JP2008129685A - 作業内容記録システムおよびその方法、ならびにそのプログラム - Google Patents
作業内容記録システムおよびその方法、ならびにそのプログラム Download PDFInfo
- Publication number
- JP2008129685A JP2008129685A JP2006311344A JP2006311344A JP2008129685A JP 2008129685 A JP2008129685 A JP 2008129685A JP 2006311344 A JP2006311344 A JP 2006311344A JP 2006311344 A JP2006311344 A JP 2006311344A JP 2008129685 A JP2008129685 A JP 2008129685A
- Authority
- JP
- Japan
- Prior art keywords
- log
- input
- terminal
- worm
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】複数のサーバまたは端末装置におけるユーザ毎の処理内容、ないしキーストロークを全てログファイルとして記録することができ、ユーザの使用履歴を完全に把握できるようにする。
【解決手段】ネットワークに接続された複数のサーバまたは端末装置毎に設けられ、リストアップされた保存対象のログファイルをリアルタイムで転送する対象サーバエージェント部1Bと、転送されて来たログファイルをWORMに書き込むログデータ保存手段2と、該ログデータ保存手段2の起動状態及びログファイルの情報をリアルタイムでモニタリングし、保存したログファイルの検索及び報告書を作成するとともに、バックアップされた該WORMを復元し、またバックアップした該WORMをコピーし、あるいは復元されたログファイルを検索する管理用コンソール部3を設ける。さらに、対象サーバエージェント1B内に各ユーザ毎のキーストロークをリアルタイムで記録するターミナル入出力レコード手段11を設ける。
【選択図】図1−B
【解決手段】ネットワークに接続された複数のサーバまたは端末装置毎に設けられ、リストアップされた保存対象のログファイルをリアルタイムで転送する対象サーバエージェント部1Bと、転送されて来たログファイルをWORMに書き込むログデータ保存手段2と、該ログデータ保存手段2の起動状態及びログファイルの情報をリアルタイムでモニタリングし、保存したログファイルの検索及び報告書を作成するとともに、バックアップされた該WORMを復元し、またバックアップした該WORMをコピーし、あるいは復元されたログファイルを検索する管理用コンソール部3を設ける。さらに、対象サーバエージェント1B内に各ユーザ毎のキーストロークをリアルタイムで記録するターミナル入出力レコード手段11を設ける。
【選択図】図1−B
Description
本発明は、ネットワークに接続された複数のサーバあるいは端末装置のターミナルにおけるユーザの処理内容、または、キーストロークを全てログファイルとしてリアルタイムに記録し、ユーザの使用履歴を完全に把握することが可能な作業内容記録システムおよびその方法、ならびにそのプログラムに関する。
一般に、インターネットなどの情報通信網を通じて常時接続されているサーバなどにおいては、情報通信網を通じて接続された外部の接続者がサーバの重要な内部データや、そのサーバとつながっている他のコンピュータにアクセスするのを防止するため、オペレーティングシステムにおいてアクセス権限を制限するとともに、ファイアウォール(firewall)を設ける。それとともに、情報通信網を通じてサーバに接続した全ての接続者に対する接続経路や接続時間(接続開始時間と接続終了時間および総接続時間など)、接続した利用者のID(Identification)および接続後の活動の内訳(例えば、ファイルの削除と複写および生成など)などに関するログデータ(Log Data)をハードデイスクドライブなどの補助記憶装置に保存する。
ハッカーなどの不正接続者がオペレーティングシステムのアクセス権限およびファイアウォールを無力化して不正なアクセスを行った場合、上述のように、補助記憶装置に保存されたログデータによって接続経路および変更箇所などを割り出して、変更または破壊されたシステムを短時間に復旧することができる。
しかし、上述のように、オペレーティングシステムにおいてアクセス権限およびファイアウォールを無力化した後に補助記憶装置に保存されたログデータを任意に変更または削除した場合には、不正接続者に対する追跡や、変更または破壊されたシステムの復旧が困難になる。
しかし、上述のように、オペレーティングシステムにおいてアクセス権限およびファイアウォールを無力化した後に補助記憶装置に保存されたログデータを任意に変更または削除した場合には、不正接続者に対する追跡や、変更または破壊されたシステムの復旧が困難になる。
このように、従来のセキュリティシステムは、侵入・攻撃には対応しているが、新しい脅威には対応することができず、また、内的な脅威にも効力を発揮できない。
特に、近年は、企業の純粋な職員がコンピュータのメンテナンスを担当する場合は少なく、第三者の会社にコンピュータの維持管理を依頼して、外注する場合が多い。このような形態を採用した際には、企業側は外注者がどのような作業をしたかを見ることはできない。従って、もし、外注者の中に不心得者がいて、アクセスしてはならない個人情報データベースの格納情報を持ち出したり、企業のセキュリティ情報の不具合を起すようなプログラムを入れたりした場合、企業側は作業内容の確認ができず、極めて不都合である。
特に、近年は、企業の純粋な職員がコンピュータのメンテナンスを担当する場合は少なく、第三者の会社にコンピュータの維持管理を依頼して、外注する場合が多い。このような形態を採用した際には、企業側は外注者がどのような作業をしたかを見ることはできない。従って、もし、外注者の中に不心得者がいて、アクセスしてはならない個人情報データベースの格納情報を持ち出したり、企業のセキュリティ情報の不具合を起すようなプログラムを入れたりした場合、企業側は作業内容の確認ができず、極めて不都合である。
そこで、例えば、特許第3673159号公報(特許文献1参照)に記載されているように、ログデータに対して1回のみ書き込むことができ、書き換えや削除を不可能にすることにより、不正接続者によるログデータの変更や削除を防止することが可能な通信網のログデータ保存装置が提案された。
次に、上記の装置について説明する。
この装置は、情報通信網を通じてサーバ用コンピュータに接続する接続者のログデータを発生する制御手段と、その制御手段から発生したログデータを伝送するデータ伝送手段と、そのデータ伝送手段を通じてログデータを受信し、これをリアルタイムで1回のみ書き込み可能、かつ読み出しは無制限な形態の媒体(例えば、CD−R,DVD−R,BlueRayDisk−R等。以下、WORM(Write Once Read Many)と記載する。)に保存する保存手段とから構成される。
次に、上記の装置について説明する。
この装置は、情報通信網を通じてサーバ用コンピュータに接続する接続者のログデータを発生する制御手段と、その制御手段から発生したログデータを伝送するデータ伝送手段と、そのデータ伝送手段を通じてログデータを受信し、これをリアルタイムで1回のみ書き込み可能、かつ読み出しは無制限な形態の媒体(例えば、CD−R,DVD−R,BlueRayDisk−R等。以下、WORM(Write Once Read Many)と記載する。)に保存する保存手段とから構成される。
図4は、上記サーバ用コンピュータの構成図である。
サーバ用コンピュータは、図4に示すように、各種の制御演算を行うメインプロセッサ11Aと、メインプロセッサ11Aが制御演算を行う際に必要なデータの臨時保存空間であるメモリ12Aと、オペレーティングシステムおよび各種のアプリケーションを含み、ログデータの記録されたログファイルが保存される補助記憶装置13(例えば、ハードディスクドライブ)と、通信網に接続してデータを送受信する通信網接続部14と、メインプロセッサ11Aの制御に応じてログデータ保存手段40にログデータを伝送するログデータ保存手段接続部15とから構成される。
サーバ用コンピュータは、図4に示すように、各種の制御演算を行うメインプロセッサ11Aと、メインプロセッサ11Aが制御演算を行う際に必要なデータの臨時保存空間であるメモリ12Aと、オペレーティングシステムおよび各種のアプリケーションを含み、ログデータの記録されたログファイルが保存される補助記憶装置13(例えば、ハードディスクドライブ)と、通信網に接続してデータを送受信する通信網接続部14と、メインプロセッサ11Aの制御に応じてログデータ保存手段40にログデータを伝送するログデータ保存手段接続部15とから構成される。
図5は、図4におけるログデータ保存手段40の構成図である。
ログデータ保存手段40は、制御部41と、バッファ部42と、信号切換部43と複数の媒体ドライブ44,45を選択的に駆動およびアクセスして、サーバ用コンピュータから伝送されてくるログデータをリアルタイムでWORMに保存する。
