WO2017043075A1 - 分類情報作成装置、分類情報作成方法、検索装置、検索方法、及び、記録媒体 - Google Patents

Abstract

ログ情報に関して高速な検索処理を可能にする分類情報作成装置等が提供される。分類情報作成装置５０１は、通信ネットワークを介して実行された通信に関して測定された測定値と、該測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、該測定値を一意に識別可能な測定識別子を作成する識別子作成部５０２と、該リソース識別子に関する条件と、該条件を満足している場合に該測定情報から抽出する項目を表す抽出項目と、該抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における該リソース識別子に関する条件を該測定情報における該リソース識別子が満足している場合に、該リソース識別子に関連付けされた特定の測定値を、該測定情報から抽出する抽出部５０３と、該特定の測定値から、該抽出情報における抽出項目を表す値を読み取る読み取り部５０４と、該特定の測定値を表す測定識別子と、該抽出情報における該抽出情報識別子と、読み取り部５０４が読み取った値とが関連付けされた分類情報を作成する分類情報作成部５０５とを有する。

Description

分類情報作成装置、分類情報作成方法、検索装置、検索方法、及び、記録媒体

　本発明は、高速な検索処理を可能にする情報を作成する分類情報作成装置等に関する。

　通信ネットワークにて実行された通信に関するログ情報を解析することにより、該通信ネットワークを介した不正アクセスを検知する技術が存在する。この場合に、ログ情報は、１種類の情報処理装置によって作成されているとは限らず、複数種類の情報処理装置によって形式が異なる複数のログ情報が作成されることもある。たとえば、特許文献１においては、ログ情報を作成する一例が開示されている。特許文献２においては、ログ情報に基づき、サイバー攻撃を検知する一例が開示されている。特許文献３においては、複数種類の異なるログ情報を比較する処理を容易にする技術が開示されている。以降、特許文献１乃至特許文献３に開示された技術について説明する。

　特許文献１に開示された管理装置は、通信ネットワークを介して受信したリクエスト信号の回数が、所定の時間間隔、及び、該リクエストの種類ごとに分類されたリクエスト分類ログを作成する。該管理装置は、さらに、該所定の時間間隔ごとに、該リクエストを処理したサーバにおけるリソースの使用量が記録されたシステムログを生成する。該管理装置は、作成したリクエスト分類ログと、作成したシステムログとに基づいて、リクエストごとに、該リクエストを処理するのに要したリソースの使用量を算出する。

　特許文献２に開示されたログ分析装置は、サイバー攻撃において想定される攻撃手順を表す攻撃シナリオに基づき、検知された攻撃以前の攻撃であって、検知されていない攻撃を抽出する。ログ分析装置は、コンピュータシステムに関するログを解析することにより、抽出した攻撃を受けていたか否かを判定し、該攻撃を受けていた場合には、該攻撃の検知漏れが発生したと判定する。

　特許文献３に開示されたログ集計支援装置は、複数の侵入検知システムから、不正な通信記録を含むログ情報を収集し、収集したログ情報を記憶部に記憶する。該ログ集計支援装置は、記憶部に記憶されたログ情報のうち、該ログ情報に共通する項目の値が同じであるログ情報が相互に関連付けされた作業表を作成する。

国際公開第２００８／００７６６９号 特開２０１５－１２１９６８号公報 特開２００６－３０４１０８号公報

　しかし、たとえ、特許文献３に開示されたログ集計支援装置を用いたとしても、所望の通信を、効率よく抽出できるとは限らない。この理由は、複数のリクエストが、共通して、ある検索条件を含んでいる場合であっても、各リクエストを受信するたびに、該ある検索条件に関する処理が再実行されなければならないからである。言い換えると、該ある検索条件に関する処理は、各リクエストを受信するごとに繰り返し実行される。

　そこで、本発明の主たる目的は、通信等のログ情報に関して高速な検索処理を可能にする分類情報作成装置等を提供することである。

　前述の目的を達成するために、本発明の一態様において、分類情報作成装置は、
　通信ネットワークを介して実行された通信に関して測定された測定値と、前記測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、前記測定値を一意に識別可能な測定識別子を作成する識別子作成手段と、
　前記リソース識別子に関する条件と、前記条件を満足している場合に前記測定情報から抽出する項目を表す抽出項目と、前記抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における前記リソース識別子に関する条件を前記測定情報における前記リソース識別子が満足している場合に、前記リソース識別子に関連付けされた特定の測定値を、前記測定情報から抽出する抽出手段と、
　前記特定の測定値から、前記抽出情報における抽出項目を表す値を読み取る読み取り手段と、
　前記特定の測定値を表す測定識別子と、前記抽出情報における前記抽出情報識別子と、前記読み取り手段が読み取った値とが関連付けされた分類情報を作成する分類情報作成手段と
　を備える。

　また、本発明の他の見地として、分類情報作成方法は、
　通信ネットワークを介して実行された通信に関して測定された測定値と、前記測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、前記測定値を一意に識別可能な測定識別子を作成し、
　前記リソース識別子に関する条件と、前記条件を満足している場合に前記測定情報から抽出する項目を表す抽出項目と、前記抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における前記リソース識別子に関する条件を前記測定情報における前記リソース識別子が満足している場合に、前記リソース識別子に関連付けされた特定の測定値を、前記測定情報から抽出し、
　前記特定の測定値から、前記抽出情報における抽出項目を表す値を読み取り、
　前記特定の測定値を表す測定識別子と、前記抽出情報における前記抽出情報識別子と、読み取った前記値とが関連付けされた分類情報を作成する。

　さらに、同目的は、係る分類情報作成プログラム、及び、そのプログラムを記録するコンピュータが読み取り可能な記録媒体によっても実現される。

　本発明に係る分類情報作成装置等によれば、ログ情報に関して高速な検索処理を可能にすることができる。

本発明の第１の実施形態に係る分類情報作成装置が有する構成を示すブロック図である。 第１の実施形態に係る分類情報作成装置における処理の流れを示すフローチャートである。 通信ネットワークにおいて、ＨＴＴＰプロトコルに従い実行された通信に関して測定された測定情報の一例を概念的に表す図である。 通信ネットワークにおいて送受信されているパケットをキャプチャするｔｃｐｄｕｍｐ命令を用いて測定された測定情報の一例を概念的に表す図である。 測定情報の一例を概念的に表す図である。 分類情報作成装置が参照する抽出情報の一例を概念的に表す図である。 分類情報作成装置が作成した分類情報の一例を概念的に表す図である。 本発明の第２の実施形態に係る検索装置が有する構成を示すブロック図である。 第２の実施形態に係る検索装置における処理の流れを示すフローチャートである。 検索情報の一例を概念的に表す図である。 本発明の各実施形態に係る分類情報作成装置、または、検索装置を実現可能な計算処理装置のハードウェア構成例を、概略的に示すブロック図である。

　次に、本発明を実施する実施形態について図面を参照しながら詳細に説明する。

　＜第１の実施形態＞
　図１を参照しながら、本発明の第１の実施形態に係る分類情報作成装置５０１が有する構成について詳細に説明する。図１は、本発明の第１の実施形態に係る分類情報作成装置５０１が有する構成を示すブロック図である。

　第１の実施形態に係る分類情報作成装置５０１は、識別子作成部５０２と、抽出部５０３と、読み取り部５０４と、分類情報作成部５０５とを有する。分類情報作成装置５０１は、さらに、抽出情報記憶部５０６を有してもよい。抽出情報記憶部５０６は、図６（後述）に例示されているような抽出情報を記憶することができる。

　図３及び図４を参照しながら、分類情報作成装置５０１が分類情報を作成する基となる測定情報について説明し、図６を参照しながら、分類情報作成装置５０１が参照する抽出情報について説明する。その後、図２を参照しながら、本発明の第１の実施形態に係る分類情報作成装置５０１における処理について説明する。

　まず、図３及び図４を参照しながら、測定情報について説明する。図３は、通信ネットワークにおいて、ＨＴＴＰプロトコルに従い実行された通信に関して測定された測定情報一例を概念的に表す図である。図４は、通信ネットワークにおいて送受信されているパケットをキャプチャするｔｃｐｄｕｍｐ命令を用いて測定された測定情報の一例を概念的に表す図である。ＨＴＴＰは、Ｈｙｐｅｒｔｅｘｔ＿Ｔｒａｎｓｆｅｒ＿Ｐｒｏｔｏｃｏｌの略称を表す。

　図３を参照すると、測定情報は、リクエストを送信した情報処理装置のアドレスと、該リクエストを送信したユーザの識別情報と、サーバが該リクエストに関する処理を終了した日時と、該リクエストと、該リクエストを処理した後の該サーバのステータス（状態）とが関連付けされた情報である。たとえば、該測定情報においては、アドレス「１．２．３．４」と、ユーザ「Ａ」と、日時「２０１５／９／３＿１３：３０：２６」と、リクエスト「ＧＥＴ＿／ｘｘｘ＿ＨＴＴＰ／１．０」と、ステータス「２００」とが関連付けされている。これは、ユーザ「Ａ」がアドレス「１．２．３．４」が表す情報処理装置から、リクエスト「ＧＥＴ＿／ｘｘｘ＿ＨＴＴＰ／１．０」をサーバに送信し、該サーバが該リクエストに応じた処理を、日時「２０１５／９／３＿１３：３０：２６」に、ステータス「２００」にて終了したことを表す。

　また、図４を参照すると、測定情報は、通信ネットワークを介して実行された通信に関して、該通信が実行された時刻と、該通信を実行した装置（すなわち、第１装置、第２装置）の名称と、該通信を実行した場合に経由したポート番号とが関連付けされた情報である。たとえば、該測定情報においては、時刻「１０：５６：２１」と、第１装置の名称「Ｃｌｉｅｎｔ」と、該第１装置におけるポート番号「１０３６」と、第２装置の名称「Ｓｅｒｖｅｒ」と、該第２装置におけるポート番号「ｗｗｗ」とが関連付けされている。これは、「Ｃｌｉｅｎｔ」が表す装置のポート番号「１０３６」と、「Ｓｅｒｖｅｒ」が表す装置のポート番号「ｗｗｗ」との間において、時刻「１０：５６：２１」に通信が実行されたことを表す。

　以降、説明の便宜上、測定情報を作成（測定）する装置を「ログ作成装置」（リソース）と表すとする。複数のログ作成装置は、図３及び図４に例示されているように、異なる形式の測定情報を作成するとする。ｔｃｐｄｕｍｐ命令等を用いて、図４に例示されたような測定情報を作成するログ作成装置を表すリソース識別子を「Ｐｃａｐ」（ｐａｃｋｅｔ＿ｃａｐｔｕｒｅ）と表すとする。ＨＴＴＰプロトコルに従い実行された通信に関して測定された測定情報（図３に例示）を作成するログ作成装置を表すリソース識別子を「Ａｐａｃｈｅ」と表すとする。

　ただし、本実施形態においては、説明の便宜上、異なる形式に従い記載された測定情報（ログ）に対して、ログ作成装置は、該測定情報を、ある統一された形式に変換する処理（正規化処理）を実行してもよい。この場合に、ログ作成装置は、形式の異なる複数の測定情報（たとえば、図３、及び、図４）に基づき、統一された形式に従い記述された測定情報５０７（図５）を作成する。図５は、測定情報５０７の一例を概念的に表す図である。

　図５を参照すると、測定情報５０７は、通信が実行された時刻と、該通信に関して測定情報５０７を測定したログ作成装置を表すリソース識別子と、該通信に関して測定された測定値（たとえば、アドレス、ユーザ、リクエスト、装置の名称とポート番号等）とが関連付けされた情報である。たとえば、図５に例示された測定情報５０７においては、時刻「１３：３０：２６」と、リソース識別子「Ａｐａｃｈｅ」と、測定値欄に記載されている測定値「１．２．３．４・・・」とが関連付けされている。これは、時刻「１３：３０：２６」に、リソース識別子「Ａｐａｃｈｅ」が表すログ作成装置が、測定値「１．２．３．４・・・」を作成したことを表す。

　尚、測定情報５０７は、必ずしも、図３乃至図５を参照しながら説明したすべての項目を含んでいる必要はない。すなわち、測定情報５０７は、上述した例に限定されない。以降、説明の便宜上、測定情報５０７は、ある統一された形式に従い記述されていると仮定するが、異なる形式に従い記述されている各測定情報に対して、後述する処理と同様の処理が実行されてもよい。

　次に、図６を参照しながら分類情報作成装置５０１が参照する抽出情報について説明する。図６は、分類情報作成装置５０１が参照する抽出情報の一例を概念的に表す図である。

　抽出情報は、測定情報５０７から抽出する項目を表す抽出項目と、該抽出項目を抽出する場合のリソース識別子に関する条件と、該抽出項目を一意に識別可能な抽出情報識別子とが関連付けされている情報である。たとえば、図６に例示された抽出情報においては、抽出情報識別子「２」と、条件「Ｐｃａｐ」と、抽出項目「ポート番号」とが関連付けされている。これは、図５に例示された測定情報５０７において、リソース識別子「Ｐｃａｐ」に関連付けされた測定値に基づき、抽出項目「ポート番号」を抽出する処理を表す抽出情報識別子が「２」であることを表す。

　また、図６に例示された抽出情報においては、抽出情報識別子「４」と、条件「＊」（アスタリスク）と、抽出項目「ＡＳ番号」とが関連付けされている。符号「＊」は、リソース識別子に関する条件が指定されていないことを表す。この場合には、図５に例示された測定情報５０７に含まれているすべての測定値の中から、抽出項目「ＡＳ番号」を抽出する処理を表す抽出情報識別子が「４」であることを表す。尚、ＡＳは、Ａｕｔｏｎｏｍｏｕｓ＿Ｓｙｓｔｅｍの略称を表す。ＡＳ番号は、通信が実行される場合に、該通信にて経由する装置を表す装置識別子である。

　尚、第２の実施形態に示した検索装置は、抽出情報記憶部５０６が記憶している抽出情報における抽出項目を用いて構成されたリクエストに対して、検索する処理を実行する。抽出情報は、図６に示された抽出情報に限定されない。

　次に、図２を参照しながら、本発明の第１の実施形態に係る分類情報作成装置５０１における処理について詳細に説明する。図２は、第１の実施形態に係る分類情報作成装置５０１における処理の流れを示すフローチャートである。

　まず、識別子作成部５０２は、通信ネットワークを介して実行された通信に関する測定情報５０７（図５に例示）に含まれている測定値に関して、該測定値を一意に可能な測定識別子を作成する（ステップＳ５０１）。たとえば、識別子作成部５０２は、測定情報５０７に含まれている測定値を識別可能な測定識別子として、該測定情報５０７に含まれている測定値に対して、順に、自然数を割り当てる。

　次に、抽出部５０３は、図６に例示された抽出情報から、ある条件と、該ある条件に関連付けされた抽出項目と、該ある条件に関連付けされた抽出情報識別子とを読み取る（ステップＳ５０２）。抽出部５０３は、図５に例示された測定情報５０７において、リソース識別子が該ある条件を満足している場合に、測定情報５０７を参照することによって、該リソース識別子に関連付けされた測定値（「特定の測定値」と表す）を抽出する（ステップＳ５０３）。

　抽出部５０３は、ステップＳ５０２に示す処理において、たとえば、図６に例示された抽出情報から、抽出情報識別子「３」と、条件「Ａｐａｃｈｅ」（上記の「ある条件」）と、抽出項目「測定値」とが関連付けされた情報を読み取る。抽出部５０３は、図５に例示された測定情報５０７を参照することによって、リソース識別子が、読み取った条件「Ａｐａｃｈｅ」を満足している場合に、該リソース識別子に関連付けされた測定値「１．２．３．４・・・」を抽出する。抽出部５０３は、図５に例示された測定情報５０７を参照することによって、さらに、リソース識別子が読み取った条件「Ａｐａｃｈｅ」を満足している場合の測定値「１．２．５．６・・・」を抽出する。

　読み取り部５０４は、抽出部５０３がステップＳ５０３にて抽出した特定の測定値から、抽出部５０３がステップＳ５０２にて読み取った抽出項目を表す値を読み取る（ステップＳ５０４）。

　図５に例示された測定情報５０７の場合に、読み取り部５０４は、ステップＳ５０４にて、条件「Ａｐａｃｈｅ」に関連付けされた抽出項目として、測定値「１．２．３．４・・・」を読み取る。

　分類情報作成部５０５は、該特定の測定値を表す測定識別子（識別子作成部５０２がステップＳ５０１にて作成）と、抽出部５０３が読み取った抽出情報識別子と、抽出部５０３が読み取った値とが関連付けされた分類情報を作成する（ステップＳ５０５）。識別子作成部５０２が、図５に例示された測定情報５０７に対して、測定識別子として自然数を割り当てた場合に、たとえば、読み取り部５０４は、測定値「１．２．３．４・・・」が表す測定識別子「１」と、抽出情報識別子「３」と、測定値「１．２．３．４・・・」とが関連付けされた分類情報（図７、後述）を作成する。さらに、分類情報作成部５０５は、測定値「１．２．５．６・・・」が表す測定識別子「３」と、抽出情報識別子「３」と、該測定値「１．２．５．６・・・」とが関連付けされた分類情報を作成してもよい。

　分類情報作成装置５０１は、抽出情報に含まれている各情報に関して、図２に示されたステップＳ５０２乃至ステップＳ５０５に示された処理を実行する。この場合に、分類情報作成装置５０１は、図７に例示された分類情報を作成する。図７は、分類情報作成装置５０１が作成した分類情報の一例を概念的に表す図である。

　図７を参照すると、分類情報は、抽出部５０３が抽出した特定の測定値を表す測定識別子と、抽出部５０３がステップＳ５０２にて読み取った抽出情報識別子と、該抽出項目に関して読み取り部５０４が読み取った抽出項目に関する値とが関連付けされた情報である。たとえば、図７に例示された分類情報においては、測定識別子「１」と、抽出情報識別子「３」と、値「１．２．３．４・・・」とが関連付けされている。これは、測定識別子「１」が表す測定情報５０７に関して、抽出情報識別子「３」が表す条件に従い、読み取り部５０４が抽出識別子「３」に関連付けされた抽出項目の値として、値「１．２．３．４・・・」を読み取ったことを表す。

　次に、第１の実施形態に係る分類情報作成装置５０１に関する効果について説明する。

　本実施形態に係る分類情報作成装置５０１によれば、ログ情報に関して高速な検索処理を可能にすることができる。この理由は、分類情報作成装置５０１が作成する分類情報（図７）が高速に検索する用途に適しているからである。

　分類情報作成装置５０１が作成する分類情報が高速に検索する用途に適している理由について説明する。

　たとえ、特許文献３に開示されたログ集計支援装置を用いたとしても、通信に関する所望の情報を、効率よく抽出できるとは限らない。この理由は、複数のリクエストが、共通して、ある検索条件を含んでいる場合であっても、各リクエストを受信するたびに、該ある検索条件に関する処理を再実行しなければならないからである。言い換えると、該ある検索条件に関する処理は、各リクエストを受信するごとに繰り返し実行される。

　本実施形態に係る分類情報作成装置５０１は、測定情報５０７（図５に例示）を識別可能な測定識別子、抽出項目を識別可能な抽出情報識別子（図６に例示）、及び、読み取り部５０４が抽出した値が関連付けされた分類情報（図７に例示）を作成する。すなわち、分類情報作成装置５０１が作成する分類情報は、抽出情報に含まれている抽出項目について、測定情報５０７が分類されている情報である。このため、あるリクエストを用いて分類情報が検索される場合には、該あるリクエストを構成している抽出項目を表す抽出情報識別子と、分類情報に含まれている抽出情報識別子とが一致しているか否かが判定される。図６を参照しながら説明したような抽出項目を用いて構成されたリクエストに応じた検索処理が実行される場合には、本実施形態に係る分類情報作成装置５０１によれば、該測定情報５０７が分類された分類情報を検索対象として検索処理が実行される。この結果、ある検索条件を共通して含んでいる複数のリクエストに対しては、該ある検索条件に関する検索処理が分類情報にて実行されているので、たとえ、該複数のリクエストを受信したとしても、リクエストを受信した場合に、該ある検索条件に対する検索処理は実行されない。

　＜第２の実施形態＞
　次に、上述した第１の実施形態を基本とする本発明の第２の実施形態について説明する。

　以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第１の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。

　図８を参照しながら、本発明の第２の実施形態に係る検索装置６０１が有する構成について詳細に説明する。図８は、本発明の第２の実施形態に係る検索装置６０１が有する構成を示すブロック図である。

　第２の実施形態に係る検索装置６０１は、分類情報作成装置５０１と、リクエスト解析部６０２と、抽出部６０３と、統合検索部６０４とを有する。検索装置６０１は、分類情報作成装置５０１が作成した分類情報６０５（図７に例示）を参照することができる。

　次に、図９を参照しながら、本発明の第２の実施形態に係る検索装置６０１における処理について詳細に説明する。図９は、第２の実施形態に係る検索装置６０１における処理の流れを示すフローチャートである。

　分類情報作成装置５０１は、あらかじめ、図７に例示されているような分類情報６０５を作成しているとする。

　リクエスト解析部６０２は、ある検索条件と、該ある検索条件を満足しているデータから抽出する項目を表す抽出項目とが関連付けされたリクエストを受信する（ステップＳ６０１）。

　たとえば、リクエストは、１週間以内にＨＴＴＰプロトコルに従い実行された通信であって、ある特定のアドレスにおける情報を要求した通信に関して、該通信にて経由したＡＳ番号を要求する信号である。この場合に、ある検索条件は、次に示す条件Ａ乃至条件Ｃが組み合わされた条件である。

　　　条件Ａ：通信が実行された時刻が１週間以内の実行であるか否か、
　　　条件Ｂ：リソースがＨＴＴＰプロトコルに従った通信を実行したか否か、
　　　条件Ｃ：ある特定のアドレスにおける情報を要求した通信であるか否か。

　上述した条件Ａ乃至条件Ｃが組み合わされたリクエストの場合に、抽出項目は、該ある検索条件を満足している通信を実行した際に経由した装置を表す装置識別子（ＡＳ番号）である。この例において、リクエスト解析部６０２は、受信したリクエストから、条件Ａ、条件Ｂ、条件Ｃ、及び、抽出項目「ＡＳ番号」を求める。

　リクエスト解析部６０２は、受信したリクエスト内の検索条件に含まれている各条件に関して、該条件に一致している抽出項目を、図６に例示されているような抽出情報を参照することによって特定する（ステップＳ６０２）。

　条件Ａは、通信が実行された時刻に関する条件である。リクエスト解析部６０２は、条件Ａにて求める対象である「時刻」に一致している抽出項目を、抽出情報（図６に例示）を参照することによって特定する。この場合に、リクエスト解析部６０２は、条件Ａに一致している抽出項目として、抽出項目「時刻」を特定する。

　条件Ｂは、通信が実行されたリソース識別子に関する条件である。リクエスト解析部６０２は、条件Ｂにて求める対象である「リソース識別子」に一致している抽出項目を、抽出情報（図６に例示）を参照することによって特定する。この場合に、リクエスト解析部６０２は、条件Ｂに一致している抽出項目として、抽出項目「リソース識別子」を特定する。

　条件Ｃは、アドレスに関する条件である。この場合に、リクエスト解析部６０２は、条件Ｃにて求める対象である「アドレス」に一致している抽出項目を、抽出情報（図６に例示）を参照することによって特定する。この場合に、リクエスト解析部６０２は、条件Ｃに一致している抽出項目として、抽出項目「アドレス」を特定する。

　次に、リクエスト解析部６０２は、特定した抽出項目に関連付けされた抽出情報識別子を、抽出情報を参照することによって特定する（ステップＳ６０３）。

　たとえば、リクエスト解析部６０２は、図６に例示されているような抽出情報を参照することによって、条件Ａに関して特定した抽出項目「時刻」に関連付けされた抽出情報識別子「５」を特定する。リクエスト解析部６０２は、抽出情報を参照することによって、条件Ｂに関して特定した抽出項目「リソース識別子」に関連付けされた抽出情報識別子「１」を特定する。リクエスト解析部６０２は、抽出情報を参照することによって、条件Ｃに関して特定した抽出項目「アドレス」に関連付けされた抽出情報識別子「６」を特定する。

　さらに、リクエスト解析部６０２は、図６に例示されているような抽出情報を参照することによって、受信したリクエスト内の抽出項目に関連付けされた抽出情報識別子を特定する（ステップＳ６０４）。たとえば、リクエスト解析部６０２は、受信したリクエストに関して、抽出項目「ＡＳ番号」に関連付けされた抽出情報識別子「４」を特定する。

　次に、リクエスト解析部６０２は、各条件に関して特定した抽出情報識別子と、該条件に含まれている要件とが関連付けされた検索情報（図１０に例示）を作成する。図１０は、検索情報の一例を概念的に表す図である。

　図１０に例示された検索情報においては、抽出情報識別子「５」と、要件「１週間以内」とが関連付けされている。これは、抽出情報識別子「５」に関して抽出された抽出項目の値が、要件「１週間以内」を満足しているか否かを判定する条件であることを表す。また、検索情報においては、抽出情報識別子「１」と、要件「Ａｐａｃｈｅ」とが関連付けされている。これは、抽出情報識別子「１」に関して抽出された抽出項目の値が、要件「Ａｐａｃｈｅ」を満足しているか否かを判定する条件であることを表す。

　尚、検索情報は、図１０に例示された検索情報に限定されない。

　次に、抽出部６０３は、分類情報６０５を参照することによって、リクエスト解析部６０２が作成した検索情報（すなわち、リクエスト内の検索条件における各条件）を満足している測定識別子を抽出する（ステップＳ６０５）。

　たとえば、抽出部６０３は、条件Ａ（すなわち、図１０の１行目）に関して、図７に例示された分類情報６０５において抽出情報識別子「５」に関連付けされた抽出項目の値及び測定識別子を読み取り、読み取った値が要件「１週間以内」（すなわち、条件Ａ）であるか否かを判定する。抽出部６０３は、抽出項目の値が１週間以内である場合には、読み取った測定識別子を抽出する。抽出部６０３は、抽出項目の値が１週間以内でない場合には、読み取った測定識別子を抽出しない。

　抽出部６０３は、条件Ｂ（すなわち、図１０の２行目）に関して、図７に例示された分類情報６０５において抽出情報識別子「１」に関連付けされた抽出項目の値及び測定識別子を読み取り、読み取った値が要件「Ａｐａｃｈｅ」（すなわち、条件Ｂ）を満足しているか否かを判定する。抽出部６０３は、抽出項目の値が「Ａｐａｃｈｅ」である場合には、読み取った測定識別子を抽出する。抽出部６０３は、抽出項目の値が「Ａｐａｃｈｅ」でない場合には、読み取った測定識別子を抽出しない。

　条件Ｃに関して、抽出部６０３は、条件Ａまたは条件Ｂにて実行した処理と同様の処理を実行する。

　次に、統合検索部６０４は、検索条件内の各条件に関して抽出部６０３が抽出した測定識別子のうち、該検索条件を満足している測定識別子を特定する（ステップＳ６０６）。

　以下、ステップＳ６０６について、上述した例の場合に関して具体的に説明する。リクエスト解析部６０２が受信した検索条件が、条件Ａ、条件Ｂ、及び、条件Ｃが論理積演算によって結合された条件であるので、統合検索部６０４は、抽出部６０３が各条件に関して抽出した測定識別子に共通して含まれている測定識別子を求める。リクエスト解析部６０２が受信した検索条件が、条件Ａ、条件Ｂ、及び、条件Ｃが論理和演算によって結合された条件である場合に、統合検索部６０４は、抽出部６０３が各条件に関して抽出した測定識別子のいずれかに含まれている測定識別子を求める。

　次に、統合検索部６０４は、図７に例示された分類情報６０５を参照することによって、求めた測定識別子と、リクエスト解析部６０２がステップＳ６０４にて抽出項目に関して特定した抽出情報識別子とに関連付けされた抽出項目の値を特定する（ステップＳ６０７）。統合検索部６０４は、特定した抽出項目の値を出力してもよい。すなわち、統合検索部６０４は、ステップＳ６０７に示す処理を実行することによって、検索条件を満足している測定識別子に関して、抽出する対象であった抽出項目の値を特定することができる。

　次に、第２の実施形態に係る検索装置６０１に関する効果について説明する。

　本実施形態に係る検索装置６０１によれば、通信等のログ情報に関して高速な検索処理を可能にすることができる。この理由は、第２の実施形態に係る検索装置６０１が有する構成は、第１の実施形態に係る分類情報作成装置５０１が有する構成を含むからである。

　さらに、本実施形態に係る検索装置６０１によれば、通信等のログ情報に関して高速に検索処理を実行することができる。この理由は、受信したリクエストに応じた検索処理を実行する場合に、検索条件を構成する要素として記載可能な条件によって、測定情報５０７が分類情報として分類されているからである。

　本実施形態に係る検索装置６０１によれば、効率的な検索を可能にしつつ、測定情報に対して正規化処理を実行したとしても無駄な記憶領域が生じないという効果を奏する。たとえば、図５に例示された測定情報のうち測定値を正規化処理する場合に、複数の測定値に共通しない項目に関しては、正規化処理後に空値が生じる可能性がある。これに対して、検索装置６０１が作成した分類情報６０５（図７に例示）に関しては、あらかじめ着目している抽出項目がそれぞれ格納されている抽出情報（図６に例示）に基づき作成されているので、上述したような空値が生じる可能性は低い。

　尚、上述した本発明の各実施形態においては、ＨＴＴＰプロトコルに従い実行された通信の例を参照しながら、検索処理装置６０１における処理、及び、分類情報作成装置５０１における処理等を説明した。しかし、上述した本発明の各実施形態に係る装置は、ＨＴＴＰプロトコルに従い実行される通信に限定されない。

　（ハードウェア構成例）
　上述した本発明の各実施形態における分類情報作成装置、または、検索装置を、１つの計算処理装置（情報処理装置、コンピュータ）を用いて実現するハードウェア資源の構成例について説明する。但し、係る分類情報作成装置、または、係る検索装置は、物理的または機能的に少なくとも２つの計算処理装置を用いて実現してもよい。また、係る分類情報作成装置、または、係る検索装置は、専用の装置として実現してもよい。

　図１１は、第１の実施形態に係る分類情報作成装置、または、第２の実施形態に係る検索装置を実現可能な計算処理装置のハードウェア構成例を概略的に示す図である。計算処理装置２０は、中央処理演算装置（Ｃｅｎｔｒａｌ＿Ｐｒｏｃｅｓｓｉｎｇ＿Ｕｎｉｔ、以降「ＣＰＵ」と表す）２１、メモリ２２、ディスク２３、不揮発性記録媒体２４、通信インターフェース（以降、「通信ＩＦ」と表す）２７、及び、ディスプレー２８を有する。計算処理装置２０は、入力装置２５、出力装置２６に接続可能であってもよい。計算処理装置２０は、通信ＩＦ２７を介して、他の計算処理装置、及び、通信装置と情報を送受信することができる。

　不揮発性記録媒体２４は、コンピュータが読み取り可能な、たとえば、コンパクトディスク（Ｃｏｍｐａｃｔ＿Ｄｉｓｃ）、デジタルバーサタイルディスク（Ｄｉｇｉｔａｌ＿Ｖｅｒｓａｔｉｌｅ＿Ｄｉｓｃ）である。また、不揮発性記録媒体２４は、ユニバーサルシリアルバスメモリ（ＵＳＢメモリ）、ソリッドステートドライブ（Ｓｏｌｉｄ＿Ｓｔａｔｅ＿Ｄｒｉｖｅ）等であってもよい。不揮発性記録媒体２４は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体２４は、上述した媒体に限定されない。また、不揮発性記録媒体２４の代わりに、通信ＩＦ２７、及び、通信ネットワークを介して係るプログラムを持ち運びしてもよい。

　すなわち、ＣＰＵ２１は、ディスク２３に記憶されているソフトウェア・プログラム（コンピュータ・プログラム：以下、単に「プログラム」と称する）を、実行する際にメモリ２２にコピーし、演算処理を実行する。ＣＰＵ２１は、プログラム実行に必要なデータをメモリ２２から読み取る。表示が必要な場合には、ＣＰＵ２１は、ディスプレー２８に出力結果を表示する。外部への出力が必要な場合には、ＣＰＵ２１は、出力装置２６に出力結果を出力する。外部からプログラムを入力する場合、ＣＰＵ２１は、入力装置２５からプログラムを読み取る。ＣＰＵ２１は、上述した図１、または、図８に示す各部が表す機能（処理）に対応するところのメモリ２２にある分類情報作成プログラム（図２）、または、検索プログラム（図９）を解釈し実行する。ＣＰＵ２１は、上述した本発明の各実施形態において説明した処理を順次実行する。

　すなわち、このような場合、本発明は、係る分類情報作成プログラム、または、係る検索プログラムによっても成し得ると捉えることができる。さらに、係る分類情報作成プログラム、または、係る検索プログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、本発明は成し得ると捉えることができる。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかし、本発明は、上述した実施形態には限定されない。すなわち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

　この出願は、２０１５年９月１０日に出願された日本出願特願２０１５－１７８３０６を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　５０１　　分類情報作成装置
　５０２　　識別子作成部
　５０３　　抽出部
　５０４　　読み取り部
　５０５　　分類情報作成部
　５０６　　抽出情報記憶部
　５０７　　測定情報
　６０１　　検索装置
　６０２　　リクエスト解析部
　６０３　　抽出部
　６０４　　統合検索部
　６０５　　分類情報
　２０　　計算処理装置
　２１　　ＣＰＵ
　２２　　メモリ
　２３　　ディスク
　２４　　不揮発性記録媒体
　２５　　入力装置
　２６　　出力装置
　２７　　通信ＩＦ
　２８　　ディスプレー

Claims (10)

1. 　通信ネットワークを介して実行された通信に関して測定された測定値と、前記測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、前記測定値を一意に識別可能な測定識別子を作成する識別子作成手段と、
   　前記リソース識別子に関する条件と、前記条件を満足している場合に前記測定情報から抽出する項目を表す抽出項目と、前記抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における前記リソース識別子に関する条件を前記測定情報における前記リソース識別子が満足している場合に、前記リソース識別子に関連付けされた特定の測定値を、前記測定情報から抽出する抽出手段と、
   　前記特定の測定値から、前記抽出情報における抽出項目を表す値を読み取る読み取り手段と、
   　前記特定の測定値を表す測定識別子と、前記抽出情報における前記抽出情報識別子と、前記読み取り手段が読み取った値とが関連付けされた分類情報を作成する分類情報作成手段と
   　を備える分類情報作成装置。
2. 　前記抽出情報を記憶している抽出情報記憶手段
   　をさらに備え、
   　前記抽出情報における抽出項目は、通信が実行される場合に経由したポート識別子を含む
   　請求項１に記載の分類情報作成装置。
3. 　前記抽出情報を記憶している抽出情報記憶手段
   　をさらに備え、
   　前記抽出情報における抽出項目は、通信にて経由する装置を表す装置識別子を含む
   　請求項１に記載の分類情報作成装置。
4. 　前記抽出情報を記憶している抽出情報記憶手段
   　をさらに備え、
   　前記抽出情報における抽出項目は、前記測定値を作成した装置を識別可能な装置識別子を含む
   　請求項１に記載の分類情報作成装置。
5. 　請求項１乃至請求項４のいずれかに記載の分類情報作成装置と、
   　前記抽出情報に含まれている第１抽出項目を用いて記述された検索条件と、前記抽出情報に含まれている第２抽出項目とが関連付けされたリクエストに関して、前記抽出情報において、前記第１抽出項目に関連付けされた第１抽出情報識別子、及び、前記第２抽出項目に関連付けされた第２抽出情報識別子を特定し、前記検索条件に含まれている要件と、特定した前記第１抽出情報識別子とが関連付けされた検索情報を作成するリクエスト解析手段と、
   　前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定値を特定し、特定した前記測定値が、前記検索情報において、前記第１抽出情報識別子に関連付けされた前記要件を満足している場合には、前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定識別子を特定する抽出手段と、
   　前記抽出手段が特定した前記測定識別子のうち、前記検索条件を満足している測定識別子を求める統合検索手段
   　と
   　を備える検索装置。
6. 　通信ネットワークを介して実行された通信に関して測定された測定値と、前記測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、前記測定値を一意に識別可能な測定識別子を作成し、
   　前記リソース識別子に関する条件と、前記条件を満足している場合に前記測定情報から抽出する項目を表す抽出項目と、前記抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における前記リソース識別子に関する条件を前記測定情報における前記リソース識別子が満足している場合に、前記リソース識別子に関連付けされた特定の測定値を、前記測定情報から抽出し、
   　前記特定の測定値から、前記抽出情報における抽出項目を表す値を読み取り、
   　前記特定の測定値を表す測定識別子と、前記抽出情報における前記抽出情報識別子と、読み取った前記値とが関連付けされた分類情報を作成する分類情報作成方法。
7. 　前記抽出情報に含まれている第１抽出項目を用いて記述された検索条件と、前記抽出情報に含まれている第２抽出項目とが関連付けされたリクエストに関して、前記抽出情報において、前記第１抽出項目に関連付けされた第１抽出情報識別子、及び、前記第２抽出項目に関連付けされた第２抽出情報識別子を特定し、前記検索条件に含まれている要件と、特定した前記第１抽出情報識別子とが関連付けされた検索情報を作成し、
   　前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定値を特定し、特定した前記測定値が、前記検索情報において、前記第１抽出情報識別子に関連付けされた前記要件を満足している場合には、前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定識別子を特定し、
   　特定した前記測定識別子のうち、前記検索条件を満足している測定識別子を求める請求項６に記載の検索方法。
8. 　通信ネットワークを介して実行された通信に関して測定された測定値と、前記測定値を作成した装置を識別可能なリソース識別子とが関連付けされた測定情報に関して、前記測定値を一意に識別可能な測定識別子を作成する識別子作成機能と、
   　前記リソース識別子に関する条件と、前記条件を満足している場合に前記測定情報から抽出する項目を表す抽出項目と、前記抽出項目を識別可能な抽出情報識別子とが関連付けされた抽出情報における前記リソース識別子に関する条件を前記測定情報における前記リソース識別子が満足している場合に、前記リソース識別子に関連付けされた特定の測定値を、前記測定情報から抽出する抽出機能と、
   　前記特定の測定値から、前記抽出情報における抽出項目を表す値を読み取る読み取り機能と、
   　前記特定の測定値を表す測定識別子と、前記抽出情報における前記抽出情報識別子と、前記読み取り機能において読み取られた値とが関連付けされた分類情報を作成する分類情報作成機能と
   　をコンピュータに実現させる分類情報作成プログラムが記録された記録媒体。
9. 　前記抽出情報を記憶している抽出情報記憶機能
   　をさらに備え、
   　前記抽出情報における抽出項目は、通信が実行される場合に経由したポート識別子を含む
   　請求項８に記載の分類情報作成プログラムが記録された記録媒体。
10. 　請求項８または請求項９に記載の分類情報作成プログラムと、
    　前記抽出情報に含まれている第１抽出項目を用いて記述された検索条件と、前記抽出情報に含まれている第２抽出項目とが関連付けされたリクエストに関して、前記抽出情報において、前記第１抽出項目に関連付けされた第１抽出情報識別子、及び、前記第２抽出項目に関連付けされた第２抽出情報識別子を特定し、前記検索条件に含まれている要件と、特定した前記第１抽出情報識別子とが関連付けされた検索情報を作成するリクエスト解析機能と、
    　前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定値を特定し、特定した前記測定値が、前記検索情報において、前記第１抽出情報識別子に関連付けされた前記要件を満足している場合には、前記分類情報において前記第１抽出情報識別子に関連付けされた前記測定識別子を特定する抽出機能と、
    　前記抽出機能において特定された前記測定識別子のうち、前記検索条件を満足している測定識別子を求める統合検索機能と
    　をコンピュータに実現させる検索プログラムが記録された記録媒体。

Images