车载装置、日志收集系统的制作方法

本发明涉及车载装置、和日志收集系统。

背景技术：

近年来，随着车载装置的网络化等，在车载装置系统的领域中，适当的安全性的必要性也在提高。关于这样的车载装置的安全技术，网络上的服务器得知车载装置的状况、服务器检测出车载装置的异常的结构广为人知。在专利文献1中，公开了能够从车辆等移动体用与状况相应的适当的方法发送其位置信息等移动体信息的装置。

现有技术文献

专利文献

专利文献1：日本国特开2005-12441号公报

技术实现要素：

发明要解决的课题

如上所述的使用服务器的车载装置的异常检测中，通过在车载装置中将大量的详细信息作为日志收集并对服务器发送，能够由服务器检测出车载装置中发生的各种异常。但是，一般而言，车载装置因设置空间的制约等而缺乏资源，能够收集的信息量受到限定。因此，需要与车载装置处于的状况相应地收集适当的日志，但专利文献1中记载的发明中，不能进行该处理。

用于解决课题的方法

本发明的第1方式的车载装置，是一种与服务器通过网络连接的装载于车辆中的车载装置，其特征在于，包括：日志收集部，其收集日志；日志保存部，其用于存储所述日志的至少一部分；日志优先度信息保存部，其保存表示存储于所述日志保存部中的日志的优先度的日志优先度信息；存储日志决定部(s606)，其基于所述日志优先度信息决定要存储到所述日志保存部的日志；通信部，其将存储于所述日志保存部中的日志发送至所述服务器；和日志优先度表管理部，其基于来自所述服务器的更新指令将保存于所述日志优先度信息保存部中的所述日志优先度信息更新。

本发明的第2方式的日志收集系统，是一种由第1方式的信息处理装置、和与所述车载装置通过所述网络连接的所述服务器构成的日志收集系统，其特征在于：所述服务器包括：日志分析部，其对从所述车载装置接收的日志进行分析而检测攻击的可能性；和日志优先度变更指示部，其在所述日志分析部检测到攻击的可能性时，对所述车载装置发送所述更新指令，使其将保存于所述日志优先度信息保存部中的所述日志优先度信息更新。

发明效果

根据本发明，能够与车载装置处于的状况相应地收集适当的日志。

附图说明

图1是日志收集系统的结构图。

图2是举例示出日志优先度表的结构的图。

图3是举例示出日志表的结构的图。

图4是举例示出临时日志表的结构的图。

图5是表示车载装置取得并存储日志的处理的流程图。

图6是表示服务器收集日志之后的一系列处理的流程图。

图7是表示车载装置进行的日志优先度表的更新处理的流程图。

图8是表示车载装置将起到日志收集部作用的程序更新的程序更新处理的流程图。

具体实施方式

以下，参考图1～图8，说明日志收集系统的实施方式。

图1是日志收集系统的结构图。日志收集系统1由服务器10、和车载装置30构成。服务器10与车载装置30经由网络20连接。图1中仅记载了1台车载装置30，但服务器10与多个车载装置30连接。与服务器10连接的多个车载装置30分别被装载在不同的车辆中。车载装置30通过执行1个或多个程序，能够对车辆的乘坐者提供各种服务。车载装置30中执行的程序在车载装置30出厂时安装。

(服务器的结构)

服务器10包括cpu100、存储器110、服务器通信部120、输入部130、和输出部140。以下，将操作服务器10的输入部130的人物称为“操作员”。

cpu100执行在未图示的rom中保存的程序，执行使服务器10工作用的各种运算处理。该程序使用存储器110中存储的数据。cpu100在功能上具有日志分析部101、临时日志信息生成部102、日志优先度变更指示部103、日志变更指示部104、服务指示部105。

日志分析部101对从车载装置30收集的日志进行分析，进行对车载装置30的攻击的可能性的检测、和对车载装置30的攻击的检测。临时日志信息生成部102在日志分析部101检测出对车载装置30的攻击的可能性时，将后述的日志表和后述的日志优先度表改写。日志优先度变更指示部103生成对车载装置30通知临时日志信息生成部102改写后的日志优先度表的信息用的日志优先度表变更请求消息，并对车载装置30发送。另外，在日志优先度表变更请求消息中，包括改写后的日志优先度表的整体的内容。日志变更指示部104对车载装置30通知临时日志信息生成部102改写后的日志表的信息。但是，如后所述，本实施方式中，日志表的信息包括在程序中，所以日志变更指示部104通过对车载装置30发送程序而对车载装置30通知日志表的变更。服务指示部105在由日志分析部101判断需要立刻停止服务的情况下，对车载装置30输出服务停止的指示。

在存储器110中保存数据。存储器110在功能上具有收集日志保存部111、日志表集保存部112、日志优先度表集保存部113、和临时日志表保存部114。

在收集日志保存部111中，保存从各车载装置30收集的日志。

在日志表集保存部112中，保存指定各车载装置30作为日志收集的信息的日志表。日志表按每个车载装置30不同，所以在日志表集保存部112中，保存与连接至服务器10的车载装置30相同数量的日志表。但是，也可以由某些车载装置30共享日志表，日志表集保存部112中保存的日志表的数量可以比连接至服务器10的车载装置30的数量更少。

在日志优先度表集保存部113中，保存表示各车载装置30存储的日志的优先度的日志优先度表。日志优先度表按每个车载装置30不同，所以在日志优先度表集保存部113中，保存与连接至服务器10的车载装置30相同数量的日志优先度表。但是，也可以由某些车载装置30共享日志优先度表，日志优先度表集保存部113中保存的日志优先度表的数量可以比连接至服务器10的车载装置30的数量更少。

在临时日志表保存部114中，保存在日志分析部101检测到攻击发生的风险的情况下、决定临时收集的日志的临时日志表。本实施方式中的临时日志表是1个，对于全部车载装置30共通地使用。

服务器通信部120经由网络20与车载装置30进行通信。

输入部130检测出操作员的操作输入，对cpu100输出。输入部130例如由鼠标和键盘等构成。

输出部140按照来自cpu100的指示进行画面显示和声音输出。输出部140例如由显示器和扬声器等构成。

(车载装置的结构)

车载装置30包括cpu150、存储器160、车载通信部170、输入部180、和输出部190。以下，将操作车载装置30的输入部180的人物、和装载车载装置30的车辆的乘坐者称为“用户”。

cpu150执行存储器160中保存的未图示的程序，执行使车载装置30工作用的各种运算处理。该运算处理中，也包括对用户提供服务用的程序的执行。cpu150在功能上具有日志收集部151、日志优先度表管理部152、程序更新部153、和服务控制部154。

日志收集部151取得对服务器10发送用的日志，将日志存储至日志保存部163。日志收集部151收集怎样的信息作为日志，是硬编码在程序中的。日志优先度表管理部152基于服务器10的指令将日志优先度表保存部162中保存的日志优先度表更新。程序更新部153将cpu150执行的程序更新为更新程序保存部165中保存的程序。通过该程序的更新，而变更日志收集部151作为日志收集的信息。服务控制部154基于用户使用输入部180进行的服务开始/停止指示、和来自服务器10的服务停止指示控制服务的提供。

存储器160在功能上具有日志表保存部161、日志优先度表保存部162、日志保存部163、车载装置信息保存部164、更新程序保存部165。但是，日志表包括在存储器160中保存的上述程序中。即，日志表被改变方式地保存在存储器160中，所以在图1中用虚线示出了日志表保存部161。

在日志表保存部161中，保存表示作为日志收集的信息的具体的内容的信息即日志表。换言之，日志表中保存的信息是表示作为日志收集的信息的信息。在日志优先度表保存部162中，保存管理存储的日志的优先度用的信息即日志优先度表。在日志保存部163中，存储保存日志收集部151取得的日志。在车载装置信息保存部164中，保存识别车载装置的设备id。在更新程序保存部165中，暂时性地保存从服务器接收的程序。

车载通信部170经由网络20与服务器10进行通信。车载通信部170在将日志收集部151收集的日志发送至服务器10时，将车载装置信息保存部164中保存的设备id、和收集该日志时的时刻和车载装置30的位置信息、即纬度和经度一同发送。位置信息可以从装载车载装置30的车辆的其他设备输入，也可以包括车载装置30取得位置信息的结构、例如gps接收机。

输入部180检测出用户的操作输入，对cpu100输出。输入部180例如是键盘输入和触摸面板输入等。输出部190按照来自cpu150的指示进行画面显示和声音输出。输出部190例如由显示器和扬声器等构成。

(服务)

车载装置30能够对用户提供各种服务。车载装置30提供的服务能够按照用户的指令任意地开始和停止。但是，如后所述，从服务器10接受了停止指令的服务与用户的操作指令无关地被停止。

服务例如是对到用户选择的目的地的路线进行导航的导航服务、介绍当前地点或用户输入的目的地的周边存在的推荐地点的设施介绍服务、通知车辆的部件更换的时期的维护服务、通知周边道路的交通拥堵信息的交通拥堵信息服务等。执行这些服务的各程序，为了提高便利性而将用户的输入历史分别保存在独立的文件中。设想这些文件仅从执行各服务的程序访问。

(日志优先度表)

图2是举例示出服务器10的日志优先度表集保存部113、和车载装置30的日志优先度表保存部162中保存的日志优先度表的结构的图。是否将收集的日志存储是根据该日志优先度表中记载的优先度决定的，详情在后文中叙述。在日志优先度表中未记载的日志，被视为优先度最低的。另外，图2中，示出了车载装置30的日志优先度表保存部162中保存的、与一个车载装置30对应的日志优先度表的例子。因此，在服务器10的日志优先度表集保存部113中，与日志收集系统1中包括的车载装置30的数量相应地，保存多种如图2所示的日志优先度表。

日志优先度表由优先度201、日志种类202、模式203、条件种类204、区域205、服务206、和有效时间207这7个字段构成。日志优先度表由1个或多个记录构成。

在优先度201的字段中，按数值保存表示存储日志的优先度的信息，该数值越小表示优先度越高。可以存在多个优先度相同的记录。在日志种类202的字段中，保存表示日志的种类的识别符。在模式203的字段中，保存表示记录是持续地有效、还是暂时地有效的信息，持续的情况下保存“通常”，暂时的情况下保存“临时”。在模式203是“临时”的情况下，在有效时间207中保存记录有效的期间。换言之，持续地有效的记录中，有效时间207中保存的期间表示“无规定地持续”。

在条件种类204的字段中，保存记录有效的条件。记录没有特别的条件地总是有效的情况下保存“总是”，记录在某种条件下有效的情况下保存该条件。例如记录以车载装置30位于特定区域内为条件而有效的情况下，在条件种类204中保存“区域”。另外，记录以车载装置30执行特定服务为条件而有效的情况下，对于条件种类204保存“服务”。在区域205的字段中，保存在条件种类204中保存了“区域”的情况下的关于区域的条件。在服务206的字段中，保存在条件种类204中保存了“服务”的情况下的关于服务的条件。

在有效时间207的字段中，保存模式203是“临时”的记录有效的期间。例如图2的第4个记录示出了车载装置30位于纬度x11～x12的范围、且经度y11～y12的范围中、进而在2016年1月1日的10时0分至10时30分的30分钟内有效。

另外，服务器10的日志优先度表集保存部113和车载装置30的日志优先度表保存部162中保存的信息，也可以是如图2所示的表形式以外的信息。即，只要是适当地表示日志保存部163中保存的日志的优先度的信息，就可以在日志优先度表集保存部113和日志优先度表保存部162中保存任意形式的信息。

(日志表)

图3是举例示出服务器10的日志表集保存部112和车载装置30的日志表保存部161中保存的日志表的结构的图。日志表是指定日志收集部151作为日志收集的信息的表。另外，图3中，示出了车载装置30的日志表保存部161中保存的、与一个车载装置30对应的日志表的例子。因此，在服务器10的日志表集保存部112中，与日志收集系统1中包括的车载装置30的数量相应地，保存多种如图3所示的日志表。日志表由1个或多个记录构成，由日志种类301和日志内容302这2个字段构成。在日志种类301的字段中，保存表示日志的种类的识别符、即与日志优先度表的日志种类202相同的信息。在日志内容302的字段中，保存作为日志取得的信息的具体内容。

另外，服务器10的日志表集保存部112和车载装置30的日志表保存部161中保存的信息，也可以是如图3所示的表形式以外的信息。即，只要是适当地表示日志收集部151收集的日志的内容的信息，就可以在日志表集保存部112和日志表保存部161中保存任意形式的信息。

(攻击的检测)

设想与网络连接的车载装置30从外部受到各种攻击。另外，也设想受到与特定服务密切相关的攻击。

作为不限定于特定服务的攻击，例如可以考虑dos(denialofservice)攻击。dos攻击是通过发送大量的数据而浪费通信资源和计算资源、妨碍车载装置30的正常动作的攻击。该攻击通过记录表示车载装置30的接收数据量的分组(packet)接收量、和表示处理负荷的大小的cpu使用率而检测。因此，在后述的临时日志表中规定在判断为存在发生了dos攻击的可能性时、优先地记录分组接收量和cpu使用率。

作为与特定服务相关的攻击，例如可以考虑对服务中使用的文件的非法访问。例如，关于某一服务使用的特定文件(以下称为文件a)，设想仅对特定程序赋予了读写文件a的权限的以下情况。即，设想想要该文件a中保存的信息的人物访问车载装置30并非法取得文件a的信息的情况。该攻击通过记录对文件a的访问记录、例如进行访问的程序的名称和访问时刻而检测。因此，在后述的临时日志表中规定在判断为存在发生了非法访问的可能性时、优先地记录发生对文件a的访问的日期时间和进行访问的程序等。

(临时日志表)

图4是举例示出服务器10的临时日志表保存部114中保存的临时日志表的结构的图。临时日志表由1个或多个记录构成。临时日志表由攻击种类401、临时日志对象的车载装置402、日志种类403、收集条件404、区域405、服务406、有效期间407的字段构成。以下，将基于该临时日志表收集的日志称为“临时日志”。

在攻击种类401的字段中，保存服务器10的日志分析部101判断存在攻击发生的可能性的攻击的种类。

在临时日志对象收集的车载装置402的字段中，保存作为临时收集日志的对象的车载装置30的条件。换言之，是作为更新日志优先度表的对象的车载装置30的条件。该条件例如是地理条件或关于车载装置30的结构的条件。地理条件例如是存在于从收集了判断为存在攻击的可能性的日志的地点起规定距离以内。关于车载装置30的结构的条件例如是与收集了判断为存在攻击的可能性的日志的车载装置30机型一致。

在日志种类403的字段中，保存临时收集的日志的识别符。在条件种类404的字段中，保存收集临时日志的条件。在区域405的字段中，保存条件种类404表示区域的情况下的、区域的条件。在服务406的字段中，保存条件种类404表示服务的情况下的、执行的服务的条件。在有效期间407的字段中保存临时日志收集的有效期间。另外，收集条件404不限定于区域和服务，也可以使用其他条件。该情况下在临时日志表中新设置记载收集条件的内容的字段。

服务器10的临时日志信息生成部102在日志分析部101判定存在对某一个车载装置30的攻击发生的可能性时，基于临时日志表保存部114中保存的临时日志表，将日志优先度表集保存部113中保存的日志优先度表中的、与包括该车载装置的多个车载装置30对应的日志优先度表改写。该改写后的日志优先度表被从服务器10发送至各车载装置30时，在各车载装置30中日志优先度表保存部162中保存的日志优先度表被更新。由此，反映临时日志表地变更车载装置30的日志优先度表，在车载装置30中存储与该变更后的日志优先度表相应的日志。在图2所示的日志优先度表的例子中，模式203的字段是“临时”的3个记录，是基于临时日志表追加的记录。这些记录中，上方2个是因为在2016年1月1日的10时0分判断为存在“dos攻击”的可能性而追加的记录，下方1个是因为在2016年1月1日的9时0分判断为存在“非法访问”的可能性而追加的记录。

(日志收集)

车载装置30的日志收集部151每隔规定的时间周期、例如1分钟地收集日志。日志收集部151收集的信息被记载在包括在程序中的日志表中。

日志收集部151收集的日志被尽可能地合并地保存在日志保存部163中。日志的合并指的是通过改写已保存的日志而不增加数据量地一并保存新的日志。在合并时改写的信息主要是关于时刻的信息。例如，从10时0分起的5分钟的分组接收量的平均值是80分组/分的情况下，日志被记录为“10:00～10:0580p/分”。从10时5分起的5分钟的分组接收量的平均值也是80分组/分的情况下，能够与先前的日志合并地记录为“10:00～10:1080p/分”。另外，从10时5分起的5分钟的分组接收量的平均值是100分组/分的情况下，可以与先前的日志合并地记录为“10:00～10:1090p/分”。

(日志收集的流程图)

图5是表示车载装置30取得、存储日志的处理的流程图。以下说明的各步骤的执行主体是车载装置30的cpu150。

在步骤s601中，使用日志收集部151收集日志。如上所述，日志收集部151收集的日志的信息，是硬编码在程序中的。本步骤中收集的日志被放置在暂时性的存储区域中，尚未保存在日志保存部163中。在接下来的步骤s602中，判断取得的日志是否能够与日志保存部163中保存的日志合并。在判断为能够合并的情况下前进至步骤s609，在判断为不能合并的情况下前进至步骤s603。另外，取得了多个日志且判断为仅有一部分日志能够合并的情况下，仅对于不能合并的日志进行步骤s603以后的处理。

在步骤s603中，对日志保存部163的空闲容量与取得的日志的容量进行比较，判断是否能够将日志存储在日志保存部163中。在判断为能够存储的情况下前进至步骤s613，在判断不能存储的情况下前进至步骤s604。本步骤中的判断可以通过对日志保存部163的空闲容量与取得的日志容量进行单纯比较而进行，也可以对从日志保存部163的空闲容量中除去规定的预约容量得到的容量与取得的日志容量进行比较。

在步骤s604中，判断是否能够对服务器10发送取得的日志、即是否处于能够进行车载装置30与服务器10的通信的状态。在判断为能够发送日志的情况下前进至步骤s610，在判断为不能发送日志的情况下前进至步骤s605。

在步骤s605中，参考日志优先度表保存部162中保存的日志优先度表，对判断为不能发送的日志的优先度进行判断。此时，关于日志优先度表的条件种类204的字段是“总是”以外的记录，仅在满足记载的条件的情况下将该记录视为有效，在不满足条件的情况下将该记录视为无效。视为无效时与在日志优先度表中没有记载的情况同样地，视为优先度最低。

在接下来的步骤s606中，基于日志保存部163的空闲容量，决定存储的日志的优先度。空闲容量越多则将直到越低的优先度作为存储对象，空闲容量越少则仅存储越高的优先度的日志。在接下来的步骤s607中，对步骤s606中决定的优先度与步骤s605中确定的取得的日志的优先度进行比较。在判断为取得的日志的优先度更高的情况下前进至步骤s612，在判断为取得的日志的优先度在步骤s606中决定的优先度以下的情况下前进至步骤s608。

在步骤s608中，将取得的日志丢弃并结束图5的流程图。

在步骤s609中，将取得的日志合并至日志保存部163中保存的日志并结束图5的流程图。

在步骤s604中作出肯定判断时执行的步骤s610中，将日志保存部163中保存的日志发送至服务器10。在接下来的步骤s611中，判断日志的发送是否成功，在判断为成功的情况下前进至步骤s613，在判断为失败的情况下前进至步骤s605。

在步骤s607中作出肯定判断时执行的步骤s612中，将日志保存部163中存储的日志中、优先度最低的日志丢弃。在步骤s613中将取得的日志存储在存储器160的日志保存部163中，结束图5的流程图。

(日志分析部的动作)

服务器10的日志分析部101通过对从车载装置30取得的日志进行分析，而进行对车载装置30的攻击的可能性的检测、或对车载装置30的攻击的检测。对车载装置30的攻击是多种多样的，每天都研究出了新的方法。此处说明的检测方法是一例，在得知了新的攻击方法时在日志分析部101中实现检测出该攻击的分析方法。作为日志分析部101的动作的一例，对于dos攻击的检测进行说明。

日志分析部101使用某一车载装置30的日志检测出发生了dos攻击的可能性。如果检测出发生了dos攻击的可能性，则日志分析部101使用多个车载装置30的详细的日志，判断是否实际发生了dos攻击。换言之，日志分析部101使用少量的日志检测攻击的可能性，使用大量的详细日志得到发生攻击的确信。

日志分析部101通过某一区域中的车载装置30的单位时间的分组接收量、与其他区域中的分组接收量的比较来判断dos攻击的可能性。日志分析部101在分组接收量的差在某一阈值以下的情况下判断为不存在攻击发生的可能性，在分组接收量的差超过了某一阈值的情况下判断为存在dos攻击发生的可能性。

日志分析部101在分组接收量之外也使用cpu使用率判断实际发生了dos攻击。在某一区域中的车载装置30的单位时间的分组接收量、与其他区域中的分组接收量的差超过阈值、并且cpu使用率超过规定阈值的情况下判断为发生了dos攻击。另外，分组接收量的比较也可以用同一区域中的过去的同一时刻的平均分组接收量作为对象。

(日志接收后的处理)

用图6说明服务器10从车载装置30收集日志之后的一系列处理。以下说明的各步骤的执行主体是服务器10的cpu100。

在步骤s701中，使用日志分析部101对接收的日志进行分析。日志分析部101判断攻击发生的可能性的判断、和存在发生的可能性的攻击的种类。在接下来的步骤s702中，参考步骤s701中的分析结果，在判断为存在发生了攻击的可能性的情况下前进至步骤s703，在判断为不存在发生了攻击的可能性的情况下结束图6的流程图。

在步骤s703中，临时日志信息生成部102决定作为临时日志的收集对象的车载装置30。首先，cpu100从临时日志表中检索与由步骤s701中的日志的分析结果指定的攻击种类一致的记录。接着，cpu100参照该记录中的临时日志收集对象402的字段而决定临时日志的收集对象。例如，如图4所示，将存在于从收集了判断为存在攻击的可能性的日志的地点起半径2km以内的车载装置30、和与收集了判断为存在攻击的可能性的日志的车载装置30相同机型、和类似的2个机型的车载装置30决定为收集对象。接着，前进至步骤s704。以下说明的步骤s704～s706对于本步骤中决定的每个车载装置30分别执行。

在步骤s704中，临时日志信息生成部102将日志优先度表集保存部113中保存的日志优先度表更新。本步骤中作为更新对象的日志优先度表，是与作为步骤s703中决定的临时日志的收集对象的车载装置30对应的日志优先度表。日志优先度表的更新，是将临时日志表中的在步骤s703中指定的记录中记载的、日志种类403、条件种类404、区域405、服务406、和有效期间407追加至日志优先度表的新的记录。但是，区域405以收集了检测出攻击的可能性的日志时的车载装置30的位置为基准被改写。另外，有效期间407以取得了检测出攻击的可能性的日志的时刻为基准被改写。此时，将追加的记录的优先度设为表示最优先的“1”。接着，前进至步骤s705。

在步骤s705中，日志优先度变更指示部103基于步骤s704中更新后的日志优先度表，生成日志优先度表变更请求消息。然后，日志优先度变更指示部103发送生成的日志优先度表变更请求消息。接着，前进至步骤s706。

在步骤s706中，日志变更指示部104基于步骤s704中更新后的日志优先度表，生成使车载装置30的日志收集部151的动作变更的更新程序。该更新程序使日志收集部151收集更新后的日志优先度表中记载的全部日志种类。然后，日志变更指示部104发送生成的更新程序。接着，前进至步骤s707。

在步骤s707中，判断是否从车载装置30接收了临时日志，在判断为已接收的情况下前进至步骤s708，在判断为未接收的情况下前进至步骤s713。在步骤s713中判断从步骤s706执行起是否经过了规定时间、例如30分钟。在判断为未经过规定时间的情况下返回步骤s707，在判断为已经过规定时间的情况下前进至步骤s710。这是因为一定时间内从哪一个对应的车载装置都没有发送临时日志的情况下，是不能收集日志、或不能发送日志的状况，能够推测发生了某种攻击。

在步骤s708中，使用日志分析部101对接收的临时日志进行分析。在接下来的步骤s709中，在根据步骤s708的分析结果判断为发生了攻击的情况下前进至步骤s710，在判断为未发生攻击的情况下结束图6的流程图。

在步骤s710中，使用输出部140对服务器10的操作员通知攻击发生。在接下来的步骤s711中判断是否需要紧急停止服务。在判断为需要紧急停止服务的情况下前进至步骤s712，在判断为不需要的情况下结束图6的流程图。在步骤s712中，使用服务指示部105对车载装置30指示紧急停止服务，结束图6的流程图。

(日志优先度表的更新处理)

图7是表示车载装置30进行的日志优先度表的更新处理的流程图。以下说明的各步骤的执行主体是日志优先度表管理部152。

在步骤s800中，判断是否从服务器10接收了日志优先度表更新请求消息。在判断为已接收的情况下前进至步骤s803，在判断为未接收的情况下前进至步骤s801。

在步骤s803中，按照接收的日志优先度表更新请求消息，将日志优先度表保存部162中保存的日志优先度表更新。如上所述，日志优先度表更新请求消息中包括改写后的日志优先度表整体的内容，所以本步骤中的更新指的是日志优先度表的置换。接着，前进至步骤s809。

在步骤s800中判断为未接收消息的情况下执行的步骤s801中，判断从上次执行步骤s805起是否经过了一定时间、例如5分钟。在判断为已经过的情况下前进至步骤s805，在判断为未经过的情况下返回步骤s800。

在步骤s805中，判断在日志优先度表保存部162中保存的日志优先度表中是否存在模式203的字段是“临时”的记录。在判断为存在对应的记录的情况下前进至步骤s806，在判断为不存在对应的记录的情况下返回步骤s801。

在步骤s806中，对于日志优先度表的模式203的字段是“临时”的记录，删除有效时间已经过的记录。例如当前时刻是2016年1月1日的10时45分，日志优先度表是图2所示的情况下，删除模式203的字段是“临时”的3个记录中上方2个记录。这是因为这些记录有效时间已经过，其余1个记录在有效时间经过前。接着，前进至步骤s809。

在步骤s809中，cpu150使用输出部190对用户进行状况通知、即通知日志优先度表已被改写，并返回步骤s801。

(收集日志的程序的更新处理)

图8是表示车载装置30将起到日志收集部作用的程序更新的程序更新处理的流程图。以下说明的各步骤的执行主体是车载装置30的程序更新部153。车载装置30从服务器30接收更新程序时执行程序更新处理。另外，该更新程序是在图6的步骤s706中从服务器发送的。

在步骤s901中，判断是否能够进行程序更新的状况。能够进行程序更新的状况，例如是装载车载装置30的车辆停止的状况。在判断为是能够更新的状况的情况下前进至步骤s902，在判断为不是能够更新的状况的情况下停留在步骤s901。

在步骤s902中，使用更新程序将程序更新。程序的更新可以是程序整体的置换，也可以是程序的部分变更、即应用补丁。在接下来的步骤s903中，起动程序而使日志收集部151工作而开始收集日志。以上，结束图8的流程图的处理。

根据上述实施方式，可以得到以下作用效果。

(1)与服务器10通过网络20连接的装载于车辆中的车载装置30，包括：日志收集部151，其收集日志；日志保存部163，其用于存储日志的至少一部分；日志优先度信息保存部162，其保存表示日志保存部163中存储的日志的优先度的日志优先度信息；存储日志决定部(图5的步骤s605～s607)，其基于日志优先度信息决定在日志保存部163中存储的日志；通信部170，其将日志保存部163中存储的日志发送至服务器10；和日志优先度表管理部152，其基于来自服务器10的更新指令将日志优先度信息保存部162中保存的日志优先度信息更新。

因为这样地构成车载装置30，所以能够基于来自服务器10的指令使日志的优先度变更。从而，能够与车载装置处于的状况相应地收集适当的日志。进而，通过由服务器10对该日志进行分析能够判断实际发生了攻击。

(2)车载装置30包括：日志信息保存部161，其保存表示日志收集部151收集的日志的内容的日志信息；和程序更新部153，其将日志信息保存部中保存的日志信息更新。

因此，在服务器10检测出攻击的可能性的情况下，能够收集之前未收集的信息。

(3)日志收集部151是嵌入了日志信息的日志取得程序；程序更新部153通过改写日志取得程序而将日志信息更新。

因此，日志收集部151不需要从外部读取表示作为日志收集的信息的信息，所以能够高速地工作。

(4)车载装置30包括服务控制部154，其控制对车辆1的乘坐者提供的服务。服务控制部154基于来自服务器10的指令停止服务。因此，能够基于来自服务器10的指令使受到攻击影响的服务停止。

(5)日志优先度信息包括关于有效时间和有效区域的至少一者的条件。存储日志决定部(图5的步骤s605～s607)在收集日志时的时刻和车载装置的位置的至少一者符合日志优先度信息中的条件的情况下，将日志优先度信息视为有效并决定在日志保存部163中存储的日志。

因此，日志收集部151能够与车载装置30的状态相应地判断日志的优先度。这在进行车载装置30的位置是否满足区域205中保存的条件的判断的情况、和在由日志优先度表管理部152删除有效时间经过的记录之前日志收集部151参照日志优先度表的情况下是有效的。

(6)日志收集系统1由车载装置30、和与车载装置30通过网络20连接的服务器10构成。服务器10包括：日志分析部101，其对从车载装置30接收的日志进行分析而检测攻击的可能性；和日志优先度变更指示部103，其在日志分析部101检测到攻击的可能性时，对车载装置30发送更新指令，使其将日志优先度信息保存部162中保存的日志优先度信息更新。

因此，日志收集系统1在服务器10根据车载装置30发送的日志检测到攻击的可能性时，能够变更使车载装置30存储的日志的优先度。

(7)车载装置30包括日志信息保存部161，其保存表示日志收集部151收集的日志的内容的日志信息。服务器10包括日志变更指示部104，其使日志信息保存部161将保存的日志信息更新。

因此，服务器10能够使车载装置30收集的日志的内容变更。由此，在服务器10检测出攻击的可能性时，能够使车载装置30收集详细的日志。

(8)日志优先度变更指示部103，对发送了检测到攻击的可能性的日志的车载装置30，以及满足与该车载装置同一机型、和存在于从取得了检测到攻击的可能性的日志的位置起规定距离以内的至少一者的条件的其他车载装置30输出更新指令。

因此，服务器10也能够从受到攻击的可能性高的多个其他车载装置30收集用于判断发生了攻击的日志。仅基于特定的1台车载装置30的日志判断发生了攻击是困难的、或者过检测的可能性高，所以服务器10能够使用多个车载装置30的日志综合地判断。

(9)车载装置30包括服务控制部154，其控制对车辆的乘坐者提供的服务。服务器10包括服务指示部110，其在日志分析部101检测到攻击时，对车载装置30输出服务的停止指令。

因此，车载装置30能够基于来自服务器10的指令使受到攻击影响的服务停止。

(10)日志优先度信息包括关于有效时间和有效区域的至少一者的条件。日志优先度变更指示部103基于车载装置30收集由日志分析部101检测到攻击的可能性的日志时的时刻和位置的至少一者，决定更新后的日志优先度信息中的有效时间和有效区域的至少一者。

因此，日志收集系统1能够基于收集检测到攻击的可能性的日志的时刻和位置的至少一者收集临时日志，判断实际发生了攻击。

上述实施方式也可以如下所述地变形。

(变形例1)

服务器10也可以生成将日志优先度表部分地更新的日志优先度表变更请求消息。该情况下，在日志优先度表变更请求消息中，包括表示作为删除对象的现有的记录的信息、和表示追加的记录的内容的信息。根据该变形例1，能够削减日志优先度表变更请求消息的数据容量。

(变形例2)

服务器10的操作员也可以获得关于新的攻击方法的知识，以能够检测该攻击的可能性的方式改写日志表和日志优先度表，使用日志优先度变更指示部103和日志变更指示部104将它们发送至车载装置30。根据该变形例2，也能够应对在车载装置30出厂后得知的攻击方法。但是，改写的也可以仅是日志表和日志优先度表的一方。

(变形例3)

服务器10也可以对车载装置30发送执行新的服务的程序，使车载装置30执行该服务。该情况下，在车载装置30的日志表、日志优先度表、和临时日志表中追加关于该服务的信息。

例如，追加基于车载装置30收集的行驶距离等车辆信息、从服务器10对用户发布介绍部件更换时期和检修的消息的远程维护服务的情况下，认为存在以下问题。即，存在对服务器10进行管理的服务提供者以外伪装成服务器10对车载装置30发送消息、在车载装置30上显示用户不希望有的广告和虚假信息的风险。于是，在追加该服务时，以收集消息的接收时刻、和消息的发送源的方式变更日志表。此时，在它们的条件种类204的字段中输入“总是”。

另外，在事先已提供的服务的功能得到扩展、产生了新收集日志的需求的情况下，也能够同样地通过修正表、日志优先度表、和临时日志表而应对。

(变形例4)

实施方式中由日志分析部101对临时日志进行分析，在检测出实际发生了攻击时使车载装置30停止服务(图6，步骤s712)。但是，也可以在日志分析部101判断为存在攻击发生的可能性时使车载装置30停止服务。根据该变形例4，能够进一步减少攻击对服务的不良影响。

(变形例5)

实施方式中，在临时日志的分析后判断为攻击发生的情况下，进行对操作员的通知，但也可以变更为如下所述。即，也可以首先在判断为存在攻击发生的可能性的情况下也对操作员通知，操作员在确认变更后的日志表和日志优先度表之后，发送日志优先度表变更请求消息。

(变形例6)

实施方式中，从车载装置30收集日志时开始日志的分析，但也可以在如下所述的情况下对日志进行分析。例如，也可以在经过了一定时间的情况、存储了一定量以上的日志的情况、收集了一定台数以上的车载装置30的日志的情况、或接受了由操作员使用输入部130发出的分析开始指令的情况下对日志进行分析。

(变形例7)

车载装置30也可以在收集日志时优先地判断能否发送日志。即，也可以在图6中执行步骤s601之后前进至步骤s604，在步骤s604中作出了否定判断的情况下前进至步骤s602。该情况下，在步骤s603中作出了否定判断时前进至步骤s605。根据该变形例7，在能够与服务器10通信的情况下不需要将日志合并。

(变形例8)

车载装置30的日志收集部151也可以从外部读取表示作为日志收集的信息的信息。即，表示作为日志收集的信息的信息也可以不硬编码在程序中。该情况下，在存储器160中保存日志表保存部161，日志收集部151参照日志表保存部161中保存的日志表收集日志。

根据该变形例8，能够容易地变更日志收集部151作为日志收集的信息。

(变形例9)

服务器10也可以将指定变更日志优先度表的对象的信息包括在日志优先度表变更请求消息中，对变更日志优先度表的对象以外也发送日志优先度表变更请求消息。该情况下，接收了日志优先度表变更请求消息的车载装置30判断该车载装置30是否日志优先度表变更请求消息的应用对象。

根据该变形例9，能够不指定发送对象地发送日志优先度表变更请求消息，所以服务器10的发送目标的决定较容易。

(变形例10)

实施方式中，多个车载装置30与服务器10连接，但与服务器10连接的车载装置30也可以仅有一台。

(变形例11)

实施方式中，将日志优先度表更新的情况(图6的步骤s702：yes的情况)下，生成并发送使车载装置30的日志收集部151的动作变更的更新程序(图6的步骤s706)。但是，更新后的日志优先度表中记载的日志种类在现有的日志收集部151中全部都被收集的情况下，也可以省略更新程序的生成和发送。

上述实施方式和变形例也可以分别组合。

以上说明了各种实施方式和变形例，但本发明并不限定于这些内容。在本发明的技术思想的范围内可以考虑的其他方式也包括在本发明的范围内。

以下优先权母案的公开内容作为引文并入本文。

日本国专利申请2016年第164804号(2016年8月25日提交)

附图标记的说明

1…日志收集系统

10…服务器

20…网络

30…服务器

30…车载装置

101…日志分析部

102…临时日志信息生成部

103…日志优先度变更指示部

104…日志变更指示部

105…服务指示部

110…服务停止指令部

110…存储器

111…收集日志保存部

112…日志表集保存部

113…日志优先度表集保存部

114…临时日志表保存部

120…服务器通信部

151…日志收集部

152…日志优先度表管理部

153…程序更新部

154…服务控制部

160…存储器

161…日志表保存部

162…日志优先度表保存部

163…日志保存部

164…车载装置信息保存部

165…更新程序保存部

170…车载通信部。