JP6330280B2 - アラート出力装置、アラート出力方法、及び、アラート出力プログラム - Google Patents
アラート出力装置、アラート出力方法、及び、アラート出力プログラム Download PDFInfo
- Publication number
- JP6330280B2 JP6330280B2 JP2013195210A JP2013195210A JP6330280B2 JP 6330280 B2 JP6330280 B2 JP 6330280B2 JP 2013195210 A JP2013195210 A JP 2013195210A JP 2013195210 A JP2013195210 A JP 2013195210A JP 6330280 B2 JP6330280 B2 JP 6330280B2
- Authority
- JP
- Japan
- Prior art keywords
- output
- alert
- log
- time
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本願発明は、複数のログメッセージを基に、アラート出力する条件に合致する事象が発生していることを検知するアラート出力装置等に関する。
企業等におけるコンピュータシステムは、内部統制、システム監査、あるいは、インシデント発生時における事後調査の対応を可能とするために、ログ管理装置を備えている。ログ管理装置は、企業内の通信ネットワークに接続されているクライアント端末装置、サーバ装置、それらの装置に搭載されているアプリケーションソフトウェア、及び、ネットワーク機器などの様々なデバイスを対象として、ログを収集して解析する。ログ管理装置は、法令で規定されている監査証跡、ログ収集対象電子機器に係る状態監視、及び、セキュリティインシデントの検出と事後調査等に係る管理レベルを向上することができる。
ログ管理装置は、通常、セキュリティインシデントあるいは障害が発生したことを警告するために、アラート出力検知機能を備えている。アラート出力検知機能は、収集されたログを都度確認して、発生した事象がアラート出力する条件に合致しているかどうかを判定する。アラート出力する条件としては、「ログメッセージAが出力された場合にアラート出力する」という単純な条件もあるが、「ログメッセージAが出力されたのち、5分以内にログメッセージBが出力された場合にアラート出力する」というような、複数のログメッセージが出力された順序関係を用いた複雑な条件もある。
例えば、上述におけるログメッセージAが、FTP(File Transfer Protocol)により1時間ごとにログ収集される電子機器から出力され、ログメッセージBが、Syslogとして、ほぼリアルタイムにログ収集される電子機器から出力される場合がある。この場合、実際にはログメッセージAの方がログメッセージBよりも早く出力されていたとしても、ログ管理装置によりログ収集されるタイミングとしては、ログメッセージBの方がログメッセージAよりも早くなることが多い。アラート出力検知機能は、通常、ログ収集されるタイミングを基に、アラート出力する条件に合致した事象が発生しているか否かを判定する。したがって、上述の場合、アラート出力検知機能は、アラート出力する条件に合致した事象が発生してことを検知できない。
また、例えば、ログメッセージA及びログメッセージBが、いずれも1時間ごとにログ収集される同一の電子機器から出力される場合において、ログメッセージAが出力された後に、ログ収集が行われ、その後ログメッセージBが出力される場合がある。この場合、実際には、ログメッセージAが出力されてから5分以内にログメッセージBが出力されていたとしても、ログ管理装置によりログメッセージBが収集されるタイミングは、ログメッセージAが出力されてから約1時間後となる。したがって、この場合おいても、アラート出力検知機能は、アラート出力する条件に合致した事象が発生していることを検知できない。
したがって、ログ収集対象電子機器からログが収集されるタイミングにかかわらず、アラート出力する条件に合致した事象が発生していることを、漏らさず正確に検知する技術が求められている。
上述した技術に関連する技術として、特許文献1には、分散したノードからデータを収集する際に、実際の順序とは異なる順序でデータが管理サーバに受信される場合があることを回避する技術が開示されている。この技術では、各ノードにエージェントを設置し、かつ、エージェントを管理する管理部と備えることにより、シーケンス番号を付与して、
管理サーバが本来の順序通りにデータを受信することができるようにしている。
管理サーバが本来の順序通りにデータを受信することができるようにしている。
上述した特許文献1に開示された技術は、複数のデータセットが出力された順番を正しく検知することはできるが、個々のデータが出力されたタイミングが、所定の時間内に収まっていることを検知することは困難である。したがって、特許文献1に開示された技術は、アラート出力する条件に合致した事象が発生していることを、漏らさず正確に検知するという課題を解決するためには不十分である。
本願発明の主たる目的は、この課題を解決した、アラート出力装置、アラート出力方法、及び、アラート出力プログラムを提供することである。
本願発明に係るアラート出力装置は、ログメッセージが出力元機器から出力された時刻である出力時刻と、前記出力元機器において発生した事象内容と、を示すログ情報を格納するログ情報格納手段と、前記ログ情報を包含する前記ログメッセージを受信した際に、当該ログ情報と、前記ログ情報格納手段に格納されている少なくとも1つの前記ログ情報との組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力するアラート出力手段と、を備えることを特徴とする。
上記目的を達成する他の見地において、本願発明のアラート出力方法は、情報処理装置によって、ログメッセージが出力元機器から出力された時刻である出力時刻と、前記出力元機器において発生した事象内容と、を示すログ情報を記憶域に格納し、前記ログ情報を包含する前記ログメッセージを受信した際に、当該ログ情報と、前記記憶域に格納されている少なくとも1つの前記ログ情報との組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力することを特徴とする。
また、上記目的を達成する更なる見地において、本願発明に係るアラート出力プログラムは、ログメッセージが出力元機器から出力された時刻である出力時刻と、前記出力元機器において発生した事象内容と、を示すログ情報を記憶域に格納するログ情報格納処理と、前記ログ情報を包含する前記ログメッセージを受信した際に、当該ログ情報と、前記記憶域に格納されている少なくとも1つの前記ログ情報との組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力するアラート出力処理と、をコンピュータに実行させることを特徴とする。
更に、本発明は、係る情報読取プログラム(コンピュータプログラム)が格納された、コンピュータ読み取り可能な、不揮発性の記憶媒体によっても実現可能である。
本願発明は、アラート出力する条件に合致した事象が発生していることを、漏らさず正確に検知することを可能とする。
以下、本願発明の実施の形態について図面を参照して詳細に説明する。
<第1の実施形態>
図1は第1の実施形態のアラート出力システム1の構成を概念的に示すブロック図である。本実施形態のアラート出力システム1は、アラート出力装置10、ログ収集対象電子機器20−1乃至n(nは1以上の整数)、及び、通信ネットワーク40を有している。アラート出力装置10、及び、ログ収集対象電子機器20−1乃至nは、通信ネットワーク40により通信可能に接続されている。
図1は第1の実施形態のアラート出力システム1の構成を概念的に示すブロック図である。本実施形態のアラート出力システム1は、アラート出力装置10、ログ収集対象電子機器20−1乃至n(nは1以上の整数)、及び、通信ネットワーク40を有している。アラート出力装置10、及び、ログ収集対象電子機器20−1乃至nは、通信ネットワーク40により通信可能に接続されている。
ログ収集対象電子機器20−1乃至nは、サーバ装置、クライアント端末装置、あるいは、ネットワーク機器等の電子機器であり、動作状態等に係る情報を、テキスト形式データであるログメッセージとして出力する。ログメッセージは、ログ収集対象電子機器20−1乃至nから出力された時刻を包含している。
アラート出力装置10は、ログ収集対象電子機器20−1乃至nから出力されたログメッセージを基に、アラート出力システム1において、アラート出力する条件に合致した事象が発生していることを検出する装置である。アラート出力装置10は、ログ収集対象電子機器20−1乃至nから出力されたログメッセージを収集して管理するログ管理装置(図示無し)の中に実装されている。
アラート出力装置10は、アラート出力部11、ログ情報格納部12、及び、アラート定義情報格納部13を備えている。アラート出力部11は、電子回路の場合もあれば、コンピュータプログラムとそのコンピュータプログラムに従って動作するプロセッサによって実現される場合もある。ログ情報格納部12、及び、アラート定義情報格納部13は、電子回路、あるいは、コンピュータプログラムとそのコンピュータプログラムに従って動作するプロセッサによりアクセス制御される、磁気ディスクや電子メモリ等の記憶デバイスである。
アラート出力部11は、ログメッセージ受信回路110、トリガ判定回路111、順走査回路112、逆走査回路113、及び、アラート出力判定回路114を備えている。
ログメッセージ受信回路110は、ログ収集対象電子機器20−1乃至nのいずれかから出力されたログメッセージを受信した後、受信したログメッセージの書式を、メッセージ定義情報(図示無し)と照合することにより正規化する。そして、ログメッセージ受信回路110は、正規化したログメッセージを、ログ情報として、ログ情報格納部12に格納する。ログ情報格納部12は、1つのログメッセージを基に生成されたログ情報を、1つのレコードとして、過去にログ収集対象電子機器20−1乃至nから出力されたログメッセージを基に生成されたログ情報を蓄積して格納している。ログメッセージ受信回路110は、ログ情報を照合対象ログ情報として、トリガ判定回路111へ入力する。
ログメッセージ受信回路110により正規化されたログ情報の構成例を図5に示す。ログ情報1100は、「Message ID」、「Output Time」、「User」、「IP Address」、「Action」、及び、「Message」等の項目を含んでいる。
ログ情報1100における「Message ID」(以下、メッセージIDと称する)の項目は、ログメッセージが包含するパラメータの組み合わせにより、ログメッセージに係る種別を識別する識別情報である。メッセージ定義情報は、ログメッセージが包含するパラメータの組み合わせとメッセージIDとを関連付ける情報を包含している。ログ情報格納部12は、ログメッセージを正規化する際に、ログメッセージが包含するパラメータの組み合わせをメッセージ定義情報と照合することにより、当該ログメッセージを識別するメッセージIDを特定する。
ログ情報1100における「Output Time」は、ログメッセージがログ収集対象電子機器20−1乃至nから出力された時刻である。「User」は、ログメッセージを出力したログ収集対象電子機器20−1乃至nにおけるログインユーザ情報である。「IP Address」は、ログメッセージを出力したログ収集対象電子機器20−1乃至nのIP(Internet Protocol)アドレスである。「Action」はログメッセージが出力されたときに、ログ収集対象電子機器20−1乃至nが処理していた情報処理内容を示すアクション情報である。ログメッセージ受信回路110は、これらの項目に係る情報を、メッセージ定義情報に従って、ログメッセージから抽出する。ログ情報1100における「Message」の項目は、ログ収集対象電子機器20−1乃至nから出力されたログメッセージそのものである。尚、図5に示すログ情報1100の構成例は一例であり、ログ情報1100が、上述した項目とは異なる項目を包含してもよい。
トリガ判定回路111は、照合対象ログ情報に係るログメッセージが、アラート出力システム1において、アラート出力する条件として設定されているメッセージ(以降、トリガメッセージと称する)であるか否かを判定する。アラート出力する条件は、アラート定義情報130として、アラート定義情報格納部13に格納されている。アラート定義情報130は、アラート出力システム1を管理するシステム管理者により入力された情報である。トリガ判定回路111は、ログメッセージ受信回路110から入力された照合対象ログ情報を、アラート定義情報130と照合する。
アラート定義情報130の構成例を図6に示す。アラート定義情報130におけるアラートIDにより識別されるレコードは、1つのアラート出力条件を定義している。アラート定義情報130における「トリガメッセージ1乃至3」は、アラート出力条件が複数のトリガメッセージに関して出力された順序関係を規定する場合に、1乃至3番目のトリガメッセージであることを示している。すなわち、アラート定義情報130は、「トリガメッセージ1」が出力された後、「トリガメッセージ2」が出力され、さらにその後「トリガメッセージ3」出力されることを、アラート出力条件として定義している。尚、以降、特定のトリガメッセージに先行するトリガメッセージを「先行トリガメッセージ」と称し、特定のトリガメッセージに後続するトリガメッセージを「後続トリガメッセージ」と称する。また、図6に示す例では、アラート定義情報130は、1つのアラートIDにつき、3つまでのトリガメッセージを定義しているが、4つ以上のトリガメッセージを定義してもよい。
アラート定義情報130における「フィルタ情報」は、ログ情報における各項目が満たすべき条件を示している。「監視時間」は、後続トリガメッセージが出力されるまでの最大監視時間を示す。当該トリガメッセージが出力された時刻から「監視時間」が示す時間内に後続トリガメッセージが出力された場合に、アラート出力条件が満たされることになる。
図6に示す例におけるアラートIDが001であるレコードは、「メッセージIDが“MSG_001”であり、かつ、ログインユーザ情報が“admin”であるログメッセージが発行された後、300秒以内にメッセージIDが“MSG_101”であるログメッセージが発行される」ことを示している。図6に示す例におけるアラートIDが002であるレコードは、「メッセージIDが“MSG_010”であるログメッセージが発行された後、600秒以内にメッセージIDが“MSG_011”であり、かつ、アクション情報が“delete”であるログメッセージが発行され、さらにその後3000秒以内にメッセージIDが“MSG_012”であるログメッセージが発行される」ことを示している。
トリガ判定回路111は、照合対象ログ情報が、アラート定義情報130における、何れかのレコードにおける何れかのトリガメッセージに関する「メッセージID」及び「フィルタ情報」が示す条件と合致する場合、照合対象ログ情報に係るログメッセージがトリガメッセージであると判定する。例えば、ログ情報1100及びアラート定義情報130が、図5乃至6に示す例の場合、ログ情報1100は、アラート定義情報130におけるアラートIDが“001”に係るトリガメッセージ1が示す条件と合致する。トリガ判定回路111は、照合対象ログ情報に係るログメッセージがトリガメッセージであると判定した場合、判定結果、照合対象ログ情報、及び、アラート定義情報130を、順走査回路112及び逆走査回路113へ入力する。
順走査回路112は、照合対象ログ情報とアラート定義情報130とを基に、ログ情報格納部12に格納されたログ情報を検索して、照合対象ログ情報に係るトリガメッセージについて、後続トリガメッセージが存在するか否かを確認する。アラート定義情報130が、アラート出力条件として、複数の後続トリガメッセージを定義している場合、順走査回路112は、定義された全ての後続トリガメッセージが存在するか否かを確認する。
例えば、アラート定義情報130が図6に示す例の通りで、照合対象ログ情報におけるメッセージIDが“MSG_010”である場合、順走査回路112は、“MSG_010”を、トリガメッセージ1に係るメッセージIDとして持つ、アラートIDが“002”であるレコードが示すアラート出力条件に従い、後続トリガメッセージを検索する。この場合、照合対象ログ情報に係るトリガメッセージが出力された時刻から600秒後以内に出力された、メッセージIDが“MSG_011”であり、かつ、アクション情報が“delete”であるログメッセージが、1番目の後続トリガメッセージとなる。さらに、その1番目の後続トリガメッセージが出力された時刻から3000秒後以内に出力された、メッセージIDが“MSG_012”であるログメッセージが、2番目の後続トリガメッセージとなる。
順走査回路112は、後続トリガメッセージが存在するか否かを検索する際、現在時刻が、当該トリガメッセージが出力された時刻に当該トリガメッセージに係る監視期間を加算した時刻を過ぎている場合は、当該トリガメッセージが出力された時刻から監視期間後までの時間帯に出力されたログメッセージに係るログ情報を検索する。順走査回路112は、当該トリガメッセージが出力された時刻に当該トリガメッセージに係る監視期間を加算した時刻を過ぎていない場合は、当該トリガメッセージが出力された時刻から現在時刻までの時間帯に出力されたログメッセージに係るログ情報を検索する。順走査回路112は、アラート出力システム1がシステム情報として記憶する現在時刻が示す値を使用する。順走査回路112は、検索結果、照合対象ログ情報、及び、アラート定義情報130を、アラート出力判定回路114へ入力する。
逆走査回路113は、照合対象ログ情報とアラート定義情報130とを基に、ログ情報格納部12に格納されたログ情報を検索して、照合対象ログ情報に係るトリガメッセージについて、先行トリガメッセージが存在するか否かを確認する。アラート定義情報130が、アラート出力条件として、複数の先行トリガメッセージを定義している場合、逆走査回路113は、定義された全ての先行トリガメッセージが存在するか否かを確認する。
例えば、アラート定義情報130が図6に示す例の通りで、入力されたログ情報におけるメッセージIDが“MSG_101”である場合、逆走査回路113は、“MSG_101”を、トリガメッセージ2に係るメッセージIDとして持つ、アラートIDが“001”であるレコードが示すアラート出力条件に従い、先行トリガメッセージを検索する。この場合、入力されたログ情報に係るトリガメッセージが出力された時刻から300秒前以内に出力された、メッセージIDが“MSG_001”であり、かつ、ユーザ情報が“admin”であるログメッセージが、先行トリガメッセージとなる。尚、先行トリガメッセージは1個である。
逆走査回路113は、先行トリガメッセージが存在するか否かを検索する際、当該トリガメッセージが出力された時刻から、先行トリガメッセージに係る監視期間前までの時間帯に出力されたログメッセージに係るログ情報を検索する。逆走査回路113は、検索結果、照合対象ログ情報、及び、アラート定義情報130を、アラート出力判定回路114へ入力する。
アラート出力判定回路114は、順走査回路112及び逆走査回路113から入力された、検索結果、照合対象ログ情報、及び、アラート定義情報130を基に、アラート出力を行うか否かを判定する。アラート出力判定回路114は、照合対象ログ情報と、順走査回路112及び逆走査回路113がログ情報格納部12に格納されたログ情報を検索した結果ヒットした後続トリガメッセージ及び先行トリガメッセージに係るログ情報との組み合わせが、アラート定義情報130における、何れかのレコードが示すアラート出力条件を満たす場合に、アラート出力する。
アラート出力部11がアラート出力する手段としては、SNMP(Simple Network Management Protocol)による管理サーバ(図示無し)への通報、あるいは、メールによるシステム管理者への通報、あるいは、ログ管理装置が有するユーザインタフェースへの表示などがある。
次に図2のフローチャートを参照して、本実施形態に係るアラート出力装置10の動作(処理)について詳細に説明する。
ログメッセージ受信回路110は、ログ収集対象電子機器20−1乃至nのいずれかから、ログメッセージを受信し、ログ情報として正規化し、ログ情報格納部12へ格納するとともに、照合対象ログ情報として、トリガ判定回路111へ入力する(ステップS101)。トリガ判定回路111は、照合対象ログ情報をアラート定義情報130と照合し、照合対象ログ情報がトリガメッセージであるかどうか確認する(ステップS102)。
照合対象ログ情報が、後続トリガメッセージが存在するトリガメッセージである場合(ステップS103でYes)、順走査回路112は、トリガ判定回路111が出力した判定結果に従い、順走査処理を実行し(ステップS104)、処理はステップS105へ進む。照合対象ログ情報が、後続トリガメッセージが存在するトリガメッセージでない場合(ステップS103でNo)、処理はステップS105へ進む。
照合対象ログ情報が、先行続トリガメッセージが存在するトリガメッセージである場合(ステップS105でYes)、逆走査回路113は、トリガ判定回路111が出力した判定結果に従い、逆走査処理を実行し(ステップS106)、処理はステップS107へ進む。照合対象ログ情報が、先行続トリガメッセージが存在するトリガメッセージでない場合(ステップS105でNo)、処理はステップS107へ進む。
アラート出力判定回路114は、順走査処理結果及び逆走査処理結果を基に、アラート出力するか否かを判定する(ステップS107)。順走査処理結果及び逆走査処理結果が、
アラート出力条件を満たす場合(ステップS108でYes)、アラート出力判定回路114はアラート出力して(ステップS109)、全体の処理は終了する。順走査処理結果及び逆走査処理結果が、アラート出力条件を満たさない場合(ステップS108でNo)、全体の処理は終了する。
アラート出力条件を満たす場合(ステップS108でYes)、アラート出力判定回路114はアラート出力して(ステップS109)、全体の処理は終了する。順走査処理結果及び逆走査処理結果が、アラート出力条件を満たさない場合(ステップS108でNo)、全体の処理は終了する。
次に図3のフローチャートを参照して、本実施形態に係るアラート出力装置10の順走査処理(ステップS104)について詳細に説明する。
順走査回路112は、現在時刻、照合対象ログ情報における出力時刻、及び、アラート定義情報130における照合対象ログ情報に係る監視期間を確認する(ステップS201)。現在時刻が、出力時刻に監視期間を加算した時刻を過ぎている場合(ステップS202でYes)、順走査回路112は、ログ情報格納部12を参照し、出力時刻を基準として、監視期間後までの時間帯に出力されたログ情報の中に、アラート定義情報130が示す後続トリガメッセージと合致するログ情報があるかどうか検索し(ステップS203)、処理はステップS205へ進む。現在時刻が、出力時刻に監視期間を加算した時刻を過ぎていない場合(ステップS202でNo)、順走査回路112は、ログ情報格納部12を参照し、出力時刻を基準として、現在時刻までの時間帯に出力されたログ情報の中に、アラート定義情報130が示す後続トリガメッセージと合致するログ情報があるかどうか検索し(ステップS204)、処理はステップS205へ進む。
ログ情報格納部12における何れのログ情報ともヒットしなかった場合(ステップS205でNo)、順走査回路112は、検索結果、照合対象ログ情報、及び、アラート定義情報130を、アラート出力判定回路114へ入力し(ステップS206)、ステップS104の処理は終了する。ログ情報格納部12における何れかのログ情報がヒットし(ステップS205でYes)、かつ、アラート定義情報130における、照合対象ログ情報に関連するレコードにおいて、さらなる後続トリガメッセージが存在しない場合(ステップS207でNo)、処理はステップS206へ進む。アラート定義情報130における、照合対象ログ情報に関連するレコードにおいて、さらに後続トリガメッセージが存在する場合(ステップS207でYes)、順走査回路112は、照合対象ログ情報を、検索した結果ヒットした、ログ情報格納部12におけるログ情報に置き換え(ステップS208)、処理はステップS201へ戻る。
次に図4のフローチャートを参照して、本実施形態に係るアラート出力装置10の逆走査処理(ステップS106)について詳細に説明する。
逆走査回路113は、照合対象ログ情報における出力時刻、及び、アラート定義情報130における、先行トリガメッセージに係る監視期間を確認する(ステップS301)。逆走査回路113は、ログ情報格納部12を参照し、出力時刻を基準として、監視期間前までの時間帯に出力されたログ情報の中に、アラート定義情報130が示す先行トリガメッセージと合致するログ情報があるかどうか検索する(ステップS302)。
ログ情報格納部12における何れのログ情報ともヒットしなかった場合(ステップS303でNo)、逆走査回路113は、検索結果、照合対象ログ情報、及び、アラート定義情報130を、アラート出力判定回路114へ入力し(ステップS304)、ステップS106の処理は終了する。ログ情報格納部12における何れかのログ情報がヒットし(ステップS303でYes)、かつ、アラート定義情報130における、照合対象ログ情報に関連するレコードにおいて、さらなる先行トリガメッセージが存在しない場合(ステップS305でNo)、処理はステップS304へ進む。アラート定義情報130における、照合対象ログ情報に関連するレコードにおいて、さらに先行トリガメッセージが存在する場合(ステップS305でYes)、逆走査回路113は、照合対象ログ情報を、検索した結果ヒットした、ログ情報格納部12におけるログ情報に置き換え(ステップS306)、処理はS301へ戻る。
本実施形態に係るアラート出力装置10は、アラート出力する条件に合致した事象が発生していることを、漏らさず正確に検知することができる。その理由は、アラート出力部11が、受信したログメッセージ及びログ情報格納部12に格納されている少なくともいずれかの過去のログメッセージが、ログメッセージ出力時刻及び事象内容に関して、アラート定義情報130が示すアラート出力条件に合致しているか否かを判定してアラート出力するからである。
コンピュータシステムにおけるアラート出力は、通常、各電子機器から出力されたログメッセージが示す事象内容が所定のアラート出力条件を満たす場合に行われる。そして、所定の事象内容を示すログメッセージAが出力された後、所定の時間内に、所定の事象内容を示すログメッセージBが出力されたことが、アラート出力条件として設定されることも多い。
様々な種類の電子機器を包含するコンピュータシステムにおいては、各電子機器から出力されたログメッセージが収集されるタイミングも様々であり、例えば、リアルタイムでログメッセージが収集される機器もあれば、所定の時間ごとにログメッセージが収集される機器もある。このようなシステムでは、ログメッセージが電子機器から出力された時刻と、そのログメッセージがログ管理装置によって収集される時刻とが大きくずれることがある。ログ管理装置は、通常、ログメッセージを収集した時刻を基に、アラート出力条件を満たした事象が発生していることを検知する。このような場合、上述したログメッセージA及びBが出力された時刻が、実際にはアラート出力条件を満たしているのにもかかわらず、ログ管理装置が、アラート出力条件を満たした事象が発生していることを検知できないため、本来出力されるべきアラートが出力されないことになる。
本実施形態に係るアラート出力装置10は、受信したログメッセージがトリガメッセージである場合、当該ログメッセージが出力された時刻を基準として、アラート定義情報30における監視期間が示す時間帯に、後続トリガメッセージ及び先行トリガメッセージが存在するか否かを、ログ情報格納部12を検索して確認する。アラート出力装置10は、ログ情報格納部12を検索した結果、アラート定義情報30が示すいずれかのアラート出力条件を満たす事象が発生している場合、アラート出力を行う。したがって、アラート出力装置10は、アラート出力する条件に合致した事象が発生していることを、漏らさず正確に検知することができる。
また、ログ管理装置は、通常、トリガメッセージを受信した後、監視リソースを立ち上げて、後続トリガメッセージを監視する。したがって、トリガメッセージが大量に出力されるようなケースでは、アラート出力条件が示す監視期間中において、膨大な監視リソースが消費される虞がある。
アラート出力装置10は、監視期間の終了まで監視を継続するようなことは行わずに、トリガメッセージを受信したタイミングで、ログ情報格納部12を検索してアラート出力条件を満たす事象が発生しているか否かを判定する。したがって、アラート出力装置10は、上述のような、監視期間中において膨大な監視リソースが消費されるという問題を回避することができる。
尚、本実施形態では、アラート出力装置10は、ログ管理装置内に実装されているが、ログ管理装置の外に配置してもよい。大規模なコンピュータシステムにおいては、複数のログ管理装置を備える場合も多い。アラート出力装置10をログ管理装置の外に配置することにより、他のログ管理装置に、アラート出力検知機能を追加、あるいは転用することが可能となる。
<第2の実施形態>
図7は第2の実施形態のアラート出力装置30の構成を概念的に示すブロック図である。
図7は第2の実施形態のアラート出力装置30の構成を概念的に示すブロック図である。
本実施形態のアラート出力装置30は、アラート出力部31、及び、ログ情報格納部32を備えている。
ログ情報格納手段32は、ログメッセージが出力元機器から出力された時刻である出力時刻と、出力元機器において発生した事象内容と、を示すログ情報を格納する。
アラート出力部31は、ログ情報を包含するログメッセージを受信した際に、当該ログ情報と、ログ情報格納部32に格納されている少なくとも1つのログ情報との組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力する。
本実施形態に係るアラート出力装置30は、アラート出力する条件に合致した事象が発生していることを、漏らさず正確に検知することができる。その理由は、アラート出力部31が、受信したログメッセージ及びログ情報格納部32に格納されている少なくともいずれかの過去のログメッセージが、ログメッセージ出力時刻及び事象内容に関して、所定の条件に合致しているか否かを判定してアラート出力するからである。
<ハードウェア構成例>
上述した各実施形態において図1、及び、図7に示した各部は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図8を参照して説明する。
上述した各実施形態において図1、及び、図7に示した各部は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図8を参照して説明する。
図8は、本発明の模範的な実施形態に係るアラート出力装置を実行可能な情報処理装置900(コンピュータ)の構成を例示的に説明する図である。即ち、図8は、図1、及び、図7に示したアラート出力装置を実現可能なコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。
図8に示した情報処理装置900は、CPU901(Central_Processing_Unit)、ROM902(Read_Only_Memory)、RAM903(Random_Access_Memory)、ハードディスク904(記憶装置)、外部装置との通信インタフェース905(Interface:以降、「I/F」と称する)、CD−ROM(Compact_Disc_Read_Only_Memory)等の記憶媒体907に格納されたデータを読み書き可能なリーダライタ908、及び、入出力インタフェース909を備え、これらの構成がバス906(通信線)を介して接続された一般的なコンピュータである。
そして、上述した実施形態を例に説明した本発明は、図8に示した情報処理装置900に対して、その実施形態の説明において参照したブロック構成図(図1、及び、図7)或いはフローチャート(図2乃至4)の機能を実現可能なコンピュータプログラムを供給した後、そのコンピュータプログラムを、当該ハードウェアのCPU901に読み出して解釈し実行することによって達成される。また、当該装置内に供給されたコンピュータプログラムは、読み書き可能な揮発性の記憶メモリ(RAM903)またはハードディスク904等の不揮発性の記憶デバイスに格納すれば良い。
また、前記の場合において、当該ハードウェア内へのコンピュータプログラムの供給方法は、CD−ROM等の各種記憶媒体907を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等のように、現在では一般的な手順を採用することができる。そして、このような場合において、本発明は、係るコンピュータプログラムを構成するコード或いは、そのコードが格納された記憶媒体907によって構成されると捉えることができる。
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
1 アラート出力システム
10 アラート出力装置
11 アラート出力部
110 ログメッセージ受信回路
1100 ログ情報
111 トリガ判定回路
112 順走査回路
113 逆走査回路
114 アラート出力判定回路
12 ログ情報格納部
13 アラート定義情報格納部
130 アラート定義情報
20−1乃至n ログ収集対象電子機器
30 アラート出力装置
31 アラート出力部
32 ログ情報格納部
40 通信ネットワーク
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク
905 通信インタフェース
906 バス
907 記憶媒体
908 リーダライタ
909 入出力インタフェース
10 アラート出力装置
11 アラート出力部
110 ログメッセージ受信回路
1100 ログ情報
111 トリガ判定回路
112 順走査回路
113 逆走査回路
114 アラート出力判定回路
12 ログ情報格納部
13 アラート定義情報格納部
130 アラート定義情報
20−1乃至n ログ収集対象電子機器
30 アラート出力装置
31 アラート出力部
32 ログ情報格納部
40 通信ネットワーク
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク
905 通信インタフェース
906 バス
907 記憶媒体
908 リーダライタ
909 入出力インタフェース
Claims (7)
- ログメッセージが出力元機器から出力された時刻である出力時刻と、前記出力元機器において発生した事象内容と、を示すログ情報を格納するログ情報格納手段と、
前記ログ情報を包含する前記ログメッセージを受信した際に、当該ログメッセージに関する前記出力時刻を基準として所定の時間が経過した時刻と現在時刻とのうちの古い時刻を判定し、前記出力時刻から前記古い時刻までの時間帯に前記出力元機器から出力された、前記ログ情報格納手段に格納されている少なくとも1つの前記ログ情報が示す前記事象内容と、受信した前記ログメッセージに包含される前記事象内容と、の組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力するアラート出力手段と、
を備えるアラート出力装置。 - 前記アラート出力手段は、受信した前記ログメッセージに包含される前記事象内容と、当該ログメッセージに関する前記出力時刻を基準として、所定の時間前までの時間帯に前記出力元機器から出力された、前記ログ情報格納手段に格納されている少なくとも1つの前記ログ情報が示す前記事象内容との組み合わせが所定の条件を満たす場合、アラート出力する、
請求項1に記載のアラート出力装置。 - 前記所定の条件を示す情報を格納するアラート定義情報格納手段をさらに備え、
前記アラート出力手段は、受信した前記ログメッセージに包含される前記ログ情報に基づき、前記ログ情報格納手段、及び、前記アラート定義情報格納手段を参照して、アラート出力するか否かを判定する、
請求項1または2に記載のアラート出力装置。 - 情報処理装置によって、
ログメッセージが出力元機器から出力された時刻である出力時刻と、前記出力元機器において発生した事象内容と、を示すログ情報を記憶域に格納し、
前記ログ情報を包含する前記ログメッセージを受信した際に、当該ログメッセージに関する前記出力時刻を基準として所定の時間が経過した時刻と現在時刻とのうちの古い時刻を判定し、前記出力時刻から前記古い時刻までの時間帯に前記出力元機器から出力された、前記記憶域に格納されている少なくとも1つの前記ログ情報が示す前記事象内容と、受信した前記ログメッセージに包含される前記事象内容と、の組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力する、
アラート出力方法。 - 情報処理装置によって、
受信した前記ログメッセージに包含される前記事象内容と、当該ログメッセージに関する前記出力時刻を基準として、所定の時間前までの時間帯に前記出力元機器から出力された、前記記憶域に格納されている少なくとも1つの前記ログ情報が示す前記事象内容との組み合わせが所定の条件を満たす場合、アラート出力する、
請求項4に記載のアラート出力方法。 - ログメッセージが出力元機器から出力された時刻である出力時刻と、前記出力元機器において発生した事象内容と、を示すログ情報を記憶域に格納するログ情報格納処理と、
前記ログ情報を包含する前記ログメッセージを受信した際に、当該ログメッセージに関する前記出力時刻を基準として所定の時間が経過した時刻と現在時刻とのうちの古い時刻を判定し、前記出力時刻から前記古い時刻までの時間帯に前記出力元機器から出力された、前記記憶域に格納されている少なくとも1つの前記ログ情報が示す前記事象内容と、受信した前記ログメッセージに包含される前記事象内容と、の組み合わせが所定の条件を満たす場合、アラートを出力すべきと判断し、外部に対してアラート出力するアラート出力処理と、
をコンピュータに実行させるアラート出力プログラム。 - 受信した前記ログメッセージに包含される前記事象内容と、当該ログメッセージに関する前記出力時刻を基準として、所定の時間前までの時間帯に前記出力元機器から出力された、前記記憶域に格納されている少なくとも1つの前記ログ情報が示す前記事象内容との組み合わせが所定の条件を満たす場合、アラート出力する前記アラート出力処理
をコンピュータに実行させる請求項6に記載のアラート出力プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013195210A JP6330280B2 (ja) | 2013-09-20 | 2013-09-20 | アラート出力装置、アラート出力方法、及び、アラート出力プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013195210A JP6330280B2 (ja) | 2013-09-20 | 2013-09-20 | アラート出力装置、アラート出力方法、及び、アラート出力プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015060501A JP2015060501A (ja) | 2015-03-30 |
| JP6330280B2 true JP6330280B2 (ja) | 2018-05-30 |
Family
ID=52817941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013195210A Active JP6330280B2 (ja) | 2013-09-20 | 2013-09-20 | アラート出力装置、アラート出力方法、及び、アラート出力プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6330280B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111740868B (zh) * | 2020-07-07 | 2023-12-15 | 腾讯科技(深圳)有限公司 | 告警数据的处理方法和装置及存储介质 |
| CN113807549A (zh) * | 2021-09-15 | 2021-12-17 | 佛山技研智联科技有限公司 | 一种告警消息推送方法、装置、设备和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331350A (ja) * | 2000-05-19 | 2001-11-30 | Mitsubishi Electric Corp | 保守管理装置 |
| JP4679314B2 (ja) * | 2005-09-15 | 2011-04-27 | 株式会社富士通エフサス | 障害通報の通知方法およびシステム |
-
2013
- 2013-09-20 JP JP2013195210A patent/JP6330280B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015060501A (ja) | 2015-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5541130B2 (ja) | 管理装置、管理方法および管理用プログラム | |
| US8122122B1 (en) | Event monitoring and collection | |
| US7805630B2 (en) | Detection and mitigation of disk failures | |
| US8554907B1 (en) | Reputation prediction of IP addresses | |
| US20080229421A1 (en) | Adaptive data collection for root-cause analysis and intrusion detection | |
| JP6160064B2 (ja) | 適用判定プログラム、障害検出装置および適用判定方法 | |
| JP6413537B2 (ja) | 障害予兆通報装置および予兆通報方法、予兆通報プログラム | |
| US11698962B2 (en) | Method for detecting intrusions in an audit log | |
| JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| CN111625841B (zh) | 一种病毒处理方法、装置及设备 | |
| CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| US20180004939A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
| CN112287336A (zh) | 基于区块链的主机安全监控方法、装置、介质及电子设备 | |
| JP2020149390A (ja) | サイバー攻撃検知装置 | |
| JP2006067605A5 (ja) | ||
| JP6330280B2 (ja) | アラート出力装置、アラート出力方法、及び、アラート出力プログラム | |
| CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
| CN114785621B (zh) | 漏洞检测方法、装置、电子设备及计算机可读存储介质 | |
| JP2008217118A (ja) | ログファイル管理装置及びログファイル送信装置及びログファイル管理方法及びログファイル送信方法及びプログラム | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160816 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170428 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170509 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170706 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171128 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180124 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180327 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180409 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6330280 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |