JP2018097461A - Computer system, log analysis method and log analysis device - Google Patents
Computer system, log analysis method and log analysis device Download PDFInfo
- Publication number
- JP2018097461A JP2018097461A JP2016239329A JP2016239329A JP2018097461A JP 2018097461 A JP2018097461 A JP 2018097461A JP 2016239329 A JP2016239329 A JP 2016239329A JP 2016239329 A JP2016239329 A JP 2016239329A JP 2018097461 A JP2018097461 A JP 2018097461A
- Authority
- JP
- Japan
- Prior art keywords
- log
- log analysis
- processing
- log data
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
Abstract
Description
本発明は、制御システムを構成する機器に関するログの分析方法に関する。 The present invention relates to a log analysis method relating to devices constituting a control system.
電力、鉄道、水道、及びガス等の社会インフラ並びに自動車に利用される制御システムは、センサから取得した情報に基づいて、あらかじめ設定されている圧力及び温度等の条件を満たすために、バルブ及びアクチュエータ等の機器を制御する。 Control systems used in social infrastructure such as electric power, railways, water supply, and gas, and automobiles are based on information acquired from sensors, in order to satisfy preset conditions such as pressure and temperature, valves and actuators. Control the equipment.
前述の制御を実現するために、組込み装置は、周期的にセンサから情報を取得し、制御対象の装置の状態を確認し、サーバ等に通知し、必要に応じて機器の制御を行う。このため、制御システムは、一般的に、大量の通信データに基づいて処理を行う。 In order to realize the above-described control, the embedded device periodically acquires information from the sensor, checks the state of the device to be controlled, notifies the server, etc., and controls the device as necessary. For this reason, the control system generally performs processing based on a large amount of communication data.
制御システムは、専用OS及び専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されている。そのため、コンピュータウィルス及びサービス不能攻撃といったサイバー攻撃からは無縁であると考えられてきた。 The control system uses a dedicated OS and a dedicated protocol, and is installed in an isolated state in an area that cannot be accessed from an external network such as the Internet. For this reason, it has been considered to be free from cyber attacks such as computer viruses and denial of service attacks.
しかし、汎用OS及び汎用プロトコルを利用する制御システムが増加しており、制御の効率を向上させるために情報システムと接続するシステム形態も進んできている。そのため、サイバー攻撃の危険性が高まっている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが出現している。そのため、制御システムにもマルウェア及び不正アクセス等を検出する技術が必要となっている。 However, the number of control systems using a general-purpose OS and a general-purpose protocol is increasing, and a system configuration for connecting to an information system is also progressing in order to improve control efficiency. Therefore, the risk of cyber attacks is increasing. In recent years, computer viruses targeting control systems have emerged. Therefore, a technology for detecting malware and unauthorized access is also required for the control system.
情報システムへの不正アクセスを検出するための技術として特許文献1に記載の技術が知られている。特許文献1には、「不正アクセス情報データベース22aは、不正アクセス情報を逐次格納する。同一者判定処理部24は、不正アクセス情報データベース22aを参照し、不正アクセス情報間において、所定の項目に関する一致の度合を基に同一者による不正アクセス情報かを判定する。判断条件データベース23bは、予め不正アクセス行為の判断条件を格納する。不正者判別処理部25は、同一者判定処理部24が同一者と判定した複数の不正アクセス情報に対し、判断条件データベース23bの判断条件を参照して不正アクセス行為であるか判断し、該同一者が不正者であるか判別する。」ことが記載されている。
As a technique for detecting unauthorized access to an information system, a technique described in
特許文献1の技術を制御システムに適用する場合、判断条件データベースを参照して不正アクセス行為であるか否かを判定するための装置が必要である。当該装置には、高い性能が求められる。そのため、計算機リソースが限られた組み込み機器等の装置を用いて特許文献1に記載の技術を実現するのは困難である。
When applying the technique of
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、監視対象のログデータを取得する装置、及び前記ログデータの分析処理を実行するログ分析装置を含む計算機システムであって、前記ログ分析装置は、種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定し、前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行し、前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正し、前記実行用のパラメータに基づいて、前記ログデータを取得し、前記取得したログデータを用いて、前記ログ分析処理を実行することを特徴とする。 A typical example of the invention disclosed in the present application is as follows. That is, a computer system that includes a device that acquires log data to be monitored and a log analysis device that executes analysis processing of the log data, wherein the log analysis device receives a message that includes a type and an importance level Determining candidate parameters for specifying log analysis processing and log data used for the log analysis processing based on the type and importance, and correcting the candidate parameters based on the processing load of the log analysis device To execute an adjustment process for determining an execution parameter, and to execute a log analysis process using the execution parameter, modify an internal parameter that defines the processing content of the log analysis process, The log data is acquired based on the execution parameters, and the log analysis process is performed using the acquired log data. Characterized by a run.
本発明によれば、限られた計算機リソースを有するログ分析装置が、効率的にログ分析処理を実行できる。上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 According to the present invention, a log analysis apparatus having limited computer resources can efficiently execute log analysis processing. Problems, configurations, and effects other than those described above will be clarified by the following description of embodiments.
以下、本発明に係る実施例を添付図面を用いて説明する。各図において共通の構成については同一の参照符号が付されている。 Embodiments according to the present invention will be described below with reference to the accompanying drawings. In each figure, the same reference numerals are given to common configurations.
図1は、実施例1の計算機システムの全体の構成例を説明する図である。 FIG. 1 is a diagram illustrating an example of the overall configuration of a computer system according to the first embodiment.
計算機システムは、ログ分析装置101、制御装置102、ネットワーク監視装置103、及びセキュリティ対策装置104から構成される。各装置は、ネットワーク105を介して互いに接続される。
The computer system includes a
ログ分析装置101は、ログ分析処理を実行する。制御装置102は、制御システムの制御対象の装置を制御する。ネットワーク監視装置103は、ネットワークの監視を行う。セキュリティ対策装置104は、ユーザ認証等のセキュリティに関する処理を実行する。本実施例では、ネットワーク監視装置103及びセキュリティ対策装置104が、それぞれの監視対象のログデータを収集し、収集したログデータを管理する。
The
管理者106は、ログ分析装置101が出力するログ分析結果を閲覧することができる。
The
図2は、実施例1のログ分析装置101のハードウェア構成及びソフトウェア構成の一例を説明する図である。
FIG. 2 is a diagram illustrating an example of a hardware configuration and a software configuration of the
ログ分析装置101は、プロセッサ201、メモリ202、記憶装置203、入出力インタフェース204、及びネットワークインタフェース205を有し、各ハードウェアはバス206を介して接続される。
The
プロセッサ201は、メモリ202に格納されるプログラムを実行する。プロセッサ201がプログラムにしたがって処理を実行することによって、所定の機能を有するモジュールとして動作する。以下の説明では、モジュールを主語に処理を説明する場合、プロセッサ201が、当該モジュールを実現するプログラムを実行していることを表す。
The
メモリ202は、プロセッサ201が実行するプログラム及び当該プログラムに必要な情報を格納する。また、メモリ202は、プログラムが一時的に使用するワークエリアを含む。
The memory 202 stores a program executed by the
記憶装置203は、データを永続的に格納する。記憶装置203は、HDD(Hard Disk Drive)及びSSD(Solid State Drive)等の記憶媒体、又は不揮発性メモリ等が考えられる。なお、メモリ202に格納されるプログラム及び情報は、記憶装置203に格納されてもよい。この場合、プロセッサ201は、記憶装置203からプログラム及び情報を読み出し、メモリ202にプログラム及び情報をロードし、また、メモリ202にロードされたプログラムを実行する。
The
入出力インタフェース204は、入力装置207及び出力装置208と接続するためのインタフェースである。なお、入力装置207は、キーボード、マウス、及びタッチパネル等を含み、また、出力装置208は、タッチパネル及びディスプレイ等を含む。
The input /
ネットワークインタフェース205は、ネットワークを介して他の計算機と接続するためのインタフェースである。
The
メモリ202は、プログラムとして、ログ分析モジュール211を実現するプログラムを格納し、また、情報として、ログ分析定義情報212、調整ポリシ情報213、及びスケジュール情報214を格納する。記憶装置203は、データとして、ログデータ管理情報215を格納する。
The memory 202 stores a program for realizing the log analysis module 211 as a program, and stores log
ログ分析モジュール211は、異なるログ分析処理を実行する複数の実行モジュール221を含む。ログ分析モジュール211は、実行するログ分析処理の種類に応じて、呼び出す実行モジュールを選択する。
The log analysis module 211 includes a plurality of
ログ分析定義情報212は、メッセージ種別及びメッセージレベルに基づいて、実行するログ分析処理、及び当該ログ分析処理に使用するログデータを特定するためのパラメータに関する定義情報を格納する。ログ分析定義情報212の詳細は図6を用いて説明する。
The log
調整ポリシ情報213は、ログ分析装置101の処理負荷に応じてパラメータを調整するためのポリシを格納する。調整ポリシ情報213の詳細は図7を用いて説明する。
The
スケジュール情報214は、遅延を発生させるログ分析処理の実行スケジュールを管理する情報である。本実施例では、即時に実行できないログ分析処理の実行スケジュールがスケジュール情報214に登録される。例えば、処理負荷が高いログ分析処理が同時に発生した場合、スケジュール情報214にログ分析処理の実行スケジュールが登録される。スケジュール情報214の詳細は、図8を用いて説明する。
The
ログデータ管理情報215は、ログ分析処理に使用されるログデータを格納する。ログデータ管理情報215は、データサイズが大きいため、記憶装置203に格納されている。ただし、メモリ202の容量が大きい場合、ログデータ管理情報215は、メモリ202に格納されてもよい。なお、ログ分析処理の開始前のログデータ管理情報215にはログデータが格納されておらず、ログ分析処理の実行時に取得したログデータが格納される。
The log
なお、メモリ202には、ログ分析装置101を制御するOS(Operating System)等のプログラムが格納されるが、本発明とは直接関係しないため省略している。
Note that a program such as an OS (Operating System) for controlling the
図3は、実施例1の制御装置102のハードウェア構成及びソフトウェア構成の一例を説明する図である。
FIG. 3 is a diagram illustrating an example of a hardware configuration and a software configuration of the
制御装置102は、プロセッサ301、メモリ302、記憶装置303、入出力インタフェース304、及びネットワークインタフェース305を有し、各ハードウェアはバス306を介して接続される。
The
プロセッサ301、メモリ302、記憶装置303、入出力インタフェース304、ネットワークインタフェース305、及びバス306は、プロセッサ201、メモリ202、記憶装置203、入出力インタフェース204、ネットワークインタフェース205、及びバス206と同様のものであるため説明を省略する。
The
なお、制御装置102の入出力インタフェース304には、制御対象の装置であるバルブ307及びアクチュエータ308が接続される。なお、バルブ307及びアクチュエータ308は、制御対象の装置の一例であってこれに限定されない。
Note that a
メモリ302は、プログラムとして、制御モジュール311を実現するプログラムを格納する。
The
制御モジュール311は、制御装置102全体を制御する。また、制御モジュール311は、バルブ307及びアクチュエータ308を制御する。具体的には、制御モジュール311は、バルブ307及びアクチュエータ308の動作を変更し、また、バルブ307及びアクチュエータ308の状態を監視する。制御モジュール311は、バルブ307及びアクチュエータ308の停止及び再起動等のイベントを検出した場合、各イベントに対応したメッセージをログ分析装置101に送信する。メッセージには、メッセージの種別及びメッセージレベル等の情報が含まれる。なお、メッセージレベルは、重要度を表す値である。
The
図4は、実施例1のネットワーク監視装置103のハードウェア構成及びソフトウェア構成の一例を説明する図である。
FIG. 4 is a diagram illustrating an example of a hardware configuration and a software configuration of the
ネットワーク監視装置103は、プロセッサ401、メモリ402、記憶装置403、及びネットワークインタフェース405を有し、各ハードウェアはバス406を介して接続される。なお、ネットワーク監視装置103は、入出力インタフェースを有してもよい。
The
プロセッサ401、メモリ402、記憶装置403、ネットワークインタフェース405、及びバス406は、プロセッサ201、メモリ202、記憶装置203、ネットワークインタフェース205、及びバス206と同様のものであるため説明を省略する。
Since the
メモリ402は、プログラムとして、ネットワーク管理モジュール411を実現するプログラムを格納する。記憶装置403は、データとして、ネットワークログデータ管理情報412を格納する。
The memory 402 stores a program for realizing the
ネットワークログデータ管理情報412は、ネットワーク105を流れるデータに関するログであるネットワークログデータを管理する情報である。なお、ネットワークログデータはタイムスタンプを含む。
The network log
ネットワーク管理モジュール411は、ネットワークログデータを取得し、ネットワークログデータ管理情報412にネットワークログデータを格納する。また、ネットワーク管理モジュール411は、ログ分析装置101から受信した要求にしたがって、ネットワークログデータ管理情報412に格納されるネットワークログデータをログ分析装置101に送信する。
The
図5は、実施例1のセキュリティ対策装置104のハードウェア構成及びソフトウェア構成の一例を説明する図である。
FIG. 5 is a diagram illustrating an example of a hardware configuration and a software configuration of the
セキュリティ対策装置104は、プロセッサ501、メモリ502、記憶装置503、及びネットワークインタフェース505を有し、各ハードウェアはバス506を介して接続される。なお、セキュリティ対策装置104は、入出力インタフェースを有してもよい。
The
プロセッサ501、メモリ502、記憶装置503、ネットワークインタフェース505、及びバス506は、プロセッサ201、メモリ202、記憶装置203、ネットワークインタフェース205、及びバス206と同様のものであるため説明を省略する。
Since the
メモリ502は、プログラムとして、セキュリティ対策モジュール511を実現するプログラムを格納する。記憶装置503は、データとして、セキュリティログデータ管理情報512を格納する。
The memory 502 stores a program for realizing the security countermeasure module 511 as a program. The
セキュリティログデータ管理情報512は、セキュリティ機能に関するログであるセキュリティログデータを管理する情報である。なお、セキュリティログデータはタイムスタンプを含む。
The security log
セキュリティ対策モジュール511は、ユーザ認証等のセキュリティ機能を提供する。セキュリティ対策モジュール511は、セキュリティログデータを取得し、セキュリティログデータ管理情報512にセキュリティログデータを格納する。また、セキュリティ対策モジュール511は、ログ分析装置101から受信した要求にしたがって、セキュリティログデータ管理情報512に格納されるセキュリティログデータをログ分析装置101に送信する。
The security countermeasure module 511 provides a security function such as user authentication. The security countermeasure module 511 acquires security log data and stores the security log data in the security log
図6は、実施例1のログ分析定義情報212の構成例を説明する図である。
FIG. 6 is a diagram illustrating a configuration example of the log
ログ分析定義情報212は、ID601、メッセージ種別602、メッセージレベル603、ログデータ種別604、対象期間605、及びモジュール種別606から構成されるレコードを含む。一つのレコードが一つの定義情報に対応する。
The log
ID601は、ログ分析定義情報212のレコードを一意に識別するための識別情報を格納するフィールドである。
The
メッセージ種別602は、制御装置102等から通知されたメッセージの種別を格納するフィールドである。メッセージレベル603は、制御装置102等から通知されたメッセージレベルを格納するフィールドである。
The
ログデータ種別604は、取得対象のログデータの種別を格納するフィールドである。ログデータ種別604には、ログデータの種別、及びログデータに含める項目を示す値が格納される。対象期間605は、取得対象のログデータの時間範囲を格納するフィールドである。本実施例では、ログデータ種別604及び対象期間605に基づいて、取得対象のログデータが特定される。
The
モジュール種別606は、呼び出される実行モジュール221の種別を格納するフィールドである。すなわち、モジュール種別606はログ分析処理の種別を表す。
The
本実施例では、メッセージレベル603に応じて、処理負荷が異なるログ分析処理が実行される。すなわち、取得するログデータに応じて実行モジュール221が実行するログ分析処理の粒度が異なる。本実施例では、処理の粒度毎に、ログ分析処理で使用する変数、コード、及び関数等の処理内容を規定するパラメータ(内部パラメータ)が予め設定されているものとする。
In this embodiment, log analysis processing with different processing loads is executed according to the
なお、レコードは、内部パラメータを格納するフィールドを含んでもよい。 Note that the record may include a field for storing an internal parameter.
図7は、実施例1の調整ポリシ情報213の構成例を説明する図である。
FIG. 7 is a diagram illustrating a configuration example of the
調整ポリシ情報213は、ID701、優先度702、負荷条件703、及び調整方法704から構成されるレコードを含む。一つのレコードが一つの調整ポリシに対応する。
The
ID701は、調整ポリシ情報213のレコードを一意に識別するための識別情報を格納するフィールドである。
The
優先度702は、ポリシの優先度を格納するフィールドである。本実施例では、「1」から順に優先度を表す数値が優先度702に設定される。「1」が最も優先度が高いものとする。適用可能な調整ポリシが複数存在した場合、ログ分析モジュール211は、優先度が最も高い調整ポリシを、使用する調整ポリシとして選択する。
The
負荷条件703は、調整ポリシの適用条件であるログ分析装置101の負荷に関する情報を格納するフィールドである。
The
調整方法704は、具体的なログ分析処理の調整方法に関する情報を格納するフィールドである。ID701が「1」のレコードの調整方法704には、ログ分析処理の実行時間を遅延させるためのスケジューリングが調整方法として設定される。また、ID701が「2」のレコードの調整方法704には、処理負荷が低いログ分析処理に変更する調整方法が設定される。また、ID701が「5」のレコードの調整方法704には、処理負荷を低減するために、取得するログデータの時間範囲を狭める調整方法が設定される。
The
図8は、実施例1のスケジュール情報214の構成例を説明する図である。
FIG. 8 is a diagram illustrating a configuration example of the
スケジュール情報214は、ID801、ログデータ種別802、対象期間803、及びモジュール種別804から構成されるレコードを含む。一つのレコードが一つのログ分析処理に対応する。
The
ID801は、スケジュール情報214のレコードを一意に識別するための識別情報を格納するフィールドである。ログデータ種別802、対象期間803、及びモジュール種別804は、ログデータ種別604、対象期間605、及びモジュール種別606と同一のものである。
The
次に、計算機システムにおける処理について説明する。 Next, processing in the computer system will be described.
図9は、実施例1の計算機システムにおける処理の流れを説明するシーケンス図である。 FIG. 9 is a sequence diagram illustrating the flow of processing in the computer system according to the first embodiment.
制御装置102は、イベントの発生を検出した場合、当該イベントに対応するメッセージをログ分析装置101に送信する(ステップS901)。メッセージには、及びメッセージ種別を特定するための情報を含むメッセージ内容及びメッセージレベルが含まれる。
When the occurrence of an event is detected, the
ログ分析装置101は、メッセージを解析することによって、実行するログ分析処理及びパラメータを決定する(ステップS902)。本実施例では、ログデータの種別、ログデータに含める項目、及びログデータの時間範囲等がパラメータとして決定される。
The
ログ分析装置101は、パラメータによって特定されるログデータを取得するために、ネットワーク監視装置103及びセキュリティ対策装置104に取得要求を送信する(ステップS903、S904)。なお、スケジュール情報214に実行するログ分析処理の情報が登録された場合、ログ分析装置101は、実行契機の経過後に取得要求を送信する。
The
セキュリティ対策装置104及びネットワーク監視装置103は、取得要求にしたがって、要求されたログデータをログ分析装置101に送信する(ステップS905、S906)。
The
ログ分析装置101は、ログデータを受信した後、ログ分析処理を実行する(ステップS907)。ログ分析装置101は、管理者106に対して分析結果を表示する(ステップS908)。
After receiving the log data, the
ログ分析装置101は、管理者106から再分析指示を受け付けた場合(ステップS909)、実行するログ分析処理及びパラメータを決定する(ステップS910)。再分析指示には、前回のログ分析処理におけるメッセージ種別及びメッセージレベルが含まれる。
When the
本実施例では、ログ分析装置101は、ログ分析定義情報212を参照し、再分析指示に含まれるメッセージレベルより高いメッセージレベルに対応するログ分析処理を選択する。例えば、再分析指示に含まれるメッセージ種別が「T1」かつメッセージレベルが「軽微」である場合、ログ分析装置101は、メッセージ種別602が「T1」かつメッセージレベル603が「注意」であるレコードを選択する。
In this embodiment, the
ログ分析装置101は、パラメータによって特定されるログデータを取得するために、ネットワーク監視装置103及びセキュリティ対策装置104に取得要求を送信する(ステップS911、S912)。
The
セキュリティ対策装置104及びネットワーク監視装置103は、取得要求にしたがって、要求されたログデータをログ分析装置101に送信する(ステップS913、S914)。
The
ログ分析装置101は、ログデータを受信した後、ログ分析処理を実行する(ステップS915)。ログ分析装置101は、管理者106に対して分析結果を表示する(ステップS916)。
After receiving the log data, the
図10は、実施例1のログ分析装置101が制御装置102からメッセージを受信した場合に実行する処理を説明するフローチャートである。
FIG. 10 is a flowchart illustrating processing executed when the
ログ分析モジュール211は、制御装置102からメッセージを受信した場合、以下で説明する処理を開始する。
When the log analysis module 211 receives a message from the
ログ分析モジュール211は、メッセージからメッセージ種別及びメッセージレベルを取得する(ステップS1001)。 The log analysis module 211 acquires a message type and a message level from the message (step S1001).
具体的には、ログ分析モジュール211は、メッセージに含まれるメッセージ内容からメッセージ種別を取得し、また、メッセージに含まれるメッセージレベルを取得する。 Specifically, the log analysis module 211 acquires the message type from the message content included in the message, and acquires the message level included in the message.
ログ分析モジュール211は、調整処理を実行する(ステップS1002)。当該処理では、実行するログ分析処理及びパラメータが決定される。調整処理の詳細は図12を用いて説明する。 The log analysis module 211 executes adjustment processing (step S1002). In this process, a log analysis process and parameters to be executed are determined. Details of the adjustment processing will be described with reference to FIG.
次に、ログ分析モジュール211は、実行するログ分析処理の実行スケジュールがスケジュール情報214に登録されたか否かを判定する(ステップS1003)。 Next, the log analysis module 211 determines whether or not the execution schedule of the log analysis processing to be executed is registered in the schedule information 214 (step S1003).
実行するログ分析処理の実行スケジュールがスケジュール情報214に登録されていると判定された場合、ログ分析モジュール211は処理を終了する。実行スケジュールがスケジュール情報214に登録された場合、この時点ではログ分析処理は実行されない。
When it is determined that the execution schedule of the log analysis process to be executed is registered in the
実行するログ分析処理の実行スケジュールがスケジュール情報214に登録されていないと判定された場合、ログ分析モジュール211は、調整処理によって決定されたログデータを取得するための取得要求を対象の機器に送信する(ステップS1004)。
When it is determined that the execution schedule of the log analysis process to be executed is not registered in the
後述するように調整処理では、取得するログデータの種別、ログデータに含める項目、及びログデータの時間範囲等が決定される。ログ分析モジュール211は、ログデータの種別に基づいてログデータを取得する機器を特定し、項目の識別情報及び時間範囲を含む取得要求を特定された機器に送信する。 As described later, in the adjustment process, the type of log data to be acquired, items to be included in the log data, the time range of the log data, and the like are determined. The log analysis module 211 specifies a device from which log data is acquired based on the type of log data, and transmits an acquisition request including item identification information and a time range to the specified device.
次に、ログ分析モジュール211は、ログデータを取得した後、調整処理によって決定されたログ分析処理を実行する(ステップS1005)。 Next, after acquiring the log data, the log analysis module 211 executes the log analysis process determined by the adjustment process (step S1005).
具体的には、ログ分析モジュール211は、調整処理によって決定された実行モジュール221を呼び出し、処理の実行を指示する。なお、ログ分析処理は公知の技術であるため詳細な説明は省略する。また、本実施例は、ログ分析処理の内容に限定されない。
Specifically, the log analysis module 211 calls the
次に、ログ分析モジュール211は、分析結果を管理者106に対して出力する(ステップS1006)。その後、ログ分析モジュール211は処理を終了する。 Next, the log analysis module 211 outputs the analysis result to the administrator 106 (step S1006). Thereafter, the log analysis module 211 ends the process.
具体的には、ログ分析モジュール211は、分析結果を表示するための表示情報を生成し、表示情報に基づいて出力装置208に画面を表示する。
Specifically, the log analysis module 211 generates display information for displaying the analysis result, and displays a screen on the
なお、ログ分析モジュール211は、管理者106から再分析指示を受け付けた場合、同様の処理を実行する。
The log analysis module 211 executes the same processing when receiving a reanalysis instruction from the
図11A及び図11Bは、実施例1の出力装置208に表示される画面の一例を示す説明する図である。ここでは、ログデータの要約処理がログ分析処理として実行された場合の画面について説明する。
11A and 11B are diagrams illustrating an example of a screen displayed on the
図11Aは、メッセージレベルが「重大」であるメッセージを受信した場合に表示される画面1100を表し、図11Bはメッセージレベルが「軽微」であるメッセージを受信した場合に表示される画面1110を表す。
FIG. 11A shows a
画面1100は、メッセージ内容表示エリア1101及びログ分析結果表示エリア1102から構成される。
The
メッセージ内容表示エリア1101は、メッセージの内容を表示するエリアである。メッセージ内容表示エリア1101には、メッセージの発生日時、メッセージレベル、及びメッセージ内容等が表示される。
The message
ログ分析結果表示エリア1102は、ログ分析処理の結果を表示するエリアである。ログ分析結果表示エリア1102には、パラメータ及び分析結果等が表示される。
The log analysis
画面1110は、メッセージ内容表示エリア1111、ログ分析結果表示エリア1112、及び補足表示エリア1113から構成される。
The
メッセージ内容表示エリア1111及びログ分析結果表示エリア1112は、メッセージ内容表示エリア1101及びログ分析結果表示エリア1102と同様のエリアである。ただし、メッセージ内容表示エリア1111及びログ分析結果表示エリア1112に表示される情報は、メッセージ内容表示エリア1101及びログ分析結果表示エリア1102に表示される情報より粒度が荒い。
The message
補足表示エリア1113は、調整処理によって変更されたログ分析処理の変更内容等を表示するエリアである。図11Bに示す補足表示エリア1113には、実行されたログ分析処理より詳細な分析結果を出力するログ分析処理の実行を指示するための実行ボタンが含まれる。管理者106は、当該実行ボタンを操作することによって、ログ分析装置101に再分析指示を入力する。
The
メッセージレベルの違いによって実行されるログ分析処理が異なるため、図11A及び図11Bに示すように、ログ分析処理の結果を表示する画面が異なる。 Since the log analysis process to be executed is different depending on the message level, the screen for displaying the result of the log analysis process is different as shown in FIGS. 11A and 11B.
図12は、実施例1のログ分析モジュール211が実行する調整処理の詳細を説明するフローチャートである。 FIG. 12 is a flowchart illustrating details of the adjustment process executed by the log analysis module 211 according to the first embodiment.
ログ分析モジュール211は、ログ分析装置101の処理負荷を示す負荷情報を取得する(ステップS1201)。 The log analysis module 211 acquires load information indicating the processing load of the log analysis apparatus 101 (step S1201).
次に、ログ分析モジュール211は、ログ分析定義情報212に基づいて、実行するログ分析処理及び候補パラメータを決定する(ステップS1202)。 Next, the log analysis module 211 determines a log analysis process to be executed and candidate parameters based on the log analysis definition information 212 (step S1202).
具体的には、ログ分析モジュール211は、ログ分析定義情報212を参照して、メッセージ種別602及びメッセージレベル603が、受信したメッセージのメッセージ種別及びメッセージレベルと一致するレコードを検索する。ログ分析モジュール211は、検索されたレコードのモジュール種別606を実行するログ分析処理に決定し、検索されたレコードのログデータ種別604及び対象期間605を候補パラメータに決定する。
Specifically, the log analysis module 211 refers to the log
次に、ログ分析モジュール211は、負荷情報及び調整ポリシ情報213に基づいて、ログ分析処理のスケジューリングが必要であるか否かを判定する(ステップS1203)。具体的には、以下のような処理が実行される。 Next, the log analysis module 211 determines whether or not the log analysis process needs to be scheduled based on the load information and the adjustment policy information 213 (step S1203). Specifically, the following processing is executed.
ログ分析モジュール211は、負荷情報に基づいて負荷条件703を参照して、負荷条件703を満たす該当するレコードを検索する。
The log analysis module 211 refers to the
負荷条件703を満たすレコードが存在しない場合、ログ分析モジュール211は、ログ分析処理のスケジューリングが必要でないと判定する。
When there is no record satisfying the
負荷条件703を満たすレコードが複数存在する場合、ログ分析モジュール211は、検索されたレコードの優先度702を参照し、優先度が最も高いレコードを選択する。ログ分析モジュール211は、選択されたレコードの調整方法704が「スケジュール情報に登録」であるか否かを判定する。選択されたレコードの調整方法704が「スケジュール情報」である場合、ログ分析モジュール211は、ログ分析処理のスケジューリングが必要であると判定する。以上がステップS1203の処理の説明である。
When there are a plurality of records satisfying the
ログ分析処理のスケジューリングが必要であると判定された場合、ログ分析モジュール211は、スケジュール情報214にログ分析処理の実行スケジュールを登録し(ステップS1204)、調整処理を終了する。 When it is determined that the log analysis process needs to be scheduled, the log analysis module 211 registers the execution schedule of the log analysis process in the schedule information 214 (step S1204), and ends the adjustment process.
具体的には、ログ分析モジュール211は、スケジュール情報214にレコードを追加し、追加されたレコードのID801に識別情報を設定する。また、ログ分析モジュール211は、追加されたレコードのログデータ種別802、対象期間803、及びモジュール種別804に、ステップS1202において検索されたレコードのログデータ種別604、対象期間605、及びモジュール種別606を設定する。ログ分析処理の実行スケジュールを登録する場合、候補パラメータは変更されない。
Specifically, the log analysis module 211 adds a record to the
ログ分析処理のスケジューリングが必要でないと判定された場合、ログ分析モジュール211は、候補パラメータを変更する必要があるか否かを判定する(ステップS1205)。 When it is determined that the log analysis processing does not need to be scheduled, the log analysis module 211 determines whether the candidate parameter needs to be changed (step S1205).
具体的には、ログ分析モジュール211は、ステップS1203において調整ポリシ情報213から検索されたレコードの調整方法704を参照し、当該調整方法704が候補パラメータを変更する調整方法であるか否かを判定する。
Specifically, the log analysis module 211 refers to the
例えば、検索されたレコードのID701が「2」である場合、ログ分析モジュール211は、候補パラメータを変更する必要があると判定する。
For example, when the
候補パラメータを変更する必要があると判定された場合、ログ分析モジュール211は、選択されたレコードの調整方法704に基づいて、候補パラメータを変更し(ステップS1206)、実行するログ分析処理及び実行用パラメータを決定する(ステップS1207)。その後、ログ分析モジュール211は調整処理を終了する。この場合、変更後のパラメータが実行用パラメータに決定される。 When it is determined that the candidate parameter needs to be changed, the log analysis module 211 changes the candidate parameter based on the selected record adjustment method 704 (step S1206), and executes the log analysis process and the execution A parameter is determined (step S1207). Thereafter, the log analysis module 211 ends the adjustment process. In this case, the changed parameter is determined as the execution parameter.
このとき、ログ分析モジュール211は、候補パラメータの変更に伴って、ログ分析処理の処理内容を変更する。すなわち、ログ分析モジュール211は、実行用パラメータを用いたログ分析処理を実行するために、内部パラメータを変更する。これによって、粒度が異なるログ分析処理を実行することができる。 At this time, the log analysis module 211 changes the processing content of the log analysis processing in accordance with the change of the candidate parameter. That is, the log analysis module 211 changes the internal parameters in order to execute the log analysis process using the execution parameters. As a result, log analysis processing with different granularities can be executed.
候補パラメータを変更する必要がないと判定された場合、ログ分析モジュール211は、実行するログ分析処理及び実行用パラメータを決定する(ステップS1207)。その後、ログ分析モジュール211は調整処理を終了する。この場合、候補パラメータが実行用パラメータに決定される。 When it is determined that it is not necessary to change the candidate parameter, the log analysis module 211 determines a log analysis process to be executed and an execution parameter (step S1207). Thereafter, the log analysis module 211 ends the adjustment process. In this case, the candidate parameter is determined as the execution parameter.
本実施例では、メッセージの受信を契機に、ログ分析処理に必要なログデータのみが取得される。これによって、計算機システム全体の通信負荷を低減し、また、ログ分析装置101の処理負荷を低減できる。
In the present embodiment, only log data necessary for log analysis processing is acquired upon receipt of a message. As a result, the communication load of the entire computer system can be reduced, and the processing load of the
また、ログ分析モジュール211は、処理負荷を考慮して、実行するログ分析処理の処理内容を決定する。これによって、限られた計算機リソースを利用してセキュリティ対策及び障害対策等に必要なログ分析処理を実行できる。 In addition, the log analysis module 211 determines the processing content of the log analysis processing to be executed in consideration of the processing load. This makes it possible to execute log analysis processing necessary for security countermeasures and failure countermeasures using limited computer resources.
図13は、実施例1のログ分析装置101がスケジュール情報214にしたがって実行する処理を説明するフローチャートである。
FIG. 13 is a flowchart for explaining processing executed by the
ログ分析モジュール211は、周期的に、以下で説明する処理を実行する。 The log analysis module 211 periodically executes processing described below.
ログ分析モジュール211は、スケジュール情報214に実行スケジュールが登録されているか否かを判定する(ステップS1301)。 The log analysis module 211 determines whether or not an execution schedule is registered in the schedule information 214 (step S1301).
スケジュール情報214に実行スケジュールが登録されていないと判定された場合、ログ分析モジュール211は処理を終了する。
When it is determined that the execution schedule is not registered in the
スケジュール情報214に実行スケジュールが登録されていると判定された場合、ログ分析モジュール211は、ログ分析装置101の負荷情報を取得し(ステップS1302)、処理負荷が低いか否かを判定する(ステップS1303)。
When it is determined that the execution schedule is registered in the
例えば、ログ分析モジュール211は、プロセッサ使用率が第1閾値より小さく、かつ、メモリ使用率が第2閾値より小さいか否かを判定する。いずれかの条件を満たさない場合、ログ分析モジュール211は、処理負荷が高いと判定する。 For example, the log analysis module 211 determines whether the processor usage rate is smaller than a first threshold value and the memory usage rate is smaller than a second threshold value. If any of the conditions is not satisfied, the log analysis module 211 determines that the processing load is high.
処理負荷が高いと判定された場合、ログ分析モジュール211は、待ち状態に移行し、一定時間経過した後、ステップS1302に戻り同様の処理を実行する。 When it is determined that the processing load is high, the log analysis module 211 shifts to a waiting state, and after a predetermined time has elapsed, returns to step S1302 and executes similar processing.
処理負荷が低いと判定された場合、ログ分析モジュール211は、スケジュール情報214から実行する分析処理を選択する(ステップS1304)。 When it is determined that the processing load is low, the log analysis module 211 selects an analysis process to be executed from the schedule information 214 (step S1304).
具体的には、ログ分析モジュール211は、スケジュール情報214に登録されたレコードを一つ選択する。本実施例では、スケジュール情報214の上のレコードから順に選択されるものとする。
Specifically, the log analysis module 211 selects one record registered in the
次に、ログ分析モジュール211は、選択されたレコードのログデータ種別802及び対象期間803によって特定されるログデータを取得するための取得要求を対象の機器に送信する(ステップS1305)。
Next, the log analysis module 211 transmits an acquisition request for acquiring log data specified by the
次に、ログ分析モジュール211は、ログデータを取得した後、選択されたレコードに対応するログ分析処理を実行する(ステップS1306)。 Next, the log analysis module 211 acquires log data, and then executes log analysis processing corresponding to the selected record (step S1306).
具体的には、ログ分析モジュール211は、選択されたレコードのモジュール種別804に対応する実行モジュール221を呼び出し、処理の実行を指示する。
Specifically, the log analysis module 211 calls the
次に、ログ分析モジュール211は、分析結果を管理者106に対して出力する(ステップS1307)。 Next, the log analysis module 211 outputs the analysis result to the administrator 106 (step S1307).
次に、ログ分析モジュール211は、スケジュール情報214にレコードが存在するか否かを判定する(ステップS1308)。 Next, the log analysis module 211 determines whether or not a record exists in the schedule information 214 (step S1308).
スケジュール情報214にレコードが存在すると判定された場合、ログ分析モジュール211は、ステップS1302に戻り、同様の処理を実行する。
When it is determined that there is a record in the
スケジュール情報214にレコードが存在しないと判定された場合、ログ分析モジュール211は処理を終了する。
When it is determined that there is no record in the
なお、ログ分析装置101は、周期的に、ネットワーク監視装置103及びセキュリティ対策装置104からログデータを取得し、ログデータ管理情報215に登録してもよい。この場合、ステップS1003及びステップS1305では、ログ分析モジュール211は、ログデータ管理情報215から必要な項目を含むログデータを取得する。
Note that the
実施例1によれば、ログ分析装置101は、制御装置102からメッセージを受信した場合に、ログデータを取得する。ログ分析装置101は、常時、ログデータを取得する必要がないため、ログ分析装置101の処理負荷を低減し、また、ネットワーク105の帯域を有効に活用することができる。
According to the first embodiment, the
ログ分析装置101は、メッセージレベルに応じて実行するログ分析処理を決定し、また、処理負荷に応じて、ログ分析処理の実行時間及びログ分析処理の処理内容を調整する。これによって、ログ分析装置101は、限られた計算機リソースを活用して、ログ分析処理を実行できる。
The
実施例2では、制御装置102がログデータを保持し、ログ分析装置101は当該ログデータを用いたログ分析処理を実行する点が実施例1と異なる。実施例2では、ログ分析装置101は、制御装置102の処理負荷に応じて、取得するログデータのデータ量を調整する。以下、実施例1との差異を中心に、実施例2について説明する。
The second embodiment is different from the first embodiment in that the
図14は、実施例2の計算機システムの全体の構成例を説明する図である。 FIG. 14 is a diagram illustrating an example of the overall configuration of the computer system according to the second embodiment.
実施例2の計算機システムは、ログ分析装置101及び制御装置102から構成される。各装置は、ネットワーク105を介して互いに接続される。
The computer system according to the second embodiment includes a
図15は、実施例2のログ分析装置101が制御装置102からメッセージを受信した場合に実行する処理を説明するフローチャートである。
FIG. 15 is a flowchart illustrating processing executed when the
ログ分析モジュール211は、ステップS1003の処理の後、制御装置102の処理負荷を示す負荷情報を取得する(ステップS1501)。
The log analysis module 211 acquires load information indicating the processing load of the
ログ分析モジュール211は、取得した負荷情報に基づいて、制御装置102の処理負荷が高いか否かを判定する(ステップS1502)。
Based on the acquired load information, the log analysis module 211 determines whether the processing load on the
例えば、ログ分析モジュール211は、制御装置102のプロセッサの使用率が第3の閾値より小さいか否かを判定する。制御装置102のプロセッサの使用率が第3の閾値より小さい場合、ログ分析モジュール211は、制御装置102の処理負荷が小さいと判定する。
For example, the log analysis module 211 determines whether the usage rate of the processor of the
制御装置102の処理負荷が低いと判定された場合、ログ分析モジュール211は、ステップS1004に進む。
When it is determined that the processing load on the
制御装置102の処理負荷が高いと判定された場合、ログ分析モジュール211は、ログデータの取得範囲を変更する(ステップS1503)。その後、ログ分析モジュール211は、ステップS1004に進む。
When it is determined that the processing load on the
具体的には、ログ分析モジュール211は、制御装置102が送信するログデータのデータ量が少なくなるように、ログデータの時間範囲を変更する。例えば、ログ分析モジュール211は、現在の時間範囲を半分に変更する。
Specifically, the log analysis module 211 changes the time range of the log data so that the data amount of the log data transmitted by the
制御装置102の処理負荷が高い場合、単位時間当たりのログデータの送信量が少なくなるため、ログ分析処理に要する時間が長くなる。したがって、管理者106に分析結果を表示までの待ち時間が長くなる。そこで、本実施例では、制御装置102の処理負荷が高い場合、ログ分析装置101は、ログデータのデータ量が小さくなるように取得範囲を変更する。
When the processing load of the
なお、ログ分析モジュール211は、ステップS1503の代わりに、制御装置102の処理負荷が低くなるまでステップS1501及びステップS1502の処理を繰り返し実行してもよいし、スケジュール情報214にログ分析処理の実行スケジュールを登録してもよい。
In place of step S1503, the log analysis module 211 may repeatedly execute the processing of step S1501 and step S1502 until the processing load on the
図16は、実施例2のログ分析装置101がスケジュール情報214にしたがって実行する処理を説明するフローチャートである。
FIG. 16 is a flowchart for explaining processing executed by the
ログ分析モジュール211は、ステップS1303の処理の後、制御装置102から負荷情報を取得する(ステップS1601)。
The log analysis module 211 acquires load information from the
ログ分析モジュール211は、取得した負荷情報に基づいて、制御装置102の処理負荷が高いか否かを判定する(ステップS1602)。
Based on the acquired load information, the log analysis module 211 determines whether or not the processing load on the
制御装置102の処理負荷が高いと判定された場合、ログ分析モジュール211は、ログデータの取得範囲を変更する(ステップS1603)。その後、ログ分析モジュール211は、ステップS1304に進む。
When it is determined that the processing load on the
ステップS1601、ステップS1602、及びステップS1603の処理は、ステップS1501、ステップS1502、及びステップS1503の処理と同一である。 The processing in steps S1601, S1602, and S1603 is the same as the processing in steps S1501, S1502, and S1503.
なお、実施例1でも同様の処理を実行してもよい。例えば、ログ分析装置101は、ネットワーク監視装置103からネットワークログデータを取得する場合に、ネットワーク監視装置103の負荷情報に基づいて、ログデータの取得範囲を変更してもよい。
Note that the same processing may be executed in the first embodiment. For example, when the
実施例2によれば、ログ分析装置101は、制御装置102からログデータを取得する場合に、制御装置102の処理負荷を考慮して、取得するログデータのデータ量又はログデータの取得タイミングを調整する。これによって、ログ分析処理が完了するまでの待ち時間を短縮することができる。
According to the second embodiment, when the
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。 In addition, this invention is not limited to an above-described Example, Various modifications are included. Further, for example, the above-described embodiments are described in detail for easy understanding of the present invention, and are not necessarily limited to those provided with all the described configurations. Further, a part of the configuration of each embodiment can be added to, deleted from, or replaced with another configuration.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるCPUが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. The present invention can also be realized by software program codes that implement the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the computer, and a CPU included in the computer reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing it constitute the present invention. As a storage medium for supplying such a program code, for example, a flexible disk, a CD-ROM, a DVD-ROM, a hard disk, an SSD (Solid State Drive), an optical disk, a magneto-optical disk, a CD-R, a magnetic tape, A non-volatile memory card, ROM, or the like is used.
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。 The program code for realizing the functions described in the present embodiment can be implemented by a wide range of programs or script languages such as assembler, C / C ++, perl, Shell, PHP, Java (registered trademark).
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、コンピュータが備えるCPUが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。 Furthermore, by distributing the program code of the software that implements the functions of the embodiments via a network, the program code is stored in a storage means such as a hard disk or memory of a computer or a storage medium such as a CD-RW or CD-R. The CPU included in the computer may read and execute the program code stored in the storage unit or the storage medium.
上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。 In the above-described embodiments, the control lines and information lines indicate what is considered necessary for the explanation, and not all control lines and information lines on the product are necessarily shown. All the components may be connected to each other.
101 ログ分析装置
102 制御装置
103 ネットワーク監視装置
104 セキュリティ対策装置
105 ネットワーク
106 管理者
201、301、401、501 プロセッサ
202、302、402、502 メモリ
203、303、403、503 記憶装置
204、304、 入出力インタフェース
205、305、405、505 ネットワークインタフェース
206、306、406、506 バス
207 入力装置
208 出力装置
211 ログ分析モジュール
212 ログ分析定義情報
213 調整ポリシ情報
214 スケジュール情報
215 ログデータ管理情報
221 実行モジュール
307 バルブ
308 アクチュエータ
311 制御モジュール
411 ネットワーク管理モジュール
412 ネットワークログデータ管理情報
511 セキュリティ対策モジュール
512 セキュリティログデータ管理情報
101
Claims (15)
前記ログ分析装置は、
種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定し、
前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行し、
前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正し、
前記実行用のパラメータに基づいて、前記ログデータを取得し、
前記取得したログデータを用いて、前記ログ分析処理を実行することを特徴とする計算機システム。 A computer system including an apparatus that acquires log data to be monitored and a log analysis apparatus that executes analysis processing of the log data,
The log analyzer is
When receiving a message including a type and importance, based on the type and importance, determine a candidate parameter for specifying log analysis processing and log data used for the log analysis processing,
Executing an adjustment process for determining parameters for execution by modifying the candidate parameters based on the processing load of the log analyzer;
In order to execute the log analysis process using the parameters for execution, modify the internal parameters that define the processing content of the log analysis process,
Based on the execution parameters, obtain the log data,
A computer system, wherein the log analysis process is executed using the acquired log data.
前記ログ分析装置は、
前記種別及び前記重要度の組み合わせと、前記ログ分析処理及び前記候補パラメータを特定する値とから構成されるレコードを含むログ分析定義情報と、
前記ログ分析装置の処理負荷を示す指標に関する条件と、前記候補パラメータの調整方法とから構成されるレコードを含む調整ポリシ情報と、を保持し、
前記種別及び前記重要度に基づいて前記ログ分析定義情報を参照することによって、前記ログ分析処理及び前記候補パラメータを決定し、
前記ログ分析装置の処理負荷から算出された指標に基づいて前記調整ポリシ情報を参照することによって、前記候補パラメータの調整方法を特定し、
前記特定された調整方法に基づいて、前記候補パラメータを修正することによって、前記実行用のパラメータを決定することを特徴とする計算機システム。 The computer system according to claim 1,
The log analyzer is
Log analysis definition information including a record including a combination of the type and the importance, and a value specifying the log analysis process and the candidate parameter;
Holding the condition relating to the index indicating the processing load of the log analyzer and the adjustment policy information including a record composed of the adjustment method of the candidate parameter;
By determining the log analysis process and the candidate parameter by referring to the log analysis definition information based on the type and the importance,
By specifying the adjustment method of the candidate parameter by referring to the adjustment policy information based on the index calculated from the processing load of the log analyzer,
A computer system, wherein the execution parameter is determined by modifying the candidate parameter based on the specified adjustment method.
前記調整ポリシ情報は、前記候補パラメータに基づいて取得されたログデータを用いたログ分析処理の実行を遅延させるためのスケジューリングを前記調整方法として含むレコードを含むことを特徴とする計算機システム。 The computer system according to claim 2,
The computer system characterized in that the adjustment policy information includes a record including scheduling for delaying execution of a log analysis process using log data acquired based on the candidate parameter as the adjustment method.
前記ログ分析装置は、
前記実行用のパラメータに基づいて前記装置から前記ログデータを取得する場合、前記装置の処理負荷を示す負荷情報を取得し、
前記負荷情報に基づいて、前記装置の処理負荷が高いか否かを判定し、
前記装置の処理負荷が高いと判定された場合、前記装置から取得する前記ログデータのデータ量が少なくなるように前記実行用のパラメータを修正することを特徴とする計算機システム。 The computer system according to claim 2,
The log analyzer is
When obtaining the log data from the device based on the parameters for execution, obtain load information indicating the processing load of the device,
Based on the load information, determine whether the processing load of the device is high,
When it is determined that the processing load of the device is high, the computer system is characterized in that the execution parameter is modified so that the data amount of the log data acquired from the device is reduced.
前記ログデータは、タイムスタンプを含み、
前記パラメータは、取得対象のログデータの種別、前記取得対象のログデータに含める項目、及び前記取得対象のログデータの時間範囲を含むことを特徴とする計算機システム。 A computer system according to claim 4, wherein
The log data includes a time stamp,
The computer system according to claim 1, wherein the parameter includes a type of log data to be acquired, items to be included in the log data to be acquired, and a time range of the log data to be acquired.
前記ログ分析装置が、種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定する第1のステップと、
前記ログ分析装置が、前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行する第2のステップと、
前記ログ分析装置が、前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正する第3のステップと、
前記ログ分析装置が、前記実行用のパラメータに基づいて、前記ログデータを取得する第4のステップと、
前記ログ分析装置が、前記取得したログデータを用いて、前記ログ分析処理を実行する第5のステップと、を含むことを特徴とするログ分析方法。 A log analysis method in a computer system including an apparatus that acquires log data to be monitored and a log analysis apparatus that executes an analysis process of the log data,
When the log analysis apparatus receives a message including a type and an importance level, the log analysis process and candidate parameters for specifying log data to be used for the log analysis process are determined based on the type and the importance level. A first step to:
A second step in which the log analysis device executes an adjustment process for determining an execution parameter by correcting the candidate parameter based on a processing load of the log analysis device;
A third step in which the log analysis device corrects an internal parameter that defines the processing content of the log analysis processing in order to execute the log analysis processing using the parameters for execution;
A fourth step in which the log analysis device acquires the log data based on the parameters for execution;
A log analysis method comprising: a fifth step in which the log analysis device executes the log analysis processing using the acquired log data.
前記ログ分析装置は、
前記種別及び前記重要度の組み合わせと、前記ログ分析処理及び前記候補パラメータを特定する値とから構成されるレコードを含むログ分析定義情報と、
前記ログ分析装置の処理負荷を示す指標に関する条件と、前記候補パラメータの調整方法とから構成されるレコードを含む調整ポリシ情報と、を保持し、
前記第1のステップでは、前記種別及び前記重要度に基づいて前記ログ分析定義情報を参照することによって、前記ログ分析処理及び前記候補パラメータを決定し、
前記第2のステップは、
前記ログ分析装置が、前記ログ分析装置の処理負荷から算出された指標に基づいて前記調整ポリシ情報を参照することによって、前記候補パラメータの調整方法を特定するステップと、
前記ログ分析装置が、前記特定された調整方法に基づいて、前記候補パラメータを修正することによって、前記実行用のパラメータを決定するステップと、を含むことを特徴とするログ分析方法。 The log analysis method according to claim 6,
The log analyzer is
Log analysis definition information including a record including a combination of the type and the importance, and a value specifying the log analysis process and the candidate parameter;
Holding the condition relating to the index indicating the processing load of the log analyzer and the adjustment policy information including a record composed of the adjustment method of the candidate parameter;
In the first step, the log analysis process and the candidate parameter are determined by referring to the log analysis definition information based on the type and the importance.
The second step includes
The log analysis device identifying the adjustment method of the candidate parameter by referring to the adjustment policy information based on an index calculated from the processing load of the log analysis device;
The log analysis method includes the step of determining the parameters for execution by modifying the candidate parameters based on the specified adjustment method.
前記調整ポリシ情報は、前記候補パラメータに基づいて取得されたログデータを用いたログ分析処理の実行を遅延させるためのスケジューリングを前記調整方法として含むレコードを含むことを特徴とするログ分析方法。 The log analysis method according to claim 7,
The log analysis method characterized in that the adjustment policy information includes a record including scheduling for delaying execution of log analysis processing using log data acquired based on the candidate parameter as the adjustment method.
前記第4のステップは、
前記ログ分析装置が、前記装置の処理負荷を示す負荷情報を取得するステップと、
前記ログ分析装置が、前記負荷情報に基づいて、前記装置の処理負荷が高いか否かを判定するステップと、
前記装置の処理負荷が高いと判定された場合、前記ログ分析装置が、前記装置から取得する前記ログデータのデータ量が少なくなるように前記実行用のパラメータを修正するステップと、を含むことを特徴とするログ分析方法。 The log analysis method according to claim 7,
The fourth step includes
The log analysis device acquiring load information indicating a processing load of the device;
The log analysis device determining whether the processing load of the device is high based on the load information;
When it is determined that the processing load of the device is high, the log analysis device includes a step of correcting the parameters for execution so that a data amount of the log data acquired from the device is reduced. A featured log analysis method.
前記ログデータは、タイムスタンプを含み、
前記パラメータは、取得対象のログデータの種別、前記取得対象のログデータに含める項目、及び前記取得対象のログデータの時間範囲を含むことを特徴とするログ分析方法。 The log analysis method according to claim 9, comprising:
The log data includes a time stamp,
The log analysis method, wherein the parameter includes a type of log data to be acquired, items to be included in the log data to be acquired, and a time range of the log data to be acquired.
種別及び重要度を含むメッセージを受信した場合、前記種別及び前記重要度に基づいて、ログ分析処理及び前記ログ分析処理に使用するログデータを特定するための候補パラメータを決定し、
前記ログ分析装置の処理負荷に基づいて前記候補パラメータを修正することによって、実行用のパラメータを決定する調整処理を実行し、
前記実行用のパラメータを用いたログ分析処理を実行するために、前記ログ分析処理の処理内容を規定する内部パラメータを修正し、
前記実行用のパラメータに基づいて、前記ログデータを取得し、
前記取得したログデータを用いて、前記ログ分析処理を実行することを特徴とするログ分析装置。 A log analysis device that executes analysis processing of the log data acquired from a device that manages log data to be monitored,
When receiving a message including a type and importance, based on the type and importance, determine a candidate parameter for specifying log analysis processing and log data used for the log analysis processing,
Executing an adjustment process for determining parameters for execution by modifying the candidate parameters based on the processing load of the log analyzer;
In order to execute the log analysis process using the parameters for execution, modify the internal parameters that define the processing content of the log analysis process,
Based on the execution parameters, obtain the log data,
A log analysis apparatus that executes the log analysis processing using the acquired log data.
前記種別及び前記重要度の組み合わせと、前記ログ分析処理及び前記候補パラメータを特定する値とから構成されるレコードを含むログ分析定義情報と、
前記ログ分析装置の処理負荷を示す指標に関する条件と、前記候補パラメータの調整方法とから構成されるレコードを含む調整ポリシ情報と、を保持し、
前記種別及び前記重要度に基づいて前記ログ分析定義情報を参照することによって、前記ログ分析処理及び前記候補パラメータを決定し、
前記ログ分析装置の処理負荷から算出された指標に基づいて前記調整ポリシ情報を参照することによって、前記候補パラメータの調整方法を特定し、
前記特定された調整方法に基づいて、前記候補パラメータを修正することによって、前記実行用のパラメータを決定することを特徴とするログ分析装置。 The log analyzer according to claim 11,
Log analysis definition information including a record including a combination of the type and the importance, and a value specifying the log analysis process and the candidate parameter;
Holding the condition relating to the index indicating the processing load of the log analyzer and the adjustment policy information including a record composed of the adjustment method of the candidate parameter;
By determining the log analysis process and the candidate parameter by referring to the log analysis definition information based on the type and the importance,
By specifying the adjustment method of the candidate parameter by referring to the adjustment policy information based on the index calculated from the processing load of the log analyzer,
The log analysis apparatus characterized in that the execution parameter is determined by correcting the candidate parameter based on the specified adjustment method.
前記調整ポリシ情報は、前記候補パラメータに基づいて取得されたログデータを用いたログ分析処理の実行を遅延させるためのスケジューリングを前記調整方法として含むレコードを含むことを特徴とするログ分析装置。 The log analysis device according to claim 12,
The log analysis apparatus characterized in that the adjustment policy information includes a record including scheduling for delaying execution of log analysis processing using log data acquired based on the candidate parameter as the adjustment method.
前記実行用のパラメータに基づいて、前記装置から前記ログデータを取得する場合、前記装置の処理負荷を示す負荷情報を取得し、
前記負荷情報に基づいて、前記装置の処理負荷が高いか否かを判定し、
前記装置の処理負荷が高いと判定された場合、前記装置から取得する前記ログデータのデータ量が少なくなるように前記実行用のパラメータを修正することを特徴とするログ分析装置。 The log analysis device according to claim 12,
When acquiring the log data from the device based on the parameters for execution, acquire load information indicating the processing load of the device,
Based on the load information, determine whether the processing load of the device is high,
When it is determined that the processing load of the device is high, the execution parameter is corrected so that the amount of the log data acquired from the device is reduced.
前記ログデータは、タイムスタンプを含み、
前記パラメータは、取得対象のログデータの種別、前記取得対象のログデータに含める項目、及び前記取得対象のログデータの時間範囲を含むことを特徴とするログ分析装置。 The log analyzer according to claim 14,
The log data includes a time stamp,
The log analysis apparatus, wherein the parameter includes a type of log data to be acquired, items to be included in the log data to be acquired, and a time range of the log data to be acquired.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016239329A JP2018097461A (en) | 2016-12-09 | 2016-12-09 | Computer system, log analysis method and log analysis device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016239329A JP2018097461A (en) | 2016-12-09 | 2016-12-09 | Computer system, log analysis method and log analysis device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018097461A true JP2018097461A (en) | 2018-06-21 |
Family
ID=62633272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016239329A Pending JP2018097461A (en) | 2016-12-09 | 2016-12-09 | Computer system, log analysis method and log analysis device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018097461A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351126A (en) * | 2019-06-26 | 2019-10-18 | 中信百信银行股份有限公司 | Log rank method of adjustment, device and electronic equipment |
-
2016
- 2016-12-09 JP JP2016239329A patent/JP2018097461A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351126A (en) * | 2019-06-26 | 2019-10-18 | 中信百信银行股份有限公司 | Log rank method of adjustment, device and electronic equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9619654B2 (en) | Application monitoring through collective record and replay | |
US9454324B1 (en) | Methods and apparatus for data lifecycle analysis | |
US11138600B2 (en) | Smart contract regulation | |
US8190599B2 (en) | Stream data processing method and system | |
US9264449B1 (en) | Automatic privilege determination | |
US20130198840A1 (en) | Systems, methods and computer programs providing impact mitigation of cyber-security failures | |
JP6093043B2 (en) | Quality configurable random data service | |
CN103581187A (en) | Method and system for controlling access rights | |
US20120084412A1 (en) | Configuration reporting | |
CN112565026B (en) | Test frame generation method, device and equipment | |
US20130066954A1 (en) | Computer software analysis system, client computer, method of controlling operation of same and operation program therefor | |
US11625382B2 (en) | Blockchain as a service method, apparatus, and system | |
CN111522703A (en) | Method, apparatus and computer program product for monitoring access requests | |
US9460399B1 (en) | Dynamic event driven storage system optimization | |
JPWO2012127987A1 (en) | Information monitoring apparatus and information monitoring method | |
CN115001967A (en) | Data acquisition method and device, electronic equipment and storage medium | |
US11005719B2 (en) | Internet of Things system topology generation | |
US20220327038A1 (en) | Electronic system for application monitoring and preemptive remediation of associated events | |
KR20200100472A (en) | Blockchain Network Node and Method for Processing Transaction | |
JP2018097461A (en) | Computer system, log analysis method and log analysis device | |
JP7487769B2 (en) | Abnormal access prediction system, abnormal access prediction method, and abnormal access prediction program | |
US11200325B2 (en) | Dynamic data asset security using cognitive data analysis | |
TWI677802B (en) | Information processing device, information processing method, and non-transitory computer-readable recording medium | |
WO2016144304A1 (en) | Dynamic api management | |
US9998495B2 (en) | Apparatus and method for verifying detection rule |