may be displayed when and who has accessed and what operation is performed for each file. In this example, when (for example, operator A) who performed what operation (for example, newly created) on “file A” (for example, February 3, 2006, 16:38) May be displayed as a list.
Furthermore, as shown in FIG. 10, the reference count of a specific file may be displayed in a graph for each week.

次に、上述のS3、S6の処理における、アクセスログ取得装置4の1次フィルタ45の詳細な処理の流れについて説明する。この時点では、ネットワークインタフェース44がスイッチ2からパケットを取得した状態となっている。
図11において、1次フィルタ45は、まず取得したパケットの中からセッション情報があるか否か判別して、これらが含まれないパケットは廃棄パケットとする。(S101)。
この処理は、具体的には、パケットにMACアドレス、IPアドレスが含まれているかを判別することで行う。 Next, a detailed processing flow of the primary filter 45 of the access log acquisition device 4 in the processing of S3 and S6 described above will be described. At this point, the network interface 44 has acquired a packet from the switch 2.
In FIG. 11, the primary filter 45 first determines whether or not there is session information from the acquired packets, and sets a packet that does not include these as a discarded packet. (S101).
Specifically, this process is performed by determining whether the packet includes a MAC address or an IP address.

判別の結果、セッション情報が存在する場合には、1次フィルタ45はプロトコルの判別を行い、該当しないものは廃棄パケットとする(S102)。
この処理では、パケットに含まれるポート番号を抽出して、そのポート番号が所定のポート番号と一致するかを判別することにより行う。なお、予め対応できるプロトコル(ポート)をメモリ等に記憶して定義しておくことで、当該プロトコルに対応するパケットのみを抽出する。 If the session information is present as a result of the discrimination, the primary filter 45 discriminates the protocol, and those not applicable are discarded packets (S102).
This process is performed by extracting the port number included in the packet and determining whether the port number matches a predetermined port number. Note that a protocol (port) that can be supported in advance is stored and defined in a memory or the like, so that only packets corresponding to the protocol are extracted.

判別の結果、セッション情報の確認ができた場合には、1次フィルタ45は、パケットサイズが一定サイズ以上か否か判別し、一定のサイズ以上のパケットは廃棄する(S103)。
これにより、例えば、ファイル操作のログを取得することとは直接関係がないデータファイルなど、比較的サイズが大きいパケットを廃棄する。 If the session information can be confirmed as a result of the determination, the primary filter 45 determines whether or not the packet size is equal to or larger than a certain size, and discards the packet larger than the certain size (S103).
Thereby, for example, a packet having a relatively large size, such as a data file that is not directly related to acquiring a file operation log, is discarded.

判別の結果、パケットサイズが一定の大きさ以下の場合には、1次フィルタ45は、TCPのコントロールパケットか否かを判別し、TCPのコントロールパケットは廃棄する(S104)。   As a result of the determination, if the packet size is equal to or smaller than a certain size, the primary filter 45 determines whether or not the packet is a TCP control packet, and discards the TCP control packet (S104).

1次フィルタ45は、プロトコル固有のパケットで、ログ解析に不要なパケットか否かを判別して廃棄する(S105)。
このログ解析に不要なパケットは、予め定義してメモリに記憶させておき、その定義されたパケットに該当するパケットを廃棄するようにする。 The primary filter 45 determines whether or not the packet is a protocol-specific packet and is unnecessary for log analysis (S105).
Packets unnecessary for this log analysis are defined in advance and stored in the memory, and packets corresponding to the defined packets are discarded.

1次フィルタ45は、断片化されたパケットがあるか否かを判別して、断片化されたパケットの2つ目以降のパケットは廃棄して(S106)、選択パケットのみをフィルタリングする処理を行う。これにより、断片化されている場合、先頭のパケットが取得できれば操作ログが取得できるため、2つ目以降のパケットは廃棄する。
このように、1次フィルタを通して、ログ解析に不要なパケットを廃棄することで、ログ解析を効率的に行うことができる。 The primary filter 45 determines whether or not there is a fragmented packet, discards the second and subsequent packets of the fragmented packet (S106), and performs a process of filtering only the selected packet. . As a result, if fragmented, the operation log can be acquired if the first packet can be acquired, and the second and subsequent packets are discarded.
Thus, log analysis can be efficiently performed by discarding packets unnecessary for log analysis through the primary filter.