バッファ部42は、サーバ用コンピュータから伝送されてくるログデータを一時保存して、信号切換部43を通じて複数の媒体ドライブ44,45のうち、いずれかの1箇所に順に伝送するものであり、サーバ用コンピュータとログデータ保存手段40の間のデータ伝送速度差を補うためのものである。
ログデータ保存手段40は、制御部41と、バッファ部42と、信号切換部43と複数の媒体ドライブ44,45を選択的に駆動およびアクセスして、サーバ用コンピュータから伝送されてくるログデータをリアルタイムでWORMに保存する。
バッファ部42は、サーバ用コンピュータから伝送されてくるログデータを一時保存して、信号切換部43を通じて複数の媒体ドライブ44,45のうち、いずれかの1箇所に順に伝送するものであり、サーバ用コンピュータとログデータ保存手段40の間のデータ伝送速度差を補うためのものである。
信号切換部43は、制御部41の制御に応じてバッファ部42から順に伝送されるログデータを、複数の媒体ドライブ44,45のうち、いずれかの一方に選択的に伝送し、媒体ドライブ44,45は信号切換部43を通じて伝送されてくるログデータをWORMにそれぞれ記録する。
図6は、図5のログデータ保存方法の動作フローチャートである。
サーバ用コンピュータに電源が投入されると、メインプロセッサ11Aをはじめとするサーバ用コンピュータの各構成部が初期化される。初期化されたメインプロセッサ11Aは、補助記憶装置13を検索して(S10)、補助記憶装置13にログデータを収録したログファイルが存在するか否かを判断する(S20)。前記ステップS20で補助記憶装置13に既に生成されたログファイルが検索されなければ、メインプロセッサ11Aは補助記憶装置13にログデータを書き込むためのログファイルを生成した後(S30)、時間Tを計測し(S40)、現在の補助記憶装置13に保存されたログファイルをオールドログファイルF0に設定する(S45)。
サーバ用コンピュータに電源が投入されると、メインプロセッサ11Aをはじめとするサーバ用コンピュータの各構成部が初期化される。初期化されたメインプロセッサ11Aは、補助記憶装置13を検索して(S10)、補助記憶装置13にログデータを収録したログファイルが存在するか否かを判断する(S20)。前記ステップS20で補助記憶装置13に既に生成されたログファイルが検索されなければ、メインプロセッサ11Aは補助記憶装置13にログデータを書き込むためのログファイルを生成した後(S30)、時間Tを計測し(S40)、現在の補助記憶装置13に保存されたログファイルをオールドログファイルF0に設定する(S45)。
メインプロセッサ11Aは、通信網Nを通じて通信網接続部14に接続されている監視対象のコンピュータシステムが収集したログデータを補助記憶装置13に保存されるログファイルに、順に書き込む(S50)。メインプロセッサ11Aは、現在の補助記憶装置13に保存されているログファイルをニューログファイル(Fn)に設定する(s55)。メインプロセッサ11Aは、ステップ45で設定されたオールドログファイル(F0)のログデータの内容と、ステップS55で設定されたニューログファイル(Fn)のログデータの内容を相互比較して、その内容に変化があるかを判断し(S60)、その結果、オールドログファイル(F0)とニューログファイル(Fn)の間に内容の変化がなければ、現在まで計測された時間(T)をチェックして(S70)、これを所定の設定時間(Ts)(一例として、5秒程度)と比較する(S80)。
ステップS80で現在まで計測された時間(T)が設定時間(TS)を経過していなければ、メインプロセッサ11Aは後述されるステップS100に進む反面、計測された時間(T)が設定時間(Ts)を経過していれば、現在まで計測された時間をリセットし(S90)、管理者がサーバ用コンピュータをオフにしようとするかをチェックし(S100)、チェックの結果、サーバ用コンピュータがオフに選択されていなければ、時間(T)を計測するステップS40に戻る。
もし、ステップS60でオールドログファイル(F0)とニューログファイル(Fn)の間に内容の変化があれば、メインプロセッサ11Aは現在まで計測された時間(T)をチェックして(S110)、これを設定時間(Ts)と比較する(S120)。ステップS120で、現在まで計測された時間(T)が設定時間(Ts)を経過していなければ、メインプロセッサ11AはステップS100に進む。反面、計測された時間(T)が設定時間(Ts)を経過していれば、メインプロセッサ11Aはログデータ保存手段40を通じてWORMに保存するログファイル(Fm)を生成する(S130)。
もし、ステップS60でオールドログファイル(F0)とニューログファイル(Fn)の間に内容の変化があれば、メインプロセッサ11Aは現在まで計測された時間(T)をチェックして(S110)、これを設定時間(Ts)と比較する(S120)。ステップS120で、現在まで計測された時間(T)が設定時間(Ts)を経過していなければ、メインプロセッサ11AはステップS100に進む。反面、計測された時間(T)が設定時間(Ts)を経過していれば、メインプロセッサ11Aはログデータ保存手段40を通じてWORMに保存するログファイル(Fm)を生成する(S130)。
次に、メインプロセッサ11Aは、ステップS130で生成されたログファイル(Fm)をログデータ保存手段接続部15を通じてログデータ保存手段40に伝送し、この保存手段接続部15からログデータ保存手段40に伝送されたログファイル(Fm)は、ログデータ保存手段40によりWORMに順に書き込まれる(S140)。
サーバ用コンピュータがオフに選択されていれば、WORMに保存するログファイル(Fm)を生成する(S150)。次に、メインプロセッサ11Aは、ログファイル(Fm)をログデータ保存手段40に伝送し、書き込まれる(S160)。
サーバ用コンピュータがオフに選択されていれば、WORMに保存するログファイル(Fm)を生成する(S150)。次に、メインプロセッサ11Aは、ログファイル(Fm)をログデータ保存手段40に伝送し、書き込まれる(S160)。
前述のように、外注者の中に不心得者がいて、アクセスしてはならない個人情報データベースの格納情報を持ち出したり、企業のセキュリティ情報の不具合を起すようなプログラムを入れたりすることに対しては、前記ログデータ保存装置を設置することで、ログデータに対して1回のみ書き込むことにより、書き換えや削除を不可能にするので、不正接続者によるログデータの変更や削除を防止することが可能である。
しかしながら、前述の装置(特許文献1参照)では、ネットワークに接続されたサーバあるいは端末装置の単体に対して、ログファイルをとり、そのログファイルを偽・変造不可能なWORMにリアルタイムで書き込むことにより、ログファイルの無欠性を確保し、ログ分析により不正アクセスの発見及び内部ユーザの誤・乱用やシステムの異常を発見するものであった。すなわち、ネットワークに接続された複数のサーバや端末装置に対しては、ログファイルを保存媒体にリアルタイムで書き込むことはできなかった。
また、前記ログデータ保存装置を配置した場合、ログデータに対して書き換えや削除を防止するだけであり、作業者がどのような命令を入力したかということまでは記録できない。すなわち、システムのターミナル接続におけるユーザの操作を完全に把握することは、ログデータ保存装置だけでは不可能である。
しかしながら、前述の装置(特許文献1参照)では、ネットワークに接続されたサーバあるいは端末装置の単体に対して、ログファイルをとり、そのログファイルを偽・変造不可能なWORMにリアルタイムで書き込むことにより、ログファイルの無欠性を確保し、ログ分析により不正アクセスの発見及び内部ユーザの誤・乱用やシステムの異常を発見するものであった。すなわち、ネットワークに接続された複数のサーバや端末装置に対しては、ログファイルを保存媒体にリアルタイムで書き込むことはできなかった。
また、前記ログデータ保存装置を配置した場合、ログデータに対して書き換えや削除を防止するだけであり、作業者がどのような命令を入力したかということまでは記録できない。すなわち、システムのターミナル接続におけるユーザの操作を完全に把握することは、ログデータ保存装置だけでは不可能である。
(目的)
本発明の目的は、ターミナル接続における複数のサーバおよび端末装置でのログファイルを保存媒体にリアルタイムで書き込むことが可能であり、さらに、キーストロークを全てログファイルとして記録することにより、ユーザの使用履歴を完全に把握することが可能な作業内容記録システムおよびその方法、ならびにそのプログラムを提供することにある。
本発明の目的は、ターミナル接続における複数のサーバおよび端末装置でのログファイルを保存媒体にリアルタイムで書き込むことが可能であり、さらに、キーストロークを全てログファイルとして記録することにより、ユーザの使用履歴を完全に把握することが可能な作業内容記録システムおよびその方法、ならびにそのプログラムを提供することにある。
本発明による作業内容記録システムは、ネットワークに接続された複数のサーバまたは端末装置毎に設けられて、保存しようとするログファイルのリストを作成し、リストアップされた保存対象のログファイルをリアルタイムで次に接続されたログデータ保存手段に転送開始する対象サーバエージェント部と、転送されて来たログファイルをWORMに書き込むログデータ保存手段と、該ログデータ保存手段の起動状態及びログファイルの情報をリアルタイムでモニタリングし、保存したログファイルの検索及び報告書を作成するとともに、バックアップされたWORMを復元し、またバックアップした該WORMをコピーし、あるいは復元されたログファイルを検索する管理用コンソール部とから構成される(第一実施例)。
また、前記対象サーバエージェント部に、ターミナルで発生したキー入力データに対して、各コマンドの出所を区別することで複数のターミナル接続の区別を行い、該ターミナル装置からのコマンド入力時の情報でログファイルを生成し、コマンド部分を暗号化してログファイルに記録するターミナル入出力レコード手段を内蔵し、さらに、該対象サーバエージェント部に前述のログデータ保存手段と、管理用コンソール部とを接続することで構成される(第二実施例)。
作業内容記録システムでは、情報システム作業内容の管理・分析を行うため、コマンド分類、危険度付与、リアルタイム・モニタリング、検索の各動作を実行する。すなわち、ネットワークを通じてユーザのキー入力のログをリアルタイムで収集し、これを分析し、管理者にアラーム通知を行う。
前記ターミナル入出力レコード手段から発生されたログをログデータ保存手段を通じて保存し、管理者も削除することができない極めて信頼性の高い作業記録方式を構築する。
また、前記対象サーバエージェント部に、ターミナルで発生したキー入力データに対して、各コマンドの出所を区別することで複数のターミナル接続の区別を行い、該ターミナル装置からのコマンド入力時の情報でログファイルを生成し、コマンド部分を暗号化してログファイルに記録するターミナル入出力レコード手段を内蔵し、さらに、該対象サーバエージェント部に前述のログデータ保存手段と、管理用コンソール部とを接続することで構成される(第二実施例)。
作業内容記録システムでは、情報システム作業内容の管理・分析を行うため、コマンド分類、危険度付与、リアルタイム・モニタリング、検索の各動作を実行する。すなわち、ネットワークを通じてユーザのキー入力のログをリアルタイムで収集し、これを分析し、管理者にアラーム通知を行う。
前記ターミナル入出力レコード手段から発生されたログをログデータ保存手段を通じて保存し、管理者も削除することができない極めて信頼性の高い作業記録方式を構築する。
本発明によれば、ネットワーク経由で記録を取るため、1台で複数のサーバ及びユーザ端末をカバーすることができる(第一実施例)。また、各端末の作業者のキー入力を収集してログデータとして保管するので、どのネットワークに接続された端末のユーザが作業を行った結果、どのようなコマンドがコンピュータに入力され、コンピュータがどのような動作をしたか、等がログデータとして残され、保管される(第二実施例)。
また、入力されたコマンドや動作がリアルタイムに人の手を介さずに記録されるため、裁判所に提出する証拠データとして極めて高い信頼性を確保することができる。
また、従来は人手で行っていたログの解析が、自動的に行われるので、コストメリットが図れる。
また、忠実に作業内容を確認することができる。
また、システムメンテナンス作業でのミスインプットによるサービス不具合が起った場合でも、事実を確認することができる。
また、作業者のキー入力を収集し、実作業量などを分析できるので、外注先から提示される支援価格の適正さを評価・判断することも可能である。
また、外注先の作業を完全に把握できるので、企業の内部統制の一つとして役立てることができる。
また、入力されたコマンドや動作がリアルタイムに人の手を介さずに記録されるため、裁判所に提出する証拠データとして極めて高い信頼性を確保することができる。
また、従来は人手で行っていたログの解析が、自動的に行われるので、コストメリットが図れる。
また、忠実に作業内容を確認することができる。
また、システムメンテナンス作業でのミスインプットによるサービス不具合が起った場合でも、事実を確認することができる。
また、作業者のキー入力を収集し、実作業量などを分析できるので、外注先から提示される支援価格の適正さを評価・判断することも可能である。
また、外注先の作業を完全に把握できるので、企業の内部統制の一つとして役立てることができる。
以下、本発明の実施の形態を図面により詳細に説明する。
(第一実施例)
図1−Aは、本発明の第一実施例に係る作業内容記録システムの全体構成図である。
第一実施例に係る作業内容記録システムは、対象サーバエージェント部(Typical Server Agent)1Aと、ログデータ保存手段(Logsaver Enterprise)2と、管理用コンソール部(Management Console)3とから構成される。これらの対象サーバエージェント部1A、ログデータ保存手段2、および、管理用コンソール部3は、いずれも通常のプロセッサ、メモリ、入出力デバイスを備えたコンピュータシステムで構成される。
(第一実施例)
図1−Aは、本発明の第一実施例に係る作業内容記録システムの全体構成図である。
第一実施例に係る作業内容記録システムは、対象サーバエージェント部(Typical Server Agent)1Aと、ログデータ保存手段(Logsaver Enterprise)2と、管理用コンソール部(Management Console)3とから構成される。これらの対象サーバエージェント部1A、ログデータ保存手段2、および、管理用コンソール部3は、いずれも通常のプロセッサ、メモリ、入出力デバイスを備えたコンピュータシステムで構成される。
対象サーバエージェント部(Typical Server Agent)1Aには、リアルタイムにログファイルを次段に転送するログセーバネット(logsaverNet)12が設けられる。ログデータ保存手段(Logsaver Enterprise)2には、対象サーバエージェント部(Typical Server Agent)1Aから転送されてくるログファイルをリアルタイムでハードティスク(LogDisk(HDD))22に保存するネットエージェント(NetAgent)21と、WORMへリアルタイムで無欠性ログを記録保存するネットログセーバ(NetLogsaver)24と、リアルタイムでログファイルを分析するLSアナリシス(LSAnalysis)23とが設けられる。転送されるログファイルは、リアルタイムで項目別に分類されて保存される。管理用コンソール部(Management Console)3には、ネットエージェント(NetAgent)21から転送された情報を受け取り、ログのバックアップ状態のモニタリング、サーバ状態のモニタリング、リアルタイムにログ分析内容の検索、および、保存されたログファイルの確認等を行うネットビュワー(NetViewer)31と、ネットログセーバ(NetLogsaver)24から転送された情報を受け取り、WORMに記録されたログファイルの復元を行うログリストア(LogRestorer)32と、該媒体を復元したログファイルの分析を行うLSアナリシス(LS−Analysis)33と、二重保管のためのWORMのコピー機能を実行するログ媒体コピー機能(Log CD/DVD Copy)34とが設けられる。
(第一実施例の機能及び効果)
第一実施例の最も重要な利点は、ネットワーク経由で記録を取るため、1台で複数のサーバ及びユーザ端末をカバーすることができることである。
その他に、下記機能を有している。
1)リアルタイムログバックアップ機能:ログをリアルタイムにWORMに記録する。
2)リアルタイムログ分析機能:ログ発生直後にイベントに沿った分析が可能である。
3)アラート機能:設定したイベントが検出された場合に管理者へ通報する。
4)圧縮記録:CD−Rで平均3GB、DVD−Rで30〜50GB以上のログを記録可能である。
5)大容量ログ記録:5MB/secまで対応可能である。
6)機密性・信頼性の確保:独自パケットライティング方式により汎用ドライブでの読み出しは不可である。また、WORMに記録することで改竄・消去不能である(高信頼性)。
7)マルチドライブ構成による連続記録:複数ドライブ搭載により、一方のドライブで書き込み終了後、継続して他のドライブにて連続記録が可能である。
8)メジャーサーバOSに対応:UNIX(登録商標),Linux,Windows(登録商標) Server 2000,Windows(登録商標) Server 2003等
9)ログデータ保存手段は、ログデータをWORMに保存し、1つの媒体の保存容量を超過したときには他の媒体に切り換え、あるいは、保存容量の途中で切り換えを設定することにより他の媒体に切り換えて、ログデータを保存する。
第一実施例の最も重要な利点は、ネットワーク経由で記録を取るため、1台で複数のサーバ及びユーザ端末をカバーすることができることである。
その他に、下記機能を有している。
1)リアルタイムログバックアップ機能:ログをリアルタイムにWORMに記録する。
2)リアルタイムログ分析機能:ログ発生直後にイベントに沿った分析が可能である。
3)アラート機能:設定したイベントが検出された場合に管理者へ通報する。
4)圧縮記録:CD−Rで平均3GB、DVD−Rで30〜50GB以上のログを記録可能である。
5)大容量ログ記録:5MB/secまで対応可能である。
6)機密性・信頼性の確保:独自パケットライティング方式により汎用ドライブでの読み出しは不可である。また、WORMに記録することで改竄・消去不能である(高信頼性)。
7)マルチドライブ構成による連続記録:複数ドライブ搭載により、一方のドライブで書き込み終了後、継続して他のドライブにて連続記録が可能である。
