JP5991908B2

JP5991908B2 - ログ生成装置

Info

Publication number: JP5991908B2
Application number: JP2012270220A
Authority: JP
Inventors: 裕希築地; 高大山本; 丸山　健一; 健一丸山
Original assignee: Nippon Telegraph and Telephone East Corp
Current assignee: Nippon Telegraph and Telephone East Corp
Priority date: 2012-12-11
Filing date: 2012-12-11
Publication date: 2016-09-14
Anticipated expiration: 2032-12-11
Also published as: JP2014115871A

Description

本発明は、通信機器のログを生成する技術に関する。

ネットワークのトラブルの原因を追求する方法として、通信機器が出力するログを解析する方法がある。例えば、特許文献１には、各クライアント端末が出力するログを収集する技術が開示されている。

特開２０１２−２１６０４０号公報

複数の通信機器から出力されるログをログサーバに集めて一元管理することはできるが、通信機器それぞれが出力するログは、通信機器それぞれの形式で出力されている。また、各通信機器の時間がずれている場合は、ずれた時間を記載したログが生成されるので、各通信機器間のログを見比べて解析する場合、各通信機器の時間のずれを考慮しつつログを解析する必要があり、ログの解析を困難にするものであった。

本発明は、上記に鑑みてなされたものであり、複数の通信機器に関するログを解析し易くすることを目的とする。

本発明に係るログ生成装置は、複数の通信機器が送受信するパケットをキャプチャしたパケットデータを記載したキャプチャファイルからログを生成するログ生成装置であって、キャプチャファイルを入力する入力手段と、パケットデータに基づくイベントとログの雛形となる文字列とを関連付けて蓄積した蓄積手段と、前記キャプチャファイルからパケットデータを取得し、当該パケットデータに基づくイベントをキーにして前記蓄積手段から対応する前記文字列を読み出してログを生成する生成手段と、前記ログを出力する出力手段と、を有し、前記生成手段は、取得した前記パケットデータに対して応答される返信パケットデータが存在すると推定されるときに、前記キャプチャファイルに前記返信パケットデータが存在しない場合は、その旨のログを生成することを特徴とする。

本発明によれば、複数の通信機器に関するログを解析し易くすることができる。

本実施の形態におけるログ生成装置の構成を示す機能ブロック図である。本実施の形態におけるログ生成装置の処理の流れを示すフローチャートである。ログ文字列の例を示す図である。ログの出力例を示す図である。

以下、本発明の実施の形態について図面を用いて説明する。

図１は、本実施の形態におけるログ生成装置の構成を示す機能ブロック図である。同図に示すログ生成装置は、ユーザ宅内の複数の通信機器が送受信するパケットを複数の通信機器の上流（例えば、ユーザ宅のローカルネットワークを外部のネットワークに接続するルータのユーザ宅側）でキャプチャしたパケットデータを記載したキャプチャファイルをキャプチャファイル蓄積部２から読み出し、パケットデータからログを生成する装置である。キャプチャファイル蓄積部２には、数カ月分のキャプチャデータが記載されたキャプチャファイルが蓄積される。キャプチャデータを記載したキャプチャファイルは、キャプチャファイルのサイズやキャプチャの期間に応じて複数に分割されてキャプチャファイル蓄積部２に蓄積される。キャプチャファイルには、キャプチャしたパケットデータがキャプチャ時刻とともに時系列順に記載される。また、キャプチャファイル内で一番最初のキャプチャデータのキャプチャ時刻を開始時刻、一番最後のキャプチャデータのキャプチャ時刻を終了時刻としたヘッダーを備える。

図１に示すログ生成装置は、入力部１１、ファイル操作部１２、ログ生成部１３、ログ文字列蓄積部１４、および出力部１５を備える。ログ生成装置が備える各部は、演算処理装置、記憶装置等を備えたコンピュータにより構成して、各部の処理がプログラムによって実行されるものとしてもよい。このプログラムはログ生成装置が備える記憶装置に記憶されており、磁気ディスク、光ディスク、半導体メモリ等の記録媒体に記録することも、ネットワークを通して提供することも可能である。

入力部１１は、キャプチャファイルが蓄積されている格納場所の指定、生成するログに関する設定、およびログをファイルに書き出す場合の出力先を入力する。

キャプチャファイルが蓄積されている格納場所の指定は、例えば、キャプチャファイル蓄積部２がキャプチャファイルを蓄積しているフォルダを指定する。指定されたフォルダに存在するキャプチャファイル全てが処理対象となる。あるいは、キャプチャファイルを複数選択して処理対象のキャプチャファイルを指定してもよい。

ファイル操作部１２は、入力部１１が入力したキャプチャファイルの格納場所からキャプチャファイルを時系列順に取得してキャプチャデータ解析装置が備えるメモリ上に読み込む。指定された格納場所に存在する全てのキャプチャファイルをメモリ上に一度に全部読み込むことはできないので、メモリ上に読み込んだキャプチャファイルをログ生成部１３が処理した後は、メモリ上のデータを破棄して次のキャプチャファイルを読み込む。キャプチャファイルの時系列順は、キャプチャファイルの先頭に記述されたヘッダーの開始時刻、終了時刻を参照して判定する。あるいは、キャプチャファイルのファイル名が規則的に付けられる場合、例えばファイル名に通し番号が付与される場合、ファイル名に作成された日時を含む場合など、そのファイル名によりキャプチャファイルの時系列順を判定してもよい。キャプチャファイルの時系列順は、例えばキャプチャファイルのファイル名を時系列順に並べてファイル操作部１２が保持しておくとよい。

ログ生成部１３は、ファイル操作部１２が読み込んだキャプチャファイルからパケットデータを順次取得して、パケットデータからパケットの種別、イベント、パラメータなどを抽出し、パケットの種別、イベントをキーにして出力する文字列をログ文字列蓄積部１４から検索し、検索した文字列にパラメータを付与してログを生成する。パケットの種別としては、トランスポート層以下のＰＰＰ、ＡＲＰ、ＴＣＰ、ＵＤＰに加えて、アプリケーション層のＤＮＳ、ＳＩＰ、ＩＣＭＰｖ６、ＤＨＣＰも区別する。イベントは、パケットデータ中のフラグやメッセージなどから判断する。イベントとしては、例えばＰＰＰ接続開始、ＡＲＰＲｅｑｕｅｓｔ、ＳＩＰのＩＮＶＩＴＥメッセージなどがある。パラメータとしては、例えばＩＰアドレス、セッションＩＤ、ＳＩＰのＣａｌｌ−ＩＤなどがある。

また、ログ生成部１３は、パケットデータから直接生成できるログだけでなく、間接的に生成できるログも生成する。例えば、ＴＣＰのＳＹＮパケットに対してはＳＹＮ／ＡＣＫパケットが返送されるが、ＳＹＮパケットを送信してから所定の時間以内に対応するＳＹＮ／ＡＣＫパケットを受信していない場合、つまりＳＹＮ／ＡＣＫパケットのパケットデータがキャプチャファイル中のＳＹＮパケットのキャプチャ時刻から所定の時間までの間に記載されていない場合、その旨を示すログを生成する。

ログ文字列蓄積部１４は、ログ生成部１３が出力するログの雛形となる文字列、パケットの種別、イベント、および重要度を関連付けて蓄積する。重要度は、関連付けられた文字列が単なる情報の提供なのか警告であるのかを示す値である。

出力部１５は、ログ生成部１３が生成したログを出力する。出力方法としては、ログ生成装置に接続されたディスプレイに表示する方法や、入力部１１で入力した出力先のファイルに書き出す方法がある。なお、出力するログの種類については入力部１１を用いて設定できる。例えば、入力部１１でログを出力するパケットの種別を選択するチェックボックスを表示し、出力部１５は、チェックされたパケットの種別についてのみログを出力する。あるいは、重要度を選択したり、特定のサービスに関連するログを選択できるようにする。

次に、本実施の形態におけるログ生成装置の動作について説明する。

図２は、本実施の形態におけるログ生成装置の処理の流れを示すフローチャートである。

まず、入力部１１がキャプチャファイルの格納場所を入力する（ステップＳ１１）。このとき、ログ生成の対象期間を示す抜き出し期間やオフセット時間を入力してもよい。抜き出し期間が指定された場合は、キャプチャファイルすべてからログを生成するのではなく、抜き出し期間内にキャプチャされたパケットデータからログを生成する。オフセット時間が指定された場合は、キャプチャファイルに記録されたパケットのキャプチャ時刻をオフセット時間で補正する。

続いて、ファイル操作部１２がキャプチャファイルを時系列順に取得してメモリ上に読み込む（ステップＳ１２）。

そして、ログ生成部１３が読み込まれたキャプチャファイルに記載されたパケットデータを取得してログを生成する（ステップＳ１３）。ログ生成処理の詳細については後述する。

読み込んだキャプチャファイルの処理が終了すると、処理対象となるキャプチャファイルを全て処理したか否か判定し（ステップＳ１４）、まだ処理していないキャプチャファイルが存在する場合は（ステップＳ１４のＮｏ）、ステップＳ１２に戻り次のキャプチャファイルを読み込む。このときメモリ上に読み込まれているキャプチャファイルは処理し終えているので破棄する。

処理対象となるキャプチャファイルを全て処理した場合は（ステップＳ１４のＹｅｓ）、ログ生成部１３が生成したログを出力部１５が出力する（ステップＳ１５）。

次に、ログ生成部１３によるログ生成処理について説明する。

ログ生成部１３は、ファイル操作部１２が読み込んだキャプチャファイルからパケットデータを取得し、パケットの種別を判定する。

また、ログ生成部１３は、パケットデータ中のフラグやメッセージを取得してイベントを判定する。例えば、パケットの種別がＴＣＰでＳＹＮフラグがセットされている場合は、ＳＹＮパケットを送信するイベントであると判定する。別の例としては、パケットの種別がＳＩＰでＩＮＶＩＴＥメッセージであればＩＮＶＩＴＥのイベントであると判定する。

そして、パケットの種別とイベントの組みをキーにログ文字列蓄積部１４を検索して文字列を取得する。

図３に、ログ文字列蓄積部１４に蓄積されたデータの例を示す。同図に示すように、ログ文字列蓄積部１４には、パケットの種別、イベント、重要度、および文字列が関連付けられて格納されている。重要度は、イベントの重要度を示しており、本実施の形態では、単なる通知を示すＩＮＦＯあるいは警告を示すＷＡＲＮを記載する。文字列には、パケットデータから取得するパラメータを付与する部分を有するものもある。例えば、図３のＡＲＰＲｅｑｕｅｓｔのイベントに対応する文字列には、尋ねるＩＰアドレスを付与する部分（xxx.xxx.xxx.xxx）が存在する。ログ生成時には、この部分にパケットデータから取得したＩＰアドレスが付与される。

ログ生成部１３は、必要ならばパラメータを文字列に付与し、キャプチャ時刻、パケットの種別、および文字列で構成されたログを出力部１５へ渡す。図４に、出力部１５によるログの出力例を示す。同図に示す出力例は、キャプチャ時刻、パケットの種別、文字列を表示している。ログの各行には、キャプチャファイル中の該当パケットデータへのリンクを張っておき、そのリンクを選択することで、対応するパケットデータの閲覧が可能となる。

なお、応答の返信があると推定されるパケットデータについてはタイマを設定し、キャプチャ時刻にタイマを加えた時刻内に、対応する返信パケットデータがキャプチャファイルに存在しない場合は、応答無しのイベントをログ文字列蓄積部１４から検索してログを生成する。このとき、ログとして出力する時刻はキャプチャ時刻にタイマを加えた値とし、文字列に付与するパラメータは元となるパケットデータから取得する。タイマの値は利用者が任意に設定できる。

以上説明したように、本実施の形態によれば、複数の通信機器が送受信するパケットをキャプチャしたキャプチャデータを記載したキャプチャファイルからキャプチャデータを取得してパケットの種別とイベントを判別し、ログ文字列蓄積部１４から対応する文字列を検索してログを生成することにより、複数の通信機器に関するログを所望の形式で一括して生成することができる。また、パケットのキャプチャ時刻を用いてログを生成するので、各通信機器の時刻がずれていた場合でもログの並び順が前後することがない。さらに、通信機器が保持するログが消去されていた場合でも、キャプチャファイル蓄積部２にパケットデータが存在すればログが生成できる。

１１…入力部
１２…ファイル操作部
１３…ログ生成部
１４…ログ文字列蓄積部
１５…出力部
２…キャプチャファイル蓄積部

Claims

複数の通信機器が送受信するパケットをキャプチャしたパケットデータを記載したキャプチャファイルからログを生成するログ生成装置であって、
キャプチャファイルを入力する入力手段と、
パケットデータに基づくイベントとログの雛形となる文字列とを関連付けて蓄積した蓄積手段と、
前記キャプチャファイルからパケットデータを取得し、当該パケットデータに基づくイベントをキーにして前記蓄積手段から対応する前記文字列を読み出してログを生成する生成手段と、
前記ログを出力する出力手段と、を有し、
前記生成手段は、取得した前記パケットデータに対して応答される返信パケットデータが存在すると推定されるときに、前記キャプチャファイルに前記返信パケットデータが存在しない場合は、その旨のログを生成することを特徴とするログ生成装置。