JP2010134862A - Log analysis system, method, and program - Google Patents
Log analysis system, method, and program Download PDFInfo
- Publication number
- JP2010134862A JP2010134862A JP2008312517A JP2008312517A JP2010134862A JP 2010134862 A JP2010134862 A JP 2010134862A JP 2008312517 A JP2008312517 A JP 2008312517A JP 2008312517 A JP2008312517 A JP 2008312517A JP 2010134862 A JP2010134862 A JP 2010134862A
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- frequency band
- log information
- time
- band intensity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ログ分析システム、方法、及び、プログラムに関し、更に詳しくは、ログ情報に基づいて異常発生の検出を行うログ分析システム、方法、及び、プログラムに関する。 The present invention relates to a log analysis system, method, and program, and more particularly, to a log analysis system, method, and program for detecting occurrence of an abnormality based on log information.
異常発生時の原因究明や不正アクセスの検出、将来のリソース使用量の予測のために、システムの運用状態をログ情報として記録し、分析するログ分析システムが導入されている。コンピュータシステム内での異常発生の原因には、ウィルスやワームによるものがある。ウィルスやワームには、潜伏期間や発症期間があり、ある周期で発現するものがある。このような攻撃の周期性に着目して、未知のウィルスやワームの攻撃の兆候を検出する手法が提案されている。 In order to investigate the cause of an abnormality, detect unauthorized access, and predict future resource usage, a log analysis system that records and analyzes system operation status as log information has been introduced. Causes of abnormalities in computer systems are due to viruses and worms. Viruses and worms have a latent period and an onset period, and some viruses and worms appear in a certain cycle. Focusing on the periodicity of such attacks, a method for detecting signs of attacks of unknown viruses and worms has been proposed.
特許文献1には、ログ情報の周期性に着目したログ分析システムの一例が記載されている。特許文献1では、ログ情報の時間軸上での分布をフーリエ変換を用いて周波数軸上の分布へ変換し、周波数軸上での分布の変化を用いて異常を検出している。特許文献1では、周波数成分の強度が、過去の強度に対してある比率を超えると、異常と判断している。
特許文献1では、未知のウィルスやワームに感染したプログラム(アプリケーションソフトウェア)を特定するためには、常に、全てのプログラムについて、個別にリソース使用率やイベント発生量を周波数分析する必要がある。このため、特許文献1では、ログ分析に要する負荷が大きくなるという問題がある。
In
本発明は、ログ分析に要する処理負荷を抑えつつ、異常発生の検出及び異常発生源の特定が可能なログ分析システム、方法、及び、プログラムを提供することを目的とする。 An object of the present invention is to provide a log analysis system, method, and program capable of detecting an occurrence of an abnormality and specifying an abnormality occurrence source while suppressing a processing load required for log analysis.
上記目的を達成するために、本発明のログ分析システムは、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換する周波数変換手段と、前記周波数変換手段が変換した概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する周波数帯強度算出手段と、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する周波数帯強度監視手段と、前記周波数帯強度監視手段が異常発生を検出すると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する異常特定手段とを備えることを特徴とする。 In order to achieve the above object, the log analysis system of the present invention refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information. A frequency conversion means for converting the axial distribution into a frequency axis distribution, and a frequency for calculating a frequency band intensity that is a sum of intensity in the frequency band to be monitored with reference to the frequency axis distribution of the summary log information converted by the frequency conversion means Band strength calculation means, frequency band intensity monitoring means for monitoring the time variation of the calculated frequency band intensity and detecting the occurrence of anomaly when the fluctuation of the frequency band intensity exceeds a predetermined threshold, and the frequency band intensity When the monitoring unit detects the occurrence of an abnormality, the log information storage unit is referred to, and based on the time axis distribution of the detailed log information at a time going back a predetermined time from the abnormality occurrence time. Characterized in that it comprises an abnormality identifying means for identifying the source.
本発明のログ分析方法は、コンピュータが、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換するステップと、前記コンピュータが、前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出するステップと、前記コンピュータが、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出するステップと、前記コンピュータが、前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定するステップとを有することを特徴とする。 In the log analysis method of the present invention, a computer refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and sets the time axis distribution of the summary log information as a frequency axis. A step of converting to a distribution; the computer refers to a frequency axis distribution of the converted summary log information; and calculates a frequency band intensity that is a sum of intensity in a frequency band to be monitored; Monitoring the time variation of the calculated frequency band intensity, detecting the occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold, and the computer detecting the occurrence of the abnormality, Referring to the log information storage means, the abnormality source is specified based on the time axis distribution of the detailed log information at a time that goes back a predetermined time from the abnormality occurrence time. And having a step.
本発明のプログラムは、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換する処理と、前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する処理と、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する処理と、前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する処理とを、コンピュータに実行させることを特徴とする。 The program of the present invention refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and converts the time axis distribution of the summary log information into a frequency axis distribution , Referring to the frequency axis distribution of the converted summary log information, calculating the frequency band intensity that is the sum of the intensity in the frequency band to be monitored, and monitoring the temporal change of the calculated frequency band intensity. A process for detecting the occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold, and a time that goes back a predetermined time from the abnormality occurrence time with reference to the log information storage means when the occurrence of the abnormality is detected. Based on the time axis distribution of the detailed log information in the above, the computer is caused to execute processing for specifying an abnormality source.
本発明のログ分析システム、方法、及び、プログラムは、ログ分析に要する処理負荷を抑えつつ、異常発生の検出及び異常発生源の特定が可能である。 The log analysis system, method, and program of the present invention can detect the occurrence of abnormality and specify the source of abnormality while suppressing the processing load required for log analysis.
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の第1実施形態のログ分析システムを示している。ログ分析システム10は、ログ情報収集手段11、周波数変換手段12、周波数帯強度算出手段13、周波数帯強度監視手段14、異常特定手段15、及び、ログ情報記憶手段21を有する。ログ分析システム10内の各部の機能は、コンピュータ上で所定のプログラムを実行することで実現できる。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 shows a log analysis system according to a first embodiment of the present invention. The
ログ分析システム10は、管理対象の装置と通信路を介して接続し、管理対象装置との間で情報交換が可能である。管理対象の装置は、コンピュータ、ネットワーク装置や、その他の装置である。図1では、管理対象の装置として、管理対象コンピュータ31を1つ図示している。管理対象コンピュータ31は、1台に限定されず、複数の管理対象コンピュータ31があってもよい。ログ分析システム10と管理対象コンピュータ31との間の通信路は、有線通信、無線通信、或いは、これらの混在などで実現できる。
The
ログ情報収集手段11は、管理対象コンピュータ31から運用状態のログ情報を収集する。ログ情報収集手段11は、収集したログ情報を、ログ情報記憶手段21に保存する。ログ情報は、イベントの発生時刻、コンピュータの使用率、コンピュータ内におけるCPU、メモリ、動作しているプログラム(アプリケーション)の名前などを含む。管理対象装置がネットワーク装置であれば、ログ情報は、パケット数、帯域などのネットワーク装置の運用状態を示す情報を含んでいてよい。
The log
ログ情報収集手段11は、例えば、定期的に、管理対象コンピュータ31からログ情報を取得する。或いは、ログ情報収集手段11は、管理対象コンピュータ31でイベントが発生した際に、ログ情報を取得してもよい。ログ情報収集手段11は、取得したログ情報を、詳細ログ情報と、複数の詳細ログ情報を統合した概要的なログ情報である概要ログ情報とに分けて、ログ情報記憶手段21に記録する。
The log
図2に、ログ情報記憶手段21を示す。概要ログ情報25は、概要的なログであり、詳細ログ情報26は、詳細ログである。ログ情報収集手段11は、収集したログ情報を詳細ログ情報26に記録する。ログ情報収集手段11は、複数の詳細ログ情報26を統合した統計値を、概要ログ情報25に記録する。
FIG. 2 shows the log
図3に、概要ログ情報25と詳細ログ情報26との具体例を示す。図3は、CPU使用率のログ情報を示している。詳細ログ情報26におけるCPU使用率は、コンピュータ内で実行されている各プログラムのCPU使用率である。概要ログ情報25におけるCPU使用率は、各プログラムのCPU使用率を統合したコンピュータ全体としてのCPU使用率である。ログ情報の取得元がネットワーク装置である場合は、ポートごとのパケット数を概要ログ情報とし、各ポート内での宛先アドレスごとのパケット数を詳細ログ情報とすることができる。ログ情報記憶手段21が記憶するログ情報は、記憶領域の有効活用のために、一定期間を経過したときに破棄してもよい。或いは、一定期間の経過後に、他の記憶手段に移動させてもよい。
FIG. 3 shows specific examples of the
周波数変換手段12は、ログ情報記憶手段21を参照し、概要ログ情報25から、概要ログ情報の時間軸上での分布を生成する。周波数変換手段12は、概要ログ情報がCPU使用率のように数値で表される情報であるときは、その数値を時間上にプロットして、概要ログ情報の時間軸分布を生成する。概要ログ情報がイベントの発生通知のように数値で表されない情報であるときは、各時間でのイベント発生数や発生頻度を求め、それを時間軸上にプロットすればよい。周波数変換手段12は、生成した概要ログ情報の時間軸分布を、周波数軸分布へ変換する。時間軸分布から周波数軸分布への変換には、フーリエ変換を用いることができる。
The
図4に、管理対象コンピュータ31の負荷の時間変化の様子(時間軸分布)を示す。横軸は時刻を示し、縦軸は各時刻における負荷を示している。周波数変換手段12は、ログ情報記憶手段21から、各時刻における管理対象コンピュータ31の負荷を取得し、時間軸上にプロットする。負荷としては、CPUの使用率を用いることができる。
FIG. 4 shows how the load of the management target
図5に、管理対象コンピュータ31の負荷の周波数軸分布を示す。横軸は周波数であり、縦軸は周波数成分の強度を表している。図5では、横軸を周波数として示しているが、周波数と繰り返し周期とは逆数で1対1の関係にあるので、横軸の周波数は繰り返しの時間周期ととることもできる。
FIG. 5 shows a frequency axis distribution of the load of the
周波数変換手段12は、図4に示すCPU使用率の時間軸分布を周波数変換することで、図5に示すような周波数軸上の分布を求める。周波数変換手段12は、例えば所定時間経過ごとに、所定時間における概要ログ情報の時間軸分布を周波数軸分布に変換する。時間軸分布のどの時間帯を周波数変換するかによって周波数軸分布は異なるので、時間の経過と共に、周波数軸分布は変化することになる。
The frequency conversion means 12 obtains a distribution on the frequency axis as shown in FIG. 5 by frequency converting the time axis distribution of the CPU usage rate shown in FIG. The
周波数帯強度算出手段13は、概要ログ情報の周波数軸分布を参照し、周波数軸分布における監視対象の周波数帯の強度の和である周波数帯強度を算出する。周波数帯強度算出手段13は、例えば図5に示す周波数帯B(f1<f<f2)を監視対象の周波数帯として、周波数f1からf2までの範囲で強度を積分し、周波数帯Bの周波数帯強度を算出する。監視対象の周波数帯は1つには限られず、複数あってもよい。例えば、図5において、周波数帯A(f<f1)、周波数帯B(f1<f<f2)、周波数帯C(f>f2)の3つを監視対象とし、3つの周波数帯について、周波数帯強度を算出してもよい。 The frequency band intensity calculation means 13 refers to the frequency axis distribution of the summary log information and calculates a frequency band intensity that is the sum of the intensities of the frequency bands to be monitored in the frequency axis distribution. The frequency band intensity calculation means 13 integrates the intensity in the range from the frequency f1 to f2, for example, with the frequency band B (f1 <f <f2) shown in FIG. Calculate the intensity. The frequency band to be monitored is not limited to one and may be plural. For example, in FIG. 5, three frequency bands A (f <f1), frequency band B (f1 <f <f2), and frequency band C (f> f2) are monitored, and the three frequency bands The intensity may be calculated.
周波数帯の分割方法には、種々の方法が考えられる。例えば、周波数軸上で等間隔に分割する方法が考えられる。或いは、周波数帯の分割では、周波数帯の幅は不均一でもよい。周波数帯の幅が不均一になるような分割方法としては、各周波数帯の強度がほぼ均等になるように分割する方法などが考えられる。具体的には、例えば周波数帯の分割数を3つと決めておき、各周波数帯強度がほぼ同じ値になるように、3つの周波数帯強度の上限及び下限を調整する方法などが考えられる。或いは、全周波数の強度の総和を周波数帯の分割数で割った値を求めておき、周波数が低い側から強度を足していき、その値が強度の総和を分割数で割った値になる周波数を、周波数帯の境界周波数と決定していってもよい。 Various methods are conceivable as frequency band dividing methods. For example, a method of dividing at equal intervals on the frequency axis is conceivable. Alternatively, in the frequency band division, the frequency band width may be non-uniform. As a dividing method in which the width of the frequency band is not uniform, a method of dividing the frequency band so that the intensities of the frequency bands are almost equal can be considered. Specifically, for example, a method of determining the number of frequency band divisions as three and adjusting the upper and lower limits of the three frequency band intensities so that the frequency band intensities have substantially the same value can be considered. Alternatively, find the value obtained by dividing the sum of the intensities of all frequencies by the number of divisions in the frequency band, add the intensity from the lower frequency side, and the value becomes the value obtained by dividing the sum of the intensities by the number of divisions. May be determined as the boundary frequency of the frequency band.
周波数帯強度算出手段13がどの周波数帯を監視対象として周波数帯強度を算出するかは、管理者が指定する。或いは、あらかじめ監視対象の周波数帯を固定的に決めておいてもよい。監視対象周波数帯の指定では、周波数帯が不均一に分割されているような場合などでは、複数の周波数帯のうちの周波数が高い側からi番目(iは、1から周波数帯の分割数までの間の何れかの整数)というように指定してもよい。 The administrator designates which frequency band the frequency band intensity calculation means 13 uses as the monitoring target to calculate the frequency band intensity. Alternatively, the frequency band to be monitored may be fixedly determined in advance. In the designation of the frequency band to be monitored, in the case where the frequency band is divided unevenly, the i th from the higher frequency side of the plurality of frequency bands (i is from 1 to the number of frequency band divisions) May be specified as any integer between.
周波数帯強度算出手段13は、算出した周波数帯の強度を周波数帯強度監視手段14に出力する。周波数帯強度監視手段14は、周波数帯強度算出手段13が算出した周波数帯強度の時間変化を監視し、周波数帯強度の変動に基づいて、監視対象周波数帯に異常が発生しているか否かを監視する。周波数帯強度監視手段14は、周波数帯強度の変動が所定のしきい値以上であると判断すると、異常発生を検出する。周波数帯強度監視手段14は、周波数帯強度算出手段13が複数の周波数帯の周波数帯強度を算出するときは、それら複数の周波数帯にて異常が発生しているか否かを監視してもよい。このとき、異常発生の判断に用いるしきい値は、周波数帯ごとに異なっていてもよく、或いは、各周波数帯で同じ値であってもよい。
The frequency band
図6に、周波数帯強度の時間変化の様子を示す。図6に示すグラフは、図5における周波数帯Bにおける周波数帯強度の時間変化に相当する。周波数帯強度監視手段14は、現在よりも所定時間前の周波数帯強度の平均を、通常時レベルとして保持する。周波数帯強度監視手段14は、通常時レベルと周波数帯強度との差が、所定のしきい値以上であると、つまり、周波数帯強度が、通常時レベルからしきい値以上変動すると、異常発生を検出する。周波数帯強度監視手段14は、異常発生を検出すると、異常発生と判断した周波数帯と、異常発生時刻(t0)とを、異常特定手段15に通知する。
FIG. 6 shows how the frequency band intensity changes with time. The graph shown in FIG. 6 corresponds to the time change of the frequency band intensity in the frequency band B in FIG. The frequency band intensity monitoring means 14 holds the average of the frequency band intensity for a predetermined time before the present as the normal level. The frequency band intensity monitoring means 14 generates an abnormality when the difference between the normal level and the frequency band intensity is greater than or equal to a predetermined threshold value, that is, when the frequency band intensity fluctuates by more than the threshold value from the normal level. Is detected. When detecting the occurrence of abnormality, the frequency band
異常特定手段15は、異常発生の通知を受けると、ログ情報記憶手段21に保存された詳細ログ情報を分析し、周期性を有する異常の発生源を特定(推定)する。より詳細には、異常特定手段15は、異常発生時刻t0から、異常発生時刻t0よりも所定時間さかのぼった時刻までの時間範囲の詳細ログ情報を分析対象とし、その時間範囲の詳細ログ情報の時間軸分布を求める。その後、異常特定手段15は、詳細ログ情報の時間軸分布におけるピークを検出する。異常特定手段15は、ピークの検出では、分析対象の時間範囲よりも前の時間における詳細ログ情報の平均を通常時の値とし、分析対象の時間範囲において、詳細ログ情報が通常時よりも所定のしきい値以上変動する時点をピークとして検出する。異常特定手段15は、検出したピーク数に応じて、異常の発生源を特定する。
Upon receiving the notification of the occurrence of abnormality, the
図7に、詳細ログ情報におけるCPU使用率の時間軸分布を示す。周波数帯強度監視手段14は、時刻t0で、監視対象の周波数帯における周波数帯強度の変動がしきい値を超えたことを検出し、異常発生を検出する。異常特定手段15は、異常発生検出の通知を受けると、ログ情報記憶手段21を参照し、異常発生時刻t0から、異常発生時刻t0よりも一定の時間さかのぼった時刻までの時間範囲の詳細ログ情報26の時間軸分布を分析する。異常特定手段15は、その時間範囲での詳細ログ情報のピーク、例えばプログラムごとのCPU使用率のピーク数をカウントし、そのピーク数から、当該詳細ログ情報の生成元が異常の発生源であるか否かを判断する。
FIG. 7 shows a time axis distribution of the CPU usage rate in the detailed log information. The frequency band intensity monitoring means 14 detects that the fluctuation of the frequency band intensity in the frequency band to be monitored has exceeded the threshold at time t0, and detects the occurrence of an abnormality. Upon receiving the notification of the occurrence of abnormality, the
異常特定手段15が異常の発生源の特定の際に分析する詳細ログ情報の時間範囲は、異常発生時刻より異常発生が検出された周波数帯の下限周波数の逆数よりも長い時間前の時刻から、異常発生時刻までとする。つまり、異常特定手段15は、異常発生時刻t0から監視対象の周波数帯の下限周波数の周期時間以上さかのぼった時間における詳細ログ情報を分析する。例えば、異常発生が検出された周波数帯が図5に示す周波数帯B(上限周波数f2、下限周波数f1)であったとき、異常特定手段15は、時刻t0−(1/f1)よりも前の時刻から、時刻t0までの間の詳細ログ情報を分析する。
The time range of the detailed log information analyzed when the
異常特定手段15は、上記時間範囲の詳細ログ情報の時間軸分布におけるピーク数をカウントし、ピーク数が1から周波数帯の上限周波数(fB)と下限周波数(fA)との比(fB/fA)との間にあれば、その詳細ログ情報の生成元、つまりは、その詳細ログ情報を出力したプログラムを異常の発生源と特定する。これは、例えば周波数帯Bの場合、(1/f1)の時間に異常を生じた周波数帯の下限である周波数f1のピーク数は1個となり、上限周波数であるf2のピーク数は(f2/f1)個となり、f1とf2との間にある周波数でのピーク数は1個から(f2/f1)個の間となるからである。このような理由から、さかのぼる時間と異常原因と判断するピーク数の上限・下限の比率は、(1/f1):1:(f2/f1)であることが望ましい。 The abnormality specifying means 15 counts the number of peaks in the time axis distribution of the detailed log information in the above time range, and the ratio of the peak number from 1 to the upper limit frequency (f B ) and the lower limit frequency (f A ) of the frequency band (f B / f A ), the generation source of the detailed log information, that is, the program that output the detailed log information is identified as the source of the abnormality. For example, in the case of the frequency band B, the number of peaks of the frequency f1, which is the lower limit of the frequency band in which the abnormality occurred at the time of (1 / f1), is 1, and the peak number of the upper limit frequency f2 is (f2 / This is because the number of peaks at a frequency between f1 and f2 is between 1 and (f2 / f1). For these reasons, it is desirable that the ratio between the retroactive time and the upper limit / lower limit of the number of peaks determined to be the cause of the abnormality is (1 / f1): 1: (f2 / f1).
さかのぼる時間、つまり、詳細ログ情報を分析する時間範囲については、下限周波数でのピークが1回は観測されるべきであるので、下限周波数の1周期時間よりも長い時間とすることが望ましい。また、異常発生の時間間隔は若干のばらつきを含むことがあるため、分析対象時間を上記比率よりも長く設定し、或いは、異常と判断するピーク数の幅を広くするなどしてもよい。 With respect to the retroactive time, that is, the time range for analyzing the detailed log information, since the peak at the lower limit frequency should be observed once, it is desirable that the time be longer than one cycle time of the lower limit frequency. In addition, since the time interval of occurrence of abnormality may include some variation, the analysis target time may be set longer than the above ratio, or the range of the number of peaks determined to be abnormal may be increased.
図8に、全体的な動作手順を示す。ログ情報収集手段11は、ログ分析システム10と接続する管理対象コンピュータ31から、運用状態のログ情報を収集する(ステップA1)。ログ情報収集手段11は、収集したログ情報をログ情報記憶手段21に記録する。ログ情報収集手段11は、ログ情報を概要的なログ情報と詳細なログ情報とに分け、概要的なログ情報を概要ログ情報25(図2)に記録し、詳細なログ情報を詳細ログ情報26に記録する。
FIG. 8 shows the overall operation procedure. The log
周波数変換手段12は、ログ情報記憶手段21から概要ログ情報を取得し、概要ログ情報の時間軸分布を周波数軸分布に変換する(ステップA2)。ステップA2では、周波数変換手段12は、例えば図4に示す管理対象コンピュータの負荷の時間軸分布をフーリエ変換し、図5に示す周波数軸分布を生成する。周波数帯強度算出手段13は、周波数軸分布内の監視対象周波数帯に含まれる周波数帯強度の合計を算出する(ステップA3)。周波数帯強度算出手段13は、監視対象の周波数帯が複数あるときは、そのそれぞれについて、周波数帯強度を算出する。
The frequency conversion means 12 acquires the summary log information from the log information storage means 21, and converts the time axis distribution of the summary log information into the frequency axis distribution (step A2). In step A2, the frequency conversion means 12 performs, for example, Fourier transform on the load time axis distribution of the management target computer shown in FIG. 4 to generate the frequency axis distribution shown in FIG. The frequency band intensity calculation means 13 calculates the sum of the frequency band intensity included in the monitoring target frequency band in the frequency axis distribution (step A3). When there are a plurality of frequency bands to be monitored, the frequency band
周波数帯強度監視手段14は、監視対象周波数帯における周波数帯強度の時間変化を監視し、周波数帯強度の変動がしきい値を超えると、異常発生を検出する(ステップA4)。周波数帯強度監視手段14は、異常発生を検出すると、異常が発生した周波数帯、つまりは、どの監視対象周波数帯で異常が発生したかを示す情報と、異常発生時刻とを、異常特定手段15に通知する。異常特定手段15は、ログ情報記憶手段21を参照し、詳細ログ情報を分析することで、周期性を有する異常の発生源を特定する(ステップA5)。
The frequency band intensity monitoring means 14 monitors the time change of the frequency band intensity in the monitoring target frequency band, and detects the occurrence of abnormality when the fluctuation of the frequency band intensity exceeds the threshold value (step A4). When the frequency band
図9に、ステップA5の異常の発生源特定の手順を示す。ここでは、異常発生が検出された周波数帯が図5の周波数帯Bであるとし、ログ情報としては、CPU使用率を考える。異常特定手段15は、周波数帯強度監視手段14から、異常発生が検出された時刻t0と、異常発生周波数帯Bとが通知される(ステップB1、B2)。周波数帯強度監視手段14は、例えば異常発生周波数帯Bの下限周波数f1と上限周波数f2とを、異常特定手段15に通知する。或いは、異常発生周波数帯Bの識別情報を異常特定手段15に通知し、異常特定手段15が、監視対象の周波数帯の上限周波数と下限周波数とを管理するテーブルなどを参照して、下限周波数f1と上限周波数f2とを特定してもよい。
FIG. 9 shows the procedure for identifying the abnormality source in step A5. Here, it is assumed that the frequency band in which the occurrence of abnormality is detected is the frequency band B in FIG. 5, and the CPU usage rate is considered as log information. The
異常特定手段15は、異常発生時刻t0よりも(1/f1)前の時刻(t0−(1/f1)から異常発生時刻t0までの時間範囲を、詳細ログ情報を分析する時間範囲とする。異常特定手段15は、詳細ログ情報26を参照し、分析時間範囲における各プログラムのCPU使用率の時間軸分布から、CPU使用率の時間変化のピーク数をカウントする(ステップB3)。異常特定手段15は、ステップB3では、管理対象コンピュータ31上で実行されているプログラムごとに、ピーク数をカウントする。
The
異常特定手段15は、ステップB3でカウントしたピーク数が1〜(f2/f1)の間にあるか否かを判断する(ステップB4)。異常特定手段15は、ピーク数が1〜(f2/f1)の間にあるときは、当該詳細ログ情報を出力したプログラムを、異常の発生源と特定する(ステップB5)。異常特定手段15は、特定した異常発生源のプログラムを、ディスプレイ等の出力装置に出力する。ピーク数が1〜(f2/f1)の間にないときは、処理を終了する。
The abnormality specifying means 15 determines whether or not the number of peaks counted in step B3 is between 1 and (f2 / f1) (step B4). When the number of peaks is between 1 and (f2 / f1), the
本実施形態では、周波数変換手段12は、概要ログ情報の時間軸分布を周波数軸分布に変換する。周波数帯強度算出手段13は、概要ログ情報の周波数軸分布から、監視対象の周波数帯の周波数帯強度を算出する。周波数帯強度監視手段14は、周波数帯強度の時間変化を監視し、周波数帯強度の変動がしきい値以上であると、異常発生を検出する。異常特定手段15は、異常発生が検出されると、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布を分析し、異常発生源を特定する。
In the present embodiment, the
本実施形態では、異常発生の検出の際には、概要ログ情報の周波数軸分布を用いている。周波数変化の対象となるログ情報を、概要ログ情報とすることで、詳細ログ情報を含む全てのログ情報に対して周波数変換を行う場合に比して、周波数変換に要する処理負担を軽減することができる。つまり、少ない処理負荷で、異常発生を検出できる。また、本実施形態では、異常発生源の特定に、詳細ログ情報の時間軸分布を用いる。異常が検出されれば、その時刻近辺の詳細ログ情報の時間軸分布を調べることで、異常な振る舞いをしているプログラムを発見することができ、異常発生源を特定することができる。本実施形態では、異常発生源の特定では、詳細ログ情報の周波数軸分布への変換は不要であるので、ログ分析に要する処理負荷を抑えつつ、異常発生源の特定が可能である。 In the present embodiment, the frequency axis distribution of the summary log information is used when detecting the occurrence of abnormality. Reducing the processing burden required for frequency conversion compared to when performing frequency conversion on all log information including detailed log information by making the log information subject to frequency change into summary log information Can do. That is, the occurrence of abnormality can be detected with a small processing load. In this embodiment, the time axis distribution of the detailed log information is used for specifying the abnormality generation source. If an abnormality is detected, by examining the time axis distribution of the detailed log information around that time, a program behaving abnormally can be found, and the source of the abnormality can be identified. In the present embodiment, it is not necessary to convert the detailed log information to the frequency axis distribution in specifying the abnormality source, so that the abnormality source can be specified while suppressing the processing load required for log analysis.
図10は、本発明の第2実施形態のログ分析システムを示している。本実施形態のログ分析システム20は、図1に示す第1実施形態のログ分析システム10に、ピーク条件決定手段16が追加された構成である。ピーク条件決定手段16は、周波数帯強度監視手段14が異常発生を検出する前後の周波数帯強度の変化に基づいて、異常特定手段15が詳細ログ情報の時間軸分布からピークを検出する際のピーク検出条件を決定する。より詳細には、ピーク条件決定手段16は、異常発生検出前後の周波数帯強度の変動率を求め、その変動率に基づいて、ピーク検出条件となる基準値(ピーク判定用しきい値)を決定する。
FIG. 10 shows a log analysis system according to the second embodiment of the present invention. The
図11に、周波数帯強度の時間変化を示す。ピーク条件決定手段16は、周波数帯強度監視手段14が異常発生を検出すると、異常発生前の周波数帯強度と、異常発生後の周波数帯強度との変動率pを求める。異常発生前の周波数帯強度は、例えば異常発生時刻t0よりも所定時間前の時刻から異常発生時刻t0までの周波数帯強度の平均として定義する。また、異常発生後の周波数帯強度は、例えば異常発生時刻t0から、異常発生時刻t0に所定時間を加えた時刻t1までの周波数帯強度の平均として定義する。
FIG. 11 shows the time change of the frequency band intensity. When the frequency band
ピーク条件決定手段16は、変動率pに基づいて、ピーク判定用しきい値を決定する。ピーク条件決定手段16は、例えば変動率pに比例する値を、ピーク判定用しきい値として決定する。ピーク条件決定手段16が変動率pに比例する値をピーク判定用しきい値とする場合、その比例係数をaとすれば、aの値としては、“0.8”や“1”、“1.4”などが考えられる。つまり、ピーク判定用しきい値として、pよりも小さい値や、pと同じ値、pより大きい値などが考えられる。これは、時間軸分布と周波数軸分布とは、同じログ情報を基に生成されるものであり、同じ傾向を示すことに起因している。
The peak
ピーク判定用しきい値は、上記した変動率pに比例するものに限られない。ピーク条件決定手段16は、変動率pを変数とする所定の関数を用いて、変動率pから、ピーク判定用しきい値を決定してもよい。変動率pと、ピーク判定用しきい値とは、正の相関関係を有することが好ましい。つまり、ピーク判定用しきい値の決定に用いる関数は、変動率pが大きいほど、ピーク判定用しきい値が大きくなる関数とすることが好ましい。ピーク判定用しきい値の決定に用いる関数は、ステップ状の関数でも構わない。
The threshold value for peak determination is not limited to the value proportional to the above-described variation rate p. The peak
ピーク条件決定手段16は、ピーク判定用しきい値を決定すると、決定したピーク判定用しきい値を異常特定手段15に通知する。異常特定手段15は、詳細ログ情報の時間軸分布が、ピーク判定用しきい値以上変動する時点を、ピークとして検出する。より詳細には、異常特定手段15は、分析対象の時間範囲よりも前の時間における詳細ログ情報の平均を通常時の値とし、分析対象の時間範囲において、詳細ログ情報が通常時よりもピーク判定用しきい値以上変動する時点をピークとして検出する。
When the peak
図12に、詳細ログ情報の時間軸分布を示す。異常特定手段15は、ピーク条件決定手段16から、ピーク判定用しきい値を受け取る。或いは、ピーク条件決定手段16から変動率pを受け取り、異常特定手段15内で変動率pからピーク判定用しきい値を求めてもよい。異常特定手段15は、詳細ログ情報がピーク判定用しきい値以上変動する時点をピークとして検出する。ピーク判定用しきい値は、変動率pが大きいほど大きくなるので、概要ログ情報の周波数軸分布の変動が大きいときは、詳細ログ情報の時間軸分布が大きく変動する部分がピークとして検出されることになる。
FIG. 12 shows the time axis distribution of the detailed log information. The
なお、変動率pは、異常発生の検出から所定時間経過後(図11では時刻t1)に判明することになるので、異常特定手段15は、異常発生の検出時刻t0よりも遅い時刻t1以後にピーク判定用しきい値の通知を受けることになる。本実施形態では、異常特定手段15が詳細ログ情報を分析する時間範囲は、変動率pが求められた時刻(ピーク判定用しきい値が決定した時刻)から所定時間さかのぼった時間としてもよい。すなわち、図12に示すように、監視対象の周波数帯の下限周波数をfAとして、変動率pが求まった時刻t1から、時刻(t1−(1/fA))までの時間範囲を、詳細ログ情報を分析する時間範囲としてもよい。
Since the fluctuation rate p is determined after a predetermined time has elapsed from the detection of the occurrence of the abnormality (time t1 in FIG. 11), the
続いて、動作手順について説明する。全体的な動作手順は、図8に示す第1実施形態における手順と同様である。周波数帯強度監視手段14は、ステップA4で監視対象の周波数帯における周波数帯強度の変動がしきい値を超えたことを検出すると、その検出前後での周波数帯強度の変動率を求める。周波数帯強度監視手段14は、求めた変動率に応じて、ピーク判定用しきい値を決定し、異常特定手段15に通知する。異常特定手段15は、ステップA5では、詳細ログ情報の時間軸分布が通知されたピーク判定用しきい値以上変動する時点をピークとして検出し、異常の発生源を特定する。
Subsequently, an operation procedure will be described. The overall operation procedure is the same as that in the first embodiment shown in FIG. When the frequency band
本実施形態では、異常発生検出前後の周波数帯強度の変動に基づいて、ピーク検出の際のピーク検出条件を決定するピーク決定手段を用いる。ピーク検出条件を異常発生検出前後の周波数帯強度の変動に基づいて決定することで、周波数帯強度の変動の大きさに合わせて、ピークと判定される詳細ログ情報の時間軸分布の変動の大きさを変化させることができる。例えば、ピーク検出条件となるピーク判定しきい値を、異常発生検出前後の周波数帯強度の変動率に比例した値とする場合、概要ログ情報の周波数軸分布の変動が大きくなるにつれて、ピーク判定用しきい値も大きくなる。この場合、異常特定手段15は、詳細ログ情報の時間軸分布の変動が小さい時点をピークとして検出せず、変動が大きい時点をピークとして検出することになる。このようにすることで、異常特定手段15は、詳細ログ情報の時間軸分布に小さな変動が含まれる場合でも、それをピークとして検出せず、ピークを正しく検出できる。その他の効果は、第1実施形態と同様である。
In the present embodiment, a peak determination unit that determines a peak detection condition at the time of peak detection based on fluctuations in frequency band intensity before and after the occurrence of abnormality is used. By determining the peak detection condition based on the fluctuation of the frequency band intensity before and after detecting the occurrence of an abnormality, the magnitude of the fluctuation of the time axis distribution of the detailed log information that is determined to be a peak is matched to the magnitude of the fluctuation of the frequency band intensity. It can be changed. For example, when the peak determination threshold value that is a peak detection condition is set to a value proportional to the fluctuation rate of the frequency band intensity before and after the occurrence of an abnormality, the peak determination threshold is increased as the fluctuation of the frequency axis distribution of the summary log information increases. The threshold value also increases. In this case, the
図13は、本発明の第3実施形態のログ分析システムを示している。本実施形態のログ分析システム30は、図1に示す第1実施形態のログ分析システム10に、異常検出用しきい値決定手段17が追加された構成である。異常検出用しきい値決定手段17は、周波数帯強度監視手段14が周波数帯強度を監視する管理対象コンピュータ31の数に応じて、周波数帯強度監視手段14が異常発生を検出する際の概要ログ情報の周波数軸分布の変動のしきい値である異常検出用しきい値を決定する。ログ分析システム30は、ピーク条件決定手段16(図10)を有していてもよい。
FIG. 13 shows a log analysis system according to the third embodiment of the present invention. The
ログ情報収集手段11は、複数の管理対象コンピュータ31(図13では、3台の管理対象コンピュータ31a〜31c)から、ログ情報を収集する。周波数帯強度監視手段14は、同じ監視対象周波数について、3台の管理対象コンピュータ31における周波数帯強度の変化をそれぞれ監視する。例えば、図5に示す周波数帯Bを監視対象の周波数帯とする場合、周波数帯強度監視手段14は、管理対象コンピュータ31aにおける周波数帯Bの周波数帯強度の変化、管理対象コンピュータ31bにおける周波数帯Bの周波数帯強度の変化、及び、管理対象コンピュータ31cにおける周波数帯Bの周波数帯強度の変化を監視する。
The log
異常検出用しきい値決定手段17は、管理対象コンピュータ31の数に応じて、異常検出用しきい値を低下させる。より詳細には、管理対象コンピュータ31が1台のときのしきい値を基本しきい値として、管理対象コンピュータ31が増えるほど、異常検出用しきい値を基本しきい値から低下させる。異常検出用しきい値決定手段17は、決定した異常検出用しきい値を周波数帯強度監視手段14に通知する。周波数帯強度監視手段14は、周波数帯強度の変動が、通知された異常検出用しきい値以上であると、異常発生を検出する。
The abnormality detection threshold
異常検出用しきい値決定手段17は、例えば、基本しきい値を、管理対象コンピュータ数に反比例して低下させる。或いは、基本しきい値から、管理対象コンピュータ数に応じて、線形に低下させてもよい。異常検出用しきい値決定手段17は、異常検出用しきい値に下限を設け、管理対象コンピュータ数が増えたときでも、その下限よりも小さくならないようにしておくことが好ましい。これは、異常検出用しきい値を低くし過ぎると、周波数帯強度の少しの変動で異常発生が検出されることになるためである。
For example, the abnormality detection threshold
図14(a)〜(c)に、各管理対象コンピュータ31の周波数帯強度の時間変化を示す。異常検出用しきい値決定手段17は、管理対象コンピュータ数が1台のときは、図6に示すしきい値に相当する値を、異常判定検出用しきい値として決定する。異常検出用しきい値決定手段17は、管理対象コンピュータ数が3台のときは、上記基本しきい値よりも低い値を異常判定用しきい値とし、3台の管理対象コンピュータ31から同じような周波数帯強度の変動が観察されたときに、異常発生検出をより早く行う。これは、各管理対象コンピュータ31は、同じセキュリティポリシーで管理されていることが多く、同時に同じ攻撃を受ける可能があるためである。
14A to 14C show temporal changes in the frequency band intensity of each managed
本実施形態では、管理対象コンピュータ31の数に応じて、周波数帯強度監視手段14が異常発生を検出する際のしきい値である異常検出用しきい値を決定する異常検出用しきい値決定手段17を用いる。管理対象コンピュータ数に応じて、異常検出用しきい値を低下させることで、同時に攻撃を受ける可能性がある管理対象コンピュータ群について、異常発生の検出時刻を早めることができる。その他の効果については、第1実施形態と同様である。
In the present embodiment, an abnormality detection threshold value determination that determines an abnormality detection threshold value that is a threshold value when the frequency band
図15は、本発明の第4実施形態のログ分析システムを示している。本実施形態のログ分析システム50は、図1に示す第1実施形態のログ分析システム10に、周波数入力手段51と周波数帯強度分布出力手段52とが追加された構成である。周波数入力手段51及び周波数帯強度分布出力手段52は、オペレータに対する入出力機能を実現する手段である。ログ分析システム50は、ピーク条件決定手段16(図10)及び異常検出用しきい値決定手段17(図13)のいずれか一方、又は、双方を有していてもよい。
FIG. 15 shows a log analysis system according to the fourth embodiment of the present invention. The
周波数入力手段51は、周波数帯強度の監視状態を出力する監視対象の周波数帯を指定する。周波数帯の指定方法としては、種々の方法が考えられる。例えば、周波数帯の上限及び下限を指定する方法や、表示された周波数帯の中から出力対象の周波数帯を指定する方法などが考えられる。周波数帯強度分布出力手段52は、各管理対象コンピュータ31について、周波数入力手段51を用いて指定された周波数帯の周波数帯強度を、周波数帯強度生成元の管理対象コンピュータ31と対応付けて、ディスプレイなどの画面上に表示する。また、周波数帯強度分布出力手段52は、周波数帯強度の表示に加えて、周波数帯強度監視手段14が異常発生を検出した管理対象装置の色を、赤色などの目立つ色で表示してもよい。この場合、異常がどの装置で発生したかを、視覚的に視認しやすくなる。
The frequency input means 51 designates a monitoring target frequency band for outputting the monitoring state of the frequency band intensity. Various methods are conceivable as the method of specifying the frequency band. For example, a method of specifying an upper limit and a lower limit of a frequency band, a method of specifying a frequency band to be output from the displayed frequency bands, and the like can be considered. The frequency band intensity distribution output means 52 displays, for each
図16に、表示画面例を示す。表示画面は、出力対象の周波数帯を指定する周波数帯指定エリア220と、周波数帯強度の高低を表示する強度分布出力エリア230とを有する。ここでは、管理対象装置として、コンピュータ201(201a〜201c)やネットワーク装置202(202a〜202c)を考える。周波数帯指定エリア220には、周波数入力手段51が周波数帯を指定する際に用いる入力バーが表示される。強度分布出力エリア230には、管理対象のコンピュータ201やネットワーク装置202が、それらの接続関係を示すネットワークトポロジ上に表示されている。
FIG. 16 shows a display screen example. The display screen includes a frequency
オペレータは、マウスなどを用いて、周波数帯指定エリア220内の入力バーにおけるつまみ221の位置を移動し、所望の周波数帯を指定する。周波数入力手段51は、オペレータが指定した、つまみ221が位置する周波数帯を、周波数帯強度算出手段13に通知する。周波数帯強度算出手段13は、管理対象のコンピュータ201やネットワーク装置202について、通知された周波数帯の周波数帯強度を算出する。
The operator uses a mouse or the like to move the position of the
周波数帯強度分布出力手段52は、管理対象のコンピュータ201やネットワーク装置202の周波数帯強度を、グラフィカルに表示する。周波数帯強度分布出力手段52は、例えば、周波数帯強度が高いほど、管理対象のコンピュータ201やネットワーク装置202の図形の塗りつぶしの色を濃くすることで、各装置の周波数帯強度の強弱を表示する。塗りつぶしの色の濃淡に代えて、周波数帯強度に応じて、赤・青・黄・緑などの色を使い分けることで強度の強弱を表わしてもよい。また、色に代えて、管理対象のコンピュータ201やネットワーク装置202の図形の中、或いは、その周囲に、周波数帯強度の数値を表示してもよい。
The frequency band intensity
図17(a)〜(c)に、概要ログ情報の周波数軸分布を示す。図17(a)は、コンピュータ201aの概要ログ情報の周波数軸分布を示している。また、図17(b)は、コンピュータ201bの概要ログ情報の周波数軸分布を示し、図17(c)は、コンピュータ201cの概要ログ情報の周波数軸分布を示している。周波数入力手段51が、周波数帯B(f1<f<f2)を指定したとする。周波数帯強度算出手段13は、コンピュータ201a〜201cについて、周波数軸分布における周波数f1からf2までの強度の和を算出する。
17A to 17C show the frequency axis distribution of the summary log information. FIG. 17A shows the frequency axis distribution of the summary log information of the
コンピュータ201a〜201cにおける周波数帯強度を比較すると、コンピュータ201aにおける周波数帯強度とコンピュータ201cにおける周波数帯強度は同程度であり、コンピュータ201bにおける周波数帯強度は、他のコンピュータにおける周波数帯強度よりも低い。周波数帯強度分布出力手段52は、コンピュータ201a及び201cを、コンピュータ201bよりも濃い色で表示する。オペレータは、表示画面を見ることで、コンピュータ201a及び201cの周波数帯Bの周波数帯強度が高いことを把握することができる。
Comparing the frequency band intensities in the
本実施形態では、周波数帯強度算出手段13が算出した周波数帯強度を、算出元の管理対象コンピュータと対応付けて出力する周波数帯強度分布出力手段52を用いる。各管理対象装置の周波数帯強度は、時々刻々と変化する。周波数帯強度分布出力手段52が、各管理対象装置の周波数帯強度を、算出元の管理対象装置と対応付けて出力することで、オペレータは、各管理対象装置の周波数帯強度がどのように変化するかを把握することができる。特に、周波数帯強度分布出力手段52が、各管理対象装置の周波数帯強度を色や濃度で表す場合は、オペレータは、色や濃度の変化をみることで、どの装置で周波数帯強度に変動があるかを、容易に把握することができる。
In the present embodiment, a frequency band intensity
本実施形態では、管理対象装置をネットワークトポロジ上に表示し、管理対象装置の周波数帯強度をネットワーク構成と共に表示している。このようにする場合、ネットワーク上のどの装置で周波数帯強度が高くなっているかを、容易に把握することができる。複数の装置で連携して実行するサービスでは、関連する装置が同じような周期性を持つことが多い。管理対象装置をネットワークトポロジ上に表示することで、オペレータは、装置間の関連性をトポロジー情報と共に見ることができ、表示された情報を、装置間の関連性を見つけるのに役立てることができる。 In this embodiment, the management target device is displayed on the network topology, and the frequency band intensity of the management target device is displayed together with the network configuration. In this case, it is possible to easily grasp which device on the network has a high frequency band intensity. In a service executed in cooperation with a plurality of devices, related devices often have the same periodicity. By displaying the management target device on the network topology, the operator can see the relationship between the devices together with the topology information, and the displayed information can be used to find the relationship between the devices.
なお、上記各実施形態では、ログ分析システムがログ情報収集手段11を有する例について説明したが、ログ情報記憶手段21に既に概要ログ情報と詳細ログ情報とが記録されている状態であれば、ログ情報収集手段11は省略することができる。すなわち、あらかじめ収集しておいたログ情報を用いて、オフラインで異常発生を検出する場合は、ログ情報収集手段11、及び、図8のステップA1のログ情報収集の動作は省略してもよい。
In each of the above embodiments, an example in which the log analysis system includes the log
以上、本発明をその好適な実施形態に基づいて説明したが、本発明のログ分析システム、方法、及び、プログラムは、上記実施形態にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。 As described above, the present invention has been described based on the preferred embodiment. However, the log analysis system, method, and program of the present invention are not limited to the above embodiment, and various configurations are possible from the configuration of the above embodiment. Those modified and changed as described above are also included in the scope of the present invention.
10、20、30、50:ログ分析システム
11:ログ情報収集手段
12:周波数変換手段
13:周波数帯強度算出手段
14:周波数帯強度監視手段
15:異常特定手段
16:ピーク条件決定手段
17:異常検出用しきい値決定手段
21:ログ情報記憶手段
25:概要ログ情報
26:詳細ログ情報
31:管理対象コンピュータ
51:周波数入力手段
52:周波数帯強度分布出力手段
201:コンピュータ
202:ネットワーク装置
220:周波数帯指定エリア
221:つまみ
230:強度分布出力エリア
10, 20, 30, 50: Log analysis system 11: Log information collecting means 12: Frequency converting means 13: Frequency band intensity calculating means 14: Frequency band intensity monitoring means 15: Abnormality specifying means 16: Peak condition determining means 17: Abnormal Detection threshold determining means 21: log information storage means 25: summary log information 26: detailed log information 31: managed computer 51: frequency input means 52: frequency band intensity distribution output means 201: computer 202: network device 220: Frequency band designation area 221: Knob 230: Intensity distribution output area
Claims (15)
前記周波数変換手段が変換した概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する周波数帯強度算出手段と、
前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する周波数帯強度監視手段と、
前記周波数帯強度監視手段が異常発生を検出すると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する異常特定手段とを備えるログ分析システム。 Reference is made to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and frequency conversion means for converting the time axis distribution of the summary log information into a frequency axis distribution;
A frequency band intensity calculating means for calculating a frequency band intensity that is a sum of intensity in the frequency band to be monitored with reference to the frequency axis distribution of the summary log information converted by the frequency converting means;
A frequency band intensity monitoring means for monitoring a time change of the calculated frequency band intensity and detecting occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold;
When the frequency band intensity monitoring unit detects the occurrence of abnormality, the log information storage unit is referred to, and an abnormality that identifies an abnormality generation source based on a time axis distribution of detailed log information at a time that goes back a predetermined time from the abnormality occurrence time A log analysis system comprising a specifying means.
前記コンピュータが、前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出するステップと、
前記コンピュータが、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出するステップと、
前記コンピュータが、前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定するステップとを有するログ分析方法。 The computer refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and converts the time axis distribution of the summary log information into a frequency axis distribution;
The computer refers to the frequency axis distribution of the converted summary log information, and calculates a frequency band intensity that is a sum of the intensity in the frequency band to be monitored;
The computer monitors a time change of the calculated frequency band intensity, and detects occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold value;
When the computer detects the occurrence of an abnormality, the computer refers to the log information storage unit, and specifies an abnormality occurrence source based on a time axis distribution of detailed log information at a time going back a predetermined time from the abnormality occurrence time. And a log analysis method.
前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する処理と、
前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する処理と、
前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する処理とを、コンピュータに実行させるプログラム。 A process for converting the time axis distribution of the summary log information into a frequency axis distribution with reference to log information storage means for storing the detailed log information and summary log information obtained by integrating a plurality of detailed log information;
A process of calculating a frequency band intensity that is a sum of intensity in a frequency band to be monitored with reference to the frequency axis distribution of the converted summary log information;
Monitoring the time variation of the calculated frequency band intensity, and detecting the occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold;
When the occurrence of the abnormality is detected, the computer refers to the log information storage unit, and specifies the abnormality occurrence source based on the time axis distribution of the detailed log information at a time that goes back a predetermined time from the abnormality occurrence time. A program to be executed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008312517A JP2010134862A (en) | 2008-12-08 | 2008-12-08 | Log analysis system, method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008312517A JP2010134862A (en) | 2008-12-08 | 2008-12-08 | Log analysis system, method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010134862A true JP2010134862A (en) | 2010-06-17 |
Family
ID=42346073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008312517A Pending JP2010134862A (en) | 2008-12-08 | 2008-12-08 | Log analysis system, method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010134862A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013114372A (en) * | 2011-11-28 | 2013-06-10 | Nippon Telegr & Teleph Corp <Ntt> | Log analysis device, log analysis method and program |
WO2017115458A1 (en) * | 2015-12-28 | 2017-07-06 | 日本電気株式会社 | Log analysis system, method, and program |
CN107273296A (en) * | 2017-06-26 | 2017-10-20 | 上海传英信息技术有限公司 | The method of testing and test device of a kind of software |
CN107291911A (en) * | 2017-06-26 | 2017-10-24 | 北京奇艺世纪科技有限公司 | A kind of method for detecting abnormality and device |
JP2018049562A (en) * | 2016-09-23 | 2018-03-29 | 東芝テック株式会社 | Settlement device and program |
WO2018122890A1 (en) * | 2016-12-27 | 2018-07-05 | 日本電気株式会社 | Log analysis method, system, and program |
CN113497721A (en) * | 2020-03-20 | 2021-10-12 | 中国移动通信集团四川有限公司 | Network fault positioning method and device |
WO2022185535A1 (en) * | 2021-03-05 | 2022-09-09 | 日本電信電話株式会社 | Causal step identification device, causal step identification method, and program |
-
2008
- 2008-12-08 JP JP2008312517A patent/JP2010134862A/en active Pending
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013114372A (en) * | 2011-11-28 | 2013-06-10 | Nippon Telegr & Teleph Corp <Ntt> | Log analysis device, log analysis method and program |
WO2017115458A1 (en) * | 2015-12-28 | 2017-07-06 | 日本電気株式会社 | Log analysis system, method, and program |
US11221904B2 (en) | 2015-12-28 | 2022-01-11 | Nec Corporation | Log analysis system, log analysis method, and log analysis program |
JPWO2017115458A1 (en) * | 2015-12-28 | 2018-10-18 | 日本電気株式会社 | Log analysis system, method and program |
JP2018049562A (en) * | 2016-09-23 | 2018-03-29 | 東芝テック株式会社 | Settlement device and program |
JPWO2018122890A1 (en) * | 2016-12-27 | 2019-07-25 | 日本電気株式会社 | Log analysis method, system and program |
WO2018122890A1 (en) * | 2016-12-27 | 2018-07-05 | 日本電気株式会社 | Log analysis method, system, and program |
CN107291911A (en) * | 2017-06-26 | 2017-10-24 | 北京奇艺世纪科技有限公司 | A kind of method for detecting abnormality and device |
CN107291911B (en) * | 2017-06-26 | 2020-01-21 | 北京奇艺世纪科技有限公司 | Anomaly detection method and device |
CN107273296A (en) * | 2017-06-26 | 2017-10-20 | 上海传英信息技术有限公司 | The method of testing and test device of a kind of software |
CN113497721A (en) * | 2020-03-20 | 2021-10-12 | 中国移动通信集团四川有限公司 | Network fault positioning method and device |
CN113497721B (en) * | 2020-03-20 | 2023-08-01 | 中国移动通信集团四川有限公司 | Network fault positioning method and device |
WO2022185535A1 (en) * | 2021-03-05 | 2022-09-09 | 日本電信電話株式会社 | Causal step identification device, causal step identification method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010134862A (en) | Log analysis system, method, and program | |
JP6394726B2 (en) | Operation management apparatus, operation management method, and program | |
US8601575B2 (en) | Statistical method and system for network anomaly detection | |
CN106462702B (en) | Method and system for acquiring and analyzing electronic forensic data in a distributed computer infrastructure | |
US20080159165A1 (en) | Technique of Analyzing An Information System State | |
WO2011043447A1 (en) | Operational surveillance device, operational surveillance method and program storage medium | |
KR101161511B1 (en) | Power quality measuring apparatus and method for analysis of instantaneous voltage drop using thereof | |
US9948532B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
KR101187023B1 (en) | A network abnormal traffic analysis system | |
KR101281460B1 (en) | Method for anomaly detection using statistical process control | |
WO2017169949A1 (en) | Log analysis device, log analysis method, and recording medium for storing program | |
JP2009193238A (en) | System load monitoring method | |
Du et al. | ATOM: Automated tracking, orchestration and monitoring of resource usage in infrastructure as a service systems | |
JP2008244635A (en) | System, method, and program for monitoring network, and collecting device | |
CN116389304A (en) | SG-TMS-based network operation state trend analysis system | |
CN113810332B (en) | Encrypted data message judging method and device and computer equipment | |
JP2008079138A (en) | Communication monitoring system, flow collection apparatus, analysis manager apparatus, and program | |
JP2011114822A (en) | Device and method for managing network | |
KR101420230B1 (en) | Hacking Monitoring Method, Media Recorded with Program for Hacking Monitoring, and Terminal Embedded with Program for Hacking Monitoring | |
CN107634944B (en) | Information abnormity judgment method and system and computer device | |
CN104756448A (en) | Information processing device, information processing method, and program | |
JP6666872B2 (en) | Information processing apparatus, information processing method and program | |
US9054995B2 (en) | Method of detecting measurements in service level agreement based systems | |
JP2008171104A (en) | Monitoring apparatus, monitoring system, monitoring method and monitoring program for monitoring business service and system performance | |
JP2010130436A (en) | Communication band calculation method and apparatus, and traffic management method |