JP5334739B2 - Log monitoring program, log monitoring system - Google Patents

Log monitoring program, log monitoring system Download PDF

Info

Publication number
JP5334739B2
JP5334739B2 JP2009185478A JP2009185478A JP5334739B2 JP 5334739 B2 JP5334739 B2 JP 5334739B2 JP 2009185478 A JP2009185478 A JP 2009185478A JP 2009185478 A JP2009185478 A JP 2009185478A JP 5334739 B2 JP5334739 B2 JP 5334739B2
Authority
JP
Japan
Prior art keywords
log
user
computer
folder
monitoring program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009185478A
Other languages
Japanese (ja)
Other versions
JP2011039720A (en
Inventor
孝夫 若山
勇三 押田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2009185478A priority Critical patent/JP5334739B2/en
Publication of JP2011039720A publication Critical patent/JP2011039720A/en
Application granted granted Critical
Publication of JP5334739B2 publication Critical patent/JP5334739B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ユーザがコンピュータ上で行なった操作のログを監視する技術に関するものである。   The present invention relates to a technique for monitoring a log of operations performed on a computer by a user.

従来、ユーザがコンピュータ上で行なった操作のログを監視し、不正な情報流出行為などを検出または阻止する技術が開発されている。このような技術では、ユーザがコンピュータ上で行なった操作のログを収集し、ログの内容を解析することにより、不正行為を識別する。   2. Description of the Related Art Conventionally, a technique has been developed that monitors a log of an operation performed by a user on a computer and detects or prevents an illegal information leakage action. In such a technique, a log of operations performed by a user on a computer is collected, and the contents of the log are analyzed to identify an illegal act.

しかし、ログを収集したとしても、システム管理者がリアルタイムで毎日ログ解析を行うことは、人員コスト、時間コストの面から見て効率的ではない。また、ログ解析を専門に行うサーバを用意せず、個別のログをシステム管理者などが逐一確認するような環境では、ログ管理を軽視しがちな傾向がある。ログ管理がおろそかになると、不正行為の追跡可能性が途切れ、再発防止のための予防対策を十分に実施することができない懸念がある。   However, even if logs are collected, it is not efficient in terms of personnel costs and time costs for system administrators to perform daily log analysis in real time. Moreover, in an environment where a server that specializes in log analysis is not prepared and individual logs are checked by a system administrator or the like, log management tends to be neglected. If log management is neglected, there is a concern that the traceability of fraud is interrupted and preventive measures for preventing recurrence cannot be fully implemented.

一方、ログ管理サーバのトラブル、または不正行為者がログ管理サーバとの間の通信を故意に切断することなどによって、ログ管理サーバがログを収集することができなくなる場合がある。この場合、不正行為者がログを隠蔽することができるため、不正行為を追跡調査することが困難になる可能性がある。   On the other hand, the log management server may not be able to collect logs due to trouble with the log management server or an unauthorized person intentionally disconnecting communication with the log management server. In this case, since the fraudster can conceal the log, it may be difficult to trace the fraud.

下記特許文献1では、上記のように、ログ管理サーバとの通信が途切れた環境でも、クライアント側でログ収集を継続しておき、通信が回復した時点でログ管理サーバがログを一括して収集する技術が開示されている。   In the following Patent Document 1, as described above, even in an environment where communication with the log management server is interrupted, log collection is continued on the client side, and when the communication is recovered, the log management server collects logs collectively. Techniques to do this are disclosed.

特開2008−147717号公報JP 2008-147717 A

上記特許文献1に記載の技術では、ログをサーバ側に送信することができない場合は、いったん印刷ジョブを受け付けておき、後に通信が再開されるときに改めてログをサーバ側に送信している。また、上記特許文献1に記載の技術では、サーバとの通信が途切れている間は、ログを収集してはいるものの、ログ解析は通信が回復した後に行なわれることになる。そのためユーザ行為とそのログのチェックとの間にタイムラグがあり、その間はセキュリティ監視レベルが低下する懸念がある。   In the technique described in Patent Document 1, when a log cannot be transmitted to the server side, a print job is once accepted, and the log is transmitted to the server side again when communication is resumed later. In the technique described in Patent Document 1, logs are collected while communication with the server is interrupted, but log analysis is performed after communication is recovered. Therefore, there is a time lag between the user action and the log check, and there is a concern that the security monitoring level is lowered during that time.

本発明は、上記のような課題を解決するためになされたものであり、ログ管理サーバとの間の通信が途切れた場合でもユーザが操作を継続することができるようにしつつ、不正行為を抑止することのできるログ監視技術を提供することを目的とする。   The present invention has been made to solve the above-described problems, and suppresses fraud while allowing the user to continue operation even when communication with the log management server is interrupted. An object of the present invention is to provide a log monitoring technique that can be used.

本発明に係るログ監視プログラムは、収集したログを所定のフォルダに送信し、送信したログを削除する。ログサイズが所定の閾値を超えると、ログを取得する対象となっているユーザ操作を禁止する。   The log monitoring program according to the present invention transmits the collected logs to a predetermined folder and deletes the transmitted logs. When the log size exceeds a predetermined threshold, a user operation for which a log is to be acquired is prohibited.

本発明に係るログ監視プログラムによれば、ログを所定のフォルダに送信して削除することができる間は、ユーザは操作を継続することができる。また、通信が一時的に途切れたなどの理由で所定のフォルダにアクセスできない場合でも、ログのサイズが所定の閾値に達するまでは、ユーザは操作を継続することができる。ユーザがログの送信を故意に長時間妨げてログサイズが所定の閾値を超過したような場合には、ユーザは操作を行なうことができなくなるので、故意によるログ隠蔽行為に対して抑止効果を発揮することができる。   According to the log monitoring program of the present invention, the user can continue the operation while the log can be transmitted to the predetermined folder and deleted. Further, even when the predetermined folder cannot be accessed because communication is temporarily interrupted, the user can continue the operation until the log size reaches a predetermined threshold. If the user intentionally prevents log transmission for a long time and the log size exceeds a predetermined threshold, the user will not be able to perform an operation, so it will deter the intentional log concealment act. can do.

実施の形態1に係るログ監視システム1000の構成図である。1 is a configuration diagram of a log monitoring system 1000 according to Embodiment 1. FIG. 監査ログ122の構成とデータ例を示す図である。It is a figure which shows the structure of audit log 122, and an example of data. ログ監視システム1000の動作を説明する動作フローである。5 is an operation flow for explaining the operation of the log monitoring system 1000. 図3のステップS302でログ監視プログラム121がシステム管理者に送信する電子メールの1例を示す図である。It is a figure which shows an example of the email which the log monitoring program 121 transmits to a system administrator by step S302 of FIG. 実施の形態2に係るログ監視システム1000の構成図である。6 is a configuration diagram of a log monitoring system 1000 according to Embodiment 2. FIG. 整形ログ123の構成例を示す図である。It is a figure which shows the structural example of the shaping log. 実施の形態3におけるログ監視システム1000の動作を説明する動作フローである。10 is an operation flow for explaining the operation of the log monitoring system 1000 according to the third embodiment. 実施の形態5におけるログ監視システム1000の動作を説明する動作フローである。10 is an operation flow for explaining the operation of the log monitoring system 1000 according to the fifth embodiment.

