KR102542052B1 - Log count processing device and processing system at the kernel level, and log count method using it - Google Patents

Log count processing device and processing system at the kernel level, and log count method using it Download PDF

Info

Publication number
KR102542052B1
KR102542052B1 KR1020230014974A KR20230014974A KR102542052B1 KR 102542052 B1 KR102542052 B1 KR 102542052B1 KR 1020230014974 A KR1020230014974 A KR 1020230014974A KR 20230014974 A KR20230014974 A KR 20230014974A KR 102542052 B1 KR102542052 B1 KR 102542052B1
Authority
KR
South Korea
Prior art keywords
count
log
policy
data
kernel
Prior art date
Application number
KR1020230014974A
Other languages
Korean (ko)
Inventor
박천오
박대원
손주양
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020230014974A priority Critical patent/KR102542052B1/en
Application granted granted Critical
Publication of KR102542052B1 publication Critical patent/KR102542052B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Abstract

본 발명은 커널에서 파일, 네트워크 등과 같이 커널에서 수행하는 접근 제어 결과에 따른 로그 발생 시 프로세스별로 사전에 정의된 카운트 대상과 카운트 조건에 따라 발생 로그를 카운트하고 알림 로그를 생성하는 커널 레벨에서의 로그 카운트 처리장치와 처리시스템 및 이를 이용한 로그 카운트 방법에 관한 것으로, 유저 레벨의 카운트정책 처리부를 통해 수신한 카운트정책을 저장하는 커널 레벨의 정책 저장부; 프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어하며 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 커널접근 제어부; 상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 카운트 대상 여부를 확인하고, 상기 카운트정책에 따라 카운트 대상별로 로그정보의 카운트를 실행해서 카운트데이터를 생성하는 로그 카운트부; 상기 카운트데이터에 관한 문자열 로그를 생성하고 저장하는 커널로그 생성부;를 포함하는 것이다.In the present invention, when a log occurs according to the result of access control performed by the kernel, such as a file, network, etc. in the kernel, log at the kernel level that counts occurrence logs according to predefined count targets and count conditions for each process and creates notification logs It relates to a count processing device and processing system and a log count method using the same, comprising: a kernel-level policy storage unit for storing a count policy received through a user-level count policy processing unit; A kernel access controller that controls access to an access target object according to process context, access control policy information, and access target object information, collects generated log data, and checks the log data and the corresponding process context; a log counting unit that checks the log data and process context to determine whether a count target belongs to a count policy, and generates count data by counting log information for each count target according to the count policy; It includes; a kernel log generation unit for generating and storing a string log related to the count data.

Description

커널 레벨에서의 로그 카운트 처리장치와 처리시스템 및 이를 이용한 로그 카운트 방법{Log count processing device and processing system at the kernel level, and log count method using it}Log count processing device and processing system at the kernel level, and log count method using it

본 발명은 커널에서 파일, 네트워크 등과 같이 커널에서 수행하는 접근 제어 결과에 따른 로그 발생 시 프로세스별로 사전에 정의된 카운트 대상과 카운트 조건에 따라 발생 로그를 카운트하고 알림 로그를 생성하는 커널 레벨에서의 로그 카운트 처리장치와 처리시스템 및 이를 이용한 로그 카운트 방법에 관한 것이다.In the present invention, when a log occurs according to the result of access control performed by the kernel, such as a file, network, etc. in the kernel, log at the kernel level that counts occurrence logs according to predefined count targets and count conditions for each process and creates notification logs It relates to a count processing device and processing system and a log count method using the same.

주지된 바와 같이, 커널에서 파일, 네트워크 등과 같이 커널에서 수행하는 접근 제어 결과에 따른 로그 발생 이후 조건이 되면 접근제어에 사용된 데이터로부터 로그 데이터를 추출하고, 이를 정해진 포맷 즉, 문자열 형태의 로그로 생성하고 로그 카운트부에 전달한다. 그런데 로그 카운트부는 프로세스별 오퍼레이션 카운트를 위해 문자열로 된 로그에서 구분자로 로그를 파싱하는 과정을 거쳐야 하므로, 이를 위한 부가적인 시스템이 구축되어야 함은 물론 이 과정에서 비용이 발생했다.As is well known, the kernel extracts log data from the data used for access control when conditions are met after the log is generated according to the results of access control performed by the kernel, such as files and networks, and converts it into a log in a specified format, that is, in the form of a string. It is created and passed to the log count unit. However, since the log counting unit needs to go through the process of parsing the log with a delimiter from a log of strings to count operations for each process, an additional system for this needs to be built, and costs are incurred in this process.

이러한 문제를 해소하기 위해서 종래에는 로그 파싱을 피하기 위해 로그 생성부에서 로그를 문자열로 전환하지 않고 로그 데이터를 로그 카운트부에 그대로 전달하는 기술이 개시되었다. 하지만, 종래 기술은 로그 카운트부에서 프로세스별 오퍼레이션을 카운트하고 별도의 리스트를 메모리에 관리해야 하는 부담이 있었다. 더욱이 이렇게 관리되고 있는 리스트를 읽는 과정에서 별도의 Read 오펴레이션이 추가로 발생하였고, 이러한 프로세스는 Read에 관한 카운트를 증가시키므로, 메모리 관리를 위한 추가적인 비용 발생이 불가피했다.In order to solve this problem, conventionally, in order to avoid log parsing, a log generation unit transfers log data as it is to a log count unit without converting the log into a character string. However, in the prior art, there is a burden of counting operations for each process in a log count unit and managing a separate list in memory. Moreover, in the process of reading the managed list, a separate Read operation was additionally generated, and since this process increased the Read count, additional costs for memory management were unavoidable.

한편, 로그 발생 조건 대응해서 로그를 생성하고 여러 과정을 거처 해당 로그 데이터를 DB(Database)에 수집하면, 이에 관한 리포트를 생성한다. 그런데 리포트를 생성하기 위해 많은 시간이 소요될 수 있고, DB에 부담을 줄 수 있었다. 물론 야간 배치 작업과 같이 리포트 생성을 위해 사전에 별도의 사전 작업을 해놓을 수 있지만, 이 부분 또한 로그 파싱 등 추가적인 작업이 필요하여 리포트 생성을 위해 소비되는 시간과 비용은 불가피했다.On the other hand, when a log is created in response to a log generation condition and the corresponding log data is collected in a DB (Database) through various processes, a report related thereto is generated. However, it can take a lot of time to create a report, and it can put a burden on the DB. Of course, it is possible to do a separate preliminary work for report generation in advance, such as nightly batch work, but this part also requires additional work such as log parsing, which inevitably costs time and money to create a report.

결국, 로그 데이터 저장 및 관리와 리포트 생성 등을 위한 시스템 부하를 줄이고 비용 부담을 최소화할 수 있는 기술이 시급히 요구되었다.As a result, a technology capable of reducing system load and minimizing cost burden for log data storage and management and report generation was urgently required.

선행기술문헌 1. 특허공개번호 제10-2016-0097502호(2016.08.18 공개)Prior art literature 1. Patent Publication No. 10-2016-0097502 (published on August 18, 2016)

이에 본 발명은 상기의 문제를 해소하기 위한 것으로, 커널에서 파일, 네트워크 등과 같이 커널에서 수행하는 접근 제어 결과에 따라 생성되는 대량의 로그에 대해서 최소한의 자원을 사용하여 최대한 빠르게 알림 로그를 생성하고 전달하며, 실시간 알림 로그를 활용하여 DB에 저장된 대량의 로그에 대한 리포트를 DB에 무리를 주지 않고 빠르게 생성할 수 있도록 하는 커널 레벨에서의 로그 카운트 처리장치와 처리시스템 및 이를 이용한 로그 카운트 방법의 제공이 해결하고자 하는 과제이다.Therefore, the present invention is to solve the above problem, and generates and delivers notification logs as quickly as possible using minimal resources for a large amount of logs generated according to the results of access control performed by the kernel, such as files and networks in the kernel. In addition, providing a log count processing device and processing system at the kernel level that can quickly generate a report on a large amount of logs stored in the DB using real-time notification logs without burdening the DB, and a log count method using the same It is a problem to be solved.

상기의 과제를 달성하기 위하여 본 발명은,In order to achieve the above object, the present invention,

유저 레벨의 카운트정책 처리부를 통해 수신한 카운트정책을 저장하는 커널 레벨의 정책 저장부;a kernel-level policy storage unit for storing the count policy received through the user-level count policy processing unit;

프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어하며 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 커널접근 제어부;A kernel access controller that controls access to an access target object according to process context, access control policy information, and access target object information, collects generated log data, and checks the log data and the corresponding process context;

상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 카운트 대상 여부를 확인하고, 상기 카운트정책에 따라 카운트 대상별로 로그정보의 카운트를 실행해서 카운트데이터를 저장하는 로그 카운트부; 및a log counting unit that checks the log data and the process context to determine whether a count target belongs to a count policy, counts log information for each count target according to the count policy, and stores count data; and

상기 카운트데이터에 관한 문자열 로그를 생성하고 저장하는 커널로그 생성부;a kernel log generation unit generating and storing a string log related to the count data;

를 포함하는 커널 레벨에서의 로그 카운트 처리장치이다.It is a log count processing unit at the kernel level that includes.

상기의 다른 기술적 과제를 달성하기 위하여 본 발명은,In order to achieve the above other technical problems, the present invention,

지정 플로우에 따라 카운트정책을 설정하는 카운트정책 설정부와, 상기 카운트정책을 지정된 하나 이상의 처리장치에 발송하는 정책배포부 중 선택된 하나 이상을 갖춘 카운트정책 설정장치, 및a count policy setting unit having at least one selected from among a count policy setting unit that sets a count policy according to a designated flow and a policy distribution unit that sends the count policy to one or more designated processing units; and

상기 카운트정책 설정장치로부터 카운트정책을 수신하는 유저 레벨의 카운트정책 처리부; 상기 카운트정책을 저장하는 커널 레벨의 정책 저장부; 프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어하며 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 커널접근 제어부; 상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 카운트 대상 여부를 확인하고, 상기 카운트정책에 따라 카운트 대상별로 로그정보의 카운트를 실행해서 카운트데이터를 저장하는 로그 카운트부; 상기 카운트데이터에 관한 문자열 로그를 생성하고 저장하는 커널로그 생성부;a user-level count policy processor receiving a count policy from the count policy setting device; a kernel-level policy storage unit for storing the count policy; A kernel access controller that controls access to an access target object according to process context, access control policy information, and access target object information, collects generated log data, and checks the log data and the corresponding process context; a log counting unit that checks the log data and the process context to determine whether a count target belongs to a count policy, counts log information for each count target according to the count policy, and stores count data; a kernel log generation unit generating and storing a string log related to the count data;

를 포함하는 커널 레벨에서의 로그 카운트 처리시스템이다.It is a log count processing system at the kernel level that includes.

상기의 또 다른 기술적 과제를 달성하기 위하여 본 발명은,In order to achieve the above another technical problem, the present invention,

커널접근 제어부가 접근대상 객체에 대한 접근을 제어하며 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 제1단계;A first step in which a kernel access controller controls access to an object to be accessed, collects generated log data, and checks the log data and a corresponding process context;

로그 카운트부가 상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 오퍼레이션을 카운트 대상으로 추출하는 제2단계;a second step in which a log count unit checks the log data and process context and extracts an operation belonging to a count policy as a count object;

상기 로그 카운트부가 카운트 대상의 최초 카운트 시작 시각과 카운트 증가 수와 카운트 대상 로그데이터의 생성 시각을 확인해서 카운트정책에 부합 여부를 판단하는 제3단계; 및a third step of determining, by the log counting unit, whether a counting policy is satisfied by checking an initial count start time of a count target, a count increase number, and a generation time of count target log data; and

상기 카운트 대상이 카운트정책에 부합할 경우, 상기 로그 카운트부가 카운트 대상의 카운트를 증가하는 제4단계;a fourth step of, by the log count unit, increasing the count of the count object when the count object meets the count policy;

를 포함하는 커널 레벨에서의 로그 카운트 방법이다.It is a log count method at the kernel level that includes.

상기의 본 발명은, 커널 레벨에서 로그 생성에 사용하는 데이터로부터 로그 카운트를 수행하여 별도의 로그 파싱이 없고, 접근 제어에 사용되는 프로세스 컨텍스트에 카운트 정보를 저장하여 별도의 메모리 관리 작업 없이 실시간으로 알림 로그를 생성할 수 있으며, 생성된 알림 로그를 활용하여 DB에 부담을 주지 않고 빠르게 통계 리포트를 생성할 수 있는 효과가 있다.The above present invention performs a log count from the data used for log generation at the kernel level, so there is no separate log parsing, and the count information is stored in the process context used for access control to notify in real time without separate memory management work Logs can be created, and statistical reports can be created quickly without burdening the DB by utilizing the generated notification logs.

도 1은 본 발명에 따른 로그 카운트 처리장치와 처리시스템의 일실시 예를 도시한 블록도이고,
도 2는 본 발명에 따른 로그 카운트 처리장치와 처리시스템의 카운트정책에 관한 일실시 예를 개략적으로 보인 이미지이고,
도 3은 본 발명에 따른 로그 카운트 처리장치와 관련한 확인 대상 로그데이터와 카운트데이터와 알림데이터의 일실시 예를 데이터시트로 표현한 이미지이고,
도 4는 본 발명에 따른 로그 카운트 방법의 일실시 예를 도시한 플로차트이다.1 is a block diagram showing an embodiment of a log count processing device and processing system according to the present invention;
2 is an image schematically showing an embodiment of a count policy of a log count processing apparatus and processing system according to the present invention;
3 is an image expressing an example of log data to be checked, count data, and notification data related to a log count processing apparatus according to the present invention in a data sheet;
4 is a flowchart showing an embodiment of a log count method according to the present invention.

실시 예들에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.The terms used in the embodiments have been selected from general terms that are currently widely used as much as possible while considering the functions in the present invention, but they may vary according to the intention of a person skilled in the art or precedent, the emergence of new technologies, and the like. In addition, in a specific case, there is also a term arbitrarily selected by the applicant, and in this case, the meaning will be described in detail in the description of the invention. Therefore, the term used in the present invention should be defined based on the meaning of the term and the overall content of the present invention, not simply the name of the term.

명세서 전체에서 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 “…부 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.In the entire specification, when a part is said to "include" a certain component, it means that it may further include other components, not excluding other components unless otherwise stated. In addition, as described in the specification, "... A term such as unit means a unit that processes at least one function or operation, and may be implemented as hardware or software, or a combination of hardware and software.

아래에서는 첨부한 도면을 참고하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. Hereinafter, with reference to the accompanying drawings, embodiments of the present invention will be described in detail so that those skilled in the art can easily carry out the present invention. However, the present invention may be implemented in many different forms and is not limited to the embodiments described herein.

이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.Hereinafter, the present invention will be described in detail based on the accompanying drawings.

도 1은 본 발명에 따른 로그 카운트 처리장치와 처리시스템의 일실시 예를 도시한 블록도이고, 도 2는 본 발명에 따른 로그 카운트 처리장치와 처리시스템의 카운트정책에 관한 일실시 예를 개략적으로 보인 이미지이고, 도 3은 본 발명에 따른 로그 카운트 처리장치와 관련한 확인 대상 로그데이터와 카운트데이터와 알림데이터의 일실시 예를 데이터시트로 표현한 이미지이다.1 is a block diagram showing an embodiment of a log count processing device and a processing system according to the present invention, and FIG. 2 is a schematic diagram of an embodiment of a log count processing device and a count policy of the processing system according to the present invention. 3 is an image expressing an example of log data to be checked, count data, and notification data related to the log count processing device according to the present invention as a data sheet.

도 1 내지 도 3을 참조하면, 본 발명에 따른 로그 카운트 처리장치(L)는 수집 대상 로그데이터가 생성되는 오퍼레이션 환경의 관리 대상 서버(30)에 설치되며, 관리 대상 서버(30)의 Operating System(이하 'OS')을 기반으로 관리 대상 서버(30)의 커널(Kernel) 레벨에 설치된다. 상기 환경으로 구축되는 로그 카운트 처리장치(L)는 정책 저장부(32)와 커널접근 제어부(33)와 로그 카운트부(34)와 커널로그 생성부(35)로 구성된다.1 to 3, the log count processing device (L) according to the present invention is installed in the management target server 30 of the operation environment in which the log data to be collected is generated, and the Operating System of the management target server 30 (hereinafter referred to as 'OS') is installed at the kernel level of the management target server 30. The log count processing unit (L) constructed in the above environment is composed of a policy storage unit 32, a kernel access control unit 33, a log count unit 34, and a kernel log generation unit 35.

또한, 본 발명에 따른 알림 로그 처리시스템은 관리 대상 서버(30)에 로그 카운트 처리장치(L)를 구축하기 위한 구성이며, 이를 위해 관리자 등에 의해 지정 플로우에 따라 입력된 정책정보를 카운트정책으로 생성 및 설정하는 카운트정책 설정부(11)와, 지정된 하나 이상의 관리 대상 서버(30)에 카운트정책을 발송하는 정책배포부(21)와 로그 처리장치(L)로 구성된다. 카운트정책 설정부(11)는 프로그램 형식으로 일반 컴퓨터에 설치될 수 있고, 관리자는 카운트정책 설정부(11)를 실행해서 카운트정책 생성을 위한 정책정보를 입력한다. 카운트정책 설정부(11)는 관리자에 의해 관리 대상 서버(30)의 IP 정보가 입력될 수 있고, 상기 IP 정보는 정책배포부(21)에 전달된다. In addition, the notification log processing system according to the present invention is a configuration for building a log count processing device (L) in the management target server 30, and for this purpose, policy information input according to a designated flow by an administrator or the like is generated as a count policy and a count policy setting unit 11 to set, a policy distribution unit 21 to send the count policy to one or more specified management target servers 30, and a log processing device L. The count policy setting unit 11 can be installed in a general computer in the form of a program, and an administrator inputs policy information for generating a count policy by executing the count policy setting unit 11. In the count policy setting unit 11, an administrator may input IP information of the management target server 30, and the IP information is transmitted to the policy distributing unit 21.

본 실시 예에서 정책정보 입력을 통해 생성된 카운트정책은 도 2와 같이 카운트 조건을 최대 카운트와 누적 시간으로 설정할 수 있고, 카운트 대상별로 카운트 조건을 다르게 설정할 수도 있다. 본 실시 예의 카운트정책은, 로그 카운트 처리장치(L)가 관리 대상 서버(30) 내에 파일 접근제어 후 READ 오퍼레이션이 포함된 로그를 생성하게 되는 경우, 오퍼레이션-[파일]-READ에 의해 카운트 대상에 해당하게 되며, 최초 카운트로부터 누적 시간 60초 이내 100회 카운트가 발생하면 알림 로그를 생성하게 하는 것이다. 본 실시 예의 경우에 카운트 대상에 대한 누적시간이 초과하거나 최대 카운트에 도달하면, 누적된 카운트 횟수는 초기화된다. 이외에도 카운트 대상인 오퍼레이션을 다양한 형태로 정책정보를 설정할 수 있는데, 예를 들어 파일 경로와 오퍼레이션을 설정한다면 설정된 파일에 접근하는 오퍼레이션별로 카운트할 수 있다. 좀 더 구체적으로 예시하면, 대상은 C:\Temp\a.txt 파일과 READ 오퍼레이션이고, 카운트 조건은 최대 카운트 50, 누적 시간 10과 같이 카운트정책을 설정할 수 있으며, C:\Temp\a.txt가 READ 될 때 생성되는 로그인 경우가 카운트 대상이 된다. 카운트 대상은 이와 같이 3개 이상의 조합도 설정 가능하며, 로그를 생성하는데 사용하는 로그데이터에 따라 FilePath, Operation, IP 등의 다양한 조건으로 설정될 수 있다. 카운트정책에 대한 이상의 실시 예 이외에도 다양한 정책 조건이 변형 실시될 수 있다. 이하에서는 로그데이터에서 확인한 카운트 대상을 '오퍼레이션'으로 통칭한다. 따라서 이하의 '오퍼레이션'은 "READ", "EXECUTE" 등의 실질적 오퍼레이션은 물론, 대상 경로 등의 다양한 대상 조건을 포괄적으로 지칭한다.In the present embodiment, the count policy generated through the input of policy information may set the count condition to the maximum count and the accumulated time as shown in FIG. 2, and may set the count condition differently for each count object. In the count policy of this embodiment, when the log count processing device (L) generates a log including a READ operation after file access control in the management target server 30, operation-[file]-READ to the count target Corresponds, and when 100 counts occur within 60 seconds of the accumulated time from the first count, a notification log is generated. In the case of this embodiment, when the accumulated time for the count object exceeds or reaches the maximum count, the accumulated count number is initialized. In addition, policy information can be set for operations to be counted in various forms. For example, if a file path and operation are set, each operation accessing a set file can be counted. To be more specific, the target is the C:\Temp\a.txt file and the READ operation, and the count condition can set the count policy, such as a maximum count of 50 and an accumulated time of 10, and C:\Temp\a.txt The login cases created when is READ are counted. The count target can be set in a combination of three or more like this, and can be set in various conditions such as FilePath, Operation, IP, etc. according to the log data used to create the log. In addition to the above embodiments of the count policy, various policy conditions may be modified and implemented. Hereinafter, the count target identified in the log data is collectively referred to as 'operation'. Therefore, the following 'operation' comprehensively refers to various target conditions such as target paths as well as practical operations such as "READ" and "EXECUTE".

정책배포부(21)는 지정된 IP의 관리 대상 서버(30)에 카운트정책을 온라인 발송하는 데이터통신 수단이며, 이를 위해 하나 이상의 관리 대상 서버(30)와 네트워크로 연결된다. 카운트정책 설정부(11)와 정책배포부(21)는 서로 독립된 컴퓨터(서버)에 설치될 수도 있고, 하나의 컴퓨터(서버)에 함께 설치될 수도 있다. 본 실시 예에서는 카운트정책 설정부(11)와 정책배포부(21) 중 선택된 하나 이상을 카운트정책 설정장치로 칭한다.The policy distributing unit 21 is a data communication means for online sending a count policy to the management target server 30 of a designated IP, and is connected to one or more management target servers 30 through a network for this purpose. The count policy setting unit 11 and the policy distribution unit 21 may be installed in separate computers (servers) or may be installed together in one computer (server). In this embodiment, at least one selected from the count policy setting unit 11 and the policy distribution unit 21 is referred to as a count policy setting device.

로그 카운트 처리장치(L)에 관해 좀 더 구체적으로 설명하면, 정책 저장부(32)는 유저 레벨의 카운트정책 처리부(31)를 통해 수신한 카운트정책을 저장한다. 전술한 바와 같이 정책배포부(21)를 통해 관리 대상 서버(30)에 수신된 카운트정책은 커널 레벨에 설치된 로그 카운트 처리장치(L)에 전달되도록 유저 레벨의 카운트정책 처리부(31)에 우선 입력되고, 카운트정책 처리부(31)는 커널 레벨의 정책 저장부(32)가 할당한 커널 메모리에 카운트정책을 입력한다. To describe the log count processing unit L in more detail, the policy storage unit 32 stores the count policy received through the user-level count policy processing unit 31. As described above, the count policy received by the management target server 30 through the policy distribution unit 21 is first input to the user-level count policy processing unit 31 so as to be delivered to the log count processing unit L installed at the kernel level. Then, the count policy processing unit 31 inputs the count policy to the kernel memory allocated by the policy storage unit 32 at the kernel level.

커널접근 제어부(33)는, 프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어하며 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인한다. 일반적으로 커널접근 제어부(33)는 커널에서 프로세스 컨텍스트 리스트, 접근제어 정책 리스트, 접근대상 객체 정보(FilePath, Operation, IP 등) 등의 데이터를 커널 메모리에 필수로 저장하고 파일 또는 네트워크 등의 접근제어를 수행하는 시스템이다. 공지된 바와 같이, OS에서의 프로세스 처리가 활성화되면 이를 자동으로 감지해서 프로세스 ID, 프로세스 이름, 실행 계정과 같은 프로세스 관련 정보, 즉 상기 프로세스 컨텍스트가 메모리에 저장된다. 참고로, 본 실시 예에서 프로세스 컨텍스트의 메모리 저장 시, 로그 카운트부(34)가 생성하는 카운트데이터를 저장할 수 있는 공간을 미리 확보하도록 제작하는 것이 바람직하다. 본 실시 예에서는 프로세스 컨텍스트에 필수로 카운트데이터 저장 공간을 만든다. 하지만, 카운트데이터 저장 공간은 프로세스 컨텍스트에 한정하지 않으며, 프로세스 컨텍스트와 연계한 위치라면 특정 공간에 제한되지 않는다. 계속해서, 프로세스 컨텍스트는 프로세스 ID가 식별자이며, 리스트 형태로 관리된다. 프로세스가 종료되면 프로세스 컨텍스트는 메모리에서 제거된다. 커널접근 제어부(33)는 확인된 로그데이터와 프로세스 컨텍스트를 로그 카운트부(34)에 전달한다.The kernel access controller 33 controls access to the access target object according to the process context, access control policy information, and access target object information, collects generated log data, and collects the log data and the corresponding process context. Check the In general, the kernel access control unit 33 stores data such as a process context list, an access control policy list, and access object information (FilePath, Operation, IP, etc.) as essential in the kernel memory in the kernel, and controls access to files or networks. It is a system that performs As is known, when process processing in the OS is activated, it is automatically detected and process-related information such as a process ID, a process name, and an execution account, that is, the process context is stored in memory. For reference, in the present embodiment, it is preferable to secure a space in advance to store count data generated by the log count unit 34 when storing the process context in memory. In this embodiment, the count data storage space is created as essential in the process context. However, the count data storage space is not limited to the process context, and is not limited to a specific space as long as it is a location associated with the process context. Subsequently, the process context is managed in the form of a list, with the process ID as an identifier. When a process terminates, the process context is removed from memory. The kernel access control unit 33 transfers the checked log data and process context to the log count unit 34.

로그 카운트부(34)는 상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 카운트 대상 여부를 확인하고, 상기 카운트정책에 따라 카운트 대상별로 로그정보의 카운트를 실행해서 카운트데이터를 저장하고 알림데이터(알림 로그)를 생성한다. 전술한 바와 같이, 카운트정책은 카운트 대상(오퍼레이션)과 최대 카운트와 누적시간일 수 있고, 로그 카운트부(34)는 카운트 대상이 확인되면 바로 카운트하지 않고, 누적시간의 초과 여부를 확인하고, 카운트 후 최대 카운트 도달 여부를 확인한다. 로그 카운트부(34)는 최대 카운트 도달, 누적시간 초과시 누적된 카운트를 초기화한다.The log counting unit 34 checks the log data and the process context to determine whether a count target belongs to the count policy, counts log information for each count target according to the count policy, stores the count data, and generates notification data ( notification log). As described above, the count policy may be the count target (operation), the maximum count, and the accumulated time, and the log count unit 34 does not immediately count when the count target is confirmed, checks whether the accumulated time is exceeded, and counts After that, check whether the maximum count has been reached. The log count unit 34 initializes the accumulated count when the maximum count is reached or the accumulation time is exceeded.

커널로그 생성부(35)는 상기 카운트데이터를 저장하고 알림데이터에 관한 문자열 로그를 생성한다. 도 3에서 보인 바와 같이, 상기 카운트데이터와 알림데이터는 데이터시트 표현이 가능한 문자열 로그로 변환해 저장된다. 한편, 커널로그 생성부(35)는 알림데이터를 지정된 온라인 수신지에 발송한다. 따라서 관리자는 카운트 대상별 로그 발생 상황을 실시간으로 체크할 수 있다. 참고로, 관리자는 실시간으로 수집된 관리 대상 서버(30) 별 대량의 알림데이터를 활용해서 통계리포트를 곧바로 제작할 수 있다.The kernel log generation unit 35 stores the count data and creates a string log related to notification data. As shown in FIG. 3, the count data and notification data are converted into a string log that can be expressed in a data sheet and stored. Meanwhile, the kernel log generator 35 sends notification data to a designated online destination. Therefore, the administrator can check the log generation status for each count object in real time. For reference, the administrator can directly produce a statistical report by utilizing a large amount of notification data for each management target server 30 collected in real time.

도 4는 본 발명에 따른 로그 카운트 방법의 일실시 예를 도시한 플로차트이다. 4 is a flowchart showing an embodiment of a log count method according to the present invention.

도 1 내지 도 4를 참조하면, 본 발명에 따른 로그 카운트 방법은 로그 카운트 처리장치(L)를 기반으로 실행된다. 로그 카운트 방법의 각 과정을 순차적으로 설명한다.1 to 4, the log count method according to the present invention is executed based on the log count processing device (L). Each process of the log count method will be explained sequentially.

S11; 접근제어 단계S11; access control step

커널접근 제어부(33)가 프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어한다.The kernel access controller 33 controls access to the access target object according to process context, access control policy information, and access target object information.

일반적으로 유저 레벨의 프로그램이 실행되면서 OS를 기반으로 접근대상 객체에 대해 접근이 시도되고, 커널접근 제어부(33)는 미리 세팅된 프로세스 컨텍스트와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체로의 접근이 제어된다. In general, while a user-level program is executed, an access is attempted to an access target object based on the OS, and the kernel access controller 33 determines an access target object according to a preset process context, access control policy information, and access target object information. Access to is controlled.

S12; 로그데이터 수집 단계S12; Log data collection step

커널접근 제어부(33)가 접근대상 객체에 대한 접근을 제어하며 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인한다.The kernel access controller 33 controls access to the object to be accessed, collects generated log data, and checks the log data and the corresponding process context.

상기 로그데이터는 접근대상 객체로의 접근 과정에서 수집된 각종 정보를 지칭하며, 일반적으로 파일 경로 또는 네트워크 경로 여부, 프로세스 ID, 접근 시간, 접속 유형, 호스트명, 실행권한 등 다양할 수 있다. The log data refers to various types of information collected in the process of accessing an object to be accessed, and generally may vary, such as file path or network path, process ID, access time, connection type, host name, and execution authority.

S13; 카운트 대상 여부 확인 단계S13; Steps to determine whether or not to be counted

로그 카운트부(34)는 상기 로그데이터와 프로세스 컨텍스트를 확인해서 오퍼레이션이 카운트정책에 속하는 카운트 대상인지 여부를 확인한다.The log count unit 34 checks the log data and the process context to determine whether an operation is a count target belonging to a count policy.

로그 카운트부(34)는 커널접근 제어부(33)에서 수신한 로그데이터와 해당 프로세스 컨텍스트 셋의 카운트 여부를 수신 즉시 실시간으로 파악할 수도 있고, 일정 시간을 단위로 복수의 로그데이터를 수집해 파악할 수도 있다. The log counting unit 34 may determine whether the log data received from the kernel access control unit 33 and the corresponding process context set are counted in real time immediately upon receipt or by collecting a plurality of log data at regular intervals. .

로그데이터에서 확인한 오퍼레이션이 카운트정책에 부합한 대상이 아닌 경우, 로그 카운트부(34)는 카운트 절차를 종료한다. 그러나 오퍼레이션이 카운트정책에 부합한 카운트 대상인 것으로 확인되면, 로그 카운트부(34)는 카운트 대상으로 확인된 오퍼레이션에 대한 카운트의 후속 공정을 속행한다.If the operation identified in the log data is not a target that meets the count policy, the log counting unit 34 ends the counting procedure. However, if it is confirmed that the operation is a count target conforming to the count policy, the log counting unit 34 continues the subsequent counting process for the operation identified as a count target.

S14; 카운트 시간 확인 단계S14; count time check step

로그 카운트부(34)는 커널접근 제어부(33)에서 수신한 프로세스 컨텍스트에서 카운트 대상에 대한 최초 카운트 시작 시각을 확인하여 카운트 최초 시각이 미확인되면 해당 카운트 대상에 대한 최초 카운트를 시작(S16)하고, 카운트데이터를 저장한다. 반면에 상기 프로세스 컨텍스트에서 카운트 대상에 대한 카운트 최초 시각이 확인되면, 로그 카운트부(34)는 카운트 대상으로 확인된 오퍼레이션에 대한 카운트의 후속 공정을 속행한다.The log count unit 34 checks the first count start time for the count object in the process context received from the kernel access control unit 33, and if the first count time is not confirmed, starts the first count for the count object (S16), Save the count data. On the other hand, if the first count time for the count object is confirmed in the process context, the log count unit 34 continues the subsequent counting process for the operation identified as the count object.

S15; 카운트 시간 유효 여부 확인 단계S15; The step of checking whether the count time is valid or not

로그 카운트부(34)는 카운트 최초 시각과 해당 카운트 대상 로그데이터의 생성 시각 및 카운트정책을 확인해서 카운트 누적을 위한 유효 여부를 판단한다.The log counting unit 34 checks the first time of the count, the generation time of the log data to be counted, and the counting policy to determine whether the count is valid for accumulation.

확인 결과, 해당 카운트 대상 로그데이터의 생성 시각이 카운트 최초 시각을 시점으로 카운트정책에 지정된 누적시간을 초과한 경우, 해당 카운트 대상에 대한 최초 카운트를 시작(S16)하고, 카운트데이터를 저장한다.As a result of checking, if the generation time of the log data for the corresponding count exceeds the cumulative time specified in the count policy from the first count time, the first count for the corresponding count target starts (S16) and the count data is stored.

S17; 카운트 증가 단계S17; count increment step

카운트 최초 시각과해당 카운트 대상 로그데이터의 생성 시각 및 카운트정책을 확인해서 카운트 누적을 위한 유효 여부를 판단한 결과, 해당 카운트 대상 로그데이터의 생성 시각이 카운트 최초 시각을 시점으로 카운트정책에 지정된 누적시간 이내인 경우로 확인되면, 로그 카운트부(34)는 카운트 대상에 대한 카운트를 증가한다.As a result of determining the validity for count accumulation by checking the first count time, the creation time of the log data for the count, and the count policy, the creation time of the log data for the count is within the accumulated time specified in the count policy from the first time of the count If it is confirmed that it is, the log counting unit 34 increases the count for the count object.

참고로, 로그 카운트부(34)의 카운트 누적 시간 계산은 초 단위이며 매초 마다 누적 시간이 적용되도록 한다. 예를 들어 누적 시간이 10초인 경우 1 ~ 10초, 11 ~ 20초와 같이 누적을 하는 것이 아니라 1 ~ 10초, 2 ~ 11초, 3 ~ 12초와 같이 누적하는 방식이다. 전자와 같은 경우 1 ~ 5초, 16 ~ 20초에는 로그가 발생하지 않고 6 ~ 15초에 로그가 많이 발생한 경우를 감지할 수 없는 문제가 있다. 이에 관해 좀 더 설명하면, 카운트정책의 카운트 누적 시간이 10초인 경우, 로그 카운트부(34)는 1 ~ 10초를 A 시간대, 2 ~ 11초를 B 시간대, 3 ~ 12초를 C 시간대, 4 ~ 13초를 D 시간대 등으로 해서 총 9개의 시간대를 반복해 구성하고, 카운트 대상에 대한 수집 또는 카운트 시마다 해당 카운트를 최초 카운트로 하는 시간대를 활성화하여 유효 누적 시간과 누적 카운트를 계산한다. 즉, 1초에 카운트 대상 '가'를 최초 카운트하면 카운트 대상 '가'는 A 시간대에서 유효 누적 시간 및 누적 카운트가 계산되고, 이후 3초에 카운트 대상 '가'를 누적 카운트하면, 카운트 대상 '가'는 A 시간대에서 유효 누적 시간 및 누적 카운트가 계산됨과 더불어 C 시간대에서도 유효 누적 시간 및 누적 카운트가 계산된다. 또한, 6초에 카운트 대상 '가'를 누적 카운트하면, 카운트 대상 '가'는 A 시간대 및 C 시간대에서 유효 누적 시간 및 누적 카운트가 계산됨과 더불어 F 시간대에서도 유효 누적 시간 및 누적 카운트가 계산된다. For reference, the count cumulative time calculation of the log count unit 34 is in units of seconds, and the accumulated time is applied every second. For example, if the accumulation time is 10 seconds, it is not accumulated as 1 to 10 seconds or 11 to 20 seconds, but as 1 to 10 seconds, 2 to 11 seconds, or 3 to 12 seconds. In the case of the former, there is a problem in that no logs are generated between 1 and 5 seconds and between 16 and 20 seconds, and it is impossible to detect when many logs occur between 6 and 15 seconds. To explain this in more detail, if the count accumulation time of the count policy is 10 seconds, the log count unit 34 calculates 1 to 10 seconds as time zone A, 2 to 11 seconds as time zone B, and 3 to 12 seconds as time zone C, 4 A total of 9 time zones are repeatedly configured, such as ~ 13 seconds as D time zone, and the effective accumulated time and accumulated count are calculated by activating the time zone with the corresponding count as the first count every time the count target is collected or counted. That is, when the count target 'A' is first counted in 1 second, the effective cumulative time and cumulative count of the count target 'A' are calculated in A time zone, and then, when the count target 'A' is accumulated and counted in 3 seconds, the count target 'A' In 'A', the effective cumulative time and cumulative count are calculated in the time zone A, and the effective cumulative time and accumulated count are also calculated in the time zone C. In addition, if the count target 'A' is cumulatively counted at 6 seconds, the effective cumulative time and cumulative count of the count target 'A' are calculated in A and C time zones, and the effective cumulative time and cumulative count are also calculated in F time zone.

S18; 최대 카운트 여부 확인 단계S18; Checking whether the maximum count is reached

로그 카운트부(34)는 카운트 대상의 누적 카운트를 확인해서, 누적 개수가 카운트정책의 최대 카운트를 미초과하면, 알림데이터(알림 로그)를 생성하지 않고 카운트 공정을 종료한다.The log counting unit 34 checks the accumulated count of count objects, and if the accumulated number does not exceed the maximum count of the count policy, the counting process ends without generating notification data (notification log).

참고로, A 시간대에 카운트 대상 '가'가 최대 카운트를 미초과하면, A 시간대의 카운트는 종료되나, C 시간대와 F 시간대에 카운트 대상 '가'의 카운트는 지속된다.For reference, if the count object 'A' in time zone A exceeds the maximum count, the count in time zone A ends, but the count of count object 'A' in time zones C and F continues.

S19; 알림 로그 생성 단계S19; Notification Log Generation Steps

로그 카운트부(34)는 카운트 대상의 누적 개수가 카운트정책의 최대 카운트를 초과한 것으로 확인하면, 카운트 대상으로 확인된 오퍼레이션에 대한 카운트데이터를 구성한 알림데이터를 생성한다.When the log count unit 34 confirms that the accumulated number of count objects exceeds the maximum count of the count policy, the log count unit 34 generates notification data composed of count data for operations identified as count objects.

로그 카운트부(34)는 상기 알림데이터를 지정된 수신지에 발송한다.The log counting unit 34 sends the notification data to a designated destination.

참고로, A 시간대에 카운트 대상 '가'가 최대 카운트를 초과하면 현재까지 누적된 카운트 대상 '가'의 카운트는 초기화하고, 이후 카운트 대상 '가'의 최초 카운트를 시작한다.For reference, if the count object 'A' exceeds the maximum count in time period A, the count of the count object 'A' accumulated up to now is initialized, and then the first count of the count object 'A' starts.

앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the detailed description of the present invention described above has been described with reference to preferred embodiments of the present invention, those skilled in the art or those having ordinary knowledge in the art will find the spirit of the present invention described in the claims to be described later. And it will be understood that the present invention can be variously modified and changed within a range that does not deviate from the technical scope.

Claims (10)

유저 레벨의 카운트정책 처리부를 통해 수신한 카운트정책을 저장하는 커널 레벨의 정책 저장부;
프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어하면서 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 커널접근 제어부;
상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 카운트 대상 여부를 확인하고, 상기 카운트정책에 따라 카운트 대상별로 로그정보의 카운트를 실행해서 카운트데이터를 저장하는 로그 카운트부; 및
상기 카운트데이터에 관한 문자열 로그를 생성하고 저장하는 커널로그 생성부;
를 포함하는 것을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.a kernel-level policy storage unit for storing the count policy received through the user-level count policy processing unit;
A kernel access controller that collects generated log data while controlling access to an access target object according to process context, access control policy information, and access target object information, and checks the log data and the corresponding process context;
a log counting unit that checks the log data and the process context to determine whether a count target belongs to a count policy, counts log information for each count target according to the count policy, and stores count data; and
a kernel log generation unit generating and storing a string log related to the count data;
A log count processing device at the kernel level comprising a. 제 1 항에 있어서,
상기 로그 카운트부는 카운트데이터를 해당 프로세스 컨텍스트에 저장하는 것;
을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.According to claim 1,
The log count unit stores count data in a corresponding process context;
Log count processing unit at the kernel level, characterized by. 제 1 항에 있어서,
상기 카운트정책은 카운트 대상별로 최대 카운트를 구성하고, 상기 로그 카운트부는 누적 카운트가 최대 카운트를 초과하면 알림데이터를 생성하는 것;
을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.According to claim 1,
The count policy configures a maximum count for each count object, and the log count unit generates notification data when the accumulated count exceeds the maximum count;
Log count processing unit at the kernel level, characterized by. 제 3 항에 있어서,
상기 카운트정책은 카운트 대상별로 카운트가 유효한 누적시간을 구성하고, 상기 로그 카운트부는 누적시간 초과하거나 최대 카운트에 도달하면 누적 카운트를 초기화하는 것;
을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.According to claim 3,
The count policy configures an accumulated time for which a count is valid for each count object, and initializes the accumulated count when the log count unit exceeds the accumulated time or reaches a maximum count;
Log count processing unit at the kernel level, characterized by. 제 3 항 또는 제 4 항에 있어서,
상기 카운트정책은, 상기 카운트 대상을 파일 경로와 오퍼레이션 중 선택된 하나 이상이 더 포함된 것;
을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.According to claim 3 or 4,
The count policy further includes at least one selected from among a file path and an operation as the count target;
Log count processing unit at the kernel level, characterized by. 제 1 항에 있어서,
상기 로그 카운트부는 카운트데이터를 구성한 알림데이터를 생성하며;
상기 커널로그 생성부는 알림데이터를 지정된 온라인 수신지에 발송하는 것;
을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.According to claim 1,
The log counting unit generates notification data composed of count data;
The kernel log generation unit sends notification data to a designated online destination;
Log count processing unit at the kernel level, characterized by. 제 4 항에 있어서,
상기 로그 카운트부는 카운트 대상에 대한 수집 또는 카운트 시마다 해당 카운트를 최초 카운트로 하는 시간대를 활성화해서, 상기 카운트 대상에 대한 유효 누적 시간 및 누적 카운트를 계산하는 것;
을 특징으로 하는 커널 레벨에서의 로그 카운트 처리장치.According to claim 4,
The log count unit activates a time period in which the corresponding count is an initial count whenever the count object is collected or counted, and calculates an effective cumulative time and an accumulated count for the count object;
Log count processing unit at the kernel level, characterized by. 지정 플로우에 따라 카운트정책을 설정하는 카운트정책 설정부와, 상기 카운트정책을 지정된 하나 이상의 처리장치에 발송하는 정책배포부 중 선택된 하나 이상을 갖춘 카운트정책 설정장치, 및
상기 카운트정책 설정장치로부터 카운트정책을 수신하는 유저 레벨의 카운트정책 처리부; 상기 카운트정책을 저장하는 커널 레벨의 정책 저장부; 프로세스 컨텍스트(process context)와 접근제어 정책 정보와 접근대상 객체 정보에 따라 접근대상 객체에 대한 접근을 제어하면서 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 커널접근 제어부; 상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 카운트 대상 여부를 확인하고, 상기 카운트정책에 따라 카운트 대상별로 로그정보의 카운트를 실행해서 카운트데이터를 저장하는 로그 카운트부; 상기 카운트데이터에 관한 문자열 로그를 생성하고 저장하는 커널로그 생성부;
를 포함하는 것을 특징으로 하는 커널 레벨에서의 로그 카운트 처리시스템.a count policy setting unit having at least one selected from among a count policy setting unit that sets a count policy according to a designated flow and a policy distribution unit that sends the count policy to one or more designated processing units; and
a user-level count policy processor receiving a count policy from the count policy setting device; a kernel-level policy storage unit for storing the count policy; A kernel access controller that collects generated log data while controlling access to an access target object according to process context, access control policy information, and access target object information, and checks the log data and the corresponding process context; a log counting unit that checks the log data and the process context to determine whether a count target belongs to a count policy, counts log information for each count target according to the count policy, and stores count data; a kernel log generation unit generating and storing a string log related to the count data;
Log count processing system at the kernel level comprising a. 커널접근 제어부가 접근대상 객체에 대한 접근을 제어하면서 생성된 로그데이터를 수집하고, 상기 로그데이터와 해당 프로세스 컨텍스트를 확인하는 제1단계;
로그 카운트부가 상기 로그데이터와 프로세스 컨텍스트를 확인해서 카운트정책에 속하는 오퍼레이션을 카운트 대상으로 추출하는 제2단계;
상기 로그 카운트부가 카운트 대상의 최초 카운트 시작 시각과 카운트 증가 수와 카운트 대상 로그데이터의 생성 시각을 확인해서 카운트정책에 부합 여부를 판단하는 제3단계; 및
상기 카운트 대상이 카운트정책에 부합할 경우, 상기 로그 카운트부가 카운트 대상의 카운트를 증가하는 제4단계;
를 포함하는 것을 특징으로 하는 커널 레벨에서의 로그 카운트 방법.A first step in which a kernel access control unit collects log data generated while controlling access to an access target object, and checks the log data and a corresponding process context;
a second step in which a log count unit checks the log data and process context and extracts an operation belonging to a count policy as a count object;
a third step of determining, by the log counting unit, whether a counting policy is satisfied by checking an initial count start time of a count target, a count increase number, and a generation time of count target log data; and
a fourth step of, by the log count unit, increasing the count of the count object when the count object meets the count policy;
Log count method at the kernel level comprising a. 제 9 항에 있어서,
상기 카운트 대상의 누적 카운트가 카운트정책에서 지정한 최대 카운트를 초과하면, 상기 로그 카운트부가 카운트데이터를 구성한 알림데이터를 생성하는 제5단계; 및
상기 로그 카운트부가 알림데이터를 지정된 수신지에 발송하는 제6단계;
를 더 포함하는 것을 특징으로 하는 커널 레벨에서의 로그 카운트 방법.According to claim 9,
a fifth step of generating notification data composed of count data by the log count unit when the accumulated count of the count object exceeds the maximum count specified in the count policy; and
a sixth step of sending notification data to a designated destination by the log counting unit;
Log count method at the kernel level, characterized in that it further comprises.
KR1020230014974A 2023-02-03 2023-02-03 Log count processing device and processing system at the kernel level, and log count method using it KR102542052B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230014974A KR102542052B1 (en) 2023-02-03 2023-02-03 Log count processing device and processing system at the kernel level, and log count method using it

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230014974A KR102542052B1 (en) 2023-02-03 2023-02-03 Log count processing device and processing system at the kernel level, and log count method using it

Publications (1)

Publication Number Publication Date
KR102542052B1 true KR102542052B1 (en) 2023-06-13

Family

ID=86762550

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230014974A KR102542052B1 (en) 2023-02-03 2023-02-03 Log count processing device and processing system at the kernel level, and log count method using it

Country Status (1)

Country Link
KR (1) KR102542052B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140208412A1 (en) * 2012-12-11 2014-07-24 International Business Machines Corporation Firewall event reduction for rule use counting
KR20160097502A (en) 2015-02-09 2016-08-18 주식회사 인티게이트 Ems server and log data management method thereof
KR20170022797A (en) * 2015-08-21 2017-03-02 주식회사 케이티 Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140208412A1 (en) * 2012-12-11 2014-07-24 International Business Machines Corporation Firewall event reduction for rule use counting
KR20160097502A (en) 2015-02-09 2016-08-18 주식회사 인티게이트 Ems server and log data management method thereof
KR20170022797A (en) * 2015-08-21 2017-03-02 주식회사 케이티 Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof

Similar Documents

Publication Publication Date Title
CN110545260B (en) Cloud management platform construction method based on mimicry structure
US10783267B2 (en) Centralized throttling service
WO2020253347A1 (en) Container cluster management method, device and system
US10565367B2 (en) Filtering data transfers
CN108494703B (en) Access frequency control method, device and storage medium
US7418489B2 (en) Method and apparatus for applying policies
US7953691B2 (en) Performance evaluating apparatus, performance evaluating method, and program
CN102932323B (en) To the automatic analysis of related accidents safe in computer network
US10044821B2 (en) Content activity feedback into a reputation system
EP2411927A2 (en) Monitoring of distributed applications
US8108725B2 (en) History-based conflict resolution
US10986112B2 (en) Method for collecting cyber threat intelligence data and system thereof
US20070061891A1 (en) Environment information transmission method, service controlling system, and computer product
KR102542052B1 (en) Log count processing device and processing system at the kernel level, and log count method using it
CN113626882A (en) Method, device and medium for generating equipment identifier
CN104477776A (en) A role-based crane remote graded monitoring system
JP6294847B2 (en) Log management control system and log management control method
CN113177179A (en) Data request connection management method, device, equipment and storage medium
KR102275065B1 (en) Apparatus and method for security control
JP2004348192A (en) Job distribution control method
KR101512462B1 (en) Method for analyzing update of malicious code on analysis sytem of malicious code based on culture
US11550692B2 (en) Integrated event processing and policy enforcement
KR101512456B1 (en) METHOD FOR RELOADING OS THROUGH network ON ANALYSIS SYTEM OF MALICIOUS CODE BASED ON CULTURE
CN113468217A (en) Data query management method and device, computer equipment and readable storage medium
EP1197858B1 (en) Method and device for offering resources in an internet appliance

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant