ログ取得プログラムおよび方法
【課題】 リモートアクセスクライアントからリモートアクセスサーバにアクセスし、リモートアクセスサーバに接続されている運用対象機器を操作する際のログを取得可能にする。
【解決手段】 証跡ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取モジュール311、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断モジュール312、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析モジュール314、複数のパケットに分割されたデータを再構成する再構成モジュール315、再構成されたデータを利用者情報に対応付ける対応付けモジュール316、利用者情報に対応付けられたデータをファイルとして出力するファイル出力モジュール317として機能させる。
【解決手段】 証跡ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取モジュール311、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断モジュール312、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析モジュール314、複数のパケットに分割されたデータを再構成する再構成モジュール315、再構成されたデータを利用者情報に対応付ける対応付けモジュール316、利用者情報に対応付けられたデータをファイルとして出力するファイル出力モジュール317として機能させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リモートアクセスクライアントからリモートアクセスサーバにアクセスし、リモートアクセスサーバに接続されている運用対象機器を操作する際にログを取得するための技術に関する。
【背景技術】
【0002】
遠隔地から操作対象サーバ機器を操作する技術として、シリアル接続の場合(例えば、特許文献1参照)やGUI(graphical user interface)を使用するKVM(keyboard video mouse)接続の場合(例えば、特許文献2参照)が知られている。
【特許文献1】特開平10−283316号公報
【特許文献2】特表2002−525750号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、これらの技術では、データセンタ等、多数の操作端末や多数の対象サーバ機器を必要とする環境ではリモートアクセスサーバ単位の煩雑な利用者登録運用を行う必要があり、利用者の抹消漏れ等に起因する不正操作を防止できない。また、不正に操作された際、その不正利用者を追跡し、特定することができない。
【課題を解決するための手段】
【0004】
本発明の第1の特徴は、ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取手段、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断手段、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析手段、複数のパケットに分割されたデータを再構成する再構成手段、再構成されたデータを利用者情報に対応付ける対応付け手段、利用者情報に対応付けられたデータをファイルとして出力するファイル出力手段、として機能させることにある。
【0005】
本発明の第2の特徴は、コンピュータを、採取されたパケットが暗号化されている場合に、パケットを復号化する復号化手段としてさらに機能させることにある。
【発明の効果】
【0006】
本発明の第1の特徴によれば、ネットワークパケットを収集し、ログイン情報及びログアウト情報を再構成し、利用者と対応付けて証跡ログとして残すことができる。
【0007】
また、本発明の第1の特徴によれば、ネットワークパケットを収集し、画面操作に関するビデオ情報を再構成し、利用者と対応付けて証跡ログとして残すことができる。
【0008】
さらに、本発明の第2の特徴によれば、パケットが暗号化されている場合であっても、利用者と対応付けて証跡ログとして残すことができる。
【発明を実施するための最良の形態】
【0009】
以下に図面に基づいて、本発明を実施するための最良の形態を説明する。なお、以下の説明は、単なる例示に過ぎず、本発明の技術的範囲は以下の説明に限定されるものではない。
【実施例】
【0010】
多数の操作端末や多数の対象サーバ機器を必要とする環境において、認証サーバと監査証跡サーバを配備することで、認証を受けた利用者だけに操作端末からのリモートアクセスサーバのエミュレーション操作を許可するとともに、証跡サーバで操作対象サーバに対する操作ログを収集して各認証ユーザの操作状況を再現可能とする。
【0011】
図1にMSP(Management Services Provider)リモートアクセス基盤の概念図の一例を示す。図1に示すように、リモートアクセスクライアントとして使用する社内PC10a〜10cが、社内LAN12に接続されている。また、リモートアクセスクライアントとして使用するモバイルPC14a〜14cはFW(Fire Wall)によってVPN(Virtual Private Network)化されたインターネット16を経由して、社内LAN12にアクセスすることができる。
【0012】
社内LAN12は、FW21を経由して、リモートアクセスサーバ27a〜27cにアクセスすることができる。リモートアクセスLAN29には、リモートアクセスサーバ27の他に認証サーバ23、証跡サーバ25が接続されている。リモートアクセスサーバ経由で行った操作(キー入力、画像出力、データ出力)は、証跡ログとして証跡サーバ25に自動的に収集、蓄積される。
【0013】
リモートアクセスサーバ27aは、顧客システム30にアクセスすることができる。顧客システム30は、例えばローカルコンソール31、運用対象ネット機器33、運用対象サーバ35a、35b〜35n(nは任意の自然数)、ルータ37、顧客側本番ネットワーク39によって構成されている。リモートアクセスサーバ27aと運用対象ネット機器33はシリアル接続され、リモートアクセスサーバ27aと運用対象サーバ35a〜35nはKVM接続されている。運用対象ネット機器33、運用対象サーバ35a〜35nはルータ37を経て、ネットワーク39へ接続されている。運用対象サーバ35としては、例えばIA(Intel Architecture)サーバを使用する。
【0014】
リモートアクセスサーバ27bは、顧客システム40にアクセスすることができる。顧客システム40は、運用対象ネット機器43、運用対象サーバ45a、45b〜45m(mは任意の自然数)、ルータ47、顧客側本番ネットワーク49によって構成されている。リモートアクセスサーバ27bと運用対象ネット機器43、運用対象サーバ45a〜45mはシリアル接続されている。運用対象ネット機器43、運用対象サーバ45a〜45mはルータ47を経て、ネットワーク49へ接続されている。運用対象サーバ45としては、例えばUNIXサーバを使用する。
【0015】
リモートアクセスサーバ27cは、顧客システム50にアクセスすることができる。顧客システム50は、運用対象サーバ53a、53b〜53k(kは任意の自然数)、ルータ57、顧客側本番ネットワーク59によって構成されている。リモートアクセスサーバ27cと運用対象ネット機器53a〜53kはシリアル接続されている。運用対象ネット機器53a〜53kはルータ57を経て、ネットワーク59へ接続されている。
【0016】
リモートアクセスクライアント10a〜10c、14a〜14cから、運用対象ネット機器33や運用対象サーバ35a〜35n、45a〜45m、53a〜53kを操作することができる。
【0017】
<機能ブロック図>
図2に本発明の実施例における機能ブロック図を示す。図2に示すように、リモートアクセスクライアント10は、クライアントプログラム11、キーボード17、マウス18及びモニタ19を備える。マウス18はポインティングデバイスの一例に過ぎない。マウスの代わりに、トラックボール、タッチパッド、ポインティングスティックなどを使用することもできる。また、モニタ19とは、例えば液晶ディスプレイ、CRTディスプレイなどである。
【0018】
認証サーバ23は、ユーザ認証機構231と、ユーザ情報DB24とを備える。リモートアクセスサーバ27a,bは操作機構271a,bをそれぞれ有する。証跡サーバ25については後述する。
【0019】
リモートアクセスクライアント10は、インターネットなどの外部ネットワーク12及び図示しないルータを介して、リモートアクセスLAN29へアクセス可能である。また、認証サーバ23と、証跡サーバ25と、リモートアクセスサーバ27は、LAN29へ接続されている。リモートアクセスサーバ27aは、運用対象サーバ35a〜cとKVM接続され、リモートアクセスサーバ27bは、運用対象サーバ45a〜cとシリアル接続されている。
【0020】
ユーザ認証機構231は、リモートアクセスクライアント10からIDとパスワードを受け取り、受け取ったIDとパスワードが、ユーザ情報DB24に予め対応付けて記憶されているIDとパスワードと一致すれば、リモートアクセスクライアント10からのアクセスを正規なアクセスとして認証する。
【0021】
より具体的には、ユーザ認証機構231は、(1)リモートアクセスクライアント10から、クライアント10を操作しているユーザのユーザID、パスワードや、クライアント10に割り当てられているIPアドレス等とアクセス先情報を受け取り、(2―1)後述するリモートクライアントDB、ユーザアカウントDB、アクセス権限DB、リモートサーバDBをチェックし、(2−2)正当なアクセス権を持つユーザからのアクセスであると判断したならば、(2−3)セッションID、セッションキーを生成しセッション情報として記録するとともに、(2−4)リモートアクセスクライアント10に渡す。(3)リモートアクセスクライアント10は、認証サーバ23から得たセッションIDをリモートアクセスサーバ27へ伝え、リモート操作セッションの開始を要求する。(4)セッション開始要求を受け取ったリモートアクセスサーバ27は、セッションIDに基づきクライアント10のセッション情報を認証サーバ23へ問い合わせ、セッションキー情報を取得する。(5)クライアント10とリモートアクセスサーバ27は、セッションキー情報を使用して暗号化されたセキュアなリモート操作セッションを開始する。
【0022】
<証跡サーバ>
図3は、本発明の実施例における証跡サーバの構成を示すブロック図である。図3に示すように、証跡サーバ25は、全体を制御するCPU301と、BIOSなどを記憶するROM303と、プログラムのワークエリアとして機能するRAM305と、サーバ用プログラムやOSなどを記憶するHDD307とを備える。
【0023】
HDD307に記憶されている認証サーバ用プログラム310は、パケット採取モジュール311と、種別判断モジュール312と、復号化モジュール313と、解析モジュール314と、再構成モジュール315と、対応付けモジュール316と、ファイル出力モジュール317とを含む。
【0024】
パケット採取モジュール311は、MACアドレスが自アドレスでないEthernet(登録商標)フレーム(MACフレーム)も採取する。採取されたEthernet(登録商標)フレームからIPパケットが取り出され、そのIPパケットからTCP又はUDPパケットが取り出され、そのTCP又はUDPパケットからデータが取り出され、そのデータは種別判断モジュール312へ渡される。
【0025】
種別判断モジュール312は、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて、パケット採取モジュール311が採取したEthernet(登録商標)フレームに含まれていたIPパケットがログインパケットか、KVM関連パケットか、ログアウトパケットかを判断する。なお、ログインパケット、ログアウトパケット、KVM関連パケットは複数パケットから構成される場合もある。
【0026】
ログインパケットとは、ログインした時刻、ログインしたユーザのユーザID、ログインしたリモートアクセスクライアントのIPアドレス、ログインされたリモートアクセスサーバのIPアドレスとポート番号などを含むパケットを意味する。
【0027】
KVM関連パケットとは、キーイベント情報、キーシーケンス情報、ビデオ情報、画面遷移情報、マウスイベント情報、マウス操作情報などのKVM情報を含むパケットを意味する。
【0028】
ログアウトパケットとは、ログアウトした時刻、ログアウトしたユーザのユーザID、ログアウトしたリモートアクセスクライアントのIPアドレス、ログアウトされたリモートアクセスサーバのIPアドレスとポート番号などを含むパケットを意味する。
【0029】
復号化モジュール313は、KVM関連パケットに含まれる暗号化データを復号化するためのモジュールである。暗号化技術としては、例えばプロダクト毎に利用する秘密鍵方式のDES(Data Encryption Standard)、公開鍵方式のRSAなどの一般的な暗号化方式を使用することができる。
【0030】
解析モジュール314は、KVM関連パケットに含まれるデータを解析して、キーイベント情報、キーシーケンス情報、ビデオ情報、画面遷移情報、マウスイベント情報、マウス操作情報などのKVM情報を抽出する。
【0031】
「キーイベント情報」は、キーコードという個々のキーをあらわすコードと押す/離すの情報であり、「キーシーケンス情報」は、連続して押されたキー文字列を表す情報である。
【0032】
「ビデオ情報」は、いわゆるアナログビデオ信号であり、「画面遷移情報」は、アナログビデオ信号をデジタルデータにキャプチャした、動画もしくは静止画の情報である。
【0033】
「マウスイベント情報」は、マウスの動きに連動して画面上に表示されるポインタのX座標及びY座標、マウスのホイールの移動量、マウスのボタンの押す/離すなどの情報であり、「マウス操作情報」は、一定時間のマウスイベント情報をまとめた情報である。例えば、「L-B:Press」はマウスの左(Left)ボタンが押されたことを示す「マウスイベント情報」である。
【0034】
再構成モジュール315は、分割されたパケットを再構成する。分割されたパケットか否かはTCP又はUDPヘッダーのフラグフィールドにより判断できる。分割されてできた複数のパケットはID情報フィールドの値が同じになる。分割されてできた各パケットが元のパケットのどの位置にあったかはフラグメントオフセットフィールドにより判断できる。よって、フラグフィールド、ID情報フィールド、フラグメントオフセットフィールドの情報に基づいて、再構成が可能である。
【0035】
対応付けモジュール316は、KVM情報を対応するログイン情報に関連付け、またログアウト情報を対応するログイン情報に関連付ける。複数のセッションが存在する場合(例えば、2以上のリモートアクセスクライアントがリモートアクセスサーバへアクセスしている場合)に、ログイン情報、ログアウト情報、キーシーケンス情報、マウス操作情報、画面遷移情報などと各セッションとの対応関係を明確にする必要があるからである。
【0036】
例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録しても良い。また、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録するとしても良い。
【0037】
ファイル出力モジュール317は、図示しない内部時計から現在時刻を示す時刻情報を受け取る。そして、ファイル出力モジュール317は、KVM情報に時刻情報を付加して、ログファイル320として出力する。
【0038】
<全体的な処理の流れ>
図4は、本発明の実施例におけるログ取得処理の流れを示すフローチャートである。図4に示すように、ログ取得プログラム310のパケット採取モジュール311がLAN29のケーブルを流れるパケットを採取する(ステップS401)。採取(キャプチャ)されるパケットは、ログ取得プログラム310がインストールされている証跡サーバ25に向けて送信されているユニキャスト及びブロードキャストのパケットに限定されない。つまり、採取されるパケットの宛先MACアドレスは、ログ取得プログラム310がインストールされている証跡サーバ25が有するMACアドレスとは限らない。LAN29のケーブルを流れる他のホスト向けのパケットも採取される。
【0039】
種別判断モジュール312は、採取されたパケットを受け取り、採取されたパケットが、ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当するかを調べ(ステップS403)、いずれにも該当しない場合はそのパケットを廃棄する(ステップS404)。採取されたパケットが、ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当するかは、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて判断される。
【0040】
ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当する場合は、さらに暗号化されているかを調べ(ステップS405)、暗号化されている場合は復号化する(ステップS406)。暗号化されているか否かは、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて判断される。
【0041】
暗号化されていない場合はそのまま、暗号化されていた場合は復号化された後に、パケットを解析する(ステップS407)。解析方法はプロトコルによって異なる。例えば、UDPの場合はアプリケーションデータは開始点と終点が明確なデータグラムであり、意味あるパケット列の一番先頭のデータヘッダ部分から暗号化の有無と方式を判断できる。一連の全パケットを取得した時点で、暗号化されていた場合は、当該データグラム全体の複合化をデータヘッダ部分から取得できる暗号化方式に従って復号化を行う。また、例えば、TCPの場合は、データ部全体(=データヘッダ+データ本体)がHTTPS等のTCP上の一般的な暗号化方式によってカプセル化されたものを、同方式で復号化する。
【0042】
次に、解析によって得られたデータを関連する他のデータと対応付けする(ステップS409)。例えば、パケットの送信元IPアドレス、宛先IPアドレス及び宛先ポート番号とに基づいて、既に記憶されているログイン情報と対応付けする。
【0043】
ユーザ名、ユーザ端末のIPアドレスなどと対応付けられたデータは、ログファイル320としてHDD307に記憶される(ステップS411)。
【0044】
図5に、本発明の実施例におけるモニタ画面とアクセスログと監査ログの一例を示す。図5に示すように、リモートアクセスクライアント10からユーザ認証を試みると、ユーザID欄及びパスワード欄を有するログイン画面500を描画するための描画情報が、認証サーバ23から、ビデオ出力としてモニタ19へ出力され、ログイン画面500がモニタ19の表示画面に表示される。
【0045】
例えば、ユーザID及びパスワードが入力され、ログインボタンがクリックされると、図5のアクセスログ内容511に示すように、2004年5月1日の20時34分にログインが認証され、ログインが認証されたユーザのIDはa9472であり、ログインに使用されたクライアントPCのIPアドレスは192.176.144.31であり、ログインの対象となっているリモートアクセスサーバのIPアドレスは192.176.106.10であり、ログインの対象となっている運用対象サーバが接続されているリモートアクセスサーバのポート番号は2であるという内容のログイン情報がログファイル320に記憶される。
【0046】
また、図5の監査ログ内容521に示すように、2004年5月1日の20時34分16秒にキーボード17のCtrlキー、Altキー、”D”キーが押され、次いで”a”, ”d”, ”m”, ”i”, ”n”, ”i”, ”s”, ”t”, ”r”, ”a”, ”t”, ”o”, ”r”の各キーが押されかつCRキーが押され、さらに”p”, ”a”, ”s”, ”s”, ”w”, ”o”, ”r”, ”d”の各キーが押されかつCRキーが押されたという内容の監査ログがログファイル320に記憶される。
【0047】
また、図5に示すように、2004年5月1日の20時34分42秒にマウスの左(Left)ボタンが押されたという内容の監査ログがログファイル320に記憶される。
【0048】
さらに、図5に示すように、2004年5月1日の20時45分09秒のビデオ情報として20040501204509.mpgという名前の証跡ファイルが生成されたという内容の監査ログがログファイル320に記憶される。
【0049】
図5は、ユーザが1名の例である。ユーザが複数の場合は、各監査ログがどのセッションに関するキーシーケンス情報、マウス操作情報、画面遷移情報かがわかるようにする必要がある。例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録する方法や、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録する等の方法がある。
【0050】
図6に、本発明の実施例におけるネットワークパケットの一例を示す。パケット610は第1のベンダー社製品の上り電文、パケット620は第1のベンダー社製品の下り電文、パケット630は第2のベンダー社製品の上り電文、パケット640は第2のベンダー社製品の下り電文を示す。パケット610にはキーシーケンス情報、マウス操作情報が含まれ、文字列などが数バイト単位で送出される。パケット620には、画面遷移情報などが含まれる。原則として、画面データの差分情報のみが含まれる。また、パケット不達時に再送処理はされないものとする。パケット630にはキーイベント情報、マウスイベント情報が含まれ、文字などが1バイト単位で送出される。パケット640には、画面遷移情報などが含まれる。原則として、画面データの差分情報のみが含まれるが、パケット不達時に再送処理がなされるものとする。IPヘッダから送信元IPアドレス及び宛先IPアドレスが取得され、TCP又はUDPヘッダから宛先ポート番号が取得される。
【0051】
図7に、本発明の実施例における証跡データの一例を示す。図7に示すように、「証跡データ」とは、例えばアクセス開始時刻、終了時刻、利用時間、ユーザ名、ユーザ端末のIPアドレス、対象サーバ名、ポート番号、証跡ファイルのサイズを含む。また、KVMセッションID、プロダクト名称、プロダクトバージョンなどを含むとしても良い。KVMセッションIDとは、キーボード・ビデオ・マウス信号による一連の接続を識別するためのIDを意味する。証跡データは、ログファイル320としてHDD307に記憶される。
【0052】
前記の如く、本発明の実施例によれば、証跡サーバをネットワークへ接続することによってネットワークパケットを採取し、証跡ログを取得することができる。その場合に、リモートアクセスのためにリモートアクセスクライアントやリモートアクセスサーバにインストールされる既存のプロダクト(ソフトウェア)及び認証のために認証サーバにインストールされる既存のプロダクトのいずれについても変更不要である。
【0053】
また、リモートアクセスクライアントとリモートアクセスサーバとの間でやり取りされるパケットを単に採取しているだけであって、リモートアクセスクライアント等に証跡ログ取得のためのパケット生成を要求しない。つまり、リモートアクセスクライアント等に証跡ログ取得のための負荷をかけない。よって、リモートアクセスクライアント等のパフォーマンスに影響を与えない。
【0054】
さらに、複数のディジタルKVMスイッチ関連プロダクトが混在する環境においても、各プロダクトの個別のログの他に、KVMセッションのビデオ証跡を含むログを標準的な書式(ファイルフォーマット)で残すことができ、運用上も統一的な取り扱いが可能となる。
【図面の簡単な説明】
【0055】
【図1】MSP(Management Services Provider)リモートアクセス基盤の概念図の一例である。
【図2】本発明の実施例における機能ブロック図である。
【図3】本発明の実施例における証跡サーバの構成を示すブロック図である。
【図4】本発明の実施例におけるログ取得処理の流れを示すフローチャートである。
【図5】本発明の実施例におけるモニタ画面とアクセスログと監査ログの一例を示す図である。
【図6】本発明の実施例におけるネットワークパケットの一例を示す図である。
【図7】本発明の実施例における証跡データの一例を示す図である。
【符号の説明】
【0056】
10、14…リモートアクセスクライアント 12…LAN
16…インターネット 21…ファイヤーウォール
23…認証サーバ 25…証跡サーバ
27…リモートアクセスサーバ 31…ローカルコンソール
33、43…運用対象ネット機器 35、45、53…運用対象サーバ
37、47、57…ルータ
301…CPU 303…ROM 305…RAM 307…HDD
310…認証サーバ用プログラム 311…パケット採取モジュール
312…種別判断モジュール 313…復号化モジュール
314…解析モジュール 315…再構成モジュール
316…対応付けモジュール 317…ファイル出力モジュール
【技術分野】
【0001】
本発明は、リモートアクセスクライアントからリモートアクセスサーバにアクセスし、リモートアクセスサーバに接続されている運用対象機器を操作する際にログを取得するための技術に関する。
【背景技術】
【0002】
遠隔地から操作対象サーバ機器を操作する技術として、シリアル接続の場合(例えば、特許文献1参照)やGUI(graphical user interface)を使用するKVM(keyboard video mouse)接続の場合(例えば、特許文献2参照)が知られている。
【特許文献1】特開平10−283316号公報
【特許文献2】特表2002−525750号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、これらの技術では、データセンタ等、多数の操作端末や多数の対象サーバ機器を必要とする環境ではリモートアクセスサーバ単位の煩雑な利用者登録運用を行う必要があり、利用者の抹消漏れ等に起因する不正操作を防止できない。また、不正に操作された際、その不正利用者を追跡し、特定することができない。
【課題を解決するための手段】
【0004】
本発明の第1の特徴は、ログを取得するためにコンピュータを、宛先アドレスが自アドレスでないパケットも採取するパケット採取手段、パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断手段、パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析手段、複数のパケットに分割されたデータを再構成する再構成手段、再構成されたデータを利用者情報に対応付ける対応付け手段、利用者情報に対応付けられたデータをファイルとして出力するファイル出力手段、として機能させることにある。
【0005】
本発明の第2の特徴は、コンピュータを、採取されたパケットが暗号化されている場合に、パケットを復号化する復号化手段としてさらに機能させることにある。
【発明の効果】
【0006】
本発明の第1の特徴によれば、ネットワークパケットを収集し、ログイン情報及びログアウト情報を再構成し、利用者と対応付けて証跡ログとして残すことができる。
【0007】
また、本発明の第1の特徴によれば、ネットワークパケットを収集し、画面操作に関するビデオ情報を再構成し、利用者と対応付けて証跡ログとして残すことができる。
【0008】
さらに、本発明の第2の特徴によれば、パケットが暗号化されている場合であっても、利用者と対応付けて証跡ログとして残すことができる。
【発明を実施するための最良の形態】
【0009】
以下に図面に基づいて、本発明を実施するための最良の形態を説明する。なお、以下の説明は、単なる例示に過ぎず、本発明の技術的範囲は以下の説明に限定されるものではない。
【実施例】
【0010】
多数の操作端末や多数の対象サーバ機器を必要とする環境において、認証サーバと監査証跡サーバを配備することで、認証を受けた利用者だけに操作端末からのリモートアクセスサーバのエミュレーション操作を許可するとともに、証跡サーバで操作対象サーバに対する操作ログを収集して各認証ユーザの操作状況を再現可能とする。
【0011】
図1にMSP(Management Services Provider)リモートアクセス基盤の概念図の一例を示す。図1に示すように、リモートアクセスクライアントとして使用する社内PC10a〜10cが、社内LAN12に接続されている。また、リモートアクセスクライアントとして使用するモバイルPC14a〜14cはFW(Fire Wall)によってVPN(Virtual Private Network)化されたインターネット16を経由して、社内LAN12にアクセスすることができる。
【0012】
社内LAN12は、FW21を経由して、リモートアクセスサーバ27a〜27cにアクセスすることができる。リモートアクセスLAN29には、リモートアクセスサーバ27の他に認証サーバ23、証跡サーバ25が接続されている。リモートアクセスサーバ経由で行った操作(キー入力、画像出力、データ出力)は、証跡ログとして証跡サーバ25に自動的に収集、蓄積される。
【0013】
リモートアクセスサーバ27aは、顧客システム30にアクセスすることができる。顧客システム30は、例えばローカルコンソール31、運用対象ネット機器33、運用対象サーバ35a、35b〜35n(nは任意の自然数)、ルータ37、顧客側本番ネットワーク39によって構成されている。リモートアクセスサーバ27aと運用対象ネット機器33はシリアル接続され、リモートアクセスサーバ27aと運用対象サーバ35a〜35nはKVM接続されている。運用対象ネット機器33、運用対象サーバ35a〜35nはルータ37を経て、ネットワーク39へ接続されている。運用対象サーバ35としては、例えばIA(Intel Architecture)サーバを使用する。
【0014】
リモートアクセスサーバ27bは、顧客システム40にアクセスすることができる。顧客システム40は、運用対象ネット機器43、運用対象サーバ45a、45b〜45m(mは任意の自然数)、ルータ47、顧客側本番ネットワーク49によって構成されている。リモートアクセスサーバ27bと運用対象ネット機器43、運用対象サーバ45a〜45mはシリアル接続されている。運用対象ネット機器43、運用対象サーバ45a〜45mはルータ47を経て、ネットワーク49へ接続されている。運用対象サーバ45としては、例えばUNIXサーバを使用する。
【0015】
リモートアクセスサーバ27cは、顧客システム50にアクセスすることができる。顧客システム50は、運用対象サーバ53a、53b〜53k(kは任意の自然数)、ルータ57、顧客側本番ネットワーク59によって構成されている。リモートアクセスサーバ27cと運用対象ネット機器53a〜53kはシリアル接続されている。運用対象ネット機器53a〜53kはルータ57を経て、ネットワーク59へ接続されている。
【0016】
リモートアクセスクライアント10a〜10c、14a〜14cから、運用対象ネット機器33や運用対象サーバ35a〜35n、45a〜45m、53a〜53kを操作することができる。
【0017】
<機能ブロック図>
図2に本発明の実施例における機能ブロック図を示す。図2に示すように、リモートアクセスクライアント10は、クライアントプログラム11、キーボード17、マウス18及びモニタ19を備える。マウス18はポインティングデバイスの一例に過ぎない。マウスの代わりに、トラックボール、タッチパッド、ポインティングスティックなどを使用することもできる。また、モニタ19とは、例えば液晶ディスプレイ、CRTディスプレイなどである。
【0018】
認証サーバ23は、ユーザ認証機構231と、ユーザ情報DB24とを備える。リモートアクセスサーバ27a,bは操作機構271a,bをそれぞれ有する。証跡サーバ25については後述する。
【0019】
リモートアクセスクライアント10は、インターネットなどの外部ネットワーク12及び図示しないルータを介して、リモートアクセスLAN29へアクセス可能である。また、認証サーバ23と、証跡サーバ25と、リモートアクセスサーバ27は、LAN29へ接続されている。リモートアクセスサーバ27aは、運用対象サーバ35a〜cとKVM接続され、リモートアクセスサーバ27bは、運用対象サーバ45a〜cとシリアル接続されている。
【0020】
ユーザ認証機構231は、リモートアクセスクライアント10からIDとパスワードを受け取り、受け取ったIDとパスワードが、ユーザ情報DB24に予め対応付けて記憶されているIDとパスワードと一致すれば、リモートアクセスクライアント10からのアクセスを正規なアクセスとして認証する。
【0021】
より具体的には、ユーザ認証機構231は、(1)リモートアクセスクライアント10から、クライアント10を操作しているユーザのユーザID、パスワードや、クライアント10に割り当てられているIPアドレス等とアクセス先情報を受け取り、(2―1)後述するリモートクライアントDB、ユーザアカウントDB、アクセス権限DB、リモートサーバDBをチェックし、(2−2)正当なアクセス権を持つユーザからのアクセスであると判断したならば、(2−3)セッションID、セッションキーを生成しセッション情報として記録するとともに、(2−4)リモートアクセスクライアント10に渡す。(3)リモートアクセスクライアント10は、認証サーバ23から得たセッションIDをリモートアクセスサーバ27へ伝え、リモート操作セッションの開始を要求する。(4)セッション開始要求を受け取ったリモートアクセスサーバ27は、セッションIDに基づきクライアント10のセッション情報を認証サーバ23へ問い合わせ、セッションキー情報を取得する。(5)クライアント10とリモートアクセスサーバ27は、セッションキー情報を使用して暗号化されたセキュアなリモート操作セッションを開始する。
【0022】
<証跡サーバ>
図3は、本発明の実施例における証跡サーバの構成を示すブロック図である。図3に示すように、証跡サーバ25は、全体を制御するCPU301と、BIOSなどを記憶するROM303と、プログラムのワークエリアとして機能するRAM305と、サーバ用プログラムやOSなどを記憶するHDD307とを備える。
【0023】
HDD307に記憶されている認証サーバ用プログラム310は、パケット採取モジュール311と、種別判断モジュール312と、復号化モジュール313と、解析モジュール314と、再構成モジュール315と、対応付けモジュール316と、ファイル出力モジュール317とを含む。
【0024】
パケット採取モジュール311は、MACアドレスが自アドレスでないEthernet(登録商標)フレーム(MACフレーム)も採取する。採取されたEthernet(登録商標)フレームからIPパケットが取り出され、そのIPパケットからTCP又はUDPパケットが取り出され、そのTCP又はUDPパケットからデータが取り出され、そのデータは種別判断モジュール312へ渡される。
【0025】
種別判断モジュール312は、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて、パケット採取モジュール311が採取したEthernet(登録商標)フレームに含まれていたIPパケットがログインパケットか、KVM関連パケットか、ログアウトパケットかを判断する。なお、ログインパケット、ログアウトパケット、KVM関連パケットは複数パケットから構成される場合もある。
【0026】
ログインパケットとは、ログインした時刻、ログインしたユーザのユーザID、ログインしたリモートアクセスクライアントのIPアドレス、ログインされたリモートアクセスサーバのIPアドレスとポート番号などを含むパケットを意味する。
【0027】
KVM関連パケットとは、キーイベント情報、キーシーケンス情報、ビデオ情報、画面遷移情報、マウスイベント情報、マウス操作情報などのKVM情報を含むパケットを意味する。
【0028】
ログアウトパケットとは、ログアウトした時刻、ログアウトしたユーザのユーザID、ログアウトしたリモートアクセスクライアントのIPアドレス、ログアウトされたリモートアクセスサーバのIPアドレスとポート番号などを含むパケットを意味する。
【0029】
復号化モジュール313は、KVM関連パケットに含まれる暗号化データを復号化するためのモジュールである。暗号化技術としては、例えばプロダクト毎に利用する秘密鍵方式のDES(Data Encryption Standard)、公開鍵方式のRSAなどの一般的な暗号化方式を使用することができる。
【0030】
解析モジュール314は、KVM関連パケットに含まれるデータを解析して、キーイベント情報、キーシーケンス情報、ビデオ情報、画面遷移情報、マウスイベント情報、マウス操作情報などのKVM情報を抽出する。
【0031】
「キーイベント情報」は、キーコードという個々のキーをあらわすコードと押す/離すの情報であり、「キーシーケンス情報」は、連続して押されたキー文字列を表す情報である。
【0032】
「ビデオ情報」は、いわゆるアナログビデオ信号であり、「画面遷移情報」は、アナログビデオ信号をデジタルデータにキャプチャした、動画もしくは静止画の情報である。
【0033】
「マウスイベント情報」は、マウスの動きに連動して画面上に表示されるポインタのX座標及びY座標、マウスのホイールの移動量、マウスのボタンの押す/離すなどの情報であり、「マウス操作情報」は、一定時間のマウスイベント情報をまとめた情報である。例えば、「L-B:Press」はマウスの左(Left)ボタンが押されたことを示す「マウスイベント情報」である。
【0034】
再構成モジュール315は、分割されたパケットを再構成する。分割されたパケットか否かはTCP又はUDPヘッダーのフラグフィールドにより判断できる。分割されてできた複数のパケットはID情報フィールドの値が同じになる。分割されてできた各パケットが元のパケットのどの位置にあったかはフラグメントオフセットフィールドにより判断できる。よって、フラグフィールド、ID情報フィールド、フラグメントオフセットフィールドの情報に基づいて、再構成が可能である。
【0035】
対応付けモジュール316は、KVM情報を対応するログイン情報に関連付け、またログアウト情報を対応するログイン情報に関連付ける。複数のセッションが存在する場合(例えば、2以上のリモートアクセスクライアントがリモートアクセスサーバへアクセスしている場合)に、ログイン情報、ログアウト情報、キーシーケンス情報、マウス操作情報、画面遷移情報などと各セッションとの対応関係を明確にする必要があるからである。
【0036】
例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録しても良い。また、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録するとしても良い。
【0037】
ファイル出力モジュール317は、図示しない内部時計から現在時刻を示す時刻情報を受け取る。そして、ファイル出力モジュール317は、KVM情報に時刻情報を付加して、ログファイル320として出力する。
【0038】
<全体的な処理の流れ>
図4は、本発明の実施例におけるログ取得処理の流れを示すフローチャートである。図4に示すように、ログ取得プログラム310のパケット採取モジュール311がLAN29のケーブルを流れるパケットを採取する(ステップS401)。採取(キャプチャ)されるパケットは、ログ取得プログラム310がインストールされている証跡サーバ25に向けて送信されているユニキャスト及びブロードキャストのパケットに限定されない。つまり、採取されるパケットの宛先MACアドレスは、ログ取得プログラム310がインストールされている証跡サーバ25が有するMACアドレスとは限らない。LAN29のケーブルを流れる他のホスト向けのパケットも採取される。
【0039】
種別判断モジュール312は、採取されたパケットを受け取り、採取されたパケットが、ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当するかを調べ(ステップS403)、いずれにも該当しない場合はそのパケットを廃棄する(ステップS404)。採取されたパケットが、ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当するかは、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて判断される。
【0040】
ログインパケット、ログアウトパケット、KVM関連パケットのいずれかに該当する場合は、さらに暗号化されているかを調べ(ステップS405)、暗号化されている場合は復号化する(ステップS406)。暗号化されているか否かは、各パケットのアプリケーションデータヘッダ部から取得できる情報に基づいて判断される。
【0041】
暗号化されていない場合はそのまま、暗号化されていた場合は復号化された後に、パケットを解析する(ステップS407)。解析方法はプロトコルによって異なる。例えば、UDPの場合はアプリケーションデータは開始点と終点が明確なデータグラムであり、意味あるパケット列の一番先頭のデータヘッダ部分から暗号化の有無と方式を判断できる。一連の全パケットを取得した時点で、暗号化されていた場合は、当該データグラム全体の複合化をデータヘッダ部分から取得できる暗号化方式に従って復号化を行う。また、例えば、TCPの場合は、データ部全体(=データヘッダ+データ本体)がHTTPS等のTCP上の一般的な暗号化方式によってカプセル化されたものを、同方式で復号化する。
【0042】
次に、解析によって得られたデータを関連する他のデータと対応付けする(ステップS409)。例えば、パケットの送信元IPアドレス、宛先IPアドレス及び宛先ポート番号とに基づいて、既に記憶されているログイン情報と対応付けする。
【0043】
ユーザ名、ユーザ端末のIPアドレスなどと対応付けられたデータは、ログファイル320としてHDD307に記憶される(ステップS411)。
【0044】
図5に、本発明の実施例におけるモニタ画面とアクセスログと監査ログの一例を示す。図5に示すように、リモートアクセスクライアント10からユーザ認証を試みると、ユーザID欄及びパスワード欄を有するログイン画面500を描画するための描画情報が、認証サーバ23から、ビデオ出力としてモニタ19へ出力され、ログイン画面500がモニタ19の表示画面に表示される。
【0045】
例えば、ユーザID及びパスワードが入力され、ログインボタンがクリックされると、図5のアクセスログ内容511に示すように、2004年5月1日の20時34分にログインが認証され、ログインが認証されたユーザのIDはa9472であり、ログインに使用されたクライアントPCのIPアドレスは192.176.144.31であり、ログインの対象となっているリモートアクセスサーバのIPアドレスは192.176.106.10であり、ログインの対象となっている運用対象サーバが接続されているリモートアクセスサーバのポート番号は2であるという内容のログイン情報がログファイル320に記憶される。
【0046】
また、図5の監査ログ内容521に示すように、2004年5月1日の20時34分16秒にキーボード17のCtrlキー、Altキー、”D”キーが押され、次いで”a”, ”d”, ”m”, ”i”, ”n”, ”i”, ”s”, ”t”, ”r”, ”a”, ”t”, ”o”, ”r”の各キーが押されかつCRキーが押され、さらに”p”, ”a”, ”s”, ”s”, ”w”, ”o”, ”r”, ”d”の各キーが押されかつCRキーが押されたという内容の監査ログがログファイル320に記憶される。
【0047】
また、図5に示すように、2004年5月1日の20時34分42秒にマウスの左(Left)ボタンが押されたという内容の監査ログがログファイル320に記憶される。
【0048】
さらに、図5に示すように、2004年5月1日の20時45分09秒のビデオ情報として20040501204509.mpgという名前の証跡ファイルが生成されたという内容の監査ログがログファイル320に記憶される。
【0049】
図5は、ユーザが1名の例である。ユーザが複数の場合は、各監査ログがどのセッションに関するキーシーケンス情報、マウス操作情報、画面遷移情報かがわかるようにする必要がある。例えば、時刻情報やキー情報と共にセッション毎に一意になるセッション識別子を追加し、”Time: xxxxxxxx Session: xxxxxxxx Key: xxxxxx”のように監査ログに記録する方法や、時刻情報にセッションが一意に特定できるユーザID,リモートアクセスサーバのIPアドレス、運用対象サーバの接続ポート番号の組を追加して記録する等の方法がある。
【0050】
図6に、本発明の実施例におけるネットワークパケットの一例を示す。パケット610は第1のベンダー社製品の上り電文、パケット620は第1のベンダー社製品の下り電文、パケット630は第2のベンダー社製品の上り電文、パケット640は第2のベンダー社製品の下り電文を示す。パケット610にはキーシーケンス情報、マウス操作情報が含まれ、文字列などが数バイト単位で送出される。パケット620には、画面遷移情報などが含まれる。原則として、画面データの差分情報のみが含まれる。また、パケット不達時に再送処理はされないものとする。パケット630にはキーイベント情報、マウスイベント情報が含まれ、文字などが1バイト単位で送出される。パケット640には、画面遷移情報などが含まれる。原則として、画面データの差分情報のみが含まれるが、パケット不達時に再送処理がなされるものとする。IPヘッダから送信元IPアドレス及び宛先IPアドレスが取得され、TCP又はUDPヘッダから宛先ポート番号が取得される。
【0051】
図7に、本発明の実施例における証跡データの一例を示す。図7に示すように、「証跡データ」とは、例えばアクセス開始時刻、終了時刻、利用時間、ユーザ名、ユーザ端末のIPアドレス、対象サーバ名、ポート番号、証跡ファイルのサイズを含む。また、KVMセッションID、プロダクト名称、プロダクトバージョンなどを含むとしても良い。KVMセッションIDとは、キーボード・ビデオ・マウス信号による一連の接続を識別するためのIDを意味する。証跡データは、ログファイル320としてHDD307に記憶される。
【0052】
前記の如く、本発明の実施例によれば、証跡サーバをネットワークへ接続することによってネットワークパケットを採取し、証跡ログを取得することができる。その場合に、リモートアクセスのためにリモートアクセスクライアントやリモートアクセスサーバにインストールされる既存のプロダクト(ソフトウェア)及び認証のために認証サーバにインストールされる既存のプロダクトのいずれについても変更不要である。
【0053】
また、リモートアクセスクライアントとリモートアクセスサーバとの間でやり取りされるパケットを単に採取しているだけであって、リモートアクセスクライアント等に証跡ログ取得のためのパケット生成を要求しない。つまり、リモートアクセスクライアント等に証跡ログ取得のための負荷をかけない。よって、リモートアクセスクライアント等のパフォーマンスに影響を与えない。
【0054】
さらに、複数のディジタルKVMスイッチ関連プロダクトが混在する環境においても、各プロダクトの個別のログの他に、KVMセッションのビデオ証跡を含むログを標準的な書式(ファイルフォーマット)で残すことができ、運用上も統一的な取り扱いが可能となる。
【図面の簡単な説明】
【0055】
【図1】MSP(Management Services Provider)リモートアクセス基盤の概念図の一例である。
【図2】本発明の実施例における機能ブロック図である。
【図3】本発明の実施例における証跡サーバの構成を示すブロック図である。
【図4】本発明の実施例におけるログ取得処理の流れを示すフローチャートである。
【図5】本発明の実施例におけるモニタ画面とアクセスログと監査ログの一例を示す図である。
【図6】本発明の実施例におけるネットワークパケットの一例を示す図である。
【図7】本発明の実施例における証跡データの一例を示す図である。
【符号の説明】
【0056】
10、14…リモートアクセスクライアント 12…LAN
16…インターネット 21…ファイヤーウォール
23…認証サーバ 25…証跡サーバ
27…リモートアクセスサーバ 31…ローカルコンソール
33、43…運用対象ネット機器 35、45、53…運用対象サーバ
37、47、57…ルータ
301…CPU 303…ROM 305…RAM 307…HDD
310…認証サーバ用プログラム 311…パケット採取モジュール
312…種別判断モジュール 313…復号化モジュール
314…解析モジュール 315…再構成モジュール
316…対応付けモジュール 317…ファイル出力モジュール
【特許請求の範囲】
【請求項1】
ログを取得するためにコンピュータを、
宛先アドレスが自アドレスでないパケットも採取するパケット採取手段、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断手段、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、前記パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析手段、
複数のパケットに分割されたデータを再構成する再構成手段、
再構成された前記データを利用者情報に対応付ける対応付け手段、
前記利用者情報に対応付けられた前記データをファイルとして出力するファイル出力手段、として機能させることを特徴とするログ取得プログラム。
【請求項2】
前記コンピュータを、採取された前記パケットが暗号化されている場合に、前記パケットを復号化する復号化手段としてさらに機能させることを特徴とする請求項1に記載のログ取得プログラム。
【請求項3】
宛先アドレスが自アドレスでないパケットも採取するステップ、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断するステップ、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、前記パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得するステップ、
複数のパケットに分割されたデータを再構成するステップ、
再構成された前記データを利用者情報に対応付けるステップ、
前記利用者情報に対応付けられた前記データをファイルとして出力するステップ、を含むことを特徴とするログ取得方法。
【請求項4】
採取された前記パケットが暗号化されている場合に、前記パケットを復号化する復号化ステップをさらに含むことを特徴とする請求項3に記載のログ取得方法。
【請求項1】
ログを取得するためにコンピュータを、
宛先アドレスが自アドレスでないパケットも採取するパケット採取手段、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断する種別判断手段、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、前記パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得する解析手段、
複数のパケットに分割されたデータを再構成する再構成手段、
再構成された前記データを利用者情報に対応付ける対応付け手段、
前記利用者情報に対応付けられた前記データをファイルとして出力するファイル出力手段、として機能させることを特徴とするログ取得プログラム。
【請求項2】
前記コンピュータを、採取された前記パケットが暗号化されている場合に、前記パケットを復号化する復号化手段としてさらに機能させることを特徴とする請求項1に記載のログ取得プログラム。
【請求項3】
宛先アドレスが自アドレスでないパケットも採取するステップ、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットかを判断するステップ、
前記パケットがログインパケット、ログアウトパケット又はKVM関連パケットのいずれかである場合に、前記パケットを解析し、再構成に必要な情報及び対応付けに必要な情報を取得するステップ、
複数のパケットに分割されたデータを再構成するステップ、
再構成された前記データを利用者情報に対応付けるステップ、
前記利用者情報に対応付けられた前記データをファイルとして出力するステップ、を含むことを特徴とするログ取得方法。
【請求項4】
採取された前記パケットが暗号化されている場合に、前記パケットを復号化する復号化ステップをさらに含むことを特徴とする請求項3に記載のログ取得方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−277518(P2006−277518A)
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願番号】特願2005−97960(P2005−97960)
【出願日】平成17年3月30日(2005.3.30)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願日】平成17年3月30日(2005.3.30)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]