JP2016012193A - 抽出方法、装置、及びプログラム - Google Patents

抽出方法、装置、及びプログラム Download PDF

Info

Publication number
JP2016012193A
JP2016012193A JP2014132736A JP2014132736A JP2016012193A JP 2016012193 A JP2016012193 A JP 2016012193A JP 2014132736 A JP2014132736 A JP 2014132736A JP 2014132736 A JP2014132736 A JP 2014132736A JP 2016012193 A JP2016012193 A JP 2016012193A
Authority
JP
Japan
Prior art keywords
information
generation
configuration
time
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014132736A
Other languages
English (en)
Other versions
JP6295857B2 (ja
Inventor
大塚 浩
Hiroshi Otsuka
浩 大塚
哲哉 内海
Tetsuya Utsumi
哲哉 内海
幸洋 渡辺
Koyo Watanabe
幸洋 渡辺
松本 安英
Yasuhide Matsumoto
安英 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014132736A priority Critical patent/JP6295857B2/ja
Priority to US14/694,020 priority patent/US9563496B2/en
Publication of JP2016012193A publication Critical patent/JP2016012193A/ja
Application granted granted Critical
Publication of JP6295857B2 publication Critical patent/JP6295857B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0778Dumping, i.e. gathering error/state information after a fault for later diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】監視対象の処理装置から得られる異なる種類の情報を、処理装置で発生した異常に関連付けて抽出する方法、装置、プログラムを提供する。【解決手段】構成変更パターン分析部43が、処理装置の構成を示す構成ログを、構成が変更された時刻間で表される世代毎に取得し、世代間で変更された構成を示す構成変更パターンを抽出する。時系列異常分析部41が、処理装置の各時刻における各種性能を示す性能ログを取得し、取得した性能ログの時系列変化において異常が検出された時刻を、世代に関連付けて時系列異常として抽出する。パターン異常分析部42が、処理装置において各時刻で発生するイベントログを取得し、異常が検出されたイベントログが発生した時刻を、世代に関連付けてパターン異常として抽出する。関連分析部44が、各情報の時系列的な関連及び世代の同一性に基づいて、関連のあるパターン異常、時系列異常、及び構成変更パターンを抽出する。【選択図】図2

Description

本発明は、抽出方法、抽出装置、及び抽出プログラムに関する。
従来、ユーザ側で運用しているシステムを監視し、システムに異常が発生したことを検知した場合に、ユーザ側のシステム管理者等に異常の発生を通知するサービスが行われている。システムでの異常発生を検知する方法として、システムで発生するイベントログの発生状況やイベントログの内容を解析して検知する方法がある。そして、システムの異常が検知されると、システムの構成や性能等の情報に基づいて、異常の原因を推定することが行われている。
特開2007−293393号公報 国際公開第2004/061681号パンフレット
しかしながら、システムの構成を示す情報、性能を示す情報、及びイベントログは、それぞれ異なる情報であり、それぞれの情報の関連性も不明確である。そのため、システムに発生した異常の原因を推定するためには、人間の作業により、これらの情報の関連性を判断する必要がある。しかし、システムの構成を示す情報、性能を示す情報、及びイベントログの各種情報の情報量は膨大であるため、各種情報の関連性を人間の作業により判断することは、膨大な時間を要し、非効率的である、という問題がある。
本発明は、一つの側面として、監視対象の処理装置から得られる異なる種類の情報を、処理装置で発生した異常に関連付けて抽出することを目的とする。
一つの態様として、処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出する。また、前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出する。さらに、前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出する。そして、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する。各情報の関連は、前記第1情報が示す世代及び該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づく。
一つの側面として、監視対象の処理装置から得られる異なる種類の情報を、処理装置で発生した異常に関連付けて抽出することができる、という効果を有する。
第1及び第2実施形態に係る抽出装置を含むシステム構成を示す概略図である。 第1実施形態に係る抽出装置の機能ブロック図である。 イベントログの一例を示す図である。 性能ログの一例を示す図である。 構成ログの一例を示す図である。 共通形式データテーブルの一例を示す図である。 時系列異常分析を説明するための図である。 時系列異常テーブルの一例を示す図である。 共通形式データテーブルの一例を示す図である。 パターン異常テーブルの一例を示す図である。 世代表の一例を示す図である。 キーリストの一例を示す図である。 構成変更パターンテーブルの一例を示す図である。 抽出結果リストの一例を示す図である。 第1及び第2実施形態に係る抽出装置として機能するコンピュータの概略構成を示すブロック図である。 抽出処理の一例を示すフローチャートである。 共通形式変換処理の一例を示すフローチャートである。 第1実施形態における分析処理の一例を示すフローチャートである。 構成変更パターン分析処理の一例を示すフローチャートである。 構成変更パターン分析処理の一例を示すフローチャートである。 関連分析処理の一例を示すフローチャートである。 パターン異常、時系列異常、及び構成変更パターンの横断的な関連を説明するための図である。 構成変更パターンの他の抽出例を説明するための図である。 第2実施形態に係る抽出装置の機能ブロック図である。 イベント化ルールテーブルの一例を示す図である。 イベント生成部の処理対象となる共通形式データの一例を示す図である。 生成したイベントの一例を示す図である。 第2実施形態におけるパターン異常分析部の分析対象となる共通形式データの一例を示す図である。 第2実施形態における分析処理の一例を示すフローチャートである。
以下、図面を参照して開示の技術に係る実施形態の一例を詳細に説明する。
<第1実施形態>
図1に示すように、第1実施形態に係る抽出装置10は、インターネット等のネットワーク12を介して、複数の処理装置16を有する処理システム14と接続される。
図2に、抽出装置10の機能ブロック図を示す。図2に示すように、抽出装置10は、収集部20と、共通形式変換部30と、分析部40と、結果出力部50とを含む。収集部20はさらに、イベントログ収集部21と、性能ログ収集部22と、構成ログ収集部23と含む。また、分析部40はさらに、時系列異常分析部41と、パターン異常分析部42と、構成変更パターン分析部43と、関連分析部44とを含む。なお、時系列異常分析部41は、本発明の第2情報抽出部の一例である。また、パターン異常分析部42は、本発明の第3情報抽出部の一例である。また、構成変更パターン分析部43は、本発明の第1情報抽出部の一例である。また、関連分析部44は、本発明の関連抽出部の一例である。
イベントログ収集部21は、処理装置16で発生した事象(イベント)を記録したイベントログを、各処理装置16から収集する。図3にイベントログの一例を示す。図3に示すイベントログは、処理装置16の起動時のイベントを記録したイベントログの一例である。イベントログ収集部21は、このようなイベントログを、処理装置16の識別情報(処理装置ID、図3の例では「web01」)と共に収集する。
性能ログ収集部22は、処理装置16のCPUやメモリ等のリソースの利用率などを示す性能ログを収集する。図4に性能ログの一例を示す。図4に示す性能ログは、処理装置16が有する識別情報「1」で識別されるCPUの利用率等を表す性能ログの一例である。性能ログ収集部22は、このような性能ログを、処理装置16の識別情報(処理装置ID、図4の例では「web01」)と共に収集する。
構成ログ収集部23は、処理装置16を構成するハードウェアの構成、及び処理装置16にインストールされているオペレーティングシステム(Operating System、OS)やアプリケーション等のソフトウェアの構成を示す構成ログを収集する。図5に構成ログの一例を示す。図5に示す構成ログは、処理装置16にインストールされているプログラムの一覧が記録された構成ログの例である。構成ログ収集部23は、このような構成ログを、処理装置16の識別情報(処理装置ID、図5の例では「web01」)及び構成ログが示す構成の世代の情報(図5の例では「世代:1」)と共に収集する。
なお、処理装置16の構成は、定期的なタイミング(例えば1ヶ月毎)または変更の必要が生じたタイミングで変更される。本実施形態では、処理装置16の構成が変更された時点から次に構成が変更された時点までの期間を、構成の1つの世代として取り扱う。また、本実施形態では、例えば、運用側(処理装置16を使用するユーザ側)から構成変更を行った日時情報を取得するなどして、抽出装置10に、各世代の開始を示す日時情報を保持しておく。
共通形式変換部30は、イベントログ収集部21、性能ログ収集部22、及び構成ログ収集部23の各々で収集されたログを受け取り、受け取った各ログを、共通形式に変換する。例えば、共通形式としては、「世代」、「日時」、「位置」、「キー」、及び「内容」の各項目に対応する値を有する形式とすることができる。「位置」とは、どこに配置され処理装置16から収集したログかを示す情報で、例えば処理装置IDの値が対応する。「キー」とは、「内容」の項目に対応する値の種類を分類可能な情報である。
具体的には、共通形式変換部30は、受け取ったログを、例えば行単位などの所定単位に分割したり、受け取ったログから予め定めたルールに従って一部を抽出したりすることにより、共通形式に対応した所定単位で各データを抽出する。共通形式変換部30は、例えば図6に示すように、各列に共通形式の各項目を対応させた共通形式データテーブル61に、ログから抽出したデータに含まれる値を記録することにより、ログから抽出したデータを共通形式に変換する。すなわち、共通形式データテーブル61の各行が、共通形式に変換されたデータ(以下、「共通形式データ」という)となる。なお、共通形式データの項目のうち、ログから抽出されたデータが対応する値を有さない項目はブランクにしておく。また、データの抽出元のログの種別に応じて、各データが有する値は異なるため、共通形式変換部30は、抽出元のログの種別に応じて、ログから抽出されたデータが有する各値を共通形式のどの項目に対応させるかを予め定義しておく。
より具体的には、共通形式変換部30は、例えば図3に示すようなイベントログから、日時情報(図3の破線部分)を区切りとして各データを抽出し、抽出したデータの日時情報を共通形式データテーブル61の「日時」の項目に記録する。また、共通形式変換部30は、ログから抽出したデータの日時情報以外のメッセージ部分を「内容」の項目に記録する。また、共通形式変換部30は、ログと共に収集された処理装置IDを共通形式データテーブル61の「位置」の項目に記録する。さらに、共通形式変換部30は、抽出装置10で保持している各世代の開始を示す日時情報と、ログから抽出されたデータが有する日時情報とに基づいて、各データの抽出元のログが、処理装置16の構成が何世代のときに発生または収集されたログかを判定する。そして、判定した世代数を、共通形式データテーブル61の「世代」の項目に記録する。図6中のAで示す行は、イベントログから抽出されたデータを変換した共通形式データの一例である。
また、共通形式変換部30は、例えば図4に示すような性能ログから、性能の項目のそれぞれを、日時情報及びCPUの識別情報と共に、1つのデータとして抽出する。そして、抽出したデータの日時情報を共通形式データテーブル61の「日時」の項目に記録し、CPUの識別情報と性能の項目名との組合せを「キー」の項目に記録し、性能の項目の値を「内容」の項目に記録する。また、共通形式変換部30は、上記と同様に、「世代」及び「位置」の項目も記録する。図6中のBで示す行は、性能ログから抽出されたデータを変換した共通形式データの一例である。
また、共通形式変換部30は、例えば図5に示すような構成ログから、要素(例えば1つのプログラム、図5の例では、2行目以降の各行)のそれぞれを、見出し行(例えば1行目)と共に1つのデータとして抽出する。そして、抽出したデータの見出し行の値を共通形式データテーブル61の「キー」の項目に記録し、各要素の値を「内容」の項目に記録する。また、共通形式変換部30は、抽出元の構成ログと共に収集された世代の情報及び処理装置IDを、共通形式データテーブル61の「世代」及び「位置」の項目に記録する。図6中のCで示す行が、構成ログから抽出されたデータを変換した共通形式データの一例である。
時系列異常分析部41は、共通形式データテーブル61に記録された共通形式データのうち、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値を有する共通形式データを抽出する。時系列異常分析部41は、抽出した共通形式データが有する数値の時系列変化における異常(以下、「時系列異常」という)の有無を分析する。数値を有する共通形式データは、主には、性能ログ収集部22で収集された性能ログから抽出されたデータを変換した共通形式データであるが、これに限定されない。なお、例えば図4に示すようなCPUの性能を示す性能ログから抽出されたデータを変換した共通形式データに基づいて時系列異常を分析することで、CPUに異常が生じているか否かを判定することができる。
時系列異常分析部41は、具体的には、「キー」及び「位置」が同一の共通形式データが有する数値を日時情報順に並べた系列において、例えばアノマリ分析を利用して検出される変化点を、時系列異常が発生している箇所として抽出する。変化点は、例えば図7に示すように、数値が急激に変化する点や、数値の変化パターンが予め定めた正常な変化パターンに合致しない点等とすることができる。時系列異常分析部41は、時系列異常を抽出した箇所に対応する日時情報に識別情報(時系列異常ID)を付与して時系列異常を示す情報とし、例えば図8に示すような時系列異常テーブル62に記録する。また、時系列異常分析部41は、保持している世代の開始の日時情報に基づいて、時系列異常の日時情報が含まれる世代を判定し、判定した世代数を時系列異常の情報に対応付けて記録する。
パターン異常分析部42は、共通形式データテーブル61に記録された共通形式データのうち、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値ではない共通形式データを抽出する。パターン異常分析部42は、抽出した共通形式データが、どのようなパターンで出現しているかに基づいて、出現パターンの異常(以下、「パターン異常」という)の有無を分析する。第1実施形態では、イベントログから抽出したデータを変換した共通形式データが、パターン異常の分析対象の共通形式データとして、共通形式データテーブル61から抽出される。
また、イベントログから抽出したデータを変換した共通形式データは、図6のAの行に示すように、「キー」の項目がブランクとなっている。そこで、パターン異常分析部42は、まず、抽出した共通形式データについて、「内容」の項目に記録された値に基づいて、各共通形式データを分類可能なキーを生成する。例えば、複数の単語とキーとの組を複数定義した辞書を予め用意しておく。そして、抽出した共通形式データの「内容」の項目に含まれる単語が、辞書に定義されたいずれかの組の複数の単語を所定割合以上被覆する場合に、その組のキーを、該当の共通形式データのキーとして生成することができる。パターン異常分析部42は、例えば図9中の破線部分に示すように、共通形式データテーブル61においてブランクとなっていた「キー」の項目に、生成したキーを記録する。
また、パターン異常分析部42は、該当の共通形式データについて生成したキーを日時情報順に並べた系列で表されるパターンを分析する。例えば、繰り返し出現する同一のパターンを抽出し、このパターンに合致しないパターンが出現した場合に、パターン異常として抽出することができる。パターン異常分析部42は、パターン異常を抽出した箇所に対応するキーを有する共通形式データの日時情報に識別情報(パターン異常ID)を付与してパターン異常を示す情報とし、例えば図10に示すようなパターン異常テーブル63に記録する。また、パターン異常分析部42は、保持している世代の開始の日時情報に基づいて、パターン異常の日時情報が含まれる世代を判定し、判定した世代数をパターン異常の情報に対応付けて記録する。
構成変更パターン分析部43は、共通形式データテーブル61に記録された共通形式データのうち、構成ログから抽出されたデータを変換した共通形式データを用いて、構成変更パターンを分析する。構成変更パターンは、構成の各要素(例えば各プログラム)がどの世代で変更されたかを示す情報である。処理装置16の構成を変更した際の設定等に誤りがあった場合には、処理装置16に異常が発生する原因の一つとなるため、構成変更パターンを抽出しておくことで、処理装置16に異常が発生した際の原因の推定が容易になる。
構成変更パターン分析部43は、共通形式データテーブル61に記録された共通形式データのうち、時系列異常分析部41及びパターン異常分析部42の分析の対象とならないデータを抽出する。本実施形態では、構成ログから抽出されたデータを変換した共通形式のデータが抽出される。構成変更パターン分析部43は、抽出した各共通形式データを、「キー」及び「位置」が同一で日時情報が古い他の共通形式データと比較して、世代毎に値の変化があったか否かを示す世代表64を作成する。例えば、図11に示すように、抽出した共通形式データのキーを各行に対応させ、各世代を各列に対応させた表を世代表64とすることができる。また、各キーに対して識別情報(キーID)を付与する。図11の例では、世代表64の各マスには、そのマスの行に対応するキーを有する共通形式データの「内容」の値が同一の世代間では同一の値が設定され、共通形式データの「内容」の値が異なる世代間では異なる値が設定される。
構成変更パターン分析部43は、作成した世代表64に基づいて、処理装置16の構成の世代間で値が変化した共通形式データの情報を抽出する。具体的には、構成変更パターン分析部43は、世代表64において、世代gの列に設定された値と世代g−1の列に設定された値とが異なる行(図11中のA)に対応するキーに付与されたキーIDを抽出し、例えば図12に示すようなキーリスト65に記録する。構成変更パターン分析部43は、世代毎に抽出したキーIDを列挙したものを構成変更パターンとし、識別情報(構成変更パターンID)を付与する。
なお、世代表64における分析対象の各世代の全ての値が異なる行(図11中のB)は、構成が変更される毎に設定が変更されることが正常であることを表していると判断して、構成変更パターンの抽出から除外する。また、構成変更パターン分析部43は、抽出した構成変更パターンに含まれる世代と、保持している世代の開始の日時情報とに基づいて、構成変更パターンに対応する日時情報を判定する。構成変更パターン分析部43は、例えば図13に示すような構成変更パターンテーブル66に、判定した日時情報に構成変更パターンIDを付与して、構成変更パターンを示す情報として記録する。また、構成変更パターン分析部43は、構成変更パターンIDが示す構成変更パターンに含まれる世代を、構成変更パターンの情報に対応付けて記録する。
関連分析部44は、時系列異常分析部41で抽出された時系列異常、パターン異常分析部42で抽出されたパターン異常、及び構成変更パターン分析部43で抽出された構成変更パターンの関連を分析し、関連のある情報群を1組とする抽出結果を出力する。具体的には、関連分析部44は、時系列異常テーブル62及びパターン異常テーブル63を参照する。そして、関連分析部44は、時系列異常の日時情報がパターン異常の日時情報より前で、かつ世代が同一の時系列異常とパターン異常とのペア(以下、「時系列異常−パターン異常ペア」と表記する)を抽出する。また、関連分析部44は、時系列異常テーブル62及び構成変更パターンテーブル66を参照する。そして、関連分析部44は、構成変更パターンの日時情報が時系列異常の日時情報より前で、かつ世代が同一の時系列異常と構成変更パターンとのペア(以下、「時系列異常−構成変更パターンペア」と表記する)を抽出する。
さらに、関連分析部44は、抽出した時系列異常−パターン異常ペア及び時系列異常−構成変更パターンペアから、共通する時系列異常を有する時系列異常−パターン異常ペアと時系列異常−構成変更パターンペアとを抽出する。関連分析部44は、抽出した両ペアに含まれる時系列異常ID、パターン異常ID、及び構成変更パターンIDを列挙して、1つの抽出結果とし、識別情報(結果ID)を付与する。
結果出力部50は、関連分析部44で抽出した抽出結果を、例えば図14に示すような抽出結果リスト67にする。結果出力部50は、抽出結果リスト67と、抽出結果を参照するための各種テーブルとを出力する。各種テーブルは、抽出結果リスト67に記録された時系列異常ID、パターン異常ID、及び構成変更パターンIDの各々の内容を参照するための時系列異常テーブル62、パターン異常テーブル63、及び構成変更パターンテーブル66を含む。また、各種テーブルは、構成変更パターンを特定するためのキーリスト65、及びキーリスト65に記録されたキーIDが示すキーを特定するための世代表64を含む。また、各種テーブルは、時系列異常、パターン異常、及び構成変更パターンの詳細を参照するための共通形式データテーブル61を含む。
抽出装置10は、例えば図15に示すコンピュータ70で実現することができる。コンピュータ70はCPU72、メモリ74、不揮発性の記憶部76、入出力インターフェース(I/F)77、及びネットワークI/F78を備えている。CPU72、メモリ74、記憶部76、入出力I/F77、及びネットワークI/F78は、バス79を介して互いに接続されている。
記憶部76はHDD(Hard Disk Drive)、SSD(solid state drive)、フラッシュメモリ等によって実現できる。記憶媒体としての記憶部76には、コンピュータ70を抽出装置10として機能させるための抽出プログラム110が記憶されている。CPU72は、抽出プログラム110を記憶部76から読み出してメモリ74に展開し、抽出プログラム110が有するプロセスを順次実行する。
抽出プログラム110は、収集プロセス120と、共通形式変換プロセス130と、分析プロセス140と、結果出力プロセス150とを有する。収集プロセス120はさらに、イベントログ収集プロセス121と、性能ログ収集プロセス122と、構成ログ収集プロセス123とを有する。また、分析プロセス140はさらに、時系列異常分析プロセス141と、パターン異常分析プロセス142と、構成変更パターン分析プロセス143と、関連分析プロセス144とを有する。
CPU72は、イベントログ収集プロセス121を実行することで、図2に示すイベントログ収集部21として動作する。また、CPU72は、性能ログ収集プロセス122を実行することで、図2に示す性能ログ収集部22として動作する。また、CPU72は、構成ログ収集プロセス123を実行することで、図2に示す構成ログ収集部23として動作する。また、CPU72は、共通形式変換プロセス130を実行することで、図2に示す共通形式変換部30として動作する。また、CPU72は、時系列異常分析プロセス141を実行することで、図2に示す時系列異常分析部41として動作する。また、CPU72は、パターン異常分析プロセス142を実行することで、図2に示すパターン異常分析部42として動作する。また、CPU72は、構成変更パターン分析プロセス143を実行することで、図2に示す構成変更パターン分析部43として動作する。また、CPU72は、関連分析プロセス144を実行することで、図2に示す関連分析部44として動作する。また、CPU72は、結果出力プロセス150を実行することで、図2に示す結果出力部50として動作する。これにより、抽出プログラム110を実行したコンピュータ70が、抽出装置10として機能することになる。
なお、抽出装置10は、例えば半導体集積回路、より詳しくはASIC(Application Specific Integrated Circuit)等で実現することも可能である。
次に、第1実施形態に係る抽出装置10の作用について説明する。抽出装置10では、図16に示す抽出処理が実行される。なお、抽出装置10は、処理装置16の構成の各世代の開始を示す日時情報を保持しているものとする。
図16に示す抽出処理のステップS10で、イベントログ収集部21が、各処理装置16から、イベントログを処理装置IDと共に収集する。また、性能ログ収集部22が、各処理装置16から、性能ログを処理装置IDと共に収集する。さらに、構成ログ収集部23が、各処理装置16から、構成ログを処理装置ID及び世代の情報と共に収集する。次に、ステップS20で、図17に詳細を示す共通形式変換処理が実行される。
図17に示す共通形式変換処理のステップS21で、共通形式変換部30が、イベントログ収集部21、性能ログ収集部22、及び構成ログ収集部23のいずれかで収集されたログを受け取る。そして、共通形式変換部30が、受け取ったログが、構成ログか否かを判定する。この判定は、イベントログ収集部21、性能ログ収集部22、及び構成ログ収集部23のいずれからログを受け取ったかを判定することにより行うことができる。受け取ったログが構成ログの場合には、処理はステップS22へ移行し、性能ログまたはイベントログの場合には、処理はステップS23へ移行する。
ステップS22では、共通形式変換部30が、例えば図5に示すような構成ログから、要素(例えば1つのプログラム、図5の例では、2行目以降の各行)のそれぞれを、見出し行(例えば1行目)と共に1つのデータとして抽出する。そして、抽出したデータ見出し行の値を共通形式データテーブル61の「キー」の項目に記録し、各要素の値を「内容」の項目に記録する。また、共通形式変換部30は、抽出元の構成ログと共に収集された世代の情報及び処理装置IDを、共通形式データテーブル61の「世代」及び「位置」の項目に記録する。
一方、ステップS23では、共通形式変換部30が、受け取ったログが、性能ログか否かを判定する。性能ログの場合には、処理はステップS24へ移行し、イベントログの場合には、処理はステップS25へ移行する。
ステップS24では、共通形式変換部30が、例えば図4に示すような性能ログから、性能の項目のそれぞれを、日時情報及びCPUの識別情報と共に、1つのデータとして抽出する。そして、抽出したデータの日時情報を共通形式データテーブル61の「日時」の項目に記録し、CPUの識別情報と性能の項目名との組合せを「キー」の項目に記録し、性能の項目の値を「内容」の項目に記録する。さらに、共通形式変換部30は、抽出装置10で保持している各世代の開始を示す日時情報と、ログから抽出されたデータが有する日時情報とに基づいて判定した世代数を、「世代」の項目に記録する。
ステップS25では、共通形式変換部30が、例えば図3に示すようなイベントログから、日時情報を区切りとして各データを抽出し、抽出したデータの日時情報を共通形式データテーブル61の「日時」の項目に記録する。また、共通形式変換部30は、ログから抽出したデータの日時情報以外のメッセージ部分を「内容」の項目に記録する。また、共通形式変換部30は、上記ステップS24の場合と同様に、「世代」及び「位置」の項目も記録する。
受け取ったログから抽出した各データについて共通形式データテーブル61への記録、すなわち共通形式データへの変換が終了すると、共通形式変換処理は終了し、処理は図16に示す抽出処理にリターンする。複数のログを受け取った場合には、各ログについて本ルーチンを実行する。
次に、図16に示す抽出処理のステップS30で、図18に詳細を示す分析処理が実行される。
図18に示す分析処理のステップS31で、時系列異常分析部41が、共通形式データテーブル61に記録された共通形式データを、「キー」及び「位置」が同一の共通形式データ群に分類する。なお、「キー」の項目がブランクの共通形式データは、「キー」の項目がブランクの共通形式データ群として分類する。
次に、ステップS32で、時系列異常分析部41が、未処理のキー、すなわち、以降の処理が未処理の共通形式データ群を示すキーが存在するか否かを判定する。未処理のキーが存在する場合には、処理はステップS33へ移行し、存在しない場合には、処理はステップS40へ移行する。
ステップS33では、時系列異常分析部41が、未処理のキーから1つを選択する。次に、ステップS34で、時系列異常分析部41が、選択したキーに対応する共通形式データ群に含まれる共通形式データの全てが、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値を有するか否かを判定する。肯定判定の場合には、処理はステップS35へ移行し、否定判定の場合には、処理はステップS36へ移行する。
ステップS35では、時系列異常分析部41が、選択したキーに対応する共通形式データが有する数値を日時情報順に並べた系列において、例えばアノマリ分析を利用して検出される変化点を、時系列異常が発生している箇所として抽出する。そして、時系列異常分析部41は、時系列異常を抽出した箇所に対応する日時情報に識別情報(時系列異常ID)を付与して時系列異常を示す情報とし、例えば図8に示すような時系列異常テーブル62に、世代の情報と共に記録する。
ステップS36では、パターン異常分析部42が、上記ステップS33で選択されたキーに対応する共通形式データ群に含まれる共通形式データの全てが、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値ではないか否かを判定する。肯定判定の場合には、処理はステップS37へ移行し、否定判定の場合には、処理はステップS39へ移行する。
ステップS37では、パターン異常分析部42が、選択されたキーに対応する共通形式データの「内容」の項目に記録された値に基づいて、各共通形式データのキーを生成する。次に、ステップS38で、パターン異常分析部42が、選択されたキーに対応する共通形式データについて生成したキーを日時情報順に並べた系列で表されるパターンから、パターン異常を抽出する。そして、パターン異常分析部42は、パターン異常を抽出した箇所に対応するキーを有する共通形式データの日時情報に識別情報(パターン異常ID)を付与してパターン異常を示す情報とし、例えば図10に示すようなパターン異常テーブル63に、世代の情報と共に記録する。
一方、ステップS39では、選択されたキーに対応する共通形式データは、時系列異常分析部41及びパターン異常分析部42のいずれの分析対象にもならなかったため、構成変更パターン分析部43の分析対象とするために、一旦、構成データリストに追加する。構成データリストは、記録されるデータが構成変更パターン分析部43の分析対象となるデータである点を除いては、共通形式データテーブル61と同様の構成とすることができる。
ステップS40では、図19及び図20に詳細を示す構成変更パターン分析処理が実行される。
図19の構成変更パターン分析処理のステップS41で、構成変更パターン分析部43が、世代表64を初期化する。具体的には、構成変更パターン分析部43は、構成データリストに保存された共通形式データの全てのキーを種類毎に世代表64の行に設定し、各キーにキーIDを付与する。また、構成データリストに保存された共通形式データに含まれる全ての世代を世代番号順に各々世代表64の列に設定する。
次に、ステップS42で、構成変更パターン分析部43が、未処理のキーが存在するか否かを判定し、存在する場合には、処理はステップS43へ移行し、存在しない場合には、処理は図20のステップS49へ移行する。ステップS43では、構成変更パターン分析部43が、未処理のキーから1つのキー(キーID=iのキー、以下「キーi」と表記する)を選択する。
次に、ステップS44で、構成変更パターン分析部43が、世代表64の列に設定した世代のうち、以降の処理が未処理の世代が存在するか否かを判定する。未処理の世代が存在する場合には、処理はステップS45へ移行し、存在しない場合には、処理はステップS42に戻る。
ステップS45では、構成変更パターン分析部43が、未処理の世代のうち、最も古い世代(世代g、図11の世代表64の例では、g=1,2,・・・,6)を選択する。次に、構成変更パターン分析部43が、構成データリストに保存されたキーiの共通形式データを参照して、世代gの共通形式データの「内容」の値と、世代g−1の共通形式データの「内容」の値とが同一か否かを判定する。「内容」の値が同一の場合には、処理はステップS47へ移行し、異なる場合には、処理はステップS48へ移行する。また、世代g−1が存在しない場合(例えば図11の世代表64の例では、g=1の場合)も、処理はステップS48へ移行する。
ステップS47では、構成変更パターン分析部43が、世代表64のキーiに対応する行と、世代g−1に対応する列とで表されるマスに設定されている値を、キーiに対応する行と、世代gに対応する列で表されるマスに設定する。一方、ステップS48では、構成変更パターン分析部43が、キーiに対応する行と、世代gに対応する列で表されるマスに、「g」を設定する。
次に、図20のステップS49では、構成変更パターン分析部43が、世代表64において、全て同じ値が設定されている行、または全て異なる値が設定されている行に対応するキーにマークを付与する。このマークは、構成変更パターンの抽出処理の対象から除外することを示すマークである。なお、全て同じ値が設定されている行は、マークが付与されていなくても構成変更パターンとして抽出されないが、マークを付与しておくことで、以降の処理を簡略化することができる。
次に、ステップS50で、構成変更パターン分析部43が、未処理の世代が存在するか否かを判定する。未処理の世代が存在する場合には、処理はステップS51へ移行し、構成変更パターン分析部43が、未処理の世代から1つの世代gを選択する。
次に、ステップS52で、構成変更パターン分析部43が、未処理のキーが存在するか否かを判定し、存在する場合には、処理はステップS53へ移行し、構成変更パターン分析部43が、未処理のキーから1つのキーiを選択する。
次に、ステップS54で、構成変更パターン分析部43が、キーiにマークが付与されているか否かを判定する。キーiにマークが付与されていない場合には、処理はステップS55へ移行し、マークが付与されている場合には、処理はステップS52に戻る。
ステップS55では、構成変更パターン分析部43が、世代表64のキーiに対応する行において、世代gに対応する列と世代g−1に対応する列とに設定された値が異なるか否かを判定する。異なる場合には、処理はステップS56へ移行し、同一の場合には、処理はステップS52に戻る。ステップS56では、構成変更パターン分析部43が、例えば図12に示すようなキーリスト65に、世代gの行を追加し、対応するキーIDの項目に「i」を記録する。なお、キーリストに既に世代gの行が存在する場合には、その行のキーIDの項目に「i」を追加する。
上記ステップS52で、未処理のキーが存在しないと判定されると、処理はステップS57へ移行する。ステップS57では、構成変更パターン分析部43が、キーリスト65の世代gの行に構成変更パターンIDを付与して、処理はステップS50に戻る。
ステップS50で、未処理の世代が存在しないと判定されると、処理はステップS58へ移行し、構成変更パターン分析部43が、抽出した構成変更パターンに含まれる世代と、保持している世代の開始の時刻情報とに基づいて、構成変更パターンに対応する日時情報を判定する。そして、構成変更パターン分析部43は、判定した日時情報に識別情報(構成変更パターンID)を付与して、構成変更パターンを示す情報とし、例えば図13に示すような構成変更パターンテーブル66に、世代の情報と共に記録する。構成変更パターンテーブル66への記録が終了すると、処理は図18に示す分析処理にリターンする。
次に、図18に示す分析処理のステップS60で、図21に詳細を示す関連分析処理が実行される。
図21に示す関連分析処理のステップS61で、関連分析部44が、時系列異常テーブル62及びパターン異常テーブル63を参照する。そして、関連分析部44は、時系列異常の日時情報がパターン異常の日時情報より前で、かつ世代が同一の時系列異常−パターン異常ペアを抽出する。
次に、ステップS62で、関連分析部44が、時系列異常テーブル62及び構成変更パターンテーブル66を参照する。そして、関連分析部44は、構成変更パターンの日時情報が時系列異常の日時情報より前で、かつ世代が同一の時系列異常−構成変更パターンペアを抽出する。
次に、ステップS63で、関連分析部44が、抽出した時系列異常−パターン異常ペア及び時系列異常−構成変更パターンペアから、共通する時系列異常を有する時系列異常−パターン異常ペアと時系列異常−構成変更パターンペアとを抽出する。そして、関連分析部44は、抽出した両ペアに含まれる時系列異常ID、パターン異常ID、及び構成変更パターンIDを列挙して、1つの抽出結果とし、結果IDを付与し、処理は図16に示す抽出処理にリターンする。
次に、図16に示す抽出処理のステップS70で、結果出力部50が、関連分析部44で抽出された抽出結果を、例えば図14に示すような抽出結果リスト67にする。そして、結果出力部50は、抽出結果リスト67を、時系列異常テーブル62、パターン異常テーブル63、構成変更パターンテーブル66等の各種テーブルと共に出力し、抽出処理を終了する。
以上説明したように、第1実施形態に係る抽出装置によれば、イベントログ、性能ログ、及び構成ログから、時系列異常、パターン異常、及び構成変更パターンの各々を分析する。そして、時系列異常、パターン異常、及び構成変更パターンが生じた日時を手がかりに、これらの関連を分析する。従って、処理装置から得られる異なる種類の情報を、処理装置で発生した異常に関連付けて抽出することができる。この抽出結果を参照することで、例えば図22に示すように、パターン異常、時系列異常、及び構成変更パターンの関連を横断的に把握して、異常の原因を推定することができる。より具体的には、処理装置16に対して行われたどの構成変更に起因して、リソースのどの部分に異常が生じたことにより、パターン異常として処理装置16の異常が検出されたかということを、容易に把握することができる。
また、同一の世代に含まれる時系列異常、パターン異常、及び構成変更パターンを関連する一群の抽出結果として扱うことで、どの構成変更に起因して異常が生じたかをより的確に把握することができる。
なお、第1実施形態では、構成ログから抽出したデータが有する値が、世代gと世代g−1との間で変化している場合に、構成変更パターンとして抽出する場合について説明したが、これに限定されない。例えば図23に示すように、世代表64において、行毎(キー毎)に、ある世代gの前後複数世代を含むウインドウ68を設定する。図23の例では、世代g=4について、世代gより前の2世代(前半)と、世代gを含む世代g以降の2世代(後半)との4世代分のウインドウ68を設定している。そして、ウインドウ68内の前半のマスに設定されている値の各々が同一で、かつ後半のマスに設定されている値の各々が同一であり、さらに、前半の値と後半の値とが異なる場合に、世代gで構成変更があったことを示す構成変更パターンを抽出することができる。これにより、1つ前の世代の値のみと比較する場合に比べ、ある世代で構成が変更されたことをより確実に捉えることができる。
また、第1実施形態では、世代表に設定する値を世代数とする場合について説明したが、これに限定されない。共通形式データの「内容」の値が同一の場合には、世代間で同一の値を設定し、「内容」の値が異なる場合には、異なる値を設定すればよい。
また、第1実施形態では、各種ログから抽出したデータを共通形式に変換する場合について説明したが、これに限定されない。第1実施形態では、時系列異常分析、パターン異常分析、及び構成変更パターン分析の各々に用いるデータを、各々の分析に応じた形式に変換すればよい。
<第2実施形態>
次に、第2実施形態について説明する。なお、第2実施形態に係る抽出装置について、第1実施形態に係る抽出装置10と同様の部分については、同一符号を付して詳細な説明を省略する。
図24に示すように、抽出装置210は、収集部20と、共通形式変換部30と、分析部240と、結果出力部50とを含む。分析部240はさらに、時系列異常分析部41と、パターン異常分析部242と、構成変更パターン分析部243と、関連分析部44と、イベント生成部45とを含む。
イベント生成部45は、共通形式データテーブル61に記録された共通形式データのうち、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値を有する共通形式データを抽出する。イベント生成部45は、抽出した数値を有する共通形式データが、所定のルールを満たす場合に、ルールを満たしたことを示すイベントを生成する。所定のルールは、例えば図25に示すようなイベント化ルールテーブル69に記憶されているものとする。図25に示すイベント化ルールテーブル69に記憶されたルールID=1のルールは、「キー」が「cpu1_usage」の共通形式データの「内容」の平均値が、threshold=0.75以上の場合に、イベントを発生させることを表している。なお、上記の例のように、複数の共通形式データの値を平均する等のルールのように、1つのルールを複数の共通形式データに適用する場合は、「世代」及び「位置」が同一の共通形式データに適用する。
例えば、共通形式データテーブル61に記録された数値を有する共通形式データのうち、図26に示すように、「世代」及び「位置」が同一(図26の例では、世代=1、位置=web01)の共通形式データが4つ抽出されたとする。イベント生成部45は、例えば図25のルールを適用し、4つの共通形式データの「内容」の平均値が、threshold=0.75以上の場合に、例えば図27に示すような、ルールを満たしたことを示すイベントを生成する。イベントは、共通形式で生成する。
具体的には、イベント生成部45は、生成するイベントの「世代」及び「位置」に、ルールを適用した共通形式データと同じ「世代」及び「位置」を設定する。また、イベント生成部45は、生成するイベントの「日時」に、ルールを適用した共通形式データの「日時」のうち、最新の日時情報、最古の日時情報等、いずれかの日時情報を設定する。さらに、イベント生成部45は、生成するイベントの「キー」に、ルールを満たしたことにより生成したイベントであることを示すキーを設定する。例えば、適用したルールのキーに「_event」を付加したキーとすることができる。なお、生成するイベントの「内容」はブランクでよい。イベント生成部45は、生成したイベントを、パターン異常分析部242へ受け渡す。
構成変更パターン分析部243は、第1実施形態の構成変更パターン分析部43と同様に、構成変更パターンを分析する。第2実施形態の構成変更パターン分析部243は、さらに、構成変更パターン分析に利用する共通形式データの「日時」に、その共通形式データが示す構成の世代の開始時刻を設定し、パターン異常分析部242へ受け渡す。
パターン異常分析部242は、第1実施形態に係るパターン異常分析部42の分析対象と同様に、イベントログから抽出した共通形式データを分析対象とする。さらに、第2実施形態では、イベント生成部45及び構成変更パターン分析部243から受け渡された共通形式データも、パターン異常の分析対象に加える。図28に、第2実施形態のパターン異常分析部242の分析対象となる共通形式データの一例を示す。図28のAに示す行は、第1実施形態と同様、イベントログから抽出した共通形式データに対してキーを生成した共通形式データの一例である。図28のBに示す行は、イベント生成部45から受け渡されたイベント(共通形式データ)の一例である。図28のCに示す行は、構成変更パターン分析部243から受け渡された共通形式データの一例である。
パターン異常分析部242は、図28に示すような分析対象の共通形式データについて、第1実施形態と同様に、各共通形式データのキーを日時情報順に並べた系列で表されるパターンに基づいて、パターン異常を分析する。
抽出装置210は、例えば図15に示すコンピュータ70で実現することができる。記憶部76には、コンピュータ70を抽出装置210として機能させるための抽出プログラム510が記憶されている。CPU72は、抽出プログラム510を記憶部76から読み出してメモリ74に展開し、抽出プログラム510が有するプロセスを順次実行する。
抽出プログラム510は、収集プロセス120と、共通形式変換プロセス130と、分析プロセス540と、結果出力プロセス150とを有する。分析プロセス540はさらに、時系列異常分析プロセス141と、パターン異常分析プロセス542と、構成変更パターン分析プロセス543と、関連分析プロセス144と、イベント生成プロセス145とを有する。
CPU72は、パターン異常分析プロセス542を実行することで、図24に示すパターン異常分析部242として動作する。また、CPU72は、構成変更パターン分析プロセス543を実行することで、図24に示す構成変更パターン分析部243として動作する。また、CPU72は、イベント生成プロセス145を実行することで、図24に示すイベント生成部45として動作する。他のプロセスについては、第1実施形態と同様である。これにより、抽出プログラム510を実行したコンピュータ70が、抽出装置210として機能することになる。
なお、抽出装置210は、例えば半導体集積回路、より詳しくはASIC等で実現することも可能である。
次に、第2実施形態に係る抽出装置210の作用について説明する。第2実施形態に係る抽出装置210において実行される抽出処理は、第1実施形態における抽出処理と、分析処理の内容が異なる。以下では、図29を参照して、第2実施形態における分析処理について説明する。なお、第1実施形態における分析処理と同様の処理については、同一符号を付して詳細な説明を省略する。
図29に示す分析処理のステップS34で、時系列異常分析部41が、選択したキーに対応する共通形式データ群に含まれる共通形式データの全てが、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値を有するか否かを判定する。肯定判定の場合には、処理はステップS231へ移行し、否定判定の場合には、処理はステップS36へ移行する。
次に、ステップS231で、イベント生成部45が、選択したキーに対応する共通形式データ群を、さらに「世代」及び「位置」毎に分類する。そして、イベント化ルールテーブル69を参照して、各共通形式データ群に適用可能なルールが存在するか否かを判定する。存在する場合には処理はステップS232へ移行し、存在しない場合には、処理はステップS35へ移行する。
ステップS232では、イベント生成部45が、各共通形式データ群が、適用したルールを満たす場合に、ルールを満たしたことを示すイベントを、共通形式データとして生成する。イベント生成部45は、生成したイベントを、一旦、イベントリストに追加する。イベントリストは、共通形式データテーブル61と同様の構成とすることができる。
ステップS35では、時系列異常分析部41が、第1実施形態と同様に、選択したキーに対応する共通形式データ群に基づいて、時系列異常分析を行って、処理はステップS32に戻る。
また、ステップS37で、パターン異常分析部242が、「日時情報」の項目がブランクではなく、かつ「内容」の項目が数値ではない共通形式データの「内容」の項目に記録された値に基づいて、各共通形式データのキーを生成する。次に、ステップS233で、パターン異常分析部242が、キーを生成した共通形式データを、イベントリストに追加し、処理はステップS32に戻る。
また、ステップS34及びS36で否定判定され、処理がステップS39へ移行すると、構成変更パターン分析部243が、選択されたキーに対応する共通形式データを、一旦、構成データリストに追加する。さらに、ステップS234で、構成変更パターン分析部243は、選択されたキーに対応する共通形式データの「日時」に、その共通形式データが示す構成の世代の開始時刻を設定し、イベントリストに追加し、処理はステップS32に戻る。
ステップS32で否定判定されると、処理はステップS235へ移行し、パターン異常分析部242が、イベントリストに記憶されている共通形式データを分析対象として、第1実施形態と同様に、パターン異常を抽出する。従って、ステップS235では、性能ログから抽出したデータを変換した共通形式データに所定のルールを適用して生成したイベント、及び構成ログから抽出して変換した共通形式データに日時情報を付加したデータも、パターン異常の分析対象となる。
以上説明したように、第2実施形態に係る抽出装置210によれば、異なる種類のログから抽出したデータを共通形式に変換することで、複数種類のデータを組み合わせてパターン異常分析を行うことができる。
なお、第2実施形態では、イベントログ、性能ログ、及び構成ログの各々から抽出したデータを共通形式に変換したデータを、さらにパターン異常分析に利用するためにデータ変換する場合について説明したが、これに限定されない。イベントログ、性能ログ、及び構成ログの各々から抽出したデータのいずれか2種類を共通形式データに変換してもよい。例えば、イベントログ及び構成ログから抽出したデータを共通形式データに変換し、この共通形式データに基づいて、パターン異常を分析してもよい。さらにこの場合、性能ログから抽出したデータに基づいて分析した時系列異常と、イベントログ及び構成ログを抽出元とする共通形式データに基づいて分析したパターン異常との関連を分析するようにしてもよい。
また、上記では開示の技術に係る抽出プログラムの一例である抽出プログラム110、510が記憶部76に予め記憶(インストール)されている態様を説明したが、これに限定されない。開示の技術に係る抽出プログラムは、CD−ROM、DVD−ROM、USBメモリ等の記録媒体に記録された形態で提供することも可能である。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
コンピュータに、
処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出し、
前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出し、
前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出し、
前記第1情報が示す世代及び前記処理装置が該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づいて、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する
ことを含む処理を実行させる抽出方法。
(付記2)
前記第3情報を抽出する際、前記世代の構成に変更された時刻を付加した構成情報を、前記イベント情報として用いる付記1記載の抽出方法。
(付記3)
前記第3情報を抽出する際、前記性能情報が予め定めた条件を満たす場合に、該条件を満たす性能情報を変換したイベント情報を用いる付記1または付記2記載の抽出方法。
(付記4)
前記コンピュータに、
前記構成情報、前記性能情報、及び前記イベント情報の各々を、共通形式のデータに変換する
ことを含む処理をさらに実行させる付記1〜付記3のいずれか1項記載の抽出方法。
(付記5)
前記第1情報を抽出する際、前記複数世代分の構成情報に基づいて、構成情報の内容が同一の場合には世代毎に同じ値を設定し、構成情報の内容が異なる場合には世代毎に異なる値を設定した世代表を作成し、前記世代表に設定された値の差分により表されるパターンを、前記第1情報として抽出する付記1〜付記4のいずれか1項記載の抽出方法。
(付記6)
処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出する第1情報抽出部と、
前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出する第2情報抽出部と、
前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出する第3情報抽出部と、
前記第1情報が示す世代及び前記処理装置が該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づいて、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する関連抽出部と、
を含む抽出装置。
(付記7)
前記第3情報抽出部は、前記世代の構成に変更された時刻を付加した構成情報を、前記イベント情報として用いる付記6記載の抽出装置。
(付記8)
前記第3情報抽出部は、前記性能情報が予め定めた条件を満たす場合に、該条件を満たす性能情報を変換したイベント情報を用いる付記6または付記7記載の抽出装置。
(付記9)
前記構成情報、前記性能情報、及び前記イベント情報の各々を、共通形式のデータに変換する共通形式変換部をさらに含む付記6〜付記8のいずれか1項記載の抽出装置。
(付記10)
前記第1情報抽出部は、前記複数世代分の構成情報に基づいて、構成情報の内容が同一の場合には世代毎に同じ値を設定し、構成情報の内容が異なる場合には世代毎に異なる値を設定した世代表を作成し、前記世代表に設定された値の差分により表されるパターンを、前記第1情報として抽出する付記6〜付記9のいずれか1項記載の抽出装置。
(付記11)
コンピュータに、
処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出し、
前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出し、
前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出し、
前記第1情報が示す世代及び前記処理装置が該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づいて、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する
ことを含む処理を実行させるための抽出プログラム。
(付記12)
前記第3情報を抽出する際、前記世代の構成に変更された時刻を付加した構成情報を、前記イベント情報として用いる付記11記載の抽出プログラム。
(付記13)
前記第3情報を抽出する際、前記性能情報が予め定めた条件を満たす場合に、該条件を満たす性能情報を変換したイベント情報を用いる付記11または付記12記載の抽出プログラム。
(付記14)
前記コンピュータに、
前記構成情報、前記性能情報、及び前記イベント情報の各々を、共通形式のデータに変換する
ことを含む処理をさらに実行させるための付記11〜付記13のいずれか1項記載の抽出プログラム。
(付記15)
前記第1情報を抽出する際、前記複数世代分の構成情報に基づいて、構成情報の内容が同一の場合には世代毎に同じ値を設定し、構成情報の内容が異なる場合には世代毎に異なる値を設定した世代表を作成し、前記世代表に設定された値の差分により表されるパターンを、前記第1情報として抽出する付記11〜付記14のいずれか1項記載の抽出プログラム。
10、210 抽出装置
16 処理装置
20 収集部
21 イベントログ収集部
22 性能ログ収集部
23 構成ログ収集部
30 共通形式変換部
40、240 分析部
41 時系列異常分析部
42、242 パターン異常分析部
43、243 構成変更パターン分析部
44 関連分析部
45 イベント生成部
50 結果出力部
70 コンピュータ
72 CPU
74 メモリ
76 記憶部
110、510 抽出プログラム

Claims (7)

  1. コンピュータに、
    処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出し、
    前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出し、
    前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出し、
    前記第1情報が示す世代及び前記処理装置が該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づいて、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する
    ことを含む処理を実行させる抽出方法。
  2. 前記第3情報を抽出する際、前記世代の構成に変更された時刻を付加した構成情報を、前記イベント情報として用いる請求項1記載の抽出方法。
  3. 前記第3情報を抽出する際、前記性能情報が予め定めた条件を満たす場合に、該条件を満たす性能情報を変換したイベント情報を用いる請求項1または請求項2記載の抽出方法。
  4. 前記コンピュータに、
    前記構成情報、前記性能情報、及び前記イベント情報の各々を、共通形式のデータに変換する
    ことを含む処理をさらに実行させる請求項1〜請求項3のいずれか1項記載の抽出方法。
  5. 前記第1情報を抽出する際、前記複数世代分の構成情報に基づいて、構成情報の内容が同一の場合には世代毎に同じ値を設定し、構成情報の内容が異なる場合には世代毎に異なる値を設定した世代表を作成し、前記世代表に設定された値の差分により表されるパターンを、前記第1情報として抽出する請求項1〜請求項4のいずれか1項記載の抽出方法。
  6. 処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出する第1情報抽出部と、
    前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出する第2情報抽出部と、
    前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出する第3情報抽出部と、
    前記第1情報が示す世代及び前記処理装置が該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づいて、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する関連抽出部と、
    を含む抽出装置。
  7. コンピュータに、
    処理装置の構成を示す構成情報を、構成が変更された時刻間で表される世代毎に取得し、取得した複数世代分の構成情報に基づいて、世代間で変更された構成を示す第1情報を抽出し、
    前記処理装置の各時刻における各種性能を示す性能情報を取得し、取得した性能情報の時系列変化において異常が検出された時刻を、前記世代に関連付けて第2情報として抽出し、
    前記処理装置において各時刻で発生するイベントを示すイベント情報を取得し、異常が検出されたイベント情報が発生した時刻を、前記世代に関連付けて第3情報として抽出し、
    前記第1情報が示す世代及び前記処理装置が該世代の構成に変更された時刻、前記第2情報が示す時刻及び前記第2情報に関連付けられた世代、並びに前記第3情報が示す時刻及び前記第3情報に関連付けられた世代に基づいて、関連のある前記第1情報、前記第2情報、及び前記第3情報を抽出する
    ことを含む処理を実行させるための抽出プログラム。
JP2014132736A 2014-06-27 2014-06-27 抽出方法、装置、及びプログラム Active JP6295857B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014132736A JP6295857B2 (ja) 2014-06-27 2014-06-27 抽出方法、装置、及びプログラム
US14/694,020 US9563496B2 (en) 2014-06-27 2015-04-23 Extraction method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014132736A JP6295857B2 (ja) 2014-06-27 2014-06-27 抽出方法、装置、及びプログラム

Publications (2)

Publication Number Publication Date
JP2016012193A true JP2016012193A (ja) 2016-01-21
JP6295857B2 JP6295857B2 (ja) 2018-03-20

Family

ID=54930603

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014132736A Active JP6295857B2 (ja) 2014-06-27 2014-06-27 抽出方法、装置、及びプログラム

Country Status (2)

Country Link
US (1) US9563496B2 (ja)
JP (1) JP6295857B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018088075A (ja) * 2016-11-28 2018-06-07 富士通株式会社 情報システム、情報処理装置、情報処理方法、およびプログラム
EP4064640A1 (en) 2021-03-22 2022-09-28 Fujitsu Limited Information processing program, information processing apparatus, and information processing method
JP7369219B2 (ja) 2022-02-04 2023-10-25 株式会社日立製作所 運用管理装置及び方法
JP7494656B2 (ja) 2020-08-26 2024-06-04 富士通株式会社 情報処理装置及び障害検出方法

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9612898B2 (en) * 2013-06-03 2017-04-04 Nec Corporation Fault analysis apparatus, fault analysis method, and recording medium
WO2015141640A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
US20190147182A1 (en) * 2017-11-15 2019-05-16 American Express Travel Related Services Company, Inc. Data Access System
WO2021042250A1 (zh) * 2019-09-02 2021-03-11 西门子(中国)有限公司 用于确定生产设备的生产周期的方法和装置
US11599410B2 (en) * 2020-10-13 2023-03-07 Lakeside Software, Llc Apparatus and method for detecting and correcting problems, failures, and anomalies in managed computer systems such as kiosks and informational displays

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152721A (ja) * 2001-11-13 2003-05-23 Hitachi Ltd ネットワークシステム障害分析支援方法およびその方式
JP2003162504A (ja) * 2001-11-26 2003-06-06 Hitachi Ltd 障害分析支援システム
JP2006221538A (ja) * 2005-02-14 2006-08-24 Anritsu Corp 測定装置及び該装置を用いた変更履歴取得方法
JP2012003647A (ja) * 2010-06-21 2012-01-05 Hitachi Ltd 原因分析構成変更のための方法および装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004061681A1 (ja) 2002-12-26 2004-07-22 Fujitsu Limited 運用管理方法および運用管理サーバ
JP4980581B2 (ja) 2004-04-16 2012-07-18 新日鉄ソリューションズ株式会社 性能監視装置、性能監視方法及びプログラム
JP4896573B2 (ja) 2006-04-20 2012-03-14 株式会社東芝 障害監視システムと方法、およびプログラム
US9426024B2 (en) * 2007-06-22 2016-08-23 Red Hat, Inc. Establishing communication between enterprise nodes migrated to a public cloud and private enterprise infrastructure
US9678803B2 (en) * 2007-06-22 2017-06-13 Red Hat, Inc. Migration of network entities to a cloud infrastructure
US8806273B2 (en) 2008-10-30 2014-08-12 International Business Machines Corporation Supporting detection of failure event
US20110314138A1 (en) * 2010-06-21 2011-12-22 Hitachi, Ltd. Method and apparatus for cause analysis configuration change
US9612898B2 (en) * 2013-06-03 2017-04-04 Nec Corporation Fault analysis apparatus, fault analysis method, and recording medium
JP6201670B2 (ja) * 2013-11-15 2017-09-27 富士通株式会社 判定装置、判定プログラム、及び判定方法
US9329922B1 (en) * 2013-12-12 2016-05-03 Amazon Technologies, Inc. Defect analysis based upon hardware state changes

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003152721A (ja) * 2001-11-13 2003-05-23 Hitachi Ltd ネットワークシステム障害分析支援方法およびその方式
JP2003162504A (ja) * 2001-11-26 2003-06-06 Hitachi Ltd 障害分析支援システム
JP2006221538A (ja) * 2005-02-14 2006-08-24 Anritsu Corp 測定装置及び該装置を用いた変更履歴取得方法
JP2012003647A (ja) * 2010-06-21 2012-01-05 Hitachi Ltd 原因分析構成変更のための方法および装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018088075A (ja) * 2016-11-28 2018-06-07 富士通株式会社 情報システム、情報処理装置、情報処理方法、およびプログラム
JP7494656B2 (ja) 2020-08-26 2024-06-04 富士通株式会社 情報処理装置及び障害検出方法
EP4064640A1 (en) 2021-03-22 2022-09-28 Fujitsu Limited Information processing program, information processing apparatus, and information processing method
JP7369219B2 (ja) 2022-02-04 2023-10-25 株式会社日立製作所 運用管理装置及び方法

Also Published As

Publication number Publication date
US20150378803A1 (en) 2015-12-31
JP6295857B2 (ja) 2018-03-20
US9563496B2 (en) 2017-02-07

Similar Documents

Publication Publication Date Title
JP6295857B2 (ja) 抽出方法、装置、及びプログラム
US9612898B2 (en) Fault analysis apparatus, fault analysis method, and recording medium
JP6669156B2 (ja) アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム
JP6332277B2 (ja) ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体
JP6048038B2 (ja) 情報処理装置,プログラム,情報処理方法
JP5933463B2 (ja) ログ生起異常検知装置及び方法
JP2018045403A (ja) 異常検知システム及び異常検知方法
JP2011138422A (ja) 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム
JP6079243B2 (ja) 障害分析支援装置、障害分析支援方法、及びプログラム
WO2015146086A1 (ja) ログ分析システム、障害原因分析システム、ログ分析方法、および、記録媒体
CN110489317B (zh) 基于工作流的云系统任务运行故障诊断方法与系统
JP7030072B2 (ja) 時系列データ監視システム、および時系列データ監視方法
JP2017111486A (ja) 予兆検知プログラム、装置、及び方法
US20190265088A1 (en) System analysis method, system analysis apparatus, and program
JPWO2014132611A1 (ja) システム分析装置、及び、システム分析方法
CN113220534A (zh) 集群多维度异常监控方法、装置、设备及存储介质
JP2019057139A (ja) 運用管理システム、監視サーバ、方法およびプログラム
JP4928848B2 (ja) 計算機システム統合管理環境におけるメッセージ変換装置
US10346450B2 (en) Automatic datacenter state summarization
CN112363891B (zh) 一种基于细粒度事件和KPIs分析的异常原因获得方法
JP5668425B2 (ja) 障害検知装置、情報処理方法、およびプログラム
JP6405851B2 (ja) 予兆検知支援プログラム、方法、装置、及び予兆検知プログラム、
CN115658443B (zh) 一种日志过滤方法及装置
JP2018014000A (ja) テスト支援プログラム、テスト支援装置、及びテスト支援方法
US20190294523A1 (en) Anomaly identification system, method, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180123

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180205

R150 Certificate of patent or registration of utility model

Ref document number: 6295857

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150