次に、上述のS3、S6の処理におけるプロトコル解析処理部46の処理の流れについて図12を参照して説明する。
図12において、まず、1次フィルタ45により選択されたパケットのうち、プロトコル解析処理部46がリクエスト(Request)と、応答(Reply)との結合処理を行う(S201)。
これによりリクエストと応答が結合されて、サーバ1に対してある一つの操作がなされたことを特定できるようになる。
そして、プロトコル解析処理部46がプロトコルシーケンスの解析処理を行う(S202)。これによりサーバ1上のファイル等に対するメソッドを特定することができる。
最後に、データベース登録処理部47が、ログの登録項目の生成を行い(S203)、処理を終了する。 Next, the processing flow of the protocol analysis processing unit 46 in the above-described processing of S3 and S6 will be described with reference to FIG.
In FIG. 12, first, among the packets selected by the primary filter 45, the protocol analysis processing unit 46 performs a process of combining a request (Request) and a response (Reply) (S201).
As a result, the request and the response are combined, and it is possible to specify that one operation has been performed on the server 1.
Then, the protocol analysis processing unit 46 performs a protocol sequence analysis process (S202). As a result, a method for a file or the like on the server 1 can be specified.
Finally, the database registration processing unit 47 generates log registration items (S203), and ends the process.

次に、図13の処理フローにおける、プロトコル解析処理部46の詳細な処理について説明する。
まず図13を参照して、プロトコル解析処理部46がリクエストとリプライの結合処理を行う場合の詳細な処理の流れについて説明する。
図13(a)は要求−結合処理の全体処理フローを示す。図13(a)において、まずパケットに含まれるコマンドを参照して、要求パケットか否かを判別する(S30)。
判別の結果、要求パケットである場合には応答の結合処理に移る(S31)。 Next, detailed processing of the protocol analysis processing unit 46 in the processing flow of FIG. 13 will be described.
First, a detailed processing flow when the protocol analysis processing unit 46 performs a request and reply combining process will be described with reference to FIG.
FIG. 13A shows the entire processing flow of request-join processing. In FIG. 13 (a), first, a command included in a packet is referred to and it is determined whether or not it is a request packet (S30).
If it is determined that the packet is a request packet, the process proceeds to a response combining process (S31).

応答の結合処理としては、図13(b)に示すように、要求待ちキューを記憶したメモリを参照して、上記要求パケットに対応する応答があるか否かを判別する(S311)。
判別の結果、対応する応答がある場合には、応答の結合処理を行う(S312)。
また、判別の結果、対応する応答がない場合には、上記要求パケットを応答待ちキューとしてメモリに記憶して(S313)、処理を終了する。
As a response combining process, as shown in FIG. 13B, it is determined whether there is a response corresponding to the request packet with reference to the memory storing the request waiting queue (S311).
As a result of the determination, if there is a corresponding response, a response combining process is performed (S312).
If there is no corresponding response as a result of determination, the request packet is stored in the memory as a response waiting queue (S313), and the process is terminated.

また、上述のS30の処理で要求パケットではないと判別された場合には、パケットに含まれるコマンドを参照して、当該パケットが応答パケットか否か判別する(S32)。
判別の結果、応答パケットでない場合には、ログ取得に関係のないパケットとして廃棄するなどして処理終了する。
また、判別の結果応答パケットであると判別された場合には、要求の結合処理に移る(S33)。 If it is determined that the packet is not a request packet in the above-described processing of S30, it is determined whether or not the packet is a response packet with reference to a command included in the packet (S32).
If the packet is not a response packet as a result of the determination, the process ends by discarding the packet as not related to log acquisition.
If it is determined as a response packet as a result of the determination, the process proceeds to a request combining process (S33).

要求の結合処理としては、図13(c)に示すように、まず応答待ちキューを記憶したメモリを参照して、上記応答パケットに対応する要求があるか否かを判別する(S331)。
判別の結果、対応の要求がある場合には、要求の結合処理を行う(S332)。
また、判別の結果、対応の要求がない場合には、上記応答パケットを要求待ちキューに登録して(S333)、処理を終了する。
As the request combining process, as shown in FIG. 13C, first, it is determined whether or not there is a request corresponding to the response packet by referring to the memory storing the response waiting queue (S331).
As a result of the determination, if there is a corresponding request, a request combining process is performed (S332).
If there is no corresponding request as a result of determination, the response packet is registered in the request waiting queue (S333), and the process is terminated.

次に、プロトコル解析処理部46が、プロトコルシーケンスの解析処理を行う場合の処理について図14を参照して説明する。
図14において、まずクライアント端末3のログインシーケンス処理を行い、どのクライアント端末3がログインしたのかを判別する(S401)。
例えば、AFPのプロトコルでは、ログインは2段階で行われ、使用されるAFPコマンドパケットはFPLoginとFPCountの2種類であるので、このコマンドを受信したか、またそのクライアントは誰かを判別することにより行う。これらはログインシーケンスとして解析して、アクセス記録データベース43に記録される。 Next, processing when the protocol analysis processing unit 46 performs protocol sequence analysis processing will be described with reference to FIG.
In FIG. 14, first, a login sequence process of the client terminal 3 is performed to determine which client terminal 3 has logged in (S401).
For example, in the AFP protocol, login is performed in two stages, and there are two types of AFP command packets, FPLogin and FPCount. Therefore, this command is received and the client is identified by determining who it is. . These are analyzed as a login sequence and recorded in the access record database 43.

ログインシーケンスが完了すると、パケットが保持しているIDと名称の対応付けとを行い、この必要に応じて対応表の更新処理を行う(S402)。
この処理は、図3に示すID対応情報記憶部41を参照して、パケット内のIDに基づいて、実際のサーバ1のファイルシステム内のボリューム、フォルダ、ファイルの名前を特定する処理を行う。
例えば、AFPコマンドFPDeleteでファイルが削除される場合、その対象ファイルは「ボリュームID」、「親フォルダID」、「ファイルID」で与えられる。これらのIDで対応表を引くことにより、サーバ1上のファイルシステムの完全パス名が取得でき、ログにはその完全パス名を記録することができる。
なお、日本語名の表示用に文字コードの変換処理を実施してもよい。 When the login sequence is completed, the ID held in the packet is associated with the name, and the correspondence table is updated as necessary (S402).
This processing refers to the ID correspondence information storage unit 41 shown in FIG. 3 and performs processing for specifying the names of volumes, folders, and files in the actual file system of the server 1 based on the ID in the packet.
For example, when a file is deleted by the AFP command FPDelete, the target file is given by “volume ID”, “parent folder ID”, and “file ID”. By drawing the correspondence table with these IDs, the complete path name of the file system on the server 1 can be acquired, and the complete path name can be recorded in the log.
Note that character code conversion processing may be performed for displaying Japanese names.

最後に、ファイルのアクセス・シーケンス処理を行って(S403)、アクセス解析処理を終了する。
このシーケンス処理では、図4又は図5に示すシーケンス処理情報記憶部42を参照して、パケット中からメソッド一覧にあるコマンドを抽出し、どのメソッドに対応する処理かを特定する。
例えば、AFPにおけるファイルの読み込みであれば、FPOpenFork、FPRead、FPCloseForkのAFPコマンドパッケージシーケンスとなっていれば、このファイルの読み込み処理が行われたことが特定される。
また、あわせパケット内の時間を抽出して、処理が行われた時間を特定する
なお、コマンドとログ記録メソッドの対応表は、プロトコルごとに保持してもよく、SMBの場合には、図5に示すような対応テーブルとして保持しておき、このテーブルを参照して該当するコマンドについてはシーケンス処理を実行する。 Finally, a file access sequence process is performed (S403), and the access analysis process ends.
In this sequence process, the sequence process information storage unit 42 shown in FIG. 4 or 5 is referred to, a command in the method list is extracted from the packet, and a process corresponding to which method is specified.
For example, in the case of reading a file in AFP, if the AFP command package sequence is FPOpenFork, FPRead, or FPCCloseFork, it is specified that this file reading process has been performed.
In addition, the time in the packet is extracted to specify the time at which the process was performed. Note that the correspondence table between the command and the log recording method may be held for each protocol. In the case of SMB, FIG. And a sequence process is executed for the corresponding command with reference to this table.

このように上述の実施形態によれば、サーバ1上でアクセス監視用のプログラムを実行しなくとも、サーバ1とは別装置のアクセスログ取得装置4により、サーバ1への操作ログデータを取得することができるから、サーバ1に負荷を掛けることなくログデータを取得することができ、サーバ1への不正アクセスや、ファイルの作成、変更、削除などのログを取得して監視することができる。
また、サーバ1上でプログラムを実行しないで、別装置のアクセスログ取得装置4によりネットワーク上のパケットを取得して、ログ解析を行うようにしたことから、サーバ1の機種やOSに依存しなくとも、アクセスログ取得装置4側で種々のプロトコルに応じたログ解析を行うことができる。これにより、サーバ1の機種やOSにかかわらず、通信プロトコルが対応できるものであれば操作ログを取得することができる。 As described above, according to the above-described embodiment, the operation log data to the server 1 is acquired by the access log acquisition device 4 that is different from the server 1 without executing the access monitoring program on the server 1. Therefore, log data can be acquired without imposing a load on the server 1, and logs such as unauthorized access to the server 1 and creation, modification, and deletion of files can be acquired and monitored.
In addition, since the program is not executed on the server 1 and a packet on the network is acquired by the access log acquisition device 4 of another device and the log analysis is performed, it does not depend on the model or OS of the server 1. In both cases, log analysis according to various protocols can be performed on the access log acquisition device 4 side. As a result, regardless of the model of the server 1 and the OS, an operation log can be acquired as long as the communication protocol is compatible.

アクセス取得装置4をネットワークに接続するだけで、監視を行うことができるから、サーバ1の設定変更の必要がなく、設定変更の手間を省くことができる。
さらに、取得したログデータは、アクセスログ取得装置4に記録されており、サーバ1にはこれらのデータは存在していないことから、サーバ1への不正アクセスにより、操作ログデータに不正にアクセスされたり、改ざんされたりすることを防止できる。 Since the monitoring can be performed simply by connecting the access acquisition device 4 to the network, there is no need to change the setting of the server 1 and the setting change can be saved.
Furthermore, since the acquired log data is recorded in the access log acquisition device 4 and does not exist in the server 1, the operation log data is illegally accessed by unauthorized access to the server 1. Or being tampered with.

上述の実施形態は一例であって、本発明を逸脱しない範囲で適宜変更等が可能である。   The above-described embodiment is an example, and can be appropriately changed without departing from the present invention.

本発明の一実施形態に係るシステムの全体構成を示した図である。It is a figure showing the whole system composition concerning one embodiment of the present invention. 本実施形態にかかる機能ブロック図。The functional block diagram concerning this embodiment. ID対応情報記憶部に記憶されるデータの一例を示した図。The figure which showed an example of the data memorize | stored in ID corresponding | compatible information storage part. シーケンス処理情報記憶部に記憶されるデータの一例を示した図。The figure which showed an example of the data memorize | stored in a sequence process information storage part. シーケンス処理情報記憶部に記憶されるデータの一例を示した図。The figure which showed an example of the data memorize | stored in a sequence process information storage part. アクセス記録データベースに記憶されるデータの一例を示した図。The figure which showed an example of the data memorize | stored in an access record database. システム全体の処理の流れを示した図。The figure which showed the flow of the process of the whole system. ログデータの表示の一例を示した図。The figure which showed an example of the display of log data. ログデータの表示の別の例を示した図。The figure which showed another example of the display of log data. ログデータの表示のさらに別の例を示した図。The figure which showed another example of the display of log data. 1次フィルタの詳細な処理を示した処理フロー。The processing flow which showed the detailed process of the primary filter. プロトコル解析処理部の処理を示した処理フロー。A processing flow showing processing of the protocol analysis processing unit. 要求−応答結合処理のフローチャート。The flowchart of a request-response combination process. プロトコル解析処理部の詳細な処理フロー。Detailed processing flow of the protocol analysis processing unit.

符号の説明Explanation of symbols

1・・・サーバ、 2・・・スイッチ、 3・・・クライアント端末、4・・・アクセスログ取得装置、41・・・ID対応情報記憶部、42・・・シーケンス処理情報記憶部、43・・・アクセス記録データベース、44・・・ネットワークインタフェース、45・・・1次フィルタ、46・・・プロトコル解析処理部、47・・・データベース登録処理部、48・・・管理画面表示処理部 DESCRIPTION OF SYMBOLS 1 ... Server, 2 ... Switch, 3 ... Client terminal, 4 ... Access log acquisition apparatus, 41 ... ID corresponding | compatible information storage part, 42 ... Sequence processing information storage part, 43. ..Access record database, 44... Network interface, 45... Primary filter, 46... Protocol analysis processing section, 47... Database registration processing section, 48.

Claims (4)

実データと管理データとから成るファイルを複数記憶し、階層構造のファイルシステムを持つファイル管理サーバと、当該ファイル管理サーバとネットワークを介して接続された複数のクライアント端末からなるシステムにおいて、上記ネットワークに接続され、上記ファイル管理サーバに対するクライアント端末からの操作に関するログデータを取得するための装置であって、
上記クライアント端末からファイル管理サーバに対する操作を表すメソッドと、プロトコルの種別に応じて、各メソッドを実行するために必要な特定のコマンド及び特定コマンドの集合体であるコマンドパッケージシーケンスと、対応付けて記憶するメソッド定義記憶手段と、
上記管理データは上記階層構造の階層項目毎に付されるIDを有し、パケットに含まれる当該ID、上記階層構造項目の名称を対応付けて記憶するID対応項目情報記憶手段と、
応答待ち又は要求待ちパケットを一時的に記憶する一時記憶手段と、
上記ファイル管理サーバと上記クラインアント端末との間で送受信されるパケットを取得するパケット取得処理手段と、
上記取得したパケットのデータから通信プロトコルを判別して、一定サイズ以上のパケットを廃棄し、更に、断片化されたパケット、ネットワークのコントロールパケット、プロトコルにおける不用コマンドのパケットを廃棄すると共に、予め決められたプロトコルに該当するパケットを選択するフィルタリング処理手段と、
上記フィルタリングされたパケットの中から、パケットに含まれるコマンドから要求パケット又は応答パケットかを判別して上記一時記憶手段に記憶し、上記一時記憶手段に記憶された要求パケット又は応答パケットの中から、上記応答待ち又は要求待ちパケットに対応するコマンドを含むパケットがあるか否か判別し、対応するコマンドが存在するときに要求パケットに対する応答パケットの結合処理又は応答パケットに対する要求パケットの結合処理を行う要求応答結合手段と、
上記結合したパケットの中から、パケット内に格納される、上記クライアント端末と上記ファイル管理サーバ内の階層項目との間でのセッション確立からセッション解放まで付される固有識別子を参照し、参照済み固有識別子を有するパケットがあるか否かを判別するシーケンスパケット解析手段と、
上記判別されたパケット内を参照し、どのクライアントがログインをしたのかを特定するクライアント特定手段と、
上記特定されたパケット内に格納されている上記階層項目毎に付されるIDを参照し、上記ID対応項目情報記憶手段を参照して、ファイル管理サーバ上での対応する階層項目を特定するID対応項目特定手段と、
上記要求応答結合手段により完結したコマンド、又は、上記シーケンスパケット解析手段により完結したコマンドパッケージシーケンスに基づき、上記メソッド定義記憶手段を参照して、当該コマンド又はコマンドパッケージシーケンスに該当するメソッドを特定するメソッド特定手段と、
少なくとも、上記メソッドが発生した日時、上記クライアントを特定する情報、上記解析されたメソッドを含む情報、上記階層項目をログデータとして記憶する解析結果記憶手段と、
上記解析結果記憶手段に記憶されている上記ログデータに基づいて、出力データを生成して、出力する出力手段と、
を有することを特徴とするサーバの操作情報取得装置。 In a system comprising a file management server having a hierarchical file system and a plurality of client terminals connected to the file management server via a network, storing a plurality of files consisting of actual data and management data. An apparatus for connecting and acquiring log data related to an operation from a client terminal for the file management server,
And methods that represent the operation on the file management server from said client terminal, according to the type of protocol, in association with a command package sequence is a set of specific commands and specific commands required to perform each method A method definition storage means for storing;
Said management data includes an ID that is assigned to each hierarchy items above hierarchical structure, and the ID included in the packet, the ID corresponding item information store means corresponding with and stores the name of the hierarchical structure fields,
A temporary storage means for temporarily storing a response waiting packet or a request waiting packet ;
Packet acquisition processing means for acquiring packets transmitted and received between the file management server and the client terminal;
The communication protocol is determined from the acquired packet data, a packet of a certain size or more is discarded, and further, fragmented packets, network control packets, unnecessary command packets in the protocol are discarded, Filtering processing means for selecting packets corresponding to the selected protocol;
From the filtered packet, it is determined whether it is a request packet or a response packet from a command included in the packet, and is stored in the temporary storage unit. From the request packet or the response packet stored in the temporary storage unit, determine whether there is a packet including a command corresponding to the response-waiting or request packets waiting, the request to perform the binding processing of the request packet to the binding process or the response packet of the response packet to the request packet when the corresponding command exists A response coupling means;
From the combined packet, refer to the unique identifier that is stored in the packet and that is assigned from session establishment to session release between the client terminal and the hierarchical item in the file management server. Sequence packet analyzing means for determining whether or not there is a packet having an identifier;
Client identification means for referring to the determined packet and identifying which client has logged in;
An ID for identifying the corresponding hierarchical item on the file management server by referring to the ID assigned to each hierarchical item stored in the specified packet, referring to the ID corresponding item information storage means Corresponding item identification means,
A method for identifying a method corresponding to the command or command package sequence by referring to the method definition storage unit based on the command completed by the request / response combining unit or the command package sequence completed by the sequence packet analyzing unit Specific means,
At least the date and time when the method occurred, information identifying the client, information including the analyzed method, analysis result storage means for storing the hierarchical items as log data,
Output means for generating and outputting output data based on the log data stored in the analysis result storage means;
A server operation information acquisition apparatus characterized by comprising: 上記ID対応項目特定手段は、IDと階層項目名の情報を含むパケットが到着するごとに、上記ID対応項目情報記憶手段に記憶されている当該ID及び階層項目名に対応したデータを更新する、
請求項1記載のサーバの操作情報取得装置。 The ID corresponding item specifying means updates the data corresponding to the ID and the hierarchical item name stored in the ID corresponding item information storing means every time a packet including ID and hierarchical item name information arrives.
The server operation information acquisition apparatus according to claim 1. 実データと管理データとから成るファイルを複数記憶し、階層構造のファイルシステムを持つファイル管理サーバと、当該ファイル管理サーバとネットワークを介して接続された複数のクライアント端末からなるシステムにおいて、上記ネットワークに接続され、上記クライアント端末からファイル管理サーバに対する操作を表すメソッドと、プロトコルの種別に応じて、各メソッドを実行するために必要な特定のコマンド及び特定コマンドの集合体であるコマンドパッケージシーケンスと、対応付けて記憶するメソッド定義記憶手段と、上記管理データは上記階層構造の階層項目毎に付されるIDを有し、パケットに含まれる当該ID、上記階層構造項目の名称を対応付けて記憶するID対応項目情報記憶手段と、応答待ち又は要求待ちパケットを一時的に記憶する一時記憶手段と、を有する装置により行われる方法であって、
上記ファイル管理サーバと上記クラインアント端末との間で送受信されるパケットを取得する処理と、
上記取得したパケットのデータから通信プロトコルを判別して、一定サイズ以上のパケットを廃棄し、更に、断片化されたパケット、ネットワークのコントロールパケット、プロトコルにおける不用コマンドのパケットを廃棄すると共に、予め決められたプロトコルに該当するパケットを選択する処理と、
上記フィルタリングされたパケットの中から、パケットに含まれるコマンドから要求パケット又は応答パケットかを判別して上記一時記憶手段に記憶し、上記一時記憶手段に記憶された要求パケット又は応答パケットの中から、上記応答待ち又は要求待ちパケットに対応するコマンドを含むパケットがあるか否か判別し、対応するコマンドが存在するときに要求パケットに対する応答パケットの結合処理又は応答パケットに対する要求パケットの結合を行う処理と、
上記結合したパケットの中から、パケット内に格納される、上記クライアント端末と上記ファイル管理サーバ内の階層項目との間でのセッション確立からセッション解放まで付される固有識別子を参照し、参照済み固有識別子を有するパケットがあるか否かを判別する処理と、
上記判別されたパケット内を参照し、どのクライアントがログインをしたのかを特定する処理と、
上記特定されたパケット内に格納されている上記階層項目毎に付されるIDを参照し、上記ID対応項目情報記憶手段を参照して、ファイル管理サーバ上での対応する階層項目を特定する処理と、
上記要求応答結合手段により完結したコマンド、又は、上記シーケンスパケット解析手段により完結したコマンドパッケージシーケンスに基づき、上記メソッド定義記憶手段を参照して、当該コマンド又はコマンドパッケージシーケンスに該当するメソッドを特定する処理と、
少なくとも、上記メソッドが発生した日時、上記クライアントを特定する情報、上記解析されたメソッドを含む情報、上記階層項目をログデータとして記憶する処理と、
上記記憶されている上記ログデータに基づいて、出力データを生成して、出力する処理と、
を有することを特徴とするサーバの操作情報取得方法。 In a system comprising a file management server having a hierarchical file system and a plurality of client terminals connected to the file management server via a network, storing a plurality of files consisting of actual data and management data. are connected, and methods that represent an operation on the file management server from said client terminal, according to the type of protocol, a command package sequence is a set of specific commands and specific commands required to perform the respective method, the a method definition storage means for association with each other, the management data includes an ID that is assigned to each hierarchy items above hierarchical structure, and the ID included in the packet, in association with the name of the hierarchy item storage and ID corresponding item information storage means for, response-waiting or requests waiting A temporary storage means for temporarily storing packets, a method performed by a device having,
A process of acquiring packets transmitted and received between the file management server and the client terminal;
The communication protocol is determined from the acquired packet data, a packet of a certain size or more is discarded, and further, fragmented packets, network control packets, unnecessary command packets in the protocol are discarded, Process to select the packet corresponding to the selected protocol,
From the filtered packet, it is determined whether it is a request packet or a response packet from a command included in the packet, and is stored in the temporary storage unit. From the request packet or the response packet stored in the temporary storage unit, Determining whether or not there is a packet including a command corresponding to the response waiting or request waiting packet, and processing for combining the response packet with the request packet or combining the request packet with the response packet when the corresponding command exists ,
From the combined packet, refer to the unique identifier that is stored in the packet and that is assigned from session establishment to session release between the client terminal and the hierarchical item in the file management server. Processing to determine whether there is a packet having an identifier;
A process of referring to the determined packet and identifying which client has logged in,
A process of referring to the ID assigned to each hierarchy item stored in the specified packet and specifying the corresponding hierarchy item on the file management server with reference to the ID corresponding item information storage means When,
Processing for identifying a method corresponding to the command or command package sequence by referring to the method definition storage unit based on the command completed by the request / response combining unit or the command package sequence completed by the sequence packet analyzing unit When,
At least the date and time when the method occurred, information for identifying the client, information including the analyzed method, and processing for storing the hierarchical items as log data;
A process of generating and outputting output data based on the stored log data;
A server operation information acquisition method characterized by comprising: 実データと管理データとから成るファイルを複数記憶し、階層構造のファイルシステムを持つファイル管理サーバと、当該ファイル管理サーバとネットワークを介して接続された複数のクライアント端末からなるシステムにおいて、上記ネットワークに接続され、上記クライアント端末からファイル管理サーバに対する操作を表すメソッドと、プロトコルの種別に応じて、各メソッドを実行するために必要な特定のコマンド及び特定コマンドの集合体であるコマンドパッケージシーケンスと、対応付けて記憶するメソッド定義記憶手段と、上記管理データは上記階層構造の階層項目毎に付されるIDを有し、パケットに含まれる当該ID、上記階層構造項目の名称を対応付けて記憶するID対応項目情報記憶手段と、応答待ち又は要求待ちパケットを一時的に記憶する一時記憶手段と、とを有するコンピュータを操作情報取得装置として機能させるためのコンピュータプログラムであって、
上記コンピュータに対して、
上記ファイル管理サーバと上記クラインアント端末との間で送受信されるパケットを取得する処理と、
上記取得したパケットのデータから通信プロトコルを判別して、一定サイズ以上のパケットを廃棄し、更に、断片化されたパケット、ネットワークのコントロールパケット、プロトコルにおける不用コマンドのパケットを廃棄すると共に、予め決められたプロトコルに該当するパケットを選択する処理と、
上記フィルタリングされたパケットの中から、パケットに含まれるコマンドから要求パケット又は応答パケットかを判別して上記一時記憶手段に記憶し、上記一時記憶手段に記憶された要求パケット又は応答パケットの中から、上記応答待ち又は要求待ちパケットに対応するコマンドを含むパケットがあるか否か判別し、対応するコマンドが存在するときに要求パケットに対する応答パケットの結合処理又は応答パケットに対する要求パケットの結合を行う処理と、
上記結合したパケットの中から、パケット内に格納される、上記クライアント端末と上記ファイル管理サーバ内の階層項目との間でのセッション確立からセッション解放まで付される固有識別子を参照し、参照済み固有識別子を有するパケットがあるか否かを判別する処理と、
上記判別されたパケット内を参照し、どのクライアントがログインをしたのかを特定する処理と、
上記特定されたパケット内に格納されている上記階層項目毎に付されるIDを参照し、上記ID対応項目情報記憶手段を参照して、ファイル管理サーバ上での対応する階層項目を特定する処理と、
上記要求応答結合手段により完結したコマンド、又は、上記シーケンスパケット解析手段により完結したコマンドパッケージシーケンスに基づき、上記メソッド定義記憶手段を参照して、当該コマンド又はコマンドパッケージシーケンスに該当するメソッドを特定する処理と、
少なくとも、上記メソッドが発生した日時、上記クライアントを特定する情報、上記解析されたメソッドを含む情報、上記階層項目をログデータとして記憶する処理と、
上記記憶されている上記ログデータに基づいて、出力データを生成して、出力する処理と、
を実行させるコンピュータプログラム。
 In a system comprising a file management server having a hierarchical file system and a plurality of client terminals connected to the file management server via a network, storing a plurality of files consisting of actual data and management data. are connected, a method represented by the operations on the file management server from said client terminal, according to the type of protocol, a command package sequence is a set of specific commands and specific commands required to perform the respective method, the a method definition storage means for association with each other, the management data includes an ID that is assigned to each hierarchy items above hierarchical structure, and the ID included in the packet, in association with the name of the hierarchy item storage and ID corresponding item information storage means for, response-waiting or requests waiting A temporary storage means for temporarily storing packets, a computer program for functioning as an operation information acquisition apparatus a computer having a city,
For the above computer
A process of acquiring packets transmitted and received between the file management server and the client terminal;
The communication protocol is determined from the acquired packet data, a packet of a certain size or more is discarded, and further, fragmented packets, network control packets, unnecessary command packets in the protocol are discarded, Process to select the packet corresponding to the selected protocol,
From the filtered packet, it is determined whether it is a request packet or a response packet from a command included in the packet, and is stored in the temporary storage unit. From the request packet or the response packet stored in the temporary storage unit, Determining whether or not there is a packet including a command corresponding to the response waiting or request waiting packet, and processing for combining the response packet with the request packet or combining the request packet with the response packet when the corresponding command exists ,
From the combined packet, refer to the unique identifier that is stored in the packet and that is assigned from session establishment to session release between the client terminal and the hierarchical item in the file management server. Processing to determine whether there is a packet having an identifier;
A process of referring to the determined packet and identifying which client has logged in,
A process of referring to the ID assigned to each hierarchy item stored in the specified packet and specifying the corresponding hierarchy item on the file management server with reference to the ID corresponding item information storage means When,
Processing for identifying a method corresponding to the command or command package sequence by referring to the method definition storage unit based on the command completed by the request / response combining unit or the command package sequence completed by the sequence packet analyzing unit When,
At least the date and time when the method occurred, information for identifying the client, information including the analyzed method, and processing for storing the hierarchical items as log data;
A process of generating and outputting output data based on the stored log data;
A computer program that executes
JP2006102145A 2006-04-03 2006-04-03 Server operation information acquisition apparatus, method, and computer program Active JP4100638B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006102145A JP4100638B2 (en) 2006-04-03 2006-04-03 Server operation information acquisition apparatus, method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006102145A JP4100638B2 (en) 2006-04-03 2006-04-03 Server operation information acquisition apparatus, method, and computer program

Publications (2)

Publication Number Publication Date
JP2007279835A JP2007279835A (en) 2007-10-25
JP4100638B2 true JP4100638B2 (en) 2008-06-11

Family

ID=38681246

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006102145A Active JP4100638B2 (en) 2006-04-03 2006-04-03 Server operation information acquisition apparatus, method, and computer program

Country Status (1)

Country Link
JP (1) JP4100638B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009044460A1 (en) * 2007-10-03 2009-04-09 Intelligentworks Co., Ltd. Server operation information acquisition device, method, and computer program
JP5163179B2 (en) * 2008-02-25 2013-03-13 株式会社リコー Information processing apparatus, information processing method, and program
JP5139849B2 (en) * 2008-03-14 2013-02-06 順子 杉中 Information processing device, information processing control method, and information processing device control program
JP5513046B2 (en) * 2009-09-15 2014-06-04 株式会社Nttドコモ Information processing apparatus and information processing method
JP5350410B2 (en) * 2011-01-14 2013-11-27 日本電信電話株式会社 Log management system, log management method, log management apparatus, and log management program
JP5774445B2 (en) * 2011-10-27 2015-09-09 Kddi株式会社 Business log extraction device
JP5565511B1 (en) * 2013-08-09 2014-08-06 富士ゼロックス株式会社 Information processing system and information processing program
JP6014580B2 (en) * 2013-12-25 2016-10-25 エヌ・ティ・ティ・コムウェア株式会社 Load distribution apparatus, load distribution method, and load distribution program
JP6280018B2 (en) * 2014-10-21 2018-02-14 日本電信電話株式会社 Rule deviation application discovery apparatus, rule deviation application discovery system, and rule deviation application discovery method
KR102157747B1 (en) * 2019-03-22 2020-09-18 국중교 An apparatus for generating access and control history of personal video information and method thereof

Also Published As

Publication number Publication date
JP2007279835A (en) 2007-10-25

Similar Documents

Publication Publication Date Title
JP4100638B2 (en) Server operation information acquisition apparatus, method, and computer program
JP4345313B2 (en) Operation management method of storage system based on policy
TWI434190B (en) Storing log data efficiently while supporting querying to assist in computer network security
JP6000567B2 (en) Image forming apparatus, image forming apparatus control method, and program
CN104717085B (en) A kind of daily record analysis method and device
CN107066457B (en) user information view construction method and system
JP2009017298A (en) Data analysis apparatus
CN107786551B (en) Method for accessing intranet server and device for controlling access to intranet server
KR101503701B1 (en) Method and Apparatus for Protecting Information Based on Big Data
CN113382019B (en) Flow data processing method
CN111314164A (en) Network flow restoration method and device and computer readable storage medium
WO2013145125A1 (en) Computer system and security management method
US9230004B2 (en) Data processing method, system, and computer program product
KR101078375B1 (en) System for tracing user activity using operating system and method thereof
CN102271331B (en) Method and system for detecting reliability of service provider (SP) site
CN108073720A (en) Data quality management system and method applied to big data system
CN106326280B (en) Data processing method, device and system
JP6285371B2 (en) Business specification reproduction system, business specification reproduction method
WO2009044460A9 (en) Server operation information acquisition device, method, and computer program
JP2008258846A (en) Ethernet switch and remote capture system
JP6576160B2 (en) Management system, management system control method, and program
CN108369236A (en) Analytical equipment data processing system and analytical equipment data processor
WO2016103422A1 (en) Cloud-configuration storage system, cloud-configuration storage method, and cloud-configuration storage program
JP2007200047A (en) Access log-displaying system and method
CN105607983B (en) Data exception monitoring method and device

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080312

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080314

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110328

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4100638

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110328

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120328

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130328

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140328

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250