ログ収集システム、クライアント装置、及びログ収集エージェント装置
【課題】各クライアント装置において行われた操作等の履歴情報をシステム全体としてまとめて収集し、利用するシステムを提供する。
【解決手段】本発明によるログ収集システムは、クライアント装置とサーバ装置とログサーバ装置とを備え、クライアント装置は、その装置内で実行される処理の内容に従ってログデータを生成し、予め決められた規則に従ってログデータをサーバ装置に送信し、サーバ装置は、クライアント装置から受信したログデータをログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、ログサーバ装置にログデータを送信するエージェント手段を備え、ログサーバ装置は、受信したログデータを格納し、ログデータを参照用に供することを特徴とする。
【解決手段】本発明によるログ収集システムは、クライアント装置とサーバ装置とログサーバ装置とを備え、クライアント装置は、その装置内で実行される処理の内容に従ってログデータを生成し、予め決められた規則に従ってログデータをサーバ装置に送信し、サーバ装置は、クライアント装置から受信したログデータをログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、ログサーバ装置にログデータを送信するエージェント手段を備え、ログサーバ装置は、受信したログデータを格納し、ログデータを参照用に供することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータシステムのクライアント装置においてなされた操作等の履歴を一元的に管理し利用を可能にするログ収集システムに関するものである。
【背景技術】
【0002】
コンピュータ・ハードウェアの高性能化、低価格化、小型化が進展するに伴い、日常生活のあらゆる側面でコンピュータを利用することが一般的になってきている。特に現在では、インターネットに代表されるネットワークにコンピュータを接続して利用することが多い。例えば、企業活動に必要な情報をサーバ装置で集中的に管理し、各従業員にはPC(パーソナル・コンピュータ)を割当て、これをサーバ装置とネットワーク接続することで、業務上必要な情報を入手したり、サーバ装置の情報を更新したりするなどが行われている。
【0003】
こういったネットワークを利用した情報の集中化と、PCなどのクライアント装置による情報アクセスが広く行われることに伴い、クライアント装置自体の紛失や、情報を記録した媒体の持ち出しといった、いわゆる情報漏洩が大きな社会問題となってきている。クライアント装置がネットワークに接続されている間は、サーバ装置へのアクセスについて正当な権限を有しているかの認証を行うことで、ある程度の情報漏洩防止策を施すことができる。また、この認証の際、クライアント装置からアクセス要求があった時刻等の履歴を保存することで、後日、情報漏洩が露見した場合に履歴情報を確認して漏洩経路を特定することも可能である。
【0004】
しかしながら、通常、クライアント装置はネットワークから物理的に切り離して使用することも可能であり、従って、クライアント装置にサーバ装置から入手した情報を記録したまま企業外に持ち出して紛失するという危険は常に存在する。また、ネットワークから物理的に切り離した状態(以下「オフライン」または「オフライン状態」と記載する)で、例えばサーバ装置から入手した情報を外部媒体に複写したとしても、その行為を情報管理者が直ちに知ることはできない。特にクライアント装置はサーバ装置に比べて多数存在するため、全てのクライアント装置を適正に管理することは容易ではなく、害意を持った利用者に対してはもろい面を有している。
【0005】
こうした情報漏洩の危険を軽減するために、例えば特許文献1のように、サーバ装置から入手した情報などをクライアント装置の記録装置に書き込む際に自動的に情報を暗号化し、読み出す際には鍵管理コンピュータから入手した復号鍵によって復号するという方法が知られている。この方法によれば鍵管理コンピュータから復号鍵を入手する際に認証が行われるため、情報を全て暗号化して格納しておけば、正当な権限を有するものが所定のネットワークに接続しなければ情報を復号化することができず、クライアント装置を紛失した場合に第三者に情報漏洩が発生することはない。またオフライン状態では情報を復号化することができないため、サーバ装置から入手し暗号化して記録した情報を、オフライン状態で復号化することはできない。
【0006】
しかしながら、このような方法を採用した場合にも、次のような情報漏洩の危険が存在する。すなわち、一般に自動暗号化・復号化するためのプログラムをクライアント装置にインストールし、必要なファイルが自動暗号化・復号化の対象となるように、クライアント装置の環境を設定する必要がある。害意を持ったクライアント装置利用者は上記のような適切な対策を行ってくれないであろうし、害意がなくても誤って対策が適切でない可能性がある。従って、情報漏洩を効果的に防止するためには、クライアント装置が適切に環境設定されているか、また適切に利用されているかどうかを適時監視する仕掛けが必要となる。
【0007】
このため、特許文献2のように、クライアント装置において何らかの操作が行われるたびに履歴情報を作成し、オンライン状態においてはログ収集サーバに適時送信し、オフライン状態においてはひとまずクライアント装置内部の記録装置に履歴情報を蓄積しておき、オンライン状態になった時点でログ収集サーバに履歴情報を送信するという方法が知られている。
【0008】
また、特許文献3、特許文献4においては、ネットワーク上に、クライアント装置に対してさまざまなサービスを提供する複数のサーバ装置が存在するシステムにおいて、1つのログ管理サーバを設置し、このログ管理サーバからの要求に従って、各サーバ装置で収集したログ情報をログ管理サーバに転送し、蓄積して利用する方法が説明されている。
【特許文献1】特開平11−149414
【特許文献2】特開2003−58395
【特許文献3】特開2002−251500
【特許文献4】特開2001−27990
【発明の開示】
【発明が解決しようとする課題】
【0009】
ところで、大規模なネットワークにおいては、1台のサーバ装置への負荷集中を避けるために、例えば部署ごとにサーバ装置を設置してクライアント装置の管理を行うという形態が一般的である。
【0010】
このような形態においては、特許文献2のようにクライアント装置が部署ごとのサーバ装置にログを送信するだけでは、各部署内にクローズした管理しか行うことができない。このため、特許文献3、特許文献4に示されているように、全てのログ情報をログ管理サーバに纏めて蓄積するシステムが必要になる。
【0011】
しかしながら、特許文献3、特許文献4に示されたシステムはいずれも、ログ管理サーバがログ収集タイミングを決定し、各サーバ装置に対してログ情報を送付するように要求するものである。このように1台のサーバがログ収集タイミングを決定するという方法はシンプルであり、ログ管理サーバの負荷を一定に保つことが比較的容易である。
【0012】
一方、ログを収集、蓄積、管理するという機能は、システム全体として考えれば、各サーバ装置においてサービスが適正に行われるようにする、いわば裏方の役割であり、ログ収集にあたって考慮に入れるべきは、むしろ、各サーバ装置の負荷軽減である。すなわち、このようなシステムにおいては、各サーバ装置の負荷を適切な状態に保つために、ログ管理サーバからの要求によるのではなく、各サーバ装置側の主導によりログ送信を行う必要がある。
【0013】
本発明は上述のような問題に鑑みてなされたものであり、例えば部署等のセグメントごとにサーバ装置を設置してクライアント装置の管理を行うシステムにおいて、各クライアント装置において行われた操作等の履歴情報をシステム全体としてまとめて、適切なタイミングで収集し、利用するシステムを提供するものである。
【課題を解決するための手段】
【0014】
上記問題を解決するために、本発明によるログ収集システムは、所定処理の履歴情報を含むログデータを生成するクライアント装置と、このクライアント装置にサービスを提供するサーバ装置と、このサーバ装置から前記ログデータを受信し、記録するログサーバ装置と、を備えるログ収集システムであって、前記クライアント装置は、その装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、生成した前記ログデータを格納する第1のログデータ格納手段と、予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、前記サーバ装置は、前記クライアント装置から送信されてきた前記ログデータを受信する第1の受信手段と、受信した前記ログデータを第2のログデータ格納手段に格納し、格納した前記ログデータを前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログサーバ装置に前記ログデータを送信するエージェント手段と、を備え、前記ログサーバ装置は、前記サーバ装置から送信されてきた前記ログデータを受信する第2の受信手段と、受信した前記ログデータを格納し、前記ログデータを参照用に供するための参照用ログデータ格納手段と、を備えることを特徴とする。
【0015】
そして、前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成する。
【0016】
また、前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信、若しくは前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信の何れかの送信処理を実行する。
【0017】
前記エージェント手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割し、この分割ファイルを連続して前記ログサーバ装置に送信する。
【0018】
前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信し、また、前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信する。
【0019】
前記ログサーバ装置は、さらに、前記クライアント装置からの要求に応じて、前記参照用ログデータ格納手段に格納されているログデータを前記クライアント装置に送信する表示用ログデータ送信手段を備えている。
【0020】
上記問題を解決するために、本発明によるクライアント装置は、サーバ装置から所定のサービスが提供され、所定処理の履歴情報を含むログデータを生成し、前記サーバ装置に送信するクライアント装置であって、前記クライアント装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、生成した前記ログデータを格納する第1のログデータ格納手段と、予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成することを特徴とする。
【0021】
前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信処理、又は、前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信処理を実行する。
【0022】
クライアント装置は、さらに、前記クライアント装置の設定内容が変更された場合に作成され前記第1のログデータ格納手段に格納されたログデータと、予め前記サーバ装置に登録されている前記クライアント装置の設定内容を示すログデータとを比較し、両者が不一致の場合には不正操作が行われた可能性があることを警告する警告手段を備えている。
【0023】
上記問題を解決するために、本発明によるログ収集エージェント装置は、クライアント装置にサービスを提供し、所定処理の履歴情報を含むログデータを前記クライアント装置から受信し、前記ログデータをログサーバ装置に送信するサーバ装置におけるログデータの管理を行うログ収集エージェント装置であって、前記クライアント装置から送信されてきた前記ログデータを受信するログデータ受信手段と、受信した前記ログデータを格納するためのログデータ格納手段と、前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログデータ格納手段に格納された前記ログデータの送信処理を管理する管理手段と、前記管理手段の指示に従って前記ログデータを前記ログサーバ装置に送信するログデータ送信手段と、を備えることを特徴とする。
【0024】
また、前記管理手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割して分割ファイルを生成し、前記ログデータ送信手段は、前記分割ファイルを連続して前記ログサーバ装置に送信するようにしている。
【0025】
さらに、前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信するように前記ログデータ送信手段に指示する。
【0026】
また、前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信するように前記ログデータ送信手段に指示する。
【0027】
さらに、ログ収集エージェント装置は、前記クライアント装置から受信した前記ログデータに前記ログサーバ装置における管理のための情報を付加して加工済ログデータを生成して前記ログデータ格納手段に格納するログデータ加工手段を備え、前記ログデータ送信手段は、前記加工済ログデータを前記ログサーバ装置に送信する。
【0028】
さらなる本発明の特徴は、以下本発明を実施するための最良の形態および添付図面によって明らかになるものである。
【発明の効果】
【0029】
本発明のログ収集システムによれば、例えば部署等のセグメントごとにサーバ装置を設置してクライアント装置の管理を行うシステムにおいて、各クライアント装置において行われた操作等の履歴情報をシステム全体としてまとめて、適切なタイミングで収集し、利用することができる。
【発明を実施するための最良の形態】
【0030】
<概念及び用語の説明>
まず本発明の実施形態の説明に入る前に、本発明の概要を説明すると共に、本発明を説明するに当たって使用する用語の意義について説明する。
【0031】
図1は、本発明の対象とするログ収集(・表示)システムを概念図で表したものである。ログ収集(・表示)システム1200は、図中波線で囲っている複数のセグメント1201(本図には、セグメント1201a、セグメント1201b、セグメント1201cを図示しているが、説明上、特に区分する必要のない場合は、「セグメント1201」と表記する)と、ログサーバ1204と、図示していないが、通信経路を含む各種通信機器、各機器が備える入出力装置、記録装置等から構成されている。
【0032】
なお、本発明において「セグメント」とは、サーバ装置と、当該サーバ装置が提供するサービスの対象となるクライアント装置、通信経路を含む各種通信機器、各機器が備える入出力装置や記録装置、サーバ装置を含む各機器において動作するソフトウェア、各記録装置に格納される情報等、サーバ装置がクライアント装置にサービスを提供するために必要な資源を一まとめにした概念であり、必ずしも1つのLANセグメント等に対応する必要はない。
【0033】
また、本発明において「サービス」とは、サーバ装置がクライアント装置からのログイン要求を受けて、クライアント装置の正当性を検証し、正当であると判断したクライアント装置に対して、以降ログアウト要求を受けるまでの間、クライアント装置からの要求に応じて情報暗号・復号鍵を送付するサービス(以降「暗号・復号化サービス」と記載する)を中心に説明するが、本発明の範囲はこれに限られるものではない。
【0034】
例えば、サーバ装置がクライアント装置からのログイン要求を受けて、クライアント装置の正当性を検証し、正当であるとあると判断したクライアント装置に対しては、以降ログアウト要求を受けるまでの間、クライアント装置からの要求に応じて当該サーバ装置の記録装置に格納された情報を送付し、あるいはクライアント装置から送付された情報を当該サーバ装置の記録装置に格納するサービス(以降「ファイル共有サービス」と記載する)も含まれる。
【0035】
さらに、サーバ装置の記録装置に誰でも自由に参照して構わない情報(例えば企業の宣伝情報、製品パンフレット)を格納しておき、任意のクライアント装置からの要求を受けて当該情報を送付し、クライアント装置では閲覧用ソフトウェアを使用して送付された情報を表示するサービス(以降「情報閲覧サービス」と記載する)、サーバ装置の記録装置に対価を払えば誰でも参照して構わない情報(例えば音楽情報)を格納しておき、任意のクライアント装置からの要求を受けて当該情報を送付するサービス(以降「コンテンツ提供サービス」と記載する)なども含まれる。サーバ装置がこのようにクライアント装置の認証を行わず任意のクライアント装置に対してサービスを提供する場合には、前述した「セグメント」の範囲は固定ではなく、現にサービス提供を受けているクライアント装置を含んだ、動的に変化するものとなる。
【0036】
さて、図1には、複数のクライアント装置1202と複数のサーバ装置(1203a、1203b)からなるセグメント1201a、複数のクライアント装置1202と1つのサーバ装置(1203c)からなるセグメント1201b、複数のクライアント装置1202と1つのサーバ装置(1203d)からなりクライアント装置1202の一部がセグメント1201aと重複しているセグメント1201cの3つの例を示している。
【0037】
なお、セグメント1201aにおいて、サーバ装置1203a、サーバ装置1203bは同じサービスを提供しても良いし、異なるサービスを提供しても良い。サーバ装置1203a、サーバ装置1203bが同じサービスを提供する場合には、例えば負荷に応じて動的にサービス提供サーバを切り替えるようにしても良いし、一方を他方に障害が発生した場合のバックアップ装置としても構わない。さらに、異なるサービスを提供する場合、必ずしも物理的に異なる2つのサーバ装置1203a、サーバ装置1203bを用意せず、例えばサーバ装置1203aにおいて2つのサービスを提供しても良い。
【0038】
また、セグメント1201は1台以上のクライアント装置1202と1台以上のサーバ装置1203(本図には、サーバ装置1203a、サーバ装置1203b、サーバ装置1203c、サーバ装置1203dを図示しているが、説明上、特に区分する必要のない場合は、「サーバ装置1203」と表記する)と、図示していないが、通信経路を含む各種通信設備等から構成されている。
【0039】
なお、本発明において「クライアント装置」とは、PCに代表されるように、利用者の操作要求を受けて、CPU等の制御装置により各種の機能を実行する機器を指し、携帯電話等も含まれる。「サーバ装置」とは、通信回線を介してクライアント装置にサービスを提供する機器を指す。そして「ログ」とは、クライアント装置が、当該サービスに関し当該装置において行われた処理の内容、あるいは処理が行われた事実そのものを、サーバ装置に通知するための一まとめの情報を指す。ログは、主として、クライアント装置で不正な処理、不適切な処理が行われていないかどうかを検証するために使用される。
【0040】
例えばサーバ装置1203aが暗号・復号化サービスを、サーバ装置1203bがファイル共有サービスを、サーバ装置1203cが情報公開サービスを、サーバ装置1203dがコンテンツ提供サービスを提供している場合、暗号・復号化サービスの提供を受けるクライアント装置は、ファイルの暗号・復号化を行う毎に、暗号・復号化の対象としたファイルの名称等の情報をログとして作成する。また、ファイル共有サービスの提供を受けるクライアント装置は、サーバ装置から入手した情報を記録装置に保存する毎に、保存の対象としたファイルの名称等の情報をログとして作成する。情報閲覧サービスの提供を受けるクライアント装置は、サーバ装置から入手した情報を記録装置に保存する毎に、保存の対象としたファイルの名称等の情報をログとして作成する。音楽情報のコンテンツ提供サービスの提供を受けるクライアント装置は、サーバ装置から入手した音楽情報を再生する毎に、再生の対象とした音楽情報の名称等の情報をログとして作成する。なお、以上に示したログの内容は例示に過ぎず、クライアント装置で不正な処理、不適切な処理等が行われていないかどうかを検証する等のログの使用目的に適した情報をログとすれば良い。
【0041】
以上のようにクライアント装置で作成されたログは、適切なタイミングで、クライアント装置から、サービス提供元のサーバ装置に送られる。通常は通信回線を経由して送付されるが、通信回線に障害が発生しているような場合には、クライアント装置側でログをFD、CD/R等の外部記録媒体に複写し、これをサーバ装置において読み込ませる等の方法をとることも可能である。また、ログを通信回線経由で送付する場合にも、ログを作成する毎に送付する方法、作成したログを一旦クライアント装置の記録装置に保存しておき、一定期間毎にサーバ装置に送付する方法など、複数の方法が可能である。
【0042】
また、システムには少なくとも1台のログサーバ1204が設けられる。ログサーバ1204は、各サーバ装置が収集したログのうち必要な部分を纏めて収集、記録し、管理者に要求に応じて表示等の処理を行う。
【0043】
サーバ装置に送付されたログは、サーバ装置において、そのまま、あるいは情報を加工・編集され、適切なタイミングで、ログサーバに送付される。ここで情報の加工・編集を行う目的としては、例えば、ログとして送付された情報のうち、サーバ装置においては必要だが、ログサーバで一括管理する目的については不要なものを削除する、あるいはログサーバとしては不要なログそのものをログサーバへの送付対象から外す、クライアント装置からはコード(部署コード、物品コード等)で送付された情報を名称に変換する、あるいは、ログを受け取ったサーバ装置の名称や、サーバ装置がログを受け取った時刻等をログに付加する、などさまざまである。すなわち最終的にログサーバが必要とする情報のみがログサーバに送付されるようにすれば充分である。
【0044】
また、ログの送付タイミングについても、通常は通信回線を経由して送付されるが、通信回線に障害が発生しているような場合には、サーバ装置側でログをFD、CD/R等の外部記録媒体に複写し、これをログサーバにおいて読み込ませる等の方法をとることも可能である。また、ログを通信回線経由で送付する場合にも、ログを作成する毎に送付する方法、作成したログを一旦サーバ装置の記録装置に保存しておき、一定期間毎にログサーバに送付する方法など、複数の方法が可能である。
【0045】
以上で本発明の概要および用語の概念についての説明を終え、以下、本発明を適用したログ収集(・表示)システムの一実施の形態(以下、「本実施形態」と記載する)について説明する。なお、本実施形態においては、企業等の規模の大きな組織における実施を念頭に置き、サーバ装置は組織内の各部署(事業部、本部、部または課等)毎に1台設置され、各部署の従業者がそれぞれクライアント装置を使用し、サーバ装置はクライアント装置に対して暗号・復号化サービスを提供するという例について説明する。従って、本実施形態においては、前述した「セグメント」は実質的に部署と同じ範囲になるので、以下、より直感的に把握しやすい「部署」という用語に置き換えて説明する。
【0046】
<第1の実施形態>
図2は、第1の実施形態に係るシステム構成図である。ログ収集(・表示)システム1は、1つまたは複数の部署システム101、記録装置112を備えたログサーバ108、および必要な通信機器から構成される。部署システム101は前述したセグメントに該当し、通信回線を経由してログサーバ108と接続されている。
【0047】
部署システム101は、サーバ装置102、記録装置106を備えた1つまたは複数のクライアント装置104、および必要な通信機器から構成される。なお、図2の説明には登場しないために図示していないが、一般的には、サーバ装置102は記録装置を備えている。
【0048】
サーバ装置102にはクライアント装置104にサービスを提供するサービス提供ソフト103、およびその他サーバ装置102で必要とされるプログラムがインストールされている。
【0049】
クライアント装置104にはサーバ装置102が提供するサービスを受けるためのクライアントソフト105、ログサーバ108に蓄積されたログを参照するためのログ参照ソフト116、およびその他クライアント装置104で必要とされるプログラムがインストールされており、クライアント記録装置106には、クライアント装置104が作成したログを一時的に格納するクライアントログファイル107、クライアント装置環境設定ファイル124の他、クライアント装置104が必要とするさまざまなファイルが存在する。クライアント装置環境設定ファイル124には、クライアント装置104を管理している部署の情報等が格納され、情報の一部はログの内容としても使用される。
【0050】
ログサーバ108には、ログの管理・表示等を行うためのログ管理ソフト109、ログサーバ108が参照・更新するファイル(データベース)を管理するためのDB(データベース)管理ソフト110(以下「DB管理ソフト110」と記載する)、および後述するログ複製処理に使用するログ複製ソフト111、ログサーバ108に蓄積されたログを公開するためのログ公開ソフト115、およびその他ログサーバ108で必要とされるプログラムがインストールされている。ここで、ログ公開ソフト115は、DBに保持されたログを管理者が管理しなければならないが、その管理のために必要とされるものである。
【0051】
ログサーバ記録装置112には、サーバ装置102がクライアント装置104から受信したログを一時的に格納するためのログ一時記録DB113、ログを蓄積し参照するためのログ参照用DB114の他、ログサーバ108が必要とするさまざまなファイルが存在する。ログ一時記録DB113は、セグメント毎にログを順次保持するためのDB(セグメント単位で管理)である。また、ログ参照用DB114は、ログを参照するためにログ一時記録DB113からログを一括して保持し、参照しやすいようにするためのDBである。
【0052】
図3乃至図5は、第1の実施形態におけるログ収集の処理を説明するためのフローチャートである。
【0053】
図3のフローチャートは、クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示している。なお、ここでは特に断らない限り、各ステップの処理主体は、クライアント装置104の内部にあるCPU等の制御部である。
【0054】
図3において、ステップS201では、クライアント装置104において所定の処理(クライアント処理)が実行されたことが検知される。ステップS202では、実行されたクライアント処理がログを作成する必要がある処理であったかが判断される。ログデータを作成する必要があるか否かは、後述のように、例えば、クライアント装置環境設定ファイル124に設定されている情報の内容が変更された場合やクライアント装置104にインストールされている何らかのファイルの参照・更新等が行われた場合である。ステップS202では、ログ作成要と判断されるまでクライアント処理が監視されることになる。
【0055】
ステップS202でログ作成要と判断された場合、ステップS203において、ログデータが作成される。ログデータの内容については、例えば、後述の図10に示されるデータ構造のものが挙げられる。
【0056】
ステップS204では、ステップS203で作成されたログデータをクライアント装置104の記録装置106内に設けられたクライアントログファイル107に一時的に格納される。
【0057】
以上の各ステップに係る処理が繰り返され、クライアント装置104ではログが蓄積されていくことになる。
【0058】
また、ステップS211では、ログデータをサーバ装置102に送付するタイミングか否かが判断され、送付するタイミングであると判断されれば処理はステップS212に移行する。
【0059】
ステップS212では、クライアントログファイル107内に送付対象となっているログデータが存在するか否かが判断され、存在する場合には処理はステップS213に移行する。存在しない場合には、ログデータを送付する次のタイミングまで待機して再度送付対象のログデータが存在するか否かが判断される。
【0060】
ステップS213では、送付対象のログデータの送付が完了したか否かが判断され、完了していれば処理はS211に戻る。完了していなければ処理はステップS214に移行する。
【0061】
ステップS214では、送付対象のログデータ(1件分)をクライアントログファイル107から取り出してサーバ装置102に送付する。
【0062】
以上の処理が、クライアント装置104では所定のタイミングで繰り返されることになる。
【0063】
図4のフローチャートは、サーバ装置102におけるログデータ受信・格納処理を示している。各ステップの制御主体は、特に断らない限り、サーバ装置102の内部にある図示しない制御部である。
【0064】
図4において、ステップS221では、サーバ装置102のサービス提供ソフト103(サービス提供部)がクライアント装置104から送付されてきたログデータを受信したか否かが判断される。受信した場合には処理はステップS222に移行し、受信していない場合には受信するまで待機することになる。
【0065】
ステップS222では、受信したログデータを図2で図示しないサーバ装置102内のログ一時記録DBに格納する。
【0066】
一方、ログサーバ108は各セグメントのサーバ装置102を監視しており、各サーバ装置のログ一時記録DBからログデータを取得する。そして、取得したログデータはログサーバのログ一時記録DB113に格納する。また、その取得したログデータはログ一時記録DB113からログ参照用DB114に複製されるが、複製の方式にはジョブ方式とトリガ方式がある。
【0067】
ジョブ方式は、ログデータを複製するプログラムを定期的に走行させ、ログデータを一括して複製する方法であり、トリガ方式はログデータがログ一時記録DB113に格納される度にログデータを複製するプログラムを走行させ1ログずつ複製する方法である。いずれの方式を採用した場合も、複製を行うのはログサーバ108であり、サーバ装置102はクライアント装置104からログデータを受けるたびにログ一時記録DB113に格納するだけなので、ログサーバ108が所定のタイミングでサーバ装置102にログ送付を要求する方法と異なり、ログ送信に伴うサーバ装置102の負荷増大を防ぐことができる。
【0068】
図5を用いて上記2方式の複製方法についてそれぞれ説明する。図5のフローチャートは、上記2方式の複製処理を示している。各ステップにおける制御主体は、特に断らない限り、ログサーバ108における図示しない制御部である。
【0069】
まず、ジョブ方式について、ステップS231において、ログ一時記録DB113からログ参照用DB114への複製を実行するタイミングか否かが判断される。
【0070】
ステップS231でログ複製のタイミングであると判断されると、ステップS232において、ログ複製ジョブが起動される。
【0071】
そして、ステップS235において、ログ一時記録DB113に複製対象のログが存在するか否かが判断され、存在しなければ処理は終了し、存在すれば処理がステップS236に移行する。
【0072】
ステップS236では、複製対象のログがログ一時記録DB113からログ参照用DB114に複製(コピー)される。
【0073】
続いて、トリガ方式については、ログがログ一時記録DB113にログが格納されるのをDB管理ソフト110が監視して、格納されたタイミングでログ複製処理が起動される。ステップS241において、ログ一時記録DB113に複製対象のログデータが存在するか否かが判断され、存在しなければ処理は終了し、存在すれば処理がステップS242に移行する。
【0074】
ステップS242では、複製対象のログデータがログ一時記録DB113からログ参照用DB114に複製(コピー)される。
【0075】
以上のようにしてログ参照用DB114にログデータが蓄積され、セキュリティ管理者は、クライアント装置104のログ参照ソフト116を操作することで、ログデータを検索・参照することができるようになる。
【0076】
なお、第1の実施形態ではシステム構成が単純であり、従ってプログラムの不良等によるシステム障害の発生頻度を低くすることが出来るという利点がある。
【0077】
しかしながら、サーバ装置102のサービス提供ソフト103が、受信したログデータを、ログ一時記録DB113に格納する際に、出力先であるログサーバ108のDB管理ソフト110の停止などが原因で、ログ一時記録DB113への格納に失敗した場合には、DB管理ソフト110の復旧後に、格納に失敗したログデータの格納を手作業で行わなければないという問題がある。特にクライアント装置104の数が多い場合や、DB管理ソフト110の停止が長時間に及んだ場合などはログ格納に失敗する回数もそれだけ多くなる。
【0078】
例えば、クライアント装置104の台数が1,000、クライアント装置104において、平均して1分間に1つのログが作成され、クライアント装置104からサーバ装置102へのログデータの送信間隔が10分おきに設定されている場合を試算してみる。DB管理ソフト110が1時間停止し、その間、ログ一時記録DB113の格納がすべて失敗していたとすると、60,000((60分/10分)×1,000×10)回の失敗が発生する。そのためこれをそれぞれ手作業で復旧することは非常に困難である。
【0079】
以上から、特にクライアント装置104が多数存在するような環境においては、サーバ装置102のサービス提供ソフト103がクライアント装置104からログを受信するタイミングと同期を取って、ログサーバ108にログを格納するような方式には問題があり、この処理はむしろ非同期に実行すべきであると考えられる。
【0080】
また、ログ参照用DB114は当然ながら、時間が経過するにつれて格納されているログの数は増えていく。従っていずれかの時点で作成されてから一定期間が経過したログデータを削除する必要がある。しかしながら、こうした過去ログの削除を行ったあとで削除したログデータを参照する必要が発生することも皆無ではなく、従って、結局、一定期間が経過したログデータを別のファイルにバックアップしておき、必要の都度リロードする仕組みが必要になる。
【0081】
<第2の実施形態>
図6は、以上のような第1の実施形態の問題点を考慮し、改良した第2の実施形態に係るログ収集(・表示)システム1の構成を示す図である。
【0082】
基本的なシステム構成は前述した図2のシステム構成と同じであり、図2のシステム構成と異なっているのは、サーバ装置102およびログサーバ108に関連する部分である。よって、以下、この相違点を中心にシステム構成を説明する。
【0083】
図6に示されるログ収集(・表示)システムにおいて、サーバ装置102には、サービス提供ソフト103に加えて、ログ収集エージェントインタフェース117とログ収集エージェントソフト118がインストールされている。また、サーバ装置102の記録装置119には、ログ収集エージェント環境設定ファイル120とログ一時ファイル121が存在する。
【0084】
また、ログサーバ108には、ログ収集ソフト122がインストールされている。そして、ログサーバ108の記録装置112には、ログ原本ファイル123が存在する。
【0085】
サービス提供ソフト103は、ログ収集エージェントインタフェース117を介してログ収集エージェントソフト118に、ログサーバ108に送信すべきログを引き渡し、ログ収集エージェントソフト118は引き渡されたログを一旦はログ一時ファイル121に格納する。そして、ログ一時ファイル121格納されたログを、所定のタイミングでログサーバ108のログ収集ソフト122に送付するのである。そして、ログ収集エージェント環境設定ファイル120には、後述するようにこの所定のタイミングが定義されている。
【0086】
図7乃至図9は、第2の実施形態におけるログ収集の処理を説明するためのフローチャートである。
【0087】
図7のフローチャートは、クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示している。なお、ここでは特に断らない限り、各ステップの処理主体は、クライアント装置104の内部にあるCPU等の制御部である。
【0088】
図7において、ステップS401では、クライアント装置104において所定の処理(クライアント処理)が実行されたことが検知される。ステップS402では、実行されたクライアント処理がログを作成する必要がある処理であったかが判断される。ログを作成する必要があるか否かは、後述のように、例えば、クライアント装置環境設定ファイル124に設定されている情報の内容が変更された場合やクライアント装置104にインストールされている何らかのファイルの参照・更新等が行われた場合である。ステップS402では、ログ作成要と判断されるまでクライアント処理が監視されることになる。
【0089】
ステップS402でログ作成要と判断された場合、ステップS403において、ログデータが作成される。ログデータの内容については、例えば、後述の図10に示されるデータ構造のものが挙げられる。
【0090】
ステップS404では、ステップS403で作成されたログデータをクライアント装置104の記録装置106内に設けられたクライアントログファイル107に一時的に格納される。
【0091】
以上の各ステップに係る処理が繰り返され、クライアント装置104ではログデータが蓄積されていくことになる。
【0092】
また、ステップS411では、ログデータをサーバ装置102に送付するタイミングか否かが判断され、送付するタイミングであると判断されれば処理はステップS412に移行する。
【0093】
ステップS412では、クライアントログファイル107内に送付対象となっているログデータが存在するか否かが判断され、存在する場合には処理はステップS413に移行する。存在しない場合には、ログデータを送付する次のタイミングまで待機して再度送付対象のログが存在するか否かが判断される。
【0094】
ステップS413では、送付対象のログデータの送付が完了したか否かが判断され、完了していれば処理はS411に戻る。完了していなければ処理はステップS414に移行する。
【0095】
ステップS414では、送付対象のログデータ(1件分)をクライアントログファイル107から取り出してサーバ装置102に送付する。
【0096】
以上の処理が、クライアント装置104では所定のタイミングで繰り返されることになる。
【0097】
図8のフローチャートは、サーバ装置102におけるログデータ受信・格納処理を示している。各ステップの制御主体は、特に断らない限り、サーバ装置102の内部にある図示しない制御部である。
【0098】
図8において、ステップS421では、サービス提供ソフト103(サービス提供部)がクライアント装置104から送付されてきたログデータを受信したか否かが判断される。受信したと判断されれば処理はステップS422に移行し、まだ受信していなければ受信するまで待機する。
【0099】
ステップS422において、サービス提供ソフト103は、受信したログデータをログ収集エージェントインタフェース117に引き渡す。そして、ステップS434において、ログ収集エージェントインタフェース117は、ログ収集エージェントソフト118(ログ収集エージェント)にそのログデータを引き渡す。
【0100】
ステップS431において、ログ収集エージェント118は、引き渡されたログデータをログ一時ファイル121に格納する。
【0101】
サーバ装置102においては、以上のログデータのログ一時ファイル121への格納処理がログデータ受信ごとに繰り返されることになる。
【0102】
図9のフローチャートは、サーバ装置102からログサーバ108へのログ送付処理及び、ログサーバ108におけるログ受信・格納処理を示している。各ステップの制御主体は、ステップS441乃至S443ではログ収集エージェントであり、ステップS451及びS452では、特に断らない限り、ログサーバ108の内部にある図示しない制御部である。
【0103】
図9において、ステップS441では、ログ収集エージェント118は、環境設定ファイル120を読み込んで参照する。この環境設定ファイル120は、ログ一時ファイル121に格納したログデータをログサーバ108に送付するタイミングを記述しているファイルである。
【0104】
ステップS442では、ログ収集エージェント118は環境設定ファイル120を参照した結果、ログデータをログサーバ108に送付するタイミングか否かを判断する。送付するタイミングであると判断されれば、処理はステップS443に移行し、まだ送付のタイミングではないと判断されれば待機する。
【0105】
ステップS443では、ログ収集エージェント118は、ログデータをログ一時ファイル121からログサーバ108のログ収集ソフト122に送付する。
【0106】
一方、ログサーバ108において、ステップS451では、ログ収集ソフト122がログ収集エージェント118から送付されてきたログデータを受信したか否かが判断される。受信したと判断されれば処理はステップS452に移行し、まだ受信していないと判断されれば受信するまで待機する。
【0107】
ステップS452では、受信したログデータは、ログ原本ファイル123及びログ参照用DB114に格納される。ログ原本ファイル123は、ログデータをセグメント毎及び日付毎に格納され、保存される。ログ参照DB114には、セグメントとは関係なく、ログデータが例えば受信ごとに順次格納され、そのデータは参照用に供されるようになる。
【0108】
以上のようにして、ログ参照用DB114にログが蓄積される。そして、セキュリティ管理者は、クライアント装置104のログ参照ソフト116を操作することで、ログを検索・参照することができる。
【0109】
以上の説明が、第2の実施形態における、クライアント装置104が作成したログがログサーバ108の記録装置112に格納され、セキュリティ管理者によって検索・参照されるまでの各処理の概略である。以下、より詳細に各処理について説明する。
【0110】
図10は、クライアント装置104の記録装置106に記録されているクライアント装置環境設定ファイル124のデータ構成図である。クライアント装置環境設定ファイル124は、クライアントソフト105をインストールする時点でインストール作業の一部として作成してもよいし、これとは別に専用ソフトを操作して作成しても構わないが、クライアント装置環境設定ファイル124が適切に作成されていない場合には、クライアントソフト105は動作しないようにすべきである。これはクライアントソフト105起動時にクライアント装置環境設定ファイル124を読み込み、その設定内容を確認し、不適切と判断される場合には動作を終了することで簡単に実現することが出来る。こうすることにより、情報内容が不適切なログが送信されることを防ぐことが出来る。
【0111】
クライアント装置環境設定ファイル124の主なデータ項目としては、図示したように、クライアント装置104を資産として管理している部署を識別するための部署コード(D501)、企業などの組織全体としてクライアント装置104を一意に識別するためのクライアント識別(D502)、当該部署のセキュリティ管理者がクライアント装置104を識別するための部署内識別(D503)、ネットワーク上でクライアント装置104を一意に識別するためのコンピュータ名(D504)、当該クライアント装置104を主として利用する利用者の名前、職位、メールアドレス等を識別するための利用者情報(D505)、当該クライアント装置104の購入年月日、購入価格、設置場所等を識別するための資産情報(D506)をあげることが出来る。もちろん、これ以外の情報を含んでいても構わない。
【0112】
そして、例えば次のような場合に、クライアント装置104はログを作成する。
(1)クライアント装置環境設定ファイル124に設定されている情報の内容を変更した場合(ケース1)。
(2)クライアント装置104にインストールされているプログラムからファイルの参照・更新等が行われた場合(ケース2)。
【0113】
ケース1については、例えば、クライアントソフト105にクライアント装置環境設定ファイル124の表示・更新機能を持たせ、クライアント装置104の利用者がクライアントソフト105を使用してクライアント装置環境設定ファイル124の内容を変更した場合に、変更後の内容をログとして作成すればよい。そして、サーバ装置102は、このように作成されたログを受信した時にこのログの内容を記録装置112に記録しておき、クライアント装置104が起動された時に、クライアントソフト105からの要求を受けて、記録していた内容をクライアント装置104に送付する。クライアントソフト105は、送付された内容とクライアント装置環境設定ファイル124の設定内容が一致していることを確認し、不一致の場合には何らかの不正な操作、例えば、汎用的なテキストエディタプログラム等でクライアント装置環境設定ファイル124が不正に変更されたと判断して、利用者にその旨を通知すると共に、不正な操作が行われたことを示すログを作成して、処理を終了すればよい。
【0114】
ケース2については、クライアント装置104において動作するプログラムがファイルの参照・更新等を行おうとした時に、クライアントソフト105に通知されるようにしておき(この技術はファイル暗号化プログラムを初めさまざまなプログラムにおいて実施されており、また本発明の直接的な技術要素ではないので、ここでは具体的な実現方式について説明を省略する)、対象とするファイル名、更新後のデータ等を内容とするログを作成すればよい。
【0115】
次に、クライアント装置104がサーバ装置102にログを送信するタイミングについて説明する。ログ送信タイミングとしては、次の2つの方法が考えられる。つまり、(1)ログを作成する都度、ただちに送信する方法(同期送信)、及び(2)ログを作成してクライアントログファイル107に格納しておき、所定のタイミングで纏めて送信する方法(非同期送信)である。
【0116】
同期送信を行う場合、クライアント装置104で作成したログが直ちにサーバ装置102に送信されるので、クライアント装置104において行われた処理を早期に確認できるという利点がある。
【0117】
しかしながら、セキュリティ管理者がクライアント装置104において行われた処理を逐次監視するほどの必要性は通常存在しない。また、クライアント装置104がオフライン状態にある場合には、ログを直ちにサーバ装置102に送信するのは不可能である。さらに、同期方式を採用する場合、一般的には、クライアント装置104のクライアントソフト105とサーバ装置102のサービス提供ソフト103の間で常に通信可能な状態を維持しておくか、ログを送信しようとする都度、通信可能な状態に接続するか、いずれかを採る必要があり、どちらを採用した場合にも通信機器の負荷の増大をもたらす。従って、クライアント装置104において、機密度の非常に高い情報を取り扱っており、セキュリティ管理者が常にクライアント装置104で行われる処理を監視する必要があるような場合を除いては、次に説明する非同期送信を採用することが望ましい。
【0118】
非同期送信を行う場合、クライアント装置104で作成したログは、ひとまずクライアントログファイル107に格納される。そして、所定のログ送信時刻に達し、かつクライアント装置104がオンライン状態にある場合に、クライアントログファイル107に格納されているログがサーバ装置102に送信される。
【0119】
この「所定のログ送信時刻」は、例えば、クライアント装置104が起動されサーバ装置102のサービス提供ソフト103にログインしたタイミングとすることができる。こうすることにより、オフライン状態で作成したログを次回ログインしたタイミング(すなわち可能なタイミングのうち最も早いタイミング)で送信することが出来る。
【0120】
また、クライアント装置104動作中はクライアントソフト105が定期的に現在時刻を監視することで、毎日同じ時刻に(オンライン状態だった場合に)ログ送信するようにしてもよい。この時刻は、クライアント装置環境設定ファイル124に設定するようにして、クライアント装置104毎に設定時刻を変えるようにしても良い。こうすることで、各クライアント装置104が同時にログ送信することがなくなり、通信機器等の負荷が集中することを防ぐことが出来る。さらに、ログ送信時刻を複数設定することができるようにすれば、1回に送信するログの数を減らすことができるので、負荷分散に効果がある。
【0121】
また、前述したログインしたタイミングに加え、ログインから一定時間が経過するたびにログ送信するようにしてもよい。この場合も、ログインしたタイミングには多数のログが送信されるが、その後の一定時間経過後を比較的短時間(例えば10分)とすれば、纏めて多数のログが送信されることを防止し、かつ、ログが作成されてから比較的早いタイミングでログを送信することが出来る。
【0122】
図11は、ログに含まれている情報の内容を示すデータ構成図である。クライアント装置104から送信するログには、図11Aに示すように、クライアント識別(D601)、ログ出力年月日時刻(D602)、通番(D603)、ログ種別(D604)、部署コード(D605)、ログデータ(D606)の各情報が設定されている。
【0123】
このうち、クライアント識別(D601)は、クライアント装置環境設定ファイル124のクライアント識別(D502)、すなわち当該組織内でクライアント装置104を一意に識別するコードが設定される。
【0124】
ログ出力年月日時刻(D602)には、ログを作成した年月日と時刻が設定される。ここで、各クライアント装置104は一般的に装置内に計時機構を有しているが、この計時機構の時刻合わせは各クライアント装置104の利用者に任されているのが常である。従って、各クライアント装置104によって微妙に時刻が異なることは当然であるし、場合によっては完全に誤った年月日に設定されていることもありうる。また利用者が正確に時刻設定している場合であっても、クライアント装置104を長期間にわたってオフライン状態で使用した場合には、過去の年月日が設定されている可能性もある。しかし、クライアント装置104内の計時機構が示す時刻を一貫して使用する限りは各クライアント装置104におけるログの発生順番には狂いが生じない。
【0125】
通番(D603)はログ出力年月日時刻(D602)が同一のログに対してログの作成順に付与した通番である。従って、同じログクライアント識別(D601)のログを出力年月日時刻(D602)および通番(D603)の昇順に並べれば、当該クライアント装置104において行われた処理を発生順番に表示することが可能になる。
【0126】
ログ種別(D604)は、当該ログの種別、例えば、クライアント装置環境設定ファイル124に設定されている情報の内容を変更した場合に作成するログなのか、クライアント装置104にインストールされているプログラムからファイルの参照・更新等が行われた場合に作成するログなのかを識別するためのコードである。ログ種別(D604)はサーバ装置102およびログサーバ108において実行される処理に必要なだけ設ければよい。また、一般にログ種別(D604)が異なれば、ログデータ(D606)に設定される情報も異なる。
【0127】
部署コード(D605)は、クライアント装置環境設定ファイル124の部署コード(D501)、すなわち当該組織内でクライアント装置104を資産として保有している部署を識別する情報が指定される。
【0128】
ログデータ(D606)には、ログ種別(D604)に応じて必要な情報が設定される。すなわち、ログ種別(D604)は当該ログの使用目的に沿って分類されたコードであるので、ログデータ(D606)にはその目的に必要なデータが設定される。例えば、クライアント装置104にインストールされているプログラムからファイルの参照・更新等が行われた場合に作成するログの場合には、利用者名、操作内容、ファイルの更新後データ内容等が設定される。
【0129】
次に、図11Bを参考として、サーバ装置102のサービス提供ソフト103が、受信したログデータを、ログ収集エージェントインタフェース117を介してログ収集エージェントソフト118に引き渡し、ログ収集エージェントソフト118は、引き渡されたログをログ一時ファイル121に格納するという処理について説明を加える。
【0130】
サービス提供ソフト103は、クライアント装置104からログを受信するたびに、ログ収集エージェントインタフェース117に、受信したログを引き渡す。そしてログ収集エージェントインタフェース117は、引き渡されたログを、ログ収集エージェントソフト118にさらに引き渡す。なお、このようにログ収集エージェントインタフェース117を仲介して処理を行う理由は、サービス提供ソフト103とログ収集エージェントソフト118はそれぞれ独立に動作するソフトであり、現状広く使われている基本ソフト(オペレーティングシステム)においては直接的な呼び出しに向いていないというソフトウェア実装上の都合によるところが大きい。従って、技術的にはサービス提供ソフト103がログ収集エージェントソフト118に、ログを直接引き渡すことも可能である。
【0131】
ここで、ログ収集エージェントソフト118がログ一時ファイル121に格納するログには、図11Bに示すように、ログ格納年月日時刻(D611)、通番(D612)、クライアント識別(D613)、ログ出力年月日時刻(D614)、通番(D615)、ログ種別(D616)、部署コード(D617)、部署名(D618)、ログデータ(D619)の各情報が設定されている。
【0132】
このうち、クライアント識別(D613)、ログ出力年月日時刻(D614)、通番(D615)、ログ種別(D616)、部署コード(D617)、ログデータ(D619)の各情報は、それぞれ、クライアント識別(D601)、ログ出力年月日時刻(D602)、通番(D603)、ログ種別(D604)、部署コード(D605)、ログデータ(D606)と同一であるので説明を省略する。
【0133】
ログ格納年月日時刻(D611)は、ログをログ一時ファイル121に格納した年月日と時刻が設定される。ここで、サーバ装置102は装置内に計時機構を有しているが、この計時機構の時刻合わせはサーバ装置102の管理者が行うことが常であり、管理の都合上、正確に時刻設定されている。通番(D612)は、ログ格納年月日時刻(D611)が同一値のログについて格納順番に付与した値が設定される。
【0134】
部署名(D618)は、部署コード(D617)に対応する部署の名称が設定される。例えば、部署コード(D617)「A001」に対して部署名(D618)「財務課」が設定される。このような名称変換は、例えば、全ての部署コード(D617)に対して部署名(D618)を対応付けたテーブルファイルを、サーバ装置102の記録装置119に記録しておくことにより可能である。
【0135】
なお、ログ収集エージェントソフト118は、ログ一時ファイル121に必ずしも全てのログを格納する必要はない。例えば、全てのログについての確認は各部署のセキュリティ管理者がサーバ装置102を操作して行うので、ログサーバ108にはフィル更新時のログのみを格納すれば充分である、というような場合も考えられる。また、1つのサーバ装置102がクライアント装置104に対して、例えば、暗号・復号化サービスとコンテンツ配信サービスといった複数のサービスを提供するような場合、クライアント装置104では送付されたコンテンツを暗号化して格納する場合に、暗号・復号化サービスに対してはファイルを暗号化して格納したということを示すログを、コンテンツ配信サービスに対してはコンテンツの保存を行ったということを示すログを作成することが考えられるが、この場合、ログの内容は実質的に同一(どちらのログもファイル更新を行ったことを示す情報とファイル名の2つが主要な情報)である可能性が高い。従って、ログ収集エージェントソフト118は、ログサーバ108に送付不要なログについては、ログ一時ファイル121に格納しないようにしても良い。このようにすることで、ログ一時ファイル121の容量を小さくすることが出来、また、不要なログがログサーバ108に送付されることがなくなるので、通信機器の負荷を軽減することが出来る。
【0136】
次に、サーバ装置102のログ収集エージェントソフト118が、ログ収集エージェント環境設定ファイル120を参照して、所定のタイミングとなった時点で、ログ一時ファイル121からログサーバ108のログ収集ソフト122へ、ログを送付する処理について説明を加える。
【0137】
図12は、サーバ装置102の記録装置119に記録されているログ収集エージェント環境設定ファイル120のデータ構成図である。ログ収集エージェント環境設定ファイル120は、ログ収集エージェントソフト118をインストールする時点でインストール作業の一部として作成してもよいし、これとは別に専用ソフトを操作して作成しても構わないが、サーバ装置102起動時に、ログ収集エージェント環境設定ファイル120が適切に作成されていない場合には、サーバ装置102の起動は中止し、操作者に対してログ収集エージェント環境設定ファイル120を設定すべきことを警告すべきである。これはサーバ装置102起動時にログ収集エージェントソフト118が自動的に起動されるように設定しておき、ログ収集エージェントソフト118は、起動時にログ収集エージェント環境設定ファイル120を読み込み、その設定内容を確認し、不適切と判断される場合にはサーバ装置102の起動を中止させることで簡単に実現することが出来る。こうすることにより、ログサーバ108にログを送信しようとした時点で問題が発生することを防ぐことが出来る。
【0138】
ログ収集エージェント環境設定ファイル120の主なデータ項目としては、図示したように、ログサーバ108のネットワーク上のアドレスを示すためのログ送信先(D701)、ログ一時ファイル121の場所をフォルダのフルパス指定等により示す一時ファイル格納場所(D702)、ログサーバ108へのログ送信を開始すべき時刻を示すログ送信開始時刻(D703)、ログ送信を開始した場合に継続してログ送信を行う時間を示すログ送信継続時間(D704)、ログ送信処理に対して通信機器等からエラー通知された場合に送信を何回リトライするべきかを示すリトライ回数(D705)、ログ送信をリトライする場合のリトライ間隔(D706)をあげることが出来る。もちろん、これ以外の情報を含んでいても構わない。
【0139】
なお、以上の項目のうち一時ファイル格納場所(D702)については、前述した、ログ収集エージェントソフト118が、ログをログ一時ファイル121に格納する処理においても参照される。従って、例えばログ一時ファイル121のファイル名は何であっても構わないし、1ファイルであっても良いし、複数ファイルに分けても構わない。
【0140】
1ファイルである場合には、ログの格納・参照処理はより単純にすることが出来るが、例えばログサーバ108に障害が発生し長時間にわたってログ送信が出来なくなったような場合には、ログが蓄積される一方であるため、ファイルサイズが無制限に大きくなり、最終的には基本ソフト(オペレーティングシステム)の許容範囲外となるような事態も考えられる。また、ファイルに蓄積されたログを全て送信し終わる前にログ送信を中断しなければならなくなった場合、送信済みのログをログ一時ファイル121から削除するような処理も必要になる。
【0141】
逆に複数ファイルに分ける場合には、ファイルサイズを連続してログを送信しうる程度の適切なサイズに抑えることができ、所定のログ送信タイミングに達した場合には、少なくとも1ファイル分は全てログ送信してしまうことで、前述した送信済みのログをログ一時ファイル121から削除するような処理が不要になる。ただし、この場合には、複数に分割されたログ一時ファイル121の処理順番(削除の順番)を示すために、例えばファイル名の一部にファイルを作成した順番やファイルを最初に格納した年月日時刻等を付与する必要がある。
【0142】
なお、ログサーバ108にログを送信する処理においては、一時ファイル格納場所(D702)配下に格納されているファイルについては無条件にログ一時ファイル121であるとみなしても構わないし、例えばファイルの拡張子に「log」を付与する等して、対象ファイルを限定しても構わない。さらに、ファイル名の一部にログ一時ファイル121出あることを示すための固定文字(例えば「templog」)を付与しても良い。こうすることで、一時ファイル格納場所(D702)配下に、間違ってログ一時ファイル121以外のファイルが作成された場合にも、適切なファイルだけを処理対象とすることが出来る。
【0143】
サーバ装置102は停止させることなく動作させることも多いので、ログ収集エージェントソフト118がログをログサーバ108に送付するタイミングとして、サーバ装置102を起動するタイミングを選択することは現実的でない場合が多い。従って、図12に示すように、ログ送信開始時刻(D703)を設定しておき、この時刻に達した場合にログ送信を開始するというのが一つの方法である。この場合には、ログ送信継続時間(D704)、あるいは図示していないがログ送信終了時刻を設定しておく必要がある。
【0144】
1つのログ一時ファイル121から蓄積されたログを取り出して送信している途中でログ送信を終了すべき時刻に到達した場合には、その時点でログ送信を終了し、ログ一時ファイル121に蓄積されたログのうち送信済みのものだけを削除してもよいし、処理中のログ一時ファイル121についてはログ送信を終了すべき時刻を経過したあとであっても蓄積されたログを全て送信するようにしても良い。後者のようにする方が処理の単純化につながり、ソフトウェアの不良による障害発生の可能性を軽減できると思われる。前述したようにログ一時ファイル121を複数ファイルに分割し、1ファイルの容量を抑えることによって、ログ送信が、ログ送信を終了すべき時刻を経過したあと長時間にわたって終了しないという問題も回避できるからである。
【0145】
ログ送信処理に対して通信機器等からエラー通知された場合には、エラー通知を受けた後、リトライ間隔(D706)を経過した時点で、再度送信するようにしても良い。通信回線の一時的な不調等によってエラーが発生し、リトライによって正常に送信される場合もあるからである。ただし、この場合には永続的な障害によって無駄な送信処理を繰り返すことを回避するために、リトライ回数(D705)に達するまでリトライするようにすべきである。そして、リトライ回数(D705)に「0」が設定されている場合にはリトライを行わないことにより、ログ収集エージェント環境設定ファイル120の設定値によってログ収集エージェントソフト118の動作を変更することが可能になり、通信環境の変化に対してより柔軟性の高いシステムとすることが出来る。
【0146】
ログ送信開始時刻(D703)、ログ送信継続時間(D704)、リトライ回数(D705)、リトライ間隔(D706)を一組の情報として、複数組の情報を定義できるようにしても良い。このようにすることで、例えば、複数のサーバ装置102に対して、それぞれログを送信する時刻が過度に重複しないように設定することができる。これにより、ログ送信による通信機器やログサーバ108の負荷集中を避けることが出来る。
【0147】
逆に、部署数、即ちサーバ装置102の数が少なく、仮に複数のサーバ装置102から同時にログ送信されても負荷が問題にならないような場合には、ログ送信開始時刻(D703)等を設定してこれによってログ送信タイミングを決定するのではなく、各サーバ装置102においてログ一時ファイル121に蓄積された未送信ログの数に基づき、この数が所定の値を超えた時点でログを送信するといった方法を採用しても良い。この方法により、クライアント装置104から送付されたログが長時間にわたってサーバ装置102のログ一時ファイル121に蓄積されたままになるといった事態を避けることが出来る。
【0148】
また、各サーバ装置102においてログ一時ファイル121に蓄積された未送信ログの数が一定数(例えば100)の倍数を超えるたびに、ログサーバ108のログ収集ソフトにその数を通知し、ログサーバ108のログ収集ソフトは各サーバ装置102から通知された未送信ログの数を記録しておき、この数が最大であるサーバ装置102に対してログ送信を要求し、各サーバ装置102はログを送信すると同時に未送信ログの数も送信するといった方法をとることも可能である。この方法により、動的に負荷を調整することが可能になる。つまり、一番バックログが溜まっているサーバ装置からログデータを送信するようにすることができる。
【0149】
さらに、各サーバ装置102が送信すべきログの発生数が時間当たりにほぼ一定であるような場合には、未送信ログの数を通知することなく、ログサーバ108が一定間隔で順次各サーバ装置102に対して、一定時間だけログの送信を許可するといった比較的単純な方法を採用することも可能である。また、ログ送信開始時刻(D703)による方法と未送信ログの数による方法を組み合わせ、例えば、ログ送信開始時刻(D703)に達した場合でも未送信ログの数が所定の閾値に達していない場合にはログ送信を行わないようにしても良い。
【0150】
なお、ログ収集エージェントソフト118がログサーバ108に送付するログの内容は、ログ一時ファイル121に格納されている内容と基本的には同一であり、ただし、ログの送付元を示すために、サービス提供ソフト103を組織内で一意に識別可能なコード(以下、「サービス提供ソフト識別」と記載する)を付加する必要がある。
【0151】
次に、ログサーバ108のログ収集ソフト122が受信したログを、ログ原本ファイル123およびログ参照用DB114に格納する処理について説明する。
【0152】
ログ収集ソフト122は、受信したログをログ参照用DB114に格納する。ログ参照用DB114には前述したログのデータがそのまま格納されるので、セキュリティ管理者等はログ参照用DB114を参照することで、各クライアント装置104において行われた処理等を知ることが出来る。また、一定期間(例えば1週間)を経過して、参照用としては不要となったログを削除することも出来る。
【0153】
ログ収集ソフト122は、受信したログをログ原本ファイル123にも格納する。ここでログ原本ファイル123は図示していないが、固定文字(例えば「archive」)とログに設定されたログ格納年月日時刻(D611)のうちのログ格納年月日とサービス提供ソフト識別を結合してファイル名としたファイルである。すなわち、同一サービス提供ソフト103から送信されたログのうち、ログ格納年月日が同一なものが1ファイルとして格納される。ログ原本ファイル123は、基本的に無期限に保存すべきファイルであり、記録装置112の容量等の都合により記録装置112から削除したい場合には、外部記録媒体等にバックアップするべきものである。ログ格納年月日をファイル名の一部とするログ原本ファイル123を無期限に保存することにより、ログ参照用DB114から削除してしまった過去のログを参照する必要が発生した場合には、ログ原本ファイル123から必要なログ格納年月日のファイルを容易に見つけ出して、ログ参照用DB114に再格納することが出来る。
【0154】
一般に、ログ格納年月日時刻(D611)の方がログ出力年月日時刻(D614)よりも新しいので、ログ参照用DB114からの不要となったログの削除、およびログ参照用DB114への再格納は、ログ格納年月日を基準として行えば、クライアント装置104においてなされた処理を検証する目的には充分であると考えられる。
【0155】
<第3の実施形態>
さて、以上の説明においては、サーバ装置102のサービス提供ソフト103が、ログサーバ108のログ収集ソフト122の処理に適したデータ構造を持つログを、ログ収集エージェントインタフェース117に引き渡してくれる、という前提で説明を行った。
【0156】
しかし、実際には、サービス提供ソフト103の開発者はログ収集ソフト122の開発者と異なる場合もある。例えば、新たにログ収集(・表示)システムを開発し、システムの一部として他社が開発したサービス提供ソフト103を採用するといった場合である。
【0157】
このような場合、一般的に、サービス提供ソフト103はログ収集エージェントインタフェース117を使用することなく、独自のログファイルを作成する。そして、このログファイルのデータ構造すら不明な場合には、こうして作成されたログファイルを利用することはできないが、もしデータ構造が明示されている場合には、ログサーバ108に取り込むことが可能である。
【0158】
すなわち、図13に示すように、記録装置119に作成されたログファイルを、ログサーバ108の記録装置112の所定フォルダ内にコピーし、コピーされたファイル(他システムログファイル125)をログ参照用DB114およびログ原本ファイル123に格納することが可能である。なお、記録装置112の所定フォルダ内にコピーされるログの内容は、記録装置119のログファイルに格納されている内容と基本的には同一であり、ただし、ログの作成元を示すために、サービス提供ソフト103を組織(システム)内で一意に識別できるコード(以下、「サービス提供ソフト識別」と記載する)を付加する必要がある。また、ログ自体のデータ構造や、ログの各データの項目サイズ(数値項目の桁数等)、コード体系などを、ログサーバ108が処理できるように、適時変換してコピーする必要がある。具体的には各サービス提供ソフト103が作成するログファイルのデータ構造やデータ内容に個々に合わせてコピーする必要がある。
【0159】
以下、こうして作成された他システムログファイル125に格納されているログを、ログ参照用DB114およびログ原本ファイル123に格納する方法(以下、「他システムログ収集処理」と記載する)について説明する。
【0160】
図14は、他システムログ収集処理を行う場合に、ログ収集ソフト122が参照する環境設定ファイル(ログ収集ソフト環境設定ファイル126)のデータ構成図である。
【0161】
ログ収集ソフト環境設定ファイル126の主なデータ項目としては、図示したように、記録装置112内のログファイルがコピーされた場所をフォルダのフルパス指定等により示す他システムログ格納場所(D901)、ログ収集ソフト122がログ収集を開始すべき時刻を示すログ収集開始時刻(D902)、ログ収集を開始した場合に継続してログ収集を行う時間を示すログ収集継続時間(D903)、ログ収集処理に対して基本ソフト(オペレーティングシステム)等からエラー通知された場合に収集を何回リトライするべきかを示すリトライ回数(D904)、ログ収集をリトライする場合のリトライ間隔(D905)をあげることが出来る。もちろん、これ以外の情報を含んでいても構わない。
【0162】
以上ように、他システムログ格納場所(D901)によって、他システムログファイル125が存在する場所が示される。従って、例えば他システムログファイル125のファイル名は何であっても構わないし、1ファイルであっても良いし、複数ファイルに分けても構わない。
【0163】
1ファイルである場合には、他システムログ収集処理はより単純にすることが出来るが、例えばログ収集ソフト122に障害が発生し長時間にわたってログ収集が出来なくなったような場合には、ログが蓄積される一方であるため、ファイルサイズが無制限に大きくなり、最終的には基本ソフト(オペレーティングシステム)の許容範囲外となるような事態も考えられる。また、ファイルに蓄積されたログを全て収集し終わる前に他システムログ収集処理を中断しなければならなくなった場合、収集済みのログを他システムログファイル125から削除するような処理も必要になる。
【0164】
逆に複数ファイルに分ける場合には、ファイルサイズを連続してログを収集しうる程度の適切なサイズに抑えることができ、所定のログ収集タイミングに達した場合には、少なくとも1ファイル分は全てログ収集してしまうことで、前述した収集済みのログを他システムログファイル125から削除するような処理が不要になる。ただし、この場合には、複数に分割された他システムログファイル125の処理順番を示すために、例えばファイル名の一部にファイルを作成した順番、あるいはファイルを最初に格納した年月日時刻等を付与する必要がある。
【0165】
なお、他システムログ収集処理においては、他システムログ格納場所(D901)配下に格納されているファイルについては無条件に他システムログファイル125であるとみなしても構わないし、例えばファイルの拡張子に「log」を付与する等して、対象ファイルを限定しても構わない。さらに、ファイル名の一部に他システムログファイル125であることを示すための固定文字(例えば「otherlog」)を付与しても良い。こうすることで、他システムログ格納場所(D901)配下に、間違って他システムログファイル125以外のファイルが作成された場合にも、適切なファイルだけを処理対象とすることが出来る。
【0166】
他システムログ収集処理(他システムログファイル125を読み込んでログをログ参照用DB114およびログ原本ファイル123に格納する処理)は、特に通信回線等を使用することなく、ログサーバ108にクローズした処理であるので、ログ収集ソフト122が他システムログ収集処理を実行するタイミングとしては、ログサーバ108の負荷のみを考慮すればよい。
【0167】
従って、図14に示すように、ログ収集開始時刻(D902)を設定しておき、この時刻に達した場合に他システムログ収集処理を開始するというのが一つの方法である。この場合には、ログ収集継続時間(D903)、あるいは図示していないがログ収集終了時刻を設定しておく必要がある。1つの他システムログファイル125から蓄積されたログを取り出して処理している途中で他システムログ収集処理を終了すべき時刻に到達した場合には、その時点で他システムログ収集処理を終了し、他システムログファイル125に蓄積されたログのうち処理済みのものだけを他システムログファイル125から削除してもよいし、処理中の他システムログファイル125については他システムログ収集処理を終了すべき時刻を経過したあとであっても蓄積されたログを全て処理するようにしても良い。後者のようにする方が処理の単純化につながり、ソフトウェアの不良による障害発生の可能性を軽減できると思われる。前述したように他システムログファイル125を複数ファイルに分割し、1ファイルの容量を抑えることによって、他システムログ収集処理、処理を終了すべき時刻を経過したあと長時間にわたって終了しないという問題も回避できるからである。
【0168】
他システムログ収集処理に対して基本ソフト(オペレーティングシステム)等からエラー通知された場合には、エラー通知を受けた後、リトライ間隔(D905)を経過した時点で、再度処理するようにしても良い。ただし、この場合には永続的な障害によって無駄な処理を繰り返すことを回避するために、リトライ回数(D904)に達するまでリトライするようにすべきであるし、そもそも、基本ソフト(オペレーティングシステム)等から通知されたエラーがリトライによって解消する可能性は低いので、本項目は通常は設定不要であり、何らかの事情により、他システムログファイル125を通信機器を経由してアクセスせざるを得ないような記録装置に格納するような場合に限られると思われる。すなわち、リトライ回数(D904)に「0」が設定されている場合にはリトライを行わないことにより、ログ収集ソフト環境設定ファイル126の設定値によってログ収集ソフト122の動作を変更することが可能になり、通信環境の変化に対してより柔軟性の高いシステムとすることが出来る。
【0169】
ログ収集開始時刻(D902)、ログ収集継続時間(D903)、リトライ回数(D904)、リトライ間隔(D905)を一組の情報として、複数組の情報を定義できるようにしても良い。このようにすることで、例えば、ログサーバ108の負荷が小さい時間帯をいくつか選択して、その時間帯に他システムログ収集処理が実行されるようにすることができる。
【0170】
逆に、ログサーバ108の負荷が平均的に低く、他システムログ収集処理がいつ実行されても負荷が問題にならないような場合には、ログ収集開始時刻(D902)等を設定してこれによって処理開始タイミングを決定するのではなく、例えば、他システムログファイル125が作成される毎に処理を開始しても良いし、他システムログファイル125の合計容量が所定値を超えた場合に処理開始するといった方法を採用しても良い。
【0171】
最後に、セキュリティ管理者等がログサーバ108の記録装置112に格納されたログ参照用DB114を検索・参照する処理について説明する。
【0172】
セキュリティ管理者等がログ参照用DB114を検索・参照するために使用する装置には特に制約はないが、ここでは、クライアント装置104にインストールされたログ参照ソフト116を使用して、ログ公開ソフト115が生成した表示画面によって参照するという前提で説明する。なお、このようなシステムは、ログ公開ソフト115としてWEBサーバ、ログ参照ソフト116としてWEBブラウザを使用することにより作成できること自体は周知技術であるので、その詳細な実現方法については説明を省略する。
【0173】
図15は、セキュリティ管理者等がクライアント装置104を操作して(クライアント装置104の表示装置に)表示させるログの一覧表示画面の表示例である。
【0174】
この表示画面は、例えばセキュリティ管理者等が、WEBブラウザであるログ参照ソフト116を起動し、所定のURLを入力することにより表示することが出来る。
【0175】
そして、画面左上の「部署選択」プルダウンメニューを操作して、参照したいログの部署名を選択し、画面右上の「開始」蘭に参照したいログのログ出力年月日時刻を、「終了」蘭に参照したいログのログ出力年月日時刻を指定して送信する。そうするとWEBサーバであるログ公開ソフト115は所定の画面作成ソフトに指定されたデータを引き渡し、所定の画面作成ソフトはログ参照用DB114から、ログ出力年月日時刻が開始から終了までの範囲であり、部署名を部署コードに変換した結果が部署コードと一致するログを検索し、表示情報を作成して、ログ参照ソフト116に返却する。そして、ログ参照ソフト116は、画面の下部に、部署名、ログ出力年月日、時刻、コンピュータ名、利用者名、操作内容を表示する。
【0176】
以上の処理で、画面の下部に表示する項目は上記の項目に限られるものではなく、ログに存在するデータ全てを画面の横スクロールによって表示できるようにしても良いし、例えば、参照目的別に複数のURLを準備して、URL毎に表示する項目を変えても良い。
【0177】
参照目的別に複数のURLを準備する場合には、例えば画面上に非表示の「一覧ID」を設定しておき、予め一覧ID毎に表示項目テーブルを作成しておき、このテーブルの設定値に従って表示項目を編集しても良い。
【0178】
図16は、ログの一覧表示に使用する表示項目テーブルのデータ構成図である。こうしたテーブルによるプログラムの汎用化は一般的な技術であるので、表示項目テーブルを使用した処理についての詳細説明は省略する。本テーブルを使用することで、前述した所定の画面作成ソフトを表示項目の種類毎に作成する必要がなくなることはいうまでもない。
【0179】
なお、実施形態の機能を実現するソフトウェアのプログラムコードによっても本発明は実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フロッピィ(登録商標)ディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
【0180】
また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。
【0181】
さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。
【0182】
また、実施の形態の機能を実現するソフトウェアのプログラムコードがネットワークを介して配信されることにより、システム又は装置のハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納され、そのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行することによっても、達成されるようにしてもよい。
【図面の簡単な説明】
【0183】
【図1】本発明の対象とするログ収集(・表示)システムの概念図である。
【図2】本発明の第1の実施形態によるシステム構成を示す図である。
【図3】クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示すフローチャートである。
【図4】サーバ装置102におけるログデータ受信・格納処理を示すフローチャートである。
【図5】複製処理(2つの方式)を示すフローチャートである。
【図6】本発明の第2の実施形態によるシステム構成を示す図である。
【図7】クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示すフローチャートである。
【図8】サーバ装置102におけるログデータ受信・格納処理を示すフローチャートである。
【図9】サーバ装置102からログサーバ108へのログ送付処理及び、ログサーバ108におけるログ受信・格納処理を示すフローチャートである。
【図10】クライアント装置環境設定ファイルのデータ構成図である。
【図11】ログに含まれている情報の内容を示すデータ構成図である。
【図12】ログ収集エージェント環境設定ファイルのデータ構成図である。
【図13】本発明の第3の実施形態によるシステム構成図であって、他システムのログを取得する方法についての概念図である。
【図14】ログ収集ソフト環境設定ファイルのデータ構成図である。
【図15】ログの一覧表示画面の表示例である。
【図16】ログの一覧表示に使用する表示項目テーブルのデータ構成図である。
【符号の説明】
【0184】
101 … 部署システム
102 … サーバ装置
103 … サービス提供ソフト
104 … クライアント装置
105 … クライアントソフト
106 … (クライアント)記録装置
107 … クライアントログファイル
108 … ログサーバ
109 … ログ管理ソフト
110 … DB(データベース)管理ソフト
111 … ログ複製ソフト
112 … (ログサーバ)記録装置
113 … ログ一時記録DB(データベース)
114 … ログ参照用DB(データベース)
115 … ログ公開ソフト
116 … ログ参照ソフト
117 … ログ収集エージェントインタフェース
118 … ログ収集エージェントソフト
119 … (サーバ装置)記録装置
120 … ログ収集エージェント環境設定ファイル
121 … ログ一時ファイル
122 … ログ収集ソフト
123 … ログ原本ファイル
124 … クライアント装置環境設定ファイル
125 … 他システムログファイル
126 … ログ収集ソフト環境設定
1200 … ログ収集(・表示)システム
1201a、1201b、1201c … セグメント
1202 … クライアント装置
1203a、1203b、1203c、1203d … サーバ装置
1204 … ログサーバ
【技術分野】
【0001】
本発明は、コンピュータシステムのクライアント装置においてなされた操作等の履歴を一元的に管理し利用を可能にするログ収集システムに関するものである。
【背景技術】
【0002】
コンピュータ・ハードウェアの高性能化、低価格化、小型化が進展するに伴い、日常生活のあらゆる側面でコンピュータを利用することが一般的になってきている。特に現在では、インターネットに代表されるネットワークにコンピュータを接続して利用することが多い。例えば、企業活動に必要な情報をサーバ装置で集中的に管理し、各従業員にはPC(パーソナル・コンピュータ)を割当て、これをサーバ装置とネットワーク接続することで、業務上必要な情報を入手したり、サーバ装置の情報を更新したりするなどが行われている。
【0003】
こういったネットワークを利用した情報の集中化と、PCなどのクライアント装置による情報アクセスが広く行われることに伴い、クライアント装置自体の紛失や、情報を記録した媒体の持ち出しといった、いわゆる情報漏洩が大きな社会問題となってきている。クライアント装置がネットワークに接続されている間は、サーバ装置へのアクセスについて正当な権限を有しているかの認証を行うことで、ある程度の情報漏洩防止策を施すことができる。また、この認証の際、クライアント装置からアクセス要求があった時刻等の履歴を保存することで、後日、情報漏洩が露見した場合に履歴情報を確認して漏洩経路を特定することも可能である。
【0004】
しかしながら、通常、クライアント装置はネットワークから物理的に切り離して使用することも可能であり、従って、クライアント装置にサーバ装置から入手した情報を記録したまま企業外に持ち出して紛失するという危険は常に存在する。また、ネットワークから物理的に切り離した状態(以下「オフライン」または「オフライン状態」と記載する)で、例えばサーバ装置から入手した情報を外部媒体に複写したとしても、その行為を情報管理者が直ちに知ることはできない。特にクライアント装置はサーバ装置に比べて多数存在するため、全てのクライアント装置を適正に管理することは容易ではなく、害意を持った利用者に対してはもろい面を有している。
【0005】
こうした情報漏洩の危険を軽減するために、例えば特許文献1のように、サーバ装置から入手した情報などをクライアント装置の記録装置に書き込む際に自動的に情報を暗号化し、読み出す際には鍵管理コンピュータから入手した復号鍵によって復号するという方法が知られている。この方法によれば鍵管理コンピュータから復号鍵を入手する際に認証が行われるため、情報を全て暗号化して格納しておけば、正当な権限を有するものが所定のネットワークに接続しなければ情報を復号化することができず、クライアント装置を紛失した場合に第三者に情報漏洩が発生することはない。またオフライン状態では情報を復号化することができないため、サーバ装置から入手し暗号化して記録した情報を、オフライン状態で復号化することはできない。
【0006】
しかしながら、このような方法を採用した場合にも、次のような情報漏洩の危険が存在する。すなわち、一般に自動暗号化・復号化するためのプログラムをクライアント装置にインストールし、必要なファイルが自動暗号化・復号化の対象となるように、クライアント装置の環境を設定する必要がある。害意を持ったクライアント装置利用者は上記のような適切な対策を行ってくれないであろうし、害意がなくても誤って対策が適切でない可能性がある。従って、情報漏洩を効果的に防止するためには、クライアント装置が適切に環境設定されているか、また適切に利用されているかどうかを適時監視する仕掛けが必要となる。
【0007】
このため、特許文献2のように、クライアント装置において何らかの操作が行われるたびに履歴情報を作成し、オンライン状態においてはログ収集サーバに適時送信し、オフライン状態においてはひとまずクライアント装置内部の記録装置に履歴情報を蓄積しておき、オンライン状態になった時点でログ収集サーバに履歴情報を送信するという方法が知られている。
【0008】
また、特許文献3、特許文献4においては、ネットワーク上に、クライアント装置に対してさまざまなサービスを提供する複数のサーバ装置が存在するシステムにおいて、1つのログ管理サーバを設置し、このログ管理サーバからの要求に従って、各サーバ装置で収集したログ情報をログ管理サーバに転送し、蓄積して利用する方法が説明されている。
【特許文献1】特開平11−149414
【特許文献2】特開2003−58395
【特許文献3】特開2002−251500
【特許文献4】特開2001−27990
【発明の開示】
【発明が解決しようとする課題】
【0009】
ところで、大規模なネットワークにおいては、1台のサーバ装置への負荷集中を避けるために、例えば部署ごとにサーバ装置を設置してクライアント装置の管理を行うという形態が一般的である。
【0010】
このような形態においては、特許文献2のようにクライアント装置が部署ごとのサーバ装置にログを送信するだけでは、各部署内にクローズした管理しか行うことができない。このため、特許文献3、特許文献4に示されているように、全てのログ情報をログ管理サーバに纏めて蓄積するシステムが必要になる。
【0011】
しかしながら、特許文献3、特許文献4に示されたシステムはいずれも、ログ管理サーバがログ収集タイミングを決定し、各サーバ装置に対してログ情報を送付するように要求するものである。このように1台のサーバがログ収集タイミングを決定するという方法はシンプルであり、ログ管理サーバの負荷を一定に保つことが比較的容易である。
【0012】
一方、ログを収集、蓄積、管理するという機能は、システム全体として考えれば、各サーバ装置においてサービスが適正に行われるようにする、いわば裏方の役割であり、ログ収集にあたって考慮に入れるべきは、むしろ、各サーバ装置の負荷軽減である。すなわち、このようなシステムにおいては、各サーバ装置の負荷を適切な状態に保つために、ログ管理サーバからの要求によるのではなく、各サーバ装置側の主導によりログ送信を行う必要がある。
【0013】
本発明は上述のような問題に鑑みてなされたものであり、例えば部署等のセグメントごとにサーバ装置を設置してクライアント装置の管理を行うシステムにおいて、各クライアント装置において行われた操作等の履歴情報をシステム全体としてまとめて、適切なタイミングで収集し、利用するシステムを提供するものである。
【課題を解決するための手段】
【0014】
上記問題を解決するために、本発明によるログ収集システムは、所定処理の履歴情報を含むログデータを生成するクライアント装置と、このクライアント装置にサービスを提供するサーバ装置と、このサーバ装置から前記ログデータを受信し、記録するログサーバ装置と、を備えるログ収集システムであって、前記クライアント装置は、その装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、生成した前記ログデータを格納する第1のログデータ格納手段と、予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、前記サーバ装置は、前記クライアント装置から送信されてきた前記ログデータを受信する第1の受信手段と、受信した前記ログデータを第2のログデータ格納手段に格納し、格納した前記ログデータを前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログサーバ装置に前記ログデータを送信するエージェント手段と、を備え、前記ログサーバ装置は、前記サーバ装置から送信されてきた前記ログデータを受信する第2の受信手段と、受信した前記ログデータを格納し、前記ログデータを参照用に供するための参照用ログデータ格納手段と、を備えることを特徴とする。
【0015】
そして、前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成する。
【0016】
また、前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信、若しくは前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信の何れかの送信処理を実行する。
【0017】
前記エージェント手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割し、この分割ファイルを連続して前記ログサーバ装置に送信する。
【0018】
前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信し、また、前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信する。
【0019】
前記ログサーバ装置は、さらに、前記クライアント装置からの要求に応じて、前記参照用ログデータ格納手段に格納されているログデータを前記クライアント装置に送信する表示用ログデータ送信手段を備えている。
【0020】
上記問題を解決するために、本発明によるクライアント装置は、サーバ装置から所定のサービスが提供され、所定処理の履歴情報を含むログデータを生成し、前記サーバ装置に送信するクライアント装置であって、前記クライアント装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、生成した前記ログデータを格納する第1のログデータ格納手段と、予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成することを特徴とする。
【0021】
前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信処理、又は、前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信処理を実行する。
【0022】
クライアント装置は、さらに、前記クライアント装置の設定内容が変更された場合に作成され前記第1のログデータ格納手段に格納されたログデータと、予め前記サーバ装置に登録されている前記クライアント装置の設定内容を示すログデータとを比較し、両者が不一致の場合には不正操作が行われた可能性があることを警告する警告手段を備えている。
【0023】
上記問題を解決するために、本発明によるログ収集エージェント装置は、クライアント装置にサービスを提供し、所定処理の履歴情報を含むログデータを前記クライアント装置から受信し、前記ログデータをログサーバ装置に送信するサーバ装置におけるログデータの管理を行うログ収集エージェント装置であって、前記クライアント装置から送信されてきた前記ログデータを受信するログデータ受信手段と、受信した前記ログデータを格納するためのログデータ格納手段と、前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログデータ格納手段に格納された前記ログデータの送信処理を管理する管理手段と、前記管理手段の指示に従って前記ログデータを前記ログサーバ装置に送信するログデータ送信手段と、を備えることを特徴とする。
【0024】
また、前記管理手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割して分割ファイルを生成し、前記ログデータ送信手段は、前記分割ファイルを連続して前記ログサーバ装置に送信するようにしている。
【0025】
さらに、前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信するように前記ログデータ送信手段に指示する。
【0026】
また、前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信するように前記ログデータ送信手段に指示する。
【0027】
さらに、ログ収集エージェント装置は、前記クライアント装置から受信した前記ログデータに前記ログサーバ装置における管理のための情報を付加して加工済ログデータを生成して前記ログデータ格納手段に格納するログデータ加工手段を備え、前記ログデータ送信手段は、前記加工済ログデータを前記ログサーバ装置に送信する。
【0028】
さらなる本発明の特徴は、以下本発明を実施するための最良の形態および添付図面によって明らかになるものである。
【発明の効果】
【0029】
本発明のログ収集システムによれば、例えば部署等のセグメントごとにサーバ装置を設置してクライアント装置の管理を行うシステムにおいて、各クライアント装置において行われた操作等の履歴情報をシステム全体としてまとめて、適切なタイミングで収集し、利用することができる。
【発明を実施するための最良の形態】
【0030】
<概念及び用語の説明>
まず本発明の実施形態の説明に入る前に、本発明の概要を説明すると共に、本発明を説明するに当たって使用する用語の意義について説明する。
【0031】
図1は、本発明の対象とするログ収集(・表示)システムを概念図で表したものである。ログ収集(・表示)システム1200は、図中波線で囲っている複数のセグメント1201(本図には、セグメント1201a、セグメント1201b、セグメント1201cを図示しているが、説明上、特に区分する必要のない場合は、「セグメント1201」と表記する)と、ログサーバ1204と、図示していないが、通信経路を含む各種通信機器、各機器が備える入出力装置、記録装置等から構成されている。
【0032】
なお、本発明において「セグメント」とは、サーバ装置と、当該サーバ装置が提供するサービスの対象となるクライアント装置、通信経路を含む各種通信機器、各機器が備える入出力装置や記録装置、サーバ装置を含む各機器において動作するソフトウェア、各記録装置に格納される情報等、サーバ装置がクライアント装置にサービスを提供するために必要な資源を一まとめにした概念であり、必ずしも1つのLANセグメント等に対応する必要はない。
【0033】
また、本発明において「サービス」とは、サーバ装置がクライアント装置からのログイン要求を受けて、クライアント装置の正当性を検証し、正当であると判断したクライアント装置に対して、以降ログアウト要求を受けるまでの間、クライアント装置からの要求に応じて情報暗号・復号鍵を送付するサービス(以降「暗号・復号化サービス」と記載する)を中心に説明するが、本発明の範囲はこれに限られるものではない。
【0034】
例えば、サーバ装置がクライアント装置からのログイン要求を受けて、クライアント装置の正当性を検証し、正当であるとあると判断したクライアント装置に対しては、以降ログアウト要求を受けるまでの間、クライアント装置からの要求に応じて当該サーバ装置の記録装置に格納された情報を送付し、あるいはクライアント装置から送付された情報を当該サーバ装置の記録装置に格納するサービス(以降「ファイル共有サービス」と記載する)も含まれる。
【0035】
さらに、サーバ装置の記録装置に誰でも自由に参照して構わない情報(例えば企業の宣伝情報、製品パンフレット)を格納しておき、任意のクライアント装置からの要求を受けて当該情報を送付し、クライアント装置では閲覧用ソフトウェアを使用して送付された情報を表示するサービス(以降「情報閲覧サービス」と記載する)、サーバ装置の記録装置に対価を払えば誰でも参照して構わない情報(例えば音楽情報)を格納しておき、任意のクライアント装置からの要求を受けて当該情報を送付するサービス(以降「コンテンツ提供サービス」と記載する)なども含まれる。サーバ装置がこのようにクライアント装置の認証を行わず任意のクライアント装置に対してサービスを提供する場合には、前述した「セグメント」の範囲は固定ではなく、現にサービス提供を受けているクライアント装置を含んだ、動的に変化するものとなる。
【0036】
さて、図1には、複数のクライアント装置1202と複数のサーバ装置(1203a、1203b)からなるセグメント1201a、複数のクライアント装置1202と1つのサーバ装置(1203c)からなるセグメント1201b、複数のクライアント装置1202と1つのサーバ装置(1203d)からなりクライアント装置1202の一部がセグメント1201aと重複しているセグメント1201cの3つの例を示している。
【0037】
なお、セグメント1201aにおいて、サーバ装置1203a、サーバ装置1203bは同じサービスを提供しても良いし、異なるサービスを提供しても良い。サーバ装置1203a、サーバ装置1203bが同じサービスを提供する場合には、例えば負荷に応じて動的にサービス提供サーバを切り替えるようにしても良いし、一方を他方に障害が発生した場合のバックアップ装置としても構わない。さらに、異なるサービスを提供する場合、必ずしも物理的に異なる2つのサーバ装置1203a、サーバ装置1203bを用意せず、例えばサーバ装置1203aにおいて2つのサービスを提供しても良い。
【0038】
また、セグメント1201は1台以上のクライアント装置1202と1台以上のサーバ装置1203(本図には、サーバ装置1203a、サーバ装置1203b、サーバ装置1203c、サーバ装置1203dを図示しているが、説明上、特に区分する必要のない場合は、「サーバ装置1203」と表記する)と、図示していないが、通信経路を含む各種通信設備等から構成されている。
【0039】
なお、本発明において「クライアント装置」とは、PCに代表されるように、利用者の操作要求を受けて、CPU等の制御装置により各種の機能を実行する機器を指し、携帯電話等も含まれる。「サーバ装置」とは、通信回線を介してクライアント装置にサービスを提供する機器を指す。そして「ログ」とは、クライアント装置が、当該サービスに関し当該装置において行われた処理の内容、あるいは処理が行われた事実そのものを、サーバ装置に通知するための一まとめの情報を指す。ログは、主として、クライアント装置で不正な処理、不適切な処理が行われていないかどうかを検証するために使用される。
【0040】
例えばサーバ装置1203aが暗号・復号化サービスを、サーバ装置1203bがファイル共有サービスを、サーバ装置1203cが情報公開サービスを、サーバ装置1203dがコンテンツ提供サービスを提供している場合、暗号・復号化サービスの提供を受けるクライアント装置は、ファイルの暗号・復号化を行う毎に、暗号・復号化の対象としたファイルの名称等の情報をログとして作成する。また、ファイル共有サービスの提供を受けるクライアント装置は、サーバ装置から入手した情報を記録装置に保存する毎に、保存の対象としたファイルの名称等の情報をログとして作成する。情報閲覧サービスの提供を受けるクライアント装置は、サーバ装置から入手した情報を記録装置に保存する毎に、保存の対象としたファイルの名称等の情報をログとして作成する。音楽情報のコンテンツ提供サービスの提供を受けるクライアント装置は、サーバ装置から入手した音楽情報を再生する毎に、再生の対象とした音楽情報の名称等の情報をログとして作成する。なお、以上に示したログの内容は例示に過ぎず、クライアント装置で不正な処理、不適切な処理等が行われていないかどうかを検証する等のログの使用目的に適した情報をログとすれば良い。
【0041】
以上のようにクライアント装置で作成されたログは、適切なタイミングで、クライアント装置から、サービス提供元のサーバ装置に送られる。通常は通信回線を経由して送付されるが、通信回線に障害が発生しているような場合には、クライアント装置側でログをFD、CD/R等の外部記録媒体に複写し、これをサーバ装置において読み込ませる等の方法をとることも可能である。また、ログを通信回線経由で送付する場合にも、ログを作成する毎に送付する方法、作成したログを一旦クライアント装置の記録装置に保存しておき、一定期間毎にサーバ装置に送付する方法など、複数の方法が可能である。
【0042】
また、システムには少なくとも1台のログサーバ1204が設けられる。ログサーバ1204は、各サーバ装置が収集したログのうち必要な部分を纏めて収集、記録し、管理者に要求に応じて表示等の処理を行う。
【0043】
サーバ装置に送付されたログは、サーバ装置において、そのまま、あるいは情報を加工・編集され、適切なタイミングで、ログサーバに送付される。ここで情報の加工・編集を行う目的としては、例えば、ログとして送付された情報のうち、サーバ装置においては必要だが、ログサーバで一括管理する目的については不要なものを削除する、あるいはログサーバとしては不要なログそのものをログサーバへの送付対象から外す、クライアント装置からはコード(部署コード、物品コード等)で送付された情報を名称に変換する、あるいは、ログを受け取ったサーバ装置の名称や、サーバ装置がログを受け取った時刻等をログに付加する、などさまざまである。すなわち最終的にログサーバが必要とする情報のみがログサーバに送付されるようにすれば充分である。
【0044】
また、ログの送付タイミングについても、通常は通信回線を経由して送付されるが、通信回線に障害が発生しているような場合には、サーバ装置側でログをFD、CD/R等の外部記録媒体に複写し、これをログサーバにおいて読み込ませる等の方法をとることも可能である。また、ログを通信回線経由で送付する場合にも、ログを作成する毎に送付する方法、作成したログを一旦サーバ装置の記録装置に保存しておき、一定期間毎にログサーバに送付する方法など、複数の方法が可能である。
【0045】
以上で本発明の概要および用語の概念についての説明を終え、以下、本発明を適用したログ収集(・表示)システムの一実施の形態(以下、「本実施形態」と記載する)について説明する。なお、本実施形態においては、企業等の規模の大きな組織における実施を念頭に置き、サーバ装置は組織内の各部署(事業部、本部、部または課等)毎に1台設置され、各部署の従業者がそれぞれクライアント装置を使用し、サーバ装置はクライアント装置に対して暗号・復号化サービスを提供するという例について説明する。従って、本実施形態においては、前述した「セグメント」は実質的に部署と同じ範囲になるので、以下、より直感的に把握しやすい「部署」という用語に置き換えて説明する。
【0046】
<第1の実施形態>
図2は、第1の実施形態に係るシステム構成図である。ログ収集(・表示)システム1は、1つまたは複数の部署システム101、記録装置112を備えたログサーバ108、および必要な通信機器から構成される。部署システム101は前述したセグメントに該当し、通信回線を経由してログサーバ108と接続されている。
【0047】
部署システム101は、サーバ装置102、記録装置106を備えた1つまたは複数のクライアント装置104、および必要な通信機器から構成される。なお、図2の説明には登場しないために図示していないが、一般的には、サーバ装置102は記録装置を備えている。
【0048】
サーバ装置102にはクライアント装置104にサービスを提供するサービス提供ソフト103、およびその他サーバ装置102で必要とされるプログラムがインストールされている。
【0049】
クライアント装置104にはサーバ装置102が提供するサービスを受けるためのクライアントソフト105、ログサーバ108に蓄積されたログを参照するためのログ参照ソフト116、およびその他クライアント装置104で必要とされるプログラムがインストールされており、クライアント記録装置106には、クライアント装置104が作成したログを一時的に格納するクライアントログファイル107、クライアント装置環境設定ファイル124の他、クライアント装置104が必要とするさまざまなファイルが存在する。クライアント装置環境設定ファイル124には、クライアント装置104を管理している部署の情報等が格納され、情報の一部はログの内容としても使用される。
【0050】
ログサーバ108には、ログの管理・表示等を行うためのログ管理ソフト109、ログサーバ108が参照・更新するファイル(データベース)を管理するためのDB(データベース)管理ソフト110(以下「DB管理ソフト110」と記載する)、および後述するログ複製処理に使用するログ複製ソフト111、ログサーバ108に蓄積されたログを公開するためのログ公開ソフト115、およびその他ログサーバ108で必要とされるプログラムがインストールされている。ここで、ログ公開ソフト115は、DBに保持されたログを管理者が管理しなければならないが、その管理のために必要とされるものである。
【0051】
ログサーバ記録装置112には、サーバ装置102がクライアント装置104から受信したログを一時的に格納するためのログ一時記録DB113、ログを蓄積し参照するためのログ参照用DB114の他、ログサーバ108が必要とするさまざまなファイルが存在する。ログ一時記録DB113は、セグメント毎にログを順次保持するためのDB(セグメント単位で管理)である。また、ログ参照用DB114は、ログを参照するためにログ一時記録DB113からログを一括して保持し、参照しやすいようにするためのDBである。
【0052】
図3乃至図5は、第1の実施形態におけるログ収集の処理を説明するためのフローチャートである。
【0053】
図3のフローチャートは、クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示している。なお、ここでは特に断らない限り、各ステップの処理主体は、クライアント装置104の内部にあるCPU等の制御部である。
【0054】
図3において、ステップS201では、クライアント装置104において所定の処理(クライアント処理)が実行されたことが検知される。ステップS202では、実行されたクライアント処理がログを作成する必要がある処理であったかが判断される。ログデータを作成する必要があるか否かは、後述のように、例えば、クライアント装置環境設定ファイル124に設定されている情報の内容が変更された場合やクライアント装置104にインストールされている何らかのファイルの参照・更新等が行われた場合である。ステップS202では、ログ作成要と判断されるまでクライアント処理が監視されることになる。
【0055】
ステップS202でログ作成要と判断された場合、ステップS203において、ログデータが作成される。ログデータの内容については、例えば、後述の図10に示されるデータ構造のものが挙げられる。
【0056】
ステップS204では、ステップS203で作成されたログデータをクライアント装置104の記録装置106内に設けられたクライアントログファイル107に一時的に格納される。
【0057】
以上の各ステップに係る処理が繰り返され、クライアント装置104ではログが蓄積されていくことになる。
【0058】
また、ステップS211では、ログデータをサーバ装置102に送付するタイミングか否かが判断され、送付するタイミングであると判断されれば処理はステップS212に移行する。
【0059】
ステップS212では、クライアントログファイル107内に送付対象となっているログデータが存在するか否かが判断され、存在する場合には処理はステップS213に移行する。存在しない場合には、ログデータを送付する次のタイミングまで待機して再度送付対象のログデータが存在するか否かが判断される。
【0060】
ステップS213では、送付対象のログデータの送付が完了したか否かが判断され、完了していれば処理はS211に戻る。完了していなければ処理はステップS214に移行する。
【0061】
ステップS214では、送付対象のログデータ(1件分)をクライアントログファイル107から取り出してサーバ装置102に送付する。
【0062】
以上の処理が、クライアント装置104では所定のタイミングで繰り返されることになる。
【0063】
図4のフローチャートは、サーバ装置102におけるログデータ受信・格納処理を示している。各ステップの制御主体は、特に断らない限り、サーバ装置102の内部にある図示しない制御部である。
【0064】
図4において、ステップS221では、サーバ装置102のサービス提供ソフト103(サービス提供部)がクライアント装置104から送付されてきたログデータを受信したか否かが判断される。受信した場合には処理はステップS222に移行し、受信していない場合には受信するまで待機することになる。
【0065】
ステップS222では、受信したログデータを図2で図示しないサーバ装置102内のログ一時記録DBに格納する。
【0066】
一方、ログサーバ108は各セグメントのサーバ装置102を監視しており、各サーバ装置のログ一時記録DBからログデータを取得する。そして、取得したログデータはログサーバのログ一時記録DB113に格納する。また、その取得したログデータはログ一時記録DB113からログ参照用DB114に複製されるが、複製の方式にはジョブ方式とトリガ方式がある。
【0067】
ジョブ方式は、ログデータを複製するプログラムを定期的に走行させ、ログデータを一括して複製する方法であり、トリガ方式はログデータがログ一時記録DB113に格納される度にログデータを複製するプログラムを走行させ1ログずつ複製する方法である。いずれの方式を採用した場合も、複製を行うのはログサーバ108であり、サーバ装置102はクライアント装置104からログデータを受けるたびにログ一時記録DB113に格納するだけなので、ログサーバ108が所定のタイミングでサーバ装置102にログ送付を要求する方法と異なり、ログ送信に伴うサーバ装置102の負荷増大を防ぐことができる。
【0068】
図5を用いて上記2方式の複製方法についてそれぞれ説明する。図5のフローチャートは、上記2方式の複製処理を示している。各ステップにおける制御主体は、特に断らない限り、ログサーバ108における図示しない制御部である。
【0069】
まず、ジョブ方式について、ステップS231において、ログ一時記録DB113からログ参照用DB114への複製を実行するタイミングか否かが判断される。
【0070】
ステップS231でログ複製のタイミングであると判断されると、ステップS232において、ログ複製ジョブが起動される。
【0071】
そして、ステップS235において、ログ一時記録DB113に複製対象のログが存在するか否かが判断され、存在しなければ処理は終了し、存在すれば処理がステップS236に移行する。
【0072】
ステップS236では、複製対象のログがログ一時記録DB113からログ参照用DB114に複製(コピー)される。
【0073】
続いて、トリガ方式については、ログがログ一時記録DB113にログが格納されるのをDB管理ソフト110が監視して、格納されたタイミングでログ複製処理が起動される。ステップS241において、ログ一時記録DB113に複製対象のログデータが存在するか否かが判断され、存在しなければ処理は終了し、存在すれば処理がステップS242に移行する。
【0074】
ステップS242では、複製対象のログデータがログ一時記録DB113からログ参照用DB114に複製(コピー)される。
【0075】
以上のようにしてログ参照用DB114にログデータが蓄積され、セキュリティ管理者は、クライアント装置104のログ参照ソフト116を操作することで、ログデータを検索・参照することができるようになる。
【0076】
なお、第1の実施形態ではシステム構成が単純であり、従ってプログラムの不良等によるシステム障害の発生頻度を低くすることが出来るという利点がある。
【0077】
しかしながら、サーバ装置102のサービス提供ソフト103が、受信したログデータを、ログ一時記録DB113に格納する際に、出力先であるログサーバ108のDB管理ソフト110の停止などが原因で、ログ一時記録DB113への格納に失敗した場合には、DB管理ソフト110の復旧後に、格納に失敗したログデータの格納を手作業で行わなければないという問題がある。特にクライアント装置104の数が多い場合や、DB管理ソフト110の停止が長時間に及んだ場合などはログ格納に失敗する回数もそれだけ多くなる。
【0078】
例えば、クライアント装置104の台数が1,000、クライアント装置104において、平均して1分間に1つのログが作成され、クライアント装置104からサーバ装置102へのログデータの送信間隔が10分おきに設定されている場合を試算してみる。DB管理ソフト110が1時間停止し、その間、ログ一時記録DB113の格納がすべて失敗していたとすると、60,000((60分/10分)×1,000×10)回の失敗が発生する。そのためこれをそれぞれ手作業で復旧することは非常に困難である。
【0079】
以上から、特にクライアント装置104が多数存在するような環境においては、サーバ装置102のサービス提供ソフト103がクライアント装置104からログを受信するタイミングと同期を取って、ログサーバ108にログを格納するような方式には問題があり、この処理はむしろ非同期に実行すべきであると考えられる。
【0080】
また、ログ参照用DB114は当然ながら、時間が経過するにつれて格納されているログの数は増えていく。従っていずれかの時点で作成されてから一定期間が経過したログデータを削除する必要がある。しかしながら、こうした過去ログの削除を行ったあとで削除したログデータを参照する必要が発生することも皆無ではなく、従って、結局、一定期間が経過したログデータを別のファイルにバックアップしておき、必要の都度リロードする仕組みが必要になる。
【0081】
<第2の実施形態>
図6は、以上のような第1の実施形態の問題点を考慮し、改良した第2の実施形態に係るログ収集(・表示)システム1の構成を示す図である。
【0082】
基本的なシステム構成は前述した図2のシステム構成と同じであり、図2のシステム構成と異なっているのは、サーバ装置102およびログサーバ108に関連する部分である。よって、以下、この相違点を中心にシステム構成を説明する。
【0083】
図6に示されるログ収集(・表示)システムにおいて、サーバ装置102には、サービス提供ソフト103に加えて、ログ収集エージェントインタフェース117とログ収集エージェントソフト118がインストールされている。また、サーバ装置102の記録装置119には、ログ収集エージェント環境設定ファイル120とログ一時ファイル121が存在する。
【0084】
また、ログサーバ108には、ログ収集ソフト122がインストールされている。そして、ログサーバ108の記録装置112には、ログ原本ファイル123が存在する。
【0085】
サービス提供ソフト103は、ログ収集エージェントインタフェース117を介してログ収集エージェントソフト118に、ログサーバ108に送信すべきログを引き渡し、ログ収集エージェントソフト118は引き渡されたログを一旦はログ一時ファイル121に格納する。そして、ログ一時ファイル121格納されたログを、所定のタイミングでログサーバ108のログ収集ソフト122に送付するのである。そして、ログ収集エージェント環境設定ファイル120には、後述するようにこの所定のタイミングが定義されている。
【0086】
図7乃至図9は、第2の実施形態におけるログ収集の処理を説明するためのフローチャートである。
【0087】
図7のフローチャートは、クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示している。なお、ここでは特に断らない限り、各ステップの処理主体は、クライアント装置104の内部にあるCPU等の制御部である。
【0088】
図7において、ステップS401では、クライアント装置104において所定の処理(クライアント処理)が実行されたことが検知される。ステップS402では、実行されたクライアント処理がログを作成する必要がある処理であったかが判断される。ログを作成する必要があるか否かは、後述のように、例えば、クライアント装置環境設定ファイル124に設定されている情報の内容が変更された場合やクライアント装置104にインストールされている何らかのファイルの参照・更新等が行われた場合である。ステップS402では、ログ作成要と判断されるまでクライアント処理が監視されることになる。
【0089】
ステップS402でログ作成要と判断された場合、ステップS403において、ログデータが作成される。ログデータの内容については、例えば、後述の図10に示されるデータ構造のものが挙げられる。
【0090】
ステップS404では、ステップS403で作成されたログデータをクライアント装置104の記録装置106内に設けられたクライアントログファイル107に一時的に格納される。
【0091】
以上の各ステップに係る処理が繰り返され、クライアント装置104ではログデータが蓄積されていくことになる。
【0092】
また、ステップS411では、ログデータをサーバ装置102に送付するタイミングか否かが判断され、送付するタイミングであると判断されれば処理はステップS412に移行する。
【0093】
ステップS412では、クライアントログファイル107内に送付対象となっているログデータが存在するか否かが判断され、存在する場合には処理はステップS413に移行する。存在しない場合には、ログデータを送付する次のタイミングまで待機して再度送付対象のログが存在するか否かが判断される。
【0094】
ステップS413では、送付対象のログデータの送付が完了したか否かが判断され、完了していれば処理はS411に戻る。完了していなければ処理はステップS414に移行する。
【0095】
ステップS414では、送付対象のログデータ(1件分)をクライアントログファイル107から取り出してサーバ装置102に送付する。
【0096】
以上の処理が、クライアント装置104では所定のタイミングで繰り返されることになる。
【0097】
図8のフローチャートは、サーバ装置102におけるログデータ受信・格納処理を示している。各ステップの制御主体は、特に断らない限り、サーバ装置102の内部にある図示しない制御部である。
【0098】
図8において、ステップS421では、サービス提供ソフト103(サービス提供部)がクライアント装置104から送付されてきたログデータを受信したか否かが判断される。受信したと判断されれば処理はステップS422に移行し、まだ受信していなければ受信するまで待機する。
【0099】
ステップS422において、サービス提供ソフト103は、受信したログデータをログ収集エージェントインタフェース117に引き渡す。そして、ステップS434において、ログ収集エージェントインタフェース117は、ログ収集エージェントソフト118(ログ収集エージェント)にそのログデータを引き渡す。
【0100】
ステップS431において、ログ収集エージェント118は、引き渡されたログデータをログ一時ファイル121に格納する。
【0101】
サーバ装置102においては、以上のログデータのログ一時ファイル121への格納処理がログデータ受信ごとに繰り返されることになる。
【0102】
図9のフローチャートは、サーバ装置102からログサーバ108へのログ送付処理及び、ログサーバ108におけるログ受信・格納処理を示している。各ステップの制御主体は、ステップS441乃至S443ではログ収集エージェントであり、ステップS451及びS452では、特に断らない限り、ログサーバ108の内部にある図示しない制御部である。
【0103】
図9において、ステップS441では、ログ収集エージェント118は、環境設定ファイル120を読み込んで参照する。この環境設定ファイル120は、ログ一時ファイル121に格納したログデータをログサーバ108に送付するタイミングを記述しているファイルである。
【0104】
ステップS442では、ログ収集エージェント118は環境設定ファイル120を参照した結果、ログデータをログサーバ108に送付するタイミングか否かを判断する。送付するタイミングであると判断されれば、処理はステップS443に移行し、まだ送付のタイミングではないと判断されれば待機する。
【0105】
ステップS443では、ログ収集エージェント118は、ログデータをログ一時ファイル121からログサーバ108のログ収集ソフト122に送付する。
【0106】
一方、ログサーバ108において、ステップS451では、ログ収集ソフト122がログ収集エージェント118から送付されてきたログデータを受信したか否かが判断される。受信したと判断されれば処理はステップS452に移行し、まだ受信していないと判断されれば受信するまで待機する。
【0107】
ステップS452では、受信したログデータは、ログ原本ファイル123及びログ参照用DB114に格納される。ログ原本ファイル123は、ログデータをセグメント毎及び日付毎に格納され、保存される。ログ参照DB114には、セグメントとは関係なく、ログデータが例えば受信ごとに順次格納され、そのデータは参照用に供されるようになる。
【0108】
以上のようにして、ログ参照用DB114にログが蓄積される。そして、セキュリティ管理者は、クライアント装置104のログ参照ソフト116を操作することで、ログを検索・参照することができる。
【0109】
以上の説明が、第2の実施形態における、クライアント装置104が作成したログがログサーバ108の記録装置112に格納され、セキュリティ管理者によって検索・参照されるまでの各処理の概略である。以下、より詳細に各処理について説明する。
【0110】
図10は、クライアント装置104の記録装置106に記録されているクライアント装置環境設定ファイル124のデータ構成図である。クライアント装置環境設定ファイル124は、クライアントソフト105をインストールする時点でインストール作業の一部として作成してもよいし、これとは別に専用ソフトを操作して作成しても構わないが、クライアント装置環境設定ファイル124が適切に作成されていない場合には、クライアントソフト105は動作しないようにすべきである。これはクライアントソフト105起動時にクライアント装置環境設定ファイル124を読み込み、その設定内容を確認し、不適切と判断される場合には動作を終了することで簡単に実現することが出来る。こうすることにより、情報内容が不適切なログが送信されることを防ぐことが出来る。
【0111】
クライアント装置環境設定ファイル124の主なデータ項目としては、図示したように、クライアント装置104を資産として管理している部署を識別するための部署コード(D501)、企業などの組織全体としてクライアント装置104を一意に識別するためのクライアント識別(D502)、当該部署のセキュリティ管理者がクライアント装置104を識別するための部署内識別(D503)、ネットワーク上でクライアント装置104を一意に識別するためのコンピュータ名(D504)、当該クライアント装置104を主として利用する利用者の名前、職位、メールアドレス等を識別するための利用者情報(D505)、当該クライアント装置104の購入年月日、購入価格、設置場所等を識別するための資産情報(D506)をあげることが出来る。もちろん、これ以外の情報を含んでいても構わない。
【0112】
そして、例えば次のような場合に、クライアント装置104はログを作成する。
(1)クライアント装置環境設定ファイル124に設定されている情報の内容を変更した場合(ケース1)。
(2)クライアント装置104にインストールされているプログラムからファイルの参照・更新等が行われた場合(ケース2)。
【0113】
ケース1については、例えば、クライアントソフト105にクライアント装置環境設定ファイル124の表示・更新機能を持たせ、クライアント装置104の利用者がクライアントソフト105を使用してクライアント装置環境設定ファイル124の内容を変更した場合に、変更後の内容をログとして作成すればよい。そして、サーバ装置102は、このように作成されたログを受信した時にこのログの内容を記録装置112に記録しておき、クライアント装置104が起動された時に、クライアントソフト105からの要求を受けて、記録していた内容をクライアント装置104に送付する。クライアントソフト105は、送付された内容とクライアント装置環境設定ファイル124の設定内容が一致していることを確認し、不一致の場合には何らかの不正な操作、例えば、汎用的なテキストエディタプログラム等でクライアント装置環境設定ファイル124が不正に変更されたと判断して、利用者にその旨を通知すると共に、不正な操作が行われたことを示すログを作成して、処理を終了すればよい。
【0114】
ケース2については、クライアント装置104において動作するプログラムがファイルの参照・更新等を行おうとした時に、クライアントソフト105に通知されるようにしておき(この技術はファイル暗号化プログラムを初めさまざまなプログラムにおいて実施されており、また本発明の直接的な技術要素ではないので、ここでは具体的な実現方式について説明を省略する)、対象とするファイル名、更新後のデータ等を内容とするログを作成すればよい。
【0115】
次に、クライアント装置104がサーバ装置102にログを送信するタイミングについて説明する。ログ送信タイミングとしては、次の2つの方法が考えられる。つまり、(1)ログを作成する都度、ただちに送信する方法(同期送信)、及び(2)ログを作成してクライアントログファイル107に格納しておき、所定のタイミングで纏めて送信する方法(非同期送信)である。
【0116】
同期送信を行う場合、クライアント装置104で作成したログが直ちにサーバ装置102に送信されるので、クライアント装置104において行われた処理を早期に確認できるという利点がある。
【0117】
しかしながら、セキュリティ管理者がクライアント装置104において行われた処理を逐次監視するほどの必要性は通常存在しない。また、クライアント装置104がオフライン状態にある場合には、ログを直ちにサーバ装置102に送信するのは不可能である。さらに、同期方式を採用する場合、一般的には、クライアント装置104のクライアントソフト105とサーバ装置102のサービス提供ソフト103の間で常に通信可能な状態を維持しておくか、ログを送信しようとする都度、通信可能な状態に接続するか、いずれかを採る必要があり、どちらを採用した場合にも通信機器の負荷の増大をもたらす。従って、クライアント装置104において、機密度の非常に高い情報を取り扱っており、セキュリティ管理者が常にクライアント装置104で行われる処理を監視する必要があるような場合を除いては、次に説明する非同期送信を採用することが望ましい。
【0118】
非同期送信を行う場合、クライアント装置104で作成したログは、ひとまずクライアントログファイル107に格納される。そして、所定のログ送信時刻に達し、かつクライアント装置104がオンライン状態にある場合に、クライアントログファイル107に格納されているログがサーバ装置102に送信される。
【0119】
この「所定のログ送信時刻」は、例えば、クライアント装置104が起動されサーバ装置102のサービス提供ソフト103にログインしたタイミングとすることができる。こうすることにより、オフライン状態で作成したログを次回ログインしたタイミング(すなわち可能なタイミングのうち最も早いタイミング)で送信することが出来る。
【0120】
また、クライアント装置104動作中はクライアントソフト105が定期的に現在時刻を監視することで、毎日同じ時刻に(オンライン状態だった場合に)ログ送信するようにしてもよい。この時刻は、クライアント装置環境設定ファイル124に設定するようにして、クライアント装置104毎に設定時刻を変えるようにしても良い。こうすることで、各クライアント装置104が同時にログ送信することがなくなり、通信機器等の負荷が集中することを防ぐことが出来る。さらに、ログ送信時刻を複数設定することができるようにすれば、1回に送信するログの数を減らすことができるので、負荷分散に効果がある。
【0121】
また、前述したログインしたタイミングに加え、ログインから一定時間が経過するたびにログ送信するようにしてもよい。この場合も、ログインしたタイミングには多数のログが送信されるが、その後の一定時間経過後を比較的短時間(例えば10分)とすれば、纏めて多数のログが送信されることを防止し、かつ、ログが作成されてから比較的早いタイミングでログを送信することが出来る。
【0122】
図11は、ログに含まれている情報の内容を示すデータ構成図である。クライアント装置104から送信するログには、図11Aに示すように、クライアント識別(D601)、ログ出力年月日時刻(D602)、通番(D603)、ログ種別(D604)、部署コード(D605)、ログデータ(D606)の各情報が設定されている。
【0123】
このうち、クライアント識別(D601)は、クライアント装置環境設定ファイル124のクライアント識別(D502)、すなわち当該組織内でクライアント装置104を一意に識別するコードが設定される。
【0124】
ログ出力年月日時刻(D602)には、ログを作成した年月日と時刻が設定される。ここで、各クライアント装置104は一般的に装置内に計時機構を有しているが、この計時機構の時刻合わせは各クライアント装置104の利用者に任されているのが常である。従って、各クライアント装置104によって微妙に時刻が異なることは当然であるし、場合によっては完全に誤った年月日に設定されていることもありうる。また利用者が正確に時刻設定している場合であっても、クライアント装置104を長期間にわたってオフライン状態で使用した場合には、過去の年月日が設定されている可能性もある。しかし、クライアント装置104内の計時機構が示す時刻を一貫して使用する限りは各クライアント装置104におけるログの発生順番には狂いが生じない。
【0125】
通番(D603)はログ出力年月日時刻(D602)が同一のログに対してログの作成順に付与した通番である。従って、同じログクライアント識別(D601)のログを出力年月日時刻(D602)および通番(D603)の昇順に並べれば、当該クライアント装置104において行われた処理を発生順番に表示することが可能になる。
【0126】
ログ種別(D604)は、当該ログの種別、例えば、クライアント装置環境設定ファイル124に設定されている情報の内容を変更した場合に作成するログなのか、クライアント装置104にインストールされているプログラムからファイルの参照・更新等が行われた場合に作成するログなのかを識別するためのコードである。ログ種別(D604)はサーバ装置102およびログサーバ108において実行される処理に必要なだけ設ければよい。また、一般にログ種別(D604)が異なれば、ログデータ(D606)に設定される情報も異なる。
【0127】
部署コード(D605)は、クライアント装置環境設定ファイル124の部署コード(D501)、すなわち当該組織内でクライアント装置104を資産として保有している部署を識別する情報が指定される。
【0128】
ログデータ(D606)には、ログ種別(D604)に応じて必要な情報が設定される。すなわち、ログ種別(D604)は当該ログの使用目的に沿って分類されたコードであるので、ログデータ(D606)にはその目的に必要なデータが設定される。例えば、クライアント装置104にインストールされているプログラムからファイルの参照・更新等が行われた場合に作成するログの場合には、利用者名、操作内容、ファイルの更新後データ内容等が設定される。
【0129】
次に、図11Bを参考として、サーバ装置102のサービス提供ソフト103が、受信したログデータを、ログ収集エージェントインタフェース117を介してログ収集エージェントソフト118に引き渡し、ログ収集エージェントソフト118は、引き渡されたログをログ一時ファイル121に格納するという処理について説明を加える。
【0130】
サービス提供ソフト103は、クライアント装置104からログを受信するたびに、ログ収集エージェントインタフェース117に、受信したログを引き渡す。そしてログ収集エージェントインタフェース117は、引き渡されたログを、ログ収集エージェントソフト118にさらに引き渡す。なお、このようにログ収集エージェントインタフェース117を仲介して処理を行う理由は、サービス提供ソフト103とログ収集エージェントソフト118はそれぞれ独立に動作するソフトであり、現状広く使われている基本ソフト(オペレーティングシステム)においては直接的な呼び出しに向いていないというソフトウェア実装上の都合によるところが大きい。従って、技術的にはサービス提供ソフト103がログ収集エージェントソフト118に、ログを直接引き渡すことも可能である。
【0131】
ここで、ログ収集エージェントソフト118がログ一時ファイル121に格納するログには、図11Bに示すように、ログ格納年月日時刻(D611)、通番(D612)、クライアント識別(D613)、ログ出力年月日時刻(D614)、通番(D615)、ログ種別(D616)、部署コード(D617)、部署名(D618)、ログデータ(D619)の各情報が設定されている。
【0132】
このうち、クライアント識別(D613)、ログ出力年月日時刻(D614)、通番(D615)、ログ種別(D616)、部署コード(D617)、ログデータ(D619)の各情報は、それぞれ、クライアント識別(D601)、ログ出力年月日時刻(D602)、通番(D603)、ログ種別(D604)、部署コード(D605)、ログデータ(D606)と同一であるので説明を省略する。
【0133】
ログ格納年月日時刻(D611)は、ログをログ一時ファイル121に格納した年月日と時刻が設定される。ここで、サーバ装置102は装置内に計時機構を有しているが、この計時機構の時刻合わせはサーバ装置102の管理者が行うことが常であり、管理の都合上、正確に時刻設定されている。通番(D612)は、ログ格納年月日時刻(D611)が同一値のログについて格納順番に付与した値が設定される。
【0134】
部署名(D618)は、部署コード(D617)に対応する部署の名称が設定される。例えば、部署コード(D617)「A001」に対して部署名(D618)「財務課」が設定される。このような名称変換は、例えば、全ての部署コード(D617)に対して部署名(D618)を対応付けたテーブルファイルを、サーバ装置102の記録装置119に記録しておくことにより可能である。
【0135】
なお、ログ収集エージェントソフト118は、ログ一時ファイル121に必ずしも全てのログを格納する必要はない。例えば、全てのログについての確認は各部署のセキュリティ管理者がサーバ装置102を操作して行うので、ログサーバ108にはフィル更新時のログのみを格納すれば充分である、というような場合も考えられる。また、1つのサーバ装置102がクライアント装置104に対して、例えば、暗号・復号化サービスとコンテンツ配信サービスといった複数のサービスを提供するような場合、クライアント装置104では送付されたコンテンツを暗号化して格納する場合に、暗号・復号化サービスに対してはファイルを暗号化して格納したということを示すログを、コンテンツ配信サービスに対してはコンテンツの保存を行ったということを示すログを作成することが考えられるが、この場合、ログの内容は実質的に同一(どちらのログもファイル更新を行ったことを示す情報とファイル名の2つが主要な情報)である可能性が高い。従って、ログ収集エージェントソフト118は、ログサーバ108に送付不要なログについては、ログ一時ファイル121に格納しないようにしても良い。このようにすることで、ログ一時ファイル121の容量を小さくすることが出来、また、不要なログがログサーバ108に送付されることがなくなるので、通信機器の負荷を軽減することが出来る。
【0136】
次に、サーバ装置102のログ収集エージェントソフト118が、ログ収集エージェント環境設定ファイル120を参照して、所定のタイミングとなった時点で、ログ一時ファイル121からログサーバ108のログ収集ソフト122へ、ログを送付する処理について説明を加える。
【0137】
図12は、サーバ装置102の記録装置119に記録されているログ収集エージェント環境設定ファイル120のデータ構成図である。ログ収集エージェント環境設定ファイル120は、ログ収集エージェントソフト118をインストールする時点でインストール作業の一部として作成してもよいし、これとは別に専用ソフトを操作して作成しても構わないが、サーバ装置102起動時に、ログ収集エージェント環境設定ファイル120が適切に作成されていない場合には、サーバ装置102の起動は中止し、操作者に対してログ収集エージェント環境設定ファイル120を設定すべきことを警告すべきである。これはサーバ装置102起動時にログ収集エージェントソフト118が自動的に起動されるように設定しておき、ログ収集エージェントソフト118は、起動時にログ収集エージェント環境設定ファイル120を読み込み、その設定内容を確認し、不適切と判断される場合にはサーバ装置102の起動を中止させることで簡単に実現することが出来る。こうすることにより、ログサーバ108にログを送信しようとした時点で問題が発生することを防ぐことが出来る。
【0138】
ログ収集エージェント環境設定ファイル120の主なデータ項目としては、図示したように、ログサーバ108のネットワーク上のアドレスを示すためのログ送信先(D701)、ログ一時ファイル121の場所をフォルダのフルパス指定等により示す一時ファイル格納場所(D702)、ログサーバ108へのログ送信を開始すべき時刻を示すログ送信開始時刻(D703)、ログ送信を開始した場合に継続してログ送信を行う時間を示すログ送信継続時間(D704)、ログ送信処理に対して通信機器等からエラー通知された場合に送信を何回リトライするべきかを示すリトライ回数(D705)、ログ送信をリトライする場合のリトライ間隔(D706)をあげることが出来る。もちろん、これ以外の情報を含んでいても構わない。
【0139】
なお、以上の項目のうち一時ファイル格納場所(D702)については、前述した、ログ収集エージェントソフト118が、ログをログ一時ファイル121に格納する処理においても参照される。従って、例えばログ一時ファイル121のファイル名は何であっても構わないし、1ファイルであっても良いし、複数ファイルに分けても構わない。
【0140】
1ファイルである場合には、ログの格納・参照処理はより単純にすることが出来るが、例えばログサーバ108に障害が発生し長時間にわたってログ送信が出来なくなったような場合には、ログが蓄積される一方であるため、ファイルサイズが無制限に大きくなり、最終的には基本ソフト(オペレーティングシステム)の許容範囲外となるような事態も考えられる。また、ファイルに蓄積されたログを全て送信し終わる前にログ送信を中断しなければならなくなった場合、送信済みのログをログ一時ファイル121から削除するような処理も必要になる。
【0141】
逆に複数ファイルに分ける場合には、ファイルサイズを連続してログを送信しうる程度の適切なサイズに抑えることができ、所定のログ送信タイミングに達した場合には、少なくとも1ファイル分は全てログ送信してしまうことで、前述した送信済みのログをログ一時ファイル121から削除するような処理が不要になる。ただし、この場合には、複数に分割されたログ一時ファイル121の処理順番(削除の順番)を示すために、例えばファイル名の一部にファイルを作成した順番やファイルを最初に格納した年月日時刻等を付与する必要がある。
【0142】
なお、ログサーバ108にログを送信する処理においては、一時ファイル格納場所(D702)配下に格納されているファイルについては無条件にログ一時ファイル121であるとみなしても構わないし、例えばファイルの拡張子に「log」を付与する等して、対象ファイルを限定しても構わない。さらに、ファイル名の一部にログ一時ファイル121出あることを示すための固定文字(例えば「templog」)を付与しても良い。こうすることで、一時ファイル格納場所(D702)配下に、間違ってログ一時ファイル121以外のファイルが作成された場合にも、適切なファイルだけを処理対象とすることが出来る。
【0143】
サーバ装置102は停止させることなく動作させることも多いので、ログ収集エージェントソフト118がログをログサーバ108に送付するタイミングとして、サーバ装置102を起動するタイミングを選択することは現実的でない場合が多い。従って、図12に示すように、ログ送信開始時刻(D703)を設定しておき、この時刻に達した場合にログ送信を開始するというのが一つの方法である。この場合には、ログ送信継続時間(D704)、あるいは図示していないがログ送信終了時刻を設定しておく必要がある。
【0144】
1つのログ一時ファイル121から蓄積されたログを取り出して送信している途中でログ送信を終了すべき時刻に到達した場合には、その時点でログ送信を終了し、ログ一時ファイル121に蓄積されたログのうち送信済みのものだけを削除してもよいし、処理中のログ一時ファイル121についてはログ送信を終了すべき時刻を経過したあとであっても蓄積されたログを全て送信するようにしても良い。後者のようにする方が処理の単純化につながり、ソフトウェアの不良による障害発生の可能性を軽減できると思われる。前述したようにログ一時ファイル121を複数ファイルに分割し、1ファイルの容量を抑えることによって、ログ送信が、ログ送信を終了すべき時刻を経過したあと長時間にわたって終了しないという問題も回避できるからである。
【0145】
ログ送信処理に対して通信機器等からエラー通知された場合には、エラー通知を受けた後、リトライ間隔(D706)を経過した時点で、再度送信するようにしても良い。通信回線の一時的な不調等によってエラーが発生し、リトライによって正常に送信される場合もあるからである。ただし、この場合には永続的な障害によって無駄な送信処理を繰り返すことを回避するために、リトライ回数(D705)に達するまでリトライするようにすべきである。そして、リトライ回数(D705)に「0」が設定されている場合にはリトライを行わないことにより、ログ収集エージェント環境設定ファイル120の設定値によってログ収集エージェントソフト118の動作を変更することが可能になり、通信環境の変化に対してより柔軟性の高いシステムとすることが出来る。
【0146】
ログ送信開始時刻(D703)、ログ送信継続時間(D704)、リトライ回数(D705)、リトライ間隔(D706)を一組の情報として、複数組の情報を定義できるようにしても良い。このようにすることで、例えば、複数のサーバ装置102に対して、それぞれログを送信する時刻が過度に重複しないように設定することができる。これにより、ログ送信による通信機器やログサーバ108の負荷集中を避けることが出来る。
【0147】
逆に、部署数、即ちサーバ装置102の数が少なく、仮に複数のサーバ装置102から同時にログ送信されても負荷が問題にならないような場合には、ログ送信開始時刻(D703)等を設定してこれによってログ送信タイミングを決定するのではなく、各サーバ装置102においてログ一時ファイル121に蓄積された未送信ログの数に基づき、この数が所定の値を超えた時点でログを送信するといった方法を採用しても良い。この方法により、クライアント装置104から送付されたログが長時間にわたってサーバ装置102のログ一時ファイル121に蓄積されたままになるといった事態を避けることが出来る。
【0148】
また、各サーバ装置102においてログ一時ファイル121に蓄積された未送信ログの数が一定数(例えば100)の倍数を超えるたびに、ログサーバ108のログ収集ソフトにその数を通知し、ログサーバ108のログ収集ソフトは各サーバ装置102から通知された未送信ログの数を記録しておき、この数が最大であるサーバ装置102に対してログ送信を要求し、各サーバ装置102はログを送信すると同時に未送信ログの数も送信するといった方法をとることも可能である。この方法により、動的に負荷を調整することが可能になる。つまり、一番バックログが溜まっているサーバ装置からログデータを送信するようにすることができる。
【0149】
さらに、各サーバ装置102が送信すべきログの発生数が時間当たりにほぼ一定であるような場合には、未送信ログの数を通知することなく、ログサーバ108が一定間隔で順次各サーバ装置102に対して、一定時間だけログの送信を許可するといった比較的単純な方法を採用することも可能である。また、ログ送信開始時刻(D703)による方法と未送信ログの数による方法を組み合わせ、例えば、ログ送信開始時刻(D703)に達した場合でも未送信ログの数が所定の閾値に達していない場合にはログ送信を行わないようにしても良い。
【0150】
なお、ログ収集エージェントソフト118がログサーバ108に送付するログの内容は、ログ一時ファイル121に格納されている内容と基本的には同一であり、ただし、ログの送付元を示すために、サービス提供ソフト103を組織内で一意に識別可能なコード(以下、「サービス提供ソフト識別」と記載する)を付加する必要がある。
【0151】
次に、ログサーバ108のログ収集ソフト122が受信したログを、ログ原本ファイル123およびログ参照用DB114に格納する処理について説明する。
【0152】
ログ収集ソフト122は、受信したログをログ参照用DB114に格納する。ログ参照用DB114には前述したログのデータがそのまま格納されるので、セキュリティ管理者等はログ参照用DB114を参照することで、各クライアント装置104において行われた処理等を知ることが出来る。また、一定期間(例えば1週間)を経過して、参照用としては不要となったログを削除することも出来る。
【0153】
ログ収集ソフト122は、受信したログをログ原本ファイル123にも格納する。ここでログ原本ファイル123は図示していないが、固定文字(例えば「archive」)とログに設定されたログ格納年月日時刻(D611)のうちのログ格納年月日とサービス提供ソフト識別を結合してファイル名としたファイルである。すなわち、同一サービス提供ソフト103から送信されたログのうち、ログ格納年月日が同一なものが1ファイルとして格納される。ログ原本ファイル123は、基本的に無期限に保存すべきファイルであり、記録装置112の容量等の都合により記録装置112から削除したい場合には、外部記録媒体等にバックアップするべきものである。ログ格納年月日をファイル名の一部とするログ原本ファイル123を無期限に保存することにより、ログ参照用DB114から削除してしまった過去のログを参照する必要が発生した場合には、ログ原本ファイル123から必要なログ格納年月日のファイルを容易に見つけ出して、ログ参照用DB114に再格納することが出来る。
【0154】
一般に、ログ格納年月日時刻(D611)の方がログ出力年月日時刻(D614)よりも新しいので、ログ参照用DB114からの不要となったログの削除、およびログ参照用DB114への再格納は、ログ格納年月日を基準として行えば、クライアント装置104においてなされた処理を検証する目的には充分であると考えられる。
【0155】
<第3の実施形態>
さて、以上の説明においては、サーバ装置102のサービス提供ソフト103が、ログサーバ108のログ収集ソフト122の処理に適したデータ構造を持つログを、ログ収集エージェントインタフェース117に引き渡してくれる、という前提で説明を行った。
【0156】
しかし、実際には、サービス提供ソフト103の開発者はログ収集ソフト122の開発者と異なる場合もある。例えば、新たにログ収集(・表示)システムを開発し、システムの一部として他社が開発したサービス提供ソフト103を採用するといった場合である。
【0157】
このような場合、一般的に、サービス提供ソフト103はログ収集エージェントインタフェース117を使用することなく、独自のログファイルを作成する。そして、このログファイルのデータ構造すら不明な場合には、こうして作成されたログファイルを利用することはできないが、もしデータ構造が明示されている場合には、ログサーバ108に取り込むことが可能である。
【0158】
すなわち、図13に示すように、記録装置119に作成されたログファイルを、ログサーバ108の記録装置112の所定フォルダ内にコピーし、コピーされたファイル(他システムログファイル125)をログ参照用DB114およびログ原本ファイル123に格納することが可能である。なお、記録装置112の所定フォルダ内にコピーされるログの内容は、記録装置119のログファイルに格納されている内容と基本的には同一であり、ただし、ログの作成元を示すために、サービス提供ソフト103を組織(システム)内で一意に識別できるコード(以下、「サービス提供ソフト識別」と記載する)を付加する必要がある。また、ログ自体のデータ構造や、ログの各データの項目サイズ(数値項目の桁数等)、コード体系などを、ログサーバ108が処理できるように、適時変換してコピーする必要がある。具体的には各サービス提供ソフト103が作成するログファイルのデータ構造やデータ内容に個々に合わせてコピーする必要がある。
【0159】
以下、こうして作成された他システムログファイル125に格納されているログを、ログ参照用DB114およびログ原本ファイル123に格納する方法(以下、「他システムログ収集処理」と記載する)について説明する。
【0160】
図14は、他システムログ収集処理を行う場合に、ログ収集ソフト122が参照する環境設定ファイル(ログ収集ソフト環境設定ファイル126)のデータ構成図である。
【0161】
ログ収集ソフト環境設定ファイル126の主なデータ項目としては、図示したように、記録装置112内のログファイルがコピーされた場所をフォルダのフルパス指定等により示す他システムログ格納場所(D901)、ログ収集ソフト122がログ収集を開始すべき時刻を示すログ収集開始時刻(D902)、ログ収集を開始した場合に継続してログ収集を行う時間を示すログ収集継続時間(D903)、ログ収集処理に対して基本ソフト(オペレーティングシステム)等からエラー通知された場合に収集を何回リトライするべきかを示すリトライ回数(D904)、ログ収集をリトライする場合のリトライ間隔(D905)をあげることが出来る。もちろん、これ以外の情報を含んでいても構わない。
【0162】
以上ように、他システムログ格納場所(D901)によって、他システムログファイル125が存在する場所が示される。従って、例えば他システムログファイル125のファイル名は何であっても構わないし、1ファイルであっても良いし、複数ファイルに分けても構わない。
【0163】
1ファイルである場合には、他システムログ収集処理はより単純にすることが出来るが、例えばログ収集ソフト122に障害が発生し長時間にわたってログ収集が出来なくなったような場合には、ログが蓄積される一方であるため、ファイルサイズが無制限に大きくなり、最終的には基本ソフト(オペレーティングシステム)の許容範囲外となるような事態も考えられる。また、ファイルに蓄積されたログを全て収集し終わる前に他システムログ収集処理を中断しなければならなくなった場合、収集済みのログを他システムログファイル125から削除するような処理も必要になる。
【0164】
逆に複数ファイルに分ける場合には、ファイルサイズを連続してログを収集しうる程度の適切なサイズに抑えることができ、所定のログ収集タイミングに達した場合には、少なくとも1ファイル分は全てログ収集してしまうことで、前述した収集済みのログを他システムログファイル125から削除するような処理が不要になる。ただし、この場合には、複数に分割された他システムログファイル125の処理順番を示すために、例えばファイル名の一部にファイルを作成した順番、あるいはファイルを最初に格納した年月日時刻等を付与する必要がある。
【0165】
なお、他システムログ収集処理においては、他システムログ格納場所(D901)配下に格納されているファイルについては無条件に他システムログファイル125であるとみなしても構わないし、例えばファイルの拡張子に「log」を付与する等して、対象ファイルを限定しても構わない。さらに、ファイル名の一部に他システムログファイル125であることを示すための固定文字(例えば「otherlog」)を付与しても良い。こうすることで、他システムログ格納場所(D901)配下に、間違って他システムログファイル125以外のファイルが作成された場合にも、適切なファイルだけを処理対象とすることが出来る。
【0166】
他システムログ収集処理(他システムログファイル125を読み込んでログをログ参照用DB114およびログ原本ファイル123に格納する処理)は、特に通信回線等を使用することなく、ログサーバ108にクローズした処理であるので、ログ収集ソフト122が他システムログ収集処理を実行するタイミングとしては、ログサーバ108の負荷のみを考慮すればよい。
【0167】
従って、図14に示すように、ログ収集開始時刻(D902)を設定しておき、この時刻に達した場合に他システムログ収集処理を開始するというのが一つの方法である。この場合には、ログ収集継続時間(D903)、あるいは図示していないがログ収集終了時刻を設定しておく必要がある。1つの他システムログファイル125から蓄積されたログを取り出して処理している途中で他システムログ収集処理を終了すべき時刻に到達した場合には、その時点で他システムログ収集処理を終了し、他システムログファイル125に蓄積されたログのうち処理済みのものだけを他システムログファイル125から削除してもよいし、処理中の他システムログファイル125については他システムログ収集処理を終了すべき時刻を経過したあとであっても蓄積されたログを全て処理するようにしても良い。後者のようにする方が処理の単純化につながり、ソフトウェアの不良による障害発生の可能性を軽減できると思われる。前述したように他システムログファイル125を複数ファイルに分割し、1ファイルの容量を抑えることによって、他システムログ収集処理、処理を終了すべき時刻を経過したあと長時間にわたって終了しないという問題も回避できるからである。
【0168】
他システムログ収集処理に対して基本ソフト(オペレーティングシステム)等からエラー通知された場合には、エラー通知を受けた後、リトライ間隔(D905)を経過した時点で、再度処理するようにしても良い。ただし、この場合には永続的な障害によって無駄な処理を繰り返すことを回避するために、リトライ回数(D904)に達するまでリトライするようにすべきであるし、そもそも、基本ソフト(オペレーティングシステム)等から通知されたエラーがリトライによって解消する可能性は低いので、本項目は通常は設定不要であり、何らかの事情により、他システムログファイル125を通信機器を経由してアクセスせざるを得ないような記録装置に格納するような場合に限られると思われる。すなわち、リトライ回数(D904)に「0」が設定されている場合にはリトライを行わないことにより、ログ収集ソフト環境設定ファイル126の設定値によってログ収集ソフト122の動作を変更することが可能になり、通信環境の変化に対してより柔軟性の高いシステムとすることが出来る。
【0169】
ログ収集開始時刻(D902)、ログ収集継続時間(D903)、リトライ回数(D904)、リトライ間隔(D905)を一組の情報として、複数組の情報を定義できるようにしても良い。このようにすることで、例えば、ログサーバ108の負荷が小さい時間帯をいくつか選択して、その時間帯に他システムログ収集処理が実行されるようにすることができる。
【0170】
逆に、ログサーバ108の負荷が平均的に低く、他システムログ収集処理がいつ実行されても負荷が問題にならないような場合には、ログ収集開始時刻(D902)等を設定してこれによって処理開始タイミングを決定するのではなく、例えば、他システムログファイル125が作成される毎に処理を開始しても良いし、他システムログファイル125の合計容量が所定値を超えた場合に処理開始するといった方法を採用しても良い。
【0171】
最後に、セキュリティ管理者等がログサーバ108の記録装置112に格納されたログ参照用DB114を検索・参照する処理について説明する。
【0172】
セキュリティ管理者等がログ参照用DB114を検索・参照するために使用する装置には特に制約はないが、ここでは、クライアント装置104にインストールされたログ参照ソフト116を使用して、ログ公開ソフト115が生成した表示画面によって参照するという前提で説明する。なお、このようなシステムは、ログ公開ソフト115としてWEBサーバ、ログ参照ソフト116としてWEBブラウザを使用することにより作成できること自体は周知技術であるので、その詳細な実現方法については説明を省略する。
【0173】
図15は、セキュリティ管理者等がクライアント装置104を操作して(クライアント装置104の表示装置に)表示させるログの一覧表示画面の表示例である。
【0174】
この表示画面は、例えばセキュリティ管理者等が、WEBブラウザであるログ参照ソフト116を起動し、所定のURLを入力することにより表示することが出来る。
【0175】
そして、画面左上の「部署選択」プルダウンメニューを操作して、参照したいログの部署名を選択し、画面右上の「開始」蘭に参照したいログのログ出力年月日時刻を、「終了」蘭に参照したいログのログ出力年月日時刻を指定して送信する。そうするとWEBサーバであるログ公開ソフト115は所定の画面作成ソフトに指定されたデータを引き渡し、所定の画面作成ソフトはログ参照用DB114から、ログ出力年月日時刻が開始から終了までの範囲であり、部署名を部署コードに変換した結果が部署コードと一致するログを検索し、表示情報を作成して、ログ参照ソフト116に返却する。そして、ログ参照ソフト116は、画面の下部に、部署名、ログ出力年月日、時刻、コンピュータ名、利用者名、操作内容を表示する。
【0176】
以上の処理で、画面の下部に表示する項目は上記の項目に限られるものではなく、ログに存在するデータ全てを画面の横スクロールによって表示できるようにしても良いし、例えば、参照目的別に複数のURLを準備して、URL毎に表示する項目を変えても良い。
【0177】
参照目的別に複数のURLを準備する場合には、例えば画面上に非表示の「一覧ID」を設定しておき、予め一覧ID毎に表示項目テーブルを作成しておき、このテーブルの設定値に従って表示項目を編集しても良い。
【0178】
図16は、ログの一覧表示に使用する表示項目テーブルのデータ構成図である。こうしたテーブルによるプログラムの汎用化は一般的な技術であるので、表示項目テーブルを使用した処理についての詳細説明は省略する。本テーブルを使用することで、前述した所定の画面作成ソフトを表示項目の種類毎に作成する必要がなくなることはいうまでもない。
【0179】
なお、実施形態の機能を実現するソフトウェアのプログラムコードによっても本発明は実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フロッピィ(登録商標)ディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
【0180】
また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。
【0181】
さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。
【0182】
また、実施の形態の機能を実現するソフトウェアのプログラムコードがネットワークを介して配信されることにより、システム又は装置のハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納され、そのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行することによっても、達成されるようにしてもよい。
【図面の簡単な説明】
【0183】
【図1】本発明の対象とするログ収集(・表示)システムの概念図である。
【図2】本発明の第1の実施形態によるシステム構成を示す図である。
【図3】クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示すフローチャートである。
【図4】サーバ装置102におけるログデータ受信・格納処理を示すフローチャートである。
【図5】複製処理(2つの方式)を示すフローチャートである。
【図6】本発明の第2の実施形態によるシステム構成を示す図である。
【図7】クライアント装置104におけるログ作成及びサーバ装置102への作成ログを送付する処理を示すフローチャートである。
【図8】サーバ装置102におけるログデータ受信・格納処理を示すフローチャートである。
【図9】サーバ装置102からログサーバ108へのログ送付処理及び、ログサーバ108におけるログ受信・格納処理を示すフローチャートである。
【図10】クライアント装置環境設定ファイルのデータ構成図である。
【図11】ログに含まれている情報の内容を示すデータ構成図である。
【図12】ログ収集エージェント環境設定ファイルのデータ構成図である。
【図13】本発明の第3の実施形態によるシステム構成図であって、他システムのログを取得する方法についての概念図である。
【図14】ログ収集ソフト環境設定ファイルのデータ構成図である。
【図15】ログの一覧表示画面の表示例である。
【図16】ログの一覧表示に使用する表示項目テーブルのデータ構成図である。
【符号の説明】
【0184】
101 … 部署システム
102 … サーバ装置
103 … サービス提供ソフト
104 … クライアント装置
105 … クライアントソフト
106 … (クライアント)記録装置
107 … クライアントログファイル
108 … ログサーバ
109 … ログ管理ソフト
110 … DB(データベース)管理ソフト
111 … ログ複製ソフト
112 … (ログサーバ)記録装置
113 … ログ一時記録DB(データベース)
114 … ログ参照用DB(データベース)
115 … ログ公開ソフト
116 … ログ参照ソフト
117 … ログ収集エージェントインタフェース
118 … ログ収集エージェントソフト
119 … (サーバ装置)記録装置
120 … ログ収集エージェント環境設定ファイル
121 … ログ一時ファイル
122 … ログ収集ソフト
123 … ログ原本ファイル
124 … クライアント装置環境設定ファイル
125 … 他システムログファイル
126 … ログ収集ソフト環境設定
1200 … ログ収集(・表示)システム
1201a、1201b、1201c … セグメント
1202 … クライアント装置
1203a、1203b、1203c、1203d … サーバ装置
1204 … ログサーバ
【特許請求の範囲】
【請求項1】
所定処理の履歴情報を含むログデータを生成するクライアント装置と、このクライアント装置にサービスを提供するサーバ装置と、このサーバ装置から前記ログデータを受信し、記録するログサーバ装置と、を備えるログ収集システムであって、
前記クライアント装置は、その装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、生成した前記ログデータを格納する第1のログデータ格納手段と、予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、
前記サーバ装置は、前記クライアント装置から送信されてきた前記ログデータを受信する第1の受信手段と、受信した前記ログデータを第2のログデータ格納手段に格納し、格納した前記ログデータを前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログサーバ装置に前記ログデータを送信するエージェント手段と、を備え、
前記ログサーバ装置は、前記サーバ装置から送信されてきた前記ログデータを受信する第2の受信手段と、受信した前記ログデータを格納し、前記ログデータを参照用に供するための参照用ログデータ格納手段と、を備えることを特徴とするログ収集システム。
【請求項2】
前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成することを特徴とする請求項1に記載のログ収集システム。
【請求項3】
前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信、若しくは前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信の何れかの送信処理を実行することを特徴とする請求項1に記載のログ収集システム。
【請求項4】
前記エージェント手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割し、この分割ファイルを連続して前記ログサーバ装置に送信することを特徴とする請求項1に記載のログ収集システム。
【請求項5】
前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信することを特徴とする請求項1に記載のログ収集システム。
【請求項6】
前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信することを特徴とする請求項1に記載のログ収集システム。
【請求項7】
前記ログサーバ装置は、さらに、前記クライアント装置からの要求に応じて、前記参照用ログデータ格納手段に格納されているログデータを前記クライアント装置に送信する表示用ログデータ送信手段を備えることを特徴とする請求項1に記載のログ収集システム。
【請求項8】
サーバ装置から所定のサービスが提供され、所定処理の履歴情報を含むログデータを生成し、前記サーバ装置に送信するクライアント装置であって、
前記クライアント装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、
生成した前記ログデータを格納する第1のログデータ格納手段と、
予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、
前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成することを特徴とするクライアント装置。
【請求項9】
前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信処理を実行することを特徴とする請求項8に記載のクライアント装置。
【請求項10】
前記ログデータ送信手段は、前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信処理を実行することを特徴とする請求項8に記載のクライアント装置。
【請求項11】
さらに、前記クライアント装置の設定内容が変更された場合に作成され前記第1のログデータ格納手段に格納されたログデータと、予め前記サーバ装置に登録されている前記クライアント装置の設定内容を示すログデータとを比較し、両者が不一致の場合には不正操作が行われた可能性があることを警告する警告手段を備えることを特徴とする請求項8に記載のクライアント装置。
【請求項12】
クライアント装置にサービスを提供し、所定処理の履歴情報を含むログデータを前記クライアント装置から受信し、前記ログデータをログサーバ装置に送信するサーバ装置におけるログデータの管理を行うログ収集エージェント装置であって、
前記クライアント装置から送信されてきた前記ログデータを受信するログデータ受信手段と、
受信した前記ログデータを格納するためのログデータ格納手段と、
前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログデータ格納手段に格納された前記ログデータの送信処理を管理する管理手段と、
前記管理手段の指示に従って前記ログデータを前記ログサーバ装置に送信するログデータ送信手段と、
を備えることを特徴とするログ収集エージェント装置。
【請求項13】
前記管理手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割して分割ファイルを生成し、
前記ログデータ送信手段は、前記分割ファイルを連続して前記ログサーバ装置に送信することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項14】
前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信するように前記ログデータ送信手段に指示することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項15】
前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信するように前記ログデータ送信手段に指示することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項16】
さらに、前記クライアント装置から受信した前記ログデータに前記ログサーバ装置における管理のための情報を付加して加工済ログデータを生成して前記ログデータ格納手段に格納するログデータ加工手段を備え、
前記ログデータ送信手段は、前記加工済ログデータを前記ログサーバ装置に送信することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項1】
所定処理の履歴情報を含むログデータを生成するクライアント装置と、このクライアント装置にサービスを提供するサーバ装置と、このサーバ装置から前記ログデータを受信し、記録するログサーバ装置と、を備えるログ収集システムであって、
前記クライアント装置は、その装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、生成した前記ログデータを格納する第1のログデータ格納手段と、予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、
前記サーバ装置は、前記クライアント装置から送信されてきた前記ログデータを受信する第1の受信手段と、受信した前記ログデータを第2のログデータ格納手段に格納し、格納した前記ログデータを前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログサーバ装置に前記ログデータを送信するエージェント手段と、を備え、
前記ログサーバ装置は、前記サーバ装置から送信されてきた前記ログデータを受信する第2の受信手段と、受信した前記ログデータを格納し、前記ログデータを参照用に供するための参照用ログデータ格納手段と、を備えることを特徴とするログ収集システム。
【請求項2】
前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成することを特徴とする請求項1に記載のログ収集システム。
【請求項3】
前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信、若しくは前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信の何れかの送信処理を実行することを特徴とする請求項1に記載のログ収集システム。
【請求項4】
前記エージェント手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割し、この分割ファイルを連続して前記ログサーバ装置に送信することを特徴とする請求項1に記載のログ収集システム。
【請求項5】
前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信することを特徴とする請求項1に記載のログ収集システム。
【請求項6】
前記エージェント手段は、前記第2の格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信することを特徴とする請求項1に記載のログ収集システム。
【請求項7】
前記ログサーバ装置は、さらに、前記クライアント装置からの要求に応じて、前記参照用ログデータ格納手段に格納されているログデータを前記クライアント装置に送信する表示用ログデータ送信手段を備えることを特徴とする請求項1に記載のログ収集システム。
【請求項8】
サーバ装置から所定のサービスが提供され、所定処理の履歴情報を含むログデータを生成し、前記サーバ装置に送信するクライアント装置であって、
前記クライアント装置内で実行される処理の内容に従ってログデータを生成するログデータ生成手段と、
生成した前記ログデータを格納する第1のログデータ格納手段と、
予め決められた規則に従って前記第1のログデータ格納手段に格納された前記ログデータを前記サーバ装置に送信するログデータ送信手段と、を備え、
前記ログデータ生成手段は、前記クライアント装置の設定内容が変更された場合及び前記クライアント装置から所定のファイルの参照又は更新が実行された場合の少なくともどちらか一方の場合に、前記ログデータを生成することを特徴とするクライアント装置。
【請求項9】
前記ログデータ送信手段は、前記ログデータを生成する度に直ちに前記サーバ装置に送信する同期送信処理を実行することを特徴とする請求項8に記載のクライアント装置。
【請求項10】
前記ログデータ送信手段は、前記第1のログデータ格納手段に格納された前記ログデータをログデータ生成直後とは異なる所定のタイミングで前記サーバ装置に送信する非同期送信処理を実行することを特徴とする請求項8に記載のクライアント装置。
【請求項11】
さらに、前記クライアント装置の設定内容が変更された場合に作成され前記第1のログデータ格納手段に格納されたログデータと、予め前記サーバ装置に登録されている前記クライアント装置の設定内容を示すログデータとを比較し、両者が不一致の場合には不正操作が行われた可能性があることを警告する警告手段を備えることを特徴とする請求項8に記載のクライアント装置。
【請求項12】
クライアント装置にサービスを提供し、所定処理の履歴情報を含むログデータを前記クライアント装置から受信し、前記ログデータをログサーバ装置に送信するサーバ装置におけるログデータの管理を行うログ収集エージェント装置であって、
前記クライアント装置から送信されてきた前記ログデータを受信するログデータ受信手段と、
受信した前記ログデータを格納するためのログデータ格納手段と、
前記ログサーバ装置に送信するためのスケジュールを少なくとも有する環境設定ファイルに基づいて、前記ログデータ格納手段に格納された前記ログデータの送信処理を管理する管理手段と、
前記管理手段の指示に従って前記ログデータを前記ログサーバ装置に送信するログデータ送信手段と、
を備えることを特徴とするログ収集エージェント装置。
【請求項13】
前記管理手段は、送信すべき1ファイルとしての前記ログデータを複数のファイルに分割して分割ファイルを生成し、
前記ログデータ送信手段は、前記分割ファイルを連続して前記ログサーバ装置に送信することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項14】
前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数に応じて前記ログサーバ装置に送信するように前記ログデータ送信手段に指示することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項15】
前記管理手段は、前記ログデータ格納手段に格納された未送信ログデータの数を前記ログサーバ装置に送信し、前記ログサーバ装置からのログデータ送信要求を待って未送信のログデータを前記ログサーバ装置に送信するように前記ログデータ送信手段に指示することを特徴とする請求項12に記載のログ収集エージェント装置。
【請求項16】
さらに、前記クライアント装置から受信した前記ログデータに前記ログサーバ装置における管理のための情報を付加して加工済ログデータを生成して前記ログデータ格納手段に格納するログデータ加工手段を備え、
前記ログデータ送信手段は、前記加工済ログデータを前記ログサーバ装置に送信することを特徴とする請求項12に記載のログ収集エージェント装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2007−299284(P2007−299284A)
【公開日】平成19年11月15日(2007.11.15)
【国際特許分類】
【出願番号】特願2006−127845(P2006−127845)
【出願日】平成18年5月1日(2006.5.1)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成19年11月15日(2007.11.15)
【国際特許分類】
【出願日】平成18年5月1日(2006.5.1)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]