日志輸出裝置具備：生成部，其生成表示處理的執行歷史記錄的日志；存儲器，其保持第一列表、第二列表以及第三列表，所述第一列表包含表示處理異常的第一靜態信息，所述第二列表包含表示處理正常的第二靜態信息，所述第三列表包含用于根據日志來決定是否要輸出該日志的動態信息；以及篩選部，其在所生成的日志具有第一靜態信息的情況下決定輸出該日志，并且，在所生成的日志具有第二靜態信息的情況下決定不輸出該日志。篩選部基于所生成的日志和第三列表來決定是否要輸出該日志。

技術領域

本公開涉及一種日志輸出裝置、日志輸出方法以及日志輸出系統。

背景技術

IoT(Internet of Things：物聯網)設備也被稱為“物聯網”，是以下一種設備：該設備具有處理器和工作裝置，該設備能夠將由工作裝置按照處理器的指示獲取到的數據或信息發送到經由通信網絡(例如因特網)連接的通信對方。工作裝置例如是指用于檢測規定的現象或參數的感應裝置、或用于拍攝視角內的被攝體的攝像裝置。IoT設備與PC(Personal Computer：個人計算機)等信息處理裝置同樣，當工作裝置執行了某些事件時，生成表示與該事件的執行或者同其它設備之間的通信有關的歷史記錄的日志。

在專利文獻1中公開了如下一種惡性通信日志檢測裝置：對表示已知是惡性或良性的通信日志的特征的第一字符串、以及第一字符串與作為對象通信日志的特征的字符串相結合而得到的第二字符串進行壓縮，基于壓縮后的第一字符串的數據尺寸和壓縮后的第二字符串的數據尺寸，來計算用于判定對象通信日志是惡性的還是良性的得分。該惡性通信日志檢測裝置基于計算出的得分和規定的參數，來判定對象通信日志是惡性的還是良性的。

現有技術文獻

專利文獻

專利文獻1：國際公開第2017/221667號

發明內容

發明要解決的問題

如今，作為對PC等信息處理裝置的日志(例如通信歷史記錄)進行分析來判斷該信息處理裝置是否未暴露于危險(例如，是否未從第三方受到網絡攻擊)的安全技術，已知SIEM(Security Information and Event Management：安全信息和事件管理)。SIEM應對設備能夠收集從信息處理裝置發送的多個日志，并對收集到的各個日志進行分析，由此盡早探測對該信息處理裝置的攻擊或該攻擊的前兆并通知給管理者。

在此，伴隨著上述的IoT設備的普及，能夠想到以下可能性：將SIEM的服務的對象范圍不僅限于PC等信息處理裝置，擴展到IoT設備。在該情況下，會從非常大量的IoT設備向SIEM發送日志，因此SIEM中的日志的分析對象數量增加巨大，SIEM的處理負荷增加。也就是說，若比PC等信息處理裝置的配置數量多的IoT設備將全部日志報告(發送)到SIEM，則不僅通信網絡的通信量增大，SIEM中的分析處理也會變得煩雜。

另外，與上述的PC等信息處理裝置相比，IoT設備中搭載的處理器的性能低，因此當輸出的日志的量變多時，會對IoT設備自身的與常規處理有關的基本功能產生不良影響，產生處理延遲等擔憂。在上述的專利文獻1中也未考慮減輕每當從一個一個的IoT設備向SIEM發送大量的日志的情況下可能產生的通信量的增大、或抑制來自IoT設備的日志的輸出的技術對策。

本公開是鑒于上述的以往的情況而提出的，目的在于提供一種根據作為處理歷史記錄而生成的日志來合理地篩選作為向SIEM報告的報告對象的日志、從而抑制對與常規處理有關的基本功能造成的不良影響和通信網絡的通信量的增大的日志輸出裝置、日志輸出方法以及日志輸出系統。

用于解決問題的方案