JP5024394B2 - システム可視化プログラム、方法及び装置 - Google Patents

システム可視化プログラム、方法及び装置 Download PDF

Info

Publication number
JP5024394B2
JP5024394B2 JP2010014826A JP2010014826A JP5024394B2 JP 5024394 B2 JP5024394 B2 JP 5024394B2 JP 2010014826 A JP2010014826 A JP 2010014826A JP 2010014826 A JP2010014826 A JP 2010014826A JP 5024394 B2 JP5024394 B2 JP 5024394B2
Authority
JP
Japan
Prior art keywords
log data
message
storage unit
identification information
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010014826A
Other languages
English (en)
Other versions
JP2011154489A (ja
Inventor
乾 横山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010014826A priority Critical patent/JP5024394B2/ja
Priority to US13/010,148 priority patent/US8965968B2/en
Publication of JP2011154489A publication Critical patent/JP2011154489A/ja
Application granted granted Critical
Publication of JP5024394B2 publication Critical patent/JP5024394B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)

Description

本技術は、解析対象システムにおけるトランザクションの可視化技術に関する。
例えば図1に示すように、ファイアウォール1000を介してクライアント端末(図示せず)と接続する解析対象システムが、1又は複数のスイッチ(図1ではスイッチA及びB)に接続されているウェブ(Web)サーバ1002とアプリケーションサーバ1004とDBサーバ1006とを含む場合を考える。このような解析対象システムでは、スイッチA及びBのポートモニタリング機能によって当該スイッチを介して送受信されるメッセージ(例えばHTTP(Hyper Text Transfer Protocol)メッセージ、IIOP(Internet Inter-ORB Protocol)メッセージ、SQL(Structured Query Language)メッセージ)をコピーし、スイッチ1及び2に接続されているシステム可視化装置1100に送信する。システム可視化装置1100は、受信したメッセージを解析することによって、解析対象システムにおけるトランザクションを可視化する。
そうすると、解析対象システムにおいて、例えば図2に示すようなトランザクションが実施されていることが分かる。すなわち、クライアント端末からHTTPリスクエストがWebサーバ1002に出力され、これに対してWebサーバ1002からアプリケーションサーバ1004に対してIIOPリクエストが出力される。アプリケーションサーバ1004は、IIOPリクエストを受信すると、3回に分けてSQLリクエストをDBサーバ1006に出力する。DBサーバ1006は、SQLリクエストを受け取る毎に処理を実施し、SQLレスポンスをアプリケーションサーバ1004に返信する。3度目のレスポンスをDBサーバ1006から受信すると、アプリケーションサーバ1004は、IIOPレスポンスをWebサーバ1002に返信する。Webサーバ1002は、IIOPレスポンスを受信すると、HTTPレスポンスをクライアント端末に返信する。
このようにファイアウォール1000の内側のネットワークを、セキュリティレベルなどで複数のセグメントに分けていない場合には特に問題は生じない。しかしながら、図3に示すように、DMZ(DeMilitarized Zone)を導入して複数のセグメントに分割する場合には問題が生ずる。すなわち、図1と同様に、システム可視化装置1100をスイッチBに1台接続する場合には、セグメントをまたいだ形でスイッチAをシステム可視化装置1100に接続して、スイッチAでコピーしたHTTPメッセージをシステム可視化装置1100に送信しなければならなくなる。しかしながら、セキュリティレベルの異なるセグメント間をファイアウォールBを介さずに接続するというのは、禁止される場合がある。そうすると、システム可視化装置1100でキャプチャできるのは、IIOPメッセージ及びSQLメッセージだけになってしまい、正しくトランザクションを可視化できなくなる。
なお、スイッチAでコピーしたHTTPメッセージをファイアウォールB越しにシステム可視化装置1100に送信するような方法は、ファイアウォールBの処理負荷を非常に増大させるため、システム全体のスループットが落ちるなどの影響が大きく好ましくない。また、システム可視化装置1100では、メッセージの受信時刻を記録して、当該受信時刻を用いてメッセージをソートするといった処理を実施する。従って、Webサーバ1002がHTTPメッセージを受信した時刻と大きなずれを生ずるような時刻を受信時刻として記録することは、システム可視化装置1100における分析精度に大きな影響を及ぼすことになる。
特開2006−11683号公報
従って、本技術の目的は、解析対象システムが複数のセグメントに分離されており且つ一部のメッセージが1つのセグメント内でのみ送信される場合においても解析対象システムにおけるトランザクションを可視化できるようにするための技術を提供することである。
第1の態様に係るシステム可視化処理方法は、(A)サーバにより送受信されるメッセージを、サーバに接続されている通信装置から受信する受信処理を実施し、受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、(B)メッセージ格納部から同期用メッセージを抽出し、当該同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含むログデータを生成し、同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含むログデータを生成し、ログデータ格納部に格納するステップと、(C)ログデータ格納部に格納されているログデータを、通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置に対して送信するステップとを含む。
第2の態様に係るシステム可視化処理方法は、(A)サーバにより送受信されるメッセージを、サーバに接続されている通信装置から受信する受信処理を実施し、受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、(B)メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含む第1ログデータを生成し、第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納するステップと、(C)通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては上記識別情報と当該第2の同期用メッセージの受信時刻とを含み、第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するステップと、(D)第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出ステップと、(E)第1ログデータ格納部に格納されており且つ識別情報を含まない第1ログデータ又は第2ログデータ格納部に格納されており且つ識別情報を含まない第2ログデータの受信時刻を時刻補正値により補正する補正ステップと、(F)第1ログデータ格納部に格納されており且つ識別情報を含む第1ログデータ又は第2ログデータ格納部に格納されており且つ識別情報を含む第2ログデータを破棄する破棄ステップと、(G)補正ステップ及び破棄ステップの後に、第1ログデータ及び第2ログデータを、受信時刻でソートするステップとを含む。
解析対象システムが複数のセグメントに分離されており且つ一部のメッセージが1つのセグメント内でのみ送信される場合においても解析対象システムにおけるトランザクションを可視化できるようになる。
図1は、従来のシステムの一例を示す図である。 図2は、トランザクションの例を示す図である。 図3は、問題点を説明するための図である。 図4は、本実施の形態のシステム概要図である。 図5は、第2システム可視化装置の機能ブロック図である。 図6は、第1システム可視化装置の機能ブロック図である。 図7は、本実施の形態のメインの処理フローを示す図である。 図8は、パケットのフォーマットの一例を示す図である。 図9は、IPヘッダのフォーマットを表す図である。 図10は、プロトコルログのフォーマットを説明するための図である。 図11は、第1システム可視化装置の第2プロトコルログ格納部及び第2システム可視化装置のプロトコルログ格納部に格納されるデータの一例を示す図である。 図12は、第1システム可視化装置の第1プロトコルログ格納部に格納されるデータの一例を示す図である。 図13は、第1及び第2プロトコルログによって把握されるメッセージのシーケンスの一例を表す図である。 図14は、第1プロトコルログを基準とした場合における時刻ずれと時刻補正を説明するための模式図である。 図15は、第2プロトコルログを基準とした場合における時刻ずれと時刻補正を説明するための模式図である。 図16は、本実施の形態のメインの処理フローを示す図である。 図17は、第1プロトコルログを基準とした場合において第2プロトコルログ格納部に格納される補正後のプロトコルログの一例を示す図である。 図18は、第2プロトコルログを基準とした場合において第1プロトコルログ格納部に格納される補正後のプロトコルログの一例を示す図である。 図19は、第1プロトコルログを基準とした場合の補正後プロトコルログ格納部に格納されるデータの一例を示す図である。 図20は、第2プロトコルログを基準とした場合の補正後プロトコルログ格納部に格納されるデータの一例を示す図である。 図21は、第1システム可視化装置と第2システム可視化装置の配置を入れ替えた例を示す図である。 図22は、コンピュータの機能ブロック図である。 図23は、1のセグメントの配置されるシステム可視化処理装置の機能ブロック図である。 図24は、他のセグメントに配置されるシステム可視化処理装置の機能ブロック図である。
本技術の実施の形態に係るシステム概要を図4を用いて説明する。図4に示すように、インターネットなどの外部ネットワークを介してクライアント端末と接続されるファイアウォールAの内側のネットワークは、DMZと内部ネットワークとにファイアウォールBによって分割されている。DMZ内において、ポートモニタリング機能を有するスイッチAは、ファイアウォールA及びBとWebサーバ1002とに接続されている。さらにスイッチAは、第2システム可視化装置200にも接続されており、スイッチAが送受信するメッセージ(例えばHTTPメッセージ及びIIOPメッセージ)についてはコピーして、第2システム可視化装置200にも出力するようになっている。第2システム可視化装置200の処理内容については後に詳細に述べる。
また、内部ネットワークにおいては、ポートモニタリング機能を有するスイッチBは、ファイアウォールBと、アプリケーションサーバ1004及びDBサーバ1006とに接続されている。さらに、スイッチBは、第1システム可視化装置100にも接続されており、スイッチBが送受信するメッセージ(例えばIIOPメッセージ及びSQLメッセージ)をコピーして、第1システム可視化装置100に出力するようになっている。第1システム可視化装置100の処理内容については後に詳細に述べる。
本実施の形態では、図4に示すように、DMZ内に第2システム可視化装置200を設け、当該第2システム可視化装置200においてプロトコルログを生成する。そして、第2システム可視化装置200は、HTTP及びIIOPメッセージのプロトコルログをファイアウォールB越しに第1システム可視化装置100に送信する。このように、第2システム可視化装置200と第1システム可視化装置100を直接結ぶわけではなく、さらにメッセージそれ自身をファイアウォールB越しに送信するわけではないので、セキュリティ上の問題はなくファイアウォールBの処理負荷や通信負荷をあまり上げることなく必要なデータを第1システム可視化装置100に集めることができるようになる。
さらに、IIOPメッセージは、第2システム可視化装置200でも第1システム可視化装置100でもキャプチャされるので、IIOPメッセージを同期用メッセージとして利用する。具体的には、第2システム可視化装置200では、IIOPメッセージをキャプチャすると、対応するプロトコルログに識別情報を付加した上で、当該プロトコルログを第1システム可視化装置100に送信する。第1システム可視化装置100も、IIOPメッセージをキャプチャすると、対応するプロトコルログに識別情報を付加する。そして、第1システム可視化装置100は、第2システム可視化装置200から受信し且つ識別情報を含むプロトコルログと、当該プロトコルログに含まれる識別情報と同一の識別情報を含む生成プロトコルログとを抽出して、タイムスタンプ(すなわち受信時刻)の差を算出する。このようにして算出されたタイムスタンプの差で他のプロトコルログのタイムスタンプを補正することによって、第2システム可視化装置200と第1システム可視化装置100との時刻ずれを補正する。これによって、以後の処理において正確な解析処理を行うことができるので、実施されているトランザクションを正しく把握することができるようになる。
図5に、第2システム可視化装置200の機能ブロック図を示す。第2システム可視化装置200は、(A)スイッチAからパケットを受信するパケットキャプチャ部201と、(B)パケットキャプチャ部201により受信されたパケットのデータを格納するキャプチャデータ格納部202と、(C)キャプチャデータ格納部202に格納されているパケットから所定のデータを抽出するメッセージ解析部203と、(D)メッセージ解析部203の処理結果であるプロトコルログのデータを格納するプロトコルログ格納部204と、(E)プロトコルログ格納部204に格納されているプロトコルログを所定のタイミングでファイアウォールB及びスイッチBを介して第1システム可視化装置100に送信するプロトコルログ送信部205とを有する。なお、メッセージ解析部203は、識別情報付加部2031を含む。
また、図6に、第1システム可視化装置100の機能ブロック図を示す。第1システム可視化装置100は、(A)スイッチBからパケットを受信するパケットキャプチャ部101と、(B)パケットキャプチャ部101により受信されたパケットのデータを格納するキャプチャデータ格納部102と、(C)キャプチャデータ格納部102に格納されているパケットから所定のデータを抽出するメッセージ解析部103と、(D)メッセージ解析部103の処理結果であるプロトコルログのデータを格納する第1プロトコルログ格納部104とを有する。なお、メッセージ解析部103は、識別情報付加部1031を含む。ここまでは第2システム可視化装置200と共通する。
また、第1システム可視化装置100は、(E)第2システム可視化装置200からプロトコルログのデータを受信するプロトコルログ受信部105と、(F)プロトコルログ受信部105により受信されたプロトコルログを格納する第2プロトコルログ格納部106と、(G)第1及び第2プロトコルログ格納部104及び106に格納されているプロトコルログから時刻補正値を算出する時刻補正値算出部107と、(H)時刻補正値算出部107の処理結果である時刻補正値を格納する時刻補正値格納部108と、(I)時刻補正値格納部108に格納されている時刻補正値に基づき第1及び第2プロトコルログ格納部104及び106に格納されているプロトコルログに対して時刻補正処理を実施し且つログマージ処理を実施するデータマージ部109と、(J)データマージ部109の処理結果を格納する補正後プロトコルログ格納部110と、(K)補正後プロトコルログ格納部110に格納されているデータを用いてログの分析処理を実施するログ分析部111と、(L)ログ分析部111の処理結果を格納するトランザクションデータ格納部112とをさらに有する。
なお、トランザクションデータ格納部112に格納されているデータは、管理者のユーザ端末からの要求に応じて出力される。
次に、図4に示したシステムの動作について図7乃至図21を用いて説明する。第2システム可視化装置200のパケットキャプチャ部201は、スイッチAから当該スイッチAを通過するパケットを受信し、受信時刻と共にキャプチャデータ格納部202に格納する(図7:ステップS1)。また、メッセージ解析部203は、キャプチャデータ格納部202に格納されているメッセージに対して、識別情報付加部2031による識別情報の付加を含むメッセージ解析処理を実施することにより、第2プロトコルログを生成し、プロトコルログ格納部204に格納する(ステップS3)。メッセージ解析処理の詳細は、特開2006−11683号公報に開示されているので、ここでは識別情報の付加に関連する部分を述べる。
メッセージ解析処理では、キャプチャデータ格納部202に格納されているパケットのデータから、当該パケットに係るメッセージについて、メッセージの識別番号、プロトコル名、メッセージ種別及びオブジェクトを抽出する。例えば、図8に示すように、パケットは、IPヘッダと、TCPヘッダと、TCPペイロードとして上位階層プロトコル(例えばHTTP、IIOP、SQLなど)のヘッダ及びペイロードとを含む。メッセージ解析処理では、上で述べたデータを、主にIPヘッダ、TCPヘッダ及び上位階層プロトコルのヘッダから抽出する。
さらに、識別情報付加部2031は、パケットから、例えば1分間など所定期間内において個別のメッセージを識別可能であることを保証できるような識別情報を抽出する。この識別情報を同期キーワードとも呼ぶ。例えばIPヘッダ(IPv4の場合、図9に示すようなフォーマットを有する。)から送信元アドレスとIDとを抽出して、当該送信元アドレスとIDとの組み合わせで識別情報を生成する。この手法は、どのようなプロトコルのメッセージを同期用メッセージに採用しても問題ない。
例えば、識別情報であることを表す「sync=」という文字列を送信元アドレスとIDとの組み合わせに連結したものを識別情報として採用した場合におけるプロトコルログの一例を図10に示す。図10の例では、受信時刻「00:00:00.100」と、メッセージの識別番号「1−1」と、プロトコル名「IIOP」と、メッセージ種別「Request」と、オブジェクト「Module/Class/AAAA」と、識別情報「sync=192.168.0.1&1000」とを含む。
但し、IIOPメッセージが同期用メッセージであれば、メッセージの識別番号を識別情報に採用しても良い。この場合のメッセージの識別番号「1−1」は、セッションID(最初の「1」)とリクエストID(2番目の「1」)とを含み、識別情報として使用可能である。すなわち、IIOPメッセージが同期用メッセージであることが事前に分かっていれば、識別情報付加部2031を動作させずに、従来からのメッセージ解析部203のメッセージ解析処理だけ実施する場合もある。
メッセージ解析部203によるメッセージ解析処理を行うと、例えば図11に示すようなプロトコルログが、プロトコルログ格納部204に格納される。図11は、HTTPリクエスト、IIOPリクエスト、IIOPレスポンス、HTTPレスポンスの順番でパケットがキャプチャされている例を示している。なお、オブジェクトについては所定のデータが含まれない場合にはプロトコルログにも含まれない。また、この例ではIIOPメッセージが同期用メッセージであるから、IIOPメッセージ以外のプロトコルログには識別情報は含まれない。
図7の処理の説明に戻って、プロトコルログ送信部205は、プロトコルログ格納部204からプロトコルログを読み出し、第2プロトコルログとしてファイアウォールB及びスイッチBを介して第1システム可視化装置100に送信する(ステップS5)。
一方、第1システム可視化装置100のパケットキャプチャ部101は、スイッチBから当該スイッチBを通過するパケットを受信し、受信時刻と共にキャプチャデータ格納部102に格納する(ステップS7)。キャプチャデータ格納部102に格納するパケットは、第1システム可視化装置100宛のパケットを除くアプリケーションサーバ1004及びDBサーバ1006が送受信するパケットである。また、メッセージ解析部103は、キャプチャデータ格納部102に格納されているメッセージに対して、識別情報付加部1031による識別情報の付加を含むメッセージ解析処理を実施することにより、第1プロトコルログを生成し、第1プロトコルログ格納部104に格納する(ステップS9)。ステップS9は、ステップS3と同じ処理であるからここでは説明を省略する。
第1プロトコルログ格納部104には、例えば図12に示すようなプロトロルログが格納されるものとする。図12は、IIOPリクエスト、SQLリクエスト、SQLレスポンス、IIOPレスポンスの順番でパケットがキャプチャされている例を示している。
そして、第1システム可視化装置100のプロトコルログ受信部105は、第2システム可視化装置200から第2プロトコルログを受信し、第2プロトコルログ格納部106に格納する(ステップS11)。第2プロトコルログ格納部106には、図11に示したようなプロトコルログが格納される。
そうすると、時刻補正値算出部107は、第1プロトコルログ格納部104及び第2プロトコルログ格納部106から、受信時刻が所定時間(例えば現時刻から1分間前まで)内のプロトコルログのうち識別情報を含むプロトコルログを抽出する(ステップS13)。図11に示した第2プロトコルログの場合には、第2番目及び第3番目のログを読み出し、図12に示した第1プロトコルログの場合には、第1番目及び第4番目のログを読み出す。
その後、時刻補正値算出部107は、識別情報が一致するプロトコルログの組み合わせを特定し、組み合わせ毎に時刻ずれを算出し、例えばメインメモリなどの記憶装置に格納する(ステップS15)。第2プロトコルログの2番目のログと第1プロトコルログの1番目のログとは、識別情報「sync=192.168.0.1&1000」で一致する。また、第2プロトコルログの3番目のログと第1プロトコルログの4番目のログとは、識別情報「sync=192.168.0.2&2000」で一致する。
第2プロトコルログで特定されるメッセージのシーケンスは図13左側のように表される。また、第1プロトコルログで特定されるメッセージのシーケンスは図13右側のように表される。上で述べたように、同一識別情報のメッセージの組み合わせが特定され、図13中央の点線で表される。図13で示すように、第1プロトコルログの受信時刻の方が第2プロトコルログの受信時刻よりも遅くなっている。
よって、第1プロトコルログの方を基準に時刻差を算出すると、最初の組み合わせについては、受信時刻「00:00:00.050」と受信時刻「00:00:00.100」とから、時刻差は「−50」msecであると算出される。また、2番目の組み合わせについては、受信時刻「00:00:00.150」と受信時刻「00:00:00.200」とから、時刻差は「−50」msecであると算出される。
なお、第1プロトコルログを基準としている例を示しているが、第2プロトコルログを基準とするようにしても良い。第2プロトコルログを基準にする場合には、時刻差は「+50」msecが2回算出される。
そして、時刻補正値算出部107は、ステップS17で算出された時刻差から時刻補正値を算出し、時刻補正値格納部108に格納する(ステップS17)。例えば、時刻差の平均値、最頻値、中央値などの統計量を時刻補正値に採用する。例えば平均値を採用し、第1プロトコルログを基準にする場合、上で述べた例では時刻補正値は「−50」msecとなる。なお、第2プロトコルログを基準にする場合、上で述べた例では時刻補正値は「+50」msecとなる。
その後、データマージ部109は、所定期間内且つ基準以外のプロトコルログのうち識別情報を含まないログの受信時刻を、時刻補正値格納部108に格納されている時刻補正値で補正し、例えば格納元のログ格納部(第1プロトコルログ格納部104又は第2プロトコルログ格納部106)に格納する(ステップS19)。第1プロトコルログを基準にする場合には、第2プロトコルログのうち、識別情報を含まない1番目及び4番目のログ(図11)の受信時刻を補正する。具体的には、(ログの受信時刻−時刻補正値)を算出する。上で述べた例では、結果として受信時刻「00:00:00.000」を「00:00:00.050」に補正し、さらに「00:00:00.200」を「00:00:00.250」に補正する。
図13の左右のシーケンス図を重ねると図14に示すようなシーケンス図が得られる。IIOPリクエスト(点線が第2プロトコルログを表し、実線が第1プロトコルログを表す。)についての時刻ずれg1及びIIOPレスポンス(点線が第2プロトコルログを表し、実線が第1プロトコルログを表す。)についての時刻ずれg2を算出し、時刻ずれg1及びg2から時刻補正値を算出する。第1プロトコルログが基準となる場合には、下方向矢印で示すように、第2プロトコルログに含まれる、点線矢印のHTTPメッセージの受信時刻を実線矢印のHTTPメッセージの受信時刻に、時刻補正値で補正する。
一方、第2プロトコルログを基準にする場合、第1プロトコルログのうち、識別情報を含まない2番目及び3番目のログ(図12)の受信時刻を補正する。具体的には、ログの受信時刻−時刻補正値を算出する。上で述べた例では、結果として受信時刻「00:00:00.120」を「00:00:00.070」に補正し、さらに「00:00:00.150」を「00:00:00.100」に補正する。
第2プロトコルログを基準にする場合、図13の左右のシーケンス図を重ねると図15に示すようなシーケンス図が得られる。時刻ずれg1及びg2から時刻補正値を算出するところは同じである。但し、基準が異なるので、時刻補正値の符号が異なる。そして、上方向矢印で示すように、第1プロトコルログに含まれる、点線矢印のSQLメッセージの受信時刻を実線矢印のSQLメッセージの受信時刻に、時刻補正値で補正する。
このように第1プロトコルログを基準にする場合と第2プロトコルログを基準とする場合では、受信時刻が異なってくるが、以下の処理では相対的な時刻差及び順番が重要であるから、特に問題ない。
処理は端子Aを介して図16の処理に移行する。データマージ部109は、さらに、所定期間且つ基準以外のプロトコルログのうち、同期用メッセージのログ(すなわち識別情報を含むログ)を破棄する(ステップS21)。重複を排除するためである。第1プロトコルログが基準の場合には、第2プロトコルログのうち同期用メッセージのログであるIIOPメッセージのログを破棄する。図14の例では、点線矢印で表されるIIOPメッセージのログが破棄される。一方、第2プロトコルログが基準の場合には、第1プロトコルログのうち同期用メッセージのログであるIIOPメッセージのログを破棄する。図15の例でも同様に、点線矢印で表されるIIOPメッセージのログが破棄される。
第1プロトコルログが基準の場合には、第2プロトコルログ格納部106には図17に示すようなデータが格納されている状態になる。HTTPメッセージの受信時刻は補正後の値となっており、IIOPメッセージのログは破棄されていてもはや含まれない。
第2プロトコルログが基準の場合には、第1プロトコルログ格納部106には図18に示すようなデータが格納されている状態になる。SQLメッセージの受信時刻は補正後の値となっており、IIOPメッセージのログは破棄されていてもはや含まれない。
なお、ステップS21において、基準となるプロトコルログにおいて登録されている識別情報を削除する処理を行うようにしても良い。
そして、データマージ部109は、第1プロトコルログ格納部104に格納されている、所定期間内の第1プロトコルログと、第2プロトコルログ格納部106に格納されている、所定期間内の第2プロトコルログとを受信時刻でソートして、ソート結果を補正後プロトコルログ格納部110に格納する(ステップS23)。第1プロトコルログを基準にする場合には、図19に示すようなデータが補正後プロトコルログ格納部110に格納される。図2に示したようなメッセージの順番でメッセージが列挙されている。一方、第2プロトコルログを基準にする場合には、図20に示すようなデータが補正後プロトコルログ格納部110に格納される。図19と図20とを比較すれば、受信時刻は異なっているが、メッセージの順番及びメッセージ間の時刻差は同じになっている。
その後、ログ分析部111は、補正後プロトコルログ格納部110に格納されているログデータを用いて、ログ分析処理を実施して、解析対象システムのトランザクションを特定し、当該トランザクションのデータをトランザクションデータ格納部112に格納する(ステップS25)。ログ分析処理の具体的内容については、例えば特開2006−11683号公報に開示されているとおりであり、図2に示したようなデータを生成する処理については、ここでは詳しく述べない。
以上述べたような処理を実施することによって、解析対象システムが複数のセグメントに分割されているような場合において各セグメント内のメッセージを他のセグメントに直接送信できないような状況においても、解析対象システムにおけるトランザクションを正確に把握できるようになる。
なお、ステップS13乃至S23の処理については、所定期間毎(例えば1分毎)に繰り返し実施し、処理結果を補正後プロトコルログ格納部110に格納する。
また、上で述べた例では、DMZに第2システム可視化装置200を設け、内部ネットワークに第1システム可視化装置100を設ける例を示したが、図21に示すように、DMZに第1システム可視化装置100を設け、内部ネットワークに第2システム可視化装置200を設けるようにしても良い。この場合、プロトコルログを内部ネットワークからDMZ側に送信するようになるが、メッセージ自体を送信するのではなくプロトコルログを送信するのでセキュリティ上特に問題はない。
以上本技術の実施の形態を説明したが、本技術はこれに限定されるものではない。例えば、図5及び図6の機能ブロック図は一例であって、実際のプログラムモジュール構成と一致しない場合もある。また、処理フローについても例えばステップS21とステップS19は順番を入れ替えても処理結果は変わらないので、そのような場合には順番を入れ替えたり並列実施しても良い。
また、上で述べたシステム可視化装置100及び200は、コンピュータ装置であって、図22に示すように、メモリ2501とCPU2503とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本実施の形態をまとめると、以下のようになる。
第1の実施の形態に係るシステム可視化処理方法は、(A)サーバにより送受信されるメッセージを、サーバに接続されている通信装置から受信する受信処理を実施し、受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、(B)メッセージ格納部から同期用メッセージを抽出し、当該同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含むログデータを生成し、同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含むログデータを生成し、ログデータ格納部に格納するステップと、(C)ログデータ格納部に格納されているログデータを、通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置に対して送信するステップとを含む。
このようにすれば、ファイアウォールの反対側のネットワーク側に、メッセージそのものを送るのではないため、ファイアウォールの処理負荷を大きく増加させることはない。従って、解析対象システムに大きな負荷をかけずに、システム可視化を行うことができる。
第2の態様に係るシステム可視化処理方法は、(A)サーバにより送受信されるメッセージを、サーバに接続されている通信装置から受信する受信処理を実施し、受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、(B)メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含む第1ログデータを生成し、第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納するステップと、(C)通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては上記識別情報と当該第2の同期用メッセージの受信時刻とを含み、第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するステップと、(D)第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出ステップと、(E)第1ログデータ格納部に格納されており且つ識別情報を含まない第1ログデータ又は第2ログデータ格納部に格納されており且つ識別情報を含まない第2ログデータの受信時刻を時刻補正値により補正する補正ステップと、(F)第1ログデータ格納部に格納されており且つ識別情報を含む第1ログデータ又は第2ログデータ格納部に格納されており且つ識別情報を含む第2ログデータを破棄する破棄ステップと、(G)補正ステップ及び破棄ステップの後に、第1ログデータ及び第2ログデータを、受信時刻でソートするステップとを含む。
複数の装置でログデータを生成する場合には、ログデータの受信時刻がずれて記録されてしまう。そのまま処理するとメッセージの順番が入れ替わった形で分析がなされる可能性もあるため、上で述べたような処理を実施することによって時刻ずれを補正して正確なトランザクションの分析を可能とする。
なお、上で述べた識別情報が、特定のプロトコルについてのメッセージ識別情報、又はメッセージの送信元アドレス及びパケット識別子である場合もある。このようにすれば、所定時間内において識別情報のユニーク性を担保することができる。
また、上で述べた時刻補正値算出ステップが、抽出された第1及び第2ログデータの複数のセットについて、抽出された第1及び第2ログデータに含まれる受信時刻の差を算出するステップと、受信時刻の差の統計量を時刻補正値として算出するステップとを含むようにしても良い。短い時間内でも時刻ずれは揺らぐ場合もあるので、例えば平均値、中央値、最頻値などの統計量を算出して補正を行う。
第3の態様に係るシステム可視化装置(図23:3000)は、(A)サーバ(図23:3002)により送受信されるメッセージを、サーバに接続されている通信装置(図23:3001)から受信する受信処理を実施し、受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部(図23:3302)に格納するキャプチャ部(図23:3301)と、(B)メッセージ格納部から同期用メッセージを抽出し、当該同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含むログデータを生成し、同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含むログデータを生成し、ログデータ格納部(図23:3304)に格納する解析部(図23:3303)と、(C)ログデータ格納部に格納されているログデータを、通信装置に接続されているファイアウォール(図23:3004)の反対側のネットワーク(図23:3005)に接続されているログデータ処理装置(図23:3003)に対して送信する送信部(図23:3305)とを有する。
第4の態様に係るシステム可視化装置(図24:4000)は、(A)サーバ(図24:4001)により送受信されるメッセージを、サーバに接続されている通信装置(図24:4002)から受信する受信処理を実施し、受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部(図24:4402)に格納するキャプチャ部(図24:4401)と、(B)メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含む第1ログデータを生成し、第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部(図24:4404)に格納する解析部(図24:4403)と、(C)通信装置に接続されているファイアウォール(図24:4003)の反対側のネットワーク(図24:4004)に接続されているログデータ処理装置(図24:4005)から、第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては識別情報と当該第2の同期用メッセージの受信時刻とを含み、第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部(図24:4406)に格納するログデータ受信部(図24:4405)と、(D)第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出部(図24:4407)と、(E)第1ログデータ格納部に格納されており且つ識別情報を含まない第1ログデータ又は第2ログデータ格納部に格納されており且つ識別情報を含まない第2ログデータの受信時刻を時刻補正値により補正し、第1ログデータ格納部に格納されており且つ識別情報を含む第1ログデータ又は第2ログデータ格納部に格納されており且つ識別情報を含む第2ログデータを破棄し、補正及び破棄の後の第1ログデータ及び第2ログデータを、受信時刻でソートするマージ部(図24:4408)とを有する。
なお、上で述べたような処理をコンピュータに実施させるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブル・ディスク、CD−ROM、光磁気ディスク、半導体メモリ(例えばROM)、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。なお、処理途中のデータについては、RAM等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、
前記メッセージ格納部から同期用メッセージを抽出し、当該同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含むログデータを生成し、前記同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含むログデータを生成し、ログデータ格納部に格納するステップと、
前記ログデータ格納部に格納されているログデータを、前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置に対して送信するステップと、
を、コンピュータに実行させるためのシステム可視化処理プログラム。
(付記2)
サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、
前記メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含む第1ログデータを生成し、前記第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納するステップと、
前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、前記第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては前記識別情報と当該第2の同期用メッセージの受信時刻とを含み、前記第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するステップと、
前記第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された前記第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出ステップと、
前記第1ログデータ格納部に格納されており且つ前記識別情報を含まない第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含まない第2ログデータの受信時刻を前記時刻補正値により補正する補正ステップと、
前記第1ログデータ格納部に格納されており且つ前記識別情報を含む第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含む第2ログデータを破棄する破棄ステップと、
前記補正ステップ及び破棄ステップの後に、前記第1ログデータ及び前記第2ログデータを、前記受信時刻でソートするステップと、
を、コンピュータに実行させるためのシステム可視化処理プログラム。
(付記3)
前記識別情報が、特定のプロトコルについてのメッセージ識別情報、又は前記メッセージの送信元アドレス及びパケット識別子である
付記1又は2記載のシステム可視化処理プログラム。
(付記4)
前記時刻補正値算出ステップが、
抽出された前記第1及び第2ログデータの複数のセットについて、抽出された前記第1及び第2ログデータに含まれる受信時刻の差を算出するステップと、
前記受信時刻の差の統計量を前記時刻補正値として算出するステップと、
を含む付記2記載のシステム可視化処理プログラム。
(付記5)
サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、
前記メッセージ格納部から同期用メッセージを抽出し、当該同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含むログデータを生成し、前記同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含むログデータを生成し、ログデータ格納部に格納するステップと、
前記ログデータ格納部に格納されているログデータを、前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置に対して送信するステップと、
を含み、コンピュータに実行されるシステム可視化処理方法。
(付記6)
サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、
前記メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含む第1ログデータを生成し、前記第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納するステップと、
前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、前記第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては前記識別情報と当該第2の同期用メッセージの受信時刻とを含み、前記第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するステップと、
前記第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された前記第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出ステップと、
前記第1ログデータ格納部に格納されており且つ前記識別情報を含まない第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含まない第2ログデータの受信時刻を前記時刻補正値により補正する補正ステップと、
前記第1ログデータ格納部に格納されており且つ前記識別情報を含む第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含む第2ログデータを破棄する破棄ステップと、
前記補正ステップ及び破棄ステップの後に、前記第1ログデータ及び前記第2ログデータを、前記受信時刻でソートするステップと、
を含み、コンピュータに実行されるシステム可視化処理方法。
(付記7)
サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するキャプチャ部と、
前記メッセージ格納部から同期用メッセージを抽出し、当該同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含むログデータを生成し、前記同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含むログデータを生成し、ログデータ格納部に格納する解析部と、
前記ログデータ格納部に格納されているログデータを、前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置に対して送信する送信部と、
を有するシステム可視化装置。
(付記8)
サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するキャプチャ部と、
前記メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該同期用メッセージの受信時刻とを含む第1ログデータを生成し、前記第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納する解析部と、
前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、前記第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては前記識別情報と当該第2の同期用メッセージの受信時刻とを含み、前記第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するログデータ受信部と、
前記第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された前記第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出部と、
前記第1ログデータ格納部に格納されており且つ前記識別情報を含まない第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含まない第2ログデータの受信時刻を前記時刻補正値により補正し、前記第1ログデータ格納部に格納されており且つ前記識別情報を含む第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含む第2ログデータを破棄し、前記補正及び破棄の後の前記第1ログデータ及び前記第2ログデータを、前記受信時刻でソートするマージ部と、
を有するシステム可視化装置。
101,201 パケットキャプチャ部
102,202 キャプチャデータ格納部
103,203 メッセージ解析部
1031,2031 識別情報付加部
104 第1プロトコルログ格納部 204 プロトコルログ格納部
205 プロトコルログ送信部 105 プロトコルログ受信部
106 第2プロトコルログ格納部 107 時刻補正値算出部
108 時刻補正値格納部 109 データマージ部
110 補正後プロトコルログ格納部 111 ログ分析部
112 トランザクションデータ格納部

Claims (8)

  1. サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、
    前記メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該第1の同期用メッセージの受信時刻とを含む第1ログデータを生成し、前記第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納するステップと、
    前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、前記第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては前記識別情報と当該第2の同期用メッセージの受信時刻とを含み、前記第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するステップと、
    前記第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された前記第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出ステップと、
    前記第1ログデータ格納部に格納されており且つ前記識別情報を含まない第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含まない第2ログデータの受信時刻を前記時刻補正値により補正する補正ステップと
    、コンピュータに実行させるためのシステム可視化処理プログラム。
  2. 前記識別情報が、特定のプロトコルについてのメッセージ識別情報、又は前記メッセージの送信元アドレス及びパケット識別子である
    請求項1記載のシステム可視化処理プログラム。
  3. 前記時刻補正値算出ステップが、
    抽出された前記第1及び第2ログデータの複数のセットについて、抽出された前記第1及び第2ログデータに含まれる受信時刻の差を算出するステップと、
    前記受信時刻の差の統計量を前記時刻補正値として算出するステップと、
    を含む請求項1又は2記載のシステム可視化処理プログラム。
  4. 前記第1ログデータ格納部に格納されており且つ前記識別情報を含む第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含む第2ログデータを破棄する破棄ステップ
    をさらに実行させる請求項1乃至3のいずれか1つ記載のシステム可視化処理プログラム。
  5. 前記補正ステップ及び破棄ステップの後に、前記第1ログデータ及び前記第2ログデータを、前記受信時刻でソートするステップ
    をさらに実行させる請求項4記載のシステム可視化処理プログラム。
  6. サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するステップと、
    前記メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該第1の同期用メッセージの受信時刻とを含む第1ログデータを生成し、前記第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納するステップと、
    前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、前記第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては前記識別情報と当該第2の同期用メッセージの受信時刻とを含み、前記第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するステップと、
    前記第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された前記第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出ステップと、
    前記第1ログデータ格納部に格納されており且つ前記識別情報を含まない第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含まない第2ログデータの受信時刻を前記時刻補正値により補正する補正ステップと
    含み、コンピュータにより実行されるシステム可視化処理方法。
  7. 前記第1ログデータ格納部に格納されており且つ前記識別情報を含む第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含む第2ログデータを破棄する破棄ステップと、
    前記補正ステップ及び破棄ステップの後に、前記第1ログデータ及び前記第2ログデータを、前記受信時刻でソートするステップと、
    をさらに含む、請求項6記載のシステム可視化処理方法。
  8. サーバにより送受信されるメッセージを、前記サーバに接続されている通信装置から受信する受信処理を実施し、当該受信処理を実施した時刻である受信時刻に対応付けてメッセージ格納部に格納するキャプチャ部と、
    前記メッセージ格納部から第1の同期用メッセージを抽出し、当該第1の同期用メッセージを個別に識別するための識別情報と当該第1の同期用メッセージの受信時刻とを含む第1ログデータを生成し、前記第1の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第1ログデータを生成し、第1ログデータ格納部に格納する解析部と、
    前記通信装置に接続されているファイアウォールの反対側のネットワークに接続されているログデータ処理装置から、前記第1の同期用メッセージと同一プロトコルのメッセージである第2の同期用メッセージについては前記識別情報と当該第2の同期用メッセージの受信時刻とを含み、前記第2の同期用メッセージ以外のメッセージについて当該メッセージの受信時刻を含む第2ログデータを受信し、第2ログデータ格納部に格納するログデータ受信部と、
    前記第1及び第2ログデータ格納部から同一の識別情報を含む第1及び第2ログデータを抽出し、抽出された前記第1及び第2ログデータに含まれる受信時刻の差から時刻補正値を算出する時刻補正値算出部と、
    前記第1ログデータ格納部に格納されており且つ前記識別情報を含まない第1ログデータ又は前記第2ログデータ格納部に格納されており且つ前記識別情報を含まない第2ログデータの受信時刻を前記時刻補正値により補正するマージ部と、
    を有するシステム可視化装置。
JP2010014826A 2010-01-26 2010-01-26 システム可視化プログラム、方法及び装置 Active JP5024394B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010014826A JP5024394B2 (ja) 2010-01-26 2010-01-26 システム可視化プログラム、方法及び装置
US13/010,148 US8965968B2 (en) 2010-01-26 2011-01-20 Computer-readable medium storing system visualization processing program, method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010014826A JP5024394B2 (ja) 2010-01-26 2010-01-26 システム可視化プログラム、方法及び装置

Publications (2)

Publication Number Publication Date
JP2011154489A JP2011154489A (ja) 2011-08-11
JP5024394B2 true JP5024394B2 (ja) 2012-09-12

Family

ID=44309789

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010014826A Active JP5024394B2 (ja) 2010-01-26 2010-01-26 システム可視化プログラム、方法及び装置

Country Status (2)

Country Link
US (1) US8965968B2 (ja)
JP (1) JP5024394B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5751336B2 (ja) * 2011-10-18 2015-07-22 富士通株式会社 情報処理装置、時刻補正値決定方法、およびプログラム
JP5892412B2 (ja) * 2011-11-10 2016-03-23 新日鉄住金ソリューションズ株式会社 高速情報処理システム
WO2013094032A1 (ja) * 2011-12-21 2013-06-27 富士通株式会社 情報処理装置、情報処理方法、およびプログラム
JP6070102B2 (ja) * 2012-11-20 2017-02-01 富士通株式会社 ずれ算出プログラム、プログラム、情報処理装置および情報処理方法
CN103744890B (zh) * 2013-12-23 2017-02-01 清华大学 日志分离方法及装置
JP6281603B2 (ja) 2016-06-23 2018-02-21 日本電気株式会社 情報処理システム、情報処理方法、及び、情報処理プログラム
JP6951172B2 (ja) * 2017-09-20 2021-10-20 株式会社東芝 無線通信システム、通信装置及びデータ統合方法
JP7232678B2 (ja) * 2019-03-19 2023-03-03 株式会社国際電気通信基礎技術研究所 無線品質分析装置、無線品質分析方法、および、プログラム
JP7225322B2 (ja) * 2021-07-05 2023-02-20 エヌ・ティ・ティ・コムウェア株式会社 端末装置、データ転送システム、データ転送方法、およびプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08212177A (ja) * 1995-02-03 1996-08-20 Shinnittetsu Joho Tsushin Syst Kk 分散処理システムにおけるアプリケーションプログラムの監視方式
WO2001020456A1 (fr) * 1999-09-10 2001-03-22 Hitachi, Ltd. Systeme de gestion et procede pour systeme d'exploitation
US8166533B2 (en) * 2002-08-17 2012-04-24 Rockstar Bidco Lp Method for providing media communication across firewalls
JP4610240B2 (ja) 2004-06-24 2011-01-12 富士通株式会社 分析プログラム、分析方法及び分析装置
JP2006262036A (ja) * 2005-03-17 2006-09-28 Yokogawa Electric Corp パケット経路追跡システム
JP2007271543A (ja) * 2006-03-31 2007-10-18 Casio Comput Co Ltd 時刻修正制御装置及び時刻修正制御方法
JP2008210308A (ja) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム
JP2009110337A (ja) * 2007-10-31 2009-05-21 Nec Corp 情報処理装置、情報処理システムおよび情報処理方法

Also Published As

Publication number Publication date
US8965968B2 (en) 2015-02-24
US20110185022A1 (en) 2011-07-28
JP2011154489A (ja) 2011-08-11

Similar Documents

Publication Publication Date Title
JP5024394B2 (ja) システム可視化プログラム、方法及び装置
US10862871B2 (en) Hardware-accelerated payload filtering in secure communication
CN107667510B (zh) 恶意软件和恶意应用的检测方法和装置
US9455873B2 (en) End-to-end analysis of transactions in networks with traffic-altering devices
US7313100B1 (en) Network device having accounting service card
CN104506484B (zh) 一种私有协议分析与识别方法
US20060259542A1 (en) Integrated testing approach for publish/subscribe network systems
JP2020113924A (ja) モニタリングプログラム,プログラマブルデバイス及びモニタリング方法
CN106797328A (zh) 收集和分析所选择的网络流量
US20090248803A1 (en) Apparatus and method of analyzing service processing status
US20080291912A1 (en) System and method for detecting file
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
JP5229028B2 (ja) システム分析方法、装置及びプログラム
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
JP2009207099A (ja) 通信記録装置、通信データ処理方法および通信データ処理プログラム
JP7000808B2 (ja) 情報処理装置、情報処理方法およびプログラム
CN114760216A (zh) 一种扫描探测事件确定方法、装置及电子设备
US9736080B2 (en) Determination method, device and storage medium
JP5287898B2 (ja) フロー監視装置、フロー監視方法およびプログラム
RU2485705C1 (ru) Способ и система идентификации сетевых протоколов на основании описания клиент-серверного взаимодействия
Get’man et al. Data representation model for in-depth analysis of network traffic
CN114050918B (zh) 音频数据的处理方法、装置、检测服务器及存储介质
CN115190077B (zh) 控制方法、装置及计算设备
KR102537370B1 (ko) 대용량 네트워크 모니터링을 위한 실시간 패킷 분석 방법 및 장치
WO2021255800A1 (ja) パケット収集システム、パケット統合解析装置、パケット収集方法、及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120522

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120604

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150629

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5024394

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150