ログ取得管理システム及び方法
【課題】 効率的且つ効果的に必要なログを取得することができるログ取得管理システム及び方法を提供する。
【解決手段】 ログ取得管理システムのログ生成部21は、イベントの発生に応答して、ログ生成除外条件データベース(DB)31に登録されているログ生成除外条件データのいずれかに該当するかを判別し、いずれかに該当すると判別した場合、イベントに対応するログを生成せず、また、いずれにも該当しないと判別し場合、イベントに対応するログを生成してログDB32に記憶する。ログ生成除外条件解析部22は、ログ生成除外条件DB31に記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データをログ生成除外条件DB31から削除する。
【解決手段】 ログ取得管理システムのログ生成部21は、イベントの発生に応答して、ログ生成除外条件データベース(DB)31に登録されているログ生成除外条件データのいずれかに該当するかを判別し、いずれかに該当すると判別した場合、イベントに対応するログを生成せず、また、いずれにも該当しないと判別し場合、イベントに対応するログを生成してログDB32に記憶する。ログ生成除外条件解析部22は、ログ生成除外条件DB31に記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データをログ生成除外条件DB31から削除する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ログの収集において、取得するログを削減するためにログ生成除外条件を設定・管理するログ取得管理システム等に関する。
【背景技術】
【0002】
従来、クライアントサーバシステムにおいて、システム障害や、データの改竄、漏洩等の不正が発生した場合、その原因等を調査する方法として、システムを構成するコンピュータで生成されたログを集約し、集約したログを用いて原因を解明する方法がある。しかし、上記方法では、原因解明に必要な情報が集約したログのうちの少数だとしても、原因解明に必要のないログを含む膨大なログを記録しなければならず、非効率的であった。このような問題の対策として、原因解明に不要と判断されたログについてはフィルタリングを行うことで記録しないという方法がある。
【0003】
例えば、アクセスログから不当アクセスを検出する際に、全てのアクセスログを解析対象とするのではなく、予め設定した不当アクセス対象外リストに合致しないもののみを解析対象として抽出するようなシステムもある(特許文献1)。
【特許文献1】特開2003−280945号公報(第4頁、第3図)
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、上記のようなシステムでは、フィルタリング条件の追加設定は手動で可能であるものの、設定したフィルタリング条件の有効性を判断し、設定内容を調整することは不可能である。上記のようなフィルタリング条件は、設定時は適正であっても、アクセス状況やイベント発生状況等の変化によりその後不適正なものとなることも多い。このため、より正確なログ解析結果を得るためには、ログの生成に関する条件はアクセス状況やイベント発生状況等に応じて適宜調整されることが望ましい。
【0005】
本発明は、上記実状に鑑みてなされたものであり、効率的且つ効果的に必要なログを取得することができるログ取得管理システム及び方法を提供することを目的とする。
また、本発明は、状況に応じてログの生成に関する条件を自動的に調整することができるログ取得管理システム及び方法を提供することを他の目的とする。
また、本発明は、設定されたログの生成に関する条件の適正性を判定し、判定結果に基づいてログの生成に関する条件を調整することができるログ取得管理システム及び方法を提供することを他の目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、この発明の第1の観点に係るログ取得管理システムは、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備えることを特徴とする。
【0007】
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備えてもよく、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データが所定の条件を満たすログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定してもよい。
【0008】
また、前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが所定時間毎に記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備えてもよく、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データに基づいて、使用回数の変化量が所定の基準を超えるログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定してもよい。
【0009】
前記ログデータベースに記憶されているログについて、ログを構成する項目のうち出現度の高いデータ値を有する項目の組み合わせを特定する手段と、
前記特定した項目の組み合わせに基づいて、ログ生成除外条件データを生成する手段と、
前記生成されたログ生成除外条件データを、前記条件データベースに追加登録する手段と、
をさらに備えてもよい。
【0010】
また、この発明の第2の観点に係るログ取得管理方法は、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別ステップと、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成ステップと、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除ステップと、
を備えることを特徴とする。
【発明の効果】
【0011】
効率的且つ効果的に必要なログを取得することができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態に係るログ取得管理システムについて図面を参照して説明する。
本実施形態に係るログ取得管理システム1のハードウェア構成図を図1に、機能構成図を図2に例示する。
ログ取得管理システム1は、制御部11と、記憶部12と、通信制御部13と、を備えるコンピュータから構成される。ログ取得管理システム1は、ネットワーク10を介して他のコンピュータと接続可能に構成される。ネットワーク10は、例えば、LAN、インターネット等の各種ネットワークを含む。
【0013】
制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成され、記憶部12に予め記憶された動作プログラム等を読み出して実行することにより、ログ生成部21、ログ生成除外条件解析部22、ログ解析部23、ログ生成除外条件管理部24等を論理的に実現する。
【0014】
ログ生成部21は、ログ取得対象のコンピュータシステムにおけるイベントの発生等に応答して、記憶部12のログ生成除外条件DB(データベース)31に記憶されているログ生成除外条件データに基づいて、ログを生成するかどうかを判別する。ログ生成除外条件データは、ログを生成しない条件(ルール)を示すものであり、例えば図3に示すように、条件IDと、各種項目(IPアドレス、ID、時間、実行コマンド等)と、のデータを含む。ログ生成部21は、発生したイベントがログ生成除外条件DB31に登録されているログ生成除外条件のいずれかに該当する場合にログを生成せず、また、イベントがいずれのログ生成除外条件にも該当しない場合にはイベントに対応するログを生成して、記憶部12のログDB32に記録する。
【0015】
また、ログ生成部21は、ログ生成除外条件DB31に登録されている各ログ生成除外条件データの使用回数を所定時間毎に計数する。具体的には、あるログ生成除外条件に基づいてログを生成しないと判別した場合、記憶部12の条件使用状況DB33に記憶されている各ログ生成除外条件の使用回数データのうち、当該判別に使用したログ生成除外条件に対応する使用回数データを特定し、例えばイベントに含まれている時間データに対応する使用回数の値に1だけ加算して更新する。条件使用状況DB33に記憶されている使用回数データは、例えば図4に示すように、ログ生成除外条件を特定する条件ID、使用回数等のデータから構成され、各ログ生成除外条件の使用回数を所定の時間帯毎(例えば、数時間毎、日毎、週毎等)に示す。
【0016】
ログ生成除外条件解析部22は、条件使用状況DB33を参照して、ログ生成除外条件DB31に登録されているログ生成除外条件の適正性について解析し、不適正であると判定した条件については、ログ生成除外条件管理部24にその条件ID等を削除要求とともに受け渡す。ログ生成除外条件の適正性の解析では、使用回数に著しい変化があったログ生成除外条件、即ち、使用回数の変化量が一定の基準を超えたログ生成除外条件を不適正なログ生成除外条件と判断する。具体的な判断方法は任意である。例えば、条件使用状況DB33に記憶されている使用回数データを用いて、使用回数の平均値をログ生成除外条件毎に算出し、各ログ生成除外条件について、各時間の使用回数と、先に算出した使用回数の平均値と、の差を求め、差が予め設定された閾値(例えば、100等)以下であれば適正なログ生成除外条件と判定し、その差が閾値より大きい場合には不適正なログ生成除外条件と判定してもよい。例えば、図4に示す使用回数データを例に説明すると、例えば条件ID”00002”について、時期”2004/10/10”の使用回数が”2”と設定されている。この条件ID”00002”のログ生成除外条件の使用回数の平均値が”150”であり、予め設定されている閾値が”100”である場合、時期”2004/10/10”の使用回数”2”と平均値”150”の差が、閾値”100”より大きいため、条件ID”00002”のログ生成除外条件は不適正であると判定される。
また、不適正とする条件は、上記のものに限るものではなく、条件使用状況DB33における使用回数が所定の条件を満たした場合に不適正なログ生成除外条件であるとする範囲において、任意の方法を用いることができる。
【0017】
ログ解析部23は、ログ生成部21により生成されたログをログDB32から読み出し、読み出したログを用いて、ログを構成する項目の組み合わせのうち出現度の高い組み合わせ(相関ルール)を生成し、生成日時のデータとともに記憶部12に記憶する。具体的には、記憶部12に設定されている所定の抽出ルールを用いて、ログDB32から読み出したログから、IPアドレス、ID、時間、実行コマンド等の所定項目について情報を抽出し、抽出した情報をログ解析情報として記憶部12に一時的に記憶する。抽出ルールは、各種ログにおけるIPアドレス、ID、時間、実行コマンド等の各項目の情報の位置を示すものであり、例えば、アクセスログ、ログインログ、イベントログ、アプリケーションログ等の各種ログの書式に基づいてログの種別毎に予め生成・記憶される。そして、各ログから生成されたログ解析情報について、ID、対象ファイル、実行コマンド等の各項目ごとに各データの構成比率等を算出する。なお、算出対象項目に時間を含める場合には、例えば、時間帯(XX時台)毎の構成比率を算出してもよい。そして、最も高い構成比率を有する項目を第1の項目として特定し、第1の項目について構成比率が最も高いデータ値が設定されているログ解析情報を抽出する。そして、抽出したログ解析情報について、各項目ごとに各データの構成比率等を算出し、第1の項目の次に、最も高い構成比率を有する項目を第2の項目として特定する。このような手順を繰り返すことで、第n(n=1,2,・・・)の項目を特定し、特定した項目について構成比率が最も高いデータ値を複数組み合わせることにより、相関ルールを生成する。
【0018】
例えば、図5(A)に示すようなログ解析情報が取得され、これについて図5(B)に示すような、各項目のデータの構成比率が取得された場合、最も高い構成比率(この例では、”ms_word.exe”の40%)を有する項目は”実行コマンド”であるため、これを第1の項目として特定する。そして、”実行コマンド”に、構成比率が最も高いデータ値”ms_word.exe”が設定されているログ解析情報を抽出する。ここで例えば図6(A)に示すようなログ解析情報が抽出され、これについて図6(B)に示すような、各項目のデータの構成比率が取得された場合、最も高い構成比率(この例では、”報告書.doc”の75%)を有する項目は”対象ファイル”であるため、これを第2の項目として特定する。例えば、相関ルールを第1の項目と第2の項目を組み合わせて生成する旨が設定されている場合、例えば図6(C)に示すような、”実行コマンド:ms_word.exe、対象ファイル:報告書.doc”が設定された相関ルールが生成される。
なお、組み合わせる項目数等は任意に設定可能であり、例えば、組み合わせる項目数を3(即ち、第1、第2、第3の項目の組み合わせ)としてもよい。
【0019】
また、ログ解析部23は、生成した相関ルールのうち所定の基準を満たすものを選出し、選出した相関ルールを追加要求とともにログ生成除外条件管理部24に通知する。具体的には、所定期間単位(例えば、10日単位)等で出現率が閾値(例えば、75%)を超える相関ルールを選出する。
この相関ルールの選出処理を具体的に説明する。例えば10月10日にその日までの各日に生成された相関ルールのデータが記憶部12に記憶されていることとする。この時点において、過去10日(即ち、1日〜10日)に生成された各相関ルールの出現率を算出する。例えば、ある相関ルールA”ID:user001、ファイル:、コマンド”が1日〜10日の間で7回生成されている場合、出現率は70%となり、閾値75%を下回るため選出されない。そして、翌日の10月11日に、過去10日(即ち、2日〜11日)に生成された相関ルールの出現率を算出したところ、上記の相関ルールAが8回出現している場合、出現率は80%となり、閾値75%を上回るため選出されることとなる。
【0020】
ログ生成除外条件管理部24は、ログ生成除外条件解析部22とログ解析部23から通知されるデータに基づいて、ログ生成除外条件DB31に登録されているログ生成除外条件データの更新処理を行う。具体的には、条件IDを削除要求とともにログ生成除外条件解析部22から受け取った場合、ログ生成除外条件DB31に登録されているログ生成除外条件データのうち、受け取った条件IDに対応するログ生成除外条件データを削除する。また、相関ルールを追加要求とともにログ生成除外条件解析部22から受け取った場合、受信した相関ルールに条件IDを付与し、新たなログ生成除外条件データとしてログ生成除外条件DB31に追加登録する。このとき、追加後のログ生成除外条件について必要な集約処理を行っても良い。この集約処理について具体的に説明すると、例えば、ログ取得対象のコンピュータシステムに4人のユーザが登録されていることとする。そして、図7に示すように、現状のログ生成除外条件データBに、ログ生成除外条件データCを追加したとき、追加後のログ生成除外条件データDに、ユーザ名のみが異なるログ生成除外条件データがシステムに登録されている全ユーザについて作成された場合には、それら4つのログ生成除外条件データを、”ユーザ名”については値を設定しない1つのログ生成除外条件データに集約して、新たなログ生成除外条件データEとする。これは項目”ユーザ名”に限定されず、他の項目(対象ファイル、実行コマンド等)についても同様に処理できる。
【0021】
記憶部12は、例えば、ハードディスク装置等から構成され、制御部11が実行するための動作プログラム及び処理に必要な各種データ等が記憶される。また、記憶部12は、ログ生成除外条件DB31、ログDB32、条件使用状況DB33等を備える。ログ生成除外条件DB31には、ログ生成除外条件データ(図3参照)が記憶される。ログDB32には、ログ生成部21により生成されたログが記憶される。条件使用状況DB33は、ログ生成除外条件DB31に登録されている各ログ生成除外条件データの条件IDと使用回数を示す使用回数データ(図4参照)が記憶される。
通信制御部13は、ネットワーク10を介して他のコンピュータとのデータ通信を制御する。
【0022】
次に、本実施形態に係るログ取得管理システム1のシステム動作について説明する。
まず、ログ生成除外条件DB31に登録されているログ生成除外条件に基づいてログを生成するログ生成処理について図8のフローチャートを参照して説明する。なお、制御部11は、前処理として、所定のタイミングでログ生成除外条件DB31に登録されているログ生成除外条件データを読込んでおく。この読み込みタイミングは任意であり、例えば、システム起動時とログ生成除外条件DB31の更新後等でもよい。
【0023】
制御部11は、ログ取得対象のコンピュータシステムにおいて、アクセス要求、ログイン要求、アプリケーションの起動要求等のイベントの発生に応答して、予めログ生成除外条件DB31から読み込んだログ生成除外条件データを参照し、発生したイベントがログ生成除外条件のいずれかに該当するか否かを判別する(ステップS1)。
ステップS1において、イベントがログ生成除外条件のいずれにも該当しないと判別した場合(ステップS1:NO)、制御部11は、イベントに対応するログを生成してログDB32に記憶して(ステップS2)、本処理を終了する。
また、ステップS1において、イベントがログ生成除外条件のいずれかに該当すると判別した場合(ステップS1:YES)、ログは生成せず、ステップS1の判別に使用されたログ生成除外条件(イベントが該当すると判別されたログ生成除外条件)の条件IDを特定し、条件使用状況DB33において、先に特定した条件IDに対応する使用回数の値に1だけ加算して(ステップS3)、本処理を終了する。
【0024】
次に、ログ生成除外条件DB31に登録されているログ生成除外条件データについて適正性を判定し、不適正なログ生成除外条件を検出して削除するログ生成除外条件削除処理について図9のフローチャートを参照して説明する。なお本処理は例えば、所定時間毎(例えば、1日毎等)に実行される。
【0025】
制御部11は、条件使用状況DB33から使用回数データを読み込み(ステップS11)、読み込んだデータに基づいて、各ログ生成除外条件の適正性を解析する処理を行う(ステップS12)。具体的には、各ログ生成除外条件データについて、使用回数に著しい変化があるかについて解析する。例えば、使用回数の平均値をログ生成除外条件毎に算出し、各ログ生成除外条件について、各時間の使用回数と、先に算出した使用回数の平均値と、の差を求め、差が予め設定された閾値(例えば、100等)以下であれば適正なログ生成除外条件と判定し、その差が閾値より大きい場合には不適正なログ生成除外条件と判定し、各ログ生成除外条件についての判定結果を記憶部12に記憶する。
【0026】
全てのログ生成除外条件について解析が終了すると、不適正と判定されたログ生成除外条件が存在するかを判別し(ステップS13)、存在する場合には(ステップS13:YES)、その条件IDに対応するログ生成除外条件データをログ生成除外条件DB31から削除する(ステップS14)。不適正と判定されたログ生成除外条件が存在しない場合(ステップS13:NO)、そのまま本処理を終了する。
これにより、不適正となったログ生成除外条件についてはログ生成除外条件DB31から削除することができる。
【0027】
次に、生成されたログに基づいて新たに追加すべきログ生成除外条件を検出し、ログ生成除外条件DB31に追加登録するログ生成除外条件追加処理について図10を参照して説明する。なお本処理は例えば、所定時間毎(例えば、1日毎等)に実行される。
【0028】
制御部11は、ログDB32に記憶されているログを読み込み(ステップS21)、読み込んだログを解析して、ログを構成する項目の組み合わせのうち出現度の高い組み合わせである相関ルールを生成し、生成日時とともに記憶部12に記憶する(ステップS22)。
次に、制御部11は、例えば10日等の所定期間等において生成された各相関ルールの出現率を算出し(ステップS23)、算出された出現率が閾値を超える相関ルールが存在するかを判別する(ステップS24)。
出現率が閾値を超える相関ルールが存在する場合(ステップS24:YES)、該当する相関ルールに条件IDを付与する等してログ生成除外条件データを生成し、ログ生成除外条件DB31に追加登録する(ステップS25)。
また、出現率が閾値を超える相関ルールが存在しない場合(ステップS24:NO)、そのまま本処理を終了する。
これにより、頻繁に出現するログを取得対象から除外し、ログ取得の効率を高めることができる。
【0029】
以上説明したように、本発明によれば、ログ生成に関する条件(ログ生成除外条件)に基づいてログを取得するシステムにおいて、生成されたログに基づいて新たなログ生成除外条件を追加登録し、また、設定したログ生成除外条件について適正性を判定し、不適正と判定したものについては、登録から削除することにより、適正なログ生成除外条件を保持することができるため、効率的に効果的に必要なログを取得することができる。
【0030】
なお、本発明は種々の変形や応用が適用可能である。
例えば、相関ルールの生成処理において、Aprioriアルゴリズム等の既存の手法を用いてもよい。
また、上記実施形態では、ログ取得管理システムを1台のコンピュータにより実現した場合について説明しているが、システム構成はこれに限定されず、例えば、ログ生成部21を一のコンピュータで実現し、ログ生成除外条件解析部22とログ解析部23とログ生成除外条件管理部24を他のコンピュータで実現し、これらのコンピュータをネットワークにより接続する構成としてもよい。この場合、各DB31、32、33は、いずれのコンピュータに設けても良い。
【0031】
なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、ログ取得管理システム1を構成してもよい。また、インターネット等のネットワーク10上のサーバ装置が有するディスク装置に格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。
【図面の簡単な説明】
【0032】
【図1】本発明の実施形態に係るログ取得管理システムのハードウェア構成を例示する図である。
【図2】図1のログ取得管理システムの機能構成を例示する図である。
【図3】ログ生成除外条件データのデータ構造の一例を示す図である。
【図4】使用回数データのデータ構造の一例を示す図である。
【図5】相関ルールの生成処理を具体的に説明するための図である。
【図6】相関ルールの生成処理を具体的に説明するための図である。
【図7】ログ生成除外条件の集約処理を説明するための図である。
【図8】ログ生成処理を説明するためのフローチャートである。
【図9】ログ生成除外条件削除処理を説明するためのフローチャートである。
【図10】ログ生成除外条件追加処理を説明するためのフローチャートである。
【符号の説明】
【0033】
1 ログ取得管理システム
10 ネットワーク
11 制御部
12 記憶部
13 通信制御部
21 ログ生成部
22 ログ生成除外条件解析部
23 ログ解析部
24 ログ生成除外条件管理部
31 ログ生成除外条件DB
32 ログDB
33 条件使用状況DB
【技術分野】
【0001】
この発明は、ログの収集において、取得するログを削減するためにログ生成除外条件を設定・管理するログ取得管理システム等に関する。
【背景技術】
【0002】
従来、クライアントサーバシステムにおいて、システム障害や、データの改竄、漏洩等の不正が発生した場合、その原因等を調査する方法として、システムを構成するコンピュータで生成されたログを集約し、集約したログを用いて原因を解明する方法がある。しかし、上記方法では、原因解明に必要な情報が集約したログのうちの少数だとしても、原因解明に必要のないログを含む膨大なログを記録しなければならず、非効率的であった。このような問題の対策として、原因解明に不要と判断されたログについてはフィルタリングを行うことで記録しないという方法がある。
【0003】
例えば、アクセスログから不当アクセスを検出する際に、全てのアクセスログを解析対象とするのではなく、予め設定した不当アクセス対象外リストに合致しないもののみを解析対象として抽出するようなシステムもある(特許文献1)。
【特許文献1】特開2003−280945号公報(第4頁、第3図)
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、上記のようなシステムでは、フィルタリング条件の追加設定は手動で可能であるものの、設定したフィルタリング条件の有効性を判断し、設定内容を調整することは不可能である。上記のようなフィルタリング条件は、設定時は適正であっても、アクセス状況やイベント発生状況等の変化によりその後不適正なものとなることも多い。このため、より正確なログ解析結果を得るためには、ログの生成に関する条件はアクセス状況やイベント発生状況等に応じて適宜調整されることが望ましい。
【0005】
本発明は、上記実状に鑑みてなされたものであり、効率的且つ効果的に必要なログを取得することができるログ取得管理システム及び方法を提供することを目的とする。
また、本発明は、状況に応じてログの生成に関する条件を自動的に調整することができるログ取得管理システム及び方法を提供することを他の目的とする。
また、本発明は、設定されたログの生成に関する条件の適正性を判定し、判定結果に基づいてログの生成に関する条件を調整することができるログ取得管理システム及び方法を提供することを他の目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、この発明の第1の観点に係るログ取得管理システムは、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備えることを特徴とする。
【0007】
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備えてもよく、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データが所定の条件を満たすログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定してもよい。
【0008】
また、前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが所定時間毎に記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備えてもよく、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データに基づいて、使用回数の変化量が所定の基準を超えるログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定してもよい。
【0009】
前記ログデータベースに記憶されているログについて、ログを構成する項目のうち出現度の高いデータ値を有する項目の組み合わせを特定する手段と、
前記特定した項目の組み合わせに基づいて、ログ生成除外条件データを生成する手段と、
前記生成されたログ生成除外条件データを、前記条件データベースに追加登録する手段と、
をさらに備えてもよい。
【0010】
また、この発明の第2の観点に係るログ取得管理方法は、
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別ステップと、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成ステップと、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除ステップと、
を備えることを特徴とする。
【発明の効果】
【0011】
効率的且つ効果的に必要なログを取得することができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態に係るログ取得管理システムについて図面を参照して説明する。
本実施形態に係るログ取得管理システム1のハードウェア構成図を図1に、機能構成図を図2に例示する。
ログ取得管理システム1は、制御部11と、記憶部12と、通信制御部13と、を備えるコンピュータから構成される。ログ取得管理システム1は、ネットワーク10を介して他のコンピュータと接続可能に構成される。ネットワーク10は、例えば、LAN、インターネット等の各種ネットワークを含む。
【0013】
制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成され、記憶部12に予め記憶された動作プログラム等を読み出して実行することにより、ログ生成部21、ログ生成除外条件解析部22、ログ解析部23、ログ生成除外条件管理部24等を論理的に実現する。
【0014】
ログ生成部21は、ログ取得対象のコンピュータシステムにおけるイベントの発生等に応答して、記憶部12のログ生成除外条件DB(データベース)31に記憶されているログ生成除外条件データに基づいて、ログを生成するかどうかを判別する。ログ生成除外条件データは、ログを生成しない条件(ルール)を示すものであり、例えば図3に示すように、条件IDと、各種項目(IPアドレス、ID、時間、実行コマンド等)と、のデータを含む。ログ生成部21は、発生したイベントがログ生成除外条件DB31に登録されているログ生成除外条件のいずれかに該当する場合にログを生成せず、また、イベントがいずれのログ生成除外条件にも該当しない場合にはイベントに対応するログを生成して、記憶部12のログDB32に記録する。
【0015】
また、ログ生成部21は、ログ生成除外条件DB31に登録されている各ログ生成除外条件データの使用回数を所定時間毎に計数する。具体的には、あるログ生成除外条件に基づいてログを生成しないと判別した場合、記憶部12の条件使用状況DB33に記憶されている各ログ生成除外条件の使用回数データのうち、当該判別に使用したログ生成除外条件に対応する使用回数データを特定し、例えばイベントに含まれている時間データに対応する使用回数の値に1だけ加算して更新する。条件使用状況DB33に記憶されている使用回数データは、例えば図4に示すように、ログ生成除外条件を特定する条件ID、使用回数等のデータから構成され、各ログ生成除外条件の使用回数を所定の時間帯毎(例えば、数時間毎、日毎、週毎等)に示す。
【0016】
ログ生成除外条件解析部22は、条件使用状況DB33を参照して、ログ生成除外条件DB31に登録されているログ生成除外条件の適正性について解析し、不適正であると判定した条件については、ログ生成除外条件管理部24にその条件ID等を削除要求とともに受け渡す。ログ生成除外条件の適正性の解析では、使用回数に著しい変化があったログ生成除外条件、即ち、使用回数の変化量が一定の基準を超えたログ生成除外条件を不適正なログ生成除外条件と判断する。具体的な判断方法は任意である。例えば、条件使用状況DB33に記憶されている使用回数データを用いて、使用回数の平均値をログ生成除外条件毎に算出し、各ログ生成除外条件について、各時間の使用回数と、先に算出した使用回数の平均値と、の差を求め、差が予め設定された閾値(例えば、100等)以下であれば適正なログ生成除外条件と判定し、その差が閾値より大きい場合には不適正なログ生成除外条件と判定してもよい。例えば、図4に示す使用回数データを例に説明すると、例えば条件ID”00002”について、時期”2004/10/10”の使用回数が”2”と設定されている。この条件ID”00002”のログ生成除外条件の使用回数の平均値が”150”であり、予め設定されている閾値が”100”である場合、時期”2004/10/10”の使用回数”2”と平均値”150”の差が、閾値”100”より大きいため、条件ID”00002”のログ生成除外条件は不適正であると判定される。
また、不適正とする条件は、上記のものに限るものではなく、条件使用状況DB33における使用回数が所定の条件を満たした場合に不適正なログ生成除外条件であるとする範囲において、任意の方法を用いることができる。
【0017】
ログ解析部23は、ログ生成部21により生成されたログをログDB32から読み出し、読み出したログを用いて、ログを構成する項目の組み合わせのうち出現度の高い組み合わせ(相関ルール)を生成し、生成日時のデータとともに記憶部12に記憶する。具体的には、記憶部12に設定されている所定の抽出ルールを用いて、ログDB32から読み出したログから、IPアドレス、ID、時間、実行コマンド等の所定項目について情報を抽出し、抽出した情報をログ解析情報として記憶部12に一時的に記憶する。抽出ルールは、各種ログにおけるIPアドレス、ID、時間、実行コマンド等の各項目の情報の位置を示すものであり、例えば、アクセスログ、ログインログ、イベントログ、アプリケーションログ等の各種ログの書式に基づいてログの種別毎に予め生成・記憶される。そして、各ログから生成されたログ解析情報について、ID、対象ファイル、実行コマンド等の各項目ごとに各データの構成比率等を算出する。なお、算出対象項目に時間を含める場合には、例えば、時間帯(XX時台)毎の構成比率を算出してもよい。そして、最も高い構成比率を有する項目を第1の項目として特定し、第1の項目について構成比率が最も高いデータ値が設定されているログ解析情報を抽出する。そして、抽出したログ解析情報について、各項目ごとに各データの構成比率等を算出し、第1の項目の次に、最も高い構成比率を有する項目を第2の項目として特定する。このような手順を繰り返すことで、第n(n=1,2,・・・)の項目を特定し、特定した項目について構成比率が最も高いデータ値を複数組み合わせることにより、相関ルールを生成する。
【0018】
例えば、図5(A)に示すようなログ解析情報が取得され、これについて図5(B)に示すような、各項目のデータの構成比率が取得された場合、最も高い構成比率(この例では、”ms_word.exe”の40%)を有する項目は”実行コマンド”であるため、これを第1の項目として特定する。そして、”実行コマンド”に、構成比率が最も高いデータ値”ms_word.exe”が設定されているログ解析情報を抽出する。ここで例えば図6(A)に示すようなログ解析情報が抽出され、これについて図6(B)に示すような、各項目のデータの構成比率が取得された場合、最も高い構成比率(この例では、”報告書.doc”の75%)を有する項目は”対象ファイル”であるため、これを第2の項目として特定する。例えば、相関ルールを第1の項目と第2の項目を組み合わせて生成する旨が設定されている場合、例えば図6(C)に示すような、”実行コマンド:ms_word.exe、対象ファイル:報告書.doc”が設定された相関ルールが生成される。
なお、組み合わせる項目数等は任意に設定可能であり、例えば、組み合わせる項目数を3(即ち、第1、第2、第3の項目の組み合わせ)としてもよい。
【0019】
また、ログ解析部23は、生成した相関ルールのうち所定の基準を満たすものを選出し、選出した相関ルールを追加要求とともにログ生成除外条件管理部24に通知する。具体的には、所定期間単位(例えば、10日単位)等で出現率が閾値(例えば、75%)を超える相関ルールを選出する。
この相関ルールの選出処理を具体的に説明する。例えば10月10日にその日までの各日に生成された相関ルールのデータが記憶部12に記憶されていることとする。この時点において、過去10日(即ち、1日〜10日)に生成された各相関ルールの出現率を算出する。例えば、ある相関ルールA”ID:user001、ファイル:、コマンド”が1日〜10日の間で7回生成されている場合、出現率は70%となり、閾値75%を下回るため選出されない。そして、翌日の10月11日に、過去10日(即ち、2日〜11日)に生成された相関ルールの出現率を算出したところ、上記の相関ルールAが8回出現している場合、出現率は80%となり、閾値75%を上回るため選出されることとなる。
【0020】
ログ生成除外条件管理部24は、ログ生成除外条件解析部22とログ解析部23から通知されるデータに基づいて、ログ生成除外条件DB31に登録されているログ生成除外条件データの更新処理を行う。具体的には、条件IDを削除要求とともにログ生成除外条件解析部22から受け取った場合、ログ生成除外条件DB31に登録されているログ生成除外条件データのうち、受け取った条件IDに対応するログ生成除外条件データを削除する。また、相関ルールを追加要求とともにログ生成除外条件解析部22から受け取った場合、受信した相関ルールに条件IDを付与し、新たなログ生成除外条件データとしてログ生成除外条件DB31に追加登録する。このとき、追加後のログ生成除外条件について必要な集約処理を行っても良い。この集約処理について具体的に説明すると、例えば、ログ取得対象のコンピュータシステムに4人のユーザが登録されていることとする。そして、図7に示すように、現状のログ生成除外条件データBに、ログ生成除外条件データCを追加したとき、追加後のログ生成除外条件データDに、ユーザ名のみが異なるログ生成除外条件データがシステムに登録されている全ユーザについて作成された場合には、それら4つのログ生成除外条件データを、”ユーザ名”については値を設定しない1つのログ生成除外条件データに集約して、新たなログ生成除外条件データEとする。これは項目”ユーザ名”に限定されず、他の項目(対象ファイル、実行コマンド等)についても同様に処理できる。
【0021】
記憶部12は、例えば、ハードディスク装置等から構成され、制御部11が実行するための動作プログラム及び処理に必要な各種データ等が記憶される。また、記憶部12は、ログ生成除外条件DB31、ログDB32、条件使用状況DB33等を備える。ログ生成除外条件DB31には、ログ生成除外条件データ(図3参照)が記憶される。ログDB32には、ログ生成部21により生成されたログが記憶される。条件使用状況DB33は、ログ生成除外条件DB31に登録されている各ログ生成除外条件データの条件IDと使用回数を示す使用回数データ(図4参照)が記憶される。
通信制御部13は、ネットワーク10を介して他のコンピュータとのデータ通信を制御する。
【0022】
次に、本実施形態に係るログ取得管理システム1のシステム動作について説明する。
まず、ログ生成除外条件DB31に登録されているログ生成除外条件に基づいてログを生成するログ生成処理について図8のフローチャートを参照して説明する。なお、制御部11は、前処理として、所定のタイミングでログ生成除外条件DB31に登録されているログ生成除外条件データを読込んでおく。この読み込みタイミングは任意であり、例えば、システム起動時とログ生成除外条件DB31の更新後等でもよい。
【0023】
制御部11は、ログ取得対象のコンピュータシステムにおいて、アクセス要求、ログイン要求、アプリケーションの起動要求等のイベントの発生に応答して、予めログ生成除外条件DB31から読み込んだログ生成除外条件データを参照し、発生したイベントがログ生成除外条件のいずれかに該当するか否かを判別する(ステップS1)。
ステップS1において、イベントがログ生成除外条件のいずれにも該当しないと判別した場合(ステップS1:NO)、制御部11は、イベントに対応するログを生成してログDB32に記憶して(ステップS2)、本処理を終了する。
また、ステップS1において、イベントがログ生成除外条件のいずれかに該当すると判別した場合(ステップS1:YES)、ログは生成せず、ステップS1の判別に使用されたログ生成除外条件(イベントが該当すると判別されたログ生成除外条件)の条件IDを特定し、条件使用状況DB33において、先に特定した条件IDに対応する使用回数の値に1だけ加算して(ステップS3)、本処理を終了する。
【0024】
次に、ログ生成除外条件DB31に登録されているログ生成除外条件データについて適正性を判定し、不適正なログ生成除外条件を検出して削除するログ生成除外条件削除処理について図9のフローチャートを参照して説明する。なお本処理は例えば、所定時間毎(例えば、1日毎等)に実行される。
【0025】
制御部11は、条件使用状況DB33から使用回数データを読み込み(ステップS11)、読み込んだデータに基づいて、各ログ生成除外条件の適正性を解析する処理を行う(ステップS12)。具体的には、各ログ生成除外条件データについて、使用回数に著しい変化があるかについて解析する。例えば、使用回数の平均値をログ生成除外条件毎に算出し、各ログ生成除外条件について、各時間の使用回数と、先に算出した使用回数の平均値と、の差を求め、差が予め設定された閾値(例えば、100等)以下であれば適正なログ生成除外条件と判定し、その差が閾値より大きい場合には不適正なログ生成除外条件と判定し、各ログ生成除外条件についての判定結果を記憶部12に記憶する。
【0026】
全てのログ生成除外条件について解析が終了すると、不適正と判定されたログ生成除外条件が存在するかを判別し(ステップS13)、存在する場合には(ステップS13:YES)、その条件IDに対応するログ生成除外条件データをログ生成除外条件DB31から削除する(ステップS14)。不適正と判定されたログ生成除外条件が存在しない場合(ステップS13:NO)、そのまま本処理を終了する。
これにより、不適正となったログ生成除外条件についてはログ生成除外条件DB31から削除することができる。
【0027】
次に、生成されたログに基づいて新たに追加すべきログ生成除外条件を検出し、ログ生成除外条件DB31に追加登録するログ生成除外条件追加処理について図10を参照して説明する。なお本処理は例えば、所定時間毎(例えば、1日毎等)に実行される。
【0028】
制御部11は、ログDB32に記憶されているログを読み込み(ステップS21)、読み込んだログを解析して、ログを構成する項目の組み合わせのうち出現度の高い組み合わせである相関ルールを生成し、生成日時とともに記憶部12に記憶する(ステップS22)。
次に、制御部11は、例えば10日等の所定期間等において生成された各相関ルールの出現率を算出し(ステップS23)、算出された出現率が閾値を超える相関ルールが存在するかを判別する(ステップS24)。
出現率が閾値を超える相関ルールが存在する場合(ステップS24:YES)、該当する相関ルールに条件IDを付与する等してログ生成除外条件データを生成し、ログ生成除外条件DB31に追加登録する(ステップS25)。
また、出現率が閾値を超える相関ルールが存在しない場合(ステップS24:NO)、そのまま本処理を終了する。
これにより、頻繁に出現するログを取得対象から除外し、ログ取得の効率を高めることができる。
【0029】
以上説明したように、本発明によれば、ログ生成に関する条件(ログ生成除外条件)に基づいてログを取得するシステムにおいて、生成されたログに基づいて新たなログ生成除外条件を追加登録し、また、設定したログ生成除外条件について適正性を判定し、不適正と判定したものについては、登録から削除することにより、適正なログ生成除外条件を保持することができるため、効率的に効果的に必要なログを取得することができる。
【0030】
なお、本発明は種々の変形や応用が適用可能である。
例えば、相関ルールの生成処理において、Aprioriアルゴリズム等の既存の手法を用いてもよい。
また、上記実施形態では、ログ取得管理システムを1台のコンピュータにより実現した場合について説明しているが、システム構成はこれに限定されず、例えば、ログ生成部21を一のコンピュータで実現し、ログ生成除外条件解析部22とログ解析部23とログ生成除外条件管理部24を他のコンピュータで実現し、これらのコンピュータをネットワークにより接続する構成としてもよい。この場合、各DB31、32、33は、いずれのコンピュータに設けても良い。
【0031】
なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、ログ取得管理システム1を構成してもよい。また、インターネット等のネットワーク10上のサーバ装置が有するディスク装置に格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。
【図面の簡単な説明】
【0032】
【図1】本発明の実施形態に係るログ取得管理システムのハードウェア構成を例示する図である。
【図2】図1のログ取得管理システムの機能構成を例示する図である。
【図3】ログ生成除外条件データのデータ構造の一例を示す図である。
【図4】使用回数データのデータ構造の一例を示す図である。
【図5】相関ルールの生成処理を具体的に説明するための図である。
【図6】相関ルールの生成処理を具体的に説明するための図である。
【図7】ログ生成除外条件の集約処理を説明するための図である。
【図8】ログ生成処理を説明するためのフローチャートである。
【図9】ログ生成除外条件削除処理を説明するためのフローチャートである。
【図10】ログ生成除外条件追加処理を説明するためのフローチャートである。
【符号の説明】
【0033】
1 ログ取得管理システム
10 ネットワーク
11 制御部
12 記憶部
13 通信制御部
21 ログ生成部
22 ログ生成除外条件解析部
23 ログ解析部
24 ログ生成除外条件管理部
31 ログ生成除外条件DB
32 ログDB
33 条件使用状況DB
【特許請求の範囲】
【請求項1】
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備えることを特徴とするログ取得管理システム。
【請求項2】
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データが所定の条件を満たすログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とする請求項1に記載のログ取得管理システム。
【請求項3】
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが所定時間毎に記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データに基づいて、使用回数の変化量が所定の基準を超えるログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とする請求項1又は2に記載のログ取得管理システム。
【請求項4】
前記ログデータベースに記憶されているログについて、ログを構成する項目のうち出現度の高いデータ値を有する項目の組み合わせを特定する手段と、
前記特定した項目の組み合わせに基づいて、ログ生成除外条件データを生成する手段と、
前記生成されたログ生成除外条件データを、前記条件データベースに追加登録する手段と、
をさらに備えることを特徴とする請求項1乃至3のいずれか1項に記載のログ取得管理システム。
【請求項5】
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別ステップと、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成ステップと、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除ステップと、
を備えることを特徴とするログ取得管理方法。
【請求項1】
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別手段と、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成手段と、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除手段と、
を備えることを特徴とするログ取得管理システム。
【請求項2】
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データが所定の条件を満たすログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とする請求項1に記載のログ取得管理システム。
【請求項3】
前記判別手段により前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、各ログ生成除外条件データの使用回数データが所定時間毎に記憶されている使用状況データベースにおいて、前記イベントが該当すると判別されたログ生成除外条件データの使用回数データの値を更新する手段をさらに備え、
前記条件削除手段は、前記使用状況データベースに記憶されている各ログ生成除外条件データの使用回数データに基づいて、使用回数の変化量が所定の基準を超えるログ生成除外条件データを検出し、当該検出したログ生成除外条件データを不適正なログ生成除外条件と判定する、
ことを特徴とする請求項1又は2に記載のログ取得管理システム。
【請求項4】
前記ログデータベースに記憶されているログについて、ログを構成する項目のうち出現度の高いデータ値を有する項目の組み合わせを特定する手段と、
前記特定した項目の組み合わせに基づいて、ログ生成除外条件データを生成する手段と、
前記生成されたログ生成除外条件データを、前記条件データベースに追加登録する手段と、
をさらに備えることを特徴とする請求項1乃至3のいずれか1項に記載のログ取得管理システム。
【請求項5】
イベントの発生に応答して、当該イベントが、条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する判別ステップと、
前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、当該イベントに対応するログを生成せず、前記イベントが前記条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、当該イベントに対応するログを生成してログデータベースに記憶するログ生成ステップと、
前記条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削除する条件削除ステップと、
を備えることを特徴とするログ取得管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2006−163931(P2006−163931A)
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願番号】特願2004−355626(P2004−355626)
【出願日】平成16年12月8日(2004.12.8)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願日】平成16年12月8日(2004.12.8)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]