ログ管理方法、ログ管理装置、及びプログラム
【課題】ファイル操作に関するログデータのデータ量を削減することが可能なログ管理方法を得る。
【解決手段】ログ管理方法は、ファイル操作のログを管理するログ管理方法であって、(A)所定期間内に操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、(B)ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、を備える。
【解決手段】ログ管理方法は、ファイル操作のログを管理するログ管理方法であって、(A)所定期間内に操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、(B)ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータにおけるファイル操作のログを管理するログ管理方法、ログ管理装置、及びプログラムに関する。
【背景技術】
【0002】
下記特許文献1には、背景技術に係る情報分析システムが開示されている。当該システムにおいて、クライアントコンピュータは、自身におけるファイル操作(移動、印刷、コピー、メール添付)の操作履歴に関する操作履歴データを、通信回線網を介して所定の時間間隔で分析用サーバに送信する。分析用サーバは、受信した操作履歴データを操作履歴データベースに蓄積する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第4490029号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら上記特許文献1に開示されたシステムによると、クライアントコンピュータにおいてデータのバックアップが実行されて大量のファイルのコピーが発生した場合等に、大量の操作履歴データがクライアントコンピュータから分析用サーバに送信され、操作履歴データベースに蓄積される。企業等において多数のクライアントコンピュータがネットワークに接続されている場合には、各クライアントコンピュータの操作履歴データが操作履歴データベースに蓄積されるため、操作履歴データベースに蓄積されるデータ量は膨大なものとなる。また、クライアントコンピュータの使用者や管理者が、操作履歴データベースに蓄積されている操作履歴データを読み出して操作履歴を確認する場合にも、操作履歴データが膨大であるために見通しが悪く、注視すべき操作履歴を見落としてしまう可能性がある。
【0005】
本発明はかかる事情に鑑みて成されたものであり、ファイル操作に関するログデータのデータ量を削減することが可能な、ログ管理方法、ログ管理装置、及びプログラムを得ることを目的とするものである。
【課題を解決するための手段】
【0006】
本発明の第1の態様に係るログ管理方法は、ファイル操作のログを管理するログ管理方法であって、(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、を備えることを特徴とするものである。
【0007】
第1の態様に係るログ管理方法によれば、ログデータに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【0008】
本発明の第2の態様に係るログ管理方法は、第1の態様に係るログ管理方法において特に、前記ステップ(B)におけるログイベントの集約は、同一の又は関連するプロセス別に行われることを特徴とするものである。
【0009】
第2の態様に係るログ管理方法によれば、ログイベントの集約は、同一の又は関連するプロセス別に行われる。従って、プロセス同士の関連性が低い複数のログイベントが同一のグループに集約されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0010】
本発明の第3の態様に係るログ管理方法は、第1又は第2の態様に係るログ管理方法において特に、前記ステップ(B)は、(B−1)前記ログデータに記録されている複数のログイベントの各々について、一の代表フォルダを特定するステップと、(B−2)前記ログデータに記録されている複数のログイベントのうち、前記代表フォルダが共通する二以上のログイベントを、同一のグループとして集約するステップと、を有することを特徴とするものである。
【0011】
第3の態様に係るログ管理方法によれば、複数のログイベントの各々について一の代表フォルダを特定し、代表フォルダが共通する二以上のログイベントを同一のグループとして集約する。これにより、代表フォルダ以下の複数のフォルダへのアクセスを示す複数のログイベントを、代表フォルダへのアクセスを示すログイベントとして集約することが可能となる。
【0012】
本発明の第4の態様に係るログ管理方法は、第3の態様に係るログ管理方法において特に、前記代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択されることを特徴とするものである。
【0013】
第4の態様に係るログ管理方法によれば、代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択される。従って、ログイベントのパス情報に含まれない無関係のフォルダが当該ログイベントの代表フォルダとして選択されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0014】
本発明の第5の態様に係るログ管理方法は、第4の態様に係るログ管理方法において特に、前記代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標に基づいて選択されることを特徴とするものである。
【0015】
第5の態様に係るログ管理方法によれば、代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標(例えば重み)に基づいて選択される。これにより、ユーザが行った作業の場所として特徴的なフォルダを代表フォルダとして選択することができるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0016】
本発明の第6の態様に係るログ管理方法は、第5の態様に係るログ管理方法において特に、前記指標としては、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが前記代表フォルダとして選択されるような指標が用いられることを特徴とするものである。
【0017】
第6の態様に係るログ管理方法によれば、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが代表フォルダとして選択されるような指標が用いられる。従って、ログイベント毎に最適な代表フォルダを選択することが可能となる。
【0018】
本発明の第7の態様に係るログ管理方法は、第5又は第6の態様に係るログ管理方法において特に、パス情報に記述されている複数のフォルダの中に、前記指標の値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが前記代表フォルダとして選択されることを特徴とするものである。
【0019】
第7の態様に係るログ管理方法によれば、パス情報に記述されている複数のフォルダの中に、指標の値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが代表フォルダとして選択される。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、当該二以上のフォルダのうち最下層のフォルダを代表フォルダとして選択することにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0020】
本発明の第8の態様に係るログ管理方法は、第3〜第7のいずれか一つの態様に係るログ管理方法において特に、(C)第1のフォルダを代表フォルダとする第1のグループと、当該第1のフォルダとの間のハミング距離が所定値以下である第2のフォルダを代表フォルダとする第2のグループとを、第3のグループとして集約するステップをさらに備えることを特徴とするものである。
【0021】
第8の態様に係るログ管理方法によれば、第1のフォルダを代表フォルダとする第1のグループと、当該第1のフォルダとの間のハミング距離が所定値以下である第2のフォルダを代表フォルダとする第2のグループとが、第3のグループとして集約される。このように、複数のグループを新たなグループにさらに集約することにより、ログデータのデータ量をさらに削減することが可能となる。
【0022】
本発明の第9の態様に係るログ管理方法は、第8の態様に係るログ管理方法において特に、前記ステップ(C)は、前記ステップ(B)によって集約されたグループ数が所定の上限値を超える場合に実行されることを特徴とするものである。
【0023】
第9の態様に係るログ管理方法によれば、複数のグループから一の新たなグループへの集約は、グループ数が所定の上限値を超える場合に実行される。このように、グループ数が所定の上限値を超えている場合にはグループ同士の集約を行うことにより、グループ数を上限値以下に抑えることが可能となる。
【0024】
本発明の第10の態様に係るログ管理方法は、第9の態様に係るログ管理方法において特に、前記第1のフォルダの上層フォルダと前記第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、前記第3のグループの代表フォルダとして割り当てられることを特徴とするものである。
【0025】
第10の態様に係るログ管理方法によれば、第1のフォルダの上層フォルダと第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、第3のグループの代表フォルダとして割り当てられる。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、第1のフォルダの上層フォルダと第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダを、第3のグループの代表フォルダとして割り当てることにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0026】
本発明の第11の態様に係るログ管理装置は、ファイル操作のログを管理するログ管理装置であって、操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得する取得部と、前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループに集約する集約処理部と、を備えることを特徴とするものである。
【0027】
第11の態様に係るログ管理装置によれば、ログデータに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【0028】
本発明の第12の態様に係るプログラムは、ファイル操作のログを管理するログ管理装置に搭載されるコンピュータに、(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、を実行させるためのプログラムである。
【0029】
第12の態様に係るプログラムによれば、ログデータに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【発明の効果】
【0030】
本発明によれば、ファイル操作に関するログデータのデータ量を削減することが可能となる。
【図面の簡単な説明】
【0031】
【図1】本発明の実施の形態に係るログ管理システムの全体構成を簡略化して示す図である。
【図2】コンピュータのハードウェア構成を示す図である。
【図3】ログデータの一例を示す図である。
【図4】コンピュータにおけるフォルダ構造の一例を簡略化して示す図である。
【図5】プログラムを実行することによって処理部に実現される機能を示すブロック図である。
【図6】集約処理手段を具体的に示すブロック図である。
【図7】取得手段及び集約処理手段によって実行される処理の流れを示すフローチャートである。
【図8】ログデータの一例を示す図である。
【発明を実施するための形態】
【0032】
以下、本発明の実施の形態について、図面を用いて詳細に説明する。なお、異なる図面において同一の符号を付した要素は、同一又は相応する要素を示すものとする。
【0033】
図1は、本発明の実施の形態に係るログ管理システム1の全体構成を簡略化して示す図である。ログ管理システム1は、例えば企業内のコンピュータネットワークに適用される。図1の接続関係で示すように、ログ管理システム1は、サーバ装置2と、ユーザが使用するクライアントコンピュータとしてのコンピュータ3と、専用網やIP(Internet Protocol)網等の通信ネットワーク4とを備えて構成されている。サーバ装置2及びコンピュータ3は、通信ネットワーク4を介して相互にデータ通信が可能である。
【0034】
図2は、コンピュータ3のハードウェア構成を示す図である。図2の接続関係で示すように、コンピュータ3は、CPU(Central Processing Unit)等の処理部11と、液晶ディスプレイ等の表示部12と、通信ネットワーク4を介してデータ通信を行うための通信部13と、半導体メモリやハードディスク等の記憶部14と、マウスやキーボード等の入力部15とを備えて構成されている。記憶部14には、クライアントプログラムとしてのプログラム20と、コンピュータ3におけるファイル操作(フォルダ操作を含む)の操作履歴であるログを記録したログデータ21とが記憶されている。
【0035】
図3は、ログデータ21Aの一例を示す図である。ユーザがコンピュータ3を用いてファイル操作を行うと、1回のファイル操作に対して1個のログイベント50がログデータ21Aに記録される。従って、例えば1000回のファイル操作が行われると、1000個のログイベント50が記録されたログデータ21Aが作成される。
【0036】
図3に例示したログデータ21Aには、操作日時、操作内容、ファイルパス、プログラムパス、及びプロセスIDの項目が含まれる。但し、これ以外の項目が含まれていてもよい。
【0037】
操作日時の項目には、ユーザがファイル操作を行った日時等の時刻情報が記述される。
【0038】
操作内容の項目には、ファイル作成、ファイル更新、ファイル削除、ファイルリネーム、ファイルコピー、フォルダ作成、フォルダ削除、フォルダリネーム、フォルダコピー等の事象が記述される。
【0039】
ファイルパスの項目には、操作対象となったファイルに関するコンピュータ3内の絶対パスが記述される。
【0040】
プログラムパスの項目には、ファイルを操作したプログラムに関するコンピュータ3内の絶対パスが記述される。
【0041】
プロセスIDの項目には、ファイルを操作したプログラムプロセスに関するID(OSから割り当てられたもの)が記述される。
【0042】
図4は、コンピュータ3におけるフォルダ構造の一例を簡略化して示す図である。コンピュータ3のCドライブに、フォルダ名が「aaa」のフォルダFa、フォルダ名が「bbb」のフォルダFb、フォルダ名が「ccc」のフォルダFc、フォルダ名が「ddd」のフォルダFd、フォルダ名が「eee」のフォルダFe、フォルダ名が「fff」のフォルダFf、フォルダ名が「ggg」のフォルダFg、及びフォルダ名が「hhh」のフォルダFhを含む階層構造が構築されている。フォルダFaはフォルダFbに対する親フォルダであり、フォルダFbはフォルダFc,Ffに対する親フォルダであり、フォルダFcはフォルダFd,Feに対する親フォルダであり、フォルダFfはフォルダFg,Fhに対する親フォルダである。フォルダFcにはファイルX1が保存されており、フォルダFdにはファイルX2が保存されており、フォルダFeにはファイルX3が保存されており、フォルダFgにはファイルX4が保存されており、フォルダFhにはファイルX5,X6が保存されている。
【0043】
図5は、プログラム20を実行することによって処理部11に実現される機能を示すブロック図である。図5に示すように処理部11は、取得手段31及び集約処理手段32を有する。換言すれば、プログラム20は、ログ管理装置に搭載されるコンピュータを、取得手段31及び集約処理手段32として機能させるためのプログラムである。
【0044】
図6は、集約処理手段32を具体的に示すブロック図である。図6に示すように集約処理手段32は、分類部40、算出部41、選択部42、集約部43、合併部44、及び書換部45を有する。
【0045】
図7は、取得手段31及び集約処理手段32によって実行される処理の流れを示すフローチャートである。
【0046】
まずステップT01において取得手段31は、記憶部14からログデータ21Aを読み出すことによってログデータ21Aを取得する。取得手段31は、ログデータ21Aを集約処理手段32に入力する。
【0047】
次にステップT02において分類部40は、ログデータ21Aに記録されている複数のログイベント50をプロセス別の区分に分類する。その際、分類部40は、ログデータ21A内のプログラムパス及びプロセスIDの組合せ(プロセス情報)によってプロセスを識別する。なお、プロセス情報が互いに異なるプロセスであっても、共通のファイルを同時に処理する等のように複数のプロセスが互いに関連する場合には、これらのプロセスが同一区分に分類されるように予め関連付けておいてもよい。また、プログラムパス又はプロセスIDが記述されていない(つまり空文字である)ログイベントについては、空文字のプロセスとして「その他」の区分に分類する。また、所定の期間単位(1日単位、半日単位、3時間単位等)に分割してログイベント50の分類を行ってもよい。この場合、同一プロセスによる同一ファイルの操作に基づくログイベントであっても、期間単位が異なれば別プロセスの区分に分類される。
【0048】
次にステップT03において算出部41は、あるプロセス(着目プロセス)の区分に分類された各ログイベント50について、フォルダの重みを算出する。具体的には以下のとおりである。なお、重みは、プロセスからフォルダへのアクセス数に応じて求まる指標の一つである。
【0049】
まず、各ログイベント50のファイルパス(絶対パス)を、フォルダ階層ごとに分類する。例えば、図4に示したファイルX2のファイルパスが「C:\aaa\bbb\ccc\ddd\X2」である場合には、当該ファイルパスを「C:」「C:\aaa」「C:\aaa\bbb」「C:\aaa\bbb\ccc」「C:\aaa\bbb\ccc\ddd」に分類する。なお、ファイルパスが記述されていない(つまり空文字である)ログイベントについては、上記と同様に「その他」の区分に分類する。
【0050】
次に、フォルダ階層ごとに分類した複数のフォルダの各々について、ログデータ21A内に出現する全てのプロセスのうち自フォルダが1回以上出現したプロセス数pdfiを求める。ここで、添え字「i」はフォルダを識別する番号又は符号である。例えば、フォルダFcが1つのプロセスP1に関するログイベント50のみに出現する場合にはpdfFc=1となり、2つのプロセスP1,P2に関するログイベント50に出現する場合にはpdfFc=2となる。なお、過去に作成した一以上のログデータにおける算出値を用いてもよい。
【0051】
次に、フォルダ階層ごとに分類した複数のフォルダの各々について、着目プロセスに関する全ログイベント50内に出現した総出現数dfi,jを求める。ここで、添え字「j」はプロセスを識別する番号又は符号である。例えば、フォルダFeがプロセスP1に関する10個のログイベント50に出現した場合にはdfFe,P1=10となり、20個のログイベント50に出現した場合にはdfFe,P1=20となる。
【0052】
次に、フォルダ階層ごとに分類した複数のフォルダの各々について、以下の式(1)で表される重みdwi,jを求める。式(1)における「np」は、ログデータ21A内に出現するプロセスの総数である。なお、所定の期間単位に分割してログイベント50の分類を行う場合には、「np」は分割された範囲内でのプロセスの総数となる。また、過去に作成した一以上のログデータを利用する場合には、「np」は当該ログデータ内に出現するプロセスの総数となる。
【0053】
【数1】
【0054】
式(1)から明らかなように、対象となる着目プロセスからのアクセス数が大きい(つまりdfi,jが大きい)ほど、また、他のプロセスからのアクセス数が小さい(つまりpdfiが小さい)ほど、重みdwi,jの値は大きくなる。
【0055】
ステップT03に引き続き、次にステップT04において選択部42は、各ログイベント50について、重みdwi,jが最も大きいフォルダを代表フォルダとして選択する。その際、重みdwi,jが最も大きいフォルダが複数存在する場合には、その中で最深のフォルダを代表フォルダとして選択する。例えば、プロセスP1によるファイルX2の操作に基づくログイベント50に関しては、フォルダFaの重みdwFa,P1と、フォルダFbの重みdwFb,P1と、フォルダFcの重みdwFc,P1と、フォルダFdの重みdwFd,P1とを比較し、値が最も大きいフォルダを当該ログイベント50に関する代表フォルダとして選択する。また、例えばフォルダFbの重みdwFb,P1とフォルダFcの重みdwFc,P1とが最も大きい場合には、最深のフォルダFcを代表フォルダとして選択する。なお、重みdwi,jが最も大きいフォルダが複数存在する場合に、その中で最浅のフォルダを代表フォルダとして選択してもよい。これにより、ログイベントの代表フォルダが重複しやすくなるため、グループ化を促進することができる。
【0056】
次にステップT05において集約部43は、ログデータ21Aに記録されている複数のログイベント50を、代表フォルダが共通するログイベント同士でグループ化することにより、一又は複数のグループに集約する。換言すれば、ログデータ21Aに記録されている複数のログイベント50を、ログイベント間の関連性に基づいて一又は複数のグループに集約する。つまり、代表フォルダが共通するログイベント同士は関連性を有しており(あるいは関連性が高く)、代表フォルダが共通しないログイベント同士は関連性を有していない(あるいは関連性が低い)ということである。例えば、プロセスP1によるファイルX1,X2,X3の操作に基づくログイベント50の代表フォルダがいずれもフォルダFcである場合には、これらのログイベント50を、フォルダFcを代表フォルダとするグループに集約する。また例えば、プロセスP1によるファイルX4,X5,X6の操作に基づくログイベント50の代表フォルダがいずれもフォルダFfである場合には、これらのログイベント50を、フォルダFfを代表フォルダとするグループに集約する。
【0057】
以上のステップT03〜T05の処理は、ログデータ21A内に出現する全てのプロセスに関して順に実行される。
【0058】
全てのプロセスに関する処理が完了すると(つまりステップT06が「NO」)、次にステップT07において合併部44は、集約後のグループ数が所定の上限値以下であるか否かを判定する。上限値は、例えば、記憶部14の全記憶容量のうちログデータ21の記憶領域として割り当てられている領域のサイズに応じて設定される。そして、グループ数が上限値を超えている場合(つまりステップT07が「NO」)には、次にステップT08において合併部44は、複数のグループの合併処理を行う。具体的には以下のとおりである。
【0059】
まず、全ての代表フォルダのうち、重みdwi,jが最も小さい代表フォルダ(第1フォルダ)を選択する。なお、重みdwi,jが最も小さい代表フォルダが複数存在する場合には、その中で最深の代表フォルダを選択する。
【0060】
次に、選択した代表フォルダとの間のハミング距離が最も小さい別の代表フォルダ(第2フォルダ)を特定する。なお、ハミング距離が最も小さい代表フォルダが複数存在する場合には、その中で最深の代表フォルダを選択する。
【0061】
次に、第1フォルダを代表フォルダとするグループ(第1グループ)と、第2フォルダを代表フォルダとするグループ(第2グループ)とを合併することにより、これらのグループを第3グループとして集約する。また、第1フォルダの先祖フォルダと第2フォルダの先祖フォルダとで共通する一以上のフォルダのうち、最深のフォルダを、第3グループの代表フォルダとして割り当てる。ここで「先祖フォルダ」とは、あるフォルダの絶対パス内において当該フォルダより上層のフォルダを意味する。
【0062】
例えば、重みdwi,jが最も小さい代表フォルダがフォルダFcであり、フォルダFcとの間のハミング距離が最も小さい代表フォルダがフォルダFfである場合には、フォルダFcを代表フォルダとするグループと、フォルダFfを代表フォルダとするグループとを合併する。そして、合併後の新たなグループの代表フォルダとして、フォルダFbを割り当てる。
【0063】
グループの合併処理は、グループ数が上記の上限値以下(つまりステップT07が「YES」)となるまで繰り返される。
【0064】
次にステップT09において書換部45は、ログデータ21Aを新たなログデータ21Bに書き換える。図8は、ログデータ21Bの一例を示す図である。ログデータ21Bでは、ログデータ21Aにおけるグループ内の複数のファイル操作に関する複数のログイベントが、そのグループの代表フォルダに対する1個のログイベントとして記述される。例えば、ログデータ21AにおけるファイルX1,X2,X3の更新に関する3個のログイベントは、ログデータ21Bでは、代表フォルダFcのファイル操作という1個のログイベントとして記述される。
【0065】
図8に例示したログデータ21Bには、最終操作日時、操作内容内訳、フォルダパス、プログラムパス、及びプロセスIDの項目が含まれる。
【0066】
最終操作日時の項目には、グループ内のファイルやフォルダに関して、ユーザが何らかの操作を行った最終日時等の時刻情報が記述される。
【0067】
操作内容内訳の項目には、グループ内のファイルやフォルダに関して、ファイル作成、ファイル更新、ファイル削除、ファイルリネーム、ファイルコピー、フォルダ作成、フォルダ削除、フォルダリネーム、フォルダコピー等の事象の内訳(回数、割合等)が記述される。
【0068】
フォルダパスの項目には、各グループの代表フォルダに関するコンピュータ3内の絶対パスが記述される。
【0069】
プログラムパスの項目には、ファイルを操作したプログラムに関するコンピュータ3内の絶対パスが記述される。
【0070】
プロセスIDの項目には、ファイルを操作したプログラムプロセスに関するID(OSから割り当てられたもの)が記述される。
【0071】
記憶部14に記憶されていた集約前のログデータ21Aが、集約後の新たなログデータ21Bに書き換えられることにより、集約処理手段32による処理は終了する。
【0072】
ログデータ21Bは、コンピュータ3において定期的(例えば1日1回)に作成されて、あるいは、ユーザ又はサーバ装置2からの作成命令に応じて作成されて、コンピュータ3から通信ネットワーク4を介してサーバ装置2に送信される。そして、サーバ装置2は、受信したログデータ21Bを蓄積する。
【0073】
なお、コンピュータ3は、ログデータ21Bの作成後もログデータ21Aを破棄せず保持してもよい。また、ログデータ21Bと併せてログデータ21Aをサーバ装置2に送信してもよい。ログデータ21Bはいわばログデータ21Aのダイジェスト版であり、データ量の削減の観点からは有利であるが、情報の詳細性はログデータ21Aより低い。従って、ログデータ21A,21Bの双方を保持することによって、操作履歴の簡易な検索等はログデータ21Bを用いて行い、詳細な解析等はログデータ21Aを用いて行うというような用途に利用できる。
【0074】
また、コンピュータ3からサーバ装置2にログデータ21Aを送信し、サーバ装置2がログデータ21Aに基づいてログデータ21Bを作成してもよい。サーバ装置2は、ログデータ21Bの作成後に、ログデータ21Aを破棄してもよいし、破棄せず保持してもよい。
【0075】
このように本実施の形態に係るログ管理方法によれば、ログデータ21Aに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【0076】
また、本実施の形態に係るログ管理方法によれば、ログイベントの集約は、同一の又は関連するプロセス別に行われる。従って、プロセス同士の関連性が低い複数のログイベントが同一のグループに集約されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0077】
また、本実施の形態に係るログ管理方法によれば、複数のログイベントの各々について一の代表フォルダを特定し、代表フォルダが共通する二以上のログイベントを同一のグループとして集約する。これにより、代表フォルダ以下の複数のフォルダへのアクセスを示す複数のログイベントを、代表フォルダへのアクセスを示すログイベントとして集約することが可能となる。
【0078】
また、本実施の形態に係るログ管理方法によれば、代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択される。従って、ログイベントのパス情報に含まれない無関係のフォルダが当該ログイベントの代表フォルダとして選択されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0079】
また、本実施の形態に係るログ管理方法によれば、代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標に基づいて選択される。これにより、ユーザが行った作業の場所として特徴的なフォルダを代表フォルダとして選択することができるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0080】
また、本実施の形態に係るログ管理方法によれば、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが代表フォルダとして選択されるような指標(重み)が用いられる。従って、ログイベント毎に最適な代表フォルダを選択することが可能となる。
【0081】
また、本実施の形態に係るログ管理方法によれば、パス情報に記述されている複数のフォルダの中に、重みの値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが代表フォルダとして選択される。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、当該二以上のフォルダのうち最下層のフォルダを代表フォルダとして選択することにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0082】
また、本実施の形態に係るログ管理方法によれば、第1フォルダを代表フォルダとする第1グループと、当該第1フォルダとの間のハミング距離が所定値以下である第2フォルダを代表フォルダとする第2グループとが、第3グループとして集約される。このように、複数のグループを新たなグループにさらに集約することにより、ログデータのデータ量をさらに削減することが可能となる。
【0083】
また、本実施の形態に係るログ管理方法によれば、複数のグループから一の新たなグループへの集約は、グループ数が所定の上限値を超える場合に実行される。このように、グループ数が所定の上限値を超えている場合にはグループ同士の集約を行うことにより、グループ数を上限値以下に抑えることが可能となる。
【0084】
また、本実施の形態に係るログ管理方法によれば、第1フォルダの上層フォルダと第2フォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、第3グループの代表フォルダとして割り当てられる。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、第1フォルダの上層フォルダと第2フォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダを、第3グループの代表フォルダとして割り当てることにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0085】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0086】
3 コンピュータ
11 処理部
14 記憶部
20 プログラム
21,21A,21B ログデータ
31 取得手段
32 集約処理手段
40 分類部
41 算出部
42 選択部
43 集約部
44 合併部
45 書換部
【技術分野】
【0001】
本発明は、コンピュータにおけるファイル操作のログを管理するログ管理方法、ログ管理装置、及びプログラムに関する。
【背景技術】
【0002】
下記特許文献1には、背景技術に係る情報分析システムが開示されている。当該システムにおいて、クライアントコンピュータは、自身におけるファイル操作(移動、印刷、コピー、メール添付)の操作履歴に関する操作履歴データを、通信回線網を介して所定の時間間隔で分析用サーバに送信する。分析用サーバは、受信した操作履歴データを操作履歴データベースに蓄積する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第4490029号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら上記特許文献1に開示されたシステムによると、クライアントコンピュータにおいてデータのバックアップが実行されて大量のファイルのコピーが発生した場合等に、大量の操作履歴データがクライアントコンピュータから分析用サーバに送信され、操作履歴データベースに蓄積される。企業等において多数のクライアントコンピュータがネットワークに接続されている場合には、各クライアントコンピュータの操作履歴データが操作履歴データベースに蓄積されるため、操作履歴データベースに蓄積されるデータ量は膨大なものとなる。また、クライアントコンピュータの使用者や管理者が、操作履歴データベースに蓄積されている操作履歴データを読み出して操作履歴を確認する場合にも、操作履歴データが膨大であるために見通しが悪く、注視すべき操作履歴を見落としてしまう可能性がある。
【0005】
本発明はかかる事情に鑑みて成されたものであり、ファイル操作に関するログデータのデータ量を削減することが可能な、ログ管理方法、ログ管理装置、及びプログラムを得ることを目的とするものである。
【課題を解決するための手段】
【0006】
本発明の第1の態様に係るログ管理方法は、ファイル操作のログを管理するログ管理方法であって、(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、を備えることを特徴とするものである。
【0007】
第1の態様に係るログ管理方法によれば、ログデータに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【0008】
本発明の第2の態様に係るログ管理方法は、第1の態様に係るログ管理方法において特に、前記ステップ(B)におけるログイベントの集約は、同一の又は関連するプロセス別に行われることを特徴とするものである。
【0009】
第2の態様に係るログ管理方法によれば、ログイベントの集約は、同一の又は関連するプロセス別に行われる。従って、プロセス同士の関連性が低い複数のログイベントが同一のグループに集約されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0010】
本発明の第3の態様に係るログ管理方法は、第1又は第2の態様に係るログ管理方法において特に、前記ステップ(B)は、(B−1)前記ログデータに記録されている複数のログイベントの各々について、一の代表フォルダを特定するステップと、(B−2)前記ログデータに記録されている複数のログイベントのうち、前記代表フォルダが共通する二以上のログイベントを、同一のグループとして集約するステップと、を有することを特徴とするものである。
【0011】
第3の態様に係るログ管理方法によれば、複数のログイベントの各々について一の代表フォルダを特定し、代表フォルダが共通する二以上のログイベントを同一のグループとして集約する。これにより、代表フォルダ以下の複数のフォルダへのアクセスを示す複数のログイベントを、代表フォルダへのアクセスを示すログイベントとして集約することが可能となる。
【0012】
本発明の第4の態様に係るログ管理方法は、第3の態様に係るログ管理方法において特に、前記代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択されることを特徴とするものである。
【0013】
第4の態様に係るログ管理方法によれば、代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択される。従って、ログイベントのパス情報に含まれない無関係のフォルダが当該ログイベントの代表フォルダとして選択されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0014】
本発明の第5の態様に係るログ管理方法は、第4の態様に係るログ管理方法において特に、前記代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標に基づいて選択されることを特徴とするものである。
【0015】
第5の態様に係るログ管理方法によれば、代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標(例えば重み)に基づいて選択される。これにより、ユーザが行った作業の場所として特徴的なフォルダを代表フォルダとして選択することができるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0016】
本発明の第6の態様に係るログ管理方法は、第5の態様に係るログ管理方法において特に、前記指標としては、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが前記代表フォルダとして選択されるような指標が用いられることを特徴とするものである。
【0017】
第6の態様に係るログ管理方法によれば、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが代表フォルダとして選択されるような指標が用いられる。従って、ログイベント毎に最適な代表フォルダを選択することが可能となる。
【0018】
本発明の第7の態様に係るログ管理方法は、第5又は第6の態様に係るログ管理方法において特に、パス情報に記述されている複数のフォルダの中に、前記指標の値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが前記代表フォルダとして選択されることを特徴とするものである。
【0019】
第7の態様に係るログ管理方法によれば、パス情報に記述されている複数のフォルダの中に、指標の値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが代表フォルダとして選択される。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、当該二以上のフォルダのうち最下層のフォルダを代表フォルダとして選択することにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0020】
本発明の第8の態様に係るログ管理方法は、第3〜第7のいずれか一つの態様に係るログ管理方法において特に、(C)第1のフォルダを代表フォルダとする第1のグループと、当該第1のフォルダとの間のハミング距離が所定値以下である第2のフォルダを代表フォルダとする第2のグループとを、第3のグループとして集約するステップをさらに備えることを特徴とするものである。
【0021】
第8の態様に係るログ管理方法によれば、第1のフォルダを代表フォルダとする第1のグループと、当該第1のフォルダとの間のハミング距離が所定値以下である第2のフォルダを代表フォルダとする第2のグループとが、第3のグループとして集約される。このように、複数のグループを新たなグループにさらに集約することにより、ログデータのデータ量をさらに削減することが可能となる。
【0022】
本発明の第9の態様に係るログ管理方法は、第8の態様に係るログ管理方法において特に、前記ステップ(C)は、前記ステップ(B)によって集約されたグループ数が所定の上限値を超える場合に実行されることを特徴とするものである。
【0023】
第9の態様に係るログ管理方法によれば、複数のグループから一の新たなグループへの集約は、グループ数が所定の上限値を超える場合に実行される。このように、グループ数が所定の上限値を超えている場合にはグループ同士の集約を行うことにより、グループ数を上限値以下に抑えることが可能となる。
【0024】
本発明の第10の態様に係るログ管理方法は、第9の態様に係るログ管理方法において特に、前記第1のフォルダの上層フォルダと前記第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、前記第3のグループの代表フォルダとして割り当てられることを特徴とするものである。
【0025】
第10の態様に係るログ管理方法によれば、第1のフォルダの上層フォルダと第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、第3のグループの代表フォルダとして割り当てられる。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、第1のフォルダの上層フォルダと第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダを、第3のグループの代表フォルダとして割り当てることにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0026】
本発明の第11の態様に係るログ管理装置は、ファイル操作のログを管理するログ管理装置であって、操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得する取得部と、前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループに集約する集約処理部と、を備えることを特徴とするものである。
【0027】
第11の態様に係るログ管理装置によれば、ログデータに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【0028】
本発明の第12の態様に係るプログラムは、ファイル操作のログを管理するログ管理装置に搭載されるコンピュータに、(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、を実行させるためのプログラムである。
【0029】
第12の態様に係るプログラムによれば、ログデータに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【発明の効果】
【0030】
本発明によれば、ファイル操作に関するログデータのデータ量を削減することが可能となる。
【図面の簡単な説明】
【0031】
【図1】本発明の実施の形態に係るログ管理システムの全体構成を簡略化して示す図である。
【図2】コンピュータのハードウェア構成を示す図である。
【図3】ログデータの一例を示す図である。
【図4】コンピュータにおけるフォルダ構造の一例を簡略化して示す図である。
【図5】プログラムを実行することによって処理部に実現される機能を示すブロック図である。
【図6】集約処理手段を具体的に示すブロック図である。
【図7】取得手段及び集約処理手段によって実行される処理の流れを示すフローチャートである。
【図8】ログデータの一例を示す図である。
【発明を実施するための形態】
【0032】
以下、本発明の実施の形態について、図面を用いて詳細に説明する。なお、異なる図面において同一の符号を付した要素は、同一又は相応する要素を示すものとする。
【0033】
図1は、本発明の実施の形態に係るログ管理システム1の全体構成を簡略化して示す図である。ログ管理システム1は、例えば企業内のコンピュータネットワークに適用される。図1の接続関係で示すように、ログ管理システム1は、サーバ装置2と、ユーザが使用するクライアントコンピュータとしてのコンピュータ3と、専用網やIP(Internet Protocol)網等の通信ネットワーク4とを備えて構成されている。サーバ装置2及びコンピュータ3は、通信ネットワーク4を介して相互にデータ通信が可能である。
【0034】
図2は、コンピュータ3のハードウェア構成を示す図である。図2の接続関係で示すように、コンピュータ3は、CPU(Central Processing Unit)等の処理部11と、液晶ディスプレイ等の表示部12と、通信ネットワーク4を介してデータ通信を行うための通信部13と、半導体メモリやハードディスク等の記憶部14と、マウスやキーボード等の入力部15とを備えて構成されている。記憶部14には、クライアントプログラムとしてのプログラム20と、コンピュータ3におけるファイル操作(フォルダ操作を含む)の操作履歴であるログを記録したログデータ21とが記憶されている。
【0035】
図3は、ログデータ21Aの一例を示す図である。ユーザがコンピュータ3を用いてファイル操作を行うと、1回のファイル操作に対して1個のログイベント50がログデータ21Aに記録される。従って、例えば1000回のファイル操作が行われると、1000個のログイベント50が記録されたログデータ21Aが作成される。
【0036】
図3に例示したログデータ21Aには、操作日時、操作内容、ファイルパス、プログラムパス、及びプロセスIDの項目が含まれる。但し、これ以外の項目が含まれていてもよい。
【0037】
操作日時の項目には、ユーザがファイル操作を行った日時等の時刻情報が記述される。
【0038】
操作内容の項目には、ファイル作成、ファイル更新、ファイル削除、ファイルリネーム、ファイルコピー、フォルダ作成、フォルダ削除、フォルダリネーム、フォルダコピー等の事象が記述される。
【0039】
ファイルパスの項目には、操作対象となったファイルに関するコンピュータ3内の絶対パスが記述される。
【0040】
プログラムパスの項目には、ファイルを操作したプログラムに関するコンピュータ3内の絶対パスが記述される。
【0041】
プロセスIDの項目には、ファイルを操作したプログラムプロセスに関するID(OSから割り当てられたもの)が記述される。
【0042】
図4は、コンピュータ3におけるフォルダ構造の一例を簡略化して示す図である。コンピュータ3のCドライブに、フォルダ名が「aaa」のフォルダFa、フォルダ名が「bbb」のフォルダFb、フォルダ名が「ccc」のフォルダFc、フォルダ名が「ddd」のフォルダFd、フォルダ名が「eee」のフォルダFe、フォルダ名が「fff」のフォルダFf、フォルダ名が「ggg」のフォルダFg、及びフォルダ名が「hhh」のフォルダFhを含む階層構造が構築されている。フォルダFaはフォルダFbに対する親フォルダであり、フォルダFbはフォルダFc,Ffに対する親フォルダであり、フォルダFcはフォルダFd,Feに対する親フォルダであり、フォルダFfはフォルダFg,Fhに対する親フォルダである。フォルダFcにはファイルX1が保存されており、フォルダFdにはファイルX2が保存されており、フォルダFeにはファイルX3が保存されており、フォルダFgにはファイルX4が保存されており、フォルダFhにはファイルX5,X6が保存されている。
【0043】
図5は、プログラム20を実行することによって処理部11に実現される機能を示すブロック図である。図5に示すように処理部11は、取得手段31及び集約処理手段32を有する。換言すれば、プログラム20は、ログ管理装置に搭載されるコンピュータを、取得手段31及び集約処理手段32として機能させるためのプログラムである。
【0044】
図6は、集約処理手段32を具体的に示すブロック図である。図6に示すように集約処理手段32は、分類部40、算出部41、選択部42、集約部43、合併部44、及び書換部45を有する。
【0045】
図7は、取得手段31及び集約処理手段32によって実行される処理の流れを示すフローチャートである。
【0046】
まずステップT01において取得手段31は、記憶部14からログデータ21Aを読み出すことによってログデータ21Aを取得する。取得手段31は、ログデータ21Aを集約処理手段32に入力する。
【0047】
次にステップT02において分類部40は、ログデータ21Aに記録されている複数のログイベント50をプロセス別の区分に分類する。その際、分類部40は、ログデータ21A内のプログラムパス及びプロセスIDの組合せ(プロセス情報)によってプロセスを識別する。なお、プロセス情報が互いに異なるプロセスであっても、共通のファイルを同時に処理する等のように複数のプロセスが互いに関連する場合には、これらのプロセスが同一区分に分類されるように予め関連付けておいてもよい。また、プログラムパス又はプロセスIDが記述されていない(つまり空文字である)ログイベントについては、空文字のプロセスとして「その他」の区分に分類する。また、所定の期間単位(1日単位、半日単位、3時間単位等)に分割してログイベント50の分類を行ってもよい。この場合、同一プロセスによる同一ファイルの操作に基づくログイベントであっても、期間単位が異なれば別プロセスの区分に分類される。
【0048】
次にステップT03において算出部41は、あるプロセス(着目プロセス)の区分に分類された各ログイベント50について、フォルダの重みを算出する。具体的には以下のとおりである。なお、重みは、プロセスからフォルダへのアクセス数に応じて求まる指標の一つである。
【0049】
まず、各ログイベント50のファイルパス(絶対パス)を、フォルダ階層ごとに分類する。例えば、図4に示したファイルX2のファイルパスが「C:\aaa\bbb\ccc\ddd\X2」である場合には、当該ファイルパスを「C:」「C:\aaa」「C:\aaa\bbb」「C:\aaa\bbb\ccc」「C:\aaa\bbb\ccc\ddd」に分類する。なお、ファイルパスが記述されていない(つまり空文字である)ログイベントについては、上記と同様に「その他」の区分に分類する。
【0050】
次に、フォルダ階層ごとに分類した複数のフォルダの各々について、ログデータ21A内に出現する全てのプロセスのうち自フォルダが1回以上出現したプロセス数pdfiを求める。ここで、添え字「i」はフォルダを識別する番号又は符号である。例えば、フォルダFcが1つのプロセスP1に関するログイベント50のみに出現する場合にはpdfFc=1となり、2つのプロセスP1,P2に関するログイベント50に出現する場合にはpdfFc=2となる。なお、過去に作成した一以上のログデータにおける算出値を用いてもよい。
【0051】
次に、フォルダ階層ごとに分類した複数のフォルダの各々について、着目プロセスに関する全ログイベント50内に出現した総出現数dfi,jを求める。ここで、添え字「j」はプロセスを識別する番号又は符号である。例えば、フォルダFeがプロセスP1に関する10個のログイベント50に出現した場合にはdfFe,P1=10となり、20個のログイベント50に出現した場合にはdfFe,P1=20となる。
【0052】
次に、フォルダ階層ごとに分類した複数のフォルダの各々について、以下の式(1)で表される重みdwi,jを求める。式(1)における「np」は、ログデータ21A内に出現するプロセスの総数である。なお、所定の期間単位に分割してログイベント50の分類を行う場合には、「np」は分割された範囲内でのプロセスの総数となる。また、過去に作成した一以上のログデータを利用する場合には、「np」は当該ログデータ内に出現するプロセスの総数となる。
【0053】
【数1】
【0054】
式(1)から明らかなように、対象となる着目プロセスからのアクセス数が大きい(つまりdfi,jが大きい)ほど、また、他のプロセスからのアクセス数が小さい(つまりpdfiが小さい)ほど、重みdwi,jの値は大きくなる。
【0055】
ステップT03に引き続き、次にステップT04において選択部42は、各ログイベント50について、重みdwi,jが最も大きいフォルダを代表フォルダとして選択する。その際、重みdwi,jが最も大きいフォルダが複数存在する場合には、その中で最深のフォルダを代表フォルダとして選択する。例えば、プロセスP1によるファイルX2の操作に基づくログイベント50に関しては、フォルダFaの重みdwFa,P1と、フォルダFbの重みdwFb,P1と、フォルダFcの重みdwFc,P1と、フォルダFdの重みdwFd,P1とを比較し、値が最も大きいフォルダを当該ログイベント50に関する代表フォルダとして選択する。また、例えばフォルダFbの重みdwFb,P1とフォルダFcの重みdwFc,P1とが最も大きい場合には、最深のフォルダFcを代表フォルダとして選択する。なお、重みdwi,jが最も大きいフォルダが複数存在する場合に、その中で最浅のフォルダを代表フォルダとして選択してもよい。これにより、ログイベントの代表フォルダが重複しやすくなるため、グループ化を促進することができる。
【0056】
次にステップT05において集約部43は、ログデータ21Aに記録されている複数のログイベント50を、代表フォルダが共通するログイベント同士でグループ化することにより、一又は複数のグループに集約する。換言すれば、ログデータ21Aに記録されている複数のログイベント50を、ログイベント間の関連性に基づいて一又は複数のグループに集約する。つまり、代表フォルダが共通するログイベント同士は関連性を有しており(あるいは関連性が高く)、代表フォルダが共通しないログイベント同士は関連性を有していない(あるいは関連性が低い)ということである。例えば、プロセスP1によるファイルX1,X2,X3の操作に基づくログイベント50の代表フォルダがいずれもフォルダFcである場合には、これらのログイベント50を、フォルダFcを代表フォルダとするグループに集約する。また例えば、プロセスP1によるファイルX4,X5,X6の操作に基づくログイベント50の代表フォルダがいずれもフォルダFfである場合には、これらのログイベント50を、フォルダFfを代表フォルダとするグループに集約する。
【0057】
以上のステップT03〜T05の処理は、ログデータ21A内に出現する全てのプロセスに関して順に実行される。
【0058】
全てのプロセスに関する処理が完了すると(つまりステップT06が「NO」)、次にステップT07において合併部44は、集約後のグループ数が所定の上限値以下であるか否かを判定する。上限値は、例えば、記憶部14の全記憶容量のうちログデータ21の記憶領域として割り当てられている領域のサイズに応じて設定される。そして、グループ数が上限値を超えている場合(つまりステップT07が「NO」)には、次にステップT08において合併部44は、複数のグループの合併処理を行う。具体的には以下のとおりである。
【0059】
まず、全ての代表フォルダのうち、重みdwi,jが最も小さい代表フォルダ(第1フォルダ)を選択する。なお、重みdwi,jが最も小さい代表フォルダが複数存在する場合には、その中で最深の代表フォルダを選択する。
【0060】
次に、選択した代表フォルダとの間のハミング距離が最も小さい別の代表フォルダ(第2フォルダ)を特定する。なお、ハミング距離が最も小さい代表フォルダが複数存在する場合には、その中で最深の代表フォルダを選択する。
【0061】
次に、第1フォルダを代表フォルダとするグループ(第1グループ)と、第2フォルダを代表フォルダとするグループ(第2グループ)とを合併することにより、これらのグループを第3グループとして集約する。また、第1フォルダの先祖フォルダと第2フォルダの先祖フォルダとで共通する一以上のフォルダのうち、最深のフォルダを、第3グループの代表フォルダとして割り当てる。ここで「先祖フォルダ」とは、あるフォルダの絶対パス内において当該フォルダより上層のフォルダを意味する。
【0062】
例えば、重みdwi,jが最も小さい代表フォルダがフォルダFcであり、フォルダFcとの間のハミング距離が最も小さい代表フォルダがフォルダFfである場合には、フォルダFcを代表フォルダとするグループと、フォルダFfを代表フォルダとするグループとを合併する。そして、合併後の新たなグループの代表フォルダとして、フォルダFbを割り当てる。
【0063】
グループの合併処理は、グループ数が上記の上限値以下(つまりステップT07が「YES」)となるまで繰り返される。
【0064】
次にステップT09において書換部45は、ログデータ21Aを新たなログデータ21Bに書き換える。図8は、ログデータ21Bの一例を示す図である。ログデータ21Bでは、ログデータ21Aにおけるグループ内の複数のファイル操作に関する複数のログイベントが、そのグループの代表フォルダに対する1個のログイベントとして記述される。例えば、ログデータ21AにおけるファイルX1,X2,X3の更新に関する3個のログイベントは、ログデータ21Bでは、代表フォルダFcのファイル操作という1個のログイベントとして記述される。
【0065】
図8に例示したログデータ21Bには、最終操作日時、操作内容内訳、フォルダパス、プログラムパス、及びプロセスIDの項目が含まれる。
【0066】
最終操作日時の項目には、グループ内のファイルやフォルダに関して、ユーザが何らかの操作を行った最終日時等の時刻情報が記述される。
【0067】
操作内容内訳の項目には、グループ内のファイルやフォルダに関して、ファイル作成、ファイル更新、ファイル削除、ファイルリネーム、ファイルコピー、フォルダ作成、フォルダ削除、フォルダリネーム、フォルダコピー等の事象の内訳(回数、割合等)が記述される。
【0068】
フォルダパスの項目には、各グループの代表フォルダに関するコンピュータ3内の絶対パスが記述される。
【0069】
プログラムパスの項目には、ファイルを操作したプログラムに関するコンピュータ3内の絶対パスが記述される。
【0070】
プロセスIDの項目には、ファイルを操作したプログラムプロセスに関するID(OSから割り当てられたもの)が記述される。
【0071】
記憶部14に記憶されていた集約前のログデータ21Aが、集約後の新たなログデータ21Bに書き換えられることにより、集約処理手段32による処理は終了する。
【0072】
ログデータ21Bは、コンピュータ3において定期的(例えば1日1回)に作成されて、あるいは、ユーザ又はサーバ装置2からの作成命令に応じて作成されて、コンピュータ3から通信ネットワーク4を介してサーバ装置2に送信される。そして、サーバ装置2は、受信したログデータ21Bを蓄積する。
【0073】
なお、コンピュータ3は、ログデータ21Bの作成後もログデータ21Aを破棄せず保持してもよい。また、ログデータ21Bと併せてログデータ21Aをサーバ装置2に送信してもよい。ログデータ21Bはいわばログデータ21Aのダイジェスト版であり、データ量の削減の観点からは有利であるが、情報の詳細性はログデータ21Aより低い。従って、ログデータ21A,21Bの双方を保持することによって、操作履歴の簡易な検索等はログデータ21Bを用いて行い、詳細な解析等はログデータ21Aを用いて行うというような用途に利用できる。
【0074】
また、コンピュータ3からサーバ装置2にログデータ21Aを送信し、サーバ装置2がログデータ21Aに基づいてログデータ21Bを作成してもよい。サーバ装置2は、ログデータ21Bの作成後に、ログデータ21Aを破棄してもよいし、破棄せず保持してもよい。
【0075】
このように本実施の形態に係るログ管理方法によれば、ログデータ21Aに記録されている複数のログイベントが、ログイベント間の関連性に基づいて一又は複数のグループに集約される。このように、複数のログイベントを一又は複数のグループに集約することにより、ログデータのデータ量を削減することが可能となる。
【0076】
また、本実施の形態に係るログ管理方法によれば、ログイベントの集約は、同一の又は関連するプロセス別に行われる。従って、プロセス同士の関連性が低い複数のログイベントが同一のグループに集約されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0077】
また、本実施の形態に係るログ管理方法によれば、複数のログイベントの各々について一の代表フォルダを特定し、代表フォルダが共通する二以上のログイベントを同一のグループとして集約する。これにより、代表フォルダ以下の複数のフォルダへのアクセスを示す複数のログイベントを、代表フォルダへのアクセスを示すログイベントとして集約することが可能となる。
【0078】
また、本実施の形態に係るログ管理方法によれば、代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択される。従って、ログイベントのパス情報に含まれない無関係のフォルダが当該ログイベントの代表フォルダとして選択されることを回避できるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0079】
また、本実施の形態に係るログ管理方法によれば、代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標に基づいて選択される。これにより、ユーザが行った作業の場所として特徴的なフォルダを代表フォルダとして選択することができるため、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0080】
また、本実施の形態に係るログ管理方法によれば、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが代表フォルダとして選択されるような指標(重み)が用いられる。従って、ログイベント毎に最適な代表フォルダを選択することが可能となる。
【0081】
また、本実施の形態に係るログ管理方法によれば、パス情報に記述されている複数のフォルダの中に、重みの値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが代表フォルダとして選択される。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、当該二以上のフォルダのうち最下層のフォルダを代表フォルダとして選択することにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0082】
また、本実施の形態に係るログ管理方法によれば、第1フォルダを代表フォルダとする第1グループと、当該第1フォルダとの間のハミング距離が所定値以下である第2フォルダを代表フォルダとする第2グループとが、第3グループとして集約される。このように、複数のグループを新たなグループにさらに集約することにより、ログデータのデータ量をさらに削減することが可能となる。
【0083】
また、本実施の形態に係るログ管理方法によれば、複数のグループから一の新たなグループへの集約は、グループ数が所定の上限値を超える場合に実行される。このように、グループ数が所定の上限値を超えている場合にはグループ同士の集約を行うことにより、グループ数を上限値以下に抑えることが可能となる。
【0084】
また、本実施の形態に係るログ管理方法によれば、第1フォルダの上層フォルダと第2フォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、第3グループの代表フォルダとして割り当てられる。パス情報における上層のフォルダよりも下層のフォルダのほうが、ユーザが行った作業の内容に具体的に関連している。従って、第1フォルダの上層フォルダと第2フォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダを、第3グループの代表フォルダとして割り当てることにより、集約されたログデータをユーザが事後的に確認する際に、作業内容を容易に理解することが可能となる。
【0085】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0086】
3 コンピュータ
11 処理部
14 記憶部
20 プログラム
21,21A,21B ログデータ
31 取得手段
32 集約処理手段
40 分類部
41 算出部
42 選択部
43 集約部
44 合併部
45 書換部
【特許請求の範囲】
【請求項1】
ファイル操作のログを管理するログ管理方法であって、
(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、
(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、
を備える、ログ管理方法。
【請求項2】
前記ステップ(B)におけるログイベントの集約は、同一の又は関連するプロセス別に行われる、請求項1に記載のログ管理方法。
【請求項3】
前記ステップ(B)は、
(B−1)前記ログデータに記録されている複数のログイベントの各々について、一の代表フォルダを特定するステップと、
(B−2)前記ログデータに記録されている複数のログイベントのうち、前記代表フォルダが共通する二以上のログイベントを、同一のグループとして集約するステップと、
を有する、請求項1又は2に記載のログ管理方法。
【請求項4】
前記代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択される、請求項3に記載のログ管理方法。
【請求項5】
前記代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標に基づいて選択される、請求項4に記載のログ管理方法。
【請求項6】
前記指標としては、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが前記代表フォルダとして選択されるような指標が用いられる、請求項5に記載のログ管理方法。
【請求項7】
パス情報に記述されている複数のフォルダの中に、前記指標の値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが前記代表フォルダとして選択される、請求項5又は6に記載のログ管理方法。
【請求項8】
(C)第1のフォルダを代表フォルダとする第1のグループと、当該第1のフォルダとの間のハミング距離が所定値以下である第2のフォルダを代表フォルダとする第2のグループとを、第3のグループとして集約するステップ
をさらに備える、請求項3〜7のいずれか一つに記載のログ管理方法。
【請求項9】
前記ステップ(C)は、前記ステップ(B)によって集約されたグループ数が所定の上限値を超える場合に実行される、請求項8に記載のログ管理方法。
【請求項10】
前記第1のフォルダの上層フォルダと前記第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、前記第3のグループの代表フォルダとして割り当てられる、請求項9に記載のログ管理方法。
【請求項11】
ファイル操作のログを管理するログ管理装置であって、
操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得する取得部と、
前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループに集約する集約処理部と、
を備える、ログ管理装置。
【請求項12】
ファイル操作のログを管理するログ管理装置に搭載されるコンピュータに、
(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、
(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、
を実行させるための、プログラム。
【請求項1】
ファイル操作のログを管理するログ管理方法であって、
(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、
(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、
を備える、ログ管理方法。
【請求項2】
前記ステップ(B)におけるログイベントの集約は、同一の又は関連するプロセス別に行われる、請求項1に記載のログ管理方法。
【請求項3】
前記ステップ(B)は、
(B−1)前記ログデータに記録されている複数のログイベントの各々について、一の代表フォルダを特定するステップと、
(B−2)前記ログデータに記録されている複数のログイベントのうち、前記代表フォルダが共通する二以上のログイベントを、同一のグループとして集約するステップと、
を有する、請求項1又は2に記載のログ管理方法。
【請求項4】
前記代表フォルダは、各ログイベントのパス情報に階層的に記述されている複数のフォルダの中から選択される、請求項3に記載のログ管理方法。
【請求項5】
前記代表フォルダは、プロセスからフォルダへのアクセス数に応じて求まる所定の指標に基づいて選択される、請求項4に記載のログ管理方法。
【請求項6】
前記指標としては、対象となるプロセスからのアクセス数が大きく、他のプロセスからのアクセス数が小さいフォルダが前記代表フォルダとして選択されるような指標が用いられる、請求項5に記載のログ管理方法。
【請求項7】
パス情報に記述されている複数のフォルダの中に、前記指標の値が等しい二以上のフォルダが含まれる場合には、当該二以上のフォルダのうち最下層のフォルダが前記代表フォルダとして選択される、請求項5又は6に記載のログ管理方法。
【請求項8】
(C)第1のフォルダを代表フォルダとする第1のグループと、当該第1のフォルダとの間のハミング距離が所定値以下である第2のフォルダを代表フォルダとする第2のグループとを、第3のグループとして集約するステップ
をさらに備える、請求項3〜7のいずれか一つに記載のログ管理方法。
【請求項9】
前記ステップ(C)は、前記ステップ(B)によって集約されたグループ数が所定の上限値を超える場合に実行される、請求項8に記載のログ管理方法。
【請求項10】
前記第1のフォルダの上層フォルダと前記第2のフォルダの上層フォルダとで共通する一以上のフォルダのうちの最下層のフォルダが、前記第3のグループの代表フォルダとして割り当てられる、請求項9に記載のログ管理方法。
【請求項11】
ファイル操作のログを管理するログ管理装置であって、
操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得する取得部と、
前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループに集約する集約処理部と、
を備える、ログ管理装置。
【請求項12】
ファイル操作のログを管理するログ管理装置に搭載されるコンピュータに、
(A)操作されたファイルに関するプロセス情報及びパス情報を含むログイベントが複数記録されたログデータを取得するステップと、
(B)前記ログデータに記録されている複数のログイベントを、ログイベント間の関連性に基づいて一又は複数のグループとして集約するステップと、
を実行させるための、プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−208565(P2012−208565A)
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願番号】特願2011−71755(P2011−71755)
【出願日】平成23年3月29日(2011.3.29)
【出願人】(504126112)住友電工システムソリューション株式会社 (78)
【Fターム(参考)】
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願日】平成23年3月29日(2011.3.29)
【出願人】(504126112)住友電工システムソリューション株式会社 (78)
【Fターム(参考)】
[ Back to top ]