JP5364776B2 - 複数のログ・エントリをマージする技術 - Google Patents
複数のログ・エントリをマージする技術 Download PDFInfo
- Publication number
- JP5364776B2 JP5364776B2 JP2011258371A JP2011258371A JP5364776B2 JP 5364776 B2 JP5364776 B2 JP 5364776B2 JP 2011258371 A JP2011258371 A JP 2011258371A JP 2011258371 A JP2011258371 A JP 2011258371A JP 5364776 B2 JP5364776 B2 JP 5364776B2
- Authority
- JP
- Japan
- Prior art keywords
- merged
- log entry
- event
- merged event
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99933—Query processing, i.e. searching
- Y10S707/99936—Pattern matching access
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99937—Sorting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
Description
開示された実施形態はネットワーク動作の監視に広く関連する。より詳細には、開示された実施形態は、関連するネットワーク動作を表す複数のエントリ(entry: 参加)をマージ(merge: 合併)するためのシステムおよび方法に関する。
ネットワーク上の各種デバイス(装置)およびいくつかのソフトウェアから受け取ったログ・エントリ(log entry)を監視することが望まれている。往々にして、これらのデバイスおよびいくつかのソフトウェアは、利便性、速度、または、信頼性の理由でいくつかのロギング・メッセージを作成することができる。これは、例えば、たとえ全ての情報がそうでなくとも、いくつかの情報はそのイベントのセントラルポイントに到達するようにする。例として、業務が完了する前にログ・メッセージを送出することは、たとえ後でシステムがその業務が完全に終了する前にクラッシュしたとしても何かが記録されることを確実にするために、望ましい。
加えて、何らかの種類のログ・イベントが時間とともにデバイスで発生する。全てのログ可能なイベントの発生がデバイスで起こるまで待つ代わりに、ログ可能なイベントが発生するその都度、当該ログ可能なイベントを送出することは望ましいと考えられる。
複数デバイスがネットワークにおける一つ以上のセントラルコレクションポイント(central collection point: 中央収集点)にログ・エントリを送出する場合、各種デバイスから各種イベントのためのログ・エントリは、互いに分散して到達する可能性が最も高い。各種のログ・エントリはそのログ内で隣接しないであろう。これらは大変似通ったイベント同士でインターリーブされてもよい。これらはいくつかのログ・ファイルにわたって拡散してもよい。エントリのシーケンスは完成していなくともよい(おそらくセンサはその動作が完了する前にクラッシュする)。
前述したような不確定なコンディションのもとで生成されるログ・エントリから、高度のイベント情報(high-level event information)を自動的に収集する手法が必要とされている。
本発明の好適な実施形態は、パーサ (parser: 構文解析プログラム)、グルーピング・トラッカー・モジュール (grouping tracker module: グループ化追跡取得プログラム・モジュール)、および、マッピング・モジュール (mapping module) を含むエージェント(agent: ソフトウェア上の概念としての「エージェント」)を定義する。パーサは到達するログ・エントリをトークン (token: ソースコード中の文字列の最小単位の字句) に選別する。グルーピング・トラッカーはこれらトークンを解析してトークンの属するマージされたイベント(もしあれば)を判定する。説明される実施形態では、グルーピング・トラッカーはコンフィギュラブル(configurable: 構成可能な)マージ・プロパティ(merge property: 併合属性)に従って動作するが、他の実施形態ではハードコード化されたプロパティを有してもよい。マージ・プロパティにより、ログ・エントリをハイレベルの被マージイベント(merged event)へとグループ化する動作に関連する各種プロパティを構成することができる。説明される実施形態では、これらプロパティは、以下のいくつかもしくは全てを含む: 各被マージイベントのために考慮されるべきログ・エントリがどんなタイプであるか; 各被マージイベントを識別するために使用されるID; エンドエントリが検出されない場合であっても、既存の被マージイベントのためのエントリの収集を自動的に終了するタイムアウト値。
記述された実施形態では、マッピング・モジュールは特定の被マージイベントに関連するログ・エントリを受け取り、これらをマッピング・プロパティ(これらマッピング・プロパティはまたハードコードされていてもよいが)に従って被マージイベントデータ構造のフィールドにマップする。
本発明の記述された実施形態は、マージ・プロパティの正規表現を使用して、受け取られたログ・エントリ内で検索される値を述べる。例えば、正規表現はマルチ・エントリ・イベントの一部であるエントリを定義してもよく、マルチ・エントリ・イベントの最初のエントリを検出してもよく、マルチ・エントリ・イベントの最後のエントリを検出してもよい。マージ・プロパティはまた、マージされるために同じ値を含んでいるのがエントリのどのフィールドかを宣言する(例えば、エントリは同じ数字IDや同じIPアドレスの記述をともに有してもよい)。本発明の記述された実施形態は互いに散在するイベントのためのログ・エントリを処理することができる。
ここで本発明の一実施形態を、類似の参照符号が同一のまたは機能的に同等の要素を示している図面を参照しながら説明する。
図1は、本発明の一実施形態に従ってシステム100のブロック図を示す。システム100は好ましくは、ネットワーク上の一つ以上のセントラル・ポイントでエージェント104を含む。ネットワーク、例えば、インターネット、LAN、WAN、無線ネットワーク、移動式ネットワーク、または、リモートデバイスがエージェント104にログ・エントリを送信可能な他の何らかの適切な機構上で、エージェント104は複数デバイスおよびいくつかのソフトウェアからログ・エントリを受け取る。
ログ・エントリはパーサ (parser: 構文解析プログラム) 102によって受け取られ、当業者に周知の手法でトークンに構文解析される。他の実施形態では、パーシング(構文解析)の実行は、Hector Aguilar-Macias他による2005年3月1日付け出願の米国特許出願番号11/070,024、「ネットワークセキュリティシステムにおけるメッセージパーシング」で説明されており、参照することによって本明細書に組み込まれている。
受け取られたログ・エントリは、パーサ102が構文解析することのできる何らかの適切なフォーマットであってよい。パーサ102は受け取られたログ・エントリに基づいたトークンを出力する。これらのトークンはグルーピング・トラッカー・モジュール110で受け取られる。
グルーピング・トラッカー・モジュール(grouping tracker module: グループ化追跡取得プログラム・モジュール)110は、メモリ、もしくは他の記憶モジュールまたはデバイス112からマージ・プロパティ(merge property: マージの特性若しくは属性)を受け取るように接続される。マージ・プロパティは、被マージイベント(merged event: 「複数のログ・エントリを合併したイベント」の意)を構築する際に使用され、受け取られたログ・エントリがどのように解釈されるべきかを指定する。グルーピング・トラッカー・モジュールは特定の被マージイベントに関連するログ・エントリをマッピング・モジュール内に出力する。マッピング・モジュールにおいて、ログ・エントリは、受け取られたログ・エントリから構築されつつある被マージイベント内にマッピングされる(配置される)。このマッピングはマッピング・プロパティ122に従って行われる。マッピング・モジュール120の出力は、複数ログ・エントリに起因する一つ以上の被マージイベントである。図1に概ね示されているこの工程につき、一例に関連して、以下、より詳細に説明する。
[例]
この例は、本発明の一実施形態において、どのようにイベントマージングが動作するのかの例である。
この例は、本発明の一実施形態において、どのようにイベントマージングが動作するのかの例である。
以下のようにログ・エントリを仮定する(また、これらは時として「メッセージ」と呼ばれる)。
[18/Jul/2005:12:30:20 -0400] conn=8 op=0 msgId=82 - BIND uid=admin
[18/Jul/2005:12:30:25 -0400] conn=7 op=-1 msgId=-1 - LDAP connection from 10.0.20.122 to 10.0.20.122
[18/Jul/2005:12:30:30 -0400] conn=8 op=0 msgId=82 - RESULT error=0
[18/Jul/2005:12:30:20 -0400] conn=8 op=0 msgId=82 - BIND uid=admin
[18/Jul/2005:12:30:25 -0400] conn=7 op=-1 msgId=-1 - LDAP connection from 10.0.20.122 to 10.0.20.122
[18/Jul/2005:12:30:30 -0400] conn=8 op=0 msgId=82 - RESULT error=0
パーサ102はこれら受け取られたログ・エントリをキー・バリュー・ペア(key-value pair)に構文解析する。各ログ・エントリに対するこういった処理はトークンの1セットを生成する。例えば、ログ・エントリ
[18/Jul/2005:12:30:20 -0400]] conn=8 op=0 msgId=82 - BIND uid=admin
は以下のキー・バリュー・ペア(key/value pair)を有するトークンを生成する。
Date=18/Jul/2005 12:30:20
Connection=8
Operation=0
MessageId=82
OperationName=BIND
UserId=admin
[18/Jul/2005:12:30:20 -0400]] conn=8 op=0 msgId=82 - BIND uid=admin
は以下のキー・バリュー・ペア(key/value pair)を有するトークンを生成する。
Date=18/Jul/2005 12:30:20
Connection=8
Operation=0
MessageId=82
OperationName=BIND
UserId=admin
同様に、他の2つのログ・エントリは自身のキー・バリュー・ペアを生成する。
[18/Jul/2005:12:30:25 -0400]] conn=7 op=-1 msgId=-1 - LDAP connection from 10.0.20.122 to 10.0.20.12
Date=18/Jul/2005 12:30:25
Connection=7
Operation=1
MessageId=-1
OperationName=LDAP
Source=10.0.20.122
Destination=10.0.20.12
[18/Jul/2005:12:30:25 -0400]] conn=7 op=-1 msgId=-1 - LDAP connection from 10.0.20.122 to 10.0.20.12
Date=18/Jul/2005 12:30:25
Connection=7
Operation=1
MessageId=-1
OperationName=LDAP
Source=10.0.20.122
Destination=10.0.20.12
[18/Jul/2005:12:30:30 -0400]] conn=8 op=0 msgId=82 - RESULT err=0
Date=18/Jul/2005 12:30:30
Connection=8
Operation=0
MessageId=82
OperationName=RESULT
ResultCode=0
Date=18/Jul/2005 12:30:30
Connection=8
Operation=0
MessageId=82
OperationName=RESULT
ResultCode=0
図2はマージ・プロパティ112に従って受け取られたログ・エントリを処理するために行われる方法の一実施形態のフローチャート200である。好適な実施形態では、この方法はグルーパ(grouper)/トラッカー110によって実行される。タイムアウトが、構築中の被マージイベントに到達した場合(202)、被マージイベントは終了して(204)、制御は要素(202)に戻る。よって、明らかな終了のログ・エントリが一つも検出されなかったとしても、被マージイベントのタイムアウトが発生すれば、その被マージイベントは閉じられるはずである。タイムアウト値は、ログするデバイスの種類毎に異なってもよく、単一デバイスからの被マージイベント毎に異なってもよい。以下に説明されるように、タイムアウト値はマージ・プロパティに含まれている。
要素206では、次のログ・エントリが処理のために受け取られる。そのログ・エントリがマージング(マージ・プロパティ112に定義されているように)のためのものであると考えられるはずである場合(208)には処理が継続され、そうでない場合にはシングルイベントが送出され(209)要素202に処理が戻る。
ログ・エントリが或る新しい被マージイベント210(マージ・プロパティ112に定義されているように)についての開始のログ・エントリである場合、当該新しい被マージイベントが開かれる(212、構築中の処理における複数の被マージイベントの例として図5参照)。いくつかの実施形態では、その被マージイベントのタイムアウトクロックがスタートされる(212)。
ログ・エントリが、開始のログ・エントリではなく、構築中の既存の被マージイベントのIDを含んでいる場合(214)、イクセプションがログ・記録され、シングルのイベントが送出される(215)。そうでない場合、処理は継続されてトークンおよびログ・エントリがマッピング・モジュールに送られ(220)、この結果、その情報を被マージイベントに付加することができる。一実施形態では、IDはログ・エントリのシングルフィールドであってもよく、被マージイベントの全てのログ・エントリに共通の値を持つログ・エントリの複数フィールドであってもよい。
ログ・エントリが或る既存の被マージイベント(マージプロパティ112に定義されているように)についての終了のログ・エントリである場合(216)、既存の被マージイベントは終了され、グルーパ/トラッカーから取り除かれる(218、構築中の処理における複数の被マージイベントの例として図5参照)。ログ・エントリがイベント終了を示している場合、対応する被マージイベントは終了され、図5に示される構造から取り除かれなければならない。
例の説明を続けると、この例のマージ・プロパティ112は以下のように定義される。
merge.count=1
merge[0].pattern.count=1
merge[0].pattern[0].token=OperationName
merge[0].pattern[0].regex=(BIND|RESULT)
merge[0].starts.count=1
merge[0].starts[0].token=OperationName
merge[0].starts[0].regex=BIND
merge[0].ends.count=1
merge[0].ends[0].token=OperationName
merge[0].ends[0].regex=RESULT
merge[0].id.tokens=Connection,Operation,MessageId
merge[0].timeout=60000
merge.count=1
merge[0].pattern.count=1
merge[0].pattern[0].token=OperationName
merge[0].pattern[0].regex=(BIND|RESULT)
merge[0].starts.count=1
merge[0].starts[0].token=OperationName
merge[0].starts[0].regex=BIND
merge[0].ends.count=1
merge[0].ends[0].token=OperationName
merge[0].ends[0].regex=RESULT
merge[0].id.tokens=Connection,Operation,MessageId
merge[0].timeout=60000
先ず、我々はただ一つの被マージオペレーションを有することを示す。
merge.count=1
merge.count=1
それから、マージングのために考えられるべき、BINDまたはRESULTに設定されているOperationNameを有する全てのメッセージを求めることを我々は定義する。
merge[0].pattern.count=1
merge[0].pattern[0].token=OperationName
merge[0].pattern[0].regex=(BIND|RESULT)
merge[0].pattern.count=1
merge[0].pattern[0].token=OperationName
merge[0].pattern[0].regex=(BIND|RESULT)
今や、BINDに設定されているOperationNameを有するメッセージがマージ処理を開始することを指定する。
merge[0].starts.count=1
merge[0].starts[0].token=OperationName
merge[0].starts[0].regex=BIND
merge[0].starts.count=1
merge[0].starts[0].token=OperationName
merge[0].starts[0].regex=BIND
そして、OperationNameがRESULTにセットされているメッセージを検出すると、マージ処理を終了することにすると指定する。
merge[0].ends.count=1
merge[0].ends[0].token=OperationName
merge[0].ends[0].regex=RESULT
merge[0].ends.count=1
merge[0].ends[0].token=OperationName
merge[0].ends[0].regex=RESULT
我々はまた、イベントが同じグループに属することをどのように識別するかを定義する必要があり、Connection(接続)、Operation(オペレーション)およびMessageId(メッセージID)の値が同一でなければならないということを指定することでこれを行う(被マージイベントのためのIDを形成すること)。
merge[0].id.tokens=Connection, Operation,MessageId
merge[0].id.tokens=Connection, Operation,MessageId
最後に、タイムアウトを定義して、もし60秒後にOperationNameがRESULTにセットされているメッセージを得られなかった場合、そのイベントはそのまま送出する。
merge[0].timeout=60000
merge[0].timeout=60000
図3は、マッピングプロパティに従ってログ・エントリを被マージイベントに加えるために行われる方法の一実施形態のフローチャートである。受け取られたログ・エントリおよびそれらのトークンは、構築された被マージイベントの少なくとも一つと関連しているとして既に識別されている。マッピング・モジュール120はログ・エントリの情報を構築された一つ以上の被マージイベントにマップする(構築された複数の被マージイベントの例として図5参照、被マージイベントのためのフォーマット例として図6参照)。
この例では、マッピング・プロパティ122は以下のように定義される。
event.deviceReceiptTime=Date
event.name=_oneOf(mergedevent.name,OperationName)
event.deviceAction=ResultCode
event.destinationUserId=UserId
event.deviceReceiptTime=Date
event.name=_oneOf(mergedevent.name,OperationName)
event.deviceAction=ResultCode
event.destinationUserId=UserId
これらプロパティは、イベントのためのタイムスタンプとしてDateを、デバイスアクションとしてResultCodeを、そして、出力先ユーザIDとしてUserIDを使用するつもりであることを示す。名前は以下のように定義される。
event.name=_oneOf(mergedevent.name,OperationName)
event.name=_oneOf(mergedevent.name,OperationName)
こういったフレーム構造なので、最終データを格納するために使用することができる「トラッキング」イベントを参照することができる。この場合、OperationNameまたは「トラッキング」イベントの名前(もしあれば)のいずれかを使用すべきであるということを、オペレーションは意味する。例えば、最初のイベントは以下のキー・バリューを含んでいるであろう。
[18/Jul/2005/:12:30:20 -0400]] conn=8 op=0 msgId=82 - BIND uid=admin
Date=18/Jul/2005 12:30:20
Connection=8
Operation=0
MessageId=82
OperationName=BIND
UserId=admin
[18/Jul/2005/:12:30:20 -0400]] conn=8 op=0 msgId=82 - BIND uid=admin
Date=18/Jul/2005 12:30:20
Connection=8
Operation=0
MessageId=82
OperationName=BIND
UserId=admin
そして新たな「トラッキング」イベントが生成されて、以下のマッピングで終了するであろう。
mergedevent.name=BIND
mergedevent.device ReceiptTime=18/Jul/2005 12:30:20
mergedevent.destinationUserId=admin
mergedevent.name=BIND
mergedevent.device ReceiptTime=18/Jul/2005 12:30:20
mergedevent.destinationUserId=admin
被マージイベントの名前は新しい被マージイベントであるためBINDとなり、mergedevent.nameは一つも存在せず、OperationNameの値は使用される(BIND)。ここで、マージンググループのための第2のイベントが処理されると以下になる。
[18/Jul/2005:12:30:30 -0400]] conn=8 op=0 msgId=82 - RESULT err=0
Date=18/Jul/2005 12:30:30
Connection=8
Operation=0
MessageId=82
OperationName=RESULT
ResultCode=0
[18/Jul/2005:12:30:30 -0400]] conn=8 op=0 msgId=82 - RESULT err=0
Date=18/Jul/2005 12:30:30
Connection=8
Operation=0
MessageId=82
OperationName=RESULT
ResultCode=0
被マージイベントは以下のようにマップされるであろう。
mergedevent.name=BIND
mergedevent.deviceReceiptTime=18/Jul/2005 12:30:30
mergedevent.destinationUserId=admin
mergedevent.deviceAction=0
mergedevent.name=BIND
mergedevent.deviceReceiptTime=18/Jul/2005 12:30:30
mergedevent.destinationUserId=admin
mergedevent.deviceAction=0
このイベントが処理されるとき、BINDにセットされた名前で「トラック化された」イベント(mergedevent)が既にあるため、mergedevent.nameがBINDにセットされることに注目されたい。そこで、この場合、OperationNameは使用されず、mergedeventは値BINDを維持する。mergedeventの値はデフォルトによって置き換えられるであろうから、今はどのようにmergedevent.deviceReceiptTimeが18/Jul/2005 12:30:30にセットされたかに注目されたい。そこで、deviceReceiptTimeは最新の値と見なされるであろう。
図4は、本発明の一実施形態におけるマッピング・プロパティで用いられるoneOf関数402を示すフローチャート400である。例えば、イベント名のためにoneOf関数を実行するためには、イベント名が現在ブランクである場合(404)、現在のトークン名が使用される(406)。名前がブランクであない場合、非ブランク(non-blank)名が維持される(408)。
oneOfはマッピングコンポーネントで使用することができるオペレーションの一例にすぎないということが理解されるはずである。マッピングコンポーネントは、被マージイベントのフィールドを参照することができる他の「オペレーション」を含んでもよい。oneOf関数は、実際のマッピングフレーム構造における一例にすぎない。オペレーションの他の例は連結(concatenate)、タイプ変換オペレーションおよびその他を含む。
図5は、各種の被マージイベントのためのログ・エントリが分散的に受け取られる場合に、複数の被マージイベントが構築されつつある例500を示す。
図6は一つの被マージイベントのフォーマット例550を示す。例えば、図5の各種被マージイベントそれぞれでは、全ての値を各被マージイベントのそれぞれに満たすことができないが、このフォーマットを有する。本願発明の各種具体例は、連結、タイプ変換、カウンティング、およびその他を含んだ被マージオペレーションの他の例を含むことができる。他の実施形態は、被マージイベントの各種タイプの数を統計が維持することができるようにするために、被マージイベントの集合体を含む。これら統計されたデータを、単体でまたは他の送信データとの組み合わせでモニタに送信することができる。
以下の段落では本発明の一実施形態に含まれるマージ・プロパティ112例が簡単に記述される。
merge.count
定義されるはずのマージ・オペレーションの数を定義。
定義されるはずのマージ・オペレーションの数を定義。
merge[{mergeindex}].pattern.count
定義されるであろうパターンがいくつあるかを定義する。マージ・オペレーションはマージ・オペレーションで考慮されるであろうイベントを定義するためのパターンを必要とする。もしパターンが一つも与えられていなければ全ての(ALL)イベントが考慮されるであろう。
定義されるであろうパターンがいくつあるかを定義する。マージ・オペレーションはマージ・オペレーションで考慮されるであろうイベントを定義するためのパターンを必要とする。もしパターンが一つも与えられていなければ全ての(ALL)イベントが考慮されるであろう。
merge[{mergeindex}].pattern[{patternindex}].token
このパターンのために使用されるであろうトークンを定義する。
このパターンのために使用されるであろうトークンを定義する。
merge[{mergeindex}].pattern[{patternindex}].regex
このパターンで使用するための正規表現を定義する。
このパターンで使用するための正規表現を定義する。
merge[{mergeindex}].starts.count
定義されるであろうスタートパターンがいくつあるかを定義する。マージ・オペレーションはマージ・オペレーションを開始するはずのイベントを定義するためのスタートパターンを必要とする、もしパターンが一つも与えられていなければ全ての(ALL)イベントがマージオペレーションを開始する。オペレーションが一旦開始されると、タイムアウトまたはエンドパターンマッチを介した終了のみすることができる。
定義されるであろうスタートパターンがいくつあるかを定義する。マージ・オペレーションはマージ・オペレーションを開始するはずのイベントを定義するためのスタートパターンを必要とする、もしパターンが一つも与えられていなければ全ての(ALL)イベントがマージオペレーションを開始する。オペレーションが一旦開始されると、タイムアウトまたはエンドパターンマッチを介した終了のみすることができる。
merge[{mergeindex}].starts[{patternindex}].token
このスタートパターンのために使用されるはずのトークンを定義。
このスタートパターンのために使用されるはずのトークンを定義。
merge[{mergeindex}].starts[{patternindex}].regex
このスタートパターンで使用するための正規表現を定義する。
このスタートパターンで使用するための正規表現を定義する。
merge[{mergeindex}].ends.count
定義されるであろうエンドパターンがいくつあるかを定義する。マージ・オペレーションはマージ・オペレーションを終了するはずのイベントを定義するためのエンドパターンを必要とする、もしパターンが一つも与えられていなければ一つのイベントもマージ・オペレーションを終了せず、そのオペレーションはタイムアウトを介した終了のみができる。
定義されるであろうエンドパターンがいくつあるかを定義する。マージ・オペレーションはマージ・オペレーションを終了するはずのイベントを定義するためのエンドパターンを必要とする、もしパターンが一つも与えられていなければ一つのイベントもマージ・オペレーションを終了せず、そのオペレーションはタイムアウトを介した終了のみができる。
merge[{mergeindex}].ends[{patternindex}].token
このエンドパターンのために使用されるであろうトークンを定義する。
このエンドパターンのために使用されるであろうトークンを定義する。
merge[{mergeindex}].ends[{patternindex}].regex
このエンドパターンで使用するための正規表現を定義する。
このエンドパターンで使用するための正規表現を定義する。
merge[{mergeindex}].timeout
マージング・オペレーションのためにタイムアウトをミリ秒単位で定義する。タイムアウトが到達した場合、マージ・オペレーションは終了するはずであり、イベントは送出されるはずである。これらイベントは異なるスレッドを介して送出されるはずであり、イベントの順番は保証されないということに留意する。
マージング・オペレーションのためにタイムアウトをミリ秒単位で定義する。タイムアウトが到達した場合、マージ・オペレーションは終了するはずであり、イベントは送出されるはずである。これらイベントは異なるスレッドを介して送出されるはずであり、イベントの順番は保証されないということに留意する。
merge[{mergeindex}].id.delimiter
前述のリストに使用するためのオプションのデリミタを定義する。もし定義されていないのであれば、デリミタはコンマ(,)である。
前述のリストに使用するためのオプションのデリミタを定義する。もし定義されていないのであれば、デリミタはコンマ(,)である。
merge[{mergeindex}].sendpartialevents
このプロパティはオプショナルであり、デフォルトでフォールスにセットされている。基本的にこのプロパティは、他のイベントとマージされているとしてマージ・オペレーションの各イベントが個別に送出されなければならないかどうかを指定する。
このプロパティはオプショナルであり、デフォルトでフォールスにセットされている。基本的にこのプロパティは、他のイベントとマージされているとしてマージ・オペレーションの各イベントが個別に送出されなければならないかどうかを指定する。
merge[{mergeindex}].capacity
このプロパティはオプショナルであり、デフォルトで1000にセットされている。イベント・マージング・オペレーションは被マージ結果を維持するイベントのキャッシュを必要とする。これはどれだけキャッシュが大きくあるはずかを定義し、キャッシュがオーバーフローするとイベントはそのまま送出されるはずでありエラーがログ・記録されるはずである。
このプロパティはオプショナルであり、デフォルトで1000にセットされている。イベント・マージング・オペレーションは被マージ結果を維持するイベントのキャッシュを必要とする。これはどれだけキャッシュが大きくあるはずかを定義し、キャッシュがオーバーフローするとイベントはそのまま送出されるはずでありエラーがログ・記録されるはずである。
本明細書内の「一実施形態」または「実施形態」の参照は、その実施形態に関連して記述された特別な機能、構成または特徴が本発明の少なくとも1つの実施形態に含まれていることを意味する。本明細書の各所の「一実施形態では」といった句の出現は必ずしも同じ実施形態を参照することが全てであるということではない。
詳細な説明のいくつかの箇所は、コンピュータメモリ内のデータビット上で稼働するアルゴリズムおよび象徴の用語で記述されている。これらのアルゴリズム記述や表示は、データ処理分野の熟練者が他の当業者に自身の仕事の本質を最も効果的に伝達する手段である。アルゴリズムはここでは、しかも一般的に、所望の結果を導き出す工程(命令)の首尾一貫した順序であると考える。これら工程は物理的な量の物理的な操作を必要とするものである。通常、必ずというわけではないが、これらの量は、記憶、転送、組み合わせ、比較、および他の操作が可能な電気的または磁気的な信号といった形態をとる。大部分は共通使用の理由で、これらの信号はビット、値、要素、シンボル、キャラクタ、ターム、番号またはこれに類するもので呼ばれることは都合のいい時々に証明されている。
しかし、これらおよび類似のタームの全ては適切な物理量に関連し、これらの量に適用される便利な表示に過ぎないといったことを心にとどめておくべきである。詳細に述べられてない限り、そうでなければ解説から明らかではない限り、例えば「処理する(processing)」や「コンピュータで計算する(computing)」や「計算する(calculating)」や「判定する(determining)」や「表示する(displaying)」や同様のタームを使用する解説はコンピュータシステムや類似の電子計算装置の操作および作業を参照する、ということは説明全体を通して正しく理解され、コンピュータシステムは、そのレジスタおよびメモリ内の物理(電子)量として表されるデータを操作して、コンピュータシステムメモリやレジスタ、もしくはその他の情報記憶装置、伝送または表示装置内で物理量として同様に表される他のデータに変換する。
本発明のある局面は、アルゴリズムの形式でここで説明される、処理工程および命令を含む。注意すべきは、本発明の処理工程および命令を、ソフトウェア、ファームウェア、または、ハードウェアで具体化することができるということであり、ソフトウェアで具体化される場合、これらは常駐するようにダウンロードできたり、リアルタイムネットワークオペレーティングシステムを用いて異なるプラットフォームから操作できたりする。
本発明はまた、ここでの動作を実行するための装置に関連する。この装置は必要な目的のために特別に構築してもよく、コンピュータによりアクセスできるコンピュータ読み取り可能な媒体に格納されたコンピュータプログラムによって、選択的に稼働または再構築される汎用コンピュータを備えてもよい。こういったコンピュータプログラムは、例えば、ただし限定されるわけではなく、フロッピー(登録商標)ディスクを含んだあらゆるタイプのディスク、光ディスク、CD−ROM、光磁気ディスク、リードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気または光カード、特定用途向けIC(ASIC)、または、電子命令を格納するのに好適なあらゆるタイプの媒体であるコンピュータ読み取り可能な記憶媒体に格納してもよく、これら媒体のそれぞれはコンピュータのシステムバスに接続される。さらに、この明細書で参照されるコンピュータは、シングルプロセッサを含んでもよく、または、計算能力を向上するために設計されたマルチプロセッサを採用したアーキテクチャであってもよい。
ここで提示されるアルゴリズムおよび動作は、何らかの特別なコンピュータや他の装置に本質的に関連しているわけではない。各種汎用システムをここでの教示に従ってプログラムと共に使用することができ、または、必要な方法工程を実行するより専門的な装置を構築することが便利であることも証明できる。これらシステムの多様性のための必要な構成は、等価の変化と共に当業者とって明らかである。加えて、本発明は何らかの特別なプログラミング言語を参照して説明されてはいない。プログラミング言語の多様性は、ここで説明されるように、本発明の教示を実現するために使用することができ、特定言語の何らかの参照は本発明の使用可能性および本発明のベストモードのために提供される。
好適な実施形態およびいくつかの代替の実施形態を参照して、本発明は詳細に示し、説明されている一方、形や詳細の各種変更が本発明の気質や範囲から乖離することなくここで可能であることは関連分野の当業者に理解されるはずである。
最後に、注意すべきは、本明細書で使用される言語は、可読性および教示用目的のために主として選択され、発明的主題(inventive subject matter)を線引きまたは範囲を定めるために選択されたわけではない、ということである。従って、本発明の開示は、本発明の範囲の実例となるように意図されており、限定されず、特許請求の範囲に示される。
100 システム
102 パーサ (構文解析プログラム)
104 エージェント
110 グルーピング・トラッカー・モジュール
112 マージ・プロパティ
120 マッピング・モジュール
122 マッピング・プロパティ
102 パーサ (構文解析プログラム)
104 エージェント
110 グルーピング・トラッカー・モジュール
112 マージ・プロパティ
120 マッピング・モジュール
122 マッピング・プロパティ
Claims (17)
- データ処理システムにより受け取られた1又は複数のデバイスからの複数のログ・エントリをマージするための方法であって、
複数のログ・エントリを受け取るステップと、
前記受け取った複数のログ・エントリのそれぞれに対し、
マージ・プロパティに従って当該ログ・エントリがいずれかの潜在的な被マージイベントに共通するIDを含んでいるかを判定することと、
前記マージ・プロパティに従って或る被マージイベントの開始を示すログ・エントリであるかどうかを判定することと、
当該ログ・エントリが前記被マージイベントの開始のログ・エントリである場合、新たな被マージイベントの作成を開始することと、
前記マージ・プロパティに従って既存の被マージイベントの終了を示すログ・エントリであるかどうかを判定することと、
当該ログ・エントリが前記既存の被マージイベントの終了のログ・エントリである場合、該既存の被マージイベントの作成を終了すること、
を行うステップと、ここで、前記受け取った複数のログ・エントリには、複数の異なる被マージイベントに対応するログ・エントリが分散的に混在して含まれており、
或る既存の被マージイベントの前記終了のログ・エントリの前に、該或る既存の被マージイベントのためのマージ・プロパティに規定されたタイムアウトが発生した場合、当該被マージイベントの作成を終了するステップと、ここで、前記タイムアウトの値は少なくとも前記デバイスの種類毎に独自に規定され、
或る既存の被マージイベントに共通なIDを含む各ログ・エントリを、前記被マージイベントのためのマッピング・プロパティに従って当該被マージイベントにマッピングするステップと
を備える方法。 - 前記タイムアウトの値は、更に各被マージイベント毎に規定される、請求項1の方法。
- 前記被マージイベントに対して或るログ・エントリをマッピングする際に、該被マージイベントの作成が開始したがまだその作成が終了していないときには該被マージイベントがそれまでと同様に存在しているとみなす機能を更に備える請求項1又は2の方法。
- 前記機能はマッピング動作で使用される、請求項3に記載の方法。
- 受け取られたログ・エントリのそれぞれが、前記マージ・プロパティに従って、マージの対象として考慮されるべきであるかどうかを判定するステップを更に備える請求項1乃至4のいずれかの方法。
- 前記ログ・エントリを被マージイベントにマッピングする前記ステップは、前記被マージイベントにおける前記開始のログ・イベントの時間を判定することを更に含む、請求項1乃至5のいずれかの方法。
- 前記ログ・エントリを被マージイベントにマッピングする前記ステップは、前記被マージイベントにおける前記終了のログ・イベントの時間を判定することを更に含む、請求項1乃至6のいずれかの方法。
- 前記ログ・エントリを被マージイベントにマッピングする前記ステップは、前記マッピング・プロパティに従ってイベントIDをマッピングすることを更に含む請求項1乃至7のいずれかの方法。
- 前記ログ・エントリを被マージイベントにマッピングする前記ステップは、前記マッピング・プロパティに従ってイベント名をマッピングすることを更に含む請求項1乃至8のいずれかの方法。
- 前記ログ・エントリを被マージイベントにマッピングする前記ステップは、前記ログ・エントリから構文解析された名前をマッピングすることを更に含み、前記マッピングは前記マッピング・プロパティのoneOf関数に従って実行される、請求項1乃至9のいずれかの方法。
- 前記ログ・エントリを被マージイベントにマッピングする前記ステップは、前記マッピング・プロパティに従って前記被マージイベントのデバイスアクションフィールドに前記ログ・エントリのデバイスアクションの値をマッピングする、ことを更に含む請求項1乃至10のいずれかの方法。
- 前記受け取られた複数のログ・エントリは、複数の被マージイベントに対応するログ・エントリを含んでおり、該複数の被マージイベントに対応する該ログ・エントリが該複数の各被マージイベント内にそれぞれ混合される、請求項1乃至11のいずれかの方法。
- 1つの受け取られたログ・エントリは複数の被マージイベントを構築するのに使用される、請求項1乃至11のいずれかの方法。
- 1つのIDが1つの前記ログ・エントリ内の複数フィールドを構成し、前記複数フィールドは、1つの被マージイベントに貢献する複数ログ・エントリを識別するように動作する、請求項1乃至13のいずれかの方法。
- 前記受け取った複数のログ・エントリには、前記複数の異なる被マージイベントに対応するログ・エントリに加えて更に被マージイベントに対応していないログ・エントリが分散的に混在して含まれており、
前記受け取ったログ・エントリが被マージイベントに対応していないと判定した場合、該被マージイベントに対応していないログ・エントリをシングルイベントとして出力する、請求項1乃至14のいずれかの方法。 - データ処理システムで受け取られた1又は複数のデバイスからの複数ログ・エントリをマージするためのシステムにおいて、
複数のログ・エントリを受け取るためのモジュールと、
前記ログ・エントリをトークンに構文解析する構文解析手段と、
前記受け取った複数のログ・エントリのそれぞれに対して、
マージ・プロパティに従って当該ログ・エントリがいずれかの潜在的な被マージイベントに共通するIDを含んでいるかを判定し、
前記マージ・プロパティに従って或る被マージイベントの開始を示すログ・エントリであるかどうかを判定し、
前記ログ・エントリが前記被マージイベントの開始のログ・エントリである場合、新たな被マージイベントの作成を開始し、
前記マージ・プロパティに従って既存の被マージイベントの終了を示すログ・エントリであるかどうかを判定し、
前記ログ・エントリが前記既存の被マージイベントの終了のログ・エントリである場合、当該既存の被マージイベントの作成を終了する、グループ化手段と、ここで、前記受け取った複数のログ・エントリには、複数の異なる被マージイベントに対応するログ・エントリが分散的に混在して含まれており、
或る既存の被マージイベントの前記終了のログ・エントリの前に、該或る既存の被マージイベントのためのマージ・プロパティに規定されたタイムアウトが発生した場合、当該被マージイベントの作成を終了する手段と、ここで、前記タイムアウトの値は少なくとも前記デバイスの種類毎に独自に規定され、
或る既存の被マージイベントに共通なIDを含む各ログ・エントリを、前記被マージイベントのためのマッピング・プロパティに従って当該被マージイベントにマッピングするマッピング手段と
を備えるシステム。 - コンピュータに、
1又は複数のデバイスからの複数のログ・エントリを受け取る手順と、
前記受け取った複数のログ・エントリのそれぞれに対し、
マージ・プロパティに従って当該ログ・エントリがいずれかの潜在的な被マージイベントに共通するIDを含んでいるかを判定することと、
前記マージ・プロパティに従って或る被マージイベントの開始を示すログ・エントリであるかどうかを判定することと、
当該ログ・エントリが前記被マージイベントの開始のログ・エントリである場合、新たな被マージイベントの作成を開始することと、
前記マージ・プロパティに従って既存の被マージイベントの終了を示すログ・エントリであるかどうかを判定することと、
当該ログ・エントリが前記既存の被マージイベントの終了のログ・エントリである場合、該既存の被マージイベントの作成を終了すること、
を行う手順と、ここで、前記受け取った複数のログ・エントリには、複数の異なる被マージイベントに対応するログ・エントリが分散的に混在して含まれており、
或る既存の被マージイベントの前記終了のログ・エントリの前に、該或る既存の被マージイベントのためのマージ・プロパティに規定されたタイムアウトが発生した場合、当該被マージイベントの作成を終了する手順と、ここで、前記タイムアウトの値は少なくとも前記デバイスの種類毎に独自に規定され、
或る既存の被マージイベントに共通なIDを含む各ログ・エントリを、前記被マージイベントのためのマッピング・プロパティに従って当該被マージイベントにマッピングする手順と
を実行させるためのコンピュータプログラム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/398,863 US7437359B2 (en) | 2006-04-05 | 2006-04-05 | Merging multiple log entries in accordance with merge properties and mapping properties |
| US11/398,863 | 2006-04-05 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009504428A Division JP2009532811A (ja) | 2006-04-05 | 2007-04-03 | マージングマルチラインログ・エントリ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012094161A JP2012094161A (ja) | 2012-05-17 |
| JP5364776B2 true JP5364776B2 (ja) | 2013-12-11 |
Family
ID=38581801
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009504428A Pending JP2009532811A (ja) | 2006-04-05 | 2007-04-03 | マージングマルチラインログ・エントリ |
| JP2011258371A Expired - Fee Related JP5364776B2 (ja) | 2006-04-05 | 2011-11-26 | 複数のログ・エントリをマージする技術 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009504428A Pending JP2009532811A (ja) | 2006-04-05 | 2007-04-03 | マージングマルチラインログ・エントリ |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US7437359B2 (ja) |
| EP (1) | EP2011013B1 (ja) |
| JP (2) | JP2009532811A (ja) |
| KR (1) | KR100943012B1 (ja) |
| AU (1) | AU2007234897B2 (ja) |
| CA (1) | CA2644208A1 (ja) |
| IL (1) | IL194190A (ja) |
| NZ (1) | NZ570866A (ja) |
| RU (1) | RU2419986C2 (ja) |
| TW (1) | TWI312624B (ja) |
| WO (1) | WO2007118096A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900331B2 (en) | 2015-02-13 | 2018-02-20 | Mitsubishi Electric Corporation | Log tracing apparatus and non-transitory computer-readable medium storing a log tracing program |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7219239B1 (en) | 2002-12-02 | 2007-05-15 | Arcsight, Inc. | Method for batching events for transmission by software agent |
| US7607169B1 (en) | 2002-12-02 | 2009-10-20 | Arcsight, Inc. | User interface for network security console |
| US7899901B1 (en) | 2002-12-02 | 2011-03-01 | Arcsight, Inc. | Method and apparatus for exercising and debugging correlations for network security system |
| US7376969B1 (en) | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
| US7788722B1 (en) | 2002-12-02 | 2010-08-31 | Arcsight, Inc. | Modular agent for network security intrusion detection system |
| US7650638B1 (en) | 2002-12-02 | 2010-01-19 | Arcsight, Inc. | Network security monitoring system employing bi-directional communication |
| US8176527B1 (en) | 2002-12-02 | 2012-05-08 | Hewlett-Packard Development Company, L. P. | Correlation engine with support for time-based rules |
| US7260844B1 (en) | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
| US8015604B1 (en) | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
| US9027120B1 (en) | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
| US7565696B1 (en) | 2003-12-10 | 2009-07-21 | Arcsight, Inc. | Synchronizing network security devices within a network security system |
| US8528077B1 (en) | 2004-04-09 | 2013-09-03 | Hewlett-Packard Development Company, L.P. | Comparing events from multiple network security devices |
| US7509677B2 (en) | 2004-05-04 | 2009-03-24 | Arcsight, Inc. | Pattern discovery in a network security system |
| US7644438B1 (en) | 2004-10-27 | 2010-01-05 | Arcsight, Inc. | Security event aggregation at software agent |
| US9100422B1 (en) | 2004-10-27 | 2015-08-04 | Hewlett-Packard Development Company, L.P. | Network zone identification in a network security system |
| US7809131B1 (en) | 2004-12-23 | 2010-10-05 | Arcsight, Inc. | Adjusting sensor time in a network security system |
| US7647632B1 (en) | 2005-01-04 | 2010-01-12 | Arcsight, Inc. | Object reference in a system |
| US8850565B2 (en) | 2005-01-10 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | System and method for coordinating network incident response activities |
| US7844999B1 (en) | 2005-03-01 | 2010-11-30 | Arcsight, Inc. | Message parsing in a network security system |
| US9824107B2 (en) * | 2006-10-25 | 2017-11-21 | Entit Software Llc | Tracking changing state data to assist in computer network security |
| US9166989B2 (en) | 2006-12-28 | 2015-10-20 | Hewlett-Packard Development Company, L.P. | Storing log data efficiently while supporting querying |
| US7770183B2 (en) * | 2007-01-30 | 2010-08-03 | Microsoft Corporation | Indirect event stream correlation |
| US8260751B2 (en) | 2008-08-12 | 2012-09-04 | Tdi Technologies, Inc. | Log file time sequence stamping |
| KR101106922B1 (ko) * | 2009-08-17 | 2012-01-25 | 한태환 | 외장재의 교체가 용이한 기둥구조체 |
| US8782612B2 (en) | 2010-05-11 | 2014-07-15 | Ca, Inc. | Failsafe mechanism for dynamic instrumentation of software using callbacks |
| KR101132911B1 (ko) | 2010-09-29 | 2012-04-03 | 한국전력공사 | 참조데이터사전을 이용한 멀티플 아이디 할당시스템 및 방법 |
| US8842119B2 (en) | 2010-11-17 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Displaying system performance information |
| US8661456B2 (en) | 2011-06-01 | 2014-02-25 | Hewlett-Packard Development Company, L.P. | Extendable event processing through services |
| US8935676B2 (en) * | 2011-08-07 | 2015-01-13 | Hewlett-Packard Development Company, L.P. | Automated test failure troubleshooter |
| US8752015B2 (en) * | 2011-12-05 | 2014-06-10 | Ca, Inc. | Metadata merging in agent configuration files |
| US9411616B2 (en) | 2011-12-09 | 2016-08-09 | Ca, Inc. | Classloader/instrumentation approach for invoking non-bound libraries |
| US9021484B2 (en) * | 2012-06-21 | 2015-04-28 | International Business Machines Corporation | Migrated application performance comparisons using log mapping |
| US8620928B1 (en) | 2012-07-16 | 2013-12-31 | International Business Machines Corporation | Automatically generating a log parser given a sample log |
| US10097788B2 (en) * | 2012-12-31 | 2018-10-09 | DISH Technologies L.L.C. | Intelligent recording |
| US9361204B2 (en) * | 2013-02-19 | 2016-06-07 | Arm Limited | Generating trace data including a lockup identifier indicating occurrence of a lockup state |
| WO2014207632A1 (en) * | 2013-06-28 | 2014-12-31 | Koninklijke Philips N.V. | Logging device and log aggregation device |
| GB2521364A (en) * | 2013-12-17 | 2015-06-24 | Ibm | Recording GUI data |
| US10367827B2 (en) | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
| US20160048529A1 (en) * | 2014-08-13 | 2016-02-18 | Netapp Inc. | Coalescing storage operations |
| JP6295176B2 (ja) * | 2014-10-07 | 2018-03-14 | 株式会社日立製作所 | メッセージ処理装置およびメッセージ処理方法 |
| CN106708711B (zh) * | 2015-11-17 | 2020-01-31 | 阿里巴巴集团控股有限公司 | 一种日志信息输出控制方法及装置 |
| US10509778B2 (en) * | 2016-05-25 | 2019-12-17 | Google Llc | Real-time transactionally consistent change notifications |
| US10678802B2 (en) | 2016-06-15 | 2020-06-09 | International Business Machines Corporation | Log management utilizing time context indexing |
| JP7047661B2 (ja) * | 2018-08-09 | 2022-04-05 | 日本電信電話株式会社 | ログ情報収集装置およびログ情報収集方法 |
| CN113227996B (zh) * | 2018-12-04 | 2024-07-05 | 香港星辰科技有限公司 | 处理时间记录的方法和装置 |
| JP7175730B2 (ja) * | 2018-12-05 | 2022-11-21 | 株式会社ソニー・インタラクティブエンタテインメント | 信号処理装置、電子機器、センサ装置、信号処理方法およびプログラム |
| US12068937B2 (en) | 2019-05-13 | 2024-08-20 | Cisco Technology, Inc. | Key performance indicator recommendations based on relevancy ranking |
| US11436122B1 (en) * | 2019-05-13 | 2022-09-06 | Cisco Technology, Inc. | Key performance indicator recommendations based on relevancy ranking |
| US10984111B2 (en) * | 2019-05-30 | 2021-04-20 | EMC IP Holding Company LLC | Data driven parser selection for parsing event logs to detect security threats in an enterprise system |
| CN112000698B (zh) * | 2020-08-25 | 2023-09-19 | 青岛海尔科技有限公司 | 日志的记录方法及装置、存储介质、电子装置 |
| US11620264B2 (en) * | 2021-08-27 | 2023-04-04 | Rohde & Schwarz Gmbh & Co. Kg | Log file processing apparatus and method for processing log file data |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5717919A (en) | 1995-10-02 | 1998-02-10 | Sybase, Inc. | Database system with methods for appending data records by partitioning an object into multiple page chains |
| US6983478B1 (en) * | 2000-02-01 | 2006-01-03 | Bellsouth Intellectual Property Corporation | Method and system for tracking network use |
| US6192034B1 (en) | 1997-06-30 | 2001-02-20 | Sterling Commerce, Inc. | System and method for network integrity management |
| US6408391B1 (en) | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
| JPH11327967A (ja) * | 1998-05-18 | 1999-11-30 | Mitsubishi Electric Corp | ログファイル解析装置 |
| US6134664A (en) | 1998-07-06 | 2000-10-17 | Prc Inc. | Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources |
| US6408404B1 (en) | 1998-07-29 | 2002-06-18 | Northrop Grumman Corporation | System and method for ensuring and managing situation awareness |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| JP2000181565A (ja) * | 1998-12-18 | 2000-06-30 | Fujitsu Ltd | メッセージの表示装置、方法およびそのための記録媒体とメッセージの監視システム |
| US6839850B1 (en) | 1999-03-04 | 2005-01-04 | Prc, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
| IL130893A (en) * | 1999-07-12 | 2003-12-10 | Ectel Ltd | Method and system for creating integrated call detail records (cdr) databases in management systems of telecommunications networks |
| US6792458B1 (en) | 1999-10-04 | 2004-09-14 | Urchin Software Corporation | System and method for monitoring and analyzing internet traffic |
| US6714978B1 (en) * | 1999-12-04 | 2004-03-30 | Worldcom, Inc. | Method and system for processing records in a communications network |
| US6694362B1 (en) | 2000-01-03 | 2004-02-17 | Micromuse Inc. | Method and system for network event impact analysis and correlation with network administrators, management policies and procedures |
| WO2001084775A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | System and method for managing security events on a network |
| AU2001262958A1 (en) | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| US7383191B1 (en) | 2000-11-28 | 2008-06-03 | International Business Machines Corporation | Method and system for predicting causes of network service outages using time domain correlation |
| US7168093B2 (en) | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
| US20020147803A1 (en) | 2001-01-31 | 2002-10-10 | Dodd Timothy David | Method and system for calculating risk in association with a security audit of a computer network |
| US6966015B2 (en) | 2001-03-22 | 2005-11-15 | Micromuse, Ltd. | Method and system for reducing false alarms in network fault management systems |
| US7562388B2 (en) | 2001-05-31 | 2009-07-14 | International Business Machines Corporation | Method and system for implementing security devices in a network |
| US7043727B2 (en) | 2001-06-08 | 2006-05-09 | Micromuse Ltd. | Method and system for efficient distribution of network event data |
| US7516208B1 (en) | 2001-07-20 | 2009-04-07 | International Business Machines Corporation | Event database management method and system for network event reporting system |
| US7379993B2 (en) | 2001-09-13 | 2008-05-27 | Sri International | Prioritizing Bayes network alerts |
| US20030093692A1 (en) | 2001-11-13 | 2003-05-15 | Porras Phillip A. | Global deployment of host-based intrusion sensors |
| US7143444B2 (en) | 2001-11-28 | 2006-11-28 | Sri International | Application-layer anomaly and misuse detection |
| US7171689B2 (en) | 2002-02-25 | 2007-01-30 | Symantec Corporation | System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis |
| US20030221123A1 (en) | 2002-02-26 | 2003-11-27 | Beavers John B. | System and method for managing alert indications in an enterprise |
| US20030188189A1 (en) | 2002-03-27 | 2003-10-02 | Desai Anish P. | Multi-level and multi-platform intrusion detection and response system |
| JP4485112B2 (ja) * | 2002-03-28 | 2010-06-16 | 株式会社日立製作所 | ログデータの収集管理方法および装置 |
| JP2003308229A (ja) * | 2002-04-17 | 2003-10-31 | Nippon Telegr & Teleph Corp <Ntt> | 時系列イベント記録解析方法及び装置並びにプログラム及び記録媒体 |
| US8463617B2 (en) * | 2002-06-03 | 2013-06-11 | Hewlett-Packard Development Company, L.P. | Network subscriber usage recording system |
| US20040024864A1 (en) | 2002-07-31 | 2004-02-05 | Porras Phillip Andrew | User, process, and application tracking in an intrusion detection system |
| US7418733B2 (en) | 2002-08-26 | 2008-08-26 | International Business Machines Corporation | Determining threat level associated with network activity |
| AU2002359925B2 (en) * | 2002-12-26 | 2008-10-23 | Fujitsu Limited | Operation managing method and operation managing server |
| US7002405B2 (en) | 2003-02-14 | 2006-02-21 | Broadcom Corporation | Linear low noise transconductance cell |
| US8694475B2 (en) * | 2004-04-03 | 2014-04-08 | Altusys Corp. | Method and apparatus for situation-based management |
| JP2005316770A (ja) * | 2004-04-28 | 2005-11-10 | Canon Inc | ジョブ情報管理システム及び方法、並びにプログラム及び記憶媒体 |
| US7380173B2 (en) * | 2004-08-03 | 2008-05-27 | International Business Machines Corporation | Identifying temporal ambiguity in a aggregated log stream |
| US7882262B2 (en) * | 2005-08-18 | 2011-02-01 | Cisco Technology, Inc. | Method and system for inline top N query computation |
-
2006
- 2006-04-05 US US11/398,863 patent/US7437359B2/en active Active
-
2007
- 2007-03-30 TW TW096111414A patent/TWI312624B/zh not_active IP Right Cessation
- 2007-04-03 RU RU2008143372/08A patent/RU2419986C2/ru not_active IP Right Cessation
- 2007-04-03 KR KR1020087026598A patent/KR100943012B1/ko not_active IP Right Cessation
- 2007-04-03 EP EP07760047.6A patent/EP2011013B1/en not_active Not-in-force
- 2007-04-03 JP JP2009504428A patent/JP2009532811A/ja active Pending
- 2007-04-03 NZ NZ570866A patent/NZ570866A/en not_active IP Right Cessation
- 2007-04-03 WO PCT/US2007/065886 patent/WO2007118096A2/en active Application Filing
- 2007-04-03 AU AU2007234897A patent/AU2007234897B2/en not_active Ceased
- 2007-04-03 CA CA002644208A patent/CA2644208A1/en not_active Abandoned
-
2008
- 2008-09-17 IL IL194190A patent/IL194190A/en not_active IP Right Cessation
-
2011
- 2011-11-26 JP JP2011258371A patent/JP5364776B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900331B2 (en) | 2015-02-13 | 2018-02-20 | Mitsubishi Electric Corporation | Log tracing apparatus and non-transitory computer-readable medium storing a log tracing program |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2007234897B2 (en) | 2009-09-03 |
| US7437359B2 (en) | 2008-10-14 |
| NZ570866A (en) | 2010-08-27 |
| AU2007234897A1 (en) | 2007-10-18 |
| IL194190A (en) | 2012-04-30 |
| EP2011013A4 (en) | 2011-05-11 |
| TW200818773A (en) | 2008-04-16 |
| WO2007118096A2 (en) | 2007-10-18 |
| TWI312624B (en) | 2009-07-21 |
| EP2011013B1 (en) | 2018-06-06 |
| CA2644208A1 (en) | 2007-10-18 |
| EP2011013A2 (en) | 2009-01-07 |
| WO2007118096A3 (en) | 2008-09-25 |
| RU2419986C2 (ru) | 2011-05-27 |
| JP2012094161A (ja) | 2012-05-17 |
| US20070260931A1 (en) | 2007-11-08 |
| RU2008143372A (ru) | 2010-05-10 |
| JP2009532811A (ja) | 2009-09-10 |
| KR20090006141A (ko) | 2009-01-14 |
| KR100943012B1 (ko) | 2010-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5364776B2 (ja) | 複数のログ・エントリをマージする技術 | |
| CN111901327B (zh) | 云网络漏洞挖掘方法、装置、电子设备及介质 | |
| CN111694840B (zh) | 数据同步方法、装置、服务器及存储介质 | |
| US8078556B2 (en) | Generating complex event processing rules utilizing machine learning from multiple events | |
| Ma et al. | Ms-rank: Multi-metric and self-adaptive root cause diagnosis for microservice applications | |
| US20200267242A1 (en) | Cloud assisted behavioral automated testing | |
| US10229104B2 (en) | Efficient DFA generation for non-matching characters and character classes in regular expressions | |
| WO2003005200A1 (en) | Method and system for correlating and determining root causes of system and enterprise events | |
| CN106330601A (zh) | 测试用例生成方法及装置 | |
| Barbosa et al. | Exploiting traffic periodicity in industrial control networks | |
| CN111641710A (zh) | 基于微服务的数据处理方法、装置、终端及存储介质 | |
| US20210051002A1 (en) | Accessing Security Hardware Keys | |
| JP2021527873A (ja) | プロトコルに依存しない異常検出 | |
| Zhang et al. | Toward comprehensive network verification: Practices, challenges and beyond | |
| Zielinski | Automatic verification and discovery of byzantine consensus protocols | |
| JP2009238185A (ja) | ネットワークシステムおよび管理サーバ装置 | |
| CN109451047A (zh) | 监控告警系统的数据传送方法、装置、设备及存储介质 | |
| CN103907105B (zh) | 一种用于建立客户端‑主机连接的方法 | |
| CN112367326B (zh) | 车联网流量的识别方法及装置 | |
| CN110719260B (zh) | 智能网络安全分析方法、装置及计算机可读存储介质 | |
| Huang | Automatic Field Extraction of Extended TLV for Binary Protocol Reverse | |
| Singh et al. | Stacking Enabled Ensemble Learning Based Intrusion Detection Scheme (SELIDS) for IoV | |
| Xu | GPU based Real-time Super Hosts Detection at Distributed Edge Routers | |
| Zhao et al. | Agent-based optimization of emulations of network server applications in honeypots | |
| Lydon | Compilation for Intrusion Detection Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121005 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121218 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130318 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130326 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130418 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130423 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130430 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130903 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130909 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5364776 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |