JP6501159B2 - コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 - Google Patents

コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 Download PDF

Info

Publication number
JP6501159B2
JP6501159B2 JP2015187392A JP2015187392A JP6501159B2 JP 6501159 B2 JP6501159 B2 JP 6501159B2 JP 2015187392 A JP2015187392 A JP 2015187392A JP 2015187392 A JP2015187392 A JP 2015187392A JP 6501159 B2 JP6501159 B2 JP 6501159B2
Authority
JP
Japan
Prior art keywords
log information
information table
processing
log
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015187392A
Other languages
English (en)
Other versions
JP2017049962A (ja
Inventor
整一 伊藤
整一 伊藤
由之 久鍋
由之 久鍋
利和 石崎
利和 石崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AMIYA CO.,LTD
Original Assignee
AMIYA CO.,LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AMIYA CO.,LTD filed Critical AMIYA CO.,LTD
Priority to JP2015187392A priority Critical patent/JP6501159B2/ja
Priority to MYPI2018700792A priority patent/MY189366A/en
Priority to PCT/JP2016/068740 priority patent/WO2017038221A1/ja
Priority to SG11201801619RA priority patent/SG11201801619RA/en
Priority to TW105123384A priority patent/TWI722001B/zh
Publication of JP2017049962A publication Critical patent/JP2017049962A/ja
Application granted granted Critical
Publication of JP6501159B2 publication Critical patent/JP6501159B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、ユーザがコンピュータ装置を操作する際、出力されるログ情報を解析翻訳し、対象となるコンピュータ装置に対する操作や動作記録を平易な自然言語に翻訳したレポートを出力し、改善点を助言する技術装置に関するものである。
コンピュータ装置にはそのコンピュータ装置上で稼動するOSを含めた全てのソフトウェアの動作をログファイルとして記録する機能を有するが、OS内部の挙動が全て記録され情報量が膨大で複雑になるため、人間が読解するのに困難な内容となっている。
一方で、個人情報保護法遵守の為のモニターリングや、情報が不正に持ち出されるなどの情報漏えいした時の原因調査などを速やかに行えるようにする必要が有る。
様々なコンピュータの動作を記録するログはOSやその上で稼動するソフトウェアによって出力されるが上記[0002]で記した様に情報量が膨大で複雑かつ人間が読解するのに困難な為、ログファイルの解析・翻訳といった技術が必要とされる。
蓄積されたログファイルを解析し改善点を発見し、最適化を図る為の改善情報が必要とされる。具体的には、アクセス権が有るにも関わらずアクセスしないファイル、誰もアクセスする事のないファイル、アクセスが集中するサーバなどの情報の可視化と過去情報からの統計分析といった技術が必要とされる。
特許文献1から4に示したような先行技術は有るが、これらの技術では必要なログを判断し間引く事によって通信上のトラフィックを軽減する事は可能で有るが、ログを更に解析し誰でもが、何時何をどのように誰が操作したかを簡単に理解できるようにする事は不可能である。これでは、コンピュータが出力するログファイルが持つ情報の効率的利用ができ無い。
本技術は、コンピュータログデータを解析し、その内容を人間が理解できる自然言語に翻訳し、今後の技術や運用の改善に利用できるようにすると言った特徴がある。
特開2011−191823号公報 特開2011−113443号公報 特開2005−227846号公報 特開2014−16758号公報
近年、コンピュータシステムに関わる事件や事故に対して、どのような操作が行われていたかを、インシデント管理やセキュリティ管理の観点、更に今後発達するIoT(Internet of Things)の観点から″モノ″同士がコミュニケーションをするための情報分析を効率的かつ正確に行う必要性が増している。
しかしながら、コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、その他のモノ(家電、家具、建築物)がIoTとして接続されるが、これらの機器類が出力するログ情報のままでは、機械的に時間軸に沿ってあらゆる操作が記録されているため、情報量が膨大となり、更には解析、分析や追跡には意味をなさない情報まで記録されており、有効な情報を見つけ難くしている。
この結果、一連の操作の事実を把握することが非常に困難となり、大きな容量の保管資源も必要となっている。
本発明は、以下の手順を実現するためのものである。
コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、電気製品、その他のモノ(家具、建築物)などが出力するログ情報(イベントログデータ、監査ログデータ、システムログ、アプリケーションログ、サービスログなど)を入力として、ユーザ、サーバ、対象毎にログ情報の必要項目を抽出するマッピング処理装置と、
マッピング処理の出力をユーザ、サーバ、対象毎に整列した項目の並びをルールマスタに予め定めたn個の操作結果の組み合わせパターンに突合せて、実際に起きた操作の形跡を辿り、
パス1処理装置の出力であるサマリ毎の追跡結果から、一定の時間内の同じ操作は一つに圧縮してパス1処理装置の出力を更に見やすい形に整える。
例えば、read及びwriteが短時間で発生した場合にreadは大きな意味を持たない為、単一のwriteとしてまとめる。
マッピング処理装置、プリパス処理装置、パス1処理装置、パス2処理装置、パス3処理装置の一連の処理の結果を検索し、レポートすることによって、インシデント管理やセキュリティ管理が効率的かつ正確に行うことができ、コードやバイナリーデータなどを自然言語に翻訳するパス4処理装置と、ログ情報から改善情報を出力するパス5処理装置、パス6処理装置、パス7処理装置によって更なるログの活用を可能とする。
本発明のコンピュータ装置などのログデータ解析とログデータ翻訳装置は、利用者の専門的な知識が不要で、ログを見やすくして、本来の操作を把握できるようにするとともに、保管資源容量の大幅な節減を可能とし、細かく大量に出力されるイペントに対応するコードやバイナリーデータなどを自然言語に翻訳し、傾向分析を可能とした。
本発明の一例を示す全体構成図 マッピング処理概要図 プリパス1処理図 パス1処理図 パス2処理図 パス3処理図 パス4処理図 パス5処理図 パス6処理図 パス7処理図
図1は、本発明の実施形態の例であるコンピュータなどが出力する111ログ情報を収集し、収集したログ情報を圧縮し、人間が理解しやすい自然言語にログ情報を翻訳分析する装置の全体構成図である。
101ユーザAが104サーバαのファイル107甲、105サーバβのファイル108乙と109丙、
102ユーザBが105サーバβのファイル108乙と109丙、
103ユーザCが106サーバγのファイル110丁を操作すると、
コンピュータ104サーバα、105サーバβ、106サーバγはそれぞれ操作された時にコンピュータの動作状況を111ログ情報としてそれぞれ出力する。
この出力されたログ情報を113翻訳サーバはネットワーク等を使用し定期的に収集し一つの114収集ログ情報に取りまとめる。
収集した114収集ログ情報を読み込み116マッピング処理装置にて翻訳しやすいように必要なデータを加え、117プリパス1処理装置によりログパターンの分類を行い、118パス1処理装置によってログの動作を取りまとめ、119パス2処理装置と120パス3処理装置によって翻訳の取りまとめを行い、116マッピング処理装置から120パス3処理装置によってデータ量を1000分の1から2000分の1にし、121パス4処理によって人間が理解しやすい自然言語にする翻訳を行い、122パス5処理によってユーザのアクセス権の評価を行い、123パス6処理によって改善提案情報の出力をおこない、124パス7処理装置によってサーバの負荷統計情報の出力を行う装置の全体構成図である。
発明者及び出願人が独自に名称を付している、各々のソフトウェア及び装置について本発明独自の呼称を使用しているので下記に記載する。
・日時 :ユーザがファイルにアクセスした日時分秒。
・ユーザ :ファイルにアクセスした人又はアカウントを持つ機能。
・対象 :操作に関連した事象。
ファイルアクセスの場合は、アクセスされたファイルやディレクトリ。
・詳細 :操作に関連した事象で日時、ユーザ、対象以外の付加情報。
ファイルアクセスの場合は、AccessValue、対象のIPアド レス、ファイルアクセスの場合は、AccessValue、対象のI Pアドレス、セッション情報。
・AccessValue:コードやバイナリーデータで出力された操作、動作を決定す る情報。
・操作 :OS、アプリケーションが判断するファイルに対する情報。(logo n、logoff、write、read等々)
・サマリ表 :ユーザ、サーバ、対象の組み合わせをキーとしたテーブル。実際のメモ リアドレスを格納する。
・サマリNo.:サマリに対し付与されるユニークなメモリ上のアドレス。
・Skip :OSが出力したログ情報各行毎の要・不要の判別情報。
・ログ情報 :コンピュータシステムやパソコン、スマートフォン、タブレット、ウェ アラブル、産業機器、一般機器、乗り物、電気製品、医療機器、家具、 建築物などが出力した動作記録やアプリケーションログ、サービスログ 、システムログ、イベントログ、監査ログ、コマンド情報、デジタルデ ータなどの動作記録を含む。
・ログ情報テーブル:ログ情報から解析に必要な情報を解析用フォーマットに変換しメモ リ上に展開した状態のテーブル。
・システムログ:コンピュータの起動や終了、管理者のlogonやlogoff、再起 動、ハードウェアで発生した障害、カーネルで起きたエラー、サーバソ フトやデーモン、常駐プログラムの起動や終了などの情報を記録する。
・アクセスコントロールリスト:
認証フローシステムにより設定される、個人個人の対象に対するアクセ ス権限が記載されている情報。
・制御情報 :操作、サマリ、Skipなどの情報。
・イベントログ:構成変更や障害発生など、システムで発生するさまざまな事象を記録。
・監査ログ :システムの利用者、開発者、運用者がシステムに対して実行した操作内 容を時系列に記録。
・ルールマスタ:ログ情報の各行の動作を時系列に解析して判断する為のルールが記載さ れており、ルールの中には解析に必要な時間が記載され、この時間を一 定時間と言う。
・一定時間 :ルールマスタに記載されている時間であり、ルール毎に異なった時間が 記載される。この時間は発明者が様々なログ情報を解析し人間が行う動 作をn秒以内に行う場合、同一動作としてまとめられる時間の安全値と して割り出した時間でルールマスタ、間隔マスタ等に定義されたルール 毎に指定された秒数。
・機械語 :コンピュータなどが出力する、その形状のままでは通常の人間では、理 解不能なデータ等。
図2は、本発明の116マッピング処理装置について記載した図である。
コンピュータ等が出力する111ログ情報をネットワークなどにて収集し、114収集ログ情報にまとめ上げ、114収集ログ情報を読み込み、分析内容に合わせて日時、ユーザ、サーバ、対象、詳細等の項目を抽出し、211操作、212サマリNo.、213Skipなどの情報設置エリアを確保しながら抽出項目をメモリに展開しつつ、210詳細をキーとして201操作マスタの202詳細を検索し、対応する203操作を211操作にセットする。
対象となる114収集ログ情報から解析に必要な情報項目を選び出す。本実施例では、ファイルサーバのログ情報とし、206日時、207ユーザ、208サーバ、209対象、210詳細の各項目を使用し、ユーザがファイルサーバに格納されているファイル操作の解析を例として取り上げる。
解析対象が車や産業機器の省エネルギーであれば、日時、一定時間の消費エネルギー、エネルギー消費機器の状況(回転数など)、外的環境(温度、湿度など)移動距離、稼動回数等を対象とする。
読み出した206日時、207ユーザ、208サーバ、209対象、210詳細の各項目をメモリ上の204ログ情報テーブルの各項目にセットし、210詳細を利用し201操作マスタの202詳細とマッチングさせ該当する203操作を211操作にセットし、212サマリNo.のメモリエリアを確保し、213Skip項目に“FALSE”となるデフォルト値をセットし、214回数を格納できるメモリエリアを確保する。
ここでの“FALSE”は204ログ情報テーブルの各行の情報を重要なので読み飛ばしを行わないと言う意味となる。
又、201操作マスタに存在しない210詳細が有った場合は処理対象外として204ログ情報テーブルに“TRUE”と言う値をセットする。この201操作マスタに登録されている情報は、本発明者の過去の経験と実績による情報により作成された情報群である。
実際、コンピュータがファイルを削除する際、ディスク装置に対し読込み処理が実行され、その後にディスク装置に情報を書き込む事によってファイルが消去される。この事柄から分かるように人間の操作と実際のコンピュータの挙動は一致しないので、実際に人間がどの様な動作をしたかを解析する事が重要となる。
図3は、本発明の117プリパス1処理装置について記載した図である。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の全組合せ分の301サマリ表を作成し301サマリ表の各行にシーケンスNo.を符番しメモリ上に作成し、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の組合せにて301サマリ表の303ユーザ、304サーバ、305対象をマッチングさせ同一の組合せが無かった場合、シーケンス番号を302サマリNo.に符番しセットして207ユーザ、208サーバ、209対象の組合せを303ユーザ、304サーバ、305対象にセットし全組合せ分の301サマリ表をメモリ上に作成する。
全ての組合せを301サマリ表に作成した後、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
図4は、本発明のパス1処理装置について記載した図である。
メモリに展開している204ログ情報テーブルの先頭から処理し、
212サマリNo.を利用して複数行に渡る同一ユーザ、サーバ、対象を追跡し、210詳細の出現パターンを401ルールマスタに照らし合わせ、出現パターンがマッチした場合、404基本シーケンス以外にマッチした204ログ情報テーブル各行の213Skipを“TRUE”に更新する。
メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#097”であり401ルールマスタの404基本シーケンスに同一情報が402ID“1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq#“2”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq#“2”の210詳細のデータが“$%#257445y7nco9yw983”なので、402ID“1”の406シーケンス1と比較すると同一データであり、402ID“1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“0”で在ったので、205Seq#“1”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”のままとし、205Seq#“2”の213Skipを“TRUE”とする。
次に、ポインタを1つ進めるが、205Seq#“2”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#38a2″eh48w”であり401ルールマスタの404基本シーケンスに同一情報が402ID“2”にあるので、これを記憶し、
212サマリNo.の同一データ“▲2▼”を探すと本実施例で使用の図4上の204ログ情報テーブルの212サマリNo.には“▲2▼”と言うデータが他には無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“4”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#257445y7nco9yw983”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“5”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
次に、205Seq#“6”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#257445y7nco9yw983”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#097”であり401ルールマスタの404基本シーケンスに同一情報が402ID“1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq#“8”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq#“8”の210詳細のデータが“$%#257445y7nco9yw983”なので、402ID“1”の406シーケンス1と比較すると同一データであり、402ID“1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“1”で在ったので、205Seq#“7”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”とし、205Seq#“8”の213Skipを“TRUE”としポインタを1つ進める。
次に、ポインタを1つ進めるが、205Seq#“8”の213Skipが“TRUE”なので処理対象外としポインタを1つ進めるが、データが終了するので本処理を終了し次の処理を実行する。
図5は、本発明のパス2処理装置について記載した図である。
メモリに展開している204ログ情報テーブル中のFALSE”の物だけを対象とし、501間隔マスタに従い前後一定間隔内の同一211操作212サマリNo.、のデータをまとめ上げ、214回数に同一211操作212サマリNo.、をカウントし回数をセットする。
メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲1▼”と205Seq#“1”のポインタを記憶し、マッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”であり、212サマリNo.が“▲1▼”であり、211操作がreadなので前記にて記憶したポインタつまり205Seq#“1”のデフォルト値1の214回数に1を加え2としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したので、ポインタに1加え2番目の205Seq#“2”を処理するが、
213Skipは“TRUE”なので何もせずにポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲2▼”と205Seq#“3”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“read”212サマリNo.“▲2▼”が存在しなかったので205Seq#“3”の214回数に1をセットする。
ポインタに1加え4番目の205Seq#“4”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲1▼”と205Seq#“4”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲1▼”が存在しなかったので205Seq#“4”の214回数に1をセットする。
ポインタに1加え5番目の205Seq#“5”の213Skipが“TRUE”なので処理対象外とする。
ポインタに1加え6番目の205Seq#“6”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲3▼”と205Seq#“6”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲3▼”が存在しなかったので205Seq#“6”の214回数に1をセットする。
ポインタに1加え205Seq#“7”の213Skipは“TRUE”なので処理対象外としポインタを1つ進める。
ポインタに1加え205Seq#“8”の213Skipは“TRUE”なので処理対象外としポインタを1つ進めると全てのデータを処理したので次の処理を行う。
本項番記載の処理を繰り返す事によって214回数は、図5の下段に記載の204ログ情報テーブルのような状態となる。
図6は、本発明のパス3処理装置について記載した図である。
コンピュータの動作は人間からの1つの命令に対し複数の動作を行う。ファイルのdeleteを行う時、コンピュータはディスク上に有るインデックス情報を読み取り、その後インデックス情報を消すと言った動作を行う。実際の人間が行った動作だけを記載する為には複数の動作をまとめ上げる必要が有り、601動作マスタに従い204ログ情報テーブルの212サマリNo.毎に211操作をチェックし実際に人間が行った操作を確定する。
図6のメモリに展開している204ログ情報テーブルの先頭から処理し、205Seq#“1”213Skipが“FALES”でかつ、212サマリNo.が“▲1▼”、211操作が初めて“read”なので、211操作“read”212サマリNo.“▲1▼”とポインタを記憶し、処理する為のポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なのでポインタを1つ進め1つ進め、
205Seq#“3”の212サマリNo.は“▲2▼”なのでポインタを1つ進め、
205Seq#“4”の212サマリNo.は“▲1▼”であり211操作が“write”なので記憶した“read”と“write”の組合せが601動作マスタにマッチするパターンが有るか調査すると、602基本動作“write”の行の603従属動作1と604従属動作2が“read”、“write”と並びマッチするので、“write”を記録する。
ポインタを1つ進め、
205Seq#“5”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“6”の212サマリNo.は“▲3▼”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進めるとデータが終了するので、205Seq#“1”と205Seq#“4”の組合せは、601動作マスタから“write”と判断し、204ログ情報テーブル(1)の205Seq#“1”の213Skipを“TRUE”に変更する。
本項番の先頭から記載の処理を以降繰り返し図6下段の204ログ情報テーブルのような状態となる。
図6下段の204ログ情報テーブルの先頭から処理し、
213Skipが“FALES”のものだけ206日時、207ユーザ、208サーバ、209対象、214回数を124アクセスログのデータとして出力する。
これにより111ログ情報を1000分の1から2000分の1に圧縮する事ができ、この処理はメモリ上で全て行うために処理速度が格段に速い。
図7は、本発明のパス4処理装置について記載した図である。
パス3でファイルとして出力した124アクセスログから612ユーザを元に、ユーザの行った行動を、701辞書マスタを利用し自然言語に翻訳する。自然言語にする事により、人間が読めるシステム監査証跡、勤怠管理、日報、週報等に利用可能なレポートが自動作成され、701辞書マスタを変更する事によってどの様な機械が出力するデータでも自然言語に変換が可能となる。
124アクセスログの612ユーザを中心に実施例を説明する。
124アクセスログの1行目を読込み、612ユーザ“A”の615操作“logon”をキーとし701辞書マスタを検索し、702操作1に“logon”があり、705日付が“○”、706改行が“○”なので611日時の日付部分と改行コードを126自然言語レポートファイルに出力する。
次に611日時の時間を出力し、701辞書マスタとマッチングした704文章の“{}”で囲まれている部分に該当する情報を当てはめる。
本ケースの場合は、701辞書マスタの702操作1が“logon”の704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、126自然言語レポートファイルに出力する。
次の同一612ユーザ、615操作が“logoff”の場合、読点“、”と改行コードを書き込み、辞書マスタに従いlogoffの処理を行う。
しかし、次の同一612ユーザ“A”の615操作が“read”なので、701辞書マスタの702操作1の“read”を検索し、
701辞書マスタ中に2つのケースがあり、“write”が続くパターンが有るので、124アクセスログに同一612ユーザが“A”で613サーバが“α”で、614対象が“甲”の条件の下211操作が“write”の物を探す。
611日時が“2015/06/24 20:39:49”のデータと“2015/06・24 20:59:05”がマッチするので、
701辞書マスタの702操作1が“read”、703操作2が“write”の704文書の“{対象}”に614対象を当てはめ、124アクセスログの時間と704文章とカンマと改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 20:37:46”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:05:49”と611日時“2015/06/24 21:05:58”に有り、701辞書マスタの702操作1、703操作2が“write”のパターンとマッチするので、704文章の“{対象}”に614対象をはめ込み、704文章とカンマ、改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 21:05:49”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:10:55”にあり、701辞書マスタの702操作1がlogoffのパターンとマッチするので、
704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、704文章とカンマ、改行コードを126自然言語レポートに出力する。
126自然言語レポートのように人間が読める内容に出力される為、最初のlogonと最後のlogoffを“YY年MM月DD日 HH時MM分に出勤し、HH時MMに退社した。”と言った勤務表などにも応用する事が可能となる。
図8は、本発明のパス5処理装置について記載した図である。
本実施例では、電子承認ワークフローシステム等を使用し予め設定されたユーザ毎の利用できるサーバ、対象、権限、申請期間、承認日時、削除日時などの情報と、801アクセスログ(ユーザソート)の803ユーザをキーとして、805対象に対するアクセス権限の妥当性を確認し、127警告レポートの821警告に確認内容を書き込む。
125アクセスログを612ユーザでソートし出力した801アクセスログ(ユーザソート)の803ユーザ“A”が802日時”2015/06/21 10:35:40に804サーバ“α”805対象“甲”を806操作からreadした事が分かる。
801アクセスログ(ユーザソート)の803ユーザ、804サーバ、805対象をキーとし811アクセスコントロールリストの812ユーザ、813サーバ、814対象とをマッチングさせ816申請期間、817承認日時、818削除日時の情報から812ユーザ“A”は、813サーバ“α”814対象“甲”のアクセス権が818削除日時から2015/06/20に取り消されたことが分かる。
しかし、実際には803ユーザ“A”が802日時”2015/06/21 10:35:40“に804サーバ“α”805対象“甲”を操作からreadしている。
この事実から推測できる事は、
・アクセス権の設定を管理者が間違えている。
・アクセス権を誰かが不正に操作した。
・アクセス管理システムの異常発生。
・ハッキング等の不正アクセスが発生した。
この為、127警告レポートに802日時、803ユーザ、804サーバ、805対象、806操作と821警告に“read権限削除済み”と警告情報を出力する。
この様な不一致が発生した時、“read権限”と具体的な権限違反の警告を表示する事ができる。
図9は、本発明のパス6処理装置について記載した図である。
本実施例では、過去のアクセス履歴を蓄積し、蓄積したアクセス記録を元に実ファイルのアクセス状況を比較し、管理者が予め設定した指示情報を元に、一定期間以上誰もアクセスしていないファイルが存在した場合、アラームレポートを出力したり、自動的に削除したり、自動的にストレージにバックアップしたりする。
125アクセスログを613サーバでソートし出力した901アクセスログ(サーバソート)の904サーバ、905対象をキーとし、128アクセス履歴とマッチングさせ同一の911サーバ、912対象を持つ行の914最終アクセス日を902日時の日付に、915監査日を本処理日に、916経過日数を本日から914最終アクセス日から引いた日数に更新する。
916経過日数が、予め管理者が設定した指示情報の日数を超えている場合、アラームレポートを出力し、管理者の指示により905対象のファイルを自動的に削除したり、ストレージにバックアップしたりする。
本実施例にては、811アクセスコントロールリストの816申請期間を過ぎた日数を指示情報の日数となり、128アクセス履歴の916経過日数が“536”のデータが対象となる。
図10は、本発明のパス7処理装置について記載した図である。
本実施例では、半期、四半期、毎月等、一定期間内のサーバ内に有るファイルのアクセス頻度を計量し1005比率1やアクセスに伴う処理量を算出し、将来の各サーバの負荷分散を考慮するレポートを出力する。
125アクセスログの206日時の年月部分、207ユーザ、208サーバ、209対象と211操作をキーとし、129動作改善情報とマッチングし該当する1004回数に、125アクセスログの207サーバ、208対象、206ユーザ、205日時の日付部分と210操作の出現回数を数え、1004回数に加える。
203ログ情報テーブルの行を全て処理した後に、
1004回数の値を使用し、月、四半期単位にてアクセス比等の統計情報を算出する。
本実施例では1004回数を月単位で全てのサーバの1004回数から百分率にして情報を1005比率1には対象単位、1006比率2にはサーバ単位にセットしている。
この事により、人間が実際に行った操作からのアクセス頻度を知ることができる。
902統計情報の各項目は自在に変える事が可能である為、通信回線の利用頻度、通信回線の通信料などあらゆる統計情報の解析が可能となる。
アクセス内容毎の負荷分析により処理内容及びプログラミングの改善を図る事が可能と成る。
昨今、コンピュータの普及により増加するコンピュータ犯罪に対応するように刑法でも、電磁的記録不正作出罪、電磁的記録毀棄罪、電子計算機損壊等業務妨害罪や、電子計算機使用詐欺罪と法律が厳しくなってきている。しかし、監視、監査体制を強化し誰でもが、何時誰が何をしたかが解るシステムを導入する事によって、リスク管理システムを充実させ、この様な犯罪の抑止と言った事が行えるコンピュータ装置から出力される動作記録を解析し自然言語に翻訳し、ログを解析する事により、その動作内容を分析し、分析した内容から改善点を発見し最適化を図る技術が必要とされ、アクセス権が有るにも関わらずアクセスしないファイルのアクセス権を無くしたり、誰もアクセスする事のないファイルを削除したり、アクセスが集中するサーバの負荷分散を行い、パフォーマンスの改善、セキュリティコントロールの見直し、過去情報の蓄積と分析に対する支援情報を提供する技術装置。

Claims (3)

  1. 対象となるコンピュータ装置群が出力する収集ログ情報を読み取り、読み取った収集ログ情報を時系列に解析する為に、収集ログ情報から日時、ユーザ、サーバ、対象、詳細を抽出してメモリ内のログ情報テーブルに配置するとともに、人間の作業に関連したログ情報の詳細と操作とを対応付けた操作マスタを用いて、前記ログ情報テーブルの詳細に前記操作マスタで対応付けられた操作を付加する機能を有するマッピング処理装置と、
    前記ログ情報テーブルの、ユーザ、サーバ、対象が同じ行について、詳細の出現パターンをルールマスタに照らし合わせることによって、前記ログ情報テーブルの行の一部を処理対象外とするとともに、一定時間内の同一操作を一つに圧縮し、前記ログ情報テーブルの複数の操作の組み合わせを一つの操作に集約してアクセスログデータとして出力する第1の処理装置と、
    前記アクセスログデータを自然言語に翻訳するパス4処理装置と、
    を備える圧縮、翻訳サーバ。
  2. 前記第1の処理装置は、前記ログ情報テーブルの、ユーザ、サーバ、対象が同じ行について、詳細の出現パターンをルールマスタに照らし合わせることによって、前記ログ情報テーブルの行の一部を処理対象外とするために、
    前記メモリ内のログ情報テーブルに配置されたログ情報からユーザ、サーバ、対象を前記ログ情報テーブルとは別のメモリ領域上にサマリとして展開し、展開したサマリを使用し、ログ情報の複数行に渡る同一ユーザ、同一サーバ、同一対象の行を一意の集合とする機能を有するプリパス1処理装置と、
    この集合と、基本シーケンスとそれに続くシーケンスの組み合わせが対応付けられたルールマスタとを照らし合わせ、前記集合内の詳細の出現パターンと前記ルールマスタのシーケンスの組み合わせとがマッチングした場合、基本シーケンス以外とマッチした前記ログ情報テーブルの行を処理対象外に設定する機能を有するパス1処理装置とを備える、請求項1に記載の圧縮、翻訳サーバ。
  3. 前記第1の処理装置は、一定時間内の同一操作を一つに圧縮し、前記ログ情報テーブルの複数の操作の組み合わせを一つの操作に集約してアクセスログデータとして出力するために、
    前記パス1処理装置から出力された前記ログ情報テーブルの日時を使用し、一定時間内に発生したログ情報を判断し、一定時間内にある同一操作をカウントして取りまとめ、複数行になる操作記録を1行の操作記録に変換し有用な操作記録だけを選別する機能を有するパス2処理装置と、
    前記パス2処理装置により選別したログ情報テーブルを時系列に走査して、同一ユーザ、同一サーバ、同一対象の行における操作のパターンが、基本操作と複数の従属操作とを対応付けた動作マスタにおける複数の従属操作のパターンとマッチする場合に、マッチした複数の操作のうち、プライオリティが低い操作を選別し特定の操作に吸収圧縮させてアクセスログデータとして出力する機能を有するパス3処理装置とを備える、請求項2に記載の圧縮、翻訳サーバ。
JP2015187392A 2015-09-04 2015-09-04 コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 Active JP6501159B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015187392A JP6501159B2 (ja) 2015-09-04 2015-09-04 コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。
MYPI2018700792A MY189366A (en) 2015-09-04 2016-06-17 Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log
PCT/JP2016/068740 WO2017038221A1 (ja) 2015-09-04 2016-06-17 コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。
SG11201801619RA SG11201801619RA (en) 2015-09-04 2016-06-17 Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log
TW105123384A TWI722001B (zh) 2015-09-04 2016-07-25 壓縮、翻譯伺服器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015187392A JP6501159B2 (ja) 2015-09-04 2015-09-04 コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。

Publications (2)

Publication Number Publication Date
JP2017049962A JP2017049962A (ja) 2017-03-09
JP6501159B2 true JP6501159B2 (ja) 2019-04-17

Family

ID=58188868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015187392A Active JP6501159B2 (ja) 2015-09-04 2015-09-04 コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。

Country Status (5)

Country Link
JP (1) JP6501159B2 (ja)
MY (1) MY189366A (ja)
SG (1) SG11201801619RA (ja)
TW (1) TWI722001B (ja)
WO (1) WO2017038221A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114661691B (zh) * 2020-12-23 2025-02-14 Tcl商用信息科技(惠州)有限责任公司 一种数据库信息推送方法、智能终端及存储介质
CN113076296B (zh) * 2021-03-30 2024-06-07 咪咕文化科技有限公司 日志生成方法、装置、电子设备及存储介质
CN113535519B (zh) * 2021-07-27 2024-01-30 浪潮软件科技有限公司 一种监控告警方法
JP7677544B2 (ja) * 2023-05-08 2025-05-15 コニカミノルタ株式会社 情報解析システム、情報解析方法及びプログラム
JP7547594B1 (ja) 2023-10-31 2024-09-09 株式会社アシュアード 情報処理装置及び情報処理方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008050560A1 (en) * 2006-10-25 2008-05-02 Sharp Kabushiki Kaisha Content delivery server, content providing server, content delivery system, content delivery method, content providing method, terminal device, control program and computer readable recording medium
CN101339551B (zh) * 2007-07-05 2013-01-30 日电(中国)有限公司 自然语言查询需求扩展设备及其方法
CN101093509B (zh) * 2007-07-18 2010-06-16 中国科学院计算技术研究所 一种查询交互系统和方法
JP2010262491A (ja) * 2009-05-08 2010-11-18 Hitachi Ltd ログ集約装置
EP2438542A2 (en) * 2009-06-05 2012-04-11 West Services, Inc. Feature engineering and user behavior analysis
JP5381542B2 (ja) * 2009-09-17 2014-01-08 日本電気株式会社 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法
JP5478390B2 (ja) * 2010-07-12 2014-04-23 Kddi株式会社 ログ抽出システムおよびプログラム
JP2012208565A (ja) * 2011-03-29 2012-10-25 Sumitomo Electric System Solutions Co Ltd ログ管理方法、ログ管理装置、及びプログラム
US8776241B2 (en) * 2011-08-29 2014-07-08 Kaspersky Lab Zao Automatic analysis of security related incidents in computer networks
JP5712102B2 (ja) * 2011-10-12 2015-05-07 日本電信電話株式会社 ログ収集システム、方法及びプログラム
JP2013152657A (ja) * 2012-01-26 2013-08-08 Kyocera Document Solutions Inc ログ変換プログラム、情報処理装置
JP5642725B2 (ja) * 2012-02-22 2014-12-17 日本電信電話株式会社 性能分析装置、性能分析方法及び性能分析プログラム
US20140120513A1 (en) * 2012-10-25 2014-05-01 International Business Machines Corporation Question and Answer System Providing Indications of Information Gaps
JP5974856B2 (ja) * 2012-11-27 2016-08-23 富士通株式会社 サンプリングプログラム、サンプリング方法及び情報処理装置
JP2015141472A (ja) * 2014-01-27 2015-08-03 株式会社東芝 情報処理装置及び情報処理プログラム

Also Published As

Publication number Publication date
WO2017038221A1 (ja) 2017-03-09
MY189366A (en) 2022-02-07
JP2017049962A (ja) 2017-03-09
TW201719474A (zh) 2017-06-01
SG11201801619RA (en) 2018-03-28
TWI722001B (zh) 2021-03-21

Similar Documents

Publication Publication Date Title
CN101751535B (zh) 通过应用程序数据访问分类进行的数据损失保护
US20160321580A1 (en) Human-computer productivity management system and method
JP6501159B2 (ja) コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。
Seenivasan ETL (extract, transform, load) best practices
US20110231364A1 (en) Id management method, id management system, and computer-readable recording medium
Lewis et al. DIGITAL AUDITING: Modernizing the Government Financial Statement Audit Approach.
KR20120044002A (ko) 인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템
CN116662987A (zh) 业务系统监控方法、装置、计算机设备及存储介质
CN117453982B (zh) 一种档案管理文件分类系统
CN117971623A (zh) 数据运维方法、装置、设备和介质
CN105893212A (zh) 审计数据安全管控及展示系统
KR102647002B1 (ko) 유저별 ai 가변 임계값을 활용한 이상징후 탐지방법.
Marková et al. Dataset of Windows operating system forensics artefacts
KR101415528B1 (ko) 분산된 시스템을 위한 데이터 오류 처리 장치 및 방법
Genga et al. Towards a systematic process-aware behavioral analysis for security
CN120216749A (zh) 一种基于互联网大数据服务的工程造价信息优化集成方法
Sachdev et al. A new framework for securing, extracting and analyzing big forensic data
Allinson Information systems audit trails in legal proceedings as evidence
Didriksen Forensic analysis of OOXML documents
KR20110070767A (ko) 네트워크 기반 원격 포렌식 시스템
Bhat et al. A novel data generation approach for digital forensic application in data mining
Okumura et al. Constructing a log collecting system using splunk and its application for service support
Li Improved insider threat detection method of university cluster system based on log-clustering
Ramadhani et al. Digital Forensics in Google Drive: Techniques for Extracting and Analyzing Digital Artifacts.
CN119989426B (zh) 数据防泄漏方法及装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170607

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171031

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180117

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180219

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20180406

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190307

R150 Certificate of patent or registration of utility model

Ref document number: 6501159

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150