JP2010134862A - Log analysis system, method, and program - Google Patents

Log analysis system, method, and program Download PDF

Info

Publication number
JP2010134862A
JP2010134862A JP2008312517A JP2008312517A JP2010134862A JP 2010134862 A JP2010134862 A JP 2010134862A JP 2008312517 A JP2008312517 A JP 2008312517A JP 2008312517 A JP2008312517 A JP 2008312517A JP 2010134862 A JP2010134862 A JP 2010134862A
Authority
JP
Japan
Prior art keywords
abnormality
frequency band
log information
time
band intensity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008312517A
Other languages
Japanese (ja)
Inventor
Teruyuki Baba
輝幸 馬場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2008312517A priority Critical patent/JP2010134862A/en
Publication of JP2010134862A publication Critical patent/JP2010134862A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a log analysis system capable of detecting an abnormality and identifying an abnormality generation source, while suppressing a processing load required for log analysis. <P>SOLUTION: A frequency conversion means 12 converts a time axis distribution of schematic log information produced by integrating detailed log information into frequency axis distribution. A frequency band intensity calculation means 13 calculates a frequency band intensity in a frequency band to be supervised by referring to the frequency axis distribution of the schematic log information. A frequency band intensity supervision means 14 supervises a temporal change of the frequency band intensity, and detects an abnormality when the variation of the frequency band intensity becomes greater than or equal to a predetermined threshold. Based on the time axis distribution of the detailed log information at the time going back from the abnormality occurrence time by a predetermined time, an abnormality identification means 15 identifies the abnormality generation source. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、ログ分析システム、方法、及び、プログラムに関し、更に詳しくは、ログ情報に基づいて異常発生の検出を行うログ分析システム、方法、及び、プログラムに関する。   The present invention relates to a log analysis system, method, and program, and more particularly, to a log analysis system, method, and program for detecting occurrence of an abnormality based on log information.

異常発生時の原因究明や不正アクセスの検出、将来のリソース使用量の予測のために、システムの運用状態をログ情報として記録し、分析するログ分析システムが導入されている。コンピュータシステム内での異常発生の原因には、ウィルスやワームによるものがある。ウィルスやワームには、潜伏期間や発症期間があり、ある周期で発現するものがある。このような攻撃の周期性に着目して、未知のウィルスやワームの攻撃の兆候を検出する手法が提案されている。   In order to investigate the cause of an abnormality, detect unauthorized access, and predict future resource usage, a log analysis system that records and analyzes system operation status as log information has been introduced. Causes of abnormalities in computer systems are due to viruses and worms. Viruses and worms have a latent period and an onset period, and some viruses and worms appear in a certain cycle. Focusing on the periodicity of such attacks, a method for detecting signs of attacks of unknown viruses and worms has been proposed.

特許文献1には、ログ情報の周期性に着目したログ分析システムの一例が記載されている。特許文献1では、ログ情報の時間軸上での分布をフーリエ変換を用いて周波数軸上の分布へ変換し、周波数軸上での分布の変化を用いて異常を検出している。特許文献1では、周波数成分の強度が、過去の強度に対してある比率を超えると、異常と判断している。
特開2005−151289号公報 Patent Document 1 describes an example of a log analysis system that focuses on the periodicity of log information. In Patent Document 1, a distribution of log information on the time axis is converted into a distribution on the frequency axis using Fourier transform, and an abnormality is detected using a change in the distribution on the frequency axis. In patent document 1, when the intensity | strength of a frequency component exceeds a certain ratio with respect to the past intensity | strength, it determines with it being abnormal.
JP 2005-151289 A

特許文献1では、未知のウィルスやワームに感染したプログラム(アプリケーションソフトウェア)を特定するためには、常に、全てのプログラムについて、個別にリソース使用率やイベント発生量を周波数分析する必要がある。このため、特許文献1では、ログ分析に要する負荷が大きくなるという問題がある。   In Patent Document 1, in order to identify a program (application software) infected with an unknown virus or worm, it is always necessary to individually analyze the frequency of the resource usage rate and event occurrence amount for all programs. For this reason, Patent Document 1 has a problem that the load required for log analysis increases.

本発明は、ログ分析に要する処理負荷を抑えつつ、異常発生の検出及び異常発生源の特定が可能なログ分析システム、方法、及び、プログラムを提供することを目的とする。   An object of the present invention is to provide a log analysis system, method, and program capable of detecting an occurrence of an abnormality and specifying an abnormality occurrence source while suppressing a processing load required for log analysis.

上記目的を達成するために、本発明のログ分析システムは、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換する周波数変換手段と、前記周波数変換手段が変換した概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する周波数帯強度算出手段と、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する周波数帯強度監視手段と、前記周波数帯強度監視手段が異常発生を検出すると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する異常特定手段とを備えることを特徴とする。   In order to achieve the above object, the log analysis system of the present invention refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information. A frequency conversion means for converting the axial distribution into a frequency axis distribution, and a frequency for calculating a frequency band intensity that is a sum of intensity in the frequency band to be monitored with reference to the frequency axis distribution of the summary log information converted by the frequency conversion means Band strength calculation means, frequency band intensity monitoring means for monitoring the time variation of the calculated frequency band intensity and detecting the occurrence of anomaly when the fluctuation of the frequency band intensity exceeds a predetermined threshold, and the frequency band intensity When the monitoring unit detects the occurrence of an abnormality, the log information storage unit is referred to, and based on the time axis distribution of the detailed log information at a time going back a predetermined time from the abnormality occurrence time. Characterized in that it comprises an abnormality identifying means for identifying the source.

本発明のログ分析方法は、コンピュータが、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換するステップと、前記コンピュータが、前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出するステップと、前記コンピュータが、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出するステップと、前記コンピュータが、前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定するステップとを有することを特徴とする。   In the log analysis method of the present invention, a computer refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and sets the time axis distribution of the summary log information as a frequency axis. A step of converting to a distribution; the computer refers to a frequency axis distribution of the converted summary log information; and calculates a frequency band intensity that is a sum of intensity in a frequency band to be monitored; Monitoring the time variation of the calculated frequency band intensity, detecting the occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold, and the computer detecting the occurrence of the abnormality, Referring to the log information storage means, the abnormality source is specified based on the time axis distribution of the detailed log information at a time that goes back a predetermined time from the abnormality occurrence time. And having a step.

本発明のプログラムは、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換する処理と、前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する処理と、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する処理と、前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する処理とを、コンピュータに実行させることを特徴とする。   The program of the present invention refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and converts the time axis distribution of the summary log information into a frequency axis distribution , Referring to the frequency axis distribution of the converted summary log information, calculating the frequency band intensity that is the sum of the intensity in the frequency band to be monitored, and monitoring the temporal change of the calculated frequency band intensity. A process for detecting the occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold, and a time that goes back a predetermined time from the abnormality occurrence time with reference to the log information storage means when the occurrence of the abnormality is detected. Based on the time axis distribution of the detailed log information in the above, the computer is caused to execute processing for specifying an abnormality source.

本発明のログ分析システム、方法、及び、プログラムは、ログ分析に要する処理負荷を抑えつつ、異常発生の検出及び異常発生源の特定が可能である。   The log analysis system, method, and program of the present invention can detect the occurrence of abnormality and specify the source of abnormality while suppressing the processing load required for log analysis.

以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の第1実施形態のログ分析システムを示している。ログ分析システム10は、ログ情報収集手段11、周波数変換手段12、周波数帯強度算出手段13、周波数帯強度監視手段14、異常特定手段15、及び、ログ情報記憶手段21を有する。ログ分析システム10内の各部の機能は、コンピュータ上で所定のプログラムを実行することで実現できる。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 shows a log analysis system according to a first embodiment of the present invention. The log analysis system 10 includes a log information collection unit 11, a frequency conversion unit 12, a frequency band intensity calculation unit 13, a frequency band intensity monitoring unit 14, an abnormality identification unit 15, and a log information storage unit 21. The function of each unit in the log analysis system 10 can be realized by executing a predetermined program on a computer.

ログ分析システム10は、管理対象の装置と通信路を介して接続し、管理対象装置との間で情報交換が可能である。管理対象の装置は、コンピュータ、ネットワーク装置や、その他の装置である。図1では、管理対象の装置として、管理対象コンピュータ31を1つ図示している。管理対象コンピュータ31は、1台に限定されず、複数の管理対象コンピュータ31があってもよい。ログ分析システム10と管理対象コンピュータ31との間の通信路は、有線通信、無線通信、或いは、これらの混在などで実現できる。   The log analysis system 10 is connected to a management target device via a communication path, and can exchange information with the management target device. The devices to be managed are computers, network devices, and other devices. In FIG. 1, one management target computer 31 is illustrated as a management target apparatus. The management target computer 31 is not limited to one, and there may be a plurality of management target computers 31. The communication path between the log analysis system 10 and the management target computer 31 can be realized by wired communication, wireless communication, or a mixture thereof.

ログ情報収集手段11は、管理対象コンピュータ31から運用状態のログ情報を収集する。ログ情報収集手段11は、収集したログ情報を、ログ情報記憶手段21に保存する。ログ情報は、イベントの発生時刻、コンピュータの使用率、コンピュータ内におけるCPU、メモリ、動作しているプログラム(アプリケーション)の名前などを含む。管理対象装置がネットワーク装置であれば、ログ情報は、パケット数、帯域などのネットワーク装置の運用状態を示す情報を含んでいてよい。   The log information collection unit 11 collects log information on the operation status from the management target computer 31. The log information collection unit 11 stores the collected log information in the log information storage unit 21. The log information includes an event occurrence time, a computer usage rate, a CPU in the computer, a memory, a name of an operating program (application), and the like. If the management target device is a network device, the log information may include information indicating the operation state of the network device, such as the number of packets and the bandwidth.

ログ情報収集手段11は、例えば、定期的に、管理対象コンピュータ31からログ情報を取得する。或いは、ログ情報収集手段11は、管理対象コンピュータ31でイベントが発生した際に、ログ情報を取得してもよい。ログ情報収集手段11は、取得したログ情報を、詳細ログ情報と、複数の詳細ログ情報を統合した概要的なログ情報である概要ログ情報とに分けて、ログ情報記憶手段21に記録する。   The log information collection unit 11 acquires log information from the management target computer 31 periodically, for example. Alternatively, the log information collection unit 11 may acquire log information when an event occurs in the management target computer 31. The log information collection unit 11 records the acquired log information in the log information storage unit 21 by dividing it into detailed log information and general log information that is general log information obtained by integrating a plurality of detailed log information.

図2に、ログ情報記憶手段21を示す。概要ログ情報25は、概要的なログであり、詳細ログ情報26は、詳細ログである。ログ情報収集手段11は、収集したログ情報を詳細ログ情報26に記録する。ログ情報収集手段11は、複数の詳細ログ情報26を統合した統計値を、概要ログ情報25に記録する。   FIG. 2 shows the log information storage unit 21. The summary log information 25 is a summary log, and the detail log information 26 is a detail log. The log information collection unit 11 records the collected log information in the detailed log information 26. The log information collection unit 11 records a statistical value obtained by integrating a plurality of detailed log information 26 in the summary log information 25.

図3に、概要ログ情報25と詳細ログ情報26との具体例を示す。図3は、CPU使用率のログ情報を示している。詳細ログ情報26におけるCPU使用率は、コンピュータ内で実行されている各プログラムのCPU使用率である。概要ログ情報25におけるCPU使用率は、各プログラムのCPU使用率を統合したコンピュータ全体としてのCPU使用率である。ログ情報の取得元がネットワーク装置である場合は、ポートごとのパケット数を概要ログ情報とし、各ポート内での宛先アドレスごとのパケット数を詳細ログ情報とすることができる。ログ情報記憶手段21が記憶するログ情報は、記憶領域の有効活用のために、一定期間を経過したときに破棄してもよい。或いは、一定期間の経過後に、他の記憶手段に移動させてもよい。   FIG. 3 shows specific examples of the summary log information 25 and the detailed log information 26. FIG. 3 shows log information of the CPU usage rate. The CPU usage rate in the detailed log information 26 is the CPU usage rate of each program being executed in the computer. The CPU usage rate in the summary log information 25 is the CPU usage rate of the entire computer that integrates the CPU usage rates of the programs. When the log information acquisition source is a network device, the number of packets for each port can be used as summary log information, and the number of packets for each destination address within each port can be used as detailed log information. The log information stored in the log information storage unit 21 may be discarded when a certain period has elapsed in order to effectively use the storage area. Or you may move to another memory | storage means after progress of a fixed period.

周波数変換手段12は、ログ情報記憶手段21を参照し、概要ログ情報25から、概要ログ情報の時間軸上での分布を生成する。周波数変換手段12は、概要ログ情報がCPU使用率のように数値で表される情報であるときは、その数値を時間上にプロットして、概要ログ情報の時間軸分布を生成する。概要ログ情報がイベントの発生通知のように数値で表されない情報であるときは、各時間でのイベント発生数や発生頻度を求め、それを時間軸上にプロットすればよい。周波数変換手段12は、生成した概要ログ情報の時間軸分布を、周波数軸分布へ変換する。時間軸分布から周波数軸分布への変換には、フーリエ変換を用いることができる。   The frequency conversion unit 12 refers to the log information storage unit 21 and generates a distribution of the summary log information on the time axis from the summary log information 25. When the summary log information is information represented by a numerical value such as a CPU usage rate, the frequency conversion unit 12 plots the numerical value over time to generate a time axis distribution of the summary log information. When the summary log information is information that is not represented by a numerical value, such as an event occurrence notification, the number of event occurrences and the occurrence frequency at each time may be obtained and plotted on the time axis. The frequency conversion means 12 converts the time axis distribution of the generated summary log information into a frequency axis distribution. Fourier transform can be used for conversion from the time axis distribution to the frequency axis distribution.

図4に、管理対象コンピュータ31の負荷の時間変化の様子(時間軸分布)を示す。横軸は時刻を示し、縦軸は各時刻における負荷を示している。周波数変換手段12は、ログ情報記憶手段21から、各時刻における管理対象コンピュータ31の負荷を取得し、時間軸上にプロットする。負荷としては、CPUの使用率を用いることができる。   FIG. 4 shows how the load of the management target computer 31 changes with time (time axis distribution). The horizontal axis indicates time, and the vertical axis indicates the load at each time. The frequency conversion unit 12 acquires the load of the management target computer 31 at each time from the log information storage unit 21 and plots it on the time axis. As the load, the usage rate of the CPU can be used.

図5に、管理対象コンピュータ31の負荷の周波数軸分布を示す。横軸は周波数であり、縦軸は周波数成分の強度を表している。図5では、横軸を周波数として示しているが、周波数と繰り返し周期とは逆数で1対1の関係にあるので、横軸の周波数は繰り返しの時間周期ととることもできる。   FIG. 5 shows a frequency axis distribution of the load of the management target computer 31. The horizontal axis represents the frequency, and the vertical axis represents the intensity of the frequency component. In FIG. 5, the horizontal axis is shown as a frequency. However, since the frequency and the repetition period have a reciprocal one-to-one relationship, the frequency on the horizontal axis can be a repetition time period.

周波数変換手段12は、図4に示すCPU使用率の時間軸分布を周波数変換することで、図5に示すような周波数軸上の分布を求める。周波数変換手段12は、例えば所定時間経過ごとに、所定時間における概要ログ情報の時間軸分布を周波数軸分布に変換する。時間軸分布のどの時間帯を周波数変換するかによって周波数軸分布は異なるので、時間の経過と共に、周波数軸分布は変化することになる。   The frequency conversion means 12 obtains a distribution on the frequency axis as shown in FIG. 5 by frequency converting the time axis distribution of the CPU usage rate shown in FIG. The frequency conversion unit 12 converts the time axis distribution of the summary log information at a predetermined time into the frequency axis distribution, for example, every predetermined time. Since the frequency axis distribution differs depending on which time zone of the time axis distribution is frequency-converted, the frequency axis distribution changes with the passage of time.

周波数帯強度算出手段13は、概要ログ情報の周波数軸分布を参照し、周波数軸分布における監視対象の周波数帯の強度の和である周波数帯強度を算出する。周波数帯強度算出手段13は、例えば図5に示す周波数帯B(f1<f<f2)を監視対象の周波数帯として、周波数f1からf2までの範囲で強度を積分し、周波数帯Bの周波数帯強度を算出する。監視対象の周波数帯は1つには限られず、複数あってもよい。例えば、図5において、周波数帯A(f<f1)、周波数帯B(f1<f<f2)、周波数帯C(f>f2)の3つを監視対象とし、3つの周波数帯について、周波数帯強度を算出してもよい。   The frequency band intensity calculation means 13 refers to the frequency axis distribution of the summary log information and calculates a frequency band intensity that is the sum of the intensities of the frequency bands to be monitored in the frequency axis distribution. The frequency band intensity calculation means 13 integrates the intensity in the range from the frequency f1 to f2, for example, with the frequency band B (f1 <f <f2) shown in FIG. Calculate the intensity. The frequency band to be monitored is not limited to one and may be plural. For example, in FIG. 5, three frequency bands A (f <f1), frequency band B (f1 <f <f2), and frequency band C (f> f2) are monitored, and the three frequency bands The intensity may be calculated.

周波数帯の分割方法には、種々の方法が考えられる。例えば、周波数軸上で等間隔に分割する方法が考えられる。或いは、周波数帯の分割では、周波数帯の幅は不均一でもよい。周波数帯の幅が不均一になるような分割方法としては、各周波数帯の強度がほぼ均等になるように分割する方法などが考えられる。具体的には、例えば周波数帯の分割数を3つと決めておき、各周波数帯強度がほぼ同じ値になるように、3つの周波数帯強度の上限及び下限を調整する方法などが考えられる。或いは、全周波数の強度の総和を周波数帯の分割数で割った値を求めておき、周波数が低い側から強度を足していき、その値が強度の総和を分割数で割った値になる周波数を、周波数帯の境界周波数と決定していってもよい。   Various methods are conceivable as frequency band dividing methods. For example, a method of dividing at equal intervals on the frequency axis is conceivable. Alternatively, in the frequency band division, the frequency band width may be non-uniform. As a dividing method in which the width of the frequency band is not uniform, a method of dividing the frequency band so that the intensities of the frequency bands are almost equal can be considered. Specifically, for example, a method of determining the number of frequency band divisions as three and adjusting the upper and lower limits of the three frequency band intensities so that the frequency band intensities have substantially the same value can be considered. Alternatively, find the value obtained by dividing the sum of the intensities of all frequencies by the number of divisions in the frequency band, add the intensity from the lower frequency side, and the value becomes the value obtained by dividing the sum of the intensities by the number of divisions. May be determined as the boundary frequency of the frequency band.

周波数帯強度算出手段13がどの周波数帯を監視対象として周波数帯強度を算出するかは、管理者が指定する。或いは、あらかじめ監視対象の周波数帯を固定的に決めておいてもよい。監視対象周波数帯の指定では、周波数帯が不均一に分割されているような場合などでは、複数の周波数帯のうちの周波数が高い側からi番目(iは、1から周波数帯の分割数までの間の何れかの整数)というように指定してもよい。   The administrator designates which frequency band the frequency band intensity calculation means 13 uses as the monitoring target to calculate the frequency band intensity. Alternatively, the frequency band to be monitored may be fixedly determined in advance. In the designation of the frequency band to be monitored, in the case where the frequency band is divided unevenly, the i th from the higher frequency side of the plurality of frequency bands (i is from 1 to the number of frequency band divisions) May be specified as any integer between.

周波数帯強度算出手段13は、算出した周波数帯の強度を周波数帯強度監視手段14に出力する。周波数帯強度監視手段14は、周波数帯強度算出手段13が算出した周波数帯強度の時間変化を監視し、周波数帯強度の変動に基づいて、監視対象周波数帯に異常が発生しているか否かを監視する。周波数帯強度監視手段14は、周波数帯強度の変動が所定のしきい値以上であると判断すると、異常発生を検出する。周波数帯強度監視手段14は、周波数帯強度算出手段13が複数の周波数帯の周波数帯強度を算出するときは、それら複数の周波数帯にて異常が発生しているか否かを監視してもよい。このとき、異常発生の判断に用いるしきい値は、周波数帯ごとに異なっていてもよく、或いは、各周波数帯で同じ値であってもよい。   The frequency band intensity calculating unit 13 outputs the calculated frequency band intensity to the frequency band intensity monitoring unit 14. The frequency band intensity monitoring means 14 monitors the time variation of the frequency band intensity calculated by the frequency band intensity calculating means 13 and determines whether an abnormality has occurred in the monitoring target frequency band based on the fluctuation of the frequency band intensity. Monitor. When the frequency band intensity monitoring unit 14 determines that the fluctuation of the frequency band intensity is greater than or equal to a predetermined threshold value, it detects the occurrence of an abnormality. When the frequency band intensity calculating unit 13 calculates the frequency band intensity of a plurality of frequency bands, the frequency band intensity monitoring unit 14 may monitor whether or not an abnormality has occurred in the plurality of frequency bands. . At this time, the threshold value used for determining the occurrence of abnormality may be different for each frequency band, or may be the same value in each frequency band.

図6に、周波数帯強度の時間変化の様子を示す。図6に示すグラフは、図5における周波数帯Bにおける周波数帯強度の時間変化に相当する。周波数帯強度監視手段14は、現在よりも所定時間前の周波数帯強度の平均を、通常時レベルとして保持する。周波数帯強度監視手段14は、通常時レベルと周波数帯強度との差が、所定のしきい値以上であると、つまり、周波数帯強度が、通常時レベルからしきい値以上変動すると、異常発生を検出する。周波数帯強度監視手段14は、異常発生を検出すると、異常発生と判断した周波数帯と、異常発生時刻(t0)とを、異常特定手段15に通知する。   FIG. 6 shows how the frequency band intensity changes with time. The graph shown in FIG. 6 corresponds to the time change of the frequency band intensity in the frequency band B in FIG. The frequency band intensity monitoring means 14 holds the average of the frequency band intensity for a predetermined time before the present as the normal level. The frequency band intensity monitoring means 14 generates an abnormality when the difference between the normal level and the frequency band intensity is greater than or equal to a predetermined threshold value, that is, when the frequency band intensity fluctuates by more than the threshold value from the normal level. Is detected. When detecting the occurrence of abnormality, the frequency band intensity monitoring unit 14 notifies the abnormality specifying unit 15 of the frequency band determined to be abnormal and the abnormality occurrence time (t0).

異常特定手段15は、異常発生の通知を受けると、ログ情報記憶手段21に保存された詳細ログ情報を分析し、周期性を有する異常の発生源を特定(推定)する。より詳細には、異常特定手段15は、異常発生時刻t0から、異常発生時刻t0よりも所定時間さかのぼった時刻までの時間範囲の詳細ログ情報を分析対象とし、その時間範囲の詳細ログ情報の時間軸分布を求める。その後、異常特定手段15は、詳細ログ情報の時間軸分布におけるピークを検出する。異常特定手段15は、ピークの検出では、分析対象の時間範囲よりも前の時間における詳細ログ情報の平均を通常時の値とし、分析対象の時間範囲において、詳細ログ情報が通常時よりも所定のしきい値以上変動する時点をピークとして検出する。異常特定手段15は、検出したピーク数に応じて、異常の発生源を特定する。   Upon receiving the notification of the occurrence of abnormality, the abnormality identification unit 15 analyzes the detailed log information stored in the log information storage unit 21 and identifies (estimates) the occurrence source of the abnormality having periodicity. More specifically, the abnormality specifying unit 15 analyzes the detailed log information in the time range from the abnormality occurrence time t0 to a time that is a predetermined time before the abnormality occurrence time t0, and the time of the detailed log information in the time range. Find the axial distribution. Thereafter, the abnormality specifying unit 15 detects a peak in the time axis distribution of the detailed log information. In the peak detection, the abnormality specifying unit 15 sets the average of the detailed log information in the time before the time range to be analyzed as a normal value, and the detailed log information is predetermined in the time range to be analyzed than in the normal time. A point in time that fluctuates more than the threshold value is detected as a peak. The abnormality identification unit 15 identifies the source of the abnormality according to the detected number of peaks.

図7に、詳細ログ情報におけるCPU使用率の時間軸分布を示す。周波数帯強度監視手段14は、時刻t0で、監視対象の周波数帯における周波数帯強度の変動がしきい値を超えたことを検出し、異常発生を検出する。異常特定手段15は、異常発生検出の通知を受けると、ログ情報記憶手段21を参照し、異常発生時刻t0から、異常発生時刻t0よりも一定の時間さかのぼった時刻までの時間範囲の詳細ログ情報26の時間軸分布を分析する。異常特定手段15は、その時間範囲での詳細ログ情報のピーク、例えばプログラムごとのCPU使用率のピーク数をカウントし、そのピーク数から、当該詳細ログ情報の生成元が異常の発生源であるか否かを判断する。   FIG. 7 shows a time axis distribution of the CPU usage rate in the detailed log information. The frequency band intensity monitoring means 14 detects that the fluctuation of the frequency band intensity in the frequency band to be monitored has exceeded the threshold at time t0, and detects the occurrence of an abnormality. Upon receiving the notification of the occurrence of abnormality, the abnormality identification unit 15 refers to the log information storage unit 21, and detailed log information in a time range from the abnormality occurrence time t0 to a time that is a fixed time before the abnormality occurrence time t0. 26 time-axis distributions are analyzed. The abnormality specifying unit 15 counts the peak of detailed log information in the time range, for example, the peak number of the CPU usage rate for each program, and the generation source of the detailed log information is the source of the abnormality from the peak number. Determine whether or not.

異常特定手段15が異常の発生源の特定の際に分析する詳細ログ情報の時間範囲は、異常発生時刻より異常発生が検出された周波数帯の下限周波数の逆数よりも長い時間前の時刻から、異常発生時刻までとする。つまり、異常特定手段15は、異常発生時刻t0から監視対象の周波数帯の下限周波数の周期時間以上さかのぼった時間における詳細ログ情報を分析する。例えば、異常発生が検出された周波数帯が図5に示す周波数帯B(上限周波数f2、下限周波数f1)であったとき、異常特定手段15は、時刻t0−(1/f1)よりも前の時刻から、時刻t0までの間の詳細ログ情報を分析する。   The time range of the detailed log information analyzed when the abnormality identification unit 15 identifies the occurrence source of the abnormality is from a time before a time longer than the reciprocal of the lower limit frequency of the frequency band where the abnormality is detected from the abnormality occurrence time. Until the time of occurrence of abnormality. In other words, the abnormality specifying unit 15 analyzes the detailed log information in a time that goes back from the abnormality occurrence time t0 by the period time of the lower limit frequency of the frequency band to be monitored. For example, when the frequency band where the occurrence of abnormality is detected is the frequency band B shown in FIG. 5 (upper limit frequency f2, lower limit frequency f1), the abnormality specifying unit 15 determines the time before time t0- (1 / f1). Detailed log information from time to time t0 is analyzed.

異常特定手段15は、上記時間範囲の詳細ログ情報の時間軸分布におけるピーク数をカウントし、ピーク数が1から周波数帯の上限周波数(f)と下限周波数(f)との比(f/f)との間にあれば、その詳細ログ情報の生成元、つまりは、その詳細ログ情報を出力したプログラムを異常の発生源と特定する。これは、例えば周波数帯Bの場合、(1/f1)の時間に異常を生じた周波数帯の下限である周波数f1のピーク数は1個となり、上限周波数であるf2のピーク数は(f2/f1)個となり、f1とf2との間にある周波数でのピーク数は1個から(f2/f1)個の間となるからである。このような理由から、さかのぼる時間と異常原因と判断するピーク数の上限・下限の比率は、(1/f1):1:(f2/f1)であることが望ましい。 The abnormality specifying means 15 counts the number of peaks in the time axis distribution of the detailed log information in the above time range, and the ratio of the peak number from 1 to the upper limit frequency (f B ) and the lower limit frequency (f A ) of the frequency band (f B / f A ), the generation source of the detailed log information, that is, the program that output the detailed log information is identified as the source of the abnormality. For example, in the case of the frequency band B, the number of peaks of the frequency f1, which is the lower limit of the frequency band in which the abnormality occurred at the time of (1 / f1), is 1, and the peak number of the upper limit frequency f2 is (f2 / This is because the number of peaks at a frequency between f1 and f2 is between 1 and (f2 / f1). For these reasons, it is desirable that the ratio between the retroactive time and the upper limit / lower limit of the number of peaks determined to be the cause of the abnormality is (1 / f1): 1: (f2 / f1).

さかのぼる時間、つまり、詳細ログ情報を分析する時間範囲については、下限周波数でのピークが1回は観測されるべきであるので、下限周波数の1周期時間よりも長い時間とすることが望ましい。また、異常発生の時間間隔は若干のばらつきを含むことがあるため、分析対象時間を上記比率よりも長く設定し、或いは、異常と判断するピーク数の幅を広くするなどしてもよい。   With respect to the retroactive time, that is, the time range for analyzing the detailed log information, since the peak at the lower limit frequency should be observed once, it is desirable that the time be longer than one cycle time of the lower limit frequency. In addition, since the time interval of occurrence of abnormality may include some variation, the analysis target time may be set longer than the above ratio, or the range of the number of peaks determined to be abnormal may be increased.

図8に、全体的な動作手順を示す。ログ情報収集手段11は、ログ分析システム10と接続する管理対象コンピュータ31から、運用状態のログ情報を収集する(ステップA1)。ログ情報収集手段11は、収集したログ情報をログ情報記憶手段21に記録する。ログ情報収集手段11は、ログ情報を概要的なログ情報と詳細なログ情報とに分け、概要的なログ情報を概要ログ情報25(図2)に記録し、詳細なログ情報を詳細ログ情報26に記録する。     FIG. 8 shows the overall operation procedure. The log information collection unit 11 collects log information on the operation status from the management target computer 31 connected to the log analysis system 10 (step A1). The log information collection unit 11 records the collected log information in the log information storage unit 21. The log information collecting unit 11 divides log information into general log information and detailed log information, records the general log information in the general log information 25 (FIG. 2), and stores the detailed log information in the detailed log information. 26.

周波数変換手段12は、ログ情報記憶手段21から概要ログ情報を取得し、概要ログ情報の時間軸分布を周波数軸分布に変換する(ステップA2)。ステップA2では、周波数変換手段12は、例えば図4に示す管理対象コンピュータの負荷の時間軸分布をフーリエ変換し、図5に示す周波数軸分布を生成する。周波数帯強度算出手段13は、周波数軸分布内の監視対象周波数帯に含まれる周波数帯強度の合計を算出する(ステップA3)。周波数帯強度算出手段13は、監視対象の周波数帯が複数あるときは、そのそれぞれについて、周波数帯強度を算出する。   The frequency conversion means 12 acquires the summary log information from the log information storage means 21, and converts the time axis distribution of the summary log information into the frequency axis distribution (step A2). In step A2, the frequency conversion means 12 performs, for example, Fourier transform on the load time axis distribution of the management target computer shown in FIG. 4 to generate the frequency axis distribution shown in FIG. The frequency band intensity calculation means 13 calculates the sum of the frequency band intensity included in the monitoring target frequency band in the frequency axis distribution (step A3). When there are a plurality of frequency bands to be monitored, the frequency band intensity calculating means 13 calculates the frequency band intensity for each of them.

周波数帯強度監視手段14は、監視対象周波数帯における周波数帯強度の時間変化を監視し、周波数帯強度の変動がしきい値を超えると、異常発生を検出する(ステップA4)。周波数帯強度監視手段14は、異常発生を検出すると、異常が発生した周波数帯、つまりは、どの監視対象周波数帯で異常が発生したかを示す情報と、異常発生時刻とを、異常特定手段15に通知する。異常特定手段15は、ログ情報記憶手段21を参照し、詳細ログ情報を分析することで、周期性を有する異常の発生源を特定する(ステップA5)。   The frequency band intensity monitoring means 14 monitors the time change of the frequency band intensity in the monitoring target frequency band, and detects the occurrence of abnormality when the fluctuation of the frequency band intensity exceeds the threshold value (step A4). When the frequency band intensity monitoring unit 14 detects the occurrence of an abnormality, the frequency band where the abnormality has occurred, that is, the information indicating the monitoring target frequency band in which the abnormality has occurred, and the abnormality occurrence time, the abnormality specifying unit 15 Notify The abnormality identifying unit 15 refers to the log information storage unit 21 and analyzes the detailed log information to identify a source of abnormality having periodicity (step A5).

図9に、ステップA5の異常の発生源特定の手順を示す。ここでは、異常発生が検出された周波数帯が図5の周波数帯Bであるとし、ログ情報としては、CPU使用率を考える。異常特定手段15は、周波数帯強度監視手段14から、異常発生が検出された時刻t0と、異常発生周波数帯Bとが通知される(ステップB1、B2)。周波数帯強度監視手段14は、例えば異常発生周波数帯Bの下限周波数f1と上限周波数f2とを、異常特定手段15に通知する。或いは、異常発生周波数帯Bの識別情報を異常特定手段15に通知し、異常特定手段15が、監視対象の周波数帯の上限周波数と下限周波数とを管理するテーブルなどを参照して、下限周波数f1と上限周波数f2とを特定してもよい。   FIG. 9 shows the procedure for identifying the abnormality source in step A5. Here, it is assumed that the frequency band in which the occurrence of abnormality is detected is the frequency band B in FIG. 5, and the CPU usage rate is considered as log information. The abnormality identification unit 15 is notified of the time t0 when the occurrence of abnormality is detected and the abnormality occurrence frequency band B from the frequency band intensity monitoring unit 14 (steps B1 and B2). The frequency band intensity monitoring unit 14 notifies the abnormality specifying unit 15 of the lower limit frequency f1 and the upper limit frequency f2 of the abnormality occurrence frequency band B, for example. Alternatively, the abnormality identification unit 15 is notified of the identification information of the abnormality occurrence frequency band B, and the abnormality identification unit 15 refers to a table that manages the upper limit frequency and the lower limit frequency of the frequency band to be monitored, and the lower limit frequency f1. And the upper limit frequency f2.

異常特定手段15は、異常発生時刻t0よりも(1/f1)前の時刻(t0−(1/f1)から異常発生時刻t0までの時間範囲を、詳細ログ情報を分析する時間範囲とする。異常特定手段15は、詳細ログ情報26を参照し、分析時間範囲における各プログラムのCPU使用率の時間軸分布から、CPU使用率の時間変化のピーク数をカウントする(ステップB3)。異常特定手段15は、ステップB3では、管理対象コンピュータ31上で実行されているプログラムごとに、ピーク数をカウントする。   The abnormality specifying unit 15 sets a time range from the time (t0− (1 / f1)) before the abnormality occurrence time t0 to (1 / f1) to the abnormality occurrence time t0 as a time range for analyzing the detailed log information. The abnormality specifying unit 15 refers to the detailed log information 26, and counts the number of peaks of time change of the CPU usage rate from the time axis distribution of the CPU usage rate of each program in the analysis time range (step B3). In step B3, the number of peaks is counted for each program executed on the management target computer 31.

異常特定手段15は、ステップB3でカウントしたピーク数が1〜(f2/f1)の間にあるか否かを判断する(ステップB4)。異常特定手段15は、ピーク数が1〜(f2/f1)の間にあるときは、当該詳細ログ情報を出力したプログラムを、異常の発生源と特定する(ステップB5)。異常特定手段15は、特定した異常発生源のプログラムを、ディスプレイ等の出力装置に出力する。ピーク数が1〜(f2/f1)の間にないときは、処理を終了する。   The abnormality specifying means 15 determines whether or not the number of peaks counted in step B3 is between 1 and (f2 / f1) (step B4). When the number of peaks is between 1 and (f2 / f1), the abnormality specifying unit 15 specifies the program that has output the detailed log information as an abnormality source (step B5). The abnormality identification unit 15 outputs the identified abnormality source program to an output device such as a display. When the number of peaks is not between 1 and (f2 / f1), the process is terminated.

本実施形態では、周波数変換手段12は、概要ログ情報の時間軸分布を周波数軸分布に変換する。周波数帯強度算出手段13は、概要ログ情報の周波数軸分布から、監視対象の周波数帯の周波数帯強度を算出する。周波数帯強度監視手段14は、周波数帯強度の時間変化を監視し、周波数帯強度の変動がしきい値以上であると、異常発生を検出する。異常特定手段15は、異常発生が検出されると、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布を分析し、異常発生源を特定する。   In the present embodiment, the frequency conversion unit 12 converts the time axis distribution of the summary log information into the frequency axis distribution. The frequency band intensity calculating means 13 calculates the frequency band intensity of the frequency band to be monitored from the frequency axis distribution of the summary log information. The frequency band intensity monitoring means 14 monitors the time variation of the frequency band intensity, and detects the occurrence of an abnormality when the fluctuation of the frequency band intensity is equal to or greater than a threshold value. When an abnormality occurrence is detected, the abnormality identification unit 15 analyzes the time axis distribution of the detailed log information at a time that goes back a predetermined time from the abnormality occurrence time, and identifies the abnormality occurrence source.

本実施形態では、異常発生の検出の際には、概要ログ情報の周波数軸分布を用いている。周波数変化の対象となるログ情報を、概要ログ情報とすることで、詳細ログ情報を含む全てのログ情報に対して周波数変換を行う場合に比して、周波数変換に要する処理負担を軽減することができる。つまり、少ない処理負荷で、異常発生を検出できる。また、本実施形態では、異常発生源の特定に、詳細ログ情報の時間軸分布を用いる。異常が検出されれば、その時刻近辺の詳細ログ情報の時間軸分布を調べることで、異常な振る舞いをしているプログラムを発見することができ、異常発生源を特定することができる。本実施形態では、異常発生源の特定では、詳細ログ情報の周波数軸分布への変換は不要であるので、ログ分析に要する処理負荷を抑えつつ、異常発生源の特定が可能である。   In the present embodiment, the frequency axis distribution of the summary log information is used when detecting the occurrence of abnormality. Reducing the processing burden required for frequency conversion compared to when performing frequency conversion on all log information including detailed log information by making the log information subject to frequency change into summary log information Can do. That is, the occurrence of abnormality can be detected with a small processing load. In this embodiment, the time axis distribution of the detailed log information is used for specifying the abnormality generation source. If an abnormality is detected, by examining the time axis distribution of the detailed log information around that time, a program behaving abnormally can be found, and the source of the abnormality can be identified. In the present embodiment, it is not necessary to convert the detailed log information to the frequency axis distribution in specifying the abnormality source, so that the abnormality source can be specified while suppressing the processing load required for log analysis.

図10は、本発明の第2実施形態のログ分析システムを示している。本実施形態のログ分析システム20は、図1に示す第1実施形態のログ分析システム10に、ピーク条件決定手段16が追加された構成である。ピーク条件決定手段16は、周波数帯強度監視手段14が異常発生を検出する前後の周波数帯強度の変化に基づいて、異常特定手段15が詳細ログ情報の時間軸分布からピークを検出する際のピーク検出条件を決定する。より詳細には、ピーク条件決定手段16は、異常発生検出前後の周波数帯強度の変動率を求め、その変動率に基づいて、ピーク検出条件となる基準値(ピーク判定用しきい値)を決定する。   FIG. 10 shows a log analysis system according to the second embodiment of the present invention. The log analysis system 20 of this embodiment has a configuration in which a peak condition determination unit 16 is added to the log analysis system 10 of the first embodiment shown in FIG. The peak condition determining means 16 is a peak when the abnormality specifying means 15 detects a peak from the time axis distribution of the detailed log information based on the change in the frequency band intensity before and after the frequency band intensity monitoring means 14 detects the occurrence of the abnormality. Determine the detection conditions. More specifically, the peak condition determining means 16 obtains a fluctuation rate of the frequency band intensity before and after detecting the occurrence of an abnormality, and determines a reference value (peak determination threshold value) as a peak detection condition based on the fluctuation rate. To do.

図11に、周波数帯強度の時間変化を示す。ピーク条件決定手段16は、周波数帯強度監視手段14が異常発生を検出すると、異常発生前の周波数帯強度と、異常発生後の周波数帯強度との変動率pを求める。異常発生前の周波数帯強度は、例えば異常発生時刻t0よりも所定時間前の時刻から異常発生時刻t0までの周波数帯強度の平均として定義する。また、異常発生後の周波数帯強度は、例えば異常発生時刻t0から、異常発生時刻t0に所定時間を加えた時刻t1までの周波数帯強度の平均として定義する。   FIG. 11 shows the time change of the frequency band intensity. When the frequency band intensity monitoring unit 14 detects the occurrence of an abnormality, the peak condition determining unit 16 obtains a fluctuation rate p between the frequency band intensity before the occurrence of the abnormality and the frequency band intensity after the occurrence of the abnormality. The frequency band intensity before the occurrence of abnormality is defined as, for example, the average of the frequency band intensities from the time before the abnormality occurrence time t0 to the abnormality occurrence time t0. Further, the frequency band intensity after the occurrence of abnormality is defined as, for example, the average of the frequency band intensity from the abnormality occurrence time t0 to the time t1 obtained by adding a predetermined time to the abnormality occurrence time t0.

ピーク条件決定手段16は、変動率pに基づいて、ピーク判定用しきい値を決定する。ピーク条件決定手段16は、例えば変動率pに比例する値を、ピーク判定用しきい値として決定する。ピーク条件決定手段16が変動率pに比例する値をピーク判定用しきい値とする場合、その比例係数をaとすれば、aの値としては、“0.8”や“1”、“1.4”などが考えられる。つまり、ピーク判定用しきい値として、pよりも小さい値や、pと同じ値、pより大きい値などが考えられる。これは、時間軸分布と周波数軸分布とは、同じログ情報を基に生成されるものであり、同じ傾向を示すことに起因している。   The peak condition determining means 16 determines a peak determination threshold value based on the variation rate p. The peak condition determining means 16 determines, for example, a value proportional to the fluctuation rate p as a peak determination threshold value. When the peak condition determining means 16 uses a value proportional to the fluctuation rate p as a peak determination threshold value, if the proportionality coefficient is a, the value of a is “0.8”, “1”, “ 1.4 "etc. can be considered. That is, the peak determination threshold value may be a value smaller than p, the same value as p, or a value larger than p. This is because the time axis distribution and the frequency axis distribution are generated based on the same log information and show the same tendency.

ピーク判定用しきい値は、上記した変動率pに比例するものに限られない。ピーク条件決定手段16は、変動率pを変数とする所定の関数を用いて、変動率pから、ピーク判定用しきい値を決定してもよい。変動率pと、ピーク判定用しきい値とは、正の相関関係を有することが好ましい。つまり、ピーク判定用しきい値の決定に用いる関数は、変動率pが大きいほど、ピーク判定用しきい値が大きくなる関数とすることが好ましい。ピーク判定用しきい値の決定に用いる関数は、ステップ状の関数でも構わない。   The threshold value for peak determination is not limited to the value proportional to the above-described variation rate p. The peak condition determining means 16 may determine a peak determination threshold value from the variation rate p using a predetermined function having the variation rate p as a variable. It is preferable that the fluctuation rate p and the peak determination threshold value have a positive correlation. That is, it is preferable that the function used for determining the peak determination threshold value is a function that increases the peak determination threshold value as the variation rate p increases. The function used for determining the threshold for peak determination may be a step function.

ピーク条件決定手段16は、ピーク判定用しきい値を決定すると、決定したピーク判定用しきい値を異常特定手段15に通知する。異常特定手段15は、詳細ログ情報の時間軸分布が、ピーク判定用しきい値以上変動する時点を、ピークとして検出する。より詳細には、異常特定手段15は、分析対象の時間範囲よりも前の時間における詳細ログ情報の平均を通常時の値とし、分析対象の時間範囲において、詳細ログ情報が通常時よりもピーク判定用しきい値以上変動する時点をピークとして検出する。   When the peak condition determining unit 16 determines the peak determination threshold value, the peak condition determining unit 16 notifies the abnormality specifying unit 15 of the determined peak determination threshold value. The abnormality specifying unit 15 detects a point in time at which the time axis distribution of the detailed log information fluctuates more than a peak determination threshold value as a peak. More specifically, the abnormality specifying unit 15 sets the average of the detailed log information in the time before the time range to be analyzed as a normal value, and the detailed log information has a peak in the time range to be analyzed than in the normal time. A time point that fluctuates by more than the threshold for determination is detected as a peak.

図12に、詳細ログ情報の時間軸分布を示す。異常特定手段15は、ピーク条件決定手段16から、ピーク判定用しきい値を受け取る。或いは、ピーク条件決定手段16から変動率pを受け取り、異常特定手段15内で変動率pからピーク判定用しきい値を求めてもよい。異常特定手段15は、詳細ログ情報がピーク判定用しきい値以上変動する時点をピークとして検出する。ピーク判定用しきい値は、変動率pが大きいほど大きくなるので、概要ログ情報の周波数軸分布の変動が大きいときは、詳細ログ情報の時間軸分布が大きく変動する部分がピークとして検出されることになる。   FIG. 12 shows the time axis distribution of the detailed log information. The abnormality specifying unit 15 receives the peak determination threshold value from the peak condition determining unit 16. Alternatively, the fluctuation rate p may be received from the peak condition determining unit 16 and the peak determination threshold value may be obtained from the fluctuation rate p in the abnormality specifying unit 15. The abnormality specifying unit 15 detects a point in time when the detailed log information fluctuates by more than the peak determination threshold value as a peak. Since the peak determination threshold value increases as the fluctuation rate p increases, when the fluctuation of the frequency axis distribution of the summary log information is large, a portion where the time axis distribution of the detailed log information largely fluctuates is detected as a peak. It will be.

なお、変動率pは、異常発生の検出から所定時間経過後(図11では時刻t1)に判明することになるので、異常特定手段15は、異常発生の検出時刻t0よりも遅い時刻t1以後にピーク判定用しきい値の通知を受けることになる。本実施形態では、異常特定手段15が詳細ログ情報を分析する時間範囲は、変動率pが求められた時刻(ピーク判定用しきい値が決定した時刻)から所定時間さかのぼった時間としてもよい。すなわち、図12に示すように、監視対象の周波数帯の下限周波数をfとして、変動率pが求まった時刻t1から、時刻(t1−(1/f))までの時間範囲を、詳細ログ情報を分析する時間範囲としてもよい。 Since the fluctuation rate p is determined after a predetermined time has elapsed from the detection of the occurrence of the abnormality (time t1 in FIG. 11), the abnormality specifying unit 15 performs the time after the time t1 later than the detection time t0 of the abnormality occurrence. You will be notified of the threshold for peak judgment. In the present embodiment, the time range in which the abnormality specifying unit 15 analyzes the detailed log information may be a time that goes back a predetermined time from the time when the fluctuation rate p is obtained (the time when the peak determination threshold is determined). That is, as shown in FIG. 12, the time range from the time t1 when the variation rate p is determined to the time (t1- (1 / f A )) is detailed with the lower limit frequency of the frequency band to be monitored as f A. It is good also as a time range which analyzes log information.

続いて、動作手順について説明する。全体的な動作手順は、図8に示す第1実施形態における手順と同様である。周波数帯強度監視手段14は、ステップA4で監視対象の周波数帯における周波数帯強度の変動がしきい値を超えたことを検出すると、その検出前後での周波数帯強度の変動率を求める。周波数帯強度監視手段14は、求めた変動率に応じて、ピーク判定用しきい値を決定し、異常特定手段15に通知する。異常特定手段15は、ステップA5では、詳細ログ情報の時間軸分布が通知されたピーク判定用しきい値以上変動する時点をピークとして検出し、異常の発生源を特定する。   Subsequently, an operation procedure will be described. The overall operation procedure is the same as that in the first embodiment shown in FIG. When the frequency band intensity monitoring unit 14 detects that the fluctuation of the frequency band intensity in the frequency band to be monitored has exceeded the threshold value in step A4, the frequency band intensity monitoring unit 14 obtains the fluctuation rate of the frequency band intensity before and after the detection. The frequency band intensity monitoring unit 14 determines a peak determination threshold value according to the obtained variation rate, and notifies the abnormality specifying unit 15 of the threshold value. In step A5, the abnormality specifying unit 15 detects a time point when the time axis distribution of the detailed log information fluctuates more than the notified peak determination threshold as a peak, and specifies the source of the abnormality.

本実施形態では、異常発生検出前後の周波数帯強度の変動に基づいて、ピーク検出の際のピーク検出条件を決定するピーク決定手段を用いる。ピーク検出条件を異常発生検出前後の周波数帯強度の変動に基づいて決定することで、周波数帯強度の変動の大きさに合わせて、ピークと判定される詳細ログ情報の時間軸分布の変動の大きさを変化させることができる。例えば、ピーク検出条件となるピーク判定しきい値を、異常発生検出前後の周波数帯強度の変動率に比例した値とする場合、概要ログ情報の周波数軸分布の変動が大きくなるにつれて、ピーク判定用しきい値も大きくなる。この場合、異常特定手段15は、詳細ログ情報の時間軸分布の変動が小さい時点をピークとして検出せず、変動が大きい時点をピークとして検出することになる。このようにすることで、異常特定手段15は、詳細ログ情報の時間軸分布に小さな変動が含まれる場合でも、それをピークとして検出せず、ピークを正しく検出できる。その他の効果は、第1実施形態と同様である。   In the present embodiment, a peak determination unit that determines a peak detection condition at the time of peak detection based on fluctuations in frequency band intensity before and after the occurrence of abnormality is used. By determining the peak detection condition based on the fluctuation of the frequency band intensity before and after detecting the occurrence of an abnormality, the magnitude of the fluctuation of the time axis distribution of the detailed log information that is determined to be a peak is matched to the magnitude of the fluctuation of the frequency band intensity. It can be changed. For example, when the peak determination threshold value that is a peak detection condition is set to a value proportional to the fluctuation rate of the frequency band intensity before and after the occurrence of an abnormality, the peak determination threshold is increased as the fluctuation of the frequency axis distribution of the summary log information increases. The threshold value also increases. In this case, the abnormality specifying unit 15 does not detect the time point when the fluctuation of the time axis distribution of the detailed log information is small as a peak, but detects the time point when the fluctuation is large as a peak. By doing in this way, even if the abnormality specific | specification means 15 includes a small fluctuation | variation in the time-axis distribution of detailed log information, it cannot detect it as a peak, but can detect a peak correctly. Other effects are the same as those of the first embodiment.

図13は、本発明の第3実施形態のログ分析システムを示している。本実施形態のログ分析システム30は、図1に示す第1実施形態のログ分析システム10に、異常検出用しきい値決定手段17が追加された構成である。異常検出用しきい値決定手段17は、周波数帯強度監視手段14が周波数帯強度を監視する管理対象コンピュータ31の数に応じて、周波数帯強度監視手段14が異常発生を検出する際の概要ログ情報の周波数軸分布の変動のしきい値である異常検出用しきい値を決定する。ログ分析システム30は、ピーク条件決定手段16(図10)を有していてもよい。   FIG. 13 shows a log analysis system according to the third embodiment of the present invention. The log analysis system 30 of this embodiment has a configuration in which an abnormality detection threshold value determination unit 17 is added to the log analysis system 10 of the first embodiment shown in FIG. The abnormality detection threshold value determining means 17 is a summary log when the frequency band intensity monitoring means 14 detects the occurrence of an abnormality according to the number of managed computers 31 whose frequency band intensity monitoring means 14 monitors the frequency band intensity. An abnormality detection threshold value that is a threshold value for fluctuations in the frequency axis distribution of information is determined. The log analysis system 30 may have the peak condition determination means 16 (FIG. 10).

ログ情報収集手段11は、複数の管理対象コンピュータ31(図13では、3台の管理対象コンピュータ31a〜31c)から、ログ情報を収集する。周波数帯強度監視手段14は、同じ監視対象周波数について、3台の管理対象コンピュータ31における周波数帯強度の変化をそれぞれ監視する。例えば、図5に示す周波数帯Bを監視対象の周波数帯とする場合、周波数帯強度監視手段14は、管理対象コンピュータ31aにおける周波数帯Bの周波数帯強度の変化、管理対象コンピュータ31bにおける周波数帯Bの周波数帯強度の変化、及び、管理対象コンピュータ31cにおける周波数帯Bの周波数帯強度の変化を監視する。   The log information collecting unit 11 collects log information from a plurality of managed computers 31 (three managed computers 31a to 31c in FIG. 13). The frequency band intensity monitoring unit 14 monitors changes in the frequency band intensity in the three managed computers 31 for the same monitoring target frequency. For example, when the frequency band B shown in FIG. 5 is set as the frequency band to be monitored, the frequency band intensity monitoring unit 14 changes the frequency band intensity of the frequency band B in the management target computer 31a and the frequency band B in the management target computer 31b. Change in frequency band intensity and change in frequency band intensity of frequency band B in the managed computer 31c are monitored.

異常検出用しきい値決定手段17は、管理対象コンピュータ31の数に応じて、異常検出用しきい値を低下させる。より詳細には、管理対象コンピュータ31が1台のときのしきい値を基本しきい値として、管理対象コンピュータ31が増えるほど、異常検出用しきい値を基本しきい値から低下させる。異常検出用しきい値決定手段17は、決定した異常検出用しきい値を周波数帯強度監視手段14に通知する。周波数帯強度監視手段14は、周波数帯強度の変動が、通知された異常検出用しきい値以上であると、異常発生を検出する。   The abnormality detection threshold value determination unit 17 decreases the abnormality detection threshold value according to the number of the management target computers 31. More specifically, using the threshold value when there is one managed computer 31 as a basic threshold value, the abnormality detection threshold value is lowered from the basic threshold value as the managed computer 31 increases. The abnormality detection threshold value determination means 17 notifies the frequency band intensity monitoring means 14 of the determined abnormality detection threshold value. The frequency band intensity monitoring unit 14 detects the occurrence of an abnormality when the fluctuation in the frequency band intensity is equal to or greater than the notified abnormality detection threshold value.

異常検出用しきい値決定手段17は、例えば、基本しきい値を、管理対象コンピュータ数に反比例して低下させる。或いは、基本しきい値から、管理対象コンピュータ数に応じて、線形に低下させてもよい。異常検出用しきい値決定手段17は、異常検出用しきい値に下限を設け、管理対象コンピュータ数が増えたときでも、その下限よりも小さくならないようにしておくことが好ましい。これは、異常検出用しきい値を低くし過ぎると、周波数帯強度の少しの変動で異常発生が検出されることになるためである。   For example, the abnormality detection threshold value determination unit 17 decreases the basic threshold value in inverse proportion to the number of managed computers. Or you may reduce linearly according to the number of management object computers from a basic threshold. It is preferable that the abnormality detection threshold value determination means 17 sets a lower limit to the abnormality detection threshold value so that even when the number of computers to be managed increases, it does not become smaller than the lower limit. This is because if the abnormality detection threshold is made too low, the occurrence of abnormality is detected with a slight fluctuation in the frequency band intensity.

図14(a)〜(c)に、各管理対象コンピュータ31の周波数帯強度の時間変化を示す。異常検出用しきい値決定手段17は、管理対象コンピュータ数が1台のときは、図6に示すしきい値に相当する値を、異常判定検出用しきい値として決定する。異常検出用しきい値決定手段17は、管理対象コンピュータ数が3台のときは、上記基本しきい値よりも低い値を異常判定用しきい値とし、3台の管理対象コンピュータ31から同じような周波数帯強度の変動が観察されたときに、異常発生検出をより早く行う。これは、各管理対象コンピュータ31は、同じセキュリティポリシーで管理されていることが多く、同時に同じ攻撃を受ける可能があるためである。   14A to 14C show temporal changes in the frequency band intensity of each managed computer 31. FIG. The abnormality detection threshold value determination means 17 determines a value corresponding to the threshold value shown in FIG. 6 as the abnormality determination detection threshold value when the number of managed computers is one. When the number of computers to be managed is three, the abnormality detection threshold value determination means 17 sets a value lower than the basic threshold value as a threshold value for abnormality determination, and the same applies from the three managed computers 31. When abnormal frequency band intensity fluctuations are observed, abnormality detection is performed earlier. This is because each managed computer 31 is often managed with the same security policy and may be subjected to the same attack at the same time.

本実施形態では、管理対象コンピュータ31の数に応じて、周波数帯強度監視手段14が異常発生を検出する際のしきい値である異常検出用しきい値を決定する異常検出用しきい値決定手段17を用いる。管理対象コンピュータ数に応じて、異常検出用しきい値を低下させることで、同時に攻撃を受ける可能性がある管理対象コンピュータ群について、異常発生の検出時刻を早めることができる。その他の効果については、第1実施形態と同様である。   In the present embodiment, an abnormality detection threshold value determination that determines an abnormality detection threshold value that is a threshold value when the frequency band intensity monitoring unit 14 detects an abnormality according to the number of managed computers 31. Means 17 is used. By reducing the abnormality detection threshold according to the number of managed computers, the detection time of occurrence of abnormality can be advanced for managed computer groups that may be attacked simultaneously. Other effects are the same as in the first embodiment.

図15は、本発明の第4実施形態のログ分析システムを示している。本実施形態のログ分析システム50は、図1に示す第1実施形態のログ分析システム10に、周波数入力手段51と周波数帯強度分布出力手段52とが追加された構成である。周波数入力手段51及び周波数帯強度分布出力手段52は、オペレータに対する入出力機能を実現する手段である。ログ分析システム50は、ピーク条件決定手段16(図10)及び異常検出用しきい値決定手段17(図13)のいずれか一方、又は、双方を有していてもよい。   FIG. 15 shows a log analysis system according to the fourth embodiment of the present invention. The log analysis system 50 of this embodiment has a configuration in which a frequency input unit 51 and a frequency band intensity distribution output unit 52 are added to the log analysis system 10 of the first embodiment shown in FIG. The frequency input means 51 and the frequency band intensity distribution output means 52 are means for realizing an input / output function for the operator. The log analysis system 50 may include one or both of the peak condition determination unit 16 (FIG. 10) and the abnormality detection threshold value determination unit 17 (FIG. 13).

周波数入力手段51は、周波数帯強度の監視状態を出力する監視対象の周波数帯を指定する。周波数帯の指定方法としては、種々の方法が考えられる。例えば、周波数帯の上限及び下限を指定する方法や、表示された周波数帯の中から出力対象の周波数帯を指定する方法などが考えられる。周波数帯強度分布出力手段52は、各管理対象コンピュータ31について、周波数入力手段51を用いて指定された周波数帯の周波数帯強度を、周波数帯強度生成元の管理対象コンピュータ31と対応付けて、ディスプレイなどの画面上に表示する。また、周波数帯強度分布出力手段52は、周波数帯強度の表示に加えて、周波数帯強度監視手段14が異常発生を検出した管理対象装置の色を、赤色などの目立つ色で表示してもよい。この場合、異常がどの装置で発生したかを、視覚的に視認しやすくなる。   The frequency input means 51 designates a monitoring target frequency band for outputting the monitoring state of the frequency band intensity. Various methods are conceivable as the method of specifying the frequency band. For example, a method of specifying an upper limit and a lower limit of a frequency band, a method of specifying a frequency band to be output from the displayed frequency bands, and the like can be considered. The frequency band intensity distribution output means 52 displays, for each management target computer 31, the frequency band intensity of the frequency band specified using the frequency input means 51 in association with the management target computer 31 of the frequency band intensity generation source. Display on the screen. Further, the frequency band intensity distribution output unit 52 may display the color of the management target device in which the occurrence of the abnormality is detected by the frequency band intensity monitoring unit 14 in a prominent color such as red, in addition to the display of the frequency band intensity. . In this case, it becomes easy to visually recognize in which device the abnormality has occurred.

図16に、表示画面例を示す。表示画面は、出力対象の周波数帯を指定する周波数帯指定エリア220と、周波数帯強度の高低を表示する強度分布出力エリア230とを有する。ここでは、管理対象装置として、コンピュータ201(201a〜201c)やネットワーク装置202(202a〜202c)を考える。周波数帯指定エリア220には、周波数入力手段51が周波数帯を指定する際に用いる入力バーが表示される。強度分布出力エリア230には、管理対象のコンピュータ201やネットワーク装置202が、それらの接続関係を示すネットワークトポロジ上に表示されている。   FIG. 16 shows a display screen example. The display screen includes a frequency band designation area 220 for designating a frequency band to be output and an intensity distribution output area 230 for displaying the level of the frequency band intensity. Here, a computer 201 (201a to 201c) and a network device 202 (202a to 202c) are considered as management target devices. In the frequency band designation area 220, an input bar used when the frequency input means 51 designates a frequency band is displayed. In the intensity distribution output area 230, the management target computer 201 and the network device 202 are displayed on a network topology indicating their connection relationship.

オペレータは、マウスなどを用いて、周波数帯指定エリア220内の入力バーにおけるつまみ221の位置を移動し、所望の周波数帯を指定する。周波数入力手段51は、オペレータが指定した、つまみ221が位置する周波数帯を、周波数帯強度算出手段13に通知する。周波数帯強度算出手段13は、管理対象のコンピュータ201やネットワーク装置202について、通知された周波数帯の周波数帯強度を算出する。   The operator uses a mouse or the like to move the position of the knob 221 on the input bar in the frequency band designation area 220 and designates a desired frequency band. The frequency input means 51 notifies the frequency band intensity calculation means 13 of the frequency band designated by the operator where the knob 221 is located. The frequency band intensity calculating unit 13 calculates the frequency band intensity of the notified frequency band for the computer 201 and the network device 202 to be managed.

周波数帯強度分布出力手段52は、管理対象のコンピュータ201やネットワーク装置202の周波数帯強度を、グラフィカルに表示する。周波数帯強度分布出力手段52は、例えば、周波数帯強度が高いほど、管理対象のコンピュータ201やネットワーク装置202の図形の塗りつぶしの色を濃くすることで、各装置の周波数帯強度の強弱を表示する。塗りつぶしの色の濃淡に代えて、周波数帯強度に応じて、赤・青・黄・緑などの色を使い分けることで強度の強弱を表わしてもよい。また、色に代えて、管理対象のコンピュータ201やネットワーク装置202の図形の中、或いは、その周囲に、周波数帯強度の数値を表示してもよい。   The frequency band intensity distribution output unit 52 graphically displays the frequency band intensity of the computer 201 or network device 202 to be managed. For example, the frequency band intensity distribution output unit 52 displays the strength of the frequency band intensity of each device by darkening the color of the graphic fill of the managed computer 201 or the network device 202 as the frequency band intensity is higher. . The intensity strength may be expressed by using different colors such as red, blue, yellow, and green according to the frequency band intensity instead of the shade of the fill color. Further, instead of the color, the numerical value of the frequency band intensity may be displayed in or around the graphic of the management target computer 201 or the network device 202.

図17(a)〜(c)に、概要ログ情報の周波数軸分布を示す。図17(a)は、コンピュータ201aの概要ログ情報の周波数軸分布を示している。また、図17(b)は、コンピュータ201bの概要ログ情報の周波数軸分布を示し、図17(c)は、コンピュータ201cの概要ログ情報の周波数軸分布を示している。周波数入力手段51が、周波数帯B(f1<f<f2)を指定したとする。周波数帯強度算出手段13は、コンピュータ201a〜201cについて、周波数軸分布における周波数f1からf2までの強度の和を算出する。   17A to 17C show the frequency axis distribution of the summary log information. FIG. 17A shows the frequency axis distribution of the summary log information of the computer 201a. FIG. 17B shows the frequency axis distribution of the summary log information of the computer 201b, and FIG. 17C shows the frequency axis distribution of the summary log information of the computer 201c. Assume that the frequency input means 51 designates the frequency band B (f1 <f <f2). The frequency band intensity calculating means 13 calculates the sum of the intensities from the frequencies f1 to f2 in the frequency axis distribution for the computers 201a to 201c.

コンピュータ201a〜201cにおける周波数帯強度を比較すると、コンピュータ201aにおける周波数帯強度とコンピュータ201cにおける周波数帯強度は同程度であり、コンピュータ201bにおける周波数帯強度は、他のコンピュータにおける周波数帯強度よりも低い。周波数帯強度分布出力手段52は、コンピュータ201a及び201cを、コンピュータ201bよりも濃い色で表示する。オペレータは、表示画面を見ることで、コンピュータ201a及び201cの周波数帯Bの周波数帯強度が高いことを把握することができる。   Comparing the frequency band intensities in the computers 201a to 201c, the frequency band intensity in the computer 201a and the frequency band intensity in the computer 201c are approximately the same, and the frequency band intensity in the computer 201b is lower than the frequency band intensities in other computers. The frequency band intensity distribution output means 52 displays the computers 201a and 201c in a darker color than the computer 201b. The operator can grasp that the frequency band intensity of the frequency band B of the computers 201a and 201c is high by looking at the display screen.

本実施形態では、周波数帯強度算出手段13が算出した周波数帯強度を、算出元の管理対象コンピュータと対応付けて出力する周波数帯強度分布出力手段52を用いる。各管理対象装置の周波数帯強度は、時々刻々と変化する。周波数帯強度分布出力手段52が、各管理対象装置の周波数帯強度を、算出元の管理対象装置と対応付けて出力することで、オペレータは、各管理対象装置の周波数帯強度がどのように変化するかを把握することができる。特に、周波数帯強度分布出力手段52が、各管理対象装置の周波数帯強度を色や濃度で表す場合は、オペレータは、色や濃度の変化をみることで、どの装置で周波数帯強度に変動があるかを、容易に把握することができる。   In the present embodiment, a frequency band intensity distribution output unit 52 that outputs the frequency band intensity calculated by the frequency band intensity calculation unit 13 in association with the management target computer of the calculation source is used. The frequency band intensity of each managed device changes from moment to moment. The frequency band intensity distribution output means 52 outputs the frequency band intensity of each managed device in association with the management target device of the calculation source, so that the operator can change how the frequency band intensity of each managed device changes. You can figure out what to do. In particular, when the frequency band intensity distribution output unit 52 represents the frequency band intensity of each management target device by color or density, the operator can change the frequency band intensity by which device the change in color or density is observed. It can be easily grasped whether there is.

本実施形態では、管理対象装置をネットワークトポロジ上に表示し、管理対象装置の周波数帯強度をネットワーク構成と共に表示している。このようにする場合、ネットワーク上のどの装置で周波数帯強度が高くなっているかを、容易に把握することができる。複数の装置で連携して実行するサービスでは、関連する装置が同じような周期性を持つことが多い。管理対象装置をネットワークトポロジ上に表示することで、オペレータは、装置間の関連性をトポロジー情報と共に見ることができ、表示された情報を、装置間の関連性を見つけるのに役立てることができる。   In this embodiment, the management target device is displayed on the network topology, and the frequency band intensity of the management target device is displayed together with the network configuration. In this case, it is possible to easily grasp which device on the network has a high frequency band intensity. In a service executed in cooperation with a plurality of devices, related devices often have the same periodicity. By displaying the management target device on the network topology, the operator can see the relationship between the devices together with the topology information, and the displayed information can be used to find the relationship between the devices.

なお、上記各実施形態では、ログ分析システムがログ情報収集手段11を有する例について説明したが、ログ情報記憶手段21に既に概要ログ情報と詳細ログ情報とが記録されている状態であれば、ログ情報収集手段11は省略することができる。すなわち、あらかじめ収集しておいたログ情報を用いて、オフラインで異常発生を検出する場合は、ログ情報収集手段11、及び、図8のステップA1のログ情報収集の動作は省略してもよい。   In each of the above embodiments, an example in which the log analysis system includes the log information collection unit 11 has been described. However, if the summary log information and the detailed log information are already recorded in the log information storage unit 21, The log information collecting unit 11 can be omitted. That is, when an abnormality occurrence is detected offline using log information collected in advance, the log information collection unit 11 and the log information collection operation in step A1 in FIG. 8 may be omitted.

以上、本発明をその好適な実施形態に基づいて説明したが、本発明のログ分析システム、方法、及び、プログラムは、上記実施形態にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。   As described above, the present invention has been described based on the preferred embodiment. However, the log analysis system, method, and program of the present invention are not limited to the above embodiment, and various configurations are possible from the configuration of the above embodiment. Those modified and changed as described above are also included in the scope of the present invention.

本発明の第1実施形態のログ分析システムを示すブロック図。The block diagram which shows the log analysis system of 1st Embodiment of this invention. ログ情報記憶手段を示すブロック図。The block diagram which shows a log information storage means. 概要ログ情報と詳細ログ情報のデータ例を示すブロック図。The block diagram which shows the data example of summary log information and detailed log information. 概要ログ情報の時間軸分布を示すグラフ。The graph which shows the time-axis distribution of summary log information. 概要ログ情報の周波数軸分布を示すグラフ。The graph which shows the frequency-axis distribution of summary log information. 周波数帯強度の時間変化を示すグラフ。The graph which shows the time change of frequency band intensity. 詳細ログ情報の時間軸分布を示すグラフ。The graph which shows the time-axis distribution of detailed log information. 全体的な処理手順を示すフローチャート。The flowchart which shows the whole process sequence. 異常発生源特定の手順を示すフローチャート。The flowchart which shows the procedure of abnormality source identification. 本発明の第2実施形態のログ分析システムを示すブロック図。The block diagram which shows the log analysis system of 2nd Embodiment of this invention. 周波数帯強度の時間変化を示すグラフ。The graph which shows the time change of frequency band intensity. 詳細ログ情報の時間軸分布を示すグラフ。The graph which shows the time-axis distribution of detailed log information. 本発明の第3実施形態のログ分析システムを示すブロック図。The block diagram which shows the log analysis system of 3rd Embodiment of this invention. (a)〜(c)は、各管理対象コンピュータにおける周波数帯強度の時間変化を示すグラフ。(A)-(c) is a graph which shows the time change of the frequency band intensity in each management object computer. 本発明の第4実施形態のログ分析システムを示すブロック図。The block diagram which shows the log analysis system of 4th Embodiment of this invention. 表示画面例を示す図。The figure which shows the example of a display screen. (a)〜(c)は、各管理対象コンピュータにおける概要ログ情報の周波数軸分布を示すグラフ。(A)-(c) is a graph which shows the frequency-axis distribution of the outline log information in each management object computer.

符号の説明Explanation of symbols

10、20、30、50:ログ分析システム
11:ログ情報収集手段
12:周波数変換手段
13:周波数帯強度算出手段
14:周波数帯強度監視手段
15:異常特定手段
16:ピーク条件決定手段
17:異常検出用しきい値決定手段
21:ログ情報記憶手段
25:概要ログ情報
26:詳細ログ情報
31:管理対象コンピュータ
51:周波数入力手段
52:周波数帯強度分布出力手段
201:コンピュータ
202:ネットワーク装置
220:周波数帯指定エリア
221:つまみ
230:強度分布出力エリア 10, 20, 30, 50: Log analysis system 11: Log information collecting means 12: Frequency converting means 13: Frequency band intensity calculating means 14: Frequency band intensity monitoring means 15: Abnormality specifying means 16: Peak condition determining means 17: Abnormal Detection threshold determining means 21: log information storage means 25: summary log information 26: detailed log information 31: managed computer 51: frequency input means 52: frequency band intensity distribution output means 201: computer 202: network device 220: Frequency band designation area 221: Knob 230: Intensity distribution output area

Claims (15)

詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換する周波数変換手段と、
前記周波数変換手段が変換した概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する周波数帯強度算出手段と、
前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する周波数帯強度監視手段と、
前記周波数帯強度監視手段が異常発生を検出すると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する異常特定手段とを備えるログ分析システム。 Reference is made to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and frequency conversion means for converting the time axis distribution of the summary log information into a frequency axis distribution;
A frequency band intensity calculating means for calculating a frequency band intensity that is a sum of intensity in the frequency band to be monitored with reference to the frequency axis distribution of the summary log information converted by the frequency converting means;
A frequency band intensity monitoring means for monitoring a time change of the calculated frequency band intensity and detecting occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold;
When the frequency band intensity monitoring unit detects the occurrence of abnormality, the log information storage unit is referred to, and an abnormality that identifies an abnormality generation source based on a time axis distribution of detailed log information at a time that goes back a predetermined time from the abnormality occurrence time A log analysis system comprising a specifying means. 前記異常特定手段は、前記異常発生時刻から少なくとも前記監視対象の周波数帯の下限周波数の周期時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する、請求項1に記載のログ分析システム。   The abnormality identification unit identifies an abnormality occurrence source based on a time axis distribution of detailed log information in a time period that goes back at least from the period of the lower limit frequency of the frequency band to be monitored from the abnormality occurrence time. The described log analysis system. 前記異常特定手段は、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布からピークを検出し、検出したピークの数に基づいて、異常の発生源を特定する、請求項1又は2に記載のログ分析システム。   The abnormality specifying unit refers to the log information storage unit, detects a peak from a time axis distribution of detailed log information at a time that goes back a predetermined time from the abnormality occurrence time, and generates an abnormality based on the number of detected peaks The log analysis system according to claim 1 or 2, wherein a source is specified. 前記異常特定手段は、監視対象の周波数帯の下限周波数をf、上限周波数をfとして、前記検出したピーク数が1〜(f/f)の間にあるとき、当該詳細ログ情報の生成元を異常発生源として特定する、請求項3に記載のログ分析システム。 When the detected peak number is between 1 and (f B / f A ) where the lower limit frequency of the frequency band to be monitored is f A and the upper limit frequency is f B , the abnormality specifying means The log analysis system according to claim 3, wherein the generation source is identified as an abnormality source. 前記周波数帯強度監視手段が異常発生を検出する前後の周波数帯強度の変化量に基づいて、前記ピークを検出する際のピーク検出条件を決定するピーク条件決定手段を更に有する、請求項3又は4に記載のログ分析システム。   5. The peak condition determining means for determining a peak detection condition for detecting the peak based on the amount of change in the frequency band intensity before and after the occurrence of abnormality by the frequency band intensity monitoring means. Log analysis system described in. 前記ピーク条件決定手段は、前記異常発生の検出前における周波数帯強度と、前記異常発生の検出後の周波数帯強度との比である変動率を求め、前記異常特定手段は、前記詳細ログ情報の時間軸分布が、前記変動率に応じたピーク判定しきい値以上変動する時点を、ピークとして検出する、請求項5に記載のログ分析システム。   The peak condition determining means obtains a variation rate that is a ratio between a frequency band intensity before detection of the occurrence of the abnormality and a frequency band intensity after detection of the occurrence of the abnormality, and the abnormality specifying means is configured to store the detailed log information. The log analysis system according to claim 5, wherein a time point at which the time axis distribution fluctuates by more than a peak determination threshold corresponding to the fluctuation rate is detected as a peak. 管理対象の装置の数に応じて、前記周波数帯強度監視手段が異常発生を検出する際のしきい値である異常検出用しきい値を決定する異常検出用しきい値決定手段を更に備える、請求項1乃至6の何れか一に記載のログ分析システム。   According to the number of devices to be managed, the frequency band intensity monitoring means further includes an abnormality detection threshold value determining means for determining an abnormality detection threshold value that is a threshold value when detecting occurrence of an abnormality. The log analysis system according to any one of claims 1 to 6. 前記周波数帯強度算出手段が算出した周波数帯強度を、算出元の管理対象装置と対応付けて出力する周波数帯強度分布出力手段を更に有する、請求項1乃至7の何れか一に記載のログ分析システム。   The log analysis according to any one of claims 1 to 7, further comprising a frequency band intensity distribution output unit that outputs the frequency band intensity calculated by the frequency band intensity calculation unit in association with a management target apparatus that is a calculation source. system. 前記管理対象装置からログ情報を取得し、取得したログ情報を、前記ログ情報記憶手段に記録するログ情報収集手段を更に有する、請求項1乃至8の何れか一に記載のログ分析システム。   The log analysis system according to any one of claims 1 to 8, further comprising log information collection means for acquiring log information from the management target device and recording the acquired log information in the log information storage means. コンピュータが、詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換するステップと、
前記コンピュータが、前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出するステップと、
前記コンピュータが、前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出するステップと、
前記コンピュータが、前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定するステップとを有するログ分析方法。 The computer refers to log information storage means for storing detailed log information and summary log information obtained by integrating a plurality of detailed log information, and converts the time axis distribution of the summary log information into a frequency axis distribution;
The computer refers to the frequency axis distribution of the converted summary log information, and calculates a frequency band intensity that is a sum of the intensity in the frequency band to be monitored;
The computer monitors a time change of the calculated frequency band intensity, and detects occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold value;
When the computer detects the occurrence of an abnormality, the computer refers to the log information storage unit, and specifies an abnormality occurrence source based on a time axis distribution of detailed log information at a time going back a predetermined time from the abnormality occurrence time. And a log analysis method. 前記コンピュータは、前記異常発生源を特定するステップでは、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布からピークを検出し、検出したピークの数に基づいて、異常の発生源を特定する、請求項10に記載のログ分析方法。   In the step of identifying the abnormality occurrence source, the computer refers to the log information storage unit, detects a peak from a time axis distribution of detailed log information at a time that goes back a predetermined time from the abnormality occurrence time, and detects the detected peak The log analysis method according to claim 10, wherein a source of abnormality is specified based on the number. 前記コンピュータが、前記異常発生を検出する前後の周波数帯強度の変化量に基づいて、前記ピークを検出する際のピーク検出条件を決定するステップを更に有する、請求項11に記載のログ分析方法。   The log analysis method according to claim 11, further comprising: determining a peak detection condition for detecting the peak based on a change amount of frequency band intensity before and after detecting the occurrence of the abnormality. 詳細ログ情報と、複数の詳細ログ情報を統合した概要ログ情報とを記憶するログ情報記憶手段を参照し、前記概要ログ情報の時間軸分布を周波数軸分布に変換する処理と、
前記変換された概要ログ情報の周波数軸分布を参照し、監視対象の周波数帯における強度の和である周波数帯強度を算出する処理と、
前記算出された周波数帯強度の時間変化を監視し、周波数帯強度の変動が所定のしきい値以上になると異常発生を検出する処理と、
前記異常発生が検出されると、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布に基づいて、異常発生源を特定する処理とを、コンピュータに実行させるプログラム。 A process for converting the time axis distribution of the summary log information into a frequency axis distribution with reference to log information storage means for storing the detailed log information and summary log information obtained by integrating a plurality of detailed log information;
A process of calculating a frequency band intensity that is a sum of intensity in a frequency band to be monitored with reference to the frequency axis distribution of the converted summary log information;
Monitoring the time variation of the calculated frequency band intensity, and detecting the occurrence of an abnormality when the fluctuation of the frequency band intensity exceeds a predetermined threshold;
When the occurrence of the abnormality is detected, the computer refers to the log information storage unit, and specifies the abnormality occurrence source based on the time axis distribution of the detailed log information at a time that goes back a predetermined time from the abnormality occurrence time. A program to be executed. 前記異常発生源を特定する処理が、前記ログ情報記憶手段を参照し、異常発生時刻から所定時間さかのぼった時間における詳細ログ情報の時間軸分布からピークを検出する処理と、検出したピークの数に基づいて異常の発生源を特定する処理とを含む、請求項13に記載のプログラム。   The process of identifying the abnormality occurrence source refers to the log information storage means, detects the peak from the time axis distribution of the detailed log information at a time that goes back a predetermined time from the abnormality occurrence time, and the number of detected peaks The program of Claim 13 including the process which specifies the generation source of abnormality based on. 前記コンピュータに、前記異常発生を検出する前後の周波数帯強度の変化量に基づいて、前記ピークを検出する際のピーク検出条件を決定する処理を更に実行させる、請求項14に記載のプログラム。   The program according to claim 14, further causing the computer to further execute a process of determining a peak detection condition for detecting the peak based on a change amount of frequency band intensity before and after detecting the occurrence of the abnormality.
JP2008312517A 2008-12-08 2008-12-08 Log analysis system, method, and program Pending JP2010134862A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008312517A JP2010134862A (en) 2008-12-08 2008-12-08 Log analysis system, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008312517A JP2010134862A (en) 2008-12-08 2008-12-08 Log analysis system, method, and program

Publications (1)

Publication Number Publication Date
JP2010134862A true JP2010134862A (en) 2010-06-17

Family

ID=42346073

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008312517A Pending JP2010134862A (en) 2008-12-08 2008-12-08 Log analysis system, method, and program

Country Status (1)

Country Link
JP (1) JP2010134862A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013114372A (en) * 2011-11-28 2013-06-10 Nippon Telegr & Teleph Corp <Ntt> Log analysis device, log analysis method and program
WO2017115458A1 (en) * 2015-12-28 2017-07-06 日本電気株式会社 Log analysis system, method, and program
CN107273296A (en) * 2017-06-26 2017-10-20 上海传英信息技术有限公司 The method of testing and test device of a kind of software
CN107291911A (en) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 A kind of method for detecting abnormality and device
JP2018049562A (en) * 2016-09-23 2018-03-29 東芝テック株式会社 Settlement device and program
WO2018122890A1 (en) * 2016-12-27 2018-07-05 日本電気株式会社 Log analysis method, system, and program
CN113497721A (en) * 2020-03-20 2021-10-12 中国移动通信集团四川有限公司 Network fault positioning method and device
WO2022185535A1 (en) * 2021-03-05 2022-09-09 日本電信電話株式会社 Causal step identification device, causal step identification method, and program

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013114372A (en) * 2011-11-28 2013-06-10 Nippon Telegr & Teleph Corp <Ntt> Log analysis device, log analysis method and program
WO2017115458A1 (en) * 2015-12-28 2017-07-06 日本電気株式会社 Log analysis system, method, and program
US11221904B2 (en) 2015-12-28 2022-01-11 Nec Corporation Log analysis system, log analysis method, and log analysis program
JPWO2017115458A1 (en) * 2015-12-28 2018-10-18 日本電気株式会社 Log analysis system, method and program
JP2018049562A (en) * 2016-09-23 2018-03-29 東芝テック株式会社 Settlement device and program
JPWO2018122890A1 (en) * 2016-12-27 2019-07-25 日本電気株式会社 Log analysis method, system and program
WO2018122890A1 (en) * 2016-12-27 2018-07-05 日本電気株式会社 Log analysis method, system, and program
CN107291911A (en) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 A kind of method for detecting abnormality and device
CN107291911B (en) * 2017-06-26 2020-01-21 北京奇艺世纪科技有限公司 Anomaly detection method and device
CN107273296A (en) * 2017-06-26 2017-10-20 上海传英信息技术有限公司 The method of testing and test device of a kind of software
CN113497721A (en) * 2020-03-20 2021-10-12 中国移动通信集团四川有限公司 Network fault positioning method and device
CN113497721B (en) * 2020-03-20 2023-08-01 中国移动通信集团四川有限公司 Network fault positioning method and device
WO2022185535A1 (en) * 2021-03-05 2022-09-09 日本電信電話株式会社 Causal step identification device, causal step identification method, and program

Similar Documents

Publication Publication Date Title
JP2010134862A (en) Log analysis system, method, and program
JP6394726B2 (en) Operation management apparatus, operation management method, and program
US8601575B2 (en) Statistical method and system for network anomaly detection
CN106462702B (en) Method and system for acquiring and analyzing electronic forensic data in a distributed computer infrastructure
US20080159165A1 (en) Technique of Analyzing An Information System State
WO2011043447A1 (en) Operational surveillance device, operational surveillance method and program storage medium
KR101161511B1 (en) Power quality measuring apparatus and method for analysis of instantaneous voltage drop using thereof
US9948532B2 (en) Information processing apparatus, information processing method, and computer readable medium
KR101187023B1 (en) A network abnormal traffic analysis system
KR101281460B1 (en) Method for anomaly detection using statistical process control
WO2017169949A1 (en) Log analysis device, log analysis method, and recording medium for storing program
JP2009193238A (en) System load monitoring method
Du et al. ATOM: Automated tracking, orchestration and monitoring of resource usage in infrastructure as a service systems
JP2008244635A (en) System, method, and program for monitoring network, and collecting device
CN116389304A (en) SG-TMS-based network operation state trend analysis system
CN113810332B (en) Encrypted data message judging method and device and computer equipment
JP2008079138A (en) Communication monitoring system, flow collection apparatus, analysis manager apparatus, and program
JP2011114822A (en) Device and method for managing network
KR101420230B1 (en) Hacking Monitoring Method, Media Recorded with Program for Hacking Monitoring, and Terminal Embedded with Program for Hacking Monitoring
CN107634944B (en) Information abnormity judgment method and system and computer device
CN104756448A (en) Information processing device, information processing method, and program
JP6666872B2 (en) Information processing apparatus, information processing method and program
US9054995B2 (en) Method of detecting measurements in service level agreement based systems
JP2008171104A (en) Monitoring apparatus, monitoring system, monitoring method and monitoring program for monitoring business service and system performance
JP2010130436A (en) Communication band calculation method and apparatus, and traffic management method