JP2005141663A - Event log analysis support apparatus and event log display method - Google Patents

Event log analysis support apparatus and event log display method Download PDF

Info

Publication number
JP2005141663A
JP2005141663A JP2003380030A JP2003380030A JP2005141663A JP 2005141663 A JP2005141663 A JP 2005141663A JP 2003380030 A JP2003380030 A JP 2003380030A JP 2003380030 A JP2003380030 A JP 2003380030A JP 2005141663 A JP2005141663 A JP 2005141663A
Authority
JP
Japan
Prior art keywords
event log
search
event
search condition
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003380030A
Other languages
Japanese (ja)
Inventor
Hirokazu Ikeda
博和 池田
Masahide Sato
雅英 佐藤
Takeshi Uchiyama
雄 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003380030A priority Critical patent/JP2005141663A/en
Publication of JP2005141663A publication Critical patent/JP2005141663A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To support the analysis of an event log by simply setting search conditions for the event log to display the event log by associating the event log with the search conditions. <P>SOLUTION: An event log display screen 300 comprises a search tree 310, an event map 320, and a log view 330. The search tree 310 displays the search conditions set to a hierarchical structure in a tree structure. The event map 320 displays an icon at a position corresponding to the time stamp of the event log. The log view 330 displays log contents. Moving a pointer 321 as shown in the arrow P continuously conducts time designation for the log view 330. The log view 330 conducts re-search while synchronizing with the continuous time designation and switches the display of log details. In this way, the occurrence frequency of the search conditions and the event log, the log details, and the like can be confirmed at a time. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、イベントログの検索および表示に関するものである。   The present invention relates to event log search and display.

近年、ネットワークシステムでは、障害等が発生した場合、管理者がイベントログを解析し、障害原因を調査して復旧策を検討するなどの手段がとられている。イベントログには、情報や警告、エラーなどが挙げられる。イベントログの解析では、大量のイベントログから、障害発生等に関係のあるイベントログを抽出するために、障害などの特性に応じた検索条件を指定して検索を行い、必要なログを取得している。   In recent years, in a network system, when a failure or the like occurs, an administrator analyzes an event log, investigates the cause of the failure, and considers a recovery measure. The event log includes information, warnings, and errors. In event log analysis, in order to extract event logs related to the occurrence of failures from a large number of event logs, specify the search conditions according to the characteristics such as failures and perform necessary searches to obtain the necessary logs. ing.

複数の監視対象機器から収集したイベントログを解析するために、全ての監視対象機器のイベントログを管理装置でひとまとめに収集し、画面上に一覧表示する技術が開示されている。例えば、特許文献1では、バッチプロセスで発生したイベントの解析に利用する画面を表示するイベント解析支援装置において、バッチプロセスで検知されたイベントの発生時刻とバッチプロセスの実行時間を対比して表示している。   In order to analyze event logs collected from a plurality of devices to be monitored, a technology is disclosed in which event logs of all devices to be monitored are collected together by a management device and displayed in a list on a screen. For example, in Patent Document 1, an event analysis support apparatus that displays a screen used for analyzing an event that occurred in a batch process displays the event occurrence time detected in the batch process and the execution time of the batch process in comparison. ing.

特開2001−296916号公報JP 2001-296916 A 特開2001−188694号公報JP 2001-188694 A

しかしながら、従来の技術では、検索条件と、検索結果との対応が取りにくいため、管理者は、障害対策等に必要なイベントログを検索するための、適切な検索条件を作成することが困難であった。また、イベントログは大量に存在しており、管理対象機器の数の増加に伴い、その数は増加する。そのため管理者は、必要とするイベントログを検索するには、個々の機器に対して検索条件を設定する必要があり、煩雑な記述となりやすく、一度作成した検索条件を他の検索に流用することが困難であった。   However, in the conventional technology, since it is difficult to take a correspondence between a search condition and a search result, it is difficult for an administrator to create an appropriate search condition for searching an event log necessary for troubleshooting. there were. In addition, there are a large number of event logs, and the number increases as the number of devices to be managed increases. Therefore, the administrator needs to set search conditions for each device to search the required event log, which is likely to be a complicated description, and the search conditions created once should be used for other searches. It was difficult.

また、特許文献1に記載の技術では、管理対象機器からの複数種のイベントを到着順に表示しているため、イベントの発生頻度が高いイベント種別があると、特定のイベントが大量に表示され解析が困難になる場合がある。かかる場合に、重要なイベントを検索するための、適切な検索条件の設定が困難であった。   Further, in the technique described in Patent Document 1, since multiple types of events from managed devices are displayed in the order of arrival, if there is an event type with a high event occurrence frequency, a large number of specific events are displayed and analyzed. May be difficult. In such a case, it is difficult to set appropriate search conditions for searching for important events.

本発明は、以上の課題に鑑みてなされたものであり、イベントログの検索条件を簡易に設定可能にするとともに、イベントログを検索条件と関連づけて表示をすることにより、管理者によるイベントログの解析を支援することを目的とする。   The present invention has been made in view of the above-described problems. The event log search condition can be easily set, and the event log is displayed by associating the event log with the search condition. The purpose is to support analysis.

上述した課題の少なくとも一部を解決するために、本発明は、第1の構成として以下の構成をとることとした。すなわち、イベントログ解析支援装置において、監視対象機器からイベントログを収集するイベントログ収集部と、収集したイベントログを格納するイベントログ格納部と、収集したイベントログから、所定のイベントログを検索する検索条件、および、検索条件において、所定の検索条件によって検索されたイベントログに対して検索を行うために使用する検索条件を、所定の検索条件の下位の検索条件とする検索条件同士の関係の入力を受け付ける検索条件受付部と、入力された関係に基づき、検索条件を階層構造に設定する検索条件設定部と、イベントログおよび検索条件に基づき、イベントログの検索を実行する検索部とを備えることを要旨とする。   In order to solve at least a part of the problems described above, the present invention has the following configuration as the first configuration. That is, in the event log analysis support device, a predetermined event log is searched from an event log collection unit that collects event logs from monitored devices, an event log storage unit that stores collected event logs, and a collected event log In the search condition and the search condition, the search condition used for performing a search on the event log searched by the predetermined search condition is a search condition subordinate to the predetermined search condition. A search condition receiving unit that receives an input, a search condition setting unit that sets a search condition in a hierarchical structure based on the input relationship, and a search unit that executes an event log search based on the event log and the search condition This is the gist.

このような構成を取ることにより、検索条件を、階層構造に細分化した状態で利用することができるため、検索条件と検索結果の対応関係を確認することができ、また、検索条件の一部分、あるいは全体を容易に再利用することが可能となり、検索条件設定の効率化を図ることができ、利便性が向上する。   By adopting such a configuration, the search conditions can be used in a state of being subdivided into a hierarchical structure, so the correspondence between the search conditions and the search results can be confirmed, and a part of the search conditions, Alternatively, the whole can be easily reused, the efficiency of setting search conditions can be improved, and convenience is improved.

以下、本発明の実施の形態について、以下の項目に分けて説明する。
A.実施例:
A1.システム構成:
A2.機能ブロック図:
A3.検索結果表示処理:
A4.イベントログ収集処理:
A5.検索ツリー作成処理:
A6.検索条件表示処理:
A6−1.イベントマップ表示処理:
A6−2.ログビュー表示処理:
A6−2.検索結果表示画面:
A7.検索ツリー編集処理:
B.変形例: Hereinafter, embodiments of the present invention will be described in the following items.
A. Example:
A1. System configuration:
A2. Functional block diagram:
A3. Search result display processing:
A4. Event log collection processing:
A5. Search tree creation process:
A6. Search condition display processing:
A6-1. Event map display processing:
A6-2. Log view display processing:
A6-2. Search result display screen:
A7. Search tree editing process:
B. Variation:

A.実施例:
A1.システム構成:
図1は、本実施例におけるシステム構成を例示する説明図である。イベントログ収集システム10は、ローカルエリアネットワークLANを介して接続されているホスト2000,210,220と、イベントログ解析支援装置100とから構成されている。ホスト200および210は、いわゆるパーソナルコンピュータであり、ホスト220はルータである。イベントログ解析支援装置100は、ホスト200,210,220において発生したイベントログを、所定間隔で、図示する太線矢印のように収集する。以降では、ホスト200,210,220をまとめて「監視対象機器」と呼ぶこととする。イベントログ解析支援装置100のディスプレイには、収集したイベントログを、検索条件と対応付けて表示するイベントログ表示画面300が表示される。イベントログ表示画面300は、検索ツリー、イベントマップ、ログビューとから構成される。イベントマップは、イベントの発生時刻に対応した位置にアイコンなどの図形を表示し、発生頻度などを表す。ログビューは、イベントログの内容を表示する。これらについては後述する。 A. Example:
A1. System configuration:
FIG. 1 is an explanatory diagram illustrating a system configuration in the present embodiment. The event log collection system 10 includes hosts 2000, 210, and 220 connected via a local area network LAN and an event log analysis support apparatus 100. The hosts 200 and 210 are so-called personal computers, and the host 220 is a router. The event log analysis support apparatus 100 collects event logs generated in the hosts 200, 210, and 220 at predetermined intervals as shown by thick arrows in the figure. Hereinafter, the hosts 200, 210, and 220 are collectively referred to as “monitored devices”. On the display of the event log analysis support apparatus 100, an event log display screen 300 for displaying the collected event log in association with the search condition is displayed. The event log display screen 300 includes a search tree, an event map, and a log view. The event map displays a graphic such as an icon at a position corresponding to the event occurrence time, and represents the occurrence frequency. The log view displays the contents of the event log. These will be described later.

A2.機能ブロック:
図2は、イベントログ解析支援装置100の機能ブロックを例示する説明図である。イベントログ解析支援装置100は、主制御部101と、通信部102と、イベント収集部103と、イベント格納部104と、検索条件設定部105と、検索条件格納部106と、階層構造設定部107と、検索部108と、表示制御部109と、入力部110とから構成されている。これらの各機能ブロックは、ソフトウェア的に構成され、主制御部101によって制御される。各機能ブロックは、ハードウェア的に構成してもよい。 A2. Function block:
FIG. 2 is an explanatory diagram illustrating functional blocks of the event log analysis support apparatus 100. The event log analysis support apparatus 100 includes a main control unit 101, a communication unit 102, an event collection unit 103, an event storage unit 104, a search condition setting unit 105, a search condition storage unit 106, and a hierarchical structure setting unit 107. And a search unit 108, a display control unit 109, and an input unit 110. Each of these functional blocks is configured by software and is controlled by the main control unit 101. Each functional block may be configured in hardware.

主制御部101は、他の機能ブロックを制御する機能を奏している。通信部102は、いわゆるネットワークインターフェースの機能を奏しており、他の機器と情報の授受を行う。   The main control unit 101 has a function of controlling other functional blocks. The communication unit 102 functions as a so-called network interface, and exchanges information with other devices.

イベント収集部103は、ローカルエリアネットワークLANに接続された監視対象機器で発生したイベントログを、所定間隔で収集し、イベント格納部104に格納する。図に併せて、イベント格納部104に格納されているイベントログの一例を示した。イベント格納部104には、図示するように、左から、イベントログIDと、タイムスタンプと、イベントソースとログ詳細が格納されており、収集したイベントログのタイムスタンプ順にイベントIDが付与される。イベントログID「1」のタイムスタンプ「20030506 115644」は、「2003年5月6日 11時56分44秒」を表している。イベントソースは、収集したイベントログの種別を表しており、例えば、「syslog」はシステムログ、「snmptrap」はSNMPでのイベントログを示している。ログ詳細は、各イベントログの内容を示している。   The event collection unit 103 collects event logs generated in the monitoring target devices connected to the local area network LAN at predetermined intervals and stores them in the event storage unit 104. An example of the event log stored in the event storage unit 104 is also shown in the figure. As shown in the figure, the event storage unit 104 stores an event log ID, a time stamp, an event source, and log details from the left, and the event IDs are assigned in the order of the time stamps of the collected event logs. The time stamp “2003030506 115644” of the event log ID “1” represents “May 6, 2003 11:56:44”. The event source indicates the type of collected event log. For example, “syslog” indicates a system log, and “snmpttrap” indicates an SNMP event log. The log details indicate the contents of each event log.

入力部110は、管理者から種々の入力を受け付ける。かかる入力には、指定した文字列が含まれるイベントログを検索する検索条件、任意のイベントソースのイベントログを検索する検索条件等の他に、検索条件同士の上位/下位の関係などの設定情報や、検索条件の編集指示等が含まれる。かかる設定情報としては、上位の検索条件で検索した検索結果に対して、更に絞り込んで検索を行う場合に使用する検索条件を、その上位の検索条件の下位の検索条件と設定する情報を表しており、検索条件を細分化して設定することができる。検索条件設定部105は、入力部110を介して入力された検索条件を、検索条件格納部106に格納する。また、検索条件設定部105は、前述の編集指示に基づき検索条件を編集する機能も奏する。検索条件の編集に関しては、後述する。図3に、検索条件の入力内容を例示した。   The input unit 110 receives various inputs from the administrator. For such input, in addition to a search condition for searching an event log including a specified character string, a search condition for searching an event log of an arbitrary event source, etc., setting information such as a higher / lower relationship between search conditions And search condition editing instructions. As such setting information, a search condition used when performing a further narrowing search with respect to a search result searched with a higher-order search condition is represented as information set with a lower-order search condition of the higher-order search condition. Therefore, the search conditions can be subdivided and set. The search condition setting unit 105 stores the search condition input via the input unit 110 in the search condition storage unit 106. The search condition setting unit 105 also has a function of editing the search condition based on the above editing instruction. The search condition editing will be described later. FIG. 3 illustrates the input contents of the search condition.

図3は、本実施例における検索条件格納部106の内容を例示する説明図である。検索条件格納部106は、図示するように、検索IDと、親検索IDと、イベントソースと、検索名と、検索条件という5つの項目から構成されている。検索IDは、入力された各検索条件に対して付与される固有の番号である。親検索IDは、上位の検索条件の検索IDの指定を示しており、イベントソースは、検索する対象のイベントソースを示す。検索名は、検索条件を画面に表示する際に、管理者が即座に理解しやすい形式で表示するために、各検索条件に任意に設定する検索名称である。検索条件は、イベントログ内で検索する文字列を示している。検索ID「1」、「4」、「5」が示すように、検索条件に検索する文字列が入力されていない場合には、その検索IDに設定されているイベントソースのイベントログを全て検索することを示している。   FIG. 3 is an explanatory diagram illustrating the contents of the search condition storage unit 106 in this embodiment. As shown in the figure, the search condition storage unit 106 includes five items: a search ID, a parent search ID, an event source, a search name, and a search condition. The search ID is a unique number assigned to each input search condition. The parent search ID indicates the designation of the search ID of the upper search condition, and the event source indicates the event source to be searched. The search name is a search name arbitrarily set for each search condition in order to display the search condition on the screen in a format that can be easily understood by the administrator. The search condition indicates a character string to be searched in the event log. As the search IDs “1”, “4”, “5” indicate, when the search string is not entered in the search condition, all event logs of the event source set in the search ID are searched. It shows that

例えば、本実施例においては、検索ID「1」には、親検索IDは入力されておらず、検索名は「Syslog」と入力されており、検索条件にも検索する文字列は入力されていない。これは、イベントソース「syslog」の全てのイベントログを検索することを表している。   For example, in the present embodiment, the search ID “1” has no parent search ID entered, the search name is entered “Syslog”, and the search string is also entered in the search condition. Absent. This indicates that all event logs of the event source “syslog” are searched.

また、検索ID「2」では、親検索IDには「1」が入力されており、イベントソースは「syslog」、検索名は「Host01」、検索条件は「grep"Host01"」と入力されている。「grep"Host01"」は、Host01という文字列を含むイベントログを検索するという意味である。ここで、親検索IDには「1」が設定されているため、検索ID「2」は、親検索IDが示す検索IDを持つ検索条件によって検索されたイベントログに対して、更に絞り込んで検索を行う検索条件であり、検索ID「1」によって検索された「syslog」のすべてのイベントログから、「Host01」という文字列が含まれるイベントログを検索するための検索条件であることを示している。   In the search ID “2”, “1” is input as the parent search ID, the event source is “syslog”, the search name is “Host01”, and the search condition is “grep“ Host01 ””. Yes. “Grep“ Host01 ”” means that an event log including a character string “Host01” is searched. Here, since “1” is set in the parent search ID, the search ID “2” is further narrowed down to the event log searched by the search condition having the search ID indicated by the parent search ID. This indicates that the search condition is a search condition for searching an event log including the character string “Host01” from all event logs of “syslog” searched by the search ID “1”. Yes.

他の検索条件も同様であり、例えば、検索ID「9」は、検索ID「8」を親検索IDとしており、検索ID「8」は、検索ID「6」を親検索IDとしている。更に、検索ID「6」は、検索ID「5」を親検索IDとしている。すなわち、検索ID「9」は、検索ID「5」の検索条件で検索されたイベントログを、検索ID「6」の検索条件で検索し、検索されたイベントログに対して、更に、検索ID「8」の検索条件で検索し、検索されたイベントログに対して、検索ID「9」の検索条件「grep"book"」で検索することを示している。   The other search conditions are the same. For example, the search ID “9” has the search ID “8” as the parent search ID, and the search ID “8” has the search ID “6” as the parent search ID. Further, the search ID “6” has the search ID “5” as the parent search ID. That is, the search ID “9” searches the event log searched under the search condition of the search ID “5” using the search condition of the search ID “6”. This indicates that the search is performed with the search condition “8”, and the searched event log is searched with the search condition “grep“ book ”” with the search ID “9”.

図2に戻り説明を続ける。階層構造設定部107は、図3で示した検索条件格納部106に格納されている検索条件を、設定された上下関係に基づき、階層構造に設定する機能を奏する。検索部108は、階層構造に設定され検索条件により、イベントログの検索を実行する機能を奏する。表示制御部109は、検索条件格納部106に格納されている検索条件詳細や検索結果であるイベントログを種々の態様で表示する制御を行う。種々の態様とは、図3に示したように、検索条件格納部106の一覧を表示することとしてもよいし、検索結果と検索条件を併せて表示することとしてもよい。管理者は、検索条件詳細や、階層構造などを確認することができ利便性が向上する。   Returning to FIG. The hierarchical structure setting unit 107 has a function of setting the search conditions stored in the search condition storage unit 106 shown in FIG. 3 to a hierarchical structure based on the set vertical relationship. The search unit 108 has a function of executing event log search according to search conditions set in a hierarchical structure. The display control unit 109 performs control to display the search condition details stored in the search condition storage unit 106 and the event log as a search result in various modes. As shown in FIG. 3, the various modes may display a list of the search condition storage unit 106, or may display the search results and the search conditions together. The administrator can confirm the details of the search condition, the hierarchical structure, etc., and convenience is improved.

A3.検索結果表示処理:
図4は、本実施例における検索結果表示処理を説明するフローチャートである。イベントログ解析支援装置100は、監視対象機器からイベントログを収集する(ステップS10)。イベントログ収集処理に関しては、後述する。次に、イベントログ解析支援装置100は、検索条件や、検索条件同士の上下関係の入力を受け付け(ステップS11)、入力内容に基づき、検索条件を階層構造に設定し検索ツリーを作成する(ステップS12)。 A3. Search result display processing:
FIG. 4 is a flowchart for explaining search result display processing in this embodiment. The event log analysis support apparatus 100 collects event logs from the monitoring target devices (step S10). The event log collection process will be described later. Next, the event log analysis support apparatus 100 accepts input of search conditions and vertical relationships between the search conditions (step S11), and sets the search conditions in a hierarchical structure based on the input contents and creates a search tree (step) S12).

イベントログ解析支援装置100は、階層構造に設定された検索条件に基づいて検索を行い(ステップ13)、検索結果をどの態様で表示するかの選択を受け付ける(ステップS14)。本実施例では、表示態様の選択肢は、以下の3つである。「0:検索ツリー+イベントマップ」、「1:検索ツリー+ログビュー」、「2:検索ツリー+イベントマップ+ログビュー」である。イベントログ解析支援装置100は、いずれかの表示態様を選択し、検索結果を表示する(ステップS15)。それぞれの表示態様の表示処理は、後述する。   The event log analysis support apparatus 100 performs a search based on the search conditions set in the hierarchical structure (step 13), and accepts a selection of how to display the search result (step S14). In this embodiment, there are the following three display mode options. “0: Search tree + event map”, “1: Search tree + log view”, “2: Search tree + event map + log view”. The event log analysis support apparatus 100 selects any display mode and displays the search result (step S15). The display process of each display mode will be described later.

A4.イベントログ収集処理:
図5は、本実施例におけるイベントログ収集処理を説明するフローチャートである。図4のステップS10に相当する処理である。 A4. Event log collection processing:
FIG. 5 is a flowchart for explaining event log collection processing in this embodiment. This process corresponds to step S10 in FIG.

イベントログ解析支援装置100は、所定間隔でイベントログを収集しており、まず、前回のイベントログ収集時のタイムスタンプを参照する(ステップS20)。具体的には、前回収集したイベントログのうち、各機器ごとに、最後に収集したイベントログのタイムスタンプを参照する。   The event log analysis support apparatus 100 collects event logs at predetermined intervals, and first refers to the time stamp at the time of the previous event log collection (step S20). Specifically, the time stamp of the event log collected last is referred for each device among the event logs collected last time.

次に、イベントログを収集すべき監視対象機器と通信を行いイベントログの収集が可能な状態であることを確認し(ステップS21)、イベントログ解析支援装置100は、監視対象機器に保持されているイベントログのタイムスタンプを参照して、前回収集時以後に蓄積されたイベントログであるか判断し取得する(ステップS22)。イベントログ解析支援装置100は、収集したイベントログを、イベント格納部104に格納する(ステップS23)。   Next, it is confirmed that the event log can be collected by communicating with the monitored device that should collect the event log (step S21), and the event log analysis support device 100 is held in the monitored device. Referring to the time stamp of the existing event log, it is determined whether it is an event log accumulated after the previous collection (step S22). The event log analysis support apparatus 100 stores the collected event log in the event storage unit 104 (step S23).

次に、イベントログ解析支援装置100は、全ての監視対象機器に対してイベントログの収集を行ったかを判断し(ステップS24)、行っていない場合には、ステップS20へ戻り、イベントログを収集すべき監視対象機器の、前回収集時のタイムスタンプを参照し、処理を続行する。全ての監視対象機器に対してイベントログの収集を行った場合には、イベントログ収集処理を終了する。   Next, the event log analysis support apparatus 100 determines whether event logs have been collected for all monitored devices (step S24). If not, the process returns to step S20 to collect event logs. Refer to the time stamp of the previous device to be monitored and continue the process. When event logs are collected for all monitored devices, the event log collection process is terminated.

A5.検索ツリー作成処理:
図6および図7は、本実施例における検索ツリーを作成する処理を説明するフローチャートである。図4のステップS12に相当する処理である。 A5. Search tree creation process:
6 and 7 are flowcharts for explaining processing for creating a search tree in this embodiment. This process corresponds to step S12 in FIG.

イベントログ解析支援装置100は、設定した検索条件を検索ID順に参照し(ステップS30)、親検索IDが存在しない検索IDを抽出する(ステップS31)。図に併せて示したように、検索条件格納部106において、親検索IDが存在しない検索IDは、矢印で示すように、検索ID「1」、「4」、「5」である。これら抽出された検索IDを検索ツリーにおけるルートノードに設定し(ステップS32)、かかるルートノードが示す検索IDのうち、最小の検索IDを選択する(ステップS33)。本実施例では、まず、検索ID「1」を選択する。   The event log analysis support apparatus 100 refers to the set search conditions in the order of search ID (step S30), and extracts a search ID having no parent search ID (step S31). As shown in the figure, in the search condition storage unit 106, search IDs that do not have a parent search ID are search IDs “1”, “4”, and “5” as indicated by arrows. These extracted search IDs are set as a root node in the search tree (step S32), and the minimum search ID is selected from the search IDs indicated by the root node (step S33). In this embodiment, first, the search ID “1” is selected.

イベントログ解析支援装置100は、検索条件格納部106を参照し、ステップS33で選択された検索IDを親検索IDに持つ検索IDを抽出する。例えば、本実施例では、検索ID「1」を親検索IDに持つ検索IDは、検索ID「2」、「3」が抽出される。次に、抽出された検索IDを親検索IDが示す検索IDのノードの下位ノードとして設定する(ステップS35)。図に併せて示したように、検索ID[1]の下位ノードとして、検索ID[2]および[3]が設定されている。   The event log analysis support apparatus 100 refers to the search condition storage unit 106 and extracts a search ID having the search ID selected in step S33 as a parent search ID. For example, in this embodiment, search IDs “2” and “3” are extracted as search IDs having the search ID “1” as a parent search ID. Next, the extracted search ID is set as a lower node of the node of the search ID indicated by the parent search ID (step S35). As shown in the figure, search IDs [2] and [3] are set as lower nodes of the search ID [1].

イベントログ解析支援装置100は、全ての検索条件について、ノードの設定を終了したか否かを判断し(ステップS36)、終了していない場合には、ノード未設定の検索条件のうち、最小の親検索IDをもつ検索IDを抽出し(ステップS37)、ステップS35へ戻り処理を繰り返す。全てのノードの設定が終了した場合には、処理を終了する。本実施例では、最初にルートノードの設定を行い、次に下位ノードを設定することとしたため、検索ツリーは、まず、ルートノードの[1]、[4]、[5]が設定され、[2]、[3]、[6]、[7]、[8]、[9]、[10]の順に設定されるが、この順に限られることなく、他の処理順序で設定することとしても良い。   The event log analysis support apparatus 100 determines whether or not the node setting has been completed for all search conditions (step S36). If the search has not been completed, the event log analysis support apparatus 100 determines the smallest of the search conditions not set for the node. A search ID having a parent search ID is extracted (step S37), and the process returns to step S35 to repeat the process. If all the nodes have been set, the process ends. In this embodiment, since the root node is set first and then the lower nodes are set, the search tree first has [1], [4], and [5] set as the root node. 2], [3], [6], [7], [8], [9], [10] are set in this order, but the order is not limited to this order, and other processing orders may be set. good.

A6.検索条件表示処理:
本実施例では、図4のステップS14で説明したように、検索結果を表示する画面は、3パターンから選択することができる。以下に、各パターンごとの検索結果画面表示処理を説明する。 A6. Search condition display processing:
In the present embodiment, as described in step S14 in FIG. 4, the screen for displaying the search result can be selected from three patterns. The search result screen display process for each pattern will be described below.

A6−1.イベントマップ表示処理:
図8は、本実施例において、イベントマップを表示する処理を説明するフローチャートである。図4のステップS14において、「0:検索ツリー+イベントマップ」を選択した場合の検索結果表示処理を示している。 A6-1. Event map display processing:
FIG. 8 is a flowchart for explaining processing for displaying an event map in the present embodiment. FIG. 4 shows search result display processing when “0: search tree + event map” is selected in step S14 of FIG.

イベントログ解析支援装置100は、画面表示態様として「0:検索ツリー+イベントマップ」が選択されると、表示する時間範囲の指定を受け付ける(ステップS40)。次に、検索条件を検索ID順に参照し(ステップS41)、階層構造に設定された各検索条件および指定時間範囲に合致するイベントログを抽出する(ステップS42)。   When “0: search tree + event map” is selected as the screen display mode, the event log analysis support apparatus 100 accepts designation of a time range to be displayed (step S40). Next, the search conditions are referred to in the order of search ID (step S41), and an event log that matches each search condition set in the hierarchical structure and the specified time range is extracted (step S42).

抽出したイベントログのタイムスタンプを取得し(ステップS43)、検索IDと対応付けて、一次記憶領域に記憶する(ステップS44)。かかる一次記憶領域は、イベントログ解析支援装置100の検索部108の一部として構成されているものとする。イベントログ解析支援装置100は、すべての検索条件で検索が終了したか否かを判断し(ステップS45)、検索が終了していない場合には、ステップS41へ戻り、処理を繰り返す。検索が終了している場合には、一次記憶領域に記憶されているタイムスタンプに基づき、検索IDごとにイベントマップに矩形アイコンを描画する。検索結果表示画面400を、図に併せて示した。   The time stamp of the extracted event log is acquired (step S43) and stored in the primary storage area in association with the search ID (step S44). The primary storage area is assumed to be configured as a part of the search unit 108 of the event log analysis support apparatus 100. The event log analysis support apparatus 100 determines whether or not the search is completed under all search conditions (step S45). If the search is not completed, the process returns to step S41 and repeats the process. When the search is completed, a rectangular icon is drawn on the event map for each search ID based on the time stamp stored in the primary storage area. A search result display screen 400 is also shown in the figure.

検索結果表示画面400は、左側に、階層構造に設定された検索条件を木構造に表示した検索ツリーを配置し、右側に、検索されたイベントログのタイムスタンプに対応する位置に矩形アイコン421を描画したイベントマップ420を配置した構成となっている。また、イベントマップ420の下方には、指定時間範囲を示すタイムバー430が表示されている。マッピングバー422は、検索名411の「Syslog」が示す検索条件で検索されたイベントログの発生時刻を示している。検索名412の「Host01」は、検索名411の「Syslog」で検索されたイベントログのうち、「Host01」が示す検索条件で検索されたイベントログの発生時刻を示している。そのため、「Host01」のマッピングバー423に矩形アイコンが描画されている時刻には、「Syslog」のマッピングバー422の同時刻に、矩形アイコンが描画されることとなる。   In the search result display screen 400, a search tree in which search conditions set in a hierarchical structure are displayed in a tree structure is arranged on the left side, and a rectangular icon 421 is placed on the right side at a position corresponding to the time stamp of the searched event log. The drawn event map 420 is arranged. A time bar 430 indicating a specified time range is displayed below the event map 420. The mapping bar 422 indicates the occurrence time of the event log searched under the search condition indicated by “Syslog” of the search name 411. “Host 01” of the search name 412 indicates an occurrence time of the event log searched by the search condition indicated by “Host 01” among the event logs searched by “Syslog” of the search name 411. Therefore, at the time when the rectangular icon is drawn on the mapping bar 423 of “Host01”, the rectangular icon is drawn at the same time of the mapping bar 422 of “Syslog”.

このような表示とすると、階層構造に設定された検索条件を管理者が視認しやすくなり利便性が向上する。また、各検索条件と、検索結果のイベントログとを対応付けて時系列に確認することができるため、検索条件ごとのイベントログの発生時刻、発生頻度などを一度に把握することができ、利便性が向上する。本実施例では、すべて矩形アイコンで表示することとしたが、これに限られず、色、形、大きさなどを、発生頻度や検索条件に応じて変更することとしてもよい。   With such a display, it is easy for the administrator to visually recognize the search conditions set in the hierarchical structure, and convenience is improved. In addition, since each search condition and event log of the search result can be correlated and confirmed in time series, the event log generation time and frequency for each search condition can be ascertained at a time. Improves. In this embodiment, all the icons are displayed as rectangular icons. However, the present invention is not limited to this, and the color, shape, size, and the like may be changed according to the occurrence frequency and search conditions.

A6−2.ログビュー表示処理:
図9は、本実施例において、ログビューを表示する処理を説明するフローチャートである。図4のステップS14において、「1:検索ツリー+ログビュー」を選択した場合の検索結果表示処理を示している。 A6-2. Log view display processing:
FIG. 9 is a flowchart illustrating processing for displaying a log view in the present embodiment. FIG. 4 shows search result display processing when “1: search tree + log view” is selected in step S14 of FIG.

イベントログ解析支援装置100は、画面表示態様として「1:検索ツリー+ログビュー」が選択されると、表示する時間を指定する(ステップS50)。次に、検索条件を検索ID順に参照し(ステップS51)、階層構造に設定された各検索条件および指定時間に最も近いタイムスタンプを持つログビューを抽出する(ステップS52)。   When “1: search tree + log view” is selected as the screen display mode, the event log analysis support apparatus 100 designates a display time (step S50). Next, the search conditions are referred to in the order of search ID (step S51), and the log view having the time stamp closest to each search condition set in the hierarchical structure and the specified time is extracted (step S52).

抽出したイベントログのログ内容を取得し(ステップS53)、検索IDと対応付けて、一次記憶領域に記憶する(ステップS54)。イベントログ解析支援装置100は、すべての検索条件で検索が終了したか否かを判断し(ステップS55)、検索が終了していない場合には、ステップS51へ戻り、処理を繰り返す。検索が終了している場合には、一次記憶領域に記憶されているログの内容を、検索条件と対応付けてログビューに描画する。検索結果表示画面500を、図に併せて示した。   The log content of the extracted event log is acquired (step S53) and stored in the primary storage area in association with the search ID (step S54). The event log analysis support apparatus 100 determines whether or not the search is completed under all the search conditions (step S55). If the search is not completed, the process returns to step S51 and repeats the process. When the search has been completed, the log contents stored in the primary storage area are drawn in the log view in association with the search conditions. A search result display screen 500 is also shown in the figure.

検索結果表示画面500は、左側に、階層構造に設定された検索条件を木構造に表示した検索ツリー510を配置し、右側に、検索されたイベントログの内容を描画したログビュー520を配置した構成となっている。表示指定時刻521は、「2003/05/06 14:00:00」であり、ログビュー520は、検索条件ごとに、かかる指定時刻に最も近いイベントログのログ内容が表示されている。ログビュー520は、仕切り線530を挟んで、左側に、タイムスタンプ522と、右側にログ詳細523とが表示される。   In the search result display screen 500, a search tree 510 in which search conditions set in a hierarchical structure are displayed in a tree structure is arranged on the left side, and a log view 520 in which the contents of the searched event log are drawn is arranged on the right side. It has a configuration. The display designated time 521 is “2003/05/06 14: 00: 00: 00”, and the log view 520 displays the log contents of the event log closest to the designated time for each search condition. The log view 520 displays a time stamp 522 on the left side and a log detail 523 on the right side across the partition line 530.

このような表示とすると、検索条件で絞り込んだイベントログ同士を、時刻で横断して、画面上で比較することができ、指定時刻近傍で発生した複数のイベントの関連性など確認しやすくなり、利便性が向上する。本実施例では、指定時刻に最も近いイベントログのログ内容を表示することとしたが、指定時刻前の最新のイベントログを表示することとしても良い。また、例えば、指定時刻近傍の一定時間の間にイベントログが存在しない場合には、何も表示しないこととしても良い。   With such a display, event logs narrowed down by search conditions can be crossed by time and compared on the screen, making it easier to check the relevance of multiple events that occurred near the specified time, Convenience is improved. In this embodiment, the log content of the event log closest to the specified time is displayed, but the latest event log before the specified time may be displayed. Also, for example, nothing may be displayed when there is no event log during a certain time near the specified time.

A6−3.検索結果表示画面:
図10は、本実施例における検索結果表示画面を例示する説明図である。図4のステップS14において、「2:検索ツリー+イベントマップ+ログビュー」を選択した場合の検索結果表示画面を示している。 A6-3. Search result display screen:
FIG. 10 is an explanatory diagram illustrating a search result display screen in the present embodiment. FIG. 4 shows a search result display screen when “2: search tree + event map + log view” is selected in step S14 of FIG.

イベントログ表示画面300は、左側から、検索ツリー310と、イベントマップ320と、ログビュー330とから構成されている。イベントマップ320およびログビュー330は、図8および図9において説明した通りである。   The event log display screen 300 includes a search tree 310, an event map 320, and a log view 330 from the left side. The event map 320 and the log view 330 are as described with reference to FIGS.

イベントマップ320には、タイムバー上にポインタ321を配置し、マウスなどのポインティングデバイスをドラッグすることによりログビュー330の時刻を指定する。ポインタ321は、矢印Pに示すようにドラッグしながら移動させることで、ログビュー330の時刻指定を連続的に行う。ログビュー330は、かかる連続的な時刻指定と同期しながら、ログ詳細の表示を切り換える。本実施例では、ポインタ321を操作することにより、時刻を連続して指定し、ログ詳細の表示を切り換えることとしたが、これに限られず所定の特定条件を入力することにより、ログ詳細の表示を切り換えることとしてもよい。
所定の特定条件とは、全検索結果に対して共通して適用される条件であり、時刻指定などが挙げられる。 In the event map 320, a pointer 321 is arranged on the time bar, and the time of the log view 330 is designated by dragging a pointing device such as a mouse. The pointer 321 is moved while being dragged as indicated by an arrow P, thereby continuously specifying the time of the log view 330. The log view 330 switches the display of log details while synchronizing with such continuous time designation. In this embodiment, by operating the pointer 321, the time is continuously specified and the log detail display is switched. However, the present invention is not limited to this, and the log detail display can be performed by inputting a predetermined specific condition. May be switched.
The predetermined specific condition is a condition that is commonly applied to all search results, such as time designation.

このような表示とすることにより、複数の検索条件を横断して、検索結果のイベントログを表示することが可能となるため、検索条件とイベントログの発生頻度、発生傾向、イベントログのログ詳細などを一度に確認することができる。従って管理者は、イベントログの詳細解析を行いやすくなり、利便性が向上する。本実施例では、タイムバー上に配置されたポインタ321をドラッグすることによりログビュー330の時刻を指定することとしたが、例えば、ボタン、スライダ等のユーザインターフェースを設け、それらの操作により時刻を連続的に指定し、時刻の変化に伴い、表示されるイベントログの内容が切り替わることとしても良い。   By displaying in this way, it is possible to display the event log of the search results across multiple search conditions, so the search condition and event log occurrence frequency, occurrence trend, event log log details Etc. can be confirmed at a time. Therefore, the administrator can easily perform detailed analysis of the event log, and convenience is improved. In this embodiment, the time of the log view 330 is specified by dragging the pointer 321 arranged on the time bar. For example, a user interface such as a button or a slider is provided, and the time is set by operating these buttons. It is also possible to specify continuously and to change the contents of the displayed event log as the time changes.

A7.検索ツリー編集処理:
図11、12は、検索ツリーの編集処理を説明するフローチャートである。画面上で検索ツリーを編集することにより、検索条件の追加、削除などを行う。管理者からの指示を受け付けて、検索条件設定部105が行う処理である。本実施例では、イベントソースを新たに追加し、既存の検索条件を、新たに追加したイベントソースの下位にコピーする処理を例示した。 A7. Search tree editing process:
11 and 12 are flowcharts for explaining search tree editing processing. Search conditions can be added and deleted by editing the search tree on the screen. This is a process performed by the search condition setting unit 105 in response to an instruction from the administrator. In the present embodiment, a process of adding a new event source and copying an existing search condition to a lower level of the newly added event source is exemplified.

イベントログ解析支援装置100は、検索ツリーを編集可能な編集モードの選択を受け付け(ステップS60)、管理者から、追加するイベントソースの入力を受け付ける(ステップS61)。図示するように、イベントソースを追加する場合には、入力画面600が表示され、テキストボックス610に、追加するイベントソース名「JobSchedulerLog」を入力し、テキストボックス620に、任意に設定する検索名「スケジュールJOB実行」を入力する。かかる入力を受けて、イベントログ解析支援装置100は、検索ツリーに反映する。画面上の検索ツリーに、直接入力することとしてもよい。   The event log analysis support apparatus 100 accepts selection of an edit mode in which the search tree can be edited (step S60), and accepts an input of an event source to be added from the administrator (step S61). As shown in the figure, when an event source is added, an input screen 600 is displayed, an event source name “JobSchedulerLog” to be added is entered in a text box 610, and a search name “arbitrarily set” is entered in a text box 620. Enter Schedule Job Execution. Upon receiving such input, the event log analysis support apparatus 100 reflects it in the search tree. It is good also as inputting directly into the search tree on a screen.

次に、編集可能となった検索ツリーにおいて、ドラッグアンドドロップにより検索条件をコピーする(ステップS62)。図に、編集モードの検索ツリー630を併せて示した。検索ツリー630には、検索名と、その後ろに"[]"で示すように検索条件が表示される。ステップS61で追加したイベントソースが、ルートノード631として追加されている。   Next, in the search tree that can be edited, the search condition is copied by drag and drop (step S62). The drawing also shows the search tree 630 in the edit mode. In the search tree 630, a search name and a search condition as shown by “[]” are displayed. The event source added in step S61 is added as the root node 631.

検索名「Syslog」の下位ノードに設定されている検索名「Host01」という検索条件を、図に太線矢印で示すように、検索名「スケジュールJOB実行」の下位へドラッグアンドドロップすることによりコピーする。コピーされた検索条件は、ルートノード631の「スケジュールJOB実行」の下位ノード633となる。   Copy the search condition of the search name “Host01” set in the subordinate node of the search name “Syslog” by dragging and dropping it to the subordinate of the search name “execution of schedule job” as shown by a thick arrow in the figure. . The copied search condition becomes a lower node 633 of “execute schedule job” of the root node 631.

かかるドラッグアンドドロップによる画面上での検索条件のコピーを受け付けると、イベントログ解析支援装置100は、検索条件格納部106内の検索条件の編集を行う(ステップS63)。すなわち、コピーされたことで、検索条件は追加されているため、検索条件格納部106に検索条件の追加を反映したり、ノード間の親子関係を反映したりする。図示するように、検索条件格納部106は、検索ID「11」および「12」が追加され、検索ID「11」の親検索IDには、検索ID「11」が設定される。検索ID「12」の検索条件は、「grep"Host01"」と設定される。   When receiving a copy of the search condition on the screen by such drag and drop, the event log analysis support apparatus 100 edits the search condition in the search condition storage unit 106 (step S63). That is, since the search condition is added by copying, the addition of the search condition is reflected in the search condition storage unit 106, or the parent-child relationship between the nodes is reflected. As illustrated, the search condition storage unit 106 is added with search IDs “11” and “12”, and the search ID “11” is set as the parent search ID of the search ID “11”. The search condition of the search ID “12” is set as “grep“ Host01 ””.

イベントログ解析支援装置100は、検索モードを終了する(ステップS64)と、編集された検索条件でイベントログの再検索を行い(ステップS65)、検索結果を、イベントマップ、ログビューに反映する(ステップS66)。   When the event log analysis support device 100 ends the search mode (step S64), the event log is re-searched with the edited search condition (step S65), and the search result is reflected in the event map and log view (step S65). Step S66).

こうすれば、既存の検索条件の移動、コピーなどによる検索条件の追加、変更を容易に行うことができる。また、かかる変更が階層構造に反映されるため、検索条件を簡易に編集することができ、利便性が向上する。本実施例では、画面上でのドラッグアンドドロップにより編集することとしたが、これに限られず、例えば、図3に示す検索条件の一覧表において、下位ノードが参照する親検索IDを変更することで参照する親ノードを編集することとしてもよい   In this way, it is possible to easily add or change search conditions by moving or copying existing search conditions. In addition, since the change is reflected in the hierarchical structure, the search condition can be easily edited, and convenience is improved. In this embodiment, editing is performed by drag and drop on the screen. However, the present invention is not limited to this. For example, in the list of search conditions shown in FIG. 3, the parent search ID referenced by the lower node is changed. It is also possible to edit the parent node referenced in

以上説明した本実施例のイベントログ解析支援装置100によれば、以下のような利点がある。検索条件を階層構造に設定して、下位ノードの検索条件は、上位ノードで絞り込まれたイベントログを検索対象とし、検索条件と検索結果を対応づけて、複数の検索条件の検索結果を一度に確認することができるため、管理者は、イベントログの解析を効率的に行ったり、検索条件とイベントログを確認しながら検索条件の編集を行ったりすることができる。また、検索ツリーの編集を行うことにより、検索条件を画面上から直接、コピーなどの変更を行うことができ、ノード単位で細分化された検索条件を流用することができ、再利用性がある。すなわち、管理者は、イベントログを解析する際に、その都度、複雑な検索条件を作成することなく、適切な検索条件を利用することができる。また、編集された検索条件で再検索されたイベントログを即座に画面に反映することとしているため、イベントログの解析を効率的に行うことができる。   The event log analysis support apparatus 100 according to the present embodiment described above has the following advantages. Search conditions are set in a hierarchical structure, and the search conditions of the lower nodes are the event logs narrowed down by the upper node, and the search results and search results are associated with each other by associating the search conditions with the search results. Since it can be confirmed, the administrator can efficiently analyze the event log or edit the search condition while checking the search condition and the event log. Also, by editing the search tree, the search conditions can be changed directly on the screen, such as copying, and the search conditions that are subdivided in units of nodes can be diverted, and are reusable. . In other words, the administrator can use an appropriate search condition each time an event log is analyzed without creating a complicated search condition. In addition, since the event log re-searched with the edited search condition is immediately reflected on the screen, the event log can be analyzed efficiently.

本実施例では、検索ツリーの各ノードに並べて、各検索条件で検索されたイベントログを、それぞれ表示することとしたが、検索ツリーの任意のノードを選択することにより、検索結果のイベントログを表示することとしてもよい。どのような態様であっても、検索条件と、検索結果のイベントログが対応付けられていればよい。   In this embodiment, the event logs searched according to each search condition are displayed side by side in each node of the search tree. However, by selecting any node in the search tree, the event log of the search result is displayed. It may be displayed. In any aspect, it is sufficient that the search condition and the event log of the search result are associated with each other.

B.変形例
以上、本発明の種々の実施例について説明したが、本発明はこれらの実施例に限定されることなく、その趣旨を逸脱しない範囲内で種々の構成を取ることができることは言うまでもない。例えば、以下のような変形が可能である。 B. Variations Various embodiments of the present invention have been described above, but the present invention is not limited to these embodiments, and it goes without saying that various configurations can be taken without departing from the spirit of the present invention. For example, the following modifications are possible.

B1.変形例1:
例えば、階層構造に設定された検索条件と、かかる検索条件と対応付けたイベントログとの一覧表示に基づき、管理者が、管理対象機器のポリシーの起動契機となるイベントログを抽出するフィルタを作成する方法として構成してもよい。ポリシーとは、管理対象機器に実行させるべき処理の命令であり、例えば、いつ、どのような処理を実行させるか等の情報を登録した命令である。こうすれば、イベントログの発生頻度やイベントログの内容を、検索条件と対応付けて確認することができるため、管理者が、ポリシーの起動契機となるイベントログのフィルタを作成する負担を軽減することができ、利便性が向上する。 B1. Modification 1:
For example, based on a list display of search conditions set in a hierarchical structure and event logs associated with such search conditions, a filter is created for the administrator to extract an event log that triggers the start of the policy of the managed device You may comprise as a method to do. The policy is a command for processing to be executed by the management target device. For example, the policy is a command for registering information such as when and what processing is executed. In this way, the event log occurrence frequency and event log contents can be checked in association with the search conditions, reducing the burden on the administrator to create an event log filter that triggers policy activation. Can improve convenience.

B2.変形例2:
上述した実施例では、ローカルエリアネットワーク上のコンピュータやルータを監視対象機器としたが、本発明を、監視対象機器をストレージシステムとして構成することもできる。本発明による階層構造の検索条件、イベントログの表示などを適用することができる。図13は、変形例におけるイベントログ収集システム1000を例示する説明図である。 B2. Modification 2:
In the above-described embodiments, the computers and routers on the local area network are the monitoring target devices, but the present invention can also be configured with the monitoring target devices as a storage system. The hierarchical search conditions and event log display according to the present invention can be applied. FIG. 13 is an explanatory diagram illustrating an event log collection system 1000 according to a modification.

イベントログ収集システム1000は、大きく分けて、SAN(Strage Area Network)とローカルエリアネットワークLANとから構成されている。SANは、ホスト720と、SANスイッチ730と、ストレージサブシステム740と、テープドライブ750とが、専用線800により接続されており、各機器はそれぞれ、FC(Fiber Channel)インターフェース722,732,742、752により接続されている。ストレージサブシステム740は、RAIDのディスクアレイを構成している。テープドライブ750はバックアップ先である。SANスイッチ730は、SANの各機器を接続するためのスイッチである。   The event log collection system 1000 is roughly composed of a SAN (Storage Area Network) and a local area network LAN. In the SAN, a host 720, a SAN switch 730, a storage subsystem 740, and a tape drive 750 are connected by a dedicated line 800, and each device has an FC (Fiber Channel) interface 722,732,742, 752 is connected. The storage subsystem 740 constitutes a RAID disk array. The tape drive 750 is a backup destination. The SAN switch 730 is a switch for connecting each device of the SAN.

各機器は、FCインターフェース722,732,742、752以外に、LANインターフェースも備えており、これを介して、ローカルエリアネットワークLANにより、イベントログ解析支援装置700と、NAS710と接続されている。NAS710は、LANに直結してファイルシステムを提供するストレージである。   In addition to the FC interfaces 722, 732, 742, and 752, each device also includes a LAN interface, which is connected to the event log analysis support device 700 and the NAS 710 through a local area network LAN. The NAS 710 is a storage that is directly connected to the LAN and provides a file system.

イベントログ解析支援装置700は、SANを構成する機器からの障害などのイベントログを、ローカルエリアネットワークLANを使用して収集する。通常のデータ転送などには、転送効率の良い専用線が使用される。そのため、ネットワークの遅延や輻輳を回避しつつ、イベントログを収集することができ、好適である。   The event log analysis support apparatus 700 collects an event log such as a failure from a device constituting the SAN using the local area network LAN. For normal data transfer and the like, a dedicated line with high transfer efficiency is used. Therefore, the event log can be collected while avoiding network delay and congestion, which is preferable.

B3.変形例3:
また、イベント収集処理は、監視対象機器が一定時間で発生したイベントログを定期的にイベントログ解析支援システムに送信することとしてもよいし、イベント発生ごとに送信することとしてもよい。 B3. Modification 3:
In the event collection process, an event log generated by the monitored device for a certain period of time may be periodically transmitted to the event log analysis support system, or may be transmitted every time an event occurs.

B4.変形例4:
本発明は、上述のイベントログ解析支援装置の他に、イベントログ解析支援方法、イベントログ表示方法として構成することもできる。また、上述のイベントログの解析支援、イベントログの表示制御を実現するコンピュータプログラム、および、そのプログラムを記録した記録媒体、そのプログラムを含み、搬送波内に具現化されたデータ信号など種々の態様で実現することが可能である。各態様において、先に示した種々の付加的要素を適用することが可能である。 B4. Modification 4:
The present invention can be configured as an event log analysis support method and an event log display method in addition to the event log analysis support device described above. In addition, the computer program for realizing the above-described event log analysis support and event log display control, a recording medium storing the program, a data signal including the program and embodied in a carrier wave, and the like can be used in various modes. It is possible to realize. In each embodiment, the various additional elements shown above can be applied.

本発明をコンピュータプログラムまたはそのプログラムを記録した記録媒体等として構成する場合には、管理装置を制御するプログラム全体として構成するものとしてもよいし、本発明の機能を果たす部分のみを構成するものとしてもよい。また、記録媒体としては、フレキシブルディスクやCD−ROM、DVD−ROM、パンチカード、バーコードなどの符号が印刷された印刷物、コンピュータの内部記憶装置(ROMやRAM等のメモリ)および外部記憶装置などコンピュータが読み取り可能な種々の記録媒体を利用できる。   When the present invention is configured as a computer program or a recording medium recording the program, the entire program for controlling the management apparatus may be configured, or only a part that performs the function of the present invention is configured. Also good. The recording medium includes a flexible disk, a CD-ROM, a DVD-ROM, a punched card, a printed matter on which a code such as a bar code is printed, an internal storage device of a computer (memory such as ROM or RAM), an external storage device, and the like. Various computer-readable recording media can be used.

本実施例におけるシステム構成を例示する説明図である。It is explanatory drawing which illustrates the system configuration | structure in a present Example. イベントログ解析支援装置100の機能ブロックを例示する説明図である。4 is an explanatory diagram illustrating functional blocks of an event log analysis support apparatus 100. FIG. 本実施例における検索条件を例示する説明図である。It is explanatory drawing which illustrates the search conditions in a present Example. 本実施例における検索結果表示処理を説明するフローチャートである。It is a flowchart explaining the search result display process in a present Example. 本実施例におけるイベントログ収集処理を説明するフローチャートである。It is a flowchart explaining the event log collection process in a present Example. 本実施例における検索ツリーを作成する処理を説明するフローチャートである。It is a flowchart explaining the process which produces the search tree in a present Example. 本実施例における検索ツリーを作成する処理を説明するフローチャートである。It is a flowchart explaining the process which produces the search tree in a present Example. 本実施例におけるイベントマップを表示する処理を説明するフローチャートである。It is a flowchart explaining the process which displays the event map in a present Example. 本実施例におけるログビューを表示する処理を説明するフローチャートである。It is a flowchart explaining the process which displays the log view in a present Example. 本実施例における検索結果表示画面を例示する説明図である。It is explanatory drawing which illustrates the search result display screen in a present Example. 本実施例における検索ツリー編集処理を説明するフローチャートである。It is a flowchart explaining the search tree edit process in a present Example. 本実施例における検索ツリー編集処理を説明するフローチャートである。It is a flowchart explaining the search tree edit process in a present Example. 変形例におけるイベントログ収集システム1000を例示する説明図である。It is explanatory drawing which illustrates the event log collection system 1000 in a modification.

符号の説明Explanation of symbols

10...イベントログ収集システム
100...イベントログ解析支援装置
101...主制御部
102...通信部
103...イベント収集部
104...イベント格納部
105...検索条件設定部
106...検索条件格納部
107...階層構造設定部
108...検索部
109...表示制御部
110...入力部
200,210,220...ホスト
300...イベントログ表示画面
310...検索ツリー
320...イベントマップ
321...ポインタ
330...ログビュー DESCRIPTION OF SYMBOLS 10 ... Event log collection system 100 ... Event log analysis support apparatus 101 ... Main control part 102 ... Communication part 103 ... Event collection part 104 ... Event storage part 105 ... Search condition Setting unit 106 ... Search condition storage unit 107 ... Hierarchical structure setting unit 108 ... Search unit 109 ... Display control unit 110 ... Input unit 200, 210, 220 ... Host 300 ... Event log display screen 310 ... Search tree 320 ... Event map 321 ... Pointer 330 ... Log view

Claims (14)

イベントログ解析支援装置であって、
監視対象機器からイベントログを収集するイベントログ収集部と、
前記収集したイベントログを格納するイベントログ格納部と、
前記収集したイベントログから、所定のイベントログを検索する検索条件を上位の検索条件とし、該上位の検索条件に該当するイベントログに対して検索を行うために使用する検索条件を、下位の検索条件として、前記検索条件の入力、及び、検索条件同士の関係の入力を受け付ける検索条件受付部と、
前記入力された関係に基づき、前記検索条件を階層構造に設定する検索条件設定部と、
前記イベントログおよび前記検索条件に基づき、該イベントログの検索を実行する検索部とを備えるイベントログ解析支援装置。 An event log analysis support device,
An event log collection unit that collects event logs from monitored devices;
An event log storage unit for storing the collected event log;
A search condition for searching a predetermined event log from the collected event log is set as a high-order search condition, and a search condition used for searching the event log corresponding to the high-order search condition is set as a low-order search. As a condition, a search condition receiving unit that receives input of the search condition and an input of a relationship between the search conditions;
A search condition setting unit that sets the search condition in a hierarchical structure based on the input relationship;
An event log analysis support apparatus comprising: a search unit that executes a search for the event log based on the event log and the search condition. 請求項1記載のイベントログ解析支援装置であって、
前記上位の検索条件とは、前記イベントログの種別であり、
前記下位の検索条件とは、前記イベントログに含まれる文字列であるイベントログ解析支援装置。 The event log analysis support device according to claim 1,
The upper search condition is a type of the event log,
The lower-order search condition is an event log analysis support device that is a character string included in the event log. 請求項1記載のイベントログ解析支援装置であって、
前記階層構造に従って、前記検索条件を表示する表示制御部を備えるイベントログ解析支援装置。 The event log analysis support device according to claim 1,
An event log analysis support apparatus comprising a display control unit for displaying the search condition according to the hierarchical structure. 請求項3記載のイベントログ解析支援装置であって、
前記表示制御部は、前記検索条件のうち、上位の検索条件を親ノードとし、該上位の検索条件の下位の検索条件を、前記親ノードにおける子ノードとする木構造として表示するイベントログ解析支援装置。 The event log analysis support device according to claim 3,
The display control unit displays an event log analysis support as a tree structure in which the upper search condition among the search conditions is a parent node, and the lower search condition of the upper search condition is a child node in the parent node apparatus. 請求項1〜請求項4いずれか記載のイベントログ解析支援装置であって、
前記いずれかの検索条件について、上位下位の関係を変更する指定を受け付ける指定受付部と、
前記指定に基づき、前記階層構造を編集する編集部とを備えるイベントログ解析支援装置。 The event log analysis support device according to any one of claims 1 to 4,
For any one of the search conditions, a designation accepting unit that accepts designation for changing the upper / lower relationship,
An event log analysis support apparatus comprising: an editing unit that edits the hierarchical structure based on the designation. 請求項2〜請求項5いずれか記載のイベントログ解析支援装置であって、
前記表示制御部は、更に、各検索条件により検索されたイベントログを、前記各検索条件と対応付けた所定の形態で表示するイベントログ解析支援装置。 The event log analysis support device according to any one of claims 2 to 5,
The display control unit is an event log analysis support device that further displays an event log searched by each search condition in a predetermined form associated with each search condition. 請求項6記載のイベントログ解析支援装置であって、
前記イベントログの属性として、該イベントログが表すイベントの発生日時が含まれており、
前記所定の形態とは、前記イベントログの発生日時に対応する箇所に、時系列的に所定の表示を行う形態であるイベントログ解析支援装置。 The event log analysis support device according to claim 6,
As an attribute of the event log, an occurrence date and time of an event represented by the event log is included,
The predetermined form is an event log analysis support apparatus which is a form in which a predetermined display is performed in time series at a location corresponding to the date and time of occurrence of the event log. 請求項6または請求項7記載のイベントログ解析支援装置であって、
前記検索されたイベントログから、各検索条件ごとの所定のイベントログを抽出する抽出条件を入力する条件入力部を備え、
前記表示制御部は、前記抽出されたイベントログの内容を表示するイベントログ解析支援装置。 The event log analysis support device according to claim 6 or 7,
A condition input unit for inputting an extraction condition for extracting a predetermined event log for each search condition from the searched event log;
The display control unit is an event log analysis support device that displays contents of the extracted event log. 監視対象機器から収集したイベントログを表示するイベントログ表示装置であって、
前記監視対象機器から収集したイベントログから、所定のイベントログを検索するための複数の検索条件を入力する入力部と、
前記各検索条件ごとに検索されたイベントログのうち、表示すべきイベントログを特定する所定の特定条件を入力する特定条件入力部と、
前記特定されたイベントログの内容を、前記複数の検索条件と対応付けて、一覧表示する表示部とを備えるイベントログ表示装置。 An event log display device that displays event logs collected from monitored devices,
An input unit for inputting a plurality of search conditions for searching a predetermined event log from the event log collected from the monitored device,
Among the event logs searched for each search condition, a specific condition input unit for inputting a predetermined specific condition for specifying an event log to be displayed;
An event log display device comprising: a display unit that displays a list of the contents of the identified event log in association with the plurality of search conditions. 監視対象機器から収集したイベントログから所定のイベントログの検索を実行するイベントログ検索方法であって、
(a)監視対象機器からイベントログを収集する工程と、
(b)前記収集したイベントログを格納する工程と、
(c)前記収集したイベントログから、所定のイベントログを検索する検索条件を上位の検索条件とし、該上位の検索条件に該当するイベントログに対して検索を行うために使用する検索条件を、下位の検索条件として、前記検索条件の入力、及び、検索条件同士の関係の入力を受け付ける工程と、
(d)前記入力された関係に基づき、前記検索条件を階層構造に設定する工程と、
(e)前記イベントログおよび前記検索条件に基づき、該イベントログの検索を実行する工程とを備えるイベントログ検索方法。 An event log search method for searching a predetermined event log from event logs collected from monitored devices,
(A) collecting event logs from monitored devices;
(B) storing the collected event log;
(C) A search condition for searching for a predetermined event log from the collected event log is set as a high-order search condition, and a search condition used for searching for an event log corresponding to the high-order search condition is: Receiving the input of the search condition and the input of the relationship between the search conditions as subordinate search conditions;
(D) setting the search condition in a hierarchical structure based on the input relationship;
(E) An event log search method comprising a step of executing search of the event log based on the event log and the search condition. 監視対象機器から収集したイベントログを表示するイベントログ表示方法であって、
(a)前記監視対象機器から収集したイベントログから、所定のイベントログを検索するための複数の検索条件を入力する工程と、
(b)前記各検索条件ごとに検索されたイベントログのうち、表示すべきイベントログを特定する所定の特定条件を入力する工程と、
(c)前記特定されたイベントログの内容を、前記複数の検索条件と対応付けて、一覧表示する工程とを備えるイベントログ表示方法。 An event log display method for displaying event logs collected from monitored devices,
(A) inputting a plurality of search conditions for searching for a predetermined event log from the event log collected from the monitored device;
(B) inputting a predetermined specific condition for specifying an event log to be displayed among event logs searched for each of the search conditions;
(C) An event log display method comprising: displaying a list of the contents of the identified event log in association with the plurality of search conditions. コンピュータに、監視対象機器のイベントログの検索を実行させるコンピュータプログラムであって、
監視対象機器からイベントログを収集する機能と、
前記収集したイベントログを格納する機能と、
前記収集したイベントログから、所定のイベントログを検索する検索条件を上位の検索条件とし、該上位の検索条件に該当するイベントログに対して検索を行うために使用する検索条件を、下位の検索条件として、前記検索条件の入力、及び、検索条件同士の関係の入力を受け付ける機能と、
前記入力された関係に基づき、前記検索条件を階層構造に設定する機能と、
前記イベントログおよび前記検索条件に基づき、該イベントログの検索を実行する機能とをコンピュータに実現させるためのコンピュータプログラム。 A computer program that causes a computer to search for event logs of monitored devices,
A function to collect event logs from monitored devices,
A function for storing the collected event log;
A search condition for searching a predetermined event log from the collected event log is set as a high-order search condition, and a search condition used for searching the event log corresponding to the high-order search condition is set as a low-order search. As a condition, a function of accepting an input of the search condition and an input of a relationship between the search conditions;
A function of setting the search condition in a hierarchical structure based on the input relationship;
A computer program for causing a computer to realize a function of executing search of the event log based on the event log and the search condition. 監視対象機器から収集したイベントログを、コンピュータに表示させるためのコンピュータプログラムであって、
前記監視対象機器から収集したイベントログから、所定のイベントログを検索するための複数の検索条件を入力する機能と、
前記各検索条件ごとに検索されたイベントログのうち、表示すべきイベントログを特定する所定の特定条件を入力する機能と、
前記特定されたイベントログの内容を、前記複数の検索条件と対応付けて一覧表示する機能とをコンピュータに実現させるためのコンピュータプログラム。 A computer program for displaying an event log collected from a monitored device on a computer,
A function of inputting a plurality of search conditions for searching a predetermined event log from the event log collected from the monitored device;
A function of inputting a predetermined specific condition for specifying an event log to be displayed among event logs searched for each search condition;
A computer program for causing a computer to realize a function of displaying a list of the contents of the specified event log in association with the plurality of search conditions. 請求項12、または、請求項13記載のコンピュータプログラムを、コンピュータ読み取り可能に記録した記録媒体。   A recording medium in which the computer program according to claim 12 or 13 is recorded so as to be readable by a computer.
JP2003380030A 2003-11-10 2003-11-10 Event log analysis support apparatus and event log display method Pending JP2005141663A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003380030A JP2005141663A (en) 2003-11-10 2003-11-10 Event log analysis support apparatus and event log display method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003380030A JP2005141663A (en) 2003-11-10 2003-11-10 Event log analysis support apparatus and event log display method

Publications (1)

Publication Number Publication Date
JP2005141663A true JP2005141663A (en) 2005-06-02

Family

ID=34689895

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003380030A Pending JP2005141663A (en) 2003-11-10 2003-11-10 Event log analysis support apparatus and event log display method

Country Status (1)

Country Link
JP (1) JP2005141663A (en)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007079770A (en) * 2005-09-13 2007-03-29 Inpatekku Kk Patent map display device
JP2007272802A (en) * 2006-03-31 2007-10-18 Fujitsu Ltd Screen recording program
JP2009265965A (en) * 2008-04-25 2009-11-12 Intec Inc Method of displaying event data extracted from plurality of different log information
WO2010010621A1 (en) * 2008-07-24 2010-01-28 富士通株式会社 Troubleshooting support program, troubleshooting support method, and troubleshooting support device
JP2010186478A (en) * 2005-10-25 2010-08-26 Sap Ag System and method for visualizing auto-id data
JP2012221502A (en) * 2011-04-08 2012-11-12 Computer Associates Think Inc Visualization of jvm and cross-jvm call stacks
US8429463B2 (en) 2008-09-30 2013-04-23 Fujitsu Limited Log management method and apparatus, information processing apparatus with log management apparatus and storage medium
JP2013191579A (en) * 2013-05-27 2013-09-26 Nissan Motor Co Ltd Cathode material for nonaqueous electrolyte lithium ion battery, battery using the same, and manufacturing method of cathode material for nonaqueous electrolyte lithium ion battery
US8621436B2 (en) 2010-03-02 2013-12-31 Fuji Xerox Co., Ltd. Computer readable medium, verification support method and verification support apparatus
JP2014153722A (en) * 2013-02-04 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> Log visualization operation screen control system and method
JP2014153721A (en) * 2013-02-04 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> Log visualization device and method and program
CN105074669A (en) * 2013-03-12 2015-11-18 微软技术许可有限责任公司 Method and system for analyzing a trace timeline of computer system activity
KR101609915B1 (en) * 2014-02-20 2016-04-20 부산대학교 산학협력단 Method and apparatus for multi dimension time gap analysis
JP2017506790A (en) * 2014-02-18 2017-03-09 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. Effective processing of device-related log files
CN109885537A (en) * 2019-02-22 2019-06-14 成都信息工程大学 A kind of journal displaying method, system and computer readable storage medium
US11232013B2 (en) 2015-11-13 2022-01-25 Nec Corporation Log analysis system, log analysis method, and log analysis program for a user interface

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007079770A (en) * 2005-09-13 2007-03-29 Inpatekku Kk Patent map display device
JP2010186478A (en) * 2005-10-25 2010-08-26 Sap Ag System and method for visualizing auto-id data
JP2007272802A (en) * 2006-03-31 2007-10-18 Fujitsu Ltd Screen recording program
JP2009265965A (en) * 2008-04-25 2009-11-12 Intec Inc Method of displaying event data extracted from plurality of different log information
WO2010010621A1 (en) * 2008-07-24 2010-01-28 富士通株式会社 Troubleshooting support program, troubleshooting support method, and troubleshooting support device
JP5267564B2 (en) * 2008-07-24 2013-08-21 富士通株式会社 Output program, output method, output device, troubleshooting support program, troubleshooting support method, and troubleshooting support device
US8429463B2 (en) 2008-09-30 2013-04-23 Fujitsu Limited Log management method and apparatus, information processing apparatus with log management apparatus and storage medium
US8621436B2 (en) 2010-03-02 2013-12-31 Fuji Xerox Co., Ltd. Computer readable medium, verification support method and verification support apparatus
JP2012221502A (en) * 2011-04-08 2012-11-12 Computer Associates Think Inc Visualization of jvm and cross-jvm call stacks
JP2014153721A (en) * 2013-02-04 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> Log visualization device and method and program
JP2014153722A (en) * 2013-02-04 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> Log visualization operation screen control system and method
CN105074669A (en) * 2013-03-12 2015-11-18 微软技术许可有限责任公司 Method and system for analyzing a trace timeline of computer system activity
JP2016514326A (en) * 2013-03-12 2016-05-19 マイクロソフト テクノロジー ライセンシング,エルエルシー Method and system for analyzing a trace timeline of computer system activity
JP2013191579A (en) * 2013-05-27 2013-09-26 Nissan Motor Co Ltd Cathode material for nonaqueous electrolyte lithium ion battery, battery using the same, and manufacturing method of cathode material for nonaqueous electrolyte lithium ion battery
JP2017506790A (en) * 2014-02-18 2017-03-09 コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. Effective processing of device-related log files
KR101609915B1 (en) * 2014-02-20 2016-04-20 부산대학교 산학협력단 Method and apparatus for multi dimension time gap analysis
US11232013B2 (en) 2015-11-13 2022-01-25 Nec Corporation Log analysis system, log analysis method, and log analysis program for a user interface
CN109885537A (en) * 2019-02-22 2019-06-14 成都信息工程大学 A kind of journal displaying method, system and computer readable storage medium
CN109885537B (en) * 2019-02-22 2024-02-20 深圳市兴海物联科技有限公司 Log display method, system and computer readable storage medium

Similar Documents

Publication Publication Date Title
JP2005141663A (en) Event log analysis support apparatus and event log display method
US9225610B2 (en) User interface providing information system topology presentation
JP4345313B2 (en) Operation management method of storage system based on policy
JP6127210B2 (en) Management system for managing information systems
JP6425820B2 (en) Management system that manages information system
US7437686B1 (en) Systems, methods and computer program products for graphical user interface presentation to implement filtering of a large unbounded hierarchy to avoid repetitive navigation
JP2006276926A (en) Relocation method of data
JP5630190B2 (en) Update management apparatus, update management method, and update management program
JP3967993B2 (en) Storage used capacity display method
JP5532053B2 (en) Operation management apparatus and operation management method
JP2009187136A (en) Electronic file management apparatus and electronic file management method
JP2006140724A (en) Constitutional information managing method, apparatus, and system for network apparatus
US8516097B2 (en) Server managing apparatus and server managing method
JPWO2020008991A1 (en) Verification automation equipment, verification automation methods, and programs
CN111880708A (en) Interaction method and storage medium for network attack event graph
JP6057750B2 (en) Log visualization operation screen control system and method
JP2004310468A (en) Monitoring method for network printer, program for executing the method on computer, network printer monitoring device, and network printer monitoring system
JP6181899B2 (en) Management system for managing information systems
JP4183602B2 (en) Fault monitoring method and program
JP2007200047A (en) Access log-displaying system and method
JP5063465B2 (en) Document management apparatus, document management method, information processing program, and recording medium
WO2016120989A1 (en) Management computer and rule test method
JP6842502B2 (en) Fault analysis support system, fault analysis support method, and computer program
JP2007133575A (en) Access analysis system
JP7302146B2 (en) Information processing device, information processing system and program