JP5621490B2 - Log management program, log management apparatus, and log management method - Google Patents

Log management program, log management apparatus, and log management method Download PDF

Info

Publication number
JP5621490B2
JP5621490B2 JP2010229080A JP2010229080A JP5621490B2 JP 5621490 B2 JP5621490 B2 JP 5621490B2 JP 2010229080 A JP2010229080 A JP 2010229080A JP 2010229080 A JP2010229080 A JP 2010229080A JP 5621490 B2 JP5621490 B2 JP 5621490B2
Authority
JP
Japan
Prior art keywords
file
operation log
identification information
log
accuracy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010229080A
Other languages
Japanese (ja)
Other versions
JP2012083923A (en
Inventor
奏子 小笠原
奏子 小笠原
忠志 岡田
忠志 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010229080A priority Critical patent/JP5621490B2/en
Publication of JP2012083923A publication Critical patent/JP2012083923A/en
Application granted granted Critical
Publication of JP5621490B2 publication Critical patent/JP5621490B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)

Description

本発明は、ログ管理プログラム、ログ管理装置及びログ管理方法に関する。   The present invention relates to a log management program, a log management apparatus, and a log management method.

近年、情報漏洩を防止することは、企業コンプライアンスの観点からも重要な課題である。従って、企業は、情報漏洩の要因となり得る、ファイルに対する操作、例えば、新規登録、名称変更、編集や印刷等の操作を厳重に管理する必要がある。そこで、ファイルに対する操作のログを管理する技術では、ファイルに対する操作を検知すると、そのファイルの操作ログを生成し、この生成した操作ログをサーバ側で一元管理するログ管理システムが知られている(例えば、特許文献1参照)。例えば、ログ管理システムは、ファイルの新規登録操作を検知すると、操作ログに新規ファイルのIDを付与する。更に、ログ管理システムは、ファイルの名称変更操作を検知すると、操作ログに変更前のIDと変更後のIDを付与する。   In recent years, preventing information leakage is an important issue from the viewpoint of corporate compliance. Accordingly, a company needs to strictly manage operations on files that can cause information leakage, such as new registration, name change, editing, and printing. In view of this, in the technology for managing the operation log for a file, a log management system that generates an operation log for the file when an operation for the file is detected and centrally manages the generated operation log on the server side is known ( For example, see Patent Document 1). For example, when the log management system detects a new file registration operation, the log management system gives an ID of the new file to the operation log. Further, when the log management system detects a file name change operation, the log management system gives an ID before change and an ID after change to the operation log.

このログ管理システムは、一元管理された複数の操作ログから指定ファイルの元ファイルを追跡するファイル追跡を実行する場合に、ファイルのIDを使用する。このログ管理システムは、指定ファイルのIDを使用して、例えば、指定ファイルの変更前のIDと比較対象ファイルの変更後のIDとが完全一致した場合に、指定ファイルと比較対象ファイルとが一致する確度が高いものと判断する。そして、ログ管理システムは、この判断結果に基づき、指定ファイルの元ファイルを追跡できる。   This log management system uses a file ID when executing file tracking for tracking an original file of a specified file from a plurality of operation logs managed in a centralized manner. This log management system uses the ID of the specified file. For example, if the ID before the change of the specified file and the ID after the change of the comparison target file completely match, the specified file matches the comparison target file. Judgment is high. The log management system can trace the original file of the specified file based on the determination result.

特開2008−146192号公報JP 2008-146192 A

上記ログ管理システムは、指定ファイルの変更前のIDと比較対象ファイルの変更後のIDとが完全一致した場合に、比較対象ファイルが指定ファイルの元ファイルと認識し、指定ファイルの元ファイルを追跡できる。しかしながら、上記ログ管理システムは、例えば、指定ファイルの変更前のIDと比較対象ファイルの変更後のIDとが完全一致ではなく、部分的に異なる場合に、ファイル内容が一致する確度が低いと判断して比較対象ファイルを指定ファイルの元ファイルでないと認識する。その結果、指定ファイルの元ファイルの追跡が途切れてしまう。   The log management system recognizes that the comparison target file is the original file of the specified file and tracks the original file of the specified file when the ID before the change of the specified file and the ID after the change of the comparison target file completely match it can. However, the log management system, for example, determines that the probability that the file contents match is low when the ID before the change of the specified file and the ID after the change of the comparison target file are not completely the same and are partially different. As a result, the comparison target file is recognized as not being the original file of the specified file. As a result, the tracking of the original file of the specified file is interrupted.

例えば、指定ファイルの変更前のファイル名と比較対象ファイルの変更後のファイル名が部分的に異なる場合でも、そのファイル内容が同一の場合がある。しかしながら、この場合、ログ管理システムは、比較対象ファイルを指定ファイルの元ファイルでないと認識し、指定ファイルの元ファイルの追跡が途切れてしまう。   For example, even when the file name before the change of the specified file and the file name after the change of the comparison target file are partially different, the file contents may be the same. However, in this case, the log management system recognizes that the comparison target file is not the original file of the designated file, and the tracking of the original file of the designated file is interrupted.

一つの側面では、ファイル同一性の確度を推定する際の精度の向上を図ることができるログ管理プログラム等を提供することを目的とする。   In one aspect, an object of the present invention is to provide a log management program or the like that can improve accuracy when estimating the accuracy of file identity.

開示のプログラムは、一つの態様において、コンピュータに、ファイルを識別する識別情報を受付ける受付ステップと、前記ファイルを含む複数のファイルに対する操作ごとに、前記識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部から、受付けた該識別情報を有する該操作ログを抽出する第一の抽出ステップと前記操作ログとは異なる他の操作ログを、前記記憶部から抽出する第二の抽出ステップと、前記操作ログに含まれる識別情報と、前記他の操作ログに含まれる他の識別情報とを比較する第一の比較ステップと、前記操作ログに含まれるサイズ情報と、前記他の操作ログに含まれる他のサイズ情報とを比較する第二の比較ステップと、前記第一の比較ステップ及び前記第二の比較ステップの結果に基づいて、前記識別情報が示すファイルと、前記他の識別情報が示す他のファイルとの関連度を示す確度を算出する算出ステップとを実行させるようにした。   In one aspect, the disclosed program includes a reception step of receiving identification information for identifying a file in a computer, and size information indicating the identification information and the data size of the file for each operation on a plurality of files including the file. A first extraction step of extracting the operation log having the received identification information from the storage unit storing the operation log including the operation log, and another operation log different from the operation log is extracted from the storage unit. A second comparison step, a first comparison step for comparing identification information included in the operation log with other identification information included in the other operation log, size information included in the operation log, A second comparison step for comparing other size information included in another operation log, the first comparison step, and the second comparison step. Based on the result, and so as to execute a calculation step of calculating the a file identification information indicates the likelihood that indicates the relevance of the other identification information indicating other files.

開示のプログラムでは、ファイル同一性の確度を推定する際の精度の向上を図ることができる。   With the disclosed program, it is possible to improve the accuracy when estimating the accuracy of file identity.

図1は、実施例1のログ管理システムの構成を示すブロック図である。FIG. 1 is a block diagram illustrating the configuration of the log management system according to the first embodiment. 図2は、操作ログデータベースの一例を示す説明図である。FIG. 2 is an explanatory diagram illustrating an example of an operation log database. 図3は、ファイルパス確度テーブルの一例を示す説明図である。FIG. 3 is an explanatory diagram showing an example of a file path accuracy table. 図4は、データサイズ確度テーブルの一例を示す説明図である。FIG. 4 is an explanatory diagram showing an example of the data size accuracy table. 図5は、トレース結果格納部の一例を示す説明図である。FIG. 5 is an explanatory diagram illustrating an example of the trace result storage unit. 図6は、実施例1の操作ファイルトレース処理に関わるサーバ側制御部の処理動作を示すフローチャートである。FIG. 6 is a flowchart illustrating the processing operation of the server-side control unit related to the operation file trace processing according to the first embodiment. 図7は、実施例1の確度算出処理に関わるサーバ側制御部の処理動作を示すフローチャートである。FIG. 7 is a flowchart illustrating the processing operation of the server-side control unit related to the accuracy calculation process according to the first embodiment. 図8は、同一クライアント端末内でドライブ変更してファイルを複写した場合の一例を示す説明図である。FIG. 8 is an explanatory diagram showing an example when a file is copied by changing the drive in the same client terminal. 図9は、クライアント端末間でファイル操作した場合の一例を示す説明図である。FIG. 9 is an explanatory diagram illustrating an example when a file operation is performed between client terminals. 図10は、ファイルサーバ内の共有フォルダ内にある同一ファイルを複数のクライアント端末に複写した場合の一例を示す説明図である。FIG. 10 is an explanatory diagram showing an example when the same file in the shared folder in the file server is copied to a plurality of client terminals. 図11は、実施例2の確度算出処理に関わるサーバ側制御部の処理動作を示すフローチャートである。FIG. 11 is a flowchart illustrating the processing operation of the server-side control unit related to the accuracy calculation process according to the second embodiment. 図12は、ログ管理プログラムを実行するコンピュータを示す説明図である。FIG. 12 is an explanatory diagram of a computer that executes a log management program.

以下、図面に基づいて、本願の開示するログ管理プログラム、ログ管理装置及びログ管理方法の実施例を詳細に説明する。尚、本実施例により、開示技術が限定されるものではない。   Hereinafter, embodiments of a log management program, a log management apparatus, and a log management method disclosed in the present application will be described in detail based on the drawings. The disclosed technology is not limited by the present embodiment.

図1は、実施例1のログ管理システムの構成を示すブロック図である。図1に示すログ管理システム1は、クライアント端末2と、クライアント端末2を管理する管理サーバ3と、管理サーバ3の各種設定を実行する管理コンソール4とを有する。管理サーバ3は、情報漏洩リスクとなるクライアント端末2の操作を記録して問題行動を抑止すると共に、電子情報の外部流出を防止する機能を有する。   FIG. 1 is a block diagram illustrating the configuration of the log management system according to the first embodiment. A log management system 1 illustrated in FIG. 1 includes a client terminal 2, a management server 3 that manages the client terminal 2, and a management console 4 that executes various settings of the management server 3. The management server 3 has a function of recording an operation of the client terminal 2 that is a risk of information leakage to suppress problem behavior and preventing leakage of electronic information to the outside.

そこで、管理サーバ3は、例えば、ログオン制御/記録機能、ポリシー管理機能、操作制限/記録機能、持ち出しファイルの原本保管機能及びサービス起動制御機能等の機能を有する。先ず、ログオン制御/記録機能は、ポリシーに違反するアカウント権限でのクライアント端末2のログオンを禁止すると共に、クライアント端末2のログオン及びログオフを記録する機能である。ポリシー管理機能は、クライアント端末2の端末単位及びグループ単位に禁止する操作や採取するログを設定する機能である。   Therefore, the management server 3 has functions such as a logon control / recording function, a policy management function, an operation restriction / recording function, a take-out file original storage function, and a service activation control function. First, the logon control / recording function is a function for recording logon and logoff of the client terminal 2 while prohibiting the logon of the client terminal 2 with an account authority that violates the policy. The policy management function is a function for setting prohibited operations and collected logs for each terminal and group of the client terminal 2.

操作制限/記録機能は、アプリケーション起動禁止機能、ファイル操作制限/記録機能、プリントスクリーンキーの無効化機能、メール送信制限/記録機能及びメールへのファイル添付制限/記録機能等の機能を有する。アプリケーション起動禁止機能は、クライアント端末2にインストール済みのアプリケーション情報を取得管理し、指定アプリケーションの起動を禁止する機能である。更に、アプリケーション起動禁止機能は、指定アプリケーションの起動操作を検出すると、操作ログを採取する機能である。ファイル操作制限/記録機能は、クライアント端末2から外部媒体を使用してのファイルの移動、複写や印刷等を禁止すると共に、その禁止を一時的に解除する機能である。更に、ファイル操作制限/記録機能は、例えば、参照、作成、更新、削除、複写、移動や改名等のファイル操作をログとして記録する機能である。   The operation restriction / recording function has functions such as an application activation prohibition function, a file operation restriction / recording function, a print screen key invalidation function, a mail transmission restriction / recording function, and a mail attachment restriction / recording function. The application activation prohibition function is a function for acquiring and managing application information already installed in the client terminal 2 and prohibiting activation of a designated application. Furthermore, the application activation prohibition function is a function that collects an operation log when the activation operation of the designated application is detected. The file operation restriction / recording function is a function for prohibiting movement, copying, printing, and the like of a file using an external medium from the client terminal 2 and temporarily canceling the prohibition. Furthermore, the file operation restriction / recording function is a function for recording, for example, file operations such as reference, creation, update, deletion, copying, movement, and rename as a log.

更に、プリントスクリーンキーの無効化機能は、クライアント端末2の表示画面のハードコピーを取得するプリントスクリーンキーの操作を禁止すると共に、そのキー操作をログとして記録する機能である。メール送信制限/記録機能は、管理者側で設定したポリシーでクライアント端末2から指定アドレスへのメール送信を制限すると共に、そのメールを記録する機能である。メールへのファイル添付制限/記録機能は、管理者側で設定したポリシーでクライアント端末2からファイル添付したメール送信を制限すると共に、そのメールを記録する機能である。   Further, the print screen key invalidation function is a function for prohibiting the operation of the print screen key for obtaining a hard copy of the display screen of the client terminal 2 and recording the key operation as a log. The mail transmission restriction / recording function is a function for restricting mail transmission from the client terminal 2 to a specified address with a policy set on the administrator side and recording the mail. The file attachment restriction / recording function for mail is a function that restricts mail transmission with a file attached from the client terminal 2 according to a policy set on the administrator side and records the mail.

また、持ち出しファイルの原本保管機能は、クライアント端末2から外部記録媒体へのファイル持ち出しを許可する場合に強制的に暗号化する機能である。更に、原本保管機能は、その持ち出しの際のログを記録してファイル原本を管理サーバ3側で保管する機能である。サービス起動制御機能は、クライアント端末2で起動可能なサービスを一覧取得し、遠隔操作で任意のサービス起動を制限できる機能である。   The original file storage function is a function for compulsorily encrypting when file export from the client terminal 2 to the external recording medium is permitted. Further, the original storage function is a function for recording a log at the time of taking out and storing the original file on the management server 3 side. The service activation control function is a function that obtains a list of services that can be activated on the client terminal 2 and can restrict activation of any service by remote operation.

更に、管理サーバ3は、デバイス構成変更の記録機能、画面キャプチャ機能、ファイル追跡機能やメール通知機能等の機能を有する。デバイス構成変更の記録機能は、USBメモリデバイス等の外部記録媒体をクライアント端末2に接続すると、デバイス構成の変更と判断し、そのログを記録する機能である。画面キャプチャ機能は、クライアント端末2の表示画面(ウインドウ)のタイトル名に特定アプリケーション名や特定キーワードが含まれる場合に、当該表示画面のスナップショット(ハードコピー)を取得する機能である。   Furthermore, the management server 3 has functions such as a device configuration change recording function, a screen capture function, a file tracking function, and a mail notification function. The device configuration change recording function is a function of determining that the device configuration has changed when an external recording medium such as a USB memory device is connected to the client terminal 2, and recording the log. The screen capture function is a function for acquiring a snapshot (hard copy) of the display screen when the title name of the display screen (window) of the client terminal 2 includes a specific application name or a specific keyword.

ファイル追跡機能は、ファイル操作のログに基づき、例えば、参照、作成、更新、削除、複写、移動や変名等の該当ファイルの操作ログをバックトレース方向又はフォワードトレース方向に検索する機能である。尚、バックトレース方向のファイル追跡機能は、該当ファイルの操作ログを過去に遡って検索する機能である。フォワードトレース方向のファイル追跡機能は、該当ファイルの操作ログを時系列に沿って検索する機能である。メール通知機能は、クライアント端末2側で特定操作、例えば、違反操作を検知した場合、その特定操作発生のメールを管理者側の管理コンソール4に通知する機能である。   The file tracking function is a function for searching an operation log of a corresponding file such as reference, creation, update, deletion, copying, movement, and renaming in the back trace direction or the forward trace direction based on the file operation log. The file trace function in the back trace direction is a function that searches the operation log of the corresponding file retroactively. The file trace function in the forward trace direction is a function for searching the operation log of the corresponding file in time series. The mail notification function is a function for notifying the management console 4 on the administrator side of a mail generated when a specific operation, for example, a violation operation is detected on the client terminal 2 side.

図1に示す管理サーバ3は、サーバ側通信部11と、サーバ側記憶部12と、サーバ側制御部13とを有する。サーバ側通信部11は、クライアント端末2や管理コンソール4と通信接続する。サーバ側記憶部12は、各種情報を記憶し、操作ログデータベース41と、ファイルパス確度テーブル42と、データサイズ確度テーブル43と、トレース結果格納部44とを有する。   The management server 3 illustrated in FIG. 1 includes a server-side communication unit 11, a server-side storage unit 12, and a server-side control unit 13. The server side communication unit 11 is connected to the client terminal 2 and the management console 4 for communication. The server-side storage unit 12 stores various types of information, and includes an operation log database 41, a file path accuracy table 42, a data size accuracy table 43, and a trace result storage unit 44.

図2は、操作ログデータベース41の一例を示す説明図である。図2に示す操作ログデータベース41は、操作日時41A、PC名41B、ユーザ名41C、操作区分41D、元ファイル41E及び先ファイル41Fを含む操作ログを管理する。操作日時41Aは、例えば、参照、作成、更新、削除、複写、印刷、移動や変名等のファイルに関わる操作が終了した日時に相当する。PC名41Bは、ファイル操作を実行したクライアント端末2等のマシン名に相当する。ユーザ名41Cは、ファイル操作を実行したクライアント端末2のログオンのユーザ名に相当する。操作区分41Dは、例えば、参照、作成、更新、削除、複写、変名や印刷等の操作区分に相当する。   FIG. 2 is an explanatory diagram showing an example of the operation log database 41. The operation log database 41 illustrated in FIG. 2 manages an operation log including an operation date and time 41A, a PC name 41B, a user name 41C, an operation classification 41D, an original file 41E, and a destination file 41F. The operation date and time 41A corresponds to the date and time when an operation related to a file such as reference, creation, update, deletion, copying, printing, moving, and renaming is completed. The PC name 41B corresponds to the machine name of the client terminal 2 etc. that executed the file operation. The user name 41C corresponds to the user name for logging on the client terminal 2 that executed the file operation. The operation category 41D corresponds to an operation category such as reference, creation, update, deletion, copying, renaming, printing, and the like.

元ファイル41Eは、操作開始時点のファイルに関し、ファイルパス名41Gと、データサイズ41Hと、更新日時41Iとを管理する。尚、ファイルパス名41Gは、操作開始時点のファイルの所在を示す識別情報に相当する。データサイズ41Hは、操作開始時点のファイルのデータ量等のサイズ情報に相当する。更新日時41Iは、操作開始時点のファイルの更新日時に相当する。たとえば、元ファイルの更新日時41Iは、ファイルのプロパティ情報から取得される。つまり、操作ログで対象とするファイルが前回更新された日時の情報である。先ファイル41Fは、操作終了時点のファイルに関し、ファイルパス名41Jと、データサイズ41Kと、更新日時41Lとを管理する。尚、ファイルパス名41Jは、操作終了時点のファイルの所在を示す識別情報に相当する。データサイズ41Jは、操作終了時点のファイルのデータ量に相当する。更新日時41Lは、操作終了時点のファイルの更新日時に相当する。なお、操作ログの1レコードは、あるファイルに対する1操作ごとにクライアント端末2にて生成され、管理サーバ3で管理される。つまり、あるファイルに対する1つの操作ログによって、元ファイルに対する1つの操作の結果である先ファイルが管理される。   The original file 41E manages the file path name 41G, the data size 41H, and the update date and time 41I with respect to the file at the operation start time. The file path name 41G corresponds to identification information indicating the location of the file at the start of the operation. The data size 41H corresponds to size information such as the data amount of the file at the start of operation. The update date and time 41I corresponds to the update date and time of the file at the operation start time. For example, the update date 41I of the original file is acquired from the file property information. That is, it is information on the date and time when the target file in the operation log was last updated. The destination file 41F manages the file path name 41J, the data size 41K, and the update date and time 41L with respect to the file at the end of the operation. The file path name 41J corresponds to identification information indicating the location of the file at the end of the operation. The data size 41J corresponds to the data amount of the file at the end of the operation. The update date / time 41L corresponds to the update date / time of the file at the end of the operation. One record of the operation log is generated by the client terminal 2 for each operation on a certain file and managed by the management server 3. That is, the destination file that is the result of one operation on the original file is managed by one operation log for a certain file.

図3は、ファイルパス確度テーブル42の一例を示す説明図である。図3に示すファイルパス確度テーブル42は、ファイルパスの比較定義42Aに対応付けて確度42Bを管理している。尚、ファイルパスの比較定義42Aとは、ファイルパス同士を比較する際の定義である。   FIG. 3 is an explanatory diagram showing an example of the file path accuracy table 42. The file path accuracy table 42 shown in FIG. 3 manages the accuracy 42B in association with the file path comparison definition 42A. The file path comparison definition 42A is a definition for comparing file paths.

例えば、比較定義42Aが“フルパスで完全一致”の場合、確度42Bは“5”となる。比較定義42Aが“ドライブ名以外完全一致”の場合、確度42Bは“4”となる。比較定義42Aが“フォルダ名以降が一致”の場合、確度42Bは”3“となる。比較定義42Aが“ファイル名のみ一致”の場合、確度42Bは“2”となる。比較定義42Aが“ファイル名の一部が一致”の場合、確度42Bは“1”となる。   For example, when the comparison definition 42A is “perfect match with full path”, the accuracy 42B is “5”. When the comparison definition 42A is “exact match except drive name”, the accuracy 42B is “4”. When the comparison definition 42A is “matches after folder name”, the accuracy 42B is “3”. When the comparison definition 42A is “match only file name”, the accuracy 42B is “2”. When the comparison definition 42A is “part of the file name matches”, the accuracy 42B is “1”.

では、ファイルパスの比較定義42Aを具体的な例を挙げて説明する。例えば、指定ファイルのファイルパスを“C:\AAA\BBB\CCC.txt”とする。この際、指定ファイルと比較する比較対象ファイルのファイルパスが“C:\AAA\BBB\CCC.txt”の場合、比較定義42Aは“フルパス完全一致”となる。その結果、確度42Bは“5”となる。また、比較対象ファイルのファイルパスが“F:\AAA\BBB\CCC.txt”の場合、比較定義42Aは“ドライブ名以外完全一致”となる。その結果、確度42Bは“4”となる。なお、ドライブレターを割り当てられたドライブ以外であっても、確度が設定される。つまり、“F:\AAA\BBB\CCC.txt”に対して、“\\ServerName\AAA\BBB\CCC.txt”や“\\192.168.0.3\AAA\BBB\CCC.txt”のようなパス構成であっても、指定ファイルと比較対象ファイルとは一致する可能性が高いと推定することができる。   Now, the file path comparison definition 42A will be described with a specific example. For example, the file path of the specified file is “C: \ AAA \ BBB \ CCC.txt”. At this time, if the file path of the comparison target file to be compared with the specified file is “C: \ AAA \ BBB \ CCC.txt”, the comparison definition 42A is “full path complete match”. As a result, the accuracy 42B is “5”. When the file path of the comparison target file is “F: \ AAA \ BBB \ CCC.txt”, the comparison definition 42A is “exact match except for the drive name”. As a result, the accuracy 42B is “4”. Note that the accuracy is set even for drives other than those assigned drive letters. In other words, for “F: \ AAA \ BBB \ CCC.txt”, like “\\ ServerName \ AAA \ BBB \ CCC.txt” and “\\ 192.168.0.3 \ AAA \ BBB \ CCC.txt” Even in the path configuration, it can be estimated that there is a high possibility that the designated file and the comparison target file match.

また、比較対象ファイルのファイルパスが“E:\BBB\CCC.txt”の場合、比較定義42Aは“フォルダ名以降が一致”となる。その結果、確度42Bは“3”となる。また、比較対象ファイルのファイルパスが“C:\DDD\CCC.txt”の場合、比較定義42Aは“ファイル名のみ一致”となる。その結果、確度42Bは“2”となる。また、比較対象ファイルのファイルパスが“C:\DDD\CCCEE.txt”の場合、比較定義42Aは“ファイル名の一部が一致”となる。その結果、確度42Bは“1”となる。   Also, when the file path of the comparison target file is “E: \ BBB \ CCC.txt”, the comparison definition 42A is “Folder name and later match”. As a result, the accuracy 42B is “3”. When the file path of the comparison target file is “C: \ DDD \ CCC.txt”, the comparison definition 42A is “matches only the file name”. As a result, the accuracy 42B is “2”. When the file path of the comparison target file is “C: \ DDD \ CCCEE.txt”, the comparison definition 42A is “part of the file name matches”. As a result, the accuracy 42B is “1”.

図4は、データサイズ確度テーブル43の一例を示す説明図である。図4に示すデータサイズ確度テーブル43は、データサイズの比較定義43Aに対応付けて確度43Bを管理している。尚、データサイズの比較定義43Aとは、ファイル同士のデータサイズを比較する際の定義である。例えば、比較定義43Aが“完全一致”の場合、確度43Bは“0.5”となる。比較定義43Aが“データサイズ差±5%以内”の場合、確度43Bは“0.3”となる。比較定義43Aが“データサイズ差±10%以内”の場合、確度43Bは”0.1“となる。   FIG. 4 is an explanatory diagram showing an example of the data size accuracy table 43. The data size accuracy table 43 shown in FIG. 4 manages the accuracy 43B in association with the data size comparison definition 43A. The data size comparison definition 43A is a definition for comparing the data sizes of files. For example, when the comparison definition 43A is “perfect match”, the accuracy 43B is “0.5”. When the comparison definition 43A is “data size difference within ± 5%”, the accuracy 43B is “0.3”. When the comparison definition 43A is “data size difference within ± 10%”, the accuracy 43B is “0.1”.

図5は、トレース結果格納部44の一例を示す説明図である。図5に示すトレース結果格納部44は、指定ファイルと一致する確度の高いファイルに関わる操作ログを追跡するファイル追跡機能を使用して順次抽出した操作ログをトレース結果として格納する。尚、バックトレース方向のファイル追跡の場合、トレース結果格納部44は、指定ファイルに関わる操作ログの操作日時以前の操作ログから指定ファイルと一致する確度が閾値以上のファイルの操作ログをトレース結果として順次格納する。また、フォワードトレース方向のファイル追跡機能の場合、トレース結果格納部44は、指定ファイルに関わる操作ログの操作日時以降の操作ログから指定ファイルと一致する閾値以上のファイルの操作ログをトレース結果として順次格納する。   FIG. 5 is an explanatory diagram illustrating an example of the trace result storage unit 44. The trace result storage unit 44 illustrated in FIG. 5 stores, as trace results, operation logs that are sequentially extracted using a file tracking function that tracks operation logs related to files with high probability of matching with the specified file. In the case of file tracing in the back trace direction, the trace result storage unit 44 uses, as a trace result, an operation log of a file whose accuracy that matches the specified file from the operation log before the operation date and time of the operation log related to the specified file is equal to or more than a threshold value. Store sequentially. In the case of the file trace function in the forward trace direction, the trace result storage unit 44 sequentially selects, as trace results, operation logs of files that are equal to or greater than the threshold value that matches the specified file from operation logs after the operation date and time of the operation log related to the specified file. Store.

トレース結果格納部44は、操作日時44A、PC名44B、ユーザ名44C、操作区分44D、元ファイル44E、先ファイル44F及び確度44Gを含む操作ログのトレース結果を格納する。尚、操作日時44Aは、例えば、参照、作成、更新、削除、複写、印刷、移動や変名等のファイルに関わる操作が終了した日時に相当する。PC名44Bは、ファイル操作を実行したクライアント端末2等のマシン名に相当する。ユーザ名44Cは、ファイル操作を実行したクライアント端末2のログオンのユーザ名に相当する。操作区分44Dは、例えば、参照、作成、更新、削除、複写、変名や印刷等の操作区分に相当する。元ファイル44Eは、操作開始時点のファイルに関し、ファイルパス名と、データサイズと、更新日時とを管理する。先ファイル44Fは、操作終了時点のファイルに関し、ファイルパス名と、データサイズと、更新日時とを管理する。確度44Gは、操作ログに関わる確度に相当する。   The trace result storage unit 44 stores the trace result of the operation log including the operation date / time 44A, the PC name 44B, the user name 44C, the operation classification 44D, the original file 44E, the destination file 44F, and the accuracy 44G. The operation date and time 44A corresponds to the date and time when an operation related to a file such as reference, creation, update, deletion, copying, printing, moving, or renaming is completed. The PC name 44B corresponds to the machine name of the client terminal 2 etc. that executed the file operation. The user name 44C corresponds to the user name for logging on the client terminal 2 that executed the file operation. The operation category 44D corresponds to an operation category such as reference, creation, update, deletion, copying, renaming, printing, and the like. The original file 44E manages the file path name, the data size, and the update date and time with respect to the file at the operation start time. The destination file 44F manages the file path name, the data size, and the update date and time with respect to the file at the end of the operation. The accuracy 44G corresponds to the accuracy related to the operation log.

サーバ側制御部13は、抽出部51と、比較部52と、算出部53と、制御部54とを有する。抽出部51は、指定ファイルの指定操作を検知すると、ファイルパス及びデータサイズを含むファイルの操作ログを記憶した操作ログデータベース41から指定ファイルのファイルパスに類似するファイルパスを含む比較対象ファイルの操作ログを抽出する。尚、指定ファイルの指定操作とは、例えば、管理コンソール4からファイル追跡の対象とする指定ファイルの指示を受付ける操作等に相当する。例えば、管理者は、管理サーバ3へアクセスし、操作ログを閲覧することができる。管理者は、閲覧している操作ログから所望の操作ログを指定する。指定された操作ログの情報は、管理コンソール4から管理サーバ3へ送信され、管理サーバ3は、受信した操作ログの情報に対応する先ファイルを指定ファイルとして、バックトレースやフォワードトレースを行うとしても良い。また、管理者が、単にファイルパスを入力するとしても良い。この場合は、入力されたファイルパスを管理サーバ3が受付けたことで、指定操作が実行されるとしても良い。   The server side control unit 13 includes an extraction unit 51, a comparison unit 52, a calculation unit 53, and a control unit 54. When the extraction unit 51 detects a designated file designation operation, the extraction unit 51 manipulates a comparison target file including a file path similar to the file path of the designated file from the operation log database 41 storing a file operation log including the file path and the data size. Extract logs. The designated file designation operation corresponds to, for example, an operation for receiving an instruction of a designated file to be tracked from the management console 4. For example, the administrator can access the management server 3 and browse the operation log. The administrator designates a desired operation log from the operation log being browsed. Information on the designated operation log is transmitted from the management console 4 to the management server 3, and the management server 3 may perform backtrace or forward trace with the destination file corresponding to the received operation log information as the designated file. good. Further, the administrator may simply input the file path. In this case, the designation operation may be executed when the management server 3 receives the input file path.

抽出部51は、指定ファイルに関わるバックトレース方向でファイル追跡する場合、指定ファイルの操作日時以前の操作ログの内、指定ファイルの元ファイルのファイルパスに類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出する。尚、抽出部51は、第一の抽出部及び第二の抽出部として動作する。   When the extraction unit 51 traces a file in the backtrace direction related to the specified file, the comparison target includes the file path of the destination file similar to the file path of the original file of the specified file in the operation logs before the operation date and time of the specified file. Extract the file operation log. Note that the extraction unit 51 operates as a first extraction unit and a second extraction unit.

更に、抽出部51は、比較対象ファイルの操作ログを抽出すると、この比較対象ファイルを次の指定ファイルとする。更に、抽出部51は、次の指定ファイルの元ファイルのファイルパスに類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出する。   Further, when extracting the operation log of the comparison target file, the extraction unit 51 sets this comparison target file as the next designated file. Further, the extraction unit 51 extracts the operation log of the comparison target file including the file path of the destination file similar to the file path of the original file of the next designated file.

比較部52は、ファイルパス比較部52Aと、データサイズ比較部52Bとを有する。ファイルパス比較部52Aは、第一の比較部として動作し、抽出部51にて比較対象ファイルの操作ログを抽出すると、指定ファイルの元ファイルのファイルパスと比較対象ファイルの先ファイルのファイルパスとを比較する。更に、データサイズ比較部52Bは、第二の比較部として動作し、指定ファイルの元ファイルのデータサイズと比較対象ファイルの先ファイルのデータサイズとを比較する。   The comparison unit 52 includes a file path comparison unit 52A and a data size comparison unit 52B. The file path comparison unit 52A operates as a first comparison unit. When the extraction unit 51 extracts the operation log of the comparison target file, the file path of the original file of the specified file and the file path of the destination file of the comparison target file Compare Further, the data size comparison unit 52B operates as a second comparison unit, and compares the data size of the original file of the designated file with the data size of the destination file of the comparison target file.

算出部53は、ファイルパス比較部52Aによるファイルパスの比較結果に相当する比較定義42Aに対応したファイルパスの確度42Bをファイルパス確度テーブル42から取得する。算出部53は、データサイズ比較部52Bによるデータサイズの比較結果に相当する比較定義43Aに対応したデータサイズの確度43Bをデータサイズ確度テーブル43から取得する。算出部53は、ファイルパスの確度とデータサイズの確度とを加算し、その加算結果を指定ファイルと比較対象ファイルとが一致するファイル同一性の確度として算出する。尚、算出部53は、ファイルパスの確度が“3”及びデータサイズの確度が“0.5”の場合、ファイル同士が一致するファイル同一性の確度は“3”+“0.5”=“3.5”となる。なお、算出方法は加算に限らず乗算等でも良い。   The calculation unit 53 acquires the file path accuracy 42B corresponding to the comparison definition 42A corresponding to the file path comparison result by the file path comparison unit 52A from the file path accuracy table 42. The calculation unit 53 acquires the data size accuracy 43B corresponding to the comparison definition 43A corresponding to the data size comparison result by the data size comparison unit 52B from the data size accuracy table 43. The calculation unit 53 adds the accuracy of the file path and the accuracy of the data size, and calculates the addition result as the accuracy of the file identity where the designated file matches the comparison target file. Note that when the accuracy of the file path is “3” and the accuracy of the data size is “0.5”, the calculation unit 53 determines that the accuracy of the file identity that matches the files is “3” + “0.5” = “3.5”. Note that the calculation method is not limited to addition but may be multiplication.

制御部54は、ファイル同一性の確度が閾値以上であるか否かを判定する。尚、閾値は、例えば“1”とする。制御部54は、ファイル同一性の確度が閾値以上である場合に、指定ファイルに関わる比較対象ファイルの操作ログに、その確度44Gを対応付けてトレース結果としてトレース結果格納部44に格納する。また、抽出部51は、ファイル同一性の確度が閾値以上でない場合に、指定ファイルの元ファイルのファイルパスに類似する先ファイルのファイルパスを含む新たな比較対象ファイルの操作ログを抽出する。尚、抽出部51は、トレース結果格納部44に格納するトレース結果の格納個数が規定個数を超えた場合、又は、新たな比較対象ファイルの操作ログが抽出できなくなるまで、操作ログの抽出動作を継続する。また、抽出部51は、指定ファイルのファイルパスに類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログが操作ログデータベース41内に複数ある場合、これら全ての比較対象ファイルの操作ログを抽出するまで、操作ログの抽出動作を継続する。   The control unit 54 determines whether or not the accuracy of file identity is equal to or greater than a threshold value. For example, the threshold value is “1”. When the accuracy of the file identity is equal to or greater than the threshold value, the control unit 54 associates the accuracy 44G with the operation log of the comparison target file related to the specified file and stores it in the trace result storage unit 44 as a trace result. Further, the extraction unit 51 extracts an operation log of a new comparison target file including the file path of the destination file similar to the file path of the original file of the specified file when the accuracy of the file identity is not equal to or greater than the threshold value. The extraction unit 51 performs the operation log extraction operation when the number of trace results stored in the trace result storage unit 44 exceeds the specified number, or until the operation log of a new comparison target file cannot be extracted. continue. In addition, when there are a plurality of operation logs of the comparison target file including the file path of the destination file similar to the file path of the specified file, the extraction unit 51 extracts the operation logs of all the comparison target files. Until it is done, the operation log extraction operation is continued.

図1に示す管理コンソール4は、例えば、パソコン等に相当し、管理側通信部21と、管理側表示部22と、管理側操作部23と、管理側記憶部24と、管理側制御部25とを有する。管理側通信部21は、管理サーバ3と通信接続する。管理側表示部22は、各種情報を画面表示する、例えばモニタ部に相当する。管理側操作部23は、各種情報を入力する、例えばマウスやキーボード等に相当する。管理側記憶部24は、各種情報を記憶する。管理側制御部25は、管理コンソール4全体を制御する。尚、管理コンソール4は、設定操作に応じて、サーバ側記憶部12内のファイルパス確度テーブル42及びデータサイズ確度テーブル43内の比較定義や確度内容等を適宜変更できる。   The management console 4 illustrated in FIG. 1 corresponds to, for example, a personal computer or the like, and includes a management-side communication unit 21, a management-side display unit 22, a management-side operation unit 23, a management-side storage unit 24, and a management-side control unit 25. And have. The management communication unit 21 is connected to the management server 3 for communication. The management-side display unit 22 corresponds to, for example, a monitor unit that displays various types of information on the screen. The management side operation unit 23 corresponds to, for example, a mouse or a keyboard for inputting various information. The management-side storage unit 24 stores various information. The management-side control unit 25 controls the entire management console 4. The management console 4 can appropriately change the comparison definition, the accuracy content, and the like in the file path accuracy table 42 and the data size accuracy table 43 in the server-side storage unit 12 according to the setting operation.

クライアント端末2は、例えば、パソコン等に相当し、操作部31と、表示部32と、記憶部33と、通信部34と、制御部35とを有する。操作部31は、各種情報を入力する、例えばマウスやキーボード等に相当する。表示部32は、各種情報を画面表示する、例えばモニタ部に相当する。記憶部33は、各種情報を記憶する部位である。通信部34は、管理サーバ3と通信接続すると共に、図示せぬネットワークに通信接続する部位である。また、クライアント端末2は、ログオンのユーザ名を変えて複数のユーザで使用可能とするマルチユーザ方式を採用している。   The client terminal 2 corresponds to, for example, a personal computer or the like, and includes an operation unit 31, a display unit 32, a storage unit 33, a communication unit 34, and a control unit 35. The operation unit 31 corresponds to, for example, a mouse or a keyboard for inputting various information. The display unit 32 corresponds to, for example, a monitor unit that displays various information on the screen. The storage unit 33 is a part that stores various types of information. The communication unit 34 is a part that is connected to the management server 3 and is connected to a network (not shown). In addition, the client terminal 2 employs a multi-user method that allows a plurality of users to use different logon user names.

次に、実施例1のログ管理システム1の動作について説明する。図6は、操作ファイルトレース処理に関わるサーバ側制御部13の処理動作を示すフローチャートである。図6においてサーバ側制御部13は、管理コンソール4側の指定操作によるトレース対象の指定ファイルを検知する(ステップS11)。サーバ側制御部13は、抽出部51を通じて、指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを操作ログデータベース41から抽出したか否かを判定する(ステップS12)。ここで、サーバ側制御部13は、指定ファイル内の元ファイルのファイルパスにおけるファイル名の一部が一致するファイルパスを有する操作ログを抽出する。なお、ここで、該当する操作ログを全て抽出し、抽出した全ての操作ログに対して、以下の処理を実行するとしても良い。   Next, the operation of the log management system 1 according to the first embodiment will be described. FIG. 6 is a flowchart showing the processing operation of the server-side control unit 13 related to the operation file trace processing. In FIG. 6, the server-side control unit 13 detects a trace target designation file by a designation operation on the management console 4 side (step S11). The server-side control unit 13 determines whether or not the operation log of the comparison target file including the file path of the destination file similar to the file path of the original file in the specified file is extracted from the operation log database 41 through the extraction unit 51. (Step S12). Here, the server-side control unit 13 extracts an operation log having a file path that matches a part of the file name in the file path of the original file in the designated file. Here, all the corresponding operation logs may be extracted, and the following processing may be executed on all the extracted operation logs.

サーバ側制御部13は、指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出した場合に(ステップS12肯定)、後述する図7に示す確度算出処理を実行する(ステップS13)。尚、確度算出処理は、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出する。   When the server-side control unit 13 extracts the operation log of the comparison target file including the file path of the destination file similar to the file path of the original file in the specified file (Yes in step S12), the accuracy shown in FIG. Calculation processing is executed (step S13). In the accuracy calculation process, the accuracy of the file identity where the specified file matches the comparison target file is calculated.

サーバ側制御部13は、確度算出処理にてファイル同一性の確度を算出した後、制御部54を通じて、このファイル同一性の確度が閾値以上であるか否かを判定する(ステップS13A)。サーバ側制御部13は、ファイル同一性の確度が閾値以上である場合に(ステップS13A肯定)、当該比較対象ファイルの操作ログに確度を対応付けたトレース結果をトレース結果格納部44に格納する(ステップS14)。サーバ側制御部13は、トレース結果をトレース結果格納部44に格納すると、トレース結果格納個数を+1インクリメントし(ステップS15)、トレース結果の格納個数が規定個数以内であるか否かを判定する(ステップS16)。   After calculating the file identity accuracy in the accuracy calculation process, the server-side control unit 13 determines whether or not the file identity accuracy is equal to or greater than a threshold value through the control unit 54 (step S13A). When the accuracy of the file identity is equal to or greater than the threshold (Yes at Step S13A), the server-side control unit 13 stores the trace result in which the accuracy is associated with the operation log of the comparison target file in the trace result storage unit 44 ( Step S14). When the server-side control unit 13 stores the trace result in the trace result storage unit 44, the server-side control unit 13 increments the number of stored trace results by +1 (step S15), and determines whether or not the number of stored trace results is within a specified number (step S15). Step S16).

サーバ側制御部13は、トレース結果の格納個数が規定個数以内である場合に(ステップS16肯定)、当該比較対象ファイルの操作ログを次の指定ファイルの操作ログとする。更に、サーバ側制御部13は、抽出部51を通じて、当該次の指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを操作ログデータベース41から抽出したか否かを判定する(ステップS17)。   When the stored number of trace results is within the specified number (Yes in step S16), the server-side control unit 13 sets the operation log of the comparison target file as the operation log of the next specified file. Further, the server-side control unit 13 extracts the operation log of the comparison target file including the file path of the destination file similar to the file path of the original file in the next designated file through the extraction unit 51 from the operation log database 41. Whether or not (step S17).

サーバ側制御部13は、次の指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出した場合に(ステップS17肯定)、ファイル同一性の確度を算出すべく、ステップS13に移行する。   When the server-side control unit 13 extracts the operation log of the comparison target file including the file path of the destination file similar to the file path of the original file in the next specified file (Yes in step S17), the accuracy of the file identity Is shifted to step S13.

また、サーバ側制御部13は、比較対象ファイルの操作ログが抽出できない場合に(ステップS17否定)、ステップS11で検知した指定ファイルに関わる他の比較対象ファイルの操作ログを抽出したか否かを判定する(ステップS18)。つまり、サーバ側制御部13は、ステップS11で検知した指定ファイルのファイルパスと類似する先のファイルのファイルパスを含む他の比較対象ファイルの操作ログを操作ログデータベース41から抽出したか否かを判定する。サーバ側制御部13は、他の比較対象ファイルの操作ログを抽出した場合に(ステップS18肯定)、後述する確度算出処理を実行すべく、ステップS13に移行する。また、サーバ側制御部13は、他の比較対象ファイルの操作ログが抽出できない場合に(ステップS18否定)、トレース結果格納部44に格納された指定ファイルに関わるトレース結果を管理コンソール4に提示し(ステップS19)、図6に示す処理動作を終了する。尚、管理コンソール4は、管理サーバ3からの指定ファイルに関わるトレース結果を管理側表示部22に画面表示する。その結果、管理者は、管理側表示部22の表示内容を見て、指定ファイルと一致する確度の高いファイルの軌跡に関わるトレース結果を認識できる。   Further, when the operation log of the comparison target file cannot be extracted (No at Step S17), the server side control unit 13 determines whether or not the operation log of another comparison target file related to the specified file detected at Step S11 is extracted. Determination is made (step S18). That is, the server-side control unit 13 determines whether or not the operation log of another comparison target file including the file path of the previous file similar to the file path of the specified file detected in step S11 is extracted from the operation log database 41. judge. When the server-side control unit 13 extracts an operation log of another comparison target file (Yes at Step S18), the server-side control unit 13 proceeds to Step S13 so as to execute an accuracy calculation process described later. In addition, when the operation log of another comparison target file cannot be extracted (No at Step S18), the server side control unit 13 presents the trace result related to the specified file stored in the trace result storage unit 44 to the management console 4. (Step S19), the processing operation shown in FIG. The management console 4 displays the trace result related to the specified file from the management server 3 on the management side display unit 22 on the screen. As a result, the administrator can see the display contents of the management-side display unit 22 and recognize the trace result related to the locus of the file with high probability of matching with the designated file.

また、サーバ側制御部13は、トレース結果の格納個数が規定個数以内でない場合に(ステップS16否定)、他の比較対象ファイルの操作ログを抽出すべく、ステップS18に移行する。   If the number of trace results stored is not less than the specified number (No at Step S16), the server side control unit 13 proceeds to Step S18 to extract operation logs of other comparison target files.

また、サーバ側制御部13は、比較対象ファイルの操作ログが抽出できない場合に(ステップS12否定)、図6に示す処理動作を終了する。また、サーバ側制御部13は、確度が閾値以上でない場合に(ステップS13A否定)、新たな操作ログを抽出すべく、ステップS12に移行する。   Moreover, the server side control part 13 complete | finishes the process operation shown in FIG. 6, when the operation log of a comparison object file cannot be extracted (step S12 negative). Further, when the accuracy is not equal to or higher than the threshold value (No at Step S13A), the server side control unit 13 proceeds to Step S12 in order to extract a new operation log.

図6に示す操作ファイルトレース処理では、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度が閾値以上の場合、当該操作ログに確度を対応付けたトレース結果をトレース結果格納部44に順次格納する。そして、管理サーバ3は、トレース結果格納部44に格納したトレース結果を管理コンソール4の表示画面上に提示するので、管理者は、指定ファイルのファイル元を追跡できる。上述のとおり、あるファイルに対して1つの操作が行われたのみであれば、1つの操作ログに含まれる元ファイルと先ファイルとで追跡が可能である。しかし、複数の操作がなされることで、クライアント端末2にて複数の操作ログが生成されるため、ファイルトレースを行う管理サーバ3は、操作ログ間の関連性を特定する必要がある。上述の処理によって、管理サーバ3は、関連する操作ログを特定し、ファイルを追跡することができる。   In the operation file trace processing shown in FIG. 6, if the accuracy of the file identity where the specified file matches the comparison target file is equal to or greater than the threshold value, the trace result in which the accuracy is associated with the operation log is sequentially stored in the trace result storage unit 44. Store. Since the management server 3 presents the trace result stored in the trace result storage unit 44 on the display screen of the management console 4, the administrator can track the file source of the specified file. As described above, if only one operation is performed on a certain file, it is possible to track the original file and the destination file included in one operation log. However, since a plurality of operation logs are generated in the client terminal 2 by performing a plurality of operations, the management server 3 that performs file tracing needs to specify the relationship between the operation logs. Through the above-described processing, the management server 3 can identify the related operation log and track the file.

さらに、クライアント端末2が複数存在する場合や、ファイル操作を実行するユーザが複数存在する場合は、あるファイルが複数クライアント端末2または複数ユーザによって操作されることがある。この場合には、各クライアント端末2において、あるファイルに関連する操作ログが大量に生成される可能性がある。したがって、本実施例のように、管理サーバ3が包括的に管理することで、管理サーバ3が管理する複数のクライアント端末2やユーザ内では、ファイルトレースをより広く実行できる。   Furthermore, when there are a plurality of client terminals 2 or when there are a plurality of users who perform file operations, a certain file may be operated by the plurality of client terminals 2 or a plurality of users. In this case, each client terminal 2 may generate a large amount of operation logs related to a certain file. Therefore, as in this embodiment, the management server 3 comprehensively manages, so that the file trace can be executed more widely in the plurality of client terminals 2 and users managed by the management server 3.

図7は、確度算出処理に関わるサーバ側制御部13の処理動作を示すフローチャートである。図7においてサーバ側制御部13は、ファイルパス比較部52Aを通じて、指定ファイルの元ファイルのファイルパスと比較対象ファイルの先ファイルのファイルパスとを比較する(ステップS21)。サーバ側制御部13は、算出部53を通じて、ファイルパス同士の比較結果に相当する比較定義42Aに対応したファイルパスの確度42Bをファイルパス確度テーブル42から取得する(ステップS22)。   FIG. 7 is a flowchart showing the processing operation of the server-side control unit 13 related to the accuracy calculation processing. In FIG. 7, the server-side control unit 13 compares the file path of the original file of the designated file with the file path of the destination file of the comparison target file through the file path comparison unit 52A (step S21). The server-side control unit 13 acquires the file path accuracy 42B corresponding to the comparison definition 42A corresponding to the comparison result between the file paths from the file path accuracy table 42 through the calculation unit 53 (step S22).

更に、サーバ側制御部13は、データサイズ比較部52Bを通じて、指定ファイルの元ファイルのデータサイズと比較対象ファイルの先ファイルのデータサイズとを比較する(ステップS23)。サーバ側制御部13は、算出部53を通じて、データサイズ同士の比較結果に相当する比較定義43Aに対応したデータサイズの確度43Bをデータサイズ確度テーブル43から取得する(ステップS24)。   Further, the server side control unit 13 compares the data size of the original file of the designated file with the data size of the destination file of the comparison target file through the data size comparison unit 52B (step S23). The server-side control unit 13 acquires the data size accuracy 43B corresponding to the comparison definition 43A corresponding to the comparison result between the data sizes from the data size accuracy table 43 through the calculation unit 53 (step S24).

サーバ側制御部13は、算出部53を通じて、ファイルパスの確度及びデータサイズの確度を加算して指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出し(ステップS25)、図7に示す処理動作を終了する。   The server-side control unit 13 adds the accuracy of the file path and the accuracy of the data size through the calculation unit 53 to calculate the accuracy of the file identity where the designated file matches the comparison target file (step S25). The processing operation shown in FIG.

図7に示す確度算出処理では、指定ファイル及び比較対象ファイル間のファイルパスの確度及びデータサイズの確度に基づき、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出する。その結果、ファイル同一性の確度に関わる精度の向上を図ることができる。   In the accuracy calculation process shown in FIG. 7, the accuracy of the file identity that matches the specified file and the comparison target file is calculated based on the accuracy of the file path between the specified file and the comparison target file and the accuracy of the data size. As a result, it is possible to improve accuracy related to the accuracy of file identity.

実施例1では、ファイルに関わる複数の操作ログの内、ファイルパスの確度及びデータサイズの確度に基づき、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出する。その結果、ファイルパスの他に、データサイズを加味することで、ファイル同一性の確度を推定する際の精度の向上が図れる。   In the first embodiment, based on the accuracy of the file path and the accuracy of the data size among the plurality of operation logs related to the file, the accuracy of the file identity that matches the specified file and the comparison target file is calculated. As a result, the accuracy when estimating the accuracy of file identity can be improved by taking into account the data size in addition to the file path.

実施例1では、ファイル同一性の確度を推定する際の精度の向上が図れることで、指定ファイルの元ファイルを追跡する際の追跡精度の向上が図れる。   In the first embodiment, since the accuracy when estimating the accuracy of file identity can be improved, the tracking accuracy when tracking the original file of the specified file can be improved.

実施例1では、ファイルパスの比較結果に対応するファイルパス確度をファイルパス確度テーブル42から取得し、データサイズの比較結果に対応するデータサイズの確度をデータサイズ確度テーブル43から取得する。その結果、ファイル同士のファイルパスの確度及びデータサイズの確度を簡単に取得できる。   In the first embodiment, the file path accuracy corresponding to the file path comparison result is acquired from the file path accuracy table 42, and the data size accuracy corresponding to the data size comparison result is acquired from the data size accuracy table 43. As a result, the accuracy of the file path between the files and the accuracy of the data size can be easily obtained.

実施例1では、データサイズの確度が高くなるに応じて、ファイル同士が一致する確度が高まる。その結果、例えば、ファイルパスが同一の場合でもデータサイズを加味することでファイル同一性の確度を推定する際の精度の向上が図れる。   In the first embodiment, as the accuracy of the data size increases, the accuracy of matching files increases. As a result, for example, even when the file paths are the same, the accuracy in estimating the file identity accuracy can be improved by taking the data size into consideration.

実施例1では、操作開始時点のファイル、すなわち元ファイルのデータサイズと、操作終了時点のファイル、すなわち先ファイルのデータサイズとを含めてファイル操作に対する操作ログとして記録した。その結果、管理サーバ3は、操作開始時点及び操作終了時点のファイルのデータサイズを認識できる。   In the first embodiment, the operation log for the file operation is recorded including the file size at the start of the operation, that is, the data size of the original file, and the file at the end of the operation, that is, the data size of the destination file. As a result, the management server 3 can recognize the data size of the file at the operation start point and the operation end point.

また、実施例1では、図8乃至図10の条件下でファイル同士のファイル追跡を実現できる。図8は、同一クライアント端末2内でドライブ変更してファイルを複写した場合の一例を示す説明図である。同一クライアント端末2が同一ドライブ“D:\”のフォルダ“\A”でファイルaをファイルbとして複写する場合には、操作ログの元ファイルは“D:\A\a”、先ファイルは“D:\A\b”、操作区分は“複写”となる。更に、クライアント端末2がドライブ“D:\”をドライブ“E:\”に変更した後、クライアント端末2がファイルbをファイルcとして複写した場合には、操作ログの元ファイルは“E:\A\b”、先ファイルは“E:\A\c”、操作区分は“複写”となる。指定ファイルの元ファイル“E:\A\b”は、比較対象ファイルの先ファイル“D:\A\b”と異なる。   In the first embodiment, file tracking between files can be realized under the conditions shown in FIGS. FIG. 8 is an explanatory diagram showing an example when a file is copied by changing the drive in the same client terminal 2. When the same client terminal 2 copies the file a as the file b in the folder “\ A” of the same drive “D: \”, the original file of the operation log is “D: \ A \ a”, and the destination file is “ D: \ A \ b ”and the operation classification is“ Copy ”. Further, after the client terminal 2 changes the drive “D: \” to the drive “E: \”, when the client terminal 2 copies the file b as the file c, the original file of the operation log is “E: \”. A \ b ", the destination file is" E: \ A \ c ", and the operation category is" Copy ". The original file “E: \ A \ b” of the specified file is different from the destination file “D: \ A \ b” of the comparison target file.

しかしながら、管理サーバ3は、同一内容のファイルがドライブ変更して複写した場合でも、指定ファイル内の元ファイルのファイルパス“E:\A\b”と部分的に類似する先ファイルのファイルパス“D:\A\b”を含む比較対象ファイルの操作ログを抽出できる。従って、“ドライブ名以外完全一致”のファイルパスの確度“4”を取得する。その結果、ファイルパスの確度のみで閾値以上になるため、この操作ログをトレース結果としてトレース結果格納部44に格納する。しかも、ファイルパスの他に、データサイズをも加味することで、指定ファイルと比較対象ファイルとのファイル追跡を実現できる。例えば、ある操作が終了した時点のファイルサイズと、他の操作を開始した時点のファイルサイズとの一致度が高ければ、ある操作がなされたファイルに対して、他の操作がなされた可能性が高いと推定できる。   However, even when a file with the same contents is copied by changing the drive, the management server 3 copies the file path “of the destination file partially similar to the file path“ E: \ A \ b ”of the original file in the specified file. Operation logs of comparison target files including “D: \ A \ b” can be extracted. Therefore, the accuracy “4” of the file path “complete match except drive name” is acquired. As a result, since only the accuracy of the file path exceeds the threshold, this operation log is stored in the trace result storage unit 44 as a trace result. In addition to the file path, the file tracking of the specified file and the comparison target file can be realized by considering the data size. For example, if the degree of coincidence between the file size at the end of an operation and the file size at the start of another operation is high, there is a possibility that another operation has been performed on the file that has been operated. It can be estimated to be high.

図9は、クライアント端末2A及び2B間でファイル操作した場合の一例を示す説明図である。クライアント端末2A内でファイルaをファイルcとして複写する場合には(ステップS101)、ステップS101に関わる操作ログの元ファイルは“C:\a”、先ファイルは“C:\c”、操作区分は“複写”となる。更に、クライアント端末2A内でファイルbをUSBメモリ6にファイルbとして複写する場合に(ステップS102)、クライアント端末2Aは、USBメモリ6をFドライブとして認識する。この際、ステップS102に関わる操作ログの元ファイルは“C:\b”、先ファイルは“F:\b”、操作区分は“複写”となる。   FIG. 9 is an explanatory diagram showing an example when a file operation is performed between the client terminals 2A and 2B. When the file a is copied as the file c in the client terminal 2A (step S101), the operation log source file related to step S101 is “C: \ a”, the destination file is “C: \ c”, and the operation classification Becomes "copy". Further, when the file b is copied to the USB memory 6 as the file b in the client terminal 2A (step S102), the client terminal 2A recognizes the USB memory 6 as the F drive. At this time, the original file of the operation log related to step S102 is “C: \ b”, the destination file is “F: \ b”, and the operation classification is “copy”.

更に、クライアント端末2Bが、USBメモリ6内に複写したファイルbをファイルeとして複写する場合に(ステップS103)、クライアント端末2Bは、USBメモリ6をGドライブとして認識する。この際、ステップS103に関わる操作ログの元ファイルは“G:\b”、先ファイルは“C:\e”、操作区分は“複写”となる。   Further, when the client terminal 2B copies the file b copied in the USB memory 6 as the file e (step S103), the client terminal 2B recognizes the USB memory 6 as the G drive. At this time, the original file of the operation log related to step S103 is “G: \ b”, the destination file is “C: \ e”, and the operation classification is “copy”.

また、クライアント端末2Bがファイルaを印刷する場合に(ステップS104)、ステップS104に関わる操作ログの元ファイルは“C:\a”、操作区分は“印刷”となる。更に、クライアント端末2Bがファイルaをファイルdとして複写する場合に(ステップS105)、ステップS105に関わる操作ログの元ファイルは“C:\a”、先ファイルは“C:\d”、操作区分は“複写”となる。   When the client terminal 2B prints the file a (step S104), the original file of the operation log related to step S104 is “C: \ a”, and the operation classification is “print”. Further, when the client terminal 2B copies the file a as the file d (step S105), the operation log source file related to step S105 is “C: \ a”, the destination file is “C: \ d”, and the operation classification. Becomes "copy".

例えば、管理サーバ3は、管理コンソール4から指定ファイルeのファイル軌跡を実行する場合、指定ファイルeの先ファイル“C:\e”に対応した元ファイル“G:\b”の比較対象ファイルのステップS103の操作ログを抽出する。更に、管理サーバ3は、当該指定ファイルの元ファイル“G:\b”に部分的に類似する先ファイル“F:\b”の比較対象ファイルのステップS102の操作ログを抽出する。その結果、管理サーバ3は、指定ファイルeのファイル軌跡としてステップS102及びステップS103の操作ログに関わるトレース結果に基づき、“C:\e”→“G:\b”→“F:\b”→“C:\b”をトレース結果として管理コンソール4の表示画面上に提示する。   For example, when the management server 3 executes the file locus of the specified file e from the management console 4, the management server 3 compares the comparison target file of the original file “G: \ b” corresponding to the destination file “C: \ e” of the specified file e. The operation log in step S103 is extracted. Further, the management server 3 extracts the operation log in step S102 of the comparison target file of the destination file “F: \ b” that is partially similar to the original file “G: \ b” of the designated file. As a result, the management server 3 selects “C: \ e” → “G: \ b” → “F: \ b” based on the trace result relating to the operation log in step S102 and step S103 as the file locus of the designated file e. → “C: \ b” is presented on the display screen of the management console 4 as a trace result.

つまり、同一ファイルがドライブ変更して複写された場合でも、指定ファイル内の元ファイルのファイルパスと部分的に類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出できる。USBメモリ6を跨ったとしても、ファイルパス及びデータサイズを使用して、指定ファイル及び比較対象ファイル間のファイル追跡を実現できる。   That is, even when the same file is copied by changing the drive, the operation log of the comparison target file including the file path of the destination file partially similar to the file path of the original file in the specified file can be extracted. Even if the USB memory 6 is straddled, the file trace between the designated file and the comparison target file can be realized using the file path and the data size.

図10は、ファイルサーバ内の共有フォルダ内にある同一ファイルを複数のクライアント端末2に複写した場合の一例を示す説明図である。クライアント端末2Aは、共有フォルダを“\\192.168.0.3\aaa”と認識する。これに対して、クライアント端末2Bは、共有フォルダを“\\FileSV3\aaa”と認識する。そして、クライアント端末2A及び2Bは、ファイルサーバ7内の共有フォルダに格納したファイルaをファイルbとして複写したとする。   FIG. 10 is an explanatory diagram showing an example when the same file in the shared folder in the file server is copied to a plurality of client terminals 2. The client terminal 2A recognizes the shared folder as “\\ 192.168.0.3 \ aaa”. On the other hand, the client terminal 2B recognizes the shared folder as “\\ FileSV3 \ aaa”. Assume that the client terminals 2A and 2B copy the file a stored in the shared folder in the file server 7 as the file b.

この際、クライアント端末2Aのファイルb及びクライアント端末2Bのファイルbは、共有フォルダの認識名が異なるため、ファイル内容が同一であるにもかかわらず、ファイルパスも異なる。しかしながら、実施例1では、クライアント端末2Aのファイルパスとクライアント端末2Bのファイルパスとが部分的に類似し、しかも、データサイズも使用することで、ファイル間のファイル追跡を実現できる。   At this time, since the file b of the client terminal 2A and the file b of the client terminal 2B have different shared folder recognition names, the file paths are different even though the file contents are the same. However, in the first embodiment, the file path of the client terminal 2A and the file path of the client terminal 2B are partially similar, and the file size between the files can be realized by using the data size.

実施例1では、同一クライアント端末2内で同一ファイルのドライブレターを変更してファイルを複写した場合でも、ファイルパス及びデータサイズを使用して、ファイル間のファイル追跡を実現できる。   In the first embodiment, even when the drive letter of the same file is changed and the file is copied in the same client terminal 2, the file tracking between files can be realized using the file path and the data size.

実施例1では、クライアント端末2からファイルをUSBメモリ6等の可搬の外部記録媒体に複写してファイルのドライブレターが変更される場合でも、ファイルパス及びデータサイズを使用して、ファイル間のファイル追跡を実現できる。   In the first embodiment, even when the file is transferred from the client terminal 2 to a portable external recording medium such as the USB memory 6 and the drive letter of the file is changed, the file path and the data size are used. File tracking can be realized.

実施例1では、クライアント端末2内のファイルを可搬の外部記録媒体に複写し、この外部記録媒体のファイルを他のクライアント端末2に複写してファイルのドライブレターが変更される場合でも、ファイルパス及びデータサイズを使用して、ファイル間のファイル追跡を実現できる。   In the first embodiment, even when the file in the client terminal 2 is copied to a portable external recording medium and the file on the external recording medium is copied to another client terminal 2 and the drive letter of the file is changed, the file File tracking between files can be realized using the path and data size.

尚、上記実施例1では、ファイルパスの確度及びデータサイズの確度に基づき指定ファイル及び比較対象ファイル間のファイル同一性の確度を算出した。しかしながら、このファイル同一性の確度を推定する際の精度の向上が図れるため、ファイルパス及びデータサイズの他に、ファイル更新日時等の更新日時情報を加味するようにしても良い。   In the first embodiment, the accuracy of the file identity between the specified file and the comparison target file is calculated based on the accuracy of the file path and the accuracy of the data size. However, since the accuracy in estimating the accuracy of the file identity can be improved, update date / time information such as file update date / time may be considered in addition to the file path and data size.

そこで、この場合の実施例について説明する。尚、上記実施例1のログ管理システム1と同一の構成には同一符号を付すことで、その重複する構成及び動作の説明については省略する。図11は、実施例2の確度算出処理に関わるサーバ側制御部13の処理動作を示すフローチャートである。   Therefore, an embodiment in this case will be described. The same components as those in the log management system 1 according to the first embodiment are denoted by the same reference numerals, and the description of the overlapping configuration and operation is omitted. FIG. 11 is a flowchart illustrating the processing operation of the server-side control unit 13 related to the accuracy calculation processing according to the second embodiment.

図11においてサーバ側制御部13は、ステップS21〜ステップS24の処理動作を実行することで、ファイルパスの確度及びデータサイズの確度を取得する。更に、サーバ側制御部13は、比較部52を通じて、指定ファイルの元ファイルのファイル更新日時と比較対象ファイルの先ファイルのファイル更新日時とを比較する(ステップS31)。サーバ側制御部13は、算出部53を通じて、ファイル更新日時同士の比較結果に相当する比較定義に対応したファイル更新日時の確度を図示せぬ更新日時テーブルから取得する(ステップS32)。尚、更新日時テーブルは、例えば、サーバ側記憶部12内に管理し、ファイル更新日時が完全一致した場合に、例えば、確度“1”を管理しているものとする。   In FIG. 11, the server-side control unit 13 acquires the accuracy of the file path and the accuracy of the data size by executing the processing operations in steps S21 to S24. Furthermore, the server-side control unit 13 compares the file update date and time of the original file of the designated file with the file update date and time of the destination file of the comparison target file through the comparison unit 52 (step S31). The server-side control unit 13 acquires the accuracy of the file update date and time corresponding to the comparison definition corresponding to the comparison result between the file update dates and times from the update date and time table (not shown) through the calculation unit 53 (step S32). The update date / time table is managed, for example, in the server-side storage unit 12, and when the file update date / time completely matches, for example, the accuracy “1” is managed.

サーバ側制御部13は、算出部53を通じて、ファイルパスの確度、データサイズの確度及びファイル更新日時の確度を加算して、ファイル同士が一致するファイル同一性の確度を算出し(ステップS33)、図11に示す処理動作を終了する。   The server-side control unit 13 adds the accuracy of the file path, the accuracy of the data size, and the accuracy of the file update date and time through the calculation unit 53, and calculates the accuracy of the file identity that matches the files (step S33). The processing operation shown in FIG. 11 ends.

図11に示す確度算出処理では、指定ファイル及び比較対象ファイル間のファイルパスの確度、データサイズの確度及びファイル更新日時の確度に基づき、ファイル同一性の確度を算出する。その結果、ファイル同一性の確度を推定する際の精度の大幅向上が図れる。   In the accuracy calculation process shown in FIG. 11, the accuracy of the file identity is calculated based on the accuracy of the file path between the specified file and the comparison target file, the accuracy of the data size, and the accuracy of the file update date and time. As a result, the accuracy in estimating the accuracy of file identity can be greatly improved.

なお、図11に示す確度算出処理では、データサイズ比較処理を実行したあとに、ファイル更新日時比較を行うこととしたが、順序はこれに限定されない。また、データ比較処理を行わずに、ファイル更新日時の比較のみを行って、確度を算出するとしても良い。   In the accuracy calculation process shown in FIG. 11, the file update date / time comparison is performed after the data size comparison process is executed, but the order is not limited to this. Alternatively, the accuracy may be calculated by comparing only the file update date and time without performing the data comparison process.

実施例2では、ファイルに関わる複数の操作ログの内、ファイルパスの確度、データサイズの確度及びファイル更新日時に基づき、指定ファイル及び比較対象ファイル間のファイル同一性の確度を算出する。その結果、ファイル同一性の確度に関わる精度の大幅向上を図ることができる。   In the second embodiment, the file identity accuracy between the specified file and the comparison target file is calculated based on the file path accuracy, the data size accuracy, and the file update date and time among the plurality of operation logs related to the file. As a result, the accuracy related to the accuracy of file identity can be greatly improved.

尚、上記実施例2の算出部53は、例えば、ファイルパスの確度が“4”、データサイズの確度が“0.5”、ファイル更新日時の確度が“1”の場合、ファイル同一性の確度は“4+0.5+1=5.5”の如く単純に加算することで、ファイル同一性の確度を算出した。しかしながら、データサイズが“完全一致”で確度が“0.5”、ファイル更新日時が“完全一致”で確度が“1”の場合は、ファイル同一性の確度が高いと判断し、単純に加算して“1.5”とせず、重み付けのために“+1”を加算して“2.5”としても良い。   Note that the calculation unit 53 of the second embodiment, for example, determines the file identity when the file path accuracy is “4”, the data size accuracy is “0.5”, and the file update date / time accuracy is “1”. The accuracy of the file identity was calculated by simply adding the accuracy as “4 + 0.5 + 1 = 5.5”. However, if the data size is “complete match”, the accuracy is “0.5”, the file update date is “complete match”, and the accuracy is “1”, it is determined that the accuracy of the file identity is high, and the addition is simply performed. Then, “1.5” is not used, but “+1” may be added for weighting to “2.5”.

尚、上記実施例1では、ファイル同一性の確度を算出する際、ファイルパスの確度の他に、データサイズの確度を加味するようにしたが、データサイズの代わりにファイル更新日時の確度を加味するようにしても良い。   In the first embodiment, when calculating the accuracy of the file identity, the accuracy of the data size is considered in addition to the accuracy of the file path. However, the accuracy of the file update date is considered instead of the data size. You may make it do.

上記実施例1では、ファイル同一性の確度を算出する際、ファイルパスの確度を取得した後、データサイズの確度を取得したが、データサイズの確度を取得後、ファイルパスの確度を取得、又は、データサイズ及びファイルパスの確度を同時に取得しても良い。つまり、確度取得の順序は適宜変更可能である。   In the first embodiment, when calculating the accuracy of the file identity, the accuracy of the data size is acquired after acquiring the accuracy of the file path, but the accuracy of the file path is acquired after acquiring the accuracy of the data size, or The data size and the file path accuracy may be acquired at the same time. That is, the order of accuracy acquisition can be changed as appropriate.

上記実施例では、管理サーバ3がクライアント端末2のファイルに関わる操作ログを自動収集し、この収集した操作ログを操作ログデータベース41に記録する。   In the above embodiment, the management server 3 automatically collects operation logs related to the files of the client terminal 2 and records the collected operation logs in the operation log database 41.

上記実施例では、ファイルパス、データサイズ又はファイル更新日時の確度を比較定義毎に設定したが、その定義及び確度の数値は適宜設定変更が可能である。   In the above embodiment, the accuracy of the file path, data size, or file update date / time is set for each comparison definition, but the definition and the numerical value of the accuracy can be appropriately changed.

また、図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。   In addition, each component of each part illustrated does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each part is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed / integrated in arbitrary units according to various loads and usage conditions. Can be configured.

更に、各装置で行われる各種処理機能は、CPU(Central Processing Unit)(又はMPU(Micro Processing Unit)、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしても良い。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしても良いことは言うまでもない。   Furthermore, various processing functions performed in each device are performed on a CPU (Central Processing Unit) (or a microcomputer such as an MPU (Micro Processing Unit), MCU (Micro Controller Unit), etc.) in whole or in part. You may make it perform. Various processing functions may be executed entirely or arbitrarily on a program that is analyzed and executed by a CPU (or a microcomputer such as an MPU or MCU) or hardware based on wired logic. Needless to say.

ところで、本実施例で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図12を用いて、上記の実施例と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。図12は、ログ管理プログラムを実行するコンピュータを示す説明図である。   By the way, the various processes described in the present embodiment can be realized by executing a prepared program on a computer. In the following, an example of a computer that executes a program having the same function as that of the above embodiment will be described with reference to FIG. FIG. 12 is an explanatory diagram of a computer that executes a log management program.

図12に示すように、ログ管理プログラムとしてのコンピュータ200は、HDD(Hard Disk Drive)210、RAM(Random Access Memory)220、ROM(Read Only Memory)230及びCPU240をバス250で接続して構成される。   As shown in FIG. 12, a computer 200 as a log management program is configured by connecting a hard disk drive (HDD) 210, a random access memory (RAM) 220, a read only memory (ROM) 230, and a CPU 240 via a bus 250. The

そして、ROM230には、上記の実施例と同様の機能を発揮するログ管理プログラムが予め記憶されている。ログ管理プログラムとしては、図12に示すように、受付プログラム231、第一抽出プログラム232、第二抽出プログラム233、第一比較プログラム234、第二比較プログラム235及び算出プログラム236である。尚、プログラム231〜236については、図1に示した管理サーバ3の各構成要素と同様、適宜統合又は分散してもよい。   The ROM 230 stores in advance a log management program that exhibits the same function as in the above-described embodiment. As shown in FIG. 12, the log management program includes a reception program 231, a first extraction program 232, a second extraction program 233, a first comparison program 234, a second comparison program 235, and a calculation program 236. Note that the programs 231 to 236 may be appropriately integrated or distributed in the same manner as each component of the management server 3 shown in FIG.

そして、CPU240が、これらのプログラム231〜236をROM230から読み出して実行する。そして、図12に示すように、各プログラム231〜236は、受付プロセス241、第一抽出プロセス242、第二抽出プロセス243、第一比較プロセス244、第二比較プロセス245及び算出プロセス246として機能するようになる。   Then, the CPU 240 reads these programs 231 to 236 from the ROM 230 and executes them. As shown in FIG. 12, the programs 231 to 236 function as a reception process 241, a first extraction process 242, a second extraction process 243, a first comparison process 244, a second comparison process 245, and a calculation process 246. It becomes like this.

CPU240は、ファイルを識別する識別情報を受付ける。CPU240は、前記ファイルを含む複数のファイルに対する操作ごとに、前記識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶したHDD210から、受付けた該識別情報を有する該操作ログを抽出する。CPU240は、前記操作ログとは異なる他の操作ログを、前記HDD210から抽出する。CPU240は、前記操作ログに含まれる識別情報と、前記他の操作ログに含まれる他の識別情報とを比較する。CPU240は、前記操作ログに含まれるサイズ情報と、前記他の操作ログに含まれる他のサイズ情報とを比較する。更に、CPU240は、前記識別情報同士の比較結果及び前記サイズ情報の比較結果に基づいて、前記識別情報が示すファイルと、前記他の識別情報が示す他のファイルとの関連度を示す確度を算出する。その結果、関連度、例えば、ファイル同一性の確度を推定する際の精度の向上が図れる。   CPU 240 receives identification information for identifying a file. For each operation on a plurality of files including the file, the CPU 240 receives the operation log having the received identification information from the HDD 210 storing the operation log including the identification information and size information indicating the data size of the file. Extract. The CPU 240 extracts another operation log different from the operation log from the HDD 210. The CPU 240 compares the identification information included in the operation log with other identification information included in the other operation log. The CPU 240 compares the size information included in the operation log with other size information included in the other operation log. Further, the CPU 240 calculates the accuracy indicating the degree of association between the file indicated by the identification information and the other file indicated by the other identification information based on the comparison result between the identification information and the comparison result of the size information. To do. As a result, it is possible to improve accuracy when estimating the degree of association, for example, the accuracy of file identity.

1 ログ管理システム
2 クライアント端末
3 管理サーバ
4 管理コンソール
41 操作ログデータベース
42 ファイルパス確度テーブル
43 データサイズ確度テーブル
44 トレース結果格納部
51 抽出部
52 比較部
52A ファイルパス比較部
52B データサイズ比較部
53 算出部
54 制御部 DESCRIPTION OF SYMBOLS 1 Log management system 2 Client terminal 3 Management server 4 Management console 41 Operation log database 42 File path accuracy table 43 Data size accuracy table 44 Trace result storage part 51 Extraction part 52 Comparison part 52A File path comparison part 52B Data size comparison part 53 Calculation Part 54 Control part

Claims (8)

コンピュータに、
ファイルを識別する識別情報を受付け、
ァイルに対する操作ごとに、該ファイルを識別する識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部を参照して、受付けた前記識別情報を有する操作ログ及び、前記識別情報を有する操作ログとは異なる他の操作ログを抽出し
抽出した前記操作ログに含まれる識別情報と記他の操作ログに含まれる識別情報との比較の結果及び、前記操作ログに含まれるサイズ情報と記他の操作ログに含まれるサイズ情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと記他の操作ログに含まれる識別情報が示すファイルとの同一性の確度を算出
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する
処理を実行させることを特徴とするログ管理プログラム。 On the computer,
It accepted the identification information that identifies the file,
For each operation on file, by referring to the storage unit that stores the operation log and a size information indicating the data size of the identification information and the file that identifies the file, the operation log has the identification information received and, Extracting another operation log different from the operation log having the identification information ;
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and the size information included in the size information and the previous SL other operation log contained in the operation log based on the comparison results, it calculates the likelihood of identity with the file identified by the identification information included in the file and before Symbol another operation log indicated by the identification information received,
A log management program for executing a process of associating and outputting information relating to the operation log and the other operation log when the calculated accuracy is equal to or greater than a threshold value . 前記確度を算出する処理において、
前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との一致度と、該一致度における値とを対応付けて格納した前記記憶部を参照し、前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との比較の結果に応じた該値を取得し、
前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との一致度と、一致度における他の値とを対応付けて格納した前記記憶部を参照し、前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との比較の結果に応じた該他の値を取得し、
前記値と前記他の値とに基づいて、前記確度を算出することを特徴とする請求項に記載のログ管理プログラム。 In the process of calculating the accuracy ,
Referring to the identification information included in the operation log and degree of coincidence between the identification information included in the other operation log, the storage unit which stores in association with each value in the matching degree, it included in the operation log Obtaining the value according to the comparison result between the identification information and the identification information included in the other operation log ;
Referring the degree of coincidence between the size information included in the other operation log and size information included in the operation log, the storage unit which stores in association with other values in the matching degree, included in the operation log Obtain the other value according to the result of the comparison between the size information and the size information included in the other operation log ,
Based on the said other value and the value, log management program according to claim 1, characterized in that to calculate the likelihood. 前記ファイルに対する操作の終了を検知すると、この操作終了時点のファイルのデータサイズを前記サイズ情報として当該操作ログに含めて、当該操作ログを前記記憶部に記憶する
処理を実行させることを特徴とする請求項1又は2に記載のログ管理プログラム。 When the end of the operation on the file is detected, the process includes storing the data size of the file at the end of the operation as the size information in the operation log and storing the operation log in the storage unit. The log management program according to claim 1 or 2 . 前記コンピュータに、
前記識別情報を受け付ける前に、前記コンピュータと通信するクライアント装置から前記操作ログを受信し、
前記クライアント装置とは異なる他のクライアント装置から前記他の操作ログを受信し、
前記操作ログを前記記憶部に格納し、
前記他の操作ログを前記記憶部に格納す
処理を実行させることを特徴とする請求項1〜の何れか一つに記載のログ管理プログラム。 In the computer,
Before receiving the identification information , receive the operation log from a client device that communicates with the computer ,
Receiving the other operation log from another client device different from the client device ;
Storing the operation log in the storage unit ;
That stores the another operation log in the storage unit
The log management program according to any one of claims 1 to 3 , wherein the process is executed. 前記操作ログには、前記ファイルを更新する更新日時を含み、
前記確度を算出する処理において、
前記操作ログに含まれる新日時情報と、前記他の操作ログに含まれる新日時情報との比較の結果に基づいて、前記確度を算出することを特徴とする請求項1〜の何れか一つに記載のログ管理プログラム。 The operation log includes an update date and time for updating the file,
In the process of calculating the accuracy,
And update date and time information included in the operation log, based on the other operations of comparison of the update date and time information included in the log result, any claim 1-4, characterized in that to calculate the probability A log management program according to any one of the above. コンピュータに、
ファイルを識別する識別情報を受付
該ファイルを識別する識別情報とファイルの更新日時を示す更新日時情報とを含む操作ログを、ファイルに対する操作ごとに記憶した記憶部を参照して、受付けた前記識別情報を有する操作ログ及び、前記識別情報を有する前記操作ログとは異なる他の操作ログを抽出し、
抽出した前記操作ログに含まれる識別情報と記他の操作ログに含まれる別情報との比較の結果及び、前記操作ログに含まれる更新日時情報と記他の操作ログに含まれる新日時情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと記他の操作ログに含まれる識別情報が示すファイルとの同一性の確度を算出し、
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する
処理を実行させることを特徴とするログ管理プログラム。 On the computer,
It accepted the identification information that identifies the file,
The operation log including the update date information indicating modification date and time of the identification information and the file that identifies the file, by referring to the storage unit that stores for each operation on the file, the operation log has the identification information received and , Extracting another operation log different from the operation log having the identification information ,
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and, further contained in the update date and time information and the previous SL other operation log contained in the operation log based on the results of comparison between the new time and date information, it calculates the likelihood of identity with the file identified by the identification information included in the file and before Symbol another operation log indicated by the identification information received,
When the calculated accuracy is equal to or greater than a threshold value, the operation log and information related to the other operation log are output in association with each other.
A log management program for executing a process . ァイルに対する操作ごとに、ファイルを識別する識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部と、
前記識別情報を受付けると、前記記憶部を参照して、受付けた前記識別情報を有する該操作ログ及び、前記識別情報を有する操作ログとは異なる他の操作ログを抽出する抽出部と、
抽出した前記操作ログに含まれる識別情報と記他の操作ログに含まれる別情報との比較の結果及び、前記操作ログに含まれるサイズ情報と記他の操作ログに含まれるイズ情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと記他の操作ログに含まれる識別情報が示すァイルとの同一性の確度を算出する算出部と
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する出力部と
を有することを特徴とするログ管理装置。 For each operation for files, a storage unit for storing the operation log including the size information indicating the data size of the identification information and the file that identifies the file,
When accepting the identification information, and wherein by referring to the storage unit, the manipulation log and having said identification information received, extracting unit that extracts different other operation log from the operation log with the identification information,
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and size included in the size information and the previous SL other operation log contained in the operation log based on the result of comparison with the information, a calculation unit for calculating an accuracy of identity with the identification information indicating a file before Notations showing identification information included in the other operation log Airu accepted,
A log management apparatus comprising: an output unit that outputs information relating to the operation log and the other operation log in association with each other when the calculated accuracy is equal to or greater than a threshold value . コンピュータが、
ファイルを識別する識別情報を受付け、
ァイルに対する操作ごとに、該ファイルを識別する識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部を参照して、受付けた前記識別情報を有する作ログ及び、前記識別情報を有する操作ログとは異なる他の操作ログを出し、
抽出した前記操作ログに含まれる識別情報と記他の操作ログに含まれる別情報との比較の結果及び、前記操作ログに含まれるサイズ情報と記他の操作ログに含まれるイズ情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと記他の操作ログに含まれる識別情報が示すァイルとの同一性の確度を算出し、
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する
処理を実行することを特徴とするログ管理方法。 Computer,
Accept identification information that identifies the file,
For each operation on file, by referring to the storage unit that stores the operation log and a size information indicating the data size of the identification information and the file that identifies the file, operations log having the identification information received and the issue extract other different operation log from the operation log with identification information,
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and size included in the size information and the previous SL other operation log contained in the operation log based on the result of comparison with the information, it calculates the likelihood of identity with the file indicated by the identification information included in the file and before Symbol another operation log indicated by the identification information received,
When the calculated accuracy is equal to or greater than a threshold value, the operation log and information related to the other operation log are output in association with each other.
A log management method characterized by executing processing .
JP2010229080A 2010-10-08 2010-10-08 Log management program, log management apparatus, and log management method Active JP5621490B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010229080A JP5621490B2 (en) 2010-10-08 2010-10-08 Log management program, log management apparatus, and log management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010229080A JP5621490B2 (en) 2010-10-08 2010-10-08 Log management program, log management apparatus, and log management method

Publications (2)

Publication Number Publication Date
JP2012083923A JP2012083923A (en) 2012-04-26
JP5621490B2 true JP5621490B2 (en) 2014-11-12

Family

ID=46242729

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010229080A Active JP5621490B2 (en) 2010-10-08 2010-10-08 Log management program, log management apparatus, and log management method

Country Status (1)

Country Link
JP (1) JP5621490B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5806651B2 (en) * 2012-09-11 2015-11-10 日本電信電話株式会社 Copy tracking system

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002189746A (en) * 2000-12-21 2002-07-05 Just Syst Corp Device and method for electronic file retrieval, and computer-readable recording medium with program making computer implement the method recorded thereon
JP4144244B2 (en) * 2002-04-18 2008-09-03 カシオ計算機株式会社 File processing apparatus and program
JP4667362B2 (en) * 2003-01-23 2011-04-13 ヴァーダシス・インコーポレーテッド Identifying similarity and revision history in large unstructured data sets
JP2009104466A (en) * 2007-10-24 2009-05-14 Sky Kk Information management system and information management program
JP2009176119A (en) * 2008-01-25 2009-08-06 Sky Co Ltd File use circumstance determination system
JP5199003B2 (en) * 2008-09-25 2013-05-15 株式会社日立製作所 Management device and computer system
JP5238521B2 (en) * 2009-01-08 2013-07-17 株式会社日立製作所 History management system, history management server and management method thereof

Also Published As

Publication number Publication date
JP2012083923A (en) 2012-04-26

Similar Documents

Publication Publication Date Title
JP2008192091A (en) Log analysis program, log analysis device, and log analysis method
CN106663089A (en) Intelligent conflict detection and semantic expression of document edits
RU2006104558A (en) INFORMATION PROCESSING DEVICE, INFORMATION RECORDING MEDIA, INFORMATION PROCESSING METHOD AND COMPUTER PROGRAM
WO2012058075A1 (en) Methods for processing private metadata
JP4807173B2 (en) Security management system and method
JP2018170036A (en) Snippet matching in file sharing network
JP2011191862A (en) File management apparatus, file management system, and file management program
US20130263222A1 (en) Computer system and security management method
US8474038B1 (en) Software inventory derivation
US8655844B1 (en) File version tracking via signature indices
CN110515895B (en) Method and system for carrying out associated storage on data files in big data storage system
Garfinkel et al. An automated solution to the multiuser carved data ascription problem
JP2007148946A (en) Unauthorized access detection method
JP5621490B2 (en) Log management program, log management apparatus, and log management method
JP5628703B2 (en) Theft state determination terminal and theft state determination program
JP5630193B2 (en) Operation restriction management program, operation restriction management apparatus, and operation restriction management method
JP4807289B2 (en) Information processing apparatus, file processing method, and program
JP4857199B2 (en) Information asset management system, log analysis device, and log analysis program
US20170262439A1 (en) Information processing apparatus and non-transitory computer readable medium
JP7052370B2 (en) Evaluation program, evaluation method and information processing equipment
JP6349682B2 (en) Information management program, apparatus, and method
JP2016115112A (en) Data anonymization apparatus, program, and method
JP6690453B2 (en) Information processing device and program
US20240111882A1 (en) Automatic Classification of Files with Hierarchical Structure with the Digital Fingerprints Library
EP2506196A1 (en) Method and apparatus for management and control of information incidents and digital evidence

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140616

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140826

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140908

R150 Certificate of patent or registration of utility model

Ref document number: 5621490

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150