JP2014115768A - Log determination system, log determination standard architecting apparatus, and log determination method - Google Patents

Log determination system, log determination standard architecting apparatus, and log determination method Download PDF

Info

Publication number
JP2014115768A
JP2014115768A JP2012268256A JP2012268256A JP2014115768A JP 2014115768 A JP2014115768 A JP 2014115768A JP 2012268256 A JP2012268256 A JP 2012268256A JP 2012268256 A JP2012268256 A JP 2012268256A JP 2014115768 A JP2014115768 A JP 2014115768A
Authority
JP
Japan
Prior art keywords
log
determination
data
log data
learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012268256A
Other languages
Japanese (ja)
Inventor
Yuki Numata
優希 沼田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2012268256A priority Critical patent/JP2014115768A/en
Publication of JP2014115768A publication Critical patent/JP2014115768A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a log determination system that can distinguish between unexpected abnormal logs and logs that presage abnormality and make determination.SOLUTION: A log data memory unit 11 acquires log data outputted from a device that records processed contents as a log and stores the acquired log data. An analyzing and learning unit 14 analyzes and learns the types, tendencies and output rules of stored log data. A log determination standard architecting unit 15 architects determination standards for determining whether the acquired log data represents an unexpected abnormal log or a log that presages abnormality. A log determination unit 21 determines whether the acquired log data represents an unexpected abnormal log or a log that presages abnormality on the basis of the architected determination standards.

Description

本発明の実施形態は、監視制御装置で管理される監視対象のログデータから監視対象の状況を判定するログ判定システム、ログ判定基準構築装置及びログ判定方法に関する。   Embodiments described herein relate generally to a log determination system, a log determination criterion construction device, and a log determination method for determining a status of a monitoring target from log data to be monitored managed by a monitoring control device.

監視制御装置または監視制御機能を備えるコンピュータ(以下、監視装置)にあっては、OS(Operating System)やアプリケーション等による監視対象の制御において、所定の処理毎にあるいは定期的にステータスを示すログデータを取得している。このログを監視することは、監視対象の安定稼動を維持するための重要な要素の一つとなる。そこで、監視制御装置にログ判定機能を装備させ、この機能によって警告の履歴を記録したログを調査することで、個々の処理の稼動状況を確認することが実施されている。   In a monitoring control device or a computer having a monitoring control function (hereinafter referred to as a monitoring device), log data indicating a status for each predetermined process or periodically in control of a monitoring target by an OS (Operating System) or an application Is getting. Monitoring this log is one of the important factors for maintaining the stable operation of the monitoring target. In view of this, a monitoring control device is equipped with a log determination function, and an operation status of each process is confirmed by investigating a log in which a warning history is recorded by this function.

このログ判定では、ログの監視において、ログの類似性や結果の有無に従って分類し記録する処理がなされており、記録されるログの傾向を調査することで、頻出する異常ログを判定することが可能である。しかしながら、従来のログ判定では、想定していない異常のログや異常の前兆となるログを判定することは、極めて困難であった。   In this log determination, in log monitoring, a process of classifying and recording according to the similarity of logs and the presence / absence of results is performed, and it is possible to determine frequent abnormal logs by investigating the tendency of the recorded logs. Is possible. However, in the conventional log determination, it is extremely difficult to determine a log of an unexpected abnormality or a log that is a precursor of an abnormality.

特開2008−15733号公報JP 2008-15733 A

以上のように、従来のログ判定では、記録されるログの傾向を調査することで頻出する異常ログを判定することが可能であるが、想定していない異常のログ及び異常の前兆となるログを判定することは極めて困難であった。   As described above, in the conventional log determination, it is possible to determine the abnormal log that appears frequently by investigating the tendency of the recorded log, but the log of the unexpected abnormality and the log that is a precursor of the abnormality It was extremely difficult to judge.

そこで、本実施形態は上記の問題を解決するために、想定していない異常のログ及び異常の前兆となるログを識別して判定することができ、これによってシステムの信頼性を向上させることが可能なログ判定システム、ログ判定基準構築装置及びログ判定方法を提供することを目的とする。   Therefore, in order to solve the above problem, the present embodiment can identify and determine a log of an unexpected abnormality and a log that is a precursor of the abnormality, thereby improving the reliability of the system. An object of the present invention is to provide a possible log determination system, a log determination criterion construction device, and a log determination method.

本実施形態によれば、ログ判定システムは、取得手段と、解析学習手段と、判定基準構築手段と、判定手段とを具備する。取得手段は、処理内容をログとして記録する装置から出力されるログデータを取得する。解析学習手段は、前記取得されたログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行う。判定基準構築手段は、前記学習した結果に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定するための判定基準を構築する。判定手段は、前記構築された判定基準に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定する。   According to the present embodiment, the log determination system includes an acquisition unit, an analysis learning unit, a determination criterion construction unit, and a determination unit. The acquisition unit acquires log data output from a device that records the processing content as a log. The analysis learning means performs analysis and learning using the type, tendency, and output rule of the acquired log data as learning data. The determination criterion construction means constructs a determination criterion for determining whether the acquired log data is an abnormal log or a log indicating a sign of abnormality based on the learned result. The determination means determines whether the acquired log data is an abnormal log or a log indicating a sign of abnormality based on the established determination criterion.

第1の実施形態に係るログ判定システムの構成を示すブロック図。The block diagram which shows the structure of the log determination system which concerns on 1st Embodiment. 第2の実施形態に係るログ判定システムにおけるログ判定方法を示すフローチャート。The flowchart which shows the log determination method in the log determination system which concerns on 2nd Embodiment. 第2の実施形態に係るログ判定基準構築装置の構成を示すブロック図。The block diagram which shows the structure of the log determination reference | standard construction apparatus which concerns on 2nd Embodiment. 第3の実施形態に係るシステム稼動中のログ判定システムの構成を示すブロック図。The block diagram which shows the structure of the log determination system during system operation which concerns on 3rd Embodiment. 第3の実施形態に係るシステム稼動中のログ判定システムにおけるログ判定方法を示すシーケンス図。The sequence diagram which shows the log determination method in the log determination system in operation of the system which concerns on 3rd Embodiment.

以下、実施形態について、図面を参照して説明する。なお、以降の図における同一部分には同一符号を付して、その詳しい説明を省略し、異なる部分について主に述べる。以降の実施形態も同様にして重複する説明を省略する。   Hereinafter, embodiments will be described with reference to the drawings. In addition, the same code | symbol is attached | subjected to the same part in subsequent figures, the detailed description is abbreviate | omitted, and a different part is mainly described. In the following embodiments, the same description is omitted.

(第1の実施形態)
図1は、第1の実施形態に係るログ判定システムの構成を示すブロック図である。このログ判定システムは、図示しない監視制御装置に記録されている監視対象のログデータを入力して記録しておき、監視対象の運用テスト期間、または監視対象の稼動中に記録されるログデータから判定基準を学習しつつ、その学習結果に基づいて、記録されたログデータから監視対象の状況を判定するシステムである。このログ判定システムは、大別すると、ログ判定基準構築装置1と、ログ判定装置2とを備える。 (First embodiment)
FIG. 1 is a block diagram illustrating a configuration of a log determination system according to the first embodiment. This log determination system inputs and records log data of a monitoring target recorded in a monitoring control device (not shown), and from the log data recorded during the operation test period of the monitoring target or during operation of the monitoring target. It is a system for determining the status of a monitoring target from recorded log data based on the learning result while learning the determination criteria. This log determination system roughly includes a log determination reference construction device 1 and a log determination device 2.

ログ判定基準構築装置1は、ログデータ記憶部11と、入出力部12と、学習用データ抽出部13と、解析学習部14と、ログ判定基準構築部15と、ログ判定基準保持部16とを備え、記録されるログを判定するための判定基準を構築する装置である。   The log determination criterion construction device 1 includes a log data storage unit 11, an input / output unit 12, a learning data extraction unit 13, an analysis learning unit 14, a log determination criterion construction unit 15, and a log determination criterion holding unit 16. And a device for constructing a criterion for determining a log to be recorded.

ログデータ記憶部11は、入出力部12を介して、監視制御装置に記録されている監視対象のログデータを取得し、取得したログデータを記憶するものである。ログデータは、監視対象のテスト運用期間中に記録された日時、イベントID、ログレベル、ログの種類及びログ内容等の情報を含む。   The log data storage unit 11 acquires monitoring target log data recorded in the monitoring control device via the input / output unit 12 and stores the acquired log data. The log data includes information such as date and time, event ID, log level, log type, and log contents recorded during the test operation period to be monitored.

学習用データ抽出部13は、ログデータ記憶部11に記憶されたログデータから、日時及びイベント等の任意の期間、ログレベル及びログの種類でフィルタリングをかけ、フィルタリングに対応するログデータを抽出する。学習用データ抽出部13は、抽出されたログデータを時系列に沿って並び替え、最適化したデータ群を生成する。ここで、学習用データ抽出部13では、抽出されたログデータを時系列に沿って並び替え、最適化したデータ群を学習用データと定義する。   The learning data extraction unit 13 filters the log data stored in the log data storage unit 11 according to an arbitrary period such as date and time, event, log level, and log type, and extracts log data corresponding to the filtering. . The learning data extraction unit 13 rearranges the extracted log data along a time series, and generates an optimized data group. Here, the learning data extraction unit 13 rearranges the extracted log data along a time series and defines an optimized data group as learning data.

解析学習部14は、学習用データ抽出部13で抽出された学習用データを入力し、入力された学習用データを解析して、解析結果からログの傾向、ログの種類及びログの出力規則等を学習する。   The analysis learning unit 14 inputs the learning data extracted by the learning data extraction unit 13, analyzes the input learning data, and based on the analysis result, the log tendency, the log type, the log output rule, etc. To learn.

ログ判定基準構築部15は、解析学習部14による学習結果としてログ判定基準を構築し、ログ判定基準を出力する。   The log determination criterion construction unit 15 constructs a log determination criterion as a learning result by the analysis learning unit 14 and outputs the log determination criterion.

ログ判定基準保持部16は、ログ判定基準構築部15から出力されたログ判定基準を保持する。   The log determination criterion holding unit 16 holds the log determination criterion output from the log determination criterion construction unit 15.

一方、ログ判定装置2は、ログ判定部21と、入出力部22と、ログ判定情報通知部23とを備え、上記ログ判定基準構築装置1から出力されるログ判定基準に基づいて、監視装置からのログデータを判定する装置である。   On the other hand, the log determination device 2 includes a log determination unit 21, an input / output unit 22, and a log determination information notification unit 23. Based on the log determination criteria output from the log determination criterion construction device 1, the monitoring device It is an apparatus for determining log data from.

ログ判定部21は、入出力部22を介して、監視装置からのログデータを入力し、入力されたログデータをログ判定基準保持部16に保持されたログ判定基準に基づいて判定する。つまり、ログ判定部21は、ログ判定基準に含まれる学習用データ中の各ログデータの情報及び各ログデータの出力順等を入力値とし、入力されたログデータが想定していない異常に関係するログ(以下、異常ログと記す)か否かの判定乃至解析学習部14での学習結果から求められる異常の発生確率及び異常レベル等に基づいて、異常の前兆を示すログか否かの判定を行う。   The log determination unit 21 inputs log data from the monitoring device via the input / output unit 22 and determines the input log data based on the log determination criterion held in the log determination criterion holding unit 16. That is, the log determination unit 21 uses the information of each log data in the learning data included in the log determination criteria, the output order of each log data, and the like as input values, and relates to an abnormality that the input log data does not assume. Whether or not the log indicates a sign of abnormality based on the probability of occurrence of abnormality and the abnormality level determined from the learning result in the analysis learning unit 14 I do.

ログ判定情報通知部23は、ログ判定部21による判定結果を通知する。ログ判定情報通知部23は、判定結果に異常ログであるという情報または異常の前兆を示すログであるという情報を含む場合、異常を通知するためのログ判定情報を出力する。   The log determination information notification unit 23 notifies the determination result by the log determination unit 21. The log determination information notification unit 23 outputs log determination information for notifying an abnormality when the determination result includes information indicating an abnormal log or information indicating a sign of an abnormality.

次に、上記構成によるログ判定システムの処理の流れについて説明する。   Next, a processing flow of the log determination system having the above configuration will be described.

図2は、上記ログ判定システムにおけるログ判定方法を示すフローチャートである。図2に示すように、まず、ログ判定システムは、監視対象の運用テスト期間または稼動中に出力されてログデータ記憶部11に記憶されたログデータを読み込む(ステップS1)。ログ判定システムは、ログ判定部21にて、上記ログ判定基準に基づいて、読み込んだログデータが異常ログか否かを判定する(ステップS2)。ログ判定システムは、読み込んだログデータが異常ログであれば、異常を通知する(ステップS4)。ログ判定システムは、読み込んだログデータが異常ログでなければ、上記ログ判定基準に基づいて、異常の前兆を示すログであるか否かを判定する(ステップS3)。ログ判定システムは、読み込んだログデータが異常の前兆を示すログであれば、異常を通知する(ステップS4)。ログ判定システムは、読み込んだログデータが異常の前兆を示すログでなければ、ステップS1に戻り、動作を繰り返す。   FIG. 2 is a flowchart showing a log determination method in the log determination system. As shown in FIG. 2, first, the log determination system reads the log data that is output during the operation test period to be monitored or during operation and stored in the log data storage unit 11 (step S1). In the log determination system, the log determination unit 21 determines whether or not the read log data is an abnormal log based on the log determination criterion (step S2). If the read log data is an abnormality log, the log determination system notifies the abnormality (step S4). If the read log data is not an abnormal log, the log determination system determines whether the log indicates a sign of abnormality based on the log determination criterion (step S3). If the read log data is a log indicating a sign of abnormality, the log determination system notifies the abnormality (step S4). If the read log data is not a log indicating a sign of abnormality, the log determination system returns to step S1 and repeats the operation.

以上のように、本実施形態において、ログ判定システムは、記録されるログから学習し、想定していない異常のログ乃至異常の前兆を示すログを判定するための基準を構築するログ判定基準構築装置1と、当該ログ判定基準構築装置1による学習結果に基づいて、想定していない異常のログ乃至異常の前兆を示すログを判定するログ判定装置2とを備える。上記構成により、ログ判定システムは、エラーログ等、確実に異常と判定可能なログだけでなく、正常稼動時に記録される異常の可能性の低いログや監視制御装置等の使用用途から出力される可能性の低いログについても、異常または異常の前兆を示す可能性が高いログとして判定を行うことができる。したがって、上記構成によるログ判定システムは、監視対象の異常を未然に防ぐことができ、信頼性を向上させることができる。   As described above, in this embodiment, the log determination system learns from the recorded logs and builds a log determination criterion construction that establishes a criterion for determining a log of an unexpected abnormality or a log indicating a precursor of an abnormality. The apparatus 1 and a log determination apparatus 2 that determines a log of an unexpected abnormality or a log indicating an anomaly based on a learning result by the log determination criterion construction apparatus 1. With the above configuration, the log determination system outputs not only logs that can be determined to be abnormal abnormally, such as error logs, but also logs that are recorded with low probability of normal operation and output from usage applications such as monitoring control devices A log with a low possibility can be determined as a log with a high possibility of showing an abnormality or a sign of abnormality. Therefore, the log determination system having the above configuration can prevent the monitoring target from being abnormal, and can improve the reliability.

(第2の実施形態)
図3は、第2の実施形態に係るログ判定基準構築装置1の構成を示すブロック図である。 (Second Embodiment)
FIG. 3 is a block diagram illustrating a configuration of the log determination criterion construction device 1 according to the second embodiment.

第2の実施形態に係るログ判定基準構築装置1は、入出力部12を介して、監視システムを構成する複数の監視制御装置から入力されたログデータを取得し、取得したログデータをログデータ記憶部11に記憶する。ログ判定基準構築装置1は、学習用データ抽出部13へログデータ記憶部11に記憶される複数あるログデータを入力し、複数あるログデータを時系列に沿って並び替え、最適化する。ログ判定基準構築装置1は、実施例1と同様に、入力したログデータを解析学習部14にて解析及び学習し、ログ判定基準構築部15にてログ判定基準(監視システム全体)を構築する。   The log determination criterion construction device 1 according to the second embodiment acquires log data input from a plurality of monitoring control devices constituting the monitoring system via the input / output unit 12, and uses the acquired log data as log data. Store in the storage unit 11. The log determination criterion construction device 1 inputs a plurality of log data stored in the log data storage unit 11 to the learning data extraction unit 13, and rearranges and optimizes the plurality of log data in time series. As in the first embodiment, the log determination criterion construction apparatus 1 analyzes and learns the input log data by the analysis learning unit 14 and constructs the log determination criterion (entire monitoring system) by the log determination criterion construction unit 15. .

また、ログ判定基準構築装置1は、入出力部12を介して、複数の装置から入力されたログデータをログデータ記憶部11に記憶する。ログ判定基準構築装置1は、学習用データ抽出部13へログデータ記憶部11に記憶される複数あるログデータを入力し、複数あるログデータを装置別に並び替え、最適化する。ログ判定基準構築装置1は、第1の実施形態と同様に、入力したログデータを解析学習部14にて解析及び学習し、ログ判定基準構築部15にてログ判定基準(装置別)を構築する。   Further, the log determination criterion construction device 1 stores log data input from a plurality of devices in the log data storage unit 11 via the input / output unit 12. The log determination criterion construction device 1 inputs a plurality of log data stored in the log data storage unit 11 to the learning data extraction unit 13, and sorts and optimizes the plurality of log data for each device. As in the first embodiment, the log determination criterion construction device 1 analyzes and learns the input log data by the analysis learning unit 14, and constructs the log determination criterion (by device) by the log determination criterion construction unit 15. To do.

以上のように、第2の実施形態において、ログ判定システムは、上記監視システム全体及び装置別、2種類のログ判定基準を利用することにより、個々の装置で発生する異常と、監視システム全体で複数の装置が同時に稼動することにより発生する可能性のある異常とを判定することができる。したがって、本実施形態のログ判定システムは、装置単体及び、監視システム全体の信頼性を向上させることができる。   As described above, in the second embodiment, the log determination system uses the two types of log determination criteria for the entire monitoring system and each device, so that an abnormality occurring in each device can be detected in the entire monitoring system. It is possible to determine an abnormality that may occur when a plurality of devices operate simultaneously. Therefore, the log determination system of the present embodiment can improve the reliability of the device alone and the entire monitoring system.

(第3の実施形態)
図4は、第3の実施形態に係るシステム稼動中のログ判定システムの構成を示すブロック図である。 (Third embodiment)
FIG. 4 is a block diagram illustrating a configuration of a log determination system during system operation according to the third embodiment.

第3の実施形態に係るログ判定システムは、上記第1の実施形態の構成に加え、監視制御装置31〜3nを備え、各部がネットワークNWで接続され、監視制御装置31〜3nに逐次記録されるログデータをログ判定基準構築装置1及びログ判定装置2に入力する構成となっている。   The log determination system according to the third embodiment includes monitoring control devices 31 to 3n in addition to the configuration of the first embodiment. Each unit is connected by a network NW and is sequentially recorded in the monitoring control devices 31 to 3n. Log data to be input to the log determination criterion construction device 1 and the log determination device 2.

監視制御装置31〜3nは、ログデータ記録部311〜3n1と、入出力部312〜3n2と、判定結果通知部313〜3n3とを備え、監視対象それぞれのログデータを記録し、判定されたログの判定結果をオペレータへ通知する装置である。   The monitoring control devices 31 to 3n include log data recording units 311 to 3n1, input / output units 312 to 3n2, and determination result notification units 313 to 3n3, which record log data for each monitoring target and determine the determined log This is a device for notifying the operator of the determination result.

ログデータ記録部311〜3n1は、入出力部312〜3n2を介して、監視制御装置31〜3nそれぞれの監視対象からのログデータを記録する。ログデータ記録部311〜3n1は、記録されたログデータをログ判定基準構築装置1乃至ログ判定装置2に伝送する。   The log data recording units 311 to 3n1 record log data from the monitoring targets of the monitoring control devices 31 to 3n via the input / output units 312 to 3n2. The log data recording units 311 to 3n1 transmit the recorded log data to the log determination criterion construction device 1 to the log determination device 2.

判定結果通知部313〜3n3は、ログ判定装置2から出力される、ログ判定部21により異常乃至異常が発生する可能性があると判定された判定結果を含むログ判定情報をオペレータへ通知する。   The determination result notification units 313 to 3n3 notify the operator of log determination information that is output from the log determination device 2 and includes a determination result determined by the log determination unit 21 that there is a possibility of occurrence of abnormality or abnormality.

次に、第3の実施形態におけるログ判定システムの処理の流れについて、図5を参照して説明する。   Next, the processing flow of the log determination system in the third embodiment will be described with reference to FIG.

図5は、第3の実施形態に係るシステム稼動中のログ判定システムにおけるログ判定方法を示すシーケンス図である。   FIG. 5 is a sequence diagram illustrating a log determination method in the log determination system during system operation according to the third embodiment.

図5に示すように、まず、監視制御装置3は、監視対象から処理内容をログとして記録する(シーケンスS1)。ログ判定基準構築装置1は、監視制御装置3に記録されたログデータを読み込む(シーケンスS2)。ログ判定基準構築装置1は、学習用データ抽出部13にて、読み込んだログデータから学習用データを抽出する(シーケンスS3)。ログ判定基準構築装置1は、解析学習部14にて、学習用データの解析及び学習を行う(シーケンスS4)。ログ判定基準構築装置1は、解析学習部14での学習結果から、ログ判定基準構築部15にてログ判定基準を構築する(シーケンスS5)。ログ判定装置2は、監視制御装置3からのログデータを書き込む(シーケンスS6)。ログ判定装置2は、ログ判定部21にて、ログ判定基準構築装置1により構築されたログ判定基準に基づいて、書き込まれたログを判定する(シーケンスS7)。ログ判定基準構築装置1は、解析学習部14にて、ログ判定部21から出力される入力されたログデータ情報、ログの傾向、ログの種類、ログの出力規則及びログの判定結果等を含むログ判定情報から、異常ログ乃至異常の前兆を示すログを逐次学習し、ログ判定基準を更新する(シーケンスS8)。ログ判定装置2は、異常乃至異常が発生する可能性があると判定した場合、異常乃至異常が発生する可能性があることを示すログ判定情報を監視制御装置3へ送る。監視制御装置3は、異常乃至異常が発生する可能性があることを示すログ判定情報を受けると、オペレータへ異常の発生または異常が発生する可能性があることを通知する。(シーケンスS9)。   As shown in FIG. 5, first, the monitoring control device 3 records the processing content as a log from the monitoring target (sequence S1). The log determination criterion construction device 1 reads the log data recorded in the monitoring control device 3 (sequence S2). In the log determination criterion construction device 1, the learning data extraction unit 13 extracts learning data from the read log data (sequence S3). The log determination criterion construction apparatus 1 analyzes and learns the learning data in the analysis learning unit 14 (sequence S4). In the log determination criterion construction device 1, the log determination criterion construction unit 15 constructs a log determination criterion from the learning result in the analysis learning unit 14 (sequence S5). The log determination device 2 writes the log data from the monitoring control device 3 (sequence S6). In the log determination device 2, the log determination unit 21 determines the written log based on the log determination criterion constructed by the log determination criterion construction device 1 (sequence S <b> 7). The log determination criterion construction device 1 includes the input log data information output from the log determination unit 21, the log tendency, the log type, the log output rule, the log determination result, and the like in the analysis learning unit 14. From the log determination information, an abnormality log or a log indicating an anomaly sign is sequentially learned, and the log determination reference is updated (sequence S8). When the log determination device 2 determines that there is a possibility of occurrence of abnormality or abnormality, the log determination device 2 sends log determination information indicating that abnormality or abnormality may occur to the monitoring control device 3. Upon receiving the log determination information indicating that an abnormality or an abnormality may occur, the monitoring control device 3 notifies the operator that an abnormality has occurred or an abnormality is likely to occur. (Sequence S9).

以上のように、第3の実施形態において、ログ判定システムは、監視制御装置3より稼動中に記録されるログデータを、ネットワークNWで接続されたログ判定基準構築装置1で読み込み、既存のログ判定基準を逐次更新する。また、ログ判定システムは、更新されたログ判定基準を一定間隔でログ判定装置2に書き込む。   As described above, in the third embodiment, the log determination system reads the log data recorded during operation from the monitoring control device 3 with the log determination criterion construction device 1 connected via the network NW, and the existing log. The criteria are updated sequentially. In addition, the log determination system writes the updated log determination reference to the log determination device 2 at regular intervals.

これにより、ログ判定システムは、アプリケーションの更新、ハードウェアの追加や変更により監視制御装置3内に記録されるログデータの傾向に変化が生じた場合にも柔軟に対応することができる。   As a result, the log determination system can flexibly cope with a change in the tendency of log data recorded in the monitoring control device 3 due to application update, hardware addition or change.

以上のように、上記各実施例において、ログ判定システムは、記録されるログから学習し、異常ログ乃至異常ログの前兆を示すログを判定するための基準を構築するログ判定基準構築装置1と、当該ログ判定基準構築装置1による学習結果に基づいて、異常ログ乃至異常ログの前兆を示すログを判定するログ判定装置2とを備える。上記構成により、ログ判定システムは、エラーログ等、確実に異常と判定可能なログだけでなく、正常稼動時に記録される可能性の低いログや監視制御装置等の使用用途から出力される可能性の低いログについても、異常または異常の前兆を示す可能性が高いログとして判定を行うことができる。   As described above, in each of the above-described embodiments, the log determination system learns from the recorded log, and builds a reference for determining a log indicating an abnormal log or a log indicating an anomaly log. And a log determination device 2 for determining an abnormal log or a log indicating an anomaly of an abnormal log based on a learning result by the log determination criterion construction device 1. With the above configuration, the log determination system may output not only from errors such as error logs that can be reliably determined as abnormal, but also from logs that are unlikely to be recorded during normal operation and usage applications such as monitoring control devices It is possible to make a determination as a log having a low possibility of showing an abnormality or a sign of abnormality.

これにより、ログ判定システムは、監視対象の異常を未然に防ぐことができ、信頼性を向上させることができる。   Thereby, the log determination system can prevent the abnormality of the monitoring target in advance, and can improve the reliability.

したがって、本実施形態に係るログ判定システムは、想定していない異常のログ及び異常の前兆となるログを識別して判定することができ、これによってシステムの信頼性を向上させることが可能なログ判定システム、ログ判定基準構築装置及びログ判定方法を提供することができる。   Therefore, the log determination system according to the present embodiment can identify and determine a log of an unexpected abnormality and a log that is a precursor of the abnormality, thereby improving the reliability of the system. A determination system, a log determination criterion construction device, and a log determination method can be provided.

以上、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これらの実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   As mentioned above, although some embodiment of this invention was described, these embodiment is shown as an example and is not intending limiting the range of invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the invention described in the claims and equivalents thereof as well as included in the scope and gist of the invention.

1…ログ判定基準構築装置、11…ログデータ記憶部、12…入出力部、13…学習用データ抽出部、14…解析学習部、15…ログ判定基準構築部、16…ログ判定基準保持部、2…ログ判定装置、21…ログ判定部、22…入出力部、23…ログ判定情報通知部、31〜3n…監視制御装置、311〜3n1…ログデータ記録部、312〜3n2…入出力部、313〜3n3…判定結果通知部、NW…ネットワーク。   DESCRIPTION OF SYMBOLS 1 ... Log determination standard construction apparatus, 11 ... Log data storage part, 12 ... Input / output part, 13 ... Learning data extraction part, 14 ... Analysis learning part, 15 ... Log judgment standard construction part, 16 ... Log judgment standard holding part DESCRIPTION OF SYMBOLS 2 ... Log determination apparatus, 21 ... Log determination part, 22 ... Input / output part, 23 ... Log determination information notification part, 31-3n ... Monitoring control apparatus, 311-3n1 ... Log data recording part, 312-3n2 ... Input / output Part, 313-3n3 ... determination result notification part, NW ... network.

Claims (12)

処理内容をログとして記録する装置から出力されるログデータを取得する取得手段と、
前記取得されたログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行う解析学習手段と、
前記学習した結果に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定するための判定基準を構築する判定基準構築手段と、
前記構築された判定基準に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定する判定手段と
を具備することを特徴とするログ判定システム。 Acquisition means for acquiring log data output from a device that records the processing content as a log;
Analysis learning means for performing analysis and learning using the type, tendency and output rule of the acquired log data as learning data;
Based on the learned result, a determination criterion construction means for constructing a determination criterion for determining whether the acquired log data is an abnormal log or a log indicating a sign of abnormality;
A log determination system comprising: determination means for determining whether the acquired log data is an abnormal log or a log indicating a sign of abnormality based on the established determination criterion. 前記取得手段は、処理内容をログとして記録する装置が複数ある場合、装置それぞれから出力される複数のログデータを取得し、
前記解析学習手段は、前記取得された複数のログデータを時系列に並べ替え、前記ログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習し、
前記判定基準構築手段は、システム全体で異常ログか否か及び異常の前兆を示すログか否かを判定するための判定基準を構築すること
を特徴とする請求項1記載のログ判定システム。 The acquisition unit acquires a plurality of log data output from each device when there are a plurality of devices that record the processing contents as a log,
The analysis learning means rearranges the plurality of acquired log data in time series, analyzes and learns the type, tendency and output rule of the log data as learning data,
The log determination system according to claim 1, wherein the determination criterion construction unit constructs a determination criterion for determining whether or not the entire system is an abnormal log and whether or not the log indicates a sign of abnormality. 前記取得手段は、処理内容をログとして記録する装置が複数ある場合、装置それぞれから出力される複数のログデータを取得し、
前記解析学習手段は、前記取得された複数のログデータを装置別に並べ替え、前記ログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行い、
前記判定基準構築手段は、装置別に異常ログか否か及び異常の前兆を示すログか否かを判定するための判定基準を構築すること
を特徴とする請求項1記載のログ判定システム。 The acquisition unit acquires a plurality of log data output from each device when there are a plurality of devices that record the processing contents as a log,
The analysis learning means rearranges the acquired plurality of log data by device, performs analysis and learning using the type, tendency and output rule of the log data as learning data,
The log determination system according to claim 1, wherein the determination criterion construction unit constructs a determination criterion for determining whether or not each device is an abnormal log and whether or not the log indicates a sign of abnormality. 前記取得手段は、システム稼動中に記録されるログデータを取得し、
前記解析学習手段は、前記取得されるログデータを解析及び学習し、
前記判定基準構築手段は、前記学習した結果から前記ログデータを判定するための判定基準を逐次更新することを特徴とする請求項1記載のログ判定システム。 The acquisition means acquires log data recorded during system operation,
The analysis learning means analyzes and learns the acquired log data,
The log determination system according to claim 1, wherein the determination criterion construction unit sequentially updates a determination criterion for determining the log data from the learned result. 処理内容をログとして記録する装置から出力されるログデータを取得する取得手段と、
前記取得されたログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行う解析学習手段と、
前記学習した結果に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定するための判定基準を構築する判定基準構築手段と
を具備することを特徴とするログ判定基準構築装置。 Acquisition means for acquiring log data output from a device that records the processing content as a log;
Analysis learning means for performing analysis and learning using the type, tendency and output rule of the acquired log data as learning data;
And a criterion construction means for constructing a criterion for judging whether the acquired log data is an abnormal log or a log showing a sign of abnormality based on the learned result. A log criteria creation device. 前記取得手段は、処理内容をログとして記録する装置が複数ある場合、装置それぞれから出力される複数のログデータを取得し、
前記解析学習手段は、前記取得された複数のログデータを時系列に並べ替え、シ前記ログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習し、
前記判定基準構築手段は、システム全体で異常ログか否か及び異常の前兆を示すログか否かを判定するための判定基準を構築すること
を特徴とする請求項5記載のログ判定基準構築装置。 The acquisition unit acquires a plurality of log data output from each device when there are a plurality of devices that record the processing contents as a log,
The analysis learning means rearranges the acquired plurality of log data in time series, and analyzes and learns the log data type, tendency, and output rule as learning data,
6. The log determination standard construction device according to claim 5, wherein the determination standard construction unit constructs a judgment standard for determining whether the entire system is an abnormal log and a log indicating a sign of abnormality. . 前記取得手段は、処理内容をログとして記録する装置が複数ある場合、装置それぞれから出力される複数のログデータを取得し、
前記解析学習手段は、前記取得された複数のログデータを装置別に並べ替え前記ログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行い、
前記判定基準構築手段は、装置別に異常ログか否か及び異常の前兆を示すログか否かを判定するための判定基準を構築すること
を特徴とする請求項5記載のログ判定基準構築装置。 The acquisition unit acquires a plurality of log data output from each device when there are a plurality of devices that record the processing contents as a log,
The analysis learning means rearranges the acquired plurality of log data by apparatus, performs analysis and learning using the type, tendency and output rule of the log data as learning data,
6. The log criterion construction device according to claim 5, wherein the criterion construction means constructs a criterion for judging whether or not each device is an abnormal log and a log indicating a sign of abnormality. 前記取得手段は、システム稼動中に記録されるログデータを取得し、
前記解析学習手段は、前記取得されるログデータを解析及び学習し、
前記判定基準構築手段は、前記学習した結果から前記ログデータを判定するための判定基準を逐次更新すること
を特徴とする請求項5記載のログ判定基準構築装置。 The acquisition means acquires log data recorded during system operation,
The analysis learning means analyzes and learns the acquired log data,
The log determination criterion construction apparatus according to claim 5, wherein the determination criterion construction means sequentially updates a criterion for determining the log data from the learned result. 処理内容をログとして記録する装置から出力されるログデータを取得し、
前記取得されたログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行い、
前記学習した結果に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定するための判定基準を構築し、
前記構築された判定基準に基づいて、前記取得されるログデータが異常ログか否か乃至異常の前兆を示すログか否かを判定すること
を特徴とするログ判定方法。 Obtain log data output from the device that records the processing details as a log,
Using the acquired log data type, tendency, and output rule as learning data, analysis and learning,
Based on the learned result, construct a criterion for determining whether the acquired log data is an abnormal log or a log indicating a sign of abnormality,
A log determination method comprising: determining whether the acquired log data is an abnormal log or a log indicating a sign of abnormality based on the established determination criterion. 処理内容をログとして記録する装置が複数ある場合、装置それぞれから出力される複数のログデータを取得し、
前記取得された複数のログデータを時系列に並べ替え、前記ログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習し、
システム全体で異常ログか否か及び異常の前兆を示すログか否かを判定するための判定基準を構築すること
を特徴とする請求項9記載のログ判定方法。 If there are multiple devices that record the processing details as a log, obtain multiple log data output from each device,
Rearranging the acquired plurality of log data in time series, analyzing and learning the type, tendency and output rule of the log data as learning data,
The log determination method according to claim 9, wherein a criterion for determining whether or not the entire system is an abnormal log and whether or not the log indicates a sign of abnormality is established. 処理内容をログとして記録する装置が複数ある場合、装置それぞれから出力される複数のログデータを取得し、
前記取得された複数のログデータを装置別に並べ替え、前記ログデータの種類、傾向及び出力規則を学習用データとして、解析及び学習を行い、
装置別に異常ログか否か及び異常の前兆を示すログか否かを判定するための判定基準を構築すること
を特徴とする請求項9記載のログ判定方法。 If there are multiple devices that record the processing details as a log, obtain multiple log data output from each device,
Sorting the acquired plurality of log data by device, performing analysis and learning using the type, tendency, and output rule of the log data as learning data,
The log determination method according to claim 9, wherein a criterion for determining whether or not each apparatus is an abnormal log and whether or not the log indicates a sign of abnormality is established. システム稼動中に記録されるログデータを取得し、
前記取得されるログデータを解析及び学習し、
前記学習した結果から前記ログデータを判定するための判定基準を逐次更新すること
を特徴とする請求項9記載のログ判定方法。 Get log data recorded while the system is running,
Analyzing and learning the acquired log data;
The log determination method according to claim 9, wherein a determination criterion for determining the log data is sequentially updated from the learned result.
JP2012268256A 2012-12-07 2012-12-07 Log determination system, log determination standard architecting apparatus, and log determination method Pending JP2014115768A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012268256A JP2014115768A (en) 2012-12-07 2012-12-07 Log determination system, log determination standard architecting apparatus, and log determination method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012268256A JP2014115768A (en) 2012-12-07 2012-12-07 Log determination system, log determination standard architecting apparatus, and log determination method

Publications (1)

Publication Number Publication Date
JP2014115768A true JP2014115768A (en) 2014-06-26

Family

ID=51171718

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012268256A Pending JP2014115768A (en) 2012-12-07 2012-12-07 Log determination system, log determination standard architecting apparatus, and log determination method

Country Status (1)

Country Link
JP (1) JP2014115768A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016063816A1 (en) * 2014-10-23 2016-04-28 株式会社日立製作所 Device and method for detecting abnormality pre-indications in a computer system
JP2017220139A (en) * 2016-06-10 2017-12-14 三菱電機株式会社 Log analyzer, log analysis method, and log analysis program
JP2018109883A (en) * 2017-01-05 2018-07-12 株式会社東芝 Device, method, and computer program product for job execution control
JP2020135739A (en) * 2019-02-25 2020-08-31 株式会社東芝 Failure sign detection system
KR20210019564A (en) * 2018-06-28 2021-02-22 지티이 코포레이션 Operation maintenance system and method

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005182647A (en) * 2003-12-22 2005-07-07 Nec Corp Abnormality detector for apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005182647A (en) * 2003-12-22 2005-07-07 Nec Corp Abnormality detector for apparatus

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6015052201; 山西 健司: 「データマイニングによる異常検知」 , 20090525, pp.1-10, 共立出版株式会社 *
JPN6015052202; 宮本 貴朗 外3名: '「ネットワーク・サーバ運用監視支援システム」' システム/制御/情報 第15巻、第6号, 20020615, pp.279-287, システム制御情報学会 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016063816A1 (en) * 2014-10-23 2016-04-28 株式会社日立製作所 Device and method for detecting abnormality pre-indications in a computer system
JP2016085496A (en) * 2014-10-23 2016-05-19 株式会社日立製作所 Abnormality sign detection device and method of computer system
JP2017220139A (en) * 2016-06-10 2017-12-14 三菱電機株式会社 Log analyzer, log analysis method, and log analysis program
JP2018109883A (en) * 2017-01-05 2018-07-12 株式会社東芝 Device, method, and computer program product for job execution control
KR20210019564A (en) * 2018-06-28 2021-02-22 지티이 코포레이션 Operation maintenance system and method
KR102483025B1 (en) 2018-06-28 2022-12-29 지티이 코포레이션 Operational maintenance systems and methods
JP2020135739A (en) * 2019-02-25 2020-08-31 株式会社東芝 Failure sign detection system

Similar Documents

Publication Publication Date Title
US10410135B2 (en) Systems and/or methods for dynamic anomaly detection in machine sensor data
US10860406B2 (en) Information processing device and monitoring method
US9524223B2 (en) Performance metrics of a computer system
US20160378583A1 (en) Management computer and method for evaluating performance threshold value
US10523520B2 (en) System anomaly detection using parameter flows
JP2014115768A (en) Log determination system, log determination standard architecting apparatus, and log determination method
US10614214B2 (en) Using machine learning to detect communication channel abnormalities in an ICS/IIoT application
AU2019275633B2 (en) System and method of automated fault correction in a network environment
US10831711B2 (en) Prioritizing log tags and alerts
CN107391335B (en) Method and equipment for checking health state of cluster
JP2015028700A (en) Failure detection device, failure detection method, failure detection program and recording medium
Patri et al. Predicting failures from oilfield sensor data using time series shapelets
US20200193325A1 (en) Learning system, analysis system, learning method, and storage medium
JP2009217382A (en) Failure analysis system, failure analysis method, failure analysis server, and failure analysis program
CN111459692A (en) Method, apparatus and computer program product for predicting drive failure
US20140159907A1 (en) Systems and Methods for Integrating Alarm Processing and Presentation of Alarms for a Power Generation System
WO2018069950A1 (en) Method, system, and program for analyzing logs
US9378082B1 (en) Diagnosis of storage system component issues via data analytics
JP4559974B2 (en) Management apparatus, management method, and program
CN109145609B (en) Data processing method and device
US9690639B2 (en) Failure detecting apparatus and failure detecting method using patterns indicating occurrences of failures
JP2014153736A (en) Fault symptom detection method, program and device
CN107924185B (en) Method and system for maintaining field devices in a plant using automation technology
JP2012037991A (en) Prediction device, prediction system and program
KR102382134B1 (en) Attack detection device, attack detection method, and attack detection program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160105

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160510