JP2010271875A - ネットワーク管理システムおよびプログラム - Google Patents
ネットワーク管理システムおよびプログラム Download PDFInfo
- Publication number
- JP2010271875A JP2010271875A JP2009122462A JP2009122462A JP2010271875A JP 2010271875 A JP2010271875 A JP 2010271875A JP 2009122462 A JP2009122462 A JP 2009122462A JP 2009122462 A JP2009122462 A JP 2009122462A JP 2010271875 A JP2010271875 A JP 2010271875A
- Authority
- JP
- Japan
- Prior art keywords
- log information
- log
- server
- regular expression
- notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】管理サーバが、監視対象サーバから大量のログ情報を通知された場合に、その状況を検知し、大量通知の原因となっている特定のログ情報の通知を抑止することで、ネットワークトラフィックの増大を抑制するとともに、必要な情報の抜け落ちを防止することを課題とする。
【解決手段】本発明のネットワーク管理システム1000において、ログ管理サーバ100は、監視対象サーバ200から通知されたログ情報をログ情報記憶部に格納し、所定期間内に通知されたログ情報の件数が所定の閾値を超過した場合に、ログ情報記憶部に格納された各ログ情報を解析して、ログ情報の件数が所定の閾値を超過した原因となっているログ情報の種類を特定し、当該監視対象サーバ200に対して、当該原因となっている種類のログ情報の通知の停止命令を送信する。
【選択図】図1
【解決手段】本発明のネットワーク管理システム1000において、ログ管理サーバ100は、監視対象サーバ200から通知されたログ情報をログ情報記憶部に格納し、所定期間内に通知されたログ情報の件数が所定の閾値を超過した場合に、ログ情報記憶部に格納された各ログ情報を解析して、ログ情報の件数が所定の閾値を超過した原因となっているログ情報の種類を特定し、当該監視対象サーバ200に対して、当該原因となっている種類のログ情報の通知の停止命令を送信する。
【選択図】図1
Description
本発明は、ネットワーク上に分散している各監視対象サーバのログ情報を取得して、管理サーバに通知することで、各サーバの異常を迅速に検知するログ管理システムに関する。
ネットワーク上に分散している各監視対象サーバのログ情報を収集する場合、監視対象サーバから管理サーバに対して、監視対象サーバのログファイルに出力された全てのログ情報を通知すると監視対象サーバと管理サーバとの間のネットワークトラフィックが増加する。これにより、ネットワークの負荷や、監視対象サーバ、管理サーバの処理負荷が増大する。この問題を解決するためには、通知するログ情報の流量を制御する必要がある。
従来から、これらの問題に対して、いくつかの解決策が知られている。例えば、特許文献1では、監視対象サーバ側で、取得されたログ情報に対するフィルタリング機構を設け、必要最低限のログ情報のみを管理サーバに通知することで、ネットワークや管理サーバの負荷を軽減する方法が開示されている。
また、特許文献2では、監視対象サーバ側で閾値に応じた監視項目設定を行い、一方、管理サーバ側では自身のCPU(Central Processing Unit)負荷情報を取得しておき、一定のCPU負荷を超過したことを検知すると、閾値情報の変更通知を監視対象サーバに送信し、その閾値に応じたログ情報の取得を行うことで、動的なフィルタリングを可能とし、取得するログ情報数の制御を行う方法が開示されている。
ログ管理システムにおいて、監視対象サーバのログファイルには、管理サーバによるネットワーク管理に必要なログ情報以外にも様々なログ情報が出力される。そのため、特許文献1の技術のように、ログ監視プログラムにフィルタリング機構を設けることで、必要なログ情報のみを通知することが可能となり、また、適切なフィルタリングを行うことにより、ネットワーク管理に必要最小限なデータ通知を行うことができる。
しかし、特許文献1のように、静的なフィルタリングにより通知データ量を制御する方法では、システム負荷やネットワーク負荷の状況に応じた通知データ量の制御を行うことができない。例えば、通知を抑止するフィルタリング条件を通過するログ情報が短期間で大量に出力された場合には、これらのログ情報はログ監視プログラムにより管理サーバに通知される。そのため、監視対象サーバから大量のログ情報が管理サーバに通知される状況となり、ネットワークトラフィックが増大したり、管理サーバや監視対象サーバの処理負荷が増大したりする。
上記問題点を解消するために、特許文献2の技術によれば、通知するログ情報のフィルタリング設定を閾値に応じて動的に変更して、負荷状況に応じたログ情報の通知を制御することで、ネットワークトラフィックの増大を防止することができる。これは、管理サーバ側のCPU負荷状況に応じて閾値情報の変更を行い、その閾値情報に応じてログ情報の取得条件でログ情報を取得することで、通知すべきログ情報の制御を行うものである。この閾値に応じた取得項目の設定はあらかじめ定義されている必要があり、閾値が高くなるにつれて、ログ情報の取得項目の条件を強めることで、通知すべきログ情報の絞り込みを行うものである。そのため、大量通知となる原因のログ情報以外のログ情報についても、通知が抑止されることとなり、ログ監視によるネットワーク管理に必要となるログ情報の抜け落ちが発生する。
例えば、Webサーバのユーザアクセスの管理を行うプログラムで、不当なアクセスが発生した場合に、その状況を示す警告ログ情報をログファイルに出力する仕掛けとなっていたとする。その場合、ネットワーク管理者は、ログ監視プログラムによる警告ログ情報の通知により、Webサーバが攻撃(不当なアクセス)を受け危険な状態におかれていることを知ることができる。Webサーバへの攻撃が短期間に大量に発生すると、管理サーバ側で、警告ログ情報とエラーログ情報を取得する現行の閾値から、エラーログ情報のみの取得を行う閾値への変更が行われる。この閾値情報の変更が、監視対象サーバ上で動作するログ監視プログラムに通知され、警告ログ情報の取得を抑止し、エラーログ情報のみの取得を行う閾値に変更される。
しかし、この閾値情報の変更により、閾値情報の変更が行われた後に発生した他の警告ログ情報についても取得が抑止される状態となる。そのため、ネットワークトラフィックの増大を抑止することは可能であるが、ログ監視によるネットワーク管理で必要となる他のログ情報の取得までが抑止されることとなる。したがって、大量通知の原因となるログ情報を特定した上で、そのログ情報の通知抑止を制御することで、ネットワークトラフィックの増大を防止し、ネットワーク管理に必要なログ情報を通知する必要がある。
本発明は、前記問題に鑑みてなされたものであり、管理サーバが、監視対象サーバから大量のログ情報を通知された場合に、その状況を検知し、大量通知の原因となっている特定のログ情報の通知を抑止することで、ネットワークトラフィックの増大を抑制するとともに、必要な情報の抜け落ちを防止することを課題とする。
前記課題を解決するために、本発明は、1つ以上の監視対象サーバと、監視対象サーバから通知されるログ情報を監視対象サーバごとに管理するログ管理サーバと、を備えるネットワーク管理システムにおいて、ログ管理サーバは、監視対象サーバから通知されたログ情報をログ情報記憶部に格納し、所定期間内に通知されたログ情報の件数が所定の閾値を超過した場合に、ログ情報記憶部に格納された各ログ情報を解析して、ログ情報の件数が所定の閾値を超過した原因となっているログ情報の種類を特定し、当該監視対象サーバに対して、当該原因となっている種類のログ情報の通知の停止命令を送信することを特徴とする。その他の手段については後記する。
本発明によれば、管理サーバが、監視対象サーバから大量のログ情報を通知された場合に、その状況を検知し、大量通知の原因となっている特定のログ情報の通知を抑止することで、ネットワークトラフィックの増大を抑制するとともに、必要な情報の抜け落ちを防止することができる。
以下、本発明を実施するための形態(以下、実施形態という。)について、図面を参照しながら説明する。
図1に示すように、本実施形態のネットワーク管理システム1000は、ログ管理サーバ100と、複数の監視対象サーバ1〜N(符号200。以下、「監視対象サーバ200」という。)とが、通信ネットワーク(不図示)によって接続されて構成されている。
ログ管理サーバ100は、コンピュータ装置であり、CPU、RAM(Random Access Memory)(メモリ)、ROM(Read Only Memory)、ハードディスクなどを備えるが、ここでは、機能的に、ログ管理プログラム101と、ディスプレイ装置102とのみを図示している。なお、ログ管理プログラム101はCPUによって実行されるものであるが、説明を簡潔にする都合上、ログ管理プログラム101が各処理を実行するものとして説明する。また、ログ管理サーバ100は、監視対象サーバ200から通知されるログ情報を監視対象サーバ200ごとに管理する。
ログ管理プログラム101におけるログ情報受信処理部103は、各監視対象サーバ200から通知されたログ情報を受信するステップと、受信したログ情報の通知元情報から、該当するログ情報解析テーブル109(ログ情報記憶部)を特定するステップと、通知されたログ情報を前記ステップで特定したログ情報解析テーブル109に格納するステップと、所定期間あたりの通知件数をログ情報件数格納メモリ領域107に格納するステップとを実行する。
さらに、ログ管理プログラム101における閾値超過判定処理部104は、ログ情報件数格納メモリ領域107に格納された値と、閾値情報格納メモリ領域108に格納された値とを大小比較するステップを実行する。閾値情報格納メモリ領域108に格納される閾値情報(所定の閾値)は、ログ管理プログラム101の定義ファイルなどに、大量通知の状況と判定したい通知ログ情報の件数を、あらかじめユーザに定義させておき、その定義データを閾値情報格納メモリ領域108に格納しておいてもよい。
ログ管理プログラム101におけるログ情報解析処理部105は、閾値超過判定処理部104により、通知されたログ情報が閾値を超過したと判定された場合、ログ情報解析テーブル109に格納された各ログ情報の解析を行い、大量通知の原因となるログ情報の特定、及び、そのログ情報の取得を抑止するための正規表現データ(異なる複数の文字列を一つの文字列で表現したデータ。具体例は後記)を生成するステップを実行する。また、ログ情報解析処理部105は、閾値超過判定処理部104により、通知されたログ情報が閾値を下回ったと判定された場合、ログ情報解析テーブル109内に格納されたログ情報を削除するステップを実行する。
ログ管理プログラム101における抑止命令通知処理部106は、大量通知の原因となる監視対象サーバ200上で動作するログ監視プログラム110に対して、抑止命令(停止命令)と、ログ情報解析処理部105で生成した正規表現データを送信するステップを実行する。
監視対象サーバ200は、コンピュータ装置であり、CPU、RAM、ROM、ハードディスクなどを備えるが、ここでは、機能的に、ログ監視プログラム110と、ログファイル120とのみを図示している。なお、ログ監視プログラム110はCPUによって実行されるものであるが、説明を簡潔にする都合上、ログ監視プログラム110が各処理を実行するものとして説明する。
ログ監視プログラム110における抑止命令受信処理部116は、ログ管理サーバ100から通知された抑止命令及び、大量通知の原因となるログ情報を抑止するための正規表現データを受信するステップと、受信した正規表現データをフィルタリングテーブル119(フィルタリング記憶部)に抑止条件として追加するステップを実行する。
ログ監視プログラム110におけるログ情報取得処理部111は、監視対象のログファイル120から、更新されたログ情報を取得する。
ログ監視プログラム110におけるフィルタリング条件判定処理部112は、ログ情報取得処理部111が取得したログ情報と、フィルタリングテーブル119に格納される各ログ情報通知抑止条件とを比較するステップと、所定期間内に、抑止命令受信処理部116により、フィルタリングテーブル119に追加された抑止条件に該当するログ情報件数を抑止条件該当ログ情報件数格納メモリ領域118に格納するステップを実行する。
フィルタリングテーブル119に格納される各フィルタリング条件は、ログ監視に不要なログ情報を抑止するためのフィルタリング条件として、あらかじめ正規表現データを作成して、フィルタリングテーブル119内に格納しておく。なお、各フィルタリング条件は、ログ監視プログラム110の定義ファイルに、あらかじめユーザに定義させておき、定義データを読み込むことで、フィルタリングテーブル119内に格納してもよい。
ログ監視プログラム110における閾値超過判定処理部113は、抑止条件該当ログ情報件数格納メモリ領域118の値と、閾値情報格納メモリ領域117に格納された閾値情報(所定の閾値)の値を比較する。なお、閾値情報格納メモリ領域117に格納される閾値情報は、ログ監視プログラム110の定義ファイルなどに、大量通知の状況と判定したいログ情報の件数を、あらかじめユーザに定義させておき、その定義データを閾値情報格納メモリ領域117に格納しておいてもよい。
ログ監視プログラム110における抑止状況通知処理部115は、所定期間内に監視対象のログファイル120に出力された抑止条件に該当するログ情報が、閾値を超過した場合、該当する抑止条件、抑止した期間、抑止したログ情報の件数情報をログ管理プログラム101に通知するステップを実行する。また、抑止状況通知処理部115は、所定期間内に監視対象のログファイル120に出力された抑止条件に該当するログ情報が、閾値を下回った場合、抑止命令受信処理部116により追加された抑止条件をフィルタリングテーブル119から削除し、抑止解除通知を行うステップを実行する。
次に、ログ管理プログラム101のログ情報受信処理部103の処理手順について説明する(適宜図1参照)。
図2に示すように、ログ情報受信処理部103は、ステップ201で、ログ監視プログラム110のログ情報送信処理部114からログ情報を受信する。
図2に示すように、ログ情報受信処理部103は、ステップ201で、ログ監視プログラム110のログ情報送信処理部114からログ情報を受信する。
ログ情報受信処理部103は、ステップ202で、受信したログ情報の通知元のIPアドレス及び、ログファイル名に該当するログ情報解析テーブル109の検索を行う。さらにログ情報受信処理部103は、検索の結果、該当するログ情報解析テーブル109が存在する場合は(ステップ203で「存在する」)、ステップ205に進む。ログ情報受信処理部103は、該当するログ情報解析テーブル109が存在しない場合は(ステップ203で「存在しない」)、ステップ204に進み、ログ情報解析テーブル109を新規作成し、ステップ205に進む。。
ログ情報受信処理部103は、ステップ205で、ログ情報解析テーブル109に、受信したログ情報(通知ログ情報)を格納する。
ログ情報受信処理部103は、ステップ206で、ログ情報件数格納メモリ領域107に格納されたの通知ログ情報件数の値を更新し、処理を終了する。
このようにして、ログ管理サーバ100は、監視対象サーバ200から受信したログ情報を、ログ情報解析テーブル109およびログ情報件数格納メモリ領域107に反映することができる。
ログ情報受信処理部103は、ステップ206で、ログ情報件数格納メモリ領域107に格納されたの通知ログ情報件数の値を更新し、処理を終了する。
このようにして、ログ管理サーバ100は、監視対象サーバ200から受信したログ情報を、ログ情報解析テーブル109およびログ情報件数格納メモリ領域107に反映することができる。
次に、ログ管理プログラム101の閾値超過判定処理部104、ログ情報解析処理部105、抑止命令通知処理部106の処理手順について説明する(適宜図1参照)。
図8に示すように、閾値超過判定処理部104は、ステップ801で、ログ情報件数格納メモリ領域107に格納された値と、閾値情報格納メモリ領域108に格納された値を比較し、通知ログ情報件数が閾値を超過した場合(ステップ802で「超える」)、ステップ803に進み、閾値を下回る場合(ステップ802で「超えない」)、ステップ805に進む。
図8に示すように、閾値超過判定処理部104は、ステップ801で、ログ情報件数格納メモリ領域107に格納された値と、閾値情報格納メモリ領域108に格納された値を比較し、通知ログ情報件数が閾値を超過した場合(ステップ802で「超える」)、ステップ803に進み、閾値を下回る場合(ステップ802で「超えない」)、ステップ805に進む。
ログ情報解析処理部105は、ステップ803で、大量通知となるログ情報の特定、及び、該当ログ情報の通知を抑止するための正規表現データ(抑止条件)を生成する。
抑止命令通知処理部106は、ステップ804で、ログ情報の大量通知を行っている監視対象サーバ200上で動作するログ監視プログラム110に対して、当該通知の抑止命令とステップ803で生成した正規表現データ(抑止条件)を送信する。
抑止命令通知処理部106は、ステップ805で、ログ情報解析テーブル109に格納されたログ情報を全て削除し初期化を行う。
ログ管理プログラム101は、一定の時間間隔で、前記したステップ801からステップ805の処理を繰り返し実施することで、大量にログ情報が通知されている状況を確実に検知することができる。
ログ管理プログラム101は、一定の時間間隔で、前記したステップ801からステップ805の処理を繰り返し実施することで、大量にログ情報が通知されている状況を確実に検知することができる。
次に、ログ情報解析テーブル109の構造について説明する。図4に示すように、ログ情報解析テーブル109は、ログ管理プログラム101のメモリ上に配置される領域であり、ログ情報の各送信元IPアドレスのログファイル名毎に作成される領域である。
ログ情報解析テーブル109は、通知元環境情報領域402とログ情報管理領域403の2つの領域を備える。ログ情報管理領域403は、通知されたログ情報の本文を格納するログ情報本文格納領域404と、フラグ領域405の2つの領域を備えるメモリ領域である。
ログ情報受信処理部103は、ログ情報407を受信すると(図2のステップ201)、ログ情報407の通知元である監視対象サーバ200のIPアドレスとログファイル名(監視対象ログ)を元に、該当するログ情報解析テーブル109を検索する(図2のステップ202)。次に、ログ情報受信処理部103は、受信したログ情報407を、第Nログ情報本文格納領域404に格納する(図2のステップ203で「存在する」→ステップ205)。同様に、ログ情報受信処理部103は、同一の監視対象サーバ200の同一のログファイル120からのログ情報408を受信すると、第N+1ログ情報本文格納領域404にログ情報408を格納する。このようにして、ログ情報解析テーブル109にログ情報が蓄積される。
次に、ログ管理プログラム101のログ情報解析処理部105の処理手順(図8のステップ803)について説明する(適宜他図参照)。
図5に示すように、ログ情報解析処理部105は、ステップ501からステップ507までの処理を、ログ情報解析テーブル109に格納されるログ情報全てに対して行う(1≦K≦Nの間繰り返す)。
図5に示すように、ログ情報解析処理部105は、ステップ501からステップ507までの処理を、ログ情報解析テーブル109に格納されるログ情報全てに対して行う(1≦K≦Nの間繰り返す)。
ログ情報解析処理部105は、ステップ501で、第Kログ情報本文格納領域404に格納されているログ情報と、第K+1ログ情報本文格納領域404のログ情報の文字列比較を行う。
ログ情報解析処理部105は、ステップ502で、一致する文字列とその位置情報を元に、図6に示す第1、第2ログ情報本文格納領域404に格納されるログ情報にマッチする正規表現データを生成する。
ログ情報解析処理部105は、ステップ503からステップ506までの処理を、ログ情報解析テーブル109に格納されているログ情報件数分実行する(1≦I≦Nの間繰り返す)。
ログ情報解析処理部105は、ステップ503で、ステップ502で生成した正規表現データを使用して、ログ情報本文格納領域404に格納されるログ情報にマッチするか(該当性)を判定する。ログ情報解析処理部105は、当該ログ情報が正規表現データにマッチした場合(ステップ504で「該当する」)、ステップ505に進み、第Iログ情報本文格納領域404に付随するフラグ領域405に「1」を格納する。また、ログ情報解析処理部105は、当該ログ情報が正規表現データにマッチしなかった場合(ステップ504で「該当しない」)、ステップ506に進み、第Iログ情報本文格納領域404に付随するフラグ領域405に「0」を格納する。
ログ情報解析処理部105は、ステップ507で、ステップ502で生成した正規表現データに該当するログ情報の件数と、正規表現データをメモリ上に記憶する。
ログ情報解析処理部105は、ステップ508で、ステップ507で求まった各正規表現データに該当するログ情報の件数(フラグ領域が「1」となる件数)を比較し、最多件数の正規表現データを抑止条件とする。
このようにして、ログ管理サーバ100は抑止条件を生成することができる。なお、大量通知のログ情報が2種類以上あって、1つの正規表現データでは1種類のログ情報しか抑止できない場合でも、本実施形態の処理を繰り返すことで、すべての大量通知のログ情報を順番に抑止することができる。
次に、ログ監視プログラム110の抑止命令受信処理部116の処理手順について説明する(適宜他図参照)。
図3に示すように、抑止命令受信処理部116は、ステップ301で、ログ管理プログラム101から送信された抑止命令と抑止条件を受信する。
図3に示すように、抑止命令受信処理部116は、ステップ301で、ログ管理プログラム101から送信された抑止命令と抑止条件を受信する。
次に、抑止命令受信処理部116は、ステップ302で、受信した正規表現データによる抑止条件を、メモリ上のフィルタリングテーブル119に追加し、処理を終了する。
このようにして、監視対象サーバ200は、抑止条件をフィルタリングテーブル119に反映することができる。
このようにして、監視対象サーバ200は、抑止条件をフィルタリングテーブル119に反映することができる。
次に、ログ監視プログラム110のフィルタリング条件判定処理部112の処理手順について説明する(適宜他図参照)。
図9に示すように、フィルタリング条件判定処理部112は、ステップ901で、監視対象のログファイル120から、更新されたログ情報を、ログ情報取得処理部111を経由して取得する。
図9に示すように、フィルタリング条件判定処理部112は、ステップ901で、監視対象のログファイル120から、更新されたログ情報を、ログ情報取得処理部111を経由して取得する。
次に、フィルタリング条件判定処理部112は、ステップ902で、取得したログ情報と、フィルタリングテーブル119内のあらかじめ定義された各フィルタリング条件を比較する。フィルタリング条件に該当する場合は(ステップ903で「該当する」)、ステップ904に進む。フィルタリング条件判定処理部112は、当該ログ情報がフィルタリング条件に該当しない場合は(ステップ903で「該当しない」)、ステップ905に進み、ログ情報送信処理部114によって当該ログ情報をログ管理プログラム101に通知し、処理を終了する。
ステップ904で、フィルタリング条件判定処理部112は、ステップ901で取得したログ情報と、図3のステップ302で、抑止命令受信処理部116により追加された抑止条件を比較する。抑止条件に該当する場合は(ステップ906で「該当する」)、ステップ907に進む。フィルタリング条件判定処理部112は、当該ログ情報が抑止条件に該当しない場合は(ステップ906で「該当しない」)、ステップ908に進み、ステップ901で取得したログ情報を破棄して通知を抑止し(つまり、通知しないで)、処理を終了する。
フィルタリング条件判定処理部112は、ステップ907で、ステップ901で取得したログ情報を破棄して通知を抑止する。
フィルタリング条件判定処理部112は、ステップ909で、抑止条件該当ログ情報件数格納メモリ領域118に格納された、抑止条件に該当したログ情報の件数の値を更新(1加算)する。
このようにして、監視対象サーバ200は、フィルタリング条件と抑止条件の判定結果に応じた処理を行うことができる。
このようにして、監視対象サーバ200は、フィルタリング条件と抑止条件の判定結果に応じた処理を行うことができる。
次に、ログ監視プログラム110の閾値超過判定処理部113と抑止状況通知処理部115の処理手順について説明する(適宜他図参照)。
図10に示すように、閾値超過判定処理部113は、ステップ1001で、抑止条件該当ログ情報件数格納メモリ領域118に格納された抑止条件該当ログ情報件数の値と、閾値情報格納メモリ領域117に格納された閾値を比較し、当該件数が閾値以下の場合には(ステップ1002で「超えない」)、ステップ1003に進む。さらに、閾値超過判定処理部113は、閾値を超過している場合には(ステップ1002で「超える」)、ステップ1004に進み、抑止状況通知処理部115は抑止状況通知を行い、処理を終了する。
ステップ1003で、閾値超過判定処理部113は、該当する抑止条件をフィルタリングテーブル119から削除し、ステップ1005で、抑止状況通知処理部115は抑止解除通知をログ管理プログラム101に通知する。
ログ監視プログラム110は、一定の時間間隔で、ステップ1001からステップ1005の処理を繰り返し実行することで、抑止条件の解除の要否を判定し、各通知を行うことができる。
次に、図7を参照して、本実施形態で監視対象のログファイル120に大量にログ情報が出力された際の、ログ情報の通知抑止が行なわれた場合の、ログファイル120の状態、ログ情報解析テーブル109の状態、生成された正規表現データ、及び、フィルタリングテーブル119に追加された抑止条件の一例について説明する。なお、抑止条件705は、最初は存在していないものとする。
図7に示すように、監視対象のログファイル120に出力された”ERROR0001”を含むログ情報は、あらかじめ定義されたフィルタリング条件704には含まれておらず、ログ管理プログラム101へ通知される。ログ管理プログラム101では、監視対象サーバ200から大量にログ情報が通知されてくると、その通知されたログ情報がログ情報解析テーブル109に格納される。
そして、ログ管理サーバ100のログ情報解析処理部105により、”ERROR0001”を含むログ情報の抑止条件703となる正規表現データが生成され、その抑止条件703に合致する監視対象サーバ200に対して抑止命令通知が行なわれる。抑止命令通知を受信した監視対象サーバ200の抑止命令受信処理部116は、受信した抑止命令をフィルタリングテーブル119に格納する。抑止条件705により、その後取得された”ERROR0001”を含むログ情報は、ログ管理サーバ100への通知が抑止される。
このように、本実施形態のネットワーク管理システム1000によれば、監視対象のログファイル120に大量出力が発生した場合に、その状況に応じて動的に、大量通知の原因となるログ情報のみを抑止する(ログ管理サーバ100に通知しない)ことで、ネットワーク管理に必要となるログ情報の抜け落ちを防止した上で、ネットワークトラフィックの増大を防止することができる。また、同時に、監視対象サーバ200のログ監視プログラム110の負荷や、ログ管理サーバ100のログ管理プログラム101の負荷を軽減することができる。
また、大量通知の原因となるログ情報の解析、抑止条件の生成は、通知されたログ情報のそれぞれを文字列比較などのパターンマッチを行うことで実現可能であるが、処理負荷が高いため、ログ管理サーバ100側でそれらを行うことにより、ログ監視プログラム110が動作する監視対象サーバ200の処理に影響を与えることがない。
以上で実施形態の説明を終えるが、本発明の態様はこれらに限定されるものではない。具体的な構成や処理について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
100・・・ログ管理サーバ
101・・・ログ管理プログラム
102・・・ディスプレイ装置
103・・・ログ情報受信処理部
104・・・閾値超過判定処理部
105・・・ログ情報解析処理部
106・・・抑止命令通知処理部
107・・・ログ情報件数格納メモリ領域
108・・・閾値情報格納メモリ領域
109・・・ログ情報解析テーブル(ログ情報記憶部)
110・・・ログ監視プログラム
111・・・ログ情報取得処理部
112・・・フィルタリング条件判定処理部
113・・・閾値超過判定処理部
114・・・ログ情報送信処理部
115・・・抑止状況通知処理部
116・・・抑止命令受信処理部
117・・・閾値情報格納メモリ領域
118・・・抑止条件該当ログ情報件数格納メモリ領域
119・・・フィルタリングテーブル(フィルタリング記憶部)
120・・・ログファイル
200・・・監視対象サーバ
101・・・ログ管理プログラム
102・・・ディスプレイ装置
103・・・ログ情報受信処理部
104・・・閾値超過判定処理部
105・・・ログ情報解析処理部
106・・・抑止命令通知処理部
107・・・ログ情報件数格納メモリ領域
108・・・閾値情報格納メモリ領域
109・・・ログ情報解析テーブル(ログ情報記憶部)
110・・・ログ監視プログラム
111・・・ログ情報取得処理部
112・・・フィルタリング条件判定処理部
113・・・閾値超過判定処理部
114・・・ログ情報送信処理部
115・・・抑止状況通知処理部
116・・・抑止命令受信処理部
117・・・閾値情報格納メモリ領域
118・・・抑止条件該当ログ情報件数格納メモリ領域
119・・・フィルタリングテーブル(フィルタリング記憶部)
120・・・ログファイル
200・・・監視対象サーバ
Claims (5)
- 1つ以上の監視対象サーバと、前記監視対象サーバから通知されるログ情報を前記監視対象サーバごとに管理するログ管理サーバと、を備えるネットワーク管理システムにおいて、
前記ログ管理サーバは、前記監視対象サーバから通知されたログ情報をログ情報記憶部に格納し、所定期間内に通知された前記ログ情報の件数が所定の閾値を超過した場合に、前記ログ情報記憶部に格納された各ログ情報を解析して、前記ログ情報の件数が所定の閾値を超過した原因となっているログ情報の種類を特定し、当該監視対象サーバに対して、当該原因となっている種類のログ情報の通知の停止命令を送信する
ことを特徴とするネットワーク管理システム。 - 前記ログ管理サーバは、当該監視対象サーバに対して、当該原因となっている種類のログ情報の通知の停止命令を送信するとき、
前記ログ情報記憶部に格納された各ログ情報の文字列を比較することにより、前記原因となっているログ情報の種類を特定し、当該ログ情報の種類を表現した正規表現データを送信する
ことを特徴とする請求項1に記載のネットワーク管理システム。 - 前記監視対象サーバは、前記ログ管理サーバから通知された前記停止命令および前記正規表現データを受信し、自身のフィルタリング記憶部に当該正規表現データを追加し、以降、当該正規表現データを参照することで、該当する種類のログ情報の前記ログ管理サーバへの通知を停止する
ことを特徴とする請求項2に記載のネットワーク管理システム。 - 前記監視対象サーバは、自身で発生したログ情報と前記フィルタリング記憶部に追加された正規表現データとを比較し、
当該正規表現データに該当するログ情報の件数が、所定期間内に所定の閾値を超過した場合、当該正規表現データに該当したログ情報の件数を含む情報を前記ログ管理サーバに通知し、
当該正規表現データに該当するログ情報の件数が、所定期間内に所定の閾値を超過しなかった場合、前記フィルタリング記憶部から当該正規表現データを削除し、当該削除による前記停止の解除を前記ログ管理サーバに通知する
ことを特徴とする請求項3に記載のネットワーク管理システム。 - 請求項1または請求項2に記載のネットワーク管理システムにおけるログ管理サーバとしてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009122462A JP2010271875A (ja) | 2009-05-20 | 2009-05-20 | ネットワーク管理システムおよびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009122462A JP2010271875A (ja) | 2009-05-20 | 2009-05-20 | ネットワーク管理システムおよびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010271875A true JP2010271875A (ja) | 2010-12-02 |
Family
ID=43419858
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009122462A Pending JP2010271875A (ja) | 2009-05-20 | 2009-05-20 | ネットワーク管理システムおよびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010271875A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011227868A (ja) * | 2010-03-31 | 2011-11-10 | Ricoh Co Ltd | ログ管理システム、伝送システム、ログ管理方法、ログ管理プログラム |
| JP2012084054A (ja) * | 2010-10-14 | 2012-04-26 | Kddi Corp | 携帯端末およびプログラム |
| JP2012133695A (ja) * | 2010-12-24 | 2012-07-12 | Hitachi Ltd | 稼働ログ収集方法および装置 |
| US9292313B2 (en) | 2012-10-10 | 2016-03-22 | International Business Machines Corporation | Detection of component operating state by computer |
| US9595899B2 (en) | 2012-06-19 | 2017-03-14 | Sanden Holdings Corporation | Motor control device |
| JP2020013186A (ja) * | 2018-07-13 | 2020-01-23 | 京セラドキュメントソリューションズ株式会社 | ネットワークシステム、装置管理システムおよび装置管理プログラム |
-
2009
- 2009-05-20 JP JP2009122462A patent/JP2010271875A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011227868A (ja) * | 2010-03-31 | 2011-11-10 | Ricoh Co Ltd | ログ管理システム、伝送システム、ログ管理方法、ログ管理プログラム |
| JP2012084054A (ja) * | 2010-10-14 | 2012-04-26 | Kddi Corp | 携帯端末およびプログラム |
| JP2012133695A (ja) * | 2010-12-24 | 2012-07-12 | Hitachi Ltd | 稼働ログ収集方法および装置 |
| US9595899B2 (en) | 2012-06-19 | 2017-03-14 | Sanden Holdings Corporation | Motor control device |
| US9292313B2 (en) | 2012-10-10 | 2016-03-22 | International Business Machines Corporation | Detection of component operating state by computer |
| JP2020013186A (ja) * | 2018-07-13 | 2020-01-23 | 京セラドキュメントソリューションズ株式会社 | ネットワークシステム、装置管理システムおよび装置管理プログラム |
| JP7132542B2 (ja) | 2018-07-13 | 2022-09-07 | 京セラドキュメントソリューションズ株式会社 | ネットワークシステム、装置管理システムおよび装置管理プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9952921B2 (en) | System and method for detecting and predicting anomalies based on analysis of time-series data | |
| KR102612500B1 (ko) | 로깅을 통한 민감 데이터 노출 탐지 | |
| US10860406B2 (en) | Information processing device and monitoring method | |
| US10404725B1 (en) | System and method of detecting delivery of malware using cross-customer data | |
| US8595176B2 (en) | System and method for network security event modeling and prediction | |
| JP5960978B2 (ja) | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 | |
| JP2010271875A (ja) | ネットワーク管理システムおよびプログラム | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| US11374948B2 (en) | Computer security system with network traffic analysis | |
| JP2013211842A5 (ja) | ||
| EP3439237A1 (en) | Exception monitoring and alarming method and device | |
| CN113497797B (zh) | 一种icmp隧道传输数据的异常检测方法及装置 | |
| JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
| JP2006067605A5 (ja) | ||
| JP2017191604A (ja) | エクスプロイトアクティビティーの相関ベースの検知 | |
| US20170041329A1 (en) | Method and device for detecting autonomous, self-propagating software | |
| JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| JP2017521802A (ja) | スーパーコンピュータ監視用の相関イベントのためのアーキテクチャ | |
| JP5487914B2 (ja) | 運用情報管理システム、運用情報管理方法、運用情報管理プログラム | |
| EP3399454B1 (en) | Least recently used (lru)-based event suppression | |
| US20160294658A1 (en) | Discovering and aggregating data from hubs | |
| JP7200496B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| KR20150133368A (ko) | 지능형 지속 위협 탐지 방법 및 장치 |