JP2006155064A - Information processor and program used therefor - Google Patents

Information processor and program used therefor Download PDF

Info

Publication number
JP2006155064A
JP2006155064A JP2004342688A JP2004342688A JP2006155064A JP 2006155064 A JP2006155064 A JP 2006155064A JP 2004342688 A JP2004342688 A JP 2004342688A JP 2004342688 A JP2004342688 A JP 2004342688A JP 2006155064 A JP2006155064 A JP 2006155064A
Authority
JP
Japan
Prior art keywords
log
appearance frequency
information processing
similarity
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004342688A
Other languages
Japanese (ja)
Other versions
JP4845001B2 (en
Inventor
Toshikazu Owada
俊和 大和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2004342688A priority Critical patent/JP4845001B2/en
Publication of JP2006155064A publication Critical patent/JP2006155064A/en
Application granted granted Critical
Publication of JP4845001B2 publication Critical patent/JP4845001B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To analyze an appearance frequency of a log with high performance, including an application of finding out an abnormality from a large volume of logs. <P>SOLUTION: A log control system 130 analyzes the log generated in a processing system 110 and accumulated in a storage 134, in response to a display request (accompanying a threshold value of the appearance frequency) of the log from a log output application 150, and finds the appearance frequency. An appearance frequency calculation part 136 analyzes the degree of the similarity of the logs at respective event (date and time, error code, error message, user) levels of the logs, calculates the appearance frequency of the each log based on the analyzed result as the whole of the logs, and stores the result thereof on a frequency information table 137. The frequency information of the table is transmitted to a filter 138, the log to be outputted is selected based on the threshold value of the set frequency, and the log information read from the storage 134 through a reading-out part 135 is transmitted to the log output application 150. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ログの管理機能を持つ情報処理装置に関し、特に、ログの解析を装置(システム)上で発生した要素(事象)レベルで行うことにより、ログ情報の利用性を改善した情報処理装置及び同装置に用いるプログラムに関する。   The present invention relates to an information processing apparatus having a log management function, and in particular, an information processing apparatus that improves log information usability by performing log analysis at an element (event) level generated on the apparatus (system). And a program used for the apparatus.

従来から、コンピュータを情報の処理手段として持つ各種の情報処理装置(システム)においては、装置の使用状況の履歴を示すログが管理されている。ログに示された情報から、装置がどのように使用され、今どういう状態で使用されているかを知ることが可能であり、ログ情報をもとにして、例えば、ユーザの入力操作に利便性を付与するための情報の提示や装置の保守・管理が行われる。
ユーザの入力操作に利便性を提供するために用いられた例を示す従来技術として、例えば、下記特許文献1を挙げることができる。特許文献1記載のホームページメニュー自動更新装置は、利用者がホームページにアクセスした時のアクセスログから得たアクセス回数や、メニュー項目のプライオリティの設定に応じて、メニュー項目の順序や項目強調のための文字属性を変更し、利用者による選択操作の際の利便性が考慮されたメニューの更新を行うようにした装置が示されている。また、同様に、入力操作における利便性を図ることを目的とした従来技術として、下記特許文献2を例示することができる。特許文献2記載の文書管理システムは、アクセスログに基づいて、前操作と後操作の操作ペアの回数を管理し、頻度の高い操作ペアによって、次にユーザが行うことが予想される処理をメニューに優先的に表示するようにしたものが示されている。 2. Description of the Related Art Conventionally, in various information processing apparatuses (systems) having a computer as an information processing unit, a log indicating a history of apparatus usage is managed. From the information shown in the log, it is possible to know how the device is being used and in what state it is in use. Based on the log information, for example, it is convenient for user input operations. Presentation of information to be given and maintenance / management of the device are performed.
As a prior art showing an example used for providing convenience for a user's input operation, for example, the following Patent Document 1 can be cited. The homepage menu automatic updating apparatus described in Patent Document 1 is used for the order of menu items and item emphasis according to the number of accesses obtained from the access log when the user accesses the homepage and the priority setting of the menu items. An apparatus is shown in which a character attribute is changed and a menu is updated in consideration of convenience when a user performs a selection operation. Similarly, Patent Document 2 shown below can be exemplified as a conventional technique aiming at convenience in input operation. The document management system described in Patent Document 2 manages the number of operation pairs of the pre-operation and the post-operation based on the access log, and performs a menu that is predicted to be performed next by the user using a high-frequency operation pair. Is displayed with priority.

また、装置を保守・管理するために用いられた例を示す従来技術として、例えば、下記特許文献3,4を挙げることができる。特許文献3記載のログテータ表示方法は、計算機システムに接続される装置のドライバの入力と一緒にログ解析用データ(ログ解析手段、ログフォーマット、動作確認用データ)を入力することによって、ドライバとログ解析用データを整合させ、解析結果として得られる、装置の障害の発生等を表すログデータの信頼性を高めるようにするものである。また、特許文献4記載のログテータ表示方法は、デバイス、ログ管理サーバ、管理者ツールをそれぞれネットワーク接続し、デバイスからログ管理サーバに直接ログデータを登録できるようにし、管理者ツールによってログ管理サーバに収集されたログ情報の管理、分析処理(分析方法についての開示はない)等を一元的に行うことを可能にするものである。
特開2000−293423号公報 特開2004−102935号公報 特開平8−153024号公報 特開2002−189638号公報 Moreover, as a prior art which shows the example used in order to maintain and manage an apparatus, the following patent documents 3 and 4 can be mentioned, for example. In the log data display method described in Patent Document 3, the driver and log are input by inputting log analysis data (log analysis means, log format, operation check data) together with the input of the driver of the device connected to the computer system. The analysis data is matched to improve the reliability of log data representing the occurrence of a failure of the apparatus, etc., obtained as an analysis result. In addition, the log data display method described in Patent Document 4 connects a device, a log management server, and an administrator tool to each network so that log data can be registered directly from the device to the log management server. Management of collected log information, analysis processing (no disclosure of analysis method), and the like can be performed in an integrated manner.
JP 2000-293423 A JP 2004-102935 A JP-A-8-153024 JP 2002-189638 A

しかしながら、従来例として示した上記特許文献1,2は、入力メニューに優先的に表示する情報を得るという、限られた目的のためにログを解析するもので、解析の方法として、完全一致により同一のログもしくは操作ペアの発生頻度を求め、ユーザによる入力操作の傾向を頻繁に発生するログ情報から知る、ということに留まっている。
従って、例えば、大量のログから異常を見つけ出すといったことへの適用には、不向きな方法である。というのは、通常、ログに記載される事象のほとんどは、正しく、正常に終了されるログであるから、異常が発生したことを示すログは、ほんの僅かか、あるいは存在しない場合もあるからに他ならない。ログの異常検知は、予めどのようなログが異常であるのか、が判っていれば、検索することも可能であるが、システムが複雑でログのパターンが多い場合には、困難であり、又特定のシステムに有効な検索方法であっても、他の異なるシステムやシステムの変化に対して高性能を保つことができないといったことになり、柔軟性に欠ける。このようなことから、大量のログに対して異常な事象があるか、否かを上記した従来技術におけると同様の方法を適用することにより確認するのは、コストのかかる作業となり、有効な方法と言えない。
なお、従来例として示した上記特許文献3,4には、装置を保守・管理するために、ログ情報を解析することが記されているが、ログを解析する方法自体については、特筆されていない。従って、これらの従来例から、例えば、大量のログから異常を見つけ出すための有効な解決手段は得られない。
本発明は、情報処理装置(システム)上で発生したログの解析に用いられる従来技術の上記した問題点に鑑み、これを解決するためになされたもので、装置(システム)の変化に対しても、安定した解析性能が得られ、例えば、大量のログから異常を見つけ出すといったことへの適用も含め、より高い性能でログの解析を行うことを解決すべき課題とする。 However, the above Patent Documents 1 and 2 shown as conventional examples analyze logs for a limited purpose of obtaining information to be preferentially displayed on an input menu. The occurrence frequency of the same log or operation pair is obtained, and the tendency of the input operation by the user is known from the frequently generated log information.
Therefore, for example, this method is not suitable for application to finding an abnormality from a large amount of logs. This is because most of the events listed in the log are normally correctly completed logs, so there are few or no logs indicating that an abnormality has occurred. There is nothing else. Abnormality detection log, if advance what the log that is abnormal, is known, if it is possible to search, there are many patterns of complex log system is difficult and also Even if the search method is effective for a specific system, it is difficult to maintain high performance against other different systems and changes in the system, which is inflexible. For this reason, confirming whether there is an abnormal event for a large number of logs by applying the same method as in the above-mentioned prior art is a costly work and an effective method I can't say.
In addition, in Patent Documents 3 and 4 shown as conventional examples, it is described that the log information is analyzed in order to maintain and manage the apparatus. However, the method of analyzing the log itself is notable. Absent. Therefore, from these conventional examples, for example, an effective solution for finding out an abnormality from a large amount of logs cannot be obtained.
The present invention has been made in order to solve the above-described problems of the prior art used for analyzing logs generated on an information processing apparatus (system). In addition, stable analysis performance can be obtained. For example, it is an issue to be solved to perform log analysis with higher performance including application to finding abnormalities from a large amount of logs.

請求項1の発明は、装置上で発生した事象を構成要素とするログを管理する機能を有する情報処理装置であって、所定形式の事象データにより表されたログを蓄積するログ蓄積手段と、前記ログ蓄積手段に蓄積されたログを事象毎に対比し、その結果をもとにログ同士の類似度を得る類似度取得手段と、ログ全体から前記類似度取得手段により得られたログ同士の類似度をもとに各ログの出現頻度を算出するログ出現頻度算出手段と、前記ログ出現頻度算出手段により算出された各ログの出現頻度に応じて出力するログを選択する出力ログ選択手段を備えたことを特徴とする情報処理装置である。
請求項2の発明は、請求項1に記載された情報処理装置において、前記類似度取得手段は、データ形式とデータ内容を考慮して類似度を判定するようにしたことを特徴とするものである。 The invention of claim 1 is an information processing apparatus having a function of managing a log having an event occurring on the apparatus as a constituent element, log storage means for storing a log represented by event data in a predetermined format, Logs stored in the log storage means are compared for each event, similarity acquisition means for obtaining similarity between logs based on the results, and logs obtained by the similarity acquisition means from the entire log Log appearance frequency calculating means for calculating the appearance frequency of each log based on similarity, and output log selecting means for selecting a log to be output according to the appearance frequency of each log calculated by the log appearance frequency calculating means An information processing apparatus including the information processing apparatus.
According to a second aspect of the present invention, in the information processing apparatus according to the first aspect, the similarity acquisition means determines the similarity in consideration of a data format and data contents. is there.

請求項3の発明は、請求項1又は2に記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で受け取った外部情報処理装置におけるログを対象に加えて、前記ログ出現頻度算出手段によって出現頻度を算出し、この出現頻度を前記通信インタフェース経由で前記外部情報処理装置に返信するようにしたことを特徴とするものである。
請求項4の発明は、請求項1乃至3のいずれかに記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で外部情報処理装置に前記ログ蓄積手段に蓄積されたログから選択されたログの出現頻度の算出を依頼し、前記通信インタフェース経由で返信されてくる対象ログの出現頻度を前記ログ出現頻度算出に反映させるようにしたことを特徴とするものである。
請求項5の発明は、コンピュータを請求項1乃至4のいずれかに記載された情報処理装置の前記各々の処理手段として機能させるためのプログラムである。 The invention according to claim 3 is the information processing apparatus according to claim 1 or 2, further comprising a communication interface for exchanging information with the external information processing apparatus, and the external information processing apparatus received via the communication interface. In addition to a log, an appearance frequency is calculated by the log appearance frequency calculation means, and this appearance frequency is returned to the external information processing apparatus via the communication interface.
A fourth aspect of the present invention is the information processing apparatus according to any one of the first to third aspects, further comprising a communication interface for exchanging information with the external information processing apparatus, and the external information processing apparatus via the communication interface. Requesting the calculation of the appearance frequency of the log selected from the logs stored in the log storage means to reflect the appearance frequency of the target log returned via the communication interface in the log appearance frequency calculation It is characterized by this.
A fifth aspect of the invention is a program for causing a computer to function as each processing means of the information processing apparatus according to any one of the first to fourth aspects.

請求項1の発明によると、ログを要素(事象)毎に対比した結果をもとにログ同士の類似度を求め、この操作をログ全体に渡って行い、得た結果に基づいて、各ログの出現頻度を算出するようにしたので、ログ情報の完全一致で出現頻度を求める従来技術に比べ、より高い性能でログの出現頻度の解析をすることが可能になり、特に、大量のログから異常を見つけ出すといったことに有効な手段を提供することが可能になる。
また、請求項2の発明によると、要素(事象)毎に類似度を判定する際に、データ形式とデータ内容を考慮して、ログの特性に応じた判定条件を設定するようにしたので、柔軟かつ正確な出現頻度を得ることが可能になる。
また、請求項3,4の発明によると、情報処理装置同士でネットワークを介してログ情報の交換を可能にする拡張機能を備えるようにしたことにより、ログの出現頻度の解析が普遍化され、誤った判断を導かないようにすることが可能になる。
また、請求項5の発明によると、コンピュータを請求項1乃至4に記載された情報処理装置を構成する処理手段として機能させるようにしたことにより、所期のログ管理機能を実現するための手段を容易に提供することが可能になる。 According to the invention of claim 1, the similarity between the logs is obtained based on the result of comparing the logs for each element (event), this operation is performed over the entire log, and each log is based on the obtained result. It is possible to analyze the appearance frequency of logs with higher performance compared to the conventional technology that calculates the appearance frequency by exact match of log information, especially from a large amount of logs. It is possible to provide an effective means for finding out an abnormality.
According to the invention of claim 2, when determining the similarity for each element (event), the determination condition according to the characteristics of the log is set in consideration of the data format and the data content. It is possible to obtain a flexible and accurate appearance frequency.
In addition, according to the third and fourth aspects of the invention, the analysis of the appearance frequency of logs is universalized by providing an extended function that enables the exchange of log information between information processing apparatuses via a network. It is possible to prevent misjudgment.
According to the invention of claim 5, means for realizing an intended log management function by causing a computer to function as processing means constituting the information processing apparatus according to claims 1 to 4. Can be easily provided.

本発明の情報処理装置は、装置上で発生した事象を構成要素とするログの管理機能を有し、この機能の1つとして、ログの出現頻度の解析を行い、解析結果によって出力するログを選択することを可能にする。このログ管理機能は、ユーザの入力操作に利便性を付与するための情報の提示、或いは装置の保守・管理、といったことへ利用され、ログ情報の利用性が拡張される。
ログの出現頻度の解析は、従来、ログの完全一致を条件に頻度を求める方法を採用していたが、完全一致による方法では、例えば、大量のログから異常を見つけ出すといった場合には、不向きであり、又システムの変化に対する柔軟性に欠けるという問題が生じる(上記[発明が解決しようとする課題]の項、参照)。
そこで、本発明では、完全一致では無く、ログを事象毎に対比し、その結果をもとにログ同士の類似度をもとにした解析方法を用いる。ただ、装置上で発生した事象を記載したログのデータ形式は様々であり、記号や数字等の他にメッセージなどの文字列を扱う場合があり、しかも文字列の場合には一定の形式によらずに、同じような事象でも条件によって微妙に変化する場合がある。また、ログに記載されている事象の全てが類似度の判定に使用できるわけではない。従って、ログに記載されている事象(要素)のうち、類似度を求めるために使用できるもの、できないものを予め定め、また、使用できる事象でも、事象によって、完全一致とするか、一致の度合いとするか、即ちそれぞれの事象に重みをつけて、類似度を求めるための計算をする。
ログ同士の類似度は、上記のように、各事象の対比の結果として得られる類似度をもとに、最終的に1つの類似度が求められる。このログ同士の類似度は、ログ全体に渡って求められ、得られる結果にもとづき、各ログの出現頻度が計算される。
このような解析方法を用いることによって、より高い性能でログの解析を行い、さらに装置(システム)の変化に対しても、安定した解析性能が得られるようになる。 The information processing apparatus according to the present invention has a log management function including an event occurring on the apparatus as a constituent element. As one of the functions, the log appearance frequency is analyzed and a log output based on the analysis result is output. Allows you to choose. This log management function is used for presentation of information for providing convenience to the user's input operation, or for maintenance and management of the apparatus, and the usability of log information is expanded.
For the analysis of log appearance frequency, the method of calculating the frequency under the condition of complete log matching has been adopted in the past, but this method is not suitable for detecting abnormalities from a large number of logs, for example. There is also a problem that the system is not flexible with respect to changes in the system (see the above section [Problems to be solved by the invention]).
Therefore, the present invention uses an analysis method based on the similarity between logs based on the result of comparing the logs for each event, not exact match. However, there are various log data formats that describe events that have occurred on the device. In addition to symbols and numbers, there are cases where character strings such as messages are handled, and in the case of character strings, there are certain formats. In addition, even similar events may change slightly depending on conditions. In addition, not all events described in the log can be used for determination of similarity. Therefore, the events (elements) described in the log are determined in advance as those that can be used to obtain the similarity, and those that can be used are determined in advance. That is, the calculation is performed to obtain the similarity by weighting each event.
As described above, as the similarity between logs, one similarity is finally obtained based on the similarity obtained as a result of comparison of each event. The similarity between the logs is obtained over the entire log, and the appearance frequency of each log is calculated based on the obtained result.
By using such an analysis method, log analysis can be performed with higher performance, and stable analysis performance can be obtained even with respect to changes in the apparatus (system).

上記のようなログの解析が可能なログ管理機能を備えた情報処理装置(システム)に係わる実施形態を説明する
図1は、本実施形態に係わる情報処理装置(システム)の概略構成を示す。
図1において、情報処理装置100が本発明の実施装置であり、処理システム110と、ログ管理システム130及びログ出力アプリケーション150を本実施形態のログ管理に係わる構成要素として有する。
処理システム110は、処理対象の情報を処理要求に応えて処理する手段を備えたシステムであり、特定の処理システムに限定されるものではない。ただ、処理システム110は、ログ管理システム130によってログが管理されるので、処理システム上で発生する事象を要素とするログ情報を管理システム側で入力インタフェースが理解できるフォーマットで作成し、このログ情報をログ管理システム130に入力する。
ログ管理システム130は、ログ情報をストレージ134に蓄積し、ログの管理に用いる。処理システム110から入力インタフェース131を通して入力されたログ情報は、ストレージ134に蓄積するまでの処理パスに設けた、整形部132でストレージ134に蓄積可能なデータとしての形式を整え、書き出し部133によって整形部132からストレージ134に書き出される。なお、ストレージ134は、ログデータの蓄積を行うのであるから、磁気または光ディスクのようにデータを永続化できるものが望ましいが、メモリ等でも構わない。 An embodiment of an information processing apparatus (system) having a log management function capable of analyzing logs as described above will be described. FIG. 1 shows a schematic configuration of an information processing apparatus (system) according to the present embodiment.
In FIG. 1, an information processing apparatus 100 is an implementation apparatus of the present invention, and includes a processing system 110, a log management system 130, and a log output application 150 as components related to log management of the present embodiment.
The processing system 110 is a system that includes means for processing information to be processed in response to a processing request, and is not limited to a specific processing system. However, since the log is managed by the log management system 130, the processing system 110 creates log information whose elements are events that occur on the processing system in a format that can be understood by the input interface on the management system side. Is input to the log management system 130.
The log management system 130 accumulates log information in the storage 134 and uses it for log management. The log information input from the processing system 110 through the input interface 131 is formatted in the processing path until it is stored in the storage 134, and is formatted as data that can be stored in the storage 134 by the formatting unit 132, and is formatted by the writing unit 133. The data is written from the unit 132 to the storage 134. Since the storage 134 accumulates log data, it is desirable that the storage 134 can make the data permanent, such as a magnetic or optical disk, but may be a memory or the like.

本実施形態において、ログの管理機能として、ログの出現頻度の解析を行い、解析結果によって出力するログを選択する機能を備える。本例では、この機能を用いて選択されたログ情報は、ログ出力アプリケーション150で表示出力用のデータとして利用される。
従って、ストレージ134からログ出力アプリケーション150までの処理パスに、読み出し部135、出現頻度計算部136、頻度情報テーブル137、フィルタ138及び表示インタフェース139がこの機能を実現する手段として設けられる。なお、本例では、ログ出力アプリケーション150が情報処理装置100内に設けられる例を示したが、別の独立したシステムにあっても良い。
この機能を利用する際、ログ出力アプリケーション150からログ情報の表示要求が、表示インタフェース139を介してログ管理システム130に送られる。ログ管理システム130側は、この要求に応じて、読み出し部135がストレージ134からログ情報を読み出し、出現頻度計算部136に送る。出現頻度計算部136は、上記したように、ログの各事象レベルでログ同士の類似度を解析した結果にもとづき、各ログの出現頻度を計算し(出現頻度計算の具体例は、後記で詳述)、頻度情報テーブル137にその結果を格納する。なお、頻度情報テーブル137は、メモリ等の高速アクセス可能な記録媒体上に作られるのが望ましいが、ディスク上に作成されても構わない。
頻度情報テーブル137に格納された頻度情報は、フィルタ138に送られ、そこに設定されている頻度の閾値に基づき、出力すべきログが選択される。この時に設定される頻度の閾値は、ログ出力アプリケーション150の要求に応じるようにするためには、表示インタフェース139を通して、ログ出力アプリケーション150から設定可能にすれば良い。表示インタフェース139は、フィルタ138によって選択されたログを特定するログ識別情報をもとに、読み出し部135を通じてストレージ134から該当するログ識別情報を持つログのログ情報を読み出し、ログ出力アプリ150へ送る。
なお、本実施形態(図1)では、情報処理装置100内に処理システム110及びログ管理システム130を備える例を示したが、処理システム110とログ管理システム130をそれぞれ別の独立した装置として構成しても良い。 In this embodiment, the log management function includes a function of analyzing the appearance frequency of a log and selecting a log to be output based on the analysis result. In this example, the log information selected using this function is used as display output data by the log output application 150.
Accordingly, a reading unit 135, an appearance frequency calculation unit 136, a frequency information table 137, a filter 138, and a display interface 139 are provided as means for realizing this function in the processing path from the storage 134 to the log output application 150. In this example, the log output application 150 is provided in the information processing apparatus 100. However, the log output application 150 may be provided in another independent system.
When this function is used, a log information display request is sent from the log output application 150 to the log management system 130 via the display interface 139. On the log management system 130 side, in response to this request, the reading unit 135 reads the log information from the storage 134 and sends it to the appearance frequency calculation unit 136. As described above, the appearance frequency calculation unit 136 calculates the appearance frequency of each log based on the result of analyzing the similarity between the logs at each event level (a specific example of the appearance frequency calculation will be described in detail later). The result is stored in the frequency information table 137. The frequency information table 137 is preferably created on a high-speed accessible recording medium such as a memory, but may be created on a disk.
The frequency information stored in the frequency information table 137 is sent to the filter 138, and a log to be output is selected based on the frequency threshold set therein. The frequency threshold set at this time may be set from the log output application 150 through the display interface 139 in order to meet the request of the log output application 150. Based on the log identification information that identifies the log selected by the filter 138, the display interface 139 reads the log information of the log having the corresponding log identification information from the storage 134 through the reading unit 135 and sends the log information to the log output application 150. .
In the present embodiment (FIG. 1), the information processing apparatus 100 includes the processing system 110 and the log management system 130. However, the processing system 110 and the log management system 130 are configured as separate independent apparatuses. You may do it.

ここで、ログの出現頻度の計算について、実施例に基づいて詳細に説明する。
図2は、ログの構成を説明し、本実施例のログを示すものである。
図2(B)の各行はログで、この例には6つのログが示されている。各行に示すログは、カンマで区切られた要素を持っている。要素は、図2(A)に示すように、「Serial Number」を先頭に、以下順に、装置上で発生した事象を表す「Date Time」「Error Code」「Error Message」「User」を持つ。なお、これらの要素は、一般的には、ログを表形式で出力することを考慮して、分けられていることが多い。
本実施形態では、各行について出現頻度を求めるが、出現頻度を計算する際に、上記の要素分けした各事象のレベルでログを解析する。基本的には、各行について事象レベルでログ同士の類似度を調べ、ログ全体に渡って求められたログ同士の類似度をもとに、各ログの出現頻度が計算される。
つまり、各ログについて、ログ同士の類似度をログ全体で求め、これらのトータル値が算出される。この各ログのトータル値は、値が大きい程、出現頻度が高く、逆に、トータル値が小さい程、出現頻度が低く、特異なログである、ということを表す値(出現頻度値)となる。 Here, the calculation of the log appearance frequency will be described in detail based on an embodiment.
FIG. 2 illustrates the structure of the log and shows the log of this embodiment.
Each line in FIG. 2B is a log, and six logs are shown in this example. The log shown on each line has elements separated by commas. As shown in FIG. 2A, the element has “Date Time”, “Error Code”, “Error Message”, and “User” that indicate events that have occurred on the device in the following order starting with “Serial Number”. In general, these elements are often divided in consideration of outputting logs in a table format.
In this embodiment, the appearance frequency is obtained for each row, but when calculating the appearance frequency, the log is analyzed at the level of each event divided into the above elements. Basically, the similarity between logs at the event level for each row is examined, and the appearance frequency of each log is calculated based on the similarity between the logs obtained over the entire log.
That is, for each log, the similarity between the logs is obtained for the entire log, and the total value thereof is calculated. The total value of each log is a value (appearance frequency value) indicating that the larger the value, the higher the appearance frequency, and conversely, the smaller the total value, the lower the appearance frequency and the peculiar log. .

上記実施例(図2)のログの場合、ログの要素(事象)の全てが類似度解析に適しているわけではない。ログの要素(事象)の中、実際には、どれを類似度の解析に使用するかを決定し、出現頻度計算部136にその情報を設定しておく。
「Serial Number」は、発生順に付けられた通し番号であり、必ず各行ごとに異なるので、類似度の解析に用いるのには、不向きである。また、「Date Time」は、ログの書き込まれた(あるいは事象の発生した)日時であり、これも類似度の解析に用いるのには、不向きである。
「Error Code」は、一文字違うだけでも、全く違う意味になる可能性があるので、類似度の解析では、完全一致するか、どうかの判断によって、評価すべき要素である。
「Error Message」は、文字列で表現されるので、文字列の内容によって類似度が解析され、評価は、類似の度合いで表わされる。解析方法は、ログの文字列で使用される言語や文字列の長さ等をファクタとして考慮し、最適精度が得られるものが選択される。
「User」はユーザー名であるが、類似度の解析に使用するかどうかの判断は、解析結果の利用目的に必要な要素であるか、否かの判断による。
また、各行の出現頻度は、上記のように、要素(事象)レベルで調べた類似度によりログ同士の類似度を求め、ログ全体に渡って求められたログ同士の類似度をもとに、各ログの出現頻度を計算する、という過程を経て得られる。この過程では、その都度、得られる値を掛け合わせたり、足し合わせたり、あるいは各要素ごとに重みをつける、といった操作を行い、類似度を表す値の調節を行うことにより、より適正な値を得ることが可能になる。 In the case of the log in the above embodiment (FIG. 2), not all log elements (events) are suitable for similarity analysis. Of the log elements (events), which of the log elements (events) is actually used for similarity analysis is determined, and the information is set in the appearance frequency calculation unit 136.
“Serial Number” is a serial number assigned in the order of occurrence, and is necessarily different for each row, and is not suitable for use in analysis of similarity. “Date Time” is the date and time when the log was written (or when an event occurred), and this is also unsuitable for use in similarity analysis.
“Error Code” may have a completely different meaning even if only one character is different. Therefore, in the analysis of similarity, it is an element to be evaluated by determining whether or not it is a complete match.
Since “Error Message” is expressed by a character string, the similarity is analyzed according to the content of the character string, and the evaluation is expressed by the degree of similarity. As the analysis method, a language that is used in the log character string, the length of the character string, and the like are considered as factors, and a method that can obtain the optimum accuracy is selected.
“User” is a user name, and whether or not to use for the analysis of the similarity depends on whether or not it is a necessary element for the purpose of using the analysis result.
In addition, the appearance frequency of each row is obtained by calculating the similarity between logs based on the similarity measured at the element (event) level as described above, and based on the similarity between logs obtained over the entire log, It is obtained through the process of calculating the appearance frequency of each log. In this process, the appropriate value can be obtained by adjusting the value that represents the degree of similarity by performing operations such as multiplying, adding, or weighting each element each time. It becomes possible to obtain.

ログの出現頻度の計算例を、上記した実施例のログ(図2(B))におけるSerial Number1のログで行った場合について、以下に示す。
類似度の解析に用いる要素(事象)としては、上記のように、「Serial Number」「Date Time」は不向きであるし、本例では、「User」も適当ではないので、「Error Code」と「Error Message」が用いられる。
「Error Code」の類似度の判定は、完全一致を使用し、一致の場合は“1”、一致しない場合には“0”を値とする。「Error Message」の類似度は、文字列中に含まれる単語を調べ、一致する単語数の全単語数に対する割合を値とする。なお、簡単のため、全ての行で文字列の単語数は等しいとする。
ログ同士(ログ単位)の類似度は、上記のようにして求めた各要素の類似度を掛け合わせて、即ち、“ Error Codeの類似度 × Error Messageの類似度 ”として得るものとする。
また、ログ全体に渡って順次ログ同士を比較して得られる類似度を、足し合わせることによって、1つのログの出現頻度値として算出する。即ち、Serial Number1のログ(以下、Serial Number1のログ〜Serial Number6のログをそれぞれ「ログ1」〜「ログ6」と記す)の場合、“ ログ2に対する類似度 + ログ3に対する類似度 + ログ4に対する類似度 + ログ5に対する類似度 + 6ログに対する類似度 ”として出現頻度値を算出する。 An example of calculating the log appearance frequency is shown below for the case where the log of Serial Number 1 in the log of the above-described embodiment (FIG. 2B) is used.
As elements (events) used for similarity analysis, as described above, “Serial Number” and “Date Time” are unsuitable, and in this example, “User” is also not appropriate. “Error Message” is used.
The similarity of “Error Code” is determined by using a perfect match, with “1” when matching and “0” when not matching. The similarity of “Error Message” is obtained by examining the words included in the character string and using the ratio of the number of matching words to the total number of words as a value. For simplicity, it is assumed that the number of words in the character string is the same in all lines.
The similarity between logs (log unit) is obtained by multiplying the similarity of each element obtained as described above, that is, “Similarity of Error Code × Similarity of Error Message”.
Further, the similarity obtained by sequentially comparing the logs over the entire log is added to calculate the appearance frequency value of one log. That is, in the case of the serial number 1 log (hereinafter, the log of serial number 1 to the log of serial number 6 are referred to as “log 1” to “log 6”, respectively) “similarity to log 2 + similarity to log 3 + log 4” The appearance frequency value is calculated as “similarity to log + similarity to log 5 + similarity to 6 logs”.

上記した出現頻度値の算出手順によると、ログ1(Serial Number1)の場合、まず、ログ1と ログ2を比較して、ログ同士の類似度を得る。
比較に使用するのは 「Error Code」と「Error Message」である。ログ1と ログ2の Error Codeは異なるため、Error Code の類似度は“0”である。ログ同士の類似度は、各要素の類似度の掛け算であるため、一つでも“0”の要素があれば全体も“0”となる。従って、ログ1と ログ2の類似度は“0”となる。
ログ管理システム130は、各行の出現頻度に関する情報を保持している。この情報は、図3に示すように、Serial Numberに対応付けて、表形式で各行の出現頻度を保持している。なお、図3に示す表は、(A)→(B)→(C)→(D)→(E)の順で行われる、ログ1の出現頻度の算出過程を説明するものである。また、図3の(F)は、図2(B)のログ全体についての算出結果として得られた出現頻度表を示す。
図3(A)は、ログ1と ログ2を比較して、ログ同士の類似度を求め、得られた結果を出現頻度に反映した結果が示されている。ログ1〜ログ6の各ログの出現頻度を表す値の初期値は“0”であり、この値に、ログ1と ログ2の類似度の計算結果をプラスする。今回は、ログ1と ログ2の類似度を表す値は“0”であり、この値が足されている。 According to the calculation procedure of the appearance frequency value described above, in the case of log 1 (Serial Number 1), first, log 1 and log 2 are compared to obtain the similarity between logs.
“Error Code” and “Error Message” are used for comparison. Since the error codes in log 1 and log 2 are different, the error code similarity is “0”. Since the similarity between logs is a multiplication of the similarity of each element, if there is at least one “0” element, the whole is “0”. Therefore, the similarity between log 1 and log 2 is “0”.
The log management system 130 holds information regarding the appearance frequency of each row. As shown in FIG. 3, this information retains the appearance frequency of each row in a table format in association with the serial number. The table shown in FIG. 3 explains the calculation process of the appearance frequency of log 1 performed in the order of (A) → (B) → (C) → (D) → (E). Moreover, (F) of FIG. 3 shows the appearance frequency table obtained as a calculation result about the whole log of FIG. 2 (B).
FIG. 3A shows the result of comparing the log 1 and the log 2 to obtain the similarity between the logs and reflecting the obtained result in the appearance frequency. The initial value of the value representing the appearance frequency of each log of log 1 to log 6 is “0”, and the result of calculating the similarity between log 1 and log 2 is added to this value. This time, the value indicating the similarity between log 1 and log 2 is “0”, and this value is added.

次に、ログ1と ログ3を比較して、ログ同士の類似度を得る。ログ1と ログ3の Error Codeは異なるため、Error Code の類似度の算出結果は“0”となる。
従って、この場合も、図3(B)に示すように、各ログの出現頻度を表す値は、初期値の“0”に、ログ1と ログ3の類似度の計算結果である“0”の値が足されている。
次に、ログ1と ログ4を比較して、ログ同士の類似度を得る。ログ1と ログ4の Error Codeは等しいので、Error Code の類似度の算出結果は“1”となる。また、Error Message も等しいため、ここでも類似度の算出結果は“1”となる。ログ単位の類似度は、各要素の類似度の掛け合わせであるから、このログ同士の類似度の算出結果は“1”となる。
従って、ログ1と ログ4の場合は、図3(C)に示すように、各ログの出現頻度を表す値は、初期値の“0”に、ログ1と ログ4の類似度の計算結果である“1”の値が足されており、それぞれ“1”となっている。 Next, log 1 and log 3 are compared to obtain the similarity between logs. Since the error codes of log 1 and log 3 are different, the error code similarity calculation result is “0”.
Accordingly, in this case as well, as shown in FIG. 3B, the value representing the appearance frequency of each log is “0”, which is the initial value “0”, and the result of calculating the similarity between the log 1 and log 3. The value of is added.
Next, log 1 and log 4 are compared to obtain the similarity between logs. Since the error codes in log 1 and log 4 are equal, the error code similarity calculation result is “1”. Since Error Message is also equal, the similarity calculation result is “1” here as well. Since the similarity in units of logs is a multiplication of the similarity of each element, the calculation result of the similarity between the logs is “1”.
Therefore, in the case of log 1 and log 4, as shown in FIG. 3C, the value representing the appearance frequency of each log is the initial value “0”, and the similarity calculation result of log 1 and log 4 is calculated. The value of “1” is added, and each value is “1”.

次に、ログ1と ログ5を比較して、ログ同士の類似度を得る。この場合、ログ4とログ5は等しいので、ログ1と ログ4の関係と同じになり、ログ同士の類似度の算出結果は“1”となる。
従って、ログ1と ログ5の場合は、図3(D)に示すように、ログ1の出現頻度を表す値については、既にログ4との関係で“1”となっている(図3(C)、参照)ので、この値にログ1と ログ5の類似度の計算結果である“1”の値が加えられて、“2”となる。また、ログ5の出現頻度を表す値については、初期値の“0”に、ログ1と ログ5の類似度の計算結果である“1”の値が足されて、“1”となる。
次に、ログ1と ログ6を比較して、ログ同士の類似度を得る。ログ1と ログ6の Error Codeは異なるため、Error Code の類似度の算出結果は“0”となる。
従って、ログ1と ログ6の場合は、図3(E)に示すように、ログ1の出現頻度を表す値については、既にログ4及びログ5との関係で“1”となっている(図3(C)、(D)参照)ので、この値にログ1と ログ6の類似度の計算結果である“0”の値が足されて、“2”となる。また、ログ6の出現頻度を表す値については、初期値の“0”に、ログ1と ログ6の類似度の計算結果である“0”の値が足されて、“0”となる。
上記のように、ログ1と他の全てのログについて、類似度を求めた結果、ログ全体におけるログ1の出現頻度を表す値が“2”と確定する。 Next, log 1 and log 5 are compared to obtain the similarity between logs. In this case, since the log 4 and the log 5 are equal, the relationship between the log 1 and the log 4 is the same, and the similarity calculation result between the logs is “1”.
Therefore, in the case of log 1 and log 5, as shown in FIG. 3D, the value representing the appearance frequency of log 1 is already “1” in relation to log 4 (FIG. 3 ( Therefore, the value “1”, which is the calculation result of the similarity between the log 1 and the log 5, is added to this value to become “2”. The value representing the appearance frequency of the log 5 is “1” by adding the value “1” that is the calculation result of the similarity between the log 1 and the log 5 to the initial value “0”.
Next, log 1 and log 6 are compared to obtain the similarity between the logs. Since the error codes of log 1 and log 6 are different, the error code similarity calculation result is “0”.
Accordingly, in the case of log 1 and log 6, as shown in FIG. 3E, the value representing the appearance frequency of log 1 is already “1” in relation to log 4 and log 5 ( 3 (C) and 3 (D)), the value of “0”, which is the calculation result of the similarity between the log 1 and the log 6, is added to this value to be “2”. The value representing the appearance frequency of the log 6 becomes “0” by adding the value “0” that is the calculation result of the similarity between the log 1 and the log 6 to the initial value “0”.
As described above, as a result of obtaining the similarity for log 1 and all other logs, the value representing the appearance frequency of log 1 in the entire log is determined to be “2”.

また、ログ2〜ログ6についても、上記と同様に、ログ同士の類似度をもとにした計算過程により出現頻度の計算を行っていく。ただし、ログ同士の類似度を求める時、例えばログ2の場合、改めてログ2と ログ1の類似度を計算する必要はない。これは、ログ1を計算した時に、ログ2に対する類似度は計算されて、保存されているからである。
こうして全てのログについて出現頻度の計算を行うと、図3(F)に示す完成された出現頻度の表が得られる。
なお、図3(F)に示す出現頻度の表において、ログ3及びログ6に対する出現頻度値がいずれも“0.5”となっている。この値は、ログ3とログ6のError Codeは等しいので、Error Code の類似度の算出結果は“1”となるが、Error Messageの単語の一部が異なることによるものである。ここでは2つある単語の1つが一致するので、類似度値として“0.5”となるケースで、結果として、ログ同士の類似度はこの値になる。
図3(F)に示す出現頻度の表では、出現頻度を表す値が大きいもの程、頻繁に発生する問題のないログであり、逆に、出現頻度を表す値が小さいものほど特異なログとなる。従って、一番特異なのはSerial Number 2の行のログということになる。出現頻度の低いもの、即ち、珍しいものは、問題が発生した結果出力された可能性が高い、といえる。ログを表示する際に、この出現頻度によって蓄積されたログをフィルタリングすることで、ログの中から手早く問題の発生個所を得ることが可能になる。 For logs 2 to 6 as well, the appearance frequency is calculated by the calculation process based on the similarity between the logs as described above. However, when calculating the similarity between logs, for example, in the case of log 2, there is no need to calculate the similarity between log 2 and log 1 again. This is because when the log 1 is calculated, the similarity to the log 2 is calculated and stored.
When the appearance frequency is calculated for all the logs in this way, a completed appearance frequency table shown in FIG. 3F is obtained.
In the appearance frequency table shown in FIG. 3F, the appearance frequency values for the log 3 and the log 6 are both “0.5”. Since this error code has the same Error Code in log 3 and log 6, the error code similarity calculation result is “1”, but this is because part of the error message word is different. Since one of the two words matches here, the similarity value is “0.5”, and as a result, the similarity between the logs becomes this value.
In the table of appearance frequencies shown in FIG. 3 (F), the larger the value representing the appearance frequency, the less frequently the problem occurs. Conversely, the smaller the value representing the appearance frequency, the more specific the log. Become. Therefore, the most peculiar thing is the serial number 2 log. It can be said that those with low appearance frequency, that is, rare ones, are likely to have been output as a result of a problem. When displaying the log, by filtering the log accumulated according to the appearance frequency, it becomes possible to quickly obtain the location where the problem occurred from the log.

上記実施形態の情報処理装置(図1参照)が備えるログ管理機能は、単独の装置(システム)上に発生したログを対象にし、外部の情報処理装置(システム)からの情報の提供を受けることを意図したものではない。
単独の装置(システム)の場合、装置内で起きる事象としては特異な事象であっても、他の同種のシステムでは、実はありふれた事象であるという可能性がある。別の場所で運用されている同種のシステムからのログの内容を参照できれば、事象が本当に問題のあるログであるか、問題になりそうな事象がどこで起きているか、といった情報を得ることが可能となる。こうしたログ管理を可能にするシステムとして、同種のシステムのログをログ管理サーバで収集し、一元的に管理するという手段(上記特許文献4、参照)を採用することも考えられる。ただ、この手段をとると、それぞれの処理を行うシステムのほかにサーバーをさらに一つ用意する必要がある。また、ログをサーバーに送るため、ログの量によってはネットワークに負荷がかかる。
そこで、本実施形態では、ログ管理はそれぞれの情報処理装置(システム)で行い、即ち、ログ管理システムを各装置(システム)に備え、このために、ログ管理システムが分散して複数存在することになっても、ログ管理システム同士で通信することで、他システムとの間で相互にそれぞれのログ情報の交換を可能にする。こうしたシステムを構築することによって、上記ログ管理サーバを用いる手段で起きる問題の解消を図り、より普遍化したログ解析を行うことを可能にする。 The log management function provided in the information processing apparatus (see FIG. 1) of the above embodiment targets a log generated on a single apparatus (system) and receives provision of information from an external information processing apparatus (system). Is not intended.
In the case of a single device (system), even if it is a unique event occurring in the device, there is a possibility that it is actually a common event in other similar systems. If you can refer to the contents of a log from a similar system operating in another location, you can obtain information such as whether the event is really a problem log or where an event that is likely to be a problem occurs. It becomes. As a system that enables such log management, it is conceivable to adopt a means (see Patent Document 4 above) that collects logs of the same type of system by a log management server and manages them in a unified manner. However, if this measure is taken, it is necessary to prepare one more server in addition to the system that performs each processing. In addition, since logs are sent to the server, a load is imposed on the network depending on the amount of logs.
Therefore, in this embodiment, log management is performed by each information processing apparatus (system), that is, the log management system is provided in each apparatus (system), and for this reason, a plurality of log management systems exist in a distributed manner. Even in this case, the log management systems communicate with each other, thereby enabling each other to exchange log information with other systems. By constructing such a system, it is possible to solve problems caused by the means using the log management server and to perform more general log analysis.

図4は、情報処理装置(システム)間で相互にログ情報の交換を可能にするシステムの概念を示す。
図4において、情報処理装置(1)100、情報処理装置(2)100、情報処理装置(3)100及び情報処理装置(4)100は、それぞれ同種の処理を行う装置である。即ち、それぞれが、同じ処理をして同じ形式のログを出す情報処理装置として、上記実施形態(図1、参照)におけるログ管理機能に加え、装置間でネットワークを介してログ情報の交換を可能にする拡張機能に必要な要素を持つログ管理システム(後述の図5に関する説明、参照)を備え、ネットワーク300によって接続されている。ネットワーク300は、LAN(Local Area Network)でもよいし、WAN(Wide Area Network)やインターネットでもよい。なお、本実施形態では、インターネットを想定している。
図4の情報処理装置(1)100〜情報処理装置(4)100は、それぞれの装置上で発生するログの出現頻度を調べて異常のありそうなログを、上記実施形態(図1、参照)におけると同様に抽出するが、単独装置内だけではなく、他の同種の装置内にあるログ情報も調査できれば、問題解決や障害の防止に大きな効果がある。
例えば、図4の情報処理装置(1)100で出現頻度の低い、異常と考えられるログが発見されたとする。同種のログが、情報処理装置(2)100や情報処理装置(3)100でも頻度の低いログである場合には、異常である可能性がより高くなる。他方、情報処理装置(1)100では頻度の低いログであったとしても、情報処理装置(2)100や情報処理装置(3)100では、頻度の高いログであった場合には、異常ではない可能性が高くなり、異常への対応を不要にすることにもなる。このように、同種のログが発生している各装置間の共通点を調べることによって問題の解析を容易にする。また、他の装置では全く発生していないログであれば、それはそのシステムに固有の問題ということになるので、他システムとの相違点を調べることによってやはり問題の解析を容易にする。
なお、情報処理装置(4)100は、他の情報処理装置から見るとファイアウォール500の外にある。インターネット上に情報処理装置(1)100〜情報処理装置(4)100がそれぞれあって、物理的な場所や会社が違ったりする場合には、ファイアウォール500を設けることが一般的である。このような場合に、各情報処理装置間で連携を取る場合には、装置にWebサービスの仕組みを導入することを考慮する必要がある。 FIG. 4 shows the concept of a system that enables log information to be exchanged between information processing apparatuses (systems).
In FIG. 4, an information processing device (1) 100 1 , an information processing device (2) 100 2 , an information processing device (3) 100 3, and an information processing device (4) 100 4 are devices that perform the same type of processing. . That is, each information processing device that performs the same processing and outputs a log of the same format can exchange log information between the devices via the network in addition to the log management function in the above embodiment (see FIG. 1). And a log management system having elements necessary for the extended function (refer to the description of FIG. 5 to be described later). The network 300 may be a local area network (LAN), a wide area network (WAN), or the Internet. In the present embodiment, the Internet is assumed.
The information processing apparatus (1) 100 1 to the information processing apparatus (4) 100 4 in FIG. 4 examine the appearance frequency of logs generated on the respective apparatuses, and indicate logs that are likely to be abnormal in the above embodiment (FIG. 1). However, if log information not only in a single device but also in other devices of the same type can be examined, there is a great effect in solving a problem and preventing a failure.
For example, a low frequency of occurrence in the information processing apparatus (1) 100 1 of FIG. 4, a log considered abnormality is found. Same type of log, in the case of infrequent log any information processing apparatus (2) 100 2 and the information processing apparatus (3) 100 3, it is more likely to be abnormal. On the other hand, even if the information processing device (1) 100 1 has a low frequency log, the information processing device (2) 100 2 or the information processing device (3) 100 3 has a high frequency log. Therefore, there is a high possibility that it is not abnormal, and it becomes unnecessary to deal with the abnormality. In this way, the problem can be easily analyzed by examining the common points between the devices where the same type of log is generated. In addition, if the log is not generated at all in another device, it is a problem specific to the system. Therefore, the problem can be easily analyzed by investigating the difference from the other system.
Note that the information processing apparatus (4) 100 4 is outside the firewall 500 when viewed from other information processing apparatuses. If there are information processing devices (1) 100 1 to (4) 100 4 on the Internet, and the physical location or company is different, it is common to provide a firewall 500. In such a case, when cooperation between information processing apparatuses is established, it is necessary to consider introducing a Web service mechanism into the apparatus.

ここで、装置間でネットワークを介してログ情報の交換を可能にする拡張機能を持つログ管理システムの実施形態について説明する。
図5は、本実施形態のログ管理システムの概略構成を示す。なお、本実施形態は、上記実施形態(図1、参照)をベースにネットワークを介してログ情報の交換を可能にする機能の拡張を図ったものである。従って、図5には、拡張された機能に係わる構成部分のみを示し、他のログ管理システムの要素については、省略されている。
ログ管理システム130は、ネットワーク300を介して相手先装置(ログ管理システム)と相互にログ情報を交換するために、2つの手段を備える。
1つは、相手先装置(ログ管理システム)からのログの解析要求を受け付け、要求に応じてログを解析し、解析結果としての出現頻度情報を要求元の装置に送るための手段である。
また、もう1つは、ログの解析要求を相手先装置(ログ管理システム)に依頼し、相手先から送られてくる解析結果としての情報を受け取るための手段である。 Here, an embodiment of a log management system having an extended function that enables exchange of log information between apparatuses via a network will be described.
FIG. 5 shows a schematic configuration of the log management system of the present embodiment. The present embodiment is intended to expand the function that enables the exchange of log information via a network based on the above-described embodiment (see FIG. 1). Accordingly, FIG. 5 shows only the components related to the expanded functions, and other log management system elements are omitted.
The log management system 130 includes two means for exchanging log information with a counterpart device (log management system) via the network 300.
One is a means for receiving a log analysis request from a counterpart device (log management system), analyzing the log in response to the request, and sending appearance frequency information as an analysis result to the request source device.
The other is means for requesting a log analysis request to a partner apparatus (log management system) and receiving information as an analysis result sent from the partner.

前者(ログ解析要求の受付)の手段として、ネットワーク300に接続された頻度計算要求受付I/F(インタフェース)142を有しており、ネットワーク上に存在する相手先ログ管理システムからログの解析を要求して送られてくる出現頻度計算の対象となるログ情報(以下「計算対象ログ」と記す)を受け取る。計算対象ログは、出現頻度計算部136へ送られる。
出現頻度計算部136では、計算対象ログを受け取ると、読み出し部135を通じて、ストレージ134から自システム中に蓄えられているログ情報を読み出し、自システムの全ログ情報に対する計算対象ログの出現頻度を計算する。なお、出現頻度計算は、先の実施形態におけると同様に行われる。即ち、図2及び図3の例を引くと、図2(B)のログ(蓄積されているログ群)の1つに計算対象ログを加えて、図3を参照して説明した計算過程で全ログ中における各ログの出現頻度が算出され、その1つに計算対象ログが含まれる。
上記のようにして計算された出現頻度は、頻度計算要求受付I/F142からネットワークを通じて要求元へ送信される。この時に、送信される出現頻度情報は、全ログを送ることが望ましいが、計算対象ログのみでも良い。
後者(ログの解析依頼)の手段として、ネットワーク300に接続された頻度計算要求I/F141を有している。
解析を依頼する時、自システムで発生し、ストレージ134に蓄えられているログ情報の中から計算対象ログを選択し、頻度計算要求I/F141を通じてネットワーク上に存在する他システムへ送信する。依頼に応じて他システムで計算結果として得られた出現頻度は、再び頻度計算要求I/F141を通じて返信される。 As the former (reception of log analysis request), a frequency calculation request reception I / F (interface) 142 connected to the network 300 is provided, and logs are analyzed from a destination log management system existing on the network. The log information (hereinafter referred to as “calculation target log”) for the appearance frequency calculation sent upon request is received. The calculation target log is sent to the appearance frequency calculation unit 136.
Upon receiving the calculation target log, the appearance frequency calculation unit 136 reads the log information stored in the own system from the storage 134 through the reading unit 135, and calculates the appearance frequency of the calculation target log for all the log information of the own system. To do. The appearance frequency calculation is performed in the same manner as in the previous embodiment. 2 and FIG. 3, the calculation target log is added to one of the logs (accumulated log group) in FIG. 2B, and the calculation process described with reference to FIG. The appearance frequency of each log in all the logs is calculated, and one of them includes a calculation target log.
The appearance frequency calculated as described above is transmitted from the frequency calculation request reception I / F 142 to the request source through the network. At this time, it is desirable to send the entire appearance frequency information to be transmitted, but only the calculation target log may be used.
As the latter (log analysis request) means, a frequency calculation request I / F 141 connected to the network 300 is provided.
When requesting the analysis, the calculation target log is selected from the log information generated in the own system and stored in the storage 134, and transmitted to another system existing on the network through the frequency calculation request I / F 141. The appearance frequency obtained as a calculation result in another system in response to the request is returned again through the frequency calculation request I / F 141.

本発明の実施形態に係わる情報処理装置(システム)の概略構成を示す。1 shows a schematic configuration of an information processing apparatus (system) according to an embodiment of the present invention. (A)はログの構成(定義)を示し、(B)はログの実例を示す。(A) shows the configuration (definition) of the log, and (B) shows an example of the log. (A)〜(E)の表は、ログ1の出現頻度の算出過程を説明し、(F)の表は、図2(B)のログ全体の算出結果を示す。The tables of (A) to (E) explain the calculation process of the appearance frequency of the log 1, and the table of (F) shows the calculation result of the entire log of FIG. 情報処理装置(システム)間で相互にログ情報の交換を可能にするシステムの概念を示す。1 shows a concept of a system that enables mutual exchange of log information between information processing apparatuses (systems). 図4の情報処理装置(システム)が有するログ管理システムの概略構成を示す。5 shows a schematic configuration of a log management system included in the information processing apparatus (system) of FIG.

符号の説明Explanation of symbols

100,100,100,100,100・・情報処理装置、
110・・処理システム、 130・・ログ処理システム、
134・・ストレージ、 136・・出現頻度計算部、
137・・頻度情報テーブル、 141・・頻度計算要求I/F、
142・・頻度計算要求受付I/F、 150・・ログ出力アプリケーション、
300・・ネットワーク。 100, 100 1 , 100 2 , 100 3 , 100 4 .. Information processing device,
110 ... Processing system 130 ... Log processing system
134 .. storage, 136 .. appearance frequency calculation section,
137 ... Frequency information table 141 ... Frequency calculation request I / F,
142 .. Frequency calculation request acceptance I / F, 150 ..Log output application,
300 network.

Claims (5)

装置上で発生した事象を構成要素とするログを管理する機能を有する情報処理装置であって、所定形式の事象データにより表されたログを蓄積するログ蓄積手段と、前記ログ蓄積手段に蓄積されたログを事象毎に対比し、その結果をもとにログ同士の類似度を得る類似度取得手段と、ログ全体から前記類似度取得手段により得られたログ同士の類似度をもとに各ログの出現頻度を算出するログ出現頻度算出手段と、前記ログ出現頻度算出手段により算出された各ログの出現頻度に応じて出力するログを選択する出力ログ選択手段を備えたことを特徴とする情報処理装置。   An information processing apparatus having a function of managing a log having an event occurring on the apparatus as a constituent element, the log storage unit storing a log represented by event data in a predetermined format, and stored in the log storage unit Log for each event, and based on the result, the similarity acquisition means for obtaining the similarity between the logs, and each log based on the similarity between the logs obtained by the similarity acquisition means from the entire log A log appearance frequency calculating unit that calculates a log appearance frequency, and an output log selecting unit that selects a log to be output according to the appearance frequency of each log calculated by the log appearance frequency calculating unit. Information processing device. 請求項1に記載された情報処理装置において、前記類似度取得手段は、データ形式とデータ内容を考慮して類似度を判定するようにしたことを特徴とする情報処理装置。   The information processing apparatus according to claim 1, wherein the similarity acquisition unit determines the similarity in consideration of a data format and data contents. 請求項1又は2に記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で受け取った外部情報処理装置におけるログを対象に加えて、前記ログ出現頻度算出手段によって出現頻度を算出し、この出現頻度を前記通信インタフェース経由で前記外部情報処理装置に返信するようにしたことを特徴とする情報処理装置。   The information processing apparatus according to claim 1 or 2, further comprising a communication interface for exchanging information with an external information processing apparatus, in addition to a log in the external information processing apparatus received via the communication interface, An information processing apparatus characterized in that an appearance frequency is calculated by the log appearance frequency calculation means, and the appearance frequency is returned to the external information processing apparatus via the communication interface. 請求項1乃至3のいずれかに記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で外部情報処理装置に前記ログ蓄積手段に蓄積されたログから選択されたログの出現頻度の算出を依頼し、前記通信インタフェース経由で返信されてくる対象ログの出現頻度を前記ログ出現頻度算出に反映させるようにしたことを特徴とする情報処理装置。 4. The information processing apparatus according to claim 1, further comprising a communication interface for exchanging information with the external information processing apparatus, and stored in the log storage unit in the external information processing apparatus via the communication interface. Information processing characterized by requesting calculation of appearance frequency of log selected from recorded log and reflecting appearance frequency of target log returned via communication interface in calculation of log appearance frequency apparatus. コンピュータを請求項1乃至4のいずれかに記載された情報処理装置の前記各々の処理手段として機能させるためのプログラム。   A program for causing a computer to function as each of the processing means of the information processing apparatus according to any one of claims 1 to 4.
JP2004342688A 2004-11-26 2004-11-26 Information processing apparatus and program used for the same Expired - Fee Related JP4845001B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004342688A JP4845001B2 (en) 2004-11-26 2004-11-26 Information processing apparatus and program used for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004342688A JP4845001B2 (en) 2004-11-26 2004-11-26 Information processing apparatus and program used for the same

Publications (2)

Publication Number Publication Date
JP2006155064A true JP2006155064A (en) 2006-06-15
JP4845001B2 JP4845001B2 (en) 2011-12-28

Family

ID=36633315

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004342688A Expired - Fee Related JP4845001B2 (en) 2004-11-26 2004-11-26 Information processing apparatus and program used for the same

Country Status (1)

Country Link
JP (1) JP4845001B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0923713A (en) * 1995-07-13 1997-01-28 Minoru Sangyo Kk Seeder
JP2008090504A (en) * 2006-09-29 2008-04-17 Oki Electric Ind Co Ltd Computer maintenance support system and analysis server
JP2008140380A (en) * 2006-11-30 2008-06-19 Internatl Business Mach Corp <Ibm> Weighted event counting method for processor performance measurement, processor, and weighted performance counter circuit (weighted event counting system and method for processor performance measurement)
WO2008129635A1 (en) * 2007-04-12 2008-10-30 Fujitsu Limited Performance failure factor analysis program and performance failure factor analysis apparatus
KR101621959B1 (en) * 2015-12-23 2016-05-17 주식회사 모비젠 Apparatus for extracting and analyzing log pattern and method thereof
JP2016158303A (en) * 2016-05-23 2016-09-01 カシオ計算機株式会社 Information management device and program
WO2018110327A1 (en) * 2016-12-12 2018-06-21 日本電気株式会社 Error identification system, method, and recording medium
JP2020149250A (en) * 2019-03-12 2020-09-17 富士通株式会社 Output program, output method and information processing device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001188694A (en) * 2000-01-05 2001-07-10 Hitachi Information Systems Ltd Display method for generation frequency distribution table of event log, discriminating method for generated pattern and recording medium on which the same programs are recorded
JP2002055853A (en) * 2000-05-31 2002-02-20 Toshiba Corp Log comparison debugging support device, method and program
JP2003203001A (en) * 2001-12-28 2003-07-18 Toshiba Corp Method and program for analyzing log

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001188694A (en) * 2000-01-05 2001-07-10 Hitachi Information Systems Ltd Display method for generation frequency distribution table of event log, discriminating method for generated pattern and recording medium on which the same programs are recorded
JP2002055853A (en) * 2000-05-31 2002-02-20 Toshiba Corp Log comparison debugging support device, method and program
JP2003203001A (en) * 2001-12-28 2003-07-18 Toshiba Corp Method and program for analyzing log

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0923713A (en) * 1995-07-13 1997-01-28 Minoru Sangyo Kk Seeder
JP2008090504A (en) * 2006-09-29 2008-04-17 Oki Electric Ind Co Ltd Computer maintenance support system and analysis server
JP2008140380A (en) * 2006-11-30 2008-06-19 Internatl Business Mach Corp <Ibm> Weighted event counting method for processor performance measurement, processor, and weighted performance counter circuit (weighted event counting system and method for processor performance measurement)
WO2008129635A1 (en) * 2007-04-12 2008-10-30 Fujitsu Limited Performance failure factor analysis program and performance failure factor analysis apparatus
JP5299272B2 (en) * 2007-04-12 2013-09-25 富士通株式会社 Analysis program and analyzer
KR101621959B1 (en) * 2015-12-23 2016-05-17 주식회사 모비젠 Apparatus for extracting and analyzing log pattern and method thereof
JP2016158303A (en) * 2016-05-23 2016-09-01 カシオ計算機株式会社 Information management device and program
WO2018110327A1 (en) * 2016-12-12 2018-06-21 日本電気株式会社 Error identification system, method, and recording medium
JPWO2018110327A1 (en) * 2016-12-12 2019-10-24 日本電気株式会社 Anomaly identification system, method and program
JP2020149250A (en) * 2019-03-12 2020-09-17 富士通株式会社 Output program, output method and information processing device

Also Published As

Publication number Publication date
JP4845001B2 (en) 2011-12-28

Similar Documents

Publication Publication Date Title
US7721158B2 (en) Customization conflict detection and resolution
CN100461131C (en) Software traceability management method and apparatus
JP4906672B2 (en) Web application process recording method and process recording apparatus
US10831648B2 (en) Intermittent failure metrics in technological processes
US20080065928A1 (en) Technique for supporting finding of location of cause of failure occurrence
JP4550215B2 (en) Analysis equipment
US20100153431A1 (en) Alert triggered statistics collections
CN106657192B (en) Method and equipment for presenting service calling information
US20100017486A1 (en) System analyzing program, system analyzing apparatus, and system analyzing method
KR20110091776A (en) System for assisting with execution of actions in response to detected events, method for assisting with execution of actions in response to detected events, assisting device, and computer program
WO2010042112A1 (en) Analyzing events
JP2002215477A (en) System and processing method for monitoring device state, and information recording medium
US10977108B2 (en) Influence range specifying method, influence range specifying apparatus, and storage medium
KR102562115B1 (en) Data processing device and data processing method
JP4845001B2 (en) Information processing apparatus and program used for the same
JP2019203759A5 (en)
JPWO2007007410A1 (en) Message analysis apparatus, control method, and control program
CN104598374B (en) The method and apparatus of correction failure script
CN113590172A (en) Code file publishing method, device, equipment and storage medium
JP4339220B2 (en) Information processing apparatus, information processing apparatus control method, and program
JP2002123516A (en) System and method for evaluating web site and recording medium
JP2010097285A (en) System analysis support program, system analysis support device, and system analysis support method
CN113590495A (en) Method, device, equipment and storage medium for determining test coverage rate
CN104823406A (en) Identifying reports to address network issues
JP5197128B2 (en) Dependency Estimation Device, Dependency Estimation Program, and Recording Medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071025

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100708

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100901

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111005

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111005

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141021

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees