JP5621490B2 - Log management program, log management apparatus, and log management method - Google Patents
Log management program, log management apparatus, and log management method Download PDFInfo
- Publication number
- JP5621490B2 JP5621490B2 JP2010229080A JP2010229080A JP5621490B2 JP 5621490 B2 JP5621490 B2 JP 5621490B2 JP 2010229080 A JP2010229080 A JP 2010229080A JP 2010229080 A JP2010229080 A JP 2010229080A JP 5621490 B2 JP5621490 B2 JP 5621490B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- operation log
- identification information
- log
- accuracy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
Description
本発明は、ログ管理プログラム、ログ管理装置及びログ管理方法に関する。 The present invention relates to a log management program, a log management apparatus, and a log management method.
近年、情報漏洩を防止することは、企業コンプライアンスの観点からも重要な課題である。従って、企業は、情報漏洩の要因となり得る、ファイルに対する操作、例えば、新規登録、名称変更、編集や印刷等の操作を厳重に管理する必要がある。そこで、ファイルに対する操作のログを管理する技術では、ファイルに対する操作を検知すると、そのファイルの操作ログを生成し、この生成した操作ログをサーバ側で一元管理するログ管理システムが知られている(例えば、特許文献1参照)。例えば、ログ管理システムは、ファイルの新規登録操作を検知すると、操作ログに新規ファイルのIDを付与する。更に、ログ管理システムは、ファイルの名称変更操作を検知すると、操作ログに変更前のIDと変更後のIDを付与する。 In recent years, preventing information leakage is an important issue from the viewpoint of corporate compliance. Accordingly, a company needs to strictly manage operations on files that can cause information leakage, such as new registration, name change, editing, and printing. In view of this, in the technology for managing the operation log for a file, a log management system that generates an operation log for the file when an operation for the file is detected and centrally manages the generated operation log on the server side is known ( For example, see Patent Document 1). For example, when the log management system detects a new file registration operation, the log management system gives an ID of the new file to the operation log. Further, when the log management system detects a file name change operation, the log management system gives an ID before change and an ID after change to the operation log.
このログ管理システムは、一元管理された複数の操作ログから指定ファイルの元ファイルを追跡するファイル追跡を実行する場合に、ファイルのIDを使用する。このログ管理システムは、指定ファイルのIDを使用して、例えば、指定ファイルの変更前のIDと比較対象ファイルの変更後のIDとが完全一致した場合に、指定ファイルと比較対象ファイルとが一致する確度が高いものと判断する。そして、ログ管理システムは、この判断結果に基づき、指定ファイルの元ファイルを追跡できる。 This log management system uses a file ID when executing file tracking for tracking an original file of a specified file from a plurality of operation logs managed in a centralized manner. This log management system uses the ID of the specified file. For example, if the ID before the change of the specified file and the ID after the change of the comparison target file completely match, the specified file matches the comparison target file. Judgment is high. The log management system can trace the original file of the specified file based on the determination result.
上記ログ管理システムは、指定ファイルの変更前のIDと比較対象ファイルの変更後のIDとが完全一致した場合に、比較対象ファイルが指定ファイルの元ファイルと認識し、指定ファイルの元ファイルを追跡できる。しかしながら、上記ログ管理システムは、例えば、指定ファイルの変更前のIDと比較対象ファイルの変更後のIDとが完全一致ではなく、部分的に異なる場合に、ファイル内容が一致する確度が低いと判断して比較対象ファイルを指定ファイルの元ファイルでないと認識する。その結果、指定ファイルの元ファイルの追跡が途切れてしまう。 The log management system recognizes that the comparison target file is the original file of the specified file and tracks the original file of the specified file when the ID before the change of the specified file and the ID after the change of the comparison target file completely match it can. However, the log management system, for example, determines that the probability that the file contents match is low when the ID before the change of the specified file and the ID after the change of the comparison target file are not completely the same and are partially different. As a result, the comparison target file is recognized as not being the original file of the specified file. As a result, the tracking of the original file of the specified file is interrupted.
例えば、指定ファイルの変更前のファイル名と比較対象ファイルの変更後のファイル名が部分的に異なる場合でも、そのファイル内容が同一の場合がある。しかしながら、この場合、ログ管理システムは、比較対象ファイルを指定ファイルの元ファイルでないと認識し、指定ファイルの元ファイルの追跡が途切れてしまう。 For example, even when the file name before the change of the specified file and the file name after the change of the comparison target file are partially different, the file contents may be the same. However, in this case, the log management system recognizes that the comparison target file is not the original file of the designated file, and the tracking of the original file of the designated file is interrupted.
一つの側面では、ファイル同一性の確度を推定する際の精度の向上を図ることができるログ管理プログラム等を提供することを目的とする。 In one aspect, an object of the present invention is to provide a log management program or the like that can improve accuracy when estimating the accuracy of file identity.
開示のプログラムは、一つの態様において、コンピュータに、ファイルを識別する識別情報を受付ける受付ステップと、前記ファイルを含む複数のファイルに対する操作ごとに、前記識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部から、受付けた該識別情報を有する該操作ログを抽出する第一の抽出ステップと前記操作ログとは異なる他の操作ログを、前記記憶部から抽出する第二の抽出ステップと、前記操作ログに含まれる識別情報と、前記他の操作ログに含まれる他の識別情報とを比較する第一の比較ステップと、前記操作ログに含まれるサイズ情報と、前記他の操作ログに含まれる他のサイズ情報とを比較する第二の比較ステップと、前記第一の比較ステップ及び前記第二の比較ステップの結果に基づいて、前記識別情報が示すファイルと、前記他の識別情報が示す他のファイルとの関連度を示す確度を算出する算出ステップとを実行させるようにした。 In one aspect, the disclosed program includes a reception step of receiving identification information for identifying a file in a computer, and size information indicating the identification information and the data size of the file for each operation on a plurality of files including the file. A first extraction step of extracting the operation log having the received identification information from the storage unit storing the operation log including the operation log, and another operation log different from the operation log is extracted from the storage unit. A second comparison step, a first comparison step for comparing identification information included in the operation log with other identification information included in the other operation log, size information included in the operation log, A second comparison step for comparing other size information included in another operation log, the first comparison step, and the second comparison step. Based on the result, and so as to execute a calculation step of calculating the a file identification information indicates the likelihood that indicates the relevance of the other identification information indicating other files.
開示のプログラムでは、ファイル同一性の確度を推定する際の精度の向上を図ることができる。 With the disclosed program, it is possible to improve the accuracy when estimating the accuracy of file identity.
以下、図面に基づいて、本願の開示するログ管理プログラム、ログ管理装置及びログ管理方法の実施例を詳細に説明する。尚、本実施例により、開示技術が限定されるものではない。 Hereinafter, embodiments of a log management program, a log management apparatus, and a log management method disclosed in the present application will be described in detail based on the drawings. The disclosed technology is not limited by the present embodiment.
図1は、実施例1のログ管理システムの構成を示すブロック図である。図1に示すログ管理システム1は、クライアント端末2と、クライアント端末2を管理する管理サーバ3と、管理サーバ3の各種設定を実行する管理コンソール4とを有する。管理サーバ3は、情報漏洩リスクとなるクライアント端末2の操作を記録して問題行動を抑止すると共に、電子情報の外部流出を防止する機能を有する。
FIG. 1 is a block diagram illustrating the configuration of the log management system according to the first embodiment. A
そこで、管理サーバ3は、例えば、ログオン制御/記録機能、ポリシー管理機能、操作制限/記録機能、持ち出しファイルの原本保管機能及びサービス起動制御機能等の機能を有する。先ず、ログオン制御/記録機能は、ポリシーに違反するアカウント権限でのクライアント端末2のログオンを禁止すると共に、クライアント端末2のログオン及びログオフを記録する機能である。ポリシー管理機能は、クライアント端末2の端末単位及びグループ単位に禁止する操作や採取するログを設定する機能である。
Therefore, the management server 3 has functions such as a logon control / recording function, a policy management function, an operation restriction / recording function, a take-out file original storage function, and a service activation control function. First, the logon control / recording function is a function for recording logon and logoff of the
操作制限/記録機能は、アプリケーション起動禁止機能、ファイル操作制限/記録機能、プリントスクリーンキーの無効化機能、メール送信制限/記録機能及びメールへのファイル添付制限/記録機能等の機能を有する。アプリケーション起動禁止機能は、クライアント端末2にインストール済みのアプリケーション情報を取得管理し、指定アプリケーションの起動を禁止する機能である。更に、アプリケーション起動禁止機能は、指定アプリケーションの起動操作を検出すると、操作ログを採取する機能である。ファイル操作制限/記録機能は、クライアント端末2から外部媒体を使用してのファイルの移動、複写や印刷等を禁止すると共に、その禁止を一時的に解除する機能である。更に、ファイル操作制限/記録機能は、例えば、参照、作成、更新、削除、複写、移動や改名等のファイル操作をログとして記録する機能である。
The operation restriction / recording function has functions such as an application activation prohibition function, a file operation restriction / recording function, a print screen key invalidation function, a mail transmission restriction / recording function, and a mail attachment restriction / recording function. The application activation prohibition function is a function for acquiring and managing application information already installed in the
更に、プリントスクリーンキーの無効化機能は、クライアント端末2の表示画面のハードコピーを取得するプリントスクリーンキーの操作を禁止すると共に、そのキー操作をログとして記録する機能である。メール送信制限/記録機能は、管理者側で設定したポリシーでクライアント端末2から指定アドレスへのメール送信を制限すると共に、そのメールを記録する機能である。メールへのファイル添付制限/記録機能は、管理者側で設定したポリシーでクライアント端末2からファイル添付したメール送信を制限すると共に、そのメールを記録する機能である。
Further, the print screen key invalidation function is a function for prohibiting the operation of the print screen key for obtaining a hard copy of the display screen of the
また、持ち出しファイルの原本保管機能は、クライアント端末2から外部記録媒体へのファイル持ち出しを許可する場合に強制的に暗号化する機能である。更に、原本保管機能は、その持ち出しの際のログを記録してファイル原本を管理サーバ3側で保管する機能である。サービス起動制御機能は、クライアント端末2で起動可能なサービスを一覧取得し、遠隔操作で任意のサービス起動を制限できる機能である。
The original file storage function is a function for compulsorily encrypting when file export from the
更に、管理サーバ3は、デバイス構成変更の記録機能、画面キャプチャ機能、ファイル追跡機能やメール通知機能等の機能を有する。デバイス構成変更の記録機能は、USBメモリデバイス等の外部記録媒体をクライアント端末2に接続すると、デバイス構成の変更と判断し、そのログを記録する機能である。画面キャプチャ機能は、クライアント端末2の表示画面(ウインドウ)のタイトル名に特定アプリケーション名や特定キーワードが含まれる場合に、当該表示画面のスナップショット(ハードコピー)を取得する機能である。
Furthermore, the management server 3 has functions such as a device configuration change recording function, a screen capture function, a file tracking function, and a mail notification function. The device configuration change recording function is a function of determining that the device configuration has changed when an external recording medium such as a USB memory device is connected to the
ファイル追跡機能は、ファイル操作のログに基づき、例えば、参照、作成、更新、削除、複写、移動や変名等の該当ファイルの操作ログをバックトレース方向又はフォワードトレース方向に検索する機能である。尚、バックトレース方向のファイル追跡機能は、該当ファイルの操作ログを過去に遡って検索する機能である。フォワードトレース方向のファイル追跡機能は、該当ファイルの操作ログを時系列に沿って検索する機能である。メール通知機能は、クライアント端末2側で特定操作、例えば、違反操作を検知した場合、その特定操作発生のメールを管理者側の管理コンソール4に通知する機能である。
The file tracking function is a function for searching an operation log of a corresponding file such as reference, creation, update, deletion, copying, movement, and renaming in the back trace direction or the forward trace direction based on the file operation log. The file trace function in the back trace direction is a function that searches the operation log of the corresponding file retroactively. The file trace function in the forward trace direction is a function for searching the operation log of the corresponding file in time series. The mail notification function is a function for notifying the
図1に示す管理サーバ3は、サーバ側通信部11と、サーバ側記憶部12と、サーバ側制御部13とを有する。サーバ側通信部11は、クライアント端末2や管理コンソール4と通信接続する。サーバ側記憶部12は、各種情報を記憶し、操作ログデータベース41と、ファイルパス確度テーブル42と、データサイズ確度テーブル43と、トレース結果格納部44とを有する。
The management server 3 illustrated in FIG. 1 includes a server-
図2は、操作ログデータベース41の一例を示す説明図である。図2に示す操作ログデータベース41は、操作日時41A、PC名41B、ユーザ名41C、操作区分41D、元ファイル41E及び先ファイル41Fを含む操作ログを管理する。操作日時41Aは、例えば、参照、作成、更新、削除、複写、印刷、移動や変名等のファイルに関わる操作が終了した日時に相当する。PC名41Bは、ファイル操作を実行したクライアント端末2等のマシン名に相当する。ユーザ名41Cは、ファイル操作を実行したクライアント端末2のログオンのユーザ名に相当する。操作区分41Dは、例えば、参照、作成、更新、削除、複写、変名や印刷等の操作区分に相当する。
FIG. 2 is an explanatory diagram showing an example of the
元ファイル41Eは、操作開始時点のファイルに関し、ファイルパス名41Gと、データサイズ41Hと、更新日時41Iとを管理する。尚、ファイルパス名41Gは、操作開始時点のファイルの所在を示す識別情報に相当する。データサイズ41Hは、操作開始時点のファイルのデータ量等のサイズ情報に相当する。更新日時41Iは、操作開始時点のファイルの更新日時に相当する。たとえば、元ファイルの更新日時41Iは、ファイルのプロパティ情報から取得される。つまり、操作ログで対象とするファイルが前回更新された日時の情報である。先ファイル41Fは、操作終了時点のファイルに関し、ファイルパス名41Jと、データサイズ41Kと、更新日時41Lとを管理する。尚、ファイルパス名41Jは、操作終了時点のファイルの所在を示す識別情報に相当する。データサイズ41Jは、操作終了時点のファイルのデータ量に相当する。更新日時41Lは、操作終了時点のファイルの更新日時に相当する。なお、操作ログの1レコードは、あるファイルに対する1操作ごとにクライアント端末2にて生成され、管理サーバ3で管理される。つまり、あるファイルに対する1つの操作ログによって、元ファイルに対する1つの操作の結果である先ファイルが管理される。
The
図3は、ファイルパス確度テーブル42の一例を示す説明図である。図3に示すファイルパス確度テーブル42は、ファイルパスの比較定義42Aに対応付けて確度42Bを管理している。尚、ファイルパスの比較定義42Aとは、ファイルパス同士を比較する際の定義である。
FIG. 3 is an explanatory diagram showing an example of the file path accuracy table 42. The file path accuracy table 42 shown in FIG. 3 manages the
例えば、比較定義42Aが“フルパスで完全一致”の場合、確度42Bは“5”となる。比較定義42Aが“ドライブ名以外完全一致”の場合、確度42Bは“4”となる。比較定義42Aが“フォルダ名以降が一致”の場合、確度42Bは”3“となる。比較定義42Aが“ファイル名のみ一致”の場合、確度42Bは“2”となる。比較定義42Aが“ファイル名の一部が一致”の場合、確度42Bは“1”となる。
For example, when the
では、ファイルパスの比較定義42Aを具体的な例を挙げて説明する。例えば、指定ファイルのファイルパスを“C:\AAA\BBB\CCC.txt”とする。この際、指定ファイルと比較する比較対象ファイルのファイルパスが“C:\AAA\BBB\CCC.txt”の場合、比較定義42Aは“フルパス完全一致”となる。その結果、確度42Bは“5”となる。また、比較対象ファイルのファイルパスが“F:\AAA\BBB\CCC.txt”の場合、比較定義42Aは“ドライブ名以外完全一致”となる。その結果、確度42Bは“4”となる。なお、ドライブレターを割り当てられたドライブ以外であっても、確度が設定される。つまり、“F:\AAA\BBB\CCC.txt”に対して、“\\ServerName\AAA\BBB\CCC.txt”や“\\192.168.0.3\AAA\BBB\CCC.txt”のようなパス構成であっても、指定ファイルと比較対象ファイルとは一致する可能性が高いと推定することができる。
Now, the file
また、比較対象ファイルのファイルパスが“E:\BBB\CCC.txt”の場合、比較定義42Aは“フォルダ名以降が一致”となる。その結果、確度42Bは“3”となる。また、比較対象ファイルのファイルパスが“C:\DDD\CCC.txt”の場合、比較定義42Aは“ファイル名のみ一致”となる。その結果、確度42Bは“2”となる。また、比較対象ファイルのファイルパスが“C:\DDD\CCCEE.txt”の場合、比較定義42Aは“ファイル名の一部が一致”となる。その結果、確度42Bは“1”となる。
Also, when the file path of the comparison target file is “E: \ BBB \ CCC.txt”, the
図4は、データサイズ確度テーブル43の一例を示す説明図である。図4に示すデータサイズ確度テーブル43は、データサイズの比較定義43Aに対応付けて確度43Bを管理している。尚、データサイズの比較定義43Aとは、ファイル同士のデータサイズを比較する際の定義である。例えば、比較定義43Aが“完全一致”の場合、確度43Bは“0.5”となる。比較定義43Aが“データサイズ差±5%以内”の場合、確度43Bは“0.3”となる。比較定義43Aが“データサイズ差±10%以内”の場合、確度43Bは”0.1“となる。
FIG. 4 is an explanatory diagram showing an example of the data size accuracy table 43. The data size accuracy table 43 shown in FIG. 4 manages the
図5は、トレース結果格納部44の一例を示す説明図である。図5に示すトレース結果格納部44は、指定ファイルと一致する確度の高いファイルに関わる操作ログを追跡するファイル追跡機能を使用して順次抽出した操作ログをトレース結果として格納する。尚、バックトレース方向のファイル追跡の場合、トレース結果格納部44は、指定ファイルに関わる操作ログの操作日時以前の操作ログから指定ファイルと一致する確度が閾値以上のファイルの操作ログをトレース結果として順次格納する。また、フォワードトレース方向のファイル追跡機能の場合、トレース結果格納部44は、指定ファイルに関わる操作ログの操作日時以降の操作ログから指定ファイルと一致する閾値以上のファイルの操作ログをトレース結果として順次格納する。
FIG. 5 is an explanatory diagram illustrating an example of the trace
トレース結果格納部44は、操作日時44A、PC名44B、ユーザ名44C、操作区分44D、元ファイル44E、先ファイル44F及び確度44Gを含む操作ログのトレース結果を格納する。尚、操作日時44Aは、例えば、参照、作成、更新、削除、複写、印刷、移動や変名等のファイルに関わる操作が終了した日時に相当する。PC名44Bは、ファイル操作を実行したクライアント端末2等のマシン名に相当する。ユーザ名44Cは、ファイル操作を実行したクライアント端末2のログオンのユーザ名に相当する。操作区分44Dは、例えば、参照、作成、更新、削除、複写、変名や印刷等の操作区分に相当する。元ファイル44Eは、操作開始時点のファイルに関し、ファイルパス名と、データサイズと、更新日時とを管理する。先ファイル44Fは、操作終了時点のファイルに関し、ファイルパス名と、データサイズと、更新日時とを管理する。確度44Gは、操作ログに関わる確度に相当する。
The trace
サーバ側制御部13は、抽出部51と、比較部52と、算出部53と、制御部54とを有する。抽出部51は、指定ファイルの指定操作を検知すると、ファイルパス及びデータサイズを含むファイルの操作ログを記憶した操作ログデータベース41から指定ファイルのファイルパスに類似するファイルパスを含む比較対象ファイルの操作ログを抽出する。尚、指定ファイルの指定操作とは、例えば、管理コンソール4からファイル追跡の対象とする指定ファイルの指示を受付ける操作等に相当する。例えば、管理者は、管理サーバ3へアクセスし、操作ログを閲覧することができる。管理者は、閲覧している操作ログから所望の操作ログを指定する。指定された操作ログの情報は、管理コンソール4から管理サーバ3へ送信され、管理サーバ3は、受信した操作ログの情報に対応する先ファイルを指定ファイルとして、バックトレースやフォワードトレースを行うとしても良い。また、管理者が、単にファイルパスを入力するとしても良い。この場合は、入力されたファイルパスを管理サーバ3が受付けたことで、指定操作が実行されるとしても良い。
The server
抽出部51は、指定ファイルに関わるバックトレース方向でファイル追跡する場合、指定ファイルの操作日時以前の操作ログの内、指定ファイルの元ファイルのファイルパスに類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出する。尚、抽出部51は、第一の抽出部及び第二の抽出部として動作する。
When the
更に、抽出部51は、比較対象ファイルの操作ログを抽出すると、この比較対象ファイルを次の指定ファイルとする。更に、抽出部51は、次の指定ファイルの元ファイルのファイルパスに類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出する。
Further, when extracting the operation log of the comparison target file, the
比較部52は、ファイルパス比較部52Aと、データサイズ比較部52Bとを有する。ファイルパス比較部52Aは、第一の比較部として動作し、抽出部51にて比較対象ファイルの操作ログを抽出すると、指定ファイルの元ファイルのファイルパスと比較対象ファイルの先ファイルのファイルパスとを比較する。更に、データサイズ比較部52Bは、第二の比較部として動作し、指定ファイルの元ファイルのデータサイズと比較対象ファイルの先ファイルのデータサイズとを比較する。
The
算出部53は、ファイルパス比較部52Aによるファイルパスの比較結果に相当する比較定義42Aに対応したファイルパスの確度42Bをファイルパス確度テーブル42から取得する。算出部53は、データサイズ比較部52Bによるデータサイズの比較結果に相当する比較定義43Aに対応したデータサイズの確度43Bをデータサイズ確度テーブル43から取得する。算出部53は、ファイルパスの確度とデータサイズの確度とを加算し、その加算結果を指定ファイルと比較対象ファイルとが一致するファイル同一性の確度として算出する。尚、算出部53は、ファイルパスの確度が“3”及びデータサイズの確度が“0.5”の場合、ファイル同士が一致するファイル同一性の確度は“3”+“0.5”=“3.5”となる。なお、算出方法は加算に限らず乗算等でも良い。
The
制御部54は、ファイル同一性の確度が閾値以上であるか否かを判定する。尚、閾値は、例えば“1”とする。制御部54は、ファイル同一性の確度が閾値以上である場合に、指定ファイルに関わる比較対象ファイルの操作ログに、その確度44Gを対応付けてトレース結果としてトレース結果格納部44に格納する。また、抽出部51は、ファイル同一性の確度が閾値以上でない場合に、指定ファイルの元ファイルのファイルパスに類似する先ファイルのファイルパスを含む新たな比較対象ファイルの操作ログを抽出する。尚、抽出部51は、トレース結果格納部44に格納するトレース結果の格納個数が規定個数を超えた場合、又は、新たな比較対象ファイルの操作ログが抽出できなくなるまで、操作ログの抽出動作を継続する。また、抽出部51は、指定ファイルのファイルパスに類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログが操作ログデータベース41内に複数ある場合、これら全ての比較対象ファイルの操作ログを抽出するまで、操作ログの抽出動作を継続する。
The
図1に示す管理コンソール4は、例えば、パソコン等に相当し、管理側通信部21と、管理側表示部22と、管理側操作部23と、管理側記憶部24と、管理側制御部25とを有する。管理側通信部21は、管理サーバ3と通信接続する。管理側表示部22は、各種情報を画面表示する、例えばモニタ部に相当する。管理側操作部23は、各種情報を入力する、例えばマウスやキーボード等に相当する。管理側記憶部24は、各種情報を記憶する。管理側制御部25は、管理コンソール4全体を制御する。尚、管理コンソール4は、設定操作に応じて、サーバ側記憶部12内のファイルパス確度テーブル42及びデータサイズ確度テーブル43内の比較定義や確度内容等を適宜変更できる。
The
クライアント端末2は、例えば、パソコン等に相当し、操作部31と、表示部32と、記憶部33と、通信部34と、制御部35とを有する。操作部31は、各種情報を入力する、例えばマウスやキーボード等に相当する。表示部32は、各種情報を画面表示する、例えばモニタ部に相当する。記憶部33は、各種情報を記憶する部位である。通信部34は、管理サーバ3と通信接続すると共に、図示せぬネットワークに通信接続する部位である。また、クライアント端末2は、ログオンのユーザ名を変えて複数のユーザで使用可能とするマルチユーザ方式を採用している。
The
次に、実施例1のログ管理システム1の動作について説明する。図6は、操作ファイルトレース処理に関わるサーバ側制御部13の処理動作を示すフローチャートである。図6においてサーバ側制御部13は、管理コンソール4側の指定操作によるトレース対象の指定ファイルを検知する(ステップS11)。サーバ側制御部13は、抽出部51を通じて、指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを操作ログデータベース41から抽出したか否かを判定する(ステップS12)。ここで、サーバ側制御部13は、指定ファイル内の元ファイルのファイルパスにおけるファイル名の一部が一致するファイルパスを有する操作ログを抽出する。なお、ここで、該当する操作ログを全て抽出し、抽出した全ての操作ログに対して、以下の処理を実行するとしても良い。
Next, the operation of the
サーバ側制御部13は、指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出した場合に(ステップS12肯定)、後述する図7に示す確度算出処理を実行する(ステップS13)。尚、確度算出処理は、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出する。
When the server-
サーバ側制御部13は、確度算出処理にてファイル同一性の確度を算出した後、制御部54を通じて、このファイル同一性の確度が閾値以上であるか否かを判定する(ステップS13A)。サーバ側制御部13は、ファイル同一性の確度が閾値以上である場合に(ステップS13A肯定)、当該比較対象ファイルの操作ログに確度を対応付けたトレース結果をトレース結果格納部44に格納する(ステップS14)。サーバ側制御部13は、トレース結果をトレース結果格納部44に格納すると、トレース結果格納個数を+1インクリメントし(ステップS15)、トレース結果の格納個数が規定個数以内であるか否かを判定する(ステップS16)。
After calculating the file identity accuracy in the accuracy calculation process, the server-
サーバ側制御部13は、トレース結果の格納個数が規定個数以内である場合に(ステップS16肯定)、当該比較対象ファイルの操作ログを次の指定ファイルの操作ログとする。更に、サーバ側制御部13は、抽出部51を通じて、当該次の指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを操作ログデータベース41から抽出したか否かを判定する(ステップS17)。
When the stored number of trace results is within the specified number (Yes in step S16), the server-
サーバ側制御部13は、次の指定ファイル内の元ファイルのファイルパスと類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出した場合に(ステップS17肯定)、ファイル同一性の確度を算出すべく、ステップS13に移行する。
When the server-
また、サーバ側制御部13は、比較対象ファイルの操作ログが抽出できない場合に(ステップS17否定)、ステップS11で検知した指定ファイルに関わる他の比較対象ファイルの操作ログを抽出したか否かを判定する(ステップS18)。つまり、サーバ側制御部13は、ステップS11で検知した指定ファイルのファイルパスと類似する先のファイルのファイルパスを含む他の比較対象ファイルの操作ログを操作ログデータベース41から抽出したか否かを判定する。サーバ側制御部13は、他の比較対象ファイルの操作ログを抽出した場合に(ステップS18肯定)、後述する確度算出処理を実行すべく、ステップS13に移行する。また、サーバ側制御部13は、他の比較対象ファイルの操作ログが抽出できない場合に(ステップS18否定)、トレース結果格納部44に格納された指定ファイルに関わるトレース結果を管理コンソール4に提示し(ステップS19)、図6に示す処理動作を終了する。尚、管理コンソール4は、管理サーバ3からの指定ファイルに関わるトレース結果を管理側表示部22に画面表示する。その結果、管理者は、管理側表示部22の表示内容を見て、指定ファイルと一致する確度の高いファイルの軌跡に関わるトレース結果を認識できる。
Further, when the operation log of the comparison target file cannot be extracted (No at Step S17), the server
また、サーバ側制御部13は、トレース結果の格納個数が規定個数以内でない場合に(ステップS16否定)、他の比較対象ファイルの操作ログを抽出すべく、ステップS18に移行する。
If the number of trace results stored is not less than the specified number (No at Step S16), the server
また、サーバ側制御部13は、比較対象ファイルの操作ログが抽出できない場合に(ステップS12否定)、図6に示す処理動作を終了する。また、サーバ側制御部13は、確度が閾値以上でない場合に(ステップS13A否定)、新たな操作ログを抽出すべく、ステップS12に移行する。
Moreover, the server
図6に示す操作ファイルトレース処理では、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度が閾値以上の場合、当該操作ログに確度を対応付けたトレース結果をトレース結果格納部44に順次格納する。そして、管理サーバ3は、トレース結果格納部44に格納したトレース結果を管理コンソール4の表示画面上に提示するので、管理者は、指定ファイルのファイル元を追跡できる。上述のとおり、あるファイルに対して1つの操作が行われたのみであれば、1つの操作ログに含まれる元ファイルと先ファイルとで追跡が可能である。しかし、複数の操作がなされることで、クライアント端末2にて複数の操作ログが生成されるため、ファイルトレースを行う管理サーバ3は、操作ログ間の関連性を特定する必要がある。上述の処理によって、管理サーバ3は、関連する操作ログを特定し、ファイルを追跡することができる。
In the operation file trace processing shown in FIG. 6, if the accuracy of the file identity where the specified file matches the comparison target file is equal to or greater than the threshold value, the trace result in which the accuracy is associated with the operation log is sequentially stored in the trace
さらに、クライアント端末2が複数存在する場合や、ファイル操作を実行するユーザが複数存在する場合は、あるファイルが複数クライアント端末2または複数ユーザによって操作されることがある。この場合には、各クライアント端末2において、あるファイルに関連する操作ログが大量に生成される可能性がある。したがって、本実施例のように、管理サーバ3が包括的に管理することで、管理サーバ3が管理する複数のクライアント端末2やユーザ内では、ファイルトレースをより広く実行できる。
Furthermore, when there are a plurality of
図7は、確度算出処理に関わるサーバ側制御部13の処理動作を示すフローチャートである。図7においてサーバ側制御部13は、ファイルパス比較部52Aを通じて、指定ファイルの元ファイルのファイルパスと比較対象ファイルの先ファイルのファイルパスとを比較する(ステップS21)。サーバ側制御部13は、算出部53を通じて、ファイルパス同士の比較結果に相当する比較定義42Aに対応したファイルパスの確度42Bをファイルパス確度テーブル42から取得する(ステップS22)。
FIG. 7 is a flowchart showing the processing operation of the server-
更に、サーバ側制御部13は、データサイズ比較部52Bを通じて、指定ファイルの元ファイルのデータサイズと比較対象ファイルの先ファイルのデータサイズとを比較する(ステップS23)。サーバ側制御部13は、算出部53を通じて、データサイズ同士の比較結果に相当する比較定義43Aに対応したデータサイズの確度43Bをデータサイズ確度テーブル43から取得する(ステップS24)。
Further, the server
サーバ側制御部13は、算出部53を通じて、ファイルパスの確度及びデータサイズの確度を加算して指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出し(ステップS25)、図7に示す処理動作を終了する。
The server-
図7に示す確度算出処理では、指定ファイル及び比較対象ファイル間のファイルパスの確度及びデータサイズの確度に基づき、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出する。その結果、ファイル同一性の確度に関わる精度の向上を図ることができる。 In the accuracy calculation process shown in FIG. 7, the accuracy of the file identity that matches the specified file and the comparison target file is calculated based on the accuracy of the file path between the specified file and the comparison target file and the accuracy of the data size. As a result, it is possible to improve accuracy related to the accuracy of file identity.
実施例1では、ファイルに関わる複数の操作ログの内、ファイルパスの確度及びデータサイズの確度に基づき、指定ファイルと比較対象ファイルとが一致するファイル同一性の確度を算出する。その結果、ファイルパスの他に、データサイズを加味することで、ファイル同一性の確度を推定する際の精度の向上が図れる。 In the first embodiment, based on the accuracy of the file path and the accuracy of the data size among the plurality of operation logs related to the file, the accuracy of the file identity that matches the specified file and the comparison target file is calculated. As a result, the accuracy when estimating the accuracy of file identity can be improved by taking into account the data size in addition to the file path.
実施例1では、ファイル同一性の確度を推定する際の精度の向上が図れることで、指定ファイルの元ファイルを追跡する際の追跡精度の向上が図れる。 In the first embodiment, since the accuracy when estimating the accuracy of file identity can be improved, the tracking accuracy when tracking the original file of the specified file can be improved.
実施例1では、ファイルパスの比較結果に対応するファイルパス確度をファイルパス確度テーブル42から取得し、データサイズの比較結果に対応するデータサイズの確度をデータサイズ確度テーブル43から取得する。その結果、ファイル同士のファイルパスの確度及びデータサイズの確度を簡単に取得できる。 In the first embodiment, the file path accuracy corresponding to the file path comparison result is acquired from the file path accuracy table 42, and the data size accuracy corresponding to the data size comparison result is acquired from the data size accuracy table 43. As a result, the accuracy of the file path between the files and the accuracy of the data size can be easily obtained.
実施例1では、データサイズの確度が高くなるに応じて、ファイル同士が一致する確度が高まる。その結果、例えば、ファイルパスが同一の場合でもデータサイズを加味することでファイル同一性の確度を推定する際の精度の向上が図れる。 In the first embodiment, as the accuracy of the data size increases, the accuracy of matching files increases. As a result, for example, even when the file paths are the same, the accuracy in estimating the file identity accuracy can be improved by taking the data size into consideration.
実施例1では、操作開始時点のファイル、すなわち元ファイルのデータサイズと、操作終了時点のファイル、すなわち先ファイルのデータサイズとを含めてファイル操作に対する操作ログとして記録した。その結果、管理サーバ3は、操作開始時点及び操作終了時点のファイルのデータサイズを認識できる。 In the first embodiment, the operation log for the file operation is recorded including the file size at the start of the operation, that is, the data size of the original file, and the file at the end of the operation, that is, the data size of the destination file. As a result, the management server 3 can recognize the data size of the file at the operation start point and the operation end point.
また、実施例1では、図8乃至図10の条件下でファイル同士のファイル追跡を実現できる。図8は、同一クライアント端末2内でドライブ変更してファイルを複写した場合の一例を示す説明図である。同一クライアント端末2が同一ドライブ“D:\”のフォルダ“\A”でファイルaをファイルbとして複写する場合には、操作ログの元ファイルは“D:\A\a”、先ファイルは“D:\A\b”、操作区分は“複写”となる。更に、クライアント端末2がドライブ“D:\”をドライブ“E:\”に変更した後、クライアント端末2がファイルbをファイルcとして複写した場合には、操作ログの元ファイルは“E:\A\b”、先ファイルは“E:\A\c”、操作区分は“複写”となる。指定ファイルの元ファイル“E:\A\b”は、比較対象ファイルの先ファイル“D:\A\b”と異なる。
In the first embodiment, file tracking between files can be realized under the conditions shown in FIGS. FIG. 8 is an explanatory diagram showing an example when a file is copied by changing the drive in the
しかしながら、管理サーバ3は、同一内容のファイルがドライブ変更して複写した場合でも、指定ファイル内の元ファイルのファイルパス“E:\A\b”と部分的に類似する先ファイルのファイルパス“D:\A\b”を含む比較対象ファイルの操作ログを抽出できる。従って、“ドライブ名以外完全一致”のファイルパスの確度“4”を取得する。その結果、ファイルパスの確度のみで閾値以上になるため、この操作ログをトレース結果としてトレース結果格納部44に格納する。しかも、ファイルパスの他に、データサイズをも加味することで、指定ファイルと比較対象ファイルとのファイル追跡を実現できる。例えば、ある操作が終了した時点のファイルサイズと、他の操作を開始した時点のファイルサイズとの一致度が高ければ、ある操作がなされたファイルに対して、他の操作がなされた可能性が高いと推定できる。
However, even when a file with the same contents is copied by changing the drive, the management server 3 copies the file path “of the destination file partially similar to the file path“ E: \ A \ b ”of the original file in the specified file. Operation logs of comparison target files including “D: \ A \ b” can be extracted. Therefore, the accuracy “4” of the file path “complete match except drive name” is acquired. As a result, since only the accuracy of the file path exceeds the threshold, this operation log is stored in the trace
図9は、クライアント端末2A及び2B間でファイル操作した場合の一例を示す説明図である。クライアント端末2A内でファイルaをファイルcとして複写する場合には(ステップS101)、ステップS101に関わる操作ログの元ファイルは“C:\a”、先ファイルは“C:\c”、操作区分は“複写”となる。更に、クライアント端末2A内でファイルbをUSBメモリ6にファイルbとして複写する場合に(ステップS102)、クライアント端末2Aは、USBメモリ6をFドライブとして認識する。この際、ステップS102に関わる操作ログの元ファイルは“C:\b”、先ファイルは“F:\b”、操作区分は“複写”となる。
FIG. 9 is an explanatory diagram showing an example when a file operation is performed between the
更に、クライアント端末2Bが、USBメモリ6内に複写したファイルbをファイルeとして複写する場合に(ステップS103)、クライアント端末2Bは、USBメモリ6をGドライブとして認識する。この際、ステップS103に関わる操作ログの元ファイルは“G:\b”、先ファイルは“C:\e”、操作区分は“複写”となる。
Further, when the
また、クライアント端末2Bがファイルaを印刷する場合に(ステップS104)、ステップS104に関わる操作ログの元ファイルは“C:\a”、操作区分は“印刷”となる。更に、クライアント端末2Bがファイルaをファイルdとして複写する場合に(ステップS105)、ステップS105に関わる操作ログの元ファイルは“C:\a”、先ファイルは“C:\d”、操作区分は“複写”となる。
When the
例えば、管理サーバ3は、管理コンソール4から指定ファイルeのファイル軌跡を実行する場合、指定ファイルeの先ファイル“C:\e”に対応した元ファイル“G:\b”の比較対象ファイルのステップS103の操作ログを抽出する。更に、管理サーバ3は、当該指定ファイルの元ファイル“G:\b”に部分的に類似する先ファイル“F:\b”の比較対象ファイルのステップS102の操作ログを抽出する。その結果、管理サーバ3は、指定ファイルeのファイル軌跡としてステップS102及びステップS103の操作ログに関わるトレース結果に基づき、“C:\e”→“G:\b”→“F:\b”→“C:\b”をトレース結果として管理コンソール4の表示画面上に提示する。
For example, when the management server 3 executes the file locus of the specified file e from the
つまり、同一ファイルがドライブ変更して複写された場合でも、指定ファイル内の元ファイルのファイルパスと部分的に類似する先ファイルのファイルパスを含む比較対象ファイルの操作ログを抽出できる。USBメモリ6を跨ったとしても、ファイルパス及びデータサイズを使用して、指定ファイル及び比較対象ファイル間のファイル追跡を実現できる。
That is, even when the same file is copied by changing the drive, the operation log of the comparison target file including the file path of the destination file partially similar to the file path of the original file in the specified file can be extracted. Even if the
図10は、ファイルサーバ内の共有フォルダ内にある同一ファイルを複数のクライアント端末2に複写した場合の一例を示す説明図である。クライアント端末2Aは、共有フォルダを“\\192.168.0.3\aaa”と認識する。これに対して、クライアント端末2Bは、共有フォルダを“\\FileSV3\aaa”と認識する。そして、クライアント端末2A及び2Bは、ファイルサーバ7内の共有フォルダに格納したファイルaをファイルbとして複写したとする。
FIG. 10 is an explanatory diagram showing an example when the same file in the shared folder in the file server is copied to a plurality of
この際、クライアント端末2Aのファイルb及びクライアント端末2Bのファイルbは、共有フォルダの認識名が異なるため、ファイル内容が同一であるにもかかわらず、ファイルパスも異なる。しかしながら、実施例1では、クライアント端末2Aのファイルパスとクライアント端末2Bのファイルパスとが部分的に類似し、しかも、データサイズも使用することで、ファイル間のファイル追跡を実現できる。
At this time, since the file b of the client terminal 2A and the file b of the
実施例1では、同一クライアント端末2内で同一ファイルのドライブレターを変更してファイルを複写した場合でも、ファイルパス及びデータサイズを使用して、ファイル間のファイル追跡を実現できる。
In the first embodiment, even when the drive letter of the same file is changed and the file is copied in the
実施例1では、クライアント端末2からファイルをUSBメモリ6等の可搬の外部記録媒体に複写してファイルのドライブレターが変更される場合でも、ファイルパス及びデータサイズを使用して、ファイル間のファイル追跡を実現できる。
In the first embodiment, even when the file is transferred from the
実施例1では、クライアント端末2内のファイルを可搬の外部記録媒体に複写し、この外部記録媒体のファイルを他のクライアント端末2に複写してファイルのドライブレターが変更される場合でも、ファイルパス及びデータサイズを使用して、ファイル間のファイル追跡を実現できる。
In the first embodiment, even when the file in the
尚、上記実施例1では、ファイルパスの確度及びデータサイズの確度に基づき指定ファイル及び比較対象ファイル間のファイル同一性の確度を算出した。しかしながら、このファイル同一性の確度を推定する際の精度の向上が図れるため、ファイルパス及びデータサイズの他に、ファイル更新日時等の更新日時情報を加味するようにしても良い。 In the first embodiment, the accuracy of the file identity between the specified file and the comparison target file is calculated based on the accuracy of the file path and the accuracy of the data size. However, since the accuracy in estimating the accuracy of the file identity can be improved, update date / time information such as file update date / time may be considered in addition to the file path and data size.
そこで、この場合の実施例について説明する。尚、上記実施例1のログ管理システム1と同一の構成には同一符号を付すことで、その重複する構成及び動作の説明については省略する。図11は、実施例2の確度算出処理に関わるサーバ側制御部13の処理動作を示すフローチャートである。
Therefore, an embodiment in this case will be described. The same components as those in the
図11においてサーバ側制御部13は、ステップS21〜ステップS24の処理動作を実行することで、ファイルパスの確度及びデータサイズの確度を取得する。更に、サーバ側制御部13は、比較部52を通じて、指定ファイルの元ファイルのファイル更新日時と比較対象ファイルの先ファイルのファイル更新日時とを比較する(ステップS31)。サーバ側制御部13は、算出部53を通じて、ファイル更新日時同士の比較結果に相当する比較定義に対応したファイル更新日時の確度を図示せぬ更新日時テーブルから取得する(ステップS32)。尚、更新日時テーブルは、例えば、サーバ側記憶部12内に管理し、ファイル更新日時が完全一致した場合に、例えば、確度“1”を管理しているものとする。
In FIG. 11, the server-
サーバ側制御部13は、算出部53を通じて、ファイルパスの確度、データサイズの確度及びファイル更新日時の確度を加算して、ファイル同士が一致するファイル同一性の確度を算出し(ステップS33)、図11に示す処理動作を終了する。
The server-
図11に示す確度算出処理では、指定ファイル及び比較対象ファイル間のファイルパスの確度、データサイズの確度及びファイル更新日時の確度に基づき、ファイル同一性の確度を算出する。その結果、ファイル同一性の確度を推定する際の精度の大幅向上が図れる。 In the accuracy calculation process shown in FIG. 11, the accuracy of the file identity is calculated based on the accuracy of the file path between the specified file and the comparison target file, the accuracy of the data size, and the accuracy of the file update date and time. As a result, the accuracy in estimating the accuracy of file identity can be greatly improved.
なお、図11に示す確度算出処理では、データサイズ比較処理を実行したあとに、ファイル更新日時比較を行うこととしたが、順序はこれに限定されない。また、データ比較処理を行わずに、ファイル更新日時の比較のみを行って、確度を算出するとしても良い。 In the accuracy calculation process shown in FIG. 11, the file update date / time comparison is performed after the data size comparison process is executed, but the order is not limited to this. Alternatively, the accuracy may be calculated by comparing only the file update date and time without performing the data comparison process.
実施例2では、ファイルに関わる複数の操作ログの内、ファイルパスの確度、データサイズの確度及びファイル更新日時に基づき、指定ファイル及び比較対象ファイル間のファイル同一性の確度を算出する。その結果、ファイル同一性の確度に関わる精度の大幅向上を図ることができる。 In the second embodiment, the file identity accuracy between the specified file and the comparison target file is calculated based on the file path accuracy, the data size accuracy, and the file update date and time among the plurality of operation logs related to the file. As a result, the accuracy related to the accuracy of file identity can be greatly improved.
尚、上記実施例2の算出部53は、例えば、ファイルパスの確度が“4”、データサイズの確度が“0.5”、ファイル更新日時の確度が“1”の場合、ファイル同一性の確度は“4+0.5+1=5.5”の如く単純に加算することで、ファイル同一性の確度を算出した。しかしながら、データサイズが“完全一致”で確度が“0.5”、ファイル更新日時が“完全一致”で確度が“1”の場合は、ファイル同一性の確度が高いと判断し、単純に加算して“1.5”とせず、重み付けのために“+1”を加算して“2.5”としても良い。
Note that the
尚、上記実施例1では、ファイル同一性の確度を算出する際、ファイルパスの確度の他に、データサイズの確度を加味するようにしたが、データサイズの代わりにファイル更新日時の確度を加味するようにしても良い。 In the first embodiment, when calculating the accuracy of the file identity, the accuracy of the data size is considered in addition to the accuracy of the file path. However, the accuracy of the file update date is considered instead of the data size. You may make it do.
上記実施例1では、ファイル同一性の確度を算出する際、ファイルパスの確度を取得した後、データサイズの確度を取得したが、データサイズの確度を取得後、ファイルパスの確度を取得、又は、データサイズ及びファイルパスの確度を同時に取得しても良い。つまり、確度取得の順序は適宜変更可能である。 In the first embodiment, when calculating the accuracy of the file identity, the accuracy of the data size is acquired after acquiring the accuracy of the file path, but the accuracy of the file path is acquired after acquiring the accuracy of the data size, or The data size and the file path accuracy may be acquired at the same time. That is, the order of accuracy acquisition can be changed as appropriate.
上記実施例では、管理サーバ3がクライアント端末2のファイルに関わる操作ログを自動収集し、この収集した操作ログを操作ログデータベース41に記録する。
In the above embodiment, the management server 3 automatically collects operation logs related to the files of the
上記実施例では、ファイルパス、データサイズ又はファイル更新日時の確度を比較定義毎に設定したが、その定義及び確度の数値は適宜設定変更が可能である。 In the above embodiment, the accuracy of the file path, data size, or file update date / time is set for each comparison definition, but the definition and the numerical value of the accuracy can be appropriately changed.
また、図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。 In addition, each component of each part illustrated does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each part is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed / integrated in arbitrary units according to various loads and usage conditions. Can be configured.
更に、各装置で行われる各種処理機能は、CPU(Central Processing Unit)(又はMPU(Micro Processing Unit)、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部又は任意の一部を実行するようにしても良い。また、各種処理機能は、CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしても良いことは言うまでもない。 Furthermore, various processing functions performed in each device are performed on a CPU (Central Processing Unit) (or a microcomputer such as an MPU (Micro Processing Unit), MCU (Micro Controller Unit), etc.) in whole or in part. You may make it perform. Various processing functions may be executed entirely or arbitrarily on a program that is analyzed and executed by a CPU (or a microcomputer such as an MPU or MCU) or hardware based on wired logic. Needless to say.
ところで、本実施例で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することによって実現することができる。そこで、以下では、図12を用いて、上記の実施例と同様の機能を有するプログラムを実行するコンピュータの一例を説明する。図12は、ログ管理プログラムを実行するコンピュータを示す説明図である。 By the way, the various processes described in the present embodiment can be realized by executing a prepared program on a computer. In the following, an example of a computer that executes a program having the same function as that of the above embodiment will be described with reference to FIG. FIG. 12 is an explanatory diagram of a computer that executes a log management program.
図12に示すように、ログ管理プログラムとしてのコンピュータ200は、HDD(Hard Disk Drive)210、RAM(Random Access Memory)220、ROM(Read Only Memory)230及びCPU240をバス250で接続して構成される。
As shown in FIG. 12, a computer 200 as a log management program is configured by connecting a hard disk drive (HDD) 210, a random access memory (RAM) 220, a read only memory (ROM) 230, and a
そして、ROM230には、上記の実施例と同様の機能を発揮するログ管理プログラムが予め記憶されている。ログ管理プログラムとしては、図12に示すように、受付プログラム231、第一抽出プログラム232、第二抽出プログラム233、第一比較プログラム234、第二比較プログラム235及び算出プログラム236である。尚、プログラム231〜236については、図1に示した管理サーバ3の各構成要素と同様、適宜統合又は分散してもよい。
The
そして、CPU240が、これらのプログラム231〜236をROM230から読み出して実行する。そして、図12に示すように、各プログラム231〜236は、受付プロセス241、第一抽出プロセス242、第二抽出プロセス243、第一比較プロセス244、第二比較プロセス245及び算出プロセス246として機能するようになる。
Then, the
CPU240は、ファイルを識別する識別情報を受付ける。CPU240は、前記ファイルを含む複数のファイルに対する操作ごとに、前記識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶したHDD210から、受付けた該識別情報を有する該操作ログを抽出する。CPU240は、前記操作ログとは異なる他の操作ログを、前記HDD210から抽出する。CPU240は、前記操作ログに含まれる識別情報と、前記他の操作ログに含まれる他の識別情報とを比較する。CPU240は、前記操作ログに含まれるサイズ情報と、前記他の操作ログに含まれる他のサイズ情報とを比較する。更に、CPU240は、前記識別情報同士の比較結果及び前記サイズ情報の比較結果に基づいて、前記識別情報が示すファイルと、前記他の識別情報が示す他のファイルとの関連度を示す確度を算出する。その結果、関連度、例えば、ファイル同一性の確度を推定する際の精度の向上が図れる。
1 ログ管理システム
2 クライアント端末
3 管理サーバ
4 管理コンソール
41 操作ログデータベース
42 ファイルパス確度テーブル
43 データサイズ確度テーブル
44 トレース結果格納部
51 抽出部
52 比較部
52A ファイルパス比較部
52B データサイズ比較部
53 算出部
54 制御部
DESCRIPTION OF
Claims (8)
ファイルを識別する識別情報を受付け、
ファイルに対する操作ごとに、該ファイルを識別する識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部を参照して、受付けた前記識別情報を有する操作ログ及び、前記識別情報を有する操作ログとは異なる他の操作ログを抽出し、
抽出した前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との比較の結果及び、前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと前記他の操作ログに含まれる識別情報が示すファイルとの同一性の確度を算出し、
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する
処理を実行させることを特徴とするログ管理プログラム。 On the computer,
It accepted the identification information that identifies the file,
For each operation on file, by referring to the storage unit that stores the operation log and a size information indicating the data size of the identification information and the file that identifies the file, the operation log has the identification information received and, Extracting another operation log different from the operation log having the identification information ;
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and the size information included in the size information and the previous SL other operation log contained in the operation log based on the comparison results, it calculates the likelihood of identity with the file identified by the identification information included in the file and before Symbol another operation log indicated by the identification information received,
A log management program for executing a process of associating and outputting information relating to the operation log and the other operation log when the calculated accuracy is equal to or greater than a threshold value .
前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との一致度と、該一致度における値とを対応付けて格納した前記記憶部を参照し、前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との比較の結果に応じた該値を取得し、
前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との一致度と、一致度における他の値とを対応付けて格納した前記記憶部を参照し、前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との比較の結果に応じた該他の値を取得し、
前記値と前記他の値とに基づいて、前記確度を算出することを特徴とする請求項1に記載のログ管理プログラム。 In the process of calculating the accuracy ,
Referring to the identification information included in the operation log and degree of coincidence between the identification information included in the other operation log, the storage unit which stores in association with each value in the matching degree, it included in the operation log Obtaining the value according to the comparison result between the identification information and the identification information included in the other operation log ;
Referring the degree of coincidence between the size information included in the other operation log and size information included in the operation log, the storage unit which stores in association with other values in the matching degree, included in the operation log Obtain the other value according to the result of the comparison between the size information and the size information included in the other operation log ,
Based on the said other value and the value, log management program according to claim 1, characterized in that to calculate the likelihood.
処理を実行させることを特徴とする請求項1又は2に記載のログ管理プログラム。 When the end of the operation on the file is detected, the process includes storing the data size of the file at the end of the operation as the size information in the operation log and storing the operation log in the storage unit. The log management program according to claim 1 or 2 .
前記識別情報を受け付ける前に、前記コンピュータと通信するクライアント装置から前記操作ログを受信し、
前記クライアント装置とは異なる他のクライアント装置から前記他の操作ログを受信し、
前記操作ログを前記記憶部に格納し、
前記他の操作ログを前記記憶部に格納する
処理を実行させることを特徴とする請求項1〜3の何れか一つに記載のログ管理プログラム。 In the computer,
Before receiving the identification information , receive the operation log from a client device that communicates with the computer ,
Receiving the other operation log from another client device different from the client device ;
Storing the operation log in the storage unit ;
That stores the another operation log in the storage unit
The log management program according to any one of claims 1 to 3 , wherein the process is executed.
前記確度を算出する処理において、
前記操作ログに含まれる更新日時情報と、前記他の操作ログに含まれる更新日時情報との比較の結果に基づいて、前記確度を算出することを特徴とする請求項1〜4の何れか一つに記載のログ管理プログラム。 The operation log includes an update date and time for updating the file,
In the process of calculating the accuracy,
And update date and time information included in the operation log, based on the other operations of comparison of the update date and time information included in the log result, any claim 1-4, characterized in that to calculate the probability A log management program according to any one of the above.
ファイルを識別する識別情報を受付け、
該ファイルを識別する識別情報と該ファイルの更新日時を示す更新日時情報とを含む操作ログを、該ファイルに対する操作ごとに記憶した記憶部を参照して、受付けた前記識別情報を有する操作ログ及び、前記識別情報を有する前記操作ログとは異なる他の操作ログを抽出し、
抽出した前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との比較の結果及び、前記操作ログに含まれる更新日時情報と前記他の操作ログに含まれる更新日時情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと前記他の操作ログに含まれる識別情報が示すファイルとの同一性の確度を算出し、
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する
処理を実行させることを特徴とするログ管理プログラム。 On the computer,
It accepted the identification information that identifies the file,
The operation log including the update date information indicating modification date and time of the identification information and the file that identifies the file, by referring to the storage unit that stores for each operation on the file, the operation log has the identification information received and , Extracting another operation log different from the operation log having the identification information ,
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and, further contained in the update date and time information and the previous SL other operation log contained in the operation log based on the results of comparison between the new time and date information, it calculates the likelihood of identity with the file identified by the identification information included in the file and before Symbol another operation log indicated by the identification information received,
When the calculated accuracy is equal to or greater than a threshold value, the operation log and information related to the other operation log are output in association with each other.
A log management program for executing a process .
前記識別情報を受付けると、前記記憶部を参照して、受付けた前記識別情報を有する該操作ログ及び、前記識別情報を有する操作ログとは異なる他の操作ログを抽出する抽出部と、
抽出した前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との比較の結果及び、前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと前記他の操作ログに含まれる識別情報が示すファイルとの同一性の確度を算出する算出部と、
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する出力部と
を有することを特徴とするログ管理装置。 For each operation for files, a storage unit for storing the operation log including the size information indicating the data size of the identification information and the file that identifies the file,
When accepting the identification information, and wherein by referring to the storage unit, the manipulation log and having said identification information received, extracting unit that extracts different other operation log from the operation log with the identification information,
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and size included in the size information and the previous SL other operation log contained in the operation log based on the result of comparison with the information, a calculation unit for calculating an accuracy of identity with the identification information indicating a file before Notations showing identification information included in the other operation log Airu accepted,
A log management apparatus comprising: an output unit that outputs information relating to the operation log and the other operation log in association with each other when the calculated accuracy is equal to or greater than a threshold value .
ファイルを識別する識別情報を受付け、
ファイルに対する操作ごとに、該ファイルを識別する識別情報と該ファイルのデータサイズを示すサイズ情報とを含む操作ログを記憶した記憶部を参照して、受付けた前記識別情報を有する操作ログ及び、前記識別情報を有する操作ログとは異なる他の操作ログを抽出し、
抽出した前記操作ログに含まれる識別情報と前記他の操作ログに含まれる識別情報との比較の結果及び、前記操作ログに含まれるサイズ情報と前記他の操作ログに含まれるサイズ情報との比較の結果に基づいて、受付けた前記識別情報が示すファイルと前記他の操作ログに含まれる識別情報が示すファイルとの同一性の確度を算出し、
算出した前記確度が閾値以上である場合に、前記操作ログと前記他の操作ログに関する情報を関連付けて出力する
処理を実行することを特徴とするログ管理方法。 Computer,
Accept identification information that identifies the file,
For each operation on file, by referring to the storage unit that stores the operation log and a size information indicating the data size of the identification information and the file that identifies the file, operations log having the identification information received and the issue extract other different operation log from the operation log with identification information,
Extracted for comparison with the identification information included in the identification information and the previous SL other operation log contained in the operation log results and size included in the size information and the previous SL other operation log contained in the operation log based on the result of comparison with the information, it calculates the likelihood of identity with the file indicated by the identification information included in the file and before Symbol another operation log indicated by the identification information received,
When the calculated accuracy is equal to or greater than a threshold value, the operation log and information related to the other operation log are output in association with each other.
A log management method characterized by executing processing .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010229080A JP5621490B2 (en) | 2010-10-08 | 2010-10-08 | Log management program, log management apparatus, and log management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010229080A JP5621490B2 (en) | 2010-10-08 | 2010-10-08 | Log management program, log management apparatus, and log management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012083923A JP2012083923A (en) | 2012-04-26 |
JP5621490B2 true JP5621490B2 (en) | 2014-11-12 |
Family
ID=46242729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010229080A Active JP5621490B2 (en) | 2010-10-08 | 2010-10-08 | Log management program, log management apparatus, and log management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5621490B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5806651B2 (en) * | 2012-09-11 | 2015-11-10 | 日本電信電話株式会社 | Copy tracking system |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002189746A (en) * | 2000-12-21 | 2002-07-05 | Just Syst Corp | Device and method for electronic file retrieval, and computer-readable recording medium with program making computer implement the method recorded thereon |
JP4144244B2 (en) * | 2002-04-18 | 2008-09-03 | カシオ計算機株式会社 | File processing apparatus and program |
JP4667362B2 (en) * | 2003-01-23 | 2011-04-13 | ヴァーダシス・インコーポレーテッド | Identifying similarity and revision history in large unstructured data sets |
JP2009104466A (en) * | 2007-10-24 | 2009-05-14 | Sky Kk | Information management system and information management program |
JP2009176119A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | File use circumstance determination system |
JP5199003B2 (en) * | 2008-09-25 | 2013-05-15 | 株式会社日立製作所 | Management device and computer system |
JP5238521B2 (en) * | 2009-01-08 | 2013-07-17 | 株式会社日立製作所 | History management system, history management server and management method thereof |
-
2010
- 2010-10-08 JP JP2010229080A patent/JP5621490B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012083923A (en) | 2012-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2008192091A (en) | Log analysis program, log analysis device, and log analysis method | |
CN106663089A (en) | Intelligent conflict detection and semantic expression of document edits | |
RU2006104558A (en) | INFORMATION PROCESSING DEVICE, INFORMATION RECORDING MEDIA, INFORMATION PROCESSING METHOD AND COMPUTER PROGRAM | |
WO2012058075A1 (en) | Methods for processing private metadata | |
JP4807173B2 (en) | Security management system and method | |
JP2018170036A (en) | Snippet matching in file sharing network | |
JP2011191862A (en) | File management apparatus, file management system, and file management program | |
US20130263222A1 (en) | Computer system and security management method | |
US8474038B1 (en) | Software inventory derivation | |
US8655844B1 (en) | File version tracking via signature indices | |
CN110515895B (en) | Method and system for carrying out associated storage on data files in big data storage system | |
Garfinkel et al. | An automated solution to the multiuser carved data ascription problem | |
JP2007148946A (en) | Unauthorized access detection method | |
JP5621490B2 (en) | Log management program, log management apparatus, and log management method | |
JP5628703B2 (en) | Theft state determination terminal and theft state determination program | |
JP5630193B2 (en) | Operation restriction management program, operation restriction management apparatus, and operation restriction management method | |
JP4807289B2 (en) | Information processing apparatus, file processing method, and program | |
JP4857199B2 (en) | Information asset management system, log analysis device, and log analysis program | |
US20170262439A1 (en) | Information processing apparatus and non-transitory computer readable medium | |
JP7052370B2 (en) | Evaluation program, evaluation method and information processing equipment | |
JP6349682B2 (en) | Information management program, apparatus, and method | |
JP2016115112A (en) | Data anonymization apparatus, program, and method | |
JP6690453B2 (en) | Information processing device and program | |
US20240111882A1 (en) | Automatic Classification of Files with Hierarchical Structure with the Digital Fingerprints Library | |
EP2506196A1 (en) | Method and apparatus for management and control of information incidents and digital evidence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130805 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140415 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140616 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140826 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140908 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5621490 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |