JP4487291B2 - 監視結果記録システム、共通ログ生成装置、及びプログラム - Google Patents
監視結果記録システム、共通ログ生成装置、及びプログラム Download PDFInfo
- Publication number
- JP4487291B2 JP4487291B2 JP2006035770A JP2006035770A JP4487291B2 JP 4487291 B2 JP4487291 B2 JP 4487291B2 JP 2006035770 A JP2006035770 A JP 2006035770A JP 2006035770 A JP2006035770 A JP 2006035770A JP 4487291 B2 JP4487291 B2 JP 4487291B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- log
- common
- mapping table
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、特定の領域を監視領域として、該監視領域に対する監視結果を記録する技術に関する。
従来より、コンピュータが設置された区画への入退室の監視や、コンピュータへのログイン状況の監視などを個別に行う複数種類の監視装置で構成され、これら監視装置がそれぞれ、監視結果を記録した監視ログを個別に生成する監視システムがある(例えば、特許文献1を参照)。
そして、この監視システムによれば、当該監視システムの管理者が、各監視装置にて生成された複数種類の監視ログをそれぞれ参照し、各監視ログ上の監視結果の間に不整合な点があるか否かを解析することで、各監視装置単体では発見できなかったコンピュータへの不正アクセスの形跡を発見できる。
特開2005−328478号公報
しかしながら、従来の監視システムでは、上述のように、コンピュータへの不正アクセスの形跡を発見するために、管理者が複数種類の監視ログを個別に参照しなければならなかったため、その発見作業が非常に煩雑であった。
そこで、複数種類の監視ログ上の監視結果を1つのログに統合すれば、管理者が複数種類の監視結果を一度に参照することが可能となり、不正アクセスの形跡の発見作業を簡略化できる。
しかしながら、従来の監視システムでは、監視装置毎に監視ログ上の監視結果の記録形式などが異なるため、監視結果を1つのログに統合することが困難であった。
そこで、本発明は、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することが可能な技術を提供することを目的とする。
そこで、本発明は、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することが可能な技術を提供することを目的とする。
上記目的を達成するためになされた請求項1記載の発明は、特定の領域を監視領域として、該監視領域に対する監視結果を記録する監視結果記録システムであって、監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置と、該監視装置の各々から監視ログを取得する監視ログ取得手段と、監視ログの種類を識別するためのログ識別情報と、監視装置の各々が生成する監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する共通ログ生成手段と、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられた共通ログ上の配列先がマッピングテーブル上に存在するか否かを判定する配列先存在判定手段と、該配列先存在判定手段により共通ログ上の配列先がマッピングテーブル上に存在しないと判定された場合に、監視ログ取得手段により取得された、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログのログ識別情報とをマッピングテーブル上に対応づけて設定する配列先設定手段とを備えることを特徴とする。
この監視結果記録システムでは、複数種類の監視装置が、監視領域における互いに異なる監視対象を監視して、監視対象の監視結果を記録した監視ログをそれぞれ生成する一方、監視ログ取得手段が、監視装置の各々から監視ログを取得し、共通ログ生成手段が、マッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する。そして、配列先存在判定手段が、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられた共通ログ上の配列先がマッピングテーブル上に存在するか否かを判定し、配列先存在判定手段により共通ログ上の配列先がマッピングテーブル上に存在しないと判定された場合には、配列先設定手段が、監視ログ取得手段により取得された、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログのログ識別情報とをマッピングテーブル上に対応づけて設定する。
つまり、この監視結果記録システムによれば、各監視ログ上の監視結果の配列先を各監視ログのログ識別情報に対応づけて、マッピングテーブル上に予め設定しておきさえすれば、マッピングテーブルに基づき、各監視ログ上の監視結果を容易に共通ログ上に統合することができる。
しかも、この監視結果記録システムによれば、マッピングテーブル上に配列先が予め設定されていなくても、過去に取得した監視ログが多くなればなるほど、配列先を適切に設定する精度を高めることができ、ひいては、マッピングテーブル上に配列先が予め設定されていなくても、複数種類の監視ログ上の監視結果を容易、且つ、適切に共通ログ上に統合することができる。
しかも、この監視結果記録システムによれば、マッピングテーブル上に配列先が予め設定されていなくても、過去に取得した監視ログが多くなればなるほど、配列先を適切に設定する精度を高めることができ、ひいては、マッピングテーブル上に配列先が予め設定されていなくても、複数種類の監視ログ上の監視結果を容易、且つ、適切に共通ログ上に統合することができる。
即ち、本発明によれば、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することができる。
尚、上述の「監視領域」としては、建物や設備といった物理的な領域の他、コンピュータ上やネットワーク上の領域(例えば、データの領域やサービスの領域など)、もしくはこれらの組合せが該当する(以下、同様)。
また、「個人情報」としては、例えば、ユーザの氏名、ユーザの所属部署などが該当する(以下、同様)。
また、「監視結果が有する特徴」としては、例えば、監視結果の配列パターンや、監視結果に含まれる文字列、単位時間当たりに記録される監視結果の数などが該当する(以下、同様)。
また、請求項2記載の発明は、特定の領域を監視領域として、該監視領域に対する監視結果を記録する監視結果記録システムであって、監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置と、該監視装置の各々から監視ログを取得する監視ログ取得手段と、監視ログの種類を識別するためのログ識別情報と、監視装置の各々が生成する監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する共通ログ生成手段とを備え、マッピングテーブルは、ログ識別情報に対応づけられて、監視ログの種類毎に個別に存在し、当該監視結果記録システムは、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられたマッピングテーブルが存在するか否かを判定するテーブル存在判定手段と、該テーブル存在判定手段によりマッピングテーブルが存在しないと判定された場合に、監視ログ取得手段により取得された、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成するマッピングテーブル生成手段とを備えることを特徴とする。
この監視結果記録システムでは、複数種類の監視装置が、監視領域における互いに異なる監視対象を監視して、監視対象の監視結果を記録した監視ログをそれぞれ生成する一方、監視ログ取得手段が、監視装置の各々から監視ログを取得し、共通ログ生成手段が、マッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する。そして、テーブル存在判定手段が、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられたマッピングテーブルが存在するか否かを判定し、テーブル存在判定手段によりマッピングテーブルが存在しないと判定された場合に、マッピングテーブル生成手段が、監視ログ取得手段により取得された、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成する。
つまり、この監視結果記録システムによれば、各監視ログ上の監視結果の配列先を各監視ログのログ識別情報に対応づけて、マッピングテーブル上に予め設定しておきさえすれば、マッピングテーブルに基づき、各監視ログ上の監視結果を容易に共通ログ上に統合することができる。
しかも、マッピングテーブルが存在しなくても、過去に取得した監視ログが多くなればなるほど、適切なマッピングテーブルを生成する精度を高めることができ、ひいては、マッピングテーブルが存在しなくても、複数種類の監視ログ上の監視結果を容易、且つ、適切に共通ログ上に統合することができる。
即ち、本発明によれば、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することができる。
ところで、複数種類の前記監視ログの少なくとも一部に、監視対象にアクセスしたユーザを識別するためのユーザ識別情報が含まれている場合には、請求項1または請求項2に記載の監視結果記録システムは、請求項3記載のように、ユーザの個人情報と、ユーザ識別情報とを対応づけたユーザデータベースに基づき、監視ログ取得手段により取得された監視ログに含まれるユーザ識別情報に対応する個人情報を共通ログ上に設定する個人情報設定手段を備えるとよい。
このように監視結果記録システムを構成すれば、各ユーザの個人情報とそれに対応する共通ログ上の監視結果とを一度に参照できるため、各ユーザの行動に通常とは不整合な行動があるか否かを解析することで、監視領域にて不正行為が行われた形跡を発見できる。
更に、監視ログ自体にユーザの個人情報が含めずとも、共通ログ上に個人情報を設定できるため、監視ログが外部に漏洩しても、個人情報までもが外部に漏洩してしまうことを防止できる。
尚、「個人情報」としては、例えば、ユーザの氏名、ユーザの所属部署などが該当する(以下、同様)。
ここで、同一のユーザに対するユーザ識別情報が、監視ログの種類毎に異なる場合には、請求項4記載のように、ユーザデータベースには、同一の個人情報に対して監視ログの種類毎に異なるユーザ識別情報が対応づけられているとよい。
このようにユーザデータベースが設定されていれば、監視ログの種類毎に同一のユーザに対するユーザ識別情報が異なっていても、共通ログ上では同一のユーザの個人情報を設定できる。
また、請求項3及び請求項4記載の監視結果記録システムは、請求項5記載のように、監視ログに含まれるユーザ識別情報がユーザデータベース上に予め登録されたものであるか否かを判定するユーザ登録判定手段を備え、個人情報設定手段は、ユーザ登録判定手段によりユーザ識別情報がユーザデータベース上に未登録であると判定された場合に、新規のユーザである旨を個人情報として共通ログ上に設定するとよい。
この場合、ユーザがユーザデータベース上に未登録であっても、新規のユーザとして、そのユーザの行動に通常の新規のユーザとして不整合な行動があるか否かを解析することで、監視領域にて不正行為が行われた形跡を発見できる。
尚、上述の「監視領域」としては、建物や設備といった物理的な領域の他、コンピュータ上やネットワーク上の領域(例えば、データの領域やサービスの領域など)、もしくはこれらの組合せが該当する(以下、同様)。
また、「個人情報」としては、例えば、ユーザの氏名、ユーザの所属部署などが該当する(以下、同様)。
また、「監視結果が有する特徴」としては、例えば、監視結果の配列パターンや、監視結果に含まれる文字列、単位時間当たりに記録される監視結果の数などが該当する(以下、同様)。
また、請求項2記載の発明は、特定の領域を監視領域として、該監視領域に対する監視結果を記録する監視結果記録システムであって、監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置と、該監視装置の各々から監視ログを取得する監視ログ取得手段と、監視ログの種類を識別するためのログ識別情報と、監視装置の各々が生成する監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する共通ログ生成手段とを備え、マッピングテーブルは、ログ識別情報に対応づけられて、監視ログの種類毎に個別に存在し、当該監視結果記録システムは、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられたマッピングテーブルが存在するか否かを判定するテーブル存在判定手段と、該テーブル存在判定手段によりマッピングテーブルが存在しないと判定された場合に、監視ログ取得手段により取得された、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成するマッピングテーブル生成手段とを備えることを特徴とする。
この監視結果記録システムでは、複数種類の監視装置が、監視領域における互いに異なる監視対象を監視して、監視対象の監視結果を記録した監視ログをそれぞれ生成する一方、監視ログ取得手段が、監視装置の各々から監視ログを取得し、共通ログ生成手段が、マッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する。そして、テーブル存在判定手段が、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられたマッピングテーブルが存在するか否かを判定し、テーブル存在判定手段によりマッピングテーブルが存在しないと判定された場合に、マッピングテーブル生成手段が、監視ログ取得手段により取得された、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成する。
つまり、この監視結果記録システムによれば、各監視ログ上の監視結果の配列先を各監視ログのログ識別情報に対応づけて、マッピングテーブル上に予め設定しておきさえすれば、マッピングテーブルに基づき、各監視ログ上の監視結果を容易に共通ログ上に統合することができる。
しかも、マッピングテーブルが存在しなくても、過去に取得した監視ログが多くなればなるほど、適切なマッピングテーブルを生成する精度を高めることができ、ひいては、マッピングテーブルが存在しなくても、複数種類の監視ログ上の監視結果を容易、且つ、適切に共通ログ上に統合することができる。
即ち、本発明によれば、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することができる。
ところで、複数種類の前記監視ログの少なくとも一部に、監視対象にアクセスしたユーザを識別するためのユーザ識別情報が含まれている場合には、請求項1または請求項2に記載の監視結果記録システムは、請求項3記載のように、ユーザの個人情報と、ユーザ識別情報とを対応づけたユーザデータベースに基づき、監視ログ取得手段により取得された監視ログに含まれるユーザ識別情報に対応する個人情報を共通ログ上に設定する個人情報設定手段を備えるとよい。
このように監視結果記録システムを構成すれば、各ユーザの個人情報とそれに対応する共通ログ上の監視結果とを一度に参照できるため、各ユーザの行動に通常とは不整合な行動があるか否かを解析することで、監視領域にて不正行為が行われた形跡を発見できる。
更に、監視ログ自体にユーザの個人情報が含めずとも、共通ログ上に個人情報を設定できるため、監視ログが外部に漏洩しても、個人情報までもが外部に漏洩してしまうことを防止できる。
尚、「個人情報」としては、例えば、ユーザの氏名、ユーザの所属部署などが該当する(以下、同様)。
ここで、同一のユーザに対するユーザ識別情報が、監視ログの種類毎に異なる場合には、請求項4記載のように、ユーザデータベースには、同一の個人情報に対して監視ログの種類毎に異なるユーザ識別情報が対応づけられているとよい。
このようにユーザデータベースが設定されていれば、監視ログの種類毎に同一のユーザに対するユーザ識別情報が異なっていても、共通ログ上では同一のユーザの個人情報を設定できる。
また、請求項3及び請求項4記載の監視結果記録システムは、請求項5記載のように、監視ログに含まれるユーザ識別情報がユーザデータベース上に予め登録されたものであるか否かを判定するユーザ登録判定手段を備え、個人情報設定手段は、ユーザ登録判定手段によりユーザ識別情報がユーザデータベース上に未登録であると判定された場合に、新規のユーザである旨を個人情報として共通ログ上に設定するとよい。
この場合、ユーザがユーザデータベース上に未登録であっても、新規のユーザとして、そのユーザの行動に通常の新規のユーザとして不整合な行動があるか否かを解析することで、監視領域にて不正行為が行われた形跡を発見できる。
次に、請求項6記載の発明は、特定の領域を監視領域として、該監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置の各々から監視ログを取得する監視ログ取得手段と、監視ログの種類を識別するためのログ識別情報と、監視装置の各々が生成する監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する共通ログ生成手段と、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられた共通ログ上の配列先がマッピングテーブル上に存在するか否かを判定する配列先存在判定手段と、該配列先存在判定手段により共通ログ上の配列先がマッピングテーブル上に存在しないと判定された場合に、監視ログ取得手段により取得された、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログのログ識別情報とをマッピングテーブル上に対応づけて設定する配列先設定手段とを備えることを特徴とする共通ログ生成装置である。
つまり、この共通ログ生成装置は、請求項1記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項1記載の監視結果記録システムを構成することができる。
次に、請求項7記載の発明は、特定の領域を監視領域として、該監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置の各々から監視ログを取得する監視ログ取得手段と、監視ログの種類を識別するためのログ識別情報と、監視装置の各々が生成する監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する共通ログ生成手段とを備え、マッピングテーブルは、ログ識別情報に対応づけられて、監視ログの種類毎に個別に存在し、当該共通ログ生成装置は、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられたマッピングテーブルが存在するか否かを判定するテーブル存在判定手段と、該テーブル存在判定手段によりマッピングテーブルが存在しないと判定された場合に、監視ログ取得手段により取得された、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成するマッピングテーブル生成手段とを備えることを特徴とする共通ログ生成装置である。
つまり、この共通ログ生成装置は、請求項2記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項2記載の監視結果記録システムを構成することができる。
また、請求項8記載の発明は、請求項6及び請求項7記載の共通ログ生成装置において、複数種類の監視ログの少なくとも一部には、監視対象にアクセスしたユーザを識別するためのユーザ識別情報が含まれ、さらに、ユーザの個人情報と、ユーザ識別情報とを対応づけたユーザデータベースに基づき、監視ログ取得手段により取得された監視ログに含まれるユーザ識別情報に対応する個人情報を共通ログ上に設定する個人情報設定手段を備えることを特徴とする。
つまり、この共通ログ生成装置は、請求項3記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項3記載の監視結果記録システムを構成することができる。
また、請求項9記載の発明は、請求項8記載の共通ログ生成装置において、同一のユーザに対するユーザ識別情報が、監視ログの種類毎に異なり、ユーザデータベースには、同一の個人情報に対して監視ログの種類毎に異なるユーザ識別情報が対応づけられていることを特徴とする。
つまり、この共通ログ生成装置は、請求項4記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項4記載の監視結果記録システムを構成することができる。
また、請求項10記載の発明は、請求項8及び請求項9記載の共通ログ生成装置において、監視ログに含まれるユーザ識別情報がユーザデータベース上に予め登録されたものであるか否かを判定するユーザ登録判定手段を備え、個人情報設定手段は、ユーザ登録判定手段によりユーザ識別情報がユーザデータベース上に未登録であると判定された場合に、新規のユーザである旨を個人情報として共通ログ上に設定することを特徴とする。
つまり、この共通ログ生成装置は、請求項5記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項5記載の監視結果記録システムを構成することができる。
次に、請求項7記載の発明は、特定の領域を監視領域として、該監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置の各々から監視ログを取得する監視ログ取得手段と、監視ログの種類を識別するためのログ識別情報と、監視装置の各々が生成する監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、監視ログ取得手段により取得された監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する共通ログ生成手段とを備え、マッピングテーブルは、ログ識別情報に対応づけられて、監視ログの種類毎に個別に存在し、当該共通ログ生成装置は、監視ログ取得手段により取得された監視ログのログ識別情報に対応づけられたマッピングテーブルが存在するか否かを判定するテーブル存在判定手段と、該テーブル存在判定手段によりマッピングテーブルが存在しないと判定された場合に、監視ログ取得手段により取得された、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、監視ログ取得手段により取得された過去の監視ログ上の監視結果が有する特徴とを比較し、監視ログ上の監視結果が有する特徴が、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴に最も近い過去の監視ログの識別情報に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成するマッピングテーブル生成手段とを備えることを特徴とする共通ログ生成装置である。
つまり、この共通ログ生成装置は、請求項2記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項2記載の監視結果記録システムを構成することができる。
また、請求項8記載の発明は、請求項6及び請求項7記載の共通ログ生成装置において、複数種類の監視ログの少なくとも一部には、監視対象にアクセスしたユーザを識別するためのユーザ識別情報が含まれ、さらに、ユーザの個人情報と、ユーザ識別情報とを対応づけたユーザデータベースに基づき、監視ログ取得手段により取得された監視ログに含まれるユーザ識別情報に対応する個人情報を共通ログ上に設定する個人情報設定手段を備えることを特徴とする。
つまり、この共通ログ生成装置は、請求項3記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項3記載の監視結果記録システムを構成することができる。
また、請求項9記載の発明は、請求項8記載の共通ログ生成装置において、同一のユーザに対するユーザ識別情報が、監視ログの種類毎に異なり、ユーザデータベースには、同一の個人情報に対して監視ログの種類毎に異なるユーザ識別情報が対応づけられていることを特徴とする。
つまり、この共通ログ生成装置は、請求項4記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項4記載の監視結果記録システムを構成することができる。
また、請求項10記載の発明は、請求項8及び請求項9記載の共通ログ生成装置において、監視ログに含まれるユーザ識別情報がユーザデータベース上に予め登録されたものであるか否かを判定するユーザ登録判定手段を備え、個人情報設定手段は、ユーザ登録判定手段によりユーザ識別情報がユーザデータベース上に未登録であると判定された場合に、新規のユーザである旨を個人情報として共通ログ上に設定することを特徴とする。
つまり、この共通ログ生成装置は、請求項5記載の監視結果記録システムの一部を構成するものであり、複数種類の監視装置と組み合わせることで請求項5記載の監視結果記録システムを構成することができる。
また、請求項11記載の発明は、コンピュータを請求項6乃至請求項10いずれか記載の共通ログ生成装置における各手段として機能させるためのプログラムである。
即ち、このプログラムによれば、コンピュータを請求項6乃至請求項10記載の共通ログ生成装置の各手段、ひいては、請求項1乃至請求項5記載の監視結果記録システムの各手段として機能させることができる。
即ち、このプログラムによれば、コンピュータを請求項6乃至請求項10記載の共通ログ生成装置の各手段、ひいては、請求項1乃至請求項5記載の監視結果記録システムの各手段として機能させることができる。
尚、このプログラムは、ROMやバックアップRAMに記録され、これらROMやバックアップRAMからコンピュータにロードされて用いられてもよいし、ネットワークを介してコンピュータにロードされて用いられてもよい。また、フレキシブルディスク(FD)や光ディスク(MO)、DVD、CD−ROM、Blu−Rayディスク、HD−DVD、ハードディスク、メモリカードなどといったコンピュータにて読み取り可能な記録媒体に記録されて用いられてもよい。
以下に本発明の実施形態を図面と共に説明する。
まず、図1は、本発明を適用した監視システム1の構成ブロック図である。
図1に示すように、監視システム1は、コンピュータ操作管理システム2と、入退室管理システム3と、位置情報管理システム4と、CCTV(Closed Circuit Television)カメラ監視システム5と、外部センサシステム6とからなる複数種類の監視装置と、クライアント用端末8とをログエージェントサーバ7に接続して構成され、これら機器が設置されたオフィス10内を監視領域としている。
まず、図1は、本発明を適用した監視システム1の構成ブロック図である。
図1に示すように、監視システム1は、コンピュータ操作管理システム2と、入退室管理システム3と、位置情報管理システム4と、CCTV(Closed Circuit Television)カメラ監視システム5と、外部センサシステム6とからなる複数種類の監視装置と、クライアント用端末8とをログエージェントサーバ7に接続して構成され、これら機器が設置されたオフィス10内を監視領域としている。
ここで、コンピュータ操作管理システム2は、オフィス10内のコンピュータ(図示せず)を監視対象とし、コンピュータへのログイン情報や、利用履歴、操作履歴、ユーザ認証、ファイル利用履歴からなる監視結果を記録した監視ログを生成するように構成されている。
また、入退室管理システム3は、コンピュータが設置された区画への入退室を監視対象とし、ICカードや生体認証、これらの組み合わせによる多要素認証などによって、コンピュータが設置された区画への入退室を監視し、その監視結果を記録した監視ログを生成するように構成されている。
また、位置情報管理システム4は、コンピュータへアクセスする権限を持つ各ユーザの所在(位置)を監視対象とし、ICタグやGPS(Global Positioning System)、PHS(Personal Handyphone System )などといった無線通信技術によって、オフィス10内におけるユーザの所在を監視し、その監視結果を記録した監視ログを生成するように構成されている。
また、CCTVカメラ監視システム5は、オフィス10内の特定区画にいる人物を監視対象とし、画像監視システムや監視カメラ記録システム、顔認証・外観認証システムなどによって、特定区画にいる人物の容貌や動きを監視し、その監視結果を記録した監視ログを生成するように構成されている。
また、外部センサシステム6は、オフィス10内全体を監視対象とし、振動センサや赤外線センサ、音声センサなどによってオフィス10内への侵入者の有無を監視し、その監視結果を記録した監視ログを生成するように構成されている。
尚、これら監視装置が生成する監視ログのうち、外部センサシステム6を除く監視装置が生成する監視ログには、ユーザを識別するためのユーザ識別情報(以下、「ユーザID」という。)が含まれている。但し、本実施形態では、ユーザIDが監視ログ毎(つまり、監視装置毎)に異なっている。
また、クライアント用端末8は、周知のパーソナルコンピュータからなり、ログエージェントサーバ7から送信される通知をオフィス10内の管理者に通知する。
また、ログエージェントサーバ7は、上述の各監視装置にてそれぞれ生成された監視ログを取得し、取得した監視ログ上の監視結果を統合した共通ログを生成する。但し、ログエージェントサーバ7とオフィス10の外部にあるセンターシステム20との間には、インターネット9を利用したインターネットVPN(Virtual Private Network )が構築されており、ログエージェントサーバ7は、センターシステム20に共通ログを送信するように設定されている。
また、ログエージェントサーバ7は、上述の各監視装置にてそれぞれ生成された監視ログを取得し、取得した監視ログ上の監視結果を統合した共通ログを生成する。但し、ログエージェントサーバ7とオフィス10の外部にあるセンターシステム20との間には、インターネット9を利用したインターネットVPN(Virtual Private Network )が構築されており、ログエージェントサーバ7は、センターシステム20に共通ログを送信するように設定されている。
尚、センターシステム20には、ユーザIDと、ユーザの個人情報(ここではユーザの氏名及び所属する会社名など)とを対応づけたユーザデータベース(DB)21が設けられている。但し、本実施形態のユーザDB21では、同一の個人情報に対して監視ログの種類毎に異なるユーザIDが対応づけられている
ここで、ログエージェントサーバ7は、より具体的には図2に示すような機能が設けられている。尚、図2は、ログエージェントサーバ7の機能ブロック図である。
ここで、ログエージェントサーバ7は、より具体的には図2に示すような機能が設けられている。尚、図2は、ログエージェントサーバ7の機能ブロック図である。
図2に示すように、ログエージェントサーバ7は、監視ログから共通ログを生成する機能であるログコンバータモジュール71と、共通ログから不要な情報を削除する機能であるフィルタモジュール72と、共通ログから異常を検知する機能である検知モジュール73と、検知モジュール73による検知結果をクライアント用端末8に送信する機能である通知モジュール74と、検知モジュール73による検知結果に応じて外部の機器を制御する機能である機器制御モジュール75と、共通ログをセンターシステム20へ送信する機能である送信モジュール76とが設けられている。
但し、ログエージェントサーバ7は、CPUやROM、RAM、ハードディスクドライブ(HDD)、ネットワークインターフェイスなどを備えた周知のサーバ装置として構成されており、上述の各種機能は、ソフトウェアによって実現されている。より具体的には、ログコンバータモジュール71は、後述の共通ログ生成処理におけるS100〜S125の処理に該当し、フィルタモジュール72は、後述の共通ログ生成処理におけるS130,S135の処理に該当する。また、検知モジュール73は、後述の共通ログ生成処理におけるS140〜S165の処理に該当し、通知モジュール74は、後述の共通ログ生成処理におけるS170の処理に該当し、機器制御モジュール75は、後述の共通ログ生成処理におけるS175,S180の処理に該当し、送信モジュール76は、後述の共通ログ生成処理におけるS185の処理に該当する。
以下、ログエージェントサーバ7のCPUが実行する各種処理のうち、本発明に係る処理について詳述する。
まず、図3は、ログエージェントサーバ7のCPUが実行する共通ログ生成処理の流れを示すフローチャートである。尚、ログエージェントサーバ7のCPUは、予め指定された時間が経過する毎、もしくは予め指定された時刻が到来する毎に本処理を実行する。
まず、図3は、ログエージェントサーバ7のCPUが実行する共通ログ生成処理の流れを示すフローチャートである。尚、ログエージェントサーバ7のCPUは、予め指定された時間が経過する毎、もしくは予め指定された時刻が到来する毎に本処理を実行する。
図3に示すように、本処理では、まず、ログエージェントサーバ7のHDDに予め設定された、取得すべき監視ログの種類を識別するためのログ識別情報を参照し、取得すべき監視ログのログ識別情報を取得する(S100)。尚、本実施形態では、ログ識別情報として、監視ログのファイルへのパス及び監視ログのファイルに付与された識別子が設定されている。
続いて、取得したログ識別情報に基づいて、上述の各監視装置から監視ログを取得したのち(S105)、取得した監視ログのログ識別情報に対応したマッピングテーブルを当該ログエージェントサーバ7のHDDから読み出す(S110)。但し、本実施形態のマッピングテーブルは、監視ログのログ識別情報に対応づけられて、監視ログの種類毎に個別にHDDに設定されている。尚、各マッピングテーブルには、ログ識別情報と、監視ログ上の監視結果の共通ログ上の配列先とが対応づけられている。
そして、S105にて取得した監視ログの全てに対してマッピングテーブルが存在していたか否かを判定し(S115)、マッピングテーブルが存在しない監視ログがあった場合には(S115:No)、後述のマッピングテーブル生成処理を実行したのち(S120)、後述のS125へ移行する。
一方、S105にて取得した監視ログの全てに対してマッピングテーブルが存在していた場合には(S115:Yes)、読み出したマッピングテーブルに基づいて、各監視ログ上の監視結果を共通ログ上の配列先に記録して共通ログを生成する(S125)。尚、本実施形態の共通ログは、監視結果の配列を固定された固定長部分と、監視結果の配列を任意に変更可能な可変長部分とから構成されている(図7参照)。
共通ログの生成を終了すると、共通ログ上から削除すべき不要な監視結果の条件(フィルタ条件)を示すフィルタ条件データを当該ログエージェントサーバ7のHDDから読み出し、共通ログ上にフィルタ条件に一致する監視結果が存在するか否かを判定する(S130)。
ここで、フィルタ条件に一致する監視結果が存在する場合には(S130:Yes)、フィルタ条件に一致する監視結果を共通ログ上から削除して(S135)、後述のS140へ移行する一方、フィルタ条件に一致する監視結果が存在しない場合には(S130:No)、共通ログ上の個々の監視結果を参照し、オフィス10内にて不正行為が発生した旨を示す監視結果があるか否かを判定する(S140)。
そして、不正行為が発生した旨を示す監視結果がある場合には(S140:Yes)、後述のS165に直ちに移行する一方、不正行為が発生した旨を示す監視結果がない場合には(S140:No)、後述の個人情報設定処理を実行したのち(S145)、取得した監視結果に含まれるユーザIDに対応する個人情報がユーザDB21に登録されているか否かを確認することで未登録ユーザの認識が必要であるか否かを判定する(S150)。
ここで、未登録ユーザの認識が必要であると判定した場合には(S150:Yes)、後述の未登録ユーザ認識処理を実行したのち(S155)、後述のS160へ移行する一方、未登録ユーザの認識が不要であると判定した場合には(S150:No)、当該ログエージェントサーバ7のHDDに予め設定された、オフィス10内における不正行為の形跡を示す監視結果のパターンを示す検知条件データを読み出して、読み出した検知条件データと一致する監視結果のパターンが共通ログ上にあるか否かを判定する(S160)。
そして、検知条件データと一致する監視結果のパターンがない場合には(S160:No)、後述のS185へ直ちに移行する。
一方、検知条件データと一致する監視結果のパターンがある場合には(S160:Yes)、不正行為の形跡を検知した旨を当該ログエージェントサーバ7のHDDに予め設定された検知ログに記録し(S165)、不正行為の形跡を検知した旨をクライアント用端末8に通知すると共に(S170)、監視結果のパターンに基づいて、不正行為を防止するための外部機器(例えば、電磁ロックなど)を作動させる必要があるか否かを判定する(S175)。
一方、検知条件データと一致する監視結果のパターンがある場合には(S160:Yes)、不正行為の形跡を検知した旨を当該ログエージェントサーバ7のHDDに予め設定された検知ログに記録し(S165)、不正行為の形跡を検知した旨をクライアント用端末8に通知すると共に(S170)、監視結果のパターンに基づいて、不正行為を防止するための外部機器(例えば、電磁ロックなど)を作動させる必要があるか否かを判定する(S175)。
ここで、外部機器を作動させる必要があると判定した場合には(S175:Yes)、監視結果のパターンに応じた制御信号を該当する外部機器に送信して(S180)、外部装置を作動させる一方、外部装置を作動させる必要がないと判定した場合には(S175:No)、共通ログをセンターシステム20へ送信して(S185)、本処理を終了する。
次に、図4は、上述のマッピングテーブル生成処理(S120)の流れを示すフローチャートである。
図4に示すように、本処理では、まず、当該ログエージェントサーバ7のHDDに設定された、過去に取得した監視ログ上の監視結果が有する特徴を抽出したマッピング解析ロジックを読み出し(S200)、予め設定された生成パターンに基づいて、マッピングテーブルが存在しない監視ログに対応したマッピングテーブルを生成する(S205)。尚、本実施形態では、生成パターンとして、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、過去に取得した監視ログ上の監視結果が有する特徴とを比較し、その比較結果に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成する。より具体的には、監視結果の配列パターンや、監視結果に含まれる文字列、単位時間当たりに記録される監視結果の数などを比較し、これらの特徴が最も近い過去の監視ログのログ識別情報に対応づけられた配列先をマッピングテーブルが存在しない監視ログのログ識別情報に対応づけることで新たなマッピングテーブルを生成する。
図4に示すように、本処理では、まず、当該ログエージェントサーバ7のHDDに設定された、過去に取得した監視ログ上の監視結果が有する特徴を抽出したマッピング解析ロジックを読み出し(S200)、予め設定された生成パターンに基づいて、マッピングテーブルが存在しない監視ログに対応したマッピングテーブルを生成する(S205)。尚、本実施形態では、生成パターンとして、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、過去に取得した監視ログ上の監視結果が有する特徴とを比較し、その比較結果に対応づけられた共通ログ上の配列先と、マッピングテーブルが存在しない監視ログのログ識別情報とを対応づけたマッピングテーブルを生成する。より具体的には、監視結果の配列パターンや、監視結果に含まれる文字列、単位時間当たりに記録される監視結果の数などを比較し、これらの特徴が最も近い過去の監視ログのログ識別情報に対応づけられた配列先をマッピングテーブルが存在しない監視ログのログ識別情報に対応づけることで新たなマッピングテーブルを生成する。
そして、新たに生成したマッピングテーブルを当該ログエージェントサーバ7のHDDに設定すると共に(S210)、新たにマッピングテーブルを生成した監視ログ上の監視結果の特徴を抽出して、抽出した特徴をマッピング解析ロジックに登録し(S215)、その登録内容をセンターシステム20へ送信して(S220)、本処理を終了する。
次に、図5は、上述の個人情報設定処理(S145)の流れを示すフローチャートである。
図5に示すように、本処理では、まず、取得した監視ログに含まれるユーザIDをセンターシステム20へ送信し(S300)、ユーザDB21にて各ユーザIDに対応づけられた個人情報をセンターシステム20から取得する(S305)。
図5に示すように、本処理では、まず、取得した監視ログに含まれるユーザIDをセンターシステム20へ送信し(S300)、ユーザDB21にて各ユーザIDに対応づけられた個人情報をセンターシステム20から取得する(S305)。
そして、取得した個人情報を共通ログ上に設定し(S310)、本処理を終了する。
次に、図6は、上述の未登録ユーザ認識処理(S155)の流れを示すフローチャートである。
次に、図6は、上述の未登録ユーザ認識処理(S155)の流れを示すフローチャートである。
図6に示すように、本処理では、まず、新規ユーザである旨を示す個人情報である新規ユーザ情報をセンターシステム20に問い合わせ(S400)、ユーザDB21にて新規ユーザに対応づけられた新規ユーザ情報をセンターシステム20から取得する(S405)。
そして、取得した新規ユーザ情報を共通ログ上に設定し(S410)、本処理を終了する。
以上に述べたように、本実施形態の監視システム1では、マッピングテーブルに基づき、各監視ログ上の監視結果を共通ログ上の配列先に記録して、共通ログを生成するため、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することができる。
以上に述べたように、本実施形態の監視システム1では、マッピングテーブルに基づき、各監視ログ上の監視結果を共通ログ上の配列先に記録して、共通ログを生成するため、複数種類の監視ログ上の監視結果を容易に1つのログ上に統合することができる。
また、本実施形態の監視システム1では、取得した監視ログに対応するマッピングテーブルが存在しなくても、監視ログに対応したマッピングテーブルを新たに生成するため、マッピングテーブルが存在しない監視ログ上の監視結果を共通ログ上に統合することができる。
また、本実施形態の監視システム1では、マッピングテーブルが存在しない監視ログ上の監視結果が有する特徴と、過去に取得した監視ログ上の監視結果が有する特徴との比較結果に応じたマッピングテーブルを生成するため、過去に取得した監視ログが多くなればなるほど、適切なマッピングテーブルを生成する精度を高めることができ、ひいては、マッピングテーブルが存在しなくても、複数種類の監視ログ上の監視結果を容易、且つ、適切に共通ログ上に統合することができる。
また、本実施形態の監視システム1では、共通ログ上にユーザの個人情報を設定するため、各ユーザの個人情報と共通ログ上の監視結果を一度に参照でき、各ユーザの行動に通常とは不整合な行動があるか否かを解析することで、オフィス10内にて不正行為が行われた形跡を発見できる。
また、本実施形態の監視システム1では、監視ログ自体にユーザの個人情報を含めずとも、共通ログ上に個人情報を設定できるため、監視ログが外部に漏洩しても、個人情報までもが外部に漏洩してしまうことを防止できる。
また、本実施形態の監視システム1では、ユーザ識別情報がユーザDB21上に未登録であっても、新規ユーザ情報を共通ログ上に設定するため、そのユーザの行動に通常の新規のユーザとして不整合な行動があるか否かを解析することで、オフィス10内にて不正行為が行われた形跡を発見できる。
尚、本実施形態では、コンピュータ操作管理システム2、入退室管理システム3、位置情報管理システム4、CCTVカメラ監視システム5、外部センサシステム6が本発明の監視装置に相当し、共通ログ生成処理のS105が本発明における監視ログ取得手段に相当し、共通ログ生成処理のS110,S125が本発明における共通ログ生成手段に相当する。
また、本実施形態では、共通ログ生成処理のS115が本発明におけるテーブル存在判定手段に相当し、マッピングテーブル生成処理のS200,S205が本発明におけるマッピングテーブル生成手段に相当する。
また、本実施形態では、個人情報設定処理のS300〜S310と、未登録ユーザ認識処理のS400〜S410とが本発明における個人情報設定手段に相当し、共通ログ生成処理のS150が本発明におけるユーザ登録判定手段に相当する。
以上、本発明の実施の形態について説明したが、本発明は、上記実施形態に何ら限定されることはなく、本発明の技術的範囲に属する限り種々の形態をとり得ることはいうまでもない。
例えば、上記実施形態では、マッピングテーブルがログ識別情報に対応づけられて、監視ログの種類毎に個別に存在していたが、同一のマッピングテーブル上に監視ログの識別情報に対応づけられて共通ログ上の配列先が設定されていてもよい。
この場合、共通ログ生成処理のS115にて、取得した監視ログのログ識別情報の全てに対してマッピングテーブル上に共通ログ上の配列先が設定されているか否かを判定し(本発明における配列先存在判定手段に相当)、共通ログ上の配列先が設定されていない監視ログが存在する場合には、共通ログ生成処理のS120にて、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログのログ識別情報と、共通ログ上の配列先とを新たにマッピングテーブル上に対応づけて設定(本発明における配列先設定手段に相当)すればよい。
より具体的には、マッピングテーブル上に配列先が存在しない監視ログ上の監視結果が有する特徴と、取得した過去の監視ログ上の監視結果が有する特徴とを比較し、その比較結果に対応づけられた共通ログ上の配列先と、共通ログ上の配列先がマッピングテーブル上に存在しない監視ログのログ識別情報とを新たにマッピングテーブル上に対応づけて設定すればよい。
このような手法を用いることにより、過去に取得した監視ログが多くなればなるほど、配列先を適切に設定する精度を高めることができ、ひいては、マッピングテーブル上に配列先が予め設定されていなくても、複数種類の監視ログ上の監視結果を容易、且つ、適切に共通ログ上に統合することができる。
1…監視システム、2…コンピュータ操作管理システム、3…入退室管理システム、4…位置情報管理システム、5…CCTVカメラ監視システム、6…外部センサシステム、7…ログエージェントサーバ、8…クライアント用端末、9…インターネット、10…オフィス、20…センターシステム、21…ユーザDB、71…ログコンバータモジュール、72…フィルタモジュール、73…検知モジュール、74…通知モジュール、75…機器制御モジュール、76…送信モジュール。
Claims (11)
- 特定の領域を監視領域として、該監視領域に対する監視結果を記録する監視結果記録システムであって、
前記監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置と、
該監視装置の各々から前記監視ログを取得する監視ログ取得手段と、
前記監視ログの種類を識別するためのログ識別情報と、前記監視装置の各々が生成する前記監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、前記監視ログ取得手段により取得された前記監視ログ上の監視結果を前記共通ログ上の配列先に記録して前記共通ログを生成する共通ログ生成手段と、
前記監視ログ取得手段により取得された前記監視ログの前記ログ識別情報に対応づけられた前記共通ログ上の配列先が前記マッピングテーブル上に存在するか否かを判定する配列先存在判定手段と、
該配列先存在判定手段により前記共通ログ上の配列先が前記マッピングテーブル上に存在しないと判定された場合に、前記監視ログ取得手段により取得された、前記共通ログ上の配列先が前記マッピングテーブル上に存在しない前記監視ログ上の監視結果が有する特徴と、前記監視ログ取得手段により取得された過去の前記監視ログ上の監視結果が有する特徴とを比較し、前記監視ログ上の監視結果が有する特徴が、前記共通ログ上の配列先が前記マッピングテーブル上に存在しない前記監視ログ上の監視結果が有する特徴に最も近い過去の前記監視ログの識別情報に対応づけられた前記共通ログ上の配列先と、前記共通ログ上の配列先が前記マッピングテーブル上に存在しない前記監視ログの前記ログ識別情報とを前記マッピングテーブル上に対応づけて設定する配列先設定手段と
を備えることを特徴とする監視結果記録システム。 - 特定の領域を監視領域として、該監視領域に対する監視結果を記録する監視結果記録システムであって、
前記監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置と、
該監視装置の各々から前記監視ログを取得する監視ログ取得手段と、
前記監視ログの種類を識別するためのログ識別情報と、前記監視装置の各々が生成する前記監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、前記監視ログ取得手段により取得された前記監視ログ上の監視結果を前記共通ログ上の配列先に記録して前記共通ログを生成する共通ログ生成手段と
を備え、
前記マッピングテーブルは、
前記ログ識別情報に対応づけられて、前記監視ログの種類毎に個別に存在し、
当該監視結果記録システムは、
前記監視ログ取得手段により取得された前記監視ログの前記ログ識別情報に対応づけられた前記マッピングテーブルが存在するか否かを判定するテーブル存在判定手段と、
該テーブル存在判定手段により前記マッピングテーブルが存在しないと判定された場合に、前記監視ログ取得手段により取得された、前記マッピングテーブルが存在しない前記監視ログ上の監視結果が有する特徴と、前記監視ログ取得手段により取得された過去の前記監視ログ上の監視結果が有する特徴とを比較し、前記監視ログ上の監視結果が有する特徴が、前記マッピングテーブルが存在しない前記監視ログ上の監視結果が有する特徴に最も近い過去の前記監視ログの識別情報に対応づけられた前記共通ログ上の配列先と、前記マッピングテーブルが存在しない前記監視ログの前記ログ識別情報とを対応づけた前記マッピングテーブルを生成するマッピングテーブル生成手段と
を備えることを特徴とする監視結果記録システム。 - 複数種類の前記監視ログの少なくとも一部には、
前記監視対象にアクセスしたユーザを識別するためのユーザ識別情報が含まれ、
当該監視結果記録システムは、
前記ユーザの個人情報と、前記ユーザ識別情報とを対応づけたユーザデータベースに基づき、前記監視ログ取得手段により取得された前記監視ログに含まれる前記ユーザ識別情報に対応する前記個人情報を前記共通ログ上に設定する個人情報設定手段
を備えることを特徴とする請求項1または請求項2に記載の監視結果記録システム。 - 同一の前記ユーザに対する前記ユーザ識別情報が、前記監視ログの種類毎に異なり、
前記ユーザデータベースには、
同一の前記個人情報に対して前記監視ログの種類毎に異なる前記ユーザ識別情報が対応づけられている
ことを特徴とする請求項3記載の監視結果記録システム。 - 前記監視ログに含まれる前記ユーザ識別情報が前記ユーザデータベース上に予め登録されたものであるか否かを判定するユーザ登録判定手段
を備え、
前記個人情報設定手段は、
前記ユーザ登録判定手段により前記ユーザ識別情報が前記ユーザデータベース上に未登録であると判定された場合に、新規のユーザである旨を前記個人情報として前記共通ログ上に設定する
ことを特徴とする請求項3または請求項4記載の監視結果記録システム。 - 特定の領域を監視領域として、該監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置の各々から前記監視ログを取得する監視ログ取得手段と、
前記監視ログの種類を識別するためのログ識別情報と、前記監視装置の各々が生成する前記監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、前記監視ログ取得手段により取得された前記監視ログ上の監視結果を前記共通ログ上の配列先に記録して前記共通ログを生成する共通ログ生成手段と、
前記監視ログ取得手段により取得された前記監視ログの前記ログ識別情報に対応づけられた前記共通ログ上の配列先が前記マッピングテーブル上に存在するか否かを判定する配列先存在判定手段と、
該配列先存在判定手段により前記共通ログ上の配列先が前記マッピングテーブル上に存在しないと判定された場合に、前記監視ログ取得手段により取得された、前記共通ログ上の配列先が前記マッピングテーブル上に存在しない前記監視ログ上の監視結果が有する特徴と、前記監視ログ取得手段により取得された過去の前記監視ログ上の監視結果が有する特徴とを比較し、前記監視ログ上の監視結果が有する特徴が、前記共通ログ上の配列先が前記マッピングテーブル上に存在しない前記監視ログ上の監視結果が有する特徴に最も近い過去の前記監視ログの識別情報に対応づけられた前記共通ログ上の配列先と、前記共通ログ上の配列先が前記マッピングテーブル上に存在しない前記監視ログの前記ログ識別情報とを前記マッピングテーブル上に対応づけて設定する配列先設定手段と
を備えることを特徴とする共通ログ生成装置。 - 特定の領域を監視領域として、該監視領域における互いに異なる監視対象を監視し、該監視対象の監視結果を記録した監視ログをそれぞれ生成する複数種類の監視装置の各々から前記監視ログを取得する監視ログ取得手段と、
前記監視ログの種類を識別するためのログ識別情報と、前記監視装置の各々が生成する前記監視ログ上の監視結果を統合して記録する共通ログ上の配列先とを対応づけたマッピングテーブルに基づき、前記監視ログ取得手段により取得された前記監視ログ上の監視結果を前記共通ログ上の配列先に記録して前記共通ログを生成する共通ログ生成手段と
を備え、
前記マッピングテーブルは、
前記ログ識別情報に対応づけられて、前記監視ログの種類毎に個別に存在し、
当該共通ログ生成装置は、
前記監視ログ取得手段により取得された前記監視ログの前記ログ識別情報に対応づけられた前記マッピングテーブルが存在するか否かを判定するテーブル存在判定手段と、
該テーブル存在判定手段により前記マッピングテーブルが存在しないと判定された場合に、前記監視ログ取得手段により取得された、前記マッピングテーブルが存在しない前記監視ログ上の監視結果が有する特徴と、前記監視ログ取得手段により取得された過去の前記監視ログ上の監視結果が有する特徴とを比較し、前記監視ログ上の監視結果が有する特徴が、前記マッピングテーブルが存在しない前記監視ログ上の監視結果が有する特徴に最も近い過去の前記監視ログの識別情報に対応づけられた前記共通ログ上の配列先と、前記マッピングテーブルが存在しない前記監視ログの前記ログ識別情報とを対応づけた前記マッピングテーブルを生成するマッピングテーブル生成手段と
を備えることを特徴とする共通ログ生成装置。 - 複数種類の前記監視ログの少なくとも一部には、
前記監視対象にアクセスしたユーザを識別するためのユーザ識別情報が含まれ、
さらに、
前記ユーザの個人情報と、前記ユーザ識別情報とを対応づけたユーザデータベースに基づき、前記監視ログ取得手段により取得された前記監視ログに含まれる前記ユーザ識別情報に対応する前記個人情報を前記共通ログ上に設定する個人情報設定手段
を備えることを特徴とする請求項6または請求項7記載の共通ログ生成装置。 - 同一の前記ユーザに対する前記ユーザ識別情報が、前記監視ログの種類毎に異なり、
前記ユーザデータベースには、
同一の前記個人情報に対して前記監視ログの種類毎に異なる前記ユーザ識別情報が対応づけられている
ことを特徴とする請求項8記載の共通ログ生成装置。 - 前記監視ログに含まれる前記ユーザ識別情報が前記ユーザデータベース上に予め登録されたものであるか否かを判定するユーザ登録判定手段
を備え、
前記個人情報設定手段は、
前記ユーザ登録判定手段により前記ユーザ識別情報が前記ユーザデータベース上に未登録であると判定された場合に、新規のユーザである旨を前記個人情報として前記共通ログ上に設定する
ことを特徴とする請求項8または請求項9記載の共通ログ生成装置。 - コンピュータを請求項6乃至請求項10いずれか記載の共通ログ生成装置における各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006035770A JP4487291B2 (ja) | 2006-02-13 | 2006-02-13 | 監視結果記録システム、共通ログ生成装置、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006035770A JP4487291B2 (ja) | 2006-02-13 | 2006-02-13 | 監視結果記録システム、共通ログ生成装置、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007213521A JP2007213521A (ja) | 2007-08-23 |
| JP4487291B2 true JP4487291B2 (ja) | 2010-06-23 |
Family
ID=38491865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006035770A Expired - Fee Related JP4487291B2 (ja) | 2006-02-13 | 2006-02-13 | 監視結果記録システム、共通ログ生成装置、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4487291B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900331B2 (en) | 2015-02-13 | 2018-02-20 | Mitsubishi Electric Corporation | Log tracing apparatus and non-transitory computer-readable medium storing a log tracing program |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5452030B2 (ja) * | 2009-02-06 | 2014-03-26 | 三菱電機株式会社 | 統合ログ生成装置及び統合ログ生成プログラム及び記録媒体 |
| JP5235227B2 (ja) * | 2011-06-30 | 2013-07-10 | 日本電信電話株式会社 | ログ処理装置およびその動作方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2856688B2 (ja) * | 1994-12-26 | 1999-02-10 | 日立電子サービス株式会社 | ロギングデータ解析システム |
| JPH09106367A (ja) * | 1995-10-11 | 1997-04-22 | Ricoh Co Ltd | ファイルシステム装置 |
| JP3614625B2 (ja) * | 1997-10-27 | 2005-01-26 | 株式会社日立製作所 | 管理マネージャ計算機、記録媒体、および、計算機運用管理方法 |
| JPH11161522A (ja) * | 1997-11-25 | 1999-06-18 | Hitachi Ltd | ユーザ利用状況出力システムおよび出力方法並びに管理システム |
| JP2000181759A (ja) * | 1998-12-15 | 2000-06-30 | Hitachi Information Systems Ltd | 時系列データ検索システムと検索方法およびそのプログラムを記録した記録媒体 |
| JP2000207254A (ja) * | 1999-01-11 | 2000-07-28 | Osaka Gas Co Ltd | サ―バ管理装置及び方法、並びにサ―バ管理プログラムを記録した記録媒体 |
| JP2002244898A (ja) * | 2001-02-19 | 2002-08-30 | Hitachi Ltd | データベース管理プログラム及びデータベースシステム |
| JP2002259766A (ja) * | 2001-03-02 | 2002-09-13 | Casio Comput Co Ltd | 個人情報管理サービスシステムおよび個人情報管理サービス方法 |
| JP2001229052A (ja) * | 2001-03-14 | 2001-08-24 | Yoko Ogawa | ログ処理装置、ログ処理方法、及びログ処理プログラム |
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2004086513A (ja) * | 2002-08-27 | 2004-03-18 | Hitachi Ltd | イベント変換方法、プログラム及びシステム |
| JP4300808B2 (ja) * | 2003-01-24 | 2009-07-22 | 株式会社日立製作所 | 統合ログ表示方法及びシステム |
| JP2004348670A (ja) * | 2003-05-26 | 2004-12-09 | Mitsubishi Electric Corp | ログ仲介システム |
| JP2005148779A (ja) * | 2003-11-11 | 2005-06-09 | Hitachi Ltd | 情報端末、ログ管理装置、コンテンツ提供装置、コンテンツ提供システム及びログ管理方法 |
| JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
-
2006
- 2006-02-13 JP JP2006035770A patent/JP4487291B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900331B2 (en) | 2015-02-13 | 2018-02-20 | Mitsubishi Electric Corporation | Log tracing apparatus and non-transitory computer-readable medium storing a log tracing program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007213521A (ja) | 2007-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11368471B2 (en) | Security gateway for autonomous or connected vehicles | |
| JP6239215B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US11829472B2 (en) | Anomalous vehicle detection server and anomalous vehicle detection method | |
| US11698962B2 (en) | Method for detecting intrusions in an audit log | |
| CN104038466B (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
| JP2011048547A (ja) | 異常行動検知装置、監視システム及び異常行動検知方法 | |
| US8494159B2 (en) | System and practice for surveillance privacy-protection certification and registration | |
| JP4383413B2 (ja) | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム | |
| CN109684833B (zh) | 使程序危险行为模式适应用户计算机系统的系统和方法 | |
| WO2020210976A1 (en) | System and method for detecting anomaly | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| CN113329027A (zh) | 融合多维资产画像与漏洞关联分析的空间资产测绘系统 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| JP6254499B2 (ja) | 分散制御システムにおける合意の欠損 | |
| JP6400990B2 (ja) | 分散制御システムにおけるアプリケーションデータの管理 | |
| JP4487291B2 (ja) | 監視結果記録システム、共通ログ生成装置、及びプログラム | |
| JP6677169B2 (ja) | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| JP5353147B2 (ja) | 顔照合システム | |
| JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| US20180124076A1 (en) | Method for transmitting data | |
| US20240080330A1 (en) | Security monitoring apparatus, security monitoring method, and computer readable medium | |
| CN109754345A (zh) | 用于进行基于安全计算机的考生评估的系统和方法 | |
| US12052291B1 (en) | Dynamic application security posture change based on physical vulnerability |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080910 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080930 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091013 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100302 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100319 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |