JP2011244381A - Information processing unit, information processing system, information processing method and program thereof - Google Patents
Information processing unit, information processing system, information processing method and program thereof Download PDFInfo
- Publication number
- JP2011244381A JP2011244381A JP2010117138A JP2010117138A JP2011244381A JP 2011244381 A JP2011244381 A JP 2011244381A JP 2010117138 A JP2010117138 A JP 2010117138A JP 2010117138 A JP2010117138 A JP 2010117138A JP 2011244381 A JP2011244381 A JP 2011244381A
- Authority
- JP
- Japan
- Prior art keywords
- information
- analysis
- report
- information processing
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Maintenance And Management Of Digital Transmission (AREA)
- Selective Calling Equipment (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、情報処理装置、情報処理システム、情報処理方法およびそのプログラムに関する。 The present invention relates to an information processing apparatus, an information processing system, an information processing method, and a program thereof.
従来より、発生したエラーに関する情報やセキュリティに関する情報などの情報がログとして記録される装置がある。例えば、特許文献1には、端末装置から指定された画像形成装置の総合点検後の情報を一定期間定期的に取得して蓄積し、蓄積した時系列データを一定期間ごとに解析して指定された画像形成装置に異常があるか否か診断し、異常があると診断された場合に、画像形成装置の保守または修理を受け持つサービス拠点の端末装置に当該画像形成装置の保守または修理の要請情報と共に該当する画像形成装置の保守または修理に必要な情報を送信する管理装置が開示されている。 2. Description of the Related Art Conventionally, there is an apparatus that records information such as information about an error that has occurred and information about security as a log. For example, in Patent Document 1, information after comprehensive inspection of an image forming apparatus designated from a terminal device is periodically acquired and accumulated for a certain period, and the accumulated time series data is analyzed and designated every certain period. If there is an abnormality in the image forming apparatus, and if it is diagnosed, there is a request for maintenance or repair of the image forming apparatus to the terminal device at the service base that is in charge of the maintenance or repair of the image forming apparatus. A management apparatus that transmits information necessary for maintenance or repair of the corresponding image forming apparatus is disclosed.
特許文献1に開示の管理装置などの、管理対象の装置の異常等を診断・管理する装置では、一般的に、異常等があるか否かの判断を、診断の基となるデータが所定の閾値に対して上回るかまたはその逆であるかで行っていることが多い。 In an apparatus for diagnosing and managing an abnormality or the like of a device to be managed, such as the management apparatus disclosed in Patent Document 1, in general, whether or not there is an abnormality is determined based on a predetermined data Often this is done by exceeding the threshold or vice versa.
従って、従来の装置では、異常の発生が上昇傾向にあっても、診断の基となるデータが所定の閾値を、例えば超えなければ、異常と判定できない。 Therefore, in the conventional apparatus, even if the occurrence of an abnormality tends to increase, it cannot be determined as abnormal unless the data that is the basis of diagnosis exceeds a predetermined threshold, for example.
本発明は、上記に鑑みてなされたものであって、異常等の発生が上昇傾向にある場合などにも、その警告等の報告が適切に行える情報処理装置、情報処理システム、情報処理方法およびそのプログラムを提供することを目的とする。 The present invention has been made in view of the above, and an information processing apparatus, an information processing system, an information processing method, and an information processing apparatus that can appropriately report a warning or the like even when the occurrence of an abnormality or the like tends to increase The purpose is to provide the program.
上述した課題を解決し、目的を達成するために、本発明の情報処理装置は、所定情報を記録する複数の電子機器と通信回線を介して接続される情報処理装置であって、前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得手段と、閾値を基準に、前記情報取得手段により取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析手段と、前記解析手段による解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告手段と、前記解析手段による解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定手段とを備えることを特徴とする。 In order to solve the above-described problems and achieve the object, an information processing apparatus of the present invention is an information processing apparatus connected to a plurality of electronic devices that record predetermined information via a communication line, and An information acquisition unit that acquires predetermined information recorded by the plurality of electronic devices from an electronic device, and analysis on search target information included in the predetermined information of each electronic device acquired by the information acquisition unit based on a threshold value An analysis means for performing the analysis, a report means for generating and reporting report information when it is determined that the report is necessary as a result of the analysis by the analysis means, and detection of search target information obtained as a result of the analysis by the analysis means Threshold value resetting means is provided for changing and resetting the threshold value applied to each of the predetermined information of each electronic device so as to reflect the change in contents.
また、本発明の情報処理システムは、所定情報を記録する複数の電子機器、および、通信回線を介して前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得手段と、閾値を基準に、前記情報取得手段により取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析手段と、前記解析手段による解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告手段と、前記解析手段による解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定手段とを有する情報処理装置を具備することを特徴とする。 The information processing system according to the present invention includes a plurality of electronic devices that record predetermined information, and information that acquires the predetermined information recorded by the plurality of electronic devices from the plurality of electronic devices via a communication line. An acquisition unit, an analysis unit that analyzes the search target information included in the predetermined information of each electronic device acquired by the information acquisition unit based on a threshold, and a result of the analysis by the analysis unit, and determines that the report is necessary And applying to each of the predetermined information of each of the electronic devices so as to reflect the change of the detection contents related to the search target information obtained as a result of the analysis by the analysis means and the report means for generating and reporting the report information And an information processing apparatus having threshold resetting means for changing and resetting the threshold.
また、本発明の情報処理方法は、所定情報を記録する複数の電子機器と通信回線を介して接続される情報処理装置において実行される情報処理方法であって、前記情報処理装置の情報取得手段が、前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得ステップと、前記情報処理装置の解析手段が、閾値を基準に、前記情報取得ステップにおいて取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析ステップと、前記情報処理装置の報告手段が、前記解析ステップにおける解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告ステップと、前記情報処理装置の閾値再設定手段が、前記解析ステップにおける解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定ステップとを含むことを特徴とする。 The information processing method of the present invention is an information processing method executed in an information processing apparatus connected via a communication line to a plurality of electronic devices that record predetermined information, and the information acquisition means of the information processing apparatus However, the information acquisition step of acquiring predetermined information recorded by the plurality of electronic devices from the plurality of electronic devices, and the analysis unit of the information processing apparatus acquired in the information acquisition step based on a threshold value An analysis step for analyzing the search target information included in the predetermined information of each electronic device, and when the report means of the information processing apparatus determines that the report is necessary as a result of the analysis in the analysis step, the report information And a threshold resetting means of the information processing apparatus for generating a report and reporting the search target information obtained as a result of the analysis in the analysis step. To reflect the change of the contents, characterized in that it comprises a said threshold resetting step of resetting to change the threshold value to be applied to each of the predetermined information of each electronic device.
また、本発明のプログラムは、所定情報を記録する複数の電子機器と通信回線を介して接続される情報処理装置を、前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得手段と、閾値を基準に、前記情報取得手段により取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析手段と、前記解析手段による解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告手段と、前記解析手段による解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定手段として機能させるプログラムである。 In addition, the program of the present invention is configured so that an information processing apparatus connected to a plurality of electronic devices that record predetermined information via a communication line is transmitted from the plurality of electronic devices to the plurality of electronic devices. Information acquisition means for acquiring information, analysis means for analyzing the search target information included in the predetermined information of each electronic device acquired by the information acquisition means on the basis of a threshold value, the result of analysis by the analysis means, and its report When the information is determined to be necessary, the predetermined information of each electronic device is reflected so as to reflect the change in the detection contents related to the search target information obtained as a result of the analysis by the analysis unit and the report unit that generates and reports the report information Is a program that functions as threshold resetting means for changing and resetting the threshold applied to each of the above.
本発明によれば、複数の電子機器から取得される所定情報の解析の結果得られる検索対象情報に関する検出内容の変動を反映するように解析に用いる閾値を変更し再設定するので、検出内容の変動にも応じた警告等の報告を自動的に行うことができる。その結果、管理者は各電子機器を適切に管理することができるようになる。 According to the present invention, the threshold used for analysis is changed and reset so as to reflect the variation of the detection content related to the search target information obtained as a result of the analysis of the predetermined information acquired from a plurality of electronic devices. It is possible to automatically report warnings according to fluctuations. As a result, the administrator can appropriately manage each electronic device.
以下に添付図面を参照して、本発明にかかる一実施の形態であるログ解析サーバおよびこのログ解析サーバおよび管理対象の複数のサーバを含んで構成されるログ解析システムについて詳細に説明する。 Hereinafter, a log analysis server according to an embodiment of the present invention and a log analysis system including the log analysis server and a plurality of servers to be managed will be described in detail with reference to the accompanying drawings.
(ログ解析システム)
はじめに、本発明にかかる一実施の形態であるログ解析サーバを含むログ解析システムの全体構成について説明する。図1は、本発明にかかる一実施の形態であるログ解析サーバおよび管理対象の複数のサーバを含むログ解析システムの全体構成を示すブロック図である。
(Log analysis system)
First, the overall configuration of a log analysis system including a log analysis server according to an embodiment of the present invention will be described. FIG. 1 is a block diagram showing an overall configuration of a log analysis system including a log analysis server and a plurality of servers to be managed according to an embodiment of the present invention.
同図に示すようにログ解析サーバ100は、WAN(Wide Area Network)、LAN(Local Area Network)、インターネット等の通信回線網を介して、管理対象の複数のサーバ(サーバ1,サーバ2,…サーバn(nは2以上の整数)200に接続される。各サーバ200は、セキュリティに関する情報や各種エラー・異常に関する情報やこれらの情報を含む情報など管理対象となる所定の情報を記録しており、ログ解析サーバ100は、各サーバ200から記録されているログファイルを取得する。そして、各ログファイルの解析を行い(詳細は後述)、この解析結果に応じて警告等のレポートを生成し、生成したレポートを管理者等の所定の宛先へ送信する。なお、このレポートの報告は、ログ解析サーバ100において表示することにより行ってもよく、報告の方法は任意である。本実施形態では、遠隔地にいる管理者に対し、電子メール等により管理者のE−mailアドレス宛にレポートを送信することにより報告を行う。
As shown in FIG. 1, the log analysis server 100 includes a plurality of servers to be managed (server 1, server 2,...) Via a communication network such as a WAN (Wide Area Network), a LAN (Local Area Network), and the Internet. It is connected to a server n (n is an integer equal to or greater than 2) 200. Each
なお、ログ解析サーバ100およびサーバ200としては、一般に普及しているサーバ・コンピュータや同等の機能を有する情報処理装置を用いることができる。また、本実施の形態では、ログ解析サーバ100が管理対象とする電子機器をサーバ200などの情報処理装置として説明するが、これに限るものではない。ログ解析サーバ100の管理対象となる電子機器は、セキュリティに関する情報や各種エラー・異常に関する情報やこれらの情報を含む情報など管理対象となる所定の情報を記録でき、この情報を通信回線網を介してログ解析サーバ100に提供できる電子機器であればよく、この電子機器は、他の電子機器の状態を管理する装置であってもよい。また、このような電子機器やこの電子機器により状態が管理される装置は、例えば、ネットワーク接続可能な画像処理装置やMFP(Multi Function Printer)などの画像形成装置等であってもよい。
In addition, as the log analysis server 100 and the
(ログ解析サーバ100)
次に、ログ解析サーバ100の概略構成について、図2を用いて説明する。図2は、ログ解析サーバ100の概略構成を示すブロック図である。
(Log analysis server 100)
Next, a schematic configuration of the log analysis server 100 will be described with reference to FIG. FIG. 2 is a block diagram illustrating a schematic configuration of the log analysis server 100.
同図に示すように、ログ解析サーバ100は、インストールされたプログラムに従って所定の処理を実行する処理部110と、情報が記録される各種ファイルやプログラムを記憶する記憶部120と、通信回線網を介して上記各サーバ(サーバ1,サーバ2,…,サーバn)200と通信するためのインターフェースである通信部130とを備えている。
As shown in the figure, the log analysis server 100 includes a processing unit 110 that executes a predetermined process according to an installed program, a
処理部110は、通信部130および通信回線網を介して複数のサーバ200からログファイルを取得するログ取得部111と、取得したログファイルの解析(詳細は後述)をするログ解析部112と、ログ解析部112による解析により必要とされる警告等のレポートを生成し、生成したレポートを所定の宛先へ送信する制御をするレポート生成・送信部113と、ログ解析部112が解析のために使用する閾値の再設定(詳細は後述)を行う閾値再設定部114とを備えている。
The processing unit 110 includes a
記憶部120または処理部110に備わるROM(図示せず)には、上記各部の機能を実現するプログラムが格納されており、そのプログラムを、処理部110に備わるメインメモリのRAMにロードし、処理部110に備わるCPU(いずれも図示せず)が実行することにより、上記各部の機能が達成される。
A ROM (not shown) provided in the
記憶部120は、HDD(Hard Disk Drive)、SDD(Solid State Drive)等の不揮発性の記憶装置からなり、符号121で示す管理ファイル群(管理ファイル1,管理ファイル2,…,管理ファイルn)や、符号122で示す各サーバ200から取得したログファイル群(ログファイル1,ログファイル2,…,ログファイルn)等を記憶する。
The
同図に示す例では、管理ファイル1には、ログファイル名、ログ種別、初期閾値等が記録されており、管理ファイル2には、ログファイル名、管理者E−mailアドレス等が記録されており、管理ファイル3には、ログ種別、キーワード・コード(後述)等が記録されている。これらの管理ファイル1,2,3は、管理者により事前に設定される。なお、管理ファイル1のログファイル名、ログ種別および初期閾値は関連付けられ記録されている。管理ファイル2のログファイル名および管理者E−mailアドレス、管理ファイル3のログ種別およびキーワード・コードも同様である。また、図2に示した例は一例にすぎず、どの管理ファイルにどの情報を記録するかは任意である。 In the example shown in the figure, the management file 1 records a log file name, a log type, an initial threshold, and the like, and the management file 2 records a log file name, an administrator E-mail address, and the like. In the management file 3, log types, keyword codes (described later), and the like are recorded. These management files 1, 2, and 3 are set in advance by the administrator. The log file name, log type, and initial threshold value of the management file 1 are associated and recorded. The same applies to the log file name and the administrator E-mail address of the management file 2, the log type and the keyword code of the management file 3. The example shown in FIG. 2 is only an example, and what information is recorded in which management file is arbitrary.
(サーバ200)
次に、サーバ200の概略構成について図3を用いて説明する。図3は、サーバ200の概略構成を示すブロック図である。なお、図3では、サーバnを例示している。
(Server 200)
Next, a schematic configuration of the
サーバn 200は、インストールされたプログラムに従って所定の処理を実行する処理部210と、情報が記録される各種ファイルやプログラムを記憶する記憶部220と、通信回線網を介して上記ログ解析サーバ100と通信するためのインターフェースである通信部230とを備えている。
The
処理部210は、セキュリティに関する情報や各種エラー・異常に関する情報やこれらの情報を含む情報など管理対象となる所定の情報を記録したログファイルを記憶部220に記憶させるログ記録部211と、このログファイルを通信部230および通信回線網を介してログ解析サーバ100に転送する転送部212とを備えている。なお、転送部212による、ログファイルの転送は、ログ解析サーバ100のログ取得部111からの取得要求に応じてログ解析サーバ100へ転送するようにしてもよいし、所定の条件の下で(例えば、1日おきなど一定の時間間隔で、あるいは所定の時刻等に)転送するようにしてもよい。
The processing unit 210 includes a log recording unit 211 that stores in the storage unit 220 a log file in which predetermined information to be managed, such as information on security, information on various errors / abnormalities, and information including these information, and the log And a
記憶部220または処理部210に備わるROM(図示せず)には、上記各部の機能を実現するプログラムが格納されており、そのプログラムを、処理部210に備わるメインメモリのRAMにロードし、処理部210に備わるCPU(いずれも図示せず)が実行することにより、上記各部の機能が達成される。 A ROM (not shown) provided in the storage unit 220 or the processing unit 210 stores a program that realizes the functions of the above-described units. The program is loaded into the RAM of the main memory provided in the processing unit 210 for processing. The functions of the above-described units are achieved by execution by a CPU (none of which is shown) included in the unit 210.
記憶部220は、HDD(Hard Disk Drive)、SDD(Solid State Drive)等の不揮発性の記憶装置からなり、管理対象の情報が記録されるログファイル(図3ではログファイルn 221)等を記憶する。
The storage unit 220 includes a nonvolatile storage device such as an HDD (Hard Disk Drive) or an SDD (Solid State Drive), and stores a log file (
(ログ解析システムの動作)
続いて、ログ解析システムにおけるログ解析サーバ100と管理対象のサーバ200の動作について、図4および図5を用いて説明する。図4は、ログ解析システムにおけるログ解析サーバ100と管理対象のサーバ200の動作を説明するためのフローチャートであり、図5は、ログ解析サーバ100において実行される閾値再設定処理を説明するためのフローチャートである。なお、図4における管理対象のサーバの動作は、複数のサーバ200の各々において実行される。
(Operation of log analysis system)
Next, operations of the log analysis server 100 and the
はじめに、ログ解析サーバ100側と管理対象のサーバ200側のそれぞれにおいて、管理者により事前設定がなされる(ステップS411,S421)。この事前設定として、ログ解析サーバ100側では、管理ファイル1,2,3の設定がなされる。図2を用いて前述した例では、管理ファイル1には、管理対象の各サーバ200において記録されるログファイル221のログファイル名およびそのログ種別と、初期閾値等が設定され、管理ファイル2には、ログファイル名とレポートの送信先となる管理者のE−mailアドレス等が設定され、管理ファイル3には、ログ種別と、このログ種別に対応する検索対象情報としてのキーワード・コード(例えば、異常を示すキーワードやコード)等が設定される。一方、管理対象の各サーバ200側では、FTP(File Transfer Protocol)、syslogなどを利用したログ解析サーバ100へのファイル転送のための設定等がなされる。
First, the administrator makes a pre-setting on each of the log analysis server 100 side and the
その後、管理対象の各サーバ200では、ログ記録部211により、セキュリティに関する情報や各種エラー・異常に関する情報やこれらの情報を含む情報など管理対象となる所定の情報をログファイル221に随時記録していく(ステップS422)。
Thereafter, in each
そして、各サーバ200の転送部212は、ログ解析サーバ100のログ取得部111からの取得要求に応じて、または、所定の条件の下で(例えば、一定の時間間隔で、あるいは所定の時刻等に)、ログファイル221を、ログ解析サーバ100へ転送する(ステップS423)。
Then, the
ログ解析サーバ100のログ取得部111は、各サーバ200から転送されてきたログファイル(ログファイル1,ログファイル2,…,ログファイルn)を取得する(ステップS412)。
The
次いで、ログ解析サーバ100のログ解析部112は、各管理ファイルを読み込み、ログファイル名、ログ種別、初期閾値、管理者E−mailアドレス、キーワード・コードなど解析の際必要な情報を取得する(ステップS413)。
Next, the
次いで、ログ解析サーバ100のログ解析部112は、各サーバ200から取得したログファイル群122に対し、各ログファイル内の検索対象情報の検索を行う(ステップS414)。具体的には、各ログファイルについて、これから検索するログファイルのログ種別に対応する検索対象情報となるキーワード・コードを検索し、その数をカウントする。
Next, the
次いで、ログ解析サーバ100のログ解析部112は、上記ステップS414で検索されたキーワード・コードの検出数を記録する(ステップS415)。
Next, the
次いで、ログ解析サーバ100のログ解析部112は、上記検出数と閾値を比較する(ステップS416)。初回に使用する閾値は、管理ファイル1に設定されている初期閾値である。なお、この閾値は、後述するように再設定されることになる。
Next, the
次いで、ステップS416での比較の結果、上記検出数が閾値以上である場合、ログ解析サーバ100のレポート生成・送信部113は、該当する管理対象のサーバ200について警告等のレポートを生成し、生成したレポートを管理者等の所定の宛先へ(本例では、管理ファイル2に設定されている管理者E−mailアドレス宛へ)送信する(ステップS417)。そして、処理は、ステップS418へ移行する。一方、ステップS416での比較の結果、上記検出数が閾値未満である場合も、ステップS418へ移行する。
Next, as a result of the comparison in step S416, if the number of detections is equal to or greater than the threshold value, the report generation /
ステップS418では、ログ解析サーバ100のログ解析部112が、未解析のログファイルがあるか判定し、有る場合はステップS413に戻り、未解析のログファイルについて、上記ステップS413以降の処理を実行する。一方、未解析のログファイルが無い場合、ステップS419へ移行する。
In step S418, the
ステップS419では、ログ解析サーバ100の閾値再設定部114が、下記の閾値再設定処理を実行する。
In step S419, the
なお、ログ解析サーバ100におけるステップS412〜S419の処理は、例えば、定期的に行われる。 Note that the processing of steps S412 to S419 in the log analysis server 100 is performed periodically, for example.
(閾値再設定処理)
ここで、ログ解析サーバ100の閾値再設定部114による閾値再設定処理の詳細について、図5を用いて説明する。図5は、ログ解析サーバ100における閾値再設定処理を説明するためのフローチャートである。
(Threshold reset process)
Details of the threshold resetting process by the
はじめに、上記ステップS415で記録されているログファイル群(ログファイル1,ログファイル2,…ログファイルn)122についてのキーワード・コードの検出数をチェックする(ステップS501)。 First, the number of detected keyword codes for the log file group (log file 1, log file 2,... Log file n) 122 recorded in step S415 is checked (step S501).
次いで、上記検出数が閾値変更条件を満たすか否か判断する(ステップS502)。閾値変更条件を満たす場合(同ステップでOK)、次のステップS503へ移行する。一方、閾値変更条件を満たさない場合(同ステップでNG)、本閾値再設定処理を終了する。なお、閾値変更条件は任意に設定されるが、例えば、あるログファイルについての前回の検出数に対し今回の検出数が変化しているか否かを閾値変更条件とすることができる。 Next, it is determined whether or not the detected number satisfies a threshold value changing condition (step S502). When the threshold value changing condition is satisfied (OK in the same step), the process proceeds to the next step S503. On the other hand, when the threshold value changing condition is not satisfied (NG in the same step), the threshold value resetting process is terminated. Although the threshold value changing condition is arbitrarily set, for example, whether or not the current detection number has changed with respect to the previous detection number for a certain log file can be set as the threshold value changing condition.
ステップS503では、あるログファイルに対する新閾値を算出する。本実施形態では、一定期間(m日;mは2以上の整数)における前述の検出数の加重移動平均(下記)を算出し、この加重移動平均に初期閾値に加算した値を新閾値として算出する。 In step S503, a new threshold value for a certain log file is calculated. In the present embodiment, a weighted moving average (below) of the number of detections described above for a certain period (m days; m is an integer of 2 or more) is calculated, and a value obtained by adding this weighted moving average to the initial threshold is calculated as a new threshold. To do.
加重移動平均={c1×n+c2×(n−1)+c3×(n−2)+c4×(n−3)+c5×(n−4)+…+cn×n}÷(1+2+3+4+5+…+n) Weighted moving average = {c1 * n + c2 * (n-1) + c3 * (n-2) + c4 * (n-3) + c5 * (n-4) + ... + cn * n} / (1 + 2 + 3 + 4 + 5 + ... + n)
ただし、cnはn−1日前の検出数、c1は当日の検出数であり、当日を1とし、当日を含むn日間を対象として計算する。上式で示されるように、加重移動平均は、当日の直近ほど重要度(重み付け)を大きくし、一定期間(n日)を対象として検出数を平均した値となる。 However, cn is the number of detections n-1 days ago, c1 is the number of detections on the current day, and the current day is 1, and calculation is performed for n days including the current day. As shown in the above equation, the weighted moving average is a value obtained by increasing the importance (weighting) as the closest to the current day and averaging the number of detections for a certain period (n days).
次に、ステップS503で算出した新閾値を、図4を用いて前述したステップS416の比較で用いる閾値として設定する(ステップS504)。 Next, the new threshold value calculated in step S503 is set as a threshold value used in the comparison in step S416 described above with reference to FIG. 4 (step S504).
次いで、再設定した閾値を管理者に報告するためのレポートを生成し、管理者E−mailアドレス宛にレポートを送信する(ステップS505)。 Next, a report for reporting the reset threshold value to the administrator is generated, and the report is transmitted to the administrator E-mail address (step S505).
以上、ログ解析システムにおけるログ解析サーバ100と管理対象のサーバ200の動作、および、ログ解析サーバ100において実行される閾値再設定処理の詳細について説明した。
The operation of the log analysis server 100 and the
ここで、ある管理対象のサーバ200で発生したエラーの検出数の相違を、閾値を固定した場合と、本実施形態における閾値再設定処理を行った場合とで比較する。図6は、閾値を固定した場合の閾値と検出数の関係を時系列に示すグラフであり、図7は、閾値再設定処理を行った場合の閾値と検出数の関係を時系列に示すグラフである。なお、縦軸は検出数を示し、横軸は日付を示し、グラフは検出数の変化を時系列で表わしている。また、いずれも1日おきにログファイルの解析を行った結果である。
Here, the difference in the number of detected errors occurring in a certain managed
閾値を固定した場合、図6に示すように、当然のごとく検出数が閾値を超えた場合にしか異常を検出できない。一方、本実施形態の加重移動平均を用いた閾値再設定処理により閾値を自動的に増減させると、エラー数の上昇に転じた際の動きも捉えることができ、このような場合も異常として検出することができる。 When the threshold value is fixed, as shown in FIG. 6, as a matter of course, an abnormality can be detected only when the number of detections exceeds the threshold value. On the other hand, if the threshold value is automatically increased or decreased by the threshold resetting process using the weighted moving average of this embodiment, it is possible to capture the movement when the number of errors increases, and such a case is also detected as an abnormality. can do.
以上説明したように、本実施形態では、ログ解析サーバ100において、管理対象の複数のサーバ200から取得したログファイルから検索対象情報としてのキーワード・コード等を検出し、その検出数に応じて自動的に警告等のレポートを生成し管理者に送信する。また、上記検出では、初回の検出の後は、加重移動平均を用いた閾値再設定処理によって再設定した閾値を用いるので、従来のように固定の閾値で異常を検出する場合よりも、異常である可能性がある、エラー数(検出数)が上昇に転じた場合も検出することができ、管理者は、管理対象の電子機器である複数のサーバ200の異常等を早期に認知しそれに対処することができる。
As described above, in the present embodiment, the log analysis server 100 detects keyword codes, etc. as search target information from log files acquired from a plurality of
(その他の実施形態)
本実施形態のログ解析サーバ100で実行され、ログ取得部111、ログ解析部112、レポート生成・送信部113、および閾値再設定部114を実現させるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
(Other embodiments)
A program that is executed by the log analysis server 100 according to the present embodiment and that realizes the
または、上記プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供または配布するように構成しても良い。 Alternatively, the program may be provided or distributed by storing it on a computer connected to a network such as the Internet and downloading it via the network.
100 ログ解析サーバ
110 処理部
111 ログ取得部
112 ログ解析部
113 レポート生成・送信部
114 閾値再設定部
120 記憶部
121 管理ファイル群
122 ログファイル群
130 通信部
200 サーバ
210 処理部
211 ログ記録部
212 転送部
220 記憶部
221 ログファイル
230 通信部
100 log analysis server 110
Claims (9)
前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得手段と、
閾値を基準に、前記情報取得手段により取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析手段と、
前記解析手段による解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告手段と、
前記解析手段による解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定手段と
を備えることを特徴とする情報処理装置。 An information processing apparatus connected via a communication line to a plurality of electronic devices that record predetermined information,
Information acquisition means for acquiring predetermined information recorded by the plurality of electronic devices from the plurality of electronic devices;
Analyzing means for analyzing the search target information included in the predetermined information of each electronic device acquired by the information acquiring means with reference to a threshold value;
As a result of analysis by the analysis means, when it is determined that the report is necessary, report means for generating and reporting report information;
Threshold value resetting means for changing and resetting the threshold value applied to each of the predetermined information of each electronic device so as to reflect the variation in the detection contents regarding the search target information obtained as a result of analysis by the analysis means. An information processing apparatus characterized by that.
通信回線を介して前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得手段と、
閾値を基準に、前記情報取得手段により取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析手段と、
前記解析手段による解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告手段と、
前記解析手段による解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定手段と
を有する情報処理装置を具備することを特徴とする情報処理システム。 A plurality of electronic devices that record predetermined information; and
Information acquisition means for acquiring predetermined information recorded by the plurality of electronic devices from the plurality of electronic devices via a communication line;
Analyzing means for analyzing the search target information included in the predetermined information of each electronic device acquired by the information acquiring means with reference to a threshold value;
As a result of analysis by the analysis means, when it is determined that the report is necessary, report means for generating and reporting report information,
Threshold value resetting means for changing and resetting the threshold value applied to each of the predetermined information of each electronic device so as to reflect the variation in the detection content related to the search target information obtained as a result of analysis by the analysis means. An information processing system comprising an information processing apparatus.
前記情報処理装置の情報取得手段が、前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得ステップと、
前記情報処理装置の解析手段が、閾値を基準に、前記情報取得ステップにおいて取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析ステップと、
前記情報処理装置の報告手段が、前記解析ステップにおける解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告ステップと、
前記情報処理装置の閾値再設定手段が、前記解析ステップにおける解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定ステップと
を含むことを特徴とする情報処理方法。 An information processing method executed in an information processing apparatus connected via a communication line to a plurality of electronic devices that record predetermined information,
An information acquisition step in which the information acquisition means of the information processing apparatus acquires predetermined information recorded by the plurality of electronic devices from the plurality of electronic devices;
An analysis step in which the analysis unit of the information processing apparatus analyzes the search target information included in the predetermined information of each electronic device acquired in the information acquisition step with reference to a threshold;
When the reporting means of the information processing apparatus determines that the report is necessary as a result of analysis in the analysis step, a report step for generating and reporting report information;
The threshold value resetting unit of the information processing apparatus changes the threshold value applied to each of the predetermined information of each electronic device so as to reflect the variation in the detection content regarding the search target information obtained as a result of the analysis in the analysis step. And a threshold resetting step for resetting. An information processing method comprising:
前記複数の電子機器から、前記複数の電子機器にて記録された所定情報を取得する情報取得手段と、
閾値を基準に、前記情報取得手段により取得した各電子機器の所定情報に含まれる検索対象情報に関して解析を行う解析手段と、
前記解析手段による解析の結果、その報告が必要と判定される場合に、報告情報を生成し報告する報告手段と、
前記解析手段による解析の結果得られる検索対象情報に関する検出内容の変動を反映するように、前記各電子機器の所定情報の各々に適用する前記閾値を変更し再設定する閾値再設定手段と
して機能させるプログラム。 An information processing apparatus connected via a communication line to a plurality of electronic devices that record predetermined information,
Information acquisition means for acquiring predetermined information recorded by the plurality of electronic devices from the plurality of electronic devices;
Analyzing means for analyzing the search target information included in the predetermined information of each electronic device acquired by the information acquiring means with reference to a threshold value;
As a result of analysis by the analysis means, when it is determined that the report is necessary, report means for generating and reporting report information;
Function as threshold resetting means for changing and resetting the threshold applied to each of the predetermined information of each electronic device so as to reflect the variation of the detection content related to the search target information obtained as a result of analysis by the analysis means program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010117138A JP2011244381A (en) | 2010-05-21 | 2010-05-21 | Information processing unit, information processing system, information processing method and program thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010117138A JP2011244381A (en) | 2010-05-21 | 2010-05-21 | Information processing unit, information processing system, information processing method and program thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011244381A true JP2011244381A (en) | 2011-12-01 |
Family
ID=45410538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010117138A Pending JP2011244381A (en) | 2010-05-21 | 2010-05-21 | Information processing unit, information processing system, information processing method and program thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011244381A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016005180A (en) * | 2014-06-18 | 2016-01-12 | シャープ株式会社 | Notification control system, controller, and notification control method |
CN110888412A (en) * | 2018-09-07 | 2020-03-17 | 瑞萨电子株式会社 | Semiconductor device and analysis system |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06274778A (en) * | 1993-03-24 | 1994-09-30 | Asahi Chem Ind Co Ltd | Plant monitoring/diagnosing device and its fault sign detecting method |
JP2000041039A (en) * | 1998-07-24 | 2000-02-08 | Hitachi Electronics Service Co Ltd | Device and method for monitoring network |
JP2003157481A (en) * | 2001-11-21 | 2003-05-30 | Allied Tereshisu Kk | Aged-person support system using repeating installation and aged-person support device |
JP2003296851A (en) * | 2002-02-01 | 2003-10-17 | Shimadzu System Solutions Co Ltd | Remote abnormality monitoring system |
JP2005018120A (en) * | 2003-06-23 | 2005-01-20 | Hitachi Software Eng Co Ltd | Method for collecting apparatus information in network management system |
JP2009211658A (en) * | 2008-03-06 | 2009-09-17 | Nec Corp | Failure detection device, failure detection method and program therefor |
-
2010
- 2010-05-21 JP JP2010117138A patent/JP2011244381A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06274778A (en) * | 1993-03-24 | 1994-09-30 | Asahi Chem Ind Co Ltd | Plant monitoring/diagnosing device and its fault sign detecting method |
JP2000041039A (en) * | 1998-07-24 | 2000-02-08 | Hitachi Electronics Service Co Ltd | Device and method for monitoring network |
JP2003157481A (en) * | 2001-11-21 | 2003-05-30 | Allied Tereshisu Kk | Aged-person support system using repeating installation and aged-person support device |
JP2003296851A (en) * | 2002-02-01 | 2003-10-17 | Shimadzu System Solutions Co Ltd | Remote abnormality monitoring system |
JP2005018120A (en) * | 2003-06-23 | 2005-01-20 | Hitachi Software Eng Co Ltd | Method for collecting apparatus information in network management system |
JP2009211658A (en) * | 2008-03-06 | 2009-09-17 | Nec Corp | Failure detection device, failure detection method and program therefor |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016005180A (en) * | 2014-06-18 | 2016-01-12 | シャープ株式会社 | Notification control system, controller, and notification control method |
CN110888412A (en) * | 2018-09-07 | 2020-03-17 | 瑞萨电子株式会社 | Semiconductor device and analysis system |
CN110888412B (en) * | 2018-09-07 | 2023-12-26 | 瑞萨电子株式会社 | Semiconductor device and analysis system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6055285B2 (en) | Data security apparatus and method and system | |
US10354197B2 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
US10983855B2 (en) | Interface for fault prediction and detection using time-based distributed data | |
JP6160064B2 (en) | Application determination program, failure detection apparatus, and application determination method | |
US8856599B2 (en) | Trouble prediction apparatus, trouble prediction method, and computer program product | |
US20170139759A1 (en) | Pattern analytics for real-time detection of known significant pattern signatures | |
JP6413537B2 (en) | Predictive failure notification device, predictive notification method, predictive notification program | |
US20160110653A1 (en) | Method and apparatus for predicting a service call for digital printing equipment from a customer | |
JP2008090504A (en) | Computer maintenance support system and analysis server | |
US20110064278A1 (en) | System and method to detect changes in image quality | |
US11799889B2 (en) | Web service usage anomaly detection and prevention | |
JP2012186667A (en) | Network fault detection apparatus, network fault detection method of network fault detection apparatus, and network fault detection program | |
JP2011244381A (en) | Information processing unit, information processing system, information processing method and program thereof | |
CN106487852B (en) | Method, device, terminal equipment and system for realizing client file synchronization | |
JP2020102671A (en) | Detection device, detection method and detection program | |
JP2014153736A (en) | Fault symptom detection method, program and device | |
JP6590142B2 (en) | Information processing apparatus and information processing program | |
WO2016188682A1 (en) | A method for determining a topology of a computer cloud at an event date | |
JP2020030628A (en) | Monitoring system, monitoring method, and monitoring program | |
JP5935890B2 (en) | Fault detection device, fault detection program, and fault detection method | |
JP2012068458A (en) | Image forming apparatus, management system, management method, and management program | |
JP2011150586A (en) | Management system for failure history | |
JP5753460B2 (en) | Operation management apparatus, operation management method, and operation management program | |
US20140258139A1 (en) | Information processing system, information processing apparatus, and operation-state prediction method | |
JP6724574B2 (en) | Failure information collection system, failure information collection device, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130306 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140212 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140414 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140617 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141104 |