JP4420804B2 - Log income management system, method, and program - Google Patents

Log income management system, method, and program Download PDF

Info

Publication number
JP4420804B2
JP4420804B2 JP2004355626A JP2004355626A JP4420804B2 JP 4420804 B2 JP4420804 B2 JP 4420804B2 JP 2004355626 A JP2004355626 A JP 2004355626A JP 2004355626 A JP2004355626 A JP 2004355626A JP 4420804 B2 JP4420804 B2 JP 4420804B2
Authority
JP
Japan
Prior art keywords
log
condition
log generation
database
exclusion condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004355626A
Other languages
Japanese (ja)
Other versions
JP2006163931A (en
Inventor
信雄 出沢
淳紀 東川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2004355626A priority Critical patent/JP4420804B2/en
Publication of JP2006163931A publication Critical patent/JP2006163931A/en
Application granted granted Critical
Publication of JP4420804B2 publication Critical patent/JP4420804B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

この発明は、ログの収集において、取得するログを削減するためにログ生成除外条件を設定・管理するログ取得管理システム等に関する。   The present invention relates to a log acquisition management system for setting and managing log generation exclusion conditions in order to reduce logs to be acquired in log collection.

従来、クライアントサーバシステムにおいて、システム障害や、データの改竄、漏洩等の不正が発生した場合、その原因等を調査する方法として、システムを構成するコンピュータで生成されたログを集約し、集約したログを用いて原因を解明する方法がある。しかし、上記方法では、原因解明に必要な情報が集約したログのうちの少数だとしても、原因解明に必要のないログを含む膨大なログを記録しなければならず、非効率的であった。このような問題の対策として、原因解明に不要と判断されたログについてはフィルタリングを行うことで記録しないという方法がある。   Conventionally, in a client-server system, when a system failure or fraud such as data falsification or leakage occurs, the logs generated by the computers that make up the system are aggregated as a method for investigating the cause. There is a method to elucidate the cause using. However, the above method is inefficient because a large number of logs including logs that are not necessary for the cause elucidation must be recorded even if the information necessary for the cause elucidation is a small number of logs. . As a countermeasure for such a problem, there is a method in which a log judged to be unnecessary for the cause elucidation is not recorded by filtering.

例えば、アクセスログから不当アクセスを検出する際に、全てのアクセスログを解析対象とするのではなく、予め設定した不当アクセス対象外リストに合致しないもののみを解析対象として抽出するようなシステムもある(特許文献1)。
特開2003−280945号公報(第4頁、第3図) For example, when detecting illegal access from the access log, there is a system in which not all access logs are subject to analysis, but only those that do not match a preset illegal access exclusion list are extracted as analysis subjects. (Patent Document 1).
JP 2003-280945 A (page 4, FIG. 3)

しかし、上記のようなシステムでは、フィルタリング条件の追加設定は手動で可能であるものの、設定したフィルタリング条件の有効性を判断し、設定内容を調整することは不可能である。上記のようなフィルタリング条件は、設定時は適正であっても、アクセス状況やイベント発生状況等の変化によりその後不適正なものとなることも多い。このため、より正確なログ解析結果を得るためには、ログの生成に関する条件はアクセス状況やイベント発生状況等に応じて適宜調整されることが望ましい。   However, in the system as described above, although additional setting of the filtering condition can be manually performed, it is impossible to determine the effectiveness of the set filtering condition and adjust the setting content. Although the filtering conditions as described above are appropriate at the time of setting, they are often inappropriate after the change due to changes in the access status, event occurrence status, and the like. For this reason, in order to obtain a more accurate log analysis result, it is desirable to appropriately adjust the conditions regarding log generation according to the access status, event occurrence status, and the like.

本発明は、上記実状に鑑みてなされたものであり、効率的且つ効果的に必要なログを取得することができるログ取得管理システム及び方法を提供することを目的とする。
また、本発明は、状況に応じてログの生成に関する条件を自動的に調整することができるログ取得管理システム及び方法を提供することを他の目的とする。
また、本発明は、設定されたログの生成に関する条件の適正性を判定し、判定結果に基づいてログの生成に関する条件を調整することができるログ取得管理システム及び方法を提供することを他の目的とする。 The present invention has been made in view of the above circumstances, and an object thereof is to provide a log acquisition management system and method capable of acquiring necessary logs efficiently and effectively.
Another object of the present invention is to provide a log acquisition management system and method that can automatically adjust conditions related to log generation according to the situation.
The present invention also provides a log acquisition management system and method that can determine the appropriateness of conditions related to log generation that have been set, and that can adjust the conditions related to log generation based on the determination result. Objective.

上記目的を達成するため、この発明の第1の観点に係るログ取得管理システムは、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、且つ、当該ログ生成除外条件データの使用回数を更新し、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データのうち、前記使用回数が所定の条件を満たしたログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備えることを特徴とする。 In order to achieve the above object, a log acquisition management system according to the first aspect of the present invention provides:
In response to the occurrence of the event, a determination means for determining whether the event corresponds to any of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, the log corresponding to the event is not generated and the number of times the log generation exclusion condition data is used A log generation means for updating and generating a log corresponding to the event and storing it in the log database when it is determined that the event does not correspond to any of the log generation exclusion condition data stored in the condition database; ,
Among the log generation exclusion condition data stored in the condition database, the condition deletion unit operable number of uses the log generation exclusion condition data satisfies a predetermined condition, to remove from the condition database,
It is characterized by providing.

上記目的を達成するため、この発明の第2の観点に係るログ取得管理システムは、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備え、
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データが所定の条件を満たすログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とする。 In order to achieve the above object, a log acquisition management system according to the second aspect of the present invention provides:
In response to the occurrence of the event, a determination means for determining whether the event corresponds to any of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, a log corresponding to the event is not generated, and the event is stored in the condition database Log generation means for generating a log corresponding to the event and storing it in the log database when it is determined that none of the generation exclusion condition data corresponds to;
A condition for determining whether or not each log generation exclusion condition data stored in the condition database is appropriate and detecting inappropriate log generation exclusion condition data, and deleting the log generation exclusion condition data from the condition database Delete means,
With
When it is determined by the determination means that the event corresponds to any of the log generation exclusion condition data stored in the condition database, in the usage situation database in which the usage count data of each log generation exclusion condition data is stored further example Bei means for updating the value of the usage count data of the determined log generating exclusion condition data and the event is applicable,
The condition deletion means detects log generation exclusion condition data in which the usage count data of each log generation exclusion condition data stored in the usage status database satisfies a predetermined condition, and the detected log generation exclusion condition data is rejected. it is determined that the appropriate log generation exclusion conditions,
It is characterized by that.

