KR100665132B1 - 이질의 로그를 정형화하는 방법 - Google Patents
이질의 로그를 정형화하는 방법 Download PDFInfo
- Publication number
- KR100665132B1 KR100665132B1 KR1020050069699A KR20050069699A KR100665132B1 KR 100665132 B1 KR100665132 B1 KR 100665132B1 KR 1020050069699 A KR1020050069699 A KR 1020050069699A KR 20050069699 A KR20050069699 A KR 20050069699A KR 100665132 B1 KR100665132 B1 KR 100665132B1
- Authority
- KR
- South Korea
- Prior art keywords
- rule
- log
- collected
- logs
- specified
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/006—Identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Human Computer Interaction (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 컴퓨터와 같은 각종 장비, 시스템, 상용S/W 또는 통신장비 등에서 발생하는 판독이 곤란한 다양한 형태의 이질의 로그를 사용자가 인식 및 식별할 수 있는 정형화된 형태로 변환하는 방법에 관한 것으로서, 이질의 정형성이 없고 의미가 없는 로그 텍스트를 미리 정의된 규칙(룰, Rule)을 이용하여 사용자 인터페이스(UI)에서 손쉽게 추출하고, 그 추출된 결과를 정형화된 표준 필드로 매칭을 시키고, 이를 객체화하여 관리하고, 실시간으로 객체화된 규칙을 저장하여 연계 된 시스템에 파라미터 변수 및 상수화함으로써 운영자나 관리자가 간편하게 정형화된 데이터로 만들어서 시스템 감사업무, 보안 감사 업무, 로그분석, 이벤트 분석 등에 바로 활용이 가능하고, 실시간으로 로그를 해독할 수 있으며, 다른 로그 종합 관리시스템, 서버 로그 분석 시스템, 통합 보안 관리, 통합 응용 시스템 관리부분의 에이전트 시스템과 손쉽게 연결하여 그 부가 효과를 극대화 할 수 있다.
이질 로그, 이벤트, 추출, 규칙, 룰, 정형, 포맷, 맵핑, mapping
Description
도 1은 본 발명의 정형화방법의 실시예를 도시한 흐름도.
도 2는 도 1의 방법을 구현하는 시스템의 일 예를 도시한 블록도.
도 3은 도 1의 방법을 구현하는 사용자 인터페이스의 화면의 일 예를 도시한 도면.
※ 도면의 주요부분에 대한 부호의 설명 ※
200 : 이질 로그 정형화 시스템 210 : 입력인터페이스
220 : 수집로그 관리모듈 230 : 사용자 인터페이스 모듈
240 : 변환규칙 제어모듈 250 : 객체규칙 제어모듈
290 : 데이터베이스 300 : 사용자 인터페이스
310 : 테스트항목 란 320 : 테스트 결과 열
330 : 1차룰 열 340 : 구분1 열
350 : 구분2 열
본 발명은 컴퓨터와 같은 각종 장비, 시스템, 상용S/W 또는 통신장비 등에서 발생하는 판독이 곤란한 다양한 형태의 이질의 로그를 사용자가 인식 및 식별할 수 있는 정형화된 형태로 변환하는 방법에 관한 것이다.
일반적으로 로그(log)는 이벤트(event) 또는 히스토리(history)라고도 하며 시스템의 활동 사항이나 작업 처리 내용이 기록된 데이터를 말하는 것으로서, 누가 언제 어디서 접속 했는 지, 작업에서 사용된 중앙 처리장치의 시간, 입출력 장치의 사용시간, 수행시킨 명령어, 시작시각과 종료시각 등에 관한 정보를 비롯해서 컴퓨터 체계의 운용에 대한 모든 것이 기록되어 있다.
그러므로 이러한 로그를 분석하여 유용한 정보로서 활용을 하게 된다. 즉 컴퓨터 시스템에 해킹사고가 발생할 경우에는 로그파일을 근거로 사고원인과 해커를 추적할 수가 있으며, 통신과정에 발생하는 트래픽을 분석하여 적절한 통신선로의 선택과 트래픽 분산정책을 입안할 수 있고, 쇼핑몰 등에서는 접속자 및 거래된 상품을 분석함으로써 컨텐츠에 대한 호응도 또는 상품에 대한 선호도를 판단하여 유용한 영업자료로서 활용할 수 있으며, 또한 인/아웃 바운드 접속데이터를 분석하여 부적절한 접속이나 유용한 자료 또는 영업비밀의 유출이 있는 지 여부를 파악할 수가 있는 것이다.
그러나 이러한 로그는 시스템에 따라 서로 상이하고 다양한 형태로 이루어져 있으며, 동일한 시스템이라고 하더라도 시스템의 업그레이드 또는 하드웨어의 변경 등에 의하여 변화할 수 있는 이질(비 정형, heterogeneity) 형태로 이루어져 있고, 사람이 즉각적으로 해독할 수 없는 문자열 또는 코드(ASCII 등)로 이루어져 있는 것이 일반적이다.
그러므로 즉각적으로 판독이 곤란한 위와 같은 로그를 해독하기 위해서는 시스템 제공자가 마련한 매뉴얼을 참고로 하여 일일이 해독하거나, 시스템 개발자나 응용 시스템 개발자가 해독 프로그램을 개발하여 사용자나 관리자가 인식하기 용이한 데이터로 변환하여 보여 줄 수 있다.
하지만 매뉴얼을 참고로 하여 로그를 해독하는 데에는 상당한 시간이 소요된 다는 문제점이 있을 뿐만 아니라, 또한 수시로 변경되는 로그에 대해서는 개발자가 매번 개발, 수정 변경 및 재 설치를 하여야 만이 관리자나 운영자에게 해독된 데이터를 보여 줄 수 있다는 번거로움이 있다.
또한 대부분의 경우에 시스템이나 장비에서 발생하는 로그나 이벤트는 시간적인 여유를 가지고 판독하거나 그 해독 프로그램을 개발 할 수 있는 상황이 아니며, 현실적으로 개발자가 이질로그를 정형화된 형태로 변환하는 프로그램을 개발하거나 수정하는 경우에는 요구사항 분석, 로직 분석, 개발, 테스트 및 안정화과정까지 평균 1주일 정도가 소요되므로 심각한 문제가 발생한 후 상당한 시간이 지난 후에야 그 대책방안을 찾을 수 있다는 문제점이 있다.
본 발명은 상술한 로그를 해독하는 종래의 과정에 내재하는 문제점을 해결하기 위하여 미리 정의된 룰을 기반으로 하여 이질의 로그를 정형화된 데이터로 변환할 수 있도록 함으로써 아주 짧은 시간에 로그를 해독할 수 있도록 하고, 수시로 변경되는 로그 포맷에 대해서도 즉각적으로 대응할 수 있도록 하며, 운영자나 관리 자도 이질의 로그를 정형화된 데이터로 용이하게 변환 할 수 있어서 로그분석, 시스템 감사업무 또는 보안 감사 업무에 바로 활용이 가능하도록 하는 방법을 제공하는 것을 기술적과제로 한다.
본 발명의 상기한 기술적과제는 미리 변환 기능과 정규화 필드를 운영자나 관리자가 UI(User Interface, 사용자 인터페이스)를 통하여 손쉽게 정형화된 데이터로 변환 할 수 있게 함으로써 실현할 수 있다. 즉 이질의 정형성이 없고 의미가 없는 로그 텍스트를 미리 정의된 규칙(룰, Rule)을 이용하여 사용자 인터페이스(UI)에서 손쉽게 추출하고, 그 추출된 결과를 정형화된 표준 필드로 매칭을 시키고, 이를 객체화하여 관리하고, 실시간으로 객체화된 규칙을 저장하여 연계 된 시스템에 파라미터 변수 및 상수화하여 이용할 수 있도록 한다.
본 발명의 정형화방법은 특정 장비, 시스템 또는 상용S/W에서 발생하는 로그가 수집되는 로그수집단계;
수집된 로그가 복사되고 사용자 인터페이스의 테스트항목에 삽입되는 로그복사단계;
복사된 로그의 각 필드별 속성이 정의되고, 각 필드별로 미리 마련된 추출 규칙이 적용되어 맵핑(mapping)되며 이 맵핑된 필드가 테스트되는 맵핑단계;
맵핑된 로그를 테스트하는 테스트단계;
테스트가 완료된 로그에 적용된 추출규칙을 관리 객체로 등록되는 관리객체 등록단계;
객체로 등록된 규칙을 해당 시스템에 적용하는 객체규칙 적용단계; 및
객체 규칙이 적용되어 정형화된 데이터를 저장하는 데이터저장단계;
로 이루어진다.
상기에서 추출규칙은 아무 것도 추출하지 않는 제0군 규칙;
수집된 로그의 문자열 또는 구분자의 관계를 이용하여 추출하는 제1군 규칙;
수집된 로그를 발생시킨 시스템의 정보를 추출하는 제2군 규칙;
수집된 로그를 발생시킨 시스템과는 별도를 해당로그를 중계해 주는 시스템(Gateway System)의 IP주소를 추출하는 제3군 규칙;
수집된 로그의 문자열을 숫자로 변환하거나 숫자를 문자로 변환하는 제4군 규칙; 및
수집된 로그와는 별도로 입력에 의하여 필드를 생성하는 제5군 규칙;
으로 구성되며, 이 규칙은 데이터베이스에 저장이 되고 변환규칙관리모듈에서 관리되고, 사용자 인터페이스에서 규칙(rule)과 제1구분 및 제2구분으로 입력되어 규칙이 적용된다.
상기에서 제1군 규칙은 지정한 두개의 문자열 사이의 문자를 추출하는 제1-1규칙, 지정한 문자열부터 지정한 개수만큼의 문자를 추출하는 제1-2규칙, 처음 문자열부터 지정한 개수부터 두 번째 지정한 문자열 사이의 문자를 추출하는 제1-3규칙, 지정한 구분자에서 지정한 구분 개수만큼 지난 후 다음 번 구분자까지의 문자 열을 추출하는 제1-4규칙 및 처음 문자열부터 지정한 문자 개수와 처음 문자열부터 지정한 문자열 개수 사이의 문자를 추출하는 제1-5규칙으로 분화되는 것이 바람직하다.
또한, 상기 제2군규칙은 수집된 로그에 연(年)이 없는 경우에 규칙이 구현되는 시스템에 적용된 연도를 추출하는 제2-1규칙, 수집된 로그에 월(月)이 없는 경우에 규칙이 구현되는 시스템에 적용된 월을 추출하는 제2-2규칙; 수집된 로그에 일(日)이 없는 경우에 규칙이 구현되는 시스템에 적용된 날짜를 추출하는 제2-3규칙 및 수집된 로그에 시간이 없는 경우에 규칙이 구현되는 시스템에 적용된 시간을 추출하는 제2-4규칙으로 분화되는 것이 바람직하다.
한편 상기 제4군규칙은 수집된 로그의 문자로 이루어진 월(月)을 숫자 월로 변환하는 제4-1규칙, 수집된 로그의 문자로 이루어진 시간을 숫자 시간으로 변환하는 제4-2규칙, 수집된 로그의 아스키(ASCII)문자 IP주소를 숫자로 이루어진 IP주소로 변환하는 제4-3규칙, 수집된 로그의 아스키 문자를 아스키코드로 변환하는 제4-4규칙 및 수집된 로그에서 추출된 인터넷 프로토콜(protocol)번호를 프로토콜 이름으로 변환하는 제4-5규칙으로 세분되는 것이 바람직하다.
이하에서는 본 발명의 일 실시예 및 작용을 첨부한 도면을 참고로 상세하게 설명한다.
도 1은 본 발명의 정형화방법의 실시예를 도시한 흐름도이고, 도 2는 도 1의 방법을 구현하는 시스템의 구성을 도시한 블록도이며, 도 3은 도 1의 방법을 구현 하는 사용자 인터페이스의 화면을 도시한 도면이다.
첨부 도 2에 도시된 시스템은 사용자가 로그를 수집하고 맵핑하고 데이터를 저장할 수 있도록 하는 편집에디터의 사용자 인터페이스 모듈;
각종 장치, 시스템 또는 상용S/W에 발생하는 로그가 수집되는 입력인터페이스;
위 수집된 로그를 관리하는 수집로그관리모듈;
수집된 로그에 적용되는 추출규칙을 제어/관리하는 변환규칙제어모듈;
특정 로그에 적용되어 테스트가 완료된 추출규칙을 객체로 등록하고 제어/관리하는 객체규칙제어모듈; 및
상기한 편집에디터, 수집된 로그, 추출규칙, 객체규칙 또는 기타 데이터가 저장되는 데이터베이스;
로 구성되어 있다.
도시된 바와 같이 본 발명의 정형화 방법은
상용S/W장비(10)에서 발생하는 로그가 입력인터페이스(210)를 통하여 수집되는 로그수집단계(S100);
수집된 로그가 수집로그 관리모듈(220)에 의하여 복사되고 사용자인터페이스모듈(250)의 제어에 의하여 사용자(20)의 화면(22)에 띄워진 사용자인터페이스(300)의 테스트항목(310)에 삽입되는 로그복사단계(S200);
복사된 로그의 각 필드별 속성이 로그를 발생시키는 시스템(10) 제공자가 마 련한 매뉴얼로부터 정의되고, 데이터베이스(290)에 저장되어 있는 추출규칙들이 변환규칙제어모듈(230)에 의하여 제어되며, 위 로그의 각 필드별로 추출 규칙이 적용되어 사용자인터페이스(300)의 데스트결과란(320)에 맵핑(mapping)되며 이 맵핑된 필드가 테스트되는 맵핑단계(S300);
맵핑된 로그 전체를 테스트하고 결과가 만족스럽지 않을 때는 다시 상기 맵핑단계가 재 수행되는 테스트단계(S400);
테스트가 만족스럽게 완료된 로그에 적용된 추출규칙이 객체규칙제어모듈(240)에 의하여 관리객체로서 데이터베이스(290)에 저장/등록되는 관리객체등록단계(S500);
객체로 등록된 규칙을 상용S/W장비관리시스템(30)에 적용하는 객체규칙 적용단계(S600); 및
객체 규칙이 적용되어 정형화된 데이터를 데이터베이스(290)에 저장하는 데이터저장단계(S700);로 이루어진다.
한편 본 실시예에서는 세분화된 추출규칙을 사용하므로 이하에서 각 번호별로 정의되는 규칙과 이 규칙을 예를 들어 설명하며, 사용되는 로그텍스트에서 공란(스페이스 또는 블랭크(blank))은 인식하기 어려우므로 여기에서는 점(点)인 "ㆍ"으로 표현하였으며 이는 본 실시예에서 인식하기 편하게 하기 위하여 사용하는 의미 없는 문자이며, "구분1"과 "구분2"는 도 3에 도시된 바와 같이 입력되는 문자열, 숫자 또는 구분자를 나타내며, 규칙이 적용된 결과는 결과란(320)에 표기가 되 는 것이며, 아래의 결과항목에서는 전체 로그텍스트를 표현하되 밑줄을 이용하여 결과를 표시하여 인식하기 용이하도록 한다.
추출규칙 : 0
추출하지 않음
추출규칙 : 1
지정한 두개의 문자열 사이의 문자추출
예) 구분1 : ntec, 구분2 : kernel
결과) 238(ntec 와 kernel 사의 문자)
novㆍ6ㆍ17:14:00ㆍntec238ㆍkernel:ㆍpacketㆍlog:ㆍinputㆍdenyㆍeth0
추출규칙 : 2
지정한 문자열부터 지정한 개수만큼의 문자를 추출
예) 구분1 : ntec, 구분2 : 10
결과) 238ㆍkernel(ntec 이후부터 10개의 문자)
novㆍ6ㆍ17:14:00ㆍntec238ㆍkernel:ㆍpacketㆍlog:ㆍinputㆍdenyㆍeth0
추출규칙 : 3
처음문자열에서 세어서 지정한 개수 이후의 문자부터 두번째 지정한 문자열 사이의 문자 추출
예) 구분1 : 10, 구분 2 : kernel
결과) 4:00ㆍntec238ㆍ(11번째 문자 "4" 부터 "kernel" 앞까지의 문자)
novㆍ6ㆍ17:14:00ㆍntec238ㆍkernel:ㆍpacketㆍlog:ㆍinputㆍdenyㆍeth0
추출규칙 : 4
지정한 구분자에서 지정한 구분자 개수만큼 지난 후 다음번 구분자까지의 문자열 추출
예) 구분1 : |, 구분2 : 5
결과) MSDTC(구분자 "|" 5번째와 6번째의 문자열 추출)
|Application|Information|2003-10-18|02:12:06|MSDTC|4097||KYLEE|MSDTC
추출규칙 : 5
처음 문자열에서 세어서 첫 번째 구분에서 정의한 개수만큼의 문자열 다음 문자부터 시작하여 두 번째 구분에서 정의한 개수만큼의 문자 추출
예) 구분1 : 6, 구분2 : 8(처음문자 "n"에서 시작하여 "6"번째 문자의 다음문자인 "1"에서 "8"번째 문자까지 추출)
결과) 17:14:00
novㆍ6ㆍ17:14:00ㆍntec238ㆍkernel:ㆍpacketㆍlog:ㆍinputㆍdenyㆍeth0
추출규칙 : 6
로그에 연(年)이 없는 경우에 규칙이 구현되는 시스템에 적용된 연도를 추출
추출규칙 : 7
로그에 월(月)이 없는 경우에 규칙이 구현되는 시스템에 적용된 월을 추출
추출규칙 : 8
로그에 일(日)이 없는 경우에 규칙이 구현되는 시스템에 적용된 날짜를 추출
추출규칙 : 9
로그에 시간이 없는 경우에 규칙이 구현되는 시스템에 적용된 시간을 추출
추출규칙 : 10
로그를 발생시킨 시스템과는 별도를 해당로그를 중계해 주는 시스템(Gateway System)의 IP주소를 추출
추출규칙 : 11
로그의 문자로 이루어진 월(月)을 숫자 월로 변환
예) "JAN" 또는 "JANUARY"를 "01"로 변환
추출규칙 : 12
로그의 문자로 이루어진 시간을 숫자 시간으로 변환
예) "PM 08:22:22"를 "20:22:22"로 변환
추출규칙 : 13
수집된 로그와는 별도로 입력에 의하여 필드를 생성
예) 구분1 : 127.0.0.0, 구분2 : Test
결과) 127.0.0.0Test
추출규칙 : 14
로그의 아스키(ASCII)문자 IP주소를 숫자로 이루어진 IP주소로 변환
예) CONV inet_ntoa('\n\n\n\n')
결과) 10.10.10.10
추출규칙 : 15
로그의 아스키 문자를 아스키코드로 변환
예) Get ASC('!')
결과) 33
추출규칙 : 16
로그에서 추출된 인터넷 프로토콜(protocol)번호를 프로토콜 이름으로 변환
예) Conv_PROTOCOL('6')
결과) TCP
상기의 추출규칙 제6규칙 내지 제10규칙 은 통상의 방법을 이용하여 구현할 수 있는 것이다.
또한 상기의 제1규칙 내지 제 16규칙을 반복하는 제21규칙 내지 제36규칙을 내장하여 좀더 상세한 결과를 얻을 수 있도록 한다.
이하에서는 상기와 같은 규칙, 본 발명의 정형화 방법과 이 방법이 구현되는 시스템의 일예를 이용하여 로그를 정형화하는 과정을 설명한다.
상용S/W장비(10)에서 발생하는 로그 "Rootㆍpts/7ㆍ211.52.116.40ㆍThuㆍAugㆍ21ㆍ16:05ㆍ-ㆍ20:04ㆍ(03:58)"가 입력인터페이스(210)를 통하여 수집된다(S100). 여기서 "ㆍ"는 스페이스(띄움)를 나타내기 위하여 의도적으로 표현한 것이며, 문자로서의 의미는 없음은 세분화된 규칙의 설명에서와 동일하다.
수집된 로그가 수집로그 관리모듈(220)에 의하여 복사되고 사용자인터페이스모듈(250)의 제어에 의하여 사용자(20)의 화면(22)에 띄워진 사용자인터페이스 (300)의 테스트항목(310)에 삽입된다(S200).
복사된 상기 로그의 각 필드별 속성은 아래와 같으며 이 속성은 로그를 발생시키는 시스템(10) 제공자가 마련한 매뉴얼로부터 정의된다.
Root : 입력(접속)한 ID
pts/7 : 사용한 터미널 명
211.52.116.40 : 접속지/출발지 IP Address
ThuㆍAugㆍ21ㆍ16:05 : 접속한 날짜 및 최초 접속한 시각
20:04 : 접속을 종료한 시각
(03:58) : 사용한 시간, 접속한 시간
위와 같이 정의된 속성을 이용하여 추출규칙에 의하여 맵핑하는 과정을 설명하면,
먼저 접속자 ID는 15번 행의 1차룰란에 "3"을, 구분1에는 "0"을, 구분2에는 "ㆍ"(스페이스)를 입력하여, "규칙3"을 적용하되 첫 번째 문자 "R"에서 "ㆍ"(스페이스)까지의 문자 "Root"를 추출하여 "접속자ID"로 명명된 항목의 테스트 결과(320)에 표기하게 되고,
터미널명은 "규칙4"를 적용하되 구분1에는 "ㆍ"(스페이스)와 구분2에는 "1"을 입력하여, 지정한 구분자 "ㆍ"의 첫 번째에서 "ㆍ"의 두 번째 사이에 있는 문자 "pts/7"를 추출하고,
출발지 IP는 "규칙4"를 적용하되 구분1에는 "ㆍ"(스페이스)와 구분2에는 "2"를 입력하여, 지정한 구분자 "ㆍ" 두 번째와 세 번째 사이에 있는 문자 "211.52.116.40"를 추출하며,
발생시각 연(年)은 로그에 없으므로 "규칙6"을 적용하여 시스템의 연도 "2003"이 자동적으로 입력되도록 하고,
발생시각 월(月)은 "규칙4"를 적용하되 구분1에는 "ㆍ"(스페이스)와 구분2에는 "4"를 입력하여, 지정한 구분자 "ㆍ"의 네 번째와 다섯 번째 사이에 있는 문자 "Aug"를 추출하고, 2차룰에서 "규칙11"을 적용하여 문자로 이루어진 월(月) "Aug"를 숫자 월 "08"로 변환하며,
발생시각 일(日)은 "규칙4"를 적용하되 구분1에는 "ㆍ"(스페이스)와 구분2에는 "5"을 입력하여, 지정한 구분자 "ㆍ"의 다섯 번째와 여섯 번째 사이에 있는 문자 "21"을 추출하고,
발생시각 시(時)는 "규칙4"를 적용하되 구분1에는 "ㆍ"(스페이스)와 구분2에는 "6"을 입력하여, 지정한 구분자 "ㆍ"의 여섯 번째와 일곱 번째 사이에 있는 문자 "16:05"을 추출하며,
종료시각 년(年), 월(月) 및 일(日)은 상기의 발생시각의 년(年), 월(月) 및 일(日)의 추출과 동일한 규칙을 적용하여 추출하고,
종료시각 시(時)는 "규칙4"를 적용하되 구분1에는 "ㆍ"(스페이스)와 구분2에는 "8"을 입력하여, 지정한 구분자 "ㆍ"의 여덟 번째와 아홉 번째 사이에 있는 문자 "20:04"을 추출하며,
사용시간은 "규칙1"을 적용하되 구분1에는 "("와 구분2에는 ")"를 입력하여, 문자열 "("와 ")"의 사이에 있는 문자 "03:58"이 추출되도록 하고,
나머지 항목에 대해서는 룰에 "0"을 입력하여 추출규칙이 적용되지 않도록 한다.
상기와 같이 추출함으로써 운영자 또는 관리자가 식별이 용이한 정형화된 형태로 결과를 도출해 낼 수 있다.
위와 같이 로그의 각 필드별로 추출 규칙이 적용되어 사용자인터페이스(300)의 데스트결과란(320)에 맵핑(mapping)(S300)이 되고, 각 항목별로 맵핑된 테스트 결과가 만족스러운 경우에는 전체 테스트(S400)를 수행하여 전체 로그의 결과를 확인한다.
테스트가 완료된 경우에는 위 로그에 적용된 추출규칙들을 관리객체로서 데이터베이스(290)에 저장하고(S500), 객체로 등록된 규칙을 상용S/W장비 관리시스템(30)에 적용(S600)하여 변경된 로그 포맷이 적용될 수 있도록 하며, 마지막으로 정형화된 로그데이터를 데이터베이스(290)에 저장(S700)하여 로그 정형화 과정을 종료한다.
이러한 변경된 로그의 유형은 변경되기 전까지는 하나의 시스템으로부터 같은 유형으로 지속적으로 발생하므로 동일한 규칙이 적용될 수 있으며, 로그가 변경된 경우에는 상기한 바와 같은 간단한 과정을 거쳐서 로그를 해독하고 시스템에 적용하여 즉각적인 대응을 할 수 있다.
상기에서 로그 입력인터페이스(210)는 로그분석 시스템등의 상위 시스템과의 인터페이스를 통하여 자동으로 입력이 될 수 있다. 이러한 상위 시스템과 인터페이스의 종류는 여러 가지가 있으며, 일반적인 인터페이스는 snmp get, snmp trap, syslog, opsec, file adapter 또는 socket adapter 등을 적용할 수가 있으며, 상용S/W장비(10)의 특성과 지원 인터페이스를 고려하여 적절히 선택하기만 하면 된다.
상기에서는 본 발명의 일 실시예를 설명하였으나, 본 발명은 상술한 기술적 구성에 한정되는 것이 아니라 본 발명의 기술적사상의 요지를 벗어나지 않는 범위 내에서 수정 및 변형하여 실시할 수 있고, 그러한 수정 및 변형이 가해진 기술사상 역시 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.
상기한 바와 같이 본 발명은 비 정형화된 로그 텍스트를 정형화된 형태로 변환함에 있어서, 미리 정의된 규칙을 이용하여 사용자 인터페이스에서 간편하게 변환할 수 있는 효과가 있으며, 개발자에 의하여 로그분석 프로그램의 개발이나 변경과정을 거치지 않더라도 운영자나 관리자가 관리하기 편한 정형화된 데이터로 만들어서 시스템 감사업무, 보안 감사 업무, 로그분석, 이벤트 분석 등에 바로 활용이 가능하고, 실시간으로 추출 및 정형화하고 규칙으로써 객체화 된 내용을 다른 로그 종합 관리시스템, 서버 로그 분석 시스템, 통합 보안 관리, 통합 응용 시스템 관리부분의 에이전트 시스템과 손쉽게 연결하여 그 부가 효과를 극대화 할 수 있다.
또한 로그 해독에 소요되는 시간이 극도로 줄어들게 됨으로써 비용의 절감과 실시간으로 로그를 해독할 수 있으므로 신속한 대응을 할 수 있는 효과가 있다.
그러므로 본 발명은 경제성, 편리성 및 확장성을 겸비한 현저한 효과가 있는 것이다.
Claims (10)
- 로그를 정형화하는 방법에 관한 것으로서,특정 장비, 시스템 또는 상용S/W에서 발생하는 로그가 수집되는 로그수집단계;수집된 로그가 복사되고 사용자 인터페이스의 테스트항목에 삽입되는 로그복사단계;복사된 로그의 각 필드별 속성이 정의되고, 각 필드별로 미리 마련된 추출 규칙이 적용되어 맵핑(mapping)되며 이 맵핑된 필드가 테스트되는 맵핑단계;맵핑된 로그를 테스트하는 테스트단계;테스트가 완료된 로그에 적용된 추출규칙을 관리 객체로 등록되는 관리객체등록단계;객체로 등록된 규칙을 해당 시스템에 적용하는 객체규칙 적용단계; 및객체 규칙이 적용되어 정형화된 데이터를 저장하는 데이터저장단계;로 이루어진 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 1항에 있어서, 상기 추출규칙이아무 것도 추출하지 않는 제0군 규칙;수집된 로그의 문자열 또는 구분자의 관계를 이용하여 추출하는 제1군 규칙;수집된 로그를 발생시킨 시스템의 정보를 추출하는 제2군 규칙;수집된 로그를 발생시킨 시스템과는 별도를 해당로그를 중계해 주는 시스템(Gateway System)의 IP주소를 추출하는 제3군 규칙;수집된 로그의 문자열을 숫자로 변환하거나 숫자를 문자로 변환하는 제4군 규칙; 및수집된 로그와는 별도로 입력에 의하여 필드를 생성하는 제5군 규칙;으로 이루어진 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 2항에 있어서, 상기 제1군 규칙이지정한 두개의 문자열 사이의 문자를 추출하는 제1-1규칙;지정한 문자열부터 지정한 개수만큼의 문자를 추출하는 제1-2규칙;처음 문자열부터 지정한 개수부터 두 번째 지정한 문자열 사이의 문자를 추출하는 제1-3규칙;지정한 구분자에서 지정한 구분 개수만큼 지난 후 다음 번 구분자까지의 문자열을 추출하는 제1-4규칙; 및처음 문자열부터 지정한 문자 개수와 처음 문자열부터 지정한 문자열 개수 사이의 문자를 추출하는 제1-5규칙;으로 이루어진 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 2항에 있어서, 상기 제2군규칙이수집된 로그에 연(年)이 없는 경우에 규칙이 구현되는 시스템에 적용된 연도 를 추출하는 제2-1규칙;수집된 로그에 월(月)이 없는 경우에 규칙이 구현되는 시스템에 적용된 월을 추출하는 제2-2규칙;수집된 로그에 일(日)이 없는 경우에 규칙이 구현되는 시스템에 적용된 날짜를 추출하는 제2-3규칙; 및수집된 로그에 시간이 없는 경우에 규칙이 구현되는 시스템에 적용된 시간을 추출하는 제2-4규칙;으로 이루어진 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 2항에 있어서, 상기 제4군규칙이수집된 로그의 문자로 이루어진 월(月)을 숫자 월로 변환하는 제4-1규칙;수집된 로그의 문자로 이루어진 시간을 숫자 시간으로 변환하는 제4-2규칙;수집된 로그의 아스키(ASCII)문자 IP주소를 숫자로 이루어진 IP주소로 변환하는 제4-3규칙;수집된 로그의 아스키 문자를 아스키코드로 변환하는 제4-4규칙; 및수집된 로그에서 추출된 인터넷 프로토콜(protocol)번호를 프로토콜 이름으로 변환하는 제4-5규칙;으로 이루어진 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 2항에 있어서,상기 제1군 규칙이 지정한 두개의 문자열 사이의 문자를 추출하는 제1-1규칙, 지정한 문자열부터 지정한 개수만큼의 문자를 추출하는 제1-2규칙, 처음 문자열부터 지정한 개수부터 두 번째 지정한 문자열 사이의 문자를 추출하는 제1-3규칙, 지정한 구분자에서 지정한 구분 개수만큼 지난 후 다음 번 구분자까지의 문자열을 추출하는 제1-4규칙, 및 처음 문자열부터 지정한 문자 개수와 처음 문자열부터 지정한 문자열 개수 사이의 문자를 추출하는 제1-5규칙으로 이루어지고;상기 제2군규칙이 수집된 로그에 연(年)이 없는 경우에 규칙이 구현되는 시스템에 적용된 연도를 추출하는 제2-1규칙, 수집된 로그에 월(月)이 없는 경우에 규칙이 구현되는 시스템에 적용된 월을 추출하는 제2-2규칙, 수집된 로그에 일(日)이 없는 경우에 규칙이 구현되는 시스템에 적용된 날짜를 추출하는 제2-3규칙, 및 수집된 로그에 시간이 없는 경우에 규칙이 구현되는 시스템에 적용된 시간을 추출하는 제2-4규칙으로 이루어지며;상기 제4군규칙이 수집된 로그의 문자로 이루어진 월(月)을 숫자 월로 변환하는 제4-1규칙, 수집된 로그의 문자로 이루어진 시간을 숫자 시간으로 변환하는 제4-2규칙, 수집된 로그의 아스키(ASCII)문자 IP주소를 숫자로 이루어진 IP주소로 변환하는 제4-3규칙, 수집된 로그의 아스키 문자를 아스키코드로 변환하는 제4-4규칙, 및 수집된 로그에서 추출된 인터넷 프로토콜(protocol)번호를 프로토콜 이름으로 변환하는 제4-5규칙으로 이루어진 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 1항 내지 제 6항 중 어느 한 항에 있어서,상기 규칙과 동일한 규칙을 이차 규칙으로서 더 포함하여 수행하는 것을 특징으로 하는 이질의 로그를 정형화하는 방법.
- 제 1항 내지 제 6항 중 어느 한 항에 있어서,상기 인터페이스가 1차룰, 구분1, 구분2, 2차룰, 구분1, 구분2, 3차룰, 구분1 및 구분2로 구성되어 상기 규칙을 3차에 걸쳐서 적용할 수 있도록 하는 것을 특징으로 하는 이질을 로그를 정형화하는 방법.
- 제 7항에 있어서,상기 인터페이스가 1차룰, 구분1, 구분2, 2차룰, 구분1, 구분2, 3차룰, 구분1 및 구분2로 구성되어 상기 규칙을 3차에 걸쳐서 적용할 수 있도록 하는 것을 특징으로 하는 이질을 로그를 정형화하는 방법.
- 제 1항 내지 제 6항 중 어느 한 항에 있어서,상기의 로그 정형화 방법이 사용자가 로그를 수집하고 맵핑하고 데이터를 저장할 수 있도록 하는 편집에디터의 사용자 인터페이스 모듈;각종 장치, 시스템 또는 상용S/W에 발생하는 로그가 수집되는 입력인터페이스;위 수집된 로그를 관리하는 수집로그관리모듈;수집된 로그에 적용되는 추출규칙을 제어/관리하는 변환규칙제어모듈;특정 로그에 적용되어 테스트가 완료된 추출규칙을 객체로 등록하고 제어/관리하는 객체규칙제어모듈; 및상기한 편집에디터, 수집된 로그, 추출규칙, 객체규칙 또는 기타 데이터가 저장되는 데이터베이스;에 의하여 이루어지는 것을 특징으로 하는 이질을 로그를 정형화하는 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050069699A KR100665132B1 (ko) | 2005-07-29 | 2005-07-29 | 이질의 로그를 정형화하는 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050069699A KR100665132B1 (ko) | 2005-07-29 | 2005-07-29 | 이질의 로그를 정형화하는 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR100665132B1 true KR100665132B1 (ko) | 2007-01-04 |
Family
ID=37867007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050069699A KR100665132B1 (ko) | 2005-07-29 | 2005-07-29 | 이질의 로그를 정형화하는 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100665132B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537015A (zh) * | 2014-12-19 | 2015-04-22 | 电信科学技术第十研究所 | 一种日志分析的计算机实现的方法、计算机和系统 |
| KR20180061891A (ko) * | 2016-11-30 | 2018-06-08 | 정준용 | 로그 생성기 및 그를 포함하는 빅 데이터 분석 전처리 시스템 |
| KR102670058B1 (ko) * | 2023-11-20 | 2024-05-28 | 주식회사 넷스루 | 로그의 관리를 위한 사용자 인터페이스를 제공하기 위한 방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10293704A (ja) | 1997-04-18 | 1998-11-04 | Hitachi Ltd | ログデータの収集と管理をする情報処理装置 |
| KR20030001018A (ko) * | 2001-06-28 | 2003-01-06 | 박일남 | 웹 사이트상의 로그 관리 시스템 및 방법 |
| JP2003099295A (ja) | 2001-09-21 | 2003-04-04 | Teamgia:Kk | 通信ログの処理方法、の方法をコンピュータシステム上で実行させるためのコンピュータソフトウエアプログラム及び通信ログ処理システム |
| KR20040107067A (ko) * | 2003-06-12 | 2004-12-20 | 주식회사 케이티 | 메시지 계층화를 이용한 로그 데이터 관리 시스템 및 그방법 |
| KR20050000881A (ko) * | 2003-06-25 | 2005-01-06 | 주식회사 케이티 | 로그데이터 표준화 시스템과 방법 및 이를 저장한 컴퓨터판독 가능 기록매체 |
-
2005
- 2005-07-29 KR KR1020050069699A patent/KR100665132B1/ko not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10293704A (ja) | 1997-04-18 | 1998-11-04 | Hitachi Ltd | ログデータの収集と管理をする情報処理装置 |
| KR20030001018A (ko) * | 2001-06-28 | 2003-01-06 | 박일남 | 웹 사이트상의 로그 관리 시스템 및 방법 |
| JP2003099295A (ja) | 2001-09-21 | 2003-04-04 | Teamgia:Kk | 通信ログの処理方法、の方法をコンピュータシステム上で実行させるためのコンピュータソフトウエアプログラム及び通信ログ処理システム |
| KR20040107067A (ko) * | 2003-06-12 | 2004-12-20 | 주식회사 케이티 | 메시지 계층화를 이용한 로그 데이터 관리 시스템 및 그방법 |
| KR20050000881A (ko) * | 2003-06-25 | 2005-01-06 | 주식회사 케이티 | 로그데이터 표준화 시스템과 방법 및 이를 저장한 컴퓨터판독 가능 기록매체 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537015A (zh) * | 2014-12-19 | 2015-04-22 | 电信科学技术第十研究所 | 一种日志分析的计算机实现的方法、计算机和系统 |
| KR20180061891A (ko) * | 2016-11-30 | 2018-06-08 | 정준용 | 로그 생성기 및 그를 포함하는 빅 데이터 분석 전처리 시스템 |
| KR101888860B1 (ko) * | 2016-11-30 | 2018-08-16 | (주)봄소프트웨어 | 로그 생성기 및 그를 포함하는 빅 데이터 분석 전처리 시스템 |
| KR102670058B1 (ko) * | 2023-11-20 | 2024-05-28 | 주식회사 넷스루 | 로그의 관리를 위한 사용자 인터페이스를 제공하기 위한 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1143362A2 (en) | System and method for managing financial transaction information | |
| US20090241165A1 (en) | Compliance policy management systems and methods | |
| JP2008522282A (ja) | アプリケーションの実装および監視 | |
| WO2004081816A1 (en) | Secure database access through partial encryption | |
| US9342697B1 (en) | Scalable security policy architecture for data leakage prevention | |
| US6959429B1 (en) | System for developing data collection software applications | |
| JP5102556B2 (ja) | ログ解析支援装置 | |
| CN110069559A (zh) | 一种具有高度自控性的异构信息系统数据分析和集成方法 | |
| JP2002352062A (ja) | セキュリティ評価装置 | |
| US8176019B2 (en) | Extending the sparcle privacy policy workbench methods to other policy domains | |
| KR100665132B1 (ko) | 이질의 로그를 정형화하는 방법 | |
| KR20070015782A (ko) | 이질의 로그를 정형화하는 시스템 | |
| KR100762712B1 (ko) | 규칙기반의 전자문서 변환방법 및 그 시스템 | |
| CN112416713A (zh) | 操作审计系统及方法、计算机可读存储介质、电子设备 | |
| CN117972704A (zh) | 一种区块链生态安全协同监管方法 | |
| JP5102555B2 (ja) | ログ解析支援装置 | |
| KR102403881B1 (ko) | 이벤트의 인과관계 가시화 장치 및 그 방법 | |
| CN105630761B (zh) | 公式处理方法及装置 | |
| US7437714B1 (en) | Category partitioning markup language and tools | |
| CN112346938B (zh) | 操作审计方法、装置及服务器和计算机可读存储介质 | |
| KR20220096840A (ko) | 노무 통합 관리 방법 및 이를 수행하기 위한 컴퓨팅 장치 | |
| US9904710B2 (en) | System and method for validating and formatting IP right identifiers | |
| JP5069057B2 (ja) | ログ解析支援装置 | |
| WO2010119628A1 (ja) | 環境情報集計システム及び方法 | |
| Jyothi et al. | Accelerating SQL with Complex Visual Querying |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20091229 Year of fee payment: 4 |
|
| LAPS | Lapse due to unpaid annual fee |