JP6902211B2 - Event monitoring system, terminal device, monitoring server, event monitoring method and program - Google Patents
Event monitoring system, terminal device, monitoring server, event monitoring method and program Download PDFInfo
- Publication number
- JP6902211B2 JP6902211B2 JP2019532868A JP2019532868A JP6902211B2 JP 6902211 B2 JP6902211 B2 JP 6902211B2 JP 2019532868 A JP2019532868 A JP 2019532868A JP 2019532868 A JP2019532868 A JP 2019532868A JP 6902211 B2 JP6902211 B2 JP 6902211B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- terminal device
- pattern
- event information
- monitoring server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 161
- 238000000034 method Methods 0.000 title claims description 63
- 238000000605 extraction Methods 0.000 claims description 19
- 239000000284 extract Substances 0.000 claims description 6
- 230000006835 compression Effects 0.000 description 25
- 238000007906 compression Methods 0.000 description 25
- 230000005856 abnormality Effects 0.000 description 20
- 230000005540 biological transmission Effects 0.000 description 19
- 238000001514 detection method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 4
- 230000000295 complement effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、イベント監視システム、端末装置、監視サーバ、イベント監視方法およびプログラムに関する。 The present invention relates to an event monitoring system, a terminal device, a monitoring server, an event monitoring method and a program .
端末装置で発生するイベントを監視して、端末装置の異常を検知する監視サーバが知られている。監視サーバにはネットワークを介して複数の端末装置が接続され、各端末装置にはイベント情報を収集するための機能が設けられる。各端末装置はイベント情報を監視サーバに送信し、監視サーバは各端末装置からのイベント情報をログ情報として記録する。 A monitoring server that monitors an event that occurs in a terminal device and detects an abnormality in the terminal device is known. A plurality of terminal devices are connected to the monitoring server via a network, and each terminal device is provided with a function for collecting event information. Each terminal device sends event information to the monitoring server, and the monitoring server records the event information from each terminal device as log information.
特許文献1には、新たなログ情報を記録する際に、新たなログ情報の内容が直近に記録したログ情報の内容と同一性を有する場合、所定の省略形式で新たなログ情報を記録する技術が開示されている。これにより、記録されるログ情報のデータ量を抑制することができる。
In
しかしながら、特許文献1においては、直近のログ情報との比較に基づいて新たなログ情報の記録形式を決定しているため、同一または類似のログ情報が連続していない場合には、データ量を抑制することは困難となる。
However, in
本発明は、上述の課題に鑑みてなされたものであって、イベント情報のデータ量を効率良く抑制することが可能なイベント監視システム、端末装置、監視サーバ、イベント監視方法およびプログラムを提供することを目的とする。 The present invention has been made in view of the above problems, and provides an event monitoring system, a terminal device, a monitoring server, an event monitoring method and a program capable of efficiently suppressing the amount of event information data. With the goal.
本発明の一観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムであって、前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とするイベント監視システムが提供される。 According to one aspect of the present invention, the event monitoring system includes a terminal device and a monitoring server that monitors an event that occurs in the terminal device, and the terminal device collects event information related to the event. A plurality of units, a grouping unit that compresses a series of event information based on an event pattern, and an event transmission unit that transmits the event information to the monitoring server, and the monitoring server is a plurality of units received from the terminal device. a pattern extraction unit for extracting the event pattern based on the event information, the event monitoring system according to claim Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device is provided.
本発明の他の観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムに用いられる端末装置であって、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする端末装置が提供される。 According to another aspect of the present invention, it is a terminal device used in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device, and is an event that collects event information related to the event. The monitoring server includes a collecting unit, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server, and the monitoring server is received from the terminal device. a pattern extraction unit for extracting the event pattern based on the plurality of the event information, the terminal device according to claim Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device is provided.
本発明の他の観点によれば、端末装置で発生するイベントを監視するための監視サーバであって、前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする監視サーバが提供される。 According to another aspect of the present invention, it is a monitoring server for monitoring an event generated in a terminal device, and the terminal device is an event collecting unit that collects event information related to the event, and a series based on an event pattern. The monitoring server includes a grouping unit that compresses the event information, and an event transmission unit that transmits the event information to the monitoring server, and the monitoring server is based on the plurality of event information received from the terminal device. a pattern extraction unit for extracting an event pattern, the monitoring server, wherein Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device is provided.
本発明の他の観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおけるイベント監視方法であって、前記端末装置が、前記イベントに関するイベント情報を収集するステップと、前記端末装置が、イベントパターンに基づく一連の前記イベント情報を圧縮するステップと、前記端末装置が、前記イベント情報を前記監視サーバに送信するステップと、前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、を備えることを特徴とするイベント監視方法が提供される。 According to another aspect of the present invention, a terminal device, a event monitoring method in an event monitoring system comprising a monitoring server for monitoring the events occurring on the terminal device, the terminal device, the event information on the event a step of collecting, said terminal device, and a step of compressing a sequence of the event information based on event pattern, the terminal device, and transmitting the event information to the monitoring server, the monitoring server, the Event monitoring is characterized by comprising a step of extracting the event pattern based on a plurality of the event information received from the terminal device, and a step of the monitoring server transmitting the event pattern to the terminal device. A method is provided.
本発明の他の観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおいてイベント監視を行うためのプログラムであって、前記端末装置が、前記イベントに関するイベント情報を収集するステップと、前記端末装置が、イベントパターンに基づく一連の前記イベント情報を圧縮するステップと、前記端末装置が、前記イベント情報を前記監視サーバに送信するステップと、前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、をコンピュータに実行させることを特徴とするプログラムが提供される。 According to another aspect of the present invention, it is a program for performing event monitoring in an event monitoring system including a terminal device and a monitoring server that monitors an event generated in the terminal device, and the terminal device is the said. a step of collecting event information about an event, comprising: said terminal device, and a step of compressing a sequence of the event information based on event pattern, the terminal device, for transmitting the event information to the monitoring server, the monitoring The server causes the computer to execute a step of extracting the event pattern based on the plurality of event information received from the terminal device and a step of the monitoring server transmitting the event pattern to the terminal device. A program characterized by this is provided.
本発明によれば、イベント情報のデータ量を効率良く抑制することが可能なイベント監視システム、端末装置、監視サーバ、イベント監視方法およびプログラムが提供される。 According to the present invention, an event monitoring system, a terminal device, a monitoring server, an event monitoring method and a program capable of efficiently suppressing the amount of event information data are provided.
以下、図面を参照して、本発明の実施の形態を説明する。
[第1実施形態]
図1は、第1実施形態に係るイベント監視システムのブロック図である。イベント監視システム1は、端末装置10と、監視サーバ20とを含む。端末装置10は、監視サーバ20による監視の対象となる監視対象システム11を構成する。端末装置10は、例えばユーザが使用するパーソナルコンピュータ、監視対象システム11のホストコンピュータなどであって、ネットワーク30を介して監視サーバ20および他の端末装置10と通信を行う。なお、端末装置10は、監視対象システム11内のローカルネットワークを介して他の端末装置10と通信を行ってもよい。また、端末装置10の数は限定されない。Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
FIG. 1 is a block diagram of the event monitoring system according to the first embodiment. The
端末装置10には、プロセスレベルのイベント情報を収集可能なエージェントプログラムが予めインストールされている。エージェントプログラムは、端末装置10で発生したイベントに関する情報(イベント情報)を収集し、イベント情報40を監視サーバ20に送信する。監視サーバ20は、エージェントプログラムからのイベント情報40に基づいて、端末装置10の異常を検知する。例えば、監視サーバ20は、サイバー攻撃、コンピュータウイルスなどにより端末装置10で悪意のあるプログラムが実行されたことを検知することができる。ネットワーク30は、社内LAN(Local Area Network)などの通信ネットワークであって、端末装置10と監視サーバ20を相互に接続する。
An agent program capable of collecting process-level event information is installed in the
端末装置10は、イベント収集部101、イベントバッファ102、グループ化部103、イベント送信部104、パターン受信部105、パターン格納部106を含む。イベント収集部101は、端末装置10のOS(Operating System)により生成されたプロセスの動作を検出し、動作毎の情報をイベント情報としてイベントバッファ102に出力する。イベントバッファ102は、イベント収集部101からのイベント情報を一時的に蓄積する。
The
グループ化部103は、パターン格納部106に予め格納されたイベントパターンに基づいて、収集されたイベント情報をグループ化する。具体的には、グループ化部103は、イベントバッファ102に蓄積された複数のイベント情報の中から一連のイベント情報を抽出し、抽出されたイベント情報のパターンをイベントパターンと照合する。ここで一連のイベント情報とは、例えば一のプロセスに関連する複数のイベント情報のことである。グループ化部103は、一連のイベント情報のパターンがイベントパターンと合致する場合、当該一連のイベント情報をグループ化する。さらに、グループ化部103は、イベントパターンに対応する圧縮ルールに従って、グループ化されたイベント情報を圧縮する。例えば、グループ化部103は、複数のイベント情報を1つのイベント情報で置き換えることができる。
The
また、グループ化部103は、イベント収集部101が収集に失敗したイベント情報を、イベントパターンに基づいて補完することができる。例えば、グループ化部103は、一連のイベント情報が示すパターンとイベントパターンとが合致するように、一連のイベント情報の中で欠落したイベント情報を生成することができる。
Further, the
イベント送信部104は、グループ化部103によりグループ化されたイベント情報を監視サーバ20に送信する。また、イベント送信部104は、グループ化部103によりグループ化されなかったイベント情報も監視サーバ20に送信する。パターン受信部105は、イベントパターンと圧縮ルールを監視サーバ20から受信する。イベントパターンと圧縮ルールは、パターン格納部106に格納される。
The
監視サーバ20は、イベント受信部201、イベント格納部202、異常検知部203、パターン抽出部204、パターン登録部205、パターン送信部206を含む。イベント受信部201は、端末装置10からイベント情報を受信する。イベント情報は、イベント格納部202に格納される。
The monitoring
異常検知部203は、イベント格納部202に格納された複数のイベント情報に基づいて、端末装置10の異常を検知する。異常検知部203は、通常時における端末装置10の動作をモデル化した動作モデルを有し、イベント情報から把握される端末装置10の現在の動作と動作モデルとを比較することにより、端末装置10の現在の動作に異常があるか否かを判断することができる。
The
例えば、電子メール用のアプリケーションプログラムにより起動されるプロセス(以下、メールプロセス)は、通常、メールボックス、メールファイルなどのように、アクセス先となるフォルダ、ファイルの種類が限定されている。異常検知部203は、メールプロセスが、パスワードファイルの読み取りなどの通常とは異なる動作を行ったときに、当該動作を異常として検知する。動作モデルは、機械学習などにより予め構築しておくことができる。なお、異常検知部203による異常検知の手法は特に限定されない。
For example, a process started by an application program for e-mail (hereinafter referred to as a mail process) is usually limited in the folders and file types to be accessed, such as a mailbox and a mail file. When the mail process performs an unusual operation such as reading a password file, the
パターン抽出部204は、イベント格納部202に蓄積されたイベント情報からイベントパターンを抽出する。イベントパターンは、例えばファイルオープン、ファイルリード、・・・、ファイルリード、ファイルクローズなどのように、プロセスの一連の動作として表される。パターン抽出部204は、パターン登録部205に登録されていない新たなイベントパターンを発見した場合、当該新たなイベントパターンをパターン登録部205に登録する。
The
さらに、パターン抽出部204は、各イベントパターンに対応した圧縮ルールを生成する。圧縮ルールは、グループ化したイベント情報を圧縮するために使用される。イベントパターンの抽出と圧縮ルールの生成は、定期的または任意のタイミングで行われ、新たなイベントパターンと圧縮ルールがパターン登録部205に追加される。
Further, the
パターン登録部205は、パターン抽出部204により抽出された各種イベントパターンと圧縮ルールを格納する。パターン送信部206は、新たなイベントパターンと圧縮ルールがパターン登録部205に登録された場合、当該新たなイベントパターンと圧縮ルールを端末装置10に送信する。
The
図2は、本実施形態に係る端末装置と監視サーバのハードウェア構成を示すブロック図である。端末装置10と監視サーバ20は同様のハードウェア構成を有し得るため、ここでは端末装置10を例に挙げて説明する。
FIG. 2 is a block diagram showing a hardware configuration of a terminal device and a monitoring server according to the present embodiment. Since the
端末装置10は、CPU(Central Processing Unit)111、ROM(Read Only Memory)112、RAM(Random Access Memory)113、通信I/F(Interface)114、記憶装置115、入力装置116、ディスプレイ117、記憶I/F118を備える。CPU111は、ROM112からエージェントプログラムなどの所定のプログラムを読み出し、実行することにより、端末装置10の各部の機能を実現する。ROM112は、不揮発性メモリから構成され、OSなどの基本プログラム、アプリケーションプログラム(以下、アプリケーション)などを記憶する。RAM113は揮発性メモリから構成され、CPU111の動作に必要なメモリ領域を提供する。
The
通信I/F114は、例えばイーサネット(登録商標)規格に基づく通信インターフェースであって、通信ケーブルを介してネットワーク30に接続される。記憶装置115は、ハードディスクなどの大容量記憶装置であって、イベント情報、イベントパターン、圧縮ルールなどを記憶する。入力装置116は、キーボード、マウスなどの入力デバイスであってユーザにより操作される。ディスプレイ117は、例えば液晶ディスプレイであって、OS、アプリケーションにより提供されるGUI(Graphical User Interface)などを表示する。記憶I/F118は、光ディスク、USB(Universal Serial Bus)メモリなどの可搬記憶媒体と着脱可能に接続される。
The communication I /
図3は、本実施形態に係るプロセスの動作を示す概念図である。端末装置10において、ユーザアカウントによりアプリケーションが起動されると、OSは複数のプロセスを生成する。これらのプロセスは、ユーザアカウントとアプリケーションに関連付けられる。各プロセスは、1または複数のプロセスを起動する。また、各プロセスは、1または複数のファイルにアクセスする。また、各プロセスは、1または複数のソケットにアクセスする。ソケットにアクセスしたプロセスは、他の端末装置10との通信を行う。
FIG. 3 is a conceptual diagram showing the operation of the process according to the present embodiment. In the
図4は、本実施形態に係るイベント情報を説明するための図である。図4の上部に示すように、イベント情報40は、少なくとも動作の主体、動作の客体、動作(の内容)、および動作が行われた時刻を用いて記述される。イベント情報40は、(a)プロセスイベント、(b)ファイルイベント、(c)IPチャネルイベント、(d)パスイベントの4種類に分類される。
FIG. 4 is a diagram for explaining event information according to the present embodiment. As shown in the upper part of FIG. 4, the
プロセスイベントは、プロセスが他のプロセスを起動するイベントであって、主体および客体はプロセス、動作の内容はスタートまたはエンドである。ファイルイベントは、プロセスがファイルにアクセスするイベントであって、主体はプロセス、客体はファイル、動作の内容はオープン、クローズ、リードまたはライトである。ファイルイベントに関するイベント情報40には、読み出し量、書き込み量などが含まれ得る。IPチャネルイベントは、プロセスがソケットを介して通信を行うイベントであって、主体はプロセス、客体はソケット、動作の内容はオープン、クローズ、センドまたはレシーブである。IPチャネルイベントに関するイベント情報40には、送信量、受信量、宛先アドレスなどが含まれ得る。パスイベントは、プロセスがファイルにアクセスするイベントであって、主体はプロセス、客体はファイル、動作の内容はムーブまたはデリートである。パスイベントに関するイベント情報40には、イベント発生前のファイルパス、イベント発生後のファイルパスなどが含まれ得る。
A process event is an event in which a process starts another process, the subject and the object are the process, and the content of the operation is the start or end. A file event is an event in which a process accesses a file, the subject is the process, the object is the file, and the content of the action is open, closed, read or write. The
図5は、本実施形態に係るイベント情報の圧縮の一例である。図5の(A)には、ファイルオープン、ファイルリード、ファイルクローズからなるイベントパターンに合致した一連のイベント情報40a〜40dが示されている。イベント情報40a〜40dはファイルイベントであって、動作401、主体402、客体403、時刻404を含む。イベント情報40b、40cは、さらに読み出し量405を含む。なお、図5において時刻404は時分で表されているが、時刻404は時分秒で表されてもよく、また日付を含んでいてもよい。
FIG. 5 is an example of compression of event information according to the present embodiment. FIG. 5A shows a series of
イベント情報40a〜40dは、主体402および客体403がそれぞれ共通しているため、1つのイベント情報40gで置き換えることができる。例えば、イベント情報40gの動作401は、ファイルオープン、ファイルリード、ファイルクローズの一連の動作をまとめたファイルオープン・リード・クローズで表される。イベント情報40gの時刻404は、一連のイベント情報40a〜40dのうちの最初のイベント情報40aと最後のイベント情報40dの時刻404で表される。イベント情報40gの読み出し量405は、一連のイベント情報40a〜40dのうちのファイルリードに関するイベント情報40b、40cの読み出し量405の合計で表される。
Since the
イベント情報40gの時刻404は、最初のイベント情報40aの時刻404を基準として表されてもよい。イベント情報40a〜40d、40gの時刻をそれぞれ時刻404a〜404d、404gとすると、時刻404gは、時刻404a、時刻404aと時刻404bの差分、時刻404aと時刻404cの差分、時刻404aと時刻404dの差分で表され得る。
The
図6は、本実施形態に係るイベント情報の補完の一例である。図6の(A)には、ファイルオープン、ファイルリード、ファイルクローズからなるイベントパターンに類似した一連のイベント情報40a〜40cが示されている。一連のイベント情報40a〜40cは、イベントパターンのうちのファイルオープン、ファイルリードの部分と合致するものの、イベントパターンのうちのファイルクローズに対応するイベント情報40dが欠落している。このような場合、欠落したイベント情報40dをイベントパターンと合致するように補完することができる。すなわち、イベントパターンを構成する要素のうち欠落した要素を補完することができる。イベントパターンの要素の数および補完される要素の数は限定されない。
FIG. 6 is an example of complementing the event information according to the present embodiment. FIG. 6A shows a series of
イベントパターンは、対になる2つの要素(イベント対)を含み得る。例えば、ファイルイベントに関するイベントパターンでは、ファイルオープンとファイルクローズがイベント対となる。また、プロセスイベントに関するイベントパターンでは、プロセススタートとプロセスエンドがイベント対となる。同様に、IPチャネルイベントに関するイベントパターンでは、ソケットオープンとソケットクローズがイベント対となる。 An event pattern can include two paired elements (event pairs). For example, in an event pattern related to a file event, file open and file close are event pairs. In the event pattern related to process events, the process start and process end are event pairs. Similarly, in the event pattern for IP channel events, socket open and socket close are event pairs.
図6の例では、イベント対の一方(ファイルオープン)に基づいて、イベント対の他方(ファイルクローズ)に関するイベント情報40dが補完されている。補完されたイベント情報40dの主体402および客体403は、イベント情報40a〜40cの主体402および客体403と同一である。イベント情報40dの時刻404を、一連のイベント情報40a〜40cのうちの最後のイベント情報40cの時刻404に基づいて補完してもよい。
In the example of FIG. 6, the
図7は、本実施形態に係る端末装置の処理を示すフローチャートである。このフローチャートの処理は、端末装置10において繰り返し実行される。まず、パターン受信部105は、監視サーバ20からイベントパターンを受信したか否かを判断する(ステップS101)。イベントパターンが受信された場合(ステップS101でYES)、パターン受信部105は、受信されたイベントパターンをパターン格納部106に格納する(ステップS102)。パターン受信部105は、イベントパターンとともに受信された圧縮ルールもパターン格納部106に格納する。イベントパターンが受信されない場合(ステップS101でNO)、処理はステップS103に移行する。
FIG. 7 is a flowchart showing the processing of the terminal device according to the present embodiment. The processing of this flowchart is repeatedly executed in the
イベント収集部101は、端末装置10においてイベントが検知されたか否かを判断する(ステップS103)。イベントが検知された場合(ステップS103でYES)、イベント収集部101は、検知されたイベントのイベント情報を生成してイベントバッファ102に記憶する(ステップS104)。イベントが検知されない場合(ステップS103でNO)、処理はステップS105に移行する。
The
グループ化部103は、イベントバッファ102に蓄積されたイベント情報に基づいて、一連のイベント情報の収集が完了したか否かを判断する(ステップS105)。例えば、グループ化部103は、イベントバッファ102から主体402および客体403が共通するイベント情報を時刻404の順で抽出し、抽出された一連のイベント情報をグループ化する。グループ化部103は、グループ内で最遅のイベント情報が収集されてから、新たなイベント情報が収集されることなく所定時間(例えば2、3分)が経過したときに、当該一連のイベント情報の収集が完了したと判断する。図5の(A)に示した例では、イベント情報40dが収集された時刻が計時の基準となる。一方、図6の(A)に示した例では、イベント情報40cが収集された時刻が計時の基準となる。
The
一連のイベント情報の収集が完了していない場合(ステップS105でNO)、イベント収集処理(ステップS103、S104)が繰り返される。なお、イベント収集処理は、ステップS105の判断結果に関わらず、常時実行されていてよい。また、ステップS105において、グループ化部103は複数のグループ化を並行して行う。
If the collection of a series of event information is not completed (NO in step S105), the event collection process (steps S103 and S104) is repeated. The event collection process may be executed at all times regardless of the determination result in step S105. Further, in step S105, the
一連のイベント情報の収集が完了した場合(ステップS105でYES)、グループ化されたイベント情報のパターンがイベントパターンに合致しているか否かを判断する(ステップS106)。すなわち、グループ化部103は、パターン格納部106に格納されているすべてのイベントパターンを用いて、グループ化されたイベント情報のパターンを照合する。
When the collection of a series of event information is completed (YES in step S105), it is determined whether or not the grouped event information pattern matches the event pattern (step S106). That is, the
イベントパターンの例として、ファイルオープン、ファイルリード、ファイルクローズからなるイベントパターン、ファイルオープン、ファイルライト、ファイルクローズからなるイベントパターンが挙げられる。ここで、ファイルリードおよびファイルライトの数は、複数であり得る。すなわち、ファイルオープンとファイルクローズとの間に、複数のファイルリード(またはファイルライト)があってもよい。また、他のイベントパターンの例として、プロセススタート、プロセスエンドからなるイベントパターン、ソケットオープン、センド(またはレシーブ)、ソケットクローズからなるイベントパターンなどが挙げられる。プロセスイベントに関するイベントパターンは、親プロセスと子プロセスに対応する階層的なイベントパターンであってもよい。 Examples of event patterns include an event pattern consisting of file open, file read, and file close, and an event pattern consisting of file open, file write, and file close. Here, the number of file reads and file writes can be plural. That is, there may be multiple file reads (or file writes) between file open and file close. In addition, examples of other event patterns include an event pattern consisting of a process start and a process end, an event pattern consisting of a socket open, a send (or receive), and a socket close. The event pattern related to the process event may be a hierarchical event pattern corresponding to the parent process and the child process.
イベント情報のパターンがイベントパターンに合致した場合(ステップS106でYES)、グループ化部103は、グループ化された一連のイベント情報を圧縮ルールに従って圧縮する(ステップS109)。例えば、図5に示したように、グループ化部103は、4つのイベント情報40a〜40dを1つのイベント情報40gで置き換える。イベント情報40gのデータ量は、イベント情報40a〜40dの合計のデータ量よりも小さい。イベント送信部104は、圧縮されたイベント情報を監視サーバ20に送信する(ステップS110)。
When the event information pattern matches the event pattern (YES in step S106), the
イベント情報のパターンがイベントパターンに合致しない場合(ステップS106でNO)、グループ化部103は、グループ化されたイベント情報のパターンがイベントパターンに類似しているか否かを判断する(ステップS107)。イベント情報のパターンがイベントパターンに類似している場合(ステップS107でYES)、グループ化部103は、グループ化された一連のイベント情報の中で欠落したイベント情報を補完する(ステップS108)。
When the event information pattern does not match the event pattern (NO in step S106), the
例えば、図6に示したように、グループ化部103は、イベントパターンに含まれるイベント対に基づき、一連のイベント情報40a〜40cに対して、欠落したイベント情報40dを補完する。すなわち、ファイルオープンに関するイベント情報40aと対になるように、ファイルクローズに関するイベント情報40dがグループ化部103により生成される。なお、補完されたイベント情報に対応するイベント情報が、イベント情報補完処理(ステップS108)後に収集された場合には、当該遅れて収集されたイベント情報を破棄してよい。
For example, as shown in FIG. 6, the
続いて、グループ化部103は、補完された一連のイベント情報を圧縮する(ステップS109)。イベント送信部104は、圧縮されたイベント情報を監視サーバ20に送信する(ステップS110)。
Subsequently, the
イベント情報のパターンがイベントパターンに類似していない場合(ステップS107でNO)、イベント送信部104は、グループ化されたイベント情報を監視サーバ20に送信する(ステップS110)。さらに、イベント送信部104は、グループ化されなかったイベント情報も監視サーバ20に送信する。イベント送信部104から送信されたイベント情報は、イベントバッファ102から削除される。
When the event information pattern is not similar to the event pattern (NO in step S107), the
図8は、本実施形態に係る監視サーバの処理を示すフローチャートである。このフローチャートの処理は、監視サーバ20において繰り返し実行される。まず、イベント受信部201は、端末装置10からイベント情報を受信したか否かを判断する(ステップS201)。イベント情報が受信されない場合(ステップS201でNO)、イベント受信部201は、イベント情報が受信されるまで待機する。イベント情報が受信された場合(ステップS201でYES)、イベント受信部201は、受信されたイベント情報をイベント格納部202に格納する(ステップS202)。
FIG. 8 is a flowchart showing the processing of the monitoring server according to the present embodiment. The processing of this flowchart is repeatedly executed on the
異常検知部203は、イベント格納部202に蓄積されたイベント情報に基づいて端末装置10の異常を検知する(ステップS203)。異常検知部203は、端末装置10の異常を検知した場合には、端末装置10を隔離するなどの処置を行う。パターン抽出部204は、イベント格納部202に蓄積されたイベント情報のパターンを学習し、パターン登録部205に登録されていない新規のイベントパターンの抽出を試みる。新規のイベントパターンが抽出されない場合(ステップS204でNO)、処理はステップS201に戻る。新規のイベントパターンが抽出された場合(ステップS204でYES)、パターン抽出部204は、新規のイベントパターンをパターン登録部205に登録する(ステップS205)。また、パターン抽出部204は、イベントパターンに対応した圧縮ルールを生成し、パターン登録部205に登録する。パターン送信部206は、パターン登録部205に登録された新規のイベントパターンを圧縮ルールとともに端末装置10に送信する(ステップS206)。
The
本実施形態によれば、イベントパターンに基づく一連のイベント情報を単位として情報の圧縮が行われるため、イベント情報のデータ量を効率良く抑制することができる。また、端末装置10においてイベント情報の圧縮を行うことにより、イベント情報を監視サーバ20に送信する際の通信量が削減されるため、通信路の圧迫を回避することができる。さらに、欠落したイベント情報をイベントパターンに基づいて補完することができるため、端末装置10におけるイベント情報の収集能力を向上させることができる。
According to the present embodiment, since the information is compressed in units of a series of event information based on the event pattern, the amount of event information data can be efficiently suppressed. Further, by compressing the event information in the
[第2実施形態]
続いて、第2実施形態に係るイベント監視システムを説明する。本実施形態の監視サーバ20は、圧縮された一連のイベント情報を復元することが可能である。以下、第1実施形態と異なる点を中心に説明する。[Second Embodiment]
Subsequently, the event monitoring system according to the second embodiment will be described. The monitoring
図9は、本実施形態に係る監視サーバのブロック図である。監視サーバ20は、イベント受信部201、イベント格納部202、異常検知部203、パターン抽出部204、パターン登録部205、パターン送信部206、イベント復元部207を含む。イベント復元部207は、パターン登録部205に登録された圧縮ルールに基づいて、イベント格納部202から圧縮されたイベント情報を取得し、一連のイベント情報の復元を行う。イベント復元部207は、復元された一連のイベント情報をイベント格納部202に格納する。
FIG. 9 is a block diagram of the monitoring server according to the present embodiment. The monitoring
図10は、本実施形態に係る監視サーバの処理を示すフローチャートである。イベント情報受信処理とイベント情報格納処理(ステップS301、S302)は、第1実施形態のステップS201、S202と同様であるため、その説明を省略する。ステップS303において、まず、イベント復元部207は、パターン登録部205から圧縮ルールを取得する。すべての圧縮ルールが取得されてもよく、例えば異常検知部203またはユーザなどにより指定された圧縮ルールが取得されてもよい。次に、イベント復元部207は、圧縮ルールに基づいて、イベント格納部202から圧縮されたイベント情報を取得する。例えば、イベント復元部207は、図5の(B)に示したように、動作401としてファイルオープン・リード・クローズを用いて記述されたイベント情報40gを取得する。
FIG. 10 is a flowchart showing the processing of the monitoring server according to the present embodiment. Since the event information reception process and the event information storage process (steps S301 and S302) are the same as those in steps S201 and S202 of the first embodiment, the description thereof will be omitted. In step S303, first, the
イベント復元部207は、圧縮されたイベント情報に対して圧縮ルールと逆の処理を行うことにより圧縮前の一連のイベント情報を復元する。例えば、動作401としてファイルオープン・リード・クローズを用いて記述された1つのイベント情報から、動作401としてファイルオープン、ファイルリード、ファイルクローズをそれぞれ用いて記述された3つのイベント情報を復元することができる。図5に示した例では、イベント情報40gには、イベント情報40b、40cの情報がすべて含まれていないため、イベント情報40b、40cを正確に復元することができないが、可逆的な圧縮ルールを用いることにより、正確な復元を行うことも可能である。
The
イベント復元部207は、復元した一連のイベント情報をイベント格納部202に格納する。復元元のイベント情報は、イベント格納部202から削除されてもよい。以降の異常検知からイベントパターン送信までの処理(ステップS304〜S307)は、第1実施形態のステップS203〜S206と同様であるため、その説明を省略する。
The
本実施形態によれば、端末装置10において圧縮されたイベント情報を、監視サーバ20において復元することができるため、通信量を低減しつつ異常検知の精度を向上させることができる。
According to the present embodiment, the event information compressed in the
[第3実施形態]
図11は、本実施形態に係るイベント監視システムの概略構成図である。イベント監視システム1は、端末装置10と、端末装置10で発生するイベントを監視する監視サーバ20とを含む。端末装置10は、イベントに関するイベント情報を収集するイベント収集部101と、イベントパターンに基づく一連のイベント情報を圧縮するグループ化部103と、イベント情報を監視サーバ20に送信するイベント送信部104とを備える。[Third Embodiment]
FIG. 11 is a schematic configuration diagram of the event monitoring system according to the present embodiment. The
[他の実施形態]
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。例えば、上述の実施形態では、イベントパターンの抽出が監視サーバ20側で行われていたが、端末装置10がイベントパターンの抽出を行うように構成されてもよい。また、アプリケーションの動作に関するイベントの監視に本発明を適用することも可能である。[Other Embodiments]
The present invention is not limited to the above-described embodiment, and can be appropriately modified without departing from the spirit of the present invention. For example, in the above-described embodiment, the event pattern is extracted on the
上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図7、図8、図10のフローチャートの処理をコンピュータに実行させるプログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。 A program (more specifically, a program that causes a computer to execute the processing of the flowcharts of FIGS. 7, 8 and 10) that operates the configuration of the embodiment so as to realize the functions of the above-described embodiment is used as a recording medium. A processing method of recording, reading a program recorded on the recording medium as a code, and executing the program in a computer is also included in the category of each embodiment. That is, a computer-readable recording medium is also included in the scope of each embodiment. Further, not only the recording medium on which the above-mentioned program is recorded but also the program itself is included in each embodiment.
該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。 As the recording medium, for example, a floppy (registered trademark) disk, a hard disk, an optical disk, a magneto-optical disk, a CD-ROM, a magnetic tape, a non-volatile memory card, or a ROM can be used. Further, not only the program that executes the processing by the program recorded on the recording medium alone, but also the one that operates on the OS and executes the processing in cooperation with the functions of other software and the expansion board is also in each embodiment. It is included in the category of.
上述の実施形態の一部または全部は、以下の付記のようにも記載され得るが、以下には限られない。 Some or all of the above embodiments may also be described, but not limited to:
(付記1)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムであって、
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備えることを特徴とするイベント監視システム。(Appendix 1)
An event monitoring system including a terminal device and a monitoring server that monitors events that occur in the terminal device.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. An event monitoring system characterized by being prepared.
(付記2)
前記イベント情報を一時的に蓄積するイベントバッファを備え、
前記グループ化部は、前記イベントバッファに蓄積された複数のイベント情報の中から前記一連のイベント情報を発見することを特徴とする付記1に記載のイベント監視システム。(Appendix 2)
It has an event buffer that temporarily stores the event information.
The event monitoring system according to
(付記3)
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする付記1または2に記載のイベント監視システム。(Appendix 3)
The monitoring server is characterized by including a pattern extraction unit that extracts the event pattern based on a plurality of the event information received from the terminal device, and a pattern transmission unit that transmits the event pattern to the terminal device. The event monitoring system according to
(付記4)
前記一連のイベント情報が示すパターンは、前記イベントパターンと合致することを特徴とする付記1乃至3のいずれかに記載のイベント監視システム。(Appendix 4)
The event monitoring system according to any one of
(付記5)
前記グループ化部は、前記一連のイベント情報が示すパターンが前記イベントパターンと合致するように、前記一連のイベント情報の中で欠落したイベント情報を補完することを特徴とする付記1乃至3のいずれかに記載のイベント監視システム。(Appendix 5)
Any of
(付記6)
前記イベントパターンはイベント対を含み、前記グループ化部は、前記イベント対の一方に基づいて前記イベント対の他方に関するイベント情報を補完することを特徴とする付記5に記載のイベント監視システム。(Appendix 6)
The event monitoring system according to Appendix 5, wherein the event pattern includes an event pair, and the grouping unit complements event information regarding the other of the event pairs based on one of the event pairs.
(付記7)
前記一連のイベント情報は、前記端末装置のOS(Operating System)により生成される一のプロセスに関連することを特徴とする付記1乃至6のいずれかに記載のイベント監視システム。(Appendix 7)
The event monitoring system according to any one of
(付記8)
前記イベント情報は、少なくとも動作の主体、動作の客体、動作の内容、および動作が行われた時刻を用いて記述されることを特徴とする付記1乃至7のいずれかに記載のイベント監視システム。(Appendix 8)
The event monitoring system according to any one of
(付記9)
前記主体はプロセスであり、前記客体はプロセス、ファイルおよびソケットのいずれかであることを特徴とする付記8に記載のイベント監視システム。(Appendix 9)
The event monitoring system according to Appendix 8, wherein the subject is a process and the object is any of a process, a file, and a socket.
(付記10)
前記グループ化部は、前記主体および前記客体がそれぞれ共通する複数の前記イベント情報を1つの前記イベント情報で置き換えることを特徴とする付記8または9に記載のイベント監視システム。(Appendix 10)
The event monitoring system according to Appendix 8 or 9, wherein the grouping unit replaces a plurality of the event information common to the subject and the object with one event information.
(付記11)
前記監視サーバは、前記圧縮された一連のイベント情報を復元することを特徴とする付記1乃至10のいずれかに記載のイベント監視システム。(Appendix 11)
The event monitoring system according to any one of
(付記12)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムに用いられる端末装置であって、
前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備えることを特徴とする端末装置。(Appendix 12)
A terminal device used in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
It is characterized by including an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. Terminal device.
(付記13)
端末装置で発生するイベントを監視するための監視サーバであって、
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備えることを特徴とする監視サーバ。(Appendix 13)
A monitoring server for monitoring events that occur in terminal devices.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. A monitoring server characterized by being equipped.
(付記14)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおけるイベント監視方法であって、
前記端末装置が前記イベントに関するイベント情報を収集するステップと、前記端末装置がイベントパターンに基づく一連の前記イベント情報を圧縮するステップと、前記端末装置が前記イベント情報を前記監視サーバに送信するステップとを備えることを特徴とするイベント監視方法。(Appendix 14)
An event monitoring method in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
A step in which the terminal device collects event information related to the event, a step in which the terminal device compresses a series of the event information based on the event pattern, and a step in which the terminal device transmits the event information to the monitoring server. An event monitoring method characterized by providing.
(付記15)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおいてイベント監視を行うためのプログラムが記録された記録媒体であって、
コンピュータを、
前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備える前記端末装置として機能させることを特徴とするプログラムが記録された記録媒体。(Appendix 15)
A recording medium in which a program for monitoring an event in an event monitoring system including a terminal device and a monitoring server for monitoring an event generated in the terminal device is recorded.
Computer,
As the terminal device including an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. A recording medium on which a program characterized by functioning is recorded.
この出願は、2017年7月28日に出願された日本出願特願2017−146748を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority on the basis of Japanese application Japanese Patent Application No. 2017-146748 filed on July 28, 2017 and incorporates all of its disclosures herein.
1 イベント監視システム
10 端末装置
11 監視対象システム
20 監視サーバ
30 ネットワーク
40 イベント情報
101 イベント収集部
102 イベントバッファ
103 グループ化部
104 イベント送信部
105 パターン受信部
106 パターン格納部
111 CPU
112 ROM
113 RAM
114 通信I/F
115 記憶装置
116 入力装置
117 ディスプレイ
118 記憶I/F
201 イベント受信部
202 イベント格納部
203 異常検知部
204 パターン抽出部
205 パターン登録部
206 パターン送信部
207 イベント復元部
401 動作
402 主体
403 客体
404 時刻
405 読み出し量1
112 ROM
113 RAM
114 Communication I / F
115
201
Claims (14)
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とするイベント監視システム。 An event monitoring system including a terminal device and a monitoring server that monitors events that occur in the terminal device.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. Prepare ,
The monitoring server includes a pattern extraction unit for extracting the event pattern based on the plurality of the event information received from the terminal device, the Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device A featured event monitoring system.
前記グループ化部は、前記イベントバッファに蓄積された複数のイベント情報の中から前記一連のイベント情報を発見することを特徴とする請求項1に記載のイベント監視システム。 It has an event buffer that temporarily stores the event information.
The event monitoring system according to claim 1, wherein the grouping unit discovers the series of event information from a plurality of event information stored in the event buffer.
前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする端末装置。 A terminal device used in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
It includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server .
The monitoring server includes a pattern extraction unit for extracting the event pattern based on the plurality of the event information received from the terminal device, the Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device Characteristic terminal device.
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする監視サーバ。 A monitoring server for monitoring events that occur in terminal devices.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. Prepare ,
The monitoring server includes a pattern extraction unit for extracting the event pattern based on the plurality of the event information received from the terminal device, the Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device A featured monitoring server.
前記端末装置が、前記イベントに関するイベント情報を収集するステップと、
前記端末装置が、イベントパターンに基づく一連の前記イベント情報を圧縮するステップと、
前記端末装置が、前記イベント情報を前記監視サーバに送信するステップと、
前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、
前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、
を備えることを特徴とするイベント監視方法。 An event monitoring method in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
The terminal device includes the steps of collecting event information on the event,
Before SL terminal device, and a step of compressing a sequence of the event information based on event patterns,
Before SL terminal device, and transmitting the event information to the monitoring server,
A step in which the monitoring server extracts the event pattern based on a plurality of the event information received from the terminal device.
A step in which the monitoring server transmits the event pattern to the terminal device,
An event monitoring method characterized by providing.
前記端末装置が、前記イベントに関するイベント情報を収集するステップと、
前記端末装置が、イベントパターンに基づく一連の前記イベント情報を圧縮するステップと、
前記端末装置が、前記イベント情報を前記監視サーバに送信するステップと、
前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、
前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、
をコンピュータに実行させることを特徴とするプログラム。 A program for monitoring events in an event monitoring system including a terminal device and a monitoring server that monitors events that occur in the terminal device.
A step in which the terminal device collects event information regarding the event,
A step in which the terminal device compresses a series of the event information based on the event pattern.
A step in which the terminal device transmits the event information to the monitoring server,
A step in which the monitoring server extracts the event pattern based on a plurality of the event information received from the terminal device.
A step in which the monitoring server transmits the event pattern to the terminal device,
A program characterized by having a computer execute.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017146748 | 2017-07-28 | ||
JP2017146748 | 2017-07-28 | ||
PCT/JP2018/028144 WO2019022207A1 (en) | 2017-07-28 | 2018-07-26 | Event monitoring system, terminal device, monitoring server, event monitoring method, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019022207A1 JPWO2019022207A1 (en) | 2020-03-19 |
JP6902211B2 true JP6902211B2 (en) | 2021-07-14 |
Family
ID=65040787
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019532868A Active JP6902211B2 (en) | 2017-07-28 | 2018-07-26 | Event monitoring system, terminal device, monitoring server, event monitoring method and program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6902211B2 (en) |
WO (1) | WO2019022207A1 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH03188528A (en) * | 1989-09-27 | 1991-08-16 | Hitachi Ltd | Method and system for job execution management |
JPH05347636A (en) * | 1992-06-12 | 1993-12-27 | Nec Eng Ltd | Data transmission system |
JP2002099522A (en) * | 2000-09-25 | 2002-04-05 | Hitachi Ltd | Message transfer method |
JP2007272740A (en) * | 2006-03-31 | 2007-10-18 | Ntt Docomo Inc | Decompression device, compression communication system and compression communication method |
US9109928B2 (en) * | 2007-08-16 | 2015-08-18 | International Business Machines Corporation | Methods and apparatus for efficient and adaptive transmission of data in data collection networks |
-
2018
- 2018-07-26 WO PCT/JP2018/028144 patent/WO2019022207A1/en active Application Filing
- 2018-07-26 JP JP2019532868A patent/JP6902211B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2019022207A1 (en) | 2019-01-31 |
JPWO2019022207A1 (en) | 2020-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109034993B (en) | Account checking method, account checking equipment, account checking system and computer readable storage medium | |
WO2016132717A1 (en) | Log analysis system, log analysis method, and program recording medium | |
JP6919569B2 (en) | Log analysis systems, methods, and recording media | |
JP6048038B2 (en) | Information processing apparatus, program, and information processing method | |
JP4324976B2 (en) | File difference management device, file difference management method, and file difference management program | |
TW200836080A (en) | Storing log data efficiently while supporting querying to assist in computer network security | |
CN104615504B (en) | A kind of method and device for realizing data protection | |
KR100895102B1 (en) | System and method detection of a file | |
JP2011138422A (en) | Device, method and program for detecting behavioral-pattern | |
US9817834B1 (en) | Techniques for performing an incremental backup | |
US11989161B2 (en) | Generating readable, compressed event trace logs from raw event trace logs | |
CN106681865B (en) | Service recovery method and device | |
WO2014086508A1 (en) | Restoring a previous version of a virtual machine image | |
JP6902211B2 (en) | Event monitoring system, terminal device, monitoring server, event monitoring method and program | |
CN103399714B (en) | The maintenance system of storage device configurations information and using method thereof | |
CN117271222A (en) | Cloud disaster recovery backup method and system for big data | |
JP6787873B2 (en) | Abnormal type judgment device, abnormal type judgment method and program | |
JP6216621B2 (en) | Plant monitoring and control system | |
JP2008243123A (en) | Backup device, method, and program | |
Cho | An intuitive computer forensic method by timestamp changing patterns | |
US9633066B1 (en) | Taking a consistent cut during replication for storage across multiple nodes without blocking input/output | |
JP5471721B2 (en) | Log information difference extraction management apparatus, method, and program | |
JP4897359B2 (en) | MEMORY MANAGEMENT DEVICE, MEMORY MANAGEMENT METHOD, AND PROGRAM | |
CN109344130A (en) | A kind of blog management method and device | |
JP6508202B2 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191105 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210318 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210520 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210602 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6902211 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |