JP4967473B2 - Audit log generation device, audit event recording program, and image processing device - Google Patents
Audit log generation device, audit event recording program, and image processing device Download PDFInfo
- Publication number
- JP4967473B2 JP4967473B2 JP2006173000A JP2006173000A JP4967473B2 JP 4967473 B2 JP4967473 B2 JP 4967473B2 JP 2006173000 A JP2006173000 A JP 2006173000A JP 2006173000 A JP2006173000 A JP 2006173000A JP 4967473 B2 JP4967473 B2 JP 4967473B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- logs
- request
- data
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は電子機器の実行した処理の履歴を生成する装置に関する。 The present invention relates to an apparatus for generating a history of processing executed by an electronic device.
電子機器の障害原因の解析手法として、その電子機器の実行した処理の履歴をログファイルとしてハードディスクなどの記憶部へ保存し、障害発生後に読み出して障害原因の解析に役立てる解析手法が知られている。障害原因の確実な解析のためには、ログとして記憶される情報は多いほど望ましい。しかし記憶部の記憶容量は有限であるため、履歴を無制限に保存することはできない。 As an analysis method of the cause of failure of an electronic device, an analysis method is known that saves a history of processing executed by the electronic device as a log file in a storage unit such as a hard disk and reads it after the failure occurs to help analyze the cause of the failure . For a reliable analysis of the cause of a failure, the more information stored as a log, the better. However, since the storage capacity of the storage unit is finite, the history cannot be saved indefinitely.
このような問題点を改善するため、次のようなログファイル管理方法が提案されている。特許文献1には、発生頻度が低い障害事象の場合はログファイルに障害事象情報(発生日時、コマンド、データ送信元アドレスなど)を逐一記録し、発生頻度が高い障害事象の場合にはログファイルにその発生回数のみを記録することで、限られた記憶容量でより多くの情報を蓄積する方法が開示されている。また特許文献2には、履歴ごとに重要度を判別し、新規の履歴を記録するために必要な記憶領域を確保するために既存のログファイルを消去する際に、重要度の低いログファイルから順に消去し、重要度の高いログファイルは消去されることなく残すことで、有用なログファイルを残す技術が開示されている。
しかしながら、特許文献1では発生頻度が高い障害事象については発生回数のみが記録されるため、たとえばDoS攻撃においては、事象ごとに異なる重要な情報(送信元アドレスなど)が記録されないといった問題点がある。なおDoS攻撃とは、標的とするネットワーク機器に対し短時間に大量のリクエストを送信することにより負荷をかけ、サービスの提供を不能にする行為などを指す。
However, in
また特許文献2で開示された技術においては、DoS攻撃に関する履歴に低い重要度を割り当ててしまうと、より重要度の高いログを記録する過程で、DoS攻撃についてのログが消去されてしまい、DoS攻撃の事実を記録できない。逆に重要度の高いログとして記録されると記憶領域を使い切ってしまう。
本発明の目的は、必要なログ情報を確実に保存し、限りある記憶領域を有効に活用する方法を提供することにある。
In the technique disclosed in
An object of the present invention is to provide a method for reliably storing necessary log information and effectively utilizing a limited storage area.
本発明に係る監査ログ生成装置の第一の構成は、複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくとも当該リクエストの要求元、当該リクエストの送信された日時および要求内容を表すデータを前記電子機器から受取る受取り手段と、前記複数種の処理ごとにその処理の実行履歴であるログの前記日時を含む記載項目および記載形式が規定されたテーブルと、前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの前記記載項目および前記記載形式を選択し、そのログを生成する生成手段と、前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記電子機器が不正アクセスを受けていることを示す複数のログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、不正アクセスを受けたことを示す複数のログが含まれていると前記判定手段により判定された場合に、当該不正アクセスにおいて通信が行われたデータ通信ポートを予め決められた時間遮断させる遮断手段と、前記遮断手段により前記データ通信ポートが遮断された後に、前記不正アクセスを受けたことを示す複数のログを当該複数のログに含まれる前記日時を1つだけ含むログへ変換する変換手段と、前記遮断手段により前記データ通信ポートが遮断されてから予め定められた時間が経過したときに、当該データ通信ポートを開放する開放手段とを有することを特徴とする。 The first configuration of the audit log generating device according to the present invention, requesting at least the request every time the electronic device to perform in accordance with any one of a plurality of types of processing requests from external receives the request, the request A receiving means for receiving data indicating the date and time of transmission and request contents from the electronic device, and a description item and a description format including the date and time of the log as an execution history of the processing for each of the plurality of types of processing a table, the receiving against the contents of the data and the table received by the means to select the listed items and the description format of the processing of logs in which the electronic device is performed in response to the request content, the log generating means for generating a write unit that writes the log generated by the generation unit to the storage device to the generation order, the writing hand When a predetermined number of logs are written to the storage device, a plurality of logs indicating that the electronic device has received unauthorized access are stored in the predetermined number of logs stored in the storage device. Data that is communicated in the unauthorized access when it is determined by the determining means that determines whether or not it is included and a plurality of logs indicating that the unauthorized access has been received. A blocking means for blocking a communication port for a predetermined time; and the date and time included in the plurality of logs including a plurality of logs indicating that the unauthorized access has been received after the data communication port is blocked by the blocking means Conversion means for converting the log into a log containing only one message, and when a predetermined time has elapsed since the data communication port was blocked by the blocking means. And having a opening means for opening the data communication port.
本発明に係る監査ログ生成装置の第二の構成は、上記第一の構成において、前記生成手段により生成したログを書き込む前記記憶装置の空き領域があるか否かを判断する判断手段と、前記判断手段が否と判断した場合、前記電子機器を停止させる停止手段とを備え、前記書き込み手段は、前記判断手段が前記空き領域があると判断した場合に、前記ログを前記記憶装置へ書き込むことを特徴とする。 The second configuration of the audit log generation apparatus according to the present invention is the determination means for determining whether or not there is a free area in the storage device to which the log generated by the generation means is written in the first configuration, And a stop unit that stops the electronic device when the determination unit determines that the determination is negative, and the writing unit writes the log to the storage device when the determination unit determines that there is a free space. It is characterized by.
本発明に係る監査ログ生成装置の第三の構成は、上記第一又は第二の構成において、前記不正アクセスを受けたことを示すログは、DoS攻撃を受けていることを示す複数のログであり、前記変換手段は、当該複数のログを、それらに含まれる共通のデータを省略した単一のログに変換することを特徴とする。 A third configuration of the audit log generating device according to the present invention, in the above-mentioned first or second configuration, the log indicating that received the previous SL unauthorized access, multiple log indicating that DoS attack The converting means converts the plurality of logs into a single log in which common data included in the plurality of logs is omitted.
本発明に係る監査事象記録プログラムの構成は、コンピュータを、複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくとも当該リクエストの要求元、当該リクエストの送信された日時および要求内容を表すデータを前記電子機器から受取る受取り手段と、前記複数種の処理ごとにその処理の実行履歴であるログの前記日時を含む記載項目および記載形式が規定されたテーブルの内容と前記受取り手段により受取ったデータとを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの前記記載項目および前記記載形式を選択し、そのログを生成する生成手段と、前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記電子機器が不正アクセスを受けていることを示す複数のログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、不正アクセスを受けたことを示す複数のログが含まれていると前記判定手段により判定された場合に、当該不正アクセスにおいて通信が行われたデータ通信ポートを予め決められた時間遮断させる遮断手段と、前記遮断手段により前記データ通信ポートが遮断された後に、前記不正アクセスを受けたことを示す複数のログを当該複数のログに含まれる前記日時を1つだけ含むログへ変換する変換手段と、前記遮断手段により前記データ通信ポートが遮断されてから予め定められた時間が経過したときに、当該データ通信ポートを開放する開放手段として機能させることを特徴とする。 Configuration of the audit event recording program according to the present invention, a computer, an electronic device is requesting at least the request every time receiving the request to execute in accordance with any one of a plurality of types of processing requests from the outside, the A receiving means for receiving data indicating the date and time of request transmission and request contents from the electronic device , and a description item and a description format including the date and time of the log which is an execution history of the processing for each of the plurality of types of processing. against the data received by said receiving means with the contents of the tables, the selected the described items and the description format of the processing of logs in which the electronic apparatus is executed according to the request content, and generates the log generation Means, writing means for writing the logs generated by the generating means to the storage device in the order of generation, and the writing means When a predetermined number of logs are written to the storage device, a plurality of logs indicating that the electronic device has received unauthorized access are stored in the predetermined number of logs stored in the storage device. Data that is communicated in the unauthorized access when it is determined by the determining means that determines whether or not it is included and a plurality of logs indicating that the unauthorized access has been received. A blocking means for blocking a communication port for a predetermined time; and the date and time included in the plurality of logs including a plurality of logs indicating that the unauthorized access has been received after the data communication port is blocked by the blocking means Conversion means for converting the log into a log containing only one message, and when a predetermined time has elapsed since the data communication port was blocked by the blocking means. Wherein the function as opening means for opening a data communication port.
本発明に係る画像処理装置の構成は、外部からのリクエストに応じて画像処理を実行する画像処理手段と、前記リクエストを受取る度に少なくとも当該リクエストの要求元、当該リクエストの送信された日時および要求内容を表すデータを受取る受取り手段と、前記リクエストの各々に対応づけてその処理の実行履歴であるログの前記日時を含む記載項目および記載形式が規定されたテーブルと、前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記画像処理手段が実行する処理のログの前記記載項目および前記記載形式を選択し、そのログを生成する生成手段と、前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記画像処理手段が不正アクセスを受けていることを示す複数のログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、不正アクセスを受けたことを示す複数のログが含まれていると前記判定手段により判定された場合に、当該不正アクセスにおいて通信が行われたデータ通信ポートを予め決められた時間遮断させる遮断手段と、前記遮断手段により前記データ通信ポートが遮断された後に、前記不正アクセスを受けたことを示す複数のログを当該複数のログに含まれる前記日時を1つだけ含むログへ変換する変換手段と、前記遮断手段により前記データ通信ポートが遮断されてから予め定められた時間が経過したときに、当該データ通信ポートを開放する開放手段とを有する監査ログ生成装置とを備えることを特徴とする。 Construction of an image processing apparatus according to the present invention, at least the request of the requesting, transmitting date and time and requests the request whenever it receives an image processing means for executing image processing, said request in response to a request from the outside Receiving means for receiving data representing the contents, a table in which description items and description formats including the date and time of the log as the execution history of the processing are associated with each of the requests, and data received by the receiving means and against the contents of the table, the select the items written and the description format of the operation log by the image processing means is performed in response to the request content, and generating means for generating the log, said generating means Writing means for writing the logs generated by the above to the storage device in the order of generation, and a predetermined number of minutes by the writing means A plurality of logs indicating that the image processing means has received unauthorized access are included in a predetermined number of logs stored in the storage device, triggered by being written to the storage device If the determination means determines that a plurality of logs indicating that the unauthorized access has been received and a determination means for determining whether or not the unauthorized access has been received, the data communication port through which communication was performed in the unauthorized access is previously set. A blocking means for blocking a predetermined time, and a plurality of logs indicating that the unauthorized access has been received after the data communication port is blocked by the blocking means, the date and time included in the plurality of logs is only one Conversion means for converting to a log including the data communication port when a predetermined time elapses after the data communication port is blocked by the blocking means. Characterized in that it comprises a audit log generating device having a opening means for opening the door.
本発明により、電子機器の監査ログにおいて記録する内容を動作ごとに選択することにより、より有用な監査ログを生成させることができる。 According to the present invention, a more useful audit log can be generated by selecting contents to be recorded in an audit log of an electronic device for each operation.
(A:実施形態の構成)
以下、本発明を実施する際の最良の形態について図面を参照して具体的に説明する。
(A−1:システム構成)
図1は本実施形態に係る監査ログ生成装置を有する画像処理装置200が接続された情報処理システム100の構成を示した図である。情報処理システム100は、画像処理装置200、処理要求装置300aを有し、画像処理装置200および処理要求装置300aは通信網500を介して接続されている。
(A: Configuration of the embodiment)
Hereinafter, the best mode for carrying out the present invention will be specifically described with reference to the drawings.
(A-1: System configuration)
FIG. 1 is a diagram illustrating a configuration of an
通信網500は、例えば情報処理システム100を利用するオフィスに敷設されたEthernet(登録商標)であり、PCや画像形成装置などの各装置間で所定の通信プロトコルにしたがって行われるデータ通信を仲介するためのものである。本実施形態では、ネットワーク層の通信プロトコルとしてはIPが用いられており、トランスポート層の通信プロトコルにはTCPが用いられている。ここで通信網500は、インターネットなどの外部ネットワーク400に接続されており、その外部ネットワーク400に接続されている処理要求装置300bとの間の通信を仲介する機能も備えている。なお、本実施形態では、通信網500がEthernetである場合について説明するが、トークンリングであっても良いことは勿論である。要は、上記所定の通信プロトコルにしたがって行われる通信を仲介する機能を備えた通信網であれば、どのような通信網であっても良い。また、本実施形態ではトランスポート層の通信プロトコルとしてTCPを用いる場合について説明するが、UDPを用いるとしても勿論良い。
The
なお、上記の画像処理装置200および処理要求装置300a、bにはそれぞれにIPアドレスが割り振られており、それぞれの機器はネットワーク上で一元的に識別される。具体的には、画像処理装置200には“255.255.0.0”が、処理要求装置300aには“255.255.0.1“が割り振られている。
Note that an IP address is assigned to each of the
画像処理装置200は、具体的にはいわゆる複合機であり、画像読取機能や画像形成機能、画像転送機能を兼ね備えている。ここで、画像読取機能とは、記録材上に形成された画像を光学的に読取り、読取った画像に応じた画像データを生成する画像読取処理を実行する機能である。また画像形成機能とは、通信網500を介して受信した画像データや上記画像読取機能により生成した画像データに応じた画像を印刷用紙やOHP(Over Head Projector)シートなどの記録材上に形成する画像形成処理を実行する機能である。なお本実施形態においては、画像処理装置200は、電子写真方式で上記画像データに応じたトナー画像を上記記録材上に形成する。そして、画像転送機能とは、例えば上記画像読取機能によって読取った画像に応じた画像データを、通信網500を介して所定の宛先へ転送する画像転送処理を実行する機能である。
Specifically, the
この画像処理装置200は、通信網500を介して所定の通信プロトコルにしたがって送信されてくるメッセージを受信し、そのメッセージの内容に応じた処理(本実施形態では、画像形成処理、画像読取処理および画像転送処理や、それらを制御するプログラムの変更・追加など)を実行するように構成されている。なお、以下では、画像処理装置200に、上記各処理の実行を要求すること、およびその要求を示した信号を「リクエスト」と称する。リクエストには、画像処理装置200に実行させる実行ジョブを指定するコマンドや、その対象となるデータおよびデータの属性、そのリクエストの要求元を識別するためのアドレス(以下、要求元識別子と呼ぶ)、そのリクエストの送信日時などが含まれている。
The
さて、画像処理装置200においては、上記の各処理の実行を指示する旨のリクエストの送受信に利用する通信ポート(以下、データ通信用ポートと呼ぶ)が各処理毎に予め定められている。例えば、画像形成処理用のデータ通信用ポートとしてポート番号が“631”であるデータ通信用ポートが割り当てられている。なお、トランスポート層の通信プロトコルとしてUDPを用いる場合には、UDPにおける通信ポートを上記データ通信用ポートに割り当てるようにすれば良い。
処理要求装置300aは例えばPCであり、上記の処理を画像処理装置200へ要求するためのリクエストをユーザの指示に応じて生成し、そのリクエストを上記所定の通信プロトコルにしたがって送信する機能を備えている。
In the
The
(A−2:画像処理装置の構成)
図2は、画像処理装置200のハードウェア構成の一例を示す図である。
画像処理装置200は、制御部210と、通信インタフェース(以下、「IF」と表記する)部220と、情報処理部230と、記憶部240と、UI(User interface)部250と、監査ログ生成装置600と、それら各構成要素間のデータ通信を仲介するシステムバス260とを有している。
(A-2: Configuration of image processing apparatus)
FIG. 2 is a diagram illustrating an example of a hardware configuration of the
The
制御部210は、例えばCPU(Central Processing Unit)であり、後述する記憶部240に格納されている各種プログラムを実行し、他の構成要素の作動制御を行う機能を有する。
通信IF部220は、例えばNIC(Network Interface Card)であり、通信網500に接続されている。この通信IF部220は、通信網500を介して送信されてくるデータを受信し制御部210へ引渡すとともに、制御部210から引渡されたデータを通信網500へと送出するためのものである。
The
The communication IF
情報処理部230は、スキャナ部と、印刷部と、情報処理制御部とを含んでいる。スキャナ部は、図示せぬプラテンガラス上に置かれた記録材上に形成されている画像を光学的に読取りその画像に応じた画像データを生成して情報処理制御部へと引渡すものである。印刷部は、図示せぬ用紙トレイに格納された記録材を取り出し、情報処理制御部から引渡された画像データに応じてトナー像を電子写真方式でその記録材上に形成する。情報処理制御部は、制御部210による制御の元で、スキャナ部や印刷部の作動を制御する。
The
UI部250は、画像処理装置200に設けられた操作パネルおよびボタンなどである。ユーザは操作パネルの表示を参照しながらボタンを押すことにより、UI部250からシステムバス260を介して、ユーザが要求した実行ジョブを指定するコマンド、要求元識別子(この場合は画像処理装置200に割り当てられたIPアドレス)、ユーザが要求を出した日時などのデータが制御部210に送信され、特定の処理を画像処理装置200に実行させることができる。以下では、UI部250から制御部210に送信される信号を、上述した処理要求装置300から画像処理装置200に対して送られる信号と合わせて「リクエスト」と呼ぶ。なお、UI部250から制御部210に送信されるリクエストには、処理の対象となる画像データは含まれず、画像処理装置200の情報処理部230から供給される。
The
記憶部240は、HDD240a(Hard Disk Drive)と、RAM(Random Access Memory)240bと、ROM(Read Only Memory)240cとを含んでいる。RAM240bは、各種プログラムにしたがって作動している制御部210によってワークエリアとして利用される。ROM240cは、本発明に係る画像処理装置200に特徴的な機能を制御部210に実現させるためのデータやプログラムを格納している。HDD240aは、生成された監査ログを記憶する。
The
ここで、ROM240cに格納されているプログラムについて説明する。ROM240cには、制御プログラムが格納されている。この制御プログラムに従って作動している制御部210は、処理要求装置300aから送付されたリクエストを受信し、このリクエストに含まれるデータのうち上記のコマンドと、データおよびデータの属性と、要求元識別子と、送信日時とを、監査ログ生成装置600に対して送信する。一方、ユーザがUI部250を介して画像処理装置200を送信した場合、制御部210は、コマンドすなわちユーザが行ったUI操作と、情報処理部230において生成された画像データと、画像処理装置200に割り当てられた要求元識別子と、送信日時とを、監査ログ生成装置600に送信する。
Here, the program stored in the ROM 240c will be described. A control program is stored in the ROM 240c. The
(A−3:監査ログ生成装置の構成)
次に監査ログ生成装置600の構成について図3を用いて説明する。
監査ログ生成装置600は、CPU610と、RAM630と、入出力部640と、ROM620と、これら各構成要素間のデータ通信を仲介するバス650とを有している。
RAM630は、各種プログラムに従って作動しているCPU610によってワークエリアとして利用される。また、RAM630は、画像処理装置200が受信したリクエストに関するデータを一件分だけ記憶するバッファメモリとしての役割を持っている。
入出力部640は、システムバス260に接続されており、システムバス260を介して送信されてくるデータをCPU610へ引渡すとともに、CPU610から引渡されたデータをシステムバス260へ送出したり、制御部210に対して画像処理装置200のシステムの停止を指示したりする機能を持つ。
(A-3: Configuration of the audit log generation device)
Next, the configuration of the audit
The audit
The
The input /
ROM620には、本発明に特徴的な機能を監査ログ生成装置600に対し付与するデータおよび監査事象記録プログラム10が記憶されている。
そのようなデータの一例としては、図5に示す記録方式選択テーブルが挙げられる。この記録方式選択テーブルには、画像処理装置200が受信する各種のリクエストと、それぞれのリクエストを受信した際にそのことを記録する監査ログに記載する項目が列挙されている。ここで、監査ログの記録方式について図5に示した記録方式選択テーブルを用いて説明する。監査ログの記録方式には簡潔なログ、高度なログの2種類がある。まず簡潔なログには、要求された実行ジョブの種類、画像データの属性、要求元識別子、リクエストの送信された日時、および処理結果(エラーが発生した場合はそのうち重要なエラーの内容)に関するデータが記載される。一方高度なログには、要求された実行ジョブの種類、処理画像、画像データの属性、要求元識別子、リクエストの送信された日時、および処理結果(エラーが発生した場合はそのエラーの内容)に関するデータが記載される。上記処理画像とは、画像処理装置200が生成または受信した画像データを指す。なおログの容量を縮小するため、画像データを圧縮した後HDD240aに記憶しておいてもよい。
簡潔なログを生成する監査事象としては、画像処理装置200による画像読取り、画像形成、画像転送が挙げられる。高度なログを生成する監査事象としては、画像処理装置200のシステムデータの登録、変更、削除および、新規アプリケーションの追加が挙げられる。
The
An example of such data is a recording method selection table shown in FIG. The recording method selection table lists various requests received by the
Examples of audit events that generate a simple log include image reading by the
監査事象記録プログラム10に従って作動しているCPU610には、以下に挙げるような画像処理装置200が行った処理の履歴(監査ログ)を生成する機能が付与される。
図4は監査ログ生成装置600の機能構成を示したブロック図である。具体的には、上に監査事象記録プログラム10に従って作動しているCPU610は、図4において二重線で囲った手段すなわち、監査事象検知手段700と、記録方式選択手段710と、ログ生成手段720と、監査ログ書き込み手段730と、空き領域検知手段740と、DoS攻撃検知手段750と、ログ圧縮手段760と、ログ削除手段770と、カウンタ780として機能する。
The
FIG. 4 is a block diagram showing a functional configuration of the audit
監査事象検知手段700は、RAM630に記憶されたデータに基づいて、前述した監査事象の発生の有無を監査する。以下に監査の方法を説明する。監査事象検知手段700は、RAM630に記憶されたリクエストが、記録方式選択テーブルに記載されているリクエスト(以下、監査事象と呼ぶ)の一つと一致するかどうかについて判断する。一致した場合、監査事象検知手段700は、記録方式選択手段710に対してその監査事象の種類を示すデータを送信する。
The audit
記録方式選択手段710は、監査事象検知手段700から受信したデータに基づき、簡潔なログもしくは高度なログのいずれかの監査ログ記録方式を選択し、ログ生成手段720に選択した記録方式を示す信号を送る。
ログ生成手段720は記録方式選択手段710により選択された監査ログ記録方式に基づいてログデータを生成する。図8は、監査ログ生成装置600によって生成されたログの内容である。ログ1に示されたログは、処理要求装置300aから画像処理装置200に対し、画像の印刷を要求するリクエストが送信された履歴を示す。この場合「実行ジョブ」には、画像形成を意味するPRINTおよび実行を意味するDOが記載される。「データの属性」は、印刷された画像データの種類を示す拡張子(たとえば“jpeg”)が記載される。「要求元識別子」には、処理要求装置300aに割り当てられたIPアドレスが記載される。「送信日時」には、日、月、年、時、分、秒が順に記載される。「処理結果」には、要求された処理を支障なく完了したかどうか、また、エラーを生じた場合はそのエラーの内容を意味する番号が記載される。ここで、記載されている番号“200”は、支障なく処理を完了したことを意味する。また、ログ2に示されたログは、ユーザが画像処理装置200のUI部250における操作によって画像の読取をおこなったことを示す。この場合、要求元識別子には、画像処理装置200自体に割り当てられたIPアドレスが記載される。
The recording method selection means 710 selects either a simple log or an advanced log based on the data received from the audit event detection means 700, and the log generation means 720 indicates the selected recording method. Send.
The
ログ生成手段720は生成したログデータを監査ログ書き込み手段730へ送信する。
監査ログ書き込み手段730は、ログ生成手段720により生成されたログデータを受信し、ログファイルに書き込む。
ここで、空き領域検知手段740は、HDD240aの空き領域を検知し、監査ログ書き込み手段730に通知する機能を有する。監査ログ書き込み手段730は生成したログデータの容量を検知し、検知した空き領域よりもファイル容量が小さいときはログの書き込みを行う。一方、監査ログ書き込み手段730は、検出した空き領域よりもファイル容量が大きいときは、ログの書き込みを中止し、画像処理装置200がシステムを停止するよう制御部210に対して信号を送信する。なお、システムの停止を行う代わりに、監査ログ書き込み手段730は入出力部640に指示し、アラートの発呼を行わせてもよい。
監査ログ書き込み手段730は、ログの書き込みを行う際にカウンタ780のインクリメントを行う。なお、カウンタ780の初期値は0である。書き込みおよびインクリメントを繰り返した結果、カウンタ780があらかじめ規定された値N(Nは2以上の自然数であり、この場合50である)に達すると、CPU610は、カウンタ780を初期値0にリセットし、同時に、DoS攻撃検知手段750に対し、カウンタ780が規定の値Nに達した旨の信号を送信する。
The
The audit log writing unit 730 receives the log data generated by the
Here, the free
The audit log writing unit 730 increments the
DoS攻撃検知手段750は、カウンタ780が規定の値Nに達した旨の信号を受信すると、ログファイルに記録された最新のログ50個について、DoS攻撃と疑われるログが存在するか否かを監査する。その詳細を以下に説明する。
図8において、ログ550のログが記録され、カウンタ780がリセットされた時点を例にとって説明する。DoS攻撃検知手段750は、カウンタ780からの信号を受信し、最新のログ50個すなわちログ501ないしログ550についてDoS攻撃を疑われる監査ログの有無を監査する。前述のようにDoS攻撃は、短時間に大量のリクエストを特定のデータ通信用ポートに対して送信するものであるから、50個のログの少なくとも一部に次に述べる(a)または(b)のような傾向が見られたとき、それらはDoS攻撃を疑われるログであると判断する。
(a)単位時間あたりのリクエストの数が規定値を超える場合
(b)処理結果に高負荷による障害が規定数を超えて記録されている場合
When the DoS
In FIG. 8, the case where the
(A) When the number of requests per unit time exceeds the specified value (b) When a failure due to high load is recorded in the processing result exceeding the specified number
ここで、図8においてログ“523”から“550”においては、2006年9月1日の00時28分00秒から00時28分20秒までの20秒という短時間の間にjpg形式の画像を印刷するよう指示する処理要求メッセージを全て異なる要求元から計28個受信したことが記録されている。また、その際に高負荷による障害が起きた事を示す処理結果が記録されている。ここで(a)または(b)の基準に照らし合わせ、DoS攻撃検知手段750はログ523ないしログ550はDoS攻撃を疑われるログであると判断する。DoS攻撃検知手段750は、DoS攻撃を疑われるログであると判断されたログの番号を含む信号を、ログ圧縮手段760へ送信する。なお、DoS攻撃であると判断する基準は上記(a)および(b)に限定されず、他にもDoS攻撃の性質に照らし合わせて、異なる基準の設定が可能である。また、ここではNを50として説明をしたが、50以外の自然数を用いてもよい。要するに、複数のログを監査し、それらがDoS攻撃を疑われるログであるか否かについて判断をするのに十分な値であればよい。
Here, in the logs “523” to “550” in FIG. 8, the jpg format is used in a short period of 20 seconds from 00:28:00 to 00:28:20 on September 1, 2006. It is recorded that a total of 28 processing request messages for instructing to print images have been received from different request sources. In addition, a processing result indicating that a failure due to a high load has occurred is recorded. Here, in light of the criteria (a) or (b), the DoS attack detection means 750 determines that the
DoS攻撃検知手段750から信号を受信したログ圧縮手段760は、ログファイルから該ログを読み出し、そのデータを元にして「差分ログ」を生成する。その生成方法について具体例をとって以下に説明する。新たに生成されたログのログ番号には、“523―550”のように圧縮するログの始まりの番号と終わりの番号を並べた数字が割り振られる。差分ログの記載内容には、各ログにおいて異なる項目については、それぞれ記載されていたデータが残され、一方各ログに共通する項目は一つにまとめられる。この例においては、要求元識別子は各ログ毎に異なることから、要求元識別子は全てのログにそれぞれ記載されていた要求元識別子が記載され、一方各ログに共通の内容を持つその他の項目については、共通の内容が代表して記載される。なお送信日時については、最も番号が若いログに記載されていた日時すなわちDoS攻撃の開始された日時が代表して記載される。「累積発生回数」には、差分ログとしてまとめられたログの数が記載される。差分ログは、以上のようにDoS攻撃を疑われるログに対して事後的に生成される。
