TWI722001B - 壓縮、翻譯伺服器 - Google Patents
壓縮、翻譯伺服器 Download PDFInfo
- Publication number
- TWI722001B TWI722001B TW105123384A TW105123384A TWI722001B TW I722001 B TWI722001 B TW I722001B TW 105123384 A TW105123384 A TW 105123384A TW 105123384 A TW105123384 A TW 105123384A TW I722001 B TWI722001 B TW I722001B
- Authority
- TW
- Taiwan
- Prior art keywords
- log information
- log
- server
- 205seq
- processing device
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
有鑑於使用電腦進行工作已成為常識,本發明之目的為防止不實記錄的輸入、會計相關記錄的竄改,非法獲得企業秘密資訊等的犯罪而進行監視、監察、追蹤。
本發明係在於解讀電腦所輸出的事件日誌或監察日誌、系統日誌等且進行解析,翻譯成人可理解的自然語言,而可於任何時候都可立即獲知何人在何時進行了何事。
Description
本發明係關於一種當使用者操作電腦裝置時,將所輸出之日誌(log)資訊進行解析翻譯,且將對於成為對象之電腦裝置的操作或動作記錄翻譯為平易的自然語言的報告(report)予以輸出,而提議改善點的技術裝置。
在電腦裝置中雖具有將包含有在該電腦裝置上運作之OS(Operation System,操作系統)的所有軟體(software)的動作作為日誌檔案(log file)予以記錄的功能,但由於OS內部的動作全都予以記錄的資訊量會變得龐大而且複雜,因此成為難以經由人來解讀的內容。
另一方面,必須要能夠迅速進行用來監控遵行個人資訊保護法、或資訊被非法攜出等之資訊洩漏時的原因調查等。
記錄各種電腦動作的日誌雖藉由OS或在其上運作的軟體進行輸出,但由於如上述第【0002】段落所述資訊量龐大又複雜而且難以經由人來解讀,因此必須要有日誌檔案的解析、翻譯之類的技術。
因此需要一種解析所儲存的日誌檔案且發現改善點,用以謀求最佳化的改善資訊。具體而言,需要一種儘管有存取(access)權卻未存取的檔案、任何人都未存取的檔案、存取集中之伺服器等之資訊的可視化、與來自過去資訊之統計分析之類的技術。
雖有專利文獻1至4所示的先前技術,但此等技術雖可藉由判定必要的日誌進行抽取來減輕通信上的通信量(traffic),但要進一步解析日誌且由任何人都能輕易理解是何人在何時以何方式操作何事,畢竟無法達成。因此,無法進行電腦輸出之日誌檔案所具有的資訊的有效率的利用。
本技術係具有解析電腦日誌資料,且將其內容翻譯為可由人理解的自然語言,而可利用於改善今後的技術及運用的特徵。
專利文獻1:日本特開2011-191823號公報
專利文獻2:日本特開2011-113443號公報
專利文獻3:日本特開2005-227846號公報
專利文獻4:日本特開2014-16758號公報
近年來,針對關於電腦系統的事件或事故,從事件(incident)管理或安全(security)管理的觀點,更進而從今後將盛行的IoT(Internet of Things,物聯網)的觀點,要有效率而且正確進行“物”彼此用以進行通信(communication)已進行了何種操作所需之資訊分析的必要性已日益增加。
然而,電腦系統或個人電腦類(智慧手機(srmartphone)、平板(tablet)、穿戴裝置(wearable))、機械類(產業機器、一般機器、乘坐物)、其他物品(家電、家具、建築物)雖被作為IoT而連接,但由於是以此等機器類所輸出之日誌資訊的狀態,機械式地沿著時間軸記錄著所有的操作,因此資訊量變得龐大,甚至記錄著對於解析、分析或追蹤不具意義的資訊,而難以找到有效的資訊。
結果,極難以掌握一連串操作的事實,亦將需要大容量的保管資源。
本發明係用以實現下列程序者。
具備映射處理裝置,係將電腦系統或個人電腦類(智慧手機、平板、穿戴裝置)、機械類(產業機器、一般機器、乘坐物)、電氣製品、其他物品(家具、建築物)等所輸出的日誌資訊(事件日誌資料(event log data)、監察日誌資料、系統日誌、應用程式日誌(application log)、服務日誌(service log)等)作為輸入,依每一使用者、伺服器、對象抽出日誌資訊的必要項目;將依每一使用者、伺服器、對象排齊映射處理之輸出後之項目的排列,銜接於預先規定於規則主表(rule master)之n個操作結果的組合模式(pattern),且追蹤實際所產生之操作的跡象;從屬於傳遞(pass)1處理裝置之輸出的每一概述
(summary)的追蹤結果,一定時間內的相同操作壓縮成一個並將傳遞1處理裝置的輸出彙整為更易於觀看的形態。
例如,read及write在短時間內產生時,由於read不具太大意義,因此彙整為單一的write。
檢索映射處理裝置、預傳遞(prepass)處理裝置、傳遞1處理裝置、傳遞2處理裝置、傳遞3處理裝置之一連串處理的結果且進行報告,藉此即可有效率而且正確地進行事件管理或安全管理,且藉由將符碼(code)或二進位資料(binary data)等翻譯為自然語言的傳遞4處理裝置、與從日誌資訊輸出改善資訊的傳遞5處理裝置、傳遞6處理裝置、傳遞7處理裝置而可進行更進一步的日誌的活用。
本發明之電腦裝置等之日誌資料解析與日誌資料翻譯裝置,不需要利用者的專門知識,可使日誌易於觀看,而可掌握原本的操作,並且可達成保管資源容量大幅的縮減,並可將被細部大量輸出之對應於事件的符碼或二進位資料等翻譯為自然語言,而可進行傾向分析。
101‧‧‧使用者A
102‧‧‧使用者B
103‧‧‧使用者C
104‧‧‧伺服器α
105‧‧‧伺服器β
106‧‧‧伺服器γ
111‧‧‧日誌資訊
113‧‧‧翻譯伺服器
114‧‧‧收集日誌資訊
116‧‧‧映射處理裝置
117‧‧‧預傳遞1處理裝置
118‧‧‧傳遞1處理裝置
119‧‧‧傳遞2處理裝置
120‧‧‧傳遞3處理裝置
121‧‧‧傳遞4處理
122‧‧‧傳遞5處理
123‧‧‧傳遞6處理
124‧‧‧存取日誌
125‧‧‧存取日誌
126‧‧‧自然語言報告檔案
127‧‧‧警告報告
128‧‧‧存取履歷
129‧‧‧動作改善資訊
201‧‧‧操作主表
202‧‧‧詳細內容
203‧‧‧操作
204‧‧‧日誌資訊表單
205‧‧‧Seq#“1”
206‧‧‧日時
207‧‧‧使用者
208‧‧‧伺服器
209‧‧‧對象
210‧‧‧詳細內容
211‧‧‧操作
212‧‧‧概述
213‧‧‧Skip
214‧‧‧次數
301‧‧‧概述表
302‧‧‧概述No.
303‧‧‧使用者
304‧‧‧伺服器
305‧‧‧對象
401‧‧‧規則主表
402‧‧‧ID“2”
404‧‧‧基本序列
405‧‧‧一定時間
406‧‧‧序列1
407‧‧‧序列2
501‧‧‧間隔
502‧‧‧動作
503‧‧‧間隔
601‧‧‧動作主表
602‧‧‧基本動作
603‧‧‧從屬動作
604‧‧‧從屬動作2
611‧‧‧日時
612‧‧‧使用者
613‧‧‧伺服器
614‧‧‧對象
615‧‧‧操作
701‧‧‧辭典主表
702‧‧‧操作
703‧‧‧操作
704‧‧‧文章
706‧‧‧改行
801‧‧‧存取日誌
802‧‧‧日時
803‧‧‧使用者
804‧‧‧伺服器
805‧‧‧對象
806‧‧‧操作
811‧‧‧存取控制清單
812‧‧‧使用者
813‧‧‧伺服器
814‧‧‧對象
816‧‧‧申請期間
817‧‧‧認證日時
818‧‧‧刪除日時
821‧‧‧警告
901‧‧‧存取日誌
902‧‧‧日時
904‧‧‧伺服器
905‧‧‧對象
911‧‧‧伺服器
912‧‧‧對象
914‧‧‧最終存取日
915‧‧‧監察日
916‧‧‧經過日數
1004‧‧‧次數
第1圖係顯示本發明之一例的整體構成圖。
第2圖係映射處理概要圖。
第3圖係預傳遞1處理圖。
第4圖係傳遞1處理圖。
第5圖係傳遞2處理圖。
第6圖係傳遞3處理圖。
第7圖係傳遞4處理圖。
第8圖係傳遞5處理圖。
第9圖係傳遞6處理圖。
第10圖係傳遞7處理圖。
第1圖係為收集屬於本發明之實施形態之例之電腦等所輸出之111日誌資訊,且將所收集的日誌資訊予以壓縮,並將日誌資訊翻譯分析成人所易於理解之自然語言之裝置的整體構成圖。
當101使用者A操作104伺服器α的檔案107甲、105伺服器β的檔案108乙與109丙、102使用者B操作105伺服器β的檔案108乙與109丙、103使用者C操作106伺服器γ的檔案110丁時,電腦104伺服器α、105伺服器β、106伺服器γ係於分別操作時將電腦的動作狀況作為111日誌資訊而分別輸出。
113翻譯伺服器係將該輸出的日誌資訊使用網路等定期收集,且彙整成1個114收集日誌資訊。
第1圖係為讀取所收集的114收集日誌資訊,且加上必要的資料以易於藉由116映射處理裝置翻譯,藉由117預傳遞1處理裝置進行日誌模式的分類,且藉由118傳遞1處理裝置彙整日誌的動作,藉由119傳遞2處理裝置與120傳遞3處理裝置進行翻譯的彙整,從116映射處理裝置藉由120傳遞3處理
裝置將資料量由1000分之1處理成2000分之1,藉由121傳遞4處理進行翻譯成人所易於理解的自然語言,藉由122傳遞5處理進行使用者之存取權的評估,藉由123傳遞6處理進行改善提案資訊的輸出,藉由124傳遞7處理裝置進行伺服器之負荷統計資訊之輸出之裝置的整體構成圖。
因就發明人及申請人獨自附上名稱之各個軟體及裝置使用本發明獨自的名稱,故記載如下。
˙日時:使用者存取檔案的日時分秒。
˙使用者:存取檔案的人或具有帳號(account)的功能。
˙對象:與操作相關的事象。
檔案存取時,所存取的檔案或目錄(directory)。
˙詳細內容:與操作相關的事象,且為日時、使用者、對象以外的附加資訊。
檔案存取時為AccessValue,對象的IP位址,檔案存取時為AccessValue、對象的IP位址、會談(session)資訊。
˙AccessValue:決定以符碼或二進位資料輸出的操作、動作的資訊。
˙操作:對於OS、應用程式所判斷之檔案的資訊。(logon、logoff、write、read等)
˙概述表:以使用者、伺服器、對象的組合作為檢索鍵(key)的表單。儲存實際的記憶體位址。
˙概述No.:對概述所賦予之獨有的記憶體上的位址。
˙Skip:是否需要OS所輸出之日誌資訊各行的判別資訊。
˙日誌資訊:包含電腦系統或個人電腦、智慧手機、平板、穿戴裝置、產業機器、一般機器、乘坐物、電氣製品、醫療機器、家具、建築物等所輸出的動作記錄或應用程式日誌、服務日誌、系統日誌、事件日誌、監察日誌、指令資訊、數位資料(digital data)等的動作記錄。
˙日誌資訊表單:從日誌資訊將解析所必須的資訊轉換為解析用格式(format)且展開於記憶體上之狀態的表單。
˙系統日誌:記錄電腦的啟動或結束、管理者的logon或logoff、再啟動、在硬體所產生的障礙、在核心(kernel)所產生的錯誤、伺服器軟體或Daemon、常駐程式的啟動或結束等的資訊。
˙存取控制清單(access control list):記載有藉由認證流程系統設定之針對各個人之對象之存取權限的資訊。
˙控制資訊:操作、概述、Skip等的資訊。
˙事件日誌:記錄構成變更或障礙產生等、在系統所產生的各種事象。
˙監察日誌:將系統之利用者、開發者、運用者對於系統所執行的操作內容依時間序列予以記錄。
˙規則主表:記載有用以將日誌資訊之各行的動作依時間序列解析並判斷的規則,在規則之中記載有解析所必須的時間,該時間稱為一定時間。
˙一定時間:為記載於規則主表的時間,且依每一規則記載有不同的時間。該時間係發明人解析各種日誌資訊且在n秒以內進行人所進行的動作時,以被算出作為被彙整為相同動作
之時間之安全值的時間定義於規則主表、間隔主表等之每一規則所指定的秒數。
˙機械語:電腦等所輸出之在該形狀的狀態下無法由通常的人所理解的資料等。
第2圖係為針對本發明之116映射處理裝置所記載的圖。
藉由網路等收集電腦等所輸出的日誌資訊111,整理成114收集日誌資訊,讀取114收集日誌資訊,配合分析內容而抽出日時、使用者、伺服器、對象、詳細內容等的項目,一面確保211操作、212概述No.、213Skip等的資訊設置區域,一面將抽出項目展開於記憶體,同時以210詳細內容作為檢索鍵而檢索201操作主表的202詳細內容,且將對應的203操作設定於211操作。
從成為對象的114收集日誌資訊選出解析所必須的資訊項目。在本實施例中,係使用206日時、207使用者、208伺服器、209對象、210詳細內容的各項目作為檔案伺服器的日誌資訊,且提出使用者儲存於檔案伺服器之檔案操作的解析作為例子。
若解析對象為車或產業機器的省能源者,則以日時、一定時間的消耗能源、能源消耗機器的狀況(旋轉數等)、外部環境(溫度、濕度等)移動距離、運轉次數等為對象。
將所讀取的206日時、207使用者、208伺服器、209對象、210詳細內容的各項目設定於記憶體上之204日誌資訊表單的各項目,且利用210詳細內容匹配201操作主表的202詳細內
容而將相符的203操作設定於211操作,及確保212概述No.的記憶體區域,在213Skip項目設定“FALSE”的初始(default)值,確保可存放214次數的記憶體區域。
在此的“FALSE”係指204日誌資訊表單之各行的資訊極為重要故不進行跳讀之意。
此外,當有不存在於201操作主表的210詳細內容時,係不列為處理對象而將“TRUE”的值設定於204日誌資訊表單。登錄於該201操作主表的資訊,係為藉由本發明之過去經驗與實績的資訊所作成的資訊群。
實際上,電腦消除檔案時,對於磁碟(disk)裝置執行讀取處理,之後藉由將資訊寫入磁碟裝置而抹除檔案。從此事項可得知,人的操作與實際的電腦的行為並不一致,因此解析實際上人進行了何種動作就變得重要。
第3圖係為針對本發明之117預傳遞1處理裝置所記載的圖。
茲作成存在於204日誌資訊表單之207使用者、208伺服器、209對象之整個組合的301概述表,且在301概述表的各行附上序列(sequence)No.的符號而作成於記憶體上,
且使204日誌資訊表單之207使用者、208伺服器、與209對象相同之301概述表的303使用者、304伺服器、305對象匹配,且將分配於301概述表的302概述No.設定於204日誌資訊表單的212概述No.項目。
當藉由存在於204日誌資訊表單的207使用者、208伺服器、209對象的組合進行301概述表的303使用者、
304伺服器、305對象的匹配而無相同的組合時,在302概述No.附上序列編號的符號進行設定並將207使用者、208伺服器、209對象的組合設定於303使用者、304伺服器、305對象而將整個組合的301概述表作成於記憶體上。
在將所有組合作成於301概述表之後,
使204日誌資訊表單之207使用者、208伺服器、209對象與相同的301概述表之303使用者、304伺服器、305對象匹配,且將分配於301概述表的302概述No.,設定於204日誌資訊表單的212概述No.項目。
第4圖係針對本發明之傳遞1處理裝置所記載的圖。
從展開於記憶體的204日誌資訊表單的起始進行處理,利用212概述No.而追蹤涵蓋複數行的相同使用者、伺服器、對象,且將210詳細內容的出現模式對照401規則主表,當出現模式匹配時,將404基本序列以外匹配的204日誌資訊表單各行的213Skip更新為“TRUE”。
從展開於記憶體的204日誌資訊表單的起始進行處理,由於205Seq#“1”的213Skip為“FALSE”,故作為處理對象,由於210詳細內容為“$%#097”,在401規則主表的404基本序列中有相同資訊於402ID“1”,故將此予以記憶,當探索212概述No.的相同資料“①”時,在205Seq#“2”可探索212概述No.相同的資料“①”,由於205Seq#“2”的210
詳細內容的資料為“$%#257445y7nc09yw983”,故與402ID“1”的406序列1比較時為相同資料,在402ID“1”的407序列2無資料而且405一定時間為“3”,206日時的差在此時為“0”,因此將205Seq#“1”的211操作判斷為read且以211操作作為“read”,在將213Skip設為“FALSE”的狀態下,將205Seq#“2”的213Skip設為“TRUE”。
接著,將指示器(pointer)前進1,但由於205Seq#“2”的213Skip為“TRUE”,故不列為處理對象,將指示器前進1。
由於205Seq#“3”的213Skip為“FALSE”,故作為處理對象,由於210詳細內容為“$%#38a2”eh48w”,在401規則主表的404基本序列中有相同資訊於402ID“2”,故將此予以記憶,當探索212概述No.的相同資料“②”時,在本實施例中,於使用之第4圖上之204日誌資訊表單的212概述No.中,由於只有“②”的資料,故仍將213Skip設為“FALSE”且將指示器前進1。
接著,由於205Seq#“4”的213Skip為“FALSE”故作為處理對象,由於210詳細內容為“$%#257445y7nco9yw983”且在401規則主表的404基本序列無相同資訊,故仍將213Skip設為“FALSE”且將指示器前進1。
接著,由於205Seq#“5”的213Skip為“TRUE”,故不列為處理對象,且將指示器前進1。
接著,由於205Seq#“6”的213Skip為“FALSE”,故作為處理對象,由於210詳細內容為“$%#257445y7nco9yw983”且在401規則主表的404基本序列無相同資訊,故仍將213Skip設為“FALSE”且將指示器前進1。
由於205Seq#“7”的213Skip為“FALSE”,故作為處理對象,由於210詳細內容為“$%#097”且在401規則主表的404基本序列中有相同資訊於402ID“1”,故將此予以記憶,當探索212概述No.的相同資料“①”時,在205Seq#“8”可探索212概述No.相同的資料“①”,由於205Seq#“8”的210詳細內容的資料為“$%#257445y7nco9yw983”,故與402ID“1”的406序列1比較時為相同資料,在402ID“1”的407序列2無資料而且405一定時間為“3”,206日時的差在此時為“1”,因此將205Seq#“7”的211操作判斷為read且以211操作作為“read”,將213Skip設為“FALSE”,將205Seq#“8”的213Skip設為“TRUE”,且將指示器前進1。
接著,將指示器前進1,但由於205Seq#“8”的213Skip為“TRUE”故不列為處理對象,而將指示器前進1,但由於資料結束,故結束本處理,執行下一個處理。
第5圖係為針對本發明之傳遞2處理裝置所記載的圖。
僅以展開於記憶體之204日誌資訊表單中之“FALSE”的
物為對象,依照501間隔主表彙整前後一定間隔內的相同的211操作212概述No.、的資料,依214次數計數相同的211操作212概述No.、而設定次數。
從展開於記憶體的204日誌資訊表單的起始進行處理,由於205Seq#“1”的213Skip為“FALSE”,211操作為“read”,因此當調查501間隔主表的502動作時,由於具有“read”且503間隔成為“2”,因此為了調查前後2秒期間,記憶211操作“read”212概述No.“①”與205Seq#“1”的指示器,且將匹配處理指示器前進1。
由於205Seq#“2”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“3”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
205Seq#“4”的213Skip雖為“FALSE”“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“5”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“6”的213Skip雖為“FALSE”“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“7”的213Skip為“FALSE”,212概述No.為“①”,211操作為read,故在前述所記憶的指示器,亦即205Seq#“1”的初始值1的214次數加上1成為2,且將匹配處理對象前進1。
由於205Seq#“8”的Skip為“TRUE”,故不列為處理對象,且當將匹配處理指示器前進1時,由於處理了204日誌資訊表單的所有資料,因此在指示器加1而處理第2個205Seq#“2”,但由於213Skip為“TRUE”,故不作任何動作而將指示器前進1。
由於205Seq#“3”的213Skip為“FALSE”,211操作為“read”,因此當調查501間隔主表主表的502動作時,由於具有“read”且503間隔成為“2”,因此為了調查前後2秒期間,記憶211操作“read”212概述No.“②”與205Seq#“3”的指示器,且將匹配處理指示器錯開至2秒前之處。在本實施例中,206日時的2秒前即成為204日誌資訊表單的起始資料。
205Seq#“1”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“2”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“3”為目前處理中的資料,故將匹配處理指示器前進1。
205Seq#“4”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,故不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“5”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“6”的213Skip雖為“FALSE”“FALSE”,但由於211操作與212概述No.不匹配,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“7”的213Skip雖為“FALSE”“FALSE”,但由於211操作與212概述No.不匹配,故不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“8”的213Skip為“TRUE”,故不列為處理對象,當將匹配處理指示器前進1時,雖處理了204日誌資訊表單的所有資料,但由於不存在相同的211操作“read”212概述No.“②”,故將1設定於205Seq#“3”的214次數。
由於在指示器加上1而第4個205Seq#“4”的213Skip為“FALSE”211操作為“write”,因此當調查501間隔主表的502動作時,由於具有“write”且503間隔成為“2”,因此為了調查前後2秒期間,記憶211操作“write”212概述No.“①”與205Seq#“4”的指示器,且將匹配處理指示器錯開至2秒前之處。在本實施例中,206日時的2秒前即成為204日誌資訊表單的起始資料。
205Seq#“1”的213Skip雖為“FALSE”,但由於211操作
與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“2”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“3”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“4”為目前處理中的資料,故將匹配處理指示器前進1。
由於205Seq#“5”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“6”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
205Seq#“7”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“8”的Skip為“TRUE”,故不列為處理對象,當將匹配處理指示器前進1時,雖處理了204日誌資訊表單的所有資料,但由於不存在相同的211操作“write”212概述No.“①”,故將1設定於205Seq#“4”的214次數。
由於在指示器加上1而第5個205Seq#“5”的213Skip為“TRUE”,故不列為處理對象。
由於在指示器加上1而第6個205Seq#“6”的213Skip為“FALSE”,211操作為“write”,
因此當調查501間隔主表的502動作時,由於具有“write”且503間隔成為“2”,因此為了調查前後2秒期間,記憶211操作“write”212概述No.“③”與205Seq#“6”的指示器,且將匹配處理指示器錯開至2秒前之處。在本實施例中,206日時的2秒前即成為204日誌資訊表單的起始資料。
205Seq#“1”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“2”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
205Seq#“3”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
205Seq#“4”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“5”的213Skip為“TRUE”,故不列為處理對象,且將匹配處理指示器前進1。
由於205Seq#“6”為目前處理中的資料,故將匹配處理指示器前進1。
205Seq#“7”的213Skip雖為“FALSE”,但由於211操作與212概述No.不匹配,因此不列為處理對象,且將匹配處理
指示器前進1。
由於205Seq#“8”的Skip為“TRUE”,故不列為處理對象,當將匹配處理指示器前進1時,雖處理了204日誌資訊表單的所有資料,但由於不存在相同的211操作“write”212概述No.“③”,故將1設定於205Seq#“6”的214次數。
由於在指示器加上1,205Seq#“7”的213Skip為“TRUE”,故不列為處理對象,且將指示器前進1。
由於在指示器加上1,205Seq#“8”的213Skip為“TRUE”,故不列為處理對象,當將指示器前進1時,由於處理了所有的資料,故進行下一個處理。
藉由重複本項所記載的處理,214次數即成為如第5圖之下段所記載的204日誌資訊表單的狀態。
第6圖係為針對本發明之傳遞3處理裝置所記載的圖。
電腦的動作係對於來自人的1個命令進行複數個動作。進行檔案的delete時,電腦係讀取磁碟上的目錄(index)資訊,之後進行消除目錄資訊的動作。為了僅記載實際人所進行的動作,必須彙整複數個動作,且依照601動作主表而依204日誌資訊表單的每一212概述No.檢查211操作且確定實際人所進行的操作。
從第6圖之展開於記憶體的204日誌資訊表單的起始進行處理,由於205Seq#“1”的213Skip為“FALSE”而且212概述No.為“①”,211操作最初為“read”,故記憶211操作“read”212概述No.“
”與指示器,且將用以處理的指示器前進1。
由於205Seq#“2”的213Skip為“TRUE”,故將指示器前進1,由於205Seq#“3”的212概述No.為“
”,故將指示器前進1,由於205Seq#“4”的212概述No.為“
”,211操作為“write”,當調查所記憶的“read”與“write”的組合是否具有匹配601動作主表的模式時,由於602基本動作“write”之行的603從屬動作1與604從屬動作2與“read”、“write”一併匹配,故記錄“write”。
將指示器前進1,由於205Seq#“5”的213Skip為“TRUE”,故將指示器前進1,由於205Seq#“6”的212概述No.為“
”,故將指示器前進1,由於205Seq#“7”的213Skip為“TRUE”,故將指示器前進1,由於205Seq#“7”的213Skip為“TRUE”,故當將指示器前進1時,由於資料結束,故205Seq#”1”與205Seq#”4”的組合,從601動作主表判斷為“write”,且將204日誌資訊表單(1)的205Seq#“1”的213Skip變更為“TRUE”。
之後重複從本項的起始所記載的處理,成為如第6圖下段之204日誌資訊表單的狀態。
從第6圖下段的204日誌資訊表單的起始進行處理,僅213Skip為“FALSE”將206日時、207使用者、208伺服器、209對象、214次數作為124存取日誌的資料輸出。
藉此即可將111日誌資訊從1000分之1壓縮至2000分之1,該處理全都在記憶體上進行,故處理速度格外地快。
第7圖係為針對本發明之傳遞4處理裝置所記載的圖。
從藉由傳遞3輸出作為檔案的124存取日誌,以612使用者為依據,將使用者所進行的行動,利用701辭典主表翻譯成自然語言。藉由作成自然語言,即可自動作成可利用於可由人所讀取之系統監察跡象、考勤管理、日報、週報等的報告,藉由變更701辭典主表,則任何機械所輸出的資料,都可轉換成自然語言。
以124存取日誌的612使用者為中心來說明實施例。
讀取124存取日誌的第1行,以612使用者“A”的615操作“logon”為檢索鍵進行701辭典主表檢索,由於702操作1有“logon”,705日期為“O”,706改行為“O”,故將611日時的日期部分與改行符碼輸出於126自然語言報告檔案。
接著輸出611日時的時間,在被與701辭典主表匹配的704文章的“{}”所包圍的部分套用相符的資訊。
以本案例的情形而言,係由701辭典主表的702操作1套用對應“logon”之704文章的“{使用者}”的612使用者及對應“{伺服器}”的613伺服器,而輸出於126自然語言報告檔案。
下一個相同的612使用者、615操作為“logoff”時,寫入逗點“、”與改行符碼,且依照辭典主表進行logoff的處理。
然而,由於下一個相同的612使用者“A”的615操作為“read”,故檢索701辭典主表的702操作1的“read”,
由於在701辭典主表中有2個案例,且“write”有持續的模式,因此在124存取日誌中相同的612使用者為“A”,613伺服器為“α”,614對象為“甲”的條件下211操作探索“write”之物。
由於611日時為“2015/06/24 20:39:49”的資料與“2015/06.24 20:59:05“匹配,
故在701辭典主表的702操作1為“read”、703操作2為“write”的704文書的“{對象}”套用614對象,且將124存取日誌的時間、704文章、標點、改行符碼輸出於126自然語言報告檔案。
接著,將指示器錯開至611日時“2015/06/24 20:37:46”之下一個位置,當追隨612使用者“A”的動作時,新的模式在611日時“2015/06/24 21:05:49”與611日時“2015/06/24 21:05:58”,701辭典主表的702操作1、703操作2與“write”的模式匹配,因此將614對象套用於704文章的“{對象}”,且將704文章、標點、改行符碼輸出於126自然語言報告檔案。
接著,將指示器錯開至611日時“2015/06/24 21:05:49”之下一個位置,當追隨612使用者“A”的動作時,新的模式在611日時“2015/06/24 21:10:55”,701辭典主表的702操作1與logoff的模式匹配,
因此套用對應於704文章之“{文章}”的612使用者及對應於“{伺服器}”的613伺服器,且將704文章、標點、改行符碼輸出於126自然語言報告檔案。
由於如126自然語言報告般輸出為可由人所讀取的內容,因此亦可將最初的logon與最後的logoff應用於“在YY年MM月DD日HH時MM分上班,在HH時MM分下班”的勤務表等。
第8圖係為針對本發明之傳遞5處理裝置所記載的圖。
在本實施例中,係將使用電子認證工作流程系統等而預先設定之每一使用者之可利用的伺服器、對象、權限、申請期間、認證日時、刪除日時等的資訊、及801存取日誌(user sort(使用者排序)的803使用者作為檢索鍵,而確認對於805對象的存取權限的妥當性,且將確認內容寫入於127警告報告的821警告。
可得知由612使用者將125存取日誌排序輸出的801存取日誌(使用者排序)的803使用者“A”從806操作讀取802日時“2015/06/21 10:35:40”804伺服器“α”805對象“甲”。
以801存取日誌(使用者排序)的803使用者、804伺服器、805對象為檢索鍵,使811存取控制清單的812使用者、813伺服器、814對象匹配,且從816申請期間、817認證日時、818刪除日時的資訊,可得知812使用者“A”,係813伺服器“α”,從814對象“甲”的存取權從818刪除日時被取消為2015/06/20。
然而,實際上係803使用者“A”在802日時“2015/06/21 10:35:40”從操作讀取804伺服器“α”805對象“甲”。
從該事實可推測的情形係
管理者弄錯了存取權的設定。
有人非法操作了存取權。
存取管理系統的異常產生。
產生了駭客(hacking)等的非法存取。
因此,在127警告報告中,將“read權限刪除完成”與警告資訊輸出於802日時、803使用者、804伺服器、805對象、806操作與821警告。
產生此種不一致時,可顯示“read”權限與具體的違反權限的警告。
第9圖係為針對本發明之傳遞6處理裝置所記載的圖。
在本實施例中,係累積過去的存取履歷,且以所累積的存取記錄為依據而比較實際檔案的存取狀況,且以管理者預先設定的指示資訊為依據,當存在有超過一定期間無任何人存取的檔案時,輸出示警(alarm)報告,或自動刪除,或自動備份(backup)於儲存體(storage)。
以藉由613伺服器排序並輸出125存取日誌之901存取日誌(伺服器排序)的904伺服器、905對象為檢索鍵,與128存取履歷匹配,而將具有相同的911伺服器、912對象之行的914最終存取日設為902日時的日期,且設915監察日
為本處理日,將916經過日數更新為從本日扣除914最終存取日後的日數。
916經過日數超過管理者預先設定之指示資訊的日數時,輸出示警報告,藉由管理者的指示將905對象的檔案自動刪除,或備份於儲存體。
在本實施例中,超過了811存取控制清單之816申請期間的日數成為指示資訊的日數,而128存取履歷之916經過日數為“536”的資料成為對象。
第10圖係為針對本發明之傳遞7處理裝置所記載的圖。
在本實施例中,係計算半年、季度、每月等,一定期間內的伺服器內所具有之檔案的存取頻率,來算出1005比率1或伴隨著存取而來的處理量,且輸出考慮未來各伺服器之負荷分散的報告。
以125存取日誌之206日時的年月部分、207使用者、208伺服器、209對象、211操作為檢索鍵,在與129動作改善資訊相符的1004次數上,計數125存取日誌的207伺服器、208對象、206日時、205日時的日期部分與210操作的出現次數,且加計於1004次數。
在203日誌資訊表單的行全都處理之後,使用1004次數的值,以月、季度單位算出存取比等的統計資訊。
在本實施例中,將1004次數以月單位與所有伺服器的1004次數作成百分率,將資訊在1005比率上按對象單位設
定,而在1006比率2則按伺服器單位設定。
藉此,可得知人實際進行之操作的存取頻度。
由於902統計資訊的各項目可自由變更,因此可進行通信線路的利用頻率、通信線路的通信費用等所有統計資訊的解析。
藉由每一存取內容的負荷分析,即可達成處理內容及程式化的改善。
現今,為對應於因為電腦的普及所增加的電腦犯罪,即使刑法亦已有電磁記錄非法製作罪、電磁記錄毀損罪、電子計算機損壞等業務妨礙罪、電子計算機使用詐欺罪等法律日益嚴峻。然而,藉由強化監視、監察體制且導入任何人均可得知何人在何時作了何事的系統,即可藉此充實風險管理系統,而且需要一種藉由解析從可進行此種犯罪抑制的電腦裝置所輸出的動作記錄並翻譯成自然語言,且解析日誌,分析該動作內容,且從所分析的內容發現改善點而謀求最佳化的技術,且為提供一種刪除儘管具有存取權卻不存取之檔案的存取權,或刪除任何人都未存取的檔案,進行存取集中之伺服器的負荷分散,對於改善表現性能(performance)、重新評估安全控制、過去資訊的累積與分析之支援資訊的技術裝置。
101‧‧‧使用者A
102‧‧‧使用者B
103‧‧‧使用者C
104‧‧‧伺服器α
105‧‧‧伺服器β
106‧‧‧伺服器γ
107‧‧‧甲
108‧‧‧乙
109‧‧‧丙
110‧‧‧丁
111‧‧‧日誌資訊
112‧‧‧日誌資訊的收集
113‧‧‧翻譯伺服器
114‧‧‧收集日誌資訊
115‧‧‧翻譯處理裝置
116‧‧‧映射處理裝置
117‧‧‧預傳遞1處理裝置
118‧‧‧傳遞1處理裝置
119‧‧‧傳遞2處理裝置
120‧‧‧傳遞3處理裝置
121‧‧‧傳遞4處理裝置
122‧‧‧傳遞5處理裝置
123‧‧‧傳遞6處理裝置
124‧‧‧傳遞7處理裝置
125‧‧‧存取日誌
126‧‧‧自然語言報告檔案
127‧‧‧警告報告
128‧‧‧存取履歷
129‧‧‧動作改善資訊
Claims (3)
- 一種壓縮、翻譯伺服器,包含:映射處理裝置,為了讀取由成為對象之電腦裝置群所輸出的收集日誌資訊,並且依時間序列解析所讀取的收集日誌資訊,而從收集日誌資訊抽出日時、使用者、伺服器、對象、詳細內容;為了於執行監察等之際,方便進行由人類所執行的行動分析,而將不是由人類所作業的日誌排除在外,也就是將電腦等機械所輸出的日誌資訊等排除在外;藉由基於人類的行動來彙整日誌,以將收集日誌從1/1000壓縮成1/2000,附加翻譯所需的控制資訊;為了於執行監察等之際,方便進行由成為監察對象的人類所執行的行動分析,成為監察證據,而配置於記憶體內的日誌資訊表單。
- 如請求項1之壓縮、翻譯伺服器,更包含:處理裝置,係具有下列功能:從配置於前述記憶體內之日誌資訊表單的日誌資訊,將使用者、伺服器、對象作為概述而展開在不同於前述日誌資訊表單的其他記憶體區域上,且使用所展開的概述,將涵蓋日誌資訊之複數行的相同使用者、相同伺服器、相對對象的行作為唯一的集合,且使此集合與規則主表銜接,當匹配規則主表時,即依照定義於規則主表之轉換規則來匯集電腦動作,將收集日誌從1/1000處理成1/2000,藉以減少文章量而使監察等變得容易,並且方便理解;搭配實際的人類操作,無論什麼樣的機械所輸出的日誌資料,都可以轉換成自然語言,且任何人都能夠閱讀。
- 如請求項2之壓縮、翻譯伺服器,更包含:傳遞2處理裝置,係具有下列功能:從藉由前述處理裝置所壓縮、翻譯的日誌資訊表單使用操作記錄的日時,來判斷在一定時間內所產生的操作記錄,及計數在一定時間內的相同的電腦內部動作並予以彙整,又將成為複數行的操作記錄轉換為1行的操作記錄,只選出有用的操作記錄;以及傳遞3處理裝置,係具有下列功能:藉由前述傳遞2處理裝置,依時間序列掃描所選出的日誌資訊表單,針對相同使用者、相同伺服器、相同對象的行,對於在特定操作的前後於一定時間內所產生的操作賦予優先順位,選出優先順位低的操作而吸收壓縮成特定的操作,藉以將收集日誌的資料量從1/1000壓縮成1/2000。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015187392A JP6501159B2 (ja) | 2015-09-04 | 2015-09-04 | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 |
| JP2015-187392 | 2015-09-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201719474A TW201719474A (zh) | 2017-06-01 |
| TWI722001B true TWI722001B (zh) | 2021-03-21 |
Family
ID=58188868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105123384A TWI722001B (zh) | 2015-09-04 | 2016-07-25 | 壓縮、翻譯伺服器 |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP6501159B2 (zh) |
| MY (1) | MY189366A (zh) |
| SG (1) | SG11201801619RA (zh) |
| TW (1) | TWI722001B (zh) |
| WO (1) | WO2017038221A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076296B (zh) * | 2021-03-30 | 2024-06-07 | 咪咕文化科技有限公司 | 日志生成方法、装置、电子设备及存储介质 |
| CN113535519B (zh) * | 2021-07-27 | 2024-01-30 | 浪潮软件科技有限公司 | 一种监控告警方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101093509A (zh) * | 2007-07-18 | 2007-12-26 | 中国科学院计算技术研究所 | 一种查询交互系统和方法 |
| CN101339551A (zh) * | 2007-07-05 | 2009-01-07 | 日电(中国)有限公司 | 自然语言查询需求扩展设备及其方法 |
| US20100312764A1 (en) * | 2005-10-04 | 2010-12-09 | West Services Inc. | Feature engineering and user behavior analysis |
| CN102932323A (zh) * | 2011-08-29 | 2013-02-13 | 卡巴斯基实验室封闭式股份公司 | 对计算机网络中安全相关事故的自动分析 |
| JP2013084212A (ja) * | 2011-10-12 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | ログ収集システム、方法及びプログラム |
| JP2013152657A (ja) * | 2012-01-26 | 2013-08-08 | Kyocera Document Solutions Inc | ログ変換プログラム、情報処理装置 |
| TW201439927A (zh) * | 2012-10-25 | 2014-10-16 | Ibm | 提供資訊差距之指示之問答系統 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008050560A1 (fr) * | 2006-10-25 | 2008-05-02 | Sharp Kabushiki Kaisha | Serveur de distribution de contenu, serveur de fourniture de contenu, système de distribution de contenu, procédé de distribution de contenu, procédé de fourniture de contenu, dispositif de terminal, programme de commande et support d'enregistrement lisible par ordinateur |
| JP2010262491A (ja) * | 2009-05-08 | 2010-11-18 | Hitachi Ltd | ログ集約装置 |
| JP5381542B2 (ja) * | 2009-09-17 | 2014-01-08 | 日本電気株式会社 | 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法 |
| JP5478390B2 (ja) * | 2010-07-12 | 2014-04-23 | Kddi株式会社 | ログ抽出システムおよびプログラム |
| JP2012208565A (ja) * | 2011-03-29 | 2012-10-25 | Sumitomo Electric System Solutions Co Ltd | ログ管理方法、ログ管理装置、及びプログラム |
| JP5642725B2 (ja) * | 2012-02-22 | 2014-12-17 | 日本電信電話株式会社 | 性能分析装置、性能分析方法及び性能分析プログラム |
| JP5974856B2 (ja) * | 2012-11-27 | 2016-08-23 | 富士通株式会社 | サンプリングプログラム、サンプリング方法及び情報処理装置 |
| JP2015141472A (ja) * | 2014-01-27 | 2015-08-03 | 株式会社東芝 | 情報処理装置及び情報処理プログラム |
-
2015
- 2015-09-04 JP JP2015187392A patent/JP6501159B2/ja active Active
-
2016
- 2016-06-17 WO PCT/JP2016/068740 patent/WO2017038221A1/ja active Application Filing
- 2016-06-17 SG SG11201801619RA patent/SG11201801619RA/en unknown
- 2016-06-17 MY MYPI2018700792A patent/MY189366A/en unknown
- 2016-07-25 TW TW105123384A patent/TWI722001B/zh active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100312764A1 (en) * | 2005-10-04 | 2010-12-09 | West Services Inc. | Feature engineering and user behavior analysis |
| CN101339551A (zh) * | 2007-07-05 | 2009-01-07 | 日电(中国)有限公司 | 自然语言查询需求扩展设备及其方法 |
| CN101093509A (zh) * | 2007-07-18 | 2007-12-26 | 中国科学院计算技术研究所 | 一种查询交互系统和方法 |
| CN102932323A (zh) * | 2011-08-29 | 2013-02-13 | 卡巴斯基实验室封闭式股份公司 | 对计算机网络中安全相关事故的自动分析 |
| JP2013084212A (ja) * | 2011-10-12 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | ログ収集システム、方法及びプログラム |
| JP2013152657A (ja) * | 2012-01-26 | 2013-08-08 | Kyocera Document Solutions Inc | ログ変換プログラム、情報処理装置 |
| TW201439927A (zh) * | 2012-10-25 | 2014-10-16 | Ibm | 提供資訊差距之指示之問答系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| MY189366A (en) | 2022-02-07 |
| TW201719474A (zh) | 2017-06-01 |
| JP6501159B2 (ja) | 2019-04-17 |
| SG11201801619RA (en) | 2018-03-28 |
| JP2017049962A (ja) | 2017-03-09 |
| WO2017038221A1 (ja) | 2017-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9135306B2 (en) | System for forensic analysis of search terms | |
| CN108268485B (zh) | 一种日志实时分析方法及系统 | |
| KR102509748B1 (ko) | 메타데이터 및 딥러닝 보안제어를 이용한 가명처리 서비스 제공 시스템 | |
| CN111046022A (zh) | 一种基于大数据技术的数据库审计方法 | |
| Choi et al. | Forensic recovery of SQL server database: Practical approach | |
| Actoriano et al. | Forensic Investigation on WhatsApp Web Using Framework Integrated Digital Forensic Investigation Framework Version 2 | |
| TWI722001B (zh) | 壓縮、翻譯伺服器 | |
| CN111177785B (zh) | 一种基于企业的业务系统的隐私数据的脱敏处理方法 | |
| Quick et al. | Big Digital Forensic Data: Volume 1: Data Reduction Framework and Selective Imaging | |
| Kävrestad | Guide to digital forensics: a concise and practical introduction | |
| CN106528688A (zh) | 一种针对Twitter的分析取证方法 | |
| CN114003634A (zh) | 基于es技术的大数据分析检索系统及方法 | |
| Halevy et al. | Data Management for Journalism. | |
| Wang et al. | TOTEMSS: Topic-based, temporal sentiment summarisation for Twitter | |
| Khader et al. | HDFS file operation fingerprints for forensic investigations | |
| CN115455020A (zh) | 一种增量数据同步方法、装置、计算机设备及存储介质 | |
| Xue et al. | Cross-media topic detection associated with hot search queries | |
| KR20080028031A (ko) | 키워드 및 키워드에 관련된 각종 콘텐츠를 자동으로추출하고 디스플레이하는 시스템 및 방법 | |
| CN115208641A (zh) | 一种基于互联网数据安全运行的软件方法 | |
| CN114265759A (zh) | 一种数据信息泄露后的溯源方法、系统及电子设备 | |
| Raychaudhuri | A Comparative Study of Analysis and Extraction of Digital Forensic Evidences from exhibits using Disk Forensic Tools. | |
| KR20110070767A (ko) | 네트워크 기반 원격 포렌식 시스템 | |
| CN117453982B (zh) | 一种档案管理文件分类系统 | |
| CN105843901B (zh) | 一种显示事件和对象之间关系的方法及系统 | |
| Kao et al. | An iterative management model of exploring windows date-time stamps in cloud storage forensics |