JP4862619B2 - Log management method and log management method - Google Patents
Log management method and log management method Download PDFInfo
- Publication number
- JP4862619B2 JP4862619B2 JP2006306230A JP2006306230A JP4862619B2 JP 4862619 B2 JP4862619 B2 JP 4862619B2 JP 2006306230 A JP2006306230 A JP 2006306230A JP 2006306230 A JP2006306230 A JP 2006306230A JP 4862619 B2 JP4862619 B2 JP 4862619B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- information
- log file
- file
- falsification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Description
この発明は、ログに対する不正な改ざんを検知するログ管理方式及びログ管理方法に関するものである。 The present invention relates to a log management method and a log management method for detecting unauthorized tampering with a log.
定期的に動作してアプリケーションのログを収集するログ管理システムにおいて、ログを収集した時点で改ざん有無を判断することは困難である。なぜならば、正当なアプリケーションも、悪意のある人物も、ログファイルへ書き込むことが可能なため、収集した時点のログが、どのように書き込まれたかを知ることができないためである。
このようなことから、従来、アプリケーションが出力するログを保護するためには、ログを出力するアプリケーション側で改ざんを防ぐ仕組みを用意することで対策を行なっていた。例えば、アプリケーションがログ出力時に改ざん対策のライブラリを呼び出す。これにより、アプリケーションのログの出力と同時にログの改ざんのための対策を行ない、ログが誰でもアクセスできるという状況を作らないようにしていた(例えば、特許文献1参照)。
For this reason, conventionally, in order to protect the log output by the application, measures have been taken by preparing a mechanism for preventing falsification on the application side that outputs the log. For example, an application calls a tampering countermeasure library when outputting a log. As a result, measures for falsification of the log are taken at the same time as the output of the log of the application so as not to create a situation where anyone can access the log (see, for example, Patent Document 1).
自社製アプリケーションやオープンソースのアプリケーションが出力するログを対象とする場合であれば、アプリケーションを改修して従来からの方式で対策が行なわれてきた。しかし、他社製アプリケーションのログを対象とした場合、従来の方式ではアプリケーションの改修が不可能な場合があり、これを利用することができなかった。
また、自社製やオープンソースのアプリケーションで改修可能な場合であっても、複数のアプリケーションが出力するログを管理の対象とする場合、全てのアプリケーションの改修を行なうことは改修のためのコストや時間がかかるという問題があった。
In the case where the log output by an in-house application or an open source application is targeted, the application has been modified and measures have been taken using conventional methods. However, when the log of an application made by another company is targeted, it may not be possible to modify the application with the conventional method, and this cannot be used.
In addition, even when repairs can be made with an in-house or open source application, if the logs output by multiple applications are to be managed, it is necessary to repair all the applications in terms of cost and time for the repair. There was a problem that it took.
本発明は、上記のような課題を解決するためになされたもので、アプリケーションの改修を必要とせず、アプリケーションの動作に影響を与えることなく、アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に改ざんがあった場合の改ざんの検知を可能にすることを目的としたものである。 The present invention has been made to solve the above-described problems. The log management system does not need to modify the application, and does not affect the operation of the application. The purpose of this is to enable detection of tampering when tampering occurs during the period before collecting data.
この発明に係るログ管理方式は、アプリケーションプログラムの動作結果が格納されたログファイルにアクセスして前記ログファイルの情報を収集するログ収集手段と、
前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する監査手段と、
前記監査手段により記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん有無検証手段と、を備えたものである。
The log management method according to the present invention comprises log collection means for accessing the log file storing the operation result of the application program and collecting information on the log file;
Audit means for recording all access information constituted by access information accessed by the log collection means and the access information accessed by the log file as an audit log;
Falsification presence / absence verification means for verifying whether or not the information of the log file has been falsified by referring to the contents of the audit log recorded by the audit means.
この発明は、アプリケーションのプログラムの動作結果が格納されたログファイルへのアクセスを監視して得たアクセス情報を監査ログとして記録し、この記憶された監査ログの内容を参照して、ログファイルの情報が改ざんされたか否かを検証することにより、アプリケーションの改修を必要とせず、アプリケーションの動作に影響を与えることなく、アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に発生したログの改ざん行為を検知することが可能となる。 The present invention records the access information obtained by monitoring the access to the log file storing the operation result of the application program as an audit log, and refers to the contents of the stored audit log, By verifying whether or not the information has been tampered with, it is not necessary to modify the application, and without affecting the operation of the application, between the time the application outputs the log and the time the log management system collects the log It is possible to detect the log falsification that occurred in
実施の形態1.
図1は、本発明の実施の形態1のログ管理システムの構成図である。ログ管理システムは、複数の端末200、220、230と1台のログ管理サーバ100とがネットワークで接続されて構成される。
端末200、220、230は、Windows(登録商標)オペレーティングシステム210上でアプリケーション207とログ収集エージェント201が動作している。
アプリケーション207は、実行形式のプログラム209(例えば、プロセス名C:\LogOut.exe)として動作し、動作結果をログファイル208(例えば、ログファイル名C:\LogFile.txt)に出力する。
ログ収集エージェント201は、アプリケーション207のログファイル208の情報を定期的に収集し、改ざん検知可能な対策を行ない、ログ管理サーバ100へ転送する。
ログ管理サーバ100では、ログ収集サーバ102が動作し、複数の端末200、220、230から収集したログファイル208の情報をログDB101で管理する。
FIG. 1 is a configuration diagram of a log management system according to the first embodiment of the present invention. The log management system is configured by connecting a plurality of
In the
The
The
In the
ログ収集エージェント201は、ログ収集機能202、検知コード生成機能205、ログ転送機能206で構成される。
ログ収集機能202は、ログ収集手段203と改ざん有無検証手段204とで構成される。
ログ収集手段203は、アプリケーション207のログファイル208の情報を定期的に収集する手段を有するプロセス(例えば、プロセス名C:\LogCollect.exe)である。
改ざん有無検証手段204は、ログ収集手段203が収集したログファイル208の情報に対し、改ざんの有無を検証する手段である。
The
The
The log collection means 203 is a process (for example, process name C: \ LogCollect.exe) having means for periodically collecting information of the
The falsification presence / absence verification unit 204 is a unit that verifies the presence / absence of falsification of the information in the
検知コード生成機能205は、ログ管理サーバ100のログDB101へログファイル208の情報を格納した後に、改ざん有無の検知を可能とするために、ログに対するメッセージ認証コードを生成する認証コード生成手段である。メッセージ認証コードは、例えば、HMAC(Keyed−Hashing for Message Authentication)などのアルゴリズムを用いて計算する。
ログ転送機能206は、収集したログファイル208の情報と生成したメッセージ認証コードの情報とを合わせて、ログ収集サーバ102へ転送するログ転送手段である。
The detection code generation function 205 is an authentication code generation unit that generates a message authentication code for a log in order to enable detection of the presence or absence of tampering after storing the information of the
The log transfer function 206 is log transfer means for transferring the collected
端末200のWindows(登録商標) オペレーティングシステム210の監査機能211は、端末200上の指定したファイルへのアクセスを監視し、監視結果である監査ログをセキュリティログ212であるセキュリティログ格納手段へ出力する監査手段である。監査機能211は、ログファイル208への全てのアクセスをセキュリティログ212に出力するように設定する。これにより、監査機能211は、ログファイル208へのアクセスを検知するとセキュリティログ212へ情報を出力するように動作する。
An
図2は、監査機能211がセキュリティログ212へ出力する情報の一部を示した図である。図2において、セキュリティログ212は“日付時刻”、“イメージファイル名”、“オブジェクト名”、“プロセスID”、“ハンドルID”、“アクセス種別”などの情報で構成される。
ここで、“日付時刻”はログファイル208へのアクセスを検知した時刻、“イメージファイル名”はログファイル208へアクセスしたプロセスの名称、“プロセスID”はログファイル208へアクセスしたプロセスのプロセスID、“ハンドルID”はログファイル208へアクセスしたプロセスがファイルアクセスに使用したハンドルID、“アクセス種別”はログファイル208へのアクセスの種類(OPEN、READ、WRITE、CLOSE、DELETEなど)となる。
FIG. 2 is a diagram showing a part of information that the
Here, “date time” is the time when access to the
ログ収集サーバ102は、ログ受信機能104とログ投入機能103で構成される。
ログ受信機能104は、各端末200、220、230のログ収集エージェント201が送信するログファイル208の情報とメッセージ認証コードを受信するログ受信手段である。
ログ投入機能103は、ログ受信機能104により受信されたログファイル208の情報とメッセージ認証コードをログDB101へ格納するログ投入手段である。
The
The
The
本発明におけるログ管理システムは、”管理者権限”と”一般利用者権限”に権限を分離して端末200、220、230を管理する。端末200、220、230の通常の利用者は“一般利用者権限”で利用する。Windows(登録商標) オペレーティングシステム210の監査機能211の設定を行なうこと、ログ収集エージェント201のプログラムやその設定を変更すること、およびアプリケーション207のプログラム209やその設定を変更することの操作は、“管理者権限”がなければ行なうことはできない。なお、プログラム209は通常の利用者が使用できるように、“一般利用者権限”で動作を許可するように設定する。そのため、ログファイル208は“一般利用者権限”で書込みや削除できるように設定しなければならない。
The log management system according to the present invention manages the
次に、本実施の形態のログ管理システムの動作について説明する。この動作説明は、定常時の動作、および、ログ収集時の動作に分けて行なう。
はじめに、定常時のログ管理システムの動作について説明する。
図3は、定常時のログ管理システムの処理動作を示すフローチャートである。
まず、ステップS11で、監査機能211がログファイル208へのアクセスを常時モニタしている(ステップS11)。具体的には、「プログラム209によるログファイル208への書込みや削除アクセス」、「端末200の通常の利用者による不正なアクセス」、「ログ収集エージェント201による収集動作」などの全アクセスをモニタしている。
Next, the operation of the log management system according to this embodiment will be described. This operation will be described separately for a steady operation and a log collection operation.
First, the operation of the log management system during normal operation will be described.
FIG. 3 is a flowchart showing the processing operation of the log management system in the steady state.
First, in step S11, the
次に、ステップS12a、ステップS12b、ステップS12cの何れかの事象が発生する。ステップS12aでは、プログラム209が動作してログファイル208に情報を出力する。
また、ステップS12bでは、端末200の通常の利用者が故意、又は不注意でログファイル208に情報を書込んだり、削除したり、といった行為を行なう。
更に、ステップS12cでは、ログ収集エージェント201がログファイル208の情報を収集する。
最後に、ステップS13で、監査機能211がログファイル208へのアクセスの内容をセキュリティログ212へ書き込む。その後、再度ステップS11の状態に戻る。
Next, any event of step S12a, step S12b, and step S12c occurs. In step S12a, the
In step S12b, a normal user of the
In step S12c, the
Finally, in step S13, the
次に、ログ収集時のログ管理システムの動作について説明する。
図4は、ログ収集時のログ管理システムの処理動作を示すフローチャートである。
まず、ステップS21で、ログ収集機能202がログファイル208の情報を収集する(ログ収集機能202の動作については後述する)。
次に、ステップS22で、検知コード生成機能205がログ収集機能202により収集されたログファイル208の情報に対するメッセージ認証コードを生成する。
続いて、ステップS23で、ログ転送機能206がログファイル208の情報とメッセージ認証コードをログ収集サーバ102に転送する。
更に、ステップS24で、ログ収集サーバ102のログ受信機能104がログファイル208の情報とメッセージ認証コードを受信する。
最後に、ステップS25で、ログ投入機能103がログファイル208の情報とメッセージ認証コードをログDB101へ格納する。
Next, the operation of the log management system when collecting logs will be described.
FIG. 4 is a flowchart showing the processing operation of the log management system during log collection.
First, in step S21, the
Next, in step S <b> 22, the detection code generation function 205 generates a message authentication code for the information in the
Subsequently, in step S <b> 23, the log transfer function 206 transfers the information of the
Further, in step S24, the
Finally, in step S25, the
次に、ログ収集時のログ収集機能202の動作を図5、図6を用いて説明する。
図5は、ログ収集時のログ収集機能202の処理動作を示すフローチャートである。
図6は、セキュリティログ212に記録された情報の一部を示す図である。
まず、ステップS31で、ログ収集手段203が指定時刻に動作し、ログファイル208の情報を収集する。収集した情報は内部のメモリへ格納する。なお、本動作により、定常時に監視している監査機能211が動作し、ログ収集手段203のアクセスがセキュリティログ212へ記録される。また、本時点でセキュリティログ212に記録されている情報の一部を図6に示す。
Next, the operation of the
FIG. 5 is a flowchart showing the processing operation of the
FIG. 6 is a diagram illustrating a part of information recorded in the
First, in step S31, the log collection unit 203 operates at a specified time and collects information of the
次に、ステップS32で、ログ収集手段203が、改ざん有無検証手段204を実行する。
続いて、ステップS33で、改ざん有無検証手段204が、セキュリティログ212を探索し、ログ収集手段203が今回ログファイル208へアクセスした時に出力されたセキュリティログ212のアクセス記録(レコード)を見つける。なお、探索時、改ざん有無検証手段204はセキュリティログ212のレコードを最新のものから古いものへ向かって探索し、ログ収集手段203のプロセス名(本実施の形態ではC:¥LogCollect.exe)を基にOPEN−READ−CLOSEアクセスの最新の記録レコードを見つける。図6においては301で示すレコードとなる。
Next, in step S <b> 32, the log collection unit 203 executes the falsification presence / absence verification unit 204.
Subsequently, in step S33, the alteration presence / absence verification unit 204 searches the
次に、ステップS34で、改ざん有無検証手段204が、セキュリティログ212を探索し、ログ収集手段203が前回ログファイル208へアクセスした時に出力されたセキュリティログ212のレコードを見つける。なお、探索時、改ざん有無検証手段204はセキュリティログ212のレコードを(S33)で見つけたレコード301を基点に古いものへ向かって探索し、ログ収集手段203のプロセス名(本実施の形態ではC:¥LogCollect.exe)を基にOPEN−READ−CLOSEアクセスが最初に記録されたレコードを見つける。図6においては302で示すレコードとなる。
続いて、ステップS35で、改ざん有無検証手段204が、指定範囲内(図6における302から301)のセキュリティログ212のレコードを検証し、改ざん行為の有無を検証する。
Next, in step S34, the alteration presence / absence verification unit 204 searches the
Subsequently, in step S35, the tampering presence / absence verification unit 204 verifies the record of the
ここで、改ざん行為の有無をチェックするときの動作を図6、図7を用いて説明する。
図6は、セキュリティログ212に記録された情報の一部を示す図である。
図7は、改ざん有無検証手段204が改ざん行為の有無をチェックするときの処理動作を示すフローチャートである。
まず、ステップS41で、検証を行なうレコードをレコードiとする。指定範囲内の最古のレコード(図6における302の次のレコード)をレコードiとする。
次に、ステップS42で、レコードiが存在するかどうかチェックする。レコードiが存在しない場合、指定範囲内の全レコードを検証した結果、改ざん行為がなかったと判断し、ステップS42のYESへ進み、改ざん無しの判定結果を持って処理を終了する。
一方、レコードiが存在する場合、ステップS42のNOへ進み、ステップS43を実行する。
Here, the operation when checking the presence / absence of tampering will be described with reference to FIGS.
FIG. 6 is a diagram illustrating a part of information recorded in the
FIG. 7 is a flowchart showing a processing operation when the tampering presence / absence verification unit 204 checks for tampering.
First, in step S41, a record to be verified is a record i. The oldest record in the specified range (the record next to 302 in FIG. 6) is set as a record i.
Next, in step S42, it is checked whether the record i exists. If the record i does not exist, it is determined that there has been no falsification as a result of verifying all the records within the specified range, the process proceeds to YES in step S42, and the process ends with a determination result of no falsification.
On the other hand, when the record i exists, it progresses to NO of step S42 and performs step S43.
次に、ステップS43で、レコードiをチェックする。具体的には、「レコードiのアクセス種別がOPENであり」、「レコードiのオブジェクト名がログファイル208の名称と同一であり」、「レコードiのイメージファイル名がプログラム名209と同一でない」、の3つの条件を同時に満たす場合に、不正なプログラムによってログファイル208がOPENされたと判断し、ステップS43のYESへ進み、ステップS44を実行する。
レコードiが本条件を満たさない場合は、ステップS43のNO、ステップS410と進み、レコードiの次のレコードを検証する。
Next, record i is checked in step S43. Specifically, “the access type of the record i is OPEN”, “the object name of the record i is the same as the name of the
If the record i does not satisfy this condition, the process proceeds to NO in step S43 and step S410, and the record next to the record i is verified.
次に、ステップS44で、レコードiの次のレコードを検証する。検証するレコードをレコードjとする。
続いて、ステップS45で、レコードjが存在するかどうかチェックする。レコードjが存在しない場合、レコードiに関連するアクセスで改ざん行為が無かったと判断し、ステップS45のYES、ステップS410と進み、レコードiの次のレコードを検証する。レコードjが存在する場合、ステップS45のNOへ進み、ステップS46を実行する。
Next, in step S44, the record next to the record i is verified. Let the record to be verified be record j.
Subsequently, in step S45, it is checked whether or not the record j exists. If the record j does not exist, it is determined that there has been no falsification in the access related to the record i, and the process proceeds to YES in step S45 and step S410 to verify the record next to the record i. When the record j exists, it progresses to NO of step S45 and performs step S46.
次に、ステップS46〜ステップS48で、レコードjを検証する。
まず、ステップS46で、レコードiとレコードjのプロセスIDとハンドルIDを比較することで、レコードiの一連のアクセスの情報であるか否かチェックする。ここで、レコードjがレコードiと無関連のアクセスの情報である場合は、ステップS46のNO、ステップS49と進み、レコードjの次のレコードをチェックする。レコードjがレコードiと関連したアクセスの情報である場合は、ステップS46のYESに進み、ステップS47を実行する。
Next, in step S46 to step S48, the record j is verified.
First, in step S46, the process ID and the handle ID of the record i and the record j are compared to check whether the information is a series of access information of the record i. Here, if the record j is access information unrelated to the record i, the process proceeds to NO in step S46 and step S49, and the record next to the record j is checked. If the record j is access information related to the record i, the process proceeds to YES in step S46, and step S47 is executed.
続いてステップS47で、レコードjのアクセス種別をチェックする。ここで、アクセス種別がCLOSEである場合、レコードiに関連したアクセスで改ざん行為が無かったと判断し、ステップS47のYES、ステップS410と進み、レコードiの次のレコードを検証する。アクセス種別がCLOSEでない場合、ステップS47のNOへ進み、ステップS48を実行する。 In step S47, the access type of record j is checked. Here, when the access type is CLOSE, it is determined that there is no falsification due to access related to the record i, the process proceeds to YES in step S47 and step S410, and the record next to the record i is verified. If the access type is not CLOSE, the process proceeds to NO in step S47, and step S48 is executed.
最後にステップS48で、レコードjのアクセス種別を再度チェックする。アクセス種別がWRITE、もしくはDELETEである場合は、レコードiに関連するアクセスで改ざんが行なわれたと判断し、ステップS48のYES)へ進み、改ざん有りの判定結果を持って処理を終了する。アクセス種別がWRITE、かつDELETEでない場合は、レコードjの次のレコードを検証する。
以上のように、図7に示す動作手順で改ざん行為の有無をチェックすることができ、図6の303で示された改ざんを検知することができる。
Finally, in step S48, the access type of the record j is checked again. If the access type is WRITE or DELETE, it is determined that falsification has been performed in the access related to the record i, the process proceeds to YES in step S48, and the process is terminated with a determination result of falsification. When the access type is WRITE and not DELETE, the record next to the record j is verified.
As described above, it is possible to check the presence / absence of tampering by the operation procedure shown in FIG. 7, and to detect the tampering indicated by 303 in FIG.
再び、図5に戻り、ログ収集時のログ収集機能202の処理動作について説明する。
ステップS35で、改ざん有無検証手段204により改ざん行為の有無が検証された後、ステップS36で、改ざん有無検証手段204が検証結果をログ収集手段203へ返す。
最後に、ステップS37で、ログ収集手段203が、改ざん有無検証手段204で改ざん行為の有無を検証した結果、改ざんされていないと判定された場合に、メモリに格納したログファイル208の情報を検知コード生成機能205に送信する。
Returning to FIG. 5 again, the processing operation of the
In step S35, after the presence / absence of the alteration action is verified by the alteration presence / absence verification unit 204, the alteration presence / absence verification unit 204 returns the verification result to the log collection unit 203 in step S36.
Finally, in step S37, when the log collection unit 203 verifies the presence / absence of the falsification action by the falsification presence / absence verification unit 204, when it is determined that the falsification has not been performed, the information of the
この後、検知コード生成機能205が、ステップS37で、ログ収集手段203により送信されたログファイル208の情報のログに対するメッセージ認証コードを生成し、ログ転送機能206がログファイル208の情報と検知コード生成機能205で生成したメッセージ認証コードの情報とを合わせて、ログ収集サーバ102へ転送する。
Thereafter, the detection code generation function 205 generates a message authentication code for the log of the information in the
以上のように本実施の形態によれば、アプリケーションの改修を行なうことなく、アプリケーションがログを出力してからログ管理システムがログを収集するまでの間に発生した改ざん行為を検知することができる。
また、アプリケーションの改修が不要であるため、アプリケーションの改修が困難なアプリケーションに対しても適用が可能である。
更に、ログ収集機能が収集したログが改ざんされていない事を検証した上で、検知コード生成機能、ログ転送機能が動作するため、ログ管理サーバのログDBに格納されたログファイルの情報は全て改ざんされていない状態で管理することができる。
また、アプリケーションと異なるプロセスで動作するため、アプリケーションの動作に影響を与えることはなく、ログに対する不正な改ざんを検知することができる。
As described above, according to the present embodiment, it is possible to detect a tampering action that occurs between the time when an application outputs a log and the time when the log management system collects the log without modifying the application. .
In addition, since application modification is not required, the present invention can be applied to applications that are difficult to modify.
In addition, after verifying that the log collected by the log collection function has not been tampered with, the detection code generation function and log transfer function operate, so all the log file information stored in the log DB of the log management server It can be managed without being tampered with.
In addition, since the process operates in a process different from that of the application, it is possible to detect unauthorized tampering with the log without affecting the operation of the application.
実施の形態2.
実施の形態1では、ログ収集手段203がログファイル208の情報を収集してメモリに格納した時点で改ざん有無検証手段204を実行し、収集したログファイル208の情報の改ざんの有無を検証する場合について説明したが、本実施の形態では、セキュリティログ212が出力された時点、即ち、監視機能211が監査結果である監査ログをセキュリティログ212に出力した時点で、改ざんの有無を検証する場合について説明する。
本実施の形態では、改ざん有無検証手段204の動作が実施の形態1と異なる以外は、構成および動作とも実施の形態1と同様であるため説明を省略する。
In the first embodiment, when the log collection unit 203 collects information on the
In the present embodiment, the configuration and operation are the same as those in the first embodiment except that the operation of the tampering presence / absence verification unit 204 is different from that in the first embodiment.
図8は、改ざん有無検証手段204の処理動作を示すフローチャートである。
本実施の形態では、改ざん有無検証手段204が常駐プロセスとして図8のフローチャートに従って動作する。
セキュリティログ212が出力された時点、即ち、監視機能211が監視結果をセキュリティログ212に出力する時点に次の動作が開始される。
まず、ステップS51で、セキュリティログ212の中で、未検証のレコードの内、最古のレコードを検証対象とし、そのレコードをレコードiとする。なお、検証対象のレコードが存在しない場合は、セキュリティログ212が書き込まれた時点でWindows(登録商標) オペレーティングシステム210からシグナルを受け取るように設定し、処理を待機する。具体的には、Windows(登録商標) オペレーティングシステム210が提供するAPI(Application Program Interface)であるNotifyChangeEventLogなどを利用することにより、セキュリティログ212が書き込まれたタイミングでシグナルを受け取ることが可能である。
FIG. 8 is a flowchart showing the processing operation of the alteration presence / absence verification unit 204.
In this embodiment, the alteration presence / absence verification unit 204 operates as a resident process according to the flowchart of FIG.
The next operation is started when the
First, in step S51, the oldest record among unverified records in the
次に、ステップS52で、レコードiの検証を行なう。検証は、図7のステップS43と同様の手順で行なうため、ここではこの動作の説明は省略する。
ステップS52で、レコードiが条件を満たさない場合は、ステップS52のNOへ進み、再度ステップS51を実行する。レコードiが条件を満たす場合は、ステップS52のYESへ進み、ステップS53を実行する。
続いて、ステップS53で、レコードiの次のレコードを検証する。ここで、検証するレコードをレコードjとする。レコードjが存在しない場合は、ステップS51と同様の手順でセキュリティログ212が更新されるまで処理を待機する。
Next, in step S52, the record i is verified. Since the verification is performed in the same procedure as step S43 in FIG. 7, the description of this operation is omitted here.
If it is determined in step S52 that the record i does not satisfy the condition, the process proceeds to NO in step S52, and step S51 is executed again. If the record i satisfies the condition, the process proceeds to YES in step S52, and step S53 is executed.
Subsequently, in step S53, the record next to the record i is verified. Here, a record to be verified is set as a record j. If the record j does not exist, the process waits until the
次に、ステップS54〜ステップS56で、レコードjを検証する。この検証は、図7のステップS46〜ステップS48と同様の手順で行なうため、ここではこの動作の説明は省略する。
検証の結果、レコードjの次のレコードを検証する必要がある場合(ステップS54のNO、ステップS56のNOの場合)、ステップS57で、レコードjの次のレコードを取得し、ステップS54に戻る。ステップS57で、レコードjの次のレコードが存在しない場合は、ステップS51と同様の手段でセキュリティログの更新を待機する。
Next, the record j is verified in steps S54 to S56. Since this verification is performed in the same procedure as step S46 to step S48 in FIG. 7, the description of this operation is omitted here.
As a result of the verification, if it is necessary to verify the record next to the record j (NO in step S54, NO in step S56), the record next to the record j is acquired in step S57, and the process returns to step S54. If there is no record next to the record j in step S57, the security log update is waited by the same means as in step S51.
以上のように本実施の形態によれば、セキュリティログが出力されたタイミングでリアルタイムにログファイルの改ざんの有無を検証できるため、改ざんが発生した場合に素早く改ざんを検知することができる。 As described above, according to the present embodiment, it is possible to verify whether or not a log file has been tampered with in real time at the timing when the security log is output, so that tampering can be detected quickly when tampering occurs.
実施の形態3.
実施の形態1では、ログ収集手段203がログファイル208の情報を収集してメモリに格納した時点で、改ざん有無検証手段204を実行し、収集したログファイル208の情報の改ざんの有無を検証する場合について説明したが、本実施の形態では、セキュリティログ212が出力された時点で改ざん有無を検証すると共に、ログ収集手段203によるログ収集時に、本改ざん有無の検証結果を利用する場合について説明する。
本実施の形態では、改ざん有無検証手段212の動作が実施の形態1と異なる以外は、構成および動作は実施の形態1と同様であるため説明を省略する。
Embodiment 3 FIG.
In the first embodiment, when the log collection unit 203 collects the information of the
In the present embodiment, the configuration and operation are the same as those in the first embodiment except that the operation of the tampering presence /
図9は、改ざん有無検証手段204の処理動作を示すフローチャートである。
図10は、改ざん有無検証手段204の実行結果として得られる情報について示した図である。
本実施の形態では、改ざん有無検証手段204が常駐プロセスとして図9のフローチャートに従って動作する。
また、改ざん有無検証手段204の実行結果として得られる図10の情報を、改ざん有無検証手段204が改ざん有無検証手段204の内部メモリに保存する。
図9において、ステップS61〜ステップS67の処理動作は、図8のステップS51〜ステップS57の処理動作と同様のため、ここでは説明を省略する。
FIG. 9 is a flowchart showing the processing operation of the alteration presence / absence verification unit 204.
FIG. 10 is a diagram showing information obtained as an execution result of the alteration presence / absence verification unit 204.
In this embodiment, the alteration presence / absence verification unit 204 operates as a resident process according to the flowchart of FIG.
Further, the information of FIG. 10 obtained as an execution result of the alteration presence / absence verification unit 204 is stored in the internal memory of the alteration / absence verification unit 204.
In FIG. 9, the processing operations in steps S61 to S67 are the same as the processing operations in steps S51 to S57 in FIG.
本実施の形態では、ステップS66で、改ざん有りと判断した場合(ステップS66のYES)、レコードiの情報を改ざん判定レコード情報402として改ざん有無検証手段204が改ざん有無検証手段204の内部メモリへ追加書込み格納する。
In this embodiment, when it is determined in step S66 that there has been tampering (YES in step S66), the information on record i is added to the internal memory of tampering presence verification means 204 as tampering
図11は、ログ収集時のログ収集機能202の処理動作を示すフローチャートである。
本実施の形態では、ログ収集時に図11に従って動作する。
図11において、ステップS71〜ステップS73は、図5のステップS31〜ステップS33の手順と同様のため説明を省略する。
次に、ステップS74で、ログ収集手段203が今回ログファイル208へアクセスした時に出力されたセキュリティログ212のレコードの情報を、内部メモリのログ収集時レコード情報401に追加書込みする。
続いて、ステップS75で、改ざん有無検証手段204が、ログ収集手段203が前回ログファイル208へアクセスした時から今回ログファイル208へアクセスした時までの間の改ざんの有無をチェックする。具体的には、内部メモリのログ収集時レコード情報401の最新の情報と1つ前の情報を基に、今回と前回のログ収集手段203のアクセスの間に出力されたセキュリティログ212のレコードの範囲を特定する。
次に、改ざん判定レコード情報402を参照し、特定した範囲内で改ざんの有無をチェックする。その後、ステップS76、ステップS77を実施する。なお、ステップS76、ステップS77は、図5のステップS36、ステップS37の手順と同様のため説明を省略する。
FIG. 11 is a flowchart showing the processing operation of the
In this embodiment, the operation is performed according to FIG.
11, step S71 to step S73 are the same as the procedure of step S31 to step S33 in FIG.
Next, in step S74, the record information of the
Subsequently, in step S75, the tampering presence / absence verification unit 204 checks whether tampering has occurred between the time when the log collection unit 203 accesses the
Next, the presence / absence of alteration is checked within the specified range with reference to the alteration
以上のように本実施の形態によれば、ログ収集時に改ざんの有無を検証する処理を簡略に行なうことができるため、ログ収集時にかかる改ざん有無の検証を高速に行なうことができる。 As described above, according to the present embodiment, the process for verifying whether or not tampering is performed at the time of log collection can be performed in a simplified manner, so that the presence or absence of tampering at the time of log collection can be verified at high speed.
実施の形態4.
本実施の形態では、ログファイルが改ざんされていると判断した時点で、改ざんに関する情報を中央のサーバへ転送する場合について説明する。
Embodiment 4 FIG.
In the present embodiment, a case will be described in which, when it is determined that a log file has been tampered with, information regarding tampering is transferred to a central server.
本実施の形態は、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理で改ざん有りと判定した場合に(図7のステップS48のYES、図8のステップS56のYES、図9のステップS66のYES)、ログ収集エージェント201のログ転送機能206が改ざんに関する情報を中央のサーバへ転送するように動作する。
ここで、改ざんに関する情報は、具体的に、改ざんを検知した端末200のホスト名、IPアドレス、ログインユーザ名、システム時刻、また、改ざんと検知したセキュリティログ212の情報(本情報には、改ざんに利用したプロセス名、ユーザ名などの情報が含まれる)などが含まれる。
In the present embodiment, when it is determined that there is falsification in the record verification processing of the first embodiment, the second embodiment, and the third embodiment (YES in step S48 in FIG. 7, YES in step S56 in FIG. In step S66 in FIG. 9, the log transfer function 206 of the
Here, the information related to tampering specifically includes the host name, IP address, login user name, system time of the terminal 200 that has detected tampering, and information in the
以上のように本実施の形態によれば、ログの改ざんを検知した時に改ざんに関連する情報を中央のサーバへ転送するため、中央のサーバで改ざん行為に関する詳細な内容を取得することができる。 As described above, according to the present embodiment, when tampering with a log is detected, information related to tampering is transferred to a central server, so that the central server can acquire detailed contents regarding tampering actions.
実施の形態5.
本実施の形態では、ログファイルが改ざんされていると判断した時点で、指定した宛先に改ざんに関する情報を転送する場合について説明する。
In the present embodiment, a case will be described in which, when it is determined that a log file has been tampered with, information regarding tampering is transferred to a specified destination.
本実施の形態は、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理で改ざん有りと判定した場合に(図7のステップS48のYES、図8のステップS56のYES、図9のステップS66のYES)、ログ収集エージェント201のログ転送機能206が改ざんに関する情報を指定の宛先に転送するように動作する。
ここで、改ざんに関する情報とは、実施の形態4に記載の情報と同様である。
In the present embodiment, when it is determined that there is falsification in the record verification processing of the first embodiment, the second embodiment, and the third embodiment (YES in step S48 in FIG. 7, YES in step S56 in FIG. In step S66 in FIG. 9, the log transfer function 206 of the
Here, the information regarding tampering is the same as the information described in the fourth embodiment.
以上のように本実施の形態によれば、ログの改ざんを検知した時に管理者などに情報を送信することができるため、改ざんを検知したタイミングで対策を行なうことができる。 As described above, according to the present embodiment, information can be transmitted to an administrator or the like when log falsification is detected, so that countermeasures can be taken at the timing when falsification is detected.
実施の形態6.
本実施の形態では、ログファイルへアクセスを許可する複数のプログラム名を記録したリストを有し、改ざん有無の検証を行なう場合について説明する。
Embodiment 6 FIG.
In the present embodiment, a case will be described in which a list in which a plurality of program names permitting access to a log file is recorded and whether or not tampering is verified is performed.
本実施の形態は、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理(図7のステップS43、図8のステップS52、図9のステップS62)において、イメージファイル名とアプリケーション207のプログラム209のプログラム名を比較する際に、改ざん有無検証手段204がアプリケーションのプログラム名を前記リストより取得することで複数のプログラム名で改ざんの有無を判定するように動作する。
In the present embodiment, in the record verification processing (step S43 in FIG. 7, step S52 in FIG. 8, step S62 in FIG. 9) in the first embodiment, the second embodiment, and the third embodiment, the image file name and When comparing the program names of the
以上のように本実施の形態によれば、ログファイルへ書込みを行なう複数のプロセスが存在するようなマルチプロセスで動作するアプリケーションのログファイルに対して、改ざん有無の検証を正しく行なうことができる。 As described above, according to the present embodiment, it is possible to correctly verify the presence / absence of alteration of a log file of an application operating in a multi-process in which there are a plurality of processes that write to the log file.
実施の形態7.
本実施の形態では、改ざん有無の検証の対象とする複数のファイル名を記録したリストを有し、このリストに従って改ざんの有無の検証を行なう場合について説明する。
Embodiment 7 FIG.
In the present embodiment, a case will be described in which a list in which a plurality of file names to be verified for tampering is recorded and the presence or absence of tampering is verified according to this list.
本実施の形態では、定常時の監査機能211のモニタ動作(図3のステップS11)が、前記リストに記録された全てのファイルをモニタする。また、実施の形態1、実施の形態2、実施の形態3のレコードの検証処理(図7のステップS43、図8のステップS52、図9のステップS62)において、オブジェクト名とログファイル208のファイル名を比較する際に、改ざん有無検証手段204がログファイル208のファイル名を前記リストより取得して複数のファイル名で判定するように動作する。
In the present embodiment, the monitoring operation (step S11 in FIG. 3) of the
以上のように本実施の形態によれば、複数のファイルに書込みを行なうアプリケーションに対して、改ざんの有無の検証を正しく行なうことができる。 As described above, according to the present embodiment, it is possible to correctly verify whether or not tampering has occurred for an application that writes to a plurality of files.
100 ログ管理サーバ、101 ログDB、102 ログ収集サーバ、103 ログ投入機能、104 ログ受信機能、200 端末、201 ログ収集エージェント、202 ログ収集機能、203 ログ収集手段、204 改ざん有無検証手段、205 検知コード生成機能、206 ログ転送機能、207 アプリケーション、208 ログファイル、209 プログラム、210 オペレーティングシステム、211 監査機能、212 セキュリティログ。 100 log management server, 101 log DB, 102 log collection server, 103 log input function, 104 log reception function, 200 terminal, 201 log collection agent, 202 log collection function, 203 log collection means, 204 tampering verification means, 205 detection Code generation function, 206 log transfer function, 207 application, 208 log file, 209 program, 210 operating system, 211 audit function, 212 security log.
Claims (12)
前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する監査手段と、
前記監査手段により記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん有無検証手段と、を備えたことを特徴とするログ管理方式。 Log collection means for accessing the log file storing the operation result of the application program and collecting information of the log file;
Audit means for recording all access information constituted by access information accessed by the log collection means and the access information accessed by the log file as an audit log;
A log management method, comprising: falsification presence / absence verification means for verifying whether the information of the log file has been falsified by referring to the contents of the audit log recorded by the audit means.
前記ログ収集手段により送信された前記ログファイルの情報に対するメッセージ認証コードを生成する認証コード生成手段と、
前記検知コード生成手段により生成された前記メッセージ認証コードと前記ログ収集手段により収集された前記ログファイルの情報とをネットワークを介して接続されたログ管理サーバに送信するログ転送手段と、を備えたことを特徴とする請求項1記載のログ管理方式。 The log collection means transmits the log file information when the falsification presence / absence verification means determines that the log file information has not been falsified,
Authentication code generating means for generating a message authentication code for the information of the log file transmitted by the log collecting means;
Log transfer means for transmitting the message authentication code generated by the detection code generation means and the log file information collected by the log collection means to a log management server connected via a network, The log management method according to claim 1, wherein:
前記改ざん有無検証手段は、前記監査ログの新しい情報から古い情報へ順次参照し、前記ログ収集手段により前記ログファイルにアクセスした最新のアクセス情報とこの一つ前の前記ログ収集手段により前記ログファイルにアクセスしたアクセス情報とを特定し、特定した範囲内のアクセス情報の中から改ざんの有無を検証することを特徴とする請求項1記載のログ管理方式。 The auditing means records the audit log in time series,
The tampering presence / absence verification unit sequentially refers to the new information from the new information of the audit log to the old information, and the latest access information accessed by the log collection unit and the log file by the previous log collection unit. 2. The log management method according to claim 1, wherein access information that has been accessed is identified, and whether or not falsification has occurred is verified from the access information within the identified range.
前記改ざん有無検証手段は、前記ログ収集手段により前記ログファイルの情報が前記メモリに格納された時点で前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。 The log collection means stores the log file information collected by accessing the log file in a memory,
The log according to claim 1, wherein the tampering verification unit verifies whether the log file information has been tampered with when the log file information is stored in the memory by the log collection unit. Management method.
前記ログ収集手段は、前記改ざん有無検証手段により前記メモリに格納された前記改ざん判定レコード情報を参照し、前記ログファイルの情報が改ざんされているか否か判断することを特徴とする請求項1記載のログ管理方式。 When it is verified that the information of the log file has been falsified, the falsification presence / absence verification unit stores the access information to the falsified log file information in the memory as falsification determination record information,
The log collection unit refers to the falsification determination record information stored in the memory by the falsification presence / absence verification unit, and determines whether or not the information of the log file has been falsified. Log management method.
前記ログ転送手段は、前記改ざん有無検証手段により前記ログファイルの情報が改ざんされたと判断された時に、前記中央サーバに前記改ざん情報を格納することを特徴とする請求項2記載のログ管理方式。 A central server for storing falsification information in which the information of the log file has been falsified,
3. The log management system according to claim 2, wherein the log transfer unit stores the falsification information in the central server when the falsification presence / absence verification unit determines that the information of the log file has been falsified.
前記改ざん有無検証手段は、前記第1のリストに記録された複数のプログラム名を参照して前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。 A first list in which a plurality of program names permitting access to the log file are recorded;
2. The log management method according to claim 1, wherein the falsification presence / absence verification unit verifies whether or not the information of the log file has been falsified with reference to a plurality of program names recorded in the first list. .
前記改ざん有無検証手段は、前記第1のリストに記録された複数のログファイルのファイル名を参照して前記ログファイルの情報が改ざんされたか否か検証することを特徴とする請求項1記載のログ管理方式。 A second list in which file names of a plurality of log files for verifying whether or not the log file has been tampered with are recorded;
2. The falsification presence / absence verification unit verifies whether or not the information of the log file has been falsified by referring to file names of a plurality of log files recorded in the first list. Log management method.
アプリケーションプログラムの動作結果が格納されたログファイルにアクセスして前記ログファイルの情報を収集する収集ステップと、
前記収集ステップにより前記ログファイルにアクセスしたアクセス情報と前記ログファイルにアクセスされたアクセス情報とにより構成された全アクセス情報を監査ログとして記録する記録ステップと、
前記記録ステップにより記録された前記監査ログの内容を参照して前記ログファイルの情報が改ざんされたか否か検証する改ざん検証ステップと、を備えたことを特徴とするログ管理方法。 A log management method for detecting log falsification by a terminal connected to a log management server via a network,
A collection step of accessing the log file storing the operation result of the application program and collecting information of the log file;
A recording step of recording, as an audit log, all access information configured by the access information accessed by the collection step and the access information accessed by the log file;
A log management method comprising: a falsification verification step that verifies whether or not the information of the log file has been falsified by referring to the contents of the audit log recorded in the recording step.
前記収集ステップにより送信された前記ログファイルの情報に対するメッセージ認証コードを生成する認証コード生成ステップと、
前記認証コード生成ステップにより生成された前記メッセージ認証コードと前記収集ステップにより収集された前記ログファイルの情報とをネットワークを介して接続されたログ管理サーバに送信するログ転送ステップと、を備えたことを特徴とする請求項11記載のログ管理方法。 The collecting step transmits the log file information when the falsification verification step determines that the log file information has not been falsified,
An authentication code generating step for generating a message authentication code for the information of the log file transmitted by the collecting step;
A log transfer step of transmitting the message authentication code generated by the authentication code generation step and the information of the log file collected by the collection step to a log management server connected via a network, The log management method according to claim 11.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006306230A JP4862619B2 (en) | 2006-11-13 | 2006-11-13 | Log management method and log management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006306230A JP4862619B2 (en) | 2006-11-13 | 2006-11-13 | Log management method and log management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008123247A JP2008123247A (en) | 2008-05-29 |
JP4862619B2 true JP4862619B2 (en) | 2012-01-25 |
Family
ID=39507937
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006306230A Expired - Fee Related JP4862619B2 (en) | 2006-11-13 | 2006-11-13 | Log management method and log management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4862619B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109359484A (en) * | 2018-08-22 | 2019-02-19 | 北京中测安华科技有限公司 | Processing method, device, equipment and the medium of the security audit terminal log of cloud platform |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5374933B2 (en) * | 2008-06-20 | 2013-12-25 | 富士通株式会社 | Portable terminal device, history information transmission program, communication system, and communication method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001142764A (en) * | 1999-11-12 | 2001-05-25 | Japan Science & Technology Corp | Log file protecting system |
JP2002304231A (en) * | 2001-04-06 | 2002-10-18 | Dainippon Printing Co Ltd | Computer system |
JP2007026081A (en) * | 2005-07-15 | 2007-02-01 | Canon Inc | Program |
-
2006
- 2006-11-13 JP JP2006306230A patent/JP4862619B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109359484A (en) * | 2018-08-22 | 2019-02-19 | 北京中测安华科技有限公司 | Processing method, device, equipment and the medium of the security audit terminal log of cloud platform |
Also Published As
Publication number | Publication date |
---|---|
JP2008123247A (en) | 2008-05-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9055093B2 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
CN102546576B (en) | A kind of web page horse hanging detects and means of defence, system and respective code extracting method | |
JP4939851B2 (en) | Information processing terminal, secure device, and state processing method | |
CN113660224B (en) | Situation awareness defense method, device and system based on network vulnerability scanning | |
US20090328218A1 (en) | Data processing system, data processing method, and program | |
JP2006511877A (en) | System and method for detecting software tampering by proactively | |
US20110035784A1 (en) | Method and apparatus for detecting cyber threats | |
JP5920169B2 (en) | Unauthorized connection detection method, network monitoring apparatus and program | |
US20100235917A1 (en) | System and method for detecting server vulnerability | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
JP4995170B2 (en) | Fraud detection method, fraud detection device, fraud detection program, and information processing system | |
RU2677361C1 (en) | Method and system of decentralized identification of malware programs | |
BRPI0815605B1 (en) | METHOD FOR COMMUNICATING DATA USING A COMPUTER DEVICE; METHOD FOR GENERATING A SECOND VERSION OF A DATA COMMUNICATION COMPONENT USING A COMPUTER DEVICE; METHOD FOR COMMUNICATING DATA USING A COMPUTER DEVICE; METHOD FOR CREATING A CERTIFICATE USING A COMPUTER DEVICE; AND METHOD FOR USING A CERTIFICATE USING A COMPUTER DEVICE | |
WO2014103115A1 (en) | Illicit intrusion sensing device, illicit intrusion sensing method, illicit intrusion sensing program, and recording medium | |
JP2010182019A (en) | Abnormality detector and program | |
KR101137128B1 (en) | Containment of worms | |
JP4984531B2 (en) | Server monitoring program, relay device, server monitoring method | |
RU2661533C1 (en) | System and method of detecting the signs of computer attacks | |
RU2762528C1 (en) | Method for processing information security events prior to transmission for analysis | |
US20200028857A1 (en) | Systems and Methods for Reporting Computer Security Incidents | |
CN111800405A (en) | Detection method, detection device and storage medium | |
JP4862619B2 (en) | Log management method and log management method | |
US20080320313A1 (en) | System and method to protect computing systems | |
US20050010752A1 (en) | Method and system for operating system anti-tampering | |
JP2010182020A (en) | Illegality detector and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090925 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111011 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111024 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |