大規模ネットワークシステムにおけるログ収集方法
【課題】大規模ネットワークシステムにおいて、不測の事態が発生しても、アクセスログの消失や漏洩を防止し得るセキュリティ監視のためのログ収集方法を提供する。
【解決手段】各ネットワーク機器(1−1、1−2、・・・、1−N)とログサーバ(2)間をSSH(暗号通信方式)で接続し、各ネットワーク機器より出力されるアクセスログ情報をリアルタイムでログサーバに送信し、アクセスログデータベース(3)に、各ネットワーク機器の記憶領域(4−1,4−4、・・・、4−N)毎に、格納する。
【解決手段】各ネットワーク機器(1−1、1−2、・・・、1−N)とログサーバ(2)間をSSH(暗号通信方式)で接続し、各ネットワーク機器より出力されるアクセスログ情報をリアルタイムでログサーバに送信し、アクセスログデータベース(3)に、各ネットワーク機器の記憶領域(4−1,4−4、・・・、4−N)毎に、格納する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、大規模ネットワークシステムにおけるセキュリティ監視のためのログ収集方法に関する。
【背景技術】
【0002】
ネットワークシステムにおけるセキュリティの監視方法として、アクセスログの解析、つまりシステムの利用状況や稼動状況などを記録したログの解析を行うことが一般的であり、そのためにアクセスログを収集することが不可欠である。
【0003】
従来方式では、アクセスログは各ネットワーク機器のメモリまたはディスク領域に保存され、これを随時取り出して解析を行う。例えば図4に示すように、ブロードバンド用のル−タ等のネットワーク機器10A内のフラッシュROM11Aにアクセスログを保存している。
【0004】
つまり、機器上で収集されたアクセスログは各機器上に保存される為、基本的に機器の利用者しかそれを取り出すことができず、必然的にログ管理/解析も利用者が行うことになる。
【0005】
しかしながら、大規模ネットワークシステムに関しては、これらのログを個別管理/解析することはセキュリティ上好ましくない為、一元管理/解析を行う必要がある。
【0006】
ところで、コンピュータごとに記録されるアクセスログの適切な監視を支援するために、各監視装置でログ編集部がアクセスログを同一の形式に編集し、ログ送信部が編集された統一ログを統合監視装置に送信し、統合監視装置では、ログ収集部が各監視装置から送信された統一ログを受信してログ情報蓄積部に蓄積し、経路分析部が、ログ蓄積部から統一ログを読み出して、経路を分析するとともに、分析結果を統合ログとして生成するアクセスログの監視支援方法が開示されている(例えば特許文献1参照)
【特許文献1】特開2002−082849号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記した従来方式のように、特定のタイミングでログを取り出す方法では、リアルタイムのアクセスログ収集が行えない。特に揮発性メモリにアクセスログを保存する機器の場合、不足の事態による機器ダウンによりアクセスログが消失する可能性がある。メモリ容量を超える大量のアクセスログが蓄積された場合、過去のアクセスログが消去される場合も考えられる。
【0008】
また、アクセスログにはネットワークの接続経路等重要な情報が含まれる場合があり、これらを各機器内に保存しておくことはセキュリティ面で望ましくない。また、上記特許文献1に記載のアクセスログ監視支援方法では、特別に統一ログを蓄積する統合監視装置を、備えるものの、各監視装置にもログ蓄積部を備えるので、やはりセキュリティ面で望ましくない。
【0009】
この発明は、上記問題点に着目してなされたものであって、不測の事態が発生しても、アクセスログの消失や漏洩を防止し得るセキュリティ監視のためのログ収集方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
この発明の、大規模ネットワークシステムにおけるセキュリティ監視のためのログ収集方法は、各ネットワーク機器とアクセスログ収集サーバ間をSSH(暗号通信方式)で接続し、各機器より出力されるアクセスログ情報をリアルタイムでアクセスログ収集サーバに送信し、データベース記憶手段に格納してデータベース化することにより、大規模ネットワークにおけるアクセスログ収集を一元化することを特徴とする。
【0011】
この発明において、データベース記憶手段への、アクセスログ情報の格納は、ネットワーク機器毎に行うことが望ましい。
【発明の効果】
【0012】
この発明によれば、アクセスログ収集サーバにアクセスログ情報を収集してデータベースを一元化するので、各機器にアクセスログを残さないため、機器ダウン、容量オーバなどの不測の事態によるアクセスログの消失や漏洩を防ぐことができる。
【0013】
特に、SSH方式で通信し、ログは暗号化して送られるので、ログサーバで一元管理されるため、漏洩の可能性が低い。
【発明を実施するための最良の形態】
【0014】
以下、実施の形態により、この発明をさらに詳細に説明する。図1は、この発明の一実施形態である大規模ネットワークシステムの概略機器構成を示すブロック図である。図1において、1−1,1−2、・・・、1−Nは、ネットワークに組み込まれるネットワーク機器であって、例えば、インターネット接続用のブロードバンド用ルータ、利用者のPC(パーソナルコンピュータ)などである。2は、アクセスログ収集用のログサーバである。ネットワークに組み込まれた複数のネットワーク機器1−1,1−2、・・・、1−Nとログサーバ2とは、SSH通信方式で接続され、各ネットワーク機器1−1,1−2、・・・、1−Nより出力されるアクセスログ情報をリアルタイムで、ログサーバ2に送信し、ログサーバ2より、アクセスログデータベース3にアクセスログ情報を格納し、テ゛ータベース化する。
【0015】
ここで、各ネットワーク機器1−1,1−2、・・・、1−Nとログサーバ2間を接続するSSH通信方式は,SSH(Secure Shell)を用いて、暗号化されたログデータの転送を行う。このSSHは、共通鍵暗号方式と公開鍵暗号方式の暗号化方式を用いてデータの暗号化/復号化を行っているため、第三者が盗聴しても、復号化できない。
【0016】
一般に、暗号化は、暗号鍵を用い解読不可能な情報(暗号文)に変換するものであり、これに対し、暗号化された情報をもとの情報に復元することを復号化という。暗号化に際し、暗号化と復号化で同じ鍵(キー)を使う共通鍵暗号方式と、別の鍵を使う公開鍵方式がある。
【0017】
アクセスログは、システムの運用状況の把握や復旧、不正なアクセスの解明などに利用される記録であり、ここでは、アクセスログデータベース3で、アクセスログ収集を一元化するとともに、各ネットワーク機器1−1,1−2、・・・、1−Nにアクセスログを残さないため、不測の事態によるアクセスログの消失や漏洩を防止することができる。
【0018】
アクセスロデータベース3は、図2に示すように、各ネットワーク機器用のデータベース記憶領域4−1,4−2、・・・、4−Nを備えている。このデータベース記憶領域4−1,4−2、・・・、4−Nのそれぞれに、接続者IPアドレス、接続開始/終了時間、接続先IPアドレス/ポート等を、アクセスログ情報として記憶している。
【0019】
次に、この実施形態大規模ネットワークシステムにおけるアクセスログ情報の収集処理動作を図3に示すフロー図を参照して説明する。図3の(a)は、ネットワーク機器1−iの処理動作を示すフロー図、図3の(b)は、ログサーバ2の処理動作を示すフロー図である。
【0020】
ネットワーク1−iが起動すると、ネットワーク機器1−iは、図3の(a)のステップST1に示すように、ログサーバ2に対し,SSH接続のため、送信を行う。ログサーバ2はステップST11において、ネットワーク機器1−iからのSSHによる暗号化されたログデータの転送を受けて、所定のネットワーク機器1−iの接続確認を行う。登録されたネットワーク機器1−iからのログサーバ接続のための送信であると、そのことを確認した旨の回答をネットワーク機器1−iに返送する。ここでの、SSH接続がなされると、以後、そのネットワーク機器1−iとログサーバ2は永続的にSSH接続される。
【0021】
ネットワーク機器1−iにおいては、ステップST2において、ログサーバ2との接続がOKであるか否か判定する。ここで、ログサーバ2から、ネットワーク機器1−iからの送信に対し、認証OKの返答があった場合には、ステップST2の判定YESで、次のステップST3へ移行する。
【0022】
ステップST3においては、ネットワーク機器1−iにおいて、アクセスログが発生すると、次のステップST4へ移行する。ステップST4においては、このタイミングで、ログサーバ2に対し、アクセスログ情報を送信する。
【0023】
ログサーバ2においては、ステップST12において、ネットワーク機器1−iからのアクセスログ情報を受信する。次に、ステップST13へ移行する。ステップST13においては、フィルタ処理、つまり、送信されて来たアクセスログ情報から必要なログ情報のみを取得する。続いて、ステップST14においては、フィルタ処理されたアクセスログ情報をアクセスログデータベース3のネットワーク機器1−iの記憶領域4−iに格納しログデータベース化処理を行う。
【0024】
以後、ネットワーク機器1−iにおいて、ステップST3におけるアクセスログが発生する度に、ログサーバ2に対し、ステップST4のログ送信処理を実行し、これを受けて、ログサーバ2では、ステップST12におけるログ受信処理、ステップST13におけるフィルタ処理、ステップST14におけるログデータベース化処理を繰り返す。
【0025】
他のネットワーク機器においても、機器の起動、及びアクセスログが発生した場合、ログサーバ2との間で、上記ネットワーク機器1−iとログサーバ2との間の処理と同様の処理を行う。
【0026】
この実施形態ネットワークシステムでは、各ネットワーク機器のアクセスログがログサーバで一括処理され、ログデータベースに一元的に収集されるので、アクセス管理が容易である。また、各ネットワーク機器でアクセスログ発生毎に、リアルタイムで送信されるため機器ダウン、容量オーバによるログ消失での恐れがない。
【0027】
また、各ネットワーク機器から、ログサーバに、暗号化して送られ、ログサーバに暗号化して送られ、サーバで一元管理されるため漏洩の可能性が低い。
【図面の簡単な説明】
【0028】
【図1】この発明の一実施形態である大規模ネットワークシステムの概略機器構成を示すブロック図である。
【図2】同実施形態大規模ネットワークシステムのアクセスログデータベースの格納データを説明する図である。
【図3】同実施形態大規模ネットワークシステムのネットワーク機器とログサーバ間における、アクセスログ情報の収集処理を説明するためのフロー図である。
【図4】従来のアクセスログ収集を説明する図である。
【符号の説明】
【0029】
1−1,1−2、・・・、1−N ネットワーク機器
2 ログサーバ
3 アクセスログデータベース
4−1,4−2、・・・、4−N 各ネットワーク機器のデータベース記憶領域
【技術分野】
【0001】
この発明は、大規模ネットワークシステムにおけるセキュリティ監視のためのログ収集方法に関する。
【背景技術】
【0002】
ネットワークシステムにおけるセキュリティの監視方法として、アクセスログの解析、つまりシステムの利用状況や稼動状況などを記録したログの解析を行うことが一般的であり、そのためにアクセスログを収集することが不可欠である。
【0003】
従来方式では、アクセスログは各ネットワーク機器のメモリまたはディスク領域に保存され、これを随時取り出して解析を行う。例えば図4に示すように、ブロードバンド用のル−タ等のネットワーク機器10A内のフラッシュROM11Aにアクセスログを保存している。
【0004】
つまり、機器上で収集されたアクセスログは各機器上に保存される為、基本的に機器の利用者しかそれを取り出すことができず、必然的にログ管理/解析も利用者が行うことになる。
【0005】
しかしながら、大規模ネットワークシステムに関しては、これらのログを個別管理/解析することはセキュリティ上好ましくない為、一元管理/解析を行う必要がある。
【0006】
ところで、コンピュータごとに記録されるアクセスログの適切な監視を支援するために、各監視装置でログ編集部がアクセスログを同一の形式に編集し、ログ送信部が編集された統一ログを統合監視装置に送信し、統合監視装置では、ログ収集部が各監視装置から送信された統一ログを受信してログ情報蓄積部に蓄積し、経路分析部が、ログ蓄積部から統一ログを読み出して、経路を分析するとともに、分析結果を統合ログとして生成するアクセスログの監視支援方法が開示されている(例えば特許文献1参照)
【特許文献1】特開2002−082849号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記した従来方式のように、特定のタイミングでログを取り出す方法では、リアルタイムのアクセスログ収集が行えない。特に揮発性メモリにアクセスログを保存する機器の場合、不足の事態による機器ダウンによりアクセスログが消失する可能性がある。メモリ容量を超える大量のアクセスログが蓄積された場合、過去のアクセスログが消去される場合も考えられる。
【0008】
また、アクセスログにはネットワークの接続経路等重要な情報が含まれる場合があり、これらを各機器内に保存しておくことはセキュリティ面で望ましくない。また、上記特許文献1に記載のアクセスログ監視支援方法では、特別に統一ログを蓄積する統合監視装置を、備えるものの、各監視装置にもログ蓄積部を備えるので、やはりセキュリティ面で望ましくない。
【0009】
この発明は、上記問題点に着目してなされたものであって、不測の事態が発生しても、アクセスログの消失や漏洩を防止し得るセキュリティ監視のためのログ収集方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
この発明の、大規模ネットワークシステムにおけるセキュリティ監視のためのログ収集方法は、各ネットワーク機器とアクセスログ収集サーバ間をSSH(暗号通信方式)で接続し、各機器より出力されるアクセスログ情報をリアルタイムでアクセスログ収集サーバに送信し、データベース記憶手段に格納してデータベース化することにより、大規模ネットワークにおけるアクセスログ収集を一元化することを特徴とする。
【0011】
この発明において、データベース記憶手段への、アクセスログ情報の格納は、ネットワーク機器毎に行うことが望ましい。
【発明の効果】
【0012】
この発明によれば、アクセスログ収集サーバにアクセスログ情報を収集してデータベースを一元化するので、各機器にアクセスログを残さないため、機器ダウン、容量オーバなどの不測の事態によるアクセスログの消失や漏洩を防ぐことができる。
【0013】
特に、SSH方式で通信し、ログは暗号化して送られるので、ログサーバで一元管理されるため、漏洩の可能性が低い。
【発明を実施するための最良の形態】
【0014】
以下、実施の形態により、この発明をさらに詳細に説明する。図1は、この発明の一実施形態である大規模ネットワークシステムの概略機器構成を示すブロック図である。図1において、1−1,1−2、・・・、1−Nは、ネットワークに組み込まれるネットワーク機器であって、例えば、インターネット接続用のブロードバンド用ルータ、利用者のPC(パーソナルコンピュータ)などである。2は、アクセスログ収集用のログサーバである。ネットワークに組み込まれた複数のネットワーク機器1−1,1−2、・・・、1−Nとログサーバ2とは、SSH通信方式で接続され、各ネットワーク機器1−1,1−2、・・・、1−Nより出力されるアクセスログ情報をリアルタイムで、ログサーバ2に送信し、ログサーバ2より、アクセスログデータベース3にアクセスログ情報を格納し、テ゛ータベース化する。
【0015】
ここで、各ネットワーク機器1−1,1−2、・・・、1−Nとログサーバ2間を接続するSSH通信方式は,SSH(Secure Shell)を用いて、暗号化されたログデータの転送を行う。このSSHは、共通鍵暗号方式と公開鍵暗号方式の暗号化方式を用いてデータの暗号化/復号化を行っているため、第三者が盗聴しても、復号化できない。
【0016】
一般に、暗号化は、暗号鍵を用い解読不可能な情報(暗号文)に変換するものであり、これに対し、暗号化された情報をもとの情報に復元することを復号化という。暗号化に際し、暗号化と復号化で同じ鍵(キー)を使う共通鍵暗号方式と、別の鍵を使う公開鍵方式がある。
【0017】
アクセスログは、システムの運用状況の把握や復旧、不正なアクセスの解明などに利用される記録であり、ここでは、アクセスログデータベース3で、アクセスログ収集を一元化するとともに、各ネットワーク機器1−1,1−2、・・・、1−Nにアクセスログを残さないため、不測の事態によるアクセスログの消失や漏洩を防止することができる。
【0018】
アクセスロデータベース3は、図2に示すように、各ネットワーク機器用のデータベース記憶領域4−1,4−2、・・・、4−Nを備えている。このデータベース記憶領域4−1,4−2、・・・、4−Nのそれぞれに、接続者IPアドレス、接続開始/終了時間、接続先IPアドレス/ポート等を、アクセスログ情報として記憶している。
【0019】
次に、この実施形態大規模ネットワークシステムにおけるアクセスログ情報の収集処理動作を図3に示すフロー図を参照して説明する。図3の(a)は、ネットワーク機器1−iの処理動作を示すフロー図、図3の(b)は、ログサーバ2の処理動作を示すフロー図である。
【0020】
ネットワーク1−iが起動すると、ネットワーク機器1−iは、図3の(a)のステップST1に示すように、ログサーバ2に対し,SSH接続のため、送信を行う。ログサーバ2はステップST11において、ネットワーク機器1−iからのSSHによる暗号化されたログデータの転送を受けて、所定のネットワーク機器1−iの接続確認を行う。登録されたネットワーク機器1−iからのログサーバ接続のための送信であると、そのことを確認した旨の回答をネットワーク機器1−iに返送する。ここでの、SSH接続がなされると、以後、そのネットワーク機器1−iとログサーバ2は永続的にSSH接続される。
【0021】
ネットワーク機器1−iにおいては、ステップST2において、ログサーバ2との接続がOKであるか否か判定する。ここで、ログサーバ2から、ネットワーク機器1−iからの送信に対し、認証OKの返答があった場合には、ステップST2の判定YESで、次のステップST3へ移行する。
【0022】
ステップST3においては、ネットワーク機器1−iにおいて、アクセスログが発生すると、次のステップST4へ移行する。ステップST4においては、このタイミングで、ログサーバ2に対し、アクセスログ情報を送信する。
【0023】
ログサーバ2においては、ステップST12において、ネットワーク機器1−iからのアクセスログ情報を受信する。次に、ステップST13へ移行する。ステップST13においては、フィルタ処理、つまり、送信されて来たアクセスログ情報から必要なログ情報のみを取得する。続いて、ステップST14においては、フィルタ処理されたアクセスログ情報をアクセスログデータベース3のネットワーク機器1−iの記憶領域4−iに格納しログデータベース化処理を行う。
【0024】
以後、ネットワーク機器1−iにおいて、ステップST3におけるアクセスログが発生する度に、ログサーバ2に対し、ステップST4のログ送信処理を実行し、これを受けて、ログサーバ2では、ステップST12におけるログ受信処理、ステップST13におけるフィルタ処理、ステップST14におけるログデータベース化処理を繰り返す。
【0025】
他のネットワーク機器においても、機器の起動、及びアクセスログが発生した場合、ログサーバ2との間で、上記ネットワーク機器1−iとログサーバ2との間の処理と同様の処理を行う。
【0026】
この実施形態ネットワークシステムでは、各ネットワーク機器のアクセスログがログサーバで一括処理され、ログデータベースに一元的に収集されるので、アクセス管理が容易である。また、各ネットワーク機器でアクセスログ発生毎に、リアルタイムで送信されるため機器ダウン、容量オーバによるログ消失での恐れがない。
【0027】
また、各ネットワーク機器から、ログサーバに、暗号化して送られ、ログサーバに暗号化して送られ、サーバで一元管理されるため漏洩の可能性が低い。
【図面の簡単な説明】
【0028】
【図1】この発明の一実施形態である大規模ネットワークシステムの概略機器構成を示すブロック図である。
【図2】同実施形態大規模ネットワークシステムのアクセスログデータベースの格納データを説明する図である。
【図3】同実施形態大規模ネットワークシステムのネットワーク機器とログサーバ間における、アクセスログ情報の収集処理を説明するためのフロー図である。
【図4】従来のアクセスログ収集を説明する図である。
【符号の説明】
【0029】
1−1,1−2、・・・、1−N ネットワーク機器
2 ログサーバ
3 アクセスログデータベース
4−1,4−2、・・・、4−N 各ネットワーク機器のデータベース記憶領域
【特許請求の範囲】
【請求項1】
ネットワークを構成する各ネットワーク機器とアクセスログ収集サーバ間をSSH(暗号通信方式)で接続し、各ネットワーク機器より出力されるアクセスログ情報をリアルタイムでアクセスログ収集サーバに送信し、データベース用記憶手段に格納することを特徴とする大規模ネットワークシステムのログ収集方法。
【請求項2】
前記データベース用記憶手段は、前記ネットワーク機器毎に、アクセスログ情報を格納するものであることを特徴とする請求項1記載の大規模ネットワークシステムのログ収集方法。
【請求項1】
ネットワークを構成する各ネットワーク機器とアクセスログ収集サーバ間をSSH(暗号通信方式)で接続し、各ネットワーク機器より出力されるアクセスログ情報をリアルタイムでアクセスログ収集サーバに送信し、データベース用記憶手段に格納することを特徴とする大規模ネットワークシステムのログ収集方法。
【請求項2】
前記データベース用記憶手段は、前記ネットワーク機器毎に、アクセスログ情報を格納するものであることを特徴とする請求項1記載の大規模ネットワークシステムのログ収集方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2007−241850(P2007−241850A)
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願番号】特願2006−65939(P2006−65939)
【出願日】平成18年3月10日(2006.3.10)
【出願人】(597060438)株式会社ネットイン京都 (4)
【Fターム(参考)】
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願日】平成18年3月10日(2006.3.10)
【出願人】(597060438)株式会社ネットイン京都 (4)
【Fターム(参考)】
[ Back to top ]