システムログ分析方法、情報処理端末およびシステムログ分析プログラム
【課題】ユーザの不正操作を管理可能なシステムログ分析方法を得ること。
【解決手段】システムログを蓄積するシステムに対してシステムログを出力させ、システムに応じた変換ルールにしたがって、出力されたシステムログを変換し、変換後のシステムログを登録することとし、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出し、また、システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得する。
【解決手段】システムログを蓄積するシステムに対してシステムログを出力させ、システムに応じた変換ルールにしたがって、出力されたシステムログを変換し、変換後のシステムログを登録することとし、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出し、また、システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ディレクトリサービスと連携したシステムログ分析方法に関する。
【背景技術】
【0002】
近年、企業の内部統制を適正に行うために、ITシステムの監査が重要となっている。内部統制を実施する場合には、一般に、業務プロセスの実行・操作履歴(システムログなど)を記録し、セキュリティ事故発生時や障害対応時に当該システムログを分析することで情報漏洩対策などに役立てる。
【0003】
このような場合には、従来、システム管理者がシステムログ分析を行い、不審または不正な操作がないかどうかを分析していた。さらに、不正操作と思われるシステムログを発見し、情報漏洩の発生が疑われる場合には、システム管理者は、当該不正操作を行ったユーザを具体的に特定するために、ユーザ情報(ユーザ名,組織名など)を調査する必要があった。
【0004】
これに対し、ユーザ情報が一元的に格納されたディレクトリサービスと呼ばれるシステムと連携することで、システムログ分析を容易に実行可能とする方法が考案されている。たとえば、下記特許文献1には、Webコンテンツのログ分析にてディレクトリサービスを活用し、アクセスにかかるユーザおよび当該ユーザの所属組織を特定する、といった技術が開示されている。
【0005】
また、下記特許文献2には、ユーザが印刷情報のログを参照する際にディレクトリサービスを活用することとし、各ユーザは、自身がアクセス権を有するログのみ閲覧可能とする、といった技術が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−113805号公報
【特許文献2】特開2007−128359号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記従来の技術では、ユーザおよびユーザの所属する組織を把握することは可能であるが、不正操作と思われる操作を行ったユーザに不正操作の旨を通知しないため、分析による効果が限定的である、という問題があった。
【0008】
また、システムログ分析は、システム管理者が行うため、不正操作を行ったユーザが多数に上る場合にはシステム管理者の負担が増大する、という問題があった。
【0009】
本発明は、上記に鑑みてなされたものであって、ユーザによる不正操作を管理可能なシステムログ分析方法を得ることを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するために、本発明は、ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、変換後のシステムログを登録するシステムログ登録ステップと、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、を含むことを特徴とする。
【発明の効果】
【0011】
本発明によれば、システム管理者の負担を大幅に軽減でき、また、システム管理者が自身の裁量により不正操作を分析する場合と比べ、正確かつ漏れのない管理が可能となる、という効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、本発明にかかるシステムログ分析システムの、実施の形態の構成例を示す図である。
【図2】図2は、ITシステムにおけるシステムログのデータ形式の一例を示す図である。
【図3】図3は、ディレクトリサービスシステムが保持するユーザ情報のデータ例を示す図である。
【図4】図4は、システムログのデータ例を示す図である。
【図5】図5は、データ形式の変換前と後におけるシステムログの例を示す図である。
【図6】図6は、システムログの変換後のデータ例を示す図である。
【図7】図7は、システムログ分析処理を説明するためのフローチャートである。
【図8】図8は、不正なログを抽出する場合を説明する図である。
【図9】図9は、不正操作を行ったユーザが検索された状態を示す図である。
【図10】図10は、システムログ検索処理を説明するためのフローチャートである。
【発明を実施するための形態】
【0013】
以下に、本発明にかかるシステムログ分析方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
【0014】
実施の形態.
図1は、本発明にかかるシステムログ分析システムの、実施の形態の構成例を示す図である。図1のシステムログ分析システムは、管理サーバ1と、ITシステム2と、ディレクトリサービスシステム3と、メールサーバ4と、クライアント端末5−M(M=1,2,…)と、ネットワーク6とを備える。
【0015】
管理サーバ1は、システムログの収集および分析を実行する情報処理端末である。ITシステム2は、既存の業務システムであって、たとえば、ファイル管理システム,会計システムといった1以上のシステムを備え、各システムにおけるユーザの操作履歴を記録したシステムログを保持する。ディレクトリサービスシステム3は、ユーザやネットワーク上のリソースを一元的に管理してこれらの情報を提供するシステムであって、ユーザ情報を保持する。ディレクトリサービスの提供には、たとえば、LDAP(Lightweight Directory Access Protocol)を用いる。メールサーバ4は、メールを配送するためのサーバである。クライアント端末5−Mは、情報処理端末であって、管理サーバ1にアクセスして定期分析または不定期分析の実行を要求できる。ネットワーク6は、LAN(Local Area Network)などの社内ネットワークである。
【0016】
また、管理サーバ1は、一例として、システムログ収集部11と、システムログ分析部12と、システムログ検索部13と、システムログ変換ルールDB14と、システムログ管理DB15と、定期分析設定情報管理DB16とを備える。システムログ収集部11は、ITシステム2が蓄積するシステムログを出力させ、定期分析および不定期分析が行えるデータ形式に変換してシステムログ管理DB15に登録する。システムログ分析部12は、システムログを定期的に自動で分析する。システムログ検索部13は、システムログをユーザのリクエストに応じて検索および表示させる。システムログ変換ルールDB14は、システムログのデータ形式を変換するための「変換ルール」を格納するデータベースである。システムログ管理DB15は、データ形式が変換されたシステムログを格納するデータベースである。定期分析設定情報管理DB16は、定期分析を実行するための条件であって、不正な操作を抽出するための条件である「分析設定情報」を格納するデータベースである。
【0017】
つづいて、以上のように構成されたシステムログ分析システムの動作について説明する。以下では、一例として、ファイルに対するアクセスを制限するファイル管理システムに対して、システムログ分析を行う場合を説明する。
【0018】
まず、ITシステム2が蓄積するシステムログを説明する。図2は、ITシステム2におけるシステムログのデータ形式の一例を示す図である。図2のデータ形式は、一例として、「日時」,「ユーザ名」,「イベントID」,「マシン名」,「監査」,「操作」,「パス」といったデータ項目を備える。「日時」は、操作がなされた際のシステム時刻である。「ユーザ名」は、操作を行ったユーザの名前である。「イベントID」は、操作にかかるイベントのIDであって、たとえば、ファイル管理システムに対する操作,会計システムに対する操作、などのイベントを識別する。イベントは、メニューなどに対応して細分化された情報もよい。「マシン名」は、操作がなされたサーバなどの名称である。「監査」は、操作が正当な操作であるかどうかを示す。「パス」は、操作がなされたファイルへのパスである。
【0019】
また、図3は、ディレクトリサービスシステム3が保持するユーザ情報のデータ例を示す図である。図3のユーザ情報は、一例として、「ユーザID」,「氏名」,「メールアドレス」,「組織ID」,「上長フラグ」といったデータ項目を備える。「ユーザID」は、ユーザを一意に特定する識別子である。「氏名」は、ユーザIDに該当するユーザの氏名である。「メールアドレス」は、当該ユーザのメールアドレスである。「組織ID」は、当該ユーザの属する部署やグループである。「上長フラグ」は、当該ユーザが上長であるかどうかを示すフラグであって、上長の場合にON(“1”)である。
【0020】
システムログは、図3のユーザ情報を用いて、図2の形式によって、出力され蓄積されている。図4は、システムログのデータ例を示す図である。図4にて、1件目のデータ例を参照すると、「日時」:“2009/01/30,09:15:12”に、「ユーザ」:“A_user1”により「イベントID」:“560”(たとえば、ファイル管理システムへのアクセス、を意味するとする)が、「マシン名」:“Server−1”に対してなされたこと、「監査」:“成功の監査”(正当な操作)であり、「操作」:“削除”であって、アクセスされた「パス」:“C:\WWW\temp”であったことがわかる。
【0021】
以上のようなシステムログが蓄積されていることを前提として、システムログ分析を実行する場合について説明する。まず、システムログを収集する処理を説明する。
【0022】
システムログ収集部11は、定期的に起動し、ネットワーク6を介して、ITシステム2に対してシステムログの出力を要求する。ITシステム2では、予め自システムにて決定されたデータ形式にてシステムログを出力し、出力したシステムログを、ネットワーク6を介してシステムログ収集部11へ送信する。出力はテキストデータのファイルとし、CSVのような、データベースへの格納が容易に行える形式とする。システムログのデータ形式は、どのようであってもよい。出力の要求は、システムログ収集部11が、ITシステム2内のサーバ等(図示せず)に対し、telnetやFTP(File Transfer Protocol)によりリモートで接続して行う。また、システムログ収集部11は、システムログが保管されるフォルダパスを予め自身内に設定しておき、フォルダパスに対してログの差分、すなわち、前回収集したシステム時刻より後の日時を持つログを収集する。
【0023】
システムログ収集部11は、システムログを受信すると、システムログ変換ルールDB14が保持する変換ルールにしたがって当該システムログのデータ形式を変換する。
【0024】
変換ルールは、ITシステム2にて稼動するシステムごとに設定する。具体的には、各システムのシステムログにおける出力される項目の並びを、システムログ分析にて必要とする項目の並びに変換する。その際、一部データを補うこともできる。また、システムログにおける一部データのみを取捨選択してもよい。
【0025】
図5は、データ形式の変換前と後におけるシステムログの例を示す図である。図5に示すように、変換前のデータ項目は、「日時」,「ユーザ名」,「イベントID」,「マシン名」,「監査」,「操作」,「パス」といった順に並んでいる。これをファイル管理システムに対して設定された変換ルールで変換する。変換後のデータ項目は、「ログの種類」,「イベントID」,「マシン名」,「ユーザ名」,「監査」,「操作」,「日時」,「パス」といった順に並んでいる。ここで、「ログの種類」は、新たに追加された項目であって、ここでは、ファイル管理システムからのログであることを示すために“FILE”という文字列がセットされる。
【0026】
図6は、システムログの変換後のデータ例を示す図である。図6のデータ例では、図4のデータ例を変換した場合を示す。システムログ収集部11は、このようにして変換したデータを、システムログ管理DB15に登録する。データベース登録にあたっては、変換後のログについて、SQL(Structured Query Language)によりインサート文を作成し、登録を実行する。
【0027】
つぎに、システムログを定期的に分析する処理を説明する。管理サーバ1のシステムログ分析部12は、定期的に、システムログを分析する処理を起動する。起動タイミングは、たとえば、毎週月曜日6時に実行などと設定しておく。
【0028】
図7は、システムログ分析処理(定期分析処理)を説明するためのフローチャートである。管理サーバ1のシステムログ分析部12は、まず、定期分析設定情報管理DB16から「分析設定情報」を読み出す(ステップS11)。そして、分析設定情報にしたがって、システムログ管理DB15が蓄積する変換後のシステムログを検索する(ステップS12)。たとえば、変換後のシステムログが図6である場合に、分析設定情報が“ログの種類がFILE”かつ“失敗の監査”であった場合には、不正操作となるシステムログは、図8の点線で囲むログとなる。図8は、不正なログを抽出する場合を説明する図である。点線箇所のログは、「ログの種類」が“FILE”であり、「監査」が“失敗の監査”となっている。
【0029】
管理サーバ1のシステムログ分析部12は、このようにして不正操作に該当するログを検索すると(ステップS13)、検索結果に含まれるログのユーザIDについて、ディレクトリサービスシステム3に問合せ、ユーザ情報を要求する。ディレクトリサービスシステム3では、問合せを受けたユーザIDに合致するユーザ情報、および当該ユーザIDの上長に該当するユーザのユーザ情報を応答する(ステップS14)。
【0030】
図9は、図2のユーザ情報において、不正操作を行ったユーザが検索された状態を示す図である。図9では、上記ユーザIDに該当するユーザおよび上長のユーザ情報を、点線で囲んで示す。ここでは「ユーザID」:“A_user2”であるので、ユーザ情報を参照すると「メールアドレス」は“A_user2@test.com”である。したがって、システムログ分析部12は、メールアドレス“A_user2@test.com”を宛先として、不正操作を行ったことを通知または警告するメールを生成する。また、「ユーザID」:“A_user2”の「組織ID」は“GroupA”であるため、当該ユーザの上長は、「上長フラグ」:“1”であるユーザである“A_userBoss”であり、「メールアドレス」は“A_userBoss@test.com”である。したがって、システムログ分析部12は、メールアドレス“A_userBoss@test.com”を宛先として、「ユーザID」:“A_user2”のユーザを氏名により特定して、当該ユーザが不正操作を行ったことを通知または警告するメールを生成する(ステップS15)。
【0031】
管理サーバ1のシステムログ分析部12は、メールを生成すると、メールサーバ4にこれらのメールを送信する(ステップS16)。メールサーバ4は、宛先にしたがってこれらのメールを配信する。なお、メールの配送は、システム側からユーザに対してのみ行われ、その逆の経路(ユーザからシステム側)には配送できないとする。
【0032】
つぎに、システムログを不定期に分析する処理を説明する。管理サーバ1のシステムログ検索部13は、ユーザの要求によって、不定期に、ユーザがシステムログを分析するための処理であるシステムログ検索処理を起動する。利用者には、システム管理者または上長を想定する。
【0033】
図10は、システムログ検索処理(不定期分析処理)を説明するためのフローチャートである。たとえば、上長が、自身のクライアント端末を用いてシステムログ検索処理の起動要求を送信する。管理サーバ1のシステムログ検索部13は、自身に対する当該要求を検知すると(ステップS21)、表示部にログイン画面を表示させる(ステップS22)。当該画面にて上長がログインを行うと(ステップS23)、そのログイン情報(たとえば、ユーザIDおよびパスワード)を受信したシステムログ検索部13は、ディレクトリサービスシステム3に対して、当該ユーザIDおよびパスワードを添えて、当該ユーザが上長であるかどうかを問合せる。ディレクトリサービスシステム3では、認証を行うためのユーザIDとパスワードとの対応関係を保持している。指定されたユーザIDおよびパスワードによりユーザを認証し、認証できた場合には、さらに、ユーザ情報から上長フラグを読み出す。そして、認証結果および上長フラグを含めた応答を返信する。
【0034】
管理サーバ1のシステムログ検索部13は、応答にてユーザを認証した旨が通知された場合には、さらに、応答に含まれる上長フラグを取得する。そして、上長フラグがON:“1”であるかどうかをチェックし(ステップS24)、上長フラグがONである場合には(ステップS24:Yes)、ユーザがシステムログの分析を行うために参照するシステムログ分析画面へのログインを許可する(ステップS25)。システムログ検索部13は、この場合、システムログ管理DB15から変換後のシステムログを取得し、システムログ分析画面に表示させる。
【0035】
なお、表示させるシステムログは、当該上長の組織に属するユーザのみである。すなわち、たとえば、上長が組織ID“GroupA”に所属する場合には、組織ID“GroupA”に所属するユーザIDに合致するシステムログのみが表示される。上長は、さらに検索条件を適宜設定して、所望のシステムログを検索する。管理サーバ1のシステムログ検索部13は、設定された検索条件を取得すると(ステップS26)、組織ID“GroupA”のシステムログを、当該検索条件にて絞り込み、その実行結果を表示させる(ステップS27)。なお、メールによる通知については、システムログ検索部13は行わない。
【0036】
一方、上長フラグがONでない場合には(ステップS24:No)、管理サーバ1のシステムログ検索部13は、システムログ分析画面へのログインを許可しない。この場合には、上長以外はログイン不可である旨のメッセージを画面に表示させ(ステップS28)、ステップS22の処理に戻る。
【0037】
以上のシステムログ検索処理は、ユーザがシステムログ分析画面またはログイン画面を閉じるまでの間、実行される。
【0038】
なお、図1に示す上記管理サーバ1は、本実施の形態におけるシステムログ分析処理を実現可能な一般的な計算機システムであり、たとえば、システムログ収集部11,システムログ分析部12,システムログ検索部13がCPUを含む制御ユニットとして動作し、システムログ変換ルールDB14,システムログ管理DB15,定期分析設定情報管理DB16がRAM,ROM等を含むメモリユニットの一部として動作する。また、この計算機システムは、上記制御ユニットおよびメモリユニットの他にさらに、たとえば、表示ユニット,入力ユニット,CD−ROMドライブユニット,ディスクユニット,外部I/Fユニット等を備え、これらすべてのユニットは、それぞれシステムバスを介して接続されている。
【0039】
上記制御ユニットは、本実施の形態のファイル管理機能を実現するための処理を実行する。メモリユニットは、制御ユニットが実行すべきプログラム(実施の形態の定期分析処理および不定期分析処理を実現する専用ソフトウェア),処理の過程で得られたデータ等を記憶する。また、表示ユニットは、CRTやLCD(液晶表示パネル)等で構成され、計算機システムの使用者に対して各種画面を表示する。入力ユニットは、たとえば、キーボード,マウス等で構成され、計算機システムの使用者が各種情報の入力を行うために使用する。また、ここでは、一例として、本実施の形態のシステムログ分析処理およびシステムログ検索処理を実現するための処理を記述したプログラムが、CD−ROMに格納されて提供される。
【0040】
以上の構成において、図1の計算機システムでは、まず、CD−ROMドライブユニットにセットされたCD−ROMからプログラムがディスクユニットにインストールされる。そして、計算機システムを立ち上げるときにディスクユニットから読み出されたプログラムが、メモリユニットに格納される。この状態で、制御ユニットは、メモリユニットに格納されたプログラムにしたがって、本実施の形態に示す処理を実行する。このプログラムは、上記計算機システム内で常駐プログラムとして動作する。なお、上記では、CD−ROMにてプログラムを提供しているが、このプログラムを提供する記録媒体は、これに限定されることなく、システムを構成するコンピュータに応じて、DVD等、どのようなメディアであってもよい。
【0041】
以上説明したように、本実施の形態では、不正操作を特定するために予め設定された条件にしたがって定期的にシステムログを自動分析し、所定の条件に合致する操作を行ったとみられるシステムログを、不正操作によるシステムログとみなして抽出する構成とした。また、本実施の形態では、ディレクトリサービスシステムと連携して、システムログの分析を行う構成とした。これにより、システム管理者の負担を大幅に軽減でき、また、システム管理者が自身の裁量により不正操作を分析する場合と比べ、正確かつ漏れのない管理が可能となる。また、一元管理されるユーザ情報を用いるので、正確かつ漏れのない分析が可能となる。
【0042】
また、抽出したシステムログが示すユーザに対して画一的にメール送信を行う構成とした。これにより、不正操作を行ったユーザは、自身の端末にて当該メールを受信するので、自身が不正操作を行ったことを認識でき、不正操作を抑止し、さらには、機密情報などの漏洩を抑止する効果がある。また、ユーザの上長に対してもメールを送信するので、上長は、配下のスタッフなどが不正操作を行ったことを認識でき、さらに情報漏洩を抑止する効果がある。また、上長にも通知することで、上長および配下ユーザの内部統制に対する意識を向上させる効果がある。
【0043】
また、本実施の形態では、稼動する各システムにて蓄積されるシステムログに対して、管理サーバ側でシステムごとにログの変換ルールを管理し、分析に必要なデータに変換して用いる構成とした。これにより、既存システムに手を加えずに、必要なデータを取得でき、システムに対して影響を与えることを回避でき、メンテナンスも容易となる。
【0044】
また、本実施の形態では、組織の上長によるリクエストベースのシステムログ検索を可能とする構成とした。これにより、上長による所望するタイミングでの不定期分析が可能となり、組織単位のユーザを対象に不正操作をチェックする体制を提供できる。
【0045】
なお、上記実施の形態では、システムログ分析部12は予め設定されたタイミングにより起動することとしたが、さらに、システム管理者などの指示により起動するとしてもよい。
【0046】
また、上記実施の形態では、システムログ分析部12による分析処理またはシステムログ検索部13による検索処理を、リモートログインにて実行する場合を示したが、これらの機能をWebシステムにて提供されることとしてもよい。この場合には、クライアント端末は、ブラウザを備える必要がある。
【産業上の利用可能性】
【0047】
以上のように、本発明にかかるシステムログ分析方法は、システムログを蓄積するシステムである場合に有用であり、特に、システムログを用いて不正操作を管理する場合に適している。
【符号の説明】
【0048】
1 管理サーバ
2 ITシステム
3 ディレクトリサービスシステム
4 メールサーバ
5−M クライアント端末
11 システムログ収集部
12 システムログ分析部
13 システムログ検索部
14 システムログ変換ルールDB
15 システムログ管理DB
16 定期分析設定情報管理DB
【技術分野】
【0001】
本発明は、ディレクトリサービスと連携したシステムログ分析方法に関する。
【背景技術】
【0002】
近年、企業の内部統制を適正に行うために、ITシステムの監査が重要となっている。内部統制を実施する場合には、一般に、業務プロセスの実行・操作履歴(システムログなど)を記録し、セキュリティ事故発生時や障害対応時に当該システムログを分析することで情報漏洩対策などに役立てる。
【0003】
このような場合には、従来、システム管理者がシステムログ分析を行い、不審または不正な操作がないかどうかを分析していた。さらに、不正操作と思われるシステムログを発見し、情報漏洩の発生が疑われる場合には、システム管理者は、当該不正操作を行ったユーザを具体的に特定するために、ユーザ情報(ユーザ名,組織名など)を調査する必要があった。
【0004】
これに対し、ユーザ情報が一元的に格納されたディレクトリサービスと呼ばれるシステムと連携することで、システムログ分析を容易に実行可能とする方法が考案されている。たとえば、下記特許文献1には、Webコンテンツのログ分析にてディレクトリサービスを活用し、アクセスにかかるユーザおよび当該ユーザの所属組織を特定する、といった技術が開示されている。
【0005】
また、下記特許文献2には、ユーザが印刷情報のログを参照する際にディレクトリサービスを活用することとし、各ユーザは、自身がアクセス権を有するログのみ閲覧可能とする、といった技術が開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−113805号公報
【特許文献2】特開2007−128359号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上記従来の技術では、ユーザおよびユーザの所属する組織を把握することは可能であるが、不正操作と思われる操作を行ったユーザに不正操作の旨を通知しないため、分析による効果が限定的である、という問題があった。
【0008】
また、システムログ分析は、システム管理者が行うため、不正操作を行ったユーザが多数に上る場合にはシステム管理者の負担が増大する、という問題があった。
【0009】
本発明は、上記に鑑みてなされたものであって、ユーザによる不正操作を管理可能なシステムログ分析方法を得ることを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するために、本発明は、ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、変換後のシステムログを登録するシステムログ登録ステップと、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、を含むことを特徴とする。
【発明の効果】
【0011】
本発明によれば、システム管理者の負担を大幅に軽減でき、また、システム管理者が自身の裁量により不正操作を分析する場合と比べ、正確かつ漏れのない管理が可能となる、という効果を奏する。
【図面の簡単な説明】
【0012】
【図1】図1は、本発明にかかるシステムログ分析システムの、実施の形態の構成例を示す図である。
【図2】図2は、ITシステムにおけるシステムログのデータ形式の一例を示す図である。
【図3】図3は、ディレクトリサービスシステムが保持するユーザ情報のデータ例を示す図である。
【図4】図4は、システムログのデータ例を示す図である。
【図5】図5は、データ形式の変換前と後におけるシステムログの例を示す図である。
【図6】図6は、システムログの変換後のデータ例を示す図である。
【図7】図7は、システムログ分析処理を説明するためのフローチャートである。
【図8】図8は、不正なログを抽出する場合を説明する図である。
【図9】図9は、不正操作を行ったユーザが検索された状態を示す図である。
【図10】図10は、システムログ検索処理を説明するためのフローチャートである。
【発明を実施するための形態】
【0013】
以下に、本発明にかかるシステムログ分析方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
【0014】
実施の形態.
図1は、本発明にかかるシステムログ分析システムの、実施の形態の構成例を示す図である。図1のシステムログ分析システムは、管理サーバ1と、ITシステム2と、ディレクトリサービスシステム3と、メールサーバ4と、クライアント端末5−M(M=1,2,…)と、ネットワーク6とを備える。
【0015】
管理サーバ1は、システムログの収集および分析を実行する情報処理端末である。ITシステム2は、既存の業務システムであって、たとえば、ファイル管理システム,会計システムといった1以上のシステムを備え、各システムにおけるユーザの操作履歴を記録したシステムログを保持する。ディレクトリサービスシステム3は、ユーザやネットワーク上のリソースを一元的に管理してこれらの情報を提供するシステムであって、ユーザ情報を保持する。ディレクトリサービスの提供には、たとえば、LDAP(Lightweight Directory Access Protocol)を用いる。メールサーバ4は、メールを配送するためのサーバである。クライアント端末5−Mは、情報処理端末であって、管理サーバ1にアクセスして定期分析または不定期分析の実行を要求できる。ネットワーク6は、LAN(Local Area Network)などの社内ネットワークである。
【0016】
また、管理サーバ1は、一例として、システムログ収集部11と、システムログ分析部12と、システムログ検索部13と、システムログ変換ルールDB14と、システムログ管理DB15と、定期分析設定情報管理DB16とを備える。システムログ収集部11は、ITシステム2が蓄積するシステムログを出力させ、定期分析および不定期分析が行えるデータ形式に変換してシステムログ管理DB15に登録する。システムログ分析部12は、システムログを定期的に自動で分析する。システムログ検索部13は、システムログをユーザのリクエストに応じて検索および表示させる。システムログ変換ルールDB14は、システムログのデータ形式を変換するための「変換ルール」を格納するデータベースである。システムログ管理DB15は、データ形式が変換されたシステムログを格納するデータベースである。定期分析設定情報管理DB16は、定期分析を実行するための条件であって、不正な操作を抽出するための条件である「分析設定情報」を格納するデータベースである。
【0017】
つづいて、以上のように構成されたシステムログ分析システムの動作について説明する。以下では、一例として、ファイルに対するアクセスを制限するファイル管理システムに対して、システムログ分析を行う場合を説明する。
【0018】
まず、ITシステム2が蓄積するシステムログを説明する。図2は、ITシステム2におけるシステムログのデータ形式の一例を示す図である。図2のデータ形式は、一例として、「日時」,「ユーザ名」,「イベントID」,「マシン名」,「監査」,「操作」,「パス」といったデータ項目を備える。「日時」は、操作がなされた際のシステム時刻である。「ユーザ名」は、操作を行ったユーザの名前である。「イベントID」は、操作にかかるイベントのIDであって、たとえば、ファイル管理システムに対する操作,会計システムに対する操作、などのイベントを識別する。イベントは、メニューなどに対応して細分化された情報もよい。「マシン名」は、操作がなされたサーバなどの名称である。「監査」は、操作が正当な操作であるかどうかを示す。「パス」は、操作がなされたファイルへのパスである。
【0019】
また、図3は、ディレクトリサービスシステム3が保持するユーザ情報のデータ例を示す図である。図3のユーザ情報は、一例として、「ユーザID」,「氏名」,「メールアドレス」,「組織ID」,「上長フラグ」といったデータ項目を備える。「ユーザID」は、ユーザを一意に特定する識別子である。「氏名」は、ユーザIDに該当するユーザの氏名である。「メールアドレス」は、当該ユーザのメールアドレスである。「組織ID」は、当該ユーザの属する部署やグループである。「上長フラグ」は、当該ユーザが上長であるかどうかを示すフラグであって、上長の場合にON(“1”)である。
【0020】
システムログは、図3のユーザ情報を用いて、図2の形式によって、出力され蓄積されている。図4は、システムログのデータ例を示す図である。図4にて、1件目のデータ例を参照すると、「日時」:“2009/01/30,09:15:12”に、「ユーザ」:“A_user1”により「イベントID」:“560”(たとえば、ファイル管理システムへのアクセス、を意味するとする)が、「マシン名」:“Server−1”に対してなされたこと、「監査」:“成功の監査”(正当な操作)であり、「操作」:“削除”であって、アクセスされた「パス」:“C:\WWW\temp”であったことがわかる。
【0021】
以上のようなシステムログが蓄積されていることを前提として、システムログ分析を実行する場合について説明する。まず、システムログを収集する処理を説明する。
【0022】
システムログ収集部11は、定期的に起動し、ネットワーク6を介して、ITシステム2に対してシステムログの出力を要求する。ITシステム2では、予め自システムにて決定されたデータ形式にてシステムログを出力し、出力したシステムログを、ネットワーク6を介してシステムログ収集部11へ送信する。出力はテキストデータのファイルとし、CSVのような、データベースへの格納が容易に行える形式とする。システムログのデータ形式は、どのようであってもよい。出力の要求は、システムログ収集部11が、ITシステム2内のサーバ等(図示せず)に対し、telnetやFTP(File Transfer Protocol)によりリモートで接続して行う。また、システムログ収集部11は、システムログが保管されるフォルダパスを予め自身内に設定しておき、フォルダパスに対してログの差分、すなわち、前回収集したシステム時刻より後の日時を持つログを収集する。
【0023】
システムログ収集部11は、システムログを受信すると、システムログ変換ルールDB14が保持する変換ルールにしたがって当該システムログのデータ形式を変換する。
【0024】
変換ルールは、ITシステム2にて稼動するシステムごとに設定する。具体的には、各システムのシステムログにおける出力される項目の並びを、システムログ分析にて必要とする項目の並びに変換する。その際、一部データを補うこともできる。また、システムログにおける一部データのみを取捨選択してもよい。
【0025】
図5は、データ形式の変換前と後におけるシステムログの例を示す図である。図5に示すように、変換前のデータ項目は、「日時」,「ユーザ名」,「イベントID」,「マシン名」,「監査」,「操作」,「パス」といった順に並んでいる。これをファイル管理システムに対して設定された変換ルールで変換する。変換後のデータ項目は、「ログの種類」,「イベントID」,「マシン名」,「ユーザ名」,「監査」,「操作」,「日時」,「パス」といった順に並んでいる。ここで、「ログの種類」は、新たに追加された項目であって、ここでは、ファイル管理システムからのログであることを示すために“FILE”という文字列がセットされる。
【0026】
図6は、システムログの変換後のデータ例を示す図である。図6のデータ例では、図4のデータ例を変換した場合を示す。システムログ収集部11は、このようにして変換したデータを、システムログ管理DB15に登録する。データベース登録にあたっては、変換後のログについて、SQL(Structured Query Language)によりインサート文を作成し、登録を実行する。
【0027】
つぎに、システムログを定期的に分析する処理を説明する。管理サーバ1のシステムログ分析部12は、定期的に、システムログを分析する処理を起動する。起動タイミングは、たとえば、毎週月曜日6時に実行などと設定しておく。
【0028】
図7は、システムログ分析処理(定期分析処理)を説明するためのフローチャートである。管理サーバ1のシステムログ分析部12は、まず、定期分析設定情報管理DB16から「分析設定情報」を読み出す(ステップS11)。そして、分析設定情報にしたがって、システムログ管理DB15が蓄積する変換後のシステムログを検索する(ステップS12)。たとえば、変換後のシステムログが図6である場合に、分析設定情報が“ログの種類がFILE”かつ“失敗の監査”であった場合には、不正操作となるシステムログは、図8の点線で囲むログとなる。図8は、不正なログを抽出する場合を説明する図である。点線箇所のログは、「ログの種類」が“FILE”であり、「監査」が“失敗の監査”となっている。
【0029】
管理サーバ1のシステムログ分析部12は、このようにして不正操作に該当するログを検索すると(ステップS13)、検索結果に含まれるログのユーザIDについて、ディレクトリサービスシステム3に問合せ、ユーザ情報を要求する。ディレクトリサービスシステム3では、問合せを受けたユーザIDに合致するユーザ情報、および当該ユーザIDの上長に該当するユーザのユーザ情報を応答する(ステップS14)。
【0030】
図9は、図2のユーザ情報において、不正操作を行ったユーザが検索された状態を示す図である。図9では、上記ユーザIDに該当するユーザおよび上長のユーザ情報を、点線で囲んで示す。ここでは「ユーザID」:“A_user2”であるので、ユーザ情報を参照すると「メールアドレス」は“A_user2@test.com”である。したがって、システムログ分析部12は、メールアドレス“A_user2@test.com”を宛先として、不正操作を行ったことを通知または警告するメールを生成する。また、「ユーザID」:“A_user2”の「組織ID」は“GroupA”であるため、当該ユーザの上長は、「上長フラグ」:“1”であるユーザである“A_userBoss”であり、「メールアドレス」は“A_userBoss@test.com”である。したがって、システムログ分析部12は、メールアドレス“A_userBoss@test.com”を宛先として、「ユーザID」:“A_user2”のユーザを氏名により特定して、当該ユーザが不正操作を行ったことを通知または警告するメールを生成する(ステップS15)。
【0031】
管理サーバ1のシステムログ分析部12は、メールを生成すると、メールサーバ4にこれらのメールを送信する(ステップS16)。メールサーバ4は、宛先にしたがってこれらのメールを配信する。なお、メールの配送は、システム側からユーザに対してのみ行われ、その逆の経路(ユーザからシステム側)には配送できないとする。
【0032】
つぎに、システムログを不定期に分析する処理を説明する。管理サーバ1のシステムログ検索部13は、ユーザの要求によって、不定期に、ユーザがシステムログを分析するための処理であるシステムログ検索処理を起動する。利用者には、システム管理者または上長を想定する。
【0033】
図10は、システムログ検索処理(不定期分析処理)を説明するためのフローチャートである。たとえば、上長が、自身のクライアント端末を用いてシステムログ検索処理の起動要求を送信する。管理サーバ1のシステムログ検索部13は、自身に対する当該要求を検知すると(ステップS21)、表示部にログイン画面を表示させる(ステップS22)。当該画面にて上長がログインを行うと(ステップS23)、そのログイン情報(たとえば、ユーザIDおよびパスワード)を受信したシステムログ検索部13は、ディレクトリサービスシステム3に対して、当該ユーザIDおよびパスワードを添えて、当該ユーザが上長であるかどうかを問合せる。ディレクトリサービスシステム3では、認証を行うためのユーザIDとパスワードとの対応関係を保持している。指定されたユーザIDおよびパスワードによりユーザを認証し、認証できた場合には、さらに、ユーザ情報から上長フラグを読み出す。そして、認証結果および上長フラグを含めた応答を返信する。
【0034】
管理サーバ1のシステムログ検索部13は、応答にてユーザを認証した旨が通知された場合には、さらに、応答に含まれる上長フラグを取得する。そして、上長フラグがON:“1”であるかどうかをチェックし(ステップS24)、上長フラグがONである場合には(ステップS24:Yes)、ユーザがシステムログの分析を行うために参照するシステムログ分析画面へのログインを許可する(ステップS25)。システムログ検索部13は、この場合、システムログ管理DB15から変換後のシステムログを取得し、システムログ分析画面に表示させる。
【0035】
なお、表示させるシステムログは、当該上長の組織に属するユーザのみである。すなわち、たとえば、上長が組織ID“GroupA”に所属する場合には、組織ID“GroupA”に所属するユーザIDに合致するシステムログのみが表示される。上長は、さらに検索条件を適宜設定して、所望のシステムログを検索する。管理サーバ1のシステムログ検索部13は、設定された検索条件を取得すると(ステップS26)、組織ID“GroupA”のシステムログを、当該検索条件にて絞り込み、その実行結果を表示させる(ステップS27)。なお、メールによる通知については、システムログ検索部13は行わない。
【0036】
一方、上長フラグがONでない場合には(ステップS24:No)、管理サーバ1のシステムログ検索部13は、システムログ分析画面へのログインを許可しない。この場合には、上長以外はログイン不可である旨のメッセージを画面に表示させ(ステップS28)、ステップS22の処理に戻る。
【0037】
以上のシステムログ検索処理は、ユーザがシステムログ分析画面またはログイン画面を閉じるまでの間、実行される。
【0038】
なお、図1に示す上記管理サーバ1は、本実施の形態におけるシステムログ分析処理を実現可能な一般的な計算機システムであり、たとえば、システムログ収集部11,システムログ分析部12,システムログ検索部13がCPUを含む制御ユニットとして動作し、システムログ変換ルールDB14,システムログ管理DB15,定期分析設定情報管理DB16がRAM,ROM等を含むメモリユニットの一部として動作する。また、この計算機システムは、上記制御ユニットおよびメモリユニットの他にさらに、たとえば、表示ユニット,入力ユニット,CD−ROMドライブユニット,ディスクユニット,外部I/Fユニット等を備え、これらすべてのユニットは、それぞれシステムバスを介して接続されている。
【0039】
上記制御ユニットは、本実施の形態のファイル管理機能を実現するための処理を実行する。メモリユニットは、制御ユニットが実行すべきプログラム(実施の形態の定期分析処理および不定期分析処理を実現する専用ソフトウェア),処理の過程で得られたデータ等を記憶する。また、表示ユニットは、CRTやLCD(液晶表示パネル)等で構成され、計算機システムの使用者に対して各種画面を表示する。入力ユニットは、たとえば、キーボード,マウス等で構成され、計算機システムの使用者が各種情報の入力を行うために使用する。また、ここでは、一例として、本実施の形態のシステムログ分析処理およびシステムログ検索処理を実現するための処理を記述したプログラムが、CD−ROMに格納されて提供される。
【0040】
以上の構成において、図1の計算機システムでは、まず、CD−ROMドライブユニットにセットされたCD−ROMからプログラムがディスクユニットにインストールされる。そして、計算機システムを立ち上げるときにディスクユニットから読み出されたプログラムが、メモリユニットに格納される。この状態で、制御ユニットは、メモリユニットに格納されたプログラムにしたがって、本実施の形態に示す処理を実行する。このプログラムは、上記計算機システム内で常駐プログラムとして動作する。なお、上記では、CD−ROMにてプログラムを提供しているが、このプログラムを提供する記録媒体は、これに限定されることなく、システムを構成するコンピュータに応じて、DVD等、どのようなメディアであってもよい。
【0041】
以上説明したように、本実施の形態では、不正操作を特定するために予め設定された条件にしたがって定期的にシステムログを自動分析し、所定の条件に合致する操作を行ったとみられるシステムログを、不正操作によるシステムログとみなして抽出する構成とした。また、本実施の形態では、ディレクトリサービスシステムと連携して、システムログの分析を行う構成とした。これにより、システム管理者の負担を大幅に軽減でき、また、システム管理者が自身の裁量により不正操作を分析する場合と比べ、正確かつ漏れのない管理が可能となる。また、一元管理されるユーザ情報を用いるので、正確かつ漏れのない分析が可能となる。
【0042】
また、抽出したシステムログが示すユーザに対して画一的にメール送信を行う構成とした。これにより、不正操作を行ったユーザは、自身の端末にて当該メールを受信するので、自身が不正操作を行ったことを認識でき、不正操作を抑止し、さらには、機密情報などの漏洩を抑止する効果がある。また、ユーザの上長に対してもメールを送信するので、上長は、配下のスタッフなどが不正操作を行ったことを認識でき、さらに情報漏洩を抑止する効果がある。また、上長にも通知することで、上長および配下ユーザの内部統制に対する意識を向上させる効果がある。
【0043】
また、本実施の形態では、稼動する各システムにて蓄積されるシステムログに対して、管理サーバ側でシステムごとにログの変換ルールを管理し、分析に必要なデータに変換して用いる構成とした。これにより、既存システムに手を加えずに、必要なデータを取得でき、システムに対して影響を与えることを回避でき、メンテナンスも容易となる。
【0044】
また、本実施の形態では、組織の上長によるリクエストベースのシステムログ検索を可能とする構成とした。これにより、上長による所望するタイミングでの不定期分析が可能となり、組織単位のユーザを対象に不正操作をチェックする体制を提供できる。
【0045】
なお、上記実施の形態では、システムログ分析部12は予め設定されたタイミングにより起動することとしたが、さらに、システム管理者などの指示により起動するとしてもよい。
【0046】
また、上記実施の形態では、システムログ分析部12による分析処理またはシステムログ検索部13による検索処理を、リモートログインにて実行する場合を示したが、これらの機能をWebシステムにて提供されることとしてもよい。この場合には、クライアント端末は、ブラウザを備える必要がある。
【産業上の利用可能性】
【0047】
以上のように、本発明にかかるシステムログ分析方法は、システムログを蓄積するシステムである場合に有用であり、特に、システムログを用いて不正操作を管理する場合に適している。
【符号の説明】
【0048】
1 管理サーバ
2 ITシステム
3 ディレクトリサービスシステム
4 メールサーバ
5−M クライアント端末
11 システムログ収集部
12 システムログ分析部
13 システムログ検索部
14 システムログ変換ルールDB
15 システムログ管理DB
16 定期分析設定情報管理DB
【特許請求の範囲】
【請求項1】
ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、
変換後のシステムログを登録するシステムログ登録ステップと、
変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、
前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、
を含むことを特徴とするシステムログ分析方法。
【請求項2】
前記ユーザ情報取得ステップでは、ユーザ情報として、ユーザ名およびメールアドレスを取得することとし、
さらに、
前記ユーザ情報取得ステップを実行して得られたユーザ名およびメールアドレスを用いて、不正な操作を行ったユーザに対し、不正な操作を行った旨を通知するためのメールを配信する通知メール配信ステップ、
を含むことを特徴とする請求項1に記載のシステムログ分析方法。
【請求項3】
前記ユーザ情報取得ステップでは、ユーザ情報として、さらに、不正な操作を行ったユーザの上長のユーザ名およびメールアドレスを取得することとし、
さらに、
前記ユーザ情報取得ステップを実行して得られた上長のユーザ名およびメールアドレスを用いて、当該上長に対し、配下のユーザが不正な操作を行った旨を通知するためのメールを配信する上長通知メール配信ステップ、
を含むことを特徴とする請求項2に記載のシステムログ分析方法。
【請求項4】
さらに、
ユーザよりシステムログ検索処理が要求されたことを検出した場合に、当該ユーザに対してログインを要求し、入力されたログイン情報を前記ディレクトリサービスシステムに送信してユーザ認証を要求する認証要求ステップと、
前記ディレクトリサービスシステムから応答されるユーザ認証の結果、当該ユーザが上長であることが応答された場合に、当該ユーザがシステムログの分析を行うために参照するシステムログ分析画面に対するログインを許可し、変換後のシステムログのなかから当該ユーザの所属する組織に関するシステムログを抽出して当該システムログ分析画面に表示させるシステムログ提示ステップと、
検索条件が入力された場合に、当該検索条件に合致するシステムログを絞り込んで表示させる検索結果表示ステップと、
を含むことを特徴とする請求項2または3に記載のシステムログ分析方法。
【請求項5】
システムごとに、ユーザによる操作の記録であるシステムログのデータ形式を変換するための変換ルールを格納するためのシステムログ変換ルール記憶手段と、
データ形式が変換されたシステムログを格納するためのシステムログ管理手段と、
分析を実行するための条件である分析設定情報を格納するための分析設定情報管理手段と、
システムログを蓄積するシステムに対して、当該システムログの出力を要求し、また、前記システムログ変換ルール記憶手段から変換ルールを読み出して、当該変換ルールにしたがって出力されたシステムログを変換し、変換後のシステムログを前記システムログ管理手段に登録するシステムログ収集手段と、
前記分析設定情報管理手段が保持する分析設定情報を読み出し、前記システムログ管理手段が格納するシステムログを対象に、当該分析設定情報に合致するシステムログを検索して、不正な操作とみなされるシステムログを抽出し、また、抽出したシステムログにて示されるユーザのユーザ情報を、ディレクトリサービスシステムより取得するシステムログ分析手段と、
を備えることを特徴とする情報処理端末。
【請求項6】
前記システムログ分析手段は、
前記ユーザ情報として、ユーザ名およびメールアドレスを取得することとし、
さらに、
取得したユーザ名およびメールアドレスを用いて、不正な操作を行ったユーザに対し、不正な操作を行った旨を通知するためのメールを配信する制御を行う、
ことを特徴とする請求項5に記載の情報処理端末。
【請求項7】
前記システムログ分析手段は、さらに、
前記ユーザ情報として、不正な操作を行ったユーザの上長のユーザ名およびメールアドレスを取得することとし、
取得した上長のユーザ名およびメールアドレスを用いて、当該上長に対し、配下のユーザが不正な操作を行った旨を通知するためのメールを配信する制御を行う、
ことを特徴とする請求項6に記載の情報処理端末。
【請求項8】
さらに、ユーザの要求に応じてシステムログを検索および表示させる制御を行うシステムログ検索手段、
を備え、
前記システムログ検索手段は、
ユーザよりシステムログ検索処理が要求されたことを検出した場合には、当該ユーザに対してログインを要求し、入力されたログイン情報を前記ディレクトリサービスシステムに送信してユーザ認証を要求し、当該ディレクトリサービスシステムから応答されるユーザ認証の結果、当該ユーザが上長である場合には、当該ユーザがシステムログの分析を行うために参照するシステムログ分析画面に対するログインを許可し、
前記システムログ管理手段から変換後のシステムログを読み出し、当該システムログのなかから当該ユーザの所属する組織に関するシステムログを抽出して、前記システムログ分析画面に表示させる制御を行い、また、ユーザにより検索条件が入力された場合には、当該検索条件に合致するシステムログを絞り込んで表示させる制御を行う、
ことを特徴とする請求項6または7に記載の情報処理端末。
【請求項9】
請求項1〜4のいずれか1つに記載のシステムログ分析方法を、コンピュータに実行させることを特徴とするシステムログ分析プログラム。
【請求項1】
ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、
変換後のシステムログを登録するシステムログ登録ステップと、
変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、
前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、
を含むことを特徴とするシステムログ分析方法。
【請求項2】
前記ユーザ情報取得ステップでは、ユーザ情報として、ユーザ名およびメールアドレスを取得することとし、
さらに、
前記ユーザ情報取得ステップを実行して得られたユーザ名およびメールアドレスを用いて、不正な操作を行ったユーザに対し、不正な操作を行った旨を通知するためのメールを配信する通知メール配信ステップ、
を含むことを特徴とする請求項1に記載のシステムログ分析方法。
【請求項3】
前記ユーザ情報取得ステップでは、ユーザ情報として、さらに、不正な操作を行ったユーザの上長のユーザ名およびメールアドレスを取得することとし、
さらに、
前記ユーザ情報取得ステップを実行して得られた上長のユーザ名およびメールアドレスを用いて、当該上長に対し、配下のユーザが不正な操作を行った旨を通知するためのメールを配信する上長通知メール配信ステップ、
を含むことを特徴とする請求項2に記載のシステムログ分析方法。
【請求項4】
さらに、
ユーザよりシステムログ検索処理が要求されたことを検出した場合に、当該ユーザに対してログインを要求し、入力されたログイン情報を前記ディレクトリサービスシステムに送信してユーザ認証を要求する認証要求ステップと、
前記ディレクトリサービスシステムから応答されるユーザ認証の結果、当該ユーザが上長であることが応答された場合に、当該ユーザがシステムログの分析を行うために参照するシステムログ分析画面に対するログインを許可し、変換後のシステムログのなかから当該ユーザの所属する組織に関するシステムログを抽出して当該システムログ分析画面に表示させるシステムログ提示ステップと、
検索条件が入力された場合に、当該検索条件に合致するシステムログを絞り込んで表示させる検索結果表示ステップと、
を含むことを特徴とする請求項2または3に記載のシステムログ分析方法。
【請求項5】
システムごとに、ユーザによる操作の記録であるシステムログのデータ形式を変換するための変換ルールを格納するためのシステムログ変換ルール記憶手段と、
データ形式が変換されたシステムログを格納するためのシステムログ管理手段と、
分析を実行するための条件である分析設定情報を格納するための分析設定情報管理手段と、
システムログを蓄積するシステムに対して、当該システムログの出力を要求し、また、前記システムログ変換ルール記憶手段から変換ルールを読み出して、当該変換ルールにしたがって出力されたシステムログを変換し、変換後のシステムログを前記システムログ管理手段に登録するシステムログ収集手段と、
前記分析設定情報管理手段が保持する分析設定情報を読み出し、前記システムログ管理手段が格納するシステムログを対象に、当該分析設定情報に合致するシステムログを検索して、不正な操作とみなされるシステムログを抽出し、また、抽出したシステムログにて示されるユーザのユーザ情報を、ディレクトリサービスシステムより取得するシステムログ分析手段と、
を備えることを特徴とする情報処理端末。
【請求項6】
前記システムログ分析手段は、
前記ユーザ情報として、ユーザ名およびメールアドレスを取得することとし、
さらに、
取得したユーザ名およびメールアドレスを用いて、不正な操作を行ったユーザに対し、不正な操作を行った旨を通知するためのメールを配信する制御を行う、
ことを特徴とする請求項5に記載の情報処理端末。
【請求項7】
前記システムログ分析手段は、さらに、
前記ユーザ情報として、不正な操作を行ったユーザの上長のユーザ名およびメールアドレスを取得することとし、
取得した上長のユーザ名およびメールアドレスを用いて、当該上長に対し、配下のユーザが不正な操作を行った旨を通知するためのメールを配信する制御を行う、
ことを特徴とする請求項6に記載の情報処理端末。
【請求項8】
さらに、ユーザの要求に応じてシステムログを検索および表示させる制御を行うシステムログ検索手段、
を備え、
前記システムログ検索手段は、
ユーザよりシステムログ検索処理が要求されたことを検出した場合には、当該ユーザに対してログインを要求し、入力されたログイン情報を前記ディレクトリサービスシステムに送信してユーザ認証を要求し、当該ディレクトリサービスシステムから応答されるユーザ認証の結果、当該ユーザが上長である場合には、当該ユーザがシステムログの分析を行うために参照するシステムログ分析画面に対するログインを許可し、
前記システムログ管理手段から変換後のシステムログを読み出し、当該システムログのなかから当該ユーザの所属する組織に関するシステムログを抽出して、前記システムログ分析画面に表示させる制御を行い、また、ユーザにより検索条件が入力された場合には、当該検索条件に合致するシステムログを絞り込んで表示させる制御を行う、
ことを特徴とする請求項6または7に記載の情報処理端末。
【請求項9】
請求項1〜4のいずれか1つに記載のシステムログ分析方法を、コンピュータに実行させることを特徴とするシステムログ分析プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−3090(P2011−3090A)
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2009−146764(P2009−146764)
【出願日】平成21年6月19日(2009.6.19)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願日】平成21年6月19日(2009.6.19)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]