8)メジャーサーバOSに対応:UNIX(登録商標),Linux,Windows(登録商標) Server 2000,Windows(登録商標) Server 2003等
9)ログデータ保存手段は、ログデータをWORMに保存し、1つの媒体の保存容量を超過したときには他の媒体に切り換え、あるいは、保存容量の途中で切り換えを設定することにより他の媒体に切り換えて、ログデータを保存する。
第一実施例による期待できる効果は下記の通りである。
a)管理者の作業負担軽減:リアルタイム自動バックアップを取るため、一度起動した後は、ディスクフルの交換作業まで手間がかからない。また、ログのリアルタイム分析により、監視作業の負担を軽減できる。また、ラベルプリンタは、CD−RまたはDVD−Rへログファイルの書き込みが完了すると、ディスクの管理用にID・TRAY NO・記録開始時間・終了時間が記載されたステッカーラベルを自動的に出力する。これにより、どのWORMにどんなデータが記録されているかの管理体形化ができる。
b)リアルタイム記録による高い信頼性のログを確保:意味のある分析結果を基に対応策を立てることが可能である。
c)改竄できない作業記録を取ることによる利点:コスト管理・・・外注先に支払う作業内容に見合った料金の見極めが可能である。常に見張られているという意識による、犯罪行為(不正アクセス等)の抑制が可能である(内部統制の向上)。ミスオペレーションであるのか、あるいは故意による障害であるのかの見極めが可能である。障害発生時の原因解明および復旧作業時間の短縮が可能である。
d)DVD−R記録による利点:不正改竄・偽造を排除して複製が可能である。係争時の証拠データとして容易に提供が可能である。保管場所の広さを気にせずに保管が可能である。また、WORMデータは、全てを読み出すことなく、ファイル単位など、部分的に読み出すことができるため、指定した期日のデータを迅速に引出すことが可能であり、意図した情報を短時間で見ることができる。
a)管理者の作業負担軽減:リアルタイム自動バックアップを取るため、一度起動した後は、ディスクフルの交換作業まで手間がかからない。また、ログのリアルタイム分析により、監視作業の負担を軽減できる。また、ラベルプリンタは、CD−RまたはDVD−Rへログファイルの書き込みが完了すると、ディスクの管理用にID・TRAY NO・記録開始時間・終了時間が記載されたステッカーラベルを自動的に出力する。これにより、どのWORMにどんなデータが記録されているかの管理体形化ができる。
b)リアルタイム記録による高い信頼性のログを確保:意味のある分析結果を基に対応策を立てることが可能である。
c)改竄できない作業記録を取ることによる利点:コスト管理・・・外注先に支払う作業内容に見合った料金の見極めが可能である。常に見張られているという意識による、犯罪行為(不正アクセス等)の抑制が可能である(内部統制の向上)。ミスオペレーションであるのか、あるいは故意による障害であるのかの見極めが可能である。障害発生時の原因解明および復旧作業時間の短縮が可能である。
d)DVD−R記録による利点:不正改竄・偽造を排除して複製が可能である。係争時の証拠データとして容易に提供が可能である。保管場所の広さを気にせずに保管が可能である。また、WORMデータは、全てを読み出すことなく、ファイル単位など、部分的に読み出すことができるため、指定した期日のデータを迅速に引出すことが可能であり、意図した情報を短時間で見ることができる。
(第一実施例のシステムの流れ)
対象サーバエージェント部1Aは、プログラムを起動する前に各サーバ毎に保存しようとするログファイルのリストを作成し、ログリストの作成が終了すると、ログセーバネット12を起動する。ログセーバネット12を起動すると、ログリストにリストアップされた保存対象のログファイルをリアルタイムでログデータ保存手段2に転送開始する。ログファイルをリアルタイムで転送するログセーバネット12のプロセスが正常に起動しているかをリアルタイムで確認するプログラムも起動される。
次に、ログデータ保存手段2のネットエージェント21が起動すると、ログ管理対象サーバ内のログセーバネット12の状態確認と、ログセーバネット12からログデータ保存手段2に対して送られてくるログファイルが正しく受信されて保存されているかを確認する。各サーバのログセーバネット12がネットワークを通してログファイルのリアルタイム転送を行うと、ネットエージェント21は、転送されてきたログファイルをログデータ保存手段2のハードディスクへリアルタイムに保存する。
ログデータ保存手段2のネットログセーバ24は、転送されてきたログファイルをCDまたはDVDに書き込む。
対象サーバエージェント部1Aは、プログラムを起動する前に各サーバ毎に保存しようとするログファイルのリストを作成し、ログリストの作成が終了すると、ログセーバネット12を起動する。ログセーバネット12を起動すると、ログリストにリストアップされた保存対象のログファイルをリアルタイムでログデータ保存手段2に転送開始する。ログファイルをリアルタイムで転送するログセーバネット12のプロセスが正常に起動しているかをリアルタイムで確認するプログラムも起動される。
次に、ログデータ保存手段2のネットエージェント21が起動すると、ログ管理対象サーバ内のログセーバネット12の状態確認と、ログセーバネット12からログデータ保存手段2に対して送られてくるログファイルが正しく受信されて保存されているかを確認する。各サーバのログセーバネット12がネットワークを通してログファイルのリアルタイム転送を行うと、ネットエージェント21は、転送されてきたログファイルをログデータ保存手段2のハードディスクへリアルタイムに保存する。
ログデータ保存手段2のネットログセーバ24は、転送されてきたログファイルをCDまたはDVDに書き込む。
管理用コンソール部3では、ネットビュアー31がログデータ保存手段2の起動状態及びログファイルの情報をリアルタイムでモニタリングし、保存したログファイルの検索、および報告書を作成する。ログリストア32は、バックアップされたWORMを復元する際に使用するプログラムである。既存ログファイルの再分析や、無欠性の生ログファイルが必要な時に該媒体(CD−RまたはDVD−R)に保存されたログファイルを復元する。ログ媒体コピー34は、保存した該WORMを新しい別の新しいWORMにコピーする。すなわち、バックアップした媒体(CD−RまたはDVD−R)を1対1でコピーし、バックアップディスクを無欠性の状態を保持し複製することを可能にする。また、LSアナリシス33は、WORMから管理用PCのハードディスクへ復元されたログファイルを検索する。
(第二実施例)
図1−Bは、本発明の第二実施例に係る作業内容記録システムの全体構成図である。
図1−Bにおいて、ターミナル入出力レコード手段(Teminal Input Output Recorder)11は、ターミナル接続におけるユーザのキーストロークを全てログファイルとして記録するソフトウェアである。ターミナル入出力レコード手段(TIOR)11は、対象サーバ毎に設けられている対象サーバエージェント部(Typical ServerNet)1Bに内蔵される。
ターミナル入出力レコード手段(TIOR)11は、システムへテルネット(Telnet等)を利用して接続するリモートアクセス等の場合や、サーバのコンソール(console)で接続して行われるターミナル作業内容の内訳をリアルタイムで保存するものである。すなわち、ターミナル接続におけるユーザのキーストロークを全てログファイルとして記録するため、ユーザの作業内容を完全に把握することが可能となる。また、このターミナル入出力レコード手段11により記録されたログファイルを、対象サーバエージェント部1Bのログセーバネット(LogsaverNet)12に送ることにより、リアルタイムで次のログデータ保存手段(Logsaver Enterprise)2に転送される。ログファイルをログデータ保存手段2で記録することにより、よりセキュアな使用履歴管理が可能となる。
図1−Bは、本発明の第二実施例に係る作業内容記録システムの全体構成図である。
図1−Bにおいて、ターミナル入出力レコード手段(Teminal Input Output Recorder)11は、ターミナル接続におけるユーザのキーストロークを全てログファイルとして記録するソフトウェアである。ターミナル入出力レコード手段(TIOR)11は、対象サーバ毎に設けられている対象サーバエージェント部(Typical ServerNet)1Bに内蔵される。
ターミナル入出力レコード手段(TIOR)11は、システムへテルネット(Telnet等)を利用して接続するリモートアクセス等の場合や、サーバのコンソール(console)で接続して行われるターミナル作業内容の内訳をリアルタイムで保存するものである。すなわち、ターミナル接続におけるユーザのキーストロークを全てログファイルとして記録するため、ユーザの作業内容を完全に把握することが可能となる。また、このターミナル入出力レコード手段11により記録されたログファイルを、対象サーバエージェント部1Bのログセーバネット(LogsaverNet)12に送ることにより、リアルタイムで次のログデータ保存手段(Logsaver Enterprise)2に転送される。ログファイルをログデータ保存手段2で記録することにより、よりセキュアな使用履歴管理が可能となる。
あるコンピュータシステム(例えば、UNIX(登録商標)システム)は、アカウント別にユーザが持てる権限を付与する機能があるが、低レベルの権限を持つアカウントを使用する場合、自由にシステムを利用することができず、業務に支障が発生し、また逆に高いレベルの権限を持ったアカウントを使用する場合は、ユーザが何の制約無しにシステムを自由に行き来できるため、不正アクセスした後に根跡を消して抜け出ることも可能なため、著しくセキュリティを低下させてしまう。
第二実施例による作業内容記録システムでは、遠隔地または内部からコンピュータへのアクセス、または内部者または外注先の社員のコンピュータへのアクセス、および、作業に対し故意またはミスオペレーションによる内訳をリアルタイムで保存および監視する。
管理者がシステムのサービス状態および業務内容を把握できる社内保安体系を確立できる。
システム構造に起因する事故予防の観点に立った直接的または間接的防止体系を確立できる。
システムサービス中の障害発生における責任所在の明確化、および、正確かつ迅速な原因究明および復旧対策構築が可能である。
第二実施例による作業内容記録システムでは、遠隔地または内部からコンピュータへのアクセス、または内部者または外注先の社員のコンピュータへのアクセス、および、作業に対し故意またはミスオペレーションによる内訳をリアルタイムで保存および監視する。
管理者がシステムのサービス状態および業務内容を把握できる社内保安体系を確立できる。
システム構造に起因する事故予防の観点に立った直接的または間接的防止体系を確立できる。
システムサービス中の障害発生における責任所在の明確化、および、正確かつ迅速な原因究明および復旧対策構築が可能である。
(第二実施例のシステムの機能)
第二実施例による作業内容記録システムの機能は、下記1−1)〜1−3)の条件下でログを取ることである。
1)ターミナルに入力されるルート(root)を含むユーザ全てのキー入力をリアルタイムで保存する。
1−1)Telnetを利用したremote接続を行った場合。
1−2)Boot ConsoleおよびX−Windows(登録商標)を利用した直接接続を行った場合(マウス作業を除くこと、ConsoleでTerminalコマンドウィンドウを実行して、入力されたKey−Strokeを保存する)。
1−3)X−Windows(登録商標)を利用した遠隔接続を行った場合(マウス作業を除くこと、ConsoleでTerminalコマンドウィンドウを実行して、入力されたKey−Strokeを保存する)。
第二実施例による作業内容記録システムの機能は、下記1−1)〜1−3)の条件下でログを取ることである。
1)ターミナルに入力されるルート(root)を含むユーザ全てのキー入力をリアルタイムで保存する。
1−1)Telnetを利用したremote接続を行った場合。
1−2)Boot ConsoleおよびX−Windows(登録商標)を利用した直接接続を行った場合(マウス作業を除くこと、ConsoleでTerminalコマンドウィンドウを実行して、入力されたKey−Strokeを保存する)。
1−3)X−Windows(登録商標)を利用した遠隔接続を行った場合(マウス作業を除くこと、ConsoleでTerminalコマンドウィンドウを実行して、入力されたKey−Strokeを保存する)。
2)ユーザ、IP、ポート番号、プロセスIDを利用し、各コマンドの出所を区分することで、同じユーザのアカウントを使用した多数のTerminal接続の区別が可能である。
3)Terminalからコマンド入力時の接続時間、接続IP、ID、入力時間などの情報をログファイルで生成する。コマンド部分は、暗号化して保存する。
4)ターミナル入出力レコード手段11のプロセスを強制的に終了した場合(Killコマンドなど)、システムが自動的にユーザの接続を切り離し、そのユーザのシステム使用を強制的に排除する構造を採用している。
5)Terminal使用内訳のログ検索機能を提供するので、ユーザの作業内容の確認が容易である。
3)Terminalからコマンド入力時の接続時間、接続IP、ID、入力時間などの情報をログファイルで生成する。コマンド部分は、暗号化して保存する。
4)ターミナル入出力レコード手段11のプロセスを強制的に終了した場合(Killコマンドなど)、システムが自動的にユーザの接続を切り離し、そのユーザのシステム使用を強制的に排除する構造を採用している。
5)Terminal使用内訳のログ検索機能を提供するので、ユーザの作業内容の確認が容易である。
6)カーネルとは独立の別プロセスで動作し、カーネルの安全性を保障すると同時に、ターミナル入出力レコード手段11のプロセス追加時の既存システムへの影響を与えない拡張性を保有している。
7)ターミナルの仮想デバイス通信仕様が異なるシステム(例えば、UNIX(登録商標)システム)にも適用可能である。その他、Linux,HP−UX,Solaris,IBM−AIXなどの多様なシェルに対応可能な互換性と柔軟性とを保有している。
8)ターミナル入出力レコード手段11の主要ソフトウェア(daemon)は、ターミナル毎にターミナル入出力レコード手段11のプロセスを生成しているため、ユーザのログインまたはログアウトにより自動的にターミナル入出力レコード手段11のログを生成または終了し、管理者の個別ターミナル入出力レコード手段11のプロセス管理が不要となる。
7)ターミナルの仮想デバイス通信仕様が異なるシステム(例えば、UNIX(登録商標)システム)にも適用可能である。その他、Linux,HP−UX,Solaris,IBM−AIXなどの多様なシェルに対応可能な互換性と柔軟性とを保有している。
8)ターミナル入出力レコード手段11の主要ソフトウェア(daemon)は、ターミナル毎にターミナル入出力レコード手段11のプロセスを生成しているため、ユーザのログインまたはログアウトにより自動的にターミナル入出力レコード手段11のログを生成または終了し、管理者の個別ターミナル入出力レコード手段11のプロセス管理が不要となる。
(第二実施例システムの機能による効果)
上述した機能による期待と効果は、下記の通りである。
a)作業内容をモニタリングし、作業中の脆弱点を洗い出して、予防対策に役立てることができる。
b)作業内容を分析し、監督者がサービス者の業務内容を把握することができる。
c)オペレーションミスによるシステムダウンや障害に対する原因究明及び復旧対策が可能である。
d)作業内容のモニタリングを行うことで、管理・監督方法の見直し及び管理者の業務環境・システム環境の改善等に直接的・間接的効果をもたらす。
e)外注先の作業内容を細かく把握できる。それによって、不正防止に役立てられる。
上述した機能による期待と効果は、下記の通りである。
a)作業内容をモニタリングし、作業中の脆弱点を洗い出して、予防対策に役立てることができる。
b)作業内容を分析し、監督者がサービス者の業務内容を把握することができる。
c)オペレーションミスによるシステムダウンや障害に対する原因究明及び復旧対策が可能である。
d)作業内容のモニタリングを行うことで、管理・監督方法の見直し及び管理者の業務環境・システム環境の改善等に直接的・間接的効果をもたらす。
e)外注先の作業内容を細かく把握できる。それによって、不正防止に役立てられる。
(第二実施例のシステムの流れ)
図1−Bに従って、作業内容記録システムの動作の流れを説明する。
複数のサーバおよび端末装置がネットワークを通じてログデータ保存手段2に接続されるが、対象サーバまたは対象端末装置内に、図1−Bに示す対象サーバエージェント部1Bを設ける。対象サーバエージェント部1Bに内蔵されたターミナル入出力レコード手段11は、サーバまたは端末装置のユーザがターミナルへ接続すると、ターミナルが入力装置または出力装置との間で実行するため、ユーザのキー入力及び入力時に画面に現れる出力をモニタリングする。
図1−Bに従って、作業内容記録システムの動作の流れを説明する。
複数のサーバおよび端末装置がネットワークを通じてログデータ保存手段2に接続されるが、対象サーバまたは対象端末装置内に、図1−Bに示す対象サーバエージェント部1Bを設ける。対象サーバエージェント部1Bに内蔵されたターミナル入出力レコード手段11は、サーバまたは端末装置のユーザがターミナルへ接続すると、ターミナルが入力装置または出力装置との間で実行するため、ユーザのキー入力及び入力時に画面に現れる出力をモニタリングする。
ターミナル入出力レコード手段11は、このように得られたターミナルの入力及び入力に対する出力内容をログセーバネット12を経由してログデータ保存手段2に出力する。また、ログデータ保存手段2に出力する前に、入力ログファイル、出力ログファイルに出力することもある。この場合には、別のログディレクトリへ日付、時間、ユーザID、IPアドレス、TTYなどの情報を加えて、入力ログファイル、出力ログファイル等に保存する。保存されたログファイルは、管理者が遠隔地からログビューアプログラムを通じリアルタイムでモニタリングすることが可能である。これらのログファイルは、ログデータ保存手段6で収集して、WORMの保存システムにリアルタイムで保存することが可能である。
ターミナル入出力レコード手段11のプロセスは、ターミナルを通じてユーザのシェルプロセスの入出力内容を参照する。
ユーザがターミナルを通じてシェルプロセスと通信する際に、ユーザのキー入力とその時、画面に現われる画面の出力内容はターミナルへ保存され、ターミナル入出力レコード手段11のターミナルマネージャはInput Control ThreadとOutput Control Threadを利用して入出力内容をモニタリングする。
得られた入出力内容は、String Parserモジュールにより整理され、Command SaverモジュールでInput,Outputログファイルとして保存される。サービス中に発生するプログラム上の問題や実行情報は、後で管理者と開発者の参考用にProcess Logとして別に保存される。
ユーザがターミナルを通じてシェルプロセスと通信する際に、ユーザのキー入力とその時、画面に現われる画面の出力内容はターミナルへ保存され、ターミナル入出力レコード手段11のターミナルマネージャはInput Control ThreadとOutput Control Threadを利用して入出力内容をモニタリングする。
得られた入出力内容は、String Parserモジュールにより整理され、Command SaverモジュールでInput,Outputログファイルとして保存される。サービス中に発生するプログラム上の問題や実行情報は、後で管理者と開発者の参考用にProcess Logとして別に保存される。
(第二実施例のプロセスの流れ)
図2は、本発明に係るターミナル入出力レコード手段のプロセスの流れを示すフローチャートである。
ターミナル入出力レコード手段(Tiorと略記)11のプロセス自動実行が開始され(101)、自動実行が不都合の項目や禁止されている項目に対しては、ターミナル入出力レコード手段(Tior)11のプロセスは削除され(102)、接続が強制的に終了される。Tior configのプロセスが実行され、ユーザのKey−Strokeの入力を待機する(105)。Tior configのファイル障害が発生した場合には(103)、エラーメッセージを出力し(104)、初期値(Default)を適用することにより、ユーザのKey−Strokeの入力を待機する(105)。
図2は、本発明に係るターミナル入出力レコード手段のプロセスの流れを示すフローチャートである。
ターミナル入出力レコード手段(Tiorと略記)11のプロセス自動実行が開始され(101)、自動実行が不都合の項目や禁止されている項目に対しては、ターミナル入出力レコード手段(Tior)11のプロセスは削除され(102)、接続が強制的に終了される。Tior configのプロセスが実行され、ユーザのKey−Strokeの入力を待機する(105)。Tior configのファイル障害が発生した場合には(103)、エラーメッセージを出力し(104)、初期値(Default)を適用することにより、ユーザのKey−Strokeの入力を待機する(105)。
Key−Strokeの入力があれば(106)、入力(使用)内容をファイルに保存する(107)。この場合、日付別保存と、暗号化保存と、入力内容保存と、表示内容保存とに分類される。ファイルシステムが満杯になったならば、エラーメッセージを出力し(111)、テンポラリーディレクトリ保存を行う(112)。
図1−Bに示すように、直接、ログデータ保存手段2に接続される場合には、Tiorプロセスログ保存情報(108)は、リアルタイム伝送で保存手段2に送信される。ファイルシステムが満杯になった場合には、エラーメッセージを出力し(109)、テンポラリーディレクトリ保存を行う(110)。
図1−Bに示すように、直接、ログデータ保存手段2に接続される場合には、Tiorプロセスログ保存情報(108)は、リアルタイム伝送で保存手段2に送信される。ファイルシステムが満杯になった場合には、エラーメッセージを出力し(109)、テンポラリーディレクトリ保存を行う(110)。
1)ログイン処理の手順
図3は、ターミナル入出力レコード手段11のログイン処理の手順を示すフローチャートである。
まず、ユーザアカウント接続を行い(201)、loginプロンプト表示をする(202)。ここでは、IDとPasswordが入力(etc/passwd)される。IDおよびパスワードを確認し(203)、不一致の場合には終了する(204)。
一致した場合には、ユーザShellを実行する(205)。S202,203,205は、いずれもカーネル(Kernel)からの制御により実行される。次に、etc/profile(システム全体設定ファイル)の読み込みを行う(206)。この場合、etc/profileを自動的にスクリップトが追加される。次に、ターミナル入出力レコーダ(Tior)のプロセスを実行する(207)。そして、Login Shellが実行される(208)。次に、etc/profileが適用され(209)、ユーザProfile(ユーザ側で定義したシステム設定ファイル)も適用される(210)。そして、ユーザの入力を待機する(211)。
図3は、ターミナル入出力レコード手段11のログイン処理の手順を示すフローチャートである。
まず、ユーザアカウント接続を行い(201)、loginプロンプト表示をする(202)。ここでは、IDとPasswordが入力(etc/passwd)される。IDおよびパスワードを確認し(203)、不一致の場合には終了する(204)。
一致した場合には、ユーザShellを実行する(205)。S202,203,205は、いずれもカーネル(Kernel)からの制御により実行される。次に、etc/profile(システム全体設定ファイル)の読み込みを行う(206)。この場合、etc/profileを自動的にスクリップトが追加される。次に、ターミナル入出力レコーダ(Tior)のプロセスを実行する(207)。そして、Login Shellが実行される(208)。次に、etc/profileが適用され(209)、ユーザProfile(ユーザ側で定義したシステム設定ファイル)も適用される(210)。そして、ユーザの入力を待機する(211)。
(プログラム)
図1−A、図1−Bのプロセスの流れ、図2に示すプロセスの流れおよび図3に示すログイン処理の手順は、いずれも各手順をプログラム化して、該プログラムをCDまたはDVD等の記録媒体に格納しておけば、この記録媒体を本発明における作業内容記録システム内のコンピュータに装着し、プログラムをコンピュータにインストールして実行させることにより、容易に本発明を実現することが可能である。また、上記コンピュータから通信網を介してプログラムを他のコンピュータにダウンロードすることにより、プログラムの汎用化も可能である。
図1−A、図1−Bのプロセスの流れ、図2に示すプロセスの流れおよび図3に示すログイン処理の手順は、いずれも各手順をプログラム化して、該プログラムをCDまたはDVD等の記録媒体に格納しておけば、この記録媒体を本発明における作業内容記録システム内のコンピュータに装着し、プログラムをコンピュータにインストールして実行させることにより、容易に本発明を実現することが可能である。また、上記コンピュータから通信網を介してプログラムを他のコンピュータにダウンロードすることにより、プログラムの汎用化も可能である。
1A 対象サーバエージェント部
1B 対象サーバエージェント部(ターミナル入出力レコード手段を含む)
2 ログデータ保存手段
3 管理用コンソール部
11 ターミナル入出力レコード手段
12 ログセーバネット
21 ネットエージェント
22 ログディスク(HDD)
23 LSアナリシス(ログファイルの分析)
24 ネットログセーバ
31 ネットビュアー
32 ログリストア
33 LSアナリシス
34 ログ媒体コピー
11A メインプロセッサ
12A メモリ
13 補助記憶装置
14 通信網接続部
15 ログデータ保存手段接続部
40 ログデータ保存手段
41 制御部
42 バッファ部
43 切換部
44 媒体ドライブ
45 媒体ドライブ
1B 対象サーバエージェント部(ターミナル入出力レコード手段を含む)
2 ログデータ保存手段
3 管理用コンソール部
11 ターミナル入出力レコード手段
12 ログセーバネット
21 ネットエージェント
22 ログディスク(HDD)
23 LSアナリシス(ログファイルの分析)
24 ネットログセーバ
31 ネットビュアー
32 ログリストア
33 LSアナリシス
34 ログ媒体コピー
11A メインプロセッサ
12A メモリ
13 補助記憶装置
14 通信網接続部
15 ログデータ保存手段接続部
40 ログデータ保存手段
41 制御部
42 バッファ部
43 切換部
44 媒体ドライブ
45 媒体ドライブ
Claims (11)
- ネットワークに接続されるサーバまたは端末装置毎のユーザの使用履歴を取得し、保存する作業内容記録システムにおいて、
複数のサーバまたは端末装置内に設けられ、保存しようとするログファイルのリストを作成し、リストアップされた保存対象のログファイルをリアルタイムで転送開始する対象サーバエージェント部と、
ネットワーク経由で転送されて来たログファイルをWORMに書き込むログデータ保存手段と、
該ログデータ保存手段の起動状態及びログファイルの情報をリアルタイムでモニタリングし、保存したログファイルの検索及び報告書を作成するとともに、バックアップされたWORMを復元し、またバックアップした該WORMをコピーし、あるいは復元されたログファイルを検索する管理用コンソール部と
を有することを特徴とする作業内容記録システム。 - 請求項1に記載の作業内容記録システムにおいて、
前記対象サーバエージェント部に、ターミナルで発生したキー入力データに対して、各キー入力の出所を区別することで複数のターミナル接続の区別を行い、該ターミナルからのキー入力時の情報でログファイルを生成し、キー入力の部分を暗号化してログファイルに記録するターミナル入出力レコード手段を内蔵したことを特徴とする作業内容記録システム。 - 請求項1に記載の作業内容記録システムにおいて、
前記ログデータ保存手段は、ログデータをWORMに保存し、かつ1つの媒体の保存容量を超過したときには他の新しいWORMに切り換え、あるいは、保存容量の途中で切り換えを設定することにより他の新しいWORMに切り換えて、ログデータを保存することを特徴とする作業内容記録システム。 - 請求項1に記載の作業内容記録システムにおいて、
前記ターミナル入出力レコード手段は、自身のプロセスを強制的に終了した場合、システムがターミナルに接続されたユーザ端末の接続を切り離し、該ユーザのシステム使用を強制的に排除することを特徴とする作業内容記録システム。 - 請求項1に記載の作業内容記録システムにおいて、
前記ターミナル入出力レコード手段は、カーネルとは独立の別プロセスで動作し、自身のプロセスを追加した時の既存システムへの影響を排除したことを特徴とする作業内容記録システム。 - 請求項1に記載の作業内容記録システムにおいて、
前記管理用コンソール部は、ターミナル使用内訳のログ検索機能を提供することで、ユーザの作業内容の確認を可能にしたことを特徴とする作業内容記録システム。 - ネットワークに接続されるサーバまたは端末装置毎のユーザの使用履歴を取得し、保存する作業内容記録方法において、
対象サーバエージェント部は、プログラムを起動する前に各サーバ毎に保存しようとするログファイルのリストを作成し、
ログリストの作成が終了すると、該ログリストにリストアップされた保存対象のログファイルをリアルタイムでログデータ保存手段にネットワーク経由で転送を開始し、
ログデータ保存手段は、ログ管理対象サーバエージェントのソフトウェアの状態確認と、該ログデータ保存手段に対して送られてくるログファイルが正しく受信されて保存されているかを確認し、
転送されてきたログファイルをログデータ保存手段のハードディスクへリアルタイムに保存し、
転送されてきたログファイルをWORMに書き込み、
管理用コンソール部では、ログデータ保存手段の起動状態及びログファイルの情報をリアルタイムでモニタリングし、
保存したログファイルの検索、および報告書を作成し、
既存ログファイルの再分析や、無欠性の生ログファイルが必要な時にWORMに保存されたログファイルを復元し、
保存した該WORMを新しい別のWORMにコピーし、
該WORMから管理用PCのハードディスクへ復元されたログファイルを検索することを特徴とする作業内容記録方法。 - コンピュータシステムに接続されるサーバまたは端末装置毎のユーザの使用履歴を取得し、保存する作業内容記録方法において、
ターミナル入出力レコード手段のプロセスが開始されると、ターミナル入出力レコード手段のプロセスを実行し、ユーザのキーストロークの入力を待機し、キーストロークの入力があれば、入力内容を、日付別保存と、暗号化保存と、入力内容保存と、表示内容保存とに分類して保存し、ターミナル入出力レコード手段のプロセスログ保存情報をリアルタイム伝送でログデータ保存手段に送信し、該ログデータ保存手段では、ファイルシステムが満杯になった場合には、切り換え部が他の記録媒体に切り換えて、ログデータを1回のみ書き込むことにより保存することを特徴とする作業内容記録方法。 - 請求項8に記載の作業内容記録方法において、
前記ターミナル入出力レコード手段のプロセス開始前に、ユーザアカウント接続を行い、ログイン・プロンプト表示し、IDとパスワードが入力されることにより、これを確認し、不一致の場合には終了するが、一致した場合には、ユーザ確認のプロセスを実行し、etcプロファイルの読み込みを行い、次に、該ターミナル入出力レコーダのプロセスを実行して、ログイン確認のプロセスを実行し、次に、etcプロファイルを適用するとともに、ユーザ・プロファイルも適用することで、ユーザの入力を待機することを特徴とする作業内容記録方法。 - コンピュータシステムに接続されるサーバまたは端末装置毎のユーザの使用履歴を取得し、保存する作業内容記録用プログラムにおいて、
対象サーバエージェント部のコンピュータに、プログラムを起動する前に各サーバ毎に保存しようとするログファイルのリストを作成する手順、該ログリストにリストアップされた保存対象のログファイルをリアルタイムでログデータ保存手段に転送開始する手順を、
ログデータ保存手段のコンピュータに、対象サーバエージェント部のソフトウェアの状態を確認する手順、該ログデータ保存手段に対して送られてくるログファイルが正しく受信されて保存されているかを確認する手順、転送されてきたログファイルをログデータ保存手段のハードディスクへリアルタイムに保存する手順、転送されてきたログファイルをWORMに書き込む手順を、
管理用コンソール部のコンピュータに、前記ログデータ保存手段の起動状態及びログファイルの情報をリアルタイムでモニタリングする手順、保存したログファイルの検索、および報告書を作成する手順、既存ログファイルの再分析や、無欠性の生ログファイルが必要な時にWORMに保存されたログファイルを復元する手順、保存した該WORMを新しい別のWORMにコピーする手順、該WORMから管理用PCのハードディスクへ復元されたログファイルを検索する手順を、それぞれ実行させるための作業内容記録用プログラム。 - コンピュータシステムに接続されるネットワーク毎のユーザの使用履歴を取得し、保存する作業内容記録用プログラムにおいて、
対象サーバエージェント部のコンピュータに、プロセスの開始を指示する手順、ターミナル入出力レコード手段のプロセスを実行する手順、ユーザのキーストロークの入力を待機する手順、キーストロークの入力があれば、入力内容を、日付別保存と、暗号化保存と、入力内容保存と、表示内容保存とに分類して保存する手順、ターミナル入出力レコード手段のプロセスログ保存情報をリアルタイム伝送でログデータ保存手段に送信する手順、該ログデータ保存手段では、ファイルシステムが満杯になった場合には、切り換え部が他の記録媒体に切り換えて、ログデータを1回のみ書き込むことにより保存する手順を、実行させるための作業内容記録用プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006311344A JP5214135B2 (ja) | 2006-11-17 | 2006-11-17 | 作業内容記録システムおよびその方法、ならびにそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006311344A JP5214135B2 (ja) | 2006-11-17 | 2006-11-17 | 作業内容記録システムおよびその方法、ならびにそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008129685A true JP2008129685A (ja) | 2008-06-05 |
| JP5214135B2 JP5214135B2 (ja) | 2013-06-19 |
Family
ID=39555459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006311344A Expired - Fee Related JP5214135B2 (ja) | 2006-11-17 | 2006-11-17 | 作業内容記録システムおよびその方法、ならびにそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5214135B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101484882B1 (ko) | 2014-03-31 | 2015-01-23 | (주)지엠디시스템 | 포렌식 데이터 복원 방법 및 시스템 |
| CN106570163A (zh) * | 2016-11-07 | 2017-04-19 | 深圳市任子行科技开发有限公司 | 一种面向不可靠环境的审计日志读写管理方法以及*** |
| CN111949472A (zh) * | 2019-05-17 | 2020-11-17 | 北京京东尚科信息技术有限公司 | 一种记录应用日志的方法及装置 |
| CN112612643A (zh) * | 2020-12-21 | 2021-04-06 | 武汉天宫北斗科技有限公司 | 一种高精度变形监测数据存储*** |
| CN113032355A (zh) * | 2021-04-06 | 2021-06-25 | 上海英方软件股份有限公司 | 一种Web应用批量收集日志的方法及装置 |
| CN114158217A (zh) * | 2021-08-09 | 2022-03-08 | 国网江苏省电力有限公司淮安供电分公司 | 主站***的定制值流转方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10340254A (ja) * | 1997-04-11 | 1998-12-22 | Hitachi Ltd | 不正利用検出可能ネットワークシステム |
-
2006
- 2006-11-17 JP JP2006311344A patent/JP5214135B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10340254A (ja) * | 1997-04-11 | 1998-12-22 | Hitachi Ltd | 不正利用検出可能ネットワークシステム |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101484882B1 (ko) | 2014-03-31 | 2015-01-23 | (주)지엠디시스템 | 포렌식 데이터 복원 방법 및 시스템 |
| CN106570163A (zh) * | 2016-11-07 | 2017-04-19 | 深圳市任子行科技开发有限公司 | 一种面向不可靠环境的审计日志读写管理方法以及*** |
| CN111949472A (zh) * | 2019-05-17 | 2020-11-17 | 北京京东尚科信息技术有限公司 | 一种记录应用日志的方法及装置 |
| CN112612643A (zh) * | 2020-12-21 | 2021-04-06 | 武汉天宫北斗科技有限公司 | 一种高精度变形监测数据存储*** |
| CN113032355A (zh) * | 2021-04-06 | 2021-06-25 | 上海英方软件股份有限公司 | 一种Web应用批量收集日志的方法及装置 |
| CN113032355B (zh) * | 2021-04-06 | 2023-06-09 | 上海英方软件股份有限公司 | 一种Web应用批量收集日志的方法及装置 |
| CN114158217A (zh) * | 2021-08-09 | 2022-03-08 | 国网江苏省电力有限公司淮安供电分公司 | 主站***的定制值流转方法 |
| CN114158217B (zh) * | 2021-08-09 | 2024-03-22 | 国网江苏省电力有限公司淮安供电分公司 | 主站***的定制值流转方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5214135B2 (ja) | 2013-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kent et al. | Guide to integrating forensic techniques into incident | |
| US7536598B2 (en) | Computer system capable of supporting a plurality of independent computing environments | |
| US8732129B2 (en) | Storage system for managing a log of access | |
| US7540027B2 (en) | Method/system to speed up antivirus scans using a journal file system | |
| US7392541B2 (en) | Computer system architecture and method providing operating-system independent virus-, hacker-, and cyber-terror-immune processing environments | |
| US7137034B2 (en) | Self repairing computer having user accessible switch for modifying bootable storage device configuration to initiate repair | |
| US20110145923A1 (en) | Computer having special purpose subsystems and cyber-terror and virus immunity and protection features | |
| US20080083037A1 (en) | Data loss and theft protection method | |
| US20110191851A1 (en) | Computer and method for safe usage of documents, email attachments and other content that may contain virus, spy-ward, or malicious code | |
| US20080109804A1 (en) | Additional uses of virtualization for disaster recovery and prevention | |
| JP5214135B2 (ja) | 作業内容記録システムおよびその方法、ならびにそのプログラム | |
| US8978151B1 (en) | Removable drive security monitoring method and system | |
| Steel | Windows forensics: The field guide for conducting corporate computer investigations | |
| JP4904365B2 (ja) | 緊急データ保存サービス | |
| KR20100061351A (ko) | 데이터 보호 방법 및 컴퓨팅 장치 | |
| KR20060058296A (ko) | 시스템/데이터의 자동 백업 및 복구 통합 운영 방법 | |
| Kent et al. | Sp 800-86. guide to integrating forensic techniques into incident response | |
| JP5310075B2 (ja) | ログ収集システム、情報処理装置、ログ収集方法およびプログラム | |
| Grance et al. | Guide to computer and network data analysis: Applying forensic techniques to incident response | |
| KR100794685B1 (ko) | 로깅 터미널 모니터링 시스템 | |
| JP2005535003A (ja) | 複数の独立コンピューティング環境をサポートすることができるコンピュータシステム | |
| Ahmad et al. | Improved Event Logging for security and Forensics: developing audit management infrastructure requirements | |
| Schwittay | Towards automating analysis in computer forensics | |
| Chapman et al. | Building internet firewalls | |
| CN115774698A (zh) | 一种日志处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091009 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20110519 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110526 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110524 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120403 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120604 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121218 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20121225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130129 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130227 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5214135 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160308 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |