JP4485112B2 - ログデータの収集管理方法および装置 - Google Patents
ログデータの収集管理方法および装置 Download PDFInfo
- Publication number
- JP4485112B2 JP4485112B2 JP2002090804A JP2002090804A JP4485112B2 JP 4485112 B2 JP4485112 B2 JP 4485112B2 JP 2002090804 A JP2002090804 A JP 2002090804A JP 2002090804 A JP2002090804 A JP 2002090804A JP 4485112 B2 JP4485112 B2 JP 4485112B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- log data
- data
- normalized
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、マネージャがネットワークを介してエージェントからログデータを収集するシステムに係わり、特にマネージャがシステム内に存在するログデータを共通的なログデータ形式に基づいて管理するログデータの収集と管理の方式に関する。
【0002】
【従来の技術】
情報処理装置で実行されるオペレーティングシステム(OS)やアプリケーションプログラムは、各種のログ情報を出力する。出力されたログ情報を収集するいくつかの方式が知られている。例えば特開平5−250229号公報は、複数のコンピュータからのログデータ収集において、ログデータ中のエラーコードを検出することにより、エラー状態のコンピュータからのログデータを優先的に送信するログデータ収集方式を開示する。また特開平5−28008号公報は、情報処理システムが障害ログを収集するとき貯蔵手段に貯えられたログ情報の個数が一定数に達したことを検出し、ログ登録の抑止を行うことにより重要な障害情報の消失を防ぐログ情報収集方式を開示する。また特開平5−111029号公報は、下位の設備端末からのデータが採取された時刻をデータに付与して上位の制御装置に送ることにより、複数の端末からの各データの時系列的な関係が損なわれることがないようにするデータ収集方式を開示する。
【0003】
【発明が解決しようとする課題】
ネットワークを介して複数のコンピュータが接続され、コンピュータが他のコンピュータと通信しながら処理を進める分散処理システムにおいて、一人のユーザは複数の広範囲に亘るコンピュータやファイルにアクセスし得る。従ってログデータを解析することによってコンピュータやファイルへの不正なアクセスを検出するためには、個々のコンピュータが出力するログデータを中央のコンピュータに集約し、データベースに蓄積する必要がある。しかしながら各種のシステムプログラムやアプリケーションプログラムが出力するログデータは、各々そのデータ形式が異なっているので、単に個々のコンピュータプログラムが出力するログデータを収集して集約するだけではログデータの解析が困難である。また個々のコンピュータが保有する時刻がすべてのコンピュータに亘って一致しているとは限らないので、一般に個々のログデータに付与されている時刻にはずれが生じており、集約されたログデータを正しい時刻の順序に従って配列することが困難である。
【0004】
本発明は、上記の事情に鑑みてなされたものであり、その目的とするところは、共通的なデータ形式に正規化されたログデータを管理することにある。
【0005】
本発明の他の目的は、各サイトのコンピュータからログデータを収集する中央のコンピュータの時刻を基準とするログデータを管理することにある。
【0006】
【課題を解決するための手段】
上記目的を達成するため、本発明は、監視の対象とするログファイル中のログデータからあらかじめ定義されたデータ項目に対応する値を切り出して規定されたデータ項目の値を配列する正規化されたログデータを作成して蓄積する手段と、蓄積された正規化ログデータをネットワークを介してマネージャの機能を実行するコンピュータへ送信する手段とをエージェントの処理手段として有するログデータの収集をするコンピュータを特徴とする。
【0007】
また本発明は、ネットワークを介してエージェントの機能を実行するコンピュータからあらかじめ定義された共通のデータ形式に従って正規化されたログデータであってマネージャの基準とする時刻に基づいて補正されたログ出力時刻を有する正規化ログデータを受信する手段と、該正規化ログデータを補正時刻の順にデータベースに蓄積する手段とをマネージャの処理手段として有するログデータの収集と管理をするコンピュータを特徴とする。
【0008】
【発明の実施の形態】
以下、本発明の一実施形態について図面に基づいて詳細に説明する。
【0009】
図1は、本発明を適用する通信ネットワークの一例を示すシステム構成図である。ネットワークは複数のLAN1,3,4及びWAN(ワイド・エリア・ネットワーク)2に結合されるものである。マネージャ10は、計算機の主記憶装置に格納され、OSの下で走行するアプリケーションプログラム(AP)である。エージェント20は、サーバ等の計算機の主記憶装置に格納され、OSの下で走行するAPである。マネージャ10は、LAN1,3,4又はWAN2を介してエージェント20−1,20−2,20−3,20−4と通信することが可能である。図に示すように、エージェント20を実行する計算機はエージェント20と並行して他のAPを実行することが可能である。マネージャ10を実行する計算機もマネージャ10と並行して他のAPを実行することが可能であるが、充分なCPU性能と資源を確保するためには、専用の計算機を割り当てるのが望ましい。60はこのネットワークシステムを管理するネットワーク管理システムであり、ネットワーク管理プログラム及び図示しないネットワーク監視端末から構成される。ネットワーク管理システム60は、ネットワーク資源についての情報をマネージャ10に提供する。
【0010】
図2は、マネージャとエージェントが行う処理動作の概略を示す図である。マネージャ10は、定義された各種ルールをエージェント20へ配布する(▲1▼)。エージェント20は、受信したルールを登録し、そのルールに従い監視対象ログファイル群30からログデータを入力し(▲2▼)、ログデータを正規化した後、正規化ログファイル40に格納する(▲3▼)。このとき正規化ログデータ中のログ出力時刻をマネージャ10の時刻を基準とする補正時刻によつて補正する。エージェント20は、マネージャ10からログ収集要求があったとき正規化ログファイル40から正規化されたログデータを取り出し(▲4▼)、マネージャ10へ転送する(▲5▼)。マネージャ10は、収集した正規化ログデータを補正時刻の順に正規化ログデータベース50に格納する(▲6▼)。またマネージャ10は、必要に応じて正規化ログデータベース50から任意の正規化ログデータを抽出し、その解析を行う。
【0011】
図3は、マネージャ10の構成を示す機能ブロック図である。ルール110は定義された各種ルールであり、記憶装置に格納される。正規化ログデータベース50は、収集された正規化ログデータを格納するデータベースであり、記憶装置に格納される。ネットワーク管理システム60は、ネットワークを介してマネージャ10を格納する計算機と接続される他の計算機およびネットワークを監視する端末装置から構成されるシステムであり、マネージャ10と同じ計算機で走行するネットワーク管理プログラムは、ネットワークの構成要素である各通信回線、ルータ、中継機、各種計算機、計算機のプログラム等の動作状態(接続中/接続断,動作中/停止状態など)、各ネットワーク構成要素の所在場所などを管理する。以下マネージャ10を構成する各機能モジュールの機能の概略について述べる。
(1)ルール定義100
運用者が各種ルールを定義するためのプログラムツールであり、図示しない入力装置及び表示装置を介してユーザが容易にルールを設定できるようなGUI(グラフィカル・ユーザ・インタフェース)を提供する。
(2)スケジューラ101
ルール配布及びログ収集を実行する契機をそれぞれルール配布106及びログ収集107に知らせるプログラムである。契機の例として、例えば毎日午後5時、毎週土曜日の午後3時15分などのように実行開始を指示する。
(3)プロセス管理102
マネージャ10の100〜109を付す各機能モジュールの起動/停止を制御するプログラムである。
(4)ログ解析103
データベース管理109を介して正規化ログデータベース50から正規化ログデータ群を抽出し、所定の解析を行うプログラムである。以下ログ事象がログインである場合のログデータ解析の例を表1に示す。ログ事象及び正規化項目については後述する。
【0012】
【表1】
(5)構成管理104
対象とするエージェント20の一覧を管理するプログラムである。またネットワーク管理システム60に問い合わせを行ってエージェント20が動作する計算機の動作有無やpingの応答時間等の情報を取得してルール配布106又はログ収集107に渡す。
(6)ルール管理105
ルール定義100から定義された各種ルールを受け取ってルール110に格納する。またルール110からルールを読み出してルール配布106に渡す。
(7)ルール配布106
スケジューラ101の指示に従い、ルール管理105から各種ルールを取得してエージェント20ヘ配布するプログラムである。
(8)ログ収集107
スケジューラ101の指示に従い、エージェント20から正規化ログファイルを収集するプログラムである。
(9)データ通信108
ルール配布106及びログ収集107がエージェント20と通信するときに通信制御を行うプログラムである。
(10)データベース管理109
ログ収集107がエージェント20から収集した正規化ログデータ群(正規化ログファイル)を正規化ログデータベース50に格納し、ログ解析103からの要求によって正規化ログデータを検索し抽出する。また所定の保存期間を過ぎた正規化ログデータを正規化ログデータベース50から削除し、未使用の記憶領域を生み出す。
【0013】
図4は、エージェント20の構成を示す機能ブロック図である。ルール205は配布を受けた各種ルールであり、記憶装置に格納される。監視対象ログファイル群30は、監視対象とするログファイルであり、記憶装置に格納される。正規化ログファイル40は、正規化ログデータを格納するファイルであり、記憶装置に格納される。以下エージェント20を構成する各機能モジュールの機能の概略について述べる。
(1)データ通信200
データ通信200は、ルール管理203及びログファイル管理204がマネージャ10と通信するときに通信制御を行うプログラムである。
(2)プロセス管理201
エージェント20の200〜204を付す各機能モジュールの起動/停止を制御するプログラムである。
(3)ログ入力202
ルール管理203からログファイル監視ルールやフォーマットルール等を取得し、監視対象ログファイル群30から入力したログデータを正規化した後、正規化ログデータをログファイル管理204へ渡すプログラムである。
(4)ルール管理203
マネージャ10から配布された各種ルールをルール205として記憶装置に格納し、ログ入力202又はログファイル管理204の要求に応じてルールを提供するプログラムである。
(5)ログファイル管理204
ルール管理203からフィルタリングルールを取得し、ログ入力202から受け取った正規化ログデータをフィルタリングし、補正時刻を付加して正規化ログファイル40に格納する。マネージャ10のログ収集107から正規化ログファイル40の収集要求を受信したとき、正規化ログファイル40をマネ―ジャ10へ転送する。
【0014】
図5〜図14は、正規化ログデータの構造の一例を示す図である。
【0015】
図5は、正規化ログファイル40に格納される正規化ログデータ300の概略構成を示す図である。正規化ログデータ300は、共通情報クラス301と必要に応じて追加されるユーザ情報クラス302、サービス情報クラス303、アドレス情報クラス304、ファイル情報クラス305、トラフィク情報クラス306、個別情報クラス307等から構成される。共通情報クラス301は、すべての正規化ログデータ300に必須の情報クラスであり、残りの情報クラスは出力されたログデータに応じて選択されるものである。
【0016】
図6は、共通情報クラス301のデータ構成を示す図である。正規化バージョン310は、正規化のバージョンを示す番号である。ログ種別はログ事象311、ログ事象結果312、ログ出力プログラム313、データ格納クラス314及びログファイル名315を含む。ログ出力プログラム313はログを出力したOS又はAPの名称であり、ログファイル名315はログ出力プログラム313が出力したログファイルの名称である。ログ事象311、ログ事象結果312及びデータ格納クラス314については後述する。マネージャは、マネージャを搭載する計算機のホスト名316とホストIPアドレス317を格納する。エージェントは、ログを入力したエージェントを搭載する計算機のホスト名318とホストIPアドレス319を格納する。監視対象は、監視対象とするサーバ等の計算機のホスト名320とホストIPアドレス321を格納する。時刻はログ出力時刻322と補正時刻323から成る。ログ出力時刻322はログを出力した計算機の局所的な時刻であり、補正時刻323はマネージャ10を搭載する計算機の時刻に基づいて補正した時刻である。フィルタリングルール名324は、ログデータを正規化するときに適用したフィルタリングルールの名称である。
【0017】
図7は、ユーザ情報クラス302のデータ構成を示す図である。ユーザ情報クラス302は、ログインしたユーザに関する情報を記録するものであり、ユーザ名330、ユーザID(UID)331、ユーザ変更した後のユーザ名332、変更後のUID333、ユーザのセキュリティレベル334、計算機やファイルへのアクセス権335、アクセスした結果336及びユーザが操作した端末装置の名称(端末名337)を格納する。
【0018】
図8は、サービス情報クラス303のデータ構成を示す図である。サービス情報クラス303は、ユーザに提供したサービスについての情報を記録する。サービスは、サービス名340、サービスバージョン341、サービス提供のために起動したプロセスの名称(プロセス名342)及びプロセスID343を格納する。
【0019】
図9は、アドレス情報クラス304のデータ構成を示す図である。アドレス情報クラス304は、他計算機とコネクションを行ったときの情報を記録するものであり、接続元及び接続先のホスト名、IPアドレス、MACアドレス、ポート番号の他にコネクション状態、コネクションの開始時刻と終了時刻及び他計算機へのアクセス結果を格納する。
【0020】
図10は、ファイル情報クラス305のデータ構成を示す図である。ファイル情報クラス305は、ユーザが作成又は変更したファイルについてファイル名、変更前のアクセス情報及び変更後のアクセス情報を記録する。アクセス情報は、ファイルの作成時刻、最終修正時刻、最終アクセス時刻、ファイルのi−node番号、アクセス許可の有無、UID、グループID(GID)及び最終的なファイルのサイズを格納する。
【0021】
図11は、トラフィク情報クラス306のデータ構成を示す図である。トラフィク情報クラス306は、メール管理プログラム、ファイル転送プログラム等が出力するログ情報であり、ネットワークを介するデータやメッセージの受信バイト数、送信バイト数及びデータの転送時間(処理時間)を記録する。
【0022】
図12は、個別情報クラス307のデータ構成を示す図である。個別情報クラス307は、オプションであり、プログラムが出力するメッセージテキストの原文そのままの情報である。
【0023】
図13は、データ格納クラス314のデータ構造を示す図である。“T1”はデータ格納クラス314を識別するためのタグであり、“L1”は存在する情報クラスを指定する領域V1の長さを示す。“V1”は、各正規化ログデータ300に含まれる情報クラスを指定する領域であり、情報クラスの指定の開始を示すタグ、情報クラス識別子の長さ及び情報クラス識別子を順番に指定する。情報クラス識別子の長さは可変長である。各情報クラスを識別する番号をxとすると、Tx(x≧2)は情報クラスの開始を示すタグであり、Lx(x≧2)はそのVxの部分の長さであり、Vx(x≧2)は情報クラス識別子である。マネージャ10は、このデータ格納クラス314により各正規化ログデータが有する情報クラスを認識する。
【0024】
図14は、正規化項目のうちコード化が可能なもののコード化テーブル600の一例を示す図である。正規化項目のログ事象311が“login”の場合はコード“1”に、ユーザ変更“su”の場合はコード“2”というようにコード化される。コネクト(connect)は、計算機間でファイル転送やプログラム間通信を行う際のコネクションに関するログ事象を示す。ファイルは内容変更されたファイルに関するログ事象、ジョブはジョブの起動/停止/終了状態に関するログ事象である。メールはメール使用に関するログ事象を示す。ログ事象結果312はログ事象の結果であり、成功か失敗かを区分する。ユーザ情報クラス302のアクセス権335についてはあり又はなしを区分する。ユーザ情報クラス302及びアドレス情報クラス304のアクセス結果については、成功か失敗かを区分する。ファイル情報クラス305のアクセス許可については、あり又はなしを区分する。
【0025】
図15〜図20は、ルールのデータ形式を示す図である。
【0026】
図15は、マネージャルール450の一例を示す図である。DB_MAX451は正規化ログデータベース50が正規化ログデータを保存可能な期間を示す保存期間を定義する。RULE_MAX452はルール配布に使用できる最大の通信路数を定義する。LOG_MAX453はログ収集に使用できる最大の通信路数を定義する。ルール配布106やログ収集107は、この多重度数だけ通信路を使用できるが、処理の要求がこの多重度より大きい場合は通信路を順番に使用し、通信路が空くまで待った後、残りの処理を実行する。
【0027】
図16は、エージェント20の動作条件ルール470の一例を示す図である。MANAGER_ADDRESS471はマネージャのIPアドレスを定義し、FILE_MAXSIZE472は正規化ログファイル40が使用できる最大の記憶容量を定義する。
【0028】
図17は、ログファイル監視ルール500の一例を示す図である。TARGET_LOGは監視対象ログファイル名を定義し、FORMATによりファイルの形式(SEQ:シーケンシャル形式、WRAP:ラップアラウンド形式)を定義し、INTERVALにより監視間隔の時間(たとえば、10分間隔)を定義する。FMT_NAMEは当該ログファイルを正規化するときに適用するルールを定義する。例により説明すると、
TARGET_LOG:/usr/adm/syslog.log,FORMAT=SEQ,INTERVAL=10m,FMT_NAME=abc;
は、シ−ケンシャル形式のファイル/usr/adm/syslog.logを10分間隔で監視し、フォーマットルールabcにより正規化処理を行うことを示す。FMT_NAMEの指定がない場合は、エージェント20の間で共通のフォーマットルールにより正規化を行う。
【0029】
図18と図19は、フォーマットルール510及び515の一例を示す図である。ログデータがテキスト形式の場合はFMT_Tを適用し、バイナリ形式の場合はFMT_Bを適用する。REGTEXT=“文字列n”は、ログデータを選択する条件を示し、ログデータ中に文字列nが存在すれば、以下に示す規則に従ってログデータを正規化することを示す。&&は論理積(AND)を示し、複数の文字列の存在を選択条件とすることができる。|はthenを意味し、以下ログデータの文字列のシーケンスに従って文字列から順に正規化項目を拾って行くことを意味する。正規化項目とは、各情報クラスで定義されるデータ項目のことである。:は、ログデータの先頭から順番にポインタをずらして正規化項目に対応する値を切り出すための区切り文字である。正規化項目に続いて[]内に指定される文字は、任意のポインタから認識する文字列の長さ、またはその文字列が可変長の場合に認識する最後の文字を指定する。SKIPは、ログデータの先頭から順番にポインタをずらしていった場合、正規化項目に関係ない文字列が存在する場合にその文字列を読み飛ばすことを意味し、[]内には読み飛ばす文字数又は認識する最後の文字となる“区切り文字”を指定する。区切り文字を指定した場合は、その区切り文字まで読み飛ばす。以下フォーマットルールの例を挙げる。
(a)フォーマットルールA
FMT_T:REGTEXT == “SU” && REGTEXT == “+” | ログ事象 == “2” | ログ事象結果== “0” :SKIP[“ ”]:ログ出力時刻[10]: SKIP[3]:端末名[“ ”]:ユーザ名[“-”]:変更後のユーザ名[“ ”];
(b)フォーマットルールB
FMT_T:REGTEXT == “connect” && REGTEXT == “refused" | ログ事象 == “3" | ログ事象結果 == “1" :ログ出力時刻[15]: 接続先ホスト名[“ ”]:プロセス名[“["]:プロセスID[“]"]:SKIP[“from "]:接続元ホスト名[“ ”];。 図21は、ログファイルに格納されているメッセージテキストの原文の例を示す図である。メッセージテキスト551及び552は、OSが出力するユーザ変更に関するメッセージテキストの例である。メッセージテキスト553〜555は、OSがコネクション時に出力するメッセージテキストである。メッセージテキスト556及び557は、OSのジョブ管理が出力するメッセージテキストである。
【0030】
メッセージテキスト551をフォーマットルールAによって正規化すると、
・ログ事象311=2(su)
・ログ事象結果312=0(成功)
・ログ出力時刻322=1/30 11:18のエポックタイム
・端末名337=ttyp5
・ユーザ名330=fujino
・変更後のユーザ名332=root
となる。
【0031】
メッセージテキスト554をフォーマットルールBによって正規化すると、
・ログ事象311=3(connect)
・ログ事象結果312=1(失敗)
・ログ出力時刻322=Jan 12 13:12:15のエポックタイム
・接続先ホスト名354=hosta
・接続先IPアドレス355=hostaをIPアドレスに変換した値
・プロセス名342=ftpd
・プロセスID343=1111
・接続元ホスト名350=hostb
・接続元IPアドレス351=hostbをIPアドレスに変換した値
となる。
【0032】
図20は、フィルタリングルール520の一例を示す図であり、ログファイル管理204が該当する正規化ログデータだけを格納するためのルールである。FLTはフィルタリングルールであることを示し、正規化項目が指定した文字列やコードであったり、指定した時間帯の正規化ログデータであった場合、そのような条件に適合する正規化ログデータだけを抽出して格納する。==はイコールを、!=はnotイコールを、&&は論理積ANDを、||は論理和ORを、―は時間間隔をそれぞれ意味する。
【0033】
図22は、正規化ログデータベース50のデータ構造を例示する図である。正規化ログデータベース50は、正規化ログデータを補正時刻630の順に配列して格納する。ある補正時刻630から共通情報クラス631のログデータにチェインする。また共通情報クラス631からこれに続いて存在する情報クラスのログデータに次々とチェインする。情報クラスに対応して示される検索キーは、正規化ログデータを検索するときにキーとして使用される正規化項目を示すものである。また補正時刻630から次の補正時刻630へチェインが張られている。ユーザは、補正時刻630によって、また該当する情報クラスの検索キーを指定することによって正規化ログデータベース50から目的とする正規化ログデータを効率良く抽出することができる。
【0034】
図23は、マネージャ10のルール配布106の処理の流れを示すPAD図である。ルール配布106は、初期設定(ステップ701)後、プロセス管理102から終了要求が来るまでループし(ステップ702)、イベントを持つ(ステップ703)。イベントには、スケジューラ101からのルール配布要求(ステップ704)とプロセス管理102からの終了要求(ステップ712)がある。
【0035】
ルール配布要求(ステップ704)を受信した場合は、ルール管理105を介して配布するルールと配布先であるエージェント20の一覧を取得し(ステップ705)、構成管理104からエージェント20の動作状態及び応答時間の情報を取得する(ステップ706)。取得したエージェント20のping応答時間を応答時間の小さい順番に並べ替える(ステップ707)。このとき動作していないエージェント20については、応答時間を無限大と解釈する。ルールを配布するエージェント20の数だけループし(ステップ708)、エージェント20が動作している場合(ステップ709YES)は応答時間の小さい順番にルールを配布し(ステップ710)、エージェント20が動作していない場合はルール配布失敗のメッセージを出力する(ステップ711)。ルール配布に当っては、RULE_MAX452を適用する。配布したルールは、エージェント20のルール管理203に転送される。
【0036】
終了要求を受信した場合は(ステップ712)、ループを抜けて終了処理を行う(ステップ713)。
【0037】
図24は、マネージャ10のログ収集107の処理の流れを示すPAD図である。ログ収集107は、初期設定(ステップ801)後、プロセス管理102から終了要求が来るまでループし(ステップ802)、イベントを持つ(ステップ803)。イベントには、スケジューラ101からのログ収集要求(ステップ804)、エージェント20からの起動通知(ステップ811)、及びプロセス管理102からの終了要求(ステップ816)がある。
【0038】
ログ収集要求を受信した場合は(ステップ804)、スケジューラ101からログを収集するエージェント20の一覧を取得し(ステップ805)、構成管理104からこれらのエージェント20の動作状態及び応答時間の情報を取得するとともに、応答時間の短い順番にエージェント20をソートする(ステップ806)。ログを収集するエージェント20の数分ループし(ステップ807)、エージェントが動作している場合(ステップ808YES)はログを収集し(ステップ809)、エージェントが動作していない場合(ステップ808NO)はログ収集失敗メッセージを出力する(ステップ810)。ログ収集に当っては、LOG_MAX453を適用する。ログ収集107は、エージェント20のログファイル管理204を介して正規化ログファイル40を収集する。
【0039】
エージェント起動通知を受信した場合は(ステップ811)、構成管理104からエージェント20とのping(ICMPエコーリクエスト)の応答時間を取得する(ステップ812)。ICMP(Internet Control Message Protocol)は、通信ネットワークの管理に関する国際的な標準規格の1つであるアイ・エイ・ビー(IAB:Internet Activities Board)の管理標準である。ICMPを使用すると、IPノード(例えばコンピュータ)が他のIPノードと通信可能であるか否かを確認できる。またpingを使用すると、任意のIPノードと通信可能であるか否かの動作状態と応答時間を取得できる。ping応答時間を取得できた場合(ステップ813YES)は、マネージャ10の現在時刻にこの応答時間から得られる通信時間を加算した時刻を起動通知を発行したエージェント20へ通知する(ステップ814)。マネージャの時刻をエージェントに伝えるためには、マネージャの時刻にマネージャからエージェントへの通信時間を加えた時刻を通知すればよい。pingの応答時間は、マネージャからエージェントとエージェントからマネージャ、つまり行きと返りの通信時間を加えた時間間隔である。そこでping応答時間の1/2を通信時間として利用する。すなわちマネージャは、次の計算式によりエージェントの時刻を推定しエージェントへ通知する:
(エージェントの時刻)≒(マネージャの時刻)+(ping応答時間)/2応答時間を取得できなかった場合(ステップ813NO)、すなわちネットワーク管理システム60から情報を得られない場合は、単にマネージャ10の現在時刻をエージェント20へ通知する(ステップ815)。エージェント20は、マネージャ10の現在時刻を取得して正規化ログデータの補正時刻323に適用する。
【0040】
終了要求を受信した場合は(ステップ816)、ループを抜けて終了処理を行う(ステップ817)。
【0041】
図25は、マネージャ10の構成管理104の処理の流れを示すPAD図である。構成管理104は、初期設定(ステップ901)後、プロセス管理102から終了要求が来るまでループし(ステップ902)、イベントを持つ(ステップ903)。イベントにはルール配布106からのエージェント情報格納要求(ステップ904)、ルール配布106やログ収集107からのエージェント情報取得要求(ステップ909)と、プロセス管理102からの終了要求(ステップ913)がある。
【0042】
エージェント情報格納要求を受信した場合は(ステップ904)、ルール配布106からルールを配布したエージェント20の情報を取得する(ステップ905)。エージェント20の情報とは、ルールの配布時刻、配布したルール名などである。ネットワーク管理システム60と通信可能であるとき(ステップ906YES)は、取得したエージェント情報をネットワーク管理システム60に渡す(ステップ907)。ネットワーク管理システム60は、受信したルール配布の履歴情報をネットワーク管理のために利用可能である。ネットワーク管理システム60と通信できないとき(ステップ906NO)は、エージェント情報を構成管理104が保有するファイルへ格納する(ステップ908)。
【0043】
エージェント情報取得要求を受信した場合は(ステップ909)、ネットワーク管理システム60と通信できるとき(ステップ910YES)には、ネットワーク管理システム60からエージェント20の一覧、動作有無やpingの応答時間等を取得しこれらの情報を要求元に返す(ステップ911)。ネットワーク管理システム60と通信できないとき(ステップ910NO)には、構成管理104のファイルからエージェントの一覧についての情報を取得して要求元に返す(ステップ912)。
【0044】
終了要求を受信した場合は(ステップ913)、ループを抜けて終了処理(ステップ914)を行う。
【0045】
図26は、マネージャ10のデータベース管理109の処理の流れを示すPAD図である。データベース管理109は、初期設定(ステップ1001)し、正規化ログデータベース50に格納している正規化ログデータの保存期間の確認を要求(ステップ1002)した後、プロセス管理102から終了要求が来るまでループし(ステップ1003)、イベントを持つ(ステップ1004)。イベントには、ログ収集107からの正規化ログデータ格納通知(ステップ1005)、ログ解析103からの正規化ログデータ抽出要求(ステップ1008)、データベース管理109自身が正規化ログデータの保存期間を確認するための要求(ステップ1010)と、プロセス管理102からの終了要求(ステップ1014)がある。
【0046】
正規化ログデータ格納通知を受けた場合は(ステップ1005)、ログ収集107から正規化ログデータを取得し正規化ログデータベース50に格納する(ステップ1006)。格納に当っては、図22のデータ構造に従って正規化ログデータを格納する。正規化ログデータは補正時刻630の順に配列されるので、この順に従って正規化ログデータをマージする。また正規化ログデータの保存期間確認を要求する(ステップ1007)。
【0047】
正規化ログデータ抽出要求を受信した場合は(ステップ1008)、指定された検索キーにより正規化ログデータベース50を検索し、その結果抽出したデータを要求元へ応答する(ステップ1009)。
【0048】
保存期間確認要求(ステップ1010)を受信した場合は、正規化ログデータベース50に格納されている正規化ログデータの一番古い補正時刻630と現在時刻の差と、DB_MAX451とを比較し(ステップ1011)、保存期間より古い正規化ログデータを保存しているときは古い正規化ログデータを削除し(ステップ1012)、運用者に知らせるために削除メッセージを出力する(ステップ1013)。
【0049】
終了要求を受信した場合は(ステップ1014)、ループを抜けて終了処理(ステップ1015)を行う。
【0050】
図27は、エージェント20のログ入力202の処理の流れを示すPAD図である。ログ入力202は、初期設定し(ステップ1101)、エージェント20のルール管理203からログファイル監視ルール500とフォーマットルール510,515等を取得(ステップ1102)後、プロセス管理201から終了要求が来るまでループし(ステップ1103)、イベントを持つ(ステップ1104)。イベントには、ログファイル管理204からのログ入力中断要求(ステップ1105)とログ入力再開要求(ステップ1107)、プロセス管理201からの終了要求(ステップ1109)及び時間監視によるタイマ割り込みがある。
【0051】
ログ入力中断要求を受信した場合は(ステップ1105)、ログ入力を中断する(ステップ1106)。中断する要因は、正規化ログファイル40の容量がFILE_MAXSIZE472に達したときである。
【0052】
ログ入力再開要求を受信した場合は(ステップ1107)、ログ入力を再開する(ステップ1108)。再開する要因は、正規化ログファイルをマネージャ10へ転送したときである。
【0053】
終了要求を受信した場合は(ステップ1109)、ループを抜けて終了処理(ステップ1117)を行う。
【0054】
ログファイル監視ルール500に設定された監視間隔に従ってログファイルの監視時刻になったとき、監視対象ログファイル群30をオープンし(ステップ1111)、このログファイルのファイル管理情報を取得する。ファイル管理情報が前回取得したもの同じか否かを確認する(ステップ1112)。同じ場合は(ステップ1112YES)、前回オープンしたファイルと同じ内容であるため前回のファイルのオフセットからログデータを入力する(ステップ1113)。前回のファイルのオフセットは、当該ファイルについて前回入力済のレコードの次のレコードを指している。異なる場合は(ステップ1112NO)、新しいファイル(前回オープンしたファイルは削除された等)であると解釈し、先頭からログデータを入力する(ステップ1114)。その後、入力したログデータを正規化し(ステップ1115)、正規化ログデータをログファイル管理204ヘ通知する(ステップ1116)。ログデータの正規化は、上記のようにフォーマットルール510,515等を適用して行う。正規化ログデータをログファイル管理204に渡した後、当該ログファイルをクローズし、監視間隔に従って次の監視時刻にタイマを設定する。
【0055】
図28は、エージェント20のログファイル管理204の処理の流れを示すPAD図である。ログファイル管理204は、初期設定し(ステップ1201)、ルール管理203から動作条件ルール470とフィルタリングルール520を取得(ステップ1202)した後、プロセス管理201から終了要求が来るまでループし(ステップ1203)、イベントを持つ(ステップ1204)。イベントには、ログ入力202からの正規化ログデータ格納通知(ステップ1205)、マネージャ10のログ収集107からのログ収集要求(ステップ1209)、ログファイル管理204自身からの正規化ログファイル容量確認要求(ステップ1211)、マネージャ10のログ収集107からのマネージャ時刻の通知(ステップ1216)と、プロセス管理201からの終了要求(ステップ1218)がある。
【0056】
正規化ログデータ格納通知を受信した場合は(ステップ1205)、ログ入力202から正規化ログデータを取得し(ステップ1206)、エージェントとマネージャの時間差(ステップ1217の処理結果)とログ出力時刻322から補正時刻323を計算する。ログ入力202から取得した正規化ログデータにこの補正時刻323を追加して正規化ログファイル40に格納する(ステップ1207)。取得した正規化ログデータにフィルタリングルール520を適用して条件に合致する正規化ログデータのみを正規化ログファイル40に格納する。次に正規化ログファイル容量確認要求を発行する(ステップ1208)。
【0057】
ログ収集要求を受信した場合は(ステップ1209)、正規化ログファイル40中の正規化ログデータを補正時刻323の順にソートした後、MANAGER_ADDRESS471に示されるマネージャ10ヘ転送する(ステップ1210)。
【0058】
正規化ログファイル容量確認要求を受信した場合は(ステップ1211)、正規化ログファイルの使用容量とFILE_MAXSIZE472を比較し(ステップ1212)、最大サイズに達したとき(ステップ1212YES)は、ログ入力202ヘ中断通知を発行する(ステップ1213)。最大サイズに達していないとき(ステップ1212NO)は、前回中断要求を発行したか確認し(ステップ1214)、発行していたとき(ステップ1214YES)は、ログ入力202へログ入力再開要求を通知する(ステップ1215)。
【0059】
マネージャ時刻の通知を受信した場合は(ステップ1216)、エージェントとマネージャのコンピュータ時刻の差を計算する(ステップ1217)。
【0060】
終了要求を受信した場合は(ステップ1218)、ループを抜けて終了処理(ステップ1219)を行う。
【0061】
【発明の効果】
以上説明したように本発明によれば、エージェントが複数のログファイルを監視し種々の形式で出力されたログデータを入力した後、正規化を行い共通的なデータ形式に変換する。また必要なログデータだけを抽出し、ログデータの出力時刻としてマネージャの時計に合わせた補正時刻を使用するようにしたので、運用者はネットワークに存在する複数のコンピュータのログデータを統一したデータ形式及び時刻に基づいて解析することができる。
【0062】
またマネージャが蓄積するログデータについては、所定期間のログデータを保存するようにしたので、古いログデータから順に削除する形でログ情報の総量を規制できる。
【0063】
さらに収集したログデータを補正時刻及び正規化項目によって検索可能としたので、運用者は必要なログ情報を容易に取得できる。
【図面の簡単な説明】
【図1】実施形態のネットワークシステムの構成図である。
【図2】実施形態のマネージャとエージェントが行う処理動作の概略を示す図である。
【図3】実施形態のマネージャ10の構成を示す機能ブロック図である。
【図4】実施形態のエージェント20の構成を示す機能ブロック図である。
【図5】実施形態の正規化ログデータの概略構成を示す図である。
【図6】実施形態の共通情報クラスのデータ構成を示す図である。
【図7】実施形態のユーザ情報クラスのデータ構成を示す図である。
【図8】実施形態のサービス情報クラスのデータ構成を示す図である。
【図9】実施形態のアドレス情報クラスのデータ構成を示す図である。
【図10】実施形態のファイル情報クラスのデータ構成を示す図である。
【図11】実施形態のトラフィフィック情報クラスのデータ構成を示す図である。
【図12】実施形態の個別情報クラスのデータ構成を示す図である。
【図13】実施形態のデータ格納クラスのデータ構造を示す図である。
【図14】正規化項目のコード化テーブルの例を示す図である。
【図15】マネージャルールの例を示す図である。
【図16】エージェントの動作条件ルールの例を示す図である。
【図17】エージェントのログファイル監視ルールの例を示す図である。
【図18】エージェントのフォーマットルール(その1)の例を示す図である。
【図19】エージェントのフォーマットルール(その2)の例を示す図である。
【図20】エージェントのフィルタリングルールの例を示す図である。
【図21】監視対象ログファイルのログデータであるメッセージテキストの例を示す図である。
【図22】実施形態の正規化ログデータベースのデータ構造を示す図である。
【図23】実施形態のマネージャが行うルール配布の処理の流れを示すPAD図である。
【図24】実施形態のマネージャが行うログ収集の処理の流れを示すPAD図である。
【図25】実施形態のマネージャが行う構成管理の処理の流れを示すPAD図である。
【図26】実施形態のマネージャが行うデータベース管理の処理の流れを示すPAD図である。
【図27】実施形態のエージェントが行うログ入力の処理の流れを示すPAD図である。
【図28】実施形態のエージェントが行うログファイル管理の処理の流れを示すPAD図である。
【符号の説明】
10・・・マネージャ、20・・・エージェント、40・・・正規化ログファイル、50・・・正規化ログデータベース、60・・・ネットワーク管理システム、104・・・構成管理、106・・・ルール配布、107・・・ログ収集、109・・・データベース管理、110・・・ルール、202・・・ログ入力、204・・・ログファイル管理、205・・・ルール
【発明の属する技術分野】
本発明は、マネージャがネットワークを介してエージェントからログデータを収集するシステムに係わり、特にマネージャがシステム内に存在するログデータを共通的なログデータ形式に基づいて管理するログデータの収集と管理の方式に関する。
【0002】
【従来の技術】
情報処理装置で実行されるオペレーティングシステム(OS)やアプリケーションプログラムは、各種のログ情報を出力する。出力されたログ情報を収集するいくつかの方式が知られている。例えば特開平5−250229号公報は、複数のコンピュータからのログデータ収集において、ログデータ中のエラーコードを検出することにより、エラー状態のコンピュータからのログデータを優先的に送信するログデータ収集方式を開示する。また特開平5−28008号公報は、情報処理システムが障害ログを収集するとき貯蔵手段に貯えられたログ情報の個数が一定数に達したことを検出し、ログ登録の抑止を行うことにより重要な障害情報の消失を防ぐログ情報収集方式を開示する。また特開平5−111029号公報は、下位の設備端末からのデータが採取された時刻をデータに付与して上位の制御装置に送ることにより、複数の端末からの各データの時系列的な関係が損なわれることがないようにするデータ収集方式を開示する。
【0003】
【発明が解決しようとする課題】
ネットワークを介して複数のコンピュータが接続され、コンピュータが他のコンピュータと通信しながら処理を進める分散処理システムにおいて、一人のユーザは複数の広範囲に亘るコンピュータやファイルにアクセスし得る。従ってログデータを解析することによってコンピュータやファイルへの不正なアクセスを検出するためには、個々のコンピュータが出力するログデータを中央のコンピュータに集約し、データベースに蓄積する必要がある。しかしながら各種のシステムプログラムやアプリケーションプログラムが出力するログデータは、各々そのデータ形式が異なっているので、単に個々のコンピュータプログラムが出力するログデータを収集して集約するだけではログデータの解析が困難である。また個々のコンピュータが保有する時刻がすべてのコンピュータに亘って一致しているとは限らないので、一般に個々のログデータに付与されている時刻にはずれが生じており、集約されたログデータを正しい時刻の順序に従って配列することが困難である。
【0004】
本発明は、上記の事情に鑑みてなされたものであり、その目的とするところは、共通的なデータ形式に正規化されたログデータを管理することにある。
【0005】
本発明の他の目的は、各サイトのコンピュータからログデータを収集する中央のコンピュータの時刻を基準とするログデータを管理することにある。
【0006】
【課題を解決するための手段】
上記目的を達成するため、本発明は、監視の対象とするログファイル中のログデータからあらかじめ定義されたデータ項目に対応する値を切り出して規定されたデータ項目の値を配列する正規化されたログデータを作成して蓄積する手段と、蓄積された正規化ログデータをネットワークを介してマネージャの機能を実行するコンピュータへ送信する手段とをエージェントの処理手段として有するログデータの収集をするコンピュータを特徴とする。
【0007】
また本発明は、ネットワークを介してエージェントの機能を実行するコンピュータからあらかじめ定義された共通のデータ形式に従って正規化されたログデータであってマネージャの基準とする時刻に基づいて補正されたログ出力時刻を有する正規化ログデータを受信する手段と、該正規化ログデータを補正時刻の順にデータベースに蓄積する手段とをマネージャの処理手段として有するログデータの収集と管理をするコンピュータを特徴とする。
【0008】
【発明の実施の形態】
以下、本発明の一実施形態について図面に基づいて詳細に説明する。
【0009】
図1は、本発明を適用する通信ネットワークの一例を示すシステム構成図である。ネットワークは複数のLAN1,3,4及びWAN(ワイド・エリア・ネットワーク)2に結合されるものである。マネージャ10は、計算機の主記憶装置に格納され、OSの下で走行するアプリケーションプログラム(AP)である。エージェント20は、サーバ等の計算機の主記憶装置に格納され、OSの下で走行するAPである。マネージャ10は、LAN1,3,4又はWAN2を介してエージェント20−1,20−2,20−3,20−4と通信することが可能である。図に示すように、エージェント20を実行する計算機はエージェント20と並行して他のAPを実行することが可能である。マネージャ10を実行する計算機もマネージャ10と並行して他のAPを実行することが可能であるが、充分なCPU性能と資源を確保するためには、専用の計算機を割り当てるのが望ましい。60はこのネットワークシステムを管理するネットワーク管理システムであり、ネットワーク管理プログラム及び図示しないネットワーク監視端末から構成される。ネットワーク管理システム60は、ネットワーク資源についての情報をマネージャ10に提供する。
【0010】
図2は、マネージャとエージェントが行う処理動作の概略を示す図である。マネージャ10は、定義された各種ルールをエージェント20へ配布する(▲1▼)。エージェント20は、受信したルールを登録し、そのルールに従い監視対象ログファイル群30からログデータを入力し(▲2▼)、ログデータを正規化した後、正規化ログファイル40に格納する(▲3▼)。このとき正規化ログデータ中のログ出力時刻をマネージャ10の時刻を基準とする補正時刻によつて補正する。エージェント20は、マネージャ10からログ収集要求があったとき正規化ログファイル40から正規化されたログデータを取り出し(▲4▼)、マネージャ10へ転送する(▲5▼)。マネージャ10は、収集した正規化ログデータを補正時刻の順に正規化ログデータベース50に格納する(▲6▼)。またマネージャ10は、必要に応じて正規化ログデータベース50から任意の正規化ログデータを抽出し、その解析を行う。
【0011】
図3は、マネージャ10の構成を示す機能ブロック図である。ルール110は定義された各種ルールであり、記憶装置に格納される。正規化ログデータベース50は、収集された正規化ログデータを格納するデータベースであり、記憶装置に格納される。ネットワーク管理システム60は、ネットワークを介してマネージャ10を格納する計算機と接続される他の計算機およびネットワークを監視する端末装置から構成されるシステムであり、マネージャ10と同じ計算機で走行するネットワーク管理プログラムは、ネットワークの構成要素である各通信回線、ルータ、中継機、各種計算機、計算機のプログラム等の動作状態(接続中/接続断,動作中/停止状態など)、各ネットワーク構成要素の所在場所などを管理する。以下マネージャ10を構成する各機能モジュールの機能の概略について述べる。
(1)ルール定義100
運用者が各種ルールを定義するためのプログラムツールであり、図示しない入力装置及び表示装置を介してユーザが容易にルールを設定できるようなGUI(グラフィカル・ユーザ・インタフェース)を提供する。
(2)スケジューラ101
ルール配布及びログ収集を実行する契機をそれぞれルール配布106及びログ収集107に知らせるプログラムである。契機の例として、例えば毎日午後5時、毎週土曜日の午後3時15分などのように実行開始を指示する。
(3)プロセス管理102
マネージャ10の100〜109を付す各機能モジュールの起動/停止を制御するプログラムである。
(4)ログ解析103
データベース管理109を介して正規化ログデータベース50から正規化ログデータ群を抽出し、所定の解析を行うプログラムである。以下ログ事象がログインである場合のログデータ解析の例を表1に示す。ログ事象及び正規化項目については後述する。
【0012】
【表1】
対象とするエージェント20の一覧を管理するプログラムである。またネットワーク管理システム60に問い合わせを行ってエージェント20が動作する計算機の動作有無やpingの応答時間等の情報を取得してルール配布106又はログ収集107に渡す。
(6)ルール管理105
ルール定義100から定義された各種ルールを受け取ってルール110に格納する。またルール110からルールを読み出してルール配布106に渡す。
(7)ルール配布106
スケジューラ101の指示に従い、ルール管理105から各種ルールを取得してエージェント20ヘ配布するプログラムである。
(8)ログ収集107
スケジューラ101の指示に従い、エージェント20から正規化ログファイルを収集するプログラムである。
(9)データ通信108
ルール配布106及びログ収集107がエージェント20と通信するときに通信制御を行うプログラムである。
(10)データベース管理109
ログ収集107がエージェント20から収集した正規化ログデータ群(正規化ログファイル)を正規化ログデータベース50に格納し、ログ解析103からの要求によって正規化ログデータを検索し抽出する。また所定の保存期間を過ぎた正規化ログデータを正規化ログデータベース50から削除し、未使用の記憶領域を生み出す。
【0013】
図4は、エージェント20の構成を示す機能ブロック図である。ルール205は配布を受けた各種ルールであり、記憶装置に格納される。監視対象ログファイル群30は、監視対象とするログファイルであり、記憶装置に格納される。正規化ログファイル40は、正規化ログデータを格納するファイルであり、記憶装置に格納される。以下エージェント20を構成する各機能モジュールの機能の概略について述べる。
(1)データ通信200
データ通信200は、ルール管理203及びログファイル管理204がマネージャ10と通信するときに通信制御を行うプログラムである。
(2)プロセス管理201
エージェント20の200〜204を付す各機能モジュールの起動/停止を制御するプログラムである。
(3)ログ入力202
ルール管理203からログファイル監視ルールやフォーマットルール等を取得し、監視対象ログファイル群30から入力したログデータを正規化した後、正規化ログデータをログファイル管理204へ渡すプログラムである。
(4)ルール管理203
マネージャ10から配布された各種ルールをルール205として記憶装置に格納し、ログ入力202又はログファイル管理204の要求に応じてルールを提供するプログラムである。
(5)ログファイル管理204
ルール管理203からフィルタリングルールを取得し、ログ入力202から受け取った正規化ログデータをフィルタリングし、補正時刻を付加して正規化ログファイル40に格納する。マネージャ10のログ収集107から正規化ログファイル40の収集要求を受信したとき、正規化ログファイル40をマネ―ジャ10へ転送する。
【0014】
図5〜図14は、正規化ログデータの構造の一例を示す図である。
【0015】
図5は、正規化ログファイル40に格納される正規化ログデータ300の概略構成を示す図である。正規化ログデータ300は、共通情報クラス301と必要に応じて追加されるユーザ情報クラス302、サービス情報クラス303、アドレス情報クラス304、ファイル情報クラス305、トラフィク情報クラス306、個別情報クラス307等から構成される。共通情報クラス301は、すべての正規化ログデータ300に必須の情報クラスであり、残りの情報クラスは出力されたログデータに応じて選択されるものである。
【0016】
図6は、共通情報クラス301のデータ構成を示す図である。正規化バージョン310は、正規化のバージョンを示す番号である。ログ種別はログ事象311、ログ事象結果312、ログ出力プログラム313、データ格納クラス314及びログファイル名315を含む。ログ出力プログラム313はログを出力したOS又はAPの名称であり、ログファイル名315はログ出力プログラム313が出力したログファイルの名称である。ログ事象311、ログ事象結果312及びデータ格納クラス314については後述する。マネージャは、マネージャを搭載する計算機のホスト名316とホストIPアドレス317を格納する。エージェントは、ログを入力したエージェントを搭載する計算機のホスト名318とホストIPアドレス319を格納する。監視対象は、監視対象とするサーバ等の計算機のホスト名320とホストIPアドレス321を格納する。時刻はログ出力時刻322と補正時刻323から成る。ログ出力時刻322はログを出力した計算機の局所的な時刻であり、補正時刻323はマネージャ10を搭載する計算機の時刻に基づいて補正した時刻である。フィルタリングルール名324は、ログデータを正規化するときに適用したフィルタリングルールの名称である。
【0017】
図7は、ユーザ情報クラス302のデータ構成を示す図である。ユーザ情報クラス302は、ログインしたユーザに関する情報を記録するものであり、ユーザ名330、ユーザID(UID)331、ユーザ変更した後のユーザ名332、変更後のUID333、ユーザのセキュリティレベル334、計算機やファイルへのアクセス権335、アクセスした結果336及びユーザが操作した端末装置の名称(端末名337)を格納する。
【0018】
図8は、サービス情報クラス303のデータ構成を示す図である。サービス情報クラス303は、ユーザに提供したサービスについての情報を記録する。サービスは、サービス名340、サービスバージョン341、サービス提供のために起動したプロセスの名称(プロセス名342)及びプロセスID343を格納する。
【0019】
図9は、アドレス情報クラス304のデータ構成を示す図である。アドレス情報クラス304は、他計算機とコネクションを行ったときの情報を記録するものであり、接続元及び接続先のホスト名、IPアドレス、MACアドレス、ポート番号の他にコネクション状態、コネクションの開始時刻と終了時刻及び他計算機へのアクセス結果を格納する。
【0020】
図10は、ファイル情報クラス305のデータ構成を示す図である。ファイル情報クラス305は、ユーザが作成又は変更したファイルについてファイル名、変更前のアクセス情報及び変更後のアクセス情報を記録する。アクセス情報は、ファイルの作成時刻、最終修正時刻、最終アクセス時刻、ファイルのi−node番号、アクセス許可の有無、UID、グループID(GID)及び最終的なファイルのサイズを格納する。
【0021】
図11は、トラフィク情報クラス306のデータ構成を示す図である。トラフィク情報クラス306は、メール管理プログラム、ファイル転送プログラム等が出力するログ情報であり、ネットワークを介するデータやメッセージの受信バイト数、送信バイト数及びデータの転送時間(処理時間)を記録する。
【0022】
図12は、個別情報クラス307のデータ構成を示す図である。個別情報クラス307は、オプションであり、プログラムが出力するメッセージテキストの原文そのままの情報である。
【0023】
図13は、データ格納クラス314のデータ構造を示す図である。“T1”はデータ格納クラス314を識別するためのタグであり、“L1”は存在する情報クラスを指定する領域V1の長さを示す。“V1”は、各正規化ログデータ300に含まれる情報クラスを指定する領域であり、情報クラスの指定の開始を示すタグ、情報クラス識別子の長さ及び情報クラス識別子を順番に指定する。情報クラス識別子の長さは可変長である。各情報クラスを識別する番号をxとすると、Tx(x≧2)は情報クラスの開始を示すタグであり、Lx(x≧2)はそのVxの部分の長さであり、Vx(x≧2)は情報クラス識別子である。マネージャ10は、このデータ格納クラス314により各正規化ログデータが有する情報クラスを認識する。
【0024】
図14は、正規化項目のうちコード化が可能なもののコード化テーブル600の一例を示す図である。正規化項目のログ事象311が“login”の場合はコード“1”に、ユーザ変更“su”の場合はコード“2”というようにコード化される。コネクト(connect)は、計算機間でファイル転送やプログラム間通信を行う際のコネクションに関するログ事象を示す。ファイルは内容変更されたファイルに関するログ事象、ジョブはジョブの起動/停止/終了状態に関するログ事象である。メールはメール使用に関するログ事象を示す。ログ事象結果312はログ事象の結果であり、成功か失敗かを区分する。ユーザ情報クラス302のアクセス権335についてはあり又はなしを区分する。ユーザ情報クラス302及びアドレス情報クラス304のアクセス結果については、成功か失敗かを区分する。ファイル情報クラス305のアクセス許可については、あり又はなしを区分する。
【0025】
図15〜図20は、ルールのデータ形式を示す図である。
【0026】
図15は、マネージャルール450の一例を示す図である。DB_MAX451は正規化ログデータベース50が正規化ログデータを保存可能な期間を示す保存期間を定義する。RULE_MAX452はルール配布に使用できる最大の通信路数を定義する。LOG_MAX453はログ収集に使用できる最大の通信路数を定義する。ルール配布106やログ収集107は、この多重度数だけ通信路を使用できるが、処理の要求がこの多重度より大きい場合は通信路を順番に使用し、通信路が空くまで待った後、残りの処理を実行する。
【0027】
図16は、エージェント20の動作条件ルール470の一例を示す図である。MANAGER_ADDRESS471はマネージャのIPアドレスを定義し、FILE_MAXSIZE472は正規化ログファイル40が使用できる最大の記憶容量を定義する。
【0028】
図17は、ログファイル監視ルール500の一例を示す図である。TARGET_LOGは監視対象ログファイル名を定義し、FORMATによりファイルの形式(SEQ:シーケンシャル形式、WRAP:ラップアラウンド形式)を定義し、INTERVALにより監視間隔の時間(たとえば、10分間隔)を定義する。FMT_NAMEは当該ログファイルを正規化するときに適用するルールを定義する。例により説明すると、
TARGET_LOG:/usr/adm/syslog.log,FORMAT=SEQ,INTERVAL=10m,FMT_NAME=abc;
は、シ−ケンシャル形式のファイル/usr/adm/syslog.logを10分間隔で監視し、フォーマットルールabcにより正規化処理を行うことを示す。FMT_NAMEの指定がない場合は、エージェント20の間で共通のフォーマットルールにより正規化を行う。
【0029】
図18と図19は、フォーマットルール510及び515の一例を示す図である。ログデータがテキスト形式の場合はFMT_Tを適用し、バイナリ形式の場合はFMT_Bを適用する。REGTEXT=“文字列n”は、ログデータを選択する条件を示し、ログデータ中に文字列nが存在すれば、以下に示す規則に従ってログデータを正規化することを示す。&&は論理積(AND)を示し、複数の文字列の存在を選択条件とすることができる。|はthenを意味し、以下ログデータの文字列のシーケンスに従って文字列から順に正規化項目を拾って行くことを意味する。正規化項目とは、各情報クラスで定義されるデータ項目のことである。:は、ログデータの先頭から順番にポインタをずらして正規化項目に対応する値を切り出すための区切り文字である。正規化項目に続いて[]内に指定される文字は、任意のポインタから認識する文字列の長さ、またはその文字列が可変長の場合に認識する最後の文字を指定する。SKIPは、ログデータの先頭から順番にポインタをずらしていった場合、正規化項目に関係ない文字列が存在する場合にその文字列を読み飛ばすことを意味し、[]内には読み飛ばす文字数又は認識する最後の文字となる“区切り文字”を指定する。区切り文字を指定した場合は、その区切り文字まで読み飛ばす。以下フォーマットルールの例を挙げる。
(a)フォーマットルールA
FMT_T:REGTEXT == “SU” && REGTEXT == “+” | ログ事象 == “2” | ログ事象結果== “0” :SKIP[“ ”]:ログ出力時刻[10]: SKIP[3]:端末名[“ ”]:ユーザ名[“-”]:変更後のユーザ名[“ ”];
(b)フォーマットルールB
FMT_T:REGTEXT == “connect” && REGTEXT == “refused" | ログ事象 == “3" | ログ事象結果 == “1" :ログ出力時刻[15]: 接続先ホスト名[“ ”]:プロセス名[“["]:プロセスID[“]"]:SKIP[“from "]:接続元ホスト名[“ ”];。 図21は、ログファイルに格納されているメッセージテキストの原文の例を示す図である。メッセージテキスト551及び552は、OSが出力するユーザ変更に関するメッセージテキストの例である。メッセージテキスト553〜555は、OSがコネクション時に出力するメッセージテキストである。メッセージテキスト556及び557は、OSのジョブ管理が出力するメッセージテキストである。
【0030】
メッセージテキスト551をフォーマットルールAによって正規化すると、
・ログ事象311=2(su)
・ログ事象結果312=0(成功)
・ログ出力時刻322=1/30 11:18のエポックタイム
・端末名337=ttyp5
・ユーザ名330=fujino
・変更後のユーザ名332=root
となる。
【0031】
メッセージテキスト554をフォーマットルールBによって正規化すると、
・ログ事象311=3(connect)
・ログ事象結果312=1(失敗)
・ログ出力時刻322=Jan 12 13:12:15のエポックタイム
・接続先ホスト名354=hosta
・接続先IPアドレス355=hostaをIPアドレスに変換した値
・プロセス名342=ftpd
・プロセスID343=1111
・接続元ホスト名350=hostb
・接続元IPアドレス351=hostbをIPアドレスに変換した値
となる。
【0032】
図20は、フィルタリングルール520の一例を示す図であり、ログファイル管理204が該当する正規化ログデータだけを格納するためのルールである。FLTはフィルタリングルールであることを示し、正規化項目が指定した文字列やコードであったり、指定した時間帯の正規化ログデータであった場合、そのような条件に適合する正規化ログデータだけを抽出して格納する。==はイコールを、!=はnotイコールを、&&は論理積ANDを、||は論理和ORを、―は時間間隔をそれぞれ意味する。
【0033】
図22は、正規化ログデータベース50のデータ構造を例示する図である。正規化ログデータベース50は、正規化ログデータを補正時刻630の順に配列して格納する。ある補正時刻630から共通情報クラス631のログデータにチェインする。また共通情報クラス631からこれに続いて存在する情報クラスのログデータに次々とチェインする。情報クラスに対応して示される検索キーは、正規化ログデータを検索するときにキーとして使用される正規化項目を示すものである。また補正時刻630から次の補正時刻630へチェインが張られている。ユーザは、補正時刻630によって、また該当する情報クラスの検索キーを指定することによって正規化ログデータベース50から目的とする正規化ログデータを効率良く抽出することができる。
【0034】
図23は、マネージャ10のルール配布106の処理の流れを示すPAD図である。ルール配布106は、初期設定(ステップ701)後、プロセス管理102から終了要求が来るまでループし(ステップ702)、イベントを持つ(ステップ703)。イベントには、スケジューラ101からのルール配布要求(ステップ704)とプロセス管理102からの終了要求(ステップ712)がある。
【0035】
ルール配布要求(ステップ704)を受信した場合は、ルール管理105を介して配布するルールと配布先であるエージェント20の一覧を取得し(ステップ705)、構成管理104からエージェント20の動作状態及び応答時間の情報を取得する(ステップ706)。取得したエージェント20のping応答時間を応答時間の小さい順番に並べ替える(ステップ707)。このとき動作していないエージェント20については、応答時間を無限大と解釈する。ルールを配布するエージェント20の数だけループし(ステップ708)、エージェント20が動作している場合(ステップ709YES)は応答時間の小さい順番にルールを配布し(ステップ710)、エージェント20が動作していない場合はルール配布失敗のメッセージを出力する(ステップ711)。ルール配布に当っては、RULE_MAX452を適用する。配布したルールは、エージェント20のルール管理203に転送される。
【0036】
終了要求を受信した場合は(ステップ712)、ループを抜けて終了処理を行う(ステップ713)。
【0037】
図24は、マネージャ10のログ収集107の処理の流れを示すPAD図である。ログ収集107は、初期設定(ステップ801)後、プロセス管理102から終了要求が来るまでループし(ステップ802)、イベントを持つ(ステップ803)。イベントには、スケジューラ101からのログ収集要求(ステップ804)、エージェント20からの起動通知(ステップ811)、及びプロセス管理102からの終了要求(ステップ816)がある。
【0038】
ログ収集要求を受信した場合は(ステップ804)、スケジューラ101からログを収集するエージェント20の一覧を取得し(ステップ805)、構成管理104からこれらのエージェント20の動作状態及び応答時間の情報を取得するとともに、応答時間の短い順番にエージェント20をソートする(ステップ806)。ログを収集するエージェント20の数分ループし(ステップ807)、エージェントが動作している場合(ステップ808YES)はログを収集し(ステップ809)、エージェントが動作していない場合(ステップ808NO)はログ収集失敗メッセージを出力する(ステップ810)。ログ収集に当っては、LOG_MAX453を適用する。ログ収集107は、エージェント20のログファイル管理204を介して正規化ログファイル40を収集する。
【0039】
エージェント起動通知を受信した場合は(ステップ811)、構成管理104からエージェント20とのping(ICMPエコーリクエスト)の応答時間を取得する(ステップ812)。ICMP(Internet Control Message Protocol)は、通信ネットワークの管理に関する国際的な標準規格の1つであるアイ・エイ・ビー(IAB:Internet Activities Board)の管理標準である。ICMPを使用すると、IPノード(例えばコンピュータ)が他のIPノードと通信可能であるか否かを確認できる。またpingを使用すると、任意のIPノードと通信可能であるか否かの動作状態と応答時間を取得できる。ping応答時間を取得できた場合(ステップ813YES)は、マネージャ10の現在時刻にこの応答時間から得られる通信時間を加算した時刻を起動通知を発行したエージェント20へ通知する(ステップ814)。マネージャの時刻をエージェントに伝えるためには、マネージャの時刻にマネージャからエージェントへの通信時間を加えた時刻を通知すればよい。pingの応答時間は、マネージャからエージェントとエージェントからマネージャ、つまり行きと返りの通信時間を加えた時間間隔である。そこでping応答時間の1/2を通信時間として利用する。すなわちマネージャは、次の計算式によりエージェントの時刻を推定しエージェントへ通知する:
(エージェントの時刻)≒(マネージャの時刻)+(ping応答時間)/2応答時間を取得できなかった場合(ステップ813NO)、すなわちネットワーク管理システム60から情報を得られない場合は、単にマネージャ10の現在時刻をエージェント20へ通知する(ステップ815)。エージェント20は、マネージャ10の現在時刻を取得して正規化ログデータの補正時刻323に適用する。
【0040】
終了要求を受信した場合は(ステップ816)、ループを抜けて終了処理を行う(ステップ817)。
【0041】
図25は、マネージャ10の構成管理104の処理の流れを示すPAD図である。構成管理104は、初期設定(ステップ901)後、プロセス管理102から終了要求が来るまでループし(ステップ902)、イベントを持つ(ステップ903)。イベントにはルール配布106からのエージェント情報格納要求(ステップ904)、ルール配布106やログ収集107からのエージェント情報取得要求(ステップ909)と、プロセス管理102からの終了要求(ステップ913)がある。
【0042】
エージェント情報格納要求を受信した場合は(ステップ904)、ルール配布106からルールを配布したエージェント20の情報を取得する(ステップ905)。エージェント20の情報とは、ルールの配布時刻、配布したルール名などである。ネットワーク管理システム60と通信可能であるとき(ステップ906YES)は、取得したエージェント情報をネットワーク管理システム60に渡す(ステップ907)。ネットワーク管理システム60は、受信したルール配布の履歴情報をネットワーク管理のために利用可能である。ネットワーク管理システム60と通信できないとき(ステップ906NO)は、エージェント情報を構成管理104が保有するファイルへ格納する(ステップ908)。
【0043】
エージェント情報取得要求を受信した場合は(ステップ909)、ネットワーク管理システム60と通信できるとき(ステップ910YES)には、ネットワーク管理システム60からエージェント20の一覧、動作有無やpingの応答時間等を取得しこれらの情報を要求元に返す(ステップ911)。ネットワーク管理システム60と通信できないとき(ステップ910NO)には、構成管理104のファイルからエージェントの一覧についての情報を取得して要求元に返す(ステップ912)。
【0044】
終了要求を受信した場合は(ステップ913)、ループを抜けて終了処理(ステップ914)を行う。
【0045】
図26は、マネージャ10のデータベース管理109の処理の流れを示すPAD図である。データベース管理109は、初期設定(ステップ1001)し、正規化ログデータベース50に格納している正規化ログデータの保存期間の確認を要求(ステップ1002)した後、プロセス管理102から終了要求が来るまでループし(ステップ1003)、イベントを持つ(ステップ1004)。イベントには、ログ収集107からの正規化ログデータ格納通知(ステップ1005)、ログ解析103からの正規化ログデータ抽出要求(ステップ1008)、データベース管理109自身が正規化ログデータの保存期間を確認するための要求(ステップ1010)と、プロセス管理102からの終了要求(ステップ1014)がある。
【0046】
正規化ログデータ格納通知を受けた場合は(ステップ1005)、ログ収集107から正規化ログデータを取得し正規化ログデータベース50に格納する(ステップ1006)。格納に当っては、図22のデータ構造に従って正規化ログデータを格納する。正規化ログデータは補正時刻630の順に配列されるので、この順に従って正規化ログデータをマージする。また正規化ログデータの保存期間確認を要求する(ステップ1007)。
【0047】
正規化ログデータ抽出要求を受信した場合は(ステップ1008)、指定された検索キーにより正規化ログデータベース50を検索し、その結果抽出したデータを要求元へ応答する(ステップ1009)。
【0048】
保存期間確認要求(ステップ1010)を受信した場合は、正規化ログデータベース50に格納されている正規化ログデータの一番古い補正時刻630と現在時刻の差と、DB_MAX451とを比較し(ステップ1011)、保存期間より古い正規化ログデータを保存しているときは古い正規化ログデータを削除し(ステップ1012)、運用者に知らせるために削除メッセージを出力する(ステップ1013)。
【0049】
終了要求を受信した場合は(ステップ1014)、ループを抜けて終了処理(ステップ1015)を行う。
【0050】
図27は、エージェント20のログ入力202の処理の流れを示すPAD図である。ログ入力202は、初期設定し(ステップ1101)、エージェント20のルール管理203からログファイル監視ルール500とフォーマットルール510,515等を取得(ステップ1102)後、プロセス管理201から終了要求が来るまでループし(ステップ1103)、イベントを持つ(ステップ1104)。イベントには、ログファイル管理204からのログ入力中断要求(ステップ1105)とログ入力再開要求(ステップ1107)、プロセス管理201からの終了要求(ステップ1109)及び時間監視によるタイマ割り込みがある。
【0051】
ログ入力中断要求を受信した場合は(ステップ1105)、ログ入力を中断する(ステップ1106)。中断する要因は、正規化ログファイル40の容量がFILE_MAXSIZE472に達したときである。
【0052】
ログ入力再開要求を受信した場合は(ステップ1107)、ログ入力を再開する(ステップ1108)。再開する要因は、正規化ログファイルをマネージャ10へ転送したときである。
【0053】
終了要求を受信した場合は(ステップ1109)、ループを抜けて終了処理(ステップ1117)を行う。
【0054】
ログファイル監視ルール500に設定された監視間隔に従ってログファイルの監視時刻になったとき、監視対象ログファイル群30をオープンし(ステップ1111)、このログファイルのファイル管理情報を取得する。ファイル管理情報が前回取得したもの同じか否かを確認する(ステップ1112)。同じ場合は(ステップ1112YES)、前回オープンしたファイルと同じ内容であるため前回のファイルのオフセットからログデータを入力する(ステップ1113)。前回のファイルのオフセットは、当該ファイルについて前回入力済のレコードの次のレコードを指している。異なる場合は(ステップ1112NO)、新しいファイル(前回オープンしたファイルは削除された等)であると解釈し、先頭からログデータを入力する(ステップ1114)。その後、入力したログデータを正規化し(ステップ1115)、正規化ログデータをログファイル管理204ヘ通知する(ステップ1116)。ログデータの正規化は、上記のようにフォーマットルール510,515等を適用して行う。正規化ログデータをログファイル管理204に渡した後、当該ログファイルをクローズし、監視間隔に従って次の監視時刻にタイマを設定する。
【0055】
図28は、エージェント20のログファイル管理204の処理の流れを示すPAD図である。ログファイル管理204は、初期設定し(ステップ1201)、ルール管理203から動作条件ルール470とフィルタリングルール520を取得(ステップ1202)した後、プロセス管理201から終了要求が来るまでループし(ステップ1203)、イベントを持つ(ステップ1204)。イベントには、ログ入力202からの正規化ログデータ格納通知(ステップ1205)、マネージャ10のログ収集107からのログ収集要求(ステップ1209)、ログファイル管理204自身からの正規化ログファイル容量確認要求(ステップ1211)、マネージャ10のログ収集107からのマネージャ時刻の通知(ステップ1216)と、プロセス管理201からの終了要求(ステップ1218)がある。
【0056】
正規化ログデータ格納通知を受信した場合は(ステップ1205)、ログ入力202から正規化ログデータを取得し(ステップ1206)、エージェントとマネージャの時間差(ステップ1217の処理結果)とログ出力時刻322から補正時刻323を計算する。ログ入力202から取得した正規化ログデータにこの補正時刻323を追加して正規化ログファイル40に格納する(ステップ1207)。取得した正規化ログデータにフィルタリングルール520を適用して条件に合致する正規化ログデータのみを正規化ログファイル40に格納する。次に正規化ログファイル容量確認要求を発行する(ステップ1208)。
【0057】
ログ収集要求を受信した場合は(ステップ1209)、正規化ログファイル40中の正規化ログデータを補正時刻323の順にソートした後、MANAGER_ADDRESS471に示されるマネージャ10ヘ転送する(ステップ1210)。
【0058】
正規化ログファイル容量確認要求を受信した場合は(ステップ1211)、正規化ログファイルの使用容量とFILE_MAXSIZE472を比較し(ステップ1212)、最大サイズに達したとき(ステップ1212YES)は、ログ入力202ヘ中断通知を発行する(ステップ1213)。最大サイズに達していないとき(ステップ1212NO)は、前回中断要求を発行したか確認し(ステップ1214)、発行していたとき(ステップ1214YES)は、ログ入力202へログ入力再開要求を通知する(ステップ1215)。
【0059】
マネージャ時刻の通知を受信した場合は(ステップ1216)、エージェントとマネージャのコンピュータ時刻の差を計算する(ステップ1217)。
【0060】
終了要求を受信した場合は(ステップ1218)、ループを抜けて終了処理(ステップ1219)を行う。
【0061】
【発明の効果】
以上説明したように本発明によれば、エージェントが複数のログファイルを監視し種々の形式で出力されたログデータを入力した後、正規化を行い共通的なデータ形式に変換する。また必要なログデータだけを抽出し、ログデータの出力時刻としてマネージャの時計に合わせた補正時刻を使用するようにしたので、運用者はネットワークに存在する複数のコンピュータのログデータを統一したデータ形式及び時刻に基づいて解析することができる。
【0062】
またマネージャが蓄積するログデータについては、所定期間のログデータを保存するようにしたので、古いログデータから順に削除する形でログ情報の総量を規制できる。
【0063】
さらに収集したログデータを補正時刻及び正規化項目によって検索可能としたので、運用者は必要なログ情報を容易に取得できる。
【図面の簡単な説明】
【図1】実施形態のネットワークシステムの構成図である。
【図2】実施形態のマネージャとエージェントが行う処理動作の概略を示す図である。
【図3】実施形態のマネージャ10の構成を示す機能ブロック図である。
【図4】実施形態のエージェント20の構成を示す機能ブロック図である。
【図5】実施形態の正規化ログデータの概略構成を示す図である。
【図6】実施形態の共通情報クラスのデータ構成を示す図である。
【図7】実施形態のユーザ情報クラスのデータ構成を示す図である。
【図8】実施形態のサービス情報クラスのデータ構成を示す図である。
【図9】実施形態のアドレス情報クラスのデータ構成を示す図である。
【図10】実施形態のファイル情報クラスのデータ構成を示す図である。
【図11】実施形態のトラフィフィック情報クラスのデータ構成を示す図である。
【図12】実施形態の個別情報クラスのデータ構成を示す図である。
【図13】実施形態のデータ格納クラスのデータ構造を示す図である。
【図14】正規化項目のコード化テーブルの例を示す図である。
【図15】マネージャルールの例を示す図である。
【図16】エージェントの動作条件ルールの例を示す図である。
【図17】エージェントのログファイル監視ルールの例を示す図である。
【図18】エージェントのフォーマットルール(その1)の例を示す図である。
【図19】エージェントのフォーマットルール(その2)の例を示す図である。
【図20】エージェントのフィルタリングルールの例を示す図である。
【図21】監視対象ログファイルのログデータであるメッセージテキストの例を示す図である。
【図22】実施形態の正規化ログデータベースのデータ構造を示す図である。
【図23】実施形態のマネージャが行うルール配布の処理の流れを示すPAD図である。
【図24】実施形態のマネージャが行うログ収集の処理の流れを示すPAD図である。
【図25】実施形態のマネージャが行う構成管理の処理の流れを示すPAD図である。
【図26】実施形態のマネージャが行うデータベース管理の処理の流れを示すPAD図である。
【図27】実施形態のエージェントが行うログ入力の処理の流れを示すPAD図である。
【図28】実施形態のエージェントが行うログファイル管理の処理の流れを示すPAD図である。
【符号の説明】
10・・・マネージャ、20・・・エージェント、40・・・正規化ログファイル、50・・・正規化ログデータベース、60・・・ネットワーク管理システム、104・・・構成管理、106・・・ルール配布、107・・・ログ収集、109・・・データベース管理、110・・・ルール、202・・・ログ入力、204・・・ログファイル管理、205・・・ルール
Claims (12)
- オペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち、監視の対象とするログファイルを読み込む手段と、
監視対象とするログファイルに含まれ各々時刻情報をもつ複数のログデータのうちの各ログデータ中にあらかじめ定義された文字列が含まれる場合に、前記あらかじめ定義された文字列を統一されたコードに置き換えた後、当該ログデータの文字列のシーケンスに従って、スキップするよう定義された文字数だけ当該ログデータ中の文字列をスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップするとともに、当該ログデータから定義されたデータ項目に対応する値を選択的に切り出して切り出されたデータ項目値をログ情報の種別毎に分類して、所定の順に配列することで共通的なデータ形式に正規化されたログデータを作成する手段と、
複数の前記正規化されたログデータの中から前記切り出されたデータ項目値があらかじめ定義された文字列および/または時間帯を持つ正規化ログデータだけを抽出し、前記抽出した正規化ログデータに該ログデータの出力時刻を補正した補正時刻を付加して、正規化ログファイルに格納する手段とを有し、
抽出された前記正規化ログデータを、複数種類のログ情報を含む構造とすることを特徴とするログデータの収集をする情報処理装置。 - オペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち、監視対象とするログファイルを読み込む手段と、
監視対象とするログファイルに含まれ各々時刻情報をもつ複数のログデータのうちの各ログデータ中にあらかじめ定義された複数個の異なる文字列が含まれる場合に、当該ログデータ中から定義された前記複数個の異なる文字列を検索し、定義された文字列が全て存在する場合に定義されたデータ項目に対応する値を選択的に切り出して切り出されたデータ項目値をログ情報の種別毎に分類して、所定の順に配列することで共通的なデータ形式に正規化されたログデータを作成する手段と、
複数の前記正規化されたログデータの中から前記切り出されたデータ項目値があらかじめ定義された文字列および/または時間帯を持つ正規化ログデータだけを抽出し、前記抽出した正規化ログデータに該ログデータの出力時刻を補正した補正時刻を付加して、正規化ログファイルに格納する手段とを有し、
抽出された前記正規化ログデータを、複数種類のログ情報を含む構造とすることを特徴とするログデータの収集をする情報処理装置。 - 前記あらかじめ定義されたデータ項目は、当該情報処理装置にアクセスしたユーザのユーザ名及び当該ユーザのログイン情報に関するデータ項目を含むことを特徴とする請求項1記載のログデータの収集をする情報処理装置。
- 前記あらかじめ定義されたデータ項目は、当該情報処理装置にアクセスしたユーザのユーザ名、接続元ホスト名、接続元IPアドレス、および接続開始時刻に関するデータ項目を含むことを特徴とする請求項1記載のログデータの収集をする情報処理装置。
- 計算機におけるログデータを収集する方法であって、
第1の計算機は、予め記憶装置に格納されたログデータ収集のためのルールを第2の計算機へ送信し、
前記第2の計算機は、受信した前記ルールに基づいて正規化されたログデータを作成する計算機であって、前記第2の計算機は、
オペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち、監視の対象とするログファイルを読み込み、
監視対象とするログファイルに含まれ各々時刻情報をもつ複数のログデータのうちの各ログデータ中に前記ルールによって定義された文字列が含まれる場合に、前記定義された文字列を統一されたコードに置き換えた後、当該ログデータの文字列のシーケンスに従って、スキップするよう定義された文字数だけ当該ログデータ中の文字列をスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップするとともに、当該ログデータから前記ルールにより定義されたデータ項目に対応する値を選択的に切り出して切り出されたデータ項目値をログ情報の種別毎に分類して、所定の順に配列することで共通的なデータ形式に正規化されたログデータを作成し、
複数の前記正規化されたログデータの中から前記切り出されたデータ項目値が前記ルールによって定義された文字列および/または時間帯をもつ正規化ログデータだけを抽出し、前記抽出した正規化ログデータに該ログデータの出力時刻を前記第1の計算機の時刻を基準として補正した補正時刻を付加して、正規化ログファイルに格納し、
抽出された前記正規化ログデータを、複数種類のログ情報を含む構造とし、
前記構造を持つ正規化ログファイルを前記第1の計算機へ送信し、
前記第1の計算機は、受信した前記正規化ログファイルに格納された正規化ログデータに含まれる前記補正時刻の順に前記正規化ログデータを記憶装置へ格納することを特徴とするログデータを収集する方法。 - 計算機で稼動するプログラムによってログデータを収集する方法であって、
第1の計算機で稼動するマネージャプログラムは、前記第1の計算機を予め記憶装置に格納されたログデータ収集のためのルールを第2の計算機へ送信するように機能させ、
前記第2の計算機で稼動するエージェントプログラムは、前記第2の計算機を受信した前記ルールに基づいて正規化されたログデータを作成するように機能させるプログラムであって、
前記エージェントプログラムは、前記第2の計算機を、オペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち、監視の対象とするログファイルを読み込み、
監視対象とするログファイルに含まれ各々時刻情報をもつ複数のログデータのうちの各ログデータ中に前記ルールによって定義された文字列が含まれる場合に、前記定義された文字列を統一されたコードに置き換えた後、当該ログデータの文字列のシーケンスに従って、スキップするよう定義された文字数だけ当該ログデータ中の文字列をスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップするとともに、当該ログデータから前記ルールにより定義されたデータ項目に対応する値を選択的に切り出して切り出されたデータ項目値をログ情報の種別毎に分類して、所定の順に配列することで共通的なデータ形式に正規化されたログデータを作成し、
複数の前記正規化されたログデータの中から前記切り出されたデータ項目値が前記ルールによって定義された文字列および/または時間帯をもつ正規化ログデータだけを抽出し、前記抽出した正規化ログデータに該ログデータの出力時刻を前記第1の計算機の時刻を基準として補正した補正時刻を付加して、正規化ログファイルに格納し、
抽出された前記正規化ログデータを、複数種類のログ情報を含む構造とし、
前記構造を持つ正規化ログファイルを前記第1の計算機へ送信するように機能させ、
前記第1の計算機で稼動するマネージャプログラムは、前記第1の計算機を、受信した前記正規化ログファイルに格納された正規化ログデータに含まれる前記補正時刻の順に前記正規化ログデータを記憶装置へ格納するように機能させることを特徴とするログデータを収集する方法。 - 前記第1の計算機は、前記ルールを送信する際に送信先の第2の計算機の一覧の情報を記憶装置から読み出し、
読み出した前記送信先の第2の計算機の一覧の情報に基づいて前記ルールを送信することを特徴とする請求項5記載のログデータを収集する方法。 - 前記第1の計算機で稼動するマネージャプログラムは、前記ルールを配布する際に配布先の前記第2の計算機の一覧の情報を記憶装置から読み出し、
読み出した前記配布先の第2の計算機の一覧に基づいて前記ルールを配布することを特徴とする請求項6記載のログデータを収集する方法。 - 前記第1の計算機は、前記ルールを送信する際に送信先の第2の計算機それぞれの応答時間の情報を取得し、取得した応答時間の短い第2の計算機から順に前記ルールを送信することを特徴とする請求項5記載のログデータを収集する方法。
- 前記第1の計算機で稼動するマネージャプログラムは、前記ルールを送信する際に配布先の第2の計算機それぞれの応答時間の情報を取得し、
取得した応答時間の短い第2の計算機から順に前記ルールを送信することを特徴とする請求項6記載のログデータを収集する方法。 - 前記第1の計算機が前記第2の計算機へ送信するルールとは、
監視対象となるログファイル名と、ログファイルから抽出するデータの項目名とを含むことを特徴とする請求項5記載のログデータを収集する方法。 - 前記第1の計算機で稼動するマネージャプログラムが前記第2の計算機へ送信するルールとは、監視対象となるログファイル名と、ログファイルから抽出するデータの項目名とを含むことを特徴とする請求項6記載のログデータを収集する方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002090804A JP4485112B2 (ja) | 2002-03-28 | 2002-03-28 | ログデータの収集管理方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002090804A JP4485112B2 (ja) | 2002-03-28 | 2002-03-28 | ログデータの収集管理方法および装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10121097A Division JP3778652B2 (ja) | 1997-04-18 | 1997-04-18 | ログデータ収集管理方法及びその装置 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2002366394A JP2002366394A (ja) | 2002-12-20 |
| JP2002366394A5 JP2002366394A5 (ja) | 2006-04-06 |
| JP4485112B2 true JP4485112B2 (ja) | 2010-06-16 |
Family
ID=19193493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002090804A Expired - Fee Related JP4485112B2 (ja) | 2002-03-28 | 2002-03-28 | ログデータの収集管理方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4485112B2 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4500090B2 (ja) | 2004-04-22 | 2010-07-14 | 株式会社日立製作所 | 情報管理システムと情報管理方法 |
| JP4720213B2 (ja) * | 2005-02-28 | 2011-07-13 | 富士通株式会社 | 解析支援プログラム、装置及び方法 |
| JP4404212B2 (ja) * | 2005-03-25 | 2010-01-27 | 日本電気株式会社 | 複数系列データ配置方法及び複数系列データ配置装置 |
| US7437359B2 (en) * | 2006-04-05 | 2008-10-14 | Arcsight, Inc. | Merging multiple log entries in accordance with merge properties and mapping properties |
| JP2008146455A (ja) * | 2006-12-12 | 2008-06-26 | Chiba Inst Of Technology | 機器操作支援装置及びその方法並び機器操作支援プログラム |
| JP4983805B2 (ja) | 2006-12-14 | 2012-07-25 | 富士通株式会社 | 実行ログ生成プログラム、実行ログ生成装置および実行ログ生成方法 |
| JP4991895B2 (ja) | 2010-03-17 | 2012-08-01 | 株式会社東芝 | 映像収録再生装置 |
| JP5552926B2 (ja) * | 2010-07-02 | 2014-07-16 | 株式会社リコー | 情報処理装置、ログ転送方法及びプログラム |
| CN102682006B (zh) * | 2011-03-10 | 2015-10-07 | 珠海格力电器股份有限公司 | 集装箱空调器的运行数据查询方法及装置 |
| JP6072519B2 (ja) * | 2012-11-21 | 2017-02-01 | 三菱電機株式会社 | システム試験支援装置 |
| KR101865317B1 (ko) * | 2014-01-14 | 2018-07-13 | 한국전자통신연구원 | 데이터 분산처리 시스템을 위한 빅 데이터의 전처리 장치 및 방법 |
| JP2015191327A (ja) * | 2014-03-27 | 2015-11-02 | 日本電気株式会社 | システム監視装置、システムの監視方法、及びプログラム |
| KR101741108B1 (ko) * | 2016-12-15 | 2017-05-30 | 한국과학기술정보연구원 | 시스템 결함 분석 장치, 방법 및 시스템 결함을 분석하기 위한 프로그램을 저장하는 저장매체 |
| CN113268462B (zh) * | 2020-02-14 | 2024-05-10 | 西安诺瓦星云科技股份有限公司 | 基于嵌入式设备的日志管理方法、装置及系统 |
| CN114371888A (zh) * | 2022-01-14 | 2022-04-19 | 中国电信股份有限公司 | 日志采集插件的热更新方法、装置、电子设备和可读介质 |
-
2002
- 2002-03-28 JP JP2002090804A patent/JP4485112B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002366394A (ja) | 2002-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3778652B2 (ja) | ログデータ収集管理方法及びその装置 | |
| JP4485112B2 (ja) | ログデータの収集管理方法および装置 | |
| US10498744B2 (en) | Integrity monitoring in a local network | |
| US5878420A (en) | Network monitoring and management system | |
| US6144961A (en) | Method and system for non-intrusive measurement of transaction response times on a network | |
| US5745693A (en) | System for gathering and reporting real time data from an IDNX communications network | |
| US7289988B2 (en) | Method and system for managing events | |
| US8601122B2 (en) | Managing captured network traffic data | |
| US20090182866A1 (en) | Method of setting and managing performance monitoring conditions and computer system using the method | |
| US20150026765A1 (en) | Dynamic provisioning of protection software in a host intrusion prevention system | |
| CN109120461B (zh) | 一种业务性能端到端监控方法、系统及装置 | |
| EP0537098A2 (en) | Event handling mechanism having a filtering process and an action association process | |
| US7069184B1 (en) | Centralized monitoring and early warning operations console | |
| US20050038888A1 (en) | Method of and apparatus for monitoring event logs | |
| US7469287B1 (en) | Apparatus and method for monitoring objects in a network and automatically validating events relating to the objects | |
| US6041353A (en) | Method for searching for network connection path | |
| CN113067886B (zh) | 数据库三层关联审计方法、装置、计算机设备及存储介质 | |
| CN102480383B (zh) | 一种日志消息报文处理方法及装置 | |
| US11914495B1 (en) | Evaluating machine and process performance in distributed system | |
| JP2006025434A (ja) | 大容量障害相関システム及び方法 | |
| CN116346680A (zh) | 基于拓扑嗅探的进程间网络流量追踪控制方法和系统 | |
| JP3221538B2 (ja) | ネットワーク稼動情報収集システム | |
| CN112685370B (zh) | 一种日志采集方法、装置、设备和介质 | |
| JP3691272B2 (ja) | 分散処理システムおよび障害解析情報の保存方法 | |
| CN112765010A (zh) | 业务参数集中管理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040413 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040413 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060220 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061010 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070306 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070424 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070807 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071005 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20071012 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080704 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100217 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100324 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130402 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140402 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |