JP2011159125A - イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法 - Google Patents

イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法 Download PDF

Info

Publication number
JP2011159125A
JP2011159125A JP2010020572A JP2010020572A JP2011159125A JP 2011159125 A JP2011159125 A JP 2011159125A JP 2010020572 A JP2010020572 A JP 2010020572A JP 2010020572 A JP2010020572 A JP 2010020572A JP 2011159125 A JP2011159125 A JP 2011159125A
Authority
JP
Japan
Prior art keywords
event
events
cluster
parameter
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010020572A
Other languages
English (en)
Inventor
Tomohiro Ikakura
知広 猪鹿倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010020572A priority Critical patent/JP2011159125A/ja
Publication of JP2011159125A publication Critical patent/JP2011159125A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】イベントクラスタリングシステムにおいて、無関係なイベントを同じクラスタに入れることを防ぎつつ、関連するイベントの取りこぼしを少なくする。
【解決手段】複数のイベント間の距離をパラメータと所定の重みとで計算する(1010)。該距離が所定数値より小さい複数のイベントを一つのクラスタとして纏めて保存する(1020)。該クラスタ内のイベントにおけるパラメータ分布と、全イベントにおけるパラメータ分布とを計算して(1040、1050)比較し(1060)、分布差が大きいパラメータを抽出する(1070)。該パラメータについてクラスタ内のイベントのうち特徴的な範囲を特定し、該範囲にあてはまるイベントをクラスタ内のイベントと保存されていないイベントとから選定する(1080)。該パラメータ以外のパラメータについてクラスタから選定されたイベントの個数が多数であるほど、距離計算の重みを低下させる(1090)。
【選択図】図1

Description

本発明は、任意に発生するイベントをクラスタリングするイベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法、に関する。
ここでイベントと呼んでいるものは、複数の機器から構成されているシステムにおいて、それぞれの機器が独自に自身の状態(例えば、「障害が発生した」など)を報告するために発行するものである。
システム中に一つ障害が発生した場合でも、その障害の影響を受けた機器がそれぞれ障害の影響により正しく動作できないことをイベントで報告するため、多数のイベントが発行されることがある。
イベントクラスタリングとは、このようにイベントが多数発行される中、一つの障害に起因するイベントなど、互いに関連しあうイベントを一つに纏めることである。
イベントクラスタリングの目的は、システムの管理者にとって、イベントが多数配列されていては、重要なイベントが埋もれてしまうなど、イベントが示しているはずのシステムの状態を把握しづらくなるという問題を解決するため、関連しあうイベントを一纏めにして表示することで、管理者にとってシステムの状態を把握しやすくするために用いる。
そのほかの目的としては、イベントの発行パターンから、システムに何がおきているのかまで分析する障害発見システムの中でも、どのようにイベントの発行パターンを分析するのか、どのようなパターンであればどのような障害であるのかなどを示した「ルール」に基づいてイベントの分析を行うルールベースの障害発見システムにおいて、「ルール」を学習するための機能の一部として用いる。
すなわち、実際に発生したイベントからイベントの発生における頻出パターンなどを抽出することでルールの学習を行うが、まず関連するであろうイベントをクラスタリングし、そのクラスタに含まれるイベントを分析することで、頻出パターンを求める。
また、従来のルールを学習するための前処理としてイベントのクラスタリングを行う、イベントクラスタリングシステムの一例が提案されている。図11に示すように、そのイベントクラスタリングシステム1000は、イベント間距離計算手段1010と、クラスタリング手段1020と、クラスタ保存手段1030と、から構成されている。
このような構成を有するイベントクラスタリングシステム1000は、つぎのように動作する。クラスタリングを行う際、イベント間の距離をなんらかの方法で定義する。例えば、発生時刻が近ければイベント間の距離は近い。
また、発生機器が同じ、もしくは関連の強い機器同士であっても、イベント間の距離は近い。このような方法でイベント間距離計算手段1010は、それぞれのイベント間の距離を計算する。
クラスタリング手段1020は、このように計算した距離に関して相互に近いイベント群を一纏めにし、クラスタとする。このとき距離の近いという点には、なんらかの形で閾値を与えてやり、同じクラスタに纏めるのか、別のクラスタに分けるのかという判断が必要になる。
閾値を上げ、クラスタとするイベントの距離の条件を緩めると、同じ障害から発生したイベントなど関連するイベントがクラスタから漏れてしまうことを防ぐ(網羅率を上げる)ことができるが、無関係なイベントを一つのクラスタにしてしまう可能性は逆に増える(精度が下がる)。
クラスタリング手段1020により作成されたクラスタはクラスタ保存手段1030に保存され、外部に表示されたり、さらにクラスタに含まれるイベントのパターンを抽出するイベント学習機能により利用されたりする(特許文献1)。
また、時系列データを用いて精度よいモデルを効率的に構築できるようにする適応的予測モデル構築方法又は適応的予測モデル構築システムの提案もある。その技術では、予測モデルから出力される予測値の誤差が大きくなった、すなわち、予測モデルが学習した時系列データの特性と、予測時点の時系列データの特性と、が異なってきている場合には、予測モデルの再学習を行ないモデルを更新する。
そして、誤差がより大きくなった、すなわち、予測モデルを全体的に見直す必要がある場合には、モデル構成についても変更して予測モデル全体を見直すため、予測精度の高い予測モデルを効率的に構築する適応的予測モデル構築方法又は適応的予測モデル構築システムとする(特許文献2)。
さらに、文書集合に内容的な偏りがあることを考慮し、全体として見やすい文書分類を、利用者の負担を少なくして実現することができる蓄積文書分類装置、蓄積文書分類方法、プログラムおよび記録媒体の提案もある。
その技術では、特定の話題に関連する文書の数が多く、他の話題に関連する文書が少ない等のように、文書集合に内容的な偏りがある場合、大きな話題に関連する文書のクラスタを、他の文書のクラスタよりも細かい粒度で分類するものである(特許文献3)。
特開平07−230446号公報 特開2004−086896号公報 特開2008−102737号公報
しかし、特許文献1等のイベントクラスタリングシステム1000などでは、クラスタリングを行う際の網羅率と精度を同時に向上させることが困難である。その理由は、クラスタリングの際の、クラスタとして纏めるイベント間の距離の閾値を、あげると網羅率は上がるが、精度は下がり、逆に閾値を下げると精度は上がるが網羅率は下がるためである。
さらに、イベントクラスタリングシステム1000では、対象とするイベントを選ぶ際に、フィルタリングを実行して大量に発生する重要でないイベントを排除すると、障害に関連するイベントを取りこぼす可能性がある。しかし、フィルタリングを行わないと、雑多で重要でないイベントが大量にクラスタ中に入ってしまいクラスタの分析が困難となる。
その理由は、イベントの優先度(critical, major, minor, warning、などイベントの重大さを示す指標)などでフィルタリングして優先度の高いイベントのみにすると障害に影響されてでるイベントの一部もフィルタリングしてしまう可能性が発生し、フィルタリングしないと定常的に発生するイベントなど障害などに無関係な多数のイベントがクラスタ中にまぎれてしまうためである。
本発明は上述のような課題に鑑みてなされたものであり、クラスタの特徴に併せて近傍のイベントを探索することで、無関係なイベントを同じクラスタに入れることを防ぎつつ、関連するイベントの取りこぼしを少なくすることができる、すなわち網羅率を、あげることができるイベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法、を提供するものである。
本発明のイベントクラスタリングシステムは、任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶手段と、記憶された複数のイベント間の距離をパラメータと所定の重みとを使用して計算するイベント間距離計算手段と、計算された距離が所定数値より小さい複数のイベントを一つのクラスタとして纏めるクラスタリング手段と、複数のイベントが纏められたクラスタを保存するクラスタ保存手段と、クラスタ保存手段に保存されたクラスタごとに含まれているイベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算手段と、イベント記憶手段に記憶された全部のイベントにおけるパラメータ分布を計算するイベントパラメータ分布計算手段と、各々計算されたクラスタ内のイベントのパラメータ分布と全部のイベントのパラメータ分布とを比較して分布差が大きいパラメータを抽出する分布比較手段と、抽出されたパラメータについてクラスタに含まれるイベントのうち特徴的な範囲を特定する特徴パラメータ抽出手段と、特定された範囲にあてはまるイベントをクラスタ保存手段で保存された複数のイベントとイベント記憶手段に記憶されていてクラスタ保存手段で保存されていない複数のイベントとから選定する対象イベント抽出手段と、分布比較手段により抽出されたパラメータ以外のパラメータについてクラスタ保存手段に保存されたクラスタから選定されたイベントの個数が多数であるほど、クラスタ保存手段から選定されたイベントとイベント記憶手段から選定されたイベントとのイベント間距離計算手段による距離の計算の重みを低下させるイベント間距離計算修正手段と、を有する。
本発明のコンピュータプログラムは、本発明のイベントクラスタリングシステムのコンピュータプログラムであって、任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶処理と、記憶された複数のイベント間の距離をパラメータと所定の重みとを使用して計算するイベント間距離計算処理と、計算された距離が所定数値より小さい複数のイベントを一つのクラスタとして纏めるクラスタリング処理と、複数のイベントが纏められたクラスタを保存するクラスタ保存処理と、クラスタ保存処理で保存されたクラスタごとに含まれているイベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算処理と、イベント記憶処理で記憶された全部のイベントにおけるパラメータ分布を計算するイベントパラメータ分布計算処理と、各々計算されたクラスタ内のイベントのパラメータ分布と全部のイベントのパラメータ分布とを比較して分布差が大きいパラメータを抽出する分布比較処理と、抽出されたパラメータについてクラスタに含まれるイベントのうち特徴的な範囲を特定する特徴パラメータ抽出処理と、特定された範囲にあてはまるイベントをクラスタ保存処理で保存された複数のイベントとイベント記憶処理で記憶されていてクラスタ保存処理で保存されていない複数のイベントとから選定する対象イベント抽出処理と、分布比較処理により抽出されたパラメータ以外のパラメータについてクラスタ保存処理で保存されたクラスタから選定されたイベントの個数が多数であるほど、クラスタ保存処理で保存されて選定されたイベントとイベント記憶処理で記憶されて選定されたイベントとのイベント間距離計算処理による距離の計算の重みを低下させるイベント間距離計算修正処理と、をイベントクラスタリングシステムに実行させる。
本発明のデータ処理方法は、本発明のイベントクラスタリングシステムのデータ処理方法であって、任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶動作と、記憶された複数のイベント間の距離をパラメータと所定の重みとを使用して計算するイベント間距離計算動作と、計算された距離が所定数値より小さい複数のイベントを一つのクラスタとして纏めるクラスタリング動作と、複数のイベントが纏められたクラスタを保存するクラスタ保存動作と、クラスタ保存動作で保存されたクラスタごとに含まれているイベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算動作と、イベント記憶動作で記憶された全部のイベントにおけるパラメータ分布を計算するイベントパラメータ分布計算動作と、各々計算されたクラスタ内のイベントのパラメータ分布と全部のイベントのパラメータ分布とを比較して分布差が大きいパラメータを抽出する分布比較動作と、抽出されたパラメータについてクラスタに含まれるイベントのうち特徴的な範囲を特定する特徴パラメータ抽出動作と、特定された範囲にあてはまるイベントをクラスタ保存動作で保存された複数のイベントとイベント記憶動作で記憶されていてクラスタ保存動作で保存されていない複数のイベントとから選定する対象イベント抽出動作と、分布比較動作により抽出されたパラメータ以外のパラメータについてクラスタ保存動作で保存されたクラスタから選定されたイベントの個数が多数であるほど、クラスタ保存動作で保存されて選定されたイベントとイベント記憶動作で記憶されて選定されたイベントとのイベント間距離計算動作による距離の計算の重みを低下させるイベント間距離計算修正動作と、を有する。
なお、本発明の各種の構成要素は、その機能を実現するように形成されていればよく、例えば、所定の機能を発揮する専用のハードウェア、所定の機能がコンピュータプログラムにより付与されたデータ処理装置、コンピュータプログラムによりデータ処理装置に実現された所定の機能、これらの任意の組み合わせ、等として実現することができる。
また、本発明の各種の構成要素は、必ずしも個々に独立した存在である必要はなく、複数の構成要素が一個の部材として形成されていること、一つの構成要素が複数の部材で形成されていること、ある構成要素が他の構成要素の一部であること、ある構成要素の一部と他の構成要素の一部とが重複していること、等でもよい。
また、本発明のコンピュータプログラムおよびデータ処理方法は、複数の処理および動作を順番に記載してあるが、その記載の順番は複数の処理および複数の動作を実行する順番を限定するものではない。
このため、本発明のコンピュータプログラムおよびデータ処理方法を実施するときには、その複数の処理および複数の動作の順番は内容的に支障しない範囲で変更することができる。
さらに、本発明のコンピュータプログラムおよびデータ処理方法は、複数の処理および複数の動作が個々に相違するタイミングで実行されることに限定されない。このため、ある処理および動作の実行中に他の処理および動作が発生すること、ある処理および動作の実行タイミングと他の処理および動作の実行タイミングとの一部ないし全部が重複していること、等でもよい。
また、本発明で云うイベントクラスタリングシステムは、コンピュータプログラムを読み取って対応する処理動作を実行できるように、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、I/F(Interface)ユニット、等の汎用デバイスで構築されたハードウェア、所定の処理動作を実行するように構築された専用の論理回路、これらの組み合わせ、等として実施することができる。
なお、本発明でコンピュータプログラムに対応した各種動作をイベントクラスタリングシステムに実行させることは、各種デバイスをイベントクラスタリングシステムに動作制御させることなども意味している。
例えば、イベントクラスタリングシステムに各種データを記憶させることは、イベントクラスタリングシステムに固定されているHDD(Hard Disc Drive)等の情報記憶媒体にCPUが各種データを格納すること、イベントクラスタリングシステムに交換自在に装填されているCD−R(Compact Disc-Recordable)等の情報記憶媒体にCPUがCDドライブで各種データを格納すること、等を許容する。
本発明のイベントクラスタリングシステムでは、特徴を共有する、すなわち関連の大きいと考えられるイベントを広くカバーし、同時に無関係なイベントがクラスタ中に含まれる可能性を減らすことができる。
本発明の実施の第一の形態のイベントクラスタリングシステムの論理構造を示す模式的なブロック図である。 イベントクラスタリングシステムによるデータ処理方法を示すフローチャートである。 実施の第二の形態のイベントクラスタリングシステムの論理構造を示す模式的なブロック図である。 イベントクラスタリングシステムによるデータ処理方法を示すフローチャートである。 本発明の実施例のイベントクラスタリングシステムが対象とするシステムの構造を示す模式的なブロック図である。 イベント履歴のデータ構造を示す模式図である。 イベントのクラスタのデータ構造を示す模式図である。 イベント履歴全体におけるパラメータ分布を示す特性図である。 クラスタにおけるパラメータ分布を示す特性図である。 イベントのクラスタの変更結果のデータ構造を示す模式図である。 公知例のイベントクラスタリングシステムを示すブロック図である。
本発明の実施の第一の形態を図1および図2を参照して以下に説明する。ただし、本実施の形態に関して前述した一従来例と同一の部分は、同一の名称を使用して詳細な説明は省略する。
本実施の形態のイベントクラスタリングシステム1000は、図1に示すように、任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶手段1100と、記憶された複数のイベント間の距離をパラメータと所定の重みとを使用して計算するイベント間距離計算手段1010と、計算された距離が所定数値より小さい複数のイベントを一つのクラスタとして纏めるクラスタリング手段1020と、複数のイベントが纏められたクラスタを保存するクラスタ保存手段1030と、クラスタ保存手段1030に保存されたクラスタごとに含まれているイベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算手段1040と、イベント記憶手段1100に記憶された全部のイベントにおけるパラメータ分布を計算するイベントパラメータ分布計算手段1050と、各々計算されたクラスタ内のイベントのパラメータ分布と全部のイベントのパラメータ分布とを比較して分布差が大きいパラメータを抽出する分布比較手段1060と、抽出されたパラメータについてクラスタに含まれるイベントのうち特徴的な範囲を特定する特徴パラメータ抽出手段1070と、特定された範囲にあてはまるイベントをクラスタ保存手段1030で保存された複数のイベントとイベント記憶手段1100に記憶されていてクラスタ保存手段で保存されていない複数のイベントとから選定する対象イベント抽出手段1080と、分布比較手段1060により抽出されたパラメータ以外のパラメータについてクラスタ保存手段1030に保存されたクラスタから選定されたイベントの個数が多数であるほど、クラスタ保存手段1030から選定されたイベントとイベント記憶手段1100から選定されたイベントとのイベント間距離計算手段1010による距離の計算の重みを低下させるイベント間距離計算修正手段1090と、を有する。
なお、イベント間距離計算手段1010は、数値からなる二つのパラメータの差分の二乗に重みを乗算して距離を計算する。また、分布比較手段1060は、尤度比検定などの仮説検定によりクラスタ内のイベントのパラメータ分布と全部のイベントのパラメータ分布とを比較して分布差が大きいパラメータを抽出する。さらに、特徴パラメータ抽出手段1070は、パラメータの分布の偏りを算出して特徴的な数値の範囲を特定する。
上述のような各種手段は、コンピュータ装置からなるイベントクラスタリングシステム1000に適切なコンピュータプログラムが実装されることで実現されている。このようなコンピュータプログラムは、例えば、任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶処理と、記憶された複数のイベント間の距離をパラメータと所定の重みとを使用して計算するイベント間距離計算処理と、計算された距離が所定数値より小さい複数のイベントを一つのクラスタとして纏めるクラスタリング処理と、複数のイベントが纏められたクラスタを保存するクラスタ保存処理と、クラスタ保存処理で保存されたクラスタごとに含まれているイベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算処理と、イベント記憶処理で記憶された全部のイベントにおけるパラメータ分布を計算するイベントパラメータ分布計算処理と、各々計算されたクラスタ内のイベントのパラメータ分布と全部のイベントのパラメータ分布とを比較して分布差が大きいパラメータを抽出する分布比較処理と、抽出されたパラメータについてクラスタに含まれるイベントのうち特徴的な範囲を特定する特徴パラメータ抽出処理と、特定された範囲にあてはまるイベントをクラスタ保存処理で保存された複数のイベントとイベント記憶処理で記憶されていてクラスタ保存処理で保存されていない複数のイベントとから選定する対象イベント抽出処理と、分布比較処理により抽出されたパラメータ以外のパラメータについてクラスタ保存処理で保存されたクラスタから選定されたイベントの個数が多数であるほど、クラスタ保存処理で保存されて選定されたイベントとイベント記憶処理で記憶されて選定されたイベントとのイベント間距離計算処理による距離の計算の重みを低下させるイベント間距離計算修正処理と、をイベントクラスタリングシステム1000に実行させるように記述されている。
より具体的には、図1を参照すると、本発明の第一の実施の形態のイベントクラスタリングシステム1000は、HDD等の外部記憶デバイスからなるイベント記憶手段1100と、ディスプレイデバイスやプリンタ装置などのデータ出力装置1200と、をハードウェアとして有する。
イベントクラスタリングシステム1000は、前述のように適切なコンピュータプログラムが実装されることにより、イベント間距離計算手段1010と、クラスタリング手段1020と、クラスタ保存手段1030と、クラスタ内イベントパラメータ分布計算手段1040と、イベントパラメータ分布計算手段1050と、分布比較手段1060と、特徴パラメータ抽出手段1070と、対象イベント抽出手段1080と、イベント間距離計算修正手段1090と、が論理的に実現されている。
これらの手段は、それぞれ概略つぎのように動作する。イベント間距離計算手段1010は、イベントが持つ複数のパラメータ、例えば、発生時刻や発生場所、イベントの内容、などによりイベント間の距離を計算する。
この距離の計算は、例えば、二つのイベントのパラメータの差分の二乗に、所定の重みを乗算することなどで実行される。従って、イベントの発生時間が近ければイベント間の距離は近く、また、イベントの発生場所が同じであれば、発生時刻が多少は離れていてもイベント間の距離は近いことになる。
クラスタリング手段1020は、距離の近いイベント群を一つのクラスタとして纏める。クラスタ保存手段1030は、クラスタリング手段1020が求めたクラスタの情報を保存する。例えば、クラスタに含まれるイベントのリストなどが保存される。
クラスタ内イベントパラメータ分布計算手段1040は、クラスタ保存手段1030に保存されたクラスタごとに、そのクラスタに含まれているイベントにおけるパラメータの分布を計算する。例えば、平均や分散、偏り度などを求める。
イベントパラメータ分布計算手段1050は、全部のイベントにおけるパラメータの分布を計算する。分布比較手段1060は、クラスタ内イベントパラメータ分布計算手段1040が計算したクラスタ内イベントのパラメータ分布と、イベントパラメータ分布計算手段1050が計算した全部のイベントのパラメータ分布とを比較し、大きく離れているパラメータを抽出する。
特徴パラメータ抽出手段1070は、分布比較手段1060によって全部のイベントのパラメータ分布と大きく離れていると判断されたパラメータについて、クラスタに含まれるイベントのうち、特徴的な数値の範囲を特定する。
例えば、あるクラスタにおいて、イベント発生場所が全部のイベントの発生場所分布と比較して、一部に偏っていると分布比較手段1060に判断された場合、特徴パラメータ抽出手段1070では、特定の機器にイベント発生場所が偏っていることを特定する。
対象イベント抽出手段1080は、特徴パラメータ抽出手段1070によって特定されたパラメータの特徴的な数値の範囲にあてはまるイベントを、クラスタリング手段1020により纏められ、クラスタ保存手段1030に保存されたクラスタ中のイベントの中から選定し、同様に、イベント記憶手段1100に保存されたイベント履歴の中からもパラメータの特徴的な数値の範囲に含まれるイベントを選ぶ。
イベント間距離計算修正手段1090は、対象イベント抽出手段1080がクラスタ保存手段1030に保存されたクラスタから選定されたイベントと、イベント記憶手段1100に保存されたイベント履歴から選定されたイベントとの間に対する、イベント間距離計算手段1010が行う距離計算において、分布比較手段1060により全部のイベントのパラメータ分布と大きく離れていると抽出されたパラメータ以外のパラメータについて、対象イベント抽出手段1080がクラスタ保存手段1030に保存されたクラスタから選定されたイベントの個数が多数であるほど、距離計算に対する重みを下げるように、イベント間距離計算手段1010の計算方法を変更する。
つぎに、図1の機能ブロック図および図2のフローチャートを参照して、本実施の形態のイベントクラスタリングシステム1000のデータ処理方法について詳細に説明する。
まず、イベント記憶手段1100に記憶されたイベント履歴の全部のイベントに対して、イベント間距離計算手段1010によりイベント間の距離を計算する(図2のステップA01)。
つぎに、クラスタリング手段1020は、ステップA01で計算された距離が小さいイベントをクラスタとして纏め、各クラスタと、そのクラスタに含まれるイベントのリストをクラスタ保存手段1030に保存する。(ステップA02)。
さらに、クラスタ保存手段1030に保存されたクラスタを一つ選択する(ステップA03)。そして、クラスタ内イベントパラメータ分布計算手段1040は、ステップA03で選択したクラスタに属するイベントについてイベントの持つ全部のパラメータについて数値の分布を求める(ステップA04)。
さらに、イベントパラメータ分布計算手段1050は、イベント記憶手段1100に保存されたイベント履歴の全部のイベントについて、イベントの持つ全部のパラメータについて数値の分布を求める(ステップA05)。
さらに、分布比較手段1060はイベントの持つ全部のパラメータについて、ステップA04で求めた、ステップA03で選択したクラスタにおける数値の分布と、ステップA05で求めた全部のイベントにおける数値の分布を比較し、分布の差が大きいパラメータを全部選ぶ(ステップA06)。
さらに、ステップA06にて一つでもパラメータが選ばれた場合は、ステップA08へ進み、選ばれなかった場合は、ステップA17へ進む(ステップA07)。ステップA06で一つでもパラメータが選ばれた場合、特徴パラメータ抽出手段1070は、ステップA06で選ばれた各パラメータについて、ステップA03で選択されたクラスタのイベントにおいて特徴的な数値の範囲を特定する(ステップA08)。
さらに、対象イベント抽出手段1080は、ステップA03で選択したクラスタのイベントのうち、ステップA06で選択された各パラメータについて、ステップA08で特定されたパラメータの数値の範囲に収まっているイベントを抽出する(ステップA09)。
さらに、イベント間距離計算修正手段1090は、ステップA09でパラメータごとに選ばれたイベント数を数え、最もイベント数の多いパラメータにおけるイベント数を採用する(ステップA10)。
さらに、イベント間距離計算修正手段1090は、イベント間距離計算手段1010が行うイベント間距離計算において、ステップA06で選定されたパラメータ以外のパラメータの重みを小さくする。この際、ステップA10で採用したイベント数が多数であるほど、より影響を小さくする(ステップA11)。
さらに、対象イベント抽出手段1080は、イベント記憶手段1100に記憶されたイベント履歴の全部のイベントのうちステップA03で選定されたクラスタに含まれていないイベントについて、ステップA06で選択された各パラメータについて、ステップA08で特定されたパラメータの数値の範囲に収まっているイベントを抽出する(ステップA12)。
さらに、イベント間距離計算手段1010は、ステップA11で変更されたイベント間距離計算方法を用いて、ステップA09で抽出したイベントに対するステップA12で抽出したイベントの距離を計算する(ステップA13)。
さらに、イベント間距離計算修正手段1090は、イベント間距離計算手段1010が行うイベント間距離計算をステップA11で変更する前のものに戻す(ステップA14)。
さらに、ステップA13で計算したイベント間距離が、予め設定された閾値より小さいイベントがあるか調べ、ある場合はステップA16へ進み、ない場合はステップA17へ進む(ステップA15)。
ステップA13で計算したイベント間距離が、小さいイベントがある場合は、クラスタリング手段1020はステップA13で計算したイベント間距離が小さいイベントを、ステップA03で選択したクラスタに追加し、クラスタ保存手段1030に保存する(ステップA16)。
最後に、クラスタ保存手段1030に保存された全部のクラスタについてステップA03からステップA15までの処理が行われた場合には、処理を終了する。まだ処理を行っていないクラスタがある場合はステップA03に戻る(ステップA17)。
つぎに、本実施の形態の効果について説明する。本実施の形態では、クラスタを構成するイベントのパラメータの数値の分布を調べ、全部のイベントにおけるパラメータの数値の分布と比較し、大きく異なるパラメータがある場合に、クラスタにおけるそのパラメータの特徴的な数値の範囲を求める。
例えば、あるクラスタのイベントについて発行機器のパラメータがイベント全体と比較して大きく偏っているという場合には、さらに発行機器が特定の機器に偏っていること、例えば、サーバAに偏っていることを求め、このことをクラスタの特徴として捉える。
さらに、そのクラスタの特徴としたパラメータの数値の範囲に収まっているイベントを該クラスタ中から求める。このイベントが、該クラスタ中の特徴的なイベントとなる。つぎに、クラスタの特徴として得た、パラメータの数値の範囲にあるイベントをクラスタの範囲外から求め、そのイベントと、クラスタの特徴的なイベントとのイベント間距離の計算において、クラスタの特徴以外のパラメータの重みを下げる、しかも、該クラスタ中の特徴的なイベントの個数が多数であるほど重みを下げるようにする。この結果、イベント間距離の結果は小さな数値になり、クラスタ中に取り込まれる可能性が高くなる。
本実施の形態のイベントクラスタリングシステム1000は、上述のように構成されているため、クラスタの特徴に合致するイベントのみをクラスタの近傍から集めるようになり、無関係なイベントがクラスタに取り込まれる可能性を増やさずに、関連するイベントを広くクラスタ中に集めることができる。
つぎに、本発明の実施の第二の形態について図3および図4を参照して詳細に説明する。図3を参照すると、本発明の実施の第二の形態は、実施の第一の形態に加え、イベントクラスタリングシステム1000がイベントフィルタリング手段1001とイベントフィルタリング修正手段1002を含む点で異なる。
これらの手段は、それぞれ概略つぎのように動作する。イベントフィルタリング手段1001は、イベント記憶手段1100に記憶されたイベント履歴のうち、クラスタリングの対象とするイベントのみを抽出する。
例えば、イベントのパラメータに優先度があり、優先度の高い順にcritical、major、minor、warning、informationと設定されていた場合、クラスタリングの対象としてmajor以上のみ取り出すなどを行う。
イベントフィルタリング修正手段1002は、イベントフィルタリング手段1001のフィルタリングの設定を変更する。例えば、イベントのパラメータの優先度について、最初はmajor以上の優先度のイベントのみ取り出すとなっていたものを、minor以上を取り出すと変更する。
つぎに、図3の機能ブロック図および図4のフローチャートを参照して、本実施の形態のイベントクラスタリングシステム1000の動作について詳細に説明する。
まず、イベントフィルタリング手段1001はイベント記憶手段1100に記憶されたイベント履歴の全部のイベントのうち、予め設定された条件を満たしたイベントを全部取り出す(図4のステップB01)。つぎに、ステップB01で取り出した全部のイベントに対して、イベント間距離計算手段1010によりイベント間の距離を計算する(ステップB02)。
さらに、クラスタリング手段1020は、ステップB02で計算された距離が小さいイベントをクラスタとして纏め、各クラスタと、そのクラスタに含まれるイベントのリストをクラスタ保存手段1030に保存する(ステップB03)。
つぎに、クラスタ保存手段1030に保存されたクラスタを一つ選択する(ステップB04)。さらに、クラスタ内イベントパラメータ分布計算手段1040は、ステップB04で選択したクラスタに属するイベントについてイベントの持つ全部のパラメータについて数値の分布を求める(ステップB05)。
さらに、イベントパラメータ分布計算手段1050は、ステップB01で取り出された全部のイベントについて、イベントの持つ全部のパラメータについて数値の分布を求める(ステップB06)。
さらに、分布比較手段1060はイベントの持つ全部のパラメータについて、ステップB05で求めた、ステップB04で選択したクラスタにおける数値の分布と、ステップB06で求めた全部のイベントにおける数値の分布を比較し、分布の差が大きいパラメータを全部選ぶ(ステップB07)。
ステップB07において、パラメータが一つ以上選ばれた場合はステップB09へ進み、パラメータが一つも選ばれなかった場合はステップB21へ進む(ステップB08)。
ステップB07において、パラメータが一つ以上選ばれた場合には、まず、特徴パラメータ抽出手段1070は、ステップB07で選ばれた各パラメータについて、ステップB04で選択されたクラスタのイベントにおいて特徴的な数値の範囲を特定する(ステップB09)。
つぎに、対象イベント抽出手段1080は、ステップB04で選択したクラスタのイベントのうち、ステップB07で選択された各パラメータについて、ステップB09で特定されたパラメータの数値の範囲に収まっているイベントを抽出する(ステップB10)。
さらに、イベント間距離計算修正手段1090は、ステップB10でパラメータごとに選ばれたイベント数を数え、最もイベント数の多いパラメータにおけるイベント数を採用する(ステップB11)。
さらに、イベント間距離計算修正手段1090は、イベント間距離計算手段1010が行うイベント間距離計算において、ステップB07で選定されたパラメータ以外のパラメータの影響を小さくする。この際、ステップB11で採用したイベント数が多数であるほど、より影響を小さくする(ステップB12)。
さらに、イベントフィルタリング修正手段1002は、イベントフィルタリング手段1001に設定されたイベントに対する条件を緩和する。この際、ステップB11で採用したイベント数が多数であるほど、より条件を緩和する(ステップB13)。
さらに、イベントフィルタリング手段1001はイベント記憶手段1100に記憶されたイベント履歴の全部のイベントのうち、ステップB13で設定された条件を満たしたイベントを全部取り出す(ステップB14)。
さらに、対象イベント抽出手段1080は、ステップB14で取り出したイベントのうち、ステップB04で選定されたクラスタに含まれていないイベントのうち、ステップB07で選択された各パラメータについて、ステップB09で特定されたパラメータの数値の範囲に収まっているイベントを抽出する(ステップB15)。
さらに、イベント間距離計算手段1010は、ステップB12で変更されたイベント間距離計算方法を用いて、ステップB10で抽出したイベントに対するステップB15で抽出したイベントの距離を計算する(ステップB16)。
さらに、イベント間距離計算修正手段1090は、イベント間距離計算手段1010が行うイベント間距離計算をステップB12で変更する前のものに戻す(ステップB17)。
さらに、イベントフィルタリング修正手段1002は、イベントフィルタリング手段1001のイベントに対する条件をステップB13で変更する前のものに戻す(ステップB18)。
さらに、ステップB16で計算したイベント間距離が、予め設定された閾値より小さいイベントがあるか調べ、ある場合はステップB20へ進み、ない場合はステップB21へ進む(ステップB19)。
ステップB16で計算したイベント間距離が、予め設定された閾値より小さいイベントがある場合は、クラスタリング手段1020はステップB16で計算したイベント間距離が、小さいイベントを、ステップB04で選択したクラスタに追加し、クラスタ保存手段1030に保存する(ステップB20)。
最後に、クラスタ保存手段1030に保存された全部のクラスタについてステップB04からステップB20までの処理が行われた場合には、処理を終了する。まだ処理を行っていないクラスタがある場合はステップB04に戻る(ステップB21)。
つぎに、本発明を実施するための最良の形態の効果について説明する。本実施の形態では、クラスタリングを行う際に、まずは重要度の高いイベントなど、注目すべきイベントのみでクラスタを作成する。
つぎにクラスタの特徴を調べる。さらに、最初にクラスタリングを行った際には、対象外としたイベントの中で、クラスタの特徴と合致するイベントも、新たに取り出してクラスタリングの対象とするというように構成されている。
このため、大量に発生する重要度の低いイベントをクラスタリングの対象からはずしつつ、コリレーションの対象とすべき関連するイベントは重要度の低いイベントの中からも探索でき、無関係なイベントを排除しつつ、関係するイベントを取りこぼす可能性を低くすることができる。
[実施例]
つぎに、具体的な実施例を用いて本発明を説明する。図5に示すように、監視対象のシステムは多数の機器(図6中のサーバA〜サーバD)からなっており、それぞれの機器は自分自身に問題が発生した際に、その問題の内容を報告するためのイベントを発行する。
イベントは別途設置されるイベント監視システムに送られ、イベント監視システムはイベントの履歴を自身のハードディスクに保存する。イベントは、発行された時刻、発行した機器、イベント内容、優先度の種類のパラメータを持つ。さらに、本発明を実現するイベントクラスタリングシステムが設置されている。
イベント履歴の例を図6に示す。まず、イベントを優先度を用いてフィルタリングする。優先度は高い順にcritical、major、minor、warningとなっている。本例ではwarningはフィルタする。この時点で、イベントのうちIDが3,7,9,29のイベントはフィルタされる。
つぎにフィルタされなかったイベントに対してクラスタリングを行う。クラスタリングを行う際に使用するイベント間距離は、イベントの発生時刻(分)の差、イベント発生機器(同じ機器なら0、異なる機器ならば1)、イベント内容(同じイベント内容ならば0、異なるイベント内容ならば1)の和とする。
このイベント間距離が6以内ならば同じクラスタとして纏めるものとする。図6の例では、IDが1、2、4、5、6、8、10、11、12、13のイベントは一つのクラスタになる。しかし、例えば、IDが28のイベントとは発生時刻が遠いためクラスタとならない。図7にクラスタの例を示す。
図8に、フィルタされなかったイベント履歴全体でのパラメータの分布を示す。イベント内容、発行した機器の二つのパラメータについて分布を示している。図9に、図7で示したクラスタについてのパラメータの分布を示す。図9で示したクラスタについてのパラメータの分布と、図8で示したイベント履歴全体のパラメータの分布を比較する。比較はχ二乗検定などによって行う。
この例においては、イベント発生機器はイベント履歴全体に比べてクラスタでは一部に大きく偏っており、分布が異なると判断される。イベント内容については異なるとまでは云えないと判断される。
すなわち、図7で示したクラスタを特徴づけるパラメータはイベント発生機器であるとなる。さらに、このイベント発生機器で多い数値はサーバAとサーバBとわかる。図7で示したクラスタ中のイベントのうち、発生機器がサーバAもしくはサーバBのイベントはIDが1、2、4、5、6、8、11、12である。
また、図6で示した全部のイベント履歴のうち、図7で示したクラスタに含まれないイベントのうち、発生機器がサーバAもしくはサーバBのイベントを抽出する。図7に示した例では、IDが28、30、31のイベントが、あげられる。
図7のクラスタ中のイベントのうち、サーバA、サーバBであるイベントの個数はともに4個であり、特徴的なイベントの個数は4となる。この特徴的なイベントの個数4に基づいて、クラスタの特徴と合致するイベントのフィルタリング条件が緩和される。
この例では、サーバAもしくはサーバBから発生したイベントに対するフィルタリングの条件が緩和され、warningのイベントでもクラスタリングの対象となる。この結果、図6におけるIDが9のイベントはクラスタリングの対象となり、クラスタリングの計算を行った結果クラスタに取り込まれることになる。
また、この特徴的なイベントの個数4に基づいて、イベント間距離関数が、イベント発生機器以外のパラメータの重み付けが減るように変更される。ここでは、発生時刻の差、イベント内容ともに重み付けが0.1になるとする。
すなわち、イベント間距離は(イベントの発生時刻(分)の差)×0.1+(イベント発生機器(同じ機器なら0、異なる機器ならば1))+(イベント内容(同じイベント内容ならば0、異なるイベント内容ならば1))×0.1となる。
ただし、クラスタ中のイベントのうち発生機器がサーバA、Bであったイベント、すなわちIDが1、2、4、5、6、8、11、12のイベントと、クラスタに含まれないイベントのうち発生機器がサーバA、Bであったもの、すなわち、IDが28、30、31のイベントとの間にのみ適用される。このイベント距離関数の変更により、ID28、30、31の各イベントは図7で示したクラスタに含まれることになる。
フィルタリングの変更、距離関数の変更の結果、クラスタは書き換えられて図10で示したようなクラスタに変更される。このような操作を繰り返し、全部のクラスタについて行った結果をディスプレイに表示する。
この実施例においては、イベントの内容の距離は内容が同じならば距離は0、異なるならば1としたが、イベントの内容の近似度により距離が与えられる、例えば、サーバの停止と再起動を示すイベント内容の距離は近いなどの定義が可能である。
同様に、イベントの発生場所についても関連の強い機器、例えば、同じスイッチを共有する機器、同じ物理マシン上にあるVMなどは距離を短くするなどの定義が可能である。
本発明によれば、イベント発生パターンを分析するためのルールをイベント履歴のパターンから学習するルール学習機能という用途に適用可能である。また、多数のイベントのうち、一つの障害により引き起こされた複数のイベントを一纏めにして表示することで管理者にシステムの状態を把握しやすくする障害管理システムという用途にも適用できる。
なお、本発明は本実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で各種の変形を許容する。例えば、上記形態ではイベントクラスタリングシステムの各部がコンピュータプログラムにより各種機能として論理的に実現されることを例示した。しかし、このような各部の各々を固有のハードウェアとして形成することもでき、ソフトウェアとハードウェアとの組み合わせとして実現することもできる。
また、上記形態では、特徴パラメータ抽出手段1070が特徴的な範囲として、特徴的な数値の範囲を特定することを例示した。しかし、パラメータが数値でない場合もあり、このような場合には特徴パラメータ抽出手段1070は数値ではない特徴的な範囲を特定することになる。
さらに、上記形態では、イベント間距離計算手段1010が、二つのパラメータの差分の二乗に重みを乗算して距離を計算する。しかし、上述のようにパラメータが数値でない場合もあり、このような場合には、例えば、イベント間距離計算手段1010は、二つのパラメータが同一ならば"0"、相違するならば"1"、などを計算結果としてもよい。
特に、イベントの発生機器が同じ、もしくは関連の強い機器同士の場合に、イベント間の距離が近くなるように、イベントの発生元の関連性やイベントの種類の意味の近似性などで計算結果が大きくなる演算処理を実行してもよい。
1000 イベントクラスタリングシステム
1001 イベントフィルタリング手段
1002 イベントフィルタリング修正手段
1010 イベント間距離計算手段
1020 クラスタリング手段
1030 クラスタ保存手段
1040 クラスタ内イベントパラメータ分布計算手段
1050 イベントパラメータ分布計算手段
1060 分布比較手段
1070 特徴パラメータ抽出手段
1080 対象イベント抽出手段
1090 イベント間距離計算修正手段
1100 イベント記憶手段
1200 データ出力装置
A サーバ
B サーバ
C サーバ
D サーバ

Claims (10)

  1. 任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶手段と、
    記憶された複数の前記イベント間の距離を前記パラメータと所定の重みとを使用して計算するイベント間距離計算手段と、
    計算された前記距離が所定数値より小さい複数の前記イベントを一つのクラスタとして纏めるクラスタリング手段と、
    複数の前記イベントが纏められた前記クラスタを保存するクラスタ保存手段と、
    前記クラスタ保存手段に保存された前記クラスタごとに含まれている前記イベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算手段と、
    前記イベント記憶手段に記憶された全部の前記イベントにおけるパラメータ分布を計算するイベントパラメータ分布計算手段と、
    各々計算された前記クラスタ内の前記イベントの前記パラメータ分布と全部の前記イベントの前記パラメータ分布とを比較して分布差が大きい前記パラメータを抽出する分布比較手段と、
    抽出された前記パラメータについて前記クラスタに含まれる前記イベントのうち特徴的な範囲を特定する特徴パラメータ抽出手段と、
    特定された範囲にあてはまるイベントを前記クラスタ保存手段で保存された複数の前記イベントと前記イベント記憶手段に記憶されていて前記クラスタ保存手段で保存されていない複数の前記イベントとから選定する対象イベント抽出手段と、
    前記分布比較手段により抽出された前記パラメータ以外の前記パラメータについて前記クラスタ保存手段に保存された前記クラスタから選定された前記イベントの個数が多数であるほど、前記クラスタ保存手段から選定された前記イベントと前記イベント記憶手段から選定された前記イベントとの前記イベント間距離計算手段による前記距離の計算の前記重みを低下させるイベント間距離計算修正手段と、
    を有するイベントクラスタリングシステム。
  2. 前記分布比較手段は、仮説検定により前記クラスタ内の前記イベントの前記パラメータ分布と全部の前記イベントの前記パラメータ分布とを比較して分布差が大きい前記パラメータを抽出する請求項1に記載のイベントクラスタリングシステム。
  3. 前記特徴パラメータ抽出手段は、前記パラメータの分布の偏りを算出して前記特徴的な範囲を特定する請求項1または2に記載のイベントクラスタリングシステム。
  4. 前記イベント記憶手段に記憶された前記イベントのうちクラスタリングの対象とする前記イベントのみを抽出するイベントフィルタリング手段を、さらに有する請求項1ないし3の何れか一項に記載のイベントクラスタリングシステム。
  5. 前記イベントフィルタリング手段は、前記パラメータに設定されている複数段階の優先度に対応して前記イベントを抽出する請求項4に記載のイベントクラスタリングシステム。
  6. 前記イベントフィルタリング手段のフィルタリングの設定を変更するイベントフィルタリング修正手段を、さらに有する請求項4または5に記載のイベントクラスタリングシステム。
  7. 前記イベントフィルタリング手段は、前記パラメータに設定されている複数段階の優先度に対応して前記イベントを抽出し、
    前記イベントフィルタリング修正手段は、前記イベントフィルタリング手段が前記イベントを抽出する前記優先度を変更する請求項6に記載のイベントクラスタリングシステム。
  8. 前記イベント間距離計算手段は、数値からなる二つの前記パラメータの差分の二乗に前記重みを乗算して前記距離を計算する請求項1ないし7の何れか一項に記載のイベントクラスタリングシステム。
  9. 請求項1ないし8の何れか一項に記載のイベントクラスタリングシステムのコンピュータプログラムであって、
    任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶処理と、
    記憶された複数の前記イベント間の距離を前記パラメータと所定の重みとを使用して計算するイベント間距離計算処理と、
    計算された前記距離が所定数値より小さい複数の前記イベントを一つのクラスタとして纏めるクラスタリング処理と、
    複数の前記イベントが纏められた前記クラスタを保存するクラスタ保存処理と、
    前記クラスタ保存処理で保存された前記クラスタごとに含まれている前記イベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算処理と、
    前記イベント記憶処理で記憶された全部の前記イベントにおけるパラメータ分布を計算するイベントパラメータ分布計算処理と、
    各々計算された前記クラスタ内の前記イベントの前記パラメータ分布と全部の前記イベントの前記パラメータ分布とを比較して分布差が大きい前記パラメータを抽出する分布比較処理と、
    抽出された前記パラメータについて前記クラスタに含まれる前記イベントのうち特徴的な範囲を特定する特徴パラメータ抽出処理と、
    特定された範囲にあてはまるイベントを前記クラスタ保存処理で保存された複数の前記イベントと前記イベント記憶処理で記憶されていて前記クラスタ保存処理で保存されていない複数の前記イベントとから選定する対象イベント抽出処理と、
    前記分布比較処理により抽出された前記パラメータ以外の前記パラメータについて前記クラスタ保存処理で保存された前記クラスタから選定された前記イベントの個数が多数であるほど、前記クラスタ保存処理で保存されて選定された前記イベントと前記イベント記憶処理で記憶されて選定された前記イベントとの前記イベント間距離計算処理による前記距離の計算の前記重みを低下させるイベント間距離計算修正処理と、
    をイベントクラスタリングシステムに実行させるコンピュータプログラム。
  10. 請求項1ないし8の何れか一項に記載のイベントクラスタリングシステムのデータ処理方法であって、
    任意に発生するイベントを各種のパラメータを内包する履歴とともに記憶するイベント記憶動作と、
    記憶された複数の前記イベント間の距離を前記パラメータと所定の重みとを使用して計算するイベント間距離計算動作と、
    計算された前記距離が所定数値より小さい複数の前記イベントを一つのクラスタとして纏めるクラスタリング動作と、
    複数の前記イベントが纏められた前記クラスタを保存するクラスタ保存動作と、
    前記クラスタ保存動作で保存された前記クラスタごとに含まれている前記イベントにおけるパラメータ分布を計算するクラスタ内イベントパラメータ分布計算動作と、
    前記イベント記憶動作で記憶された全部の前記イベントにおけるパラメータ分布を計算するイベントパラメータ分布計算動作と、
    各々計算された前記クラスタ内の前記イベントの前記パラメータ分布と全部の前記イベントの前記パラメータ分布とを比較して分布差が大きい前記パラメータを抽出する分布比較動作と、
    抽出された前記パラメータについて前記クラスタに含まれる前記イベントのうち特徴的な範囲を特定する特徴パラメータ抽出動作と、
    特定された範囲にあてはまるイベントを前記クラスタ保存動作で保存された複数の前記イベントと前記イベント記憶動作で記憶されていて前記クラスタ保存動作で保存されていない複数の前記イベントとから選定する対象イベント抽出動作と、
    前記分布比較動作により抽出された前記パラメータ以外の前記パラメータについて前記クラスタ保存動作で保存された前記クラスタから選定された前記イベントの個数が多数であるほど、前記クラスタ保存動作で保存されて選定された前記イベントと前記イベント記憶動作で記憶されて選定された前記イベントとの前記イベント間距離計算動作による前記距離の計算の前記重みを低下させるイベント間距離計算修正動作と、
    を有するデータ処理方法。
JP2010020572A 2010-02-01 2010-02-01 イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法 Pending JP2011159125A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010020572A JP2011159125A (ja) 2010-02-01 2010-02-01 イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010020572A JP2011159125A (ja) 2010-02-01 2010-02-01 イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法

Publications (1)

Publication Number Publication Date
JP2011159125A true JP2011159125A (ja) 2011-08-18

Family

ID=44591017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010020572A Pending JP2011159125A (ja) 2010-02-01 2010-02-01 イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法

Country Status (1)

Country Link
JP (1) JP2011159125A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013145584A1 (ja) * 2012-03-26 2013-10-03 日本電気株式会社 イベント相関検出システム
WO2015146086A1 (ja) * 2014-03-28 2015-10-01 日本電気株式会社 ログ分析システム、障害原因分析システム、ログ分析方法、および、記録媒体
JP2017529590A (ja) * 2014-07-30 2017-10-05 サイオス テクノロジー コーポレーションSios Technology Corporation グラフ理論を用いたアプリケーション、仮想化およびクラウド・インフラストラクチャ・リソースの集中型分析
WO2018066661A1 (ja) * 2016-10-06 2018-04-12 日本電気株式会社 ログ分析方法、システムおよび記録媒体
CN114676796A (zh) * 2022-05-27 2022-06-28 浙江清大科技有限公司 一种基于大数据的聚类采集与识别的系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013145584A1 (ja) * 2012-03-26 2013-10-03 日本電気株式会社 イベント相関検出システム
JPWO2013145584A1 (ja) * 2012-03-26 2015-12-10 日本電気株式会社 イベント相関検出システム
WO2015146086A1 (ja) * 2014-03-28 2015-10-01 日本電気株式会社 ログ分析システム、障害原因分析システム、ログ分析方法、および、記録媒体
JP2017529590A (ja) * 2014-07-30 2017-10-05 サイオス テクノロジー コーポレーションSios Technology Corporation グラフ理論を用いたアプリケーション、仮想化およびクラウド・インフラストラクチャ・リソースの集中型分析
US11093664B2 (en) 2014-07-30 2021-08-17 SIOS Technology Corp. Method and apparatus for converged analysis of application, virtualization, and cloud infrastructure resources using graph theory and statistical classification
WO2018066661A1 (ja) * 2016-10-06 2018-04-12 日本電気株式会社 ログ分析方法、システムおよび記録媒体
CN114676796A (zh) * 2022-05-27 2022-06-28 浙江清大科技有限公司 一种基于大数据的聚类采集与识别的系统
CN114676796B (zh) * 2022-05-27 2022-09-06 浙江清大科技有限公司 一种基于大数据的聚类采集与识别的系统

Similar Documents

Publication Publication Date Title
US8457928B2 (en) Automatic determination of dynamic threshold for accurate detection of abnormalities
US9600394B2 (en) Stateful detection of anomalous events in virtual machines
US10592308B2 (en) Aggregation based event identification
US10248561B2 (en) Stateless detection of out-of-memory events in virtual machines
US9720823B2 (en) Free memory trending for detecting out-of-memory events in virtual machines
US7451210B2 (en) Hybrid method for event prediction and system control
Yu et al. Practical online failure prediction for blue gene/p: Period-based vs event-driven
Klinkenberg et al. Data mining-based analysis of HPC center operations
US20160217378A1 (en) Identifying anomalous behavior of a monitored entity
US9244711B1 (en) Virtual machine capacity planning
WO2008098631A2 (en) A diagnostic system and method
US20210026725A1 (en) Method and device for determining an estimated time before a technical incident in a computing infrastructure from values of performance indicators
KR20180108446A (ko) Ict 인프라 관리 시스템 및 이를 이용한 ict 인프라 관리 방법
US20110178963A1 (en) system for the detection of rare data situations in processes
WO2009019691A2 (en) System and method for predictive network monitoring
JP5387779B2 (ja) 運用管理装置、運用管理方法、及びプログラム
JP2011159125A (ja) イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法
Rawat et al. A dominance based rough set classification system for fault diagnosis in electrical smart grid environments
WO2018073955A1 (ja) システム分析方法、システム分析装置、および、プログラム
US11973672B2 (en) Method and system for anomaly detection based on time series
JPWO2017150286A1 (ja) システム分析装置、システム分析方法、及び、プログラム
CN110377445A (zh) 故障预测方法和装置
Gu et al. Online failure forecast for fault-tolerant data stream processing
JP2014153736A (ja) 障害予兆検出方法、プログラムおよび装置
US10372719B2 (en) Episode mining device, method and non-transitory computer readable medium of the same