上記目的を達成するため、この発明の第3の観点に係るログ取得管理システムは、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備え、
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが所定時間毎に記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データに基づいて、使用回数の変化量が所定の基準を超えるログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とする。 In order to achieve the above object, a log acquisition management system according to the third aspect of the present invention provides:
In response to the occurrence of the event, a determination means for determining whether the event corresponds to any of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, a log corresponding to the event is not generated, and the event is stored in the condition database Log generation means for generating a log corresponding to the event and storing it in the log database when it is determined that none of the generation exclusion condition data corresponds to;
A condition for determining whether or not each log generation exclusion condition data stored in the condition database is appropriate and detecting inappropriate log generation exclusion condition data, and deleting the log generation exclusion condition data from the condition database Delete means,
With
When it is determined by the determination means that the event corresponds to any of the log generation exclusion condition data stored in the condition database, the usage count data of each log generation exclusion condition data is stored every predetermined time. in context base further example Bei means for updating the value of the usage count data of the determined log generating exclusion condition data and the event is applicable,
The condition deletion means detects log generation exclusion condition data in which the amount of change in the number of use exceeds a predetermined criterion based on the use count data of each log generation exclusion condition data stored in the usage situation database, the detected log generated exclusion condition data determined inappropriate log generation exclusion conditions,
It is characterized by that.

前記ログデータベースに記憶されているログについて、ログを構成する項目のうち出現度の高いデータ値を有する項目の組み合わせを特定する手段と、
前記特定した項目の組み合わせに基づいて、ログ生成除外条件データを生成する手段と、
前記生成されたログ生成除外条件データを、前記条件データベースに追加登録する手段と、
をさらに備えてもよい。 For the log stored in the log database, means for specifying a combination of items having a data value having a high appearance degree among items constituting the log;
Means for generating log generation exclusion condition data based on the identified combination of items;
Means for additionally registering the generated log generation exclusion condition data in the condition database;
May be further provided.

また、この発明の第の観点に係るログ取得管理方法は、
判別手段が、イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別ステップと、
ログ生成手段が、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、且つ、当該ログ生成除外条件データの使用回数を更新し、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成ステップと、
条件削除手段が、前記条件データベースに記憶されている各ログ生成除外条件データのうち、前記使用回数が所定の条件を満たしたログ生成除外条件データを、前記条件データベースから削除する条件削除ステップと、
を備えることを特徴とする。
また、この発明の第5の観点に係るプログラムは、
コンピュータを、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、且つ、当該ログ生成除外条件データの使用回数を更新し、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段、
前記条件データベースに記憶されている各ログ生成除外条件データのうち、前記使用回数が所定の条件を満たしたログ生成除外条件データを、前記条件データベースから削除する条件削除手段、
として機能させることを特徴とする。 Moreover, the log acquisition management method according to the fourth aspect of the present invention is:
A determination step of determining whether the event corresponds to any of log generation exclusion condition data indicating an exclusion condition of log generation stored in the condition database in response to the occurrence of the event;
When it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database , the log generation unit does not generate a log corresponding to the event, and the log generation exclusion condition Update the number of times the data is used, and if it is determined that the event does not correspond to any of the log generation exclusion condition data stored in the condition database, a log corresponding to the event is generated and stored in the log database Log generation step to
A condition deleting step for deleting, from the condition database, log generation exclusion condition data in which the number of uses satisfies a predetermined condition among the log generation exclusion condition data stored in the condition database;
It is characterized by providing.
A program according to the fifth aspect of the present invention is
Computer
A determination means for determining whether the event corresponds to any one of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database in response to the occurrence of the event;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, the log corresponding to the event is not generated and the number of times the log generation exclusion condition data is used A log generation means for updating and generating a log corresponding to the event and storing it in the log database when it is determined that the event does not correspond to any of the log generation exclusion condition data stored in the condition database;
Condition deletion means for deleting from the condition database log generation exclusion condition data in which the number of uses satisfies a predetermined condition among the log generation exclusion condition data stored in the condition database;
It is made to function as.

効率的且つ効果的に必要なログを取得することができる。   Necessary logs can be acquired efficiently and effectively.

以下、本発明の実施の形態に係るログ取得管理システムについて図面を参照して説明する。
本実施形態に係るログ取得管理システム1のハードウェア構成図を図1に、機能構成図を図2に例示する。
ログ取得管理システム1は、制御部11と、記憶部12と、通信制御部13と、を備えるコンピュータから構成される。ログ取得管理システム1は、ネットワーク10を介して他のコンピュータと接続可能に構成される。ネットワーク10は、例えば、LAN、インターネット等の各種ネットワークを含む。 Hereinafter, a log acquisition management system according to an embodiment of the present invention will be described with reference to the drawings.
A hardware configuration diagram of a log acquisition management system 1 according to the present embodiment is illustrated in FIG. 1, and a functional configuration diagram is illustrated in FIG.
The log acquisition management system 1 includes a computer that includes a control unit 11, a storage unit 12, and a communication control unit 13. The log acquisition management system 1 is configured to be connectable to another computer via the network 10. The network 10 includes various networks such as a LAN and the Internet.

制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成され、記憶部12に予め記憶された動作プログラム等を読み出して実行することにより、ログ生成部21、ログ生成除外条件解析部22、ログ解析部23、ログ生成除外条件管理部24等を論理的に実現する。   The control unit 11 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like, and reads and executes an operation program or the like stored in advance in the storage unit 12 to execute a log. The generation unit 21, the log generation exclusion condition analysis unit 22, the log analysis unit 23, the log generation exclusion condition management unit 24, and the like are logically realized.

ログ生成部21は、ログ取得対象のコンピュータシステムにおけるイベントの発生等に応答して、記憶部12のログ生成除外条件DB(データベース)31に記憶されているログ生成除外条件データに基づいて、ログを生成するかどうかを判別する。ログ生成除外条件データは、ログを生成しない条件(ルール)を示すものであり、例えば図3に示すように、条件IDと、各種項目(IPアドレス、ID、時間、実行コマンド等)と、のデータを含む。ログ生成部21は、発生したイベントがログ生成除外条件DB31に登録されているログ生成除外条件のいずれかに該当する場合にログを生成せず、また、イベントがいずれのログ生成除外条件にも該当しない場合にはイベントに対応するログを生成して、記憶部12のログDB32に記録する。   In response to the occurrence of an event in the log acquisition target computer system, the log generation unit 21 performs log processing based on the log generation exclusion condition data stored in the log generation exclusion condition DB (database) 31 of the storage unit 12. Determine whether to generate. The log generation exclusion condition data indicates a condition (rule) for not generating a log. For example, as shown in FIG. 3, the condition ID and various items (IP address, ID, time, execution command, etc.) Contains data. The log generation unit 21 does not generate a log when the generated event corresponds to any of the log generation exclusion conditions registered in the log generation exclusion condition DB 31, and the event is not included in any log generation exclusion condition. If not applicable, a log corresponding to the event is generated and recorded in the log DB 32 of the storage unit 12.

また、ログ生成部21は、ログ生成除外条件DB31に登録されている各ログ生成除外条件データの使用回数を所定時間毎に計数する。具体的には、あるログ生成除外条件に基づいてログを生成しないと判別した場合、記憶部12の条件使用状況DB33に記憶されている各ログ生成除外条件の使用回数データのうち、当該判別に使用したログ生成除外条件に対応する使用回数データを特定し、例えばイベントに含まれている時間データに対応する使用回数の値に1だけ加算して更新する。条件使用状況DB33に記憶されている使用回数データは、例えば図4に示すように、ログ生成除外条件を特定する条件ID、使用回数等のデータから構成され、各ログ生成除外条件の使用回数を所定の時間帯毎(例えば、数時間毎、日毎、週毎等)に示す。   Further, the log generation unit 21 counts the number of times each log generation exclusion condition data registered in the log generation exclusion condition DB 31 is used every predetermined time. Specifically, when it is determined that a log is not generated based on a certain log generation exclusion condition, among the usage count data of each log generation exclusion condition stored in the condition usage status DB 33 of the storage unit 12, The number-of-uses data corresponding to the used log generation exclusion condition is specified, and for example, 1 is added to the value of the number of times of use corresponding to the time data included in the event and updated. The usage count data stored in the condition usage status DB 33 includes, for example, data such as a condition ID for specifying a log generation exclusion condition and a usage count, as shown in FIG. It is shown every predetermined time zone (for example, every several hours, every day, every week, etc.).

ログ生成除外条件解析部22は、条件使用状況DB33を参照して、ログ生成除外条件DB31に登録されているログ生成除外条件の適正性について解析し、不適正であると判定した条件については、ログ生成除外条件管理部24にその条件ID等を削除要求とともに受け渡す。ログ生成除外条件の適正性の解析では、使用回数に著しい変化があったログ生成除外条件、即ち、使用回数の変化量が一定の基準を超えたログ生成除外条件を不適正なログ生成除外条件と判断する。具体的な判断方法は任意である。例えば、条件使用状況DB33に記憶されている使用回数データを用いて、使用回数の平均値をログ生成除外条件毎に算出し、各ログ生成除外条件について、各時間の使用回数と、先に算出した使用回数の平均値と、の差を求め、差が予め設定された閾値(例えば、100等)以下であれば適正なログ生成除外条件と判定し、その差が閾値より大きい場合には不適正なログ生成除外条件と判定してもよい。例えば、図4に示す使用回数データを例に説明すると、例えば条件ID”00002”について、時期”2004/10/10”の使用回数が”2”と設定されている。この条件ID”00002”のログ生成除外条件の使用回数の平均値が”150”であり、予め設定されている閾値が”100”である場合、時期”2004/10/10”の使用回数”2”と平均値”150”の差が、閾値”100”より大きいため、条件ID”00002”のログ生成除外条件は不適正であると判定される。
また、不適正とする条件は、上記のものに限るものではなく、条件使用状況DB33における使用回数が所定の条件を満たした場合に不適正なログ生成除外条件であるとする範囲において、任意の方法を用いることができる。 The log generation exclusion condition analysis unit 22 refers to the condition usage situation DB 33, analyzes the appropriateness of the log generation exclusion condition registered in the log generation exclusion condition DB31, and for the condition determined to be inappropriate, The condition ID and the like are delivered to the log generation exclusion condition management unit 24 together with the deletion request. In the analysis of the appropriateness of the log generation exclusion condition, the log generation exclusion condition in which the number of times of use has changed significantly, that is, the log generation exclusion condition in which the amount of change in the usage count exceeds a certain standard is inappropriate. Judge. A specific determination method is arbitrary. For example, using the usage count data stored in the condition usage status DB 33, the average value of the usage count is calculated for each log generation exclusion condition, and for each log generation exclusion condition, the usage count for each time is calculated first. If the difference is less than or equal to a preset threshold value (for example, 100), it is determined as an appropriate log generation exclusion condition. You may determine with appropriate log production | generation exclusion conditions. For example, using the usage count data shown in FIG. 4 as an example, for the condition ID “00002”, the usage count of the time “2004/10/10” is set to “2”. When the average value of the number of times of use of the log generation exclusion condition with the condition ID “00002” is “150” and the preset threshold value is “100”, the number of times of use of the time “2004/10/10” Since the difference between 2 ”and the average value“ 150 ”is larger than the threshold value“ 100 ”, it is determined that the log generation exclusion condition with the condition ID“ 00002 ”is inappropriate.
In addition, the condition to be inappropriate is not limited to the above, and any condition may be used as long as it is an inappropriate log generation exclusion condition when the number of uses in the condition usage status DB 33 satisfies a predetermined condition. The method can be used.

ログ解析部23は、ログ生成部21により生成されたログをログDB32から読み出し、読み出したログを用いて、ログを構成する項目の組み合わせのうち出現度の高い組み合わせ(相関ルール)を生成し、生成日時のデータとともに記憶部12に記憶する。具体的には、記憶部12に設定されている所定の抽出ルールを用いて、ログDB32から読み出したログから、IPアドレス、ID、時間、実行コマンド等の所定項目について情報を抽出し、抽出した情報をログ解析情報として記憶部12に一時的に記憶する。抽出ルールは、各種ログにおけるIPアドレス、ID、時間、実行コマンド等の各項目の情報の位置を示すものであり、例えば、アクセスログ、ログインログ、イベントログ、アプリケーションログ等の各種ログの書式に基づいてログの種別毎に予め生成・記憶される。そして、各ログから生成されたログ解析情報について、ID、対象ファイル、実行コマンド等の各項目ごとに各データの構成比率等を算出する。なお、算出対象項目に時間を含める場合には、例えば、時間帯(XX時台)毎の構成比率を算出してもよい。そして、最も高い構成比率を有する項目を第1の項目として特定し、第1の項目について構成比率が最も高いデータ値が設定されているログ解析情報を抽出する。そして、抽出したログ解析情報について、各項目ごとに各データの構成比率等を算出し、第1の項目の次に、最も高い構成比率を有する項目を第2の項目として特定する。このような手順を繰り返すことで、第n(n=1,2,・・・)の項目を特定し、特定した項目について構成比率が最も高いデータ値を複数組み合わせることにより、相関ルールを生成する。   The log analysis unit 23 reads the log generated by the log generation unit 21 from the log DB 32 and generates a combination (correlation rule) having a high appearance degree among the combinations of items constituting the log using the read log. The data is stored in the storage unit 12 together with the date and time of generation. Specifically, information on predetermined items such as IP address, ID, time, and execution command is extracted and extracted from the log read from the log DB 32 using a predetermined extraction rule set in the storage unit 12. Information is temporarily stored in the storage unit 12 as log analysis information. The extraction rule indicates the position of information of each item such as IP address, ID, time, execution command, etc. in various logs. For example, the extraction rule has a format of various logs such as an access log, a login log, an event log, and an application log. Based on the log type, it is generated and stored in advance. And about the log analysis information produced | generated from each log, the structure ratio etc. of each data are calculated for every item, such as ID, an object file, and an execution command. In addition, when including time in a calculation object item, you may calculate the structure ratio for every time slot | zone (XX hour range), for example. Then, the item having the highest configuration ratio is specified as the first item, and the log analysis information in which the data value having the highest configuration ratio is set for the first item is extracted. For the extracted log analysis information, the composition ratio of each data is calculated for each item, and the item having the highest composition ratio after the first item is specified as the second item. By repeating such a procedure, an n-th item (n = 1, 2,...) Is specified, and an association rule is generated by combining a plurality of data values having the highest composition ratio for the specified item. .

例えば、図5(A)に示すようなログ解析情報が取得され、これについて図5(B)に示すような、各項目のデータの構成比率が取得された場合、最も高い構成比率(この例では、”ms_word.exe”の40%)を有する項目は”実行コマンド”であるため、これを第1の項目として特定する。そして、”実行コマンド”に、構成比率が最も高いデータ値”ms_word.exe”が設定されているログ解析情報を抽出する。ここで例えば図6(A)に示すようなログ解析情報が抽出され、これについて図6(B)に示すような、各項目のデータの構成比率が取得された場合、最も高い構成比率(この例では、”報告書.doc”の75%)を有する項目は”対象ファイル”であるため、これを第2の項目として特定する。例えば、相関ルールを第1の項目と第2の項目を組み合わせて生成する旨が設定されている場合、例えば図6(C)に示すような、”実行コマンド:ms_word.exe、対象ファイル:報告書.doc”が設定された相関ルールが生成される。
なお、組み合わせる項目数等は任意に設定可能であり、例えば、組み合わせる項目数を3(即ち、第1、第2、第3の項目の組み合わせ)としてもよい。 For example, when the log analysis information as shown in FIG. 5A is acquired and the data composition ratio of each item is acquired as shown in FIG. 5B, the highest composition ratio (this example) In this case, the item having “40% of“ ms_word.exe ”) is an“ execution command ”, and is therefore specified as the first item. Then, log analysis information in which the data value “ms_word.exe” having the highest composition ratio is set in the “execution command” is extracted. Here, for example, log analysis information as shown in FIG. 6 (A) is extracted, and when the data composition ratio of each item is acquired as shown in FIG. 6 (B), the highest composition ratio (this In the example, since an item having “75% of“ report.doc ”” is a “target file”, this is specified as the second item. For example, when it is set that the association rule is generated by combining the first item and the second item, for example, as shown in FIG. 6C, “execution command: ms_word.exe, target file: report” A correlation rule with “.doc” is generated.
The number of items to be combined can be arbitrarily set. For example, the number of items to be combined may be 3 (that is, a combination of the first, second, and third items).

また、ログ解析部23は、生成した相関ルールのうち所定の基準を満たすものを選出し、選出した相関ルールを追加要求とともにログ生成除外条件管理部24に通知する。具体的には、所定期間単位(例えば、10日単位)等で出現率が閾値(例えば、75%)を超える相関ルールを選出する。
この相関ルールの選出処理を具体的に説明する。例えば10月10日にその日までの各日に生成された相関ルールのデータが記憶部12に記憶されていることとする。この時点において、過去10日(即ち、1日〜10日)に生成された各相関ルールの出現率を算出する。例えば、ある相関ルールA”ID:user001、ファイル:、コマンド”が1日〜10日の間で7回生成されている場合、出現率は70%となり、閾値75%を下回るため選出されない。そして、翌日の10月11日に、過去10日(即ち、2日〜11日)に生成された相関ルールの出現率を算出したところ、上記の相関ルールAが8回出現している場合、出現率は80%となり、閾値75%を上回るため選出されることとなる。 In addition, the log analysis unit 23 selects a generated correlation rule that satisfies a predetermined criterion, and notifies the log generation exclusion condition management unit 24 of the selected correlation rule together with an addition request. Specifically, an association rule whose appearance rate exceeds a threshold (for example, 75%) in a predetermined period unit (for example, 10 day unit) is selected.
The association rule selection process will be specifically described. For example, it is assumed that the data of the correlation rule generated on each day until October 10 is stored in the storage unit 12 on October 10th. At this time, the appearance rate of each correlation rule generated in the past 10 days (that is, 1st to 10th) is calculated. For example, when a certain correlation rule A “ID: user001, file :, command” is generated seven times between 1 day and 10 days, the appearance rate is 70%, which is lower than the threshold value of 75% and is not selected. Then, on October 11 of the next day, when the appearance rate of the correlation rule generated in the past 10 days (that is, 2nd to 11th) is calculated, when the above-mentioned correlation rule A appears 8 times, The appearance rate is 80%, which is selected because it exceeds the threshold value of 75%.

ログ生成除外条件管理部24は、ログ生成除外条件解析部22とログ解析部23から通知されるデータに基づいて、ログ生成除外条件DB31に登録されているログ生成除外条件データの更新処理を行う。具体的には、条件IDを削除要求とともにログ生成除外条件解析部22から受け取った場合、ログ生成除外条件DB31に登録されているログ生成除外条件データのうち、受け取った条件IDに対応するログ生成除外条件データを削除する。また、相関ルールを追加要求とともにログ生成除外条件解析部22から受け取った場合、受信した相関ルールに条件IDを付与し、新たなログ生成除外条件データとしてログ生成除外条件DB31に追加登録する。このとき、追加後のログ生成除外条件について必要な集約処理を行っても良い。この集約処理について具体的に説明すると、例えば、ログ取得対象のコンピュータシステムに4人のユーザが登録されていることとする。そして、図7に示すように、現状のログ生成除外条件データBに、ログ生成除外条件データCを追加したとき、追加後のログ生成除外条件データDに、ユーザ名のみが異なるログ生成除外条件データがシステムに登録されている全ユーザについて作成された場合には、それら4つのログ生成除外条件データを、”ユーザ名”については値を設定しない1つのログ生成除外条件データに集約して、新たなログ生成除外条件データEとする。これは項目”ユーザ名”に限定されず、他の項目(対象ファイル、実行コマンド等)についても同様に処理できる。   The log generation exclusion condition management unit 24 updates the log generation exclusion condition data registered in the log generation exclusion condition DB 31 based on data notified from the log generation exclusion condition analysis unit 22 and the log analysis unit 23. . Specifically, when the condition ID is received from the log generation exclusion condition analysis unit 22 together with the deletion request, the log generation corresponding to the received condition ID among the log generation exclusion condition data registered in the log generation exclusion condition DB 31 Delete exclusion condition data. When a correlation rule is received from the log generation exclusion condition analysis unit 22 together with an addition request, a condition ID is assigned to the received correlation rule and additionally registered in the log generation exclusion condition DB 31 as new log generation exclusion condition data. At this time, necessary aggregation processing may be performed for the log generation exclusion condition after addition. This aggregation process will be specifically described. For example, it is assumed that four users are registered in the computer system for which logs are acquired. Then, as shown in FIG. 7, when log generation exclusion condition data C is added to the current log generation exclusion condition data B, log generation exclusion conditions in which only the user name is different from the added log generation exclusion condition data D When data is created for all users registered in the system, these four log generation exclusion condition data are aggregated into one log generation exclusion condition data for which no value is set for “user name”. It is assumed that new log generation exclusion condition data E is used. This is not limited to the item “user name”, and other items (target file, execution command, etc.) can be similarly processed.

記憶部12は、例えば、ハードディスク装置等から構成され、制御部11が実行するための動作プログラム及び処理に必要な各種データ等が記憶される。また、記憶部12は、ログ生成除外条件DB31、ログDB32、条件使用状況DB33等を備える。ログ生成除外条件DB31には、ログ生成除外条件データ(図3参照)が記憶される。ログDB32には、ログ生成部21により生成されたログが記憶される。条件使用状況DB33は、ログ生成除外条件DB31に登録されている各ログ生成除外条件データの条件IDと使用回数を示す使用回数データ(図4参照)が記憶される。
通信制御部13は、ネットワーク10を介して他のコンピュータとのデータ通信を制御する。 The storage unit 12 is constituted by, for example, a hard disk device or the like, and stores an operation program to be executed by the control unit 11 and various data necessary for processing. The storage unit 12 includes a log generation exclusion condition DB 31, a log DB 32, a condition usage status DB 33, and the like. The log generation exclusion condition DB 31 stores log generation exclusion condition data (see FIG. 3). The log DB 32 stores a log generated by the log generation unit 21. The condition usage situation DB 33 stores the condition ID of each log generation exclusion condition data registered in the log generation exclusion condition DB 31 and the use count data (see FIG. 4) indicating the use count.
The communication control unit 13 controls data communication with other computers via the network 10.

次に、本実施形態に係るログ取得管理システム1のシステム動作について説明する。
まず、ログ生成除外条件DB31に登録されているログ生成除外条件に基づいてログを生成するログ生成処理について図8のフローチャートを参照して説明する。なお、制御部11は、前処理として、所定のタイミングでログ生成除外条件DB31に登録されているログ生成除外条件データを読込んでおく。この読み込みタイミングは任意であり、例えば、システム起動時とログ生成除外条件DB31の更新後等でもよい。 Next, the system operation of the log acquisition management system 1 according to the present embodiment will be described.
First, a log generation process for generating a log based on the log generation exclusion condition registered in the log generation exclusion condition DB 31 will be described with reference to the flowchart of FIG. Note that the control unit 11 reads log generation exclusion condition data registered in the log generation exclusion condition DB 31 at a predetermined timing as preprocessing. This read timing is arbitrary, and may be, for example, at the time of system startup or after the log generation exclusion condition DB 31 is updated.

制御部11は、ログ取得対象のコンピュータシステムにおいて、アクセス要求、ログイン要求、アプリケーションの起動要求等のイベントの発生に応答して、予めログ生成除外条件DB31から読み込んだログ生成除外条件データを参照し、発生したイベントがログ生成除外条件のいずれかに該当するか否かを判別する(ステップS1)。
ステップS1において、イベントがログ生成除外条件のいずれにも該当しないと判別した場合(ステップS1:NO)、制御部11は、イベントに対応するログを生成してログDB32に記憶して(ステップS2)、本処理を終了する。
また、ステップS1において、イベントがログ生成除外条件のいずれかに該当すると判別した場合(ステップS1:YES)、ログは生成せず、ステップS1の判別に使用されたログ生成除外条件(イベントが該当すると判別されたログ生成除外条件)の条件IDを特定し、条件使用状況DB33において、先に特定した条件IDに対応する使用回数の値に1だけ加算して(ステップS3)、本処理を終了する。 The control unit 11 refers to the log generation exclusion condition data read from the log generation exclusion condition DB 31 in advance in response to the occurrence of an event such as an access request, a login request, or an application activation request in the log acquisition target computer system. Then, it is determined whether or not the generated event corresponds to any of the log generation exclusion conditions (step S1).
When it is determined in step S1 that the event does not correspond to any of the log generation exclusion conditions (step S1: NO), the control unit 11 generates a log corresponding to the event and stores it in the log DB 32 (step S2). ), This process is terminated.
If it is determined in step S1 that the event corresponds to any of the log generation exclusion conditions (step S1: YES), no log is generated, and the log generation exclusion condition (event corresponding to the determination in step S1 is applied). Then, the condition ID of the determined log generation exclusion condition) is specified, and 1 is added to the value of the number of times of use corresponding to the previously specified condition ID in the condition usage status DB 33 (step S3), and this process is terminated. To do.

次に、ログ生成除外条件DB31に登録されているログ生成除外条件データについて適正性を判定し、不適正なログ生成除外条件を検出して削除するログ生成除外条件削除処理について図9のフローチャートを参照して説明する。なお本処理は例えば、所定時間毎(例えば、1日毎等)に実行される。   Next, the log generation exclusion condition deletion process for determining the appropriateness of the log generation exclusion condition data registered in the log generation exclusion condition DB 31 and detecting and deleting the inappropriate log generation exclusion condition is shown in the flowchart of FIG. The description will be given with reference. This process is executed, for example, every predetermined time (for example, every day).

制御部11は、条件使用状況DB33から使用回数データを読み込み(ステップS11)、読み込んだデータに基づいて、各ログ生成除外条件の適正性を解析する処理を行う(ステップS12)。具体的には、各ログ生成除外条件データについて、使用回数に著しい変化があるかについて解析する。例えば、使用回数の平均値をログ生成除外条件毎に算出し、各ログ生成除外条件について、各時間の使用回数と、先に算出した使用回数の平均値と、の差を求め、差が予め設定された閾値(例えば、100等)以下であれば適正なログ生成除外条件と判定し、その差が閾値より大きい場合には不適正なログ生成除外条件と判定し、各ログ生成除外条件についての判定結果を記憶部12に記憶する。   The control unit 11 reads the usage count data from the condition usage status DB 33 (step S11), and performs a process of analyzing the appropriateness of each log generation exclusion condition based on the read data (step S12). Specifically, each log generation exclusion condition data is analyzed for whether there is a significant change in the number of uses. For example, the average value of the usage count is calculated for each log generation exclusion condition, and for each log generation exclusion condition, the difference between the usage count for each time and the average value of the usage count calculated previously is obtained. If it is less than a set threshold (for example, 100), it is determined as an appropriate log generation exclusion condition. If the difference is larger than the threshold, it is determined as an inappropriate log generation exclusion condition. Is stored in the storage unit 12.

全てのログ生成除外条件について解析が終了すると、不適正と判定されたログ生成除外条件が存在するかを判別し(ステップS13)、存在する場合には(ステップS13:YES)、その条件IDに対応するログ生成除外条件データをログ生成除外条件DB31から削除する(ステップS14)。不適正と判定されたログ生成除外条件が存在しない場合(ステップS13:NO)、そのまま本処理を終了する。
これにより、不適正となったログ生成除外条件についてはログ生成除外条件DB31から削除することができる。 When the analysis is completed for all log generation exclusion conditions, it is determined whether or not there is a log generation exclusion condition determined to be inappropriate (step S13), and if it exists (step S13: YES), the condition ID is set. Corresponding log generation exclusion condition data is deleted from the log generation exclusion condition DB 31 (step S14). If there is no log generation exclusion condition determined to be inappropriate (step S13: NO), this process is terminated as it is.
As a result, the log generation exclusion condition that has become inappropriate can be deleted from the log generation exclusion condition DB 31.

次に、生成されたログに基づいて新たに追加すべきログ生成除外条件を検出し、ログ生成除外条件DB31に追加登録するログ生成除外条件追加処理について図10を参照して説明する。なお本処理は例えば、所定時間毎(例えば、1日毎等)に実行される。   Next, log generation exclusion condition addition processing for detecting a log generation exclusion condition to be newly added based on the generated log and additionally registering it in the log generation exclusion condition DB 31 will be described with reference to FIG. This process is executed, for example, every predetermined time (for example, every day).

制御部11は、ログDB32に記憶されているログを読み込み(ステップS21)、読み込んだログを解析して、ログを構成する項目の組み合わせのうち出現度の高い組み合わせである相関ルールを生成し、生成日時とともに記憶部12に記憶する(ステップS22)。
次に、制御部11は、例えば10日等の所定期間等において生成された各相関ルールの出現率を算出し(ステップS23)、算出された出現率が閾値を超える相関ルールが存在するかを判別する(ステップS24)。
出現率が閾値を超える相関ルールが存在する場合(ステップS24:YES)、該当する相関ルールに条件IDを付与する等してログ生成除外条件データを生成し、ログ生成除外条件DB31に追加登録する(ステップS25)。
また、出現率が閾値を超える相関ルールが存在しない場合(ステップS24:NO)、そのまま本処理を終了する。
これにより、頻繁に出現するログを取得対象から除外し、ログ取得の効率を高めることができる。 The control unit 11 reads a log stored in the log DB 32 (step S21), analyzes the read log, and generates an association rule that is a combination having a high appearance degree among combinations of items constituting the log, It memorize | stores in the memory | storage part 12 with a production | generation date (step S22).
Next, the control unit 11 calculates the appearance rate of each correlation rule generated in a predetermined period such as 10 days (step S23), and determines whether there is a correlation rule for which the calculated appearance rate exceeds the threshold value. A determination is made (step S24).
When there is a correlation rule whose appearance rate exceeds the threshold (step S24: YES), log generation exclusion condition data is generated by adding a condition ID to the corresponding correlation rule, and additionally registered in the log generation exclusion condition DB 31. (Step S25).
If there is no correlation rule whose appearance rate exceeds the threshold (step S24: NO), this process is terminated as it is.
Thereby, the log which appears frequently can be excluded from acquisition object, and the efficiency of log acquisition can be improved.

以上説明したように、本発明によれば、ログ生成に関する条件(ログ生成除外条件)に基づいてログを取得するシステムにおいて、生成されたログに基づいて新たなログ生成除外条件を追加登録し、また、設定したログ生成除外条件について適正性を判定し、不適正と判定したものについては、登録から削除することにより、適正なログ生成除外条件を保持することができるため、効率的に効果的に必要なログを取得することができる。   As described above, according to the present invention, in the system for acquiring a log based on a condition related to log generation (log generation exclusion condition), a new log generation exclusion condition is additionally registered based on the generated log, In addition, the appropriateness of the log generation exclusion conditions that have been set is determined, and those that are determined to be inappropriate are deleted from the registration, so that appropriate log generation exclusion conditions can be maintained, which is effective effectively. You can get the logs you need.

なお、本発明は種々の変形や応用が適用可能である。
例えば、相関ルールの生成処理において、Aprioriアルゴリズム等の既存の手法を用いてもよい。
また、上記実施形態では、ログ取得管理システムを1台のコンピュータにより実現した場合について説明しているが、システム構成はこれに限定されず、例えば、ログ生成部21を一のコンピュータで実現し、ログ生成除外条件解析部22とログ解析部23とログ生成除外条件管理部24を他のコンピュータで実現し、これらのコンピュータをネットワークにより接続する構成としてもよい。この場合、各DB31、32、33は、いずれのコンピュータに設けても良い。 Various modifications and applications can be applied to the present invention.
For example, an existing method such as the Apriori algorithm may be used in the association rule generation process.
Moreover, although the said embodiment demonstrated the case where a log acquisition management system was implement | achieved by one computer, a system structure is not limited to this, For example, the log production | generation part 21 is implement | achieved by one computer, The log generation exclusion condition analysis unit 22, the log analysis unit 23, and the log generation exclusion condition management unit 24 may be realized by another computer, and these computers may be connected via a network. In this case, each DB 31, 32, 33 may be provided in any computer.

なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、ログ取得管理システム1を構成してもよい。また、インターネット等のネットワーク10上のサーバ装置が有するディスク装置に格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。 The system of the present invention can be realized using a normal computer system, not a dedicated system. For example, a log acquisition management system 1 is obtained by storing a program for executing the above-described operation on a computer-readable recording medium (FD, CD-ROM, DVD, etc.) and distributing the program and installing the program in a computer. May be configured. Alternatively, it may be stored in a disk device of a server device on the network 10 such as the Internet and downloaded to a computer, for example.
In addition, when the OS realizes the above functions by sharing the OS or jointly with the OS and the application, etc., only the part other than the OS may be stored and distributed in the medium, or may be downloaded to the computer. Good.

本発明の実施形態に係るログ取得管理システムのハードウェア構成を例示する図である。It is a figure which illustrates the hardware constitutions of the log acquisition management system which concerns on embodiment of this invention. 図1のログ取得管理システムの機能構成を例示する図である。It is a figure which illustrates the function structure of the log acquisition management system of FIG. ログ生成除外条件データのデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of log production | generation exclusion condition data. 使用回数データのデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of use frequency data. 相関ルールの生成処理を具体的に説明するための図である。It is a figure for demonstrating concretely the production | generation process of an association rule. 相関ルールの生成処理を具体的に説明するための図である。It is a figure for demonstrating concretely the production | generation process of an association rule. ログ生成除外条件の集約処理を説明するための図である。It is a figure for demonstrating the aggregation process of log production | generation exclusion conditions. ログ生成処理を説明するためのフローチャートである。It is a flowchart for demonstrating a log production | generation process. ログ生成除外条件削除処理を説明するためのフローチャートである。It is a flowchart for demonstrating log generation exclusion condition deletion processing. ログ生成除外条件追加処理を説明するためのフローチャートである。It is a flowchart for demonstrating a log production | generation exclusion condition addition process.

符号の説明Explanation of symbols

1 ログ取得管理システム
10 ネットワーク
11 制御部
12 記憶部
13 通信制御部
21 ログ生成部
22 ログ生成除外条件解析部
23 ログ解析部
24 ログ生成除外条件管理部
31 ログ生成除外条件DB
32 ログDB
33 条件使用状況DB DESCRIPTION OF SYMBOLS 1 Log acquisition management system 10 Network 11 Control part 12 Storage part 13 Communication control part 21 Log generation part 22 Log generation exclusion condition analysis part 23 Log analysis part 24 Log generation exclusion condition management part 31 Log generation exclusion condition DB
32 Log DB
33 Condition usage DB

Claims (6)

イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、且つ、当該ログ生成除外条件データの使用回数を更新し、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データのうち、前記使用回数が所定の条件を満たしたログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備えることを特徴とするログ取得管理システム。 In response to the occurrence of the event, a determination means for determining whether the event corresponds to any of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, the log corresponding to the event is not generated and the number of times the log generation exclusion condition data is used A log generation means for updating and generating a log corresponding to the event and storing it in the log database when it is determined that the event does not correspond to any of the log generation exclusion condition data stored in the condition database; ,
Among the log generation exclusion condition data stored in the condition database, the condition deletion unit operable number of uses the log generation exclusion condition data satisfies a predetermined condition, to remove from the condition database,
A log acquisition management system comprising: イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備え、
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データが所定の条件を満たすログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とするログ取得管理システム。 In response to the occurrence of the event, a determination means for determining whether the event corresponds to any of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, a log corresponding to the event is not generated, and the event is stored in the condition database Log generation means for generating a log corresponding to the event and storing it in the log database when it is determined that none of the generation exclusion condition data corresponds to;
A condition for determining whether or not each log generation exclusion condition data stored in the condition database is appropriate and detecting inappropriate log generation exclusion condition data, and deleting the log generation exclusion condition data from the condition database Delete means,
With
When it is determined by the determination means that the event corresponds to any of the log generation exclusion condition data stored in the condition database, in the usage situation database in which the usage count data of each log generation exclusion condition data is stored , Further comprising means for updating the value of the usage count data of the log generation exclusion condition data determined to correspond to the event,
The condition deletion means detects log generation exclusion condition data in which the usage count data of each log generation exclusion condition data stored in the usage status database satisfies a predetermined condition, and the detected log generation exclusion condition data is rejected. Judge as appropriate log generation exclusion condition,
Features and to Carlo grayed acquisition management system that. イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備え、
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが所定時間毎に記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データに基づいて、使用回数の変化量が所定の基準を超えるログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とするログ取得管理システム。 In response to the occurrence of the event, a determination means for determining whether the event corresponds to any of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database;
If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, a log corresponding to the event is not generated, and the event is stored in the condition database Log generation means for generating a log corresponding to the event and storing it in the log database when it is determined that none of the generation exclusion condition data corresponds to;
A condition for determining whether or not each log generation exclusion condition data stored in the condition database is appropriate and detecting inappropriate log generation exclusion condition data, and deleting the log generation exclusion condition data from the condition database Delete means,
With
When it is determined by the determination means that the event corresponds to any of the log generation exclusion condition data stored in the condition database, the usage count data of each log generation exclusion condition data is stored every predetermined time. In the usage database, further comprising means for updating the value of the usage count data of the log generation exclusion condition data determined to correspond to the event,
The condition deletion means detects log generation exclusion condition data in which the amount of change in the number of use exceeds a predetermined criterion based on the use count data of each log generation exclusion condition data stored in the usage situation database, The detected log generation exclusion condition data is determined as an inappropriate log generation exclusion condition.
Features and to Carlo grayed acquisition management system that. 前記ログデータベースに記憶されているログについて、ログを構成する項目のうち出現度の高いデータ値を有する項目の組み合わせを特定する手段と、
前記特定した項目の組み合わせに基づいて、ログ生成除外条件データを生成する手段と、
前記生成されたログ生成除外条件データを、前記条件データベースに追加登録する手段と、
をさらに備えることを特徴とする請求項1乃至3のいずれか1項に記載のログ取得管理システム。 For the log stored in the log database, means for specifying a combination of items having a data value having a high appearance degree among items constituting the log;
Means for generating log generation exclusion condition data based on the identified combination of items;
Means for additionally registering the generated log generation exclusion condition data in the condition database;
The log acquisition management system according to any one of claims 1 to 3, further comprising: 判別手段が、イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別ステップと、
ログ生成手段が、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、且つ、当該ログ生成除外条件データの使用回数を更新し、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成ステップと、
条件削除手段が、前記条件データベースに記憶されている各ログ生成除外条件データのうち、前記使用回数が所定の条件を満たしたログ生成除外条件データを前記条件データベースから削除する条件削除ステップと、
を備えることを特徴とするログ取得管理方法。 A determination step of determining whether the event corresponds to any of log generation exclusion condition data indicating an exclusion condition of log generation stored in the condition database in response to the occurrence of the event;
When it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database , the log generation unit does not generate a log corresponding to the event, and the log generation exclusion condition Update the number of times the data is used, and if it is determined that the event does not correspond to any of the log generation exclusion condition data stored in the condition database, a log corresponding to the event is generated and stored in the log database Log generation step to
A condition deleting step for deleting, from the condition database, log generation exclusion condition data in which the number of uses satisfies a predetermined condition among the log generation exclusion condition data stored in the condition database;
A log acquisition management method comprising: コンピュータを、  Computer
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段、  A determination means for determining whether the event corresponds to any one of the log generation exclusion condition data indicating the log generation exclusion condition stored in the condition database in response to the occurrence of the event;
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、且つ、当該ログ生成除外条件データの使用回数を更新し、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段、  If it is determined that the event corresponds to any of the log generation exclusion condition data stored in the condition database, the log corresponding to the event is not generated and the number of times the log generation exclusion condition data is used A log generation means for updating and generating a log corresponding to the event and storing it in the log database when it is determined that the event does not correspond to any of the log generation exclusion condition data stored in the condition database;
前記条件データベースに記憶されている各ログ生成除外条件データのうち、前記使用回数が所定の条件を満たしたログ生成除外条件データを、前記条件データベースから削除する条件削除手段、  Condition deletion means for deleting from the condition database log generation exclusion condition data in which the number of uses satisfies a predetermined condition among the log generation exclusion condition data stored in the condition database;
として機能させるプログラム。  Program to function as.
JP2004355626A 2004-12-08 2004-12-08 Log income management system, method, and program Active JP4420804B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004355626A JP4420804B2 (en) 2004-12-08 2004-12-08 Log income management system, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004355626A JP4420804B2 (en) 2004-12-08 2004-12-08 Log income management system, method, and program

Publications (2)

Publication Number Publication Date
JP2006163931A JP2006163931A (en) 2006-06-22
JP4420804B2 true JP4420804B2 (en) 2010-02-24

Family

ID=36665874

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004355626A Active JP4420804B2 (en) 2004-12-08 2004-12-08 Log income management system, method, and program

Country Status (1)

Country Link
JP (1) JP4420804B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5228652B2 (en) * 2007-09-13 2013-07-03 株式会社リコー Device information management apparatus, device method management method, and device information management program
JP6386415B2 (en) * 2015-05-18 2018-09-05 日本電信電話株式会社 Log management method and log management system

Also Published As

Publication number Publication date
JP2006163931A (en) 2006-06-22

Similar Documents

Publication Publication Date Title
KR101757844B1 (en) Methods and systems for deleting requested information
JP4345313B2 (en) Operation management method of storage system based on policy
JP6528448B2 (en) Network attack monitoring device, network attack monitoring method, and program
JP4807173B2 (en) Security management system and method
US8516499B2 (en) Assistance in performing action responsive to detected event
JP2008192091A (en) Log analysis program, log analysis device, and log analysis method
US20160306967A1 (en) Method to Detect Malicious Behavior by Computing the Likelihood of Data Accesses
JP2004280780A (en) Back up method, system, and program
JP2010250502A (en) Device, method and program for detecting abnormal operation
US20150040219A1 (en) User evaluation
JP6411696B1 (en) Version control system and version control method
JP5697917B2 (en) Business management system and business management program
JP2009020812A (en) Operation detecting system
JPWO2008012903A1 (en) System management program, system management apparatus, and system management method
US20170154071A1 (en) Detection of abnormal transaction loops
JP2007164465A (en) Client security management system
US20100332911A1 (en) Method And Computer Program Product For Forecasting System Behavior
US8745010B2 (en) Data storage and archiving spanning multiple data storage systems
US10652260B1 (en) Detecting botnet domains
JP4420804B2 (en) Log income management system, method, and program
WO2012053041A1 (en) Security monitoring device, security monitoring method and security monitoring program based on security policy
JP2009140297A (en) Application deletion support system
JP6834703B2 (en) Business use file management system, business use file management method, and programs
JP2006244177A (en) Database device
JP5716472B2 (en) Failure prediction server, failure prediction system, failure prediction method, and failure prediction program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070316

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091201

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121211

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4420804

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121211

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131211

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250