JP5454355B2 - Network management system, management method, and management program for log data loss detection - Google Patents

Network management system, management method, and management program for log data loss detection Download PDF

Info

Publication number
JP5454355B2
JP5454355B2 JP2010118099A JP2010118099A JP5454355B2 JP 5454355 B2 JP5454355 B2 JP 5454355B2 JP 2010118099 A JP2010118099 A JP 2010118099A JP 2010118099 A JP2010118099 A JP 2010118099A JP 5454355 B2 JP5454355 B2 JP 5454355B2
Authority
JP
Japan
Prior art keywords
monitoring
log
data
missing
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010118099A
Other languages
Japanese (ja)
Other versions
JP2011248433A (en
Inventor
尚史 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010118099A priority Critical patent/JP5454355B2/en
Publication of JP2011248433A publication Critical patent/JP2011248433A/en
Application granted granted Critical
Publication of JP5454355B2 publication Critical patent/JP5454355B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークの管理に関し、特に、ログデータの欠落を検知するネットワーク管理システム、管理方法及び管理プログラムに関する。   The present invention relates to network management, and more particularly, to a network management system, a management method, and a management program for detecting missing log data.

UDP(User Datagram Protocol)上で動作するSyslogやSNMPを使用して、ログ監視対象端末からログ管理端末へログデータを送信するようなログ管理システムにおいては、通信のためのプロトコルとしてUDPを使用している。UDPを使用する場合、そのプロトコルの仕様上、TCP(Transmision Control Protocol)のようなパケットの到達確認機能、再送制御機能等は装備されていない。そのため、異なるコンピュータネットワーク間、即ち、パケットの送信元から送信先へのネットワーク経路上に配置されるルータ等のネットワーク機器へ過大なネットワーク負荷がかかり、輻輳が発生するとネットワーク機器上でパケットを廃棄することが知られている。パケットが廃棄された場合、その事実は、パケットの送信元や送信先へは通知されないため、SyslogやSNMPを使用している場合、ログデータが欠落していることに気付かずログデータが不完全なものとなってしまう虞があった。   In a log management system that sends log data from a log monitoring target terminal to a log management terminal using Syslog or SNMP that operates on UDP (User Data Protocol), UDP is used as a protocol for communication. ing. In the case of using UDP, a packet arrival confirmation function, a retransmission control function, etc., such as TCP (Transmision Control Protocol) are not provided due to the specification of the protocol. Therefore, an excessive network load is applied to network devices such as routers arranged between different computer networks, that is, on the network path from the packet transmission source to the transmission destination, and when congestion occurs, the packet is discarded on the network device. It is known. When a packet is discarded, the fact is not notified to the packet source and destination, so when using Syslog or SNMP, the log data is incomplete without noticing that the log data is missing. There was a risk that it would be a bad thing.

この不具合を解決するためには、ログデータを通知するプロトコルをUDPからTCPに変更することや、ログデータを通知するUDP自体に再送フラグ、順序番号を付与して再送制御機能を設けること等、ログ監視対象端末およびログ管理端末のプログラム変更やネットワーク構成の変更等を行う必要がある。   In order to solve this problem, the protocol for notifying log data is changed from UDP to TCP, the UDP itself for notifying log data is provided with a retransmission flag and a sequence number, and a retransmission control function is provided. It is necessary to change the program of the log monitoring target terminal and the log management terminal, change the network configuration, and the like.

例えば、ログデータの到達性を保証する手段として、SNMPやSyslogを利用したイベント情報の通知に関して、HTTPプロトコルを使用しイベント蓄積サーバに送信することでパケットの到達性を保証する、つまりHTTPヘッダの下にSyslog、SNMPを埋め込むという技術が提案されている(特許文献1)。   For example, as a means for guaranteeing the reachability of log data, with respect to the notification of event information using SNMP or Syslog, the reachability of the packet is guaranteed by sending it to the event storage server using the HTTP protocol, that is, the HTTP header A technique of embedding Syslog and SNMP underneath has been proposed (Patent Document 1).

また、この他に関連する通信管理システムとして、例えば、分散システム環境でオブジェクト同士がメッセージを交換するためのCORBA方式に基づく分散システムにおいてメカトロニクス機器を制御する技術が提案されている(特許文献2)。この技術によれば、クライアントマシンから複数のサーバマシンにデータが送信されるとその送信ログが記録され、各サーバマシンでデータが受信されるとその受信ログが記録され、これらの送信ログと受信ログとを照合して内容の不一致があれば通信障害が発生したものと判別し、各サーバマシンの当該データによる処理結果を無効にする。   As another related communication management system, for example, a technique for controlling mechatronic devices in a distributed system based on the CORBA method for exchanging messages between objects in a distributed system environment has been proposed (Patent Document 2). . According to this technology, a transmission log is recorded when data is transmitted from a client machine to a plurality of server machines, and a reception log is recorded when data is received at each server machine. If there is a mismatch between the contents of the log, it is determined that a communication failure has occurred, and the processing result based on the data of each server machine is invalidated.

また、複数のネットワークが中継装置を通じて接続されており、独自の監視方法で監視対象を監視し、各監視システムが有する監視情報を要求すると共に、受け取った監視情報に基づいて統合的な解析処理を行なう監視情報解析システムの技術が提案されている(特許文献3)。この技術によれば、中継装置を通過する全通信パケットを収集プローブ装置のパケット取得部によって捕捉・保持するように構成されている。   In addition, multiple networks are connected through a relay device, monitor the monitoring target with a unique monitoring method, request monitoring information of each monitoring system, and perform integrated analysis processing based on the received monitoring information The technique of the monitoring information analysis system to perform is proposed (patent document 3). According to this technique, all communication packets passing through the relay apparatus are captured and held by the packet acquisition unit of the collection probe apparatus.

また、パケットの送信端とパケットの受信端とを接続するパケット通信回線としてUDP/IP伝送プロトコル・インタフェースを含むパケット通信方式を用い、送信端末は連続性を検出するためのシーケンス番号を付与して送信パケットを受信端末に送信し、受信端末は受信パケットのシーケンス番号に欠落があることを検出するとその欠落情報を送信端末に送信し、送信端末はその欠落情報に基づき欠落したパケットを再送信するようにした通信方式の技術が提案されている(特許文献4)。   In addition, a packet communication system including a UDP / IP transmission protocol interface is used as a packet communication line connecting a packet transmission end and a packet reception end, and a transmission terminal assigns a sequence number for detecting continuity. The transmission packet is transmitted to the receiving terminal. When the receiving terminal detects that the sequence number of the received packet is missing, the missing information is transmitted to the transmitting terminal, and the transmitting terminal retransmits the missing packet based on the missing information. A technique of such a communication method has been proposed (Patent Document 4).

また、送信機と受信機とが複数の網によって接続されているマルチパス環境で各網内でのパケットの順序逆転が発生しない場合においてパケットロスが発生したときは全ての網の順序バッファにパケットが格納される特性に着目し、網毎に設置した順序保証バッファへのパケット滞留状態を監視することによりパケットロスを検出するようにした通信装置の技術が提案されている(特許文献5)。欠落検出部は、取出制御部からパケット取出完了の通知を受けると、パケットロスの有無を確認する。もしパケットロスを発見した場合は、ACK送信部に対して再送要求を行う。   Also, when packet loss occurs in a multipath environment where the transmitter and receiver are connected by multiple networks and packet reversal does not occur in each network, packets are sent to the order buffers of all networks. Focusing on the characteristics in which the packet is stored, there has been proposed a technology of a communication device that detects packet loss by monitoring a packet retention state in an order guarantee buffer installed for each network (Patent Document 5). When receiving the notification of completion of packet extraction from the extraction control unit, the loss detection unit confirms whether there is a packet loss. If a packet loss is found, a retransmission request is made to the ACK transmission unit.

また、ストリーム全体を適正に認証/検証するために、受信したトランスポートストリームのうち選び出したトランスポートストリームパケットからハッシュ値を生成し、次の検証パケットに含まれるハッシュ値と、前記生成されたハッシュ値とが一致しない場合には、当該区間でパケットロスが存在し不正区間であると判定して当該区間を署名検証区間から除外するように構成した受信装置の技術が提案されている(特許文献6)。   In addition, in order to properly authenticate / verify the entire stream, a hash value is generated from a transport stream packet selected from the received transport streams, a hash value included in the next verification packet, and the generated hash A technique of a receiving apparatus configured to determine that a packet loss exists in the section and that the section is an illegal section when the value does not match is excluded from the signature verification section has been proposed (Patent Document) 6).

特開2009−111655号公報JP 2009-111655 A 特開2002−278853号公報JP 2002-278853 A 特開2008−244640号公報JP 2008-244640 A 特開平10−056479号公報JP 10-056479 A 特開2009−055419号公報JP 2009-055419 A 特開2009−081564号公報JP 2009-081564 A

しかしながら、特許文献1に開示された技術では、TCPを使用しているためイベント毎のTCPセッションネゴシエーションやTCPの再送制御機能の通信によりトラフィック増加を招き、さらなるネットワーク帯域の消費を招くこととなって、ネットワークの輻輳によるルータ等のネットワーク機器上でのパケット廃棄の可能性が高くなる。また、ログ監視対象の端末へエージェントを導入する必要があるため、既存システムに対する追加作業および追加コストは、ログ監視対象端末に比例して増大するという問題があった。
また、特許文献2から6に開示されたそれぞれの技術においても、ネットワークの輻輳によりネットワーク機器上でパケットが廃棄されることがあり、そのデータの欠落を確実に検出できない可能性、あるいは欠落したデータを取得して補完できない可能性もあった。 However, in the technique disclosed in Patent Document 1, since TCP is used, traffic increases due to TCP session negotiation for each event and communication of the TCP retransmission control function, resulting in further consumption of network bandwidth. The possibility of packet discard on a network device such as a router due to network congestion increases. In addition, since it is necessary to install an agent in the log monitoring target terminal, there is a problem that the additional work and the additional cost for the existing system increase in proportion to the log monitoring target terminal.
In each of the techniques disclosed in Patent Documents 2 to 6, there is a possibility that a packet may be discarded on a network device due to network congestion, and the lack of data may not be detected reliably, or missing data There was a possibility that it could not be complemented by acquiring.

[発明の目的]
そこで、本発明は、このような事情に鑑みてなされたものであり、ネットワーク間におけるログデータの到達性を確保できると共に、その導入コストの抑制を可能とするログデータ欠落検知用のネットワーク管理システム、管理方法、及び管理プログラムの提供を目的とするものである。 [Object of invention]
Accordingly, the present invention has been made in view of such circumstances, and a network management system for detecting missing log data that can ensure the reachability of log data between networks and can suppress the introduction cost thereof. It is intended to provide a management method and a management program.

上記課題を解決するために、本発明に係るログデータ欠落検知用のネットワーク管理システムは、ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムであって、
前記ログ監視対象端末が接続されているネットワークの当該ログ監視対象端末が送信するログデータのパケットを監視できる位置に接続される監視装置と、
前記ログ管理端末が接続されているネットワークの当該ログ管理端末が受信するログデータのパケットを監視できる位置に接続される監視センター装置とを備え、
前記監視センター装置は、
前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較処理部と、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記ログ管理端末に送信する欠落データ送信処理部とを備えていることを特徴とするものである。 In order to solve the above problems, a network management system for detecting missing log data according to the present invention operates as a management protocol on a transport layer from a log monitoring target terminal connected to a network to a log management terminal. A log data loss detection network management system for transmitting log data using Syslog, SNMP or the like and detecting log data missing between the log monitoring target terminal and the log management terminal in the transmission. ,
A monitoring device connected to a position where a log data packet transmitted by the log monitoring target terminal of the network to which the log monitoring target terminal is connected can be monitored;
A monitoring center device connected to a position where a log data packet received by the log management terminal of the network to which the log management terminal is connected can be monitored;
The monitoring center device
A transmission side monitoring data list composed of transmission packets of the log monitoring target terminal monitored by the monitoring device and a reception packet consisting of reception packets transmitted from the log monitoring target terminal monitored by the monitoring center device and received by the log management terminal. A monitoring data list comparison processing unit for comparing the monitoring data list on the side and determining whether there is a packet loss between transmission and reception;
When it is determined that there is a packet loss as a result of the determination by the monitoring data list comparison processing unit, the monitoring data list comparison processing unit includes a missing data transmission processing unit that transmits the lost packet to the log management terminal. It is what.

また、上記課題を解決するために、本発明に係るログデータ欠落検知用のネットワーク管理方法は、ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末が接続されているネットワークに接続された監視装置が、当該ログ監視対象端末から送信されるログデータのパケットを監視し、
前記ログ管理端末が接続されているネットワークに接続された監視センター装置が、前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視し、
前記監視センター装置に装備された監視データリスト比較処理部が、前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、前記監視センター装置に装備された欠落データ送信処理部が、当該欠落したパケットを前記ログ管理端末に送信するようにしたことを特徴とするものである。 In order to solve the above-mentioned problem, a network management method for log data loss detection according to the present invention is performed as a management protocol on a transport layer UDP from a log monitoring target terminal connected to a network to a log management terminal. A network management system for log data loss detection that detects log data that is lost between the log monitoring target terminal and the log management terminal by transmitting log data using operating Syslog, SNMP, or the like. There,
A monitoring device connected to a network to which the log monitoring target terminal is connected monitors a log data packet transmitted from the log monitoring target terminal;
A monitoring center device connected to a network to which the log management terminal is connected monitors a log data packet transmitted from the log monitoring target terminal and received by the log management terminal;
The monitoring data list comparison processing unit provided in the monitoring center apparatus includes a transmission side monitoring data list including transmission packets of the log monitoring target terminal monitored by the monitoring apparatus and the log monitoring target terminal monitored by the monitoring center apparatus. Comparing the reception monitoring data list consisting of received packets transmitted from and received by the log management terminal to determine the presence or absence of missing packets between transmission and reception;
As a result of the determination by the monitoring data list comparison processing unit, when it is determined that there is a packet loss, the missing data transmission processing unit equipped in the monitoring center device sends the lost packet to the log management terminal. It is characterized in that it is transmitted.

また、上記課題を解決するために、本発明に係るログデータ欠落検知用のネットワーク管理プログラムは、ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視するログ管理端末パケット監視機能、
前記監視装置が監視した前記ログ監視対象端末から送信されるログデータのパケットからなる送信側監視データリストと前記監視センター装置が監視した前記ログ管理端末に受信されたパケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較判定機能、
前記監視データリスト比較判定機能による比較判定の結果、パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視センター装置に要求し当該監視センター装置から送信されてきた前記欠落したパケットを前記ログ管理端末に送信する欠落データ送信機能を設け、
これらの機能をコンピュータに実現させるようにしたことを特徴とするものである。 In order to solve the above-mentioned problem, the network management program for log data loss detection according to the present invention is used as a management protocol on the transport layer UDP from the log monitoring target terminal connected to the network to the log management terminal. A network management system for log data loss detection that detects log data that is lost between the log monitoring target terminal and the log management terminal by transmitting log data using operating Syslog, SNMP, or the like. There,
A log management terminal packet monitoring function for monitoring a packet of log data transmitted from the log monitoring target terminal and received by the log management terminal;
Sending side monitoring data list consisting of packets of log data transmitted from the log monitoring target terminal monitored by the monitoring device and receiving side monitoring data list consisting of packets received by the log management terminal monitored by the monitoring center device Monitoring data list comparison judgment function to judge whether or not there is packet loss between sending and receiving,
As a result of the comparison determination by the monitoring data list comparison determination function, when it is determined that there is a packet loss, the lost packet transmitted from the monitoring center device requesting the lost packet to the monitoring center device Is provided with a missing data transmission function for transmitting to the log management terminal,
These functions are implemented by a computer.

本発明によれば、送受信されたログデータを比較して欠落検知されたデータのみを取得・補完しているのでネットワーク間のトラフィックの増加を抑えつつログデータの到達性を保証することができる。また、ログデータの送受信を監視する装置をデータ監視可能な位置に接続するのみで通信方法あるいはネットワーク構成を変更する必要が無いためその導入コストの削減を確保することができる。   According to the present invention, it is possible to guarantee the reachability of log data while suppressing an increase in traffic between networks because only transmitted and received log data is compared and only missing data is acquired and supplemented. Further, since it is not necessary to change the communication method or the network configuration simply by connecting a device for monitoring transmission / reception of log data to a position where data monitoring is possible, reduction of the introduction cost can be ensured.

本発明に係るネットワーク管理システムの実施形態を示すブロック図である。1 is a block diagram showing an embodiment of a network management system according to the present invention. 監視センター装置の内部構成を示す図である。It is a figure which shows the internal structure of a monitoring center apparatus. 監視装置の内部構成を示す図である。It is a figure which shows the internal structure of a monitoring apparatus. ログデータ欠落検知の基本動作の順序を示す図である。It is a figure which shows the order of the basic operation | movement of log data missing detection. データ記憶部に監視対象のログデータを格納する動作を示すフローチャートである。It is a flowchart which shows the operation | movement which stores the log data of monitoring object in a data storage part. データ記憶部に格納された実データとハッシュ値を示す図である。It is a figure which shows the actual data and hash value which were stored in the data storage part. 監視センター装置におけるログデータ欠落検知処理の状態遷移を示す図である。It is a figure which shows the state transition of the log data missing detection process in a monitoring center apparatus. ログデータ欠落検知処理開始時の動作を示すフローチャートである。It is a flowchart which shows the operation | movement at the time of log data missing detection processing start. 監視データリスト要求コマンドに対する監視装置の返信処理動作を示すフローチャートである。It is a flowchart which shows the reply process operation | movement of the monitoring apparatus with respect to the monitoring data list request command. 監視データリスト返信コマンド処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of a monitoring data list reply command process. 監視データリストの比較による欠落検知処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the missing detection process by the comparison of a monitoring data list. 欠落データ要求コマンドに対する監視装置の返信処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the reply process of the monitoring apparatus with respect to a missing data request command. 欠落データ送信処理の動作を示すフローチャートである。It is a flowchart which shows operation | movement of a missing data transmission process. 監視データ削除要求コマンドに対する監視装置の返信処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the reply process of the monitoring apparatus with respect to the monitoring data deletion request command. 監視データ削除処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of a monitoring data deletion process.

以下、本発明に係るネットワーク管理システム1の実施形態を添付図面に基づいて説明する。
図1はネットワーク管理システムの全体構成を示している。ネットワーク管理システム1は、複数のネットワーク(ネットワークA10〜ネットワークD40)を含み構成されている。ネットワークA、B等に接続されているログ監視対象端末12,13、21〜23等からネットワークCに接続されているログ管理端末31へ、トランスポート層のプロトコルであるUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信の際に生じるログ監視対象端末とログ管理端末との間でログデータの欠落を検知する。 Hereinafter, an embodiment of a network management system 1 according to the present invention will be described with reference to the accompanying drawings.
FIG. 1 shows the overall configuration of the network management system. The network management system 1 includes a plurality of networks (network A10 to network D40). Operates as a management protocol on the transport layer protocol UDP from the log monitoring target terminals 12, 13, 21 to 23, etc. connected to the networks A, B, etc. to the log management terminal 31 connected to the network C Log data is transmitted using Syslog, SNMP, or the like, and the lack of log data is detected between the log monitoring target terminal and the log management terminal that are generated during the transmission.

ネットワークA10には、監視の対象とされるログ監視対象端末11及び12と、ログ監視対象端末11及び12から送信されてくるパケットを監視する監視装置15が接続されている。ネットワークB20には、監視の対象とされるログ監視対象端末21、22、及び23と、これらのログ監視対象端末21、22、及び23から送信されてくるパケットを監視する監視装置25が接続されている。また、ネットワークC30には、監視の対象とされるログ管理端末31と、上記各ログ監視対象端末11、12、21〜23からログ管理端末31に送信されてくるパケットを監視する監視センター装置35が接続されている。そして、ネットワークD40は、ネットワークA10又はネットワークB20とネットワークC30とを接続する機能を有しており、ネットワークA10又はネットワークB20からネットワークC30への通信はネットワークD40を経由して行われる。   Connected to the network A10 are log monitoring target terminals 11 and 12 to be monitored and a monitoring device 15 for monitoring packets transmitted from the log monitoring target terminals 11 and 12. Connected to the network B20 are log monitoring target terminals 21, 22, and 23 to be monitored, and a monitoring device 25 that monitors packets transmitted from these log monitoring target terminals 21, 22, and 23. ing. The network C30 includes a log management terminal 31 to be monitored and a monitoring center apparatus 35 that monitors packets transmitted from the log monitoring target terminals 11, 12, 21 to 23 to the log management terminal 31. Is connected. The network D40 has a function of connecting the network A10 or the network B20 and the network C30, and communication from the network A10 or the network B20 to the network C30 is performed via the network D40.

ネットワークC30の監視センター装置35は、ネットワークA10、B20の監視装置15、25に対し制御コマンド要求によって、送信されてくるログデータの欠落を検知する処理に必要なデータを要求し、その要求に応じて監視装置15、25から送信されてくるデータに基づいてログデータ欠落検知処理を実行する。監視装置15、25は、上記監視センター装置35からの制御コマンド要求に対して必要なデータを監視装置15、25内のデータ記憶部(図2参照)から読出し、制御コマンド返信を行う。   The monitoring center device 35 of the network C30 requests data necessary for processing to detect the loss of the transmitted log data in response to the control command request to the monitoring devices 15 and 25 of the networks A10 and B20. Then, log data loss detection processing is executed based on the data transmitted from the monitoring devices 15 and 25. The monitoring devices 15 and 25 read data necessary for the control command request from the monitoring center device 35 from the data storage unit (see FIG. 2) in the monitoring devices 15 and 25, and return a control command.

ネットワークA10の監視装置15は、ログ監視対象端末11,12から送信されるパケットを監視できる位置、ネットワークB20の監視装置25は、ログ監視対象端末21〜23から送信されるパケットを監視できる位置、例えば、ネットワークスイッチのミラーリングポート(データの入出力をそのまま得られるように設定されたポート)等に接続されており、各ログ監視対象端末から送信されるパケットを監視している。監視装置15、25には、予め監視装置内にIPアドレス、送信先ポート番号等のログ監視対象端末11,12、21〜23に関する識別情報が設定されている。この識別情報に基づいて、監視したパケット(各ログ監視対象端末から送信されたパケット)を監視装置15、25内に設けられているデータベースに記憶する。また、監視装置15、25は、監視したパケットを入力としてハッシュ値を計算し、その値も合わせてデータベースに記憶している。   The monitoring device 15 of the network A10 can monitor the packets transmitted from the log monitoring target terminals 11 and 12, the monitoring device 25 of the network B20 can monitor the packets transmitted from the log monitoring target terminals 21 to 23, For example, it is connected to a mirroring port of a network switch (a port set so that data input / output can be obtained as it is) or the like, and monitors packets transmitted from each log monitoring target terminal. In the monitoring devices 15 and 25, identification information regarding the log monitoring target terminals 11, 12, and 21 to 23 such as an IP address and a transmission destination port number is set in advance in the monitoring device. Based on this identification information, the monitored packet (packet transmitted from each log monitoring target terminal) is stored in a database provided in the monitoring devices 15 and 25. In addition, the monitoring devices 15 and 25 calculate the hash value by using the monitored packet as an input, and store the value together in the database.

ログ管理端末31側のネットワークC30の監視センター装置35は、ログ監視対象端末11,12、21〜23からログ監理端末31に送信されてくるパケットを監視できる位置、例えば、ネットワークスイッチのミラーリングポート等に接続されており、ログ監視端末31に送信されてくるパケットを監視している。監視センター装置35には、予め監視センター装置内にIPアドレス、送信先ポート番号等のログ監視対象端末11,12、21〜23に関する識別情報が設定されている。この識別情報に基づいて、監視したパケット(ログ管理端末に送信されてきたパケット)を監視センター装置35内に設けられているデータベースに記憶する。また、監視センター装置35は、監視したパケットを入力としてハッシュ値を計算し、その値も合わせてデータベースに記憶している。   The monitoring center device 35 of the network C30 on the log management terminal 31 side can monitor a packet transmitted from the log monitoring target terminals 11, 12, 21 to 23 to the log management terminal 31, for example, a mirroring port of a network switch, etc. To monitor the packet transmitted to the log monitoring terminal 31. In the monitoring center device 35, identification information regarding the log monitoring target terminals 11, 12, 21 to 23 such as an IP address and a transmission destination port number is set in advance in the monitoring center device. Based on this identification information, the monitored packet (packet transmitted to the log management terminal) is stored in a database provided in the monitoring center device 35. In addition, the monitoring center device 35 calculates a hash value using the monitored packet as an input, and also stores the value in the database.

また、監視センター装置35は、監視対象のログ監視対象端末11,12、21〜23のいずれかのログ監視対象端末に関する監視データリスト(送信側監視データリスト)を、上記識別情報に基づいて監視装置15又は25へ要求する。監視装置15又は25は、その要求に応じたログ監視対象端末の監視データリスト(例えば、監視データリストLAとする)を監視センター装置35に送信する。ここで、監視データリストとは、パケットデータを入力として計算し求められたハッシュ値のリストのことをいう。   In addition, the monitoring center device 35 monitors a monitoring data list (transmitting-side monitoring data list) related to any of the log monitoring target terminals 11, 12, 21 to 23 to be monitored based on the identification information. Request to device 15 or 25. The monitoring device 15 or 25 transmits the monitoring data list (for example, the monitoring data list LA) of the log monitoring target terminal according to the request to the monitoring center device 35. Here, the monitoring data list refers to a list of hash values obtained by calculation using packet data as input.

さらに、監視センター装置35は、監視センター装置内のデータベースに記憶されたデータから監視データリストLC(パケットデータを入力として計算し求められたハッシュ値のリスト)を作成する。そして、この監視データリスト(受信側監視データリスト)LCのハッシュ値と上記監視装置15又は25から送信された監視データリスト(受信側監視データリスト)LAのハッシュ値とを比較する。比較の結果、監視データリストLAに存在して、監視データリストLCに存在しないハッシュ値が検出された場合には、監視センター装置35は、その存在しないハッシュ値の基となったパケットデータを欠落したパケットであると判断し、そのパケットデータを監視装置15又は25に要求する。   Furthermore, the monitoring center device 35 creates a monitoring data list LC (a list of hash values obtained by calculation using packet data as an input) from data stored in a database in the monitoring center device. Then, the hash value of the monitoring data list (reception side monitoring data list) LC is compared with the hash value of the monitoring data list (reception side monitoring data list) LA transmitted from the monitoring device 15 or 25. If a hash value that is present in the monitoring data list LA and not present in the monitoring data list LC is detected as a result of the comparison, the monitoring center device 35 drops the packet data that is the basis of the non-existing hash value. The monitoring device 15 or 25 is requested.

要求を受けた監視装置15又は25は、その要求されたパケットデータを監視センター装置へ送信する。そのパケットデータを受信した監視センター装置35は、そのパケットデータのハッシュ値を計算すると共に比較し、自己が要求したパケットデータと合致するか否かを確認する。そして、合致すると確認された場合には、ログ管理端末31へそのパケットデータを送信する。   Upon receiving the request, the monitoring device 15 or 25 transmits the requested packet data to the monitoring center device. The monitoring center device 35 that has received the packet data calculates and compares the hash value of the packet data, and confirms whether or not it matches the packet data requested by itself. If it is confirmed that the packet matches, the packet data is transmitted to the log management terminal 31.

監視データリストLAにリストされているデータは以下のように処理される。
(1)監視データリストLAに存在するハッシュ値が、監視データリストLCにも存在している場合には、そのハッシュ値を有するパケットは、ログ監視対象端末11,12、21〜23からログ管理端末間のネットワークを正常に到達したと判断され、本装置15、25、35における処理は実行されない。 Data listed in the monitoring data list LA is processed as follows.
(1) If the hash value existing in the monitoring data list LA is also present in the monitoring data list LC, the packet having the hash value is log-managed from the log monitoring target terminals 11, 12, 21 to 23. It is determined that the network between the terminals has been normally reached, and the processing in the devices 15, 25, and 35 is not executed.

(2)監視データリストLAに存在するハッシュ値が、監視データリストLCに存在しない場合には、そのハッシュ値を有するパケットは、ログ監視対象端末11,12、21〜23からログ管理端末間のネットワークで欠落した(例えば、廃棄された)と判断される。この場合、監視センター装置35側から監視装置15又は25に対して、欠落したハッシュ値を有するパケットデータを送信するように要求される。監視センター装置35は、その要求に対する返信データからパケットデータを抽出し、ログ管理端末31へ送信する。   (2) When the hash value existing in the monitoring data list LA does not exist in the monitoring data list LC, the packet having the hash value is transmitted from the log monitoring target terminals 11, 12, 21 to 23 to the log management terminal. It is determined that the network is missing (for example, discarded). In this case, the monitoring center device 35 requests the monitoring device 15 or 25 to transmit packet data having a missing hash value. The monitoring center device 35 extracts packet data from the reply data for the request and transmits it to the log management terminal 31.

(3)監視データリストLAに存在しないハッシュ値が、監視データリストLCに存在する場合には、監視センター装置35側から要求するログデータの範囲外のデータ、即ち、監視データリストLAの範囲外のハッシュ値が存在している可能性があるため、次タイミングのログデータ欠落検出処理において、同じログデータ欠落検出処理を再度、実行して判断する。   (3) If a hash value that does not exist in the monitoring data list LA exists in the monitoring data list LC, data outside the range of log data requested from the monitoring center device 35 side, that is, out of the monitoring data list LA Therefore, in the log data missing detection process at the next timing, the same log data missing detection process is executed again and determined.

以上により、監視装置15又は25の監視データリストと監視センター装置35の監視データリストとを比較することによりパケットの欠落の有無を検知する。そして、パケットが欠落していると検知された場合には、その欠落したパケットを監視装置15又は25から入手し、入手したパケットをログ管理端末31へ送信する。これにより、ログデータの欠落検知と欠落したログデータの補完を実現することができる。   As described above, the presence or absence of a packet is detected by comparing the monitoring data list of the monitoring device 15 or 25 with the monitoring data list of the monitoring center device 35. When it is detected that a packet is missing, the missing packet is obtained from the monitoring device 15 or 25 and the obtained packet is transmitted to the log management terminal 31. This makes it possible to detect missing log data and complement the missing log data.

次に、図2に基づいて、監視センター装置35の内部構成を説明する。
設定情報部115は予め設定された監視センター装置の各情報が記録されている情報部であり、具体的には、ログ監視対象端末11,12、21〜23の識別情報(IPアドレス、ポート番号等)、ログデータ欠落検知処理部112が動作を開始するタイマー情報、及びログ欠落検知処理を実行するログデータの個数等が記述されている。 Next, the internal configuration of the monitoring center device 35 will be described with reference to FIG.
The setting information unit 115 is an information unit in which each information of the monitoring center apparatus set in advance is recorded. Specifically, the identification information (IP address, port number) of the log monitoring target terminals 11, 12, 21 to 23 Etc.), the timer information for starting the operation of the log data loss detection processing unit 112, the number of log data for executing the log loss detection processing, and the like are described.

監視系LANインタフェース101は、ログ管理端末31に送信されてくるログデータを受信する機能を有しており、送信されてくるログデータが監視できる位置、例えば、スイッチのミラーリングポート等に接続されている。   The monitoring LAN interface 101 has a function of receiving log data transmitted to the log management terminal 31, and is connected to a position where the transmitted log data can be monitored, for example, a mirroring port of a switch. Yes.

パケット監視処理部103は、受信したログデータのパケットを判別する監視パケットフィルタ処理部104と、ハッシュ値を算出する監視データリスト作成処理部105とを含み構成されている。監視パケットフィルタ処理部104は、設定情報115に予め設定されているログ監視対象端末11,12、21〜23のIPアドレスやポート番号等の識別子を用いて監視系LANインタフェース101で受信したパケットを検査し、検査したパケットがデータ記憶部106に格納すべきデータ(ログ監視対象のパケット)であるか否かを判別する。尚、ログ監視の対象ではないパケットはここで廃棄される。   The packet monitoring processing unit 103 includes a monitoring packet filter processing unit 104 that determines a packet of received log data, and a monitoring data list creation processing unit 105 that calculates a hash value. The monitoring packet filter processing unit 104 uses the monitoring LAN interface 101 to receive packets received using identifiers such as the IP addresses and port numbers of the log monitoring target terminals 11, 12, 21 to 23 set in the setting information 115 in advance. It is determined whether or not the inspected packet is data to be stored in the data storage unit 106 (packet for log monitoring). Packets that are not subject to log monitoring are discarded here.

ログ監視の対象であると判別されたパケットは、監視データリスト作成処理部105に送られる。監視データリスト作成処理部105は、パケットのIPヘッダ以下を入力として、SHA−1、SHA−2等のハッシュ計算アルゴリズム関数を用いてハッシュ値を計算する。   Packets that are determined to be subject to log monitoring are sent to the monitoring data list creation processing unit 105. The monitoring data list creation processing unit 105 calculates a hash value using a hash calculation algorithm function such as SHA-1 or SHA-2, with the IP header or less of the packet as an input.

データ記憶部106は、パケット監視処理部103で処理されたデータを格納する記憶部であり、受信した順番を示す受信インデックス番号と実データ(ハッシュ値に変換されていないログ監視対象のパケットのデータ)を実データ記憶部107に、受信インデックス番号とハッシュ値を監視データリスト記憶部108へ格納する。   The data storage unit 106 is a storage unit that stores data processed by the packet monitoring processing unit 103, and includes a reception index number indicating the order of reception and actual data (data of a log monitoring target packet that has not been converted to a hash value). ) In the real data storage unit 107 and the reception index number and hash value in the monitoring data list storage unit 108.

制御系LANインタフェース102は、コマンド制御処理部109からの要求コマンドを監視装置15又は25へ送信する機能を有するほか、監視装置15又は25側から返信されてくる返信コマンドをコマンド制御処理部109へ送る機能を有している。   The control-system LAN interface 102 has a function of transmitting a request command from the command control processing unit 109 to the monitoring device 15 or 25, and also sends a reply command returned from the monitoring device 15 or 25 side to the command control processing unit 109. It has a function to send.

コマンド制御処理部109は、後述する監視データリスト要求コマンド処理部111、監視データ削除要求コマンド処理部113、欠落データ要求コマンド処理部114からの要求コマンドを制御系LANインタフェース102へ送る機能、それぞれの要求コマンドに対する返信コマンドを各コマンド処理部111、113、114へ送る機能を有している。   The command control processing unit 109 sends a request command from the monitoring data list request command processing unit 111, the monitoring data deletion request command processing unit 113, and the missing data request command processing unit 114, which will be described later, to the control LAN interface 102, It has a function of sending a reply command to the request command to each command processing unit 111, 113, 114.

ログデータ欠落検知処理部112は、設定情報115に記述されているタイマー情報に基づき起動し、監視装置15又は25に対して行う監視データ要求コマンドの送信要求を監視データリスト要求コマンド処理部111に対して実行する。   The log data loss detection processing unit 112 is activated based on timer information described in the setting information 115, and sends a monitoring data request command transmission request to the monitoring device 15 or 25 to the monitoring data list request command processing unit 111. Run against.

監視データリスト要求コマンド処理部111は、監視装置15又は25が保持している監視データリストを要求するコマンドを作成し、作成した要求コマンドをコマンド制御部109へ送る。また、監視データリスト要求コマンド処理部111は、コマンド制御部109から返信されてくる監視データリスト返信コマンドを受信した後、そのコマンド内から監視データリストを抽出し、抽出した監視データリストをログデータ欠落検知処理部112へ送る。   The monitoring data list request command processing unit 111 creates a command for requesting the monitoring data list held by the monitoring device 15 or 25, and sends the created request command to the command control unit 109. Further, after receiving the monitoring data list reply command returned from the command control unit 109, the monitoring data list request command processing unit 111 extracts the monitoring data list from the command, and extracts the extracted monitoring data list as log data. This is sent to the missing detection processing unit 112.

ログデータ欠落検知処理部(監視データリスト比較処理部)112は、監視データリスト要求コマンド処理部111から送られた監視装置15又は25側の監視データリストと、自装置(監視センター装置35)内の監視データリスト記憶部108から読み出した監視データリストとの比較処理(監視データリスト比較処理)を行い、送信されてきた監視データリストに欠落がないか否かのログデータ欠落検知処理を実行する。そして、ログデータ欠落検知処理によって欠落しているログデータを検知した場合には、その欠落していると判断されたログデータを欠落データ要求コマンド処理部114へ送る。   The log data loss detection processing unit (monitoring data list comparison processing unit) 112 includes a monitoring data list sent from the monitoring data list request command processing unit 111 on the monitoring device 15 or 25 side, and the own device (monitoring center device 35). The monitoring data list read out from the monitoring data list storage unit 108 is compared with the monitoring data list (monitoring data list comparison processing), and the log data missing detection process is performed to determine whether the transmitted monitoring data list is missing. . When the missing log data is detected by the missing log data detection process, the log data determined to be missing is sent to the missing data request command processing unit 114.

また、ログデータ欠落検知処理部112は、ログデータ欠落検知処理において、監視センター装置35側の監視データリストの中に監視装置15又は25側の監視データリストに存在しないログデータを確認した場合には、その確認されたログデータを削除する要求コマンドを監視データ削除要求コマンド処理部113に送る。   In addition, the log data loss detection processing unit 112 confirms, in the log data loss detection processing, log data that does not exist in the monitoring data list on the monitoring device 15 or 25 side in the monitoring data list on the monitoring center device 35 side. Sends a request command to delete the confirmed log data to the monitoring data deletion request command processing unit 113.

欠落データ要求コマンド処理部114は、ログデータ欠落検知処理部112からの要求に応じて欠落データ要求コマンドを作成し、その作成したコマンドをコマンド制御部109へ送る。また、欠落データ要求コマンド処理部114は、コマンド制御部109から返信されてきた欠落データ返信コマンドを受信した後に、受信した欠落データの中から実データを抽出し、抽出した実データを欠落データ送信処理部110へ送る。   The missing data request command processing unit 114 creates a missing data request command in response to a request from the log data missing detection processing unit 112 and sends the created command to the command control unit 109. In addition, the missing data request command processing unit 114 receives the missing data reply command returned from the command control unit 109, and then extracts the actual data from the received missing data and transmits the extracted actual data to the missing data transmission. The data is sent to the processing unit 110.

欠落データ送信処理部110は、欠落データ要求コマンド処理部114から送られた実データを制御系LANインタフェース102へ送る。制御系LANインタフェース102は、欠落データ送信処理部110から送られた実データをログ管理端末31へ送信する。   The missing data transmission processing unit 110 sends the actual data sent from the missing data request command processing unit 114 to the control LAN interface 102. The control LAN interface 102 transmits the actual data sent from the missing data transmission processing unit 110 to the log management terminal 31.

監視データ削除要求コマンド処理部113は、ログデータ欠落検知処理部112からの要求に応じて監視データ削除要求コマンドを作成し、その作成したコマンドをコマンド制御部109へ送る。また、監視データ削除要求コマンド処理部113は、コマンド制御部109から返信されてきた監視データ削除完了コマンドを受信した後、実データ記憶部107及び監視データリスト記憶部108に記憶されているデータの中から該当するログデータを削除する。   The monitoring data deletion request command processing unit 113 creates a monitoring data deletion request command in response to a request from the log data loss detection processing unit 112, and sends the created command to the command control unit 109. In addition, the monitoring data deletion request command processing unit 113 receives the monitoring data deletion completion command returned from the command control unit 109, and then stores the data stored in the actual data storage unit 107 and the monitoring data list storage unit 108. Delete the corresponding log data from inside.

次に、図3に基づいて、監視装置15、25の内部構成を説明する。
設定情報部213は予め設定された監視装置の各情報が記録されている情報部であり、具体的には、ログ監視対象端末11,12、21〜23の識別情報(IPアドレス、ポート番号等)等が記述されている。 Next, the internal configuration of the monitoring devices 15 and 25 will be described with reference to FIG.
The setting information part 213 is an information part in which each information of the monitoring device set in advance is recorded. Specifically, the identification information (IP address, port number, etc.) of the log monitoring target terminals 11, 12, 21 to 23 ) Etc. are described.

監視系LANインタフェース201は、ログ監視対称端末11,12、21〜23からログ管理端末31に送信されるログデータを受信する機能を有しており、送信されてくるログデータを監視できる位置、例えば、スイッチのミラーリングポート等に接続されている。   The monitoring LAN interface 201 has a function of receiving log data transmitted from the log monitoring symmetrical terminals 11, 12, 21 to 23 to the log management terminal 31, and a position where the transmitted log data can be monitored, For example, it is connected to a mirroring port of the switch.

パケット監視処理部203は、受信したログデータのパケットを判別する監視パケットフィルタ処理部204と、ハッシュ値を算出する監視データリスト作成処理部205とを含み構成されている。監視パケットフィルタ処理部204は、設定情報213に予め設定されているログ監視対象端末11,12、21〜23のIPアドレスやポート番号等の識別子を用いて監視系LANインタフェース201で受信したパケットを検査し、検査したパケットがデータ記憶部206に格納すべきデータ(ログ監視対象のパケット)であるか否かを判別する。尚、ログ監視の対象ではないパケットはここで廃棄される。   The packet monitoring processing unit 203 includes a monitoring packet filter processing unit 204 that determines a packet of received log data, and a monitoring data list creation processing unit 205 that calculates a hash value. The monitor packet filter processing unit 204 uses the identifiers such as the IP addresses and port numbers of the log monitoring target terminals 11, 12, 21 to 23 set in the setting information 213 in advance to receive packets received by the monitoring LAN interface 201. Inspect and determine whether the inspected packet is data to be stored in the data storage unit 206 (packet for log monitoring). Packets that are not subject to log monitoring are discarded here.

ログ監視の対象であると判別されたパケットは、監視データリスト作成処理部205に送られる。監視データリスト作成処理部205は、パケットのIPヘッダ以下を入力として、SHA−1、SHA−2等のハッシュ計算アルゴリズム関数を用いてハッシュ値を計算する。   Packets that are determined to be subject to log monitoring are sent to the monitoring data list creation processing unit 205. The monitoring data list creation processing unit 205 receives a packet IP header or less and inputs a hash value using a hash calculation algorithm function such as SHA-1 or SHA-2.

データ記憶部206は、パケット監視処理部203で処理されたデータを格納する記憶部であり、受信インデックス番号と実データ(ハッシュ値に変換されていないログ監視対象のパケットのデータ)を実データ記憶部207に、受信インデックス番号とハッシュ値を監視データリスト記憶部208に格納する。   The data storage unit 206 is a storage unit that stores data processed by the packet monitoring processing unit 203, and stores a reception index number and actual data (data of a log monitoring target packet that has not been converted into a hash value) as actual data. The reception index number and the hash value are stored in the monitoring data list storage unit 208 in the unit 207.

制御系LANインタフェース202は、監視センター装置35から送信された要求コマンドをコマンド制御処理部209へ送る機能を有するほか、要求コマンドに対するコマンド制御処理部209からの返信コマンドを監視センター装置35へ送信する機能を有している。   The control-system LAN interface 202 has a function of sending a request command transmitted from the monitoring center device 35 to the command control processing unit 209, and transmits a reply command from the command control processing unit 209 to the monitoring center device 35 in response to the request command. It has a function.

コマンド制御処理部209は、後述する監視データリスト要求コマンド返信処理部210、監視データ削除要求コマンド返信処理部211、欠落データ要求コマンド返信処理部212からの要求コマンドを制御系LANインタフェース202へ送る機能、及びそれぞれの要求コマンドに対する返信コマンドを各コマンド返却処理部210、211、212へ送る機能を有している。   The command control processing unit 209 transmits a request command from a monitoring data list request command reply processing unit 210, a monitoring data deletion request command reply processing unit 211, and a missing data request command reply processing unit 212, which will be described later, to the control LAN interface 202. , And a reply command for each request command, to each command return processing unit 210, 211, 212.

監視データリスト要求コマンド返信処理部210は、監視センター装置35から送信された監視データリスト要求コマンドを受信した後、この要求コマンドを分析して、指定・要求されたログデータに関する監視データリストを監視データリスト記憶部208から読み出す。その後、読み出した監視データリストを含んだ監視データリスト返信コマンドを作成し、作成したこの返信コマンドをコマンド制御処理部209に送る。   After receiving the monitoring data list request command transmitted from the monitoring center device 35, the monitoring data list request command reply processing unit 210 analyzes the request command and monitors the monitoring data list related to the specified / requested log data. Read from the data list storage unit 208. Thereafter, a monitoring data list reply command including the read monitoring data list is created, and the created reply command is sent to the command control processing unit 209.

監視データ削除要求コマンド返信処理部211は、監視センター装置35から送信された監視データ削除要求コマンドを受信した後、この要求コマンドを分析して、指定・要求されたログデータに関する監視データリストを監視データリスト記憶部208から削除する。併せて、指定・要求されたログデータに関する実データを実データ記憶部207から削除する。また、データの削除完了後に、監視データ削除返信コマンドを作成し、作成したこの返信コマンドをコマンド制御処理部209に送る。   After receiving the monitoring data deletion request command transmitted from the monitoring center device 35, the monitoring data deletion request command reply processing unit 211 analyzes the request command and monitors the monitoring data list regarding the specified / requested log data. Delete from the data list storage unit 208. At the same time, the actual data related to the designated / requested log data is deleted from the actual data storage unit 207. Further, after the data deletion is completed, a monitoring data deletion reply command is created, and the created reply command is sent to the command control processing unit 209.

欠落データ要求コマンド返信処理部212は、監視センター装置35から送信された欠落データ要求コマンドを受信した後、この要求コマンドを分析して、指定・要求されたログデータに関する実データを実データ記憶部207から読み出す。そして、読み出した実データを含んだ欠落データ返信コマンドを作成し、作成したこの返信コマンドをコマンド制御処理部209に送る。   After receiving the missing data request command transmitted from the monitoring center device 35, the missing data request command reply processing unit 212 analyzes the request command and displays actual data regarding the specified / requested log data as the actual data storage unit. Read from 207. Then, a missing data reply command including the read actual data is created, and the created reply command is sent to the command control processing unit 209.

次に、図4に基づいて、ログデータの欠落を検知する基本動作シーケンスについて説明する。尚、ここでは図1に示す監視装置15と監視センター装置35との間でログデータ欠落検知処理を実行する場合について説明する。   Next, a basic operation sequence for detecting missing log data will be described with reference to FIG. Here, the case where the log data loss detection process is executed between the monitoring device 15 and the monitoring center device 35 shown in FIG. 1 will be described.

ログ監視対象端末11からログ管理端末31にログデータが送信されている。この送信は定期的なものではなく不定期に行われる。ログデータがネットワークA10からネットワークC30に到達するためには、ネットワークD40を経由するものとする。即ち、ログ監視対象端末とログ管理端末との間の通信は、両端末がそれぞれ接続されているネットワークにそれぞれ接続された別のネットワークを経由して行われている。   Log data is transmitted from the log monitoring target terminal 11 to the log management terminal 31. This transmission is not regular but irregular. In order for the log data to reach the network C30 from the network A10, it is assumed that the log data passes through the network D40. That is, communication between the log monitoring target terminal and the log management terminal is performed via different networks respectively connected to networks to which both terminals are connected.

ログ監視対象端末11から送信されたログデータは、同じネットワークA10に接続されている監視装置15によってそのトラフィックが常時監視されており、監視されたログデータは監視装置15内のデータ記憶部206に蓄積されている(ステップS101)。   The log data transmitted from the log monitoring target terminal 11 is constantly monitored for traffic by the monitoring device 15 connected to the same network A10. The monitored log data is stored in the data storage unit 206 in the monitoring device 15. Accumulated (step S101).

また、ログ監視対象端末11からログ管理端末31へ送信されたログデータは監視センター装置35によってそのトラフィックが常時監視されており、監視されたログデータは監視センター装置35内のデータ記憶部106に蓄積されている(ステップS102)。   Further, the log data transmitted from the log monitoring target terminal 11 to the log management terminal 31 is constantly monitored by the monitoring center apparatus 35, and the monitored log data is stored in the data storage unit 106 in the monitoring center apparatus 35. Accumulated (step S102).

ログ監視対象端末11から送信されたログデータの一部がネットワークD40の経路上で欠落し、ネットワークC30に接続されているログ管理端末31に到達しなかった場合(ステップS103)、以下の順序でログデータ欠落検知処理が実行される。   When a part of the log data transmitted from the log monitoring target terminal 11 is lost on the route of the network D40 and does not reach the log management terminal 31 connected to the network C30 (step S103), the following order is used. Log data loss detection processing is executed.

先ず、監視センター装置35においてログデータの欠落検知処理が開始される(ステップS104)。監視センター装置35は“監視データリスト要求コマンド”を監視装置15へ送信する。   First, log data loss detection processing is started in the monitoring center device 35 (step S104). The monitoring center device 35 transmits a “monitoring data list request command” to the monitoring device 15.

監視センター装置35からの上記要求コマンドを受信した監視装置15は、監視データリストの返却処理を行う(ステップS105)。監視装置15は、要求された監視データリストを自装置内のデータ記憶部206から読み出し、読み出したデータを含む“監視データリスト返信コマンド”を作成して、それを監視センター装置35へ送信する。   The monitoring device 15 that has received the request command from the monitoring center device 35 performs a monitoring data list return process (step S105). The monitoring device 15 reads the requested monitoring data list from the data storage unit 206 in the device itself, creates a “monitoring data list reply command” including the read data, and transmits it to the monitoring center device 35.

続いて、監視センター装置35は、自装置内のデータ記憶部106から監視データリストを読み出すと共に、当該読み出した監視データリストと上記ステップS105で返信されてきた監視装置15の監視データリストとを比較してログデータに欠落があるか否かのログデータ欠落検知処理を実行する(ステップS106)。   Subsequently, the monitoring center device 35 reads the monitoring data list from the data storage unit 106 in the device itself, and compares the read monitoring data list with the monitoring data list of the monitoring device 15 returned in step S105. Then, a log data loss detection process for determining whether or not the log data is missing is executed (step S106).

ステップS106の結果、ログデータ欠落ありと判別された場合(分岐YESの場合)には、監視センター装置15は、“欠落データ要求コマンド”作成しその要求コマンドを監視装置15へ送信する。これに対して、ステップS106の結果、ログデータ欠落なしと判別された場合(分岐NOの場合)には、“監視データ削除要求コマンド”を作成しその要求コマンドを監視装置15に送信する。   As a result of step S106, when it is determined that there is a missing log data (in the case of branch YES), the monitoring center device 15 creates a “missing data request command” and transmits the request command to the monitoring device 15. On the other hand, if it is determined in step S106 that there is no missing log data (in the case of branch NO), a “monitoring data deletion request command” is created and the request command is transmitted to the monitoring device 15.

監視センター装置15からの欠落データ要求コマンドを受信した監視装置15は、欠落データの返却処理を行う(ステップS107)。監視装置15は、要求された欠落データを自装置内のデータ記憶部206から読み出し、読み出したデータを含む“欠落データ返信コマンド”を監視センター装置35に返信する。   The monitoring device 15 that has received the missing data request command from the monitoring center device 15 performs a missing data return process (step S107). The monitoring device 15 reads the requested missing data from the data storage unit 206 in the device itself, and returns a “missing data return command” including the read data to the monitoring center device 35.

監視センター装置35は、返信されてきた欠落データ返信コマンドから欠落データを抽出する(ステップS108)。監視センター装置35は、抽出した欠落データをログ管理端末31へ送信する。欠落データの送信後にステップS106に戻り、ログデータに欠落があるか否かの検知処理を実行する。   The monitoring center device 35 extracts missing data from the returned missing data reply command (step S108). The monitoring center device 35 transmits the extracted missing data to the log management terminal 31. After transmitting the missing data, the process returns to step S106, and a detection process is performed to determine whether or not the log data is missing.

上記したようにステップS106の結果、ログデータ欠落なしと判別された場合には、監視センター装置35は、“監視データ削除要求コマンド”を作成し、その要求コマンドを監視装置15に送信する。   As described above, when it is determined in step S106 that there is no missing log data, the monitoring center device 35 creates a “monitoring data deletion request command” and transmits the request command to the monitoring device 15.

監視装置15は、監視センター装置35から要求された監視データを自装置内のデータ記憶部206から削除する(ステップS109)。監視装置15はデータを削除した後に、監視データ削除返信コマンドを監視センター装置35に送信する。   The monitoring device 15 deletes the monitoring data requested from the monitoring center device 35 from the data storage unit 206 in the own device (step S109). After deleting the data, the monitoring device 15 transmits a monitoring data deletion reply command to the monitoring center device 35.

監視センター装置35は、監視装置15に対して削除要求したデータと同じデータを自装置内のデータ記憶部106から削除する(ステップS110)。   The monitoring center device 35 deletes the same data as the data requested to be deleted from the monitoring device 15 from the data storage unit 106 in the own device (step S110).

以上でログデータ欠落検知の一連の動作を終了し、次のログデータ欠落検知処理開始時間になったら、再びステップS104からの処理動作を実行する。   The series of operations for detecting missing log data is completed as described above, and when the next start time for detecting missing log data comes, the processing operation from step S104 is executed again.

次に、図4に示す動作手順における監視装置15(25)及び監視センター装置35の各内部処理について説明する。
図5は、自装置内に装備するデータ記憶部106、206に監視対象のログデータを格納する処理のフローチャートを示している。この格納処理は監視装置15と監視センター装置35とで共通の処理内容である。以下、監視装置15を例にとって説明する。 Next, each internal process of the monitoring device 15 (25) and the monitoring center device 35 in the operation procedure shown in FIG. 4 will be described.
FIG. 5 shows a flowchart of processing for storing log data to be monitored in the data storage units 106 and 206 equipped in the own apparatus. This storage process is common to the monitoring device 15 and the monitoring center device 35. Hereinafter, the monitoring device 15 will be described as an example.

監視系LANインタフェース201で受信された監視データをここでデータD1とおく。データD1は、受信したパケットのIPヘッダ以下のデータ(パケットD1)であるとする。パケットD1の受信によりこの処理が開始される(ステップS201)。   The monitoring data received by the monitoring LAN interface 201 is set as data D1 here. The data D1 is assumed to be data (packet D1) below the IP header of the received packet. This process is started upon reception of the packet D1 (step S201).

パケット監視処理部203は、受信したデータD1が監視対象データであるか否かを、予め設定されているログ監視対象端末11,12の識別情報(IPアドレス、ポート番号等)に基づいて判別する(ステップS202)。データD1を監視対象データではないと判別した場合、パケット監視処理部203はデータD1を廃棄する(ステップS203)。   The packet monitoring processing unit 203 determines whether or not the received data D1 is monitoring target data based on preset identification information (IP address, port number, etc.) of the log monitoring target terminals 11 and 12. (Step S202). If it is determined that the data D1 is not the monitoring target data, the packet monitoring processing unit 203 discards the data D1 (step S203).

これに対して、データD1を監視対象データであると判別した場合には、パケット監視処理部203は、データD1を入力とするハッシュ値H(D1)を算出する(ステップS204)。ここで、ハッシュ値を算出するために使用するハッシュ関数は、SHA−1、SHA−2等の既知のアルゴリズムを使用することができる。あるいは、独自に考案したアルゴリズムを使用してもよい。但し、監視装置15(25)と監視センター装置35とで使用するハッシュ関数は同じアルゴリズムを使用しなければならない。   On the other hand, when determining that the data D1 is the monitoring target data, the packet monitoring processing unit 203 calculates a hash value H (D1) with the data D1 as an input (step S204). Here, as the hash function used for calculating the hash value, a known algorithm such as SHA-1 and SHA-2 can be used. Alternatively, an originally devised algorithm may be used. However, the hash function used in the monitoring device 15 (25) and the monitoring center device 35 must use the same algorithm.

パケット監視処理部203は、データD1と算出したハッシュ値H(D1)とを、データ記憶部206の実データ記憶部207と監視データリスト記憶部208とに格納する(ステップS205)。   The packet monitoring processing unit 203 stores the data D1 and the calculated hash value H (D1) in the actual data storage unit 207 and the monitoring data list storage unit 208 of the data storage unit 206 (step S205).

図6は、データ記憶部206に格納されたデータD1とハッシュ値H(D1)を示す。データ記憶部と監視データリストのデータベーステーブル構造である。データテーブルは、監視対象IPアドレス207Aとポート番号207Bの組み合わせ毎に保持される。順序番号208Aは、監視装置15、25または監視センター装置35が受信したパケットの順番を示している。順序番号とデータ番号(D1、2、3・・・)が相違するのは、監視装置15、25側のネットワークから送信されたパケットの順番と、監視センター装置35側のネットワークに到達するパケットの順番とは異なる可能性があるためである。   FIG. 6 shows the data D1 and hash value H (D1) stored in the data storage unit 206. It is a database table structure of a data storage part and a monitoring data list. The data table is held for each combination of the monitoring target IP address 207A and the port number 207B. The sequence number 208A indicates the order of packets received by the monitoring devices 15 and 25 or the monitoring center device 35. The difference between the order number and the data number (D1, 2, 3,...) Is that the order of packets transmitted from the network on the monitoring devices 15 and 25 side and the packet that reaches the network on the monitoring center device 35 side are different. This is because the order may be different.

データ記憶部206は、実データ記憶部207と、監視データリスト記憶部208とから構成されている。また、監視対象となる監視対象端末15のIPアドレス207A、ポート番号207B、データD1(IPヘッダ以降のデータ)207C、受信した順番を示すインデックス番号208A、及びハッシュ値H(D1)208Bの組み合わせを格納している。   The data storage unit 206 includes an actual data storage unit 207 and a monitoring data list storage unit 208. Also, a combination of the IP address 207A, the port number 207B, the data D1 (data after the IP header) 207C, the index number 208A indicating the order of reception, and the hash value H (D1) 208B of the monitoring target terminal 15 to be monitored. Storing.

ここで、監視データリストとは、データ記憶部から監視データリスト記憶部のデータを読み出したリストである。
以降の処理においても制御コマンドの送受信が発生するが、制御コマンドに関する通信は、すべて監視センター装置35の制御系LANインタフェース102と、監視装置15の制御系LANインタフェース202の間で送受信が行われる。
また、監視センター装置35から送信される制御コマンドの送受信状態により、ログデータ欠落検知処理は状態遷移するが、その状態リストは図7に示すとおりである。尚、監視装置15は、監視センター装置35からの制御コマンド(要求コマンド)に対してそれぞれ適切な処理を実行した後にその返信コマンドを送信するのみであり、状態遷移は発生しない。 Here, the monitoring data list is a list obtained by reading data in the monitoring data list storage unit from the data storage unit.
In the subsequent processing, transmission / reception of the control command occurs, but all communication related to the control command is performed between the control LAN interface 102 of the monitoring center device 35 and the control LAN interface 202 of the monitoring device 15.
Further, the log data loss detection process changes depending on the transmission / reception state of the control command transmitted from the monitoring center device 35, and the state list is as shown in FIG. Note that the monitoring device 15 only transmits a reply command after executing appropriate processing for each control command (request command) from the monitoring center device 35, and no state transition occurs.

図8は、監視センター装置35におけるログデータ欠落検知の処理開始時のフローチャートである。
監視センター装置35においてログデータ欠落検知処理を実行する時間になったとき、ログデータ欠落検知処理部112は監視データリスト要求コマンドの処理を開始する(ステップS301)。この処理は、図4におけるステップS104に該当する。尚、ログデータ欠落検知処理の開始時間のタイミングはタイマー処理等を用いることができる。 FIG. 8 is a flowchart at the start of the log data loss detection process in the monitoring center device 35.
When it is time to execute the log data loss detection processing in the monitoring center device 35, the log data loss detection processing unit 112 starts processing of the monitoring data list request command (step S301). This process corresponds to step S104 in FIG. Note that a timer process or the like can be used as the timing of the start time of the log data loss detection process.

処理が開始されると、ログデータ欠落検知処理自体の状態遷移が発生し、“イベント待ち(状態E)”から“監視データリスト要求コマンドを送信可能状態(状態A0)”に遷移する(ステップS302:状態遷移は図7参照)。   When the process is started, the state transition of the log data loss detection process itself occurs, and the state transitions from “waiting for event (state E)” to “monitoring data list request command transmittable state (state A0)” (step S302). : Refer to FIG. 7 for the state transition).

続いて、監視センター装置35は、要求する監視データリストの監視対象ログデータのレコード個数Xを指定する。そして、監視データリストLAを要求する“監視データリスト要求コマンド”を作成し監視装置15又は25へ送信する(ステップS303)。   Subsequently, the monitoring center device 35 designates the record number X of the monitoring target log data in the requested monitoring data list. Then, a “monitoring data list request command” for requesting the monitoring data list LA is created and transmitted to the monitoring device 15 or 25 (step S303).

これにより、ログデータ欠落検知処理の状態遷移が発生し、“監視データリスト要求コマンドを送信可能状態(状態A0)”から“監視データリスト返信受信待ち(状態A1)”に遷移する(ステップS304)。   As a result, a state transition of the log data loss detection processing occurs, and the state transitions from the “monitoring data list request command transmission enabled state (state A0)” to the “waiting to receive a monitoring data list reply (state A1)” (step S304). .

図9は、監視データリスト要求コマンドに対する監視装置15(25)の返信処理のフローチャートである。
監視センター装置35からの“監視データリスト要求コマンド”を受信したとき、監視装置15(25)は返信処理を開始する(ステップS401)。 FIG. 9 is a flowchart of the reply process of the monitoring device 15 (25) in response to the monitoring data list request command.
When the “monitoring data list request command” is received from the monitoring center device 35, the monitoring device 15 (25) starts a reply process (step S401).

受信した“監視データリスト要求コマンド”を分析し、そのコマンド中に記述されている要求データのX個のデータについて監視データリスト記憶部208からデータを読出し、監視データリストLAを作成する(ステップS402)。この処理は、図4におけるステップS105に該当する。   The received “monitoring data list request command” is analyzed, data is read from the monitoring data list storage unit 208 for the X pieces of request data described in the command, and a monitoring data list LA is created (step S402). ). This process corresponds to step S105 in FIG.

続いて、監視装置15(25)は、監視データリストLAを含む“監視データリスト返信コマンド”を作成し、作成したこの返信コマンドを監視センター装置35へ送信する(ステップS403)。   Subsequently, the monitoring device 15 (25) creates a “monitoring data list reply command” including the monitoring data list LA, and transmits the created reply command to the monitoring center device 35 (step S403).

図10は、監視センター装置35における監視データリスト返信コマンド処理のフローチャートである。
この処理は、監視センター装置35が監視装置15(25)からの“監視データリスト返信コマンド”を受信したときに開始される。監視センター装置35は受信した“監視データリスト返信コマンド”を分析し、返信コマンドの中から監視データリストLAを抽出する(ステップS312)。 FIG. 10 is a flowchart of the monitoring data list reply command process in the monitoring center device 35.
This process is started when the monitoring center device 35 receives a “monitoring data list reply command” from the monitoring device 15 (25). The monitoring center device 35 analyzes the received “monitoring data list reply command” and extracts the monitoring data list LA from the reply commands (step S312).

続いて、抽出した監視データリストLAに基づいて、データ比較欠落検知処理が開始される(ステップS313)。   Subsequently, based on the extracted monitoring data list LA, data comparison missing detection processing is started (step S313).

図11は、監視センター装置35における監視データリストの比較による欠落検知処理のフローチャートである。
データ比較欠落検知処理では、監視装置15(25)から取得した監視データリストLAと監視センター装置35内に格納されている監視データリストLCとの比較処理が実行される(ステップS313)。 FIG. 11 is a flowchart of missing detection processing based on comparison of monitoring data lists in the monitoring center device 35.
In the data comparison missing detection process, a comparison process between the monitoring data list LA acquired from the monitoring device 15 (25) and the monitoring data list LC stored in the monitoring center device 35 is executed (step S313).

監視装置15(25)の監視データリストLA220は、n個のレコードを有しており、ハッシュ値をH(AX)、X=1〜nとする(ステップS321、322)。これに対して、監視センター装置35の監視データリストLC120は、m個のレコードを有しており、ハッシュ値をH(CY)、Y=1〜mとする(ステップS323、324)。   The monitoring data list LA220 of the monitoring device 15 (25) has n records, and the hash value is H (AX), X = 1 to n (steps S321 and 322). On the other hand, the monitoring data list LC120 of the monitoring center device 35 has m records, and the hash value is set to H (CY), Y = 1 to m (steps S323 and 324).

X=1〜nに対して、式H(AX)==H(CY)(Y=1〜m)を評価する(ステップS325、326)。   For X = 1 to n, the expression H (AX) == H (CY) (Y = 1 to m) is evaluated (steps S325 and 326).

H(AX)に等しいハッシュ値が監視データリストLC中に見つからなかった場合には、H(AX)を欠落したデータであると判定して“欠落データ要求コマンド”に書き込む(ステップS327)。そして欠落データ要求フラグを有効(ON)にする(ステップS328)。   If a hash value equal to H (AX) is not found in the monitoring data list LC, it is determined that H (AX) is missing data and is written in the “missing data request command” (step S327). Then, the missing data request flag is set valid (ON) (step S328).

上記の処理をX=1〜nに対して繰り返し実行することにより、“欠落データ要求コマンド”には、監視データリストLAに存在して監視データリストLCに存在しないデータのハッシュ値が書き込まれることになる(ステップS329〜332)。この処理によって、ネットワークAに接続されている監視装置15によって監視されたログデータが、ネットワークCに接続されている監視センター装置35によっては監視されなかったと判定し、ログデータが欠落したと判定する。   By repeatedly executing the above processing for X = 1 to n, a hash value of data that exists in the monitoring data list LA but does not exist in the monitoring data list LC is written in the “missing data request command”. (Steps S329 to 332). By this processing, it is determined that the log data monitored by the monitoring device 15 connected to the network A is not monitored by the monitoring center device 35 connected to the network C, and it is determined that the log data is missing. .

監視データリストトLAと監視データリストLCとの比較処理を終了した後において、欠落データ要求送信フラグが有効(ON)か否かの判定を行う(ステップS333)。判定の結果、欠落データ要求送信フラグが有効(ON)の場合には、“欠落データ要求コマンド”を作成し、作成したこの要求コマンドを監視センター装置35から監視装置15へ送信する(ステップS334)。これによりログデータ欠落検知処理の状態遷移が発生し、“監視データリスト返信受信待ち(状態A1)”から“欠落データ返信 受信待ち(状態B)”に遷移する(ステップS335)。   After completing the comparison process between the monitoring data list LA and the monitoring data list LC, it is determined whether or not the missing data request transmission flag is valid (ON) (step S333). If the result of determination is that the missing data request transmission flag is valid (ON), a “missing data request command” is created, and the created request command is sent from the monitoring center device 35 to the monitoring device 15 (step S334). . As a result, a state transition of the log data loss detection processing occurs, and the state shifts from “waiting for monitoring data list reply reception (state A1)” to “waiting for missing data reply reception (state B)” (step S335).

これに対してステップS333の判定結果、欠落データ要求フラグが無効(OFF)の場合には、ステップS312(図10)の処理で取得している監視データリストLAに含まれるデータと同じデータに対する“監視データ削除要求コマンド”を作成し、監視センター装置35から監視装置15へ送信する(ステップS336)。これによりログデータ欠落検知処理の状態遷移が発生し、“監視データリスト返信受信待ち(状態A1)”から“監視データ削除返信 受信待ち(状態C)”に遷移する(ステップS337)。   On the other hand, if the determination result of step S333 indicates that the missing data request flag is invalid (OFF), the same data as the data included in the monitoring data list LA acquired in the process of step S312 (FIG. 10) is displayed. A “monitoring data deletion request command” is created and transmitted from the monitoring center device 35 to the monitoring device 15 (step S336). As a result, a state transition of the log data loss detection processing occurs, and the state shifts from “waiting for monitoring data list reply reception (state A1)” to “waiting for monitoring data deletion reply reception (state C)” (step S337).

図12は、欠落データ要求コマンドに対する監視装置15(25)の返信処理のフローチャートである。
この処理は、監視装置15(25)が、監視センター装置35からの“欠落データ要求コマンド”を受信したときに処理が開始される(ステップS411)。 FIG. 12 is a flowchart of the reply process of the monitoring device 15 (25) for the missing data request command.
This process is started when the monitoring device 15 (25) receives the “missing data request command” from the monitoring center device 35 (step S411).

監視装置15(25)は、受信した“欠落データ要求コマンド”を分析し、分析したこの要求コマンドからハッシュ値を抽出して、要求されたハッシュ値を有するログデータを実データ記憶部207から読み出す。さらに要求されているログデータを全て読み出す(ステップS412)。   The monitoring device 15 (25) analyzes the received “missing data request command”, extracts a hash value from the analyzed request command, and reads out log data having the requested hash value from the actual data storage unit 207. . Further, all requested log data is read (step S412).

続いて、監視装置15(25)は、読み出したデータから“欠落データ返信コマンド”を作成し、作成した“欠落データ返信コマンド”を監視センター装置35へ送信する(ステップS413)。この処理は図4のステップS107に該当する。   Subsequently, the monitoring device 15 (25) creates a “missing data reply command” from the read data, and transmits the created “missing data reply command” to the monitoring center device 35 (step S413). This process corresponds to step S107 in FIG.

図13は、監視センター装置35における欠落データ送信処理のフローチャートである。
この処理は、監視センター装置35が監視装置15(25)から“欠落データ返信コマンド”を受信したときに開始される(ステップS341)。受信した“欠落データ返信コマンド”を分析し、分析したこの返信コマンドからログデータDを抽出する(ステップS343)。この処理は図4のステップS108に該当する。 FIG. 13 is a flowchart of the missing data transmission process in the monitoring center device 35.
This process is started when the monitoring center device 35 receives a “missing data return command” from the monitoring device 15 (25) (step S341). The received “missing data reply command” is analyzed, and the log data D is extracted from the analyzed reply command (step S343). This process corresponds to step S108 in FIG.

監視センター装置35は、抽出したログデータDをログ管理端末31へ送信する(ステップS344)。欠落データ返信コマンド内にある全ての欠落データをログ管理端末31に送信したか判別し、送信していない場合には、再度、欠落データ返信コマンドからログデータDを抽出しログ管理端末31へ送信する処理を繰り返す(ステップS342からS345)。   The monitoring center device 35 transmits the extracted log data D to the log management terminal 31 (step S344). It is determined whether all the missing data in the missing data reply command has been transmitted to the log management terminal 31. If not, the log data D is extracted from the missing data reply command and transmitted to the log management terminal 31 again. This process is repeated (steps S342 to S345).

欠落データ返信コマンドに含まれている全てのログデータをログ管理端末31に送信し終えたら、ステップS312(図10)で取得した監視データリストLAに含まれるデータと同じデータに対する“監視データ削除要求コマンド”を作成し、作成したこの削除要求コマンドを監視センター装置35から監視装置15(25)へ送信する(ステップS346)。これによりログデータ欠落検知処理の状態遷移が発生し、“欠落データ返信受信待ち(状態B)”から“監視データ削除返信 受信待ち(状態C)”に遷移する(ステップS347)。   When all the log data included in the missing data reply command has been transmitted to the log management terminal 31, the “monitoring data deletion request” for the same data as the data included in the monitoring data list LA acquired in step S312 (FIG. 10). Command "is created, and the created delete request command is transmitted from the monitoring center device 35 to the monitoring device 15 (25) (step S346). As a result, a state transition of the log data loss detection process occurs, and the state transits from “waiting for missing data reply reception (state B)” to “waiting to receive monitoring data deletion reply (state C)” (step S347).

図14は、監視データ削除要求コマンドに対する監視装置15(25)の返信処理のフローチャートである。
この処理は、監視装置15(25)が監視センター装置35からの“監視データ削除要求コマンド”を受信したときに開始される(ステップS421)。 FIG. 14 is a flowchart of the reply process of the monitoring device 15 (25) in response to the monitoring data deletion request command.
This process is started when the monitoring device 15 (25) receives a “monitoring data deletion request command” from the monitoring center device 35 (step S421).

監視装置15(25)は、受信した“監視データ削除要求コマンド”を分析し、削除の要求をされているログデータをデータ記憶部206から削除する(ステップS422)。この処理は図4のステップS109に該当する。   The monitoring device 15 (25) analyzes the received “monitoring data deletion request command” and deletes the log data requested to be deleted from the data storage unit 206 (step S422). This process corresponds to step S109 in FIG.

続いて、監視装置15(25)は、“監視データ削除返信コマンド”を作成し、作成したこの削除返信コマンドを監視センター装置35へ送信する(ステップS423)。   Subsequently, the monitoring device 15 (25) creates a “monitoring data deletion reply command” and transmits the created deletion reply command to the monitoring center device 35 (step S423).

図15は、監視センター装置35における監視データ削除処理のフローチャートである。
この処理は、監視センター装置35が、監視装置15(25)から監視データの削除を完了したことを示す“監視データ削除返信コマンド”を受信したときに開始される(ステップS423)。 FIG. 15 is a flowchart of the monitoring data deletion process in the monitoring center device 35.
This process is started when the monitoring center device 35 receives a “monitoring data deletion reply command” indicating that the monitoring data deletion has been completed from the monitoring device 15 (25) (step S423).

監視センター装置35は、ステップS336(図11)及びステップS346(図13)の処理における“監視データ削除要求コマンド”で監視装置15(25)に対して削除要求したログデータと同じデータを監視センター装置35内のデータ記憶部106から削除する(ステップS352)。この処理は図4のステップS110に該当する。   The monitoring center device 35 monitors the same data as the log data requested to be deleted from the monitoring device 15 (25) by the “monitoring data deletion request command” in the processing of step S336 (FIG. 11) and step S346 (FIG. 13). It deletes from the data storage part 106 in the apparatus 35 (step S352). This process corresponds to step S110 in FIG.

これによりログデータ欠落検知処理の状態遷移が発生し、“監視データ削除返信 受信待ち(状態C)”から“イベント待ち(状態E)”に遷移する(ステップS353)。   As a result, a state transition of the log data loss detection process occurs, and the state shifts from “waiting for monitoring data deletion reply reception (state C)” to “waiting for event (state E)” (step S353).

以上の処理をログデータ欠落検知処理のタイミングにより繰り返すことにより、ログ監視対象端末11,12、21〜23からログ管理端末31へのログデータの到達性を保証できる。   By repeating the above processing at the timing of the log data loss detection processing, the reachability of the log data from the log monitoring target terminals 11, 12, 21 to 23 to the log management terminal 31 can be guaranteed.

このような構成を有する実施形態によれば、UDPを使用してログ管理を行っているシステムにおいて既存ネットワークへのトラフィックの増加を抑えつつログデータの到達性を保証することができる。これは、監視装置および監視センター装置によってログデータに関する通信を監視し、それぞれの装置におけるログデータの監視状況を比較して、ログデータの欠落検知処理を実行しているからである。また、ログデータのサイズは大小様々でありログデータ欠落検知処理時に実ログデータを送受信すると過大なトラフィックが発生してしまうため、本実施形態ではデータ比較にハッシュ値を用いており、これにより監視装置と監視センター装置間のトラフィックを抑制できるからである。そして、欠落したデータのみ(必要なデータのみ)を監視装置から取得し、そのログデータをログ管理端末へ送信してログデータを補完しているからである。   According to the embodiment having such a configuration, reachability of log data can be ensured while suppressing an increase in traffic to an existing network in a system that performs log management using UDP. This is because the monitoring device and the monitoring center device monitor the communication regarding the log data, compare the monitoring status of the log data in each device, and execute the log data missing detection process. In addition, since the size of the log data is various and excessive traffic is generated when the actual log data is transmitted / received during the log data loss detection processing, in this embodiment, hash values are used for data comparison, and monitoring is thereby performed. This is because the traffic between the device and the monitoring center device can be suppressed. This is because only missing data (only necessary data) is acquired from the monitoring device, and the log data is transmitted to the log management terminal to complement the log data.

また、既存のログ管理システムへの通信方法やネットワーク構成の変更が困難な場合、あるいは、監視しているログ監視対象端末の台数が非常に多いログ管理システムを使用している場合にその導入コスト削減を期待することができる。これは、監視装置はログ監視対象端末の通信を監視できる位置に、監視センター装置はログ管理端末の通信を監視できる位置にそれぞれ接続するだけでよく、既存のログ監視対象端末およびログ管理端末の通信方法の変更やネットワーク構成の変更の必要がないため、システム管理者の作業を軽減することができるからである。   In addition, if it is difficult to change the communication method or network configuration to an existing log management system, or if you are using a log management system with a very large number of monitored log terminals, the cost of introducing it Reductions can be expected. This is because the monitoring device only needs to be connected to a position where the communication of the log monitoring target terminal can be monitored, and the monitoring center device only needs to be connected to a position where the communication of the log management terminal can be monitored. This is because it is not necessary to change the communication method or the network configuration, so that the work of the system administrator can be reduced.

ここで、本発明の実施の形態に係るネットワーク用通信管理装置の各構成部分が実行する機能の一部又は全部を他の実現方式としてプログラム化し、そのプログラムをコンピュータに実行させるようにしてもよい。その場合にも上記実施の形態で記載した効果と同様の効果を得ることができる。   Here, part or all of the functions executed by each component of the network communication management apparatus according to the embodiment of the present invention may be programmed as another implementation method, and the program may be executed by the computer. . In that case, the same effect as that described in the above embodiment can be obtained.

上述した各実施形態については、その新規な技術的内容の要点をまとめると、以下のようになる。尚、上記実施形態の一部又は全部は、新規な技術として以下のようになるが、本発明は必ずしもこれに限定されるものではない。   About each embodiment mentioned above, if the summary of the novel technical content is put together, it will become as follows. A part or all of the above-described embodiment is as follows as a novel technique, but the present invention is not necessarily limited to this.

(付記1)ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムであって、
前記ログ監視対象端末が接続されているネットワークの当該ログ監視対象端末が送信するログデータのパケットを監視できる位置に接続される監視装置と、
前記ログ管理端末が接続されているネットワークの当該ログ管理端末が受信するログデータのパケットを監視できる位置に接続される監視センター装置とを備え、
前記監視センター装置は、
前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較処理部と、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記ログ管理端末に送信する欠落データ送信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 (Appendix 1) Log data is transmitted from a log monitoring target terminal connected to a network to a log management terminal using Syslog, SNMP, or the like that operates as a management protocol on the transport layer UDP. A network management system for detecting missing log data that detects missing log data between a log monitoring target terminal and a log management terminal,
A monitoring device connected to a position where a log data packet transmitted by the log monitoring target terminal of the network to which the log monitoring target terminal is connected can be monitored;
A monitoring center device connected to a position where a log data packet received by the log management terminal of the network to which the log management terminal is connected can be monitored;
The monitoring center device
A transmission side monitoring data list composed of transmission packets of the log monitoring target terminal monitored by the monitoring device and a reception packet consisting of reception packets transmitted from the log monitoring target terminal monitored by the monitoring center device and received by the log management terminal. A monitoring data list comparison processing unit for comparing the monitoring data list on the side and determining whether there is a packet loss between transmission and reception;
When it is determined that there is a packet loss as a result of the determination by the monitoring data list comparison processing unit, the monitoring data list comparison processing unit includes a missing data transmission processing unit that transmits the lost packet to the log management terminal. A network management system for detecting missing log data.

(付記2)付記1に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
さらに、前記監視センター装置は、
前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求する監視データリスト要求コマンド処理部と、
前記パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視装置に対して要求すると共に、当該要求に応じて前記監視装置から返信された欠落パケットを受信し当該受信した欠落パケットを前記欠落データ送信処理部に送信する欠落データ要求コマンド処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 (Supplementary note 2) In the network management system for log data loss detection described in supplementary note 1,
Furthermore, the monitoring center device includes:
A monitoring data list request command processing unit for requesting the monitoring device to send the monitoring data list necessary for the comparison processing of the monitoring data list comparison processing unit;
When it is determined that the packet is missing, the missing packet is requested to the monitoring device, and the missing packet returned from the monitoring device in response to the request is received and the received missing packet is received. A network management system for detecting missing log data, comprising: a missing data request command processing unit for transmitting a message to the missing data transmission processing unit.

(付記3)付記2に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記監視装置は、
前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出すと共に当該読み出した送信側監視データリストを前記監視センター装置に返信する監視データリスト要求コマンド返信処理部と、
前記欠落データ要求コマンド処理部から要求される欠落パケットを予め記憶しておいた記憶部から読み出すと共に当該読み出した欠落パケットを前記監視センター装置に返信する欠落データ要求コマンド返信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 (Appendix 3) In the network management system for log data loss detection described in Appendix 2,
The monitoring device
A monitoring data list request command that reads out the transmission side monitoring data list requested from the monitoring data list request command processing unit from a storage unit that has been stored in advance and returns the read transmission side monitoring data list to the monitoring center device A reply processing unit;
A missing data request command reply processing unit that reads out the missing packet requested from the missing data request command processing unit from a storage unit that has been stored in advance and returns the read missing packet to the monitoring center device; A network management system for detecting missing log data.

(付記4)付記1から3のいずれか1つに記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記監視装置及び監視センター装置は、前記各ネットワークに設けられたネットワークスイッチのミラーリングポートに接続されていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 (Supplementary Note 4) In the network management system for log data loss detection according to any one of Supplementary notes 1 to 3,
A network management system for log data loss detection, wherein the monitoring device and the monitoring center device are connected to a mirroring port of a network switch provided in each network.

(付記5)付記1から4のいずれか1つに記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記送信側監視データリスト及び受信側監視データリストは、前記ログ監視対象端末が送信したパケットのデータ及び前記ログ管理端末が受信したパケットのデータを入力として算出したハッシュ値のリストであり、当該ハッシュ値を算出するための監視データリスト作成処理部が前記監視装置及び監視センター装置に設けられていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 (Supplementary note 5) In the network management system for log data loss detection according to any one of supplementary notes 1 to 4,
The transmission side monitoring data list and the reception side monitoring data list are lists of hash values calculated using the packet data transmitted by the log monitoring target terminal and the packet data received by the log management terminal as inputs, and the hash A network management system for log data loss detection, wherein a monitoring data list creation processing unit for calculating a value is provided in the monitoring device and the monitoring center device.

(付記6)ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末が接続されているネットワークに接続された監視装置が、当該ログ監視対象端末から送信されるログデータのパケットを監視し、
前記ログ管理端末が接続されているネットワークに接続された監視センター装置が、前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視し、
前記監視センター装置に装備された監視データリスト比較処理部が、前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、前記監視センター装置に装備された欠落データ送信処理部が、当該欠落したパケットを前記ログ管理端末に送信するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。 (Supplementary Note 6) Log data is transmitted from a log monitoring target terminal connected to a network to a log management terminal using Syslog, SNMP, or the like that operates as a management protocol on the transport layer UDP, and the transmission In a network management system for detecting missing log data that detects missing log data between a log monitoring target terminal and a log management terminal,
A monitoring device connected to a network to which the log monitoring target terminal is connected monitors a log data packet transmitted from the log monitoring target terminal;
A monitoring center device connected to a network to which the log management terminal is connected monitors a log data packet transmitted from the log monitoring target terminal and received by the log management terminal;
The monitoring data list comparison processing unit provided in the monitoring center apparatus includes a transmission side monitoring data list including transmission packets of the log monitoring target terminal monitored by the monitoring apparatus and the log monitoring target terminal monitored by the monitoring center apparatus. Comparing the reception monitoring data list consisting of received packets transmitted from and received by the log management terminal to determine the presence or absence of missing packets between transmission and reception;
As a result of the determination by the monitoring data list comparison processing unit, when it is determined that there is a packet loss, the missing data transmission processing unit equipped in the monitoring center device sends the lost packet to the log management terminal. A network management method for detecting missing log data, characterized by being transmitted.

(付記7)付記6に記載のログデータ欠落検知用のネットワーク管理方法において、
前記監視センター装置に装備された監視データリスト要求コマンド処理部が、前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記監視装置に対して要求し、当該要求に応じて前記監視装置から返信された欠落したパケットを前記欠落データ送信処理部に送信する、当該要求、及び送信の各処理動作を前記監視センター装置に装備された欠落データ要求コマンド処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。 (Supplementary note 7) In the network management method for log data loss detection according to supplementary note 6,
The monitoring data list request command processing unit equipped in the monitoring center device requests the monitoring device to send the monitoring data list necessary for the comparison processing of the monitoring data list comparison processing unit,
As a result of determination by the monitoring data list comparison processing unit, when it is determined that there is a packet loss, the monitoring device requests the monitoring device for the lost packet, and is returned from the monitoring device in response to the request. The missing data request command processing unit equipped in the monitoring center apparatus executes the request and transmission processing operations for transmitting the missing packet to the missing data transmission processing unit. Network management method for detecting missing log data.

(付記8)付記7に記載のログデータ欠落検知用のネットワーク管理方法において、
前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出し、当該読み出した送信側監視データリストを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された監視データリスト要求コマンド返信処理部が実行し、
前記欠落データ要求コマンド処理部から要求される欠落したパケットを予め記憶しておいた記憶部から読み出し、当該読み出した欠落したパケットを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された欠落データ要求コマンド返信処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。 (Supplementary note 8) In the network management method for log data loss detection according to supplementary note 7,
Reading from the storage unit that has previously stored the transmission side monitoring data list requested by the monitoring data list request command processing unit, returning the read transmission side monitoring data list to the monitoring center device, the reading, and A monitoring data list request command reply processing unit provided in the monitoring device executes each operation process to be returned,
Each operation process for reading out and returning, reading out the missing packet requested from the missing data request command processing unit from the storage unit that has been stored in advance, and returning the read out missing packet to the monitoring center device Is executed by a missing data request command reply processing unit provided in the monitoring device.

(付記9)ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視するログ管理端末パケット監視機能、
前記監視装置が監視した前記ログ監視対象端末から送信されるログデータのパケットからなる送信側監視データリストと前記監視センター装置が監視した前記ログ管理端末に受信されたパケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較判定機能、
前記監視データリスト比較判定機能による比較判定の結果、パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視センター装置に要求し当該監視センター装置から送信されてきた前記欠落したパケットを前記ログ管理端末に送信する欠落データ送信機能を設け、
これらの機能をコンピュータに実現させるようにしたことを特徴とするログデータ欠落検知用のネットワーク管理プログラム。 (Supplementary Note 9) Log data is transmitted from a log monitoring target terminal connected to a network to a log management terminal using Syslog, SNMP, or the like that operates as a management protocol on the transport layer UDP, and the transmission In a network management system for detecting missing log data that detects missing log data between a log monitoring target terminal and a log management terminal,
A log management terminal packet monitoring function for monitoring a packet of log data transmitted from the log monitoring target terminal and received by the log management terminal;
Sending side monitoring data list consisting of packets of log data transmitted from the log monitoring target terminal monitored by the monitoring device and receiving side monitoring data list consisting of packets received by the log management terminal monitored by the monitoring center device Monitoring data list comparison judgment function to judge whether or not there is packet loss between sending and receiving,
As a result of the comparison determination by the monitoring data list comparison determination function, when it is determined that there is a packet loss, the lost packet transmitted from the monitoring center device requesting the lost packet to the monitoring center device Is provided with a missing data transmission function for transmitting to the log management terminal,
A network management program for detecting missing log data, wherein a computer realizes these functions.

例えば、UDPを使用したログ管理システム等のデータ到達性を保証する必要があるシステムへの用途に利用可能である。   For example, the present invention can be used for a system that needs to guarantee data reachability such as a log management system using UDP.

1 (ログデータの欠落を検知する)ネットワーク管理システム
10 ネットワークA
11,12,21〜23 ログ監視対称端末
15,25 監視装置
20 ネットワークB
30 ネットワークC
31 ログ管理端末
35 監視センター装置
40 ネットワークD
103,203 パケット監視処理部
106,206 データ記憶部
112 ログデータ欠落検知処理部(監視データリスト比較処理部) 1 Network management system (detects missing log data) 10 Network A
11, 12, 21-23 Log monitoring symmetrical terminal 15, 25 Monitoring device 20 Network B
30 Network C
31 Log management terminal 35 Monitoring center device 40 Network D
103, 203 Packet monitoring processing unit 106, 206 Data storage unit 112 Log data loss detection processing unit (monitoring data list comparison processing unit)

Claims (9)

ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムであって、
前記ログ監視対象端末が接続されているネットワークの当該ログ監視対象端末が送信するログデータのパケットを監視できる位置に接続される監視装置と、
前記ログ管理端末が接続されているネットワークの当該ログ管理端末が受信するログデータのパケットを監視できる位置に接続される監視センター装置とを備え、
前記監視センター装置は、
前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較処理部と、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記ログ管理端末に送信する欠落データ送信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 Log data is transmitted from a log monitoring target terminal connected to the network to a log management terminal using Syslog, SNMP, etc. operating as a management protocol on the transport layer UDP, and the log monitoring target terminal in the transmission A network management system for log data loss detection that detects log data that is missing between a log management terminal and a log management terminal,
A monitoring device connected to a position where a log data packet transmitted by the log monitoring target terminal of the network to which the log monitoring target terminal is connected can be monitored;
A monitoring center device connected to a position where a log data packet received by the log management terminal of the network to which the log management terminal is connected can be monitored;
The monitoring center device
A transmission side monitoring data list composed of transmission packets of the log monitoring target terminal monitored by the monitoring device and a reception packet consisting of reception packets transmitted from the log monitoring target terminal monitored by the monitoring center device and received by the log management terminal. A monitoring data list comparison processing unit for comparing the monitoring data list on the side and determining whether there is a packet loss between transmission and reception;
When it is determined that there is a packet loss as a result of the determination by the monitoring data list comparison processing unit, the monitoring data list comparison processing unit includes a missing data transmission processing unit that transmits the lost packet to the log management terminal. A network management system for detecting missing log data. 請求項1に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
さらに、前記監視センター装置は、
前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求する監視データリスト要求コマンド処理部と、
前記パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視装置に対して要求すると共に、当該要求に応じて前記監視装置から返信された欠落パケットを受信し当該受信した欠落パケットを前記欠落データ送信処理部に送信する欠落データ要求コマンド処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 In the network management system for log data loss detection according to claim 1,
Furthermore, the monitoring center device includes:
A monitoring data list request command processing unit for requesting the monitoring device to send the monitoring data list necessary for the comparison processing of the monitoring data list comparison processing unit;
When it is determined that the packet is missing, the missing packet is requested to the monitoring device, and the missing packet returned from the monitoring device in response to the request is received and the received missing packet is received. A network management system for detecting missing log data, comprising: a missing data request command processing unit for transmitting a message to the missing data transmission processing unit. 請求項2に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記監視装置は、
前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出すと共に当該読み出した送信側監視データリストを前記監視センター装置に返信する監視データリスト要求コマンド返信処理部と、
前記欠落データ要求コマンド処理部から要求される欠落パケットを予め記憶しておいた記憶部から読み出すと共に当該読み出した欠落パケットを前記監視センター装置に返信する欠落データ要求コマンド返信処理部とを備えていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 In the network management system for log data loss detection according to claim 2,
The monitoring device
A monitoring data list request command that reads out the transmission side monitoring data list requested from the monitoring data list request command processing unit from a storage unit that has been stored in advance and returns the read transmission side monitoring data list to the monitoring center device A reply processing unit;
A missing data request command reply processing unit that reads out the missing packet requested from the missing data request command processing unit from a storage unit that has been stored in advance and returns the read missing packet to the monitoring center device; A network management system for detecting missing log data. 請求項1から3のいずれか1項に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記監視装置及び監視センター装置は、前記各ネットワークに設けられたネットワークスイッチのミラーリングポートに接続されていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 In the network management system for log data omission detection according to any one of claims 1 to 3,
A network management system for log data loss detection, wherein the monitoring device and the monitoring center device are connected to a mirroring port of a network switch provided in each network. 請求項1から4のいずれか1項に記載のログデータ欠落検知用のネットワーク管理システムにおいて、
前記送信側監視データリスト及び受信側監視データリストは、前記ログ監視対象端末が送信したパケットのデータ及び前記ログ管理端末が受信したパケットのデータを入力として算出したハッシュ値のリストであり、当該ハッシュ値を算出するための監視データリスト作成処理部が前記監視装置及び監視センター装置に設けられていることを特徴とするログデータ欠落検知用のネットワーク管理システム。 In the network management system for log data omission detection according to any one of claims 1 to 4,
The transmission side monitoring data list and the reception side monitoring data list are lists of hash values calculated using the packet data transmitted by the log monitoring target terminal and the packet data received by the log management terminal as inputs, and the hash A network management system for log data loss detection, wherein a monitoring data list creation processing unit for calculating a value is provided in the monitoring device and the monitoring center device. ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末が接続されているネットワークに接続された監視装置が、当該ログ監視対象端末から送信されるログデータのパケットを監視し、
前記ログ管理端末が接続されているネットワークに接続された監視センター装置が、前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視し、
前記監視センター装置に装備された監視データリスト比較処理部が、前記監視装置が監視した前記ログ監視対象端末の送信パケットからなる送信側監視データリストと当該監視センター装置が監視した前記ログ監視対象端末から送信されて前記ログ管理端末が受信した受信パケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、前記監視センター装置に装備された欠落データ送信処理部が、当該欠落したパケットを前記ログ管理端末に送信するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。 Log data is transmitted from a log monitoring target terminal connected to the network to a log management terminal using Syslog, SNMP, etc. operating as a management protocol on the transport layer UDP, and the log monitoring target terminal in the transmission Is a network management system for log data loss detection that detects log data that is lost between
A monitoring device connected to a network to which the log monitoring target terminal is connected monitors a log data packet transmitted from the log monitoring target terminal;
A monitoring center device connected to a network to which the log management terminal is connected monitors a log data packet transmitted from the log monitoring target terminal and received by the log management terminal;
The monitoring data list comparison processing unit provided in the monitoring center apparatus includes a transmission side monitoring data list including transmission packets of the log monitoring target terminal monitored by the monitoring apparatus and the log monitoring target terminal monitored by the monitoring center apparatus. Comparing the reception monitoring data list consisting of received packets transmitted from and received by the log management terminal to determine the presence or absence of missing packets between transmission and reception;
As a result of the determination by the monitoring data list comparison processing unit, when it is determined that there is a packet loss, the missing data transmission processing unit equipped in the monitoring center device sends the lost packet to the log management terminal. A network management method for detecting missing log data, characterized by being transmitted. 請求項6に記載のログデータ欠落検知用のネットワーク管理方法において、
前記監視センター装置に装備された監視データリスト要求コマンド処理部が、前記監視データリスト比較処理部の比較処理に必要な前記送信側監視データリストを前記監視装置に対して要求し、
前記監視データリスト比較処理部による判定の結果、パケットの欠落が有ると判定された場合には、当該欠落したパケットを前記監視装置に対して要求し、当該要求に応じて前記監視装置から返信された欠落したパケットを前記欠落データ送信処理部に送信する、当該要求、及び送信の各処理動作を前記監視センター装置に装備された欠落データ要求コマンド処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。 The network management method for log data loss detection according to claim 6,
The monitoring data list request command processing unit equipped in the monitoring center device requests the monitoring device to send the monitoring data list necessary for the comparison processing of the monitoring data list comparison processing unit,
As a result of determination by the monitoring data list comparison processing unit, when it is determined that there is a packet loss, the monitoring device requests the monitoring device for the lost packet, and is returned from the monitoring device in response to the request. The missing data request command processing unit equipped in the monitoring center apparatus executes the request and transmission processing operations for transmitting the missing packet to the missing data transmission processing unit. Network management method for detecting missing log data. 請求項7に記載のログデータ欠落検知用のネットワーク管理方法において、
前記監視データリスト要求コマンド処理部から要求される送信側監視データリストを予め記憶しておいた記憶部から読み出し、当該読み出した送信側監視データリストを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された監視データリスト要求コマンド返信処理部が実行し、
前記欠落データ要求コマンド処理部から要求される欠落したパケットを予め記憶しておいた記憶部から読み出し、当該読み出した欠落したパケットを前記監視センター装置に返信する、当該読み出し、及び返信する各動作処理を前記監視装置に装備された欠落データ要求コマンド返信処理部が実行するようにしたことを特徴とするログデータ欠落検知用のネットワーク管理方法。 The network management method for log data loss detection according to claim 7,
Reading from the storage unit that has previously stored the transmission side monitoring data list requested by the monitoring data list request command processing unit, returning the read transmission side monitoring data list to the monitoring center device, the reading, and A monitoring data list request command reply processing unit provided in the monitoring device executes each operation process to be returned,
Each operation process for reading out and returning, reading out the missing packet requested from the missing data request command processing unit from the storage unit that has been stored in advance, and returning the read out missing packet to the monitoring center device Is executed by a missing data request command reply processing unit provided in the monitoring device. ネットワークに接続されているログ監視対象端末からログ管理端末へトランスポート層のUDP上で管理プロトコルとして動作するSyslogやSNMP等を使用してログデータの送信を行い、当該送信における前記ログ監視対象端末とログ管理端末との間で欠落したログデータを検知するログデータ欠落検知用のネットワーク管理システムにあって、
前記ログ監視対象端末から送信されて当該ログ管理端末に受信されるログデータのパケットを監視するログ管理端末パケット監視機能、
前記監視装置が監視した前記ログ監視対象端末から送信されるログデータのパケットからなる送信側監視データリストと前記監視センター装置が監視した前記ログ管理端末に受信されたパケットからなる受信側監視データリストとを比較して送受信間のパケットの欠落の有無を判定する監視データリスト比較判定機能、
前記監視データリスト比較判定機能による比較判定の結果、パケットの欠落が有ると判定された場合に、当該欠落したパケットを前記監視センター装置に要求し当該監視センター装置から送信されてきた前記欠落したパケットを前記ログ管理端末に送信する欠落データ送信機能を設け、
これらの機能をコンピュータに実現させるようにしたことを特徴とするログデータ欠落検知用のネットワーク管理プログラム。 Log data is transmitted from a log monitoring target terminal connected to the network to a log management terminal using Syslog, SNMP, etc. operating as a management protocol on the transport layer UDP, and the log monitoring target terminal in the transmission Is a network management system for log data loss detection that detects log data that is lost between
A log management terminal packet monitoring function for monitoring a packet of log data transmitted from the log monitoring target terminal and received by the log management terminal;
Sending side monitoring data list consisting of packets of log data transmitted from the log monitoring target terminal monitored by the monitoring device and receiving side monitoring data list consisting of packets received by the log management terminal monitored by the monitoring center device Monitoring data list comparison judgment function to judge whether or not there is packet loss between sending and receiving,
As a result of the comparison determination by the monitoring data list comparison determination function, when it is determined that there is a packet loss, the lost packet transmitted from the monitoring center device requesting the lost packet to the monitoring center device Is provided with a missing data transmission function for transmitting to the log management terminal,
A network management program for detecting missing log data, wherein a computer realizes these functions.
JP2010118099A 2010-05-24 2010-05-24 Network management system, management method, and management program for log data loss detection Active JP5454355B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010118099A JP5454355B2 (en) 2010-05-24 2010-05-24 Network management system, management method, and management program for log data loss detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010118099A JP5454355B2 (en) 2010-05-24 2010-05-24 Network management system, management method, and management program for log data loss detection

Publications (2)

Publication Number Publication Date
JP2011248433A JP2011248433A (en) 2011-12-08
JP5454355B2 true JP5454355B2 (en) 2014-03-26

Family

ID=45413655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010118099A Active JP5454355B2 (en) 2010-05-24 2010-05-24 Network management system, management method, and management program for log data loss detection

Country Status (1)

Country Link
JP (1) JP5454355B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6586667B2 (en) * 2016-03-07 2019-10-09 富士通株式会社 Packet verification program, packet verification apparatus, and packet verification method
JP2020048102A (en) * 2018-09-20 2020-03-26 日本電信電話株式会社 Network service system, event log recording device, event log management method, and program
US11876608B2 (en) * 2021-02-22 2024-01-16 Hitachi, Ltd Redundant control system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05298215A (en) * 1992-04-20 1993-11-12 Fujitsu Ltd Omitted data detecting/retransmitting method
JP3537015B2 (en) * 1996-08-12 2004-06-14 日本電信電話株式会社 Packet communication method
JP3392742B2 (en) * 1997-12-22 2003-03-31 株式会社野村総合研究所 Multi-station simultaneous distribution system for automatic recovery of missing data and distribution method thereof
JP2006085623A (en) * 2004-09-17 2006-03-30 Toshiba Corp Web monitoring system, data processing method and monitored apparatus
US20060179392A1 (en) * 2005-02-08 2006-08-10 Takaaki Ota Handshakeless retransmission protocol
JP4089719B2 (en) * 2005-09-09 2008-05-28 沖電気工業株式会社 Abnormality detection system, abnormality management device, abnormality management method, probe and program thereof
JP2008217735A (en) * 2007-03-08 2008-09-18 Nec Corp Fault analysis system, method and program
JP2008278272A (en) * 2007-04-27 2008-11-13 Kddi Corp Electronic system, electronic equipment, central apparatus, program, and recording medium
JP5101965B2 (en) * 2007-09-25 2012-12-19 京セラ株式会社 Receiver

Also Published As

Publication number Publication date
JP2011248433A (en) 2011-12-08

Similar Documents

Publication Publication Date Title
KR101715080B1 (en) Node apparatus and method that prevent overflow of pending Interest table in network system of name base
JP6015509B2 (en) Packet analysis program, packet analysis method, packet analysis device, and packet analysis system
US20170111272A1 (en) Determining Direction of Network Sessions
CN101035037B (en) Method, system and related device for detecting the network communication quality
CN112311580B (en) Message transmission path determining method, device and system and computer storage medium
US10951742B1 (en) Methods, systems, and computer program products for sharing information for detecting at least one time period for a connection
WO2010099754A1 (en) Log information transmission method and apparatus
JP4687590B2 (en) Information distribution system and failure determination method
JP5454355B2 (en) Network management system, management method, and management program for log data loss detection
CN100370762C (en) Method device and system for processing warning message
JP2008059114A (en) Automatic network monitoring system using snmp
JP4170301B2 (en) DoS attack detection method, DoS attack detection system, and DoS attack detection program
CN114301676A (en) Nondestructive asset detection method of power monitoring system
JP5621674B2 (en) Management apparatus, communication system, and packet communication method
JP6733147B2 (en) Communication system, relay method, and relay program
US8064454B2 (en) Protocol incompatibility detection
JP4204053B2 (en) Method and apparatus for isolating quality degradation point of packet switching network, and program and recording medium thereof
JP3892322B2 (en) Unauthorized access route analysis system and unauthorized access route analysis method
US8935387B2 (en) Information processing device, address duplication handling method, and computer-readable non-transitory recording medium
JP2009199556A (en) Communication monitoring device, communication monitoring method, computer program and system therefor
KR100710766B1 (en) Monitoring system, apparatus to be monitored, monitoring apparatus, and monitoring method
CN106603335B (en) Private software traffic monitoring method and device
JP4983287B2 (en) Rule verification apparatus and rule verification method
JP2001160013A (en) Snmp network management system
CN110337115B (en) Method for judging WeChat payment perception based on TCP (Transmission control protocol)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130412

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131223

R150 Certificate of patent or registration of utility model

Ref document number: 5454355

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150