JP2018535501A - 異種混合ログの周期性解析 - Google Patents
異種混合ログの周期性解析 Download PDFInfo
- Publication number
- JP2018535501A JP2018535501A JP2018543264A JP2018543264A JP2018535501A JP 2018535501 A JP2018535501 A JP 2018535501A JP 2018543264 A JP2018543264 A JP 2018543264A JP 2018543264 A JP2018543264 A JP 2018543264A JP 2018535501 A JP2018535501 A JP 2018535501A
- Authority
- JP
- Japan
- Prior art keywords
- log
- heterogeneous
- time series
- category model
- series data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000737 periodic effect Effects 0.000 title claims abstract description 34
- 238000004458 analytical method Methods 0.000 title description 5
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000012549 training Methods 0.000 claims abstract description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000003909 pattern recognition Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 2
- 238000011524 similarity measure Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 14
- 238000012360 testing method Methods 0.000 description 9
- 230000015654 memory Effects 0.000 description 8
- 238000006243 chemical reaction Methods 0.000 description 6
- 238000010998 test method Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012731 temporal analysis Methods 0.000 description 1
- 238000012956 testing procedure Methods 0.000 description 1
- 238000000700 time series analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/046—Forward inferencing; Production systems
- G06N5/047—Pattern matching networks; Rete networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Debugging And Monitoring (AREA)
Abstract
システムと方法は、異種混合ログメッセージを取り込むこと、夫々のログメッセージは、タイムスタンプと1つ又は複数のフィールドを有するテキストコンテンツを含むこと、ログメッセージからログフォーマットを認識すること、テキストコンテンツを時系列データのセット、夫々のログフォーマットに対する1つの時系列に変換すること、トレーニング段階中に、時系列データのセットを解析すること、異種混合ログ内の夫々の周期イベントのタイプに関するカテゴリモデルを構築すること、ライブ動作中に、ライブの異種混合ログメッセージからカテゴリモデルを時系列データのストリームに適用すること、カテゴリモデルに違反する時系列データのポイントにフラグを生成すること、対応するログメッセージに対するアラームレポートを生成すること、を行うことによって機械が生成したロギングから周期イベントの挙動を検出することが開示される。
Description
本システムは、周期イベントの挙動の機械判断に関する。
周期イベントは、固定された間隔、または(イベントとイベントの間の時間が実質的に同じものであるか、もしくはいくつかのあり得る値の中にあることを意味する)固定された間隔のセットで、定期的に何度も繰り返して起こるイベントである。記録されたログデータからの周期性解析は、物理的なイベントへの有用な見識を提供し、システムが、異常値をレポートすること、および将来の挙動を予測することを可能にする重要なタスクである。例えば、図1は、1日に2回、午前1:00および午後14:00頃に起こる、システムイベントのタイプの周期パターンを含んでいるITシステムのログから得られたテキストログのセットを示している。図1から突き止められたログイベントの周期性に基づいて、予期しないシステムの挙動が検出されることがある。例えば、図2は、午前1:00および午後14:00の周期性に違反する2つのイベントの検出を示している。
イベントの周期性を得るために、システムは、本来的に複雑な周期的挙動に関する現実世界の課題、および不完全なデータ収集の問題に直面しなければならない。具体的には、隠れた一時的な周期的挙動は振動していることがあり、ノイズが入っていることがある。フーリエ変換(FFT)および自己相関などの伝統的な周期性解析方法は、通例、データが均一にサンプルされることを要求し、すなわちタイムスタンプ毎の観察がある。フーリエ変換のいくつかの拡張が均一でないデータサンプルを取り扱うことを提案されたとしても、これらは、まだ、非常に低いサンプリングレートのケースに適用可能ではない。
いくつかの方法は、1つのイベントのタイプの単一の時系列に対する統計的解析技法を適用する。周期性に対する確率的な測定、つまり、電子的な周期性は、周期を検出するために使用されてきた。これは、この時系列を複数の長さTの時系列に分割すること、これらの時系列にオーバレイすること、およびイベントの条件付き確率によって測定された最も大きいクラスタ化挙動を有する値Tを周期性としてレポートすることを行うために、異なる潜在的な周期性の長さTを適用することによって行われる。
システムおよび方法は、異種混合ログメッセージを取り込むことであって、それぞれのログメッセージは、タイムスタンプおよび1つまたは複数のフィールドを有するテキストコンテンツを含むことと、テキストコンテンツを時系列データのセットに変換することと、トレーニング段階中に、時系列データのセットを解析すること、および異種混合ログ内のそれぞれの周期イベントのタイプに関するカテゴリモデルを構築することと、ライブ動作中に、ライブの異種混合ログメッセージからカテゴリモデルを時系列データのストリームに適用すること、およびカテゴリモデルに違反する時系列データのポイントにフラグを生成すること、および対応するログメッセージを生成することと、によって機械が生成したロギングから周期イベントの挙動を検出するために開示される。
別の態様において、システムは、機械的なアクチュエータと、データをログ記録するためにアクチュエータに連結されているディジタイザと、機械が生成したロギングから周期イベントの挙動を検出するモジュールとを含むシステムであって、それぞれのログメッセージは、タイムスタンプおよび1つまたは複数のフィールドを有するテキストコンテンツを含む異種混合ログメッセージを取り込み、テキストコンテンツを時系列データのセットに変換し、トレーニング段階中に、時系列データのセットを解析し、異種混合ログ内のそれぞれの周期イベントのタイプに関するカテゴリモデルを構築し、ライブ動作中に、ライブの異種混合ログメッセージからカテゴリモデルを時系列データのストリームに適用し、カテゴリモデルに違反する時系列データのポイントにフラグを生成し、対応するログメッセージを生成するコードを含む。
実装形態において、アクチュエータは、例えば、パフォーマンス、信頼性、またはメンテナンスの目的で監視される必要がある周期イベントの挙動を生成するモータまたはエンジンであってよい。
システムの利点は、以下の1つまたは複数を含むことがある。単一の時系列として入力データを扱う代わりに、本発明は、異種混合ログを複数の時系列に変換し、それぞれの時系列に存在する複数の周期を潜在的に発見するすばやくかつ強固なメカニズムを提供する。周期性発見メカニズムは、適合性スコア、カテゴリ中心、および誤り限界のパラメータを伴うカテゴリモデルに基づいている。システムは、カテゴリモデルを構築し、カテゴリモデルに基づいて周期性異常をテストする線形法も提供する。システムは、システムについての従来の知識が利用可能でないことがあるときでさえ、大量の異種混合ログ内の周期イベントのパターンを統計的に見つけることの複雑性を著しく減らす。斬新な方式で先進的なテキストマイニングと時系列解析とを統合することによって、本原理は、原理的な方式で、異種混合ログに対する自動的な周期パターンのマイニング方法を組み立て、より速い動作およびシステム更新を可能にする。
図3は、異種混合ログに対するカテゴリモデルベースの周期性解析(CMBPA)と呼ばれる1つの例示的な処理を示す。処理は、以下のように動作する。
101.トレーニングのための異種混合ログの収集。このステップは、任意の/未知のシステムまたはアプリケーションからの異種混合ログを用いる。ログメッセージは、タイムスタンプおよび1つまたは複数のフィールドを有するテキストコンテンツからなる。
102.ログから時系列への転換。このステップは、オリジナルのトレーニングテキストログを時系列データのセットに変換する。
103.カテゴリモデルの生成。このステップは、102によって出力された時系列のセットを解析し、異種混合ログ内のそれぞれの周期イベントのタイプに関するカテゴリモデルを構築する。
104.テストのための異種混合ログの収集。このステップは、周期性挙動のテストのために101の同じシステムから収集された異種混合ログを用いる。ログメッセージは、タイムスタンプおよび1つまたは複数のフィールドを有するテキストコンテンツからなる。テストデータは、ログファイルとして1つのバッチで入手してもよく、またはストリームプロセスで入手してもよい。
105.ログから時系列への転換。このステップは、オリジナルのテストをするテキストログを時系列データのセットに変換する。
106.カテゴリモデルのチェック。このステップは、103によって出力された対応するカテゴリモデルに基づいて、102によって出力された時系列データのセットを解析し、カテゴリモデルに違反する任意の時系列データのポイントに関するアラームおよび対応するログメッセージを出力する。
107.ログ管理アプリケーション。このステップは、103によって出力されたカテゴリモデルに基づいて、101からの異種混合ログに、または106によって出力されたカテゴリモデルのチェックに基づいて、104からの異種混合ログに、管理アプリケーションのセットを適用する。例えば、ログベースの障害管理は、期待された時点に現れない消えたログメッセージを発見すること、または106によって出力された予期しない時点に現れる異常なログメッセージを検出することによって適用されてよい。
図4は、CMBPAのログから時系列への転換手順の詳細を以下のように示す。
201.ログフォーマットの認識。トレーニングログにマッチするログフォーマットのセットは、ユーザによって直接提供されるか、または以下のように、異種混合ログすべてに関するフォーマット認識手順によって自動的に生成されてよい。
201.a−任意の異種混合ログ(ステップ101)を用いて、トークン化は、ログから意味的に有意義なトークンを生成するように処理される。異種混合ログがトークン化された後、異種混合ログに関する類似性測定が適用される。この類似性測定は、ログレイアウト情報とログコンテンツ情報との両方を活用し、任意の異種混合ログに特別に調整される。ログ同士の類似性が取り込まれた後で、ログ階層式クラスタ化のアルゴリズムは、ログクラスタ階層を生成および出力するように適用されてよい。CMPBAは、ユーザが最も好きな階層式クラスタ化アルゴリズムにつなぐことを可能にする。
201.b−ログクラスタ階層が、ログクラスタ階層の最も低いレベルにあるそれぞれのクラスタ内に受け取られた後で、ログが調節される。ログ調節は、以下のステップでログのパターン認識を助けるために、異種混合ログの未知のレイアウトを維持するようにデザインされる。ログが調節された後で、ログモチーフの発見が、最も代表的なレイアウトおよびログフィールドを見つけるために遂行される。以下のステップは、このようなモチーフからのパターン認識である。第1に、タイムスタンプ、インターネットプロトコル(IP)アドレス、およびユニバーサルリソースロケーターズ(URLs)などのフィールドが認識される。第2に、ログに高度に保存されている他のフィールドが認識され、クラスタ階層のデータ構造の中で編成される。上記のログモチーフの発見およびパターン認識は、ログ階層の最も低いレベルで最初に行われることに留意されたい。この後、情報すべては、階層のより高いレベルまで逆伝播され、ログからフォーマットのパターン表記を提供するために、情報のローカルパターンと融合される。
202.フォーマット毎の時系列の生成。クラスタ化階層のそれぞれの一意のフォーマットに関して、以下は異種混合ログすべてに対する時系列の生成手順である。
202.a−(例えば、規則的な表現テストを通じて)パターンのフォーマットにマッチするすべてのログメッセージを見つける。
202.b−メッセージのタイムスタンプに基づいてこれらのマッチしたメッセージを並べる。K個の順序付けられたメッセージがあり、X={X1,X2,...,XK}のようにメッセージのタイムスタンプを示すと仮定する。
202.c−Y={Y1=X2−X1,Y2=X3−X2,...,YK−1=XK−XK−1}のように出現と出現との間の時系列を出力する。
例えば、図5は、ログフォーマット“{%TIME_STAMP}(%IP_ADDRESS)COMMIT”に一致した図1のログに対する時系列の一部を示す。
Y1=46800000
Y2=39600000
Y3=46800000
Y4=39600000
Y5=46800000
Y6=39600000
Y7=46800000
Y8=39600000
......
図6は、CMBPAのカテゴリモデルの生成手順の詳細を示す。202から出力された出現と出現との間の時系列Y={Y1,Y2,...,YK−1}を伴うそれぞれのログフォーマットYに関して、以下は、ログフォーマットYが周期イベントのパターンを含むかどうかを判定するカテゴリモデルの生成手順であり、ログフォーマットYが周期イベントのパターンを含む場合、詳細な周期性モデルである。
Y2=39600000
Y3=46800000
Y4=39600000
Y5=46800000
Y6=39600000
Y7=46800000
Y8=39600000
......
図6は、CMBPAのカテゴリモデルの生成手順の詳細を示す。202から出力された出現と出現との間の時系列Y={Y1,Y2,...,YK−1}を伴うそれぞれのログフォーマットYに関して、以下は、ログフォーマットYが周期イベントのパターンを含むかどうかを判定するカテゴリモデルの生成手順であり、ログフォーマットYが周期イベントのパターンを含む場合、詳細な周期性モデルである。
301.カテゴリを推定する。時系列Yの中の一意の値の発生回数を数えること、増加する順にこれらの一意の値をソートすること、ならびに順序付けられたリストCestimated=[C1,C2,...Cu}、およびNestimated=[N1,N2,...Nu}にこれらを記録することを行い、ここで、uは一意の値の数であり、NiはYの中の一意の値Ciの発生回数である。
302.推定されたカテゴリをクラスタ化する。Cestimatedの中の推定されたカテゴリの値から、カテゴリの距離の比率σ(例えば、σ=0.01)を与えられた推定されたカテゴリの値の距離に基づいて、推定されたカテゴリの値をクラスタ化する。
302.a−ソートされたリスト、すなわちDestimated=[d1=/C2−C1|,d2=/C3−C2|,...du−1=/Cu−Cu−1|}の中のその次に隣接する、Cestimatedの中のそれぞれの値の距離を計算する。dmax=max{di,1≦i≦u−1}とする。
302.b−Dindex={}リストを初期化する。i=1から(u−1)までの間、距離の値diが(di/dmax)≦σを満足する場合、iはリストDindex=Dindex+{i}に追加される。
302.c−リストDindexが空である場合、この時系列Yに対して見つけられたカテゴリモデルはない。
302.d−リストDindexが空ではない場合、リストCfinal={}として最終的なカテゴリモデルを初期化し、i=1からuまでの間、k=1にセットする。
302.d.1−iがDindexおよびCfinalの中にない場合、新しいカテゴリのリストC’k={Ci}を作成し、これを最終的なカテゴリモデルCfinal=Cfinal+{C’k}、k=k+1に追加し、
302.d.2−iがDindexの中にある場合、Dindexの中で最も長い連続的な整数のシーケンス(i,i+1,i+2,...,i+c)を見つけ、新しいカテゴリのリストC’k={Ci,Ci+1,..,Ci+c+1}を作成し、これを最終的なカテゴリモデルCfinal=Cfinal+{C’k}、k=k+1に追加し、
303.カテゴリをモデル化する。カテゴリモデルがない場合、ここで終了する。そうでなければ、最終的なカテゴリモデルCfinal={C’1,C’2,...,C’F}に関して、モデルパラメータ(Center(C’k),Error(C’k))は、それぞれのC’k={Ci,Ci+1,..,Ci+j}、1≦k≦Fに対して計算され、適合性スコアは、全体のカテゴリモデルCfinalに対して計算される。
302.d.2−iがDindexの中にある場合、Dindexの中で最も長い連続的な整数のシーケンス(i,i+1,i+2,...,i+c)を見つけ、新しいカテゴリのリストC’k={Ci,Ci+1,..,Ci+c+1}を作成し、これを最終的なカテゴリモデルCfinal=Cfinal+{C’k}、k=k+1に追加し、
303.カテゴリをモデル化する。カテゴリモデルがない場合、ここで終了する。そうでなければ、最終的なカテゴリモデルCfinal={C’1,C’2,...,C’F}に関して、モデルパラメータ(Center(C’k),Error(C’k))は、それぞれのC’k={Ci,Ci+1,..,Ci+j}、1≦k≦Fに対して計算され、適合性スコアは、全体のカテゴリモデルCfinalに対して計算される。
303.a−Center(C’k)=Cmであり、ここで、mは、Max{Nm,i≦m≦i+j}である。すなわち、カテゴリC’kのクラスタの中心として、Yの中の最も大きい発生回数を有する一意の値を選ぶ。
303.b−Error(C’k)=max{|Cm−Center(C’k)|,i≦m≦i+j}。すなわち、その中心へのC’kの中の一意の値の最も大きい距離として、誤り限界を選ぶ。
303.c−Size(C’k)=Σm:i,...,i+jNm、average_size(Cfinal)=(K−1)/F、fitness(Cfinal)=min{Size(C’k),1≦k≦F}/average_size(Cfinal)。
例えば、図7は、2つのカテゴリが、図1のログに対して生成されることを示し、すなわち、1つは中心値3.96E7(11時間間隔)と誤り限界0、およびもう1つは中心値4.68E7(13時間間隔)と誤り限界0であり、全体のカテゴリモデルに対する適合性スコアは、0.9629629629629629である。
図8は、テスト手順に対するCMBPAのログから時系列への転換手順の詳細を示す。
501.ログフォーマットの選択。201で生成されたログフォーマットのセットから、カテゴリモデルを有するフォーマットだけが、残りのテスト手順のために選択される。
502.メッセージ毎のタイムスタンプの認識。テストデータの中のそれぞれのログメッセージiに関して、
(例えば、規則的な表現テストを通じて)マッチするログフォーマットfiを見つけ、iに対するタイムスタンプtiを抽出する。iがマッチするフォーマットを見つけない場合、iは、残りのテスト手順のために除去される。
(例えば、規則的な表現テストを通じて)マッチするログフォーマットfiを見つけ、iに対するタイムスタンプtiを抽出する。iがマッチするフォーマットを見つけない場合、iは、残りのテスト手順のために除去される。
図9は、CMBPAのカテゴリモデルのテスト手順の詳細を示す。105において、マッチするフォーマットfiを有するそれぞれのログメッセージiに関して、以下は、ログメッセージiがfiのカテゴリモデルによって説明される周期性挙動に違反し、異常がレポートされるべきかどうかを判定するカテゴリモデルのテスト手順である。
601.カテゴリを見つける。Tを、ログiおよび以前のログがマッチするフォーマットfiの出現と出現との間の時間とする。フォーマットfiのカテゴリモデルCf={C’1,C’2,...,C’F}に関して、Center(C’m)=min{/T−Center(C’j)|,,1≦j≦F}であるC’mを見つける。
602.誤り限界をチェックする。|T−Center(C’m))|>Error(C’m))の場合、ログメッセージiは、fi’のカテゴリモデルによって説明される周期性挙動に違反する。そうでなければ、メッセージiは、いかなる周期性挙動にも違反しない。
603.異常をレポートする。ログメッセージiが周期性挙動に違反する場合、カテゴリモデルの適合性スコアがチェックされ、カテゴリモデルの適合性スコアが閾値α(例えば、0.5)よりも大きい場合、異常はレポートされ、そうでなければ、ログメッセージiを含むフォーマットfiにマッチする、連続的なログであるk(例えば、2)が周期性挙動に違反するまで、異常はレポートされない。
図10は、図1のログから突き止められた周期性モデルに基づいて、図2のログから検出された3つの周期性異常を示す。
同様の数字が同じまたは類似の要素を表す図面を参照し、初めに図11を参照すると、本原理の実施形態による、本原理が適用される例示的な処理システム100を説明するブロック図が示される。処理システム100は、システムバス102を介して他の構成要素に動作可能なように連結されている少なくとも1つのプロセッサ(CPU)104を含んでいる。キャッシュ106、リードオンリメモリ(ROM)108、ランダムアクセスメモリ(RAM)110、入力/出力(I/O)アダプタ120、サウンドアダプタ130、ネットワークアダプタ140、ユーザインタフェースアダプタ150、およびディスプレイアダプタ160は、システムバス102に動作可能なように連結されている。
第1のストレージデバイス122および第2のストレージデバイス124は、I/Oアダプタ120によってシステムバス102に動作可能なように連結されている。ストレージデバイス122および124は、ディスクストレージデバイス(例えば、磁気または光ディスクストレージデバイス)、ソリッドステートの磁気デバイス、などのいずれかであってよい。ストレージデバイス122および124は、同じタイプのストレージデバイスまたは異なるタイプのストレージデバイスであってよい。
スピーカ132は、サウンドアダプタ130によってシステムバス102に動作可能なように連結されている。送受信機142は、ネットワークアダプタ140によってシステムバス102に動作可能なように連結されている。ディスプレイデバイス162は、ディスプレイアダプタ160によってシステムバス102に動作可能なように連結されている。第1のユーザ入力デバイス152、第2のユーザ入力デバイス154、および第3のユーザ入力デバイス156は、ユーザインタフェースアダプタ150によってシステムバス102に動作可能なように連結されている。ユーザ入力デバイス152、154、および156は、キーボード、マウス、キーパッド、画像キャプチャデバイス、動作検知デバイス、マイクロフォン、先述のデバイスの少なくとも2つの機能性を組み込むデバイス、などのいずれかであってよい。当然、他のタイプの入力デバイスが、本原理の精神を維持しながら、使用されてもよい。ユーザ入力デバイス152、154、および156は、同じタイプのユーザ入力デバイスまたは異なるタイプのユーザ入力デバイスであってよい。ユーザ入力デバイス152、154、および156は、システム100に情報を入力するため、およびシステム100から情報を出力するために使用される。
当然、処理システム100は、当業者によって容易に想定されるような他の要素(図示せず)を含んでもよく、一定の要素を省略してもよい。例えば、様々な他の入力デバイスおよび/または出力デバイスは、処理システム100に含まれてよく、当業者によって容易に理解されるような、同じものの特定の実装形態に依存する。例えば、様々なタイプのワイヤレスおよび/または有線の入力および/または出力デバイスは、使用されてよい。そのほかに、様々な構成の中に追加のプロセッサ、コントローラ、メモリ、などが、当業者によって容易に理解されるように、利用されてもよい。処理システム100のこれらおよび他の変形形態は、本明細書で提供された本原理の教示を与えられる当業者によって容易に想定される。
本明細書で説明された実施形態は、全面的にハードウェアであってよく、またはハードウェア、およびファームウェア、常駐ソフトウェア、マイクロコードなどを含むが限定されないソフトウェアの両方の要素を含んでよいことを理解されたい。
実施形態は、コンピュータまたは任意の命令実行システムによる、または関連する使用のためにプログラムコードを提供するコンピュータ使用可能媒体またはコンピュータ可読媒体からアクセス可能なコンピュータプログラム製品を含んでよい。コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、装置、またはデバイスによる、もしくは関連する使用のためにプログラムを格納、通信、伝播、または運搬する任意の装置を含んでよい。媒体は、磁気、光学、電子、電磁気、赤外線、または半導体のシステム(もしくは装置もしくはデバイス)または伝播媒体であってよい。媒体は、半導体または固体メモリ、磁気テープ、リムーバブルコンピュータディスケット、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、固定磁気ディスクおよび光ディスクなどの、コンピュータ可読ストレージ媒体を含んでよい。
プログラムコードを格納および/または実行するのに適切なデータ処理システムは、システムバスを通じてメモリ要素に直接的または間接的に連結されている少なくとも1つのプロセッサ、例えば、ハードウェアプロセッサを含んでよい。メモリ要素は、プログラムコードの実際の実行中に用いられるローカルメモリ、大容量ストレージ、および実行中にコードが大容量ストレージから取り出される回数を減らすための少なくともいくつかのプログラムコードの一時的なストレージを提供するキャッシュメモリを含んでよい。(キーボード、ディスプレイ、ポインティングデバイスなどを含むが限定されない)入力/出力すなわちI/Oデバイスは、直接的または間にあるI/Oコントローラを通じてシステムに連結されていてよい。
前述は、あらゆる点で、実例的かつ典型的なものとして理解されることになるが、限定的なものではなく、本明細書で開示された本発明の範囲は、詳細な説明から判断されるべきではなく、むしろ特許法によって許可される十分な広がりに従って解釈されるものとして、特許請求の範囲から判断されるべきである。本明細書で示され、説明された実施形態は、本発明の諸原理の実例的なものにすぎないこと、ならびに当業者は、本発明の範囲および精神から逸脱することなく、様々な変更形態を実装してよいことを理解されたい。当業者は、本発明の範囲および精神から逸脱することなく、様々な他の特性の組合せを実装してよい。
Claims (20)
- 機械が生成したロギングから周期イベントの挙動を検出する方法であって、
それぞれのログメッセージが、タイムスタンプおよび1つまたは複数のフィールドを有するテキストコンテンツを含む異種混合ログメッセージを取り込むことと、
前記テキストコンテンツを時系列データのセットに変換することと、
トレーニング段階中に、時系列データの前記セットを解析すること、および異種混合ログ内のそれぞれの周期イベントのタイプに関するカテゴリモデルを構築することと、
ライブ動作中に、ライブの異種混合ログメッセージから前記カテゴリモデルを時系列データのストリームに適用すること、および前記カテゴリモデルに違反する時系列データのポイントにフラグを生成すること、および前記カテゴリモデルに違反する時系列データのポイントに対応するログメッセージに関するアラームレポートを生成することと、を含む、方法。 - 前記異種混合ログメッセージは、未知のシステムまたはアプリケーションからのものである、請求項1に記載の方法。
- カテゴリモデルの出力に基づいて、前記異種混合ログメッセージに1つまたは複数の管理アプリケーションを適用することを含む、請求項1に記載の方法。
- カテゴリモデルの検査出力に基づいて、前記異種混合ログメッセージに1つまたは複数の管理アプリケーションを適用することを含む、請求項1に記載の方法。
- 期待された時点に現れないメッセージである消えたログメッセージを発見すること、または予期しない時点の出力に現れる異常なログメッセージを検出することによってログに基づく障害管理を適用することを含む、請求項1に記載の方法。
- ログメッセージから意味的に有意義なトークンを生成するためにトークン化を処理することと、
前記異種混合ログがトークン化された後、異種混合ログに関する類似性測定が適用されることと、
一度、ログ同士の類似性が取り込まれると、ログクラスタ階層を生成および出力するためにログ階層式クラスタ化の方法を適用することと、を含む、請求項1に記載の方法。 - 異種混合ログの未知のレイアウトを維持し、ログのパターンの認識を助けるために、前記ログクラスタ階層の最も低いレベルにあるそれぞれのクラスタ内で前記ログメッセージを調節することを含む、請求項1に記載の方法。
- 代表的なレイアウトおよびログフィールドを見つけるために、ログモチーフの発見を遂行することを含む、請求項7に記載の方法。
- タイムスタンプ、インターネットプロトコル(IP)アドレス、およびユニバーサルリソースロケーターズ(URLs)を認識することによって前記モチーフからパターンを認識することと、前記ログに保存されているフィールドを認識すること、および前記クラスタ階層のデータ構造の中で前記フィールドを編成することと、階層の中で情報を逆伝播すること、および前記ログからフォーマットのパターン表記を提供するために、前記逆伝播された情報をローカルパターンと融合させることとを含む、請求項8に記載の方法。
- 前記タイムスタンプに基づいて、マッチしたメッセージを並べること、およびK個の順序付けられたメッセージに対して、X={X1,X2,...,XK}のように前記メッセージのタイムスタンプをマークすること、およびY={Y1=X2−X1,Y2=X3−X2,...,YK−1=XK−XK−1}のように出現と出現との間の時系列を出力することを含む、請求項1に記載の方法。
- 前記時系列Yの中の一意の値の発生回数を数えること、増加する順に一意の値をソートすること、ならびに順序付けられたリストCestimated=[C1,C2,...Cu}、およびNestimated=[N1,N2,...Nu}に記録することによって前記カテゴリを推定することを含み、ここで、uは一意の値の数であり、NiはYの中の前記一意の値Ciの出現回数である、請求項10に記載の方法。
- 前記推定されたカテゴリをクラスタ化することを含む、請求項11に記載の方法。
- それぞれのC’k={Ci,Ci+1,Ci+j}、1≦k≦Fに対する、モデルパラメータ(Center(C’k),Error(C’k))、およびカテゴリモデルCfinalに対する適合性スコアを判断して、最終的なカテゴリモデルCfinal={C’1,C’2,...,C’F}を生成することを含む、請求項12に記載の方法。
- Center(C’m)=min{/T−Center(C’j)|,,1≦j≦F}であるC’mを判断することを含み、ここで、Tは、ログiおよびカテゴリモデルCf={C’1,C’2,...,C’F}を有する以前のログが適合するフォーマットfiの出現と出現との間の時間である、請求項13に記載の方法。
- |T−Center(C’m))|>Error(C’m))の場合、周期性挙動の違反を判断することを含む、請求項14に記載の方法。
- 前記機械は、モータおよび前記モータによって駆動される動きを取り込むディジタイザを含む、請求項1に記載の方法。
- 機械的なアクチュエータと、
データを記録するために前記アクチュエータに連結されているディジタイザと、
機械が生成したロギングから周期イベントの挙動を検出するモジュールと、を含むシステムであって、
それぞれのログメッセージは、タイムスタンプおよび1つまたは複数のフィールドを有するテキストコンテンツを含む異種混合ログメッセージを取り込み、
前記テキストコンテンツを時系列データのセットに変換し、
トレーニング段階中に、時系列データの前記セットを解析し、異種混合ログ内のそれぞれの周期イベントのタイプに関するカテゴリモデルを構築し、
ライブ動作中に、ライブの異種混合ログメッセージから前記カテゴリモデルを時系列データのストリームに適用し、前記カテゴリモデルに違反する時系列データのポイントにフラグを生成し、対応するログメッセージを生成するコードを含む、システム。 - 前記アクチュエータはモータを含む、請求項17に記載のシステム。
- 前記アクチュエータはエンジンである、請求項17に記載のシステム。
- 異種混合ログの未知のレイアウトを維持し、ログのパターン認識を助けるために、前記ログクラスタ階層の最も低いレベルにあるそれぞれのクラスタ内で前記ログメッセージを調節すること、
代表的なレイアウトおよびログフィールドを見つけるために、ログモチーフの発見を遂行すること、および、
タイムスタンプ、インターネットプロトコル(IP)アドレス、およびユニバーサルリソースロケーターズ(URLs)を認識することによって前記モチーフからパターンを認識すること、前記ログに保存されているフィールドを認識すること、前記クラスタ階層のデータ構造の中で前記フィールドを編成すること、階層の中で情報を逆伝播すること、および前記ログからフォーマットのパターン表記を提供するために、前記逆伝播された情報をローカルパターンと融合させること、を行うコードを含む、請求項17に記載のシステム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562252685P | 2015-11-09 | 2015-11-09 | |
| US62/252,685 | 2015-11-09 | ||
| US15/340,255 | 2016-11-01 | ||
| US15/340,255 US10679135B2 (en) | 2015-11-09 | 2016-11-01 | Periodicity analysis on heterogeneous logs |
| PCT/US2016/060131 WO2017083148A1 (en) | 2015-11-09 | 2016-11-02 | Periodicity analysis on heterogeneous logs |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018535501A true JP2018535501A (ja) | 2018-11-29 |
Family
ID=58667728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018543264A Pending JP2018535501A (ja) | 2015-11-09 | 2016-11-02 | 異種混合ログの周期性解析 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10679135B2 (ja) |
| JP (1) | JP2018535501A (ja) |
| DE (1) | DE112016005143T5 (ja) |
| WO (1) | WO2017083148A1 (ja) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10685293B1 (en) * | 2017-01-20 | 2020-06-16 | Cybraics, Inc. | Methods and systems for analyzing cybersecurity threats |
| US10917419B2 (en) | 2017-05-05 | 2021-02-09 | Servicenow, Inc. | Systems and methods for anomaly detection |
| CN107273269B (zh) * | 2017-06-12 | 2021-04-23 | 北京奇虎科技有限公司 | 日志解析方法及装置 |
| US11120033B2 (en) * | 2018-05-16 | 2021-09-14 | Nec Corporation | Computer log retrieval based on multivariate log time series |
| WO2020026442A1 (en) | 2018-08-03 | 2020-02-06 | Nec Corporation | Event monitoring apparatus, method and program recording medium |
| US12019433B2 (en) * | 2018-08-03 | 2024-06-25 | Nec Corporation | Periodicity analysis apparatus, method and program recording medium |
| CN110389840B (zh) * | 2019-07-25 | 2022-02-01 | 中国工商银行股份有限公司 | 负载消耗预警方法、装置、计算机设备和存储介质 |
| CN110955709B (zh) * | 2019-11-05 | 2023-03-24 | 北京字节跳动网络技术有限公司 | 一种数据的处理方法、装置及电子设备 |
| CN113569879B (zh) * | 2020-04-28 | 2024-03-19 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
| US11741146B2 (en) * | 2020-07-13 | 2023-08-29 | Nec Corporation | Embedding multi-modal time series and text data |
| CN116075798A (zh) | 2020-08-04 | 2023-05-05 | 奥奇系统公司 | 用于预测分析和/或过程控制的方法和系统 |
| CN112738088B (zh) * | 2020-12-28 | 2023-03-21 | 上海观安信息技术股份有限公司 | 一种基于无监督算法的行为序列异常检测方法及系统 |
| CN113485886B (zh) * | 2021-06-25 | 2023-07-21 | 青岛海尔科技有限公司 | 告警日志的处理方法和装置、存储介质及电子装置 |
| CN114048870A (zh) * | 2021-11-04 | 2022-02-15 | 佳源科技股份有限公司 | 一种基于日志特征智能挖掘的电力系统异常监测方法 |
| CN114138095B (zh) * | 2022-01-29 | 2022-05-10 | 阿里巴巴(中国)有限公司 | 互联网数据中心idc的功耗处理方法、设备和可读介质 |
| CN115017015B (zh) * | 2022-08-04 | 2023-01-03 | 北京航空航天大学 | 一种边缘计算环境下程序异常行为检测方法及系统 |
| US11943123B1 (en) * | 2022-09-01 | 2024-03-26 | Conviva Inc. | Timeline framework for time-state analytics |
| CN116089289A (zh) * | 2023-01-13 | 2023-05-09 | 中电信数智科技有限公司 | 一种基于多源异构数据的系统检测方法及装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7496959B2 (en) * | 2003-06-23 | 2009-02-24 | Architecture Technology Corporation | Remote collection of computer forensic evidence |
| US20070143842A1 (en) * | 2005-12-15 | 2007-06-21 | Turner Alan K | Method and system for acquisition and centralized storage of event logs from disparate systems |
| US20070300300A1 (en) * | 2006-06-27 | 2007-12-27 | Matsushita Electric Industrial Co., Ltd. | Statistical instrusion detection using log files |
| US8112368B2 (en) * | 2008-03-10 | 2012-02-07 | The Boeing Company | Method, apparatus and computer program product for predicting a fault utilizing multi-resolution classifier fusion |
| WO2014043623A1 (en) * | 2012-09-17 | 2014-03-20 | Siemens Corporation | Log-based predictive maintenance |
| US20140096146A1 (en) * | 2012-09-28 | 2014-04-03 | Hewlett-Packard Development Company, L.P. | Translating time-stamped events to performance indicators |
| US20150085146A1 (en) * | 2013-09-23 | 2015-03-26 | Nvidia Corporation | Method and system for storing contact information in an image using a mobile device |
| US10348581B2 (en) * | 2013-11-08 | 2019-07-09 | Rockwell Automation Technologies, Inc. | Industrial monitoring using cloud computing |
| EP3155758A4 (en) * | 2014-06-10 | 2018-04-11 | Sightline Innovation Inc. | System and method for network based application development and implementation |
| US10474680B2 (en) * | 2014-10-09 | 2019-11-12 | Splunk Inc. | Automatic entity definitions |
| US10592093B2 (en) * | 2014-10-09 | 2020-03-17 | Splunk Inc. | Anomaly detection |
-
2016
- 2016-11-01 US US15/340,255 patent/US10679135B2/en active Active
- 2016-11-02 DE DE112016005143.3T patent/DE112016005143T5/de active Pending
- 2016-11-02 WO PCT/US2016/060131 patent/WO2017083148A1/en active Application Filing
- 2016-11-02 JP JP2018543264A patent/JP2018535501A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20170132523A1 (en) | 2017-05-11 |
| US10679135B2 (en) | 2020-06-09 |
| DE112016005143T5 (de) | 2018-07-26 |
| WO2017083148A1 (en) | 2017-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10679135B2 (en) | Periodicity analysis on heterogeneous logs | |
| WO2023124204A1 (zh) | 反欺诈风险评估方法、训练方法、装置及可读存储介质 | |
| US8630962B2 (en) | Error detection method and its system for early detection of errors in a planar or facilities | |
| US9323599B1 (en) | Time series metric data modeling and prediction | |
| Le et al. | Exploring anomalous behaviour detection and classification for insider threat identification | |
| JP2019061565A (ja) | 異常診断方法および異常診断装置 | |
| Soleimani‐Babakamali et al. | Toward a general unsupervised novelty detection framework in structural health monitoring | |
| WO2018204781A1 (en) | Analyzing sequence data using neural networks | |
| Li et al. | An integrated framework on mining logs files for computing system management | |
| Lu et al. | Graph-based structural change detection for rotating machinery monitoring | |
| US20140201133A1 (en) | Pattern extraction apparatus and control method therefor | |
| CN111813960B (zh) | 基于知识图谱的数据安全审计模型装置、方法及终端设备 | |
| CN116679890B (zh) | 存储设备安全管理系统及其方法 | |
| CN112491872A (zh) | 一种基于设备画像的异常网络访问行为检测方法和系统 | |
| JP2011138422A (ja) | 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム | |
| US11055631B2 (en) | Automated meta parameter search for invariant based anomaly detectors in log analytics | |
| JP7173284B2 (ja) | イベント監視装置、方法及びプログラム | |
| US20160161375A1 (en) | Text-mining approach for diagnostics and prognostics using temporal multidimensional sensor observations | |
| US10824694B1 (en) | Distributable feature analysis in model training system | |
| JPWO2014132611A1 (ja) | システム分析装置、及び、システム分析方法 | |
| EP4073978B1 (en) | Intelligent conversion of internet domain names to vector embeddings | |
| CN114610561A (zh) | 系统监测方法、装置、电子设备及计算机可读存储介质 | |
| Zellner et al. | Concept drift detection on streaming data with dynamic outlier aggregation | |
| JP2016045556A (ja) | ログ間因果推定装置、システム異常検知装置、ログ分析システム、及びログ分析方法 | |
| US9600572B2 (en) | Method, computer program and apparatus for analyzing symbols in a computer system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180611 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190626 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190730 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200324 |