| 【発明の名称】 |
データアクセス履歴収集方法及び履歴収集装置 |
| 【発明者】 |
【氏名】北山 美貴
|
| 【要約】 |
【課題】ログの収集や管理における計算機や管理者の負担を軽減することを可能とし、解析に使用するデータとして、アクセスが発生したファイル情報に加え、同一計算機やネットワークで繋がった他の計算機におけるアクセス発生ファイルに関連のあるシステムやアプリケーションが出力するログデータをも含せる。
【解決手段】定期的にログデータの収集を行うログ情報管理手段、指定された重要ファイルにアクセスが発生した時にデータ解析を実現する監視手段、収集データの選別を行い、指定された重要ファイルにアクセスが発生した場合に該当計算機とは別の計算機で前記機能を有する計算機も連動してアクセスされたファイルに関連するログデータを収集するように条件が切り替わるフィルタリング手段、指定された重要ファイルにアクセスが発生した場合にアクセスのあったファイルに適した解析条件に自動的に切り替える収集データの解析手段を備える。 |
【特許請求の範囲】
【請求項1】 計算機システムのデータアクセス履歴収集方法において、計算機システムのファイル内のデータにアクセスがあったとき、履歴収集条件定義を参照し、該履歴収集条件定義に前記ファイルが定義されているか否かを判定し、定義されていれば前記データアクセスの履歴を収集し、かつ、前記データに関連する関連データのデータアクセス履歴を収集することを特徴とするデータアクセス履歴収集方法。
【請求項2】 前記データに関連する関連データは、前記ファイル内のデータにアクセスがあった時間付近の時間帯における前記ファイルへのアクセスを発生させた計算機の使用状況を示す情報や前記ファイルへのアクセスを発生させた計算機と通信可能な複数の他の計算機の使用状況等を示す情報であることを特徴とする請求項1記載のデータアクセス履歴収集方法。
【請求項3】 前記データは、ファイルに格納されており、ファイル単位でアクセス履歴が収集されることを特徴とする請求項1または2記載のデータアクセス履歴収集方法。
【請求項4】 計算機システムのデータアクセス履歴収集装置において、計算機システムのファイル内のデータにアクセスがあったときにデータアクセス履歴を収集するファイルを定義した履歴収集条件を格納する記憶部と、計算機システムのファイルにアクセスがあったときに前記記憶部に格納された履歴収集条件を参照しファイルのデータアクセス履歴を収集するアクセス履歴収集部と、計算機の使用状況及びファイルにアクセスのあった計算機とは別の計算機の使用状況である前記データに関連する関連データのデータアクセス履歴を収集する手段とを備えることを特徴とするファイルアクセス履歴収集装置。
【請求項5】 データをフィルタリングする手段と、フィルタリング条件を適切なタイミングで適切な条件に切り替える手段と、指定されたファイルにアクセスのあった計算機とは別計算機でセキュリティ監視機能を持つ他計算機のフィルタリング条件を適切なタイミングで適切な条件に切り替える手段と、データ解析の対象とするファイルを解析する条件を変更する手段とをさらに備えることを特徴とする請求項4記載のファイルアクセス履歴収集装置。
|
【発明の詳細な説明】【0001】
【発明の属する技術分野】本発明は、データアクセスの履歴収集方法及び履歴収集装置に係り、特に、アクセスログを収集し、収集したログを解析するデータアクセスの履歴収集方法及び履歴収集装置に関する。
【0002】
【従来の技術】データアクセスの履歴収集に関する従来技術として、例えば、特開平8−106408号公報等に記載された技術が知られている。この従来技術は、運用情報アクセスログを収集管理するものであり、アクセスログをリアルタイムで収集して指定の記憶域に蓄積し、その際、収集されたデータの検索が容易となるようにログ情報を分類、加工して蓄積するというものである。
【0003】
【発明が解決しようとする課題】前述した従来技術は、アクセスログ情報の管理の負担について配慮されておらず、アクセスログの量が膨大である場合に、アクセスログ情報の管理の負担が増大してしまうという問題点を有している。
【0004】また、前述の従来技術は、収集されたデータをデータ種別によって複数のファイルに蓄積することによる資源の使用量の増大や管理者の負担についても配慮されていない。このため、前述の従来技術は、収集データを解析するタイミングが不適切であると、データ蓄積形式がラップアラウンドするような場合等に、解析に有効なデータが消滅してしまうことによる解析の対象となるデータの不足、特に、近年のECの分野等における不当アクセスによって情報が漏れてしまうような場合にWeb等のログデータがラップアラウンドしてしまって不当アクセスの解析に有効なデータが解析に有効でないデータに上書きされてしまい解析が不充分になってしまうという問題点を生じてしまう。
【0005】また、前述の従来技術は、解析条件が一律であるために適切なタイミングで適切な解析条件を適用することが困難となり、より詳細な解析結果を取得することが不可能となってしまうという問題点を有している。すなわち、前述の従来技術は、解析対象とするデータに対して、金融機関の暗証番号管理ファイルのような重要ファイルにアクセスが発生した場合、アクセス時間付近の時間帯における計算機の使用状況を示す情報や重要ファイルのアクセスが発生した計算機と通信可能な他の複数の計算機の使用状況等を示す情報で解析に有効な情報のみを抽出して、アクセスのあった重要ファイルの情報と共に収集するなど解析対象データを多角的かつ広範囲に収集することにより、例えば、不当アクセスが発生した場合の不当アクセスユーザの経路追跡や行為の解析を行う等のデータ解析をより詳細に行うことができないという問題点を有している。
【0006】本発明の目的は、前述した従来技術の問題点を解決し、ログの収集や管理における計算機や管理者の負担を軽減することができ、また、解析に使用するデータとして、アクセスが発生したファイルの情報に加え、同一計算機やネットワークで繋がった他の計算機におけるアクセス発生ファイルに関連のあるシステムやアプリケーションが出力するログデータの収集を行うことを可能として、より詳細で徹底したデータの解析可能としたデータアクセス履歴収集方法及び装置を提供することにある。
【0007】
【課題を解決するための手段】本発明によれば前記目的は、計算機システムのデータアクセス履歴収集方法において、計算機システムのファイル内のデータにアクセスがあったとき、履歴収集条件定義を参照し、該履歴収集条件定義に前記ファイルが定義されているか否かを判定し、定義されていれば前記データアクセスの履歴を収集し、かつ、前記データに関連する関連データとして、前記ファイル内のデータにアクセスがあった時間付近の時間帯における前記ファイルへのアクセスを発生させた計算機の使用状況を示す情報や、前記ファイルへのアクセスを発生させた計算機と通信可能な複数の他の計算機の使用状況等を示す情報をを収集することをことにより達成される。
【0008】また、前記目的は、計算機システムのデータアクセス履歴収集装置でにおいて、計算機システムのファイル内のデータにアクセスがあったときにデータアクセス履歴を収集するファイルを定義した履歴収集条件を格納する記憶部と、計算機システムのファイルにアクセスがあったときに前記記憶部に格納された履歴収集条件を参照しファイルのデータアクセス履歴を収集するアクセス履歴収集部と、計算機の使用状況及びファイルにアクセスのあった計算機とは別の計算機の使用状況である前記データに関連する関連データのデータアクセス履歴を収集する手段とを備えることにより、また、データをフィルタリングする手段と、フィルタリング条件を適切なタイミングで適切な条件に切り替える手段と、指定されたファイルにアクセスのあった計算機とは別計算機でセキュリティ監視機能を持つ他計算機のフィルタリング条件を適切なタイミングで適切な条件に切り替える手段と、データ解析の対象とするファイルを解析する条件を変更する手段とをさらに備えることにより達成される。
【0009】
【発明の実施の形態】以下、本発明によるデータアクセスの履歴収集方法及び履歴収集装置の実施形態を図面により詳細に説明する。
【0010】図1は本発明の一実施形態によるデータアクセスの履歴収集装置が適用されたシステムのネットワーク上での構成を示すブロック図、図2は本発明の一実施形態によるデータアクセスの履歴収集装置が適用されたシステムの構成を示すブロック図、図3は収集したデータをデータ解析用に編集したデータテーブルの構造を説明する図、図4は収集したデータを選別するための条件を格納した条件テーブルの構造を説明する図、図5はセキュリティ監視部管理テーブルの構造を説明する図である。図1、図2において、101、104、107はOS、102はセキュリティ処理部、103、106はセキュリティ監視部、105、108はアプリケーション、201、214は端末、205は定期収集データ管理部、206は定期収集対象ファイル、207は指定ファイル監視部、208は指定ファイル、209はフィルタリング条件テーブル、210は収集データフィルタリング部、211は収集データ管理部、212は収集ファイル、213、218はデータ送信部、217はデータ受信部、219はセキュリティ情報ファイル格納部、220はセキュリティ情報ファイル、221はセキュリティ情報解析部、222はセキュリティ監視部管理テーブルである。
【0011】ネットワーク上に構成される本発明の一実施形態による履歴収集装置が適用されるシステムは、図1に示すように、OS101、セキュリティ処理部102を有する計算機Aと、OS104、アプリケーション105、セキュリティ監視部103を有する計算機Bと、計算機Bと同様に、OS107、アプリケーション108、セキュリティ監視部106を有する計算機Cとがネットワーク上に収容されて構成されている。なお、計算機A、Bと同様な計算機は、さらに多数がネットワーク上に収容されていてよい。そして、計算機Aのセキュリティ処理部102は、他の複数の計算機A、B、……のセキュリティ監視部を管理することができる。
【0012】本発明の一実施形態によるデータアクセスの履歴収集装置の最小構成は、図2に示すように、端末201、OS104、アプリケーション105と、セキュリティ監視部103を有する計算機Bと、端末214、OS101、セキュリティ処理部102を有する計算機Aとにより構成することができ、計算機Aと計算機Bとは互いに通信を行うものとする。そして、計算機Aには、端末214、セキュリティ監視部管理テーブル222、セキュリティ情報ファイル220が接続されており、また、計算機Bには、端末201、定期収集ファイル206、指定ファイル208、フィルタリング条件テーブル209、収集データファイル212が接続されている。
【0013】図2において、セキュリティ監視部103は、定期収集データ管理部205と、指定ファイル監視部207と、収集データフィルタリング部210と、収集データ管理部211と、セキュリティ処理部へのデータ送信部213とにより構成される。そして、端末201は、セキュリティ監視部103に対して、定期収集対象ファイル206のファイル名と、指定ファイル208のファイル名と、フィルタリング条件とを定義して入力する。定期収集対象ファイル206は、指定ファイル208にアクセスが発生し、それの解析を行う場合に必要となる収集データを格納するファイルであり、OS104やアプリケーション105が出力する関連データのログを格納するファイルである。ここで、関連データは、アクセス時間付近の時間帯における計算機の使用状況を示す情報や重要ファイルへのアクセスを発生させた計算機と通信可能な複数の他の計算機の使用状況等を示す情報である。また、前述のアクセス時間付近の時間帯における計算機の使用状況を示す情報は、その時間帯にどのようなユーザがその計算機にログインしていたかを示すユーザのログイン情報や指定ファイルのトレースログ情報、システム・ログ情報等である。重要ファイルへのアクセスを発生させた計算機と通信可能な複数の他の計算機の使用状況等を示す情報は、関連データである定期収集ファイルが重要ファイルにアクセスのあった計算機だけでなく、その計算機と通信可能な複数の他の計算機のものである。
【0014】指定ファイル208は、アクセス状況を監視する対象となるファイルであり、例えば、金融機関の暗唱番号ファイル等の重要なデータが格納されたファイルである。また、フィルタリング条件は、収集データフィルタリング部210で使用される条件である。
【0015】端末201から指定ファイルのファイル名が定義されると、セキュリティ処理部へのデータ送信部213は、指定ファイルのファイル名情報を計算機Aのデータ受信部217に送信する。計算機Aのデータ受信部217は、受信した指定ファイル名情報を送信元の計算機の情報と共にセキュリティ監視部管理テーブル222に格納する。なお、セキュリティ監視部管理テーブル222の構造については図5により後述する。また、フィルタリング条件の定義画面については図12により後述し、フィルタリング条件の定義により作成されるフィルタリング条件テーブル209の構造については図4により後述する。
【0016】定期収集データ管理部205は、定期収集対象ファイル206の収集を行い、収集したデータを編集して収集データフィルタリング部210に送信する。なお、この定期収集データ管理部205での処理動作は図7に示すフローにより後述する。
【0017】指定ファイル監視部207は、指定ファイル208の監視を行い、指定ファイルにアクセスが発生した場合、そのアクセス情報を収集データフィルタリング部210に送信し、アクセス発生通知を収集データ管理部211、定期収集データ管理部205、計算機Aのセキュリティ監視部へのデータ送信部218へ送信する。なお、この指定ファイル監視部207での処理動作は図6に示すフローにより後述する。
【0018】計算機Aのデータ送信部218は、計算機Bから指定ファイルアクセス発生通知を受信すると、セキュリティ監視部管理テーブル222を検索し、計算機Bにおいてアクセスが発生した指定ファイルに関連する関連データを収集している計算機を認識して、該当する全ての計算機の指定ファイル監視部207に、指定ファイルアクセス通知を行う。このため、図1に示す計算機Cのように計算機B以外で、計算機Aと互いに通信可能であるセキュリティ監視部を有する計算機においても、計算機Bで指定ファイルアクセスが発生したときに通知を受けることができ、計算機Bと同様にアクセスの発生した指定ファイルの関連データの収集やアクセスの発生した指定ファイルへのアクセス発生時用のフィルタリング条件に切り替え、フィルタリング処理を行うことが可能である。計算機Aは、計算機Bの指定ファイルアクセス発生時の解析データとして計算機Bからのデータのみではなく、他の計算機からの情報を利用することができる。
【0019】収集データフィルタリング部210は、定期収集データ管理部205、指定ファイル監視部207から送られてくるデータをフィルタリングし、収集データ管理部211に送信する。収集データフィルタリング部210での処理動作は図8に示すフローにより後述する。収集データ管理部211は、収集データフィルタリング部210からデータを受け取り、収集データファイル212に格納する。また、収集データ管理部211は、指定ファイル監視部207から指定ファイル208へのアクセス発生通知を受信した場合、データ送信部213に対して収集データファイル212計算機Aへの転送を依頼をする。なお、この収集データ管理部211での処理動作は図9に示すフローにより後述する。
【0020】データ送信部213は、収集データ管理部211から転送依頼を受け取ると、計算機Aのセキュリティ処理部102のデータ受信部217へ収集データファイル212の転送を行う。
【0021】図2において、計算機Aのセキュリティ処理部102は、セキュリティ情報解析部221と、セキュリティ情報ファイル格納部219と、データ受信部217と、データ送信部218とにより構成される。そして、端末214は、セキュリティ情報ファイル220を解析するための複数件の解析条件を定義して入力する。セキュリティ情報解析部221は、解析条件を認識してその解析条件を管理する。データ受信部217は、セキュリティ監視部103のデータ送信部213から受信したデータをセキュリティ情報ファイル格納部219に送信する。セキュリティ情報ファイル格納部219は、この受信データをセキュリティ情報ファイル220に格納する。
【0022】前述した収集データファイル212及びセキュリティ情報ファイル219のレコードフォーマットを図3に示しており、図示レコードフォーマット301は、1つのレコードのフォーマットを示している。そして、このレコードは、指定ファイルか定期収集用ファイルかを示す収集対象ファイル識別フラグと、イベント発生時間と、イベント発生計算機名と、イベント発生計算機のアドレスと、ユーザ名と、ファイル名と、処理名と、処理詳細情報とにより構成される。
【0023】図4(a)、図4(b)には、指定ファイルアクセス時フィルタリング条件テーブル401、定期収集用関連ファイル別フィルタリング条件テーブル402のレコードフォーマットを示している。これらのテーブルは、図2の計算機Bのフィルタリング条件テーブル109に格納されて使用され、収集データを収集データファイル212に格納するものと格納しないものとに選別するための条件となる。
【0024】指定ファイルアクセス時フィルタリング条件テーブル401は、指定ファイルにアクセスが発生した場合に、データ収集の対象となるファイル名と、収集したデータのフィルタリング条件とを保有している。フィルタリング条件は、関連ファイル名である。また、定期収集用関連ファイル別フィルタリング条件テーブル402は、定期収集対象ファイル206を指定ファイルアクセスの発生していない通常時に、ラップアラウンド格納形式等によりファイルに格納されているような、指定ファイルアクセス時の解析に有効であるが消滅する可能性のあるデータを保存する目的等で定期的にデータ収集を行う場合のフィルタリング条件を保有している。
【0025】図5に示すセキュリティ処理部のセキュリティ監視部管理テーブル501は、図2に示すセキュリティ監視部管理テーブル222内に格納されるものであり、セキュリティ処理部102が管理するセキュリティ監視部103の管理テーブルである。このテーブルは、管理するセキュリティ監視部の指定ファイルの定義が設定または変更されたときに更新される。すなわち、管理するセキュリティ監視部の指定ファイルの定義が設定または変更されると、その情報がセキュリティ監視部103のデータ送信部213からデータ受信部217へ送信され、データ受信部217が受信したデータをもとに管理テーブル222内の情報を作成または更新する。
【0026】図6は指定ファイル監視部での指定された重要ファイルである指定ファイルの監視を行う処理動作を説明するフローチャートであり、以下、これについて説明する。
【0027】(1)指定ファイル監視部207は、終了要求を受信したか否かを判定し、終了要求を受信した場合、何もせずにここでの処理を終了し、終了要求を受信していない場合、指定ファイルのファイルに関する情報を認識しているか否かを判定する。ファイルに関する情報とは、ファイルの格納位置、ファイル名、ファイルの所有者、ファイルの所有者ID、ファイルの所有者の属するグループ名、ファイルの所有者の属するグループID、ファイル属性等のそのファイルに属するユニークな情報の集まりである(ステップ601、602)。
【0028】(2)ステップ602の判定で、指定ファイルに関する情報を認識していない場合や今まで認識していた情報から変更されている場合、入力情報を認識して、認識した情報の中のファイル名を、セキュリティ処理部102のセキュリティ監視部管理テーブル222を作成または更新する情報としてデータ送信部203に送信する(ステップ603)。
【0029】(3)ステップ603の処理後、あるいは、ステップ602の判定で、指定ファイルに関する情報を認識していた場合、指定ファイル監視部207は、指定ファイルの監視を行っているときに監視対象となっている指定ファイルにアクセスが発生したか否かを判定する。この判定で、アクセスが発生していない場合、終了要求を監視するステップ601からの処理に戻り、アクセスの発生を監視し続ける(ステップ604)。
【0030】(4)ステップ604の判定で、指定ファイルにアクセスが発生した場合、指定ファイル監視部207は、指定ファイルのアクセス情報を収集し、アクセス情報を収集データファイル212のレコードフォーマット301に編集する(ステップ605)。
【0031】(5)指定ファイル監視部207は、さらに、収集データフィルタリング部210と、定期収集データ管理部205と、データ送信部213とに、指定ファイルにアクセスが行われたことを通知し、編集した収集データを収集データフィルタリング部210に送信する。前述までの処理の後、終了要求の受信待ちまたはファイルアクセス待ち状態になる(ステップ606、607)。
【0032】図7は定期収集データ管理部での定期に収集を行うファイルに対する管理を行う処理動作を説明するフローチャートであり、以下、これについて説明する。
【0033】(1)定期収集データ管理部205は、終了要求を受信したか否かを判定し、終了要求を受信した場合、何もせずにここでの処理を終了し、終了要求を受信していない場合、定期収集ファイルに関する情報を認識しているか否かを判定する。定期収集ファイルに関する情報とは、ファイルに関する情報に、収集間隔の情報を加えた情報である(ステップ701、702)。
【0034】(2)ステップ702の判定で、定期収集ファイルに関する情報を認識していない場合、定期収集データ管理部205は、定期収集ファイルに関する情報を認識する(ステップ703)
(3)ステップ703の処理後、あるいは、ステップ702の判定で、定期収集ファイルに関する情報を認識していた場合、指定ファイル監視部207からの通知があったか否かを判定する(ステップ704)。
【0035】(4)ステップ704の判定で、指定ファイル監視部207からの通知がない場合、収集時間になったか否かの判定を行い、収集時間になっていない場合、終了要求の受信を監視するステップ701の処理に戻り、終了要求がない限り、収集時間になるまで待ち状態となる(ステップ705)。
【0036】(5)ステップ704の判定で、指定ファイル監視部207からの通知があった場合、あるいは、ステップ705の判定で収集時間になった場合、定期収集対象ファイル206のデータを収集する(ステップ706)。
【0037】(6)定期収集データ管理部205は、収集したデータを収集データファイルのレコードフォーマット301に編集し、編集済みの収集データを収集データフィルタリング部210へ送信する。データフィルタリング部210へデータを送信した後、終了要求の受信待ちまたは収集時間待ちとなる(ステップ707)。
【0038】図8は収集データフィルタリング部210でのデータフィルタリング処理動作を説明するフローチャートであり、以下、これについて説明する。
【0039】(1)収集データフィルタリング部210は、終了要求を受信したか否かを判定し、終了要求を受信した場合、何もせずにここでの処理を終了し、終了要求を受信していない場合、フィルタリングの条件情報を認識しているか否かを判定する。フィルタリングの条件情報とは、フィルタリング条件テーブル209に格納されている情報であり、図4によりすでに説明した情報である(ステップ801、802)。
【0040】(2)ステップ802の判定で、フィルタリング条件の情報が認識されていない場合、収集データフィルタリング部210は、フィルタリング条件を認識する処理を行う(ステップ803)。
【0041】(3)ステップ803の処理後、あるいは、ステップ802の判定で、フィルタリング条件の情報が認識されていた場合、続いて、指定ファイル監視部207から指定ファイル208に対するアクセスの通知があるか否かを判定する(ステップ804)。
【0042】(4)ステップ804の判定で、ファイルアクセスの通知があった場合、そのとき機能しているフィルタリング条件から、アクセスのあった指定ファイル用に定義されているフィルタリング条件に切り替える。また、指定ファイル用に定義されているフィルタリング条件がない場合、収集データをフィルタリングしないこととする(ステップ805)。
【0043】(5)ステップ804の判定で、指定ファイルへのアクセス通知がなかった場合、定期収集対象ファイル用に定義されているフィルタリング条件に切り替える(ステップ806)。
【0044】(6)ステップ805、806の処理で、フィルタリング条件が設定された後、収集データフィルタリング部210は、設定されたフィルタリング条件に従って、データのフィルタリングを行い、フィルタリングにより抽出されたデータを収集データ管理部211に送信し、その後、再び終了要求受信待ち及び指定ファイル管理部207からの通知の待ち状態となる(ステップ807、808)。
【0045】前述したように、データをフィルタリング条件によって選別することにより、収集データファイル212に格納するデータを必要最小限の数とすることが可能となり、計算機Aと計算機Bとの間の通信の負荷を軽減することが可能となる。
【0046】図9は収集データ管理部211での収集データの管理を行う処理動作を説明するフローチャートであり、以下、これについて説明する。
【0047】(1)収集データ管理部211は、データ収集ファイルに関する設定を認識する。データ収集ファイルに関する設定とは、データ収集ファイルの最大許容量、格納位置、ファイル名、ファイル形式の設定である。ファイル形式とは、ファイル容量の規定が行われずに単調増加する形式と、ファイルの容量がある一定の容量である最大許容量に到達した場合に、そのデータを退避し、新たにファイルを作る形式と、最大許容量に到達した場合に、そのファイルの先頭から1レコードずつ上書きしていく形式等のファイルのデータ量が設定された限界量に到達するときのデータ格納手段の種別を意味する。ファイル名としては、固定名指定またはパラメータ指定が可能である(ステップ901)。
【0048】(2)ステップ901でのデータ収集ファイルに関する設定の認識の後、終了要求を受信したかを判定し、終了要求を受信した場合、何もせずにここでの処理を終了する(ステップ902)。
【0049】(3)ステップ902での判定で、終了要求を受信していない場合、収集データフィルタリング部210からのデータを受信したか否かを判定する。データを受信していない場合、ステップ902からの処理に戻り、終了要求の受信判定の処理を行う(ステップ903)(4)ステップ903での判定で、収集データフィルタリング部210からのデータを受信した場合、収集データを収集データファイル212に格納し、格納後、指定ファイル監視部からの通知を受信したかを判定する(ステップ904、905)。
【0050】(5)ステップ905での判定で、指定ファイル監視部からの通知を受信していない場合、次にデータを格納する際に収集データファイルの容量が最大許容量を越えるか否かの確認を行い、この結果、収集データファイルの容量が最大許容量を越える場合、ファイルの切り替えや、ファイルの先頭の1レコード分を上書きするためのファイルディスクリプタの移動等の設定されたファイル形式にとって適切な処理を行った後、ステップ902の処理に戻り、終了要求を受信したか否かの判定を続ける。
【0051】(6)ステップ905での判定で、指定ファイル監視部207から通知があった場合、データ送信部213にたいして送信の要求を行い、その後、ステップ902の処理に戻って、終了要求を受信したか否かの判定を続ける(ステップ906)。
【0052】図10はセキュリティ情報ファイル格納部219でのデータ解析の対象であるファイルの管理を行う処理動作を説明するフローチャートであり、以下、これについて説明する。
【0053】(1)セキュリティ情報ファイル格納部219は、終了要求を受信したか否かを判定し、終了要求を受信した場合、何もせずにここでの処理を終了し、終了要求を受信していない場合、データ受信部217からデータ受信の通知を受信したか否かを判定し、通知を受信していない場合、終了要求を受信したか否かを判定する処理を続ける(ステップ1001、1002)。
【0054】(2)ステップ1002での判定で、データ受信の通知を受けていた場合、アクセスが発生したファイル名を認識し、現在機能している解析条件がアクセス発生ファイル名用の条件であるか否かを比較する。現在機能している解析条件がアクセス発生ファイル名用の条件でない場合、セキュリティ情報解析部221へアクセスのあった指定ファイルに対する解析用条件への切り替えを依頼する(ステップ1003)。
【0055】(3)その後、セキュリティ情報ファイル格納部219は、セキュリティ情報ファイル220へ受信したデータを格納する。そして、受信したデータを全て格納し終わった後、セキュリティ情報解析部221へデータの解析依頼を行う(ステップ1004、1005)。
【0056】図11はセキュリティ情報解析部221でのデータ解析を行う処理動作を説明するフローチャートであり、以下、これについて説明する。
【0057】(1)セキュリティ情報解析部221は、終了要求を受信したか否かを判定し、終了要求を受信した場合、何もせずにここでの処理を終了し、終了要求を受信していない場合、データ解析条件を認識しているか否かを判定する。なお、データ解析条件については図13により後述する(ステップ1101、1102)。
【0058】(2)ステップ1102での判定で、データ解析条件が認識されていない場合、その解析条件を認識する処理を行う(ステップ1103)。
【0059】(3)ステップ1103の処理後、あるいは、ステップ1102での判定で、データ解析条件が認識されていた場合、セキュリティ情報ファイル格納部219から解析条件の切り替え依頼があったか否かを判定し、解析条件の切り替え依頼があった場合、解析条件をセキュリティ情報ファイル格納部219の指示の通りの条件に切り替える(ステップ1104、1105)。
【0060】(4)ステップ1105の処理後、あるいは、ステップ1104での判定で、解析条件の切り替え依頼がなかった場合、セキュリティ情報ファイル格納部219からの解析依頼を受信しているか否かを判定し、解析依頼を受信していない場合、ステップ1101の処理に戻り、終了要求を受信したか否かの判定の処理を続ける(ステップ1106)。
【0061】(5)ステップ1103での判定で、解析依頼を受信している場合、設定された解析条件に従って解析を行い、その結果を出力する。なお、解析結果の出力のイメージは図14により後述する。結果を出力した後、ステップ1101での終了要求を受信したか否かの判定の処理に戻る(ステップ1107、1108)。
【0062】図12は端末201がフィルタリング条件を設定するための定義画面の例を示す図であり、以下、これについて説明する。
【0063】図12に示す定義画面の例は、収集の対象とするファイル毎に作成される。この画面は、フィルタリング条件の種別1201、収集の対象となるファイル名1202、フィルタリング条件種別が指定ファイルアクセス発生時用条件の場合のみ設定する指定ファイルと関連があり、データ収集対象となるファイル名を指定するフィールド1203、プルダウンメニューで選択して設定するデータの時間枠1204、ユーザ名1205、処理名1206を指定することができるもので、この条件に一致するデータだけが収集データファイル212に格納される。
【0064】図13は端末214が解析条件を設定するための定義画面の例を示す図であり、以下、これについて説明する。
【0065】図13に示す定義画面は、指定ファイル毎に作成される。図示画面における解析ID1301は、解析条件を識別するIDを指定する。対象ファイル名1302は、指定ファイル名208を指定する。解析データ範囲指定1303は、指定ファイルアクセス時間または現時刻を基点として、基点以前の時刻と以降の時刻とを指定し、対象とするデータ中のイベント発生時間付近の時間帯のデータを抽出して解析することを可能とする。時刻の単位は、プルダウンメニューより選択することができる。解析のポイント指定1304は、解析の焦点としたい項目と抽出したいデータとの設定を行う。解析レベル1305は、解析のレベルを指定する。この指定レベルが高い場合、指定レベルが低い場合と比較してより詳細な情報を取得して報告することができる。
【0066】図14はセキュリティ情報解析部221での解析処理後の解析結果の出力画面例を示す図であり、以下、これについて説明する。
【0067】この処理画面には、解析に使用した条件1401と解析結果1402とが表示出力される。解析レベルが高いと、解析結果1402もより詳細な内容が出力される。
【0068】前述した本発明の実施形態は、アクセスを監視する対象の指定及び収集する関連データの選別が可能であり、特定データの検索や解析の容易な情報のみを蓄積することが可能である。また、データ解析の対象となるファイルは単数で解析方法を適宜変更することが可能である。
【0069】
【発明の効果】以上説明したように本発明によれば、ログの収集や管理における計算機や管理者の負担を軽減することができる。また、解析に使用するデータとして、アクセスが発生したファイルの情報に加え、同一計算機やネットワークで繋がった他の計算機におけるアクセス発生ファイルに関連のあるシステムやアプリケーションが出力するログデータをも含せることができ、より詳細で徹底した解析を行うことができる。
|
| 【出願人】 |
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
|
| 【出願日】 |
平成12年9月29日(2000.9.29) |
| 【代理人】 |
【識別番号】100078134
【弁理士】
【氏名又は名称】武 顕次郎
|
| 【公開番号】 |
特開2002−108659(P2002−108659A) |
| 【公開日】 |
平成14年4月12日(2002.4.12) |
| 【出願番号】 |
特願2000−300347(P2000−300347) |
|