JP2010073123A - ログ管理装置、システム、方法、及びプログラム - Google Patents

ログ管理装置、システム、方法、及びプログラム Download PDF

Info

Publication number
JP2010073123A
JP2010073123A JP2008242706A JP2008242706A JP2010073123A JP 2010073123 A JP2010073123 A JP 2010073123A JP 2008242706 A JP2008242706 A JP 2008242706A JP 2008242706 A JP2008242706 A JP 2008242706A JP 2010073123 A JP2010073123 A JP 2010073123A
Authority
JP
Japan
Prior art keywords
log
information
time
time information
record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008242706A
Other languages
English (en)
Other versions
JP4725622B2 (ja
Inventor
Yu Sakamoto
祐 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008242706A priority Critical patent/JP4725622B2/ja
Priority to US12/553,708 priority patent/US8126853B2/en
Publication of JP2010073123A publication Critical patent/JP2010073123A/ja
Application granted granted Critical
Publication of JP4725622B2 publication Critical patent/JP4725622B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】 ログの時刻情報を正確に把握できるログ管理装置、システム、方法、及びプログラムを提供する。
【解決手段】 本発明のログ管理装置は、時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信する収集手段と、収集対象毎に設定されたログフォーマット情報を管理する管理手段と、ログフォーマット情報を参照してログを変換し、時刻情報を抽出する変換手段とを含む。
【選択図】 図1

Description

本発明はログ管理装置、システム、方法、及びプログラムに関し、特に、時刻情報を管理するログ管理装置、システム、方法、及びプログラムに関する。
複数の国やタイムゾーンに分散されたコンピュータからなるシステムにおいて障害発生時のログの収集と分析を容易にするログ収集装置が特許文献1に開示されている。しかしながら、このログ収集装置は、マシンごとに設定されたタイムゾーン、文字コードで時刻補正を行った後にUnicodeへの変換を行っている。そのため、ログの時刻情報部分のバイト列が文字コードによって異なるような場合、ログの時刻情報を正確に読み取れないことがあるという問題があった。また、ログに時刻情報がなかったり、時刻情報があったとしても一部しかない場合には、それを補完することができないため、他のログと同等に管理できないという問題もあった。すなわち、文献1記載の装置には、時刻情報に基づいたログ管理が正しく行えないという問題があった。
このような問題点を解決する技術の一例が、取引情報の集約方法に関連するシステムとして特許文献2に開示されている。このシステムでは、先ず、ユーザシステムが取引情報の文字コード変換を行い、次に、集約システムが取引日時を自国の時間帯に変換する。
又、特許文献3は、ログ情報にジョブ生成時刻が含まれていない場合に、ログ受信時刻をジョブ生成時刻として設定するログ情報管理装置を開示している。
又、特許文献4は、日時分秒しかない日付時刻情報に最適と思われる年月を付加する日付処理装置を開示している。
特開2005−284520号公報 特開2004−334664号公報(段落0079,0122) 特開2005−327053号公報(段落0037) 特開平5−073168号公報(段落0012)
しかしながら、上述した特許文献2に開示されたシステムにおいても、ログの時刻情報を正確に読み取れないことがあるという問題があった。その理由は、ログの収集対象ごとに時刻情報の位置、文字コード、タイムゾーン等が異なる場合があるためである。
また、上述した特許文献3および4に開示された装置においても、文献1記載の装置と同様に、ログに時刻情報がなかったり、時刻情報の一部がない場合に、それを正確に補完することができないという問題があった。その理由は、例えば、長い期間のログを受信した場合に、どのログに対しても同じログ受信時刻を基に時刻情報を補完してしまうためである。
その結果、上述した特許文献2〜4に開示されたシステムや装置にも、時刻情報に基づいたログ管理を正しく行えないという問題があった。
本発明は、ログの時刻情報を正確に把握できるログ管理装置、システム、方法、及びプログラムを提供することにある。
本発明のログ管理装置は、時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信する収集手段と、収集対象毎に設定されたログフォーマット情報を管理する管理手段と、ログフォーマット情報を参照してログを変換し、時刻情報を抽出する変換手段とを含む。
本発明のログ管理システムは、時刻情報を含むログを取得し、ログ管理装置に転送する転送手段を含む少なくとも一つのログの収集対象と、収集対象から該ログを受信する収集手段と、収集対象毎に設定されたログフォーマット情報を管理する管理手段と、ログフォーマット情報を参照してログを変換し、時刻情報を抽出する変換手段とを含むログ管理装置とを含む。
本発明のログ管理方法は、時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信し、収集対象毎に設定されたログフォーマット情報を管理し、ログフォーマット情報を参照してログを変換し、時刻情報を抽出する。
本発明のログ管理プログラムは、コンピュータに、時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信する収集手段、収集対象毎に設定されたログフォーマット情報を管理する管理手段、ログフォーマット情報を参照してログを変換し、時刻情報を抽出する変換手段として機能させる。
本発明は、ログの時刻情報を正確に把握できるという効果を奏する。
次に、本発明の概要を説明する。
図1は、本発明のログ管理システム002の構成を示す図である。図において、ログ管理システム002はログ管理装置200と、収集対象206とを含む。
ログ管理装置200は、収集手段202と、変換手段204と、管理手段212とを含む。
収集手段202は、時刻情報を含むログが収集される少なくとも一つの収集対象206から該ログを受信する。
管理手段212は、収集対象206毎に設定されたログフォーマットを管理する。
変換手段204は、ログフォーマット情報を参照してログを変換し、時刻情報を抽出する。
収集対象206は、転送手段209を含む。
転送手段209は、時刻情報を含むログを取得し、ログ管理装置200に転送する。
次に、本発明のログ管理システム001の第1の実施の形態について図面を参照して詳細に説明する。
図2は、ログ管理システム001の構成を示す図である。
ログ管理システム001は、ログ管理装置100と、ネットワーク105と、ノード(1)106と、ノード(2)107と、ノード(3)108とを含む。
ログ管理装置100は、ログ・ログファイル保管モジュール101と、ログファイル収集モジュール102と、ログ収集モジュール103と、ログ参照モジュール104と、ログフォーマット管理モジュール112とを含む。ログ管理装置100は、プログラム制御に基づき動作する。
ログ・ログファイル保管モジュール101は、ログファイル収集モジュール102およびログ収集モジュール103で収集したログ・ログファイルを保管する機能を有する。図3は、ログ・ログファイル保管モジュール101による管理イメージを示す図である。ログ・ログファイル保管モジュール101は、データの格納先、ノード、ログ・ログファイルのログ収集対象ノード上でのファイルパス、サイズ、ログ・ログファイルのログ収集対象ノード上でのタイムスタンプ(更新時刻)などのログのプロパティを管理する機能を有する。
ログファイル収集モジュール102とログ収集モジュール103は、収集手段202の一例である。ログファイル収集モジュール102は、ログ転送モジュール(1)109および(2)110の少なくとも一つにより転送される時刻情報を含むログファイルを収集する機能、収集したログファイル、ログファイルのログ収集対象であるノード上でのファイルパス、ログファイルのタイムスタンプなどのプロパティをログ・ログファイル保管モジュール101に転送する機能を有する。ログファイル収集モジュール102の詳細なロジックは図6に示される。
ログ収集モジュール103は、例えば、Syslog(ログを取り、ログをリアルタイムに送受信する機能を持つプログラム)プロトコルを使用してリアルタイムにログを転送するログ転送モジュール(3)111からのログを収集し、取得したログの文字コードの変換、時刻情報の補完/補正を行い、ログ・ログファイル保管モジュール101に渡す機能を有する。ログ収集モジュール103の詳細なロジックは図6に示される。ログファイル収集モジュール102およびログ収集モジュール103は、図1に示した収集手202段の一例である。
ログ参照モジュール104は、ログ参照要求に応答して、ユーザにより設定されたログフォーマット(後述)を参照して、ログを変換し、時刻情報を抽出する変換手段204の一例である。具体的には、モジュール104は、ユーザが要求するログ・ログファイルをログ・ログファイル保管モジュール101から取得し、ユーザが設定した文字コード、タイムゾーン、時刻の形式で表示する機能を有する。ログ参照モジュール104の詳細なロジックは図8,9,10および11を参照して後述する。
図4は、ログフォーマット管理モジュール112の管理イメージを示す図である。ログフォーマット管理モジュール112は、収集対象を特定する識別情報(例、ノード)、収集対象内のログの格納場所を示す情報(例、ファイルパス)、ログの種別を示す情報ごとの文字コード、タイムゾーンおよび時刻情報の位置等を保持するためのログフォーマットを設定/管理する。ログフォーマット管理モジュール112は管理手段212の一例である。
ノード(1)106、ノード(2)107およびノード(3)108はログ管理装置100のログ収集対象であり、図1に示した収集対象206の一例である。ノード(1)106、ノード(2)107及びノード(3)108はそれぞれログ転送モジュール(1)109、ログ転送モジュール(2)110およびログ転送モジュール(3)111を含み、それらを用いてログ・ログファイルをログ管理装置100に転送する。
ログ転送モジュール(1)109およびログ転送モジュール(2)110は、転送手段209の一例である。収集対象のログファイルを取得し、ログファイルとログファイルのログ収集対象ノード上でのファイルパスおよびログファイルのログ収集対象ノード上でのタイムスタンプなどのファイルのプロパティとをログファイル収集モジュール102に転送する機能を含む。
ログ転送モジュール(3)111は、転送手段209の一例である。例えば、Syslogを使用してリアルタイムにログを転送する機能を有し、ログ収集モジュール103にログを転送する。
次に、本実施の形態の動作について図面を参照して説明する。
図6は、ログファイル収集モジュール102の動作を示すフローチャートである。まず、ログファイル収集モジュール102はログ収集対象であるノード(1)106のログ転送モジュール(1)109からログファイルとログファイルのプロパティとを受信する(S600)。ここでは、ログファイルのプロパティとして、ノード(1)106を指定する情報「node1」、収集したログのノード(1)106上での格納場所を指定するファイルパス「/var/adm/syslog/syslog.log」、当該ログのファイルサイズ「10240」およびタイムスタンプ(更新時刻)「2008/01/01 12:00:00」(Greenwich Mean Time, GMT)を受信したものとする。
ログファイル収集モジュール102は、ログ・ログファイル保管モジュール101に受信したログファイルとログファイルのプロパティとを保管する(S601)。
次に、ログ・ログファイル保管モジュール101の動作を説明する。
図7は、ログ・ログファイル保管モジュール101の動作を示すフローチャートである。ログ・ログファイル保管モジュール101は、ログファイル収集モジュール102からログファイルとプロパティとを受信する(S700)。そして、ログ・ログファイル保管モジュール101は、受信したログファイルのファイルデータとプロパティとを関連付けで保管する(S701)。ここでは、これらは、ファイルパス「/var/opt/logmg/node1/file0000001」で示された格納場所に保管されたものとする。
次に、ログ参照モジュール104にログ参照要求があった場合の動作について説明する。
図8は、ログ参照モジュール104の動作を説明するフローチャートである。ログ参照モジュール104にログ参照要求があると、ログ参照モジュール104は参照するログファイルのファイルデータとプロパティとをログ・ログファイル保管モジュール101から取得する(S800)。ここでは、先に収集したノード(1)106のログ(ファイルパス「/var/adm/syslog/syslog.log」で指定されるログ)をタイムゾーン「Japan Standard Time, JST(GMT+9:00)」で参照する要求があったものとし、ファイルパス「/var/opt/logmg/node1/file0000001」で指定されるデータの格納先からログデータが渡される。
次に、ログ参照モジュール104はログフォーマット管理モジュール112からノード「node1」、ファイルパス「/var/adm/syslog/syslog.log」に対応するログフォーマットを取得する(S801)。
図5は、ログフォーマットの例を示す図である。ログ参照モジュール104はここではSyslogFileFormat01を取得したものとする。SyslogFileFormat01は文字コード「EUC-JP」、ログのタイムゾーン「GMT」、ログレコードの区切り「^$」、ログ正規化する正規表現「(([a-zA-Z]{3}[\s]{1,2}[0-9]{1,2}\s[0-9]{1,2}:[0-9]{1,2}:[0-9]{1,2}))\s([^\s]*)\s([^\s][^:]*:){0,1}\s{0,1}(.*)」、時刻情報の位置「1」、時刻情報の形式「MMM dd HH:mm:ss」、変換後の時刻情報の形式「yyyy/mm/dd HH:mm:ss」を特定しているものとする。
次に、ログ参照モジュール104は、ログフォーマットに設定されている文字コードに基づきログファイルを読み込む(S802)。ここでは、先に収集したノード(1)106のログ(ファイルパス「/var/adm/syslog/syslog.log」で指定されるログ)を文字コード「EUC-JP」に基づき読み込む。文字コードを指定して読み込むことによって、プログラムが解釈可能なデータとして扱うことができる(ここではUnicodeに変換される)。
次に、ログ参照モジュール104は、読み込んだログファイルをログレコードごとにログの正規化を行い、ログの時刻情報を取得する(S803)。ログレコードの種類が複数ある場合には、ログフォーマットにそれぞれのログレコードに対応した正規表現を複数設定しておき、ログレコードを正規化する。
なお、ここでは、ログ参照モジュール104は、時刻情報の位置の情報を基に、ログファイルから時刻情報を取得する。即ち、ログレコード「Jan 1 12:00:00 node1 sshd(pam_unix)[30339]: session opened for user root by (uid=0)」からログの時刻情報として「Jan 1 12:00:00」(GMT)を取得することができる。
次に、ログ参照モジュール104は、ログの時刻情報の少なくとも一部が不足しているか判定する(S804)。ここでは、上述したログの時刻情報「Jan 1 12:00:00」(GMT)に年の情報が不足していることがわかる(S804,No)。また、ログレコードによって時刻情報のタイムゾーンが異なるような場合は、それぞれのログレコードにマッチする正規表現とタイムゾーンとの組を予めログフォーマットに設定しておき、それぞれのログレコードについてタイムゾーンの変換を行う(ここでは、GMTに変換するものとする)。
ログ参照モジュール104は、ログファイルのタイムスタンプ(更新時刻)からログの時刻情報を補完する(S805)。ここでは、年の情報が補完される。なお、タイムスタンプは補完情報の一例であり、ログファイルの受信時刻等を補完情報に用いてもよい。
図9は、S805の詳細を示すフローチャートである。まず、ログ参照モジュール104は、タイムスタンプを基に、最後のログレコードの時刻情報のうちの年情報の部分を補完する(S901)。
図10は、S901の詳細を示すフローチャートである。例えば、ログファイルのタイムスタンプからの年情報の補完は、ログファイルのタイムスタンプが年の前半である場合は(S1001,Yes)、そのタイムスタンプの年情報もしくは、そのタイムスタンプの年情報−1をログファイルの最後のログレコードの時刻情報に付加し(S1002)、付加した時刻情報がよりログファイルのタイムスタンプに近くなる方の年情報を採用する(S1003)。
ログファイルのタイムスタンプが年の後半である場合は(S1001,No)、そのタイムスタンプの年情報もしくは、そのタイムスタンプの年情報+1をログファイルの最後のログレコードの時刻情報に付加し(S1004)、付加した時刻情報がよりログファイルのタイムスタンプに近くなる方の年情報を採用する(S1005)。
次に、ログ参照モジュール104は、時刻情報が補完されたログレコードの時刻情報を基に、その前のログレコードの時刻情報のうちの年情報の部分を補完する(S902)。
図11は、S902の詳細を示すフローチャートである。例えば、ログファイルの最後のレコードから遡りながら、年情報を付加する。ここで、前後のログレコードの時刻情報(後のログレコードの時刻情報とは、ログファイルの最後のログレコードに近い方(既に年情報を付加している方)のログレコードの時刻情報である。前のログレコード時刻情報とは、ログファイルの最後のログレコードから遠い方(年情報を付加する方)のログレコードの時刻情報である。)の差の絶対値が半年以下の場合(例えば、「Jan 1 01:00:00」から「Jan 1 23:00:00」になるような場合や「Jan 2 02:00:00」から「Jan 1 23:00:00」)は(S1101)、年をまたいでいないとみなして後のログレコードの時刻情報の年情報と同じ年情報を前のログレコードの時刻情報に付加する(S1102)。
ログ参照モジュール104は、前後の時刻情報の差の絶対値が半年より大きく(S1101,No)、(「後のログレコードの時刻情報」 −「 前のログレコードの時刻情報」)が正の場合(例えば、「Dec 31 23:59:58」から「Jan 1 1:00:00」)は(S1103,Yes)、年をまたいでいるとみなして「後のログレコードの時刻情報の年情報」+1を年情報として前のログレコードの時刻情報に付加する(S1104 )。
前後のログレコードの時刻情報の差の絶対値が半年より大きく(S1101,No)、(「後のログレコードの時刻情報」 −「 前のログレコードの時刻情報」)が負の場合(例えば、「Jan 1 2:00:00」から「Dec 31 23:00:00」になるような場合)は(S1103,No)、年をまたいだとみなして後のログレコードの時刻情報の年情報−1を年情報として前のログレコードの時刻情報に付加する(S1105)。
次に、ログ参照モジュール104は、先頭のログレコードまで補完したか判定する(S903)。先頭のログレコードまで補完した場合(S903,Yes)、ログファイルのタイムスタンプからログの時刻情報を補完する処理を終了する。先頭のログレコードまで補完していなかった場合(S903,No)、S901の処理に戻る。これにより、ログ参照モジュール104はログファイルのタイムスタンプからログの時刻情報を補完する処理をログファイルの先頭まで行う。
尚、ここでは、時刻情報の時刻単位(例、年、月、日、時、分、秒)の情報の内、年情報の部分を補完する処理を示したが、例えば、年情報と月情報がない場合は、ログ参照モジュール104は、半年以上かどうかの判定と半月以上かどうかの判定を行いタイムスタンプから年情報と月情報を補完すればよい。日情報以降も同様に補完すればよい。
又、ここでは、ログファイルには最後のレコードから順に時刻情報として「Jan 1 12:00:00」「Jan 1 01:00:00」「Dec 31 23:00:00」「Dec 31 11:00:00」…とあり、付加される年情報はそれぞれ最後のレコードから順に「2008」「2008」「2007」「2007」…となるものとする。
次に、S804でNoの場合、又は、S805処理を終了した場合、ログ参照モジュール104は、ログの時刻情報をログファーマットのタイムゾーンの設定を基に指定のタイムゾーンの時刻情報に変換する(S806)。なお、ここでは、タイムゾーン「GMT」からタイムゾーン「JST(GMT+9:00)」に変換し、上述の時刻情報は「Jan 1 2008 21:00:00」「Jan 1 2008 10:00:00」「Jan 1 2008 08:00:00」「Dec 31 2007 20:00:00」…となるものとする。
次に、ログ参照モジュール104はログの時刻情報の表示形式を指定の形式に変換する(S807)。なお、ここでは、「Jan 1 2008 21:00:00」「Jan 1 2008 10:00:00」「Jan 1 200808:00:00」「Dec 31 2007 20:00:00」…がそれぞれ、「2008/01/01 21:00:00」「2008/01/01 10:00:00」「2008/01/01 08:00:00」「2007/12/31 20:00:00」…となるものとする。
次に、ログ参照モジュール104は、生成したログレコードを要求元に出力する(S808)。ここでは、「Jan 1 12:00:00 node1 sshd(pam_unix)[30339]: session opened for user root by (uid=0)」は、「2008/01/01 21:00:00 node1 sshd(pam_unix)[30339]: session opened for user root by (uid=0)」として出力される。
以上で説明したように、本実施の形態には、ログの時刻情報を正確に読み取ることができるという効果がある。その理由は、ログの収集対象毎に設定されたログフォーマットを管理しているためである。このログフォーマットを、ログの収集対象ごとに時刻情報の位置、文字コード、タイムゾーン等が異なる場合でもログの時刻情報を正確に読み取ることができる。
又、本実施の形態には、ログの時刻情報を正確に補完することができるという効果もある。その理由は、ログの収集対象から複数のログレコードを含むログファイルを受信し、当該ログレコードの時刻情報の少なくとも一部が不足している場合には、補完情報(例、タイムスタンプ(更新時刻)又はログ受信時刻)を基に受信したログファイルの最後のログレコードの時刻情報を補完し、時刻情報が補完されたログレコードの時刻情報を基に、その前のログレコードの時刻情報を補完するためである。
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。
第1の実施の形態では、ログファイル収集モジュール102が、ログ転送モジュール(1)109および(2)110からログファイルを受信していたのに対し、第2の実施の形態では、ログ収集モジュール103が、ログ転送モジュール(3)111からログ(レコード)を受信する点が異なる。また、第1の実施の形態では、ログ参照モジュール104が、図1に示した変換手段204の機能を実行していたが、第2の実施の形態では、ログ収集モジュール103が、ログの収集機能だけでなく、変換手段204の機能を実行する。第2の実施の形態の構成は、図2に示した第1の実施の形態と同じである。以下、本発明の第2の実施の形態の動作について詳細に説明する。
図12は、ログ収集モジュール103の動作を説明するフローチャートである。
ログ収集モジュール103はログ収集対象であるノード(3)108のログ転送モジュール(3)111からログを受信するにあったって、受信するログに対応するログフォーマットをログフォーマット管理モジュール112から取得する。ここでは、図5に示す、ログフォーマット「SyslogFormat02」を取得するものとする。SyslogFormat02は、文字コード「EUC-JP」、ログのタイムゾーン「JST」、ログレコードの区切り「^$」、ログ正規化する正規表現「<([0-9]{1,3})> (([a-zA-Z]{3}[\s]{1,2}[0-9]{1,2}\s[0-9]{1,2}:[0-9]{1,2}:[0-9]{1,2}))\s([^\s]*)\s (.*)」、時刻情報有無「有」、ホスト名有無「有」、時刻情報の位置「2」、時刻情報の形式「MMM dd HH:mm:ss」、変換後の時刻情報の形式「yyyy/mm/dd HH:mm:ss」、保管するログ情報の位置「2,3,4」を指定している。
ログ収集モジュール103はログ収集対象であるノード(3)108のログ転送モジュール(3)111からログを受信する(S1200)。なお、ここでは、ログ転送モジュール(3)111はSyslogプロトコルでログを随時転送するものとする。
次に、ログ収集モジュール103は、ログを受信した時刻とログのパケットとを関連付ける(S1201)。ここでは、ログ受信時刻「2008/01/02 03:00:00」(GMT)と受信したログのパケットとが関連付けされるものとする。
次に、ログ収集モジュール103は、受信したログのパケットをログフォーマットで指定された文字コードに基づき読み込む(S1202)。ここでは、受信したログのパケットを文字コード「EUC-JP」に基づき読み込み、プログラムが解釈可能な文字列として、「<38>Jan 2 12:00:01 node3 sshd(pam_unix)[30340]: session opened for user root by (uid=0)」を読み込んだものとする。
次に、ログ収集モジュール103は、ログレコードの正規化を行い、時刻情報を取得する(S1203)。そして、ログ収集モジュール103は、取得した時刻情報の少なくとも一部に不足がないか判定する(S1204)。ここでは、時刻情報として「Jan 2 12:00:01」(JST)→「Jan 2 03:00:01」(GMT)を取得し、変換後の時刻情報の形式「yyyy/mm/dd HH:mm:ss」と比較して年の情報が不足していることがわかる(S1204,Yes)。また、ログレコードによって時刻情報のタイムゾーンが異なるような場合は、それぞれのログレコードにマッチする正規表現とタイムゾーンとの組を設定し、タイムソーンの変換を行う(ここではGMTに変換するものとする)。
次に、ログ収集モジュール103は、補完情報から不足している時刻情報を補完する(S1205)。ここでは、一例として、ログ受信時刻から不足している時刻情報を補完するものとして説明するが、ログのタイムスタンプ(更新時刻)から不足している時刻情報を補完するようにしてもよい。
図13は、S1205の詳細を示すフローチャートである。ログ受信時刻からの年情報の補完は、ログ受信時刻が年の前半である場合は(S1301,Yes)、そのログ受信時刻の年情報もしくは、そのログ受信時刻の年情報−1をログの時刻情報に付加し(S1302)、ログ受信時刻との時間が近くなる方の年情報を採用する(S1303)。
ログ受信時刻が年の後半である場合は(S1301,No)、そのログ受信時刻の年情報もしくは、そのログ受信時刻の年情報+1をログの時刻情報に付加し(S1304)、ログ受信時刻との時間が近くなる方の年情報を採用する(S1305)。
本実施の形態においても、時刻情報の時刻単位(例、年、月、日、時、分、秒)の情報の内、年情報の部分を補完する処理を示したが、第1の実施の形態と同様、年情報と月情報がない場合は、ログ収集モジュール103は、月の前半かどうかで付加する年情報と月情報を絞り込み、ログ受信時刻により近くなる方の年情報と月情報を補完すればよい。日情報以降も同様に補完すればよい。また、時刻情報自体がない場合はログ受信時刻をそのまま付加してもよい。なお、ここではログ受信時刻「2008/01/02 03:00:00」(GMT)は年の前半であるため、「2008」もしくは「2007」を時刻情報「Jan 2 03:00:01」(GMT)に付加し、ログ受信時刻「2008/01/02 03:00:00(GMT)」と比較する。比較すると、「2008」を付加したほうがログ受信時刻と近くなるため、補完後の時刻情報は「2008/01/02 03:00:01」(GMT)となる。
次に、場所を入れ換えステップS1204でNoの場合、又は、ステップS1205の処理が終了した場合、ログ収集モジュール103は、受信したログをログ・ログファイル保管モジュール101にログを保管するための文字コード、タイムゾーン、ログの形式に変換する(S1206)。ここでは、文字コード「EUC-JP」、ログのタイムゾーン「JST」、時刻情報の形式「yyyy/mm/dd HH:mm:ss」として、受信したログを「2008/01/02 12:00:01 node3 sshd(pam_unix)[30340]: session opened for user root by (uid=0)」に変換する。
次に、ログ収集モジュール103は、変換したログをログ・ログファイル保管モジュール101に保管する(S1207)。ここでは、「2008/01/02 12:00:01 node3 sshd(pam_unix)[30340]: sessionopened for user root by (uid=0)」が保管される。
次に、上述のログ収集モジュール103の動作後のログ・ログファイル保管モジュール101の動作について説明する。
図14は、ログ・ログファイル保管モジュール101の動作を説明するフローチャートである。ログ・ログファイル保管モジュール101は、ログ収集モジュール103から変換されたログを受け取ると(S1400)、そのログをデータの格納先に保管し、プロパティを更新する(S1401)。ここでは、「2008/01/02 12:00:01 node3 sshd(pam_unix)[30340]: sessionopened for user root by (uid=0)」がファイルパス「/var/opt/logmg/node3/file0000002」で指定される格納先に保管され、サイズ(保管したログのサイズ分プラスされる)やタイムスタンプ(保管した時刻に更新される)が更新される。
本実施の形態も、ログの時刻情報を正確に把握できるという効果を奏する。
その理由は、ログの収集対象から随時転送されるログレコードを受信し、当該ログレコードと補完情報を関連付け、当該ログレコードの時刻情報の少なくとも一部が不足している場合に、補完情報を基に不足している時刻情報を補完するためである。
以上、各実施の形態において詳細に説明したように、本発明には、ログの時刻情報を正確に把握できるという効果がある。
その理由は、ログの時刻情報を正確に読み取ることができるためである。本発明では、ログの収集対象毎に設定されたログフォーマットが管理されて、このログフォーマットを基に、ログの収集対象ごとに時刻情報の位置、文字コード、タイムゾーン等が異なる場合でもログの時刻情報を正確に読み取ることができる。
ログ管理システム002の構成を示す図である。 ログ管理システム001の構成を示す図である。 ログ・ログファイル保管モジュール101の管理イメージを示す図である。 ログフォーマット管理モジュール112の管理イメージを示す図である。 ログフォーマットの例を示す図である。 ログファイル収集モジュール102の動作を示すフローチャートである。 ログ・ログファイル保管モジュール101の動作を示すフローチャートである。 ログ参照モジュール104の動作を説明するフローチャートである。 S805の詳細を示すフローチャートである。 S901の詳細を示すフローチャートである。 S902の詳細を示すフローチャートである。 ログ収集モジュール103の動作を説明するフローチャートである。 S1205の詳細を示すフローチャートである。 ログ・ログファイル保管モジュール101の動作を説明するフローチャートである。
符号の説明
001,002 ログ管理システム
100 ログ管理装置
101 ログ・ログファイル保管モジュール
102 ログファイル収集モジュール
103 ログ収集モジュール
104 ログ参照モジュール
105 ネットワーク
106 ノード(1)
107 ノード(2)
108 ノード(3)
109 ログ転送モジュール(1)
110 ログ転送モジュール(2)
111 ログ転送モジュール(3)
112 ログフォーマット管理モジュール
202 収集手段
204 変換手段
206 収集対象
209 転送手段
212 管理手段

Claims (17)

  1. 時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信する収集手段と、
    前記収集対象毎に設定されたログフォーマット情報を管理する管理手段と、
    前記ログフォーマット情報を参照して前記ログを変換し、時刻情報を抽出する変換手段と
    を含むログ管理装置。
  2. 前記ログフォーマット情報は文字コードの情報を含み、
    前記変換手段は当該文字コードに基づいて前記ログを読み込む
    請求項1に記載のログ管理装置。
  3. 前記ログフォーマット情報は時刻情報の位置の情報を含み、
    前記変換手段は当該時刻情報の位置の情報を基に、前記ログから時刻情報を取得する
    請求項1又は2に記載のログ管理装置。
  4. 前記ログフォーマット情報はタイムゾーンの情報を含み、
    前記変換手段は当該タイムゾーンの情報を基に、前記ログから取得された時刻情報を所定のタイムゾーンの時刻情報に変換する
    請求項1乃至3のいずれかに記載のログ管理装置。
  5. 前記ログフォーマット情報は、前記収集対象を特定する識別情報、当該収集対象内のログの格納場所を示す情報およびログの種別を示す情報のうちの少なくとも一つを含む
    請求項1乃至4のいずれかに記載のログ管理装置。
  6. 前記ログフォーマット情報は、ログレコード区切りの情報と、前記ログレコードを正規化する正規表現の情報とを含み、
    前記変換手段は、正規化するログレコードに対応した前記正規表現の情報を用いて、当該ログレコードを正規化する
    請求項1乃至5のいずれかに記載のログ管理装置。
  7. 前記変換手段は、
    前記収集対象から複数のログレコードを含むログファイルをログとして受信し、当該ログレコードの時刻情報の少なくとも一部が不足している場合に、補完情報を基に前記受信したログファイルのログレコードの時刻情報を補完し、該補完された時刻情報を基に、当該ログレコードの前のログレコードの時刻情報を補完する
    請求項1乃至6のいずれかに記載のログ管理装置。
  8. 前記時刻情報における不足している部分がある時刻単位の情報である場合、
    前記変換手段は、
    前記補完情報の示す時刻が前記時刻単位の前半である場合には、前記補完情報の前記時刻単位の情報、または、前記補完情報の示す前記時刻単位の情報から1を減じた情報を前記ログレコードの時刻情報に付加し、前記時刻単位の情報が付加された時刻情報がより前記補完情報に近くなる方の時刻情報を採用し、
    前記補完情報の示す時刻が前記時刻単位の後半である場合には、前記補完情報の前記時刻単位の情報、または、前記補完情報の示す前記時刻単位の情報に1を加えた情報を前記ログレコードの時刻情報に付加し、前記時刻単位の情報が付加された時刻情報がより前記補完情報に近くなる方の時刻情報を採用する
    請求項7に記載のログ管理装置。
  9. 前記時刻情報が補完されたログレコードの時刻情報を基に、その前のログレコードの時刻情報を補完する場合、
    前記変換手段は、
    前後のログレコードの時刻情報の差の絶対値が前記時刻単位の半分以下の場合には、後のログレコードの時刻情報の前記時刻単位の情報を前のログレコードの時刻情報に付加し、
    前後のログレコードの時刻情報の差の絶対値が前記時刻単位の半分より大きく、前記後のログレコードの時刻情報から前のログレコードの時刻情報を減じた値が正の場合は、前記後のログレコードの時刻情報の前記時刻単位の情報に1を加えた情報を前記前のログレコードの時刻情報に付加し、
    前後のログレコードの時刻情報の差の絶対値が前記時刻単位の半分より大きく、前記後のログレコードの時刻情報から前記前のログレコードの時刻情報を減じた値が負の場合は、前記後のログレコードの時刻情報の前記時刻単位の情報から1を減じた情報を前記前のログレコードの時刻情報に付加する
    請求項8に記載のログ管理装置。
  10. 前記補完情報は、前記ログファイルの更新時刻である
    請求項8又は9に記載のログ管理装置。
  11. 前記収集手段は、前記収集対象から随時転送されるログレコードを受信し、当該ログレコードと補完情報とを関連付け、当該ログレコードの時刻情報の少なくとも一部が不足している場合に、前記補完情報を基に不足している時刻情報を補完する
    請求項1乃至6のいずれかに記載のログ管理装置。
  12. 前記時刻情報における不足している部分がある時刻単位の情報である場合、
    前記変換手段は、
    前記補完情報の示す時刻が前記時刻単位の前半である場合には、前記補完情報の前記時刻単位の情報、または、前記補完情報の示す前記時刻単位の情報から1を減じた情報を前記ログレコードの時刻情報に付加し、前記時刻単位の情報が付加された時刻情報がより前記補完情報に近くなる方の時刻情報を採用し、
    前記補完情報の示す時刻が前記時刻単位の後半である場合には、前記補完情報の前記時刻単位の情報、または、前記補完情報の示す前記時刻単位の情報に1を加えた情報を前記ログレコードの時刻情報に付加し、前記時刻単位の情報が付加された時刻情報がより前記補完情報に近くなる方の時刻情報を採用する
    請求項11に記載のログ管理装置。
  13. 前記補完情報は、前記ログレコードの受信時刻である
    請求項11又は12に記載のログ管理装置。
  14. 前記時刻単位は、年、月、日、時、分、及び秒の少なくとも一つである
    請求項8乃至13のいずれかに記載のログ管理装置。
  15. 時刻情報を含むログを取得し、ログ管理装置に転送する転送手段
    を含む少なくとも一つのログの収集対象と、
    前記収集対象から該ログを受信する収集手段と、
    前記収集対象毎に設定されたログフォーマット情報を管理する管理手段と、
    前記ログフォーマット情報を参照して前記ログを変換し、時刻情報を抽出する変換手段と
    を含むログ管理装置と
    を含むログ管理システム。
  16. 時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信し、
    前記収集対象毎に設定されたログフォーマット情報を管理し、
    前記ログフォーマット情報を参照して前記ログを変換し、時刻情報を抽出する
    ログ管理方法。
  17. コンピュータに、
    時刻情報を含むログが収集される少なくとも一つの収集対象から該ログを受信する収集手段、
    前記収集対象毎に設定されたログフォーマット情報を管理する管理手段、
    前記ログフォーマット情報を参照して前記ログを変換し、時刻情報を抽出する変換手段
    として機能させるためのログ管理プログラム。
JP2008242706A 2008-09-22 2008-09-22 ログ管理装置、システム、方法、及びプログラム Expired - Fee Related JP4725622B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2008242706A JP4725622B2 (ja) 2008-09-22 2008-09-22 ログ管理装置、システム、方法、及びプログラム
US12/553,708 US8126853B2 (en) 2008-09-22 2009-09-03 Log managing apparatus, log managing system, log managing method and log managing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008242706A JP4725622B2 (ja) 2008-09-22 2008-09-22 ログ管理装置、システム、方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2010073123A true JP2010073123A (ja) 2010-04-02
JP4725622B2 JP4725622B2 (ja) 2011-07-13

Family

ID=42058539

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008242706A Expired - Fee Related JP4725622B2 (ja) 2008-09-22 2008-09-22 ログ管理装置、システム、方法、及びプログラム

Country Status (2)

Country Link
US (1) US8126853B2 (ja)
JP (1) JP4725622B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2369689A1 (en) 2010-03-26 2011-09-28 Hirose Electric Co., Ltd. Electrical connector
JP2016004453A (ja) * 2014-06-18 2016-01-12 株式会社リコー サービス提供システム、ログ情報提供方法及びプログラム
JP2017521802A (ja) * 2014-05-16 2017-08-03 ブル スーパーコンピュータ監視用の相関イベントのためのアーキテクチャ
JP2020071671A (ja) * 2018-10-31 2020-05-07 ブラザー工業株式会社 通信装置及び通信装置のためのコンピュータプログラム
KR102567773B1 (ko) * 2023-04-11 2023-08-17 한화시스템(주) 전투체계 시스템에서의 로그 정보 추출장치 및 그 방법

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102541850A (zh) * 2010-12-09 2012-07-04 北京北方微电子基地设备工艺研究中心有限责任公司 日志记录的获取、上传方法及其装置和系统
US9990237B2 (en) * 2011-02-23 2018-06-05 Red Hat Israel, Ltd. Lockless write tracking
US20130091266A1 (en) 2011-10-05 2013-04-11 Ajit Bhave System for organizing and fast searching of massive amounts of data
US9043920B2 (en) 2012-06-27 2015-05-26 Tenable Network Security, Inc. System and method for identifying exploitable weak points in a network
US9088606B2 (en) 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
US9063980B2 (en) 2012-12-21 2015-06-23 Microsoft Technology Licenising, LLC Log consolidation
US9467464B2 (en) 2013-03-15 2016-10-11 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
JP5630551B1 (ja) * 2013-10-07 2014-11-26 富士ゼロックス株式会社 情報提供装置、情報提供システム及びプログラム
CA3015337C (en) * 2016-02-22 2022-01-25 Hubbell Incorporated Auto-adjusting data log record timestamps
CN109582551B (zh) * 2018-10-11 2022-04-26 平安科技(深圳)有限公司 日志数据解析方法、装置、计算机设备和存储介质
JP6973427B2 (ja) * 2019-02-15 2021-11-24 株式会社安川電機 通信システム、通信方法、及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003141075A (ja) * 2001-11-06 2003-05-16 Infoscience Corp ログ情報管理装置及びログ情報管理プログラム
JP2004295303A (ja) * 2003-03-26 2004-10-21 Nri & Ncc Co Ltd ログ収集管理システム、ログ収集管理方法およびコンピュータプログラム
JP2005284520A (ja) * 2004-03-29 2005-10-13 Nec Corp ログ収集方法/プログラム/プログラム記録媒体/装置/システム
JP2008210308A (ja) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0573168A (ja) 1991-09-17 1993-03-26 Nec Software Ltd 日付処理装置
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US7260588B2 (en) * 2001-06-22 2007-08-21 Werner Raymond J Location-based operations for information handling systems
GB0128243D0 (en) * 2001-11-26 2002-01-16 Cognima Ltd Cognima patent
US7072912B1 (en) * 2002-11-12 2006-07-04 Microsoft Corporation Identifying a common point in time across multiple logs
JP2004192435A (ja) * 2002-12-12 2004-07-08 Seiko Epson Corp 時刻設定システム、時刻設定端末及び時刻設定プログラム、並びに時刻設定方法
JP2004334664A (ja) 2003-05-09 2004-11-25 Toshiyuki Tani 取引情報の集約方法及び関連システム
US7991748B2 (en) * 2003-09-23 2011-08-02 Symantec Corporation Virtual data store creation and use
JP2005327053A (ja) 2004-05-13 2005-11-24 Ricoh Co Ltd ログ情報管理装置、ログ情報生成装置、ログ情報管理プログラム及び記録媒体
KR101380936B1 (ko) * 2006-10-05 2014-04-10 스플렁크 인코퍼레이티드 시계열 검색 엔진
US20090099866A1 (en) * 2007-08-10 2009-04-16 Smiths Medical Md, Inc. Time zone adjustment for medical devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003141075A (ja) * 2001-11-06 2003-05-16 Infoscience Corp ログ情報管理装置及びログ情報管理プログラム
JP2004295303A (ja) * 2003-03-26 2004-10-21 Nri & Ncc Co Ltd ログ収集管理システム、ログ収集管理方法およびコンピュータプログラム
JP2005284520A (ja) * 2004-03-29 2005-10-13 Nec Corp ログ収集方法/プログラム/プログラム記録媒体/装置/システム
JP2008210308A (ja) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2369689A1 (en) 2010-03-26 2011-09-28 Hirose Electric Co., Ltd. Electrical connector
JP2017521802A (ja) * 2014-05-16 2017-08-03 ブル スーパーコンピュータ監視用の相関イベントのためのアーキテクチャ
JP2016004453A (ja) * 2014-06-18 2016-01-12 株式会社リコー サービス提供システム、ログ情報提供方法及びプログラム
JP2020071671A (ja) * 2018-10-31 2020-05-07 ブラザー工業株式会社 通信装置及び通信装置のためのコンピュータプログラム
JP7107171B2 (ja) 2018-10-31 2022-07-27 ブラザー工業株式会社 通信装置及び通信装置のためのコンピュータプログラム
KR102567773B1 (ko) * 2023-04-11 2023-08-17 한화시스템(주) 전투체계 시스템에서의 로그 정보 추출장치 및 그 방법

Also Published As

Publication number Publication date
JP4725622B2 (ja) 2011-07-13
US8126853B2 (en) 2012-02-28
US20100082531A1 (en) 2010-04-01

Similar Documents

Publication Publication Date Title
JP4725622B2 (ja) ログ管理装置、システム、方法、及びプログラム
US11063896B2 (en) System and method for detecting confidential information emails
US8136031B2 (en) Comparing the content of tables containing merged or split cells
CN104126192B (zh) 时间管理式电子邮件消息
CN101986292B (zh) 根据图像处理表单的方法和系统
JP5247983B2 (ja) アクション可能な電子メールドキュメント
JP4602769B2 (ja) 文書セットのコンテンツ空間のナビゲーション
TW201140350A (en) High throughput, reliable replication of transformed data in information systems
AU2014202281A1 (en) System and Method for Incrementally Replicating Investigative Analysis Data
JP2015523629A (ja) デバイスを同期するための機構、システム、及び方法
WO2012121183A1 (en) Generating page and document logs for electronic documents
JP4668332B2 (ja) 日程調整支援装置、方法、およびプログラム
US20140019890A1 (en) Synchronizing a user interface area
CN111638908A (zh) 接口文档生成方法、装置、电子设备及介质
CN107767253B (zh) 一种税务信息管理平台、方法及系统
CN111797351A (zh) 页面数据管理方法、装置、电子设备及介质
CN112612449A (zh) 一种网页页面的同步方法及装置、设备、存储介质
US10133723B2 (en) System and method for determining document version geneology
CN114491518A (zh) 一种越权访问的检测方法、装置、系统及介质
CN111881209A (zh) 异构数据库的数据同步方法、装置、电子设备及介质
Cao et al. FakeMix augmentation improves transparent object detection
JP2009110061A (ja) 版数管理システムおよび版数管理方法
CN112783482B (zh) 一种可视化表单生成方法、装置、设备及存储介质
US11128704B2 (en) Linking content items and collaboration content items
CN110457318A (zh) 区块链中数据字段的更新方法、装置、介质、电子设备

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100525

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101207

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110328

R150 Certificate of patent or registration of utility model

Ref document number: 4725622

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140422

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees