図面 (/)

技術 コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。

出願人 株式会社網屋
発明者 伊藤整一久鍋由之石崎利和
出願日 2015年9月4日 (3年10ヶ月経過) 出願番号 2015-187392
公開日 2017年3月9日 (2年4ヶ月経過) 公開番号 2017-049962
状態 特許登録済
技術分野 デバッグ/監視
主要キーワード イベントログデータ 稼動回数 ログパターン 申請期間 サーバα 処理ポインタ 改善提案 データ翻訳
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年3月9日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (11)

課題

コンピュータを使用し仕事をする事が常識となり、虚偽の記録の入力、経理関係の記録を改ざん、企業秘密情報を不正に入手等の犯罪抑止の為の監視監査、追跡。

解決手段

コンピュータが出力するイベントログ監査ログシステムログ等を解読解析し人間が理解できる自然言語翻訳し何時、誰がどのような事を行ったか、何時でもすぐに解る様にする。

概要

背景

コンピュータ装置にはそのコンピュータ装置上で稼動するOSを含めた全てのソフトウェアの動作をログファイルとして記録する機能を有するが、OS内部の挙動が全て記録され情報量が膨大で複雑になるため、人間が読解するのに困難な内容となっている。

一方で、個人情報保護遵守の為のモニターリングや、情報が不正に持ち出されるなどの情報漏えいした時の原因調査などを速やかに行えるようにする必要が有る。

様々なコンピュータの動作を記録するログはOSやその上で稼動するソフトウェアによって出力されるが上記[0002]で記した様に情報量が膨大で複雑かつ人間が読解するのに困難な為、ログファイルの解析翻訳といった技術が必要とされる。

蓄積されたログファイルを解析し改善点を発見し、最適化を図る為の改善情報が必要とされる。具体的には、アクセス権が有るにも関わらずアクセスしないファイル、誰もアクセスする事のないファイル、アクセスが集中するサーバなどの情報の可視化過去情報からの統計分析といった技術が必要とされる。

特許文献1から4に示したような先行技術は有るが、これらの技術では必要なログを判断し間引く事によって通信上のトラフィックを軽減する事は可能で有るが、ログを更に解析し誰でもが、何時何をどのように誰が操作したかを簡単に理解できるようにする事は不可能である。これでは、コンピュータが出力するログファイルが持つ情報の効率的利用ができ無い。
本技術は、コンピュータログデータを解析し、その内容を人間が理解できる自然言語に翻訳し、今後の技術や運用の改善に利用できるようにすると言った特徴がある。

概要

コンピュータを使用し仕事をする事が常識となり、虚偽の記録の入力、経理関係の記録を改ざん、企業秘密情報を不正に入手等の犯罪抑止の為の監視監査、追跡。 コンピュータが出力するイベントログ監査ログシステムログ等を解読、解析し人間が理解できる自然言語に翻訳し何時、誰がどのような事を行ったか、何時でもすぐに解る様にする。

目的

しかし、監視、監査体制強化し誰でもが、何時誰が何をしたかが解るシステムを導入する事によって、リスク管理システムを充実させ、この様な犯罪の抑止と言った事が行えるコンピュータ装置から出力される動作記録を解析し自然言語に翻訳し、ログを解析する事により、その動作内容分析し、分析した内容から改善点を発見し最適化を図る技術が必要とされ、アクセス権が有るにも関わらずアクセスしないファイルのアクセス権を無くしたり、誰もアクセスする事のないファイルを削除したり、アクセスが集中するサーバの負荷分散を行い、パフォーマンスの改善、セキュリティコントロールの見直し、過去情報の蓄積と分析に対する支援情報を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

対象となるコンピュータ装置群が出力する収集ログ情報を読み取り、読み取った収集ログ情報を時系列解析する為に、収集ログ情報から日時、ユーザ、サーバ、対象、詳細を抽出し翻訳に必要な制御情報を付加し、メモリ内ログ情報テーブルに配置する機能を有するマッピング処理装置。

請求項2

前記メモリ内のログ情報テーブルに配置されたログ情報からユーザ、サーバ、対象を前記ログ情報テーブルとは別のメモリ領域上にサマリとして展開し、展開したサマリを使用し、ログ情報の複数行に渡る同一ユーザ同一サーバ同一対象の行を一意集合とし、この集合とルールマスタとを突合せ、ルールマスタにマッチングした場合、ルールマスタに定義されているコンピュータ動作の集約変換ルールに従い人間が見て解りやすい操作に翻訳する機能を有するパス処理装置

請求項3

前記パス1装置により翻訳されたログ情報テーブルから操作記録の日時を使用し、一定時間内に発生した操作記録を判断し、一定時間内にある同一動作をカウントし取りまとめ、複数行になる操作記録を1行の操作記録に変換し有用な操作記録だけを選別する機能を有するパス2処理装置、およびパス2処理装置により、選別したログ情報テーブルを時系列に走査して、同一ユーザ、同一サーバ、同一対象の行について、特定の操作の前後一定時間内に発生した操作に対してプライオリティを付け、プライオリティが低い操作を選別し特定の操作に吸収圧縮させる機能を有するパス3処理装置。

請求項4

前記パス3処理装置により翻訳されたログ情報テーブルから自然言語に翻訳する為の情報を抜き出し辞書マスタに照らし合わせ機械が出力した情報を自然言語に翻訳したレポートを提供し、自然言語話者なら誰でもが理解可能にする事ができ、レポートフォーマットを予め設定する事により自動的に定型フォーマットに沿った人間が読めるシステム監査証跡勤怠管理日報週報等に利用可能なレポートが自動作成され、どの様な機械が出力するデータでも自然言語に変換が可能とする機能を有するパス4処理装置。

請求項5

ログ情報テーブルに出力されたユーザ、対象、操作が電子承認ワークフローシステムにより出力されるアクセスコントロールリストに定義された権限の内容と合致しているかを検査し、検査内容合格していた場合は権限の正当性の証明を行い、検査内容が不合格の場合は権限違反として警告を出力するパス5処理装置、およびアクセスコントロールリストに定義された権限ユーザが、対象ファイル申請期間内に操作を行っていなかった場合、このユーザの権限有効性の警告を行う機能を有するパス6処理装置。

請求項6

前記パス2装置により翻訳されたログ情報テーブルを入力として、サーバ、対象単位に人間が操作した回数から負荷分散の為の情報を提供する機能を有するパス7処理装置。

技術分野

0001

本発明は、ユーザがコンピュータ装置を操作する際、出力されるログ情報解析翻訳し、対象となるコンピュータ装置に対する操作や動作記録を平易な自然言語に翻訳したレポートを出力し、改善点を助言する技術装置に関するものである。

背景技術

0002

コンピュータ装置にはそのコンピュータ装置上で稼動するOSを含めた全てのソフトウェアの動作をログファイルとして記録する機能を有するが、OS内部の挙動が全て記録され情報量が膨大で複雑になるため、人間が読解するのに困難な内容となっている。

0003

一方で、個人情報保護遵守の為のモニターリングや、情報が不正に持ち出されるなどの情報漏えいした時の原因調査などを速やかに行えるようにする必要が有る。

0004

様々なコンピュータの動作を記録するログはOSやその上で稼動するソフトウェアによって出力されるが上記[0002]で記した様に情報量が膨大で複雑かつ人間が読解するのに困難な為、ログファイルの解析・翻訳といった技術が必要とされる。

0005

蓄積されたログファイルを解析し改善点を発見し、最適化を図る為の改善情報が必要とされる。具体的には、アクセス権が有るにも関わらずアクセスしないファイル、誰もアクセスする事のないファイル、アクセスが集中するサーバなどの情報の可視化過去情報からの統計分析といった技術が必要とされる。

0006

特許文献1から4に示したような先行技術は有るが、これらの技術では必要なログを判断し間引く事によって通信上のトラフィックを軽減する事は可能で有るが、ログを更に解析し誰でもが、何時何をどのように誰が操作したかを簡単に理解できるようにする事は不可能である。これでは、コンピュータが出力するログファイルが持つ情報の効率的利用ができ無い。
本技術は、コンピュータログデータを解析し、その内容を人間が理解できる自然言語に翻訳し、今後の技術や運用の改善に利用できるようにすると言った特徴がある。

先行技術

0007

特開2011−191823号公報特開2011−113443号公報特開2005−227846号公報特開2014−16758号公報

発明が解決しようとする課題

0008

近年、コンピュータシステムに関わる事件事故に対して、どのような操作が行われていたかを、インシデント管理セキュリティ管理の観点、更に今後発達するIoT(Internet of Things)の観点から″モノ″同士がコミュニケーションをするための情報分析を効率的かつ正確に行う必要性が増している。
しかしながら、コンピュータシステムやパソコン類スマートフォンタブレットウェアラブル)、機械類産業機器一般機器、乗り物)、その他のモノ(家電家具建築物)がIoTとして接続されるが、これらの機器類が出力するログ情報のままでは、機械的に時間軸に沿ってあらゆる操作が記録されているため、情報量が膨大となり、更には解析、分析や追跡には意味をなさない情報まで記録されており、有効な情報を見つけ難くしている。
この結果、一連の操作の事実を把握することが非常に困難となり、大きな容量の保管資源も必要となっている。

課題を解決するための手段

0009

本発明は、以下の手順を実現するためのものである。
コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、電気製品、その他のモノ(家具、建築物)などが出力するログ情報(イベントログデータ監査ログデータシステムログアプリケーションログサービスログなど)を入力として、ユーザ、サーバ、対象毎にログ情報の必要項目を抽出するマッピング処理装置と、
マッピング処理の出力をユーザ、サーバ、対象毎に整列した項目の並びをルールマスタに予め定めたn個の操作結果組み合わせパターンに突合せて、実際に起きた操作の形跡を辿り、
パス処理装置の出力であるサマリ毎の追跡結果から、一定の時間内の同じ操作は一つに圧縮してパス1処理装置の出力を更に見やすい形に整える。
例えば、read及びwriteが短時間で発生した場合にreadは大きな意味を持たない為、単一のwriteとしてまとめる。
マッピング処理装置、プリパス処理装置、パス1処理装置、パス2処理装置、パス3処理装置の一連の処理の結果を検索し、レポートすることによって、インシデント管理やセキュリティ管理が効率的かつ正確に行うことができ、コードやバイナリーデータなどを自然言語に翻訳するパス4処理装置と、ログ情報から改善情報を出力するパス5処理装置、パス6処理装置、パス7処理装置によって更なるログの活用を可能とする。

発明の効果

0010

本発明のコンピュータ装置などのログデータ解析とログデータ翻訳装置は、利用者の専門的な知識が不要で、ログを見やすくして、本来の操作を把握できるようにするとともに、保管資源容量の大幅な節減を可能とし、細かく大量に出力されるイペントに対応するコードやバイナリーデータなどを自然言語に翻訳し、傾向分析を可能とした。

図面の簡単な説明

0011

本発明の一例を示す全体構成図マッピング処理概要図プリパス1処理図 パス1処理図 パス2処理図 パス3処理図 パス4処理図 パス5処理図 パス6処理図 パス7処理図

0012

図1は、本発明の実施形態の例であるコンピュータなどが出力する111ログ情報を収集し、収集したログ情報を圧縮し、人間が理解しやすい自然言語にログ情報を翻訳分析する装置の全体構成図である。

0013

101ユーザAが104サーバαのファイル107、105サーバβのファイル108乙と109丙、
102ユーザBが105サーバβのファイル108乙と109丙、
103ユーザCが106サーバγのファイル110丁を操作すると、
コンピュータ104サーバα、105サーバβ、106サーバγはそれぞれ操作された時にコンピュータの動作状況を111ログ情報としてそれぞれ出力する。
この出力されたログ情報を113翻訳サーバネットワーク等を使用し定期的に収集し一つの114収集ログ情報に取りまとめる。
収集した114収集ログ情報を読み込み116マッピング処理装置にて翻訳しやすいように必要なデータを加え、117プリパス1処理装置によりログパターン分類を行い、118パス1処理装置によってログの動作を取りまとめ、119パス2処理装置と120パス3処理装置によって翻訳の取りまとめを行い、116マッピング処理装置から120パス3処理装置によってデータ量を1000分の1から2000分の1にし、121パス4処理によって人間が理解しやすい自然言語にする翻訳を行い、122パス5処理によってユーザのアクセス権の評価を行い、123パス6処理によって改善提案情報の出力をおこない、124パス7処理装置によってサーバの負荷統計情報の出力を行う装置の全体構成図である。

0014

発明者及び出願人が独自に名称を付している、各々のソフトウェア及び装置について本発明独自の呼称を使用しているので下記に記載する。

0015

・日時 :ユーザがファイルにアクセスした日時分秒
・ユーザ :ファイルにアクセスした人又はアカウントを持つ機能。
・対象 :操作に関連した事象
ファイルアクセスの場合は、アクセスされたファイルやディレクトリ
・詳細 :操作に関連した事象で日時、ユーザ、対象以外の付加情報
ファイルアクセスの場合は、AccessValue、対象のIPアドレス、ファイルアクセスの場合は、AccessValue、対象のI Pアドレスセッション情報
・AccessValue:コードやバイナリーデータで出力された操作、動作を決定す る情報。
・操作 :OS、アプリケーションが判断するファイルに対する情報。(logo n、logoff、write、read等々)
・サマリ表 :ユーザ、サーバ、対象の組み合わせをキーとしたテーブル。実際のメモリアドレスを格納する。
・サマリNo.:サマリに対し付与されるユニークなメモリ上のアドレス。
・Skip :OSが出力したログ情報各行毎の要・不要の判別情報
・ログ情報 :コンピュータシステムやパソコン、スマートフォン、タブレット、ウェアラブル、産業機器、一般機器、乗り物、電気製品、医療機器、家具、建築物などが出力した動作記録やアプリケーションログ、サービスログ、システムログ、イベントログ監査ログコマンド情報デジタルデ ータなどの動作記録を含む。
ログ情報テーブル:ログ情報から解析に必要な情報を解析用フォーマットに変換しメモ リ上に展開した状態のテーブル。
・システムログ:コンピュータの起動や終了、管理者のlogonやlogoff、再起動、ハードウェアで発生した障害カーネルで起きたエラー、サーバソ フトやデーモン常駐プログラムの起動や終了などの情報を記録する。
アクセスコントロールリスト
認証フローシステムにより設定される、個人個人の対象に対するアクセ ス権限が記載されている情報。
制御情報:操作、サマリ、Skipなどの情報。
・イベントログ:構成変更障害発生など、システムで発生するさまざまな事象を記録。
・監査ログ :システムの利用者、開発者運用者がシステムに対して実行した操作内 容を時系列に記録。
・ルールマスタ:ログ情報の各行の動作を時系列に解析して判断する為のルールが記載さ れており、ルールの中には解析に必要な時間が記載され、この時間を一 定時間と言う。
・一定時間 :ルールマスタに記載されている時間であり、ルール毎に異なった時間が 記載される。この時間は発明者が様々なログ情報を解析し人間が行う動 作をn秒以内に行う場合、同一動作としてまとめられる時間の安全値と して割り出した時間でルールマスタ、間隔マスタ等に定義されたルール 毎に指定された秒数。
機械語:コンピュータなどが出力する、その形状のままでは通常の人間では、理 解不能なデータ等。

0016

図2は、本発明の116マッピング処理装置について記載した図である。
コンピュータ等が出力する111ログ情報をネットワークなどにて収集し、114収集ログ情報にまとめ上げ、114収集ログ情報を読み込み、分析内容に合わせて日時、ユーザ、サーバ、対象、詳細等の項目を抽出し、211操作、212サマリNo.、213Skipなどの情報設置エリアを確保しながら抽出項目をメモリに展開しつつ、210詳細をキーとして201操作マスタの202詳細を検索し、対応する203操作を211操作にセットする。

0017

対象となる114収集ログ情報から解析に必要な情報項目を選び出す。本実施例では、ファイルサーバのログ情報とし、206日時、207ユーザ、208サーバ、209対象、210詳細の各項目を使用し、ユーザがファイルサーバに格納されているファイル操作の解析を例として取り上げる。
解析対象が車や産業機器の省エネルギーであれば、日時、一定時間の消費エネルギーエネルギー消費機器の状況(回転数など)、外的環境(温度、湿度など)移動距離稼動回数等を対象とする。
読み出した206日時、207ユーザ、208サーバ、209対象、210詳細の各項目をメモリ上の204ログ情報テーブルの各項目にセットし、210詳細を利用し201操作マスタの202詳細とマッチングさせ該当する203操作を211操作にセットし、212サマリNo.のメモリエリアを確保し、213Skip項目に“FALSE”となるデフォルト値をセットし、214回数を格納できるメモリエリアを確保する。
ここでの“FALSE”は204ログ情報テーブルの各行の情報を重要なので読み飛ばしを行わないと言う意味となる。
又、201操作マスタに存在しない210詳細が有った場合は処理対象外として204ログ情報テーブルに“TRUE”と言う値をセットする。この201操作マスタに登録されている情報は、本発明者の過去の経験と実績による情報により作成された情報群である。
実際、コンピュータがファイルを削除する際、ディスク装置に対し読込み処理が実行され、その後にディスク装置に情報を書き込む事によってファイルが消去される。この事柄から分かるように人間の操作と実際のコンピュータの挙動は一致しないので、実際に人間がどの様な動作をしたかを解析する事が重要となる。

0018

図3は、本発明の117プリパス1処理装置について記載した図である。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の全組合せ分の301サマリ表を作成し301サマリ表の各行にシーケンスNo.を符番しメモリ上に作成し、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。

0019

204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の組合せにて301サマリ表の303ユーザ、304サーバ、305対象をマッチングさせ同一の組合せが無かった場合、シーケンス番号を302サマリNo.に符番しセットして207ユーザ、208サーバ、209対象の組合せを303ユーザ、304サーバ、305対象にセットし全組合せ分の301サマリ表をメモリ上に作成する。
全ての組合せを301サマリ表に作成した後、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。

0020

図4は、本発明のパス1処理装置について記載した図である。
メモリに展開している204ログ情報テーブルの先頭から処理し、
212サマリNo.を利用して複数行に渡る同一ユーザ、サーバ、対象を追跡し、210詳細の出現パターンを401ルールマスタに照らし合わせ、出現パターンがマッチした場合、404基本シーケンス以外にマッチした204ログ情報テーブル各行の213Skipを“TRUE”に更新する。

0021

メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#097”であり401ルールマスタの404基本シーケンスに同一情報が402ID“1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq#“2”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq#“2”の210詳細のデータが“$%#257445y7nco9yw983”なので、402ID“1”の406シーケンス1と比較すると同一データであり、402ID“1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“0”で在ったので、205Seq#“1”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”のままとし、205Seq#“2”の213Skipを“TRUE”とする。
次に、ポインタを1つ進めるが、205Seq#“2”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#38a2″eh48w”であり401ルールマスタの404基本シーケンスに同一情報が402ID“2”にあるので、これを記憶し、
212サマリNo.の同一データ“▲2▼”を探すと本実施例で使用の図4上の204ログ情報テーブルの212サマリNo.には“▲2▼”と言うデータが他には無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“4”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#257445y7nco9yw983”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“5”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
次に、205Seq#“6”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#257445y7nco9yw983”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#097”であり401ルールマスタの404基本シーケンスに同一情報が402ID“1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq#“8”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq#“8”の210詳細のデータが“$%#257445y7nco9yw983”なので、402ID“1”の406シーケンス1と比較すると同一データであり、402ID“1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“1”で在ったので、205Seq#“7”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”とし、205Seq#“8”の213Skipを“TRUE”としポインタを1つ進める。
次に、ポインタを1つ進めるが、205Seq#“8”の213Skipが“TRUE”なので処理対象外としポインタを1つ進めるが、データが終了するので本処理を終了し次の処理を実行する。

0022

図5は、本発明のパス2処理装置について記載した図である。
メモリに展開している204ログ情報テーブル中のFALSE”の物だけを対象とし、501間隔マスタに従い前後一定間隔内の同一211操作212サマリNo.、のデータをまとめ上げ、214回数に同一211操作212サマリNo.、をカウントし回数をセットする。

0023

メモリに展開している204ログ情報テーブルの先頭から処理し、
205Seq#“1”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲1▼”と205Seq#“1”のポインタを記憶し、マッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”であり、212サマリNo.が“▲1▼”であり、211操作がreadなので前記にて記憶したポインタつまり205Seq#“1”のデフォルト値1の214回数に1を加え2としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したので、ポインタに1加え2番目の205Seq#“2”を処理するが、
213Skipは“TRUE”なので何もせずにポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲2▼”と205Seq#“3”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“read”212サマリNo.“▲2▼”が存在しなかったので205Seq#“3”の214回数に1をセットする。
ポインタに1加え4番目の205Seq#“4”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲1▼”と205Seq#“4”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲1▼”が存在しなかったので205Seq#“4”の214回数に1をセットする。
ポインタに1加え5番目の205Seq#“5”の213Skipが“TRUE”なので処理対象外とする。
ポインタに1加え6番目の205Seq#“6”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲3▼”と205Seq#“6”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲3▼”が存在しなかったので205Seq#“6”の214回数に1をセットする。
ポインタに1加え205Seq#“7”の213Skipは“TRUE”なので処理対象外としポインタを1つ進める。
ポインタに1加え205Seq#“8”の213Skipは“TRUE”なので処理対象外としポインタを1つ進めると全てのデータを処理したので次の処理を行う。
項番記載の処理を繰り返す事によって214回数は、図5下段に記載の204ログ情報テーブルのような状態となる。

0024

図6は、本発明のパス3処理装置について記載した図である。
コンピュータの動作は人間からの1つの命令に対し複数の動作を行う。ファイルのdeleteを行う時、コンピュータはディスク上に有るインデックス情報読み取り、その後インデックス情報を消すと言った動作を行う。実際の人間が行った動作だけを記載する為には複数の動作をまとめ上げる必要が有り、601動作マスタに従い204ログ情報テーブルの212サマリNo.毎に211操作をチェックし実際に人間が行った操作を確定する。

0025

図6のメモリに展開している204ログ情報テーブルの先頭から処理し、205Seq#“1”213Skipが“FALES”でかつ、212サマリNo.が“▲1▼”、211操作が初めて“read”なので、211操作“read”212サマリNo.“▲1▼”とポインタを記憶し、処理する為のポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なのでポインタを1つ進め1つ進め、
205Seq#“3”の212サマリNo.は“▲2▼”なのでポインタを1つ進め、
205Seq#“4”の212サマリNo.は“▲1▼”であり211操作が“write”なので記憶した“read”と“write”の組合せが601動作マスタにマッチするパターンが有るか調査すると、602基本動作“write”の行の603従属動作1と604従属動作2が“read”、“write”と並びマッチするので、“write”を記録する。
ポインタを1つ進め、
205Seq#“5”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“6”の212サマリNo.は“▲3▼”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進めるとデータが終了するので、205Seq#“1”と205Seq#“4”の組合せは、601動作マスタから“write”と判断し、204ログ情報テーブル(1)の205Seq#“1”の213Skipを“TRUE”に変更する。
本項番の先頭から記載の処理を以降繰り返し図6下段の204ログ情報テーブルのような状態となる。
図6下段の204ログ情報テーブルの先頭から処理し、
213Skipが“FALES”のものだけ206日時、207ユーザ、208サーバ、209対象、214回数を124アクセスログのデータとして出力する。
これにより111ログ情報を1000分の1から2000分の1に圧縮する事ができ、この処理はメモリ上で全て行うために処理速度が格段に速い。

0026

図7は、本発明のパス4処理装置について記載した図である。
パス3でファイルとして出力した124アクセスログから612ユーザを元に、ユーザの行った行動を、701辞書マスタを利用し自然言語に翻訳する。自然言語にする事により、人間が読めるシステム監査証跡勤怠管理日報週報等に利用可能なレポートが自動作成され、701辞書マスタを変更する事によってどの様な機械が出力するデータでも自然言語に変換が可能となる。

0027

124アクセスログの612ユーザを中心に実施例を説明する。
124アクセスログの1行目読込み、612ユーザ“A”の615操作“logon”をキーとし701辞書マスタを検索し、702操作1に“logon”があり、705日付が“○”、706改行が“○”なので611日時の日付部分改行コードを126自然言語レポートファイルに出力する。
次に611日時の時間を出力し、701辞書マスタとマッチングした704文章の“{}”で囲まれている部分に該当する情報を当てはめる。
本ケースの場合は、701辞書マスタの702操作1が“logon”の704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、126自然言語レポートファイルに出力する。
次の同一612ユーザ、615操作が“logoff”の場合、読点“、”と改行コードを書き込み、辞書マスタに従いlogoffの処理を行う。
しかし、次の同一612ユーザ“A”の615操作が“read”なので、701辞書マスタの702操作1の“read”を検索し、
701辞書マスタ中に2つのケースがあり、“write”が続くパターンが有るので、124アクセスログに同一612ユーザが“A”で613サーバが“α”で、614対象が“甲”の条件の下211操作が“write”の物を探す。
611日時が“2015/06/24 20:39:49”のデータと“2015/06・24 20:59:05”がマッチするので、
701辞書マスタの702操作1が“read”、703操作2が“write”の704文書の“{対象}”に614対象を当てはめ、124アクセスログの時間と704文章とカンマと改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 20:37:46”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:05:49”と611日時“2015/06/24 21:05:58”に有り、701辞書マスタの702操作1、703操作2が“write”のパターンとマッチするので、704文章の“{対象}”に614対象をはめ込み、704文章とカンマ、改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 21:05:49”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:10:55”にあり、701辞書マスタの702操作1がlogoffのパターンとマッチするので、
704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、704文章とカンマ、改行コードを126自然言語レポートに出力する。
126自然言語レポートのように人間が読める内容に出力される為、最初のlogonと最後のlogoffを“YY年MM月DD日 HH時MM分に出勤し、HH時MMに退社した。”と言った勤務表などにも応用する事が可能となる。

0028

図8は、本発明のパス5処理装置について記載した図である。
本実施例では、電子承認ワークフローシステム等を使用し予め設定されたユーザ毎の利用できるサーバ、対象、権限、申請期間承認日時削除日時などの情報と、801アクセスログ(ユーザソート)の803ユーザをキーとして、805対象に対するアクセス権限妥当性を確認し、127警告レポートの821警告に確認内容を書き込む。

0029

125アクセスログを612ユーザでソートし出力した801アクセスログ(ユーザソート)の803ユーザ“A”が802日時”2015/06/21 10:35:40に804サーバ“α”805対象“甲”を806操作からreadした事が分かる。
801アクセスログ(ユーザソート)の803ユーザ、804サーバ、805対象をキーとし811アクセスコントロールリストの812ユーザ、813サーバ、814対象とをマッチングさせ816申請期間、817承認日時、818削除日時の情報から812ユーザ“A”は、813サーバ“α”814対象“甲”のアクセス権が818削除日時から2015/06/20に取り消されたことが分かる。
しかし、実際には803ユーザ“A”が802日時”2015/06/21 10:35:40“に804サーバ“α”805対象“甲”を操作からreadしている。
この事実から推測できる事は、
・アクセス権の設定を管理者が間違えている。
・アクセス権を誰かが不正に操作した。
アクセス管理システム異常発生
ハッキング等の不正アクセスが発生した。
この為、127警告レポートに802日時、803ユーザ、804サーバ、805対象、806操作と821警告に“read権限削除済み”と警告情報を出力する。
この様な不一致が発生した時、“read権限”と具体的な権限違反の警告を表示する事ができる。

0030

図9は、本発明のパス6処理装置について記載した図である。
本実施例では、過去のアクセス履歴を蓄積し、蓄積したアクセス記録を元に実ファイルアクセス状況を比較し、管理者が予め設定した指示情報を元に、一定期間以上誰もアクセスしていないファイルが存在した場合、アラームレポートを出力したり、自動的に削除したり、自動的にストレージバックアップしたりする。

0031

125アクセスログを613サーバでソートし出力した901アクセスログ(サーバソート)の904サーバ、905対象をキーとし、128アクセス履歴とマッチングさせ同一の911サーバ、912対象を持つ行の914最終アクセス日を902日時の日付に、915監査日を本処理日に、916経過日数を本日から914最終アクセス日から引いた日数に更新する。
916経過日数が、予め管理者が設定した指示情報の日数を超えている場合、アラームレポートを出力し、管理者の指示により905対象のファイルを自動的に削除したり、ストレージにバックアップしたりする。
本実施例にては、811アクセスコントロールリストの816申請期間を過ぎた日数を指示情報の日数となり、128アクセス履歴の916経過日数が“536”のデータが対象となる。

0032

図10は、本発明のパス7処理装置について記載した図である。
本実施例では、半期、四半期、毎月等、一定期間内のサーバ内に有るファイルのアクセス頻度を計量し1005比率1やアクセスに伴う処理量を算出し、将来の各サーバの負荷分散を考慮するレポートを出力する。

0033

125アクセスログの206日時の年月部分、207ユーザ、208サーバ、209対象と211操作をキーとし、129動作改善情報とマッチングし該当する1004回数に、125アクセスログの207サーバ、208対象、206ユーザ、205日時の日付部分と210操作の出現回数を数え、1004回数に加える。
203ログ情報テーブルの行を全て処理した後に、
1004回数の値を使用し、月、四半期単位にてアクセス比等の統計情報を算出する。
本実施例では1004回数を月単位で全てのサーバの1004回数から百分率にして情報を1005比率1には対象単位、1006比率2にはサーバ単位にセットしている。
この事により、人間が実際に行った操作からのアクセス頻度を知ることができる。

実施例

0034

902統計情報の各項目は自在に変える事が可能である為、通信回線利用頻度、通信回線の通信料などあらゆる統計情報の解析が可能となる。
アクセス内容毎の負荷分析により処理内容及びプログラミングの改善を図る事が可能と成る。

0035

昨今、コンピュータの普及により増加するコンピュータ犯罪に対応するように刑法でも、電磁的記録不正作出罪、電磁的記録毀棄罪、電子計算機損壊等業務妨害罪や、電子計算機使用詐欺罪と法律が厳しくなってきている。しかし、監視、監査体制強化し誰でもが、何時誰が何をしたかが解るシステムを導入する事によって、リスク管理システムを充実させ、この様な犯罪の抑止と言った事が行えるコンピュータ装置から出力される動作記録を解析し自然言語に翻訳し、ログを解析する事により、その動作内容を分析し、分析した内容から改善点を発見し最適化を図る技術が必要とされ、アクセス権が有るにも関わらずアクセスしないファイルのアクセス権を無くしたり、誰もアクセスする事のないファイルを削除したり、アクセスが集中するサーバの負荷分散を行い、パフォーマンスの改善、セキュリティコントロールの見直し、過去情報の蓄積と分析に対する支援情報を提供する技術装置。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