CN106575254B - 日志分析装置、日志分析系统、日志分析方法及存储介质 - Google Patents

Abstract

提供一种用于在利用者事先不知道机器生成的日志的生成规则的情况下抽出相关高的日志的集合的技术。本发明的一个技术方案涉及日志分析装置，具有：模板保存部，保存与日志消息有关的模板；模板确定部，从所保存的所述模板中确定与从监视对象的主机提供的各日志消息一致的模板；事件候补抽出部，检测确定出的所述模板中的、针对从同一主机提供的日志消息而确定出的模板，将检测出的所述模板的序列抽出而作为事件候补；以及事件抽出部，从所抽出的所述事件候补中抽出频繁出现的模板的序列而作为事件。

Description

日志分析装置、日志分析系统、日志分析方法及存储介质

技术领域

本发明涉及从各种各样的机器输出的日志(log)信息中抽出对利用者有用的信息的技术，特别涉及适用于在利用者事先不直接知道机器生成的日志的形式的生成规则的情况下逐次抽出必要的信息的技术。

背景技术

现今，以削减成本为主要的理由，对不同的制造商的、具有不同的作用的设备、软件进行统一的监视、管理。另一方面，这样的各种各样的设备、软件具有输出具有各自独自的形式的日志的机构，在进行设备的监视/管理时被使用。伴随信息设备的发展，这些日志信息复杂化、大规模化，需要高效的监视方法。

在这样的情形下，在非专利文献1中提出了用于简化日志分析的分析平台(analysis platform)。然而，为了利用该技术，需要关于各个日志发生的意义、日志消息的内容的事先知识，在庞大的未知的日志的分析中如果没有专业知识(know-how)的积累，则难以运用。

另一方面，在非专利文献2中，提供了在将路由器等网络设备生成的syslog(系统记录)作为对象，事先被提供有供应商、消息类型、错误代码、详细的消息内容这样的一定程度的形式的情况下的模板(template)的掌握方法。提出了利用路由器的位置关系等来显示syslog的摘要信息的手法。

在这样的以往技术中，至少需要收集信息的阶段中的事先知识。例如，必须掌握好从哪个供应商收集到日志、消息内的哪个部分表示出错误代码，并且不仅仅是简单地准备模板掌握机构，还需要事先手动地进行输入、准备。另外，syslog的摘要显示功能是具体化为syslog的手法，所以难以应用于其它监视日志信息。

非专利文献1：Splunk http：//www.splunk.com/

非专利文献2：T.Qiu，Z.Ge，D.Pei，J.Wang，J，Xu，“What Happened in myNetwork？Mining Network Events from Router Syslogs”，In IMC，2010.

非专利文献3：Y.Chi，H.Wang，P.S.Yu，and R.R.Muntz，“Moment：MaintainingClosed Frequent Itemsets over a Stream Sliding Window，”In Proc.0f ICDM，2004.

非专利文献4：N.Jiang，and L.Gruenwald，“CFI-Stream：Mining ClosedFrequent Itemsets in Data Streams，”In Proc.of KDD，2006.

发明内容

在由本申请申请人所申请的日本特愿2013-168226号中，公开了不使用这样的事先信息而逐次抽出未限定于syslog的一般的日志的模板的方法。另一方面，利用该方法抽出的模板如图1所示，是以1行为单位而规定的模板，期望与从网络中逐次发生的日志抽出的模板的组合的关联性有关的日志分析。

因此，本发明的课题在于提供一种用于在利用者事先不知道机器生成的日志的生成规则的情况下抽出相关高的日志的集合的技术。

为了解决上述课题，本发明的一个技术方案涉及日志分析装置，具有：模板保存部，保存与日志消息有关的模板；模板确定部，从所保存的所述模板，确定与从监视对象的主机提供的各日志消息一致的模板；事件候补抽出部，检测确定出的所述模板中的、针对从同一主机提供的日志消息而确定出的模板，将检测出的所述模板的序列抽出而作为事件候补；以及事件抽出部，从所抽出的所述事件候补，抽出频繁出现的模板的序列而作为事件(event)。

根据本发明，能够在利用者事先不知道机器生成的日志的生成规则的情况下抽出相关高的日志的集合。

附图说明

图1是示出与syslog有关的作为一个例子的模板的图。

图2是示出本发明的一实施例的日志分析系统的概略图。

图3是示出本发明的一实施例的日志分析装置的功能结构的框图。

图4是示出模板之间的发生时间间隔的分布的图。

图5是示出本发明的一实施例的事件候补抽出处理的流程图。

图6是示出本发明的一实施例的dur(t0，t)的更新处理的流程图。

图7是示出本发明的一实施例的发生时间差的聚类处理的流程图。

图8是示出本发明的其它实施例的日志分析系统的概略图。

图9是示出本发明的其它实施例的日志分析处理的流程图。

图10是示出本发明的其它实施例的日志分析处理的仿真结果的图。

图11是示出本发明的其它实施例的日志分析系统的概略图。

附图标记说明

10：日志分析系统；100：日志分析装置；110：模板保存部；120：模板确定部；130：事件候补抽出部；140：事件抽出部；200：监视对象设备群；300：用户装置。

具体实施方式

以下，根据附图，说明本发明的实施方式。

在后述实施例中，将公开执行考虑了日志消息之间的相关的日志分析的日志分析装置。若概略说明本发明，日志分析装置从网络设备收集日志消息，从预先获取到的与日志消息有关的模板(template)，确定与收集到的日志消息一致的模板。日志分析装置检测确定出的模板中的、针对从同一主机提供的日志消息而确定出的模板，根据检测出的模板与针对该主机在以前检测出的模板的发生时间差，判断模板之间的相关，根据判断结果将检测出的模板的序列抽出而作为事件候补。进而，日志分析装置从被这样抽出的事件候补，抽出频繁出现的模板的序列而作为事件(event)，并作为日志分析结果提供给利用者。

由此，不仅能够抽出与单一的模板一致的日志消息，而且还能够根据与逐次生成的日志消息一致的多个模板之间的时间上的相关关系，抽出相关的模板序列而作为事件。

参照图2，说明本发明的一实施例的日志分析系统。图2是示出本发明的一实施例的日志分析系统的概略图。

如图2所示，日志分析系统10具有日志分析装置100、监视对象设备群200以及用户装置300。

日志分析装置100预先保持与日志消息有关的模板，从监视对象设备群200的各主机收集日志消息，对收集到的日志消息执行后述的处理，从而抽出相关的模板序列而作为事件。如图2所示，日志分析装置100包括如下硬件要素：日志收集装置101、日志/模板信息数据库(DB)102、事件候补抽出引擎103、事件候补数据库(DB)104、事件抽出引擎105、事件数据库(DB)106以及用户接口107。

日志收集装置101与监视对象设备群200通信连接，从监视对象设备群200的各主机(p.0，p.1，...，p.n)收集日志消息。该日志消息也可以是例如syslog(系统记录)，但不限定于此，还可以是从主机发送的表示主机的动作状态等的其它任意适合的消息。

日志/模板信息DB102保存由日志收集装置101收集到的日志消息，并且保存从日志消息抽出的模板。在本实施例中，所保存的模板也可以是利用任意适合的模板抽出方法而从过去收集到的日志消息预先抽出的模板。例如，模板也可以具有图1所示那样的将具体的参数值设为通配符“＊”的数据形式，由作为日志消息内的重要的部分、行构成。此外，对各模板分配标识符(ID)，并通过i＝l，2，...，I等表示。

事件候补抽出引擎103执行如后述那样的事件候补抽出处理，抽出与从同一主机逐次收集到的日志消息关联的1个以上的模板的序列，作为事件候补。

事件候补DB104保存由事件候补抽出引擎103抽出的事件候补。

事件抽出引擎105执行如后述那样的事件抽出处理，从被抽出的事件候补抽出频繁出现的模板的序列或者模式(pattern)而作为事件。

事件DB106保存由事件抽出引擎105抽出的事件。

用户接口107对用户装置300的利用者提供抽出的事件。例如，用户接口107向用户装置300发送所抽出的事件，以使得用户装置300能够对利用者显示事件。

作为一个例子的硬件结构，日志分析装置100具有经由总线相互连接的驱动装置、辅助存储装置、存储器装置、CPU(Central Processing Unit：中央处理单元)以及接口装置。实现日志分析装置100中的后述的各种功能以及处理的各种程序也可以通过光盘、半导体存储器等记录介质来提供。在将存储有程序的记录介质装到驱动装置时，程序从记录介质经由驱动装置被安装到辅助存储装置。其中，程序的安装无需一定通过记录介质进行，也可以经由网络(未图示)从任意外部装置下载。辅助存储装置保存被安装了的程序，并且保存必要的文件、数据等。存储器装置在有程序的启动指示的情况下，从辅助存储装置读出程序、数据而保存。上述的各数据库也可以通过辅助存储介质、存储器装置来实现。CPU是处理信息的处理器，依照保存于存储器装置的程序、执行程序所需要的参数等各种数据，执行如后述那样的日志分析装置100的各种功能以及处理。上述的各引擎也可以通过处理器实现。接口装置被用作用于连接到网络或者外部装置的通信接口。然而，日志分析装置100不限定于上述的硬件结构，也可以实现为任意适合的信息处理装置。

监视对象设备群200包括1个以上的主机p.0～p.n，经由网络与日志分析装置100通信连接。各主机也可以是例如路由器等网络设备，逐次生成syslog消息等各种日志消息并发送到日志分析装置100。在一实施例中，日志消息包括示出生成该日志消息的时间的时间戳(timestamp)、生成该日志消息的主机名以及消息主体。此外，对各主机分配标识符(ID)，通过h＝1，2，...，H等表示。

用户装置300是个人计算机、智能手机、平板等信息处理装置，经由网络与日志分析装置100通信连接。利用者能够经由用户装置300从日志分析装置100确认作为分析结果的事件。

接下来，参照图3～6，说明本发明的一实施例的日志分析装置。图3是示出本发明的一实施例的日志分析装置的功能结构的框图。

如图3所示，日志分析装置100具有模板保存部110、模板确定部120、事件候补抽出部130以及事件抽出部140。

模板保存部110保存与日志消息有关的模板。具体而言，日志分析装置100从监视对象设备群200的各主机h收集日志消息，保持依照任意适合的模板抽出方法从目前为止收集到的日志消息中抽出的模板。在一实施例中，各模板包括对利用者有用的日志消息，也可以具有如图1所示那样的将日志消息内的具体的参数值设为通配符“＊”的数据形式。例如，既可以依照由本申请申请人已申请的日本特愿2013-168226号记载的模板抽出方法自动地抽出模板，或者也可以通过日志分析装置100的操作人员预先设定模板。对各模板分配标识符(ID)，通过i＝1，2，...，I等表示。

模板确定部120从所保存的模板，确定与从监视对象的主机提供的各日志消息一致的模板。具体而言，各日志消息包括示出生成该日志消息的时间的时间戳、生成该日志消息的主机名以及消息主体。

模板确定部120将从监视对象设备群200的各主机接收到的日志消息内的各行与保存于模板保存部110的模板进行对比，抽出与接收到的日志消息一致的模板。例如，在图1所示的日志消息和模板的具体例中，日志消息除了对模板的通配符“＊”设定有具体的值“662288”等这点以外，与模板一致。因此，模板确定部120能够判断为该日志消息与模板一致。模板确定部120对所保存的各日志消息依次执行与模板的对比，确定与所保存的模板一致的日志消息。此外，如后所述，模板确定部120也可以确定与以联机(online)或者脱机(offline)的方式提供的日志消息一致的模板，并将确定出的模板提供给事件候补抽出部130。

事件候补抽出部130检测确定出的模板中的、针对从同一主机提供的日志消息而确定出的模板，抽出检测出的模板的序列而作为事件候补。具体而言，针对模板确定部120确定为与日志消息一致的模板，事件候补抽出部130首先参照该日志消息内的生成源的主机名，检测针对从同一主机发送出的日志消息而确定出的模板。

在一实施例中，在检测到针对从同一主机提供的日志消息而确定出的模板时，事件候补抽出部130也可以根据该日志消息的时间戳，抽出针对从同一主机提供的日志消息而确定出的模板中的、与被检测出的模板相邻的前一个模板，根据检测出的模板与相邻的前一个模板的发生时间差，判断检测出的模板和相邻的前一个模板是否属于同一事件候补。其原因为，一般而言，人们认为在发生时间差小的情况下能够推测为这2个模板相关地发生，属于同一事件候补的可能性高。

例如，如图4所示，已知模板之间的发生时间间隔存在服从多峰性的分布的趋势。图示的例子是表示基于过去的数据的模板之间的发生时间间隔的例子，示出了3组模板之间的发生时间间隔(秒)的分布。由图可知，模板之间的发生时间间隔服从多峰性的分布的情形多，考虑根据各分布的峰来区分事件。因此，以下说明针对模板之间的发生时间间隔的分布的各峰而学习阈值的方法。该方法基于如下途径：将模板发生时间间隔视为群集(cluster)，并针对每个群集逐次更新或者学习发生时间差的阈值(后述dur(t0，t))。

在此，参照图5，更详细地说明该事件候补抽出处理。图5是示出本发明的一实施例的事件候补抽出处理的流程图。

如图5所示，在步骤S101中，事件候补抽出部130关于针对主机h确定出的模板t，计算模板t0的发生时间与模板t的发生时间之间的发生时间差d，所述模板t0被确定为与在主机h中相邻的前一个发生的日志消息一致。

在步骤S102中，事件候补抽出部130依照如后述那样的更新处理，更新依赖于模板t0和模板t的发生时间间隔dur(t0，t)。如上所述，在模板t0和模板t在预定的时间内发生的情况下，能够推测为模板t0和模板t相关地发生，dur(t0，t)被定义为该时间。发生时间间隔dur(t0，t)也可以根据模板的类别、事件的类别等而被定义为不同的值。在此，发生时间间隔dur(t0，t)依赖于模板t0以及t。这是相对于每个模板以及事件，其发生时间间隔不同的缘故。然而，发生时间间隔dur(t0，t)的值一般而言并非自明，例如，也可以依照如后述那样的更新处理而逐次推测。

在步骤S103中，事件候补抽出部130判定发生时间差d是否大于发生时间间隔dur(t0，t)、即可否被推测为模板t0和模板t相关地发生。在发生时间差d大于发生时间间隔dur(t0，t)的情况下(S103：“是”)，事件候补抽出部130判断为模板t0和模板t并非相关地发生，将直至模板t0为止的模板序列确定为事件候补。换言之，在发生时间差d大于发生时间间隔dur(t0，t)的情况下，事件候补抽出部130将针对从同一主机h提供的日志消息而确定出的直到相邻的前一个的模板t0为止发生的模板t1，t2，...确定为事件候补，抽出检测出的模板t而作为新的事件候补。

另一方面，在发生时间差d是发生时间间隔dur(t0，t)以下的情况下(S103：“否”)，事件候补抽出部130判断为模板t0和模板t相关地发生，对直至模板t0的模板序列追加模板t。换言之，事件候补抽出部130推测依赖于检测出的模板t与相邻的前一个的模板t0的发生时间间隔dur(t0，t)，在发生时间差d是发生时间间隔dur(t0，t)以下的情况下，判断为检测出的模板t和相邻的前一个的模板t0属于同一事件候补t，t1，t2，...。

在此，参照图6，更详细地说明上述的与发生时间间隔dur(t0，t)的计算有关的步骤S102。在一实施例中，事件候补抽出部130也可以确定针对过去计算出的发生时间差而生成的群集中的发生时间差d所属的群集，根据确定出的群集的平均值以及方差，推测发生时间间隔dur(t0，t)。图6是示出本发明的一实施例的dur(t0，t)的更新处理的流程图。

如图6所示，在步骤S201中，事件候补抽出部130对模板t和模板t0的发生时间差d进行聚类(clustering)，检索d所属的群集。具体而言，事件候补抽出部130对主机h中的t之前的过去P个模板(t0，t1，...，tp-1)，计算各时间间隔t-t0，t-t1，...，t-tp-1，将各计算结果追加到对应的发生间隔列表群DL(t0，t)，DL(t1，t)，...，DL(tp-1，t)。之后，事件候补抽出部130对各DL(ti，t)(i＝0，1，...p-1)将新追加了的发生时间差d进行聚类。这是因为人们认为相同的模板的发生间隔不限于是唯一的值而具有某个范围的缘故。

在此，该聚类能够应用可逐次执行的任意的聚类方法，但也可以利用如以下更详细地说明那样的基于DBSCAN(Density-Based Spatial Clustering of Applicationswith Noise：具有噪声的基于密度的聚类方法)的方法。

在步骤S202中，事件候补抽出部130判断在发生时间差d所属的群集Ci中包含的要素的个数是否为预定的阈值以上。在群集Ci中包含的要素的个数是阈值以上的情况下(S202：“是”)，事件候补抽出部130转移到步骤S203。另一方面，在群集Ci中包含的要素的个数小于阈值的情况下(S202：“否”)，事件候补抽出部130在步骤S204中，判断为该群集Ci是与离群值对应的群集，对默认值设定发生时间间隔dur(t0，t)。

在步骤S203中，事件候补抽出部130依照以下的式子更新针对群集Ci的平均值M以及方差V。

[数1]

M_(n+1)＝(1-β)*M_(n)+β·d

V_(n+1)＝(1-α)*V_(n)+α(1-α)·(d-M_(n))

在此，n表示更新次数，α、β是预定的常数。

即，根据群集Ci的更新前的平均值M_(n)和发生时间差d来计算更新后的平均值M_(n+1)，根据群集Ci的更新前的方差V_(n)和发生时间差d以及更新前的平均值M_(n)来计算更新后的方差V_(n+1)。

在步骤S205中，事件候补抽出部130判断更新后的方差V_(n+1)是否为预定的阈值以下。在方差V_(n+1)是该阈值以下的情况下(S205：“是”)，事件候补抽出部130转移到步骤S206，另一方面，在方差V_(n+1)超过该阈值的情况下(S205：“否”)，事件候补抽出部130判断为模板t和模板t0并非相关地发生，在步骤S207中，判断为该群集Ci是与离群值对应的群集，对默认值设定发生时间间隔d(t0，t)。

在步骤S206中，事件候补抽出部130依照以下的式子更新发生时间间隔dur(t0，t)。

[数2]

在此，γ是预定的常数。

使用这样获取到的发生时间间隔dur(t0，t)，事件候补抽出部130执行步骤S102中的dur(t0，t)的更新处理。根据上述基于DBSCAN的聚类方法，能够将计算全部逐次执行，所以不发生计算速度的严重的劣化。此外，本发明的dur(t0，t)的更新处理不限定于此，也可以应用能够进行逐次的聚类的任意适合的方法。

在此，参照图7，更详细地说明上述的与聚类处理有关的步骤S201。图7是示出本发明的一实施例的发生时间差的聚类处理的流程图。

如图7所示，将在当前时间点以前获取到的发生间隔群的群集设为C1，...，CL。Ci(i＝1，2，...，L)按升序排序，将Ci中包含的值中的、最小的值设为Cimin，最大的值设为Cimax。在此，在新的发生时间差d到达时，事件候补抽出部130在步骤S301中判定该发生时间差d是否属于过去发生的任意的群集Ci、即是否为d＜C1min-δ或者CLmax+δ＜d。

在并非d＜C1min-δ或者CLmax+δ＜d的情况下(S301：“否”)，事件候补抽出部130判断为发生时间差d属于过去发生的任意的群集Ci，转移到步骤S302，另一方面，在是d＜C1min-δ或者CLmax+δ＜d的情况下(S301：“是”)，判断为发生时间差d不属于过去发生的群集Ci的任意一个，生成将发生时间差d作为要素的新的群集。

在步骤S302中，事件候补抽出部130从群集C1按升序检索使d＜C(i+1)min的最小的i。

在步骤S304中，事件候补抽出部130判断是否为Cimin-δ＜d＜Cimax+δ。在是Cimin-δ＜d＜Cimax+δ的情况下(S304：“是”)，事件候补抽出部130在步骤S306中，对群集Ci分配发生时间差d。另一方面，在并非Cimin-δ＜d＜Cimax+δ的情况下(S304：“否”)，事件候补抽出部130判断为发生时间差d不属于群集Ci，在步骤S305中，判断是否属于群集Ci+1、即是否为0＜C(i+1)min-d＜δ。

在并非0＜C(i+1)min-d＜δ的情况下(S305：“否”)，事件候补抽出部130判断为发生时间差d不属于群集Ci、Ci+1中的任意一个，生成将发生时间差d作为要素的新的群集。另一方面，在是0＜C(i+1)min-d＜δ的情况下(S305：“是”)，事件候补抽出部130判断为发生时间差d属于群集Ci+1，在步骤S308中，对群集Ci+1分配发生时间差d。这样，事件候补抽出部130确定发生时间差d所属的群集Ci+1。

之后，事件候补抽出部130将针对同一主机h而确定出的模板i的序列按照时间顺序连结起来，将生成的模板i的序列输出为事件候补。

事件抽出部140从被抽出的事件候补抽出频繁出现的模板的序列而作为事件。具体而言，事件抽出部140从被抽出的各事件候补中获取共同地频繁出现的模板的集合或者模式而作为事件。事件抽出部140能够利用任意适当的频繁出现模式(frequentlyoccurring patterns)的计数方法，例如，也可以利用在Y.Chi，H.Wang，P.S.Yu，andR.R.Muntz，“Moment：Maintaining Closed Frequent Itemsets over a Stream SlidingWindow”，In proc.of ICDM.2004、N.Jiang，and L.Gruenwald，“CFI-Stream：MiningClosed Frequent Itemsets in Data Streams”，In proc.of KDD，2006中公开的逐次列举closed(闭合)的频繁出现模式的方法。在此，closed的模式是指，表示具有同一发生次数的模式中的最大的集合的模式。例如，在CFI-Stream中，在内部保持有与Prefix Tree类似的列举了closed的频繁出现模式的被称为DIUTree的树，将其对逐次新到达的事件候补进行更新。在该更新中，主要通过必要最小限度的扫描，进行在DIUTree中是否已经包括新的事件候补、或者是否成为新的closed模式这样的检查。利用者通过设定特定的事件发生次数的阈值E，能够利用DIUTree逐次掌握发生了E次以上的事件。

接下来，参照图8～10，说明本发明的其它实施例的日志分析系统。上述日志分析系统10涉及日志分析装置100在一定的期间内收集在监视对象设备群200中生成的日志消息，对在该期间内收集到的日志消息执行上述日志分析的脱机处理。在其它实施例中，日志分析系统10也可以如图8所示是与联机处理有关的系统。也就是说，日志分析装置100也可以每当从主机获取日志消息时，对获取到的日志消息抽出事件。具体而言，每当从监视对象设备群200获取日志消息时，日志分析装置100将获取到的日志消息保存到模板附加数据库(DB)108中。进而，日志分析装置100也可以对所保存的各日志消息，执行上述事件候补抽出处理，抽出事件候补，从被抽出的事件候补中抽出事件。关于被抽出的事件，例如，也可以每当被抽出时、或者在进行来自用户装置300的查询的发行、特定的事件被更新的情况下，经由用户接口107发送到用户装置300。

图9是示出本发明的其它实施例的日志分析处理的流程图。联机的日志分析处理是每当获取日志消息时执行参照图5～7说明了的脱机的日志分析处理的处理。该日志分析处理也可以通过计算机执行程序来实现。

如图9所示，在步骤S401中，日志分析装置100判断是否从监视对象设备群200的主机获取到日志消息，在获取到日志消息时，执行以后的步骤。此外，也可以在从主机获取到预定数(1，2，3，...)的日志消息之后，日志分析装置100执行以后的步骤。或者，也可以在从主机获取到日志消息预定的期间之后，日志分析装置100执行以后的步骤。

在步骤S402中，日志分析装置100从所保存的与日志消息有关的模板，确定与从监视对象的主机提供的各日志消息一致的模板。具体而言，日志分析装置100从所保存的模板抽出与获取到的日志消息一致的模板。

在步骤S403中，日志分析装置100检测确定出的模板中的、针对从同一主机提供的日志消息而确定出的模板，抽出检测出的模板的序列而作为事件候补。具体而言，日志分析装置100通过执行上述图5～7的处理，抽出事件候补，并且更新或者学习发生时间间隔dur(t0，t)。

在步骤S404中，日志分析装置100从被抽出的事件候补，抽出频繁出现的模板的序列而作为事件。具体而言，日志分析装置100利用如上述那样的任意既知的方法，从被抽出的各事件候补，获取共同地频繁出现的模板的集合或者模式而作为事件。之后，该处理返回到步骤S401，每当获取到日志消息时执行上述步骤。

图10是示出本发明的其它实施例的日志分析处理的仿真结果的图。在图中，示出了应用了上述联机的日志分析处理时的仿真结果，示出了每处理1万行的日志消息的处理时间的推移。在脱机的日志分析处理中，每当获取日志消息时，对所有数据执行上述的日志分析处理，处理时间与处理行数一起增加。另一方面，关于本实施例的联机的日志分析处理，如图所示，能够按照稳定的速度逐次进行处理。

另外，在其它实施例中，如图11所示，日志分析装置100也可以与故障/工程信息数据库(DB)250通信连接，关于在网络设备故障时发生的日志消息、与工程有关的日志消息而抽出事件。

以上，详述了本发明的实施例，但本发明不限定于上述特定的实施方式，能够在权利要求书记载的本发明的主旨的范围内，进行各种变形、变更。

本国际申请主张基于在2014年8月25日申请的日本专利申请2014-170097号的优先权，将2014-170097号的全部内容援引到本国际申请。

Claims (11)

1.一种日志分析装置，具有：

模板保存部，保存与日志消息有关的模板；

模板确定部，从所保存的所述模板中确定与从监视对象的主机提供的各日志消息一致的模板；

事件候补抽出部，检测确定出的所述模板中的、针对从同一主机提供的日志消息而确定出的模板，抽出检测出的所述模板的序列而作为事件候补；以及

事件抽出部，从所抽出的所述事件候补中抽出频繁出现的模板的序列而作为事件。

2.根据权利要求1所述的日志分析装置，其特征在于，

该日志分析装置每当从所述主机获取日志消息时，针对获取到的所述日志消息而抽出所述事件。

3.根据权利要求1或者2所述的日志分析装置，其特征在于，

所述事件候补抽出部在检测到针对从所述同一主机提供的日志消息而确定出的模板时，根据所述日志消息的时间戳，抽出针对从所述同一主机提供的日志消息而确定出的模板中的、与检测出的所述模板相邻的前一个模板，根据检测出的所述模板与所述相邻的前一个模板的发生时间差，判断检测出的所述模板和所述相邻的前一个模板是否属于同一事件候补。

4.根据权利要求3所述的日志分析装置，其特征在于，

所述事件候补抽出部推测依赖于检测出的所述模板和所述相邻的前一个模板的发生时间间隔。

5.根据权利要求4所述的日志分析装置，其特征在于，

所述事件候补抽出部在所述发生时间差是推测出的所述发生时间间隔以下的情况下，判断为检测出的所述模板和所述相邻的前一个模板属于同一事件候补。

6.根据权利要求4所述的日志分析装置，其特征在于，

所述事件候补抽出部在所述发生时间差大于推测出的所述发生时间间隔的情况下，将针对从所述同一主机提供的日志消息而确定出的所述相邻的前一个模板以前发生的模板确定为事件候补，抽出检测出的所述模板而作为新的事件候补。

7.根据权利要求4所述的日志分析装置，其特征在于，

所述事件候补抽出部确定针对过去计算出的发生时间差而生成的群集中的所述发生时间差所属的群集，根据确定出的所述群集的平均值以及方差，推测所述发生时间间隔。

8.根据权利要求1或者2所述的日志分析装置，其特征在于，

所述模板确定部确定与以联机或者脱机的方式提供的日志消息一致的模板，将确定出的模板提供给所述事件候补抽出部。

9.一种日志分析系统，具有：

日志分析装置；

监视对象的主机；以及

用户装置，从所述日志分析装置接收事件，

其中，所述日志分析装置具有：

模板保存部，保存与日志消息有关的模板；

模板确定部，从所保存的所述模板中确定与从所述监视对象的主机提供的各日志消息一致的模板；

事件候补抽出部，检测确定出的所述模板中的、针对从同一主机提供的日志消息而确定出的模板，抽出检测出的所述模板的序列而作为事件候补；以及

事件抽出部，从所抽出的所述事件候补中抽出频繁出现的模板的序列而作为事件。

10.一种日志分析方法，通过日志分析装置实现，具有：

从所保存的与日志消息有关的模板中确定与从监视对象的主机提供的各日志消息一致的模板的步骤；

检测确定出的所述模板中的、针对从同一主机提供的日志消息而确定出的模板，抽出检测出的所述模板的序列而作为事件候补的步骤；以及

从所抽出的所述事件候补中抽出频繁出现的模板的序列而作为事件的步骤。

11.一种存储介质，储存有计算机程序，该计算机程序用于使计算机执行：

从所保存的与日志消息有关的模板中确定与从监视对象的主机提供的各日志消息一致的模板的步骤；

检测确定出的所述模板中的、针对从同一主机提供的日志消息而确定出的模板，抽出检测出的所述模板的序列而作为事件候补的步骤；以及

从所抽出的所述事件候补中抽出频繁出现的模板的序列而作为事件的步骤。