<実施の形態1>
図1は、本発明の実施の形態1に係るログ監視システム1000の構成図である。ログ監視システム1000は、クライアント端末100、ログ格納サーバ200を有する。クライアント端末100とログ格納サーバ200は、ネットワーク300を介して接続されている。 <Embodiment 1>
FIG. 1 is a configuration diagram of a log monitoring system 1000 according to Embodiment 1 of the present invention. The log monitoring system 1000 includes a client terminal 100 and a log storage server 200. The client terminal 100 and the log storage server 200 are connected via a network 300.

クライアント端末100は、ユーザが作業を行うためのコンピュータであり、演算部110、記憶部120を備える。   The client terminal 100 is a computer for a user to perform work, and includes a calculation unit 110 and a storage unit 120.

演算部110は、CPU(Central Processing Unit)などの演算装置である。演算装置110は、クライアント端末100の動作を制御する他、ユーザがクライアント端末100上で行なった操作のうち監視対象となるもののログを監査ログ122として取得し、記憶部120に格納する。また、ログ監視プログラム121を実行し、ログの監視を行なう。以後の説明では、記載の便宜上、ログ監視プログラム121をログ監視に係る動作主体として説明する場合があるが、実際の動作主体は演算部110であることを付言しておく。   The calculation unit 110 is a calculation device such as a CPU (Central Processing Unit). In addition to controlling the operation of the client terminal 100, the arithmetic device 110 acquires a log of operations to be monitored among operations performed by the user on the client terminal 100 as the audit log 122 and stores it in the storage unit 120. In addition, the log monitoring program 121 is executed to monitor the log. In the following description, for convenience of description, the log monitoring program 121 may be described as an operating entity related to log monitoring, but it is added that the actual operating entity is the arithmetic unit 110.

クライアント端末100のOS(オペレーティングシステム)としてWindows(登録商標)を用いる場合であれば、OS標準の機能として監査ログ122を取得することができる。それ以外のOSを用いる場合は、類似の機能を有効化するか、もしくは類似の機能を有するログ取得プログラムをクライアント端末100にインストールし、監査ログ122と同等のログを取得できるようにすればよい。   If Windows (registered trademark) is used as the OS (operating system) of the client terminal 100, the audit log 122 can be acquired as an OS standard function. When using another OS, a similar function may be validated or a log acquisition program having a similar function may be installed in the client terminal 100 so that a log equivalent to the audit log 122 can be acquired. .

記憶部120は、HDD(Hard Disk Drive)などの書き込み可能な記憶装置で構成され、ログ監視プログラム121、監査ログ122を格納する。   The storage unit 120 includes a writable storage device such as an HDD (Hard Disk Drive), and stores a log monitoring program 121 and an audit log 122.

ログ監視プログラム121は、ログ監視処理に係る演算部110の動作を規定するソフトウェアプログラムである。ログ監視プログラム121は、監査ログ122を収集してログ格納サーバ200の共有フォルダ221にアップロード(送信)する。また、その際に所定の規則にしたがって不正行為のログが存在するか否かをチェックし、存在する場合はその旨をシステム管理者に通知する。これについては後述の図3〜図4を用いて改めて説明する。   The log monitoring program 121 is a software program that defines the operation of the arithmetic unit 110 related to log monitoring processing. The log monitoring program 121 collects the audit log 122 and uploads (transmits) it to the shared folder 221 of the log storage server 200. At that time, it is checked whether there is a log of fraud in accordance with a predetermined rule, and if it exists, the fact is notified to the system administrator. This will be described again with reference to FIGS.

監査ログ122は、後述の図2で説明する構成を有する。演算部110は、必ずしもユーザによる全ての操作を監査ログ122に記録する必要はなく、重要ファイルへのアクセスなどに限定してログを記録してもよい。   The audit log 122 has a configuration described in FIG. The calculation unit 110 does not necessarily need to record all user operations in the audit log 122, and may record the log only for access to important files.

ログ格納サーバ200は、ログ監視プログラム121が収集したログをアップロードするためのサーバであり、演算部210、記憶部220を備える。
演算部210は、CPUなどの演算装置であり、ログ格納サーバ200の動作を制御する。 The log storage server 200 is a server for uploading logs collected by the log monitoring program 121, and includes a calculation unit 210 and a storage unit 220.
The calculation unit 210 is a calculation device such as a CPU, and controls the operation of the log storage server 200.

記憶部220は、HDDなどの書き込み可能な記憶装置で構成され、共有フォルダ221を有する。共有フォルダ221は、ログ監視プログラム121が収集したログをアップロードするためのファイルフォルダである。共有フォルダ221のパスは、クライアント端末100のユーザには非公開とする。さらに、「隠しフォルダ」属性を付与するなどしてもよい。   The storage unit 220 includes a writable storage device such as an HDD, and includes a shared folder 221. The shared folder 221 is a file folder for uploading logs collected by the log monitoring program 121. The path of the shared folder 221 is not disclosed to the user of the client terminal 100. Furthermore, a “hidden folder” attribute may be added.

図2は、監査ログ122の構成とデータ例を示す図である。クライアント端末100の演算部110は、ユーザが行なう所定の操作を監視し、その監視結果を監査ログ122に記録する。   FIG. 2 is a diagram illustrating a configuration of the audit log 122 and data examples. The computing unit 110 of the client terminal 100 monitors a predetermined operation performed by the user and records the monitoring result in the audit log 122.

図2の例では、監査ログ122は所定の共有機密フォルダおよび制御メディア(CD−ROMドライブなど)へのアクセスを記録している。また、アクセス日時、アクセスしたユーザ名、アクセスしたコンピュータ名、アクセスしたコンピュータのアドレスなども併せて記録する。監査ログ122に記録する内容はこれらに限られず、ユーザの操作を監視することができるものであれば、任意の項目でよい。   In the example of FIG. 2, the audit log 122 records access to a predetermined shared secret folder and a control medium (such as a CD-ROM drive). In addition, the date and time of access, the name of the accessed user, the name of the accessed computer, the address of the accessed computer, etc. are also recorded. The content to be recorded in the audit log 122 is not limited to these, and any item may be used as long as the user's operation can be monitored.

以上、ログ監視システム1000の構成について説明した。次に、ログ監視システム1000がユーザの操作を監視する動作について説明する。   The configuration of the log monitoring system 1000 has been described above. Next, an operation in which the log monitoring system 1000 monitors user operations will be described.

図3は、ログ監視システム1000の動作を説明する動作フローである。以下、図3の各ステップについて説明する。   FIG. 3 is an operation flow for explaining the operation of the log monitoring system 1000. Hereinafter, each step of FIG. 3 will be described.

(図3:ステップS301)
クライアント端末100のユーザは、クライアント端末100上でファイル作成などの操作を行う。演算部110は、その操作が監査ログ122の記録対象である場合は、監査ログ122にその操作の内容を記録する。このとき、演算部110は、監査ログ122をクライアント端末100のユーザが改変することができないように、監査ログ122のアクセス権限を適切に設定しておく。 (FIG. 3: Step S301)
The user of the client terminal 100 performs operations such as file creation on the client terminal 100. If the operation is to be recorded in the audit log 122, the computing unit 110 records the content of the operation in the audit log 122. At this time, the arithmetic unit 110 appropriately sets the access authority for the audit log 122 so that the user of the client terminal 100 cannot modify the audit log 122.

(図3:ステップS302)
ログ監視プログラム121は、所定の時間間隔、またはクライアント端末100のユーザが指示した時点で監査ログ122を収集し、共有フォルダ221にアップロードする。このときの通信プロトコルは、例えばFTP(File Transfer Protocol)やNetBEUIなどを用いることができる。共有フォルダ221のパス(ネットワーク上のアドレス)は、ログ監視プログラム121に埋め込んでおくか、またはログ監視プログラム121をクライアント端末100にインストールする際にシステム管理者などが設定して記憶部120に格納しておく。 (FIG. 3: Step S302)
The log monitoring program 121 collects the audit log 122 at a predetermined time interval or when the user of the client terminal 100 instructs, and uploads it to the shared folder 221. As the communication protocol at this time, for example, FTP (File Transfer Protocol), NetBEUI, or the like can be used. The path (address on the network) of the shared folder 221 is embedded in the log monitoring program 121 or set by a system administrator or the like when the log monitoring program 121 is installed in the client terminal 100 and stored in the storage unit 120. Keep it.

(図3:ステップS302:補足その1)
本ステップにおいて、ログ監視プログラム121は、収集した監査ログ122を共有フォルダ221にアップロードする際に、所定の規則に基づき、不正行為に該当する可能性がある操作のログを抽出する。例えば、情報漏洩の原因になり得る行為に関連するキーワード(アクセス対象:外付けHDD、ファイル操作:保存など)が含まれる監査ログ122のレコードを抽出する、といった手法が考えられる。この規則は、例えばログ監視プログラム121をクライアント端末100にインストールする際に、システム管理者などが設定し、記憶部120にその規則を記述したファイルなどを格納しておく。 (FIG. 3: Step S302: Supplement 1)
In this step, when uploading the collected audit log 122 to the shared folder 221, the log monitoring program 121 extracts a log of an operation that may correspond to an illegal act based on a predetermined rule. For example, a method of extracting a record of the audit log 122 including a keyword (access target: external HDD, file operation: storage, etc.) related to an action that may cause information leakage may be considered. This rule is set by, for example, a system administrator when the log monitoring program 121 is installed in the client terminal 100, and a file describing the rule is stored in the storage unit 120.

(図3:ステップS302:補足その2)
ログ監視プログラム121は、収集した監査ログ122の中に、不正行為に該当する行為のログが含まれていた場合には、後述の図4で説明するような電子メールをシステム管理者等の所定の宛先に送信するなどして、その旨を通知する。その他の通知手法として、例えば管理端末にダイアログ画面を表示する、ログを出力する、などが考えられる。 (FIG. 3: Step S302: Supplement 2)
When the collected audit log 122 includes a log of an act corresponding to an illegal act, the log monitoring program 121 sends an e-mail as described later with reference to FIG. This is notified, for example, by sending to the destination. Other notification methods include, for example, displaying a dialog screen on the management terminal and outputting a log.

(図3:ステップS303)
ログ監視プログラム121は、ステップS302で共有フォルダ221にアップロードした分の監査ログ122を、記憶部120から削除する。 (FIG. 3: Step S303)
The log monitoring program 121 deletes from the storage unit 120 the audit log 122 that has been uploaded to the shared folder 221 in step S302.

(図3:ステップS303:補足)
ステップS302において、クライアント端末100とログ格納サーバ200の間のネットワーク接続が途切れている場合や、ログ格納サーバ200がダウンしている場合などは、ログ監視プログラム121は監査ログ122を共有フォルダ221にアップロードすることができない。この場合、ログ監視プログラム121は、監査ログ122のアップロードを中止する。また、アップロードすることができなかったので、その分を記憶部120から削除することも中止する。 (FIG. 3: Step S303: Supplement)
In step S302, when the network connection between the client terminal 100 and the log storage server 200 is interrupted or when the log storage server 200 is down, the log monitoring program 121 transfers the audit log 122 to the shared folder 221. I can't upload. In this case, the log monitoring program 121 stops uploading the audit log 122. Further, since the upload could not be performed, the deletion of the amount from the storage unit 120 is also stopped.

(図3:ステップS304)
ログ監視プログラム121は、監査ログ122のサイズが規定の閾値に達しているか否かをチェックする。閾値に達していなければ、ステップS301に戻り同様の手順を繰り返す。閾値に達していれば、次のステップS305に進む。この閾値は、例えばログ監視プログラム121をクライアント端末100にインストールする際に、システム管理者などが設定し、記憶部120にその規則を記述したファイルなどを格納しておく。 (FIG. 3: Step S304)
The log monitoring program 121 checks whether the size of the audit log 122 has reached a predetermined threshold value. If the threshold value has not been reached, the process returns to step S301 and the same procedure is repeated. If the threshold is reached, the process proceeds to the next step S305. This threshold is set by a system administrator or the like when the log monitoring program 121 is installed in the client terminal 100, for example, and a file describing the rule is stored in the storage unit 120.

(図3:ステップS305)
ログ監視プログラム121は、監査ログ122を記録する対象となっているユーザ操作を禁止する。具体的には、該当するファイル、フォルダ、制御メディアなどへのアクセス権限を当該ユーザから剥奪する、といった手段を用いる。これにより、ユーザは監査ログ122を共有フォルダ221に定期的にアップロードすることを促されるので、不正行為を心理的に抑制する効果を発揮することができる。 (FIG. 3: Step S305)
The log monitoring program 121 prohibits user operations that are targets for recording the audit log 122. Specifically, a means for revoking access authority to the corresponding file, folder, control medium, etc. from the user is used. As a result, the user is prompted to upload the audit log 122 to the shared folder 221 regularly, and therefore, an effect of psychologically suppressing fraud can be exhibited.

図4は、図3のステップS302でログ監視プログラム121がシステム管理者に送信する電子メールの1例を示す図である。この電子メールには、ステップS302で抽出したユーザ操作の内容と、その操作をシステム管理者が本当に許可しているか否かを確認するよう促すメッセージとが記載されている。   FIG. 4 is a diagram showing an example of an e-mail that the log monitoring program 121 transmits to the system administrator in step S302 of FIG. This e-mail describes the contents of the user operation extracted in step S302 and a message that prompts the user to confirm whether or not the system administrator really permits the operation.

以上、ログ監視システム1000の動作について説明した。次に、共有フォルダ221にアップロードされた監査ログ122を用いてシステム管理者が不正行為の監査を行なう手順を、下記(ステップ1)〜(ステップ3)で説明する。   The operation of the log monitoring system 1000 has been described above. Next, a procedure in which the system administrator audits fraud using the audit log 122 uploaded to the shared folder 221 will be described in the following (Step 1) to (Step 3).

(不正行為の監査手順:ステップ1)
システム管理者は、図4で説明した電子メールを受け取り、記載されているメッセージを確認する。システム管理者は、そのメッセージから、ユーザが行なった行為、そのユーザ名、アクセス対象、日時などを把握する。 (Procedure for audit of fraud: Step 1)
The system administrator receives the e-mail described with reference to FIG. 4 and confirms the described message. From the message, the system administrator knows the action performed by the user, the user name, the access target, the date and time, and the like.

(不正行為の監査手順:ステップ2)
システム管理者は、ステップ1で把握したアクセス対象に対して、当該ユーザにアクセス権限を与えているか否かを確認する。当該操作が正当なアクセス権限に基づく行為である場合は、本監査手順を終了する。当該操作が正当なアクセス権限に基づいていない場合や、通常は行なわない操作である場合など、不正行為に該当する可能性があると判断する場合は、次のステップ3に進む。 (Procedure for audit of fraud: Step 2)
The system administrator confirms whether or not the user has access authority for the access target grasped in step 1. If the operation is based on a legitimate access authority, this audit procedure is terminated. If it is determined that the operation is not based on a legitimate access authority, or is an operation that is not normally performed, the process proceeds to the next step 3.

(不正行為の監査手順:ステップ3)
システム管理者は、図4で説明した電子メール、および必要に応じて共有フォルダ221に格納されている監査ログ122を用いて、不正行為を行なった可能性のあるユーザを特定し、聞き取り調査などを行なう。 (Injustice audit procedure: Step 3)
The system administrator uses the e-mail described in FIG. 4 and, if necessary, the audit log 122 stored in the shared folder 221 to identify a user who may have performed a fraudulent action, and conduct an interview survey. To do.

以上、共有フォルダ221にアップロードされた監査ログ122を用いてシステム管理者が不正行為の監査を行なう手順を説明した。これ以外にも、クライアント端末100に格納されている監査ログ122と、共有フォルダ221にアップロードされた監査ログ122とを比較することにより、不正行為の監査を行なうこともできる。その手順を、下記の(ステップ1)〜(ステップ3)で説明する。   The procedure for the system administrator to audit fraud using the audit log 122 uploaded to the shared folder 221 has been described above. In addition, it is possible to audit fraud by comparing the audit log 122 stored in the client terminal 100 with the audit log 122 uploaded to the shared folder 221. The procedure will be described in the following (Step 1) to (Step 3).

(不正行為の監査手順その2:ステップ1)
システム管理者は、不正行為が発生したことが判明した場合などにおいて、クライアント端末100を使用するユーザに、監査ログ122を提出するよう要求する。これは、不正行為を行なった者が、監査ログ122の該当するレコードを削除している可能性があるからである。 (Audit Procedure II: Step 1)
The system administrator requests the user who uses the client terminal 100 to submit the audit log 122, for example, when it is determined that an illegal act has occurred. This is because there is a possibility that a person who has performed an illegal act has deleted the corresponding record in the audit log 122.

(不正行為の監査手順その2:ステップ2)
システム管理者は、ユーザが提出した監査ログ122と、共有フォルダ221に格納されている監査ログ122とを比較する。比較作業自体は、適当なファイル比較ソフトウェアなどを用いて行なってもよい。 (Injustice audit procedure # 2: Step 2)
The system administrator compares the audit log 122 submitted by the user with the audit log 122 stored in the shared folder 221. The comparison operation itself may be performed using appropriate file comparison software.

(不正行為の監査手順その2:ステップ3)
システム管理者は、ユーザが提出した監査ログ122と、共有フォルダ221に格納されている監査ログ122とが異なっている場合は、その異なっている部分の操作を行なったユーザに理由を問い合わせる。これにより、不正行為者が監査ログ122を不正に削除することを抑止し、また発見することを図る。 (Injustice audit procedure 2: Step 3)
When the audit log 122 submitted by the user is different from the audit log 122 stored in the shared folder 221, the system administrator inquires of the user who has performed the operation of the different part. As a result, it is possible to prevent and detect that an unauthorized person deletes the audit log 122 illegally.

以上のように、本実施の形態1によれば、ログ監視プログラム121は、監査ログ122を共有フォルダ221にアップロードし、アップロードした分の監査ログ122を削除する。これにより、システム管理者は、共有フォルダ221にアップロードされた監査ログと、クライアント端末100上の監査ログ122とを比較して、不正行為の兆候を発見することができ、セキュリティを向上させることができる。   As described above, according to the first embodiment, the log monitoring program 121 uploads the audit log 122 to the shared folder 221 and deletes the uploaded audit log 122. As a result, the system administrator can compare the audit log uploaded to the shared folder 221 and the audit log 122 on the client terminal 100 to find signs of fraud and improve security. it can.

また、本実施の形態1によれば、ログ監視プログラム121は、記憶部120が格納している監査ログ122のサイズが所定の閾値を超えると、監査ログ122を取得する対象となっているユーザ操作を禁止する。これにより、ユーザは定期的に監査ログ122をシステム管理者へ提出するように促されるので、監査ログ122を不正に削除、改変などする行為を心理的に抑制する効果がある。   Further, according to the first embodiment, the log monitoring program 121 is the user who is the target of acquiring the audit log 122 when the size of the audit log 122 stored in the storage unit 120 exceeds a predetermined threshold. Prohibit operation. Accordingly, the user is regularly prompted to submit the audit log 122 to the system administrator, and this has the effect of psychologically suppressing the act of illegally deleting or modifying the audit log 122.

また、本実施の形態1によれば、ログ監視プログラム121は、監査ログ122を共有フォルダ221にアップロードする際に、所定の規則に合致するユーザ操作のレコードを抽出し、システム管理者に電子メールで通知する。システム管理者は、全ての監査ログ122をチェックする必要がなくなり、その電子メールに記載されているログレコードのみをチェックすれば足りる。これにより、システム管理者の負担を軽減することができる。   Further, according to the first embodiment, when uploading the audit log 122 to the shared folder 221, the log monitoring program 121 extracts a user operation record that matches a predetermined rule, and sends an e-mail to the system administrator. Notify at. The system administrator does not need to check all the audit logs 122 and only needs to check the log records described in the e-mail. As a result, the burden on the system administrator can be reduced.

また、本実施の形態1によれば、ログ格納サーバ200は特別な機能を必要とせず、単に適当なアクセス権限等を付与した共有フォルダ221を提供するのみで足りる。これにより、ログ格納サーバ200を容易かつ安価に構成することができるので、ログ監視システム1000の構築期間、コスト等の観点から有利である。   Further, according to the first embodiment, the log storage server 200 does not need a special function, and it is sufficient to simply provide the shared folder 221 to which an appropriate access authority is given. Thereby, the log storage server 200 can be configured easily and inexpensively, which is advantageous from the viewpoint of the construction period and cost of the log monitoring system 1000.

<実施の形態2>
本発明の実施の形態2では、共有フォルダ221に監査ログ122をアップロードする際に、監査ログ122を整形する動作例を説明する。その他の構成は実施の形態1と同様であるため、以下では差異点を中心に説明する。 <Embodiment 2>
In the second embodiment of the present invention, an operation example of shaping the audit log 122 when uploading the audit log 122 to the shared folder 221 will be described. Since the other configuration is the same as that of the first embodiment, the following description will focus on the differences.

図5は、本実施の形態2に係るログ監視システム1000の構成図である。本実施の形態2において、ログ監視プログラム121は、収集した監査ログ122をそのまま共有フォルダ221にアップロードするのではなく、整形ログ123として整形する。ログ監視プログラム121は、整形ログ123を共有フォルダ221にアップロードする。   FIG. 5 is a configuration diagram of the log monitoring system 1000 according to the second embodiment. In the second embodiment, the log monitoring program 121 does not upload the collected audit log 122 to the shared folder 221 as it is, but formats it as a formatted log 123. The log monitoring program 121 uploads the shaping log 123 to the shared folder 221.

図6は、整形ログ123の構成例を示す図である。比較のため、整形の前後に係る構成を併記した。図6(a)は整形前の監査ログ122、図6(b)〜(d)は監査ログ122を整形した得た整形ログ123の構成を示す。ここでは、一意性が高いMACアドレスをキーにして整形した例を示した。   FIG. 6 is a diagram illustrating a configuration example of the shaping log 123. For comparison, configurations related to before and after shaping are also shown. 6A shows the configuration of the audit log 122 before shaping, and FIGS. 6B to 6D show the configuration of the shaping log 123 obtained by shaping the audit log 122. FIG. Here, an example in which the MAC address having high uniqueness is used as a key is shown.

図6(b)〜(d)は、監査ログ122のうち、性質が共通するものを切り出し、それぞれユーザテーブル、日時テーブル、操作テーブルとして構成した例を示す。   FIGS. 6B to 6D show examples in which audit logs 122 having common properties are cut out and configured as a user table, a date / time table, and an operation table, respectively.

図6のように、所定のログ項目をキーとして監査ログ122を整形すると、各テーブル間で重複する項目が生じる場合があるため、一般にデータサイズは大きくなる。ただし、検索対象項目を絞り込むことができるので、ログ解析処理を高速化することができる。例えば、特定のユーザ名に係る監査ログ122を抽出したい場合は、図6(b)のユーザテーブルのみを検索すればよい。   As shown in FIG. 6, when the audit log 122 is formatted using a predetermined log item as a key, an item that overlaps between the tables may occur, and thus the data size generally increases. However, since the search target items can be narrowed down, the log analysis processing can be speeded up. For example, if it is desired to extract the audit log 122 relating to a specific user name, only the user table shown in FIG.

以上のように、本実施の形態2によれば、ログ監視プログラム121は、監査ログ122を共有フォルダ221にアップロードする際に整形処理を施す。これにより、共有フォルダ221にアップロードされる監査ログは整形後のものとなるため、ログ解析処理を高速に行うことができ、システム管理者が監査を行なう際の負担などを軽減することができる。   As described above, according to the second embodiment, the log monitoring program 121 performs the shaping process when uploading the audit log 122 to the shared folder 221. Thereby, since the audit log uploaded to the shared folder 221 is the one after shaping, the log analysis process can be performed at high speed, and the burden on the system administrator when auditing can be reduced.

<実施の形態3>
実施の形態1では、監査ログ122のサイズが所定の閾値を超えると、監査ログ122の取得対象となっているユーザ操作を禁止する動作を説明した。しかし、突然操作を禁止されると、ユーザが戸惑う可能性もある。そこで本実施の形態3では、ユーザ操作を禁止する前に警告メッセージを通知する動作例を説明する。その他の構成と動作は実施の形態1〜2いずれかと同様である。 <Embodiment 3>
In the first embodiment, the operation for prohibiting the user operation that is the acquisition target of the audit log 122 when the size of the audit log 122 exceeds a predetermined threshold has been described. However, if the operation is suddenly prohibited, the user may be confused. Therefore, in the third embodiment, an operation example for notifying a warning message before prohibiting a user operation will be described. Other configurations and operations are the same as those in the first and second embodiments.

図7は、本実施の形態3におけるログ監視システム1000の動作を説明する動作フローである。以下、図7の各ステップについて説明する。   FIG. 7 is an operation flow for explaining the operation of the log monitoring system 1000 according to the third embodiment. Hereinafter, each step of FIG. 7 will be described.

(図7:ステップS301)
本ステップは、図3の同ステップと同様である。 (FIG. 7: Step S301)
This step is the same as the step in FIG.

(図7:ステップS701)
ログ監視プログラム121は、監査ログ122のサイズが所定の警告閾値に達しているか否かをチェックする。この警告閾値は、ステップS304において用いられる閾値よりも小さい値(例えば同閾値の80%程度の数値)が設定されている。監査ログ122のサイズが警告閾値に達していなければステップS302にスキップし、警告閾値に達していればステップS702に進む。 (FIG. 7: Step S701)
The log monitoring program 121 checks whether the size of the audit log 122 has reached a predetermined warning threshold value. The warning threshold value is set to a value smaller than the threshold value used in step S304 (for example, a numerical value of about 80% of the threshold value). If the size of the audit log 122 has not reached the warning threshold, the process skips to step S302, and if the size has reached the warning threshold, the process proceeds to step S702.

(図7:ステップS702)
ログ監視プログラム121は、監査ログ122のサイズがステップS304の閾値に近づいている旨の警告メッセージを画面表示するなどして、クライアント端末100に通知する。これにより、ユーザは監査ログ122を共有フォルダ221にアップロードすることを促される。 (FIG. 7: Step S702)
The log monitoring program 121 notifies the client terminal 100 by displaying a warning message indicating that the size of the audit log 122 is approaching the threshold value in step S304. As a result, the user is prompted to upload the audit log 122 to the shared folder 221.

(図7:ステップS302〜S305)
これらのステップは、図3の同ステップと同様である。 (FIG. 7: Steps S302 to S305)
These steps are the same as those in FIG.

以上のように、本実施の形態3によれば、ログ監視プログラム121は、記憶部120が格納している監査ログ122のサイズが所定の警告閾値を超えると、ユーザにその旨の警告メッセージを通知する。これにより、ユーザの操作を図7のステップS304で突然禁止するということがなくなり、ユーザに不便を強いる可能性を低減することができる。   As described above, according to the third embodiment, when the size of the audit log 122 stored in the storage unit 120 exceeds the predetermined warning threshold, the log monitoring program 121 displays a warning message to that effect to the user. Notice. Accordingly, the user's operation is not suddenly prohibited in step S304 in FIG. 7, and the possibility of inconvenience to the user can be reduced.

<実施の形態4>
以上の実施の形態1〜3では、共有フォルダ221のパスを非公開とし、ユーザが共有フォルダ221を閲覧することができないようにしたことを説明した。本発明の実施の形態4では、共有フォルダ221のセキュリティをより万全に構成する3つの例を説明する。その他の構成は、実施の形態1〜3いずれかと同様である。 <Embodiment 4>
In the above first to third embodiments, it has been described that the path of the shared folder 221 is not disclosed so that the user cannot browse the shared folder 221. In the fourth embodiment of the present invention, three examples for fully configuring the security of the shared folder 221 will be described. Other configurations are the same as in any of the first to third embodiments.

<実施の形態4:共有フォルダ221のセキュリティ構成例その1>
演算部210は、システム管理者の指示に基づき、共有フォルダ221のアクセス権限を以下のように設定する。 <Embodiment 4: Security configuration example 1 of shared folder 221>
The calculation unit 210 sets the access authority for the shared folder 221 as follows based on an instruction from the system administrator.

(共有フォルダ221のアクセス権限その1)
ログ格納サーバ200のシステム管理者は、共有フォルダ221に格納されているログファイルに対するフルアクセス権限(読み/書き/削除全て許可)を有する。 (Access authority 1 of shared folder 221)
The system administrator of the log storage server 200 has full access authority (permits reading / writing / deleting) to the log file stored in the shared folder 221.

(共有フォルダ221のアクセス権限その2)
共有フォルダ221にネットワーク300を介してアクセスするユーザに対しては、共有フォルダ221が格納しているファイル一覧の取得を禁止する。これにより、ログ格納サーバ200の外部ユーザは、共有フォルダ221が格納するファイルにアクセスすることが実質的にできなくなる。
図3のステップS302において、ログ監視プログラム121は、以下の追加動作を実行する。 (Access right of shared folder 221 2)
Users who access the shared folder 221 via the network 300 are prohibited from acquiring the file list stored in the shared folder 221. As a result, the external user of the log storage server 200 cannot substantially access the file stored in the shared folder 221.
In step S302 of FIG. 3, the log monitoring program 121 executes the following additional operation.

(図3:ステップS302:補足その3)
ログ監視プログラム121は、共有フォルダ221にアップロードする監査ログ122に対してユーザが書き込み権限のみ有するように、監査ログ122をアップロードする。監査ログ122をアップロードする際にログ監視プログラム121がそのアクセス権限を指定するようにしてもよいし、ログ格納サーバ200の演算部210が共有フォルダ221内のファイルに対するアクセス権限を強制的に設定するようにしてもよい。その他、例えばログ格納サーバ200のOS上で共有フォルダ221のアクセス権限を設定しておいてもよいし、適当な通信プログラムを介してログ格納サーバ200とログ監視プログラム121が通信して共有フォルダ221のアクセス権限を設定するようにしてもよい。 (FIG. 3: Step S302: Supplement 3)
The log monitoring program 121 uploads the audit log 122 so that the user has only write authority for the audit log 122 uploaded to the shared folder 221. When uploading the audit log 122, the log monitoring program 121 may specify the access authority, or the calculation unit 210 of the log storage server 200 forcibly sets the access authority for the file in the shared folder 221. You may do it. In addition, for example, the access authority of the shared folder 221 may be set on the OS of the log storage server 200, or the log storage server 200 and the log monitoring program 121 communicate with each other via an appropriate communication program to share the shared folder 221. You may make it set the access authority of.

<実施の形態4:共有フォルダ221のセキュリティ構成例その2>
図3のステップS302において、ログ監視プログラム121は、以下の追加動作を実行する。 <Embodiment 4: Security configuration example 2 of shared folder 221>
In step S302 of FIG. 3, the log monitoring program 121 executes the following additional operation.

(図3:ステップS302:補足その4)
ログ監視プログラム121は、共有フォルダ221にアップロードする監査ログ122のファイル名として、ランダム文字列または所定の規則に基づいて暗号化された文字列を用いる。ここでいう暗号化とは、クライアント端末100のユーザが共有フォルダ221内のファイル名を容易に知ることができないようなファイル名を生成することをいう。暗号化の手法には、任意の公知技術を用いることができる。 (FIG. 3: Step S302: Supplement No. 4)
The log monitoring program 121 uses a random character string or a character string encrypted based on a predetermined rule as the file name of the audit log 122 uploaded to the shared folder 221. The term “encryption” as used herein refers to generating a file name such that the user of the client terminal 100 cannot easily know the file name in the shared folder 221. Any known technique can be used for the encryption method.

本構成例では、クライアント端末100のユーザは、共有フォルダ221上の監査ログ122のファイル名を知ることができなくなるので、共有フォルダ221に対する不正アクセスを防ぐことができる。   In this configuration example, since the user of the client terminal 100 cannot know the file name of the audit log 122 on the shared folder 221, unauthorized access to the shared folder 221 can be prevented.

<実施の形態4:共有フォルダ221のセキュリティ構成例その3>
システム管理者は、クライアント端末100のOS上で、ログ監視プログラム121に一般ユーザとは異なる特殊なユーザ権限を割り当てておく。ログ監視プログラム121は、共有フォルダ221に監査ログ122をアップロードする際に、そのユーザ権限でのみ当該ファイルを読み/書き/削除などすることができるように指定する。これにより、クライアント端末100の一般ユーザは、共有フォルダ221にアップロードされた監査ログ122にアクセスすることができなくなる。 <Embodiment 4: Example 3 of Security Configuration of Shared Folder 221>
The system administrator assigns a special user authority different from the general user to the log monitoring program 121 on the OS of the client terminal 100. When uploading the audit log 122 to the shared folder 221, the log monitoring program 121 specifies that the file can be read / written / deleted only with the user authority. As a result, the general user of the client terminal 100 cannot access the audit log 122 uploaded to the shared folder 221.

以上、本実施の形態4では、共有フォルダ221のセキュリティをより万全に構成する3つの例を説明した。なお、3つの例を任意に組み合わせることもできる。   As described above, in the fourth embodiment, the three examples for fully configuring the security of the shared folder 221 have been described. Three examples can be arbitrarily combined.

<実施の形態5>
以上の実施の形態1〜4では、記憶部120が格納している監査ログ122のサイズが所定の閾値を超えると、監査ログ122を記録する対象となっているユーザ操作を禁止することを説明した。しかし、必ずしもユーザが故意に監査ログ122を長期間アップロードしていないとは限らず、やむを得ない事情による場合(例えばネットワーク300の長期的な障害など)も考えられる。 <Embodiment 5>
In the first to fourth embodiments described above, it is described that when the size of the audit log 122 stored in the storage unit 120 exceeds a predetermined threshold, a user operation that is a target for recording the audit log 122 is prohibited. did. However, the user does not necessarily deliberately upload the audit log 122 for a long period of time, and there may be an unavoidable situation (for example, a long-term failure of the network 300).

そこで、本発明の実施の形態5では、システム管理者が許可した場合に限り、監査ログ122のサイズが閾値を超えていても、ユーザが操作を継続できるようにする動作例を説明する。その他の構成と動作は、実施の形態1〜4いずれかと同様である。
図8は、本実施の形態5におけるログ監視システム1000の動作を説明する動作フローである。以下、図8の各ステップについて説明する。 Therefore, in the fifth embodiment of the present invention, an operation example is described in which the user can continue the operation even when the size of the audit log 122 exceeds the threshold only when the system administrator permits it. Other configurations and operations are the same as those in the first to fourth embodiments.
FIG. 8 is an operation flow for explaining the operation of the log monitoring system 1000 according to the fifth embodiment. Hereinafter, each step of FIG. 8 will be described.

(図8:ステップS301〜S304)
これらのステップは、図3の同ステップと同様である。ただし、ステップS304の後にステップS801が新たに挿入されている。 (FIG. 8: Steps S301 to S304)
These steps are the same as those in FIG. However, step S801 is newly inserted after step S304.

(図8:ステップS801)
ログ管理プログラム121は、ユーザがログ管理プログラム121に対して所定のパスワードを入力したか否かを判定する。入力した場合はステップS301に戻り、同様の手順を繰り返す。入力していない場合は、ステップS305へ進む。本ステップにおける所定のパスワードとは、システム管理者がユーザからの連絡を受けて通知する、ステップS305の禁止処理を解除するためのパスワードである。ログ管理プログラム121は、このパスワードが入力された場合は、例外的にステップS305を実行せず、もしくはステップS304における閾値をより大きな値に変更して、ユーザの操作を継続させる。 (FIG. 8: Step S801)
The log management program 121 determines whether or not the user has input a predetermined password to the log management program 121. If entered, the process returns to step S301 and the same procedure is repeated. If not, the process proceeds to step S305. The predetermined password in this step is a password for canceling the prohibition process in step S305, which is notified by the system administrator in response to a contact from the user. When this password is input, the log management program 121 exceptionally does not execute step S305 or changes the threshold value in step S304 to a larger value and continues the user operation.

(図8:ステップS305)
本ステップは、図3の同ステップと同様である。
以上のように、本実施の形態5によれば、ネットワーク故障などのやむを得ない事情により、ユーザの意図に関わらず監査ログ122を共有フォルダ221にアップロードすることができない場合は、システム管理者の許可の下、ユーザの操作を継続させることができる。 (FIG. 8: Step S305)
This step is the same as the step in FIG.
As described above, according to the fifth embodiment, if the audit log 122 cannot be uploaded to the shared folder 221 regardless of the user's intention due to unavoidable circumstances such as a network failure, the permission of the system administrator The user's operation can be continued.

なお、本実施の形態5において、システム管理者がユーザに通知するパスワードに、有効期限を設けておいてもよい。ログ監視プログラム121は、ユーザがステップS801で所定のパスワードを入力し、その有効期限を超過した後で、監査ログ122のサイズが依然として閾値を超えている場合は、ステップS305を実行し、またはステップS304における閾値を元の値に戻して、ユーザの操作を禁止する。これにより、ユーザはできる限り早く障害の復旧等を行なうよう促されるので、セキュリティの観点からも好ましい。   In the fifth embodiment, an expiration date may be set for the password notified to the user by the system administrator. The log monitoring program 121 executes step S305 if the size of the audit log 122 still exceeds the threshold after the user inputs a predetermined password in step S801 and the expiration date is exceeded, or step S305 is executed. The threshold value in S304 is returned to the original value, and the user's operation is prohibited. As a result, the user is prompted to recover from the failure as soon as possible, which is preferable from the viewpoint of security.

また、本実施の形態5において、システム管理者がユーザに通知するパスワードは、一度限り有効なワンタイムパスワードとしてもよい。これにより、ユーザがそのパスワードを使いまわし続けることを回避できる。   In the fifth embodiment, the password notified to the user by the system administrator may be a one-time password that is valid only once. As a result, it is possible to prevent the user from continuing to reuse the password.

100:クライアント端末、110:演算部、120:記憶部、121:ログ監視プログラム、122:監査ログ、123:整形ログ、200:ログ格納サーバ、210:演算部、220:記憶部、221:共有フォルダ、300:ネットワーク、1000:ログ監視システム。   100: client terminal, 110: calculation unit, 120: storage unit, 121: log monitoring program, 122: audit log, 123: shaping log, 200: log storage server, 210: calculation unit, 220: storage unit, 221: sharing Folder, 300: Network, 1000: Log monitoring system.

Claims (11)

ユーザが行なった操作のログを監視する処理をコンピュータに実行させるプログラムであって、
前記コンピュータに、
前記ログを収集するログ収集ステップと、
前記ログ収集ステップで収集したログを所定のフォルダに送信して送信元のログを削除するログ送信ステップと、
前記ログ収集ステップで収集したログのサイズが所定の閾値を超えると前記ログを取得する対象に該当するユーザの操作を禁止する禁止ステップと、
を実行させ
前記禁止ステップにおいては、前記コンピュータに、
前記ログを取得する対象に該当するユーザの操作に対応する前記コンピュータ上のアクセス権限を前記ユーザから剥奪することにより、前記アクセス権限に対応する当該ユーザの操作を禁止させる
ことを特徴とするログ監視プログラム。 A program for causing a computer to execute processing for monitoring a log of operations performed by a user,
In the computer,
A log collection step for collecting the logs;
A log transmission step of transmitting the log collected in the log collection step to a predetermined folder and deleting the log of the transmission source;
A prohibiting step of prohibiting a user operation corresponding to a target for acquiring the log when the size of the log collected in the log collecting step exceeds a predetermined threshold;
Was executed,
In the prohibition step, the computer is
Log monitoring characterized in that the user's operation corresponding to the access authority is prohibited by depriving the user of the access authority on the computer corresponding to the user's operation corresponding to the log acquisition target. program. 前記ログ送信ステップでは、前記コンピュータに、
所定の規則に合致するユーザ操作の記録が存在するか否かをチェックさせ、合致するものが存在すればその旨を通知させる
ことを特徴とする請求項1記載のログ監視プログラム。 In the log transmission step, the computer
2. The log monitoring program according to claim 1, wherein it is checked whether or not there is a record of a user operation that matches a predetermined rule, and if there is a match, a message to that effect is sent. 前記ログ収集ステップでは、前記コンピュータに、
収集した前記ログのうち所定の項目をキーとして前記ログを整形させる
ことを特徴とする請求項1または請求項2記載のログ監視プログラム。 In the log collecting step, the computer
The log monitoring program according to claim 1 or 2, wherein the log is shaped using a predetermined item as a key in the collected logs. 前記コンピュータ上における前記ログのサイズが、前記閾値より小さい所定の警告閾値を超えると、ユーザにその旨の警告を通知するステップを前記コンピュータに実行させる
ことを特徴とする請求項1から請求項3までのいずれか1項に記載のログ監視プログラム。 4. The computer according to claim 1, wherein when the size of the log on the computer exceeds a predetermined warning threshold value smaller than the threshold value, the computer is caused to execute a step of notifying the user of the warning. The log monitoring program according to any one of the preceding items. 前記ログ送信ステップでは、前記コンピュータに、
前記フォルダ上における前記ログに対する前記ユーザのアクセス権限が当該ログに対する書き込みのみ許可する状態となるように前記ログを送信させる
ことを特徴とする請求項1から請求項4までのいずれか1項に記載のログ監視プログラム。 In the log transmission step, the computer
The log is transmitted so that the user's access authority to the log on the folder is in a state of permitting only writing to the log. Log monitoring program. 前記ログ送信ステップでは、前記コンピュータに、
前記フォルダに送信する前記ログのファイル名としてランダム文字列または所定の規則に基づいて暗号化された文字列を使用させる
ことを特徴とする請求項1から請求項5までのいずれか1項に記載のログ監視プログラム。 In the log transmission step, the computer
The random character string or a character string encrypted based on a predetermined rule is used as a file name of the log to be transmitted to the folder. Log monitoring program. 所定のパスワードを受け取ると前記禁止ステップで禁止する行為を所定期間の間だけ例外的に許可するステップを前記コンピュータに実行させる
ことを特徴とする請求項1から請求項6までのいずれか1項に記載のログ監視プログラム。 7. The method according to claim 1, further comprising: allowing the computer to execute the step of exceptionally permitting the act prohibited in the prohibition step only for a predetermined period when the predetermined password is received. The log monitoring program described. 前記パスワードには有効期限が設定されており、
その有効期限を過ぎても前記ログのサイズが前記所定の閾値を超えている場合は、前記禁止ステップで禁止した行為を再度禁止するステップを前記コンピュータに実行させる
ことを特徴とする請求項7記載のログ監視プログラム。 The password has an expiration date,
8. The computer according to claim 7, wherein if the size of the log exceeds the predetermined threshold even after the expiration date, the computer is caused to execute a step of prohibiting again the act prohibited in the prohibiting step. Log monitoring program. 請求項1から請求項8までのいずれか1項に記載のログ監視プログラムを実行するコンピュータと、
前記フォルダを有するサーバと、
を有することを特徴とするログ監視システム。 A computer that executes the log monitoring program according to any one of claims 1 to 8,
A server having the folder;
A log monitoring system comprising: 前記サーバは、
前記フォルダに対する前記ユーザのアクセス権限を、
前記フォルダが格納しているファイルの一覧を前記ユーザに取得させない状態とする
ことを特徴とする請求項9記載のログ監視システム。 The server
The user's access rights to the folder,
The log monitoring system according to claim 9, wherein the user is not allowed to acquire a list of files stored in the folder. 前記サーバは、前記フォルダに隠しフォルダ属性を付与する
ことを特徴とする請求項9または請求項10記載のログ監視システム。 The log monitoring system according to claim 9 or 10, wherein the server gives a hidden folder attribute to the folder.
JP2009185478A 2009-08-10 2009-08-10 Log monitoring program, log monitoring system Active JP5334739B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009185478A JP5334739B2 (en) 2009-08-10 2009-08-10 Log monitoring program, log monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009185478A JP5334739B2 (en) 2009-08-10 2009-08-10 Log monitoring program, log monitoring system

Publications (2)

Publication Number Publication Date
JP2011039720A JP2011039720A (en) 2011-02-24
JP5334739B2 true JP5334739B2 (en) 2013-11-06

Family

ID=43767435

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009185478A Active JP5334739B2 (en) 2009-08-10 2009-08-10 Log monitoring program, log monitoring system

Country Status (1)

Country Link
JP (1) JP5334739B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9836344B2 (en) 2014-08-08 2017-12-05 Canon Kabushiki Kaisha Information processing apparatus, control method for controlling information processing apparatus, and storage medium
CN108491483A (en) * 2018-03-12 2018-09-04 北京奇虎科技有限公司 A kind of method and apparatus of remote supervisor operating status

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018045344A (en) * 2016-09-13 2018-03-22 富士電機株式会社 Controller, control system and control method
JP6838970B2 (en) * 2017-01-05 2021-03-03 キヤノン株式会社 Image forming device, image forming system, control method and program
JP6976748B2 (en) 2017-06-30 2021-12-08 キヤノン株式会社 Image forming device, server device, information processing system, image forming device control method, and program
JP7192655B2 (en) 2019-05-17 2022-12-20 株式会社リコー Information processing device, information processing system, program, and information processing method
JP2022090243A (en) * 2020-12-07 2022-06-17 株式会社リコー Information processing device, information processing method and program

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2983801B2 (en) * 1993-06-30 1999-11-29 三洋電機株式会社 Information file device
JP2005149267A (en) * 2003-11-18 2005-06-09 Intelligent Wave Inc Evidence screen storage program, evidence screen storage method, and evidence screen storage system
JP4844106B2 (en) * 2005-12-02 2011-12-28 富士ゼロックス株式会社 Program, method and computer system for user authentication control
JP4912084B2 (en) * 2006-08-23 2012-04-04 株式会社日立ソリューションズ Audit log recording control method and information leakage monitoring program
JP4247277B2 (en) * 2007-02-06 2009-04-02 Sky株式会社 Terminal monitoring device and program thereof
JP2009054674A (en) * 2007-08-24 2009-03-12 Tokyo Electron Ltd Manufacturing device, operation log storage means, and program
JP2009053896A (en) * 2007-08-27 2009-03-12 Fuji Xerox Co Ltd Unauthorized operation detector and program
JP4175574B1 (en) * 2007-10-17 2008-11-05 クオリティ株式会社 Management system, management server, and management program
JP5124241B2 (en) * 2007-11-12 2013-01-23 株式会社リコー Information processing apparatus, information processing method, information processing program, and recording medium
JP2009151485A (en) * 2007-12-19 2009-07-09 Nec Corp Suspicious behavior detecting system, suspicious behavior detecting method, and suspicious behavior detecting program
JP4678884B2 (en) * 2008-01-29 2011-04-27 株式会社日立情報システムズ Portable storage media management system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9836344B2 (en) 2014-08-08 2017-12-05 Canon Kabushiki Kaisha Information processing apparatus, control method for controlling information processing apparatus, and storage medium
CN108491483A (en) * 2018-03-12 2018-09-04 北京奇虎科技有限公司 A kind of method and apparatus of remote supervisor operating status
CN108491483B (en) * 2018-03-12 2021-10-08 北京奇虎科技有限公司 Method and device for remotely monitoring running state of program

Also Published As

Publication number Publication date
JP2011039720A (en) 2011-02-24

Similar Documents

Publication Publication Date Title
JP5334739B2 (en) Log monitoring program, log monitoring system
US9348984B2 (en) Method and system for protecting confidential information
US7793110B2 (en) Posture-based data protection
US8245042B2 (en) Shielding a sensitive file
JP5186363B2 (en) Cascading security architecture
JP4759513B2 (en) Data object management in dynamic, distributed and collaborative environments
US7673324B2 (en) Method and system for tracking an operating performed on an information asset with metadata associated therewith
JP4299249B2 (en) Copy prevention apparatus, copy prevention method, and program for causing computer to execute the method
US8499152B1 (en) Data positioning and alerting system
US20080083037A1 (en) Data loss and theft protection method
KR101389459B1 (en) Method and apparatus for privacy information outflow prevention, and method and server apparatus for supprot privacy information protection in client apparatus
KR20120010227A (en) Mitigations for potentially compromised electronic devices
JP4185546B2 (en) Information leakage prevention device, information leakage prevention program, information leakage prevention recording medium, and information leakage prevention system
US9881154B2 (en) Hardware-assisted log protection devices and systems
CN101694683A (en) Method for preventing Trojans ferrying via movable memories to steal files
JP2010146325A (en) Content protection apparatus and content protection program
GB2535579A (en) Preventing unauthorized access to an application server
JP4830576B2 (en) Information processing apparatus, data management method, program
JP5310075B2 (en) Log collection system, information processing apparatus, log collection method, and program
KR100939106B1 (en) Method for preventing unauthorized copies of data stored in removable storage apparatus and system adapted to the same
JP4899196B2 (en) Data management system, terminal computer, management computer, data management method and program thereof
CN108063771B (en) Method and device for monitoring encrypted compressed file
JP2010067012A (en) Takeout monitoring system for file
CN115328393A (en) Data storage method and system
KR20240002326A (en) Data protection method and device for a file server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130730

R150 Certificate of patent or registration of utility model

Ref document number: 5334739

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250