[go: up one dir, main page]

JP2006107348A - ログ記録装置及びログ記録方法 - Google Patents

ログ記録装置及びログ記録方法 Download PDF

Info

Publication number
JP2006107348A
JP2006107348A JP2004296463A JP2004296463A JP2006107348A JP 2006107348 A JP2006107348 A JP 2006107348A JP 2004296463 A JP2004296463 A JP 2004296463A JP 2004296463 A JP2004296463 A JP 2004296463A JP 2006107348 A JP2006107348 A JP 2006107348A
Authority
JP
Japan
Prior art keywords
log
identifier
event
update
flag
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004296463A
Other languages
English (en)
Inventor
Takashi Suzuki
敬 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2004296463A priority Critical patent/JP2006107348A/ja
Publication of JP2006107348A publication Critical patent/JP2006107348A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】 記録容量が制限されているシステムにおいて、イベントよりも細かい単位で、ログとして記録する対象を制限する。
【解決手段】 本発明に係るログ記録装置10は、所定のイベントの発生を観測し、イベントに係る情報及び関連オブジェクトに係る情報を取得する観測部11と、イベントに係る情報から取得された少なくとも1つのサブ識別子によって構成されるイベント識別子を生成し、関連オブジェクトに係る情報から取得された少なくとも1つのサブ識別子によって構成されるオブジェクト識別子を生成する識別子生成部12と、イベント識別子及びオブジェクト識別子によってログを構成して蓄積するログ蓄積部13と、サブ識別子に対するマスク条件を含む更新規則に基づいて、サブ識別子をマスクしてログを更新するログ更新部14とを具備する。
【選択図】 図1

Description

本発明は、観測対象の動作状態のログを記録するログ記録装置及びログ記録方法に関する。
従来から、装置やソフトウェア等の観測対象の管理者は、観測対象を管理・解析するための重要な情報源として、観測対象の動作状態の記録である「ログ」を利用している。
例えば、システムの管理者は、UNIX(登録商標) OSのシステムログ(シスログ)によって記録されたログを解析することにより、システムの異常動作の原因解析や、不正侵入の検知・追跡等を行っている。
なお、UNIX(登録商標) OSのシステムログ(シスログ)は、UNIX(登録商標) OSによって管理されるシステムのログを一元的に収集する機構である。そして、UNIX(登録商標) OSのシステムログ(シスログ)は、認証関連の情報を記録したり、UNIX(登録商標) OS(カーネル)や認証機構やサーバプログラムやユーザアプリケーション等の動作状態を記録したりすることができる。
また、ウェブサーバ等のサーバプログラムの管理者は、サーバプログラムへのアクセスログを利用して、ウェブサイトへのアクセス傾向を分析したり、ウェブサイトの構成の改善にフィードバックしたりしている。
King、Chen、「Backtracking Intrusion」、ACM SOSP 2003年
上述のように、ログを利用して観測対象を解析することは、観測対象における管理や動作改善のためには有用であるが、ログの記録頻度やログの保管期間や各ログに含まれる情報量によっては、記録すべきログのサイズが膨大となるという問題点があった。
かかる問題点を解決するために、下記のような対策が知られている。
(対策1) ログとして記録する対象を制限する。
(対策2) ログを記録するための専用装置を設ける。
(対策3) 定期的に大容量メディアにログをバックアップする。
(対策1)を実現するために、UNIX(登録商標) OSのシステムログを用いることが知られている。
かかるUNIX(登録商標) OSのシステムログは、システムで発生するイベントに対して「重要度(priority)」及び「種別(facility)」を割り当て、所定の重要度以上のイベント又は特定の種別のイベントに係るログのみを記録するように設定することができる。
しかしながら、UNIX(登録商標) OSのシステムログは、イベント単位で、種別及び重要度を割り当てるように構成されているため、イベント単位でしか、ログとして記録する対象を制限することができないという問題点があった。
例えば、システムの管理者が、不正侵入の追跡のためにログを使用する場合、攻撃者の行動を重要度の低いイベントも含めて解析し、証拠として残す必要があるが、上述のように、UNIX(登録商標) OSのシステムログが、イベント単位で、ログとして記録する対象を制限してしまった場合、不正侵入の追跡パスを分断してしまう危険性があるという問題点があった。
また、(対策2)及び(対策3)は、記録容量が制限されており接続可能なデバイスが制限されているシステム(例えば、携帯電話端末)では、実現困難であるという問題点があった。
そこで、本発明は、以上の点に鑑みてなされたもので、記録容量が制限されているシステムにおいて、イベントよりも細かい単位で、ログとして記録する対象を制限することが可能なログ記録装置及びログ記録方法を提供することを目的とする。
本発明の第1の特徴は、観測対象の動作状態のログを記録するログ記録装置であって、所定のイベントの発生を観測し、該イベントに係る情報及び該イベントに関連するオブジェクトに係る情報を取得する観測部と、前記イベントに係る情報から取得された少なくとも1つのサブ識別子によって構成されるイベント識別子を生成し、前記オブジェクトに係る情報から取得された少なくとも1つのサブ識別子によって構成されるオブジェクト識別子を生成する識別子生成部と、前記イベント識別子及び前記オブジェクト識別子によって前記ログを構成して蓄積するログ蓄積部と、前記サブ識別子に対する更新規則に基づいて、前記ログを構成する前記サブ識別子に対して所定の更新処理を施して該ログを更新するログ更新部とを具備することを要旨とする。
本発明の第1の特徴において、フラグ設定規則に基づいて、前記イベント識別子又は前記オブジェクト識別子の少なくとも1つにフラグを設定するフラグ設定部を具備し、前記ログ更新部が、前記フラグの種別を含む前記更新規則に基づいて前記ログを更新するように構成されていてもよい。
本発明の第1の特徴において、フラグ設定規則に基づいて、前記イベントに係る情報又は前記オブジェクトに係る情報の少なくとも1つにフラグを対応付け、対応付けられた前記フラグの種別に基づいて前記識別子生成部に送信する前記イベントに係る情報又は前記オブジェクトに係る情報を選別する選別部をさらに具備するように構成されていてもよい。
本発明の第1の特徴において、前記観測対象におけるオブジェクトの状態に応じて前記フラグ設定規則を更新するフラグ設定規則更新部をさらに具備するように構成されていてもよい。
本発明の第1の特徴において、前記フラグ設定規則更新部が、前記オブジェクトが正常状態に変化したことを検知した場合、前記フラグとして正常フラグを設定するように前記フラグ設定規則を更新するように構成されていてもよい。
本発明の第1の特徴において、前記観測部が、前記観測対象システムに格納されているオブジェクト記述子を取得し、前記フラグ設定部が、前記フラグ設定規則及び前記オブジェクト記述子に基づいて前記フラグを設定するように構成されていてもよい。
本発明の第1の特徴において、前記更新規則の改竄を検知する改竄検知部を具備し、前記ログ更新部が、前記更新規則の改竄が検知されない場合にのみ、前記ログを更新するように構成されていてもよい。
本発明の第1の特徴において、前記フラグ設定規則の改竄を検知する改竄検知部を具備し、前記フラグ設定部が、前記フラグ設定規則の改竄が検知されない場合にのみ、前記フラグを設定するように構成されていてもよい。
本発明の第1の特徴において、前記イベント識別子又は前記オブジェクト識別子の少なくとも1つは、前記サブ識別子の数量を特定するための数量特定情報を含み、前記ログ更新部が、前記ログを構成する前記サブ識別子をマスクした場合に、前記数量特定情報を更新するように構成されていてもよい。
本発明の第2の特徴は、観測対象の動作状態のログを記録するログ記録方法であって、所定のイベントの発生を観測し、該イベントに係る情報及び該イベントに関連するオブジェクトに係る情報を取得する工程と、前記イベントに係る情報から取得された少なくとも1つのサブ識別子によって構成されるイベント識別子を生成し、前記オブジェクトに係る情報から取得された少なくとも1つのサブ識別子によって構成されるオブジェクト識別子を生成する工程と、前記イベント識別子及び前記オブジェクト識別子によって前記ログを構成して蓄積する工程と、前記サブ識別子に対する更新規則に基づいて、前記ログを構成する前記サブ識別子に対して所定の更新処理を施して該ログを更新する工程とを有することを要旨とする。
以上説明したように、本発明によれば、記録容量が制限されているシステムにおいて、イベントよりも細かい単位で、ログとして記録する対象を制限することが可能なログ記録装置及びログ記録方法を提供することができる。
(本発明の第1の実施形態に係るログ記録装置の構成)
図1乃至図6を参照して、本発明の第1の実施形態に係るログ記録装置10の構成について説明する。本実施形態に係るログ記録装置10は、観測対象システム1の動作状態のログを記録する、すなわち、観測対象システム1で発生したイベントに係るログを記録・更新する装置である。
観測部11は、観測対象システム1で発生した所定のイベントの発生を観測し、当該イベントに係る情報(イベント情報)及び当該イベントに関連するオブジェクト(関連オブジェクト)に係る情報(オブジェクト情報)を取得するものである。また、観測部11は、取得したイベント情報及びオブジェクト情報を識別子生成部12に送信する。
ここで、イベントには、例えば、観測対象システム1のOSに対して発行されたシステムコールや、OSによって生成されるシグナル等が含まれる。また、イベント情報には、システムコールの種別(システムコール名)や、シグナルの種別(シグナル名)や、システムコール又はシグナルの発生時間等が含まれる。
一方、オブジェクトには、例えば、プロセスやファイルやファイル名等が含まれる。また、オブジェクト情報には、オブジェクトの識別情報や、プロセスの開始時刻や、ファイルの書込時刻や、ファイル名の修正時刻等が含まれる。すなわち、オブジェクト情報には、OSが当該オブジェクトを管理する際に参照する情報等が含まれる。
なお、図1は、ログ記録装置10は、観測対象システム1とは別の装置である構成を示しているが、本発明は、かかる構成に限定されるものではなく、観測対象システム1と同じ装置上にログ記録機能10を実装する構成にも適用可能である。
例えば、本発明は、図1におけるログ記録装置10に含まれる機能要素11乃至14をOS内のモジュールとして実装し、OSで観測可能なイベントに係るログを記録するといった構成にも適用可能である。
識別子生成部12は、イベント情報から取得された少なくとも1つのサブ識別子によって構成されるイベント識別子を生成し、オブジェクト情報から取得された少なくとも1つのサブ識別子によって構成されるオブジェクト識別子を生成するものである。
具体的には、識別子生成部12は、観測部11から入力されたイベント情報及びオブジェクト情報に基づいて、観測部11によって観測されたイベントに対してイベント識別子構成情報で規定される構成を有するイベント識別子を生成し、観測部11によって観測された関連オブジェクトに対してオブジェクト識別子構成情報で規定される構成を有するオブジェクト識別子を生成する。
図2に、イベント識別子構成情報の一例を示す。例えば、識別子生成部12は、図2に示すイベント識別子構成情報を参照した場合、システムコール(イベント種別:0X01)に対して、サブ識別子「システムコール名」とサブ識別子「発生時刻」とによって構成されるイベント識別子を生成し、シグナル(イベント種別:0x02)に対して、サブ識別子「シグナル名」とサブ識別子「発生時刻」とによって構成されるイベント識別子を生成する。
また、図3に、オブジェクト識別子構成情報の一例を示す。例えば、識別子生成部12は、図3に示すオブジェクト識別子構成情報を参照した場合、プロセス(オブジェクト種別:0X01)に対して、サブ識別子「プログラムパス名」とサブ識別子「親プロセス」とサブ識別子「プロセスID(pid)」と「サブ識別子「開始時刻」とによって構成されるオブジェクト識別子を生成し、ファイル(オブジェクト種別:0X02)に対して、サブ識別子「iノード番号」とサブ識別子「デバイス番号」とサブ識別子「書込時刻」とサブ識別子「バージョン」とによって構成されるオブジェクト識別子を生成し、ファイル名(オブジェクト種別:0X03)に対して、サブ識別子「パス名」とサブ識別子「修正時刻」とによって構成されるオブジェクト識別子を生成する。
識別子生成部12は、生成したイベント識別子及びオブジェクト識別子を対応付けてログ蓄積部13に送信する。
ログ蓄積部13は、識別子生成部12によって生成されたイベント識別子及びオブジェクト識別子によってログを構成して蓄積するものである。
例えば、ログ蓄積部13は、図4に示すように、イベント識別子と複数のオブジェクト識別子#1、#2…とを対応付けた形式のログを蓄積して管理する。
ログ更新部14は、サブ識別子に対する更新規則に基づいて、ログを構成するサブ識別子に対して所定の更新処理を施して当該ログを更新するものである。
例えば、ログ更新部14は、サブ識別子に対する更新規則に含まれるマスク条件に基づいて、ログを構成するサブ識別子をマスクして当該ログを更新するように構成されている。
図5に、更新規則の一例を示す。図5に示す更新規則には、オブジェクト識別子を構成するサブ識別子に対するマスク条件が含まれている。
例えば、ログ更新部14は、図5に示す更新規則を参照した場合、プロセスが開始されてから閾値1以上の時間が経過した際に、プロセスに係るオブジェクト識別子を構成するサブ識別子「親プロセス」と「プロセスID(pid)」と「開始時刻」とをマスクする。
また、ログ更新部14は、図5に示す更新規則を参照した場合、観測対象システム1のリブート時に、プロセスに係るオブジェクト識別子を構成するサブ識別子「プロセスID(pid)」と「開始時刻」とをマスクする。
なお、ログ更新部14は、図5に示す更新規則を参照した場合、プロセスに係るオブジェクト識別子を構成するサブ識別子「プログラムパス名」をマスクすることができない。
例えば、ログ更新部14は、該当するサブ識別子に対して「0」を上書きすることで、上述のマスク処理を実現することができる。
また、ログ更新部14は、マスク処理の結果、ログを構成する識別子(イベント識別子及びオブジェクト識別子)が一致する複数のログを、1つのログにまとめることができる。
また、イベント識別子又はオブジェクト識別子の少なくとも1つが、サブ識別子の数量を特定するための数量特定情報を含むように構成されていてもよい。図6に、かかる数量特定情報を含むオブジェクト識別子構成情報の一例を示す。
ログ更新部14は、かかる数量特定情報に基づいて、マスク可能なサブ識別子を削除して、オブジェクト識別子(又は、イベント識別子)のビット長を削減することができる。
また、ログ更新部は、サブ識別子を削除した後も正しくログを読み取ることができるように、かかる数量特定情報を更新する。
なお、イベント識別子又はオブジェクト識別子の少なくとも1つに数量特定情報を追加する以外にも、各サブ識別子に後続のサブ識別子が存在するかどうかを示すマーカーを付与することで、同等の機能を実現可能である。
(本発明の第1の実施形態に係るログ記録装置の動作)
図7を参照して、本発明の第1の実施形態に係るログ記録装置10の動作(ログ記録方法)について説明する。
図7に示すように、ステップS1001において、ログ記録装置10は、観測対象システム1において所定のイベントの発生を観測した場合に、観測対象システム1からイベント情報及びオブジェクト情報を取得する。
ステップS1002において、ログ記録装置10は、取得したイベント情報及びオブジェクト情報に基づいて、イベント識別子及びオブジェクト識別子を生成する。図8に、生成された様々なイベント識別子及びオブジェクト識別子の例を示す。
ステップS1003において、ログ記録装置10は、生成したイベント識別子及びオブジェクト識別子を対応付けることによって、上述のイベントに係るログを生成して蓄積する。
ステップS1004において、更新規則に基づいて、ログ(イベント識別子及びオブジェクト識別子)を構成するサブ識別子をマスクすることによって、当該ログを更新する。
図9を参照して、かかるログの更新方法について説明する。図9(a)は、更新前のログを示し、図9(b)は、更新後のログを示す。図9(a)において、ログ#1は、時刻「5」に生成されたものであり、ログ#2は、時刻「10」に生成されたものである。
ログ更新部14は、ログ記録装置10は、更新規則に基づいて、特定のサブ識別子をマスクした結果、ログ#1とログ#2を構成する識別子(イベント識別子及びオブジェクト識別子)が一致した場合、2つのログのうち、新しく生成されたログ#2のみを残してログ#1を削減する。
(本発明の第1の実施形態に係るログ記録装置の作用・効果)
本発明の第1の実施形態に係るログ記録装置10によれば、イベント単位のイベント情報(及び、オブジェクト情報)から取得した重要度や種別の異なる情報をサブ識別子として連接したイベント識別子(及び、オブジェクト識別子)によって、イベントに係るログを構成するため、イベントよりも細かい単位で柔軟にログとして記録する対象を設定することができる。
本発明の第1の実施形態に係るログ記録装置10によれば、所定時間の経過やリブート等といった各種イベントに対応するマスク条件を設定することができ、ログ解析上、不要となった情報を順次削除することが可能となる。
例えば、ログ解析上、リブート前のプロセスID(pid)が不要である場合、当該サブ識別子をマスクすることにより、ログの情報量を削減することができる。
また、本発明の第1の実施形態に係るログ記録装置10によれば、ログの更新時に、詳細な情報が不要となったログのサブ識別子をマスクし後、識別子(イベント識別子及びオブジェクト識別子)が同一のログを1つのログとしてまとめることができる。
この結果、詳細な情報が不要なログのサイズを削減することが可能となり、記録容量の限られたシステム(例えば、携帯電話端末)に好適なログ記録機能を実現できる。
また、本発明の第1の実施形態に係るログ記録装置10によれば、イベント識別子やオブジェクト識別子が数量特定情報を含むため、ログ解析上、重要度の低い情報を含むサブ識別子を削除することが可能となり、ログの情報量を削減する効果を得ることができる。
(本発明の第2の実施形態に係るログ記録装置)
図10乃至図14を参照して、本発明の第2の実施形態に係るログ記録装置10について説明する。以下、本実施形態に係るログ記録装置10について、上述の第1の実施形態に係るログ記録装置10との相違点を主として説明する。
図10に示すように、本実施形態に係るログ記録装置10は、上述の第1の実施形態に係るログ記録装置10の構成に加えて、フラグ設定部21を具備している。
フラグ設定部21は、フラグ設定規則に基づいて、イベント識別子又はオブジェクト識別子の少なくとも1つにフラグを設定するものである。
図11に、フラグ設定部21によって設定されるフラグの一例を示す。例えば、共有メモリ等の一時的なオブジェクトに係るオブジェクト識別子には、「temporalフラグ」が設定され、システムファイルの変更等の重要度の高いイベントに係るイベント識別子には、消去不可能であることを示す「eternalフラグ」が設定される。
図12に、フラグ設定規則の一例を示す。図12に示すように、例えば、フラグ設定規則は、識別子(イベント識別子及びオブジェクト識別子)又はサブ識別子とフラグとの対応表により実現可能である。
ログ蓄積部13は、図13に示すように、フラグ設定部21によってフラグが設定されたイベント識別子及びオブジェクト識別子によってログを構成して蓄積するものである。
本実施形態において、更新規則は、フラグに応じた更新処理を定義可能である。例えば、更新規則は、以下のように、フラグに応じた更新処理を定義する。
-「temporalフラグ」が設定されたオブジェクト識別子について、リブート時に削除する。
-「cleanフラグ」が設定されたイベント識別子又はオブジェクト識別子について、一定時間が経過した後に削除する。
-「eternalフラグ」が設定されたイベント識別子又はオブジェクト識別子については削除を禁止する。
すなわち、ログ更新部14は、更新規則に含まれるマスク条件及びフラグの種別(例えば、「temporalフラグ」や「cleanフラグ」や「eternalフラグ」等)に基づいてログを更新するように構成されている。
また、本実施形態において、観測部11が、観測対象システム1に格納されているオブジェクト記述子を取得するように構成されており、フラグ設定部21が、フラグ設定規則及びオブジェクト記述子に基づいてフラグを設定するように構成されていてもよい。
次に、図14を参照して、本発明の第2の実施形態に係るログ記録装置10の動作(ログ記録方法)について説明する。
図14に示すように、ステップS2001において、ログ記録装置10は、観測対象システム1において所定のイベントの発生を観測した場合に、観測対象システム1からイベント情報及びオブジェクト情報を取得する。かかる場合、ログ記録装置10は、観測対象システム1に格納されているオブジェクト記述子を取得するように構成されていてもよい。
ステップS2002において、ログ記録装置10は、取得したイベント情報及びオブジェクト情報に基づいて、イベント識別子及びオブジェクト識別子を生成する。
ステップS2003において、ログ記録装置10は、フラグ設定規則に基づいて、所定の識別子(イベント識別子及びオブジェクト識別子)又はサブ識別子に対してフラグを設定する。
ステップS2004において、ログ記録装置10は、フラグが設定されたイベント識別子及びオブジェクト識別子を対応付けることによって、上述のイベントに係るログを生成して蓄積する。
ステップS2005において、ログ記録装置10は、更新規則に基づいて、ログ(イベント識別子及びオブジェクト識別子)を構成するサブ識別子をマスクすることによって、かつ、更新規則によって定義されている更新処理を施すことによって、当該ログを更新する。
本発明の第2の実施形態に係るログ記録装置10によれば、フラグ設定部21が、イベント識別子及びオブジェクト識別子に対応付けてフラグを設定し、ログ更新部14が、設定したフラグの種別に応じて更新処理を行うことができる。
ここで、フラグ設定部21は、イベントの種別やオブジェクトの種別に応じてフラグを設定することができるため、一時的なオブジェクトや正常動作であることが確認済みのオブジェクトやイベント等、ログ解析上、重要度が低いログを更新時又は観測時に削除することができる。
この結果、本実施形態に係るログ記録装置10によれば、記録すべきログのサイズを低減する効果や、ログの記録に伴うオーバーヘッドを軽減する効果を得ることができる。
本発明の第2の実施形態に係るログ記録装置10によれば、フラグによって、施されるべき更新処理(イベント又はオブジェクトの属性)を表現することができるため、同一の更新処理が施されるべき識別子(サブ識別子)に対して同一のフラグを割り当てればよく、容易に更新規則を記述することができる。
また、本発明の第2の実施形態に係るログ記録装置10によれば、オブジェクト記述子(プロセス記述子やファイル記述子)中に、フラグ設定に係る情報を埋め込むことにより、観測対象システム1側から、フラグ設定を制御することが可能となる。この結果、本発明の第2の実施形態に係るログ記録装置10によれば、オブジェクトの状態変化を、より迅速に更新処理に反映することができる。
(本発明の第3の実施形態に係るログ記録装置)
図15乃至図17を参照して、本発明の第3の実施形態に係るログ記録装置10について説明する。以下、本実施形態に係るログ記録装置10について、上述の第1及び第2の実施形態に係るログ記録装置10との相違点を主として説明する。
本実施形態に係るログ記録装置10は、上述の第1及び第2の実施形態に係るログ記録装置10の構成に加えて、選別部22を具備している。
選別部22は、フラグ設定規則(図16参照)に基づいて、観測部11から取得したイベント情報又はオブジェクト情報の少なくとも1つにフラグを対応付け、対応付けられたフラグの種別に基づいて、識別子生成部12に送信するイベント情報又はオブジェクト情報を選別するものである。
次に、図17を参照して、本発明の第3の実施形態に係るログ記録装置10の動作(ログ記録方法)について説明する。
図17に示すように、ステップS3001において、ログ記録装置10は、観測対象システム1において所定のイベントの発生を観測した場合に、観測対象システム1からイベント情報及びオブジェクト情報を取得する。
ステップS3002において、ログ記録装置10は、フラグ設定規則(図16参照)に基づいて、イベント情報及びオブジェクト情報の各々にフラグを設定する。
ステップS3003において、ログ記録装置10は、設定されたフラグに基づいて、識別子生成部12に出力するイベント情報及びオブジェクト情報を選別する。
ステップS3004において、ログ記録装置10は、取得したイベント情報及びオブジェクト情報に基づいて、イベント識別子及びオブジェクト識別子を生成する。
ステップS3005において、ログ記録装置10は、生成されたイベント識別子及びオブジェクト識別子を対応付けることによって、上述のイベントに係るログを生成して蓄積する。
ステップS3006において、ログ記録装置10は、更新規則に基づいて、ログ(イベント識別子及びオブジェクト識別子)を構成するサブ識別子をマスクすることによって、かつ、更新規則によって定義されている更新処理を施すことによって、当該ログを更新する。
本発明の第3の実施形態に係るログ記録装置10によれば、ログを更新する際にフラグを利用する代わりに、観測したイベントを選別するためにフラグを利用するため、識別子を生成する対象(イベント又はオブジェクト)及びログとして記録する対象を減らすことができ、必要な処理量が軽減され、処理能力の限られたシステム(例えば、携帯電話端末)に好適なログ記録機能を実現できる。
(本発明の第4の実施形態に係るログ記録装置)
図18を参照して、本発明の第4の実施形態に係るログ記録装置10について説明する。以下、本実施形態に係るログ記録装置10について、上述の第1乃至第3の実施形態に係るログ記録装置10との相違点を主として説明する。
本実施形態に係るログ記録装置10は、上述の第2の実施形態に係るログ記録装置10の構成に加えて、フラグ設定規則更新部31を具備している。
フラグ設定規則更新部31は、観測対象システム1におけるオブジェクトの状態に応じて、フラグ設定規則を更新するものである。
例えば、フラグ設定規則更新部31は、観測対象システム1におけるオブジェクトの状態変化を検出する機能と、変化後のオブジェクトの状態に基づいてフラグ設定規則を更新する機能とを備える。
フラグ設定規則更新部31は、観測対象システム1からの状態変化通知を利用する方法や、オブジェクトの状態情報を定期的に観測対象システム1に要求する方法等を用いて、オブジェクトの状態変化を検出することができる。
例えば、フラグ設定規則更新部31は、オブジェクトが正常状態に変化したことを検知した場合、フラグとして正常フラグを設定するように、フラグ設定規則を更新する。
すなわち、フラグ設定規則更新部31は、観測対象システム1において動作中のプロセスが正常に動作していることを検証した時点で、記録されている識別子に「cleanフラグ」を設定するように、フラグ設定規則を更新する。
なお、プロセスの正常動作の検証は、例えば、OSが、プロセスの実行系列を監査して正常動作時の実行系列と比較することによって実現可能である。
上述のように、フラグ設定規則更新部31が、フラグ設定規則を更新することにより、プロセスの正常動作の確認以後に記録された識別子は、一定時間経過後に削除可能となる。
一方、同一のプロセスであっても、かかるプロセスの正常動作の確認以前に記録された識別子に対しては、異なる更新処理を適用することが可能となる。
また、本実施形態では、フラグ設定規則更新部31は、フラグ設定部21によって参照されるフラグ設定規則を更新するように構成されているが、上述の第3の実施形態に係る選別部22によって参照されるフラグ設定規則を更新するように構成されていてもよい。
本発明の第4の実施形態に係るログ記録装置10によれば、観測対象システム1におけるオブジェクトの状態変化に応じて、適切な更新規則を割り当てることが可能になるため、より適切なログの更新処理を行うことが可能となる。
例えば、プロセスの正常動作が確認できた時点で、ログ更新時に削除可能とするフラグを、記録されている識別子に割り当てることにより、正常動作の確認以降のログを削除可能とする。
(本発明の第5の実施形態に係るログ記録装置)
図19を参照して、本発明の第5の実施形態に係るログ記録装置10について説明する。以下、本実施形態に係るログ記録装置10について、上述の第1乃至第4の実施形態に係るログ記録装置10との相違点を主として説明する。
本実施形態に係るログ記録装置10は、上述の第4の実施形態に係るログ記録装置10の構成に加えて、改竄検知部41を具備している。
改竄検知部41は、フラグ設定部21やフラグ設定規則更新部31やログ更新部14からの要求に応じて、更新規則及びフラグ設定規則の改竄を検知するものである。
具体的には、改竄検知部41は、検証対象の更新規則及びフラグ設定規則に対して電子署名を施す機能と、検証対象の更新規則及びフラグ設定規則に付された電子署名を検証して改竄の有無を検証する機能とを備える。なお、電子署名は、公開鍵署名アルゴリズム等を利用することで実現可能である。この場合、ログ記録装置10の署名鍵によって署名を施して、ログ記録装置10の公開鍵によって署名検証を行うことで、上述の機能を実現できる。
フラグ設定部21は、フラグ設定規則の改竄が検知されない場合にのみ、上述のようなフラグ設定処理を行う。一方、フラグ設定規則の改竄が検知された場合、フラグ設定部21は、フラグ設定処理を中止して、ログ記録装置10の管理者等にその旨を通知する。
フラグ設定規則更新部31は、フラグ設定規則の改竄が検知されない場合にのみ、上述のようなフラグ設定規則更新処理を行う。一方、フラグ設定規則の改竄が検知された場合、フラグ設定規則更新部31は、フラグ設定規則更新処理を中止して、ログ記録装置10の管理者等にその旨を通知する。なお、フラグ設定規則更新処理が正常に完了した場合、フラグ設定規則更新部31は、更新済みのフラグ設定規則に対する電子書名を改竄検知部に要求し、電子署名が付されたフラグ設定規則を記録する。
ログ更新部14は、更新規則の改竄が検知されない場合にのみ、上述のようなログ更新処理を行う。一方、更新規則の改竄が検知された場合、ログ更新部14は、ログ更新処理を中止して、ログ記録装置10の管理者等にその旨を通知する。
本発明の第5の実施形態に係るログ記録装置10によれば、更新規則及びフラグ設定規則の改竄によって、ログ更新処理やフラグ設定処理やフラグ設定規則更新処理を不正に操作するという攻撃を防止することができ、より安全なログ記録装置10を実現可能となる。
本発明の第1の実施形態に係るログ記録装置の機能ブロック図である。 本発明の第1の実施形態に係るログ記録装置の識別子生成部で参照されるイベント識別子構成情報の一例である。 本発明の第1の実施形態に係るログ記録装置の識別子生成部で参照されるオブジェクト識別子構成情報の一例である。 本発明の第1の実施形態に係るログ記録装置のログ蓄積部に蓄積されるログの一例である。 本発明の第1の実施形態に係るログ記録装置のログ更新部によって参照される更新規則の一例である。 本発明の第1の実施形態に係るログ記録装置の識別子生成部で生成されるオブジェクト識別子の構成の一例である。 本発明の第1の実施形態に係るログ記録装置の動作を示すフローチャートである。 本発明の第1の実施形態に係るログ記録装置の動作を説明するための図である。 本発明の第1の実施形態に係るログ記録装置の動作を説明するための図である。 本発明の第2の実施形態に係るログ記録装置の機能ブロック図である。 本発明の第2の実施形態に係るログ記録装置のフラグ設定部によって設定されるフラグの一例である。 本発明の第2の実施形態に係るログ記録装置のフラグ設定部によって参照されるフラグ設定規則の一例である。 本発明の第2の実施形態に係るログ記録装置のログ蓄積部に蓄積されるログの一例である。 本発明の第2の実施形態に係るログ記録装置の動作を示すフローチャートである。 本発明の第3の実施形態に係るログ記録装置の機能ブロック図である。 本発明の第3の実施形態に係るログ記録装置の選別部によって参照されるフラグ設定規則の一例である。 本発明の第3の実施形態に係るログ記録装置の動作を示すフローチャートである。 本発明の第4の実施形態に係るログ記録装置の機能ブロック図である。 本発明の第5の実施形態に係るログ記録装置の機能ブロック図である。
符号の説明
1…観測対象システム
10…ログ記録装置
11…観測部
12…識別子生成部
13…ログ蓄積部
14…ログ更新部
21…フラグ設定部
22…選別部
31…フラグ設定規則更新部
41…改竄検知部

Claims (10)

  1. 観測対象の動作状態のログを記録するログ記録装置であって、
    所定のイベントの発生を観測し、該イベントに係る情報及び該イベントに関連するオブジェクトに係る情報を取得する観測部と、
    前記イベントに係る情報から取得された少なくとも1つのサブ識別子によって構成されるイベント識別子を生成し、前記オブジェクトに係る情報から取得された少なくとも1つのサブ識別子によって構成されるオブジェクト識別子を生成する識別子生成部と、
    前記イベント識別子及び前記オブジェクト識別子によって前記ログを構成して蓄積するログ蓄積部と、
    前記サブ識別子に対する更新規則に基づいて、前記ログを構成する前記サブ識別子に対して所定の更新処理を施して該ログを更新するログ更新部とを具備することを特徴とするログ記録装置。
  2. フラグ設定規則に基づいて、前記イベント識別子又は前記オブジェクト識別子の少なくとも1つにフラグを設定するフラグ設定部を具備し、
    前記ログ更新部は、前記フラグの種別を含む前記更新規則に基づいて前記ログを更新することを特徴とする請求項1に記載のログ記録装置。
  3. フラグ設定規則に基づいて、前記イベントに係る情報又は前記オブジェクトに係る情報の少なくとも1つにフラグを対応付け、対応付けられた前記フラグの種別に基づいて前記識別子生成部に送信する前記イベントに係る情報又は前記オブジェクトに係る情報を選別する選別部をさらに具備することを特徴とする請求項1に記載のログ記録装置。
  4. 前記観測対象におけるオブジェクトの状態に応じて前記フラグ設定規則を更新するフラグ設定規則更新部をさらに具備することを特徴とする請求項2又は3に記載のログ記録装置。
  5. 前記フラグ設定規則更新部は、前記オブジェクトが正常状態に変化したことを検知した場合、前記フラグとして正常フラグを設定するように前記フラグ設定規則を更新することを特徴とする請求項4に記載のログ記録装置。
  6. 前記観測部は、前記観測対象システムに格納されているオブジェクト記述子を取得し、
    前記フラグ設定部は、前記フラグ設定規則及び前記オブジェクト記述子に基づいて前記フラグを設定することを特徴とする請求項2に記載のログ記録装置。
  7. 前記更新規則の改竄を検知する改竄検知部を具備し、
    前記ログ更新部は、前記更新規則の改竄が検知されない場合にのみ、前記ログを更新することを特徴とする請求項1に記載のログ記録装置。
  8. 前記フラグ設定規則の改竄を検知する改竄検知部を具備し、
    前記フラグ設定部は、前記フラグ設定規則の改竄が検知されない場合にのみ、前記フラグを設定することを特徴とする請求項2に記載のログ記録装置。
  9. 前記イベント識別子又は前記オブジェクト識別子の少なくとも1つは、前記サブ識別子の数量を特定するための数量特定情報を含み、
    前記ログ更新部は、前記ログを構成する前記サブ識別子をマスクした場合に、前記数量特定情報を更新することを特徴とする請求項1に記載のログ記録装置。
  10. 観測対象の動作状態のログを記録するログ記録方法であって、
    所定のイベントの発生を観測し、該イベントに係る情報及び該イベントに関連するオブジェクトに係る情報を取得する工程と、
    前記イベントに係る情報から取得された少なくとも1つのサブ識別子によって構成されるイベント識別子を生成し、前記オブジェクトに係る情報から取得された少なくとも1つのサブ識別子によって構成されるオブジェクト識別子を生成する工程と、
    前記イベント識別子及び前記オブジェクト識別子によって前記ログを構成して蓄積する工程と、
    前記サブ識別子に対する更新規則に基づいて、前記ログを構成する前記サブ識別子に対して所定の更新処理を施して該ログを更新する工程とを有することを特徴とするログ記録方法。

JP2004296463A 2004-10-08 2004-10-08 ログ記録装置及びログ記録方法 Pending JP2006107348A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004296463A JP2006107348A (ja) 2004-10-08 2004-10-08 ログ記録装置及びログ記録方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004296463A JP2006107348A (ja) 2004-10-08 2004-10-08 ログ記録装置及びログ記録方法

Publications (1)

Publication Number Publication Date
JP2006107348A true JP2006107348A (ja) 2006-04-20

Family

ID=36376983

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004296463A Pending JP2006107348A (ja) 2004-10-08 2004-10-08 ログ記録装置及びログ記録方法

Country Status (1)

Country Link
JP (1) JP2006107348A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007166175A (ja) * 2005-12-13 2007-06-28 Fuji Xerox Co Ltd 画像処理プログラム、画像処理方法、画像処理装置および画像処理システム
US8010573B2 (en) 2007-11-13 2011-08-30 Kabushiki Kaisha Toshiba Log recording apparatus
KR20200085798A (ko) * 2018-02-27 2020-07-15 알리바바 그룹 홀딩 리미티드 블록체인에 기반한 트랜잭션을 실행하기 위한 방법, 장치, 및 전자 디바이스
CN111782884A (zh) * 2020-06-10 2020-10-16 北京金和网络股份有限公司 事件信息管理方法、系统及计算机可读存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007166175A (ja) * 2005-12-13 2007-06-28 Fuji Xerox Co Ltd 画像処理プログラム、画像処理方法、画像処理装置および画像処理システム
US8010573B2 (en) 2007-11-13 2011-08-30 Kabushiki Kaisha Toshiba Log recording apparatus
KR20200085798A (ko) * 2018-02-27 2020-07-15 알리바바 그룹 홀딩 리미티드 블록체인에 기반한 트랜잭션을 실행하기 위한 방법, 장치, 및 전자 디바이스
JP2021511560A (ja) * 2018-02-27 2021-05-06 アドバンスド ニュー テクノロジーズ カンパニー リミテッド ブロックチェーンに基づいてトランザクションを実行するための方法、装置、および電子デバイス
KR102403581B1 (ko) * 2018-02-27 2022-05-30 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. 블록체인에 기반한 트랜잭션을 실행하기 위한 방법, 장치, 및 전자 디바이스
CN111782884A (zh) * 2020-06-10 2020-10-16 北京金和网络股份有限公司 事件信息管理方法、系统及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN110826111B (zh) 测试监管方法、装置、设备及存储介质
CN109831420B (zh) 内核进程权限的确定方法及装置
CN103294950B (zh) 一种基于反向追踪的高威窃密恶意代码检测方法及系统
US8769296B2 (en) Software signature tracking
CN101482887B (zh) 数据库关键数据的防篡改检验方法
CN108268354A (zh) 数据安全监控方法、后台服务器、终端及系统
CN109308421B (zh) 一种信息防篡改方法、装置、服务器和计算机存储介质
RU2693188C1 (ru) Способ управления и блок для переносных устройств хранения и носитель хранения
WO2015184752A1 (zh) 一种异常进程检测方法及装置
CN103632080A (zh) 一种基于USBKey的移动数据应用安全保护系统及其方法
Wagner et al. Carving database storage to detect and trace security breaches
CN108234400B (zh) 一种攻击行为确定方法、装置及态势感知系统
CN107563192A (zh) 一种勒索软件的防护方法、装置、电子设备及存储介质
KR100853721B1 (ko) 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
CN113542191A (zh) 基于区块链的数据访问、验证的方法以及装置
CN116909838B (zh) 一种异常日志上报方法、系统、终端设备及存储介质
JP2011039720A (ja) ログ監視プログラム、ログ監視システム
JP2006107348A (ja) ログ記録装置及びログ記録方法
JP5310075B2 (ja) ログ収集システム、情報処理装置、ログ収集方法およびプログラム
CN110677483B (zh) 信息处理系统和可信安全管理系统
CN112187787A (zh) 基于知识图谱的数字营销广告页防篡改方法、装置及设备
CN114282278A (zh) 移动存储设备安全事件取证方法、装置及电子设备
CN111008395B (zh) 一种u盘保护的方法和装置
CN114186278A (zh) 数据库异常操作识别方法、装置与电子设备
Silowash et al. Insider threat control: Using universal serial bus (usb) device auditing to detect possible data exfiltration by malicious insiders