アーカイブシステム、アーカイブシステム用検索プログラムならびにアーカイブシステムによる検索方法
【課題】アーカイブされたデータについて、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができるアーカイブシステムにかかる技術を提供する。
【解決手段】アーカイブデータの検索において、複数の検索式を受付可能とし、これらの検索式にグループ属性を持たせ、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするとともに、検索処理の遂行状況をグループ単位でモニタリングできるようにする。
【解決手段】アーカイブデータの検索において、複数の検索式を受付可能とし、これらの検索式にグループ属性を持たせ、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするとともに、検索処理の遂行状況をグループ単位でモニタリングできるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワーク上の通信内容を検出して、その検出された通信内容を編集してアーカイブとして記録し、その記録されたアーカイブデータを管理するための技術であって、特に、記録されたアーカイブデータを効果的に検索するための技術に関する。
【背景技術】
【0002】
近年の情報セキュリティへの対策として、メールデータや、ウェブアクセス履歴、ファイルサーバアクセス履歴、データベースサーバアクセス履歴をアーカイブとして保存するシステムが普及しつつある。ユーザが扱う情報量は増加の一途を辿っており、アーカイブとして保存される情報量も増大していることから、アーカイブしたデータを効率的に検索するための技術が求められている。
【0003】
特許文献1では、アーカイブの検索が中断された後で、これを中断前の状態から確実に再開させることを目的として、検索処理途中の中断時に、検索結果一覧情報等の中断ファイルを保存する中断ファイル保存手段と、中断再開時に中断ファイルから中断前の表示状態を再現する手段とを備えた検索システム等に関する技術が開示されている。
【0004】
また、特許文献2では、検索中断迄に配列変数や変数に一時的に記憶保持していた情報の復元を容易にすることを目的として、各レコード情報を記憶完了する毎に、配列変数や変数として記憶保持されていたレコードのカウンタ等の記憶保存状況情報と書誌事項等の切出情報等をHTML文等として合成、編集及び置換する事により作成した新しい検索結果一覧表を記憶保存する作業を繰り返すというネット上のデータベースにおける検索結果一覧表の作成方法に関する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−183139号公報(特に、明細書0042ほか)
【特許文献2】特開2002−163262号公報(特に、明細書0019ほか)
【発明の開示】
【発明が解決しようとする課題】
【0006】
前述したとおり、ユーザが扱う情報量は増加の一途を辿っており、アーカイブとして保存される情報量も増大していることから、アーカイブしたデータを効率的に検索するための技術が求められている。
そういった中、情報漏えいなどの事案が発生した場合には、その原因を探るため、管理者が複数のパターンを想定してログ検索などを実施している。ログ検索などで用いられる検索式は画一的に定められるものではなく、異なる複数の条件で検索を実行し、その検索結果や遂行状況を適宜、管理者が把握しながら、ある検索式による検索を中断し、あるいは、別の検索式で検索を再実行させるなどといったことを繰り返しつつ、検索を進めてゆくことになる。
また、複数の検索を同時に行えるようにするという技術的要請に加え、アーカイブ対象となるネットワーク上の情報密度には時間的なバラつきがあることから、場合によっては、アーカイブシステムによる検索処理が増大すると、本来優先されて行われるべく、アーカイブデータの取得に悪影響を及ぼすことも考えられる。つまり、ネットワーク上の情報の流れが活発となる時間帯には、負荷のかかる検索処理を行わせず、ネットワーク上の情報の流れが少ない時間帯になるまで、検索処理を中断させるなどといった弾力的な管理が求められる。
しかし、特許文献1、特許文献2に記載された技術によれば、複数の検索式を同時に処理する点は明らかにされておらず、検索の状況を管理者が適宜把握しながら、ある検索式による検索を中断させ、別の検索式で検索を再実行させるなどといった、弾力的な運用が困難である。
【0007】
そこで、本発明では、アーカイブされたデータについて、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができるアーカイブシステムにかかる技術を提供する。
【課題を解決するための手段】
【0008】
前述した課題を解決するため、本発明第1の構成によるアーカイブシステムによる検索方法は、コンピュータネットワーク上の通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記憶装置に記録するアーカイブシステムにおいて使用され、ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付手順と、前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行手順と、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理手順と、からなる手順を備え、前記検索式受付手順は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、前記検索実行手順は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、前記検索管理手順は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とする。
【0009】
また、本発明第5の構成によるアーカイブシステム用検索プログラムは、コンピュータネットワーク上の通信内容を検出する検出部と、その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、そのアーカイブデータが記録される記憶装置と、を備えたアーカイブシステムにおいて使用され、ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、からなり、前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とする。
【0010】
また、本発明第6の構成によるアーカイブシステムは、コンピュータネットワーク上の通信内容を検出する検出部と、その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、そのアーカイブデータが記録される記憶装置と、前記アーカイブデータを検索処理する検索処理部と、を備え、前記検索処理部は、ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、からなり、前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とする。
【0011】
また、本発明第2の構成によるアーカイブシステムによる検索方法は、第1の構成に加えて、前記検索管理手順は、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示するとともに、ユーザの指示に基づいて、前記所在情報をもとにして、該当するアーカイブデータをあわせてユーザインターフェースへ出力することを特徴とする。
【0012】
また、本発明第3の構成によるアーカイブシステムによる検索方法は、第1または第2の構成に加えて、前記検索管理手順は、ユーザの指示に基づいて、検索処理の開始、検索処理の一時中止、または、検索処理の再開にかかる検索スケジュールの設定をグループ単位で受け付け、その検索スケジュールで設定された時刻に検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させることを特徴とする。
【0013】
また、本発明第4の構成によるアーカイブシステムによる検索方法は、第1ないし第3のいずれかの構成に加えて、前記アーカイブデータが記録される記憶装置は、装着・取り外しが容易な記録媒体を有し、前記アーカイブデータを前記記憶装置に記録させる時には、記録されるべきデータを一定時間間隔で編集して、その一定時間間隔おきに一括して前記記録媒体に記録させるようにし、その記録されるべきデータの情報量が、前記記録媒体の残り容量を超える時には、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたことを特徴とする。
【発明の効果】
【0014】
本発明第1の構成によるアーカイブシステムによる検索方法、第5の構成によるアーカイブシステム用検索プログラムまたは第6の構成によるアーカイブシステムによれば、アーカイブデータの検索において、複数の検索式を受付可能とし、これらの検索式にグループ属性を持たせ、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするとともに、検索処理の遂行状況をグループ単位でモニタリングできるようにしたので、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができる。
【0015】
本発明第2の構成によるアーカイブシステムによる検索方法によれば、検索でヒットしたアーカイブデータの所在情報を活用して、検索の遂行状況と検索でヒットしたアーカイブデータをあわせて表示させることができるので、前述した効果に加えて、検索処理の中止や再開をより容易に管理することができる。
【0016】
本発明第3の構成によるアーカイブシステムによる検索方法によれば、検索の開始・一時中止・再開といった検索スケジュールをグループ単位で設定できるようにして、その検索スケジュールで設定された時刻に検索を開始・一時中止・再開させるので、前述した効果に加えて、アーカイブ作成や検索にかかる負荷を考慮した検索処理のスケジューリングができるようになる。特に、コンピュータネットワーク上の通信が活発となる時間帯には検索処理を軽減させ、あるいは、通信が少ない時間帯に検索処理を集中させるなど、アーカイブシステムとして求められる他の機能(コンピュータネットワーク上の通信内容の検出、検出された通信内容の編集、アーカイブデータの記録など)への悪影響を軽減できる。
【0017】
本発明第4の構成によるアーカイブシステムによる検索方法によれば、テープや光ディスク等の交換可能な記録媒体を使用して、アーカイブデータを一定時間間隔(たとえば1時間おき等)で一括して記録するようにし、記録媒体の容量が一杯になりそうな時には、記録媒体を跨るようにアーカイブデータを記録するようなことはせずに、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたので、前述した効果に加えて、一定時間間隔で作成されたアーカイブデータが2つの記録媒体に跨って記録されることがなく、時間範囲をキーとしてアーカイブデータを検索するような場合でも、効率的に検索処理を行うことができる。
【図面の簡単な説明】
【0018】
【図1】実施例1にかかるアーカイブシステムの構成を示す説明図
【図2】アーカイブデータの構成の一例を示す説明図
【図3】メールアーカイブデータの構成の一例を示す説明図
【図4】メールアーカイブインデックスの構成の一例を示す説明図
【図5】ファイルアクセスアーカイブの構成の一例を示す説明図
【図6】検索データの構成の一例を示す説明図
【図7】検索式を設定するためのユーザインターフェースの構成の一例を示す説明図
【図8】検索式の設定ファイルおよび検索状況ファイルの構成の一例を示す説明図
【図9】所在情報の構成の一例を示す説明図
【図10】グループ単位での検索を設定するためのユーザインターフェースの構成の一例を示す説明図
【図11】検索式に対する検索結果を表示するためのユーザインターフェースの構成の一例を示す説明図
【図12】実施例2にかかるアーカイブシステムの構成を示す説明図
【図13】グループ単位で検索スケジュールを設定するためのユーザインターフェースの構成の一例を示す説明図
【発明を実施するための形態】
【0019】
本発明の実施形態を実施例1〜実施例2にて説明する。
【実施例1】
【0020】
実施例1を図1〜図11に基づいて説明する。
図1は、実施例1にかかるアーカイブシステムの構成を示す説明図である。
実施例1では、メールサーバ4a、ファイルサーバ4b、ウェブサーバ4c、データベースサーバ4z等からなるサーバ群と、クライアント5a、5b、…、5zをローカルエリアネットワーク(LAN2)上に設置しており、LAN2はファイアウォール3を介してインターネット6と接続されている。そして、アーカイブシステム1は、LAN2を流れる情報を収集するために、ネットワークタップ装置12を設け、LAN2を通過する通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記録装置(データ記憶領域13)に記録する。
ネットワークタップ装置12は、2つのネットワーク端子12a、12bを設けており、ネットワーク端子12aから受け取った情報をネットワーク端子12bへとそのまま転送し、ネットワーク端子12bから受け取った情報をネットワーク端子12aへとそのまま転送すると共に、これらの情報を複製してアーカイブシステム1の内部に送信する機能を有する。よって、LAN2の構成や設定を大きく変えることなしに、アーカイブシステム1を容易に設置させることができる。
【0021】
このほか、アーカイブシステム1は、中央演算処理装置(CPU11a)、クロック11b、メモリ11c、記憶装置としてデータ記憶領域13、プロクラム記憶領域14を備え、入出力装置として、グラフィックカード17a、ディスプレイ17b、入力端子18a、キーボード18b等を備える。
データ記憶領域13には、パケットデータ13a、アーカイブデータ13b、検索データ13cの記憶領域が確保され、プログラム記憶領域14には、アーカイブプログラム15とアーカイブ検索プログラム16の記憶領域が確保されている。説明の都合上、アーカイブプログラム15を、パケットデータ収集プログラム15aとアーカイブ記録プログラム15bの2つに区分し、アーカイブ検索プログラム16を検索式受付プログラム16a、検索実行プログラム16b、検索管理プログラム16cの3つに区分する。
なお、図1では、アーカイブシステム1を一台の計算機で構成させているが、物理的な構成を限定する必要はなく、LAN2以外の別のネットワークと接続された複数の計算機によってアーカイブプログラム15や検索プログラム16の処理を分担させてもよいし、情報の記録・変更・読み取りに制約が及ばない範囲であれば、LAN2以外の別のネットワークと接続された複数のデータサーバに記憶領域を設けたとしても、一向に差し支えない。
【0022】
続いて、LAN2を通過する通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記録装置(データ記憶領域13)に記録するまでの流れを図2〜図5で説明する。
アーカイブシステム1では、パケットデータ収集プログラム15aが常時起動しており、ネットワークタップ装置12によって複製された情報を読み取り、パケットデータ13aに記憶させる。パケットデータ収集プログラム15aは、ネットワークタップ装置12から送信された情報をパケット単位で処理するようになっており、アーカイブとして記録させる必要がないパケットデータは破棄して、記憶装置13の記憶容量を軽減させるようにしておくことが望ましい。実施例1では、パケットデータ収集プログラム15aがパケットデータのヘッダの内容を解析して、メールサーバ4aが関与するデータ(電子メールの送受信履歴等)と、ファイルサーバ4b、データベースサーバ4zのアクセス履歴のみを保存するようにしている。
【0023】
アーカイブ記録プログラム15bは、一定の時間間隔で起動し、パケットデータ13aを読み込んで、所定の編集を行ってアーカイブデータ13bを作成・記録する。なお、その一定の時間間隔で、パケットデータ13aが所定のボリューム(たとえば500Mbyte)を超えてしまいそうな場合には、パケットデータ収集プログラム15aが、アーカイブ記録プログラム15bを起動させるようにして、パケットデータ13aの容量が所定のボリュームを超えてしまわないように制御するようにしてもよい。なお、パケットデータ13aは、少なくとも、対応するアーカイブデータ13bが作成・記録されるまでの間は保存されるようになっている。
【0024】
図2は、アーカイブデータ13bの構成の一例を示したものであり、アーカイブデータ13bをディレクトリ構造で管理しており、ファイルフォルダ21a、21b、21c、…を設けている。
実施例1では、1時間毎にアーカイブ記録プログラム15bを起動させ、1時間分のパケットデータ13aをまとめて処理している。また、1時間毎に新しいファイルフォルダを設けて、2009年1月1日午前0時から1時までの間に作成されたアーカイブを、「200901010100」と命名したファイルフォルダ21aに格納し、同日午前1時から2時までの間に作成されたアーカイブを、「200901010200」と命名したファイルフォルダ21bに格納し、同日午前2時から3時までの間に作成されたアーカイブを、「200901010300」と命名したファイルフォルダ21cに格納し、…といった形で、一定の時間間隔で新しいフォルダを作成すると共に、アーカイブを格納するためのファイルフォルダを切り替えるようにしている。なお、ファイルフォルダ21a、21b、21c、…に対するフォルダ名は、「aaaa」を年、「bb」を月、「cc」を日、「dd」を時、「ee」を分としたときに、「aaaabbccddee」で表すようにしており、フォルダ名から、そのフォルダの作成日時を容易に特定できるようにしている。
【0025】
各ファイルフォルダ21a、21b、21c、…には、それぞれメールアーカイブ22a、メールアーカイブインデックス22b、ファイルアクセスアーカイブ22c、ファイルアクセスアーカイブインデックス22dを設ける。
アーカイブ記録プログラム15bは、パケットデータ13aを読み込んで、RFC (Request for Comments)に従ってその内容を解析し、電子メールに関連するデータと判断したときには、電子メールに関連する一連のパケットデータを結合させて、電子メールとしてのデータに自動整形して、メールアーカイブ22aに記録させる。
なお、アーカイブデータ13bの構成は、図2に示すような構成に拘束されることはなく、ファイルフォルダ(図2の21a、21b、21cに相当するもの)を日単位で作成し、メールアーカイブ22a、メールアーカイブインデックス22b、ファイルアクセスアーカイブ22c、ファイルアクセスアーカイブインデックス22dのファイル名は、時刻を識別できる形で命名し、同一のフォルダに複数のメールアーカイブ22a等を記録するようにしておくなど、様々な構成が考えられる。
【0026】
図3は、メールアーカイブデータ22aの構成の一例を示したものであり、2009年1月1日午前0時から1時までの間で、メールサーバ4aの扱った電子メールが100件であった場合には、メールアーカイブ22aが、メール番号1のメールデータ31、メール番号2のメールデータ33、…、メール番号100のメールデータ35で構成させることになり、一通一通の電子メールを区切り位置32、34、…、36で区切って保存しておくとよい。
図4は、メールアーカイブインデックス22bの構成の一例を示したものであり、メールアーカイブ22aとして記録した100通の電子メールが、それぞれ、メールアーカイブ22aの何バイト目から何バイト目までの間にあるかという対応を記録させておくとよい。すなわち、メールアーカイブ22aと対応するメール番号41、そのメール番号41に対応するデータ先頭位置42、データ終端位置43を以ってメールアーカイブインデックス22bを生成するようにしておく。電子メール一通の長さは、個々の電子メールによって異なるものであるが、こういったメールアーカイブインデックス22bを用意しておくことで、それぞれの電子メールの先頭を探すことが容易となるので、メールヘッダ部分の検索を行う場合に、メール本文や添付ファイル等が記録された部分の読み込み・比較をスキップできるので効率的といえる。
【0027】
このほか、アーカイブ記録プログラム15bは、ファイルサーバ4b、データベースサーバ4zのアクセス履歴についても、同様な処理を行い、ファイルアクセスアーカイブ22cとファイルアクセスアーカイブインデックス22dを作成する。
図5は、ファイルアクセスアーカイブ22cの構成の一例を示したものであり、アーカイブ記録プログラム15bにて解析したパケットデータのうち、ファイルアクセス(たとえば、Common Internet File System (CIFS)による通信プロトコル)に関連する一連のパケットデータを結合して、自動整形を行ったものである。具体的には、ファイルサーバへのログイン/ログアウトや、ファイルの読込/書込/削除/名称変更などが記録される。
ファイルアクセスアーカイブ22cは、アクセス番号1のアクセス記録51、アクセス番号2のアクセス記録53、…で構成させることになり、一通一通のアクセス記録を区切り位置52、54、…で区切って保存しておくとよい。ファイルアクセスアーカイブインデックス22dは、ファイルアクセスアーカイブ22cとして記録したファイルアクセス情報が(メールアーカイブインデックス22bと同様に)、ファイルアクセスアーカイブ22cの何バイト目から何バイト目までの間にあるかという対応を記録させておく。
【0028】
続いて、図6〜図11を用いてアーカイブデータ13bの検索の流れを説明する。アーカイブシステム1では、複数の検索式を設定することができると共に、マルチタスクにより複数の検索式を同時に処理させることができる。アーカイブデータ13bの検索は、アーカイブ検索プログラム16にて行われる。
【0029】
図6は、検索データ13cの構成の一例を示したものであり、階層別構成をとることで、複数の検索式をグループ別に管理できるようになっている。
検索式65a、65b、65c、…およびその検索にてヒットしたアーカイブデータの所在情報66a、66b、66c、…をそれぞれ一つの組として、各々検索ID62a、62b、62c、…を付与し、いずれかのグループ(グループA、グループB、…、グループZ)に属する形としている。すなわち、各検索式62a、62b、62c、…は、グループ別に設けられたフォルダ(61A、61B、…、61Z)のいずれかに属するようになっている。
また、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするため、各グループの検索の開始/中止/再開/終了などといったステータスをフラグファイル63にて管理すると共に、各グループに属する検索式のステータスはグループA検索状況64A、グループB検索状況64B、…、グループZ検索状況64Zにてそれぞれ管理する。なお、グループ別検索スケジュール67については、実施例2にて説明する。
【0030】
検索式受付プログラム16aは、ユーザの指示に基づいて起動し、アーカイブデータ13bを検索するための検索式を受付けると共に、検索式を受け付ける時に、その検索式に対するグループ属性をユーザに定義させる。
図7は、検索式を設定するためのユーザインターフェースの構成の一例を示したものであり、検索式受付画面71を開くときに、他の検索式と重複しない固有の検索ID72を付与する。ユーザは、その検索式が属する検索グループ73を選択すると共に、検索対象プロトコル74の選択、検索対象期間75の指定、検索キーワード76の入力などにより検索式を設定する。ユーザが検索式設定ボタン77をクリックすると、検索グループ73にて指定したグループA(図6の61A)に対して、検索ID72に対応するフォルダ(図6の62a)を作成して、検索式(図6の65a)を設定するとともに、そのグループに属する検索式のステータス(図6のグループA検索状況64A)に対して、新しい検索式が登録されたことを追記する。
図8は、検索式の設定ファイルおよび検索状況ファイルの構成の一例を示すものであり、検索式65aの設定ファイルとして、検索式受付画面71にて設定した検索条件が記録されるとともに、グループA検索状況64Aには、登録された検索ID81と、その遂行状況82が記録される。なお、遂行状況82は、停止(stop)、検索中(srch)、検索完了(end)、削除(delete)の4種類のステータスが考えられるが、検索処理を直ちに開始させる場合にはステータスとして検索中(srch)を記録し、後で開始させる場合にはステータスとして停止(stop)を記録する。
【0031】
検索実行プログラム16bは、検索式に基づいて記憶装置13に記録されたアーカイブデータ13bを検索処理し、その検索処理でアーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を記憶装置13に記録すると共に、グループ属性に従って、検索式をグループ単位で検索処理する。前述したとおり、検索実行プログラム16bは、マルチタスクにより複数の検索式を同時に処理している。
検索実行プログラム16bは、処理すべき検索式がないときでも、定期的にフラグファイル63を読み込んで、各グループのフラグ(ステータス)が有効(開始/再開)となっている検索グループがあればいつでも検索を開始することができるようになっている。したがって、検索管理プログラム16cによってフラグファイル63の内容が書き換えられた時には、その書き換えられた内容に従ってグループ単位での検索が実施される。
フラグファイル63の中で、フラグが有効(開始/再開)となっている検索グループに対しては、その検索グループに対する検索処理を行うべく、各グループ(61A、61B、…、61Z)に属する検索状況ファイル(64A、64B、…、64Z)を読み込んで、検索中(srch)となっている検索IDに対して検索を行う。
ここで、図6でいう検索式65aによる検索が実行されている場合を例にとると、アーカイブデータ13bを検索している途中で、条件を満たすデータが存在した場合には、そのアーカイブデータの所在が所在情報66aに記録されるということになる。
図9は、所在情報66aの構成の一例を示すものであり、検索条件を満たすアーカイブデータがヒットすると、そのヒットしたアーカイブデータが属するファイルフォルダ名91(図2のファイルフォルダ21a、21b、21c、…に対応)とメール番号92(図4のメール番号41に対応)の組が記録される。
【0032】
なお、検索管理プログラム16cにより、個別の検索ID(62a、62b、…、62c)に対して検索の開始あるいは再開が指示されたときには、指示された検索IDのステータスが変更されたことを記録する。すなわち、図8(b)のグループA検索状況64Aで、該当する検索IDの遂行状況82が停止(stop)から検索中(srch)へと変更される。
また、検索式にて指定された期間のアーカイブデータすべてを検索し終わったとき、または、検索管理プログラム16cにより中止の指示があった場合には、検索IDのステータスが検索中(srch)から、検索完了(end)または停止(stop)へと変更される。あわせて、一時中止が指示されたときには、その検索処理を中止するときに、検索式に対してどこまで検索を行ったのかを記録するようにしておくとよい。たとえば、図9に示すように、所在情報66aの最後の行に再開位置情報93を記録する方法が考えられる。検索の再開が指示された時には、該当する検索IDの検索式とあわせて、再開位置情報93が読み込まれ、その位置から検索を再開することとなる。図による説明は省略するが、再開位置情報93は、図9の所在情報66aの中で記録することにかえて、図8(b)のグループA検索状況64Aの中で、該当する検索ID81の属する行の中でファイルフォルダ名やメール番号をあわせて記録するようにしてもよい。
【0033】
検索管理プログラム16cは、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させ、グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示する。
図10は、グループ単位での検索を設定するためのユーザインターフェースの構成の一例を示すものであり、検索グループ101を選択して、状況表示ボタン102をクリックすると、検索データ13cの中から指定された検索グループの検索状況(図6の64A、64B、…、64Z)を読み込んで、該当するグループに属する各検索式のグループ検索状況103を画面に表示させる。ユーザが各々の検索式に対して、一時中止ボタン104aや、再開ボタン104bをクリックすることで、検索処理を一時中止させたり、再開したりすることができる。この場合、一時中止や再開の指示が検索実行プログラム16bに通知される。
また、一括中止ボタン104c(一括再開ボタン104d)がクリックされた時には、その検索グループにかかるフラグファイル63の内容が書き換えられ、検索実行プログラム16bがフラグファイルにアクセスしてフラグチェックを行った時に、その検索グループ全体の検索処理が中止(再開)されることになる。
検索が一時中止された検索式や、検索が完了したものについては、削除ボタン105aや一括削除ボタン105bをクリックすることで削除され、このときには、検索データ13cから該当する検索式(図6の65a、65b、65cなど)や所在情報(図6の66a、66b、66cなど)が削除されることになる。
【0034】
このほか、検索管理プログラム16cは、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示するとともに、ユーザの指示に基づいて、所在情報をもとにして、該当するアーカイブデータをあわせてユーザインターフェースへ出力するようにしておくことが望ましい。
図11は、検索式に対する検索結果を表示するためのユーザインターフェースの構成の一例を示すものであり、ユーザが図10の詳細ボタン106をクリックすると、該当する検索式によってヒットしたデータが一覧形式で表示される。該当する検索式の所在情報(図6の66a、66b、66cなど)をもとに、アーカイブデータ13bにアクセスし、そのアーカイブデータが電子メールのアーカイブであれば、メールの題名、日時、発信者、受信者、ファイルサイズなどといった検索結果一覧111を表示し、この一覧111の中から選択された電子メールの内容をメール本文112や添付ファイル一覧113などにより表示する。
【0035】
このように、実施例1によれば、アーカイブデータの検索において、複数の検索式を受付可能とし、これらの検索式にグループ属性を持たせ、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするとともに、検索処理の遂行状況をグループ単位でモニタリングできるようにしたので、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができる。
また、検索でヒットしたアーカイブデータの所在情報を活用して、検索の遂行状況と検索でヒットしたアーカイブデータをあわせて表示させることができるので、前述した効果に加えて、検索処理の中止や再開をより容易に管理することができる。
【実施例2】
【0036】
実施例2を図12〜図13に基づいて説明する。なお、実施例1と同じ機能・構成となるものについては、同一の符号を付すこととし、詳細な説明は省略する。
図12は、実施例2にかかるアーカイブシステムの構成を示す説明図である。図1と異なる点は、アーカイブシステム1にリードライタ121を備えた点であり、リードライタ121は、3つのスロット122a、122b、122c(これらをまとめてスロット122と表すことがある)に収納されるディスク123a、123b、123c(これらをまとめてディスク123と表すことがある)に情報を書き込み、あるいは、その情報を読み取ることができる。なお。リードライタ121は、ディスク123のような光ディスク、磁気ディスク用に限られることはなく、テープ媒体を用いたテープレコーダによって構成させてもよい。
アーカイブプログラム15は、図1のデータ記憶領域13にアーカイブデータを書き込むのではなく、リードライタ121を通じて、スロット122に納められたディスク123にアーカイブデータを書き込む。また、アーカイブ検索プログラム16は、リードライタ121を通じて、スロット122に納められたディスク123からアーカイブデータを読み込むことになる。
そして、アーカイブデータが記録される記憶装置は、装着・取り外しが容易な記録媒体を有し、アーカイブデータを記憶装置に記録させる時には、記録されるべきデータを一定時間間隔で編集して、その一定時間間隔おきに一括して記録媒体に記録させるようにし、その記録されるべきデータの情報量が、記録媒体の残り容量を超える時には、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしている。すなわち、ディスク123aにアーカイブデータを記録しようとするときには、一定時間間隔(たとえば1時間毎)で一括して記録するようにし、その記録すべきアーカイブデータのサイズがディスク123aの残り容量を超える場合には、アーカイブデータの記録先を他のディスク123bまたは123cに切り替えるようにする。
【0037】
このように、テープや光ディスク等の交換可能な記録媒体を使用して、アーカイブデータを一定時間間隔(たとえば1時間おき等)で一括して記録するようにし、記録媒体の容量が一杯になりそうな時には、記録媒体を跨るようにアーカイブデータを記録するようなことはせずに、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたので、前述した効果に加えて、一定時間間隔で作成されたアーカイブデータが2つの記録媒体に跨って記録されることがなく、時間範囲をキーとしてアーカイブデータを検索するような場合でも、効率的に検索処理を行うことができる。
【0038】
図13は、グループ単位で検索スケジュールを設定するためのユーザインターフェースの構成の一例を示すものであり、各検索グループの検索スケジュール131を日単位で表示している。ユーザが検索グループ132を選択し、検索時間帯133を指定した上で、検索予約ボタン134をクリックすると、所定のスケジュールが図6のグループ別検索スケジュール67として登録されるようになっている。
そして、検索管理プログラム16cは、ユーザの指示に基づいて、検索処理の開始、検索処理の一時中止、または、検索処理の再開にかかる検索スケジュールの設定をグループ単位で受け付け、その検索スケジュールで設定された時刻に検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる。
すなわち、検索管理プログラム16cは、所定の時間間隔を以って、グループ別検索スケジュール67を確認して、スケジュール通りに検索をコントロールすべく、所定の時刻になったら、フラグファイル63の内容を更新する。
【0039】
このように、検索の開始・一時中止・再開といった検索スケジュールをグループ単位で設定できるようにして、その検索スケジュールで設定された時刻に検索を開始・一時中止・再開させるので、前述した効果に加えて、アーカイブ作成や検索にかかる負荷を考慮した検索処理のスケジューリングができるようになる。特に、コンピュータネットワーク上の通信が活発となる時間帯には検索処理を軽減させ、あるいは、通信が少ない時間帯に検索処理を集中させるなど、アーカイブシステムとして求められる他の機能(コンピュータネットワーク上の通信内容の検出、検出された通信内容の編集、アーカイブデータの記録など)への悪影響を軽減できる。
【産業上の利用可能性】
【0040】
本発明は、コンピュータネットワーク上の通信内容を検出して、その検出された通信内容を編集してアーカイブとして記録するとともに、その記録されたアーカイブデータを管理するための技術として、アーカイブサーバでの利用が考えられるほか、検索技術についてはデータのバックアップ装置などでの利用も考えられる。
【符号の説明】
【0041】
1 アーカイブシステム
2 LAN(ローカルエリアネットワーク)
3 ファイアウォール
4a メールサーバ
4b ファイルサーバ
4c ウェブサーバ
4z データベースサーバ
5a、5b、5z クライアント
6 インターネット
11a CPU(中央演算処理装置)
11b クロック
11c メモリ
12 ネットワークタップ装置
12a、12b ネットワーク端子
13 データ記憶領域(記録装置)
13a パケットデータ
13b アーカイブデータ
13c 検索データ
14 プロクラム記憶領域
15 アーカイブプログラム
15a パケットデータ収集プログラム
15b アーカイブ記録プログラム
16 アーカイブ検索プログラム
16a 検索式受付プログラム
16b 検索実行プログラム
16c 検索管理プログラム
17a グラフィックカード
17b ディスプレイ
18a 入力端子
18b キーボード
21a、21b、21c ファイルフォルダ
22a メールアーカイブ
22b メールアーカイブインデックス
22c ファイルアクセスアーカイブ
22d ファイルアクセスアーカイブインデックス
31、33、35 メールデータ
32、34、36 区切り位置
41 メール番号
42 データ先頭位置
43 データ終端位置
51、53 アクセス記録
52、54 区切り位置
61A、61B、61Z グループ別フォルダ
62a、62b、62c 検索ID
63 フラグファイル
64A グループA検索状況
64B グループB検索状況
64Z グループZ検索状況
65a、65b、65c 検索式
66a、66b、66c 所在情報
67 グループ別検索スケジュール
71 検索式受付画面
72 検索ID
73 検索グループ
74 検索対象プロトコル
75 検索対象期間
76 検索キーワード
77 検索式設定ボタン
81 検索ID
82 遂行状況
91 ファイルフォルダ名
92 メール番号
93 再開位置情報
101 検索グループ
102 状況表示ボタン
103 グループ検索状況
104a 一時中止ボタン
104b 再開ボタン
104c 一括中止ボタン
104d 一括再開ボタン
105a 削除ボタン
105b 一括削除ボタン
106 詳細ボタン
111 検索結果一覧
112 メール本文
113 添付ファイル一覧
121 リードライタ
122、122a、122b、122c スロット
123、123a、123b、123c ディスク
131 検索スケジュール
132 検索グループ
133 検索時間帯
134 検索予約ボタン
【技術分野】
【0001】
本発明は、コンピュータネットワーク上の通信内容を検出して、その検出された通信内容を編集してアーカイブとして記録し、その記録されたアーカイブデータを管理するための技術であって、特に、記録されたアーカイブデータを効果的に検索するための技術に関する。
【背景技術】
【0002】
近年の情報セキュリティへの対策として、メールデータや、ウェブアクセス履歴、ファイルサーバアクセス履歴、データベースサーバアクセス履歴をアーカイブとして保存するシステムが普及しつつある。ユーザが扱う情報量は増加の一途を辿っており、アーカイブとして保存される情報量も増大していることから、アーカイブしたデータを効率的に検索するための技術が求められている。
【0003】
特許文献1では、アーカイブの検索が中断された後で、これを中断前の状態から確実に再開させることを目的として、検索処理途中の中断時に、検索結果一覧情報等の中断ファイルを保存する中断ファイル保存手段と、中断再開時に中断ファイルから中断前の表示状態を再現する手段とを備えた検索システム等に関する技術が開示されている。
【0004】
また、特許文献2では、検索中断迄に配列変数や変数に一時的に記憶保持していた情報の復元を容易にすることを目的として、各レコード情報を記憶完了する毎に、配列変数や変数として記憶保持されていたレコードのカウンタ等の記憶保存状況情報と書誌事項等の切出情報等をHTML文等として合成、編集及び置換する事により作成した新しい検索結果一覧表を記憶保存する作業を繰り返すというネット上のデータベースにおける検索結果一覧表の作成方法に関する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−183139号公報(特に、明細書0042ほか)
【特許文献2】特開2002−163262号公報(特に、明細書0019ほか)
【発明の開示】
【発明が解決しようとする課題】
【0006】
前述したとおり、ユーザが扱う情報量は増加の一途を辿っており、アーカイブとして保存される情報量も増大していることから、アーカイブしたデータを効率的に検索するための技術が求められている。
そういった中、情報漏えいなどの事案が発生した場合には、その原因を探るため、管理者が複数のパターンを想定してログ検索などを実施している。ログ検索などで用いられる検索式は画一的に定められるものではなく、異なる複数の条件で検索を実行し、その検索結果や遂行状況を適宜、管理者が把握しながら、ある検索式による検索を中断し、あるいは、別の検索式で検索を再実行させるなどといったことを繰り返しつつ、検索を進めてゆくことになる。
また、複数の検索を同時に行えるようにするという技術的要請に加え、アーカイブ対象となるネットワーク上の情報密度には時間的なバラつきがあることから、場合によっては、アーカイブシステムによる検索処理が増大すると、本来優先されて行われるべく、アーカイブデータの取得に悪影響を及ぼすことも考えられる。つまり、ネットワーク上の情報の流れが活発となる時間帯には、負荷のかかる検索処理を行わせず、ネットワーク上の情報の流れが少ない時間帯になるまで、検索処理を中断させるなどといった弾力的な管理が求められる。
しかし、特許文献1、特許文献2に記載された技術によれば、複数の検索式を同時に処理する点は明らかにされておらず、検索の状況を管理者が適宜把握しながら、ある検索式による検索を中断させ、別の検索式で検索を再実行させるなどといった、弾力的な運用が困難である。
【0007】
そこで、本発明では、アーカイブされたデータについて、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができるアーカイブシステムにかかる技術を提供する。
【課題を解決するための手段】
【0008】
前述した課題を解決するため、本発明第1の構成によるアーカイブシステムによる検索方法は、コンピュータネットワーク上の通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記憶装置に記録するアーカイブシステムにおいて使用され、ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付手順と、前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行手順と、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理手順と、からなる手順を備え、前記検索式受付手順は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、前記検索実行手順は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、前記検索管理手順は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とする。
【0009】
また、本発明第5の構成によるアーカイブシステム用検索プログラムは、コンピュータネットワーク上の通信内容を検出する検出部と、その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、そのアーカイブデータが記録される記憶装置と、を備えたアーカイブシステムにおいて使用され、ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、からなり、前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とする。
【0010】
また、本発明第6の構成によるアーカイブシステムは、コンピュータネットワーク上の通信内容を検出する検出部と、その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、そのアーカイブデータが記録される記憶装置と、前記アーカイブデータを検索処理する検索処理部と、を備え、前記検索処理部は、ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、からなり、前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とする。
【0011】
また、本発明第2の構成によるアーカイブシステムによる検索方法は、第1の構成に加えて、前記検索管理手順は、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示するとともに、ユーザの指示に基づいて、前記所在情報をもとにして、該当するアーカイブデータをあわせてユーザインターフェースへ出力することを特徴とする。
【0012】
また、本発明第3の構成によるアーカイブシステムによる検索方法は、第1または第2の構成に加えて、前記検索管理手順は、ユーザの指示に基づいて、検索処理の開始、検索処理の一時中止、または、検索処理の再開にかかる検索スケジュールの設定をグループ単位で受け付け、その検索スケジュールで設定された時刻に検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させることを特徴とする。
【0013】
また、本発明第4の構成によるアーカイブシステムによる検索方法は、第1ないし第3のいずれかの構成に加えて、前記アーカイブデータが記録される記憶装置は、装着・取り外しが容易な記録媒体を有し、前記アーカイブデータを前記記憶装置に記録させる時には、記録されるべきデータを一定時間間隔で編集して、その一定時間間隔おきに一括して前記記録媒体に記録させるようにし、その記録されるべきデータの情報量が、前記記録媒体の残り容量を超える時には、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたことを特徴とする。
【発明の効果】
【0014】
本発明第1の構成によるアーカイブシステムによる検索方法、第5の構成によるアーカイブシステム用検索プログラムまたは第6の構成によるアーカイブシステムによれば、アーカイブデータの検索において、複数の検索式を受付可能とし、これらの検索式にグループ属性を持たせ、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするとともに、検索処理の遂行状況をグループ単位でモニタリングできるようにしたので、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができる。
【0015】
本発明第2の構成によるアーカイブシステムによる検索方法によれば、検索でヒットしたアーカイブデータの所在情報を活用して、検索の遂行状況と検索でヒットしたアーカイブデータをあわせて表示させることができるので、前述した効果に加えて、検索処理の中止や再開をより容易に管理することができる。
【0016】
本発明第3の構成によるアーカイブシステムによる検索方法によれば、検索の開始・一時中止・再開といった検索スケジュールをグループ単位で設定できるようにして、その検索スケジュールで設定された時刻に検索を開始・一時中止・再開させるので、前述した効果に加えて、アーカイブ作成や検索にかかる負荷を考慮した検索処理のスケジューリングができるようになる。特に、コンピュータネットワーク上の通信が活発となる時間帯には検索処理を軽減させ、あるいは、通信が少ない時間帯に検索処理を集中させるなど、アーカイブシステムとして求められる他の機能(コンピュータネットワーク上の通信内容の検出、検出された通信内容の編集、アーカイブデータの記録など)への悪影響を軽減できる。
【0017】
本発明第4の構成によるアーカイブシステムによる検索方法によれば、テープや光ディスク等の交換可能な記録媒体を使用して、アーカイブデータを一定時間間隔(たとえば1時間おき等)で一括して記録するようにし、記録媒体の容量が一杯になりそうな時には、記録媒体を跨るようにアーカイブデータを記録するようなことはせずに、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたので、前述した効果に加えて、一定時間間隔で作成されたアーカイブデータが2つの記録媒体に跨って記録されることがなく、時間範囲をキーとしてアーカイブデータを検索するような場合でも、効率的に検索処理を行うことができる。
【図面の簡単な説明】
【0018】
【図1】実施例1にかかるアーカイブシステムの構成を示す説明図
【図2】アーカイブデータの構成の一例を示す説明図
【図3】メールアーカイブデータの構成の一例を示す説明図
【図4】メールアーカイブインデックスの構成の一例を示す説明図
【図5】ファイルアクセスアーカイブの構成の一例を示す説明図
【図6】検索データの構成の一例を示す説明図
【図7】検索式を設定するためのユーザインターフェースの構成の一例を示す説明図
【図8】検索式の設定ファイルおよび検索状況ファイルの構成の一例を示す説明図
【図9】所在情報の構成の一例を示す説明図
【図10】グループ単位での検索を設定するためのユーザインターフェースの構成の一例を示す説明図
【図11】検索式に対する検索結果を表示するためのユーザインターフェースの構成の一例を示す説明図
【図12】実施例2にかかるアーカイブシステムの構成を示す説明図
【図13】グループ単位で検索スケジュールを設定するためのユーザインターフェースの構成の一例を示す説明図
【発明を実施するための形態】
【0019】
本発明の実施形態を実施例1〜実施例2にて説明する。
【実施例1】
【0020】
実施例1を図1〜図11に基づいて説明する。
図1は、実施例1にかかるアーカイブシステムの構成を示す説明図である。
実施例1では、メールサーバ4a、ファイルサーバ4b、ウェブサーバ4c、データベースサーバ4z等からなるサーバ群と、クライアント5a、5b、…、5zをローカルエリアネットワーク(LAN2)上に設置しており、LAN2はファイアウォール3を介してインターネット6と接続されている。そして、アーカイブシステム1は、LAN2を流れる情報を収集するために、ネットワークタップ装置12を設け、LAN2を通過する通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記録装置(データ記憶領域13)に記録する。
ネットワークタップ装置12は、2つのネットワーク端子12a、12bを設けており、ネットワーク端子12aから受け取った情報をネットワーク端子12bへとそのまま転送し、ネットワーク端子12bから受け取った情報をネットワーク端子12aへとそのまま転送すると共に、これらの情報を複製してアーカイブシステム1の内部に送信する機能を有する。よって、LAN2の構成や設定を大きく変えることなしに、アーカイブシステム1を容易に設置させることができる。
【0021】
このほか、アーカイブシステム1は、中央演算処理装置(CPU11a)、クロック11b、メモリ11c、記憶装置としてデータ記憶領域13、プロクラム記憶領域14を備え、入出力装置として、グラフィックカード17a、ディスプレイ17b、入力端子18a、キーボード18b等を備える。
データ記憶領域13には、パケットデータ13a、アーカイブデータ13b、検索データ13cの記憶領域が確保され、プログラム記憶領域14には、アーカイブプログラム15とアーカイブ検索プログラム16の記憶領域が確保されている。説明の都合上、アーカイブプログラム15を、パケットデータ収集プログラム15aとアーカイブ記録プログラム15bの2つに区分し、アーカイブ検索プログラム16を検索式受付プログラム16a、検索実行プログラム16b、検索管理プログラム16cの3つに区分する。
なお、図1では、アーカイブシステム1を一台の計算機で構成させているが、物理的な構成を限定する必要はなく、LAN2以外の別のネットワークと接続された複数の計算機によってアーカイブプログラム15や検索プログラム16の処理を分担させてもよいし、情報の記録・変更・読み取りに制約が及ばない範囲であれば、LAN2以外の別のネットワークと接続された複数のデータサーバに記憶領域を設けたとしても、一向に差し支えない。
【0022】
続いて、LAN2を通過する通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記録装置(データ記憶領域13)に記録するまでの流れを図2〜図5で説明する。
アーカイブシステム1では、パケットデータ収集プログラム15aが常時起動しており、ネットワークタップ装置12によって複製された情報を読み取り、パケットデータ13aに記憶させる。パケットデータ収集プログラム15aは、ネットワークタップ装置12から送信された情報をパケット単位で処理するようになっており、アーカイブとして記録させる必要がないパケットデータは破棄して、記憶装置13の記憶容量を軽減させるようにしておくことが望ましい。実施例1では、パケットデータ収集プログラム15aがパケットデータのヘッダの内容を解析して、メールサーバ4aが関与するデータ(電子メールの送受信履歴等)と、ファイルサーバ4b、データベースサーバ4zのアクセス履歴のみを保存するようにしている。
【0023】
アーカイブ記録プログラム15bは、一定の時間間隔で起動し、パケットデータ13aを読み込んで、所定の編集を行ってアーカイブデータ13bを作成・記録する。なお、その一定の時間間隔で、パケットデータ13aが所定のボリューム(たとえば500Mbyte)を超えてしまいそうな場合には、パケットデータ収集プログラム15aが、アーカイブ記録プログラム15bを起動させるようにして、パケットデータ13aの容量が所定のボリュームを超えてしまわないように制御するようにしてもよい。なお、パケットデータ13aは、少なくとも、対応するアーカイブデータ13bが作成・記録されるまでの間は保存されるようになっている。
【0024】
図2は、アーカイブデータ13bの構成の一例を示したものであり、アーカイブデータ13bをディレクトリ構造で管理しており、ファイルフォルダ21a、21b、21c、…を設けている。
実施例1では、1時間毎にアーカイブ記録プログラム15bを起動させ、1時間分のパケットデータ13aをまとめて処理している。また、1時間毎に新しいファイルフォルダを設けて、2009年1月1日午前0時から1時までの間に作成されたアーカイブを、「200901010100」と命名したファイルフォルダ21aに格納し、同日午前1時から2時までの間に作成されたアーカイブを、「200901010200」と命名したファイルフォルダ21bに格納し、同日午前2時から3時までの間に作成されたアーカイブを、「200901010300」と命名したファイルフォルダ21cに格納し、…といった形で、一定の時間間隔で新しいフォルダを作成すると共に、アーカイブを格納するためのファイルフォルダを切り替えるようにしている。なお、ファイルフォルダ21a、21b、21c、…に対するフォルダ名は、「aaaa」を年、「bb」を月、「cc」を日、「dd」を時、「ee」を分としたときに、「aaaabbccddee」で表すようにしており、フォルダ名から、そのフォルダの作成日時を容易に特定できるようにしている。
【0025】
各ファイルフォルダ21a、21b、21c、…には、それぞれメールアーカイブ22a、メールアーカイブインデックス22b、ファイルアクセスアーカイブ22c、ファイルアクセスアーカイブインデックス22dを設ける。
アーカイブ記録プログラム15bは、パケットデータ13aを読み込んで、RFC (Request for Comments)に従ってその内容を解析し、電子メールに関連するデータと判断したときには、電子メールに関連する一連のパケットデータを結合させて、電子メールとしてのデータに自動整形して、メールアーカイブ22aに記録させる。
なお、アーカイブデータ13bの構成は、図2に示すような構成に拘束されることはなく、ファイルフォルダ(図2の21a、21b、21cに相当するもの)を日単位で作成し、メールアーカイブ22a、メールアーカイブインデックス22b、ファイルアクセスアーカイブ22c、ファイルアクセスアーカイブインデックス22dのファイル名は、時刻を識別できる形で命名し、同一のフォルダに複数のメールアーカイブ22a等を記録するようにしておくなど、様々な構成が考えられる。
【0026】
図3は、メールアーカイブデータ22aの構成の一例を示したものであり、2009年1月1日午前0時から1時までの間で、メールサーバ4aの扱った電子メールが100件であった場合には、メールアーカイブ22aが、メール番号1のメールデータ31、メール番号2のメールデータ33、…、メール番号100のメールデータ35で構成させることになり、一通一通の電子メールを区切り位置32、34、…、36で区切って保存しておくとよい。
図4は、メールアーカイブインデックス22bの構成の一例を示したものであり、メールアーカイブ22aとして記録した100通の電子メールが、それぞれ、メールアーカイブ22aの何バイト目から何バイト目までの間にあるかという対応を記録させておくとよい。すなわち、メールアーカイブ22aと対応するメール番号41、そのメール番号41に対応するデータ先頭位置42、データ終端位置43を以ってメールアーカイブインデックス22bを生成するようにしておく。電子メール一通の長さは、個々の電子メールによって異なるものであるが、こういったメールアーカイブインデックス22bを用意しておくことで、それぞれの電子メールの先頭を探すことが容易となるので、メールヘッダ部分の検索を行う場合に、メール本文や添付ファイル等が記録された部分の読み込み・比較をスキップできるので効率的といえる。
【0027】
このほか、アーカイブ記録プログラム15bは、ファイルサーバ4b、データベースサーバ4zのアクセス履歴についても、同様な処理を行い、ファイルアクセスアーカイブ22cとファイルアクセスアーカイブインデックス22dを作成する。
図5は、ファイルアクセスアーカイブ22cの構成の一例を示したものであり、アーカイブ記録プログラム15bにて解析したパケットデータのうち、ファイルアクセス(たとえば、Common Internet File System (CIFS)による通信プロトコル)に関連する一連のパケットデータを結合して、自動整形を行ったものである。具体的には、ファイルサーバへのログイン/ログアウトや、ファイルの読込/書込/削除/名称変更などが記録される。
ファイルアクセスアーカイブ22cは、アクセス番号1のアクセス記録51、アクセス番号2のアクセス記録53、…で構成させることになり、一通一通のアクセス記録を区切り位置52、54、…で区切って保存しておくとよい。ファイルアクセスアーカイブインデックス22dは、ファイルアクセスアーカイブ22cとして記録したファイルアクセス情報が(メールアーカイブインデックス22bと同様に)、ファイルアクセスアーカイブ22cの何バイト目から何バイト目までの間にあるかという対応を記録させておく。
【0028】
続いて、図6〜図11を用いてアーカイブデータ13bの検索の流れを説明する。アーカイブシステム1では、複数の検索式を設定することができると共に、マルチタスクにより複数の検索式を同時に処理させることができる。アーカイブデータ13bの検索は、アーカイブ検索プログラム16にて行われる。
【0029】
図6は、検索データ13cの構成の一例を示したものであり、階層別構成をとることで、複数の検索式をグループ別に管理できるようになっている。
検索式65a、65b、65c、…およびその検索にてヒットしたアーカイブデータの所在情報66a、66b、66c、…をそれぞれ一つの組として、各々検索ID62a、62b、62c、…を付与し、いずれかのグループ(グループA、グループB、…、グループZ)に属する形としている。すなわち、各検索式62a、62b、62c、…は、グループ別に設けられたフォルダ(61A、61B、…、61Z)のいずれかに属するようになっている。
また、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするため、各グループの検索の開始/中止/再開/終了などといったステータスをフラグファイル63にて管理すると共に、各グループに属する検索式のステータスはグループA検索状況64A、グループB検索状況64B、…、グループZ検索状況64Zにてそれぞれ管理する。なお、グループ別検索スケジュール67については、実施例2にて説明する。
【0030】
検索式受付プログラム16aは、ユーザの指示に基づいて起動し、アーカイブデータ13bを検索するための検索式を受付けると共に、検索式を受け付ける時に、その検索式に対するグループ属性をユーザに定義させる。
図7は、検索式を設定するためのユーザインターフェースの構成の一例を示したものであり、検索式受付画面71を開くときに、他の検索式と重複しない固有の検索ID72を付与する。ユーザは、その検索式が属する検索グループ73を選択すると共に、検索対象プロトコル74の選択、検索対象期間75の指定、検索キーワード76の入力などにより検索式を設定する。ユーザが検索式設定ボタン77をクリックすると、検索グループ73にて指定したグループA(図6の61A)に対して、検索ID72に対応するフォルダ(図6の62a)を作成して、検索式(図6の65a)を設定するとともに、そのグループに属する検索式のステータス(図6のグループA検索状況64A)に対して、新しい検索式が登録されたことを追記する。
図8は、検索式の設定ファイルおよび検索状況ファイルの構成の一例を示すものであり、検索式65aの設定ファイルとして、検索式受付画面71にて設定した検索条件が記録されるとともに、グループA検索状況64Aには、登録された検索ID81と、その遂行状況82が記録される。なお、遂行状況82は、停止(stop)、検索中(srch)、検索完了(end)、削除(delete)の4種類のステータスが考えられるが、検索処理を直ちに開始させる場合にはステータスとして検索中(srch)を記録し、後で開始させる場合にはステータスとして停止(stop)を記録する。
【0031】
検索実行プログラム16bは、検索式に基づいて記憶装置13に記録されたアーカイブデータ13bを検索処理し、その検索処理でアーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を記憶装置13に記録すると共に、グループ属性に従って、検索式をグループ単位で検索処理する。前述したとおり、検索実行プログラム16bは、マルチタスクにより複数の検索式を同時に処理している。
検索実行プログラム16bは、処理すべき検索式がないときでも、定期的にフラグファイル63を読み込んで、各グループのフラグ(ステータス)が有効(開始/再開)となっている検索グループがあればいつでも検索を開始することができるようになっている。したがって、検索管理プログラム16cによってフラグファイル63の内容が書き換えられた時には、その書き換えられた内容に従ってグループ単位での検索が実施される。
フラグファイル63の中で、フラグが有効(開始/再開)となっている検索グループに対しては、その検索グループに対する検索処理を行うべく、各グループ(61A、61B、…、61Z)に属する検索状況ファイル(64A、64B、…、64Z)を読み込んで、検索中(srch)となっている検索IDに対して検索を行う。
ここで、図6でいう検索式65aによる検索が実行されている場合を例にとると、アーカイブデータ13bを検索している途中で、条件を満たすデータが存在した場合には、そのアーカイブデータの所在が所在情報66aに記録されるということになる。
図9は、所在情報66aの構成の一例を示すものであり、検索条件を満たすアーカイブデータがヒットすると、そのヒットしたアーカイブデータが属するファイルフォルダ名91(図2のファイルフォルダ21a、21b、21c、…に対応)とメール番号92(図4のメール番号41に対応)の組が記録される。
【0032】
なお、検索管理プログラム16cにより、個別の検索ID(62a、62b、…、62c)に対して検索の開始あるいは再開が指示されたときには、指示された検索IDのステータスが変更されたことを記録する。すなわち、図8(b)のグループA検索状況64Aで、該当する検索IDの遂行状況82が停止(stop)から検索中(srch)へと変更される。
また、検索式にて指定された期間のアーカイブデータすべてを検索し終わったとき、または、検索管理プログラム16cにより中止の指示があった場合には、検索IDのステータスが検索中(srch)から、検索完了(end)または停止(stop)へと変更される。あわせて、一時中止が指示されたときには、その検索処理を中止するときに、検索式に対してどこまで検索を行ったのかを記録するようにしておくとよい。たとえば、図9に示すように、所在情報66aの最後の行に再開位置情報93を記録する方法が考えられる。検索の再開が指示された時には、該当する検索IDの検索式とあわせて、再開位置情報93が読み込まれ、その位置から検索を再開することとなる。図による説明は省略するが、再開位置情報93は、図9の所在情報66aの中で記録することにかえて、図8(b)のグループA検索状況64Aの中で、該当する検索ID81の属する行の中でファイルフォルダ名やメール番号をあわせて記録するようにしてもよい。
【0033】
検索管理プログラム16cは、ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させ、グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示する。
図10は、グループ単位での検索を設定するためのユーザインターフェースの構成の一例を示すものであり、検索グループ101を選択して、状況表示ボタン102をクリックすると、検索データ13cの中から指定された検索グループの検索状況(図6の64A、64B、…、64Z)を読み込んで、該当するグループに属する各検索式のグループ検索状況103を画面に表示させる。ユーザが各々の検索式に対して、一時中止ボタン104aや、再開ボタン104bをクリックすることで、検索処理を一時中止させたり、再開したりすることができる。この場合、一時中止や再開の指示が検索実行プログラム16bに通知される。
また、一括中止ボタン104c(一括再開ボタン104d)がクリックされた時には、その検索グループにかかるフラグファイル63の内容が書き換えられ、検索実行プログラム16bがフラグファイルにアクセスしてフラグチェックを行った時に、その検索グループ全体の検索処理が中止(再開)されることになる。
検索が一時中止された検索式や、検索が完了したものについては、削除ボタン105aや一括削除ボタン105bをクリックすることで削除され、このときには、検索データ13cから該当する検索式(図6の65a、65b、65cなど)や所在情報(図6の66a、66b、66cなど)が削除されることになる。
【0034】
このほか、検索管理プログラム16cは、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示するとともに、ユーザの指示に基づいて、所在情報をもとにして、該当するアーカイブデータをあわせてユーザインターフェースへ出力するようにしておくことが望ましい。
図11は、検索式に対する検索結果を表示するためのユーザインターフェースの構成の一例を示すものであり、ユーザが図10の詳細ボタン106をクリックすると、該当する検索式によってヒットしたデータが一覧形式で表示される。該当する検索式の所在情報(図6の66a、66b、66cなど)をもとに、アーカイブデータ13bにアクセスし、そのアーカイブデータが電子メールのアーカイブであれば、メールの題名、日時、発信者、受信者、ファイルサイズなどといった検索結果一覧111を表示し、この一覧111の中から選択された電子メールの内容をメール本文112や添付ファイル一覧113などにより表示する。
【0035】
このように、実施例1によれば、アーカイブデータの検索において、複数の検索式を受付可能とし、これらの検索式にグループ属性を持たせ、グループ単位での検索処理を行い、必要に応じて、検索の中止・再開をグループ単位で管理できるようにするとともに、検索処理の遂行状況をグループ単位でモニタリングできるようにしたので、複数の検索式を以って同時に検索処理を実行させるとともに、必要に応じてその検索の遂行状況を確認しながら、検索処理の中止や再開を容易に管理することができる。
また、検索でヒットしたアーカイブデータの所在情報を活用して、検索の遂行状況と検索でヒットしたアーカイブデータをあわせて表示させることができるので、前述した効果に加えて、検索処理の中止や再開をより容易に管理することができる。
【実施例2】
【0036】
実施例2を図12〜図13に基づいて説明する。なお、実施例1と同じ機能・構成となるものについては、同一の符号を付すこととし、詳細な説明は省略する。
図12は、実施例2にかかるアーカイブシステムの構成を示す説明図である。図1と異なる点は、アーカイブシステム1にリードライタ121を備えた点であり、リードライタ121は、3つのスロット122a、122b、122c(これらをまとめてスロット122と表すことがある)に収納されるディスク123a、123b、123c(これらをまとめてディスク123と表すことがある)に情報を書き込み、あるいは、その情報を読み取ることができる。なお。リードライタ121は、ディスク123のような光ディスク、磁気ディスク用に限られることはなく、テープ媒体を用いたテープレコーダによって構成させてもよい。
アーカイブプログラム15は、図1のデータ記憶領域13にアーカイブデータを書き込むのではなく、リードライタ121を通じて、スロット122に納められたディスク123にアーカイブデータを書き込む。また、アーカイブ検索プログラム16は、リードライタ121を通じて、スロット122に納められたディスク123からアーカイブデータを読み込むことになる。
そして、アーカイブデータが記録される記憶装置は、装着・取り外しが容易な記録媒体を有し、アーカイブデータを記憶装置に記録させる時には、記録されるべきデータを一定時間間隔で編集して、その一定時間間隔おきに一括して記録媒体に記録させるようにし、その記録されるべきデータの情報量が、記録媒体の残り容量を超える時には、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしている。すなわち、ディスク123aにアーカイブデータを記録しようとするときには、一定時間間隔(たとえば1時間毎)で一括して記録するようにし、その記録すべきアーカイブデータのサイズがディスク123aの残り容量を超える場合には、アーカイブデータの記録先を他のディスク123bまたは123cに切り替えるようにする。
【0037】
このように、テープや光ディスク等の交換可能な記録媒体を使用して、アーカイブデータを一定時間間隔(たとえば1時間おき等)で一括して記録するようにし、記録媒体の容量が一杯になりそうな時には、記録媒体を跨るようにアーカイブデータを記録するようなことはせずに、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたので、前述した効果に加えて、一定時間間隔で作成されたアーカイブデータが2つの記録媒体に跨って記録されることがなく、時間範囲をキーとしてアーカイブデータを検索するような場合でも、効率的に検索処理を行うことができる。
【0038】
図13は、グループ単位で検索スケジュールを設定するためのユーザインターフェースの構成の一例を示すものであり、各検索グループの検索スケジュール131を日単位で表示している。ユーザが検索グループ132を選択し、検索時間帯133を指定した上で、検索予約ボタン134をクリックすると、所定のスケジュールが図6のグループ別検索スケジュール67として登録されるようになっている。
そして、検索管理プログラム16cは、ユーザの指示に基づいて、検索処理の開始、検索処理の一時中止、または、検索処理の再開にかかる検索スケジュールの設定をグループ単位で受け付け、その検索スケジュールで設定された時刻に検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる。
すなわち、検索管理プログラム16cは、所定の時間間隔を以って、グループ別検索スケジュール67を確認して、スケジュール通りに検索をコントロールすべく、所定の時刻になったら、フラグファイル63の内容を更新する。
【0039】
このように、検索の開始・一時中止・再開といった検索スケジュールをグループ単位で設定できるようにして、その検索スケジュールで設定された時刻に検索を開始・一時中止・再開させるので、前述した効果に加えて、アーカイブ作成や検索にかかる負荷を考慮した検索処理のスケジューリングができるようになる。特に、コンピュータネットワーク上の通信が活発となる時間帯には検索処理を軽減させ、あるいは、通信が少ない時間帯に検索処理を集中させるなど、アーカイブシステムとして求められる他の機能(コンピュータネットワーク上の通信内容の検出、検出された通信内容の編集、アーカイブデータの記録など)への悪影響を軽減できる。
【産業上の利用可能性】
【0040】
本発明は、コンピュータネットワーク上の通信内容を検出して、その検出された通信内容を編集してアーカイブとして記録するとともに、その記録されたアーカイブデータを管理するための技術として、アーカイブサーバでの利用が考えられるほか、検索技術についてはデータのバックアップ装置などでの利用も考えられる。
【符号の説明】
【0041】
1 アーカイブシステム
2 LAN(ローカルエリアネットワーク)
3 ファイアウォール
4a メールサーバ
4b ファイルサーバ
4c ウェブサーバ
4z データベースサーバ
5a、5b、5z クライアント
6 インターネット
11a CPU(中央演算処理装置)
11b クロック
11c メモリ
12 ネットワークタップ装置
12a、12b ネットワーク端子
13 データ記憶領域(記録装置)
13a パケットデータ
13b アーカイブデータ
13c 検索データ
14 プロクラム記憶領域
15 アーカイブプログラム
15a パケットデータ収集プログラム
15b アーカイブ記録プログラム
16 アーカイブ検索プログラム
16a 検索式受付プログラム
16b 検索実行プログラム
16c 検索管理プログラム
17a グラフィックカード
17b ディスプレイ
18a 入力端子
18b キーボード
21a、21b、21c ファイルフォルダ
22a メールアーカイブ
22b メールアーカイブインデックス
22c ファイルアクセスアーカイブ
22d ファイルアクセスアーカイブインデックス
31、33、35 メールデータ
32、34、36 区切り位置
41 メール番号
42 データ先頭位置
43 データ終端位置
51、53 アクセス記録
52、54 区切り位置
61A、61B、61Z グループ別フォルダ
62a、62b、62c 検索ID
63 フラグファイル
64A グループA検索状況
64B グループB検索状況
64Z グループZ検索状況
65a、65b、65c 検索式
66a、66b、66c 所在情報
67 グループ別検索スケジュール
71 検索式受付画面
72 検索ID
73 検索グループ
74 検索対象プロトコル
75 検索対象期間
76 検索キーワード
77 検索式設定ボタン
81 検索ID
82 遂行状況
91 ファイルフォルダ名
92 メール番号
93 再開位置情報
101 検索グループ
102 状況表示ボタン
103 グループ検索状況
104a 一時中止ボタン
104b 再開ボタン
104c 一括中止ボタン
104d 一括再開ボタン
105a 削除ボタン
105b 一括削除ボタン
106 詳細ボタン
111 検索結果一覧
112 メール本文
113 添付ファイル一覧
121 リードライタ
122、122a、122b、122c スロット
123、123a、123b、123c ディスク
131 検索スケジュール
132 検索グループ
133 検索時間帯
134 検索予約ボタン
【特許請求の範囲】
【請求項1】
コンピュータネットワーク上の通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記憶装置に記録するアーカイブシステムにおいて使用され、
ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付手順と、
前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行手順と、
ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理手順と、
からなる手順を備え、
前記検索式受付手順は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、
前記検索実行手順は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、
前記検索管理手順は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とするアーカイブシステムによる検索方法。
【請求項2】
前記検索管理手順は、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示するとともに、ユーザの指示に基づいて、前記所在情報をもとにして、該当するアーカイブデータをあわせてユーザインターフェースへ出力することを特徴とする請求項1に記載のアーカイブシステムによる検索方法。
【請求項3】
前記検索管理手順は、ユーザの指示に基づいて、検索処理の開始、検索処理の一時中止、または、検索処理の再開にかかる検索スケジュールの設定をグループ単位で受け付け、その検索スケジュールで設定された時刻に検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させることを特徴とする請求項1または請求項2に記載のアーカイブシステムによる検索方法。
【請求項4】
前記アーカイブデータが記録される記憶装置は、装着・取り外しが容易な記録媒体を有し、
前記アーカイブデータを前記記憶装置に記録させる時には、記録されるべきデータを一定時間間隔で編集して、その一定時間間隔おきに一括して前記記録媒体に記録させるようにし、
その記録されるべきデータの情報量が、前記記録媒体の残り容量を超える時には、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたことを特徴とする請求項1ないし請求項3のいずれか1項に記載のアーカイブシステムによる検索方法。
【請求項5】
コンピュータネットワーク上の通信内容を検出する検出部と、
その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、
そのアーカイブデータが記録される記憶装置と、
を備えたアーカイブシステムにおいて使用され、
ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、
前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、
ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、
からなり、
前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、
前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、
前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とするアーカイブシステム用検索プログラム。
【請求項6】
コンピュータネットワーク上の通信内容を検出する検出部と、
その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、
そのアーカイブデータが記録される記憶装置と、
前記アーカイブデータを検索処理する検索処理部と、
を備え、
前記検索処理部は、
ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、
前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、
ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、
からなり、
前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、
前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、
前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とするアーカイブシステム。
【請求項1】
コンピュータネットワーク上の通信内容を検出し、その検出された通信内容を編集して得たアーカイブデータを記憶装置に記録するアーカイブシステムにおいて使用され、
ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付手順と、
前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行手順と、
ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理手順と、
からなる手順を備え、
前記検索式受付手順は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、
前記検索実行手順は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、
前記検索管理手順は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とするアーカイブシステムによる検索方法。
【請求項2】
前記検索管理手順は、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示するとともに、ユーザの指示に基づいて、前記所在情報をもとにして、該当するアーカイブデータをあわせてユーザインターフェースへ出力することを特徴とする請求項1に記載のアーカイブシステムによる検索方法。
【請求項3】
前記検索管理手順は、ユーザの指示に基づいて、検索処理の開始、検索処理の一時中止、または、検索処理の再開にかかる検索スケジュールの設定をグループ単位で受け付け、その検索スケジュールで設定された時刻に検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させることを特徴とする請求項1または請求項2に記載のアーカイブシステムによる検索方法。
【請求項4】
前記アーカイブデータが記録される記憶装置は、装着・取り外しが容易な記録媒体を有し、
前記アーカイブデータを前記記憶装置に記録させる時には、記録されるべきデータを一定時間間隔で編集して、その一定時間間隔おきに一括して前記記録媒体に記録させるようにし、
その記録されるべきデータの情報量が、前記記録媒体の残り容量を超える時には、該記録媒体への記録を新たな記録媒体への記録に切り替えるようにした後で、その記録されるべきデータを一括して記録させるようにしたことを特徴とする請求項1ないし請求項3のいずれか1項に記載のアーカイブシステムによる検索方法。
【請求項5】
コンピュータネットワーク上の通信内容を検出する検出部と、
その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、
そのアーカイブデータが記録される記憶装置と、
を備えたアーカイブシステムにおいて使用され、
ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、
前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、
ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、
からなり、
前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、
前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、
前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とするアーカイブシステム用検索プログラム。
【請求項6】
コンピュータネットワーク上の通信内容を検出する検出部と、
その検出された通信内容を編集してアーカイブデータを生成するアーカイブ生成部と、
そのアーカイブデータが記録される記憶装置と、
前記アーカイブデータを検索処理する検索処理部と、
を備え、
前記検索処理部は、
ユーザの指示に基づいて、前記アーカイブデータを検索するための検索式を受付ける検索式受付処理と、
前記検索式に基づいて、前記記憶装置に記録されたアーカイブデータを検索処理し、その検索処理で前記アーカイブデータがヒットするたびに、該当するアーカイブデータの所在情報を前記記憶装置に記録する検索実行処理と、
ユーザの指示に基づいて、検索処理を開始させ、検索途中にある検索処理を一時中止させ、あるいは、一時中止した検索処理を再開させる検索管理処理と、
からなり、
前記検索式受付処理は、前記検索式を受け付ける時に、その検索式に対するグループ属性を定義させ、
前記検索実行処理は、前記グループ属性に従って、前記検索式をグループ単位で検索処理し、
前記検索管理処理は、前記グループ属性に従って、検索処理の一時中止や再開をグループ単位で管理するとともに、検索処理の遂行状況をユーザインターフェースへ出力するときに、その遂行状況をグループ単位で表示することを特徴とするアーカイブシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2010−287024(P2010−287024A)
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願番号】特願2009−140042(P2009−140042)
【出願日】平成21年6月11日(2009.6.11)
【出願人】(399076312)安川情報システム株式会社 (77)
【Fターム(参考)】
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願日】平成21年6月11日(2009.6.11)
【出願人】(399076312)安川情報システム株式会社 (77)
【Fターム(参考)】
[ Back to top ]