WO2017038221A1 - Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log - Google Patents
Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log Download PDFInfo
- Publication number
- WO2017038221A1 WO2017038221A1 PCT/JP2016/068740 JP2016068740W WO2017038221A1 WO 2017038221 A1 WO2017038221 A1 WO 2017038221A1 JP 2016068740 W JP2016068740 W JP 2016068740W WO 2017038221 A1 WO2017038221 A1 WO 2017038221A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- log information
- pass
- user
- processing
- processing device
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Definitions
- the present invention analyzes and translates log information that is output when a user operates a computer device, outputs a report in which operations and operation records for the target computer device are translated into a plain natural language, and advises on improvements. It is related with the technical apparatus which performs.
- the computer device has a function of recording all software operations including the OS running on the computer device as a log file.
- the OS running on the computer device
- logs that record the operation of various computers are output by the OS and software that runs on them.
- Techniques such as file analysis and translation are required. Analyzing the accumulated log file to find improvement points, improvement information is required for optimization.
- the present invention is for realizing the following procedures.
- Log information event log data, audit log
- Log information output by computer systems and personal computers (smartphones, tablets, wearables), machinery (industrial equipment, general equipment, vehicles), electrical products, and other things (furniture, buildings)
- Data system log, application log, service log, etc.
- mapping processing device that extracts necessary items of log information for each user, server, target, Match the output of the mapping process to the user, server, and the combination pattern of the n operation results predetermined in the rule master, and track the trace of the operation that actually occurred
- From the tracking results for each summary which is the output of the pass 1 processing device, the same operation within a certain time is compressed into one to arrange the output of the pass 1 processing device in a more easily viewable form.
- Incident management and security management can be performed efficiently and accurately by searching and reporting the results of a series of processing of mapping processing device, prepass processing device, pass 1 processing device, pass 2 processing device, and pass 3 processing device. It is possible to use the log further by the pass 4 processing device that translates code and binary data into natural language, and the pass 5 processing device, the pass 6 processing device, and the pass 7 processing device that output improvement information from the log information. And
- the log data analysis and log data translation apparatus such as the computer apparatus of the present invention does not require specialized knowledge of the user, makes the log easy to see and grasps the original operation, and greatly increases the storage resource capacity. Savings, and by translating codes and binary data corresponding to events that are output in large quantities in large quantities into natural language, it enables trend analysis.
- FIG. 1 is an overall configuration diagram showing an example of the present invention
- FIG. 2 is an overview of mapping processing
- FIG. 3 is pre-pass 1 processing
- FIG. 4 is path 1 processing
- FIG. 5 is path 2 processing
- FIG. FIG. 8 is a path 5 process.
- FIG. 9 is a path 6 process.
- FIG. 10 is a path 7 process.
- FIG. 1 shows an overall apparatus for collecting 111 log information output by a computer or the like as an example of an embodiment of the present invention, compressing the collected log information, and translating and analyzing the log information into a natural language that is easy for humans to understand.
- 101 User A has a file 107 A of 104 server ⁇ , files 108 B and 109 ⁇ of 105 server ⁇ , 102 User B has files 108 and 109 on 105 server ⁇ , 103
- user C operates file 110 of 106 server ⁇
- each of the computer 104 server ⁇ , 105 server ⁇ , and 106 server ⁇ When each of the computer 104 server ⁇ , 105 server ⁇ , and 106 server ⁇ is operated, it outputs the operation status of the computer as 111 log information.
- the 113 translation server periodically collects the output log information using a network or the like, and compiles it into one 114 collected log information.
- the collected 114 collected log information is read and necessary data is added so that it can be easily translated by the 116 mapping processing device.
- the log pattern is classified by the 117 prepass 1 processing device, and the log operation is organized by the 118 pass 1 processing device.
- the 119 path 2 processing device and the 120 path 3 processing device organize the translations, the 116 mapping processing device reduces the data volume from 1/1000 to 1/2000 by the 120 path 3 processing device, and the 121 path 4 processing allows a human to It translates into an easy-to-understand natural language, evaluates the user's access rights through 122 pass 5 processing, outputs improvement proposal information through 123 pass 6 processing, and loads server load statistical information through the 124 pass 7 processing device. It is a whole block diagram of the apparatus which performs an output. Since the inventor and the applicant have given their own names, each software and device uses the unique name of the present invention and will be described below. ⁇ Date Date, time, minute, and second when the user accessed the file.
- Log information Operation records, application logs, service logs, system logs, event logs, audit logs output by computer systems, personal computers, smartphones, tablets, wearables, industrial equipment, general equipment, vehicles, electrical products, medical equipment, furniture, buildings, etc. Operation records such as command information and digital data.
- -Log information table A table in which the information required for analysis is converted from log information to analysis format and expanded in memory.
- System log Records information such as computer start and stop, administrator logon and logoff, restart, hardware failure, kernel error, server software and daemon, and resident program start and stop.
- Access control list Information that describes the access authority for an individual object set by the authentication flow system.
- Control information Information such as operation, summary, and skip.
- Event Log Records various events that occur in the system, such as configuration changes and failures.
- Audit log Records the operations performed by the system user, developer, and operator on the system in chronological order.
- Rule master A rule for analyzing and judging the operation of each line of log information in time series is described, and the time required for the analysis is described in the rule, and this time is called a fixed time.
- Constant time This is the time described in the rule master, and a different time is described for each rule. This time is a rule defined in the rule master, the interval master, etc.
- FIG. 2 is a diagram describing the 116 mapping processing apparatus of the present invention. Collect 111 log information output by computers, etc. on a network, etc., gather it into 114 collected log information, read 114 collected log information, and extract items such as date, user, server, target, and details according to the analysis content 211 operation, 212 summary No.
- the log information of the file server is used, and the items of 206 date / time, 207 user, 208 server, 209 target, and 210 details are used, and the analysis of the file operation stored in the file server by the user is taken as an example. .
- the target of analysis is energy saving for cars and industrial equipment, the date and time, energy consumption for a certain period of time, the status of energy consuming equipment (rotations, etc.), external environment (temperature, humidity, etc.), distance traveled, number of operations To do.
- the read 206 date / time, 207 user, 208 server, 209 target, and 210 detail items are set in the 204 log information table items in the memory, and the 210 details are used to match the 202 details of the 201 operation master.
- 203 operation is set to 211 operation, and 212 summary No.
- a default value of “FALSE” is set in the 213 Skip item, and a memory area capable of storing 214 times is secured.
- FIG. 3 is a diagram describing the 117 prepass 1 processing apparatus of the present invention.
- a 301 summary table for all combinations of 207 users, 208 servers, and 209 targets existing in the log information table is created, and a sequence No. And create it in memory, 204
- the 303 summary No. assigned to the 301 summary table is matched with the 303 user, 304 server, and 305 subject of the 301 summary table that are the same as the 207 user, 208 server, and 209 subject of the log information table. No. 212 of the 204 log information table.
- Set to item. 204 When the combination of 207 users, 208 servers, and 209 targets in the log information table is matched with 303 users, 304 servers, and 305 targets in the 301 summary table and there is no identical combination, the sequence number is set to 302 summary number.
- the combination of 207 users, 208 servers, and 209 targets is set to 303 users, 304 servers, and 305 targets, and a 301 summary table for all combinations is created on the memory.
- a 301 summary table for all combinations is created on the memory.
- 204 The 303 summary No. assigned to the 301 summary table is matched with the 303 user, 304 server, and 305 subject of the 301 summary table that are the same as the 207 user, 208 server, and 209 subject of the log information table.
- No. 212 of the 204 log information table Set to item.
- FIG. 4 is a diagram describing the pass 1 processing apparatus of the present invention. Process from the beginning of the 204 log information table expanded in memory, 212 Summary No.
- the same data “1” can be searched for, and the 210 detailed data of 205 Seq # “2” is “$% # 257445y7nco9yw983”. Since there is no data in the 407 sequence 2 of “1” and the 405 fixed time is “3” and the difference in 206 date / time is “0” in this case, the 211 operation of 205 Seq # “1” is read. And 211 operation is set to “read”, 213Skip remains “FALSE”, and 213Skip of 205Seq # “2” is set to “TRUE”. Next, the pointer is advanced by one. However, since 213 Skip of 205 Seq # “2” is “TRUE”, the pointer is not processed and the pointer is advanced by one.
- the same data “1” can be searched for, and the 210 detailed data of 205 Seq # “8” is “$% # 257445y7nco9yw983”. Since there is no data in the 407 sequence 2 of “1” and the 405 fixed time is “3” and the difference in 206 date / time is “1” in this case, the 211 operation of 205 Seq # “7” is read. And 211 operation is set to “read”, 213 Skip is set to “FALSE”, 213 Skip of 205 Seq # “8” is set to “TRUE”, and the pointer is advanced by one. Next, the pointer is advanced by 1.
- FIG. 5 is a diagram describing the pass 2 processing apparatus of the present invention. Only the “FALSE” item in the 204 log information table developed in the memory is targeted, and the data of the same 211 operation 212 summary No. within a fixed interval before and after is collected according to the 501 interval master, and 211 operations are the same for 214 times The 212 summary No. is counted and the number of times is set.
- 213 Skip of 205 Seq # “4” is “FALSE” or “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one. Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one. Although 213 Skip of 205 Seq # “6” is “FALSE” and “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one. 213 Skip of 205 Seq # “7” is “FALSE”, and 212 summary No.
- the 213 Skip of the sixth 205 Seq # “6” in addition to the pointer is “FALSE” 211
- the operation is “write” When the 502 operation of the 501 interval master is examined, “write” is present and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “write” 212 summary No.
- the pointers “(3)” and 205Seq # “6” are stored, and the match processing pointer is shifted to a position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
- 213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No.
- FIG. 6 is a diagram describing the pass 3 processing apparatus of the present invention.
- the operation of the computer performs a plurality of operations in response to one command from a human.
- the computer reads the index information on the disk and then deletes the index information.
- the 212 summary No. of 204 log information table Each time 211 operations are checked, an operation actually performed by a human is determined. Processing is started from the head of the 204 log information table developed in the memory of FIG. 6, 205 Seq # “1” 213 Skip is “FALES”, and 212 summary No. Is “1” and 211 operation is “read” for the first time, 211 operation “read” 212 summary No. The pointer “1” is stored, and the pointer for processing is advanced by one. Since 213 Skip of 205 Seq # “2” is “TRUE”, the pointer is advanced by one, and one is advanced.
- FIG. 7 is a diagram describing the pass 4 processing apparatus of the present invention. Based on 612 users from the 124 access log output as a file at pass 3, the actions performed by the users are translated into natural language using the 701 dictionary master. By using natural language, human-readable system audit trails, attendance management, daily reports, weekly reports, etc. can be automatically generated, and any data output by any machine can be generated by changing the 701 dictionary master. Can be converted.
- the 701 dictionary master 702 operation 1 is “logon” 704 sentences corresponding to “ ⁇ user ⁇ ” corresponding to 612 users and “ ⁇ server ⁇ ” corresponding to 613 servers, and 126 natural language reports. Output to a file.
- the next same 612 user and 615 operation is “logoff”, a punctuation mark “,” and a line feed code are written, and logoff processing is performed according to the dictionary master.
- search for “read” in 702 operation 1 of the 701 dictionary master There are two cases in the 701 dictionary master, and there is a pattern in which “write” continues.
- the same 612 user is “A”
- the 613 server is “ ⁇ ”
- the 614 target is “former”.
- the lower 211 operation searches for an item of “write”. Since the data of 611 date and time is “2015/06/24 20:39:49” and “2015 / 06.24 20:59:05” match, 701 In the dictionary master, 702 operation 1 is “read”, 703 operation 2 is “write”, and 614 target is applied to “ ⁇ target ⁇ ”, and 124 access log time, 704 sentences, commas, and line feed codes are 126 natural Output to language report.
- FIG. 8 is a diagram describing the pass 5 processing apparatus of the present invention.
- information such as a server, target, authority, application period, approval date / time, deletion date / time and the like that can be used for each user set in advance using an electronic approval workflow system and the like, and 803 of the 801 access log (user sort)
- the validity of the access authority for the object 805 is confirmed, and the confirmation content is written in the 821 warning of the 127 warning report.
- the 801 user “A” of the 801 access log (user sort) that is output by sorting and outputting the 125 access logs by 612 users is the 804 server “ ⁇ ” 805 target “A” at 802 date and time “2015/06/21 10:35:40”. It can be seen from the 806 operation that read has been made.
- 801 users in the 801 access log (user sort), 804 servers, and 805 targets are used as keys to match 812 users, 813 servers, and 814 targets in the 811 access control list, and from the information on the 816 application period, 817 approval date, and 818 deletion date It can be seen that the user 812 user “A” has been revoked from the 818 deletion date and time to 2015/06/20 on the 813 server “ ⁇ ” 814 target “A”. However, in reality, the 803 user “A” reads the 804 server “ ⁇ ” 805 target “Class A” from the operation at 802 date and time “2015/06/21 10:35:40”. From this fact, you can guess -The administrator has made a mistake in setting access rights.
- FIG. 9 is a diagram describing the pass 6 processing apparatus of the present invention.
- the past access history is accumulated, the access status of the actual file is compared based on the accumulated access record, and no one has accessed for a certain period of time based on the instruction information set in advance by the administrator.
- an alarm report is output, automatically deleted, or automatically backed up to storage.
- the 904 server and 905 target of the 901 access log (server sort) output by sorting and outputting the 125 access log on the 613 server is used as a key, and the 914 last access date of the row having the same 911 server and 912 target is matched with the 128 access history.
- the 915 audit date is updated to the current processing date, and the number of 916 elapsed days is updated from the current date to the number of days subtracted from the 914 last access date.
- FIG. 10 is a diagram describing the pass 7 processing apparatus of the present invention.
- the access frequency of a file in a server in a certain period such as six months, quarterly, or monthly is measured to calculate 1005 ratio 1 and the amount of processing associated with access, and consider future load distribution of each server.
- the date and time part of the 125 access log 206, 207 users, 208 servers, 209 objects and 211 operations and 211 operations as keys are matched with the 129 operation improvement information and the corresponding 1004 times, the 207 servers, 208 objects, 206 of the 125 access logs
- the user counts the date part of 205 date and time and the number of appearances of 210 operations and adds them to 1004 times.
- 203 After processing all the rows of the log information table, Using the value of 1004 times, statistical information such as access ratio is calculated on a monthly and quarterly basis.
- the number of 1004 times is set as a percentage from the number of 1004 times of all servers on a monthly basis, and information is set in the target unit for 1005 ratio 1 and in the server unit for 1006 ratio 2.
- the access frequency from an operation actually performed by a human. Since each item of the 902 statistical information can be freely changed, it is possible to analyze all statistical information such as communication line usage frequency and communication line communication fee. It is possible to improve the processing content and programming by analyzing the load for each access content.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
The purpose of the present invention is to deter criminal acts by monitoring for, inspecting, and tracking such acts as the input of fraudulent records, falsification of accounting-related records, and unauthorized acquisition of confidential corporate information due to the common practice of using computers at work. An event log, an inspection log, a system log, and the like are decoded, analyzed, and translated into a human-understandable natural language such that when and who did what can be ascertained at any time.
Description
本発明は、ユーザがコンピュータ装置を操作する際、出力されるログ情報を解析翻訳し、対象となるコンピュータ装置に対する操作や動作記録を平易な自然言語に翻訳したレポートを出力し、改善点を助言する技術装置に関するものである。
The present invention analyzes and translates log information that is output when a user operates a computer device, outputs a report in which operations and operation records for the target computer device are translated into a plain natural language, and advises on improvements. It is related with the technical apparatus which performs.
コンピュータ装置にはそのコンピュータ装置上で稼動するOSを含めた全てのソフトウェアの動作をログファイルとして記録する機能を有するが、OS内部の挙動が全て記録され情報量が膨大で複雑になるため、人間が読解するのに困難な内容となっている。
一方で、個人情報保護法遵守の為のモニターリングや、情報が不正に持ち出されるなどの情報漏えいした時の原因調査などを速やかに行えるようにする必要が有る。
様々なコンピュータの動作を記録するログはOSやその上で稼動するソフトウェアによって出力されるが上記[0002]で記した様に情報量が膨大で複雑かつ人間が読解するのに困難な為、ログファイルの解析・翻訳といった技術が必要とされる。
蓄積されたログファイルを解析し改善点を発見し、最適化を図る為の改善情報が必要とされる。具体的には、アクセス権が有るにも関わらずアクセスしないファイル、誰もアクセスする事のないファイル、アクセスが集中するサーバなどの情報の可視化と過去情報からの統計分析といった技術が必要とされる。
特許文献1から4に示したような先行技術は有るが、これらの技術では必要なログを判断し間引く事によって通信上のトラフィックを軽減する事は可能で有るが、ログを更に解析し誰でもが、何時何をどのように誰が操作したかを簡単に理解できるようにする事は不可能である。これでは、コンピュータが出力するログファイルが持つ情報の効率的利用ができ無い。
本技術は、コンピュータログデータを解析し、その内容を人間が理解できる自然言語に翻訳し、今後の技術や運用の改善に利用できるようにすると言った特徴がある。 The computer device has a function of recording all software operations including the OS running on the computer device as a log file. However, since all the behavior inside the OS is recorded and the amount of information becomes enormous and complicated, Is difficult to read.
On the other hand, it is necessary to be able to quickly conduct monitoring for compliance with the Personal Information Protection Law and investigation of the cause of information leakage such as information being taken out illegally.
Logs that record the operation of various computers are output by the OS and software that runs on them. However, as described in [0002] above, the amount of information is enormous and complex and difficult for humans to read. Techniques such as file analysis and translation are required.
Analyzing the accumulated log file to find improvement points, improvement information is required for optimization. Specifically, technology is required that visualizes information such as files that have access rights but no access, files that no one can access, and servers where access is concentrated, and statistical analysis from past information. .
Although there are prior arts as shown inPatent Documents 1 to 4, it is possible to reduce communication traffic by judging and thinning out necessary logs with these techniques. However, it is impossible to easily understand when and what and who operated it. This makes it impossible to efficiently use the information held in the log file output by the computer.
This technology has the feature that it analyzes computer log data, translates the contents into a natural language that can be understood by humans, and can be used to improve future technologies and operations.
一方で、個人情報保護法遵守の為のモニターリングや、情報が不正に持ち出されるなどの情報漏えいした時の原因調査などを速やかに行えるようにする必要が有る。
様々なコンピュータの動作を記録するログはOSやその上で稼動するソフトウェアによって出力されるが上記[0002]で記した様に情報量が膨大で複雑かつ人間が読解するのに困難な為、ログファイルの解析・翻訳といった技術が必要とされる。
蓄積されたログファイルを解析し改善点を発見し、最適化を図る為の改善情報が必要とされる。具体的には、アクセス権が有るにも関わらずアクセスしないファイル、誰もアクセスする事のないファイル、アクセスが集中するサーバなどの情報の可視化と過去情報からの統計分析といった技術が必要とされる。
特許文献1から4に示したような先行技術は有るが、これらの技術では必要なログを判断し間引く事によって通信上のトラフィックを軽減する事は可能で有るが、ログを更に解析し誰でもが、何時何をどのように誰が操作したかを簡単に理解できるようにする事は不可能である。これでは、コンピュータが出力するログファイルが持つ情報の効率的利用ができ無い。
本技術は、コンピュータログデータを解析し、その内容を人間が理解できる自然言語に翻訳し、今後の技術や運用の改善に利用できるようにすると言った特徴がある。 The computer device has a function of recording all software operations including the OS running on the computer device as a log file. However, since all the behavior inside the OS is recorded and the amount of information becomes enormous and complicated, Is difficult to read.
On the other hand, it is necessary to be able to quickly conduct monitoring for compliance with the Personal Information Protection Law and investigation of the cause of information leakage such as information being taken out illegally.
Logs that record the operation of various computers are output by the OS and software that runs on them. However, as described in [0002] above, the amount of information is enormous and complex and difficult for humans to read. Techniques such as file analysis and translation are required.
Analyzing the accumulated log file to find improvement points, improvement information is required for optimization. Specifically, technology is required that visualizes information such as files that have access rights but no access, files that no one can access, and servers where access is concentrated, and statistical analysis from past information. .
Although there are prior arts as shown in
This technology has the feature that it analyzes computer log data, translates the contents into a natural language that can be understood by humans, and can be used to improve future technologies and operations.
近年、コンピュータシステムに関わる事件や事故に対して、どのような操作が行われていたかを、インシデント管理やセキュリティ管理の観点、更に今後発達するIoT(Internet of Things)の観点から″モノ″同士がコミュニケーションをするための情報分析を効率的かつ正確に行う必要性が増している。
しかしながら、コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、その他のモノ(家電、家具、建築物)がIoTとして接続されるが、これらの機器類が出力するログ情報のままでは、機械的に時間軸に沿ってあらゆる操作が記録されているため、情報量が膨大となり、更には解析、分析や追跡には意味をなさない情報まで記録されており、有効な情報を見つけ難くしている。
この結果、一連の操作の事実を把握することが非常に困難となり、大きな容量の保管資源も必要となっている。 In recent years, what operations have been carried out for incidents and accidents related to computer systems can be determined from the viewpoint of incident management and security management, and from the viewpoint of IoT (Internet of Things) that will develop in the future. There is a growing need for efficient and accurate information analysis for communication.
However, computer systems and personal computers (smartphones, tablets, wearables), machinery (industrial equipment, general equipment, vehicles), and other things (home appliances, furniture, buildings) are connected as IoT. Since the log information output by is mechanically recorded every operation along the time axis, the amount of information becomes enormous, and even information that does not make sense for analysis, analysis and tracking is recorded. This makes it difficult to find valid information.
As a result, it is very difficult to grasp the fact of a series of operations, and a large storage resource is also required.
しかしながら、コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、その他のモノ(家電、家具、建築物)がIoTとして接続されるが、これらの機器類が出力するログ情報のままでは、機械的に時間軸に沿ってあらゆる操作が記録されているため、情報量が膨大となり、更には解析、分析や追跡には意味をなさない情報まで記録されており、有効な情報を見つけ難くしている。
この結果、一連の操作の事実を把握することが非常に困難となり、大きな容量の保管資源も必要となっている。 In recent years, what operations have been carried out for incidents and accidents related to computer systems can be determined from the viewpoint of incident management and security management, and from the viewpoint of IoT (Internet of Things) that will develop in the future. There is a growing need for efficient and accurate information analysis for communication.
However, computer systems and personal computers (smartphones, tablets, wearables), machinery (industrial equipment, general equipment, vehicles), and other things (home appliances, furniture, buildings) are connected as IoT. Since the log information output by is mechanically recorded every operation along the time axis, the amount of information becomes enormous, and even information that does not make sense for analysis, analysis and tracking is recorded. This makes it difficult to find valid information.
As a result, it is very difficult to grasp the fact of a series of operations, and a large storage resource is also required.
本発明は、以下の手順を実現するためのものである。
コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、電気製品、その他のモノ(家具、建築物)などが出力するログ情報(イベントログデータ、監査ログデータ、システムログ、アプリケーションログ、サービスログなど)を入力として、ユーザ、サーバ、対象毎にログ情報の必要項目を抽出するマッピング処理装置と、
マッピング処理の出力をユーザ、サーバ、対象毎に整列した項目の並びをルールマスタに予め定めたn個の操作結果の組み合わせパターンに突合せて、実際に起きた操作の形跡を辿り、
パス1処理装置の出力であるサマリ毎の追跡結果から、一定の時間内の同じ操作は一つに圧縮してパス1処理装置の出力を更に見やすい形に整える。
例えば、read及びwriteが短時間で発生した場合にreadは大きな意味を持たない為、単一のwriteとしてまとめる。
マッピング処理装置、プリパス処理装置、パス1処理装置、パス2処理装置、パス3処理装置の一連の処理の結果を検索し、レポートすることによって、インシデント管理やセキュリティ管理が効率的かつ正確に行うことができ、コードやバイナリーデータなどを自然言語に翻訳するパス4処理装置と、ログ情報から改善情報を出力するパス5処理装置、パス6処理装置、パス7処理装置によって更なるログの活用を可能とする。 The present invention is for realizing the following procedures.
Log information (event log data, audit log) output by computer systems and personal computers (smartphones, tablets, wearables), machinery (industrial equipment, general equipment, vehicles), electrical products, and other things (furniture, buildings) Data, system log, application log, service log, etc.) as input, mapping processing device that extracts necessary items of log information for each user, server, target,
Match the output of the mapping process to the user, server, and the combination pattern of the n operation results predetermined in the rule master, and track the trace of the operation that actually occurred,
From the tracking results for each summary, which is the output of thepass 1 processing device, the same operation within a certain time is compressed into one to arrange the output of the pass 1 processing device in a more easily viewable form.
For example, when read and write occur in a short time, read does not have a large meaning, and therefore, it is collected as a single write.
Incident management and security management can be performed efficiently and accurately by searching and reporting the results of a series of processing of mapping processing device, prepass processing device,pass 1 processing device, pass 2 processing device, and pass 3 processing device. It is possible to use the log further by the pass 4 processing device that translates code and binary data into natural language, and the pass 5 processing device, the pass 6 processing device, and the pass 7 processing device that output improvement information from the log information. And
コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、電気製品、その他のモノ(家具、建築物)などが出力するログ情報(イベントログデータ、監査ログデータ、システムログ、アプリケーションログ、サービスログなど)を入力として、ユーザ、サーバ、対象毎にログ情報の必要項目を抽出するマッピング処理装置と、
マッピング処理の出力をユーザ、サーバ、対象毎に整列した項目の並びをルールマスタに予め定めたn個の操作結果の組み合わせパターンに突合せて、実際に起きた操作の形跡を辿り、
パス1処理装置の出力であるサマリ毎の追跡結果から、一定の時間内の同じ操作は一つに圧縮してパス1処理装置の出力を更に見やすい形に整える。
例えば、read及びwriteが短時間で発生した場合にreadは大きな意味を持たない為、単一のwriteとしてまとめる。
マッピング処理装置、プリパス処理装置、パス1処理装置、パス2処理装置、パス3処理装置の一連の処理の結果を検索し、レポートすることによって、インシデント管理やセキュリティ管理が効率的かつ正確に行うことができ、コードやバイナリーデータなどを自然言語に翻訳するパス4処理装置と、ログ情報から改善情報を出力するパス5処理装置、パス6処理装置、パス7処理装置によって更なるログの活用を可能とする。 The present invention is for realizing the following procedures.
Log information (event log data, audit log) output by computer systems and personal computers (smartphones, tablets, wearables), machinery (industrial equipment, general equipment, vehicles), electrical products, and other things (furniture, buildings) Data, system log, application log, service log, etc.) as input, mapping processing device that extracts necessary items of log information for each user, server, target,
Match the output of the mapping process to the user, server, and the combination pattern of the n operation results predetermined in the rule master, and track the trace of the operation that actually occurred,
From the tracking results for each summary, which is the output of the
For example, when read and write occur in a short time, read does not have a large meaning, and therefore, it is collected as a single write.
Incident management and security management can be performed efficiently and accurately by searching and reporting the results of a series of processing of mapping processing device, prepass processing device,
本発明のコンピュータ装置などのログデータ解析とログデータ翻訳装置は、利用者の専門的な知識が不要で、ログを見やすくして、本来の操作を把握できるようにするとともに、保管資源容量の大幅な節減を可能とし、細かく大量に出力されるイベントに対応するコードやバイナリーデータなどを自然言語に翻訳し、傾向分析を可能とした。
The log data analysis and log data translation apparatus such as the computer apparatus of the present invention does not require specialized knowledge of the user, makes the log easy to see and grasps the original operation, and greatly increases the storage resource capacity. Savings, and by translating codes and binary data corresponding to events that are output in large quantities in large quantities into natural language, it enables trend analysis.
図1は本発明の一例を示す全体構成図
図2はマッピング処理概要図
図3はプリパス1処理図
図4はパス1処理図
図5はパス2処理図
図6はパス3処理図
図7はパス4処理図
図8はパス5処理図
図9はパス6処理図
図10はパス7処理図 1 is an overall configuration diagram showing an example of the present invention, FIG. 2 is an overview of mapping processing, FIG. 3 is pre-pass 1 processing, FIG. 4 ispath 1 processing, FIG. 5 is path 2 processing, and FIG. FIG. 8 is a path 5 process. FIG. 9 is a path 6 process. FIG. 10 is a path 7 process.
図2はマッピング処理概要図
図3はプリパス1処理図
図4はパス1処理図
図5はパス2処理図
図6はパス3処理図
図7はパス4処理図
図8はパス5処理図
図9はパス6処理図
図10はパス7処理図 1 is an overall configuration diagram showing an example of the present invention, FIG. 2 is an overview of mapping processing, FIG. 3 is pre-pass 1 processing, FIG. 4 is
図1は、本発明の実施形態の例であるコンピュータなどが出力する111ログ情報を収集し、収集したログ情報を圧縮し、人間が理解しやすい自然言語にログ情報を翻訳分析する装置の全体構成図である。
101ユーザAが104サーバαのファイル107甲、105サーバβのファイル108乙と109丙、
102ユーザBが105サーバβのファイル108乙と109丙、
103ユーザCが106サーバγのファイル110丁を操作すると、
コンピュータ104サーバα、105サーバβ、106サーバγはそれぞれ操作された時にコンピュータの動作状況を111ログ情報としてそれぞれ出力する。
この出力されたログ情報を113翻訳サーバはネットワーク等を使用し定期的に収集し一つの114収集ログ情報に取りまとめる。
収集した114収集ログ情報を読み込み116マッピング処理装置にて翻訳しやすいように必要なデータを加え、117プリパス1処理装置によりログパターンの分類を行い、118パス1処理装置によってログの動作を取りまとめ、119パス2処理装置と120パス3処理装置によって翻訳の取りまとめを行い、116マッピング処理装置から120パス3処理装置によってデータ量を1000分の1から2000分の1にし、121パス4処理によって人間が理解しやすい自然言語にする翻訳を行い、122パス5処理によってユーザのアクセス権の評価を行い、123パス6処理によって改善提案情報の出力をおこない、124パス7処理装置によってサーバの負荷統計情報の出力を行う装置の全体構成図である。
発明者及び出願人が独自に名称を付している、各々のソフトウェア及び装置について本発明独自の呼称を使用しているので下記に記載する。
・日時
ユーザがファイルにアクセスした日時分秒。
・ユーザ
ファイルにアクセスした人又はアカウントを持つ機能。
・対象
操作に関連した事象。
ファイルアクセスの場合は、アクセスされたファイルやディレクトリ。
・詳細
操作に関連した事象で日時、ユーザ、対象以外の付加情報。
ファイルアクセスの場合は、AccessValue、対象のIPアドレス、ファイルアクセスの場合は、AccessValue、対象のIPアドレス、セッション情報。
・AccessValue
コードやバイナリーデータで出力された操作、動作を決定する情報。
・操作
OS、アプリケーションが判断するファイルに対する情報。
(logon、logoff、write、read等々)
・サマリ表
ユーザ、サーバ、対象の組み合わせをキーとしたテーブル。実際のメモリアドレスを格納する。
・サマリNo.
サマリに対し付与されるユニークなメモリ上のアドレス。
・Skip
OSが出力したログ情報各行毎の要・不要の判別情報。
・ログ情報
コンピュータシステムやパソコン、スマートフォン、タブレット、ウェアラブル、産業機器、一般機器、乗り物、電気製品、医療機器、家具、建築物などが出力した動作記録やアプリケーションログ、サービスログ、システムログ、イベントログ、監査ログ、コマンド情報、デジタルデータなどの動作記録を含む。
・ログ情報テーブル
ログ情報から解析に必要な情報を解析用フォーマットに変換しメモリ上に展開した状態のテーブル。
・システムログ
コンピュータの起動や終了、管理者のlogonやlogoff、再起動、ハードウェアで発生した障害、カーネルで起きたエラー、サーバソフトやデーモン、常駐プログラムの起動や終了などの情報を記録する。
・アクセスコントロールリスト
認証フローシステムにより設定される、個人個人の対象に対するアクセス権限が記載されている情報。
・制御情報
操作、サマリ、Skipなどの情報。
・イベントログ
構成変更や障害発生など、システムで発生するさまざまな事象を記録。
・監査ログ
システムの利用者、開発者、運用者がシステムに対して実行した操作内容を時系列に記録。
・ルールマスタ
ログ情報の各行の動作を時系列に解析して判断する為のルールが記載されており、ルールの中には解析に必要な時間が記載され、この時間を一定時間と言う。
・一定時間
ルールマスタに記載されている時間であり、ルール毎に異なった時間が記載される。この時間は発明者が様々なログ情報を解析し人間が行う動作をn秒以内に行う場合、同一動作としてまとめられる時間の安全値として割り出した時間でルールマスタ、間隔マスタ等に定義されたルール毎に指定された秒数。
・機械語
コンピュータなどが出力する、その形状のままでは通常の人間では、理解不能なデータ等。
図2は、本発明の116マッピング処理装置について記載した図である。
コンピュータ等が出力する111ログ情報をネットワークなどにて収集し、114収集ログ情報にまとめ上げ、114収集ログ情報を読み込み、分析内容に合わせて日時、ユーザ、サーバ、対象、詳細等の項目を抽出し、211操作、212サマリNo.、213Skipなどの情報設置エリアを確保しながら抽出項目をメモリに展開しつつ、210詳細をキーとして201操作マスタの202詳細を検索し、対応する203操作を211操作にセットする。
対象となる114収集ログ情報から解析に必要な情報項目を選び出す。本実施例では、ファイルサーバのログ情報とし、206日時、207ユーザ、208サーバ、209対象、210詳細の各項目を使用し、ユーザがファイルサーバに格納されているファイル操作の解析を例として取り上げる。
解析対象が車や産業機器の省エネルギーであれば、日時、一定時間の消費エネルギー、エネルギー消費機器の状況(回転数など)、外的環境(温度、湿度など)移動距離、稼動回数等を対象とする。
読み出した206日時、207ユーザ、208サーバ、209対象、210詳細の各項目をメモリ上の204ログ情報テーブルの各項目にセットし、210詳細を利用し201操作マスタの202詳細とマッチングさせ該当する203操作を211操作にセットし、212サマリNo.のメモリエリアを確保し、213Skip項目に“FALSE”となるデフォルト値をセットし、214回数を格納できるメモリエリアを確保する。
ここでの“FALSE”は204ログ情報テーブルの各行の情報を重要なので読み飛ばしを行わないと言う意味となる。
又、201操作マスタに存在しない210詳細が有った場合は処理対象外として204ログ情報テーブルに“TRUE”と言う値をセットする。この201操作マスタに登録されている情報は、本発明者の過去の経験と実績による情報により作成された情報群である。
実際、コンピュータがファイルを削除する際、ディスク装置に対し読込み処理が実行され、その後にディスク装置に情報を書き込む事によってファイルが消去される。この事柄から分かるように人間の操作と実際のコンピュータの挙動は一致しないので、実際に人間がどの様な動作をしたかを解析する事が重要となる。
図3は、本発明の117プリパス1処理装置について記載した図である。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の全組合せ分の301サマリ表を作成し301サマリ表の各行にシーケンスNo.を符番しメモリ上に作成し、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の組合せにて301サマリ表の303ユーザ、304サーバ、305対象をマッチングさせ同一の組合せが無かった場合、シーケンス番号を302サマリNo.に符番しセットして207ユーザ、208サーバ、209対象の組合せを303ユーザ、304サーバ、305対象にセットし全組合せ分の301サマリ表をメモリ上に作成する。
全ての組合せを301サマリ表に作成した後、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
図4は、本発明のパス1処理装置について記載した図である。
メモリに展開している204ログ情報テーブルの先頭から処理し、
212サマリNo.を利用して複数行に渡る同一ユーザ、サーバ、対象を追跡し、210詳細の出現パターンを401ルールマスタに照らし合わせ、出現パターンがマッチした場合、404基本シーケンス以外にマッチした204ログ情報テーブル各行の213Skipを“TRUE”に更新する。
メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#097 ”であり401ルールマスタの404基本シーケンスに同一情報が402ID “1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq# “2”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq# “2”の210詳細のデータが“ $%#257445y7nco9yw983 ”なので、402ID “1”の406シーケンス1と比較すると同一データであり、402ID “1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“0”で在ったので、205Seq# “1”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”のままとし、205Seq# “2”の213Skipを“TRUE”とする。
次に、ポインタを1つ進めるが、205Seq#“2”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
205Seq# “3”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#38a2″eh48w ”であり401ルールマスタの404基本シーケンスに同一情報が402ID “2”にあるので、これを記憶し、
212サマリNo.の同一データ“▲2▼”を探すと本実施例で使用の図4上の204ログ情報テーブルの212サマリNo.には“▲2▼”と言うデータが他には無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq# “4”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#257445y7nco9yw983 ”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“5”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
次に、205Seq#“6” の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#257445y7nco9yw983 ”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
205Seq# “7”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#097 ”であり401ルールマスタの404基本シーケンスに同一情報が402ID “1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq# “8”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq# “8”の210詳細のデータが“ $%#257445y7nco9yw983 ”なので、402ID “1”の406シーケンス1と比較すると同一データであり、402ID “1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“1”で在ったので、205Seq# “7”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”とし、205Seq#“8”の213Skipを“TRUE”としポインタを1つ進める。
次に、ポインタを1つ進めるが、205Seq#“8”の213Skipが“TRUE”なので処理対象外としポインタを1つ進めるが、データが終了するので本処理を終了し次の処理を実行する。
図5は、本発明のパス2処理装置について記載した図である。
メモリに展開している204ログ情報テーブル中のFALSE”の物だけを対象とし、501間隔マスタに従い前後一定間隔内の同一211操作212サマリNo.、のデータをまとめ上げ、214回数に同一211操作212サマリNo.、をカウントし回数をセットする。
メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲1▼”と205Seq#“1”のポインタを記憶し、マッチ処理ポインタを1つ進める。
205Seq#“2“の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”であり、212サマリNo.が“▲1▼”であり、211操作がreadなので前記にて記憶したポインタつまり205Seq#“1”のデフォルト値1の214回数に1を加え2としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したので、ポインタに1加え2番目の205Seq#“2”を処理するが、
213Skipは“TRUE”なので何もせずにポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲2▼”と205Seq#“3”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“read”212サマリNo.“▲2▼”が存在しなかったので205Seq#“3”の214回数に1をセットする。
ポインタに1加え4番目の205Seq#“4”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲1▼”と205Seq#“4”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲1▼”が存在しなかったので205Seq#“4”の214回数に1をセットする。
ポインタに1加え5番目の205Seq#“5”の213Skipが“TRUE”なので処理対象外とする。
ポインタに1加え6番目の205Seq#“6”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲3▼”と205Seq#“6”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲3▼”が存在しなかったので205Seq#“6”の214回数に1をセットする。
ポインタに1加え205Seq#“7”の213Skipは“TRUE”なので処理対象外としポインタを1つ進める。
ポインタに1加え205Seq#“8”の213Skipは“TRUE”なので処理対象外としポインタを1つ進めると全てのデータを処理したので次の処理を行う。
本項番記載の処理を繰り返す事によって214回数は、図5の下段に記載の204ログ情報テーブルのような状態となる。
図6は、本発明のパス3処理装置について記載した図である。
コンピュータの動作は人間からの1つの命令に対し複数の動作を行う。ファイルのdeleteを行う時、コンピュータはディスク上に有るインデックス情報を読み取り、その後インデックス情報を消すと言った動作を行う。実際の人間が行った動作だけを記載する為には複数の動作をまとめ上げる必要が有り、601動作マスタに従い204ログ情報テーブルの212サマリNo.毎に211操作をチェックし実際に人間が行った操作を確定する。
図6のメモリに展開している204ログ情報テーブルの先頭から処理し、205Seq#“1”213Skipが“FALES”でかつ、212サマリNo.が“▲1▼”、211操作が初めて“read”なので、211操作“read”212サマリNo.“▲1▼”とポインタを記憶し、処理する為のポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なのでポインタを1つ進め1つ進め、
205Seq#“3”の212サマリNo.は“▲2▼”なのでポインタを1つ進め、
205Seq#“4”の212サマリNo.は“▲1▼”であり211操作が“write”なので記憶した“read”と“write”の組合せが601動作マスタにマッチするパターンが有るか調査すると、602基本動作“write”の行の603従属動作1と604従属動作2が“read”、“write”と並びマッチするので、“write”を記録する。
ポインタを1つ進め、
205Seq#“5”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“6”の212サマリNo.は“▲3▼”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進めるとデータが終了するので、205Seq#“1”と205Seq#“4”の組合せは、601動作マスタから“write”と判断し、204ログ情報テーブル(1)の205Seq#“1”の213Skipを“TRUE”に変更する。
本項番の先頭から記載の処理を以降繰り返し図6下段の204ログ情報テーブルのような状態となる。
図6下段の204ログ情報テーブルの先頭から処理し、
213Skipが“FALES”のものだけ206日時、207ユーザ、208サーバ、209対象、214回数を124アクセスログのデータとして出力する。
これにより111ログ情報を1000分の1から2000分の1に圧縮する事ができ、この処理はメモリ上で全て行うために処理速度が格段に速い。
図7は、本発明のパス4処理装置について記載した図である。
パス3でファイルとして出力した124アクセスログから612ユーザを元に、ユーザの行った行動を、701辞書マスタを利用し自然言語に翻訳する。自然言語にする事により、人間が読めるシステム監査証跡、勤怠管理、日報、週報等に利用可能なレポートが自動作成され、701辞書マスタを変更する事によってどの様な機械が出力するデータでも自然言語に変換が可能となる。
124アクセスログの612ユーザを中心に実施例を説明する。
124アクセスログの1行目を読込み、612ユーザ“A”の615操作“logon”をキーとし701辞書マスタを検索し、702操作1に“logon”があり、705日付が“○”、706改行が“○”なので611日時の日付部分と改行コードを126自然言語レポートファイルに出力する。
次に611日時の時間を出力し、701辞書マスタとマッチングした704文章の“{}”で囲まれている部分に該当する情報を当てはめる。
本ケースの場合は、701辞書マスタの702操作1が“logon”の704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、126自然言語レポートファイルに出力する。
次の同一612ユーザ、615操作が“logoff”の場合、読点“、”と改行コードを書き込み、辞書マスタに従いlogoffの処理を行う。
しかし、次の同一612ユーザ“A”の615操作が“read”なので、701辞書マスタの702操作1の“read”を検索し、
701辞書マスタ中に2つのケースがあり、“write”が続くパターンが有るので、124アクセスログに同一612ユーザが“A”で613サーバが“α”で、614対象が“甲”の条件の下211操作が“write”の物を探す。
611日時が“2015/06/24 20:39:49”のデータと“2015/06・24 20:59:05”がマッチするので、
701辞書マスタの702操作1が“read”、703操作2が“write”の704文書の“{対象}”に614対象を当てはめ、124アクセスログの時間と704文章とカンマと改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 20:37:46”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:05:49”と611日時“2015/06/24 21:05:58”に有り、701辞書マスタの702操作1、703操作2が“write”のパターンとマッチするので、704文章の“{対象}”に614対象をはめ込み、704文章とカンマ、改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 21:05:49”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:10:55”にあり、701辞書マスタの702操作1がlogoffのパターンとマッチするので、
704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、704文章とカンマ、改行コードを126自然言語レポートに出力する。
126自然言語レポートのように人間が読める内容に出力される為、最初のlogonと最後のlogoffを“YY年MM月DD日 HH時MM分に出勤し、HH時MMに退社した。”と言った勤務表などにも応用する事が可能となる。
図8は、本発明のパス5処理装置について記載した図である。
本実施例では、電子承認ワークフローシステム等を使用し予め設定されたユーザ毎の利用できるサーバ、対象、権限、申請期間、承認日時、削除日時などの情報と、801アクセスログ(ユーザソート)の803ユーザをキーとして、805対象に対するアクセス権限の妥当性を確認し、127警告レポートの821警告に確認内容を書き込む。
125アクセスログを612ユーザでソートし出力した801アクセスログ(ユーザソート)の803ユーザ“A”が802日時”2015/06/21 10:35:40に804サーバ“α”805対象“甲”を806操作からreadした事が分かる。
801アクセスログ(ユーザソート)の803ユーザ、804サーバ、805対象をキーとし811アクセスコントロールリストの812ユーザ、813サーバ、814対象とをマッチングさせ816申請期間、817承認日時、818削除日時の情報から812ユーザ“A”は、813サーバ“α”814対象“甲”のアクセス権が818削除日時から2015/06/20に取り消されたことが分かる。
しかし、実際には803ユーザ“A”が802日時”2015/06/21 10:35:40“に804サーバ“α”805対象“甲”を操作からreadしている。
この事実から推測できる事は、
・アクセス権の設定を管理者が間違えている。
・アクセス権を誰かが不正に操作した。
・アクセス管理システムの異常発生。
・ハッキング等の不正アクセスが発生した。
この為、127警告レポートに802日時、803ユーザ、804サーバ、805対象、806操作と821警告に“read権限削除済み”と警告情報を出力する。
この様な不一致が発生した時、“read権限”と具体的な権限違反の警告を表示する事ができる。
図9は、本発明のパス6処理装置について記載した図である。
本実施例では、過去のアクセス履歴を蓄積し、蓄積したアクセス記録を元に実ファイルのアクセス状況を比較し、管理者が予め設定した指示情報を元に、一定期間以上誰もアクセスしていないファイルが存在した場合、アラームレポートを出力したり、自動的に削除したり、自動的にストレージにバックアップしたりする。
125アクセスログを613サーバでソートし出力した901アクセスログ(サーバソート)の904サーバ、905対象をキーとし、128アクセス履歴とマッチングさせ同一の911サーバ、912対象を持つ行の914最終アクセス日を902日時の日付に、915監査日を本処理日に、916経過日数を本日から914最終アクセス日から引いた日数に更新する。
916経過日数が、予め管理者が設定した指示情報の日数を超えている場合、アラームレポートを出力し、管理者の指示により905対象のファイルを自動的に削除したり、ストレージにバックアップしたりする。
本実施例にては、811アクセスコントロールリストの816申請期間を過ぎた日数を指示情報の日数となり、128アクセス履歴の916経過日数が“536”のデータが対象となる。
図10は、本発明のパス7処理装置について記載した図である。
本実施例では、半期、四半期、毎月等、一定期間内のサーバ内に有るファイルのアクセス頻度を計量し1005比率1やアクセスに伴う処理量を算出し、将来の各サーバの負荷分散を考慮するレポートを出力する。
125アクセスログの206日時の年月部分、207ユーザ、208サーバ、209対象と211操作をキーとし、129動作改善情報とマッチングし該当する1004回数に、125アクセスログの207サーバ、208対象、206ユーザ、205日時の日付部分と210操作の出現回数を数え、1004回数に加える。
203ログ情報テーブルの行を全て処理した後に、
1004回数の値を使用し、月、四半期単位にてアクセス比等の統計情報を算出する。
本実施例では1004回数を月単位で全てのサーバの1004回数から百分率にして情報を1005比率1には対象単位、1006比率2にはサーバ単位にセットしている。
この事により、人間が実際に行った操作からのアクセス頻度を知ることができる。
902統計情報の各項目は自在に変える事が可能である為、通信回線の利用頻度、通信回線の通信料などあらゆる統計情報の解析が可能となる。
アクセス内容毎の負荷分析により処理内容及びプログラミングの改善を図る事が可能と成る。 FIG. 1 shows an overall apparatus for collecting 111 log information output by a computer or the like as an example of an embodiment of the present invention, compressing the collected log information, and translating and analyzing the log information into a natural language that is easy for humans to understand. It is a block diagram.
101 User A has a file 107 A of 104 server α,files 108 B and 109 β of 105 server β,
102 User B has files 108 and 109 on 105 server β,
103 When user C operates file 110 of 106 server γ,
When each of the computer 104 server α, 105 server β, and 106 server γ is operated, it outputs the operation status of the computer as 111 log information.
The 113 translation server periodically collects the output log information using a network or the like, and compiles it into one 114 collected log information.
The collected 114 collected log information is read and necessary data is added so that it can be easily translated by the 116 mapping processing device. The log pattern is classified by the 117prepass 1 processing device, and the log operation is organized by the 118 pass 1 processing device. The 119 path 2 processing device and the 120 path 3 processing device organize the translations, the 116 mapping processing device reduces the data volume from 1/1000 to 1/2000 by the 120 path 3 processing device, and the 121 path 4 processing allows a human to It translates into an easy-to-understand natural language, evaluates the user's access rights through 122 pass 5 processing, outputs improvement proposal information through 123 pass 6 processing, and loads server load statistical information through the 124 pass 7 processing device. It is a whole block diagram of the apparatus which performs an output.
Since the inventor and the applicant have given their own names, each software and device uses the unique name of the present invention and will be described below.
・ Date
Date, time, minute, and second when the user accessed the file.
·User
Ability to have a person or account that has access to the file.
・ Target
Events related to the operation.
For file access, the accessed file or directory.
・ Details
Additional information other than date / time, user, and target for events related to operations.
For file access, AccessValue, target IP address, and for file access, AccessValue, target IP address, and session information.
・ AccessValue
Information that determines the operations and actions that are output in code or binary data.
·operation
Information on files determined by the OS and applications.
(Logon, logoff, write, read, etc.)
・ Summary table
A table with combinations of users, servers, and targets as keys. Stores the actual memory address.
・ Summary No.
A unique memory address given to the summary.
・ Skip
Log information output by the OS Necessary / unnecessary discrimination information for each line.
・ Log information
Operation records, application logs, service logs, system logs, event logs, audit logs output by computer systems, personal computers, smartphones, tablets, wearables, industrial equipment, general equipment, vehicles, electrical products, medical equipment, furniture, buildings, etc. Operation records such as command information and digital data.
-Log information table
A table in which the information required for analysis is converted from log information to analysis format and expanded in memory.
・ System log
Records information such as computer start and stop, administrator logon and logoff, restart, hardware failure, kernel error, server software and daemon, and resident program start and stop.
・ Access control list
Information that describes the access authority for an individual object set by the authentication flow system.
・ Control information
Information such as operation, summary, and skip.
·Event Log
Records various events that occur in the system, such as configuration changes and failures.
・ Audit log
Records the operations performed by the system user, developer, and operator on the system in chronological order.
・ Rule master
A rule for analyzing and judging the operation of each line of log information in time series is described, and the time required for the analysis is described in the rule, and this time is called a fixed time.
・ Constant time
This is the time described in the rule master, and a different time is described for each rule. This time is a rule defined in the rule master, the interval master, etc. with the time calculated as a safe value of the time that is collected as the same operation when the inventor analyzes various log information and performs the operation performed by human beings within n seconds The specified number of seconds every time.
・ Machine language
Data output by a computer, etc., that cannot be understood by a normal human being in its shape.
FIG. 2 is a diagram describing the 116 mapping processing apparatus of the present invention.
Collect 111 log information output by computers, etc. on a network, etc., gather it into 114 collected log information, read 114 collected log information, and extract items such as date, user, server, target, and details according to theanalysis content 211 operation, 212 summary No. While extracting the extracted items in the memory while securing an information installation area such as 213 Skip, 202 details of the 201 operation master are searched using 210 details as a key, and the corresponding 203 operation is set to 211 operations.
Information items necessary for the analysis are selected from the target 114 collected log information. In this embodiment, the log information of the file server is used, and the items of 206 date / time, 207 user, 208 server, 209 target, and 210 details are used, and the analysis of the file operation stored in the file server by the user is taken as an example. .
If the target of analysis is energy saving for cars and industrial equipment, the date and time, energy consumption for a certain period of time, the status of energy consuming equipment (rotations, etc.), external environment (temperature, humidity, etc.), distance traveled, number of operations To do.
Theread 206 date / time, 207 user, 208 server, 209 target, and 210 detail items are set in the 204 log information table items in the memory, and the 210 details are used to match the 202 details of the 201 operation master. 203 operation is set to 211 operation, and 212 summary No. And a default value of “FALSE” is set in the 213 Skip item, and a memory area capable of storing 214 times is secured.
Here, “FALSE” means that information in each row of the 204 log information table is important and is not skipped.
If there are 210 details that do not exist in the 201 operation master, the value “TRUE” is set in the 204 log information table as not being processed. The information registered in the 201 operation master is an information group created by information based on past experiences and results of the inventor.
Actually, when the computer deletes the file, a read process is executed on the disk device, and then the file is erased by writing information to the disk device. As can be seen from this matter, human operations and actual computer behavior do not match, so it is important to analyze what humans actually do.
FIG. 3 is a diagram describing the 117prepass 1 processing apparatus of the present invention.
204 A 301 summary table for all combinations of 207 users, 208 servers, and 209 targets existing in the log information table is created, and a sequence No. And create it in memory,
204 The 303 summary No. assigned to the 301 summary table is matched with the 303 user, 304 server, and 305 subject of the 301 summary table that are the same as the 207 user, 208 server, and 209 subject of the log information table. No. 212 of the 204 log information table. Set to item.
204 When the combination of 207 users, 208 servers, and 209 targets in the log information table is matched with 303 users, 304 servers, and 305 targets in the 301 summary table and there is no identical combination, the sequence number is set to 302 summary number. The combination of 207 users, 208 servers, and 209 targets is set to 303 users, 304 servers, and 305 targets, and a 301 summary table for all combinations is created on the memory.
After creating all the combinations in the 301 summary table,
204 The 303 summary No. assigned to the 301 summary table is matched with the 303 user, 304 server, and 305 subject of the 301 summary table that are the same as the 207 user, 208 server, and 209 subject of the log information table. No. 212 of the 204 log information table. Set to item.
FIG. 4 is a diagram describing thepass 1 processing apparatus of the present invention.
Process from the beginning of the 204 log information table expanded in memory,
212 Summary No. The same user, server, and target across multiple lines are tracked using 210, and the appearance pattern of 210 details is checked against the 401 rule master, and if the appearance pattern matches, each line of the 204 log information table that matches other than the 404basic sequence 213 Skip to “TRUE”.
Process from the beginning of the 204 log information table expanded in memory,
Since 205Seq # "1" 213Skip is "FALSE"
Since 210 details are “$% # 097” and the same information is in 402ID “1” in 404 basic sequence of 401 rule master, this is stored,
212 Summary No. When the same data “1” is searched for, the 212 summary No. is added to 205 Seq # “2”. The same data “1” can be searched for, and the 210 detailed data of 205 Seq # “2” is “$% # 257445y7nco9yw983”. Since there is no data in the 407sequence 2 of “1” and the 405 fixed time is “3” and the difference in 206 date / time is “0” in this case, the 211 operation of 205 Seq # “1” is read. And 211 operation is set to “read”,
213Skip remains “FALSE”, and 213Skip of 205Seq # “2” is set to “TRUE”.
Next, the pointer is advanced by one. However, since 213 Skip of 205 Seq # “2” is “TRUE”, the pointer is not processed and the pointer is advanced by one.
Since 205Seq # “3” 213 Skip is “FALSE”
210 The details are “$% # 38a2” eh48w ”and the same information is stored in 402ID“ 2 ”in the 404 basic sequence of 401 rule master.
212 Summary No. When the same data “(2)” is searched, the 212 summary No. of the 204 log information table in FIG. Since there is no other data “(2)”, 213 Skip remains “FALSE” and the pointer is advanced by one.
Next, since 213 Skip of 205 Seq # “4” is “FALSE”
Since 210 details are “$% # 257445y7nco9yw983” and there is no identical information in the 404 basic sequence of the 401 rule master, 213Skip remains “FALSE” and the pointer is advanced by one.
Next, since 213Skip of 205Seq # “5” is “TRUE”, it is excluded from processing and the pointer is advanced by one.
Next, since 213Skip of 205Seq # “6” is “FALSE”, it is not processed.
Since 210 details are “$% # 257445y7nco9yw983” and there is no identical information in the 404 basic sequence of the 401 rule master, 213Skip remains “FALSE” and the pointer is advanced by one.
Since 205Seq # “7” 213Skip is “FALSE”
Since 210 details are “$% # 097” and the same information is in 402ID “1” in 404 basic sequence of 401 rule master, this is stored,
212 Summary No. When the same data “1” is searched for, the 205 summary number “205” is set to 205 Seq # “8”. The same data “1” can be searched for, and the 210 detailed data of 205 Seq # “8” is “$% # 257445y7nco9yw983”. Since there is no data in the 407sequence 2 of “1” and the 405 fixed time is “3” and the difference in 206 date / time is “1” in this case, the 211 operation of 205 Seq # “7” is read. And 211 operation is set to “read”,
213 Skip is set to “FALSE”, 213 Skip of 205 Seq # “8” is set to “TRUE”, and the pointer is advanced by one.
Next, the pointer is advanced by 1. Since 213 Skip of 205 Seq # “8” is “TRUE”, the pointer is not processed, and the pointer is advanced by 1. However, since the data ends, this processing is terminated and the next processing is executed.
FIG. 5 is a diagram describing thepass 2 processing apparatus of the present invention.
Only the “FALSE” item in the 204 log information table developed in the memory is targeted, and the data of the same 211operation 212 summary No. within a fixed interval before and after is collected according to the 501 interval master, and 211 operations are the same for 214 times The 212 summary No. is counted and the number of times is set.
Process from the beginning of the 204 log information table expanded in memory,
213 Skip of 205 Seq # “1” is “FALSE” 211 Operation is “read”
When the 502 operation of the 501 interval master is examined, there is “read” and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “read” 212 summary No. The pointers “1” and 205Seq # “1” are stored, and the match processing pointer is advanced by one.
Since 213Skip of 205Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
213Skip of 205Seq # "3" is "FALSE",
211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
213 Skip of 205 Seq # “4” is “FALSE” or “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “6” is “FALSE” and “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
213 Skip of 205 Seq # “7” is “FALSE”, and 212 summary No. Is "1" and 211 operation is read, so the pointer stored in the above, that is, the number of times of thedefault value 1 of 205 Seq # "1", is incremented by 1 to 2, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
Since all the data in the 204 log information table has been processed, 1 is added to the pointer and the second 205 Seq # “2” is processed.
Since 213 Skip is “TRUE”, the pointer is advanced by one without doing anything.
Since 213 Skip of 205 Seq # “3” is “FALSE” 211 operation is “read”
When the 502 operation of the 501 interval master is examined, there is “read” and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “read” 212 summary No. The pointers “(2)” and 205Seq # “3” are stored, and the match processing pointer is shifted to the position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Since 205Seq # "3" is data currently being processed, the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “4” is “FALSE”,
211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “6” is “FALSE” and “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “7” is “FALSE” or “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
204 All the data of the log information table was processed, but the same 211 operation “read” 212 summary No. Since “(2)” does not exist, 1 is set to 214 times of 205 Seq # “3”.
Since the 213 Skip of the fourth 205 Seq # “4” is 1 in addition to the pointer is “FALSE” 211 operation is “write”
When the 502 operation of the 501 interval master is examined, “write” is present and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “write” 212 summary No. The pointers “(1)” and 205Seq # “4” are stored, and the match processing pointer is shifted to a position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “3” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 205 Seq # “4” is data currently being processed, the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “6” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “7” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
204 All the data of the log information table was processed, but the same 211 operation “write” 212 summary No. Since “(1)” does not exist, 1 is set to 214 times of 205 Seq # “4”.
Since the 213 Skip of the fifth 205 Seq # “5” in addition to the pointer is “TRUE”, it is excluded from processing.
The 213 Skip of the sixth 205 Seq # “6” in addition to the pointer is “FALSE” 211 The operation is “write”
When the 502 operation of the 501 interval master is examined, “write” is present and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “write” 212 summary No. The pointers “(3)” and 205Seq # “6” are stored, and the match processing pointer is shifted to a position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “3” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “4” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Since 205 Seq # “6” is data currently being processed, the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “7” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
204 All the data of the log information table was processed, but the same 211 operation “write” 212 summary No. Since “(3)” does not exist, 1 is set to 214 times of 205 Seq # “6”.
Since 213 Skip of 205 Seq # “7” is “TRUE” in addition to the pointer, it is excluded from processing and the pointer is advanced by one.
Since the 213 Skip of 205 Seq # “8” is “TRUE” in addition to the pointer, all the data is processed when the pointer is advanced by one and the next processing is performed.
By repeating the process described in this item number, the number of 214 times becomes a state like the 204 log information table described in the lower part of FIG.
FIG. 6 is a diagram describing thepass 3 processing apparatus of the present invention.
The operation of the computer performs a plurality of operations in response to one command from a human. When deleting a file, the computer reads the index information on the disk and then deletes the index information. In order to describe only the actions actually performed by humans, it is necessary to collect a plurality of actions, and according to the 601 action master, the 212 summary No. of 204 log information table. Eachtime 211 operations are checked, an operation actually performed by a human is determined.
Processing is started from the head of the 204 log information table developed in the memory of FIG. 6, 205 Seq # “1” 213 Skip is “FALES”, and 212 summary No. Is “1” and 211 operation is “read” for the first time, 211 operation “read” 212 summary No. The pointer “1” is stored, and the pointer for processing is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, the pointer is advanced by one, and one is advanced.
205Seq # "3" 212 summary No. Is “▲ 2 ▼”, so advance the pointer by one,
205Seq # "4" 212 summary No. Is “▲ 1” and 211 operation is “write”, and it is checked whether there is a pattern in which the combination of “read” and “write” stored matches the 601 operation master, 603 in the row of 602 basic operation “write”. Sincesubordinate operation 1 and 604 subordinate operation 2 are matched with “read” and “write”, “write” is recorded.
Advance the pointer by one
Since 213 Skip of 205 Seq # “5” is “TRUE”, the pointer is advanced by one.
205Seq # "6" 212 summary No. Is “▲ 3 ▼”, so advance the pointer by one,
Since 213Skip of 205Seq # “7” is “TRUE”, the pointer is advanced by one,
Since 213 Skip of 205 Seq # “7” is “TRUE”, the data is terminated when the pointer is advanced by 1. Therefore, the combination of 205 Seq # “1” and 205 Seq # “4” is determined as “write” from the 601 operation master, The 213 Skip of 205 Seq # “1” in the 204 log information table (1) is changed to “TRUE”.
The processing described from the top of this item number is repeated thereafter, resulting in a state like the 204 log information table in the lower part of FIG.
Process from the beginning of the 204 log information table in the lower part of FIG.
Only when 213 Skip is “FALSE”, 206 date / time, 207 users, 208 servers, 209 targets, and 214 times are output as data of 124 access logs.
As a result, the 111 log information can be compressed from 1/1000 to 1/2000, and since this processing is all performed on the memory, the processing speed is remarkably fast.
FIG. 7 is a diagram describing thepass 4 processing apparatus of the present invention.
Based on 612 users from the 124 access log output as a file atpass 3, the actions performed by the users are translated into natural language using the 701 dictionary master. By using natural language, human-readable system audit trails, attendance management, daily reports, weekly reports, etc. can be automatically generated, and any data output by any machine can be generated by changing the 701 dictionary master. Can be converted.
An embodiment will be described focusing on 612 users of 124 access logs.
124 Read the first line of the access log, search the 701 dictionary master using the 615 operation “logon” of 612 user “A” as a key, and “logon” in 702operation 1, date 705 is “◯”, 706 line feed Is “◯”, so the date part of 611 date and line feed code are output to 126 natural language report file.
Next, the time of 611 date and time is output, and the information corresponding to the portion surrounded by “{}” of the 704 sentence matched with the 701 dictionary master is applied.
In this case, the 701 dictionary master 702operation 1 is “logon” 704 sentences corresponding to “{user}” corresponding to 612 users and “{server}” corresponding to 613 servers, and 126 natural language reports. Output to a file.
When the next same 612 user and 615 operation is “logoff”, a punctuation mark “,” and a line feed code are written, and logoff processing is performed according to the dictionary master.
However, since the next 615 operation of the same 612 user “A” is “read”, search for “read” in 702operation 1 of the 701 dictionary master,
There are two cases in the 701 dictionary master, and there is a pattern in which “write” continues. Therefore, in the 124 access log, the same 612 user is “A”, the 613 server is “α”, and the 614 target is “former”. The lower 211 operation searches for an item of “write”.
Since the data of 611 date and time is “2015/06/24 20:39:49” and “2015 / 06.24 20:59:05” match,
701 In the dictionary master, 702operation 1 is “read”, 703 operation 2 is “write”, and 614 target is applied to “{target}”, and 124 access log time, 704 sentences, commas, and line feed codes are 126 natural Output to language report.
Next, when the pointer is shifted to the next position of 611 date / time “2015/06/24 20:37:46” and the operation of 612 user “A” is followed, the new pattern is changed to 611 date / time “2015/06/24 21”. : 05: 49 ”and 611 date and time“ 2015/06/24 21:05:58 ”, and 702operation 1 and 703 operation 2 of the 701 dictionary master match the pattern of“ write ”, so“ { Target} "is set to 614, and 704 sentences, commas, and line feed code are output to the 126 natural language report.
Next, when the pointer is shifted to the position next to 611 date / time “2015/06/24 21:05:49” and the operation of 612 user “A” is followed, the new pattern is changed to 611 date / time “2015/06/24 21”. : 10: 55 ”, and 702operation 1 of the 701 dictionary master matches the logoff pattern.
The 612 user corresponding to “{user}” of the 704 sentence and the 613 server corresponding to “{server}” are applied, and the 704 sentence, comma, and line feed code are output to the 126 natural language report.
Because it is output in human-readable content like a 126 natural language report, the first logon and the last logoff were written as “YY MM month DD day HH hours MM minutes, and I left HH hours MM”. It can also be applied to other work schedules.
FIG. 8 is a diagram describing the pass 5 processing apparatus of the present invention.
In this embodiment, information such as a server, target, authority, application period, approval date / time, deletion date / time and the like that can be used for each user set in advance using an electronic approval workflow system and the like, and 803 of the 801 access log (user sort) Using the user as a key, the validity of the access authority for the object 805 is confirmed, and the confirmation content is written in the 821 warning of the 127 warning report.
The 801 user “A” of the 801 access log (user sort) that is output by sorting and outputting the 125 access logs by 612 users is the 804 server “α” 805 target “A” at 802 date and time “2015/06/21 10:35:40”. It can be seen from the 806 operation that read has been made.
801 users in the 801 access log (user sort), 804 servers, and 805 targets are used as keys to match 812 users, 813 servers, and 814 targets in the 811 access control list, and from the information on the 816 application period, 817 approval date, and 818 deletion date It can be seen that theuser 812 user “A” has been revoked from the 818 deletion date and time to 2015/06/20 on the 813 server “α” 814 target “A”.
However, in reality, the 803 user “A” reads the 804 server “α” 805 target “Class A” from the operation at 802 date and time “2015/06/21 10:35:40”.
From this fact, you can guess
-The administrator has made a mistake in setting access rights.
-Someone has illegally manipulated the access right.
-An error occurred in the access management system.
・ Unauthorized access such as hacking occurred.
Therefore, the warning information “read authority deleted” is output to the 127 warning report, 802 date and time, 803 user, 804 server, 805 target, 806 operation and 821 warning.
When such a mismatch occurs, a “read authority” and a specific authority violation warning can be displayed.
FIG. 9 is a diagram describing thepass 6 processing apparatus of the present invention.
In this embodiment, the past access history is accumulated, the access status of the actual file is compared based on the accumulated access record, and no one has accessed for a certain period of time based on the instruction information set in advance by the administrator. If the file exists, an alarm report is output, automatically deleted, or automatically backed up to storage.
The 904 server and 905 target of the 901 access log (server sort) output by sorting and outputting the 125 access log on the 613 server is used as a key, and the 914 last access date of the row having the same 911 server and 912 target is matched with the 128 access history. On the date of 902 date and time, the 915 audit date is updated to the current processing date, and the number of 916 elapsed days is updated from the current date to the number of days subtracted from the 914 last access date.
If the number of days elapsed in 916 exceeds the number of days of instruction information set by the administrator in advance, an alarm report is output, and the 905 target file is automatically deleted or backed up to storage according to the instruction of the administrator .
In this embodiment, the number of days after the 816 application period of the 811 access control list becomes the number of days of the instruction information, and the data whose 916 elapsed days of 128 access history is “536” is targeted.
FIG. 10 is a diagram describing thepass 7 processing apparatus of the present invention.
In this embodiment, the access frequency of a file in a server in a certain period such as six months, quarterly, or monthly is measured to calculate 1005ratio 1 and the amount of processing associated with access, and consider future load distribution of each server. Output a report.
The date and time part of the 125 access log 206, 207 users, 208 servers, 209 objects and 211 operations and 211 operations as keys are matched with the 129 operation improvement information and the corresponding 1004 times, the 207 servers, 208 objects, 206 of the 125 access logs The user counts the date part of 205 date and time and the number of appearances of 210 operations and adds them to 1004 times.
203 After processing all the rows of the log information table,
Using the value of 1004 times, statistical information such as access ratio is calculated on a monthly and quarterly basis.
In this embodiment, the number of 1004 times is set as a percentage from the number of 1004 times of all servers on a monthly basis, and information is set in the target unit for 1005ratio 1 and in the server unit for 1006 ratio 2.
Thus, it is possible to know the access frequency from an operation actually performed by a human.
Since each item of the 902 statistical information can be freely changed, it is possible to analyze all statistical information such as communication line usage frequency and communication line communication fee.
It is possible to improve the processing content and programming by analyzing the load for each access content.
101ユーザAが104サーバαのファイル107甲、105サーバβのファイル108乙と109丙、
102ユーザBが105サーバβのファイル108乙と109丙、
103ユーザCが106サーバγのファイル110丁を操作すると、
コンピュータ104サーバα、105サーバβ、106サーバγはそれぞれ操作された時にコンピュータの動作状況を111ログ情報としてそれぞれ出力する。
この出力されたログ情報を113翻訳サーバはネットワーク等を使用し定期的に収集し一つの114収集ログ情報に取りまとめる。
収集した114収集ログ情報を読み込み116マッピング処理装置にて翻訳しやすいように必要なデータを加え、117プリパス1処理装置によりログパターンの分類を行い、118パス1処理装置によってログの動作を取りまとめ、119パス2処理装置と120パス3処理装置によって翻訳の取りまとめを行い、116マッピング処理装置から120パス3処理装置によってデータ量を1000分の1から2000分の1にし、121パス4処理によって人間が理解しやすい自然言語にする翻訳を行い、122パス5処理によってユーザのアクセス権の評価を行い、123パス6処理によって改善提案情報の出力をおこない、124パス7処理装置によってサーバの負荷統計情報の出力を行う装置の全体構成図である。
発明者及び出願人が独自に名称を付している、各々のソフトウェア及び装置について本発明独自の呼称を使用しているので下記に記載する。
・日時
ユーザがファイルにアクセスした日時分秒。
・ユーザ
ファイルにアクセスした人又はアカウントを持つ機能。
・対象
操作に関連した事象。
ファイルアクセスの場合は、アクセスされたファイルやディレクトリ。
・詳細
操作に関連した事象で日時、ユーザ、対象以外の付加情報。
ファイルアクセスの場合は、AccessValue、対象のIPアドレス、ファイルアクセスの場合は、AccessValue、対象のIPアドレス、セッション情報。
・AccessValue
コードやバイナリーデータで出力された操作、動作を決定する情報。
・操作
OS、アプリケーションが判断するファイルに対する情報。
(logon、logoff、write、read等々)
・サマリ表
ユーザ、サーバ、対象の組み合わせをキーとしたテーブル。実際のメモリアドレスを格納する。
・サマリNo.
サマリに対し付与されるユニークなメモリ上のアドレス。
・Skip
OSが出力したログ情報各行毎の要・不要の判別情報。
・ログ情報
コンピュータシステムやパソコン、スマートフォン、タブレット、ウェアラブル、産業機器、一般機器、乗り物、電気製品、医療機器、家具、建築物などが出力した動作記録やアプリケーションログ、サービスログ、システムログ、イベントログ、監査ログ、コマンド情報、デジタルデータなどの動作記録を含む。
・ログ情報テーブル
ログ情報から解析に必要な情報を解析用フォーマットに変換しメモリ上に展開した状態のテーブル。
・システムログ
コンピュータの起動や終了、管理者のlogonやlogoff、再起動、ハードウェアで発生した障害、カーネルで起きたエラー、サーバソフトやデーモン、常駐プログラムの起動や終了などの情報を記録する。
・アクセスコントロールリスト
認証フローシステムにより設定される、個人個人の対象に対するアクセス権限が記載されている情報。
・制御情報
操作、サマリ、Skipなどの情報。
・イベントログ
構成変更や障害発生など、システムで発生するさまざまな事象を記録。
・監査ログ
システムの利用者、開発者、運用者がシステムに対して実行した操作内容を時系列に記録。
・ルールマスタ
ログ情報の各行の動作を時系列に解析して判断する為のルールが記載されており、ルールの中には解析に必要な時間が記載され、この時間を一定時間と言う。
・一定時間
ルールマスタに記載されている時間であり、ルール毎に異なった時間が記載される。この時間は発明者が様々なログ情報を解析し人間が行う動作をn秒以内に行う場合、同一動作としてまとめられる時間の安全値として割り出した時間でルールマスタ、間隔マスタ等に定義されたルール毎に指定された秒数。
・機械語
コンピュータなどが出力する、その形状のままでは通常の人間では、理解不能なデータ等。
図2は、本発明の116マッピング処理装置について記載した図である。
コンピュータ等が出力する111ログ情報をネットワークなどにて収集し、114収集ログ情報にまとめ上げ、114収集ログ情報を読み込み、分析内容に合わせて日時、ユーザ、サーバ、対象、詳細等の項目を抽出し、211操作、212サマリNo.、213Skipなどの情報設置エリアを確保しながら抽出項目をメモリに展開しつつ、210詳細をキーとして201操作マスタの202詳細を検索し、対応する203操作を211操作にセットする。
対象となる114収集ログ情報から解析に必要な情報項目を選び出す。本実施例では、ファイルサーバのログ情報とし、206日時、207ユーザ、208サーバ、209対象、210詳細の各項目を使用し、ユーザがファイルサーバに格納されているファイル操作の解析を例として取り上げる。
解析対象が車や産業機器の省エネルギーであれば、日時、一定時間の消費エネルギー、エネルギー消費機器の状況(回転数など)、外的環境(温度、湿度など)移動距離、稼動回数等を対象とする。
読み出した206日時、207ユーザ、208サーバ、209対象、210詳細の各項目をメモリ上の204ログ情報テーブルの各項目にセットし、210詳細を利用し201操作マスタの202詳細とマッチングさせ該当する203操作を211操作にセットし、212サマリNo.のメモリエリアを確保し、213Skip項目に“FALSE”となるデフォルト値をセットし、214回数を格納できるメモリエリアを確保する。
ここでの“FALSE”は204ログ情報テーブルの各行の情報を重要なので読み飛ばしを行わないと言う意味となる。
又、201操作マスタに存在しない210詳細が有った場合は処理対象外として204ログ情報テーブルに“TRUE”と言う値をセットする。この201操作マスタに登録されている情報は、本発明者の過去の経験と実績による情報により作成された情報群である。
実際、コンピュータがファイルを削除する際、ディスク装置に対し読込み処理が実行され、その後にディスク装置に情報を書き込む事によってファイルが消去される。この事柄から分かるように人間の操作と実際のコンピュータの挙動は一致しないので、実際に人間がどの様な動作をしたかを解析する事が重要となる。
図3は、本発明の117プリパス1処理装置について記載した図である。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の全組合せ分の301サマリ表を作成し301サマリ表の各行にシーケンスNo.を符番しメモリ上に作成し、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の組合せにて301サマリ表の303ユーザ、304サーバ、305対象をマッチングさせ同一の組合せが無かった場合、シーケンス番号を302サマリNo.に符番しセットして207ユーザ、208サーバ、209対象の組合せを303ユーザ、304サーバ、305対象にセットし全組合せ分の301サマリ表をメモリ上に作成する。
全ての組合せを301サマリ表に作成した後、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
図4は、本発明のパス1処理装置について記載した図である。
メモリに展開している204ログ情報テーブルの先頭から処理し、
212サマリNo.を利用して複数行に渡る同一ユーザ、サーバ、対象を追跡し、210詳細の出現パターンを401ルールマスタに照らし合わせ、出現パターンがマッチした場合、404基本シーケンス以外にマッチした204ログ情報テーブル各行の213Skipを“TRUE”に更新する。
メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#097 ”であり401ルールマスタの404基本シーケンスに同一情報が402ID “1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq# “2”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq# “2”の210詳細のデータが“ $%#257445y7nco9yw983 ”なので、402ID “1”の406シーケンス1と比較すると同一データであり、402ID “1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“0”で在ったので、205Seq# “1”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”のままとし、205Seq# “2”の213Skipを“TRUE”とする。
次に、ポインタを1つ進めるが、205Seq#“2”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
205Seq# “3”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#38a2″eh48w ”であり401ルールマスタの404基本シーケンスに同一情報が402ID “2”にあるので、これを記憶し、
212サマリNo.の同一データ“▲2▼”を探すと本実施例で使用の図4上の204ログ情報テーブルの212サマリNo.には“▲2▼”と言うデータが他には無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq# “4”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#257445y7nco9yw983 ”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“5”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
次に、205Seq#“6” の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#257445y7nco9yw983 ”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
205Seq# “7”の213Skipが“FALSE”なので処理対象とし
210詳細が“ $%#097 ”であり401ルールマスタの404基本シーケンスに同一情報が402ID “1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq# “8”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq# “8”の210詳細のデータが“ $%#257445y7nco9yw983 ”なので、402ID “1”の406シーケンス1と比較すると同一データであり、402ID “1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“1”で在ったので、205Seq# “7”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”とし、205Seq#“8”の213Skipを“TRUE”としポインタを1つ進める。
次に、ポインタを1つ進めるが、205Seq#“8”の213Skipが“TRUE”なので処理対象外としポインタを1つ進めるが、データが終了するので本処理を終了し次の処理を実行する。
図5は、本発明のパス2処理装置について記載した図である。
メモリに展開している204ログ情報テーブル中のFALSE”の物だけを対象とし、501間隔マスタに従い前後一定間隔内の同一211操作212サマリNo.、のデータをまとめ上げ、214回数に同一211操作212サマリNo.、をカウントし回数をセットする。
メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲1▼”と205Seq#“1”のポインタを記憶し、マッチ処理ポインタを1つ進める。
205Seq#“2“の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”であり、212サマリNo.が“▲1▼”であり、211操作がreadなので前記にて記憶したポインタつまり205Seq#“1”のデフォルト値1の214回数に1を加え2としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したので、ポインタに1加え2番目の205Seq#“2”を処理するが、
213Skipは“TRUE”なので何もせずにポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲2▼”と205Seq#“3”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“read”212サマリNo.“▲2▼”が存在しなかったので205Seq#“3”の214回数に1をセットする。
ポインタに1加え4番目の205Seq#“4”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲1▼”と205Seq#“4”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲1▼”が存在しなかったので205Seq#“4”の214回数に1をセットする。
ポインタに1加え5番目の205Seq#“5”の213Skipが“TRUE”なので処理対象外とする。
ポインタに1加え6番目の205Seq#“6”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲3▼”と205Seq#“6”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲3▼”が存在しなかったので205Seq#“6”の214回数に1をセットする。
ポインタに1加え205Seq#“7”の213Skipは“TRUE”なので処理対象外としポインタを1つ進める。
ポインタに1加え205Seq#“8”の213Skipは“TRUE”なので処理対象外としポインタを1つ進めると全てのデータを処理したので次の処理を行う。
本項番記載の処理を繰り返す事によって214回数は、図5の下段に記載の204ログ情報テーブルのような状態となる。
図6は、本発明のパス3処理装置について記載した図である。
コンピュータの動作は人間からの1つの命令に対し複数の動作を行う。ファイルのdeleteを行う時、コンピュータはディスク上に有るインデックス情報を読み取り、その後インデックス情報を消すと言った動作を行う。実際の人間が行った動作だけを記載する為には複数の動作をまとめ上げる必要が有り、601動作マスタに従い204ログ情報テーブルの212サマリNo.毎に211操作をチェックし実際に人間が行った操作を確定する。
図6のメモリに展開している204ログ情報テーブルの先頭から処理し、205Seq#“1”213Skipが“FALES”でかつ、212サマリNo.が“▲1▼”、211操作が初めて“read”なので、211操作“read”212サマリNo.“▲1▼”とポインタを記憶し、処理する為のポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なのでポインタを1つ進め1つ進め、
205Seq#“3”の212サマリNo.は“▲2▼”なのでポインタを1つ進め、
205Seq#“4”の212サマリNo.は“▲1▼”であり211操作が“write”なので記憶した“read”と“write”の組合せが601動作マスタにマッチするパターンが有るか調査すると、602基本動作“write”の行の603従属動作1と604従属動作2が“read”、“write”と並びマッチするので、“write”を記録する。
ポインタを1つ進め、
205Seq#“5”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“6”の212サマリNo.は“▲3▼”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進めるとデータが終了するので、205Seq#“1”と205Seq#“4”の組合せは、601動作マスタから“write”と判断し、204ログ情報テーブル(1)の205Seq#“1”の213Skipを“TRUE”に変更する。
本項番の先頭から記載の処理を以降繰り返し図6下段の204ログ情報テーブルのような状態となる。
図6下段の204ログ情報テーブルの先頭から処理し、
213Skipが“FALES”のものだけ206日時、207ユーザ、208サーバ、209対象、214回数を124アクセスログのデータとして出力する。
これにより111ログ情報を1000分の1から2000分の1に圧縮する事ができ、この処理はメモリ上で全て行うために処理速度が格段に速い。
図7は、本発明のパス4処理装置について記載した図である。
パス3でファイルとして出力した124アクセスログから612ユーザを元に、ユーザの行った行動を、701辞書マスタを利用し自然言語に翻訳する。自然言語にする事により、人間が読めるシステム監査証跡、勤怠管理、日報、週報等に利用可能なレポートが自動作成され、701辞書マスタを変更する事によってどの様な機械が出力するデータでも自然言語に変換が可能となる。
124アクセスログの612ユーザを中心に実施例を説明する。
124アクセスログの1行目を読込み、612ユーザ“A”の615操作“logon”をキーとし701辞書マスタを検索し、702操作1に“logon”があり、705日付が“○”、706改行が“○”なので611日時の日付部分と改行コードを126自然言語レポートファイルに出力する。
次に611日時の時間を出力し、701辞書マスタとマッチングした704文章の“{}”で囲まれている部分に該当する情報を当てはめる。
本ケースの場合は、701辞書マスタの702操作1が“logon”の704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、126自然言語レポートファイルに出力する。
次の同一612ユーザ、615操作が“logoff”の場合、読点“、”と改行コードを書き込み、辞書マスタに従いlogoffの処理を行う。
しかし、次の同一612ユーザ“A”の615操作が“read”なので、701辞書マスタの702操作1の“read”を検索し、
701辞書マスタ中に2つのケースがあり、“write”が続くパターンが有るので、124アクセスログに同一612ユーザが“A”で613サーバが“α”で、614対象が“甲”の条件の下211操作が“write”の物を探す。
611日時が“2015/06/24 20:39:49”のデータと“2015/06・24 20:59:05”がマッチするので、
701辞書マスタの702操作1が“read”、703操作2が“write”の704文書の“{対象}”に614対象を当てはめ、124アクセスログの時間と704文章とカンマと改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 20:37:46”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:05:49”と611日時“2015/06/24 21:05:58”に有り、701辞書マスタの702操作1、703操作2が“write”のパターンとマッチするので、704文章の“{対象}”に614対象をはめ込み、704文章とカンマ、改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 21:05:49”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:10:55”にあり、701辞書マスタの702操作1がlogoffのパターンとマッチするので、
704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、704文章とカンマ、改行コードを126自然言語レポートに出力する。
126自然言語レポートのように人間が読める内容に出力される為、最初のlogonと最後のlogoffを“YY年MM月DD日 HH時MM分に出勤し、HH時MMに退社した。”と言った勤務表などにも応用する事が可能となる。
図8は、本発明のパス5処理装置について記載した図である。
本実施例では、電子承認ワークフローシステム等を使用し予め設定されたユーザ毎の利用できるサーバ、対象、権限、申請期間、承認日時、削除日時などの情報と、801アクセスログ(ユーザソート)の803ユーザをキーとして、805対象に対するアクセス権限の妥当性を確認し、127警告レポートの821警告に確認内容を書き込む。
125アクセスログを612ユーザでソートし出力した801アクセスログ(ユーザソート)の803ユーザ“A”が802日時”2015/06/21 10:35:40に804サーバ“α”805対象“甲”を806操作からreadした事が分かる。
801アクセスログ(ユーザソート)の803ユーザ、804サーバ、805対象をキーとし811アクセスコントロールリストの812ユーザ、813サーバ、814対象とをマッチングさせ816申請期間、817承認日時、818削除日時の情報から812ユーザ“A”は、813サーバ“α”814対象“甲”のアクセス権が818削除日時から2015/06/20に取り消されたことが分かる。
しかし、実際には803ユーザ“A”が802日時”2015/06/21 10:35:40“に804サーバ“α”805対象“甲”を操作からreadしている。
この事実から推測できる事は、
・アクセス権の設定を管理者が間違えている。
・アクセス権を誰かが不正に操作した。
・アクセス管理システムの異常発生。
・ハッキング等の不正アクセスが発生した。
この為、127警告レポートに802日時、803ユーザ、804サーバ、805対象、806操作と821警告に“read権限削除済み”と警告情報を出力する。
この様な不一致が発生した時、“read権限”と具体的な権限違反の警告を表示する事ができる。
図9は、本発明のパス6処理装置について記載した図である。
本実施例では、過去のアクセス履歴を蓄積し、蓄積したアクセス記録を元に実ファイルのアクセス状況を比較し、管理者が予め設定した指示情報を元に、一定期間以上誰もアクセスしていないファイルが存在した場合、アラームレポートを出力したり、自動的に削除したり、自動的にストレージにバックアップしたりする。
125アクセスログを613サーバでソートし出力した901アクセスログ(サーバソート)の904サーバ、905対象をキーとし、128アクセス履歴とマッチングさせ同一の911サーバ、912対象を持つ行の914最終アクセス日を902日時の日付に、915監査日を本処理日に、916経過日数を本日から914最終アクセス日から引いた日数に更新する。
916経過日数が、予め管理者が設定した指示情報の日数を超えている場合、アラームレポートを出力し、管理者の指示により905対象のファイルを自動的に削除したり、ストレージにバックアップしたりする。
本実施例にては、811アクセスコントロールリストの816申請期間を過ぎた日数を指示情報の日数となり、128アクセス履歴の916経過日数が“536”のデータが対象となる。
図10は、本発明のパス7処理装置について記載した図である。
本実施例では、半期、四半期、毎月等、一定期間内のサーバ内に有るファイルのアクセス頻度を計量し1005比率1やアクセスに伴う処理量を算出し、将来の各サーバの負荷分散を考慮するレポートを出力する。
125アクセスログの206日時の年月部分、207ユーザ、208サーバ、209対象と211操作をキーとし、129動作改善情報とマッチングし該当する1004回数に、125アクセスログの207サーバ、208対象、206ユーザ、205日時の日付部分と210操作の出現回数を数え、1004回数に加える。
203ログ情報テーブルの行を全て処理した後に、
1004回数の値を使用し、月、四半期単位にてアクセス比等の統計情報を算出する。
本実施例では1004回数を月単位で全てのサーバの1004回数から百分率にして情報を1005比率1には対象単位、1006比率2にはサーバ単位にセットしている。
この事により、人間が実際に行った操作からのアクセス頻度を知ることができる。
902統計情報の各項目は自在に変える事が可能である為、通信回線の利用頻度、通信回線の通信料などあらゆる統計情報の解析が可能となる。
アクセス内容毎の負荷分析により処理内容及びプログラミングの改善を図る事が可能と成る。 FIG. 1 shows an overall apparatus for collecting 111 log information output by a computer or the like as an example of an embodiment of the present invention, compressing the collected log information, and translating and analyzing the log information into a natural language that is easy for humans to understand. It is a block diagram.
101 User A has a file 107 A of 104 server α,
102 User B has
103 When user C operates file 110 of 106 server γ,
When each of the computer 104 server α, 105 server β, and 106 server γ is operated, it outputs the operation status of the computer as 111 log information.
The 113 translation server periodically collects the output log information using a network or the like, and compiles it into one 114 collected log information.
The collected 114 collected log information is read and necessary data is added so that it can be easily translated by the 116 mapping processing device. The log pattern is classified by the 117
Since the inventor and the applicant have given their own names, each software and device uses the unique name of the present invention and will be described below.
・ Date
Date, time, minute, and second when the user accessed the file.
·User
Ability to have a person or account that has access to the file.
・ Target
Events related to the operation.
For file access, the accessed file or directory.
・ Details
Additional information other than date / time, user, and target for events related to operations.
For file access, AccessValue, target IP address, and for file access, AccessValue, target IP address, and session information.
・ AccessValue
Information that determines the operations and actions that are output in code or binary data.
·operation
Information on files determined by the OS and applications.
(Logon, logoff, write, read, etc.)
・ Summary table
A table with combinations of users, servers, and targets as keys. Stores the actual memory address.
・ Summary No.
A unique memory address given to the summary.
・ Skip
Log information output by the OS Necessary / unnecessary discrimination information for each line.
・ Log information
Operation records, application logs, service logs, system logs, event logs, audit logs output by computer systems, personal computers, smartphones, tablets, wearables, industrial equipment, general equipment, vehicles, electrical products, medical equipment, furniture, buildings, etc. Operation records such as command information and digital data.
-Log information table
A table in which the information required for analysis is converted from log information to analysis format and expanded in memory.
・ System log
Records information such as computer start and stop, administrator logon and logoff, restart, hardware failure, kernel error, server software and daemon, and resident program start and stop.
・ Access control list
Information that describes the access authority for an individual object set by the authentication flow system.
・ Control information
Information such as operation, summary, and skip.
·Event Log
Records various events that occur in the system, such as configuration changes and failures.
・ Audit log
Records the operations performed by the system user, developer, and operator on the system in chronological order.
・ Rule master
A rule for analyzing and judging the operation of each line of log information in time series is described, and the time required for the analysis is described in the rule, and this time is called a fixed time.
・ Constant time
This is the time described in the rule master, and a different time is described for each rule. This time is a rule defined in the rule master, the interval master, etc. with the time calculated as a safe value of the time that is collected as the same operation when the inventor analyzes various log information and performs the operation performed by human beings within n seconds The specified number of seconds every time.
・ Machine language
Data output by a computer, etc., that cannot be understood by a normal human being in its shape.
FIG. 2 is a diagram describing the 116 mapping processing apparatus of the present invention.
Collect 111 log information output by computers, etc. on a network, etc., gather it into 114 collected log information, read 114 collected log information, and extract items such as date, user, server, target, and details according to the
Information items necessary for the analysis are selected from the target 114 collected log information. In this embodiment, the log information of the file server is used, and the items of 206 date / time, 207 user, 208 server, 209 target, and 210 details are used, and the analysis of the file operation stored in the file server by the user is taken as an example. .
If the target of analysis is energy saving for cars and industrial equipment, the date and time, energy consumption for a certain period of time, the status of energy consuming equipment (rotations, etc.), external environment (temperature, humidity, etc.), distance traveled, number of operations To do.
The
Here, “FALSE” means that information in each row of the 204 log information table is important and is not skipped.
If there are 210 details that do not exist in the 201 operation master, the value “TRUE” is set in the 204 log information table as not being processed. The information registered in the 201 operation master is an information group created by information based on past experiences and results of the inventor.
Actually, when the computer deletes the file, a read process is executed on the disk device, and then the file is erased by writing information to the disk device. As can be seen from this matter, human operations and actual computer behavior do not match, so it is important to analyze what humans actually do.
FIG. 3 is a diagram describing the 117
204 A 301 summary table for all combinations of 207 users, 208 servers, and 209 targets existing in the log information table is created, and a sequence No. And create it in memory,
204 The 303 summary No. assigned to the 301 summary table is matched with the 303 user, 304 server, and 305 subject of the 301 summary table that are the same as the 207 user, 208 server, and 209 subject of the log information table. No. 212 of the 204 log information table. Set to item.
204 When the combination of 207 users, 208 servers, and 209 targets in the log information table is matched with 303 users, 304 servers, and 305 targets in the 301 summary table and there is no identical combination, the sequence number is set to 302 summary number. The combination of 207 users, 208 servers, and 209 targets is set to 303 users, 304 servers, and 305 targets, and a 301 summary table for all combinations is created on the memory.
After creating all the combinations in the 301 summary table,
204 The 303 summary No. assigned to the 301 summary table is matched with the 303 user, 304 server, and 305 subject of the 301 summary table that are the same as the 207 user, 208 server, and 209 subject of the log information table. No. 212 of the 204 log information table. Set to item.
FIG. 4 is a diagram describing the
Process from the beginning of the 204 log information table expanded in memory,
212 Summary No. The same user, server, and target across multiple lines are tracked using 210, and the appearance pattern of 210 details is checked against the 401 rule master, and if the appearance pattern matches, each line of the 204 log information table that matches other than the 404
Process from the beginning of the 204 log information table expanded in memory,
Since 205Seq # "1" 213Skip is "FALSE"
Since 210 details are “$% # 097” and the same information is in 402ID “1” in 404 basic sequence of 401 rule master, this is stored,
212 Summary No. When the same data “1” is searched for, the 212 summary No. is added to 205 Seq # “2”. The same data “1” can be searched for, and the 210 detailed data of 205 Seq # “2” is “$% # 257445y7nco9yw983”. Since there is no data in the 407
213Skip remains “FALSE”, and 213Skip of 205Seq # “2” is set to “TRUE”.
Next, the pointer is advanced by one. However, since 213 Skip of 205 Seq # “2” is “TRUE”, the pointer is not processed and the pointer is advanced by one.
Since 205Seq # “3” 213 Skip is “FALSE”
210 The details are “$% # 38a2” eh48w ”and the same information is stored in 402ID“ 2 ”in the 404 basic sequence of 401 rule master.
212 Summary No. When the same data “(2)” is searched, the 212 summary No. of the 204 log information table in FIG. Since there is no other data “(2)”, 213 Skip remains “FALSE” and the pointer is advanced by one.
Next, since 213 Skip of 205 Seq # “4” is “FALSE”
Since 210 details are “$% # 257445y7nco9yw983” and there is no identical information in the 404 basic sequence of the 401 rule master, 213Skip remains “FALSE” and the pointer is advanced by one.
Next, since 213Skip of 205Seq # “5” is “TRUE”, it is excluded from processing and the pointer is advanced by one.
Next, since 213Skip of 205Seq # “6” is “FALSE”, it is not processed.
Since 210 details are “$% # 257445y7nco9yw983” and there is no identical information in the 404 basic sequence of the 401 rule master, 213Skip remains “FALSE” and the pointer is advanced by one.
Since 205Seq # “7” 213Skip is “FALSE”
Since 210 details are “$% # 097” and the same information is in 402ID “1” in 404 basic sequence of 401 rule master, this is stored,
212 Summary No. When the same data “1” is searched for, the 205 summary number “205” is set to 205 Seq # “8”. The same data “1” can be searched for, and the 210 detailed data of 205 Seq # “8” is “$% # 257445y7nco9yw983”. Since there is no data in the 407
213 Skip is set to “FALSE”, 213 Skip of 205 Seq # “8” is set to “TRUE”, and the pointer is advanced by one.
Next, the pointer is advanced by 1. Since 213 Skip of 205 Seq # “8” is “TRUE”, the pointer is not processed, and the pointer is advanced by 1. However, since the data ends, this processing is terminated and the next processing is executed.
FIG. 5 is a diagram describing the
Only the “FALSE” item in the 204 log information table developed in the memory is targeted, and the data of the same 211
Process from the beginning of the 204 log information table expanded in memory,
213 Skip of 205 Seq # “1” is “FALSE” 211 Operation is “read”
When the 502 operation of the 501 interval master is examined, there is “read” and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “read” 212 summary No. The pointers “1” and 205Seq # “1” are stored, and the match processing pointer is advanced by one.
Since 213Skip of 205Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
213Skip of 205Seq # "3" is "FALSE",
211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
213 Skip of 205 Seq # “4” is “FALSE” or “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “6” is “FALSE” and “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
213 Skip of 205 Seq # “7” is “FALSE”, and 212 summary No. Is "1" and 211 operation is read, so the pointer stored in the above, that is, the number of times of the
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
Since all the data in the 204 log information table has been processed, 1 is added to the pointer and the second 205 Seq # “2” is processed.
Since 213 Skip is “TRUE”, the pointer is advanced by one without doing anything.
Since 213 Skip of 205 Seq # “3” is “FALSE” 211 operation is “read”
When the 502 operation of the 501 interval master is examined, there is “read” and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “read” 212 summary No. The pointers “(2)” and 205Seq # “3” are stored, and the match processing pointer is shifted to the position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Since 205Seq # "3" is data currently being processed, the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “4” is “FALSE”,
211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “6” is “FALSE” and “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “7” is “FALSE” or “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
204 All the data of the log information table was processed, but the same 211 operation “read” 212 summary No. Since “(2)” does not exist, 1 is set to 214 times of 205 Seq # “3”.
Since the 213 Skip of the fourth 205 Seq # “4” is 1 in addition to the pointer is “FALSE” 211 operation is “write”
When the 502 operation of the 501 interval master is examined, “write” is present and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “write” 212 summary No. The pointers “(1)” and 205Seq # “4” are stored, and the match processing pointer is shifted to a position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “3” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 205 Seq # “4” is data currently being processed, the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “6” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “7” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
204 All the data of the log information table was processed, but the same 211 operation “write” 212 summary No. Since “(1)” does not exist, 1 is set to 214 times of 205 Seq # “4”.
Since the 213 Skip of the fifth 205 Seq # “5” in addition to the pointer is “TRUE”, it is excluded from processing.
The 213 Skip of the sixth 205 Seq # “6” in addition to the pointer is “FALSE” 211 The operation is “write”
When the 502 operation of the 501 interval master is examined, “write” is present and the 503 interval is “2”. Therefore, in order to investigate 2 seconds before and after, 211 operation “write” 212 summary No. The pointers “(3)” and 205Seq # “6” are stored, and the match processing pointer is shifted to a position two seconds before. In the present embodiment, two seconds before 206 date and time is the head data of the 204 log information table.
213 Skip of 205 Seq # “1” is “FALSE”, but 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “3” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “4” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since 213 Skip of 205 Seq # “5” is “TRUE”, it is not processed and the match processing pointer is advanced by one.
Since 205 Seq # “6” is data currently being processed, the match processing pointer is advanced by one.
Although 213 Skip of 205 Seq # “7” is “FALSE”, 211 operation and 212 summary No. Does not match, it is excluded from processing, and the match processing pointer is advanced by one.
Since the skip of 205 Seq # “8” is “TRUE”, it is excluded from processing and the match processing pointer is advanced by one.
204 All the data of the log information table was processed, but the same 211 operation “write” 212 summary No. Since “(3)” does not exist, 1 is set to 214 times of 205 Seq # “6”.
Since 213 Skip of 205 Seq # “7” is “TRUE” in addition to the pointer, it is excluded from processing and the pointer is advanced by one.
Since the 213 Skip of 205 Seq # “8” is “TRUE” in addition to the pointer, all the data is processed when the pointer is advanced by one and the next processing is performed.
By repeating the process described in this item number, the number of 214 times becomes a state like the 204 log information table described in the lower part of FIG.
FIG. 6 is a diagram describing the
The operation of the computer performs a plurality of operations in response to one command from a human. When deleting a file, the computer reads the index information on the disk and then deletes the index information. In order to describe only the actions actually performed by humans, it is necessary to collect a plurality of actions, and according to the 601 action master, the 212 summary No. of 204 log information table. Each
Processing is started from the head of the 204 log information table developed in the memory of FIG. 6, 205 Seq # “1” 213 Skip is “FALES”, and 212 summary No. Is “1” and 211 operation is “read” for the first time, 211 operation “read” 212 summary No. The pointer “1” is stored, and the pointer for processing is advanced by one.
Since 213 Skip of 205 Seq # “2” is “TRUE”, the pointer is advanced by one, and one is advanced.
205Seq # "3" 212 summary No. Is “▲ 2 ▼”, so advance the pointer by one,
205Seq # "4" 212 summary No. Is “▲ 1” and 211 operation is “write”, and it is checked whether there is a pattern in which the combination of “read” and “write” stored matches the 601 operation master, 603 in the row of 602 basic operation “write”. Since
Advance the pointer by one
Since 213 Skip of 205 Seq # “5” is “TRUE”, the pointer is advanced by one.
205Seq # "6" 212 summary No. Is “▲ 3 ▼”, so advance the pointer by one,
Since 213Skip of 205Seq # “7” is “TRUE”, the pointer is advanced by one,
Since 213 Skip of 205 Seq # “7” is “TRUE”, the data is terminated when the pointer is advanced by 1. Therefore, the combination of 205 Seq # “1” and 205 Seq # “4” is determined as “write” from the 601 operation master, The 213 Skip of 205 Seq # “1” in the 204 log information table (1) is changed to “TRUE”.
The processing described from the top of this item number is repeated thereafter, resulting in a state like the 204 log information table in the lower part of FIG.
Process from the beginning of the 204 log information table in the lower part of FIG.
Only when 213 Skip is “FALSE”, 206 date / time, 207 users, 208 servers, 209 targets, and 214 times are output as data of 124 access logs.
As a result, the 111 log information can be compressed from 1/1000 to 1/2000, and since this processing is all performed on the memory, the processing speed is remarkably fast.
FIG. 7 is a diagram describing the
Based on 612 users from the 124 access log output as a file at
An embodiment will be described focusing on 612 users of 124 access logs.
124 Read the first line of the access log, search the 701 dictionary master using the 615 operation “logon” of 612 user “A” as a key, and “logon” in 702
Next, the time of 611 date and time is output, and the information corresponding to the portion surrounded by “{}” of the 704 sentence matched with the 701 dictionary master is applied.
In this case, the 701 dictionary master 702
When the next same 612 user and 615 operation is “logoff”, a punctuation mark “,” and a line feed code are written, and logoff processing is performed according to the dictionary master.
However, since the next 615 operation of the same 612 user “A” is “read”, search for “read” in 702
There are two cases in the 701 dictionary master, and there is a pattern in which “write” continues. Therefore, in the 124 access log, the same 612 user is “A”, the 613 server is “α”, and the 614 target is “former”. The lower 211 operation searches for an item of “write”.
Since the data of 611 date and time is “2015/06/24 20:39:49” and “2015 / 06.24 20:59:05” match,
701 In the dictionary master, 702
Next, when the pointer is shifted to the next position of 611 date / time “2015/06/24 20:37:46” and the operation of 612 user “A” is followed, the new pattern is changed to 611 date / time “2015/06/24 21”. : 05: 49 ”and 611 date and time“ 2015/06/24 21:05:58 ”, and 702
Next, when the pointer is shifted to the position next to 611 date / time “2015/06/24 21:05:49” and the operation of 612 user “A” is followed, the new pattern is changed to 611 date / time “2015/06/24 21”. : 10: 55 ”, and 702
The 612 user corresponding to “{user}” of the 704 sentence and the 613 server corresponding to “{server}” are applied, and the 704 sentence, comma, and line feed code are output to the 126 natural language report.
Because it is output in human-readable content like a 126 natural language report, the first logon and the last logoff were written as “YY MM month DD day HH hours MM minutes, and I left HH hours MM”. It can also be applied to other work schedules.
FIG. 8 is a diagram describing the pass 5 processing apparatus of the present invention.
In this embodiment, information such as a server, target, authority, application period, approval date / time, deletion date / time and the like that can be used for each user set in advance using an electronic approval workflow system and the like, and 803 of the 801 access log (user sort) Using the user as a key, the validity of the access authority for the object 805 is confirmed, and the confirmation content is written in the 821 warning of the 127 warning report.
The 801 user “A” of the 801 access log (user sort) that is output by sorting and outputting the 125 access logs by 612 users is the 804 server “α” 805 target “A” at 802 date and time “2015/06/21 10:35:40”. It can be seen from the 806 operation that read has been made.
801 users in the 801 access log (user sort), 804 servers, and 805 targets are used as keys to match 812 users, 813 servers, and 814 targets in the 811 access control list, and from the information on the 816 application period, 817 approval date, and 818 deletion date It can be seen that the
However, in reality, the 803 user “A” reads the 804 server “α” 805 target “Class A” from the operation at 802 date and time “2015/06/21 10:35:40”.
From this fact, you can guess
-The administrator has made a mistake in setting access rights.
-Someone has illegally manipulated the access right.
-An error occurred in the access management system.
・ Unauthorized access such as hacking occurred.
Therefore, the warning information “read authority deleted” is output to the 127 warning report, 802 date and time, 803 user, 804 server, 805 target, 806 operation and 821 warning.
When such a mismatch occurs, a “read authority” and a specific authority violation warning can be displayed.
FIG. 9 is a diagram describing the
In this embodiment, the past access history is accumulated, the access status of the actual file is compared based on the accumulated access record, and no one has accessed for a certain period of time based on the instruction information set in advance by the administrator. If the file exists, an alarm report is output, automatically deleted, or automatically backed up to storage.
The 904 server and 905 target of the 901 access log (server sort) output by sorting and outputting the 125 access log on the 613 server is used as a key, and the 914 last access date of the row having the same 911 server and 912 target is matched with the 128 access history. On the date of 902 date and time, the 915 audit date is updated to the current processing date, and the number of 916 elapsed days is updated from the current date to the number of days subtracted from the 914 last access date.
If the number of days elapsed in 916 exceeds the number of days of instruction information set by the administrator in advance, an alarm report is output, and the 905 target file is automatically deleted or backed up to storage according to the instruction of the administrator .
In this embodiment, the number of days after the 816 application period of the 811 access control list becomes the number of days of the instruction information, and the data whose 916 elapsed days of 128 access history is “536” is targeted.
FIG. 10 is a diagram describing the
In this embodiment, the access frequency of a file in a server in a certain period such as six months, quarterly, or monthly is measured to calculate 1005
The date and time part of the 125
203 After processing all the rows of the log information table,
Using the value of 1004 times, statistical information such as access ratio is calculated on a monthly and quarterly basis.
In this embodiment, the number of 1004 times is set as a percentage from the number of 1004 times of all servers on a monthly basis, and information is set in the target unit for 1005
Thus, it is possible to know the access frequency from an operation actually performed by a human.
Since each item of the 902 statistical information can be freely changed, it is possible to analyze all statistical information such as communication line usage frequency and communication line communication fee.
It is possible to improve the processing content and programming by analyzing the load for each access content.
昨今、コンピュータの普及により増加するコンピュータ犯罪に対応するように刑法でも、電磁的記録不正作出罪、電磁的記録毀棄罪、電子計算機損壊等業務妨害罪や、電子計算機使用詐欺罪と法律が厳しくなってきている。しかし、監視、監査体制を強化し誰でもが、何時誰が何をしたかが解るシステムを導入する事によって、リスク管理システムを充実させ、この様な犯罪の抑止と言った事が行えるコンピュータ装置から出力される動作記録を解析し自然言語に翻訳し、ログを解析する事により、その動作内容を分析し、分析した内容から改善点を発見し最適化を図る技術が必要とされ、アクセス権が有るにも関わらずアクセスしないファイルのアクセス権を無くしたり、誰もアクセスする事のないファイルを削除したり、アクセスが集中するサーバの負荷分散を行い、パフォーマンスの改善、セキュリティコントロールの見直し、過去情報の蓄積と分析に対する支援情報を提供する技術装置。
In recent years, the Criminal Code has become more stringent in law, such as the fraudulent creation of electromagnetic records, the abandonment of electromagnetic records, the breach of electronic computers, the fraud of using computers, etc. It is coming. However, by strengthening the monitoring and auditing system and introducing a system that enables anyone to understand when and who did what, the risk management system has been enhanced, and a computer device that can be used to prevent such crimes. Analyzing the output action record, translating it into natural language, analyzing the log, analyzing the action contents, finding improvements from the analyzed contents and optimizing technology is required, and access rights are required. Eliminates access rights to files that are not yet accessed, deletes files that no one accesses, or distributes load on servers where access is concentrated, improving performance, reviewing security controls, and past information Technical device that provides support information for the accumulation and analysis of the data.
Claims (6)
- 対象となるコンピュータ装置群が出力する収集ログ情報を読み取り、
読み取った収集ログ情報を時系列に解析する為に、収集ログ情報から日時、ユーザ、サーバ、対象、詳細を抽出し翻訳に必要な制御情報を付加し、メモリ内のログ情報テーブルに配置する機能を有するマッピング処理装置。 Read the collected log information output by the target computer group,
Function to extract the date / time, user, server, target, and details from the collected log information, add control information necessary for translation, and place it in the log information table in the memory to analyze the read collected log information in time series A mapping processing apparatus. - 前記メモリ内のログ情報テーブルに配置されたログ情報からユーザ、サーバ、対象を前記ログ情報テーブルとは別のメモリ領域上にサマリとして展開し、展開したサマリを使用し、ログ情報の複数行に渡る同一ユーザ、同一サーバ、同一対象の行を一意の集合とし、この集合とルールマスタとを突合せ、ルールマスタにマッチングした場合、ルールマスタに定義されているコンピュータ動作の集約、変換ルールに従い人間が見て解りやすい操作に翻訳する機能を有するパス1処理装置。 From the log information arranged in the log information table in the memory, a user, a server, and a target are expanded as a summary on a memory area different from the log information table, and the expanded summary is used to make multiple lines of log information. If the same user, the same server, and the same target row across are made into a unique set, and this set is matched with the rule master and matched with the rule master, humans will follow the aggregation and conversion rules of computer operations defined in the rule master. A pass 1 processing device having a function of translating into an easy-to-understand operation.
- 前記パス1装置により翻訳されたログ情報テーブルから操作記録の日時を使用し、一定時間内に発生した操作記録を判断し、一定時間内にある同一動作をカウントし取りまとめ、複数行になる操作記録を1行の操作記録に変換し有用な操作記録だけを選別する機能を有するパス2処理装置、および
パス2処理装置により、選別したログ情報テーブルを時系列に走査して、同一ユーザ、同一サーバ、同一対象の行について、特定の操作の前後一定時間内に発生した操作に対してプライオリティを付け、プライオリティが低い操作を選別し特定の操作に吸収圧縮させる機能を有するパス3処理装置。 The operation record date and time is used from the log information table translated by the pass 1 device, the operation record generated within a certain time is judged, the same operation within the certain time is counted, and the operation record becomes a plurality of lines. Pass 2 processing device having the function of converting the operation record into one line operation record and selecting only useful operation records, and the selected log information table is scanned in time series by the pass 2 processing device, the same user, the same server A pass 3 processing device having a function of assigning a priority to operations that occur within a certain time before and after a specific operation for the same target row, selecting an operation with a low priority, and absorbing and compressing the operation to the specific operation. - 前記パス3処理装置により翻訳されたログ情報テーブルから自然言語に翻訳する為の情報を抜き出し辞書マスタに照らし合わせ機械が出力した情報を自然言語に翻訳したレポートを提供し、自然言語話者なら誰でもが理解可能にする事ができ、レポートフォーマットを予め設定する事により自動的に定型フォーマットに沿った人間が読めるシステム監査証跡、勤怠管理、日報、週報等に利用可能なレポートが自動作成され、どの様な機械が出力するデータでも自然言語に変換が可能とする機能を有するパス4処理装置。 Extracting information for translation into natural language from the log information table translated by the pass 3 processing device, providing a report in which the information output by the machine is translated into natural language against the dictionary master, and whoever is a natural language speaker However, it can be made understandable, and by setting the report format in advance, a report that can be used for human-readable system audit trail, attendance management, daily report, weekly report, etc. automatically is created automatically. A pass 4 processing device having a function that can convert data output by any machine into a natural language.
- ログ情報テーブルに出力されたユーザ、対象、操作が電子承認ワークフローシステムにより出力されるアクセスコントロールリストに定義された権限の内容と合致しているかを検査し、検査内容が合格していた場合は権限の正当性の証明を行い、検査内容が不合格の場合は権限違反として警告を出力するパス5処理装置、および
アクセスコントロールリストに定義された権限ユーザが、対象ファイルを申請期間内に操作を行っていなかった場合、このユーザの権限有効性の警告を行う機能を有するパス6処理装置。 Check whether the user, target, and operation output in the log information table match the authority defined in the access control list output by the electronic approval workflow system, and if the inspection contents pass, authority Proof of legitimacy, and if the inspection content fails, the pass 5 processing device that outputs a warning as an authority violation, and the authorized user defined in the access control list operate the target file within the application period If not, a pass 6 processing device having a function of warning the authority validity of this user. - 前記パス2装置により翻訳されたログ情報テーブルを入力として、サーバ、対象単位に人間が操作した回数から負荷分散の為の情報を提供する機能を有するパス7処理装置。 A path 7 processing device having a function of providing information for load distribution based on the number of times a user operates the server and target unit by using the log information table translated by the path 2 device as an input.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SG11201801619RA SG11201801619RA (en) | 2015-09-04 | 2016-06-17 | Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log |
| MYPI2018700792A MY189366A (en) | 2015-09-04 | 2016-06-17 | Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015-187392 | 2015-09-04 | ||
| JP2015187392A JP6501159B2 (en) | 2015-09-04 | 2015-09-04 | Analysis and translation of operation records of computer devices, output of information for audit and trend analysis device of the system. |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2017038221A1 true WO2017038221A1 (en) | 2017-03-09 |
Family
ID=58188868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2016/068740 WO2017038221A1 (en) | 2015-09-04 | 2016-06-17 | Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP6501159B2 (en) |
| MY (1) | MY189366A (en) |
| SG (1) | SG11201801619RA (en) |
| TW (1) | TWI722001B (en) |
| WO (1) | WO2017038221A1 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076296A (en) * | 2021-03-30 | 2021-07-06 | 咪咕文化科技有限公司 | Log generation method and device, electronic equipment and storage medium |
| CN113535519A (en) * | 2021-07-27 | 2021-10-22 | 浪潮软件科技有限公司 | Monitoring and alarming method |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008050560A1 (en) * | 2006-10-25 | 2008-05-02 | Sharp Kabushiki Kaisha | Content delivery server, content providing server, content delivery system, content delivery method, content providing method, terminal device, control program and computer readable recording medium |
| JP2011065397A (en) * | 2009-09-17 | 2011-03-31 | Nec Corp | Unauthorized access detection device, unauthorized access detection program, and unauthorized access detecting method |
| JP2012022380A (en) * | 2010-07-12 | 2012-02-02 | Kddi Corp | Log extraction system and program |
| JP2013084212A (en) * | 2011-10-12 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | Log collection system, method, and program |
| JP2013152657A (en) * | 2012-01-26 | 2013-08-08 | Kyocera Document Solutions Inc | Log conversion program, and information processing device |
| JP2013171542A (en) * | 2012-02-22 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Performance analysis device, method for analyzing performance, and performance analysis program |
| JP2014106679A (en) * | 2012-11-27 | 2014-06-09 | Fujitsu Ltd | Sampling program, sampling method, and information processing apparatus |
| JP2015141472A (en) * | 2014-01-27 | 2015-08-03 | 株式会社東芝 | Information processing apparatus and information processing program |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101339551B (en) * | 2007-07-05 | 2013-01-30 | 日电(中国)有限公司 | Natural language query demand extension equipment and its method |
| CN101093509B (en) * | 2007-07-18 | 2010-06-16 | 中国科学院计算技术研究所 | Interactive querying system and method |
| JP2010262491A (en) * | 2009-05-08 | 2010-11-18 | Hitachi Ltd | Log aggregation device |
| EP2438542A2 (en) * | 2009-06-05 | 2012-04-11 | West Services, Inc. | Feature engineering and user behavior analysis |
| JP2012208565A (en) * | 2011-03-29 | 2012-10-25 | Sumitomo Electric System Solutions Co Ltd | Log management method, log management device, and program |
| US8776241B2 (en) * | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
| US20140120513A1 (en) * | 2012-10-25 | 2014-05-01 | International Business Machines Corporation | Question and Answer System Providing Indications of Information Gaps |
-
2015
- 2015-09-04 JP JP2015187392A patent/JP6501159B2/en active Active
-
2016
- 2016-06-17 WO PCT/JP2016/068740 patent/WO2017038221A1/en active Application Filing
- 2016-06-17 SG SG11201801619RA patent/SG11201801619RA/en unknown
- 2016-06-17 MY MYPI2018700792A patent/MY189366A/en unknown
- 2016-07-25 TW TW105123384A patent/TWI722001B/en active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008050560A1 (en) * | 2006-10-25 | 2008-05-02 | Sharp Kabushiki Kaisha | Content delivery server, content providing server, content delivery system, content delivery method, content providing method, terminal device, control program and computer readable recording medium |
| JP2011065397A (en) * | 2009-09-17 | 2011-03-31 | Nec Corp | Unauthorized access detection device, unauthorized access detection program, and unauthorized access detecting method |
| JP2012022380A (en) * | 2010-07-12 | 2012-02-02 | Kddi Corp | Log extraction system and program |
| JP2013084212A (en) * | 2011-10-12 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | Log collection system, method, and program |
| JP2013152657A (en) * | 2012-01-26 | 2013-08-08 | Kyocera Document Solutions Inc | Log conversion program, and information processing device |
| JP2013171542A (en) * | 2012-02-22 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Performance analysis device, method for analyzing performance, and performance analysis program |
| JP2014106679A (en) * | 2012-11-27 | 2014-06-09 | Fujitsu Ltd | Sampling program, sampling method, and information processing apparatus |
| JP2015141472A (en) * | 2014-01-27 | 2015-08-03 | 株式会社東芝 | Information processing apparatus and information processing program |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076296A (en) * | 2021-03-30 | 2021-07-06 | 咪咕文化科技有限公司 | Log generation method and device, electronic equipment and storage medium |
| CN113076296B (en) * | 2021-03-30 | 2024-06-07 | 咪咕文化科技有限公司 | Log generation method and device, electronic equipment and storage medium |
| CN113535519A (en) * | 2021-07-27 | 2021-10-22 | 浪潮软件科技有限公司 | Monitoring and alarming method |
| CN113535519B (en) * | 2021-07-27 | 2024-01-30 | 浪潮软件科技有限公司 | Monitoring alarm method |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201801619RA (en) | 2018-03-28 |
| JP6501159B2 (en) | 2019-04-17 |
| JP2017049962A (en) | 2017-03-09 |
| TWI722001B (en) | 2021-03-21 |
| MY189366A (en) | 2022-02-07 |
| TW201719474A (en) | 2017-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hargreaves et al. | An automated timeline reconstruction approach for digital forensic investigations | |
| Krishna et al. | Too much automation? The bellwether effect and its implications for transfer learning | |
| CN101751535B (en) | Data loss protection through application data access classification | |
| CN111680153A (en) | Big data authentication method and system based on knowledge graph | |
| Kim et al. | SoK: A Systematic Review of Insider Threat Detection. | |
| CN106528828A (en) | Multi-dimensional checking rule-based data quality detection method | |
| Choi et al. | Forensic recovery of SQL server database: Practical approach | |
| McDaniel | Data provenance and security | |
| Singh et al. | Sql injection detection and correction using machine learning techniques | |
| KR102509748B1 (en) | System for providing pseudonymization processing service using metadata and deeplearning security control | |
| Astekin et al. | DILAF: a framework for distributed analysis of large‐scale system logs for anomaly detection | |
| CN112291261A (en) | Network security log audit analysis method driven by knowledge graph | |
| Sallam et al. | Result-based detection of insider threats to relational databases | |
| Kumar Raju et al. | Event correlation in cloud: a forensic perspective | |
| Solomon et al. | A knowledge based approach for handling supply chain risk management | |
| CN115796607A (en) | Acquisition terminal security portrait assessment method based on power consumption information analysis | |
| WO2017038221A1 (en) | Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log | |
| CN116662987A (en) | Service system monitoring method, device, computer equipment and storage medium | |
| AfzaliSeresht et al. | An explainable intelligence model for security event analysis | |
| Genga et al. | Towards a systematic process-aware behavioral analysis for security | |
| US8307001B2 (en) | Auditing of curation information | |
| KR101415528B1 (en) | Apparatus and Method for processing data error for distributed system | |
| Didriksen | Forensic analysis of OOXML documents | |
| Li et al. | Graded security forensics readiness of SCADA systems | |
| Portillo-Dominguez et al. | Towards an efficient log data protection in software systems through data minimization and anonymization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 16841253 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 11201801619R Country of ref document: SG |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 16841253 Country of ref document: EP Kind code of ref document: A1 |