The
ログ削除手段770は、ログ圧縮手段760がログファイルからDoS攻撃を疑われるログを読み出した後、それらをログファイルから削除する。
また、DoS攻撃検知手段750は、DoS攻撃を検知すると制御部210に対し、DoS攻撃が行われたデータ通信ポートを遮断するよう指示する信号を送る。制御部210は信号を受信すると、DoS攻撃を受信したデータ通信ポートを遮断する。ここで、画像処理装置200は図示せぬタイマを持つ。制御部210が上記データ通信ポートを遮断すると、タイマはその時点から経過した時間のカウントを始める。一定の時間T1が経過すると、制御部210は上記データ通信ポートを開放し、リクエストを再び受信するように待ち構える。
The
In addition, when the DoS
以上が監査ログ生成装置600の構成である。以上に説明したように、本実施形態に係る監査ログ生成装置600の構成は、一般的なコンピュータ装置の構成と同一であり、本発明に係る監査ログ生成装置に特徴的な機能はソフトウェアモジュールにより実現されている。
The above is the configuration of the audit
(B:実施形態の動作)
次いで、本発明に係る監査ログ生成装置600が行う動作のうち、その特徴を顕著に示している動作について図面を参照して説明する。以下では、まず画像処理装置200の正常な動作に対するログ記録について、次に画像処理装置200が受けたDoS攻撃に対するログ記録について説明する。
(B: Operation of the embodiment)
Next, among the operations performed by the audit
(B−1:正常な動作に対するログ記録)
以下では、本実施形態の実施の一事例として、通信網500に接続された処理要求装置300aから画像処理装置200に対し画像形成を要求するリクエストが送信された場合に、監査ログ生成装置600が実行するログ記録処理について説明する。なお、本動作の開始時点では、HDD240aにはログデータは1件も記憶されていないものとする。
(B-1: Log recording for normal operation)
Hereinafter, as an example of implementation of the present embodiment, when a request for image formation is transmitted from the
処理要求装置300aには、そのHDD240aにデータA(jpeg形式の画像)が記憶されている。ユーザは、処理要求装置300aを適宜操作することによって、データAの表す画像を形成する旨のリクエストを、画像処理装置200に送信させることができる。このとき処理要求装置300aは、画像形成を命令するコマンド、データAおよびデータAの属性に関するデータ(この場合jpeg)、処理要求装置300aのIPアドレス、リクエストの送信日時とを含んだリクエストを生成し、そのリクエストを画像処理装置200のデータ通信用ポート631へ宛てて送信する。このようにして送信されたリクエストは通信網500を介して画像処理装置200の制御部210により受信される。
リクエストを受信した制御部210は、処理要求装置300aから受信したリクエストのうち、コマンド、データAの属性、処理要求装置300aのIPアドレス、リクエストの送信日時に関するデータを、システムバス260を介して監査ログ生成装置600のCPU610へ受け渡し、そのデータは一旦RAM630に記憶される。
The
The
図6は、監査事象記録プログラム10に従って作動しているCPU610が、上記リクエストに関するデータを受取った場合に実行するログ記録処理の流れを示すフローチャートである。
RAM630に新規のリクエストに関するデータが追加されると(ステップSA10:Yes)、監査事象検知手段700は、そのデータの中からコマンドに関するデータを読み出す。このコマンドは監査事象に該当するため、監査事象検知手段700は、コマンドに関するデータを記録方式選択手段710に対して通知する。
FIG. 6 is a flowchart showing the flow of log recording processing executed when the
When data related to a new request is added to the RAM 630 (step SA10: Yes), the audit
記録方式選択手段710は、受信したコマンドに関するデータと記録方式選択テーブルの格納内容とを照らし合わせ、そのコマンドに該当する監査事象について生成するログの記録方式を選択し(ステップSA20)、その選択結果を示す信号をログ生成手段720へ送信する。本実施形態では、画像形成処理については簡潔なログとして記録することが記録方式選択テーブル(図5参照)に規定されている。従って記録方式選択手段710は、上記ステップSA20において、簡潔なログを選択する。
ログ生成手段720は、RAM630に記憶されたデータから、簡潔なログに記載する項目、すなわちコマンド(実行ジョブ)の種類、データの属性、要求元識別子、送信日時に関するデータを読取り、それらの項目から成るログデータを生成し(ステップSA30)、監査ログ書き込み手段730へ送信する。
The recording method selection means 710 compares the data related to the received command with the stored contents of the recording method selection table, selects the recording method of the log generated for the audit event corresponding to the command (step SA20), and the selection result Is transmitted to the log generation means 720. In this embodiment, the recording method selection table (see FIG. 5) stipulates that image formation processing is recorded as a simple log. Accordingly, the recording method selection means 710 selects a simple log in step SA20.
The
また、空き領域検知手段740はHDD240aの空き領域を検知し、監査ログ書き込み手段730に対し通知する。監査ログ書き込み手段730は、ログ生成手段720から通知されたログデータの容量とHDD240aの空き領域とを比較し、そのログデータを書き込むに充分な大きさの空き領域がHDD240aにあるか否か判定する(ステップSA40)。
Also, the free
ステップSA40の判定結果が“Yes”である場合、すなわち充分な大きさの空き領域がある場合には、監査ログ書き込み手段730はHDD240a内にログファイルを生成し、ログ生成手段720か受信したログデータをそのログファイルへ書き込む(ステップSA50)。逆に、ステップSA40の判定結果が“No”である場合、すなわち充分な大きさの空き領域がない場合には、監査ログ書き込み手段730は、システムを停止する旨の指示を制御部210へ送信し、画像処理装置200のシステムを停止させる(ステップSA120)。
If the determination result in step SA40 is “Yes”, that is, if there is a sufficiently large free space, the audit log writing unit 730 generates a log file in the HDD 240a and the log received by the
前述したように、本動作例では、その開始時点においてHDD240aにはログデータは1件も記憶されていないのであるから、ステップSA40の判定結果は“Yes”になり、上述したステップSA50の処理が実行される。ステップSA50に後続して実行されるステップSA60においては、監査ログ書き込み手段730は、カウンタ780をインクリメントする(ステップSA60)。
インクリメントによりカウンタ780のカウントが規定の値N(この場合50)に達した場合(ステップSA70:Yes)、CPU610は、カウンタ780を初期値“0”にリセットし(ステップSA80)、差分ログ生成処理を実行する(ステップSA90)。なお、この差分ログ生成処理については後に詳細に説明する。一方、ステップSA60にてインクリメントされたカウンタ780の値が上記規定の値Nに達していない場合(ステップSA70:No)は、CPU610は、ステップSA80およびSA90の処理を行うことなく、後述するステップSA100の処理を実行する。
As described above, in this operation example, since no log data is stored in the HDD 240a at the start time, the determination result in step SA40 is “Yes”, and the processing in step SA50 described above is performed. Executed. In step SA60 executed subsequent to step SA50, the audit log writing unit 730 increments the counter 780 (step SA60).
When the count of the
画像処理装置200の制御部210は、この段階で初めて、処理要求装置300aから受信したリクエストに応じた処理(本動作例では、画像形成)を行い(ステップSA100)、その処理結果を上記書き込み済みのログに追記する(ステップSA110)。例えば、画像形成を試みた結果、支障なく印刷が完了した場合には、制御部210は、書き込み済みのログに、支障なく処理が完了したことを示す番号“200”を追記する。逆に、処理の過程で何らかのエラーが発生した場合には、制御部210は、そのエラーを別途設けられた手段により解析し、解析の結果明らかになったエラーの内容を追記する。
以降、処理要求装置300aからリクエストが送信されてくる度に、図6に示すログ記録処理が実行される結果、HDD240aには、例えば、図8に示すようなログファイルが記録されることになる。
For the first time at this stage, the
Thereafter, whenever a request is transmitted from the
(B−2:DoS攻撃に対するログ記録)
次に、本実施形態の実施の好適事例として、画像処理装置200がDoS攻撃を受けた場合を例にとって、監査ログ生成装置600の動作を説明する。
図7は、図6のステップSA90にて実行される差分ログの生成処理”の流れを詳細に示すフローチャートである。DoS攻撃検知手段750は、リセットされたカウンタ780から送信された信号を受信すると、ログファイルに記憶されている最新の50個のログ(図8:ログ501ないし550)について、それらにDoS攻撃を疑われるログが含まれているか否かを判定する(ステップSA910)。
(B-2: Log recording for DoS attack)
Next, the operation of the audit
FIG. 7 is a flowchart showing in detail the flow of “difference log generation processing executed in step SA90 of FIG. 6.” When the DoS
ステップSA910の判定結果が“Yes”である場合(すなわち、Dos攻撃を疑われるログが含まれていると判定した場合)には、CPU610は、図7のステップSA920からSA980までの処理を実行し、本差分ログ生成処理を終了する。逆に、ステップSA910の判定結果が“No”である場合には、CPU610は、上記ステップSA920からSA980までの処理を実行することなく、本差分ログ生成処理を終了する。
本動作例では、図8に示すログ501からログ550までの50個のログのうち、ログ523ないし550が前述した基準(a)または(b)に該当する場合(すなわち、これら28個のログについてDoS攻撃が疑われる場合)について説明する。このように、上記50個のログには、Dos攻撃が疑われるログが含まれているのであるから、本動作例では、ステップSA910の判定結果は“Yes”になり、ステップSA920からSA980までの処理が実行される。
When the determination result in step SA910 is “Yes” (that is, when it is determined that a log suspected of Dos attack is included), the
In this operation example, among the 50 logs from the
ステップSA910の判定結果が“Yes”である場合に後続して実行されるステップSA920においては、DoS攻撃検知手段750は、制御部210に対して、ログ523ないし550に係るリクエストを受信したデータ通信用ポート(この場合631)を一時的に遮断するよう指示する。
In step SA920, which is subsequently executed when the determination result in step SA910 is “Yes”, the DoS
次いで、CPU610は、タイマによる計時を開始し(ステップSA930)、DoS攻撃を疑われるログの番号(この場合523から550)に関するデータをログ圧縮手段760へ送る。
DoS攻撃を疑われるログの番号に関するデータを受信したログ圧縮手段760は、該当するログを圧縮する(ステップSA940)。具体的には、ログ圧縮手段は、ログファイルから該ログを読み出し、そのデータから前述の手順にしたがって差分ログデータを生成し、監査ログ書き込み手段730へ送信する。この差分ログは、監査ログ書き込み手段730によってログファイルへ書き込まれ(ステップSA950)、圧縮前のログ(すなわち、図8のログ523ないし550)はログ削除手段によってログファイルから削除される(ステップSA960)。なお、本動作例では、差分ログの書き込みを行った後にその圧縮前のログを削除する場合について説明したが、圧縮前のログの削除を行った後に、差分ログの書き込みを行うとしても勿論良い。
Next, the
The log compressing means 760 that has received the data relating to the log number suspected of DoS attack compresses the corresponding log (step SA940). Specifically, the log compression unit reads the log from the log file, generates differential log data from the data according to the above-described procedure, and transmits it to the audit log writing unit 730. The difference log is written to the log file by the audit log writing unit 730 (step SA950), and the logs before compression (that is, the
以降、ステップSA920にて制御部210により遮断されたデータ通信用ポート631は、上記タイマにより計時された時間が予め決められた時間T1に達した時点で(ステップSA970:Yes)、制御部210によって開放される(ステップSA980)。
以上に説明した動作が為される結果、Dos攻撃を疑われるログについては、差分ログに集約されるので、そのDos攻撃の攻撃元通信アドレスなどの重要な情報を保持しつつ限りある記憶領域を有効に利用することが可能になる。
Thereafter, the data communication port 631 blocked by the
As a result of the operations described above, logs that are suspected of being a Dos attack are aggregated into a differential log. Therefore, a limited storage area is maintained while retaining important information such as the attack source communication address of the Dos attack. It can be used effectively.
(C:変形例)
以上、本発明の1実施形態について説明したが、かかる実施形態に以下に述べるような変形を加えても良いことは勿論である。
(C: Modification)
Although one embodiment of the present invention has been described above, it is needless to say that the embodiment may be modified as described below.
(1)上記実施例においては、監査ログ生成装置は画像処理装置に対して設けられていたが、設置対象はもちろん画像処理装置に限定されず、さまざまな電子機器に対して設置することができる。
(2)上記実施例においては、本発明に係る画像処理装置に特徴的な機能をソフトウェアモジュールで実現する場合について説明したが、上記各機能を担っているハードウェアモジュールを組み合わせて本発明に係る監査ログ生成装置を構成するようにしても良いことは勿論である。
(1) In the above embodiment, the audit log generation apparatus is provided for the image processing apparatus. However, the installation target is not limited to the image processing apparatus, and can be installed for various electronic devices. .
(2) In the above embodiment, the case has been described where the functions characteristic of the image processing apparatus according to the present invention are realized by software modules. However, the present invention is based on a combination of hardware modules having the above functions. Of course, the audit log generation device may be configured.
(3)上記実施例においては、記録方式選択手段710は、処理要求装置300aまたは画像処理装置200のUI部250から受信したリクエストに含まれるコマンドによって監査ログの記録方式を選択した。しかし、監査ログとして記録すべき事象には、コマンドに対応付けられないものも存在する。上述したDoS攻撃はその一例である。したがって実施例に示した事象以外にも、以下に挙げるような場合などにログを作成してもよい。ユーザが認証エラーを連続して行った場合、ユーザが大量の画像読取・画像形成・画像転送を行った場合、画像処理装置200にインストールされたウイルス等の検知プログラムがウイルスを検知した場合、画像処理装置200に対してポートスキャンや認証チャレンジなどの疑わしいネットアクセスがあったりした場合などである。以上は、図5に示した記録方式選択テーブルと合わせることにより、図9に示したテーブルにまとめられる。
(3) In the above embodiment, the recording
(4)上記実施例においては、LAN(Local area network)に接続された処理要求装置300aから、通信網500を介して画像処理装置200に対しリクエストが送信された場合などについて説明をしたが、インターネットなどの外部ネットワーク400上に接続された処理要求装置300bからのリクエストやアクセスについても処理要求装置300aからのリクエストやアクセスと同様に対応することができる。
(4) In the above embodiment, a case has been described in which a request is transmitted from the
10…監査事象記録プログラム、100…情報処理システム、200…画像処理装置、210…制御部、220…通信IF部、230…情報処理部、240…記憶部、250…UI部、260…システムバス、300a、300b…処理要求装置、400…外部ネットワーク、500…通信網、600…監査ログ生成装置、610…CPU、620…ROM、630…RAM、640…入出力部、650…バス、700…監査事象検知手段、710…記録方式選択手段、720…ログ生成手段、730…監査ログ書き込み手段、740…空き領域検知手段、750…DoS攻撃検知手段、760…ログ圧縮手段、770…ログ削除手段、780…カウンタ
DESCRIPTION OF
Claims (5)
前記複数種の処理ごとにその処理の実行履歴であるログの前記日時を含む記載項目および記載形式が規定されたテーブルと、
前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの前記記載項目および前記記載形式を選択し、そのログを生成する生成手段と、
前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、
前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記電子機器が不正アクセスを受けていることを示す複数のログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、
不正アクセスを受けたことを示す複数のログが含まれていると前記判定手段により判定された場合に、当該不正アクセスにおいて通信が行われたデータ通信ポートを遮断する遮断手段と、
前記遮断手段により前記データ通信ポートが遮断された後に、前記不正アクセスを受けたことを示す複数のログを当該複数のログに含まれる前記日時を1つだけ含むログへ変換する変換手段と、
前記遮断手段により前記データ通信ポートが遮断されてから予め定められた時間が経過したときに、当該データ通信ポートを開放する開放手段と
を有することを特徴とする監査ログ生成装置。 At least the request of the requester whenever the electronic device to perform in accordance with any one of a plurality of types of processing requests from external receiving said request, said data electronic device that represents the transmission date and time and requests the contents of the request Receiving means for receiving from,
A table in which a description item and a description format including the date and time of a log that is an execution history of the process for each of the plurality of types of processes are defined;
Generation against the contents of the the received data by said receiving means table, select the listed items and the description format of the processing of logs the electronic apparatus is executed in response to the request content, and generates the log Means,
Writing means for writing the log generated by the generating means to the storage device in the order of generation;
When a predetermined number of logs are written to the storage device by the writing means, a plurality of logs indicating that the electronic device has received unauthorized access are stored in the storage device. Determining means for determining whether or not the log is included in the log,
A blocking unit that blocks a data communication port through which communication was performed in the unauthorized access when the determination unit determines that a plurality of logs indicating that unauthorized access has been received is included;
Conversion means for converting a plurality of logs indicating that the unauthorized access has been received into a log including only one date and time included in the plurality of logs after the data communication port is blocked by the blocking means;
An audit log generation device comprising: an opening unit that opens a data communication port when a predetermined time has elapsed since the data communication port was blocked by the blocking unit.
前記判断手段が否と判断した場合、前記電子機器を停止させる停止手段とを備え、
前記書き込み手段は、前記判断手段が前記空き領域があると判断した場合に、前記ログを前記記憶装置へ書き込む
ことを特徴とする請求項1に記載の監査ログ生成装置。 Determining means for determining whether or not there is a free space in the storage device to which the log generated by the generating means is written;
And a stop means for stopping the electronic device when the determination means determines NO
The write means, the audit log generating device according to claim 1, wherein said determining means when it is determined that the empty area, and writes the log to the storage device.
前記変換手段は、当該複数のログを、それらに含まれる共通のデータを省略した単一のログに変換する
ことを特徴とする請求項1又は2に記載の監査ログ生成装置。 Log indicating that it has received a pre-Symbol unauthorized access is a plurality of log indicating that it is vulnerable to a DoS attack,
And the converting means, the plurality of log, audit log generating device according to claim 1 or 2, characterized in that into a single log omitting the common data they contain.
複数種の処理の何れかを外部からのリクエストに応じて実行する電子機器が前記リクエストを受取る度に少なくとも当該リクエストの要求元、当該リクエストの送信された日時および要求内容を表すデータを前記電子機器から受取る受取り手段と、
前記複数種の処理ごとにその処理の実行履歴であるログの前記日時を含む記載項目および記載形式が規定されたテーブルの内容と前記受取り手段により受取ったデータとを照らし合わせ、前記要求内容に応じて前記電子機器が実行する処理のログの前記記載項目および前記記載形式を選択し、そのログを生成する生成手段と、
前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、
前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記電子機器が不正アクセスを受けていることを示す複数のログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、
不正アクセスを受けたことを示す複数のログが含まれていると前記判定手段により判定された場合に、当該不正アクセスにおいて通信が行われたデータ通信ポートを予め決められた時間遮断させる遮断手段と、
前記遮断手段により前記データ通信ポートが遮断された後に、前記不正アクセスを受けたことを示す複数のログを当該複数のログに含まれる前記日時を1つだけ含むログへ変換する変換手段と、
前記遮断手段により前記データ通信ポートが遮断されてから予め定められた時間が経過したときに、当該データ通信ポートを開放する開放手段
として機能させるための監査事象記録プログラム。 The computer,
At least the request of the requester whenever the electronic device to perform in accordance with any one of a plurality of types of processing requests from external receiving said request, said data electronic device that represents the transmission date and time and requests the contents of the request Receiving means for receiving from ,
The contents of the table in which the description items including the date and time of the log that is the execution history of the process for each of the plurality of types of processes and the format of the description are compared with the data received by the receiving unit, and according to the request contents select the described items and the description format of the processing of logs the electronic apparatus is executed Te, a generating means for generating the log,
Writing means for writing the log generated by the generating means to the storage device in the order of generation;
When a predetermined number of logs are written to the storage device by the writing means, a plurality of logs indicating that the electronic device has received unauthorized access are stored in the storage device. Determining means for determining whether or not the log is included in the log,
A blocking unit that blocks a data communication port through which communication has been performed in the unauthorized access for a predetermined time when it is determined by the determination unit that a plurality of logs indicating that unauthorized access has been received is included; ,
Conversion means for converting a plurality of logs indicating that the unauthorized access has been received into a log including only one date and time included in the plurality of logs after the data communication port is blocked by the blocking means;
An opening means for opening the data communication port when a predetermined time has elapsed since the data communication port was blocked by the blocking means.
Audit event recording program to function as
前記リクエストを受取る度に少なくとも当該リクエストの要求元、当該リクエストの送信された日時および要求内容を表すデータを受取る受取り手段と、前記リクエストの各々に対応づけてその処理の実行履歴であるログの前記日時を含む記載項目および記載形式が規定されたテーブルと、前記受取り手段により受取ったデータと前記テーブルの内容とを照らし合わせ、前記要求内容に応じて前記画像処理手段が実行する処理のログの前記記載項目および前記記載形式を選択し、そのログを生成する生成手段と、前記生成手段により生成したログをその生成順に記憶装置へ書き込む書き込み手段と、前記書き込み手段により所定数分のログが前記記憶装置へ書き込まれたことを契機として、前記画像処理手段が不正アクセスを受けていることを示す複数のログが前記記憶装置に記憶されている所定数分のログに含まれているか否かを判定する判定手段と、不正アクセスを受けたことを示す複数のログが含まれていると前記判定手段により判定された場合に、当該不正アクセスにおいて通信が行われたデータ通信ポートを予め決められた時間遮断させる遮断手段と、前記遮断手段により前記データ通信ポートが遮断された後に、前記不正アクセスを受けたことを示す複数のログを当該複数のログに含まれる前記日時を1つだけ含むログへ変換する変換手段と、前記遮断手段により前記データ通信ポートが遮断されてから予め定められた時間が経過したときに、当該データ通信ポートを開放する開放手段とを有する監査ログ生成装置と
を備えることを特徴とする画像処理装置。 Image processing means for executing image processing in response to an external request;
At least the request of the requesting, and receiving means receiving data representative of the transmission date and time and requests the contents of the request, the log is marked by the execution history of the process corresponding to each of the request every time receiving the request a table listed items and described format is defined including the date and time, the receiving against the contents of the data and the table received by the means, the process of logging the image processing means is performed in response to the request content wherein items and selects the described format, a generation unit configured to generate the log, and writing means for writing a log generated by the generation unit to the storage device to the generation order, predetermined number of logs the memory by the writing means The image processing means has received unauthorized access triggered by being written to the device. Determining means for determining whether or not a plurality of logs to be displayed are included in a predetermined number of logs stored in the storage device, and a plurality of logs indicating that unauthorized access has been received, A blocking unit that blocks a data communication port through which communication has been performed in the unauthorized access when determined by the determining unit; and the unauthorized access after the data communication port is blocked by the blocking unit. A conversion unit that converts a plurality of logs indicating that the data has been received into a log that includes only one date and time included in the plurality of logs, and a predetermined time after the data communication port is blocked by the blocking unit An image processing apparatus comprising: an audit log generation device having an opening unit that opens the data communication port when elapses .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006173000A JP4967473B2 (en) | 2006-06-22 | 2006-06-22 | Audit log generation device, audit event recording program, and image processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006173000A JP4967473B2 (en) | 2006-06-22 | 2006-06-22 | Audit log generation device, audit event recording program, and image processing device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008003862A JP2008003862A (en) | 2008-01-10 |
JP4967473B2 true JP4967473B2 (en) | 2012-07-04 |
Family
ID=39008186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006173000A Expired - Fee Related JP4967473B2 (en) | 2006-06-22 | 2006-06-22 | Audit log generation device, audit event recording program, and image processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4967473B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009282772A (en) * | 2008-05-22 | 2009-12-03 | Hitachi Ltd | Method of preparing audit trail file and execution apparatus thereof |
JP2024042529A (en) | 2022-09-15 | 2024-03-28 | シャープ株式会社 | Image processing device, log information management system, and log information management method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002215432A (en) * | 2001-01-16 | 2002-08-02 | Murata Mach Ltd | Server device |
JP2002269333A (en) * | 2001-03-09 | 2002-09-20 | Vivarium Inc | Work efficiency improving method in using information processing device |
JP3991030B2 (en) * | 2003-12-24 | 2007-10-17 | キヤノン株式会社 | Image forming apparatus, operation history storage method, and computer program |
JP4261389B2 (en) * | 2004-03-03 | 2009-04-30 | 東芝ソリューション株式会社 | Unauthorized access detection device and unauthorized access detection program |
JP2006048332A (en) * | 2004-08-04 | 2006-02-16 | Ricoh Co Ltd | Apparatus, method and program for managing log, and storage medium |
-
2006
- 2006-06-22 JP JP2006173000A patent/JP4967473B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008003862A (en) | 2008-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8533468B2 (en) | Image forming apparatus, launching method of program in the apparatus, image forming system, and program and storage medium therefor | |
US7827220B2 (en) | Image log recording system, control method therefor, and storage medium storing a control program therefor, that store image logs and control transfer settings for transmitting image logs to an image processing server | |
JP5436195B2 (en) | Image processing apparatus, control method, and program | |
US8479058B2 (en) | Information processor and information processing method | |
JP4861480B2 (en) | Method and system for automatic transmission of print data, in particular for print job mirroring | |
US8452194B2 (en) | System, image processing apparatus, image forming apparatus, and method thereof | |
US8582142B2 (en) | Image processing system | |
US20090083317A1 (en) | File system, data processing apparatus, file reference method, and storage medium | |
JP4967473B2 (en) | Audit log generation device, audit event recording program, and image processing device | |
JP2006041764A (en) | Log recording apparatus, log recording program, and recording medium | |
JP2008152499A (en) | Image formation restriction control system, image formation restriction control program and recording medium | |
US9832340B2 (en) | Image forming apparatus and method of performing error notification and error recovery functions in image forming apparatus | |
JP2008165606A (en) | Electronic equipment and program to be executed by computer | |
JP5929384B2 (en) | Information processing apparatus and information processing program | |
JP2008234125A (en) | Information processor, information processing method, program, and recording medium | |
JP7491132B2 (en) | Information processing system, maintenance method, and program | |
US9961232B2 (en) | Image forming device having different ways of storing preview data | |
JP2014236396A (en) | Image formation device | |
JP2010102390A (en) | Electronic apparatus and log management system | |
JP2008048084A (en) | Image processor, image processing record management device, and program | |
JP5163352B2 (en) | Management device, device management system, device management method, program, and recording medium | |
JP2007151007A (en) | Image forming apparatus, history management method, storage medium, and program | |
US11301185B2 (en) | Method for managing log generated in image forming apparatus | |
US10795625B2 (en) | Image forming apparatus, reservation job managing and control performance restoration | |
JP4711140B2 (en) | Setting terminal, management device, management system, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090210 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110909 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110920 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111109 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120306 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120319 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150413 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |