JP2011128915A - Log collection device and log collection method thereof, log collection system and log collection method thereof - Google Patents
Log collection device and log collection method thereof, log collection system and log collection method thereof Download PDFInfo
- Publication number
- JP2011128915A JP2011128915A JP2009287050A JP2009287050A JP2011128915A JP 2011128915 A JP2011128915 A JP 2011128915A JP 2009287050 A JP2009287050 A JP 2009287050A JP 2009287050 A JP2009287050 A JP 2009287050A JP 2011128915 A JP2011128915 A JP 2011128915A
- Authority
- JP
- Japan
- Prior art keywords
- log
- mask
- unit
- mask data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、ログを収集するログ収集装置、ログ収集装置のログ収集方法、ログ収集システム、ログ収集システムのログ収集方法に関するものである。 The present invention relates to a log collection device for collecting logs, a log collection method for a log collection device, a log collection system, and a log collection method for a log collection system.
従来のログ収集方式では、ログのデータ形式(フォーマット)によって圧縮方式を切り替えることでログの圧縮効率を高め、ログ収集時のトラフィック負荷を削減する仕組みがある。 In the conventional log collection method, there is a mechanism that improves the compression efficiency of the log by switching the compression method depending on the data format (format) of the log and reduces the traffic load at the time of log collection.
従来の方式は、ログのデータ形式に応じて圧縮方法を切り替えるため、同じデータ形式でもログごとに最適な圧縮方法が異なるといった場合に圧縮方法の切り替えが発生しない。
また、ログごとに最適な圧縮方法を求めるには、毎回、ログをデータ解析してから最適な圧縮方法を選択する必要があり、解析処理によるCPU負荷や処理時間が生じる。
Since the conventional method switches the compression method according to the data format of the log, the compression method does not switch when the optimum compression method differs for each log even in the same data format.
Further, in order to obtain an optimal compression method for each log, it is necessary to select an optimal compression method after data analysis of the log every time, which causes CPU load and processing time due to analysis processing.
本発明は、例えば、ログの圧縮効率を高め、ログ収集時のトラフィック負荷等を削減することを目的とする。 An object of the present invention is, for example, to improve log compression efficiency and reduce traffic load and the like during log collection.
本発明のログ収集装置は、
計算機により行われた処理を示す複数のログに共通する部分データを示すマスクデータを記憶するマスクデータ記憶部と、
ログを入力するログ入力部と、
前記ログ入力部に入力されたログと前記マスクデータ記憶部に記憶されたマスクデータとに基づいて、前記部分データを省略したログをマスクログとして生成するマスクログ生成部とを備える。
The log collection device of the present invention
A mask data storage unit for storing mask data indicating partial data common to a plurality of logs indicating processing performed by the computer;
A log input section for inputting logs;
And a mask log generation unit configured to generate, as a mask log, a log in which the partial data is omitted based on the log input to the log input unit and the mask data stored in the mask data storage unit.
本発明によれば、例えば、ログ(マスクログ)の圧縮効率を高め、ログ収集時のトラフィック負荷等を削減できる。 According to the present invention, for example, the compression efficiency of a log (mask log) can be increased and the traffic load at the time of log collection can be reduced.
実施の形態1.
ログの共通部分を省略してログファイルのデータサイズを削減する形態について説明する。
A mode of reducing the log file data size by omitting the common part of the log will be described.
図1は、実施の形態1におけるログ監視システム100の構成図である。
実施の形態1におけるログ監視システム100の構成について、図1に基づいて以下に説明する。
FIG. 1 is a configuration diagram of a log monitoring system 100 according to the first embodiment.
The configuration of the log monitoring system 100 according to the first embodiment will be described below with reference to FIG.
ログ監視システム100は、ログ収集システム110、監視対象システム120およびログ監視装置130を有する。
ログ監視システム100は、ログ収集システム110が監視対象システム120のログを収集し、ログ監視装置130がログ収集システム110により収集されたログを解析して監視対象システム120を監視するシステムである。
ログ収集システム110、監視対象システム120およびログ監視装置130は通信網を介して互いにデータを送受信する。
The log monitoring system 100 includes a
In the log monitoring system 100, the
The
監視対象システム120は、一台の計算機(コンピュータ)または複数台の計算機を有する計算機システムである。計算機の図示を省略する。
各計算機は、所定の業務処理(データ処理、情報処理)を実行する業務アプリケーション部121を備える。
業務アプリケーション部121は、業務処理を実行すると共に、実行した業務処理についての情報(ログの一例)を「ログレコード102」として記録する。例えば、ログレコード102には処理時刻、処理データの識別情報、処理内容などの処理情報が設定される。
The
Each computer includes a
The
以下、複数のログレコード102(業務処理の履歴)が記録されたファイルを「ログファイル」という。特に、業務アプリケーション部121により生成されるログファイルを「マスターログファイル109」といい、マスターログファイル109に含まれる一部(または全部)のログレコード102で構成されるログファイルを「ログファイル101」という。
業務アプリケーション部121はマスターログファイル109にログレコード102を記録する。マスターログファイル109は各計算機の記憶部(図示省略)に記憶される。
Hereinafter, a file in which a plurality of log records 102 (business process history) is recorded is referred to as a “log file”. In particular, a log file generated by the
The
ログ収集システム110は、ログ収集クライアント装置200とログ収集サーバ装置300とを有する。
The
ログ収集クライアント装置200は、監視対象システム120のログを収集し、収集したログを圧縮する装置である。
The log
ログ収集クライアント装置200は、ログ取得エージェント部210(ログ入力部の一例)、マスクデータ生成部220(マスクデータ生成部の一例)、マスク処理部230(マスクログ生成部の一例)、圧縮処理部240(マスクログ圧縮部、マスクログ選択部の一例)、ログ送信部250(マスクログ送信部の一例)およびクライアント記憶部(マスクデータ記憶部の一例)(図示省略)を備える。
The log
ログ取得エージェント部210は、ログ収集サーバ装置300からログファイル101を取得する。
The log
マスクデータ生成部220は、ログ取得エージェント部210により取得されログファイル101に含まれる複数のログレコード102から複数のログレコード102に共通する部分データを抽出する。
例えば、マスクデータ生成部220は、ログ取得エージェント部210により新たに取得されたログファイル101に含まれるログレコード102とログ取得エージェント部210により以前に取得されたログファイル101に含まれるログレコード102(複数のログの一例)から共通する部分データを抽出する。
マスクデータ生成部220は、抽出した部分データを示す「マスクデータ103」を生成する。
The mask
For example, the mask
The mask
マスク処理部230は、ログファイル101に含まれるログレコード102とマスクデータ103とに基づいて、マスクデータ103に示される部分データを省略したログレコード102を「マスクログレコード105」として生成する。
例えば、マスク処理部230は、部分データを所定値(例えば、ヌル値やスペース)に置き換えて、または、部分データを削除して部分データを省略する。
マスク処理部230は、複数のマスクログレコード105を含むファイルを「マスクログファイル104」として生成する。
Based on the log record 102 and the
For example, the
The
圧縮処理部240は、マスクログファイル104を所定の方法で圧縮する。
以下、圧縮されたマスクログファイル104を「圧縮ログファイル106」という。
The
Hereinafter, the compressed
ログ送信部250は、マスクデータ103と圧縮ログファイル106とをログ収集サーバ装置300へ送信する。
The
クライアント記憶部は、ログ収集クライアント装置200で用いるデータを記憶する。ログ収集クライアント装置200の各「〜部」の入力データや生成データはクライアント記憶部に記憶されるものとする。
ログファイル101、マスクデータ103、マスクログファイル104および圧縮ログファイル106は、クライアント記憶部に記憶されるデータの一例である。
The client storage unit stores data used in the log
The
ログ収集サーバ装置300は、ログ収集クライアント装置200により圧縮されたログ(圧縮ログファイル106)を管理し、ログを解凍する装置である。
The log
ログ収集サーバ装置300は、ログ受信部310(マスクログ受信部の一例)、解凍処理部320(マスクログ解凍部の一例)、マスクデータ管理部330、マスク解除部340(ログ復元部の一例)、ログ提供エージェント部350およびサーバ記憶部(図示省略)を備える。
The log
ログ受信部310は、マスクデータ103と圧縮ログファイル106とをログ収集クライアント装置200から受信する。
The
解凍処理部320は、圧縮ログファイル106を所定の方法で解凍することによりマスクログファイル104を得る。
The
マスクデータ管理部330は、サーバ記憶部を用いてマスクデータ103を管理する。
The mask
マスク解除部340は、マスクログファイル104に含まれる複数のマスクログレコード105それぞれにマスクデータ103に示される部分データを設定することによりログファイル101を復元する。
The
ログ提供エージェント部350は、ログファイル101をログ監視装置130に提供する。
The log providing
サーバ記憶部は、ログ収集サーバ装置300で用いるデータを記憶する。ログ収集サーバ装置300の各「〜部」の入力データや生成データはサーバ記憶部に記憶されるものとする。
マスクデータ103、圧縮ログファイル106、マスクログファイル104およびログファイル101は、サーバ記憶部に記憶されるデータの一例である。
The server storage unit stores data used in the log
The
ログ監視装置130は、ログ解析部131を備える。
The
ログ解析部131は、ログ収集サーバ装置300からログファイル101を取得し、ログファイル101を所定の方法で解析し、解析結果を出力する。
The
ログ監視システム100の構成は、図1に示した構成に限らない。例えば、ログ監視システム100を以下のように構成しても構わない。
・監視対象システム120が複数存在しても構わない。
・監視対象システム120が複数存在する場合、監視対象システム120毎にログ収集クライアント装置200を備えても構わない。
・ログ収集クライアント装置200とログ収集サーバ装置300とを一つの装置(ログ収集装置)にしても構わない。
・ログ監視装置130とログ収集サーバ装置300とを一つの装置にしても構わない。
The configuration of the log monitoring system 100 is not limited to the configuration shown in FIG. For example, the log monitoring system 100 may be configured as follows.
A plurality of
When there are a plurality of
The log
The
以下、ログ監視システム100には監視対象システム120が複数存在し、監視対象システム120毎にログ収集クライアント装置200が存在するものとして説明を行う。
In the following description, it is assumed that there are a plurality of
図2は、実施の形態1におけるログ監視システム100のハードウェア資源の一例を示す図である。
図2において、ログ収集クライアント装置200、ログ収集サーバ装置300、ログ監視装置130および監視対象システム120の計算機は、CPU911(Central・Processing・Unit)(マイクロプロセッサ、マイクロコンピュータともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、ドライブ装置904、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。ドライブ装置904は、FD(Flexible・Disk・Drive)、CD(Compact Disc)、DVD(Digital・Versatile・Disc)などの記憶媒体を読み書きする装置である。
FIG. 2 is a diagram illustrating an example of hardware resources of the log monitoring system 100 according to the first embodiment.
2, the computer of the log
通信ボード915は、有線または無線で、LAN(Local Area Network)、インターネット、電話回線などの通信網に接続している。
The
磁気ディスク装置920には、OS921(オペレーティングシステム)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
The
プログラム群923には、実施の形態において「〜部」として説明する機能を実行するプログラムが含まれる。プログラムは、CPU911により読み出され実行される。すなわち、プログラムは、「〜部」としてコンピュータを機能させるものであり、また「〜部」の手順や方法をコンピュータに実行させるものである。
The
ファイル群924には、実施の形態において説明する「〜部」で使用される各種データ(入力、出力、判定結果、計算結果、処理結果など)が含まれる。
The
実施の形態において構成図、シーケンス図およびフローチャートに含まれている矢印は主としてデータや信号の入出力を示す。 In the embodiment, arrows included in the configuration diagrams, sequence diagrams, and flowcharts mainly indicate input and output of data and signals.
実施の形態において「〜部」として説明するものは「〜回路」、「〜装置」、「〜機器」であってもよく、また「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ファームウェア、ソフトウェア、ハードウェアまたはこれらの組み合わせのいずれで実装されても構わない。 In the embodiment, what is described as “to part” may be “to circuit”, “to apparatus”, and “to device”, and “to step”, “to procedure”, and “to processing”. May be. That is, what is described as “to part” may be implemented by any of firmware, software, hardware, or a combination thereof.
次に、ログ監視システム100のログ監視方法(ログ収集方法)をマスクデータ生成工程とマスクログ生成工程とログ復元・解析工程とに分けて説明する。 Next, the log monitoring method (log collection method) of the log monitoring system 100 will be described by dividing it into a mask data generation process, a mask log generation process, and a log restoration / analysis process.
まず、各工程の概要について説明する。
マスクデータ生成工程では、ログ収集クライアント装置200が監視対象システム120のログファイル101に含まれるログレコード102をマスクするマスクデータ103を生成する。そして、ログ収集クライアント装置200が生成したマスクデータ103をログ収集サーバ装置300へ通知する。
マスクログ生成工程では、ログ収集クライアント装置200が監視対象システム120のログファイル101に含まれるログレコード102をマスクデータ103でマスクする。さらに、ログ収集クライアント装置200がマスクされたログレコード102を含んだログファイル101(マスクログファイル104)を圧縮する。そして、ログ収集クライアント装置200が圧縮したマスクログファイル104を圧縮ログファイル106としてログ収集サーバ装置300へ通知する。
ログ復元・解析工程では、ログ収集サーバ装置300が圧縮ログファイル106を解凍してマスクログファイル104を得る。さらに、ログ収集サーバ装置300がマスクデータ103を用いてマスクログファイル104からログファイル101を復元する。そして、ログ収集サーバ装置300がログファイル101をログ監視装置130へ通知し、ログ監視装置130がログファイル101を解析する。
First, the outline of each process will be described.
In the mask data generation step, the log
In the mask log generation process, the log
In the log restoration / analysis process, the log
次に、各工程の詳細について説明する。 Next, details of each step will be described.
図3は、実施の形態1におけるマスクデータ生成工程を示すシーケンス図である。
実施の形態1におけるマスクデータ生成工程の処理の流れについて、図3に基づいて以下に説明する。
FIG. 3 is a sequence diagram showing a mask data generation process in the first embodiment.
The process flow of the mask data generation process in the first embodiment will be described below with reference to FIG.
S110において、監視対象システム120の業務アプリケーション部121は、利用者に要求された業務処理や予めスケジュールされた業務処理を実行する。
さらに、業務アプリケーション部121は、業務処理を実行する度に、実行した業務処理を示すログレコード102をマスターログファイル109に記録する。業務アプリケーション部121は、予め定義されたサイズまたはレコード数分のログレコード102をマスターログファイル109に記録すると、新たなマスターログファイル109を生成する。業務アプリケーション部121は、生成した各マスターログファイル109を世代管理する。
In S110, the
Further, each time the
図4は、実施の形態1におけるログファイルのデータ形式を示す図である。
実施の形態1におけるマスターログファイル109(およびログファイル101)について、図4に基づいて以下に説明する。
FIG. 4 is a diagram illustrating a data format of the log file according to the first embodiment.
The master log file 109 (and log file 101) in the first embodiment will be described below with reference to FIG.
マスターログファイル109には複数のログレコード102が含まれ、各ログレコード102には「日付」「時刻」「クラス名」「メッセージ」が設定される。
「日付」「時刻」は業務処理の実行日時を示し、「クラス名」は業務処理の識別名を示し、「メッセージ」は業務処理の経過や結果を示す。
但し、マスターログファイル109のデータ形式(フォーマットともいう)は図4に示す形式に限られない。
The master log file 109 includes a plurality of log records 102, and “date”, “time”, “class name”, and “message” are set in each log record 102.
“Date” and “Time” indicate the execution date and time of the business process, “Class name” indicates the identification name of the business process, and “Message” indicates the progress and result of the business process.
However, the data format (also referred to as format) of the master log file 109 is not limited to the format shown in FIG.
図3に戻り、マスクデータ生成工程の説明を続ける。 Returning to FIG. 3, the description of the mask data generation process will be continued.
S110の後、処理はS120に進む。 After S110, the process proceeds to S120.
S120において、ログ収集クライアント装置200のログ取得エージェント部210は、予めスケジュールされた間隔で監視対象システム120からログファイル101を取得する。ログファイル101は、マスターログファイル109に記録されている複数のログレコード102のうち前回のログファイル取得後に記録されたログレコード102で構成される。
S120の後、処理はS130に進む。
In S120, the log
After S120, the process proceeds to S130.
S130において、ログ取得エージェント部210は、取得したログファイル101をマスクデータ生成部220に受け渡す。
S130の後、処理はS131に進む。
In S <b> 130, the log
After S130, the process proceeds to S131.
S131において、マスクデータ生成部220は、ログ取得エージェント部210からログファイル101を取得し、取得したログファイル101をクライアント記憶部に記憶する。クライアント記憶部には、新たに記憶したログファイル101の他に、過去に記憶されたログファイル101が保存される。マスクデータ生成部220は、不要な世代のログファイル101をクライアント記憶部から削除しても構わない。
In S131, the mask
さらに、マスクデータ生成部220は、以下のような所定のタイミングにて新たなマスクデータ103を生成する。
例えば、マスクデータ生成部220は、ログ取得エージェント部210からログファイル101を取得する度にマスクデータ103を生成する。
また例えば、マスクデータ生成部220は、定期的にマスクデータ103を生成する。
また例えば、マスクデータ生成部220は、システム管理者から要求を受けたときにマスクデータ103を生成する。
また例えば、マスクデータ生成部220は、業務処理のスケジュール情報を参照し、業務処理の切り替わるときにマスクデータ103を生成する。業務処理のスケジュール情報は予めクライアント記憶部に記憶しておくものとする。
Further, the mask
For example, the mask
Further, for example, the mask
Further, for example, the mask
Further, for example, the mask
マスクデータ生成部220は、以下のように新たなマスクデータ103を生成する。
The mask
マスクデータ生成部220は、最新世代のログファイル101からログレコード102aを抽出し、旧世代のログファイル101からログレコード102bを抽出する。
例えば、マスクデータ生成部220は、最新世代のログファイル101からログレコード102aとして先頭レコードを抽出する。また、マスクデータ生成部220は、業務処理のスケジュール情報を参照し、ログレコード102aと同じ業務処理を示すログレコード102bを旧世代のログファイル101から抽出する。
The mask
For example, the mask
次に、マスクデータ生成部220は、最新世代のログレコード102aと旧世代のログレコード102bとに共通する部分を特定する。
Next, the mask
そして、マスクデータ生成部220は、特定した共通部分を最新世代または旧世代のログレコード102から抽出し、抽出した共通部分を示すマスクデータ103を生成する。マスクデータ103はログレコード102のデータ形式とログレコード102の共通部分とを表す。
マスクデータ生成部220は、マスクデータ103をクライアント記憶部に記憶する。
Then, the mask
The mask
図5は、実施の形態1におけるマスクデータ生成処理(S131)の概要図である。
実施の形態1におけるマスクデータ生成処理(S131)について、図5に基づいて以下に説明する。
FIG. 5 is a schematic diagram of the mask data generation process (S131) in the first embodiment.
The mask data generation process (S131) in the first embodiment will be described below based on FIG.
最新世代のログレコード102aと旧世代のログレコード102bとは、日付と時間のコロン「:」とクラス名の前部「jp.・・・.」とが一致(共通)する。また、時間の時分秒「hhx」「mmx」「ssx」とクラス名の後部「classx」とメッセージ「messagex」とが不一致である。
In the latest
マスクデータ生成部220は、ログレコード102aとログレコード102bとの論理積をとったデータをマスクデータ103とする。実施の形態1では、一致部分の論理積を「真」、不一致部分の論理積を「偽」とする。
マスクデータ103は、論理積が「真」である部分(日付、時間のコロン、クラス名の前部)と対応する部分にログレコード102a(およびログレコード102b)のデータが設定される。また、マスクデータ103は、論理積が「偽」である部分(時間の時分秒、クラス名の後部、メッセージ)と対応する部分に空データ(例えば、NULL)が設定される。
The mask
In the
一般的に、同じ種類の業務処理は纏めて実行される。つまり、特定の時間帯には特定種類の業務処理が実行される場合が多い。また、同じ種類の業務処理は同じパターンのログレコード102で記録される。このため、マスクデータ103に設定されたデータ(空データを除く)は最新世代の他のログレコード102と共通すると考えられる。つまり、マスクデータ103は、当該時間帯におけるログレコード102の定型パターンを表すデータである。
Generally, the same type of business processing is executed collectively. That is, a specific type of business process is often executed in a specific time zone. Also, the same type of business process is recorded in the log record 102 having the same pattern. For this reason, it is considered that the data set in the mask data 103 (excluding empty data) is common to other log records 102 of the latest generation. That is, the
図3に戻り、マスクデータ生成工程の説明を続ける。 Returning to FIG. 3, the description of the mask data generation process will be continued.
S131において新たなマスクデータ103を生成した後、処理はS132に進む。
After the
S132において、マスクデータ生成部220は、新たに生成したマスクデータ103をログ送信部250に受け渡す。
S132の後、処理はS133に進む。
In S <b> 132, the mask
After S132, the process proceeds to S133.
S133において、ログ送信部250は、マスクデータ103をマスクデータ生成部220から取得し、取得したマスクデータ103をログ収集サーバ装置300に送信する。
S133の後、処理はS140に進む。
In S133, the
After S133, the process proceeds to S140.
S140において、ログ収集サーバ装置300のログ受信部310は、ログ収集クライアント装置200からマスクデータ103を受信し、受信したマスクデータ103をマスクデータ管理部330に受け渡す。
さらに、ログ受信部310は、マスクデータ103を送信したログ収集クライアント装置200の識別子をマスクデータ管理部330に受け渡す。ログ収集クライアント装置200の識別子はログ送信部250がマスクデータ生成部220と共に送信してもよいし、ログ受信部310がログ収集クライアント装置200毎に生成してもよい。また、ログ送信部250とログ受信部310との間で通信を開始する際にやり取りされるセッション情報(例えば、Cookie)に含まれるログ収集クライアント装置200の識別子を用いてもよい。
以下、ログ収集クライアント装置200の識別子を「クライアント識別子」という。
S140の後、処理はS141に進む。
In S <b> 140, the
Further, the
Hereinafter, the identifier of the log
After S140, the process proceeds to S141.
S141において、マスクデータ管理部330は、ログ受信部310からマスクデータ103とクライアント識別子とを取得し、マスクデータ103とクライアント識別子とを対応づけてサーバ記憶部に記憶する。このとき、当該ログ収集クライアント装置200のマスクデータ103が既に記憶されている場合、マスクデータ管理部330は記憶されているマスクデータ103を新たに取得したマスクデータ103で更新する(置き換える)。
S141により、マスクデータ生成工程は終了する。
In S141, the mask
By S141, the mask data generation process ends.
図6は、実施の形態1におけるマスクログ生成工程を示すシーケンス図である。
実施の形態1におけるマスクログ生成工程の処理の流れについて、図6に基づいて以下に説明する。
FIG. 6 is a sequence diagram showing a mask log generation step in the first embodiment.
The process flow of the mask log generation process in the first embodiment will be described below with reference to FIG.
S110およびS120はマスクデータ生成工程(図3参照)と同じである。 S110 and S120 are the same as the mask data generation step (see FIG. 3).
S150において、ログ収集クライアント装置200のログ取得エージェント部210は、監視対象システム120から取得したログファイル101をマスク処理部230に受け渡す。
S150の後、処理はS151に進む。
In S150, the log
After S150, the process proceeds to S151.
S151において、マスク処理部230は、ログ取得エージェント部210からログファイル101を取得する。
さらに、マスク処理部230は、マスクデータ生成部220により生成されたマスクデータ103をクライアント記憶部から取得する。
S151の後、処理はS152に進む。
In S151, the
Further, the
After S151, the process proceeds to S152.
S152において、マスク処理部230は、ログファイル101に含まれる各ログレコード102内のマスクデータ103に示される共通部分をマスク(省略)する。
以下、共通部分をマスクされたログレコード102を「マスクログレコード105」といい、複数のマスクログレコード105により構成されるログファイルを「マスクログファイル104」という。
In S <b> 152, the
Hereinafter, the log record 102 with the common part masked is referred to as “mask log record 105”, and the log file composed of the plurality of mask log records 105 is referred to as “
図7は、実施の形態1におけるマスク処理(S152)の概要図である。
実施の形態1におけるマスク処理(S152)について、図7に基づいて以下に説明する。
FIG. 7 is a schematic diagram of mask processing (S152) in the first embodiment.
The mask process (S152) in the first embodiment will be described below with reference to FIG.
図5に示したように、ログレコード102aにはマスクデータ103に示される共通部分(空データでない部分)が含まれる。
マスク処理部230は、ログレコード102aとマスクデータ103との排他的論理和をとる。ログレコード102aとマスクデータ103との排他的論理和をとったレコードがログレコード102aに対応するマスクログレコード105aである。実施の形態1では、一致部分の排他的論理和を「偽」、不一致部分の論理積を「真」とする。
マスクログレコード105aには、排他的論理和が「偽」である部分(日付、時間のコロン、クラス名の前部)に空データが設定される。また、マスクログレコード105aには、排他的論理和が「真」である部分(時間の時分秒、クラス名の後部、メッセージ)にログレコード102aのデータが設定される。
As shown in FIG. 5, the
The
In the
マスク処理部230は、ログファイル101内の複数のログレコード102それぞれに対してマスクログレコード105を生成する。
ログレコード102とマスクデータ103に示される共通部分とが不一致の場合、当該部分の排他的論理和は「真」であり、マスクログレコード105の当該部分にはログレコード102のデータが設定される。
The
When the log record 102 and the common part indicated by the
図6に戻り、マスクログ生成工程の説明を続ける。 Returning to FIG. 6, the description of the mask log generation process will be continued.
S152の後、処理はS153に進む。 After S152, the process proceeds to S153.
S153において、マスク処理部230は、マスクログファイル104を圧縮処理部240に受け渡す。
S153の後、処理はS160に進む。
In S153, the
After S153, the process proceeds to S160.
S160において、圧縮処理部240は、マスク処理部230からマスクログファイル104を取得し、取得したマスクログファイル104を所定の圧縮アルゴリズム(処理手順)で圧縮する。圧縮アルゴリズムは既存のもので構わない。
マスクログファイル104は、ログレコード102の共通部分を省略したファイルであるため、ログファイル101よりも小さいデータサイズに圧縮される。
以下、マスクログファイル104を圧縮したファイルを「圧縮ログファイル106」という。
S160の後、処理はS161に進む。
In S160, the
Since the
Hereinafter, a file obtained by compressing the
After S160, the process proceeds to S161.
S161において、圧縮処理部240は、圧縮ログファイル106をログ送信部250に受け渡す。
S161の後、処理はS162に進む。
In S <b> 161, the
After S161, the process proceeds to S162.
S162において、ログ送信部250は、圧縮処理部240から圧縮ログファイル106を取得し、取得した圧縮ログファイル106をログ収集サーバ装置300へ送信する。
S162の後、ログ復元・解析工程へ進む。
In S <b> 162, the
After S162, the process proceeds to a log restoration / analysis process.
図8は、実施の形態1におけるログ復元・解析工程を示すシーケンス図である。
実施の形態1におけるログ復元・解析工程の処理の流れについて、図8に基づいて以下に説明する。
FIG. 8 is a sequence diagram illustrating a log restoration / analysis process according to the first embodiment.
A flow of processing of the log restoration / analysis process in the first embodiment will be described below with reference to FIG.
S170において、ログ収集サーバ装置300のログ受信部310は、ログ収集クライアント装置200から圧縮ログファイル106を受信し、受信した圧縮ログファイル106とログ収集クライアント装置200のクライアント識別子とを解凍処理部320に受け渡す。
S170の後、処理はS171に進む。
In S <b> 170, the
After S170, the process proceeds to S171.
S171において、解凍処理部320は、ログ受信部310から圧縮ログファイル106とクライアント識別子とを取得し、取得した圧縮ログファイル106を所定の解凍アルゴリズムで解凍する。解凍アルゴリズムは圧縮ログファイル106の圧縮アルゴリズムに対応するアルゴリズムである。例えば、圧縮アルゴリズムおよび解凍アルゴリズムは予め決められているものとする。また、ログ収集サーバ装置300に複数の解凍アルゴリズムを用意しておき、ログ収集クライアント装置200が使用した圧縮アルゴリズムをログ収集サーバ装置300に通知し、ログ収集サーバ装置300が通知された圧縮アルゴリズムに対応する解凍アルゴリズムを選択してもよい。
圧縮ログファイル106を解凍することにより、マスクログファイル104が得られる。
S171の後、処理はS172に進む。
In S171, the
The
After S171, the process proceeds to S172.
S172において、解凍処理部320は、圧縮ログファイル106を解凍して得られたマスクログファイル104とログ受信部310から取得したクライアント識別子とをマスク解除部340に受け渡す。
S172の後、処理はS180に進む。
In S <b> 172, the
After S172, the process proceeds to S180.
S180において、マスク解除部340は、解凍処理部320からマスクログファイル104とクライアント識別子とを取得する。
そして、マスク解除部340は、取得したクライアント識別子に対応するマスクデータ103をマスクデータ管理部330に要求する。マスクデータ管理部330は、要求されたマスクデータ103をサーバ記憶部から取得し、取得したマスクデータ103をマスク解除部340に受け渡す。
S180の後、処理はS181に進む。
In S180, the
Then, the
After S180, the process proceeds to S181.
S181において、マスク解除部340は、マスクデータ103を用いてマスクログファイル104のマスクを解除する。
マスクログファイル104のマスクを解除することにより、ログファイル101が復元される。
In S <b> 181, the
The
図9は、実施の形態1におけるマスク解除処理(S181)の概要図である。
実施の形態1におけるマスク解除処理(S181)について、図9に基づいて以下に説明する。
FIG. 9 is a schematic diagram of mask release processing (S181) in the first embodiment.
The mask release process (S181) in the first embodiment will be described below with reference to FIG.
マスク解除部340は、マスクログレコード105aとマスクデータ103との排他的論理和をとる。マスクログレコード105aとマスクデータ103との排他的論理和をとったレコードがマスクログレコード105aに対応するログレコード102aである。
ログレコード102aには、マスクログレコード105aのデータ値(空データを除く)とマスクデータ103のデータ値(空データを除く)とが設定される。
The
In the
マスク解除部340は、マスクログファイル104内の複数のマスクログレコード105それぞれに対してログレコード102を復元する。
マスクログレコード105のデータ設定部分(空データ以外の部分)とマスクデータ103のデータ設定部分とが重なる場合、ログレコード102の当該部分にはマスクログレコード105のデータが設定される。
The
When the data setting part (part other than empty data) of the mask log record 105 and the data setting part of the
図8に戻り、ログ復元・解析工程の説明を続ける。 Returning to FIG. 8, the description of the log restoration / analysis process is continued.
S181の後、処理はS182に進む。 After S181, the process proceeds to S182.
S182において、マスク解除部340は、ログファイル101とクライアント識別子とをログ提供エージェント部350に受け渡す。
S182の後、処理はS183に進む。
In S <b> 182, the
After S182, the process proceeds to S183.
S183において、ログ提供エージェント部350は、マスク解除部340からログファイル101とクライアント識別子とを取得し、ログファイル101とクライアント識別子とをログ監視装置130へ送信する。
例えば、ログ提供エージェント部350は以下のタイミングでログファイル101とクライアント識別子とをログ監視装置130へ送信する。
マスク解除部340からログファイル101とクライアント識別子とを取得する度。
マスク解除部340から取得したログファイル101を蓄積し、蓄積したログファイル101をクライアント識別子と対応づけて定期的に送信する。
ログ監視装置130は管理者から要求を受けたときにログ提供エージェント部350にログファイル101を要求し、ログ提供エージェント部350はログ監視装置130から要求を受けたときにログファイル101とクライアント識別子とを送信する。
S183の後、処理はS190に進む。
In step S183, the log providing
For example, the log providing
Every time the
The
The
After S183, the process proceeds to S190.
S190において、ログ監視装置130のログ解析部131は、ログ収集サーバ装置300からログファイル101とクライアント識別子とを受信し、受信したログファイル101を所定のアルゴリズムで解析し、解析結果を出力する。
例えば、ログ解析部131は、ログファイル101から異常メッセージが設定されたログレコード102を抽出し、抽出したログレコード102とクライアント識別子とを障害情報として表示する。
S190により、ログ復元・解析処理は終了する。
In S190, the
For example, the
Through S190, the log restoration / analysis process ends.
図10は、実施の形態1におけるログ収集クライアント装置200とログ収集サーバ装置300とのデータフローである。
ログ収集クライアント装置200とログ収集サーバ装置300とのデータの流れについて、図10に基づいて以下に説明する。
FIG. 10 is a data flow between the log
The data flow between the log
上述したように、ログ収集クライアント装置200はマスクデータ103を所定のタイミングで更新し(S131)、更新したマスクデータ103をログ収集サーバ装置300に通知する(S133)。
As described above, the log
ログ収集サーバ装置300は、マスクデータ103aが通知されてから次のマスクデータ103bが通知されるまでの間に送信された圧縮ログファイル106b〜dをマスクデータ103aを用いて復元する。
また、ログ収集サーバ装置300は、マスクデータ103bが通知された後に送信された圧縮ログファイル106eをマスクデータ103bを用いて復元する。
The log
Further, the log
実施の形態1において、例えば、以下のようなログ収集システム110について説明した。
In the first embodiment, for example, the following
実施の形態1は、システム運用管理のモニタリングに関係する技術であり、特にシステム/業務アプリケーション/サービスの障害を特定・検知する目的にてログ情報を収集し、収集したログ情報を解析するシステムに関する。 The first embodiment is a technique related to system operation management monitoring, and particularly relates to a system that collects log information for the purpose of identifying and detecting a failure of a system / business application / service and analyzes the collected log information. .
ログ収集システム110は、ログの特徴として一定期間に渡って定型パターンの情報が出力されるという特徴を活用し、ログの圧縮効率を高め、ログ収集時のトラフィック負荷等を削減する。
The
ログ収集システム110は、監視対象アプリケーションのログ情報から一定期間に渡って変化のないログの共通部分を抽出し、ログのマスクデータを作成する。そして、ログ監視システム100は、ログの共通部分をマスクすることでログの圧縮効率を高める。
ログ収集システム110は、収集したログ情報を圧縮解凍し、マスクデータにより情報を復元することで、もともとのログ情報を取得することを特徴とするログ収集装置。
ログ収集システム110は、マスクデータを切り替え時にのみクライアント側とサーバ側との間でマスクデータを交換することで、ログ収集時のデータ転送量を削減する。
The
The
The
ログ収集クライアント装置200は、ログ取得エージェント部210、マスクデータ生成部220、マスク処理部230、圧縮処理部240およびログ送信部250を備える。
ログ取得エージェント部210は、業務アプリケーション部121の出力するログ(ログファイル101)を監視する。
マスクデータ生成部220は、ログ情報から定型パターンを抽出し、マスクデータを作成する。
マスク処理部230は、ログ情報に対してマスク処理を行う。
圧縮処理部240は、マスク後のログ情報(マスクログファイル104)に対して圧縮処理を行う。
ログ送信部250は、マスクデータおよび圧縮されたログ情報を送信する。
The log
The log
The mask
The
The
The
ログ収集サーバ装置300は、ログ受信部310、解凍処理部320、マスク解除部340およびログ提供エージェント部350を備える。
ログ受信部310は、マスクデータおよび圧縮されたログ情報を受信する。
解凍処理部320は、圧縮されたログ情報を解凍する。
マスク解除部340は、マスクデータを用いて元のログ情報を復元する。
ログ提供エージェント部350は、復元したログ情報を出力する。
The log
The
The
The
The log providing
ログ監視装置130は、ログ解析部131を備える。
ログ解析部131は、ログ情報を入力し、入力したログ情報を解析して異常等が発生していないかを検知する。
The
The
特定期間ごとにマスクデータの見直しを行うことで、ログデータの圧縮効率を高め、ログ収集時のトラフィック負荷等を低減することが可能となる。 By reviewing the mask data for each specific period, it is possible to increase the compression efficiency of log data and reduce the traffic load during log collection.
マスクデータ生成部220は、複数世代のログレコード102ではなく、同じログファイル101に含まれる複数のログレコード102に共通する部分を示すマスクデータ103を生成してもよい。
マスクデータ生成部220は、2つのログレコード102ではなく、3つ以上のログレコード102に共通する部分を示すマスクデータ103を生成してもよい。
マスクデータ103は管理者(利用者)が定義しても構わない。
The mask
The mask
The
実施の形態2.
複数種類のマスクデータを用意し、複数種類のマスクデータを用いて複数の圧縮ログファイルを生成し、データサイズの小さい圧縮ログファイルを採用する形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項は実施の形態1と同様である。
A mode will be described in which a plurality of types of mask data are prepared, a plurality of compressed log files are generated using the plurality of types of mask data, and a compressed log file having a small data size is employed.
Hereinafter, items different from the first embodiment will be mainly described. Matters whose description is omitted are the same as those in the first embodiment.
ログ監視システム100の構成は、実施の形態1(図1参照)と同じである。 The configuration of the log monitoring system 100 is the same as that of the first embodiment (see FIG. 1).
マスクデータ生成部220は、ログファイル101内の複数のログレコード102を所定の条件に基づいて複数のグループにグループ分けし、グループ毎にマスクデータ103を生成する。
マスク処理部230は、マスクデータ生成部220により生成された複数のマスクデータ毎に複数のログレコード102に対応する複数のマスクログレコード105を含むファイルをマスクログファイル104として生成する。
圧縮処理部240は、マスク処理部230により生成された複数のマスクログファイル104を所定の方法で圧縮する。
圧縮処理部240は、圧縮した複数のマスクログファイル104それぞれのデータサイズに基づいてマスクログファイル104を選択する。
The mask
The
The
The
解凍処理部320は、圧縮処理部240により選択されたマスクログファイル104を所定の方法で解凍する。
マスク解除部340は、解凍処理部320により解凍されたマスクログファイル104内の複数のマスクログレコード105それぞれに当該マスクログファイル104に対応するマスクデータ103に示される部分データを設定することにより複数のログレコード102を復元する。
The
The
図11は、実施の形態2におけるマスクデータ生成工程を示すシーケンス図である。
実施の形態2におけるマスクデータ生成工程の処理の流れについて、図11に基づいて以下に説明する。
FIG. 11 is a sequence diagram showing a mask data generation step in the second embodiment.
The process flow of the mask data generation process in the second embodiment will be described below with reference to FIG.
S110〜S130は実施の形態1(図3参照)と同じである。
S131B〜S141Bは実施の形態1で説明したS131〜S141に相当する処理である。
以下、S131B〜S141Bについて実施の形態1のS131〜S141と異なる事項を主に説明する。
S110 to S130 are the same as those in the first embodiment (see FIG. 3).
S131B to S141B are processes corresponding to S131 to S141 described in the first embodiment.
Hereinafter, items different from S131 to S141 of the first embodiment will be mainly described with respect to S131B to S141B.
S131Bにおいて、マスクデータ生成部220は、ログ取得エージェント部210からログファイル101を取得し、取得したログファイル101をクライアント記憶部に記憶する。
マスクデータ生成部220は、取得したログファイル101内の複数のログレコード102を所定の規則に従ってグループ分けする。例えば、マスクデータ生成部220は、複数のログレコード102を所定の部分に設定された値毎にグループ分けする。
マスクデータ生成部220は、ログレコード102のグループ毎にマスクデータ103を生成し、各マスクデータ103にマスクデータ識別子を設定する。
マスクデータ生成部220は、各グループのマスクデータ103をクライアント記憶部に記憶する。
マスクデータ103の生成タイミングおよび生成方法は実施の形態1(S131)と同じである。
In S131B, the mask
The mask
The mask
The mask
The generation timing and generation method of the
図12は、実施の形態2における複数マスクデータ生成処理(S131B)の概要図である。
実施の形態2における複数マスクデータ生成処理(S131B)について、図12に基づいて以下に説明する。
FIG. 12 is a schematic diagram of the multiple mask data generation process (S131B) in the second embodiment.
The multiple mask data generation process (S131B) in the second embodiment will be described below with reference to FIG.
マスクデータ生成部220は、ログファイル101に含まれる複数のログレコード102をクラス名「jp.co.MElectric.App.xxx」でグループ分けする。これにより、複数のログレコード102はクラス名の最後(「xxx」部分)が「Nagokoi」であるグループAとクラス名の最後が「Redblack」であるグループBとに分けられる。
マスクデータ生成部220は、グループAの定型パターンを表すマスクデータ103Aと、グループBの定型パターンを表すマスクデータ103Bとを生成する。マスクデータ103Aのクラス名の最後は「Nogokoi」となり、マスクデータ103Bのクラス名の最後は「Redblack」となる。
The mask
The mask
図11に戻り、マスクデータ生成工程の説明を続ける。 Returning to FIG. 11, the description of the mask data generation process will be continued.
S131Bの後、処理はS132Bに進む。 After S131B, the process proceeds to S132B.
S132Bにおいて、マスクデータ生成部220は複数のマスクデータ103をログ送信部250に受け渡す。
S133Bにおいて、ログ送信部250は複数のマスクデータ103をログ収集サーバ装置300へ送信する。
S140Bにおいて、ログ収集サーバ装置300のログ受信部310は複数のマスクデータ103とクライアント識別子とをマスクデータ管理部330に通知する。
S141Bにおいて、マスクデータ管理部330は複数のマスクデータ103とクライアント識別子とを対応づけてサーバ記憶部に記憶する。複数のマスクデータ103はそれぞれマスクデータ識別子で識別される。
In S <b> 132 </ b> B, the mask
In S133B, the
In S140B, the
In S141B, the mask
図13は、実施の形態2におけるマスクログ生成工程を示すシーケンス図である。
実施の形態2におけるマスクログ生成工程の処理の流れについて、図13に基づいて以下に説明する。
FIG. 13 is a sequence diagram illustrating a mask log generation process according to the second embodiment.
The flow of the process of the mask log generation process in the second embodiment will be described below based on FIG.
S110、S120およびS150は実施の形態1(図6参照)と同じである。
S151B〜S162Bは実施の形態1で説明したS151〜S162に相当する処理である。
以下、S151B〜S162Bについて実施の形態1のS151〜S162と異なる事項を主に説明する。
S110, S120, and S150 are the same as those in the first embodiment (see FIG. 6).
S151B to S162B are processes corresponding to S151 to S162 described in the first embodiment.
Hereinafter, matters different from S151 to S162 of the first embodiment will be mainly described with respect to S151B to S162B.
S151Bにおいて、マスク処理部230は、マスクデータ生成部220により生成された複数のマスクデータ103をクライアント記憶部から取得する。
S151Bの後、処理はS152Bに進む。
In S151B, the
After S151B, the process proceeds to S152B.
S152Bにおいて、マスク処理部230は、マスクデータ103毎にマスクログファイル104を生成する。
例えば、マスク処理部230は、マスクデータ103Aとマスクデータ103Bとが存在する場合、ログファイル101をマスクデータ103Aでマスクしてマスクログファイル104Aを生成し、ログファイル101をマスクデータ103Bでマスクしてマスクログファイル104Bを生成する。
In S <b> 152 </ b> B, the
For example, when the
図14は、実施の形態2におけるマスク別マスク処理(S152B)の概要図である。
実施の形態2におけるマスク別マスク処理(S152B)について、図14に基づいて以下に説明する。
FIG. 14 is a schematic diagram of mask processing for each mask (S152B) in the second embodiment.
The mask processing for each mask (S152B) in the second embodiment will be described below with reference to FIG.
クラス名が「jp.・・・.Nagokoi」であるログレコード102aがログファイル101に含まれるものとする。
また、マスクデータ103Aのクラス名を「jp.・・・.Nagokoi」とし、マスクデータ103Bのクラス名を「jp.・・・.Redblack」とする。
It is assumed that the log file 102 includes a
In addition, the class name of the
マスク処理部230は、ログレコード102aとマスクデータ103Aとの排他的論理和をとってマスクログレコード105Aを生成する。ログレコード102aのクラス名とマスクデータ103Aのクラス名とが一致するため、マスクログレコード105Aのクラス名には空データが設定される。
さらに、マスク処理部230は、ログレコード102aとマスクデータ103Bとの排他的論理和をとってマスクログレコード105Bを生成する。ログレコード102aのクラス名の終部「Nagokoi」とマスクデータ103Bのクラス名の終部「Redblack」とが不一致であるため、マスクログレコード105Bのクラス名の終部にはログレコード102aの値「Nagokoi」が設定される。
The
Further, the
マスク処理部230は、ログファイル101に含まれる複数のログレコード102それぞれに対してマスクログレコード105Aとマスクログレコード105Bとを生成する。
The
図13に戻り、マスクログ生成工程の説明を続ける。 Returning to FIG. 13, the description of the mask log generation process will be continued.
S152Bの後、処理はS153Bに進む。 After S152B, the process proceeds to S153B.
S153Bにおいて、マスク処理部230は複数のマスクログファイル104と各マスクログファイル104の生成に使用したマスクデータ103のマスク識別子とを圧縮処理部240に受け渡す。
S153Bの後、処理はS160B1に進む。
In S153B, the
After S153B, the process proceeds to S160B1.
S160B1において、圧縮処理部240は、複数のマスクログファイル104それぞれを圧縮して複数の圧縮ログファイル106を生成する。
S160B1の後、処理はS160B2に進む。
In S160B1, the
After S160B1, the process proceeds to S160B2.
S160B2において、圧縮処理部240は、複数の圧縮ログファイル106それぞれのデータサイズを比較する。
そして、データサイズが最も小さい圧縮ログファイル106を選択する。
S160B2の後、処理はS161Bに進む。
In S160B2, the
Then, the
After S160B2, the process proceeds to S161B.
S161Bにおいて、圧縮処理部240は、選択した圧縮ログファイル106と選択した圧縮ログファイル106に対応するマスクデータ識別子とをマスク処理部230に受け渡す。
S161Bの後、処理はS162Bに進む。
In S161B, the
After S161B, the process proceeds to S162B.
S162Bにおいて、ログ送信部250は圧縮ログファイル106とマスクデータ識別子とをログ収集サーバ装置300へ送信する。
S162Bの後、ログ復元・解析工程へ進む。
In S <b> 162 </ b> B, the
After S162B, the process proceeds to a log restoration / analysis process.
図15は、実施の形態2におけるログ復元・解析工程を示すシーケンス図である。
実施の形態2におけるログ復元・解析工程の処理の流れについて、図15に基づいて以下に説明する。
FIG. 15 is a sequence diagram illustrating a log restoration / analysis process according to the second embodiment.
The flow of the log restoration / analysis process in the second embodiment will be described below with reference to FIG.
S170B〜S180Bは実施の形態1で説明したS170〜S180に相当する処理である。
S181〜S190は実施の形態1(図8参照)と同じである。
以下、S170B〜S180Bについて実施の形態1のS170〜S180と異なる事項を主に説明する。
S170B to S180B are processes corresponding to S170 to S180 described in the first embodiment.
S181 to S190 are the same as those in the first embodiment (see FIG. 8).
Hereinafter, matters different from S170 to S180 of the first embodiment will be mainly described with respect to S170B to S180B.
S170Bにおいて、ログ収集サーバ装置300のログ受信部310は、ログ収集クライアント装置200から圧縮ログファイル106とマスクデータ識別子とを受信する。
そして、ログ受信部310は、圧縮ログファイル106とマスクデータ識別子とクライアント識別子とを解凍処理部320に受け渡す。
S170Bの後、処理はS171Bに進む。
In S170B, the
Then, the
After S170B, the process proceeds to S171B.
S171Bにおいて、解凍処理部320は、ログ受信部310から圧縮ログファイル106とマスクデータ識別子とクライアント識別子とを取得する。
そして、解凍処理部320は、取得した圧縮ログファイル106を解凍してマスクログファイル104を得る。
S171Bの後、処理はS172Bに進む。
In S171B, the
Then, the
After S171B, the process proceeds to S172B.
S172Bにおいて、解凍処理部320は、マスクログファイル104とマスクデータ識別子とクライアント識別子とをマスク解除部340に受け渡す。
S172Bの後、処理はS180Bに進む。
In S172B, the
After S172B, the process proceeds to S180B.
180Bにおいて、マスク解除部340は、クライアント識別子とマスクデータ識別子とに対応するマスクデータ103をマスクデータ管理部330に要求する。マスクデータ管理部330は、クライアント識別子に対応する複数のマスクデータ103のうちマスクデータ識別子で識別されるマスクデータ103をマスク解除部340に受け渡す。
S180Bの後、処理はS181に進む。
In 180B, the
After S180B, the process proceeds to S181.
S181において、マスク解除部340はマスクデータ103を用いてマスクログファイル104のマスクを解除してログファイル101を得る。
S182において、マスク解除部340はログファイル101とクライアント識別子とをログ提供エージェント部350に受け渡す。
S183において、ログ提供エージェント部350はログファイル101とクライアント識別子とをログ監視装置130へ送信する。
S190において、ログ監視装置130のログ解析部131はログファイル101を解析し、解析結果を出力する。
In step S <b> 181, the
In S <b> 182, the
In S183, the log providing
In S190, the
実施の形態2において、例えば、以下のようなログ収集システム110について説明した。
In the second embodiment, for example, the following
複数のマスクデータを作成し、初期処理(マスクデータ生成工程)の段階において識別子との対でマスクデータをクライアントとサーバ間で交換する。
そして、複数のマスクデータから圧縮効率の高い最適なマスクデータを選択し、ログ情報の収集する。
A plurality of mask data is created, and the mask data is exchanged between the client and the server in pairs with identifiers at the stage of initial processing (mask data generation step).
Then, optimal mask data with high compression efficiency is selected from the plurality of mask data, and log information is collected.
実施の形態3.
時間帯毎にマスクデータを用意し、該当時間帯のマスクデータを用いてログファイルをマスクする形態について説明する。
以下、実施の形態1−2と異なる事項について主に説明する。説明を省略する事項は実施の形態1−2と同様である。
A mode in which mask data is prepared for each time zone and the log file is masked using the mask data of the corresponding time zone will be described.
Hereinafter, items different from the embodiment 1-2 will be mainly described. Matters whose description is omitted are the same as in Embodiment 1-2.
ログ監視システム100の構成は、実施の形態1(図1参照)と同じである。 The configuration of the log monitoring system 100 is the same as that of the first embodiment (see FIG. 1).
クライアント記憶部は、時間に対応づけて複数のマスクデータ103を記憶する。
マスク処理部230は、クライアント記憶部に記憶された複数のマスクデータ103のうち当該時間に対応するマスクデータ103を用いてマスクログファイル104を生成する。
The client storage unit stores a plurality of
The
マスク解除部340は、マスクログファイル104に対応するマスクデータ103を用いてマスクログファイル104からログファイル101を復元する。
The
図16は、実施の形態3におけるマスクデータ生成工程を示すシーケンス図である。
実施の形態3におけるマスクデータ生成工程の処理の流れについて、図16に基づいて以下に説明する。
FIG. 16 is a sequence diagram showing a mask data generation process in the third embodiment.
The process flow of the mask data generation process in the third embodiment will be described below with reference to FIG.
S110〜S130は実施の形態1(図3参照)と同じである。
S131C〜S141Cは実施の形態1で説明したS131〜S141に相当する処理である。
以下、S131C〜S141Cについて実施の形態1のS131〜S141と異なる事項を主に説明する。
S110 to S130 are the same as those in the first embodiment (see FIG. 3).
S131C to S141C are processes corresponding to S131 to S141 described in the first embodiment.
Hereinafter, items different from S131 to S141 of the first embodiment will be mainly described with respect to S131C to S141C.
S131Cにおいて、マスクデータ生成部220は、ログ取得エージェント部210からログファイル101を取得し、取得したログファイル101をクライアント記憶部に記憶する。
マスクデータ生成部220は、クライアント記憶部に記憶されているログファイル101に基づいて、時間帯毎にマスクデータ103を生成する。
例えば、マスクデータ生成部220は、複数世代のログファイル101それぞれに対してログファイル101に含まれる複数のログレコード102を時間帯で分ける。そして、マスクデータ生成部220は、時間帯が同じであり世代が異なるログレコード102に基づいて各時間帯用のマスクデータ103を生成する。
マスクデータ生成部220は、各時間帯用のマスクデータ103をクライアント記憶部に記憶する。
マスクデータ103の生成タイミングおよび生成方法は実施の形態1(S131)と同じである。
In S131C, the mask
The mask
For example, the mask
The mask
The generation timing and generation method of the
図17は、実施の形態3におけるマスクデータ生成処理(S131C)の概要図である。
実施の形態3におけるマスクデータ生成処理(S131C)について、図17に基づいて以下に説明する。
FIG. 17 is a schematic diagram of mask data generation processing (S131C) in the third embodiment.
The mask data generation process (S131C) in the third embodiment will be described below with reference to FIG.
マスクデータ生成部220は、当日の第1の時間帯(12時台)に記録されたログレコード102c1と前日の第1の時間帯に記録されたログレコード102c2とに基づいて第1の時間帯用のマスクデータ103cを生成する。
マスクデータ生成部220は、第1の時間帯以外の時間帯についても同様に、当日と前日の同時間帯のログレコード102に基づいて当該時間帯用のマスクデータ103を生成する。
The mask
Similarly, the mask
図16に戻り、マスクデータ生成工程の説明を続ける。 Returning to FIG. 16, the description of the mask data generation process will be continued.
S131Cの後、処理はS132Cに進む。 After S131C, the process proceeds to S132C.
S132Cにおいて、マスクデータ生成部220は各時間帯用のマスクデータ103をログ送信部250に受け渡す。
S133Cにおいて、ログ送信部250は各時間帯用のマスクデータ103をログ収集サーバ装置300へ送信する。
S140Cにおいて、ログ収集サーバ装置300のログ受信部310は各時間帯用のマスクデータ103をマスクデータ管理部330へ受け渡す。
S141Cにおいて、マスクデータ管理部330は各時間帯用のマスクデータ103を管理する。
In S132C, the mask
In S <b> 133 </ b> C, the
In S <b> 140 </ b> C, the
In S141C, the mask
図18は、実施の形態3におけるマスクログ生成工程を示すシーケンス図である。
実施の形態3におけるマスクログ生成工程の処理の流れについて、図18に基づいて以下に説明する。
FIG. 18 is a sequence diagram illustrating a mask log generation process according to the third embodiment.
The flow of the process of the mask log generation process in the third embodiment will be described below based on FIG.
S151C以外の処理は実施の形態1(図6参照)と同じである。 Processes other than S151C are the same as those in the first embodiment (see FIG. 6).
S151Cにおいて、マスク処理部230はログファイル101が生成された時間帯用のマスクデータ103をクライアント記憶部から取得する。
例えば、マスク処理部230はログファイル101に含まれるログレコード102を参照する。ログレコード102が12時台の時刻を示す場合、マスク処理部230は12時台用のマスクデータ103を取得する。
In S151C, the
For example, the
そして、マスク処理部230は取得したマスクデータ103を用いてマスクログファイル104を生成する。このとき、時間(時分秒)はマスクしないものとする(S152)。
Then, the
図19は、実施の形態3におけるログ復元・解析工程を示すシーケンス図である。
実施の形態3におけるログ復元・解析工程の処理の流れについて、図19に基づいて以下に説明する。
FIG. 19 is a sequence diagram illustrating a log restoration / analysis process according to the third embodiment.
The processing flow of the log restoration / analysis process in the third embodiment will be described below with reference to FIG.
S180C以外の処理は実施の形態1(図8参照)と同じである。 Processes other than S180C are the same as those in the first embodiment (see FIG. 8).
S180Cにおいて、マスク解除部340はマスクログファイル104に対応するマスクデータ103をマスクデータ管理部330から取得する。
例えば、マスク解除部340はマスクログファイル104内のマスクログレコード105を参照する。マスクログレコード105が12時台の時刻を示す場合、マスク解除部340は12時台用のマスクデータ103を取得する。
In S180C, the
For example, the
そして、マスク解除部340は取得したマスクデータ103を用いてログファイル101を復元する(S181)。
Then, the
実施の形態2と同様に、各時間帯用にマスクデータ103を複数用意し、当該時間帯用の複数のマスクデータ103を用いて複数の圧縮ログファイル106を生成し、データサイズの小さい圧縮ログファイル106を採用してもよい。
As in the second embodiment, a plurality of
100 ログ監視システム、101 ログファイル、102 ログレコード、103 マスクデータ、104 マスクログファイル、105 マスクログレコード、106 圧縮ログファイル、109 マスターログファイル、110 ログ収集システム、120 監視対象システム、121 業務アプリケーション部、130 ログ監視装置、131 ログ解析部、200 ログ収集クライアント装置、210 ログ取得エージェント部、220 マスクデータ生成部、230 マスク処理部、240 圧縮処理部、250 ログ送信部、300 ログ収集サーバ装置、310 ログ受信部、320 解凍処理部、330 マスクデータ管理部、340 マスク解除部、350 ログ提供エージェント部、901 表示装置、902 キーボード、903 マウス、904 ドライブ装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
100 log monitoring system, 101 log file, 102 log record, 103 mask data, 104 mask log file, 105 mask log record, 106 compressed log file, 109 master log file, 110 log collection system, 120 monitored system, 121 business application Unit, 130 log monitoring device, 131 log analysis unit, 200 log collection client device, 210 log acquisition agent unit, 220 mask data generation unit, 230 mask processing unit, 240 compression processing unit, 250 log transmission unit, 300 log
Claims (11)
ログを入力するログ入力部と、
前記ログ入力部に入力されたログと前記マスクデータ記憶部に記憶されたマスクデータとに基づいて、前記部分データを省略したログをマスクログとして生成するマスクログ生成部と
を備えることを特徴とするログ収集装置。 A mask data storage unit for storing mask data indicating partial data common to a plurality of logs indicating processing performed by the computer;
A log input section for inputting logs;
A mask log generation unit configured to generate a log without the partial data as a mask log based on the log input to the log input unit and the mask data stored in the mask data storage unit; Log collector.
前記ログ入力部に入力された複数のログから複数のログに共通する部分データを抽出し、抽出した部分データを示すマスクデータを生成するマスクデータ生成部を備え、
前記マスクデータ記憶部は、前記マスクデータ生成部により生成されたマスクデータを記憶する
ことを特徴とする請求項1記載のログ収集装置。 The log collection device further includes:
A mask data generation unit that extracts partial data common to a plurality of logs from a plurality of logs input to the log input unit, and generates mask data indicating the extracted partial data,
The log collection device according to claim 1, wherein the mask data storage unit stores the mask data generated by the mask data generation unit.
ことを特徴とする請求項2記載のログ収集装置。 The mask data generation unit extracts common partial data from a log newly input to the log input unit and a log previously input to the log input unit, and generates mask data indicating the extracted partial data The log collection device according to claim 2, wherein:
前記マスクデータ生成部は、前記ログ入力部に入力された複数のログを所定の条件に基づいて複数のグループにグループ分けし、グループ毎にマスクデータを生成し、
前記マスクログ生成部は、前記マスクデータ生成部により生成された複数のマスクデータ毎に前記複数のログに対応する複数のマスクログを含むファイルをマスクログファイルとして生成し、
前記ログ収集装置は、さらに、
前記マスクログ生成部により生成された複数のマスクログファイルを所定の方法で圧縮するマスクログ圧縮部と、
前記マスクログ圧縮部により圧縮された複数のマスクログファイルそれぞれのデータサイズに基づいてマスクログファイルを選択するマスクログ選択部とを備える
ことを特徴とする請求項2または請求項3記載のログ収集装置。 The log input unit inputs a plurality of logs,
The mask data generation unit divides a plurality of logs input to the log input unit into a plurality of groups based on a predetermined condition, generates mask data for each group,
The mask log generation unit generates a file including a plurality of mask logs corresponding to the plurality of logs as a mask log file for each of a plurality of mask data generated by the mask data generation unit,
The log collection device further includes:
A mask log compression unit that compresses a plurality of mask log files generated by the mask log generation unit by a predetermined method;
The log collection according to claim 2, further comprising: a mask log selection unit that selects a mask log file based on a data size of each of the plurality of mask log files compressed by the mask log compression unit. apparatus.
前記マスクログ選択部により選択されたマスクログファイルを所定の方法で解凍するマスクログ解凍部と、
前記マスクログ解凍部により解凍されたマスクログファイルに含まれる複数のマスクログそれぞれに当該マスクログファイルに対応するマスクデータに示される部分データを設定することにより前記複数のログを復元するログ復元部とを備える
ことを特徴とする請求項4記載のログ収集装置。 The log collection device further includes:
A mask log decompression unit for decompressing the mask log file selected by the mask log selection unit by a predetermined method;
A log restoration unit that restores the plurality of logs by setting partial data indicated by mask data corresponding to the mask log file in each of a plurality of mask logs included in the mask log file decompressed by the mask log decompression unit The log collection device according to claim 4, further comprising:
前記マスクログ生成部は、前記マスクデータ記憶部に記憶された複数のマスクデータのうち前記ログが記録された時刻に対応するマスクデータを用いてマスクログを生成する
ことを特徴とする請求項1記載のログ収集装置。 The mask data storage unit stores a plurality of mask data in association with time,
The mask log generation unit generates a mask log using mask data corresponding to a time at which the log was recorded among a plurality of mask data stored in the mask data storage unit. The log collector described.
前記マスクログ生成部により生成されたマスクログに前記マスクログに対応するマスクデータに示される部分データを設定することによりログを復元するログ復元部を備える
ことを特徴とする請求項6記載のログ収集装置。 The log collection device further includes:
The log according to claim 6, further comprising: a log restoration unit that restores the log by setting partial data indicated by mask data corresponding to the mask log in the mask log generated by the mask log generation unit. Collection device.
ログ入力部が、ログを入力し、
マスクログ生成部が、前記ログ入力部に入力されたログと前記マスクデータ記憶部に記憶されたマスクデータとに基づいて、前記部分データを省略したログをマスクログとして生成する
ことを特徴とするログ収集装置のログ収集方法。 A log collection method of a log collection device including a mask data storage unit that stores mask data indicating partial data common to a plurality of logs indicating processing performed by a computer,
The log input part inputs the log,
The mask log generation unit generates a log from which the partial data is omitted as a mask log based on the log input to the log input unit and the mask data stored in the mask data storage unit. Log collection method for the log collector.
ログを入力するログ入力部と、
前記ログ入力部に入力されたログと前記マスクデータ記憶部に記憶されたマスクデータとに基づいて、前記部分データを省略したログをマスクログとして生成するマスクログ生成部と、
前記マスクデータ記憶部に記憶されたマスクデータと前記マスクログ生成部により生成されたマスクログとを送信するマスクログ送信部と
を備えるログ収集クライアント装置と、
前記マスクデータと前記マスクログとを受信するマスクログ受信部と、
前記マスクログ受信部により受信されたマスクログに前記マスクログ受信部により受信されたマスクデータに示される部分データを設定することによりログを復元するログ復元部と
を備えるログ収集サーバ装置と
を有することを特徴とするログ収集システム。 A mask data storage unit for storing mask data indicating partial data common to a plurality of logs indicating processing performed by the computer;
A log input section for inputting logs;
A mask log generation unit that generates a log without the partial data as a mask log based on the log input to the log input unit and the mask data stored in the mask data storage unit;
A log collection client device comprising: a mask log transmission unit configured to transmit mask data stored in the mask data storage unit and a mask log generated by the mask log generation unit;
A mask log receiving unit for receiving the mask data and the mask log;
A log collection server device comprising: a log restoration unit that restores a log by setting partial data indicated by mask data received by the mask log reception unit in a mask log received by the mask log reception unit Log collection system characterized by that.
前記ログ入力部に入力された複数のログから複数のログに共通する部分データを抽出し、抽出した部分データを示すマスクデータを所定のタイミングで生成するマスクデータ生成部を備え、
前記マスクログ送信部は、前記マスクデータ生成部により新たに生成されたマスクデータを送信し、
前記ログ復元部は、前記マスクログ送信部により送信された新たなマスクデータを用いてログを復元する
ことを特徴とする請求項9記載のログ収集システム。 The log collection client device further includes:
A mask data generation unit that extracts partial data common to a plurality of logs from a plurality of logs input to the log input unit, and generates mask data indicating the extracted partial data at a predetermined timing,
The mask log transmission unit transmits mask data newly generated by the mask data generation unit,
The log collection system according to claim 9, wherein the log restoration unit restores a log using new mask data transmitted by the mask log transmission unit.
ログ入力部が、ログを入力し、
マスクログ生成部が、前記ログ入力部に入力されたログと前記マスクデータ記憶部に記憶されたマスクデータとに基づいて、前記部分データを省略したログをマスクログとして生成し、
マスクログ送信部が、前記マスクデータ記憶部に記憶されたマスクデータと前記マスクログ生成部により生成されたマスクログとを送信し、
ログ収集サーバ装置で、
マスクログ受信部が、前記マスクデータと前記マスクログとを受信し、
ログ復元部が、前記マスクログ受信部により受信されたマスクログに前記マスクログ受信部により受信されたマスクデータに示される部分データを設定することによりログを復元する
ことを特徴とするログ収集システムのログ収集方法。 A log collection client device including a mask data storage unit that stores mask data indicating partial data common to a plurality of logs indicating processing performed by a computer,
The log input part inputs the log,
A mask log generation unit generates a log with the partial data omitted as a mask log based on the log input to the log input unit and the mask data stored in the mask data storage unit,
The mask log transmission unit transmits the mask data stored in the mask data storage unit and the mask log generated by the mask log generation unit,
On the log collection server device,
A mask log receiving unit receives the mask data and the mask log;
A log collecting system, wherein a log restoring unit restores a log by setting partial data indicated by mask data received by the mask log receiving unit in a mask log received by the mask log receiving unit Log collection method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009287050A JP2011128915A (en) | 2009-12-18 | 2009-12-18 | Log collection device and log collection method thereof, log collection system and log collection method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009287050A JP2011128915A (en) | 2009-12-18 | 2009-12-18 | Log collection device and log collection method thereof, log collection system and log collection method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011128915A true JP2011128915A (en) | 2011-06-30 |
Family
ID=44291446
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009287050A Pending JP2011128915A (en) | 2009-12-18 | 2009-12-18 | Log collection device and log collection method thereof, log collection system and log collection method thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011128915A (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013246654A (en) * | 2012-05-25 | 2013-12-09 | Nec Corp | Log management device, log management method and log management program |
JP2014116780A (en) * | 2012-12-10 | 2014-06-26 | Toshiba Corp | Satellite communication system, mobile station, mobile station monitoring method, and mobile station monitoring program |
JPWO2013136418A1 (en) * | 2012-03-12 | 2015-08-03 | 株式会社日立製作所 | Log management computer and log management method |
JP2018170661A (en) * | 2017-03-30 | 2018-11-01 | 日本電気株式会社 | Communication system |
JP2018195027A (en) * | 2017-05-16 | 2018-12-06 | 富士通株式会社 | Analysis system, analysis method and analysis program |
JP2019176582A (en) * | 2018-03-28 | 2019-10-10 | 三菱電機株式会社 | Monitoring system for power receiving and distributing facility |
JP7157272B1 (en) | 2022-06-13 | 2022-10-19 | セイコーソリューションズ株式会社 | GATEWAY, SENSOR PROCESSING SERVER, GATEWAY CONTROL PROGRAM AND GATEWAY CONTROL METHOD |
-
2009
- 2009-12-18 JP JP2009287050A patent/JP2011128915A/en active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2013136418A1 (en) * | 2012-03-12 | 2015-08-03 | 株式会社日立製作所 | Log management computer and log management method |
JP2013246654A (en) * | 2012-05-25 | 2013-12-09 | Nec Corp | Log management device, log management method and log management program |
JP2014116780A (en) * | 2012-12-10 | 2014-06-26 | Toshiba Corp | Satellite communication system, mobile station, mobile station monitoring method, and mobile station monitoring program |
JP2018170661A (en) * | 2017-03-30 | 2018-11-01 | 日本電気株式会社 | Communication system |
US10764405B2 (en) | 2017-03-30 | 2020-09-01 | Nec Corporation | Communication system |
JP2018195027A (en) * | 2017-05-16 | 2018-12-06 | 富士通株式会社 | Analysis system, analysis method and analysis program |
JP2019176582A (en) * | 2018-03-28 | 2019-10-10 | 三菱電機株式会社 | Monitoring system for power receiving and distributing facility |
JP7019479B2 (en) | 2018-03-28 | 2022-02-15 | 三菱電機株式会社 | Monitoring system for power receiving and distribution equipment |
JP7157272B1 (en) | 2022-06-13 | 2022-10-19 | セイコーソリューションズ株式会社 | GATEWAY, SENSOR PROCESSING SERVER, GATEWAY CONTROL PROGRAM AND GATEWAY CONTROL METHOD |
WO2023243465A1 (en) * | 2022-06-13 | 2023-12-21 | セイコーソリューションズ株式会社 | Gateway, sensor processing server, gateway control program, and gateway control method |
JP2023181774A (en) * | 2022-06-13 | 2023-12-25 | セイコーソリューションズ株式会社 | Gateway, sensor processing server, gateway control program, and gateway control method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2011128915A (en) | Log collection device and log collection method thereof, log collection system and log collection method thereof | |
CN111049705B (en) | Method and device for monitoring distributed storage system | |
WO2020029407A1 (en) | Alarm data management method and apparatus, and computer device and storage medium | |
JP2009199533A (en) | Operation management device, operation management system, information processing method, and operation management program | |
JP2011128818A (en) | Stream data processing apparatus and method | |
JP2005157521A (en) | Method for monitoring state information of remote storage device and storage sub-system | |
JP2007334716A (en) | Operation management system, monitoring device, device to be monitored, operation management method, and program | |
US20150205658A1 (en) | Network device and method of specifying data | |
US11086919B2 (en) | Service regression detection using real-time anomaly detection of log data | |
CN112187513A (en) | Medical Internet of things cloud platform method and system based on big data and storage medium | |
US11349730B2 (en) | Operation device and operation method | |
CN114091704B (en) | Alarm suppression method and device | |
JP2004178296A (en) | Knowledge based operation management system, method and program | |
CN113190620B (en) | Method, device, equipment and storage medium for synchronizing data between Redis clusters | |
US9141452B2 (en) | Failure detection method and failure detection system | |
CN110011845B (en) | Log collection method and system | |
CN111162938A (en) | Data processing system and method | |
JP2011095886A (en) | Application server, method and program for reproducing application failure | |
JP6216621B2 (en) | Plant monitoring and control system | |
US20170091038A1 (en) | Fault tolerant event management system | |
US20190163392A1 (en) | Lifecycle management of memory devices | |
CN115757270A (en) | File version management system and method and computer equipment | |
JP2014238852A (en) | Operation management device, operation management system, information processing method, and operation management program | |
JP5590196B2 (en) | Operation management apparatus, operation management system, information processing method, and operation management program | |
JP2016197450A (en) | Operation management device, operation management system, information processing method, and operation management program |