JP2021026412A - Log analyzer, method and program - Google Patents
Log analyzer, method and program Download PDFInfo
- Publication number
- JP2021026412A JP2021026412A JP2019142596A JP2019142596A JP2021026412A JP 2021026412 A JP2021026412 A JP 2021026412A JP 2019142596 A JP2019142596 A JP 2019142596A JP 2019142596 A JP2019142596 A JP 2019142596A JP 2021026412 A JP2021026412 A JP 2021026412A
- Authority
- JP
- Japan
- Prior art keywords
- log
- log data
- urgency
- unit
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 52
- 238000004458 analytical method Methods 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 18
- 230000010485 coping Effects 0.000 description 34
- 230000010365 information processing Effects 0.000 description 22
- 230000009471 action Effects 0.000 description 20
- 238000012544 monitoring process Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000011084 recovery Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、ログ分析装置、方法及びプログラムに関し、特に、システムから出力されるログを分析するためのログ分析装置、方法及びプログラムに関する。 The present invention relates to a log analyzer, method and program, and more particularly to a log analyzer, method and program for analyzing logs output from the system.
特許文献1には、情報処理システムが出力するログを分析するログ分析システムに関する技術が開示されている。特許文献1にかかるログ分析システムでは、ログメッセージの組み合わせについて正常パターンと異常パターンとを記憶部に記憶している。そして、当該ログ分析システムは、読み込まれたログメッセージについて正常パターン及び異常パターンと一致するか否かを判定する。当該ログ分析システムは、ログメッセージがいずれにも一致しない場合、新たなパターンとして生成し、記憶部に記録する。 Patent Document 1 discloses a technique relating to a log analysis system that analyzes a log output by an information processing system. In the log analysis system according to Patent Document 1, a normal pattern and an abnormal pattern are stored in a storage unit for a combination of log messages. Then, the log analysis system determines whether or not the read log message matches the normal pattern and the abnormal pattern. If the log message does not match any of the log messages, the log analysis system generates a new pattern and records it in the storage unit.
特許文献2には、ログフォーマットごとの周期モデルを生成し、周期モデルを用いてログが異常か否かを判定するログ分析システムに関する技術が開示されている。特許文献3には、異種混成のログソースから正規表現パターンを生成し、訓練ログからモデル及びプロファイルを生成するログ分析プラットフォームに関する技術が開示されている。特許文献4には、ログ判定システムに関する技術が開示されている。特許文献4にかかるログ判定システムは、予めログデータから学習を行い、ログ判定基準を構築する。そして、当該ログ判定システムは、構築された判定基準に基づいて、取得されるログデータが異常ログか、また、異常の前兆を示すログかを判定する。 Patent Document 2 discloses a technique relating to a log analysis system that generates a periodic model for each log format and uses the periodic model to determine whether or not the log is abnormal. Patent Document 3 discloses a technique relating to a log analysis platform that generates a regular expression pattern from a heterogeneous log source and generates a model and a profile from a training log. Patent Document 4 discloses a technique related to a log determination system. The log determination system according to Patent Document 4 learns from log data in advance and builds a log determination standard. Then, the log determination system determines whether the acquired log data is an abnormality log or a log indicating a precursor of an abnormality based on the established determination criteria.
しかしながら、特許文献1では、判定対象のログに何らかの対処が必要であると判定されたとしても、対処すべき順序の判別が困難であるという問題点がある。その理由は、実運用上の影響度合いに基づく対処の緊急度が考慮されていないためである。尚、特許文献2から4においてもこのような問題点を解決することができない。 However, Patent Document 1 has a problem that it is difficult to determine the order in which measures should be taken even if it is determined that some measures are required for the log to be determined. The reason is that the urgency of countermeasures based on the degree of impact on actual operation is not taken into consideration. It should be noted that even in Patent Documents 2 to 4, such a problem cannot be solved.
本開示は、このような問題点を解決するためになされたものであり、ログデータに対する対処すべき順序を実運用に即して適切に判別するためのログ分析装置、方法及びプログラムを提供することを目的とする。 The present disclosure has been made to solve such a problem, and provides a log analyzer, a method, and a program for appropriately determining the order in which log data should be dealt with in accordance with actual operation. The purpose is.
本開示の第1の態様にかかるログ分析装置は
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備える。
The log analyzer according to the first aspect of the present disclosure uses one or more log determination models to determine the necessity of dealing with predetermined log data, and a determination unit.
When it is determined that the log data needs to be dealt with, an acquisition unit that acquires the current status information about the system including the node from which the log data is output, and an acquisition unit.
Based on the situation information, a specific unit that identifies the urgency of dealing with the log data, and
To be equipped.
本開示の第2の態様にかかるログ分析方法は、
コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する。
The log analysis method according to the second aspect of the present disclosure is
The computer
Using one or more log judgment models, it is judged whether or not it is necessary to deal with the predetermined log data.
When it is determined that the log data needs to be dealt with, the current status information about the system including the node from which the log data is output is acquired.
Based on the situation information, the urgency of dealing with the log data is specified.
本開示の第3の態様にかかるログ分析プログラムは、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させる。
The log analysis program according to the third aspect of the present disclosure is
A process of determining the necessity of dealing with a predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, the process of acquiring the current status information about the system including the node from which the log data is output, and the process of acquiring the current status information.
Based on the status information, the process of identifying the urgency of dealing with the log data and
Let the computer run.
本開示により、ログデータに対する対処すべき順序を実運用に即して適切に判別するためのログ分析装置、方法及びプログラムを提供することができる。 According to the present disclosure, it is possible to provide a log analyzer, a method, and a program for appropriately determining the order in which log data should be dealt with in accordance with actual operation.
以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。 Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. In each drawing, the same or corresponding elements are designated by the same reference numerals, and duplicate explanations are omitted as necessary for the sake of clarity of explanation.
<実施形態1>
図1は、本実施形態1にかかるログ分析装置100の構成を示すブロック図である。ログ分析装置100は、複数のノードを含む情報処理システム内の少なくとも一部のノードから出力されるログデータを分析するための情報処理装置である。ログ分析装置100は、判定部110と、取得部120と、特定部130とを備える。
<Embodiment 1>
FIG. 1 is a block diagram showing a configuration of a
判定部110は、1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する。ここで、ログデータは、所定のノード上で稼働するオペレーティングシステム、ミドルウェア、アプリケーション等から出力されるログメッセージである。また、ログ判定モデルは、入力されるログデータについて所定の演算を行うことにより、運用又は保守担当者等(以下、管理者と呼ぶ。)による情報処理システムへの対処が必要か否かの判定結果を出力する判定ロジックである。例えば、ログ判定モデルは、当該判定ロジックが実装されたプログラムモジュールであるか、機械学習により学習されたモデルプログラムである。また、判定部110は、ログメッセージが処理状況の単なる通知を示す場合や、警告を示す場合には、対処が不要と判定する。一方、判定部110は、ログメッセージがエラーを示す場合には、管理者による対処が必要と判定する。また、判定部110は、エラー内容によっては対処が不要と判定してもよい。ここで、対処とは、例えば、管理者による障害の復旧作業といった一時的な処置や、設定変更、ハードウェアの交換又はソフトウェアの改修といった恒久的な処置が挙げられる。そして、一時的な処置には、例えば、アプリケーションの再起動、データパッチ、データリカバリ、ユーザへの障害の通知等が挙げられるが、これらに限定されない。
The
取得部120は、判定部110によりログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する。ここで、状況情報とは、例えば、ノードにおけるリソースの負荷状況や、ノードの稼働状況といった情報であるが、これらに限定されない。
When the
特定部130は、取得部120により取得された状況情報に基づいて、ログデータに対する対処の緊急度を特定する。ここで、緊急度とは、例えば、管理者による対処の緊急度合いを示す情報であり、少なくとも2段階以上を区別できるものであればよい。
The
図2は、本実施形態1にかかるログ分析方法の流れを示すフローチャートである。まず、判定部110は、1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する(S11)。ログデータに対する対処が必要と判定された場合、取得部120は、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する(S12)。そして、特定部130は、状況情報に基づいて、ログデータに対する対処の緊急度を特定する(S13)。尚、ステップS11でログデータに対する対処が不要と判定された場合、当該ログ分析方法の処理を終了する。
FIG. 2 is a flowchart showing the flow of the log analysis method according to the first embodiment. First, the
このように本実施形態では、システムから出力されたログデータに対する、管理者による対処の要否を判定することに加えて、システムに関する現在の状況情報を用いて対処の緊急度を特定するものである。特に、複数のログデータから複数の種類のエラーが検出された場合、単にエラーの発生順に対処すればよいとは限らない。例えば、特定の対処に長時間を要する場合には、他の対処を先に実施した方が良い場合もある。そして、エラーの組み合わせが同じであっても、現在の状況情報に応じて対処の優先度が異なる場合もある。そのため、本実施形態により、対処が必要なログデータが多数存在した場合であっても、管理者はログデータに対する対処すべき順序を実運用に即して適切に判別することができる。 As described above, in the present embodiment, in addition to determining whether or not the administrator needs to deal with the log data output from the system, the urgency of dealing with the log data is specified by using the current status information about the system. is there. In particular, when a plurality of types of errors are detected from a plurality of log data, it is not always necessary to deal with them in the order in which the errors occur. For example, if it takes a long time to take a specific action, it may be better to take another action first. Even if the combination of errors is the same, the priority of handling may differ depending on the current status information. Therefore, according to the present embodiment, even if there are a large number of log data that need to be dealt with, the administrator can appropriately determine the order in which the log data should be dealt with according to the actual operation.
尚、ログ分析装置100は、図示しない構成としてプロセッサ、メモリ及び記憶装置を備えるものである。また、当該記憶装置には、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムが記憶されている。そして、当該プロセッサは、記憶装置からコンピュータプログラムを前記メモリへ読み込み、当該コンピュータプログラムを実行する。これにより、前記プロセッサは、判定部110、取得部120及び特定部130の機能を実現する。
The
または、判定部110、取得部120及び特定部130は、それぞれが専用のハードウェアで実現されていてもよい。また、各装置の各構成要素の一部又は全部は、汎用または専用の回路(circuitry)、プロセッサ等やこれらの組合せによって実現されもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。また、プロセッサとして、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(field-programmable gate array)等を用いることができる。
Alternatively, the
また、ログ分析装置100の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。また、ログ分析装置100の機能がSaaS(Software as a Service)形式で提供されてもよい。
Further, when a part or all of each component of the
<実施形態2>
本実施形態2は、上述した実施形態1の具体的な実施例である。図3は、本実施形態2にかかるログ分析システム200の全体構成を示すブロック図である。ログ分析システム200は、情報処理システム20と、状況監視サーバ31と、ログ分析装置32と、システム構成DB(DataBase)33と、モデルDB34と、アラートログDB35とを備え、これらがネットワークNを介して接続されている。ネットワークNは、LAN(Local Area Network)、インターネット等の通信回線網である。
<Embodiment 2>
The second embodiment is a specific embodiment of the first embodiment described above. FIG. 3 is a block diagram showing the overall configuration of the
情報処理システム20は、運用対象の情報処理システムであり、ノード21、・・・ノード2n(nは2以上の自然数。)を備える。ノード21等の各ノードは、単体のコンピュータ装置、ブレードサーバのような情報処理基板、又は、仮想マシン等である。また、各ノードは、オペレーティングシステム、ミドルウェア及びアプリケーション等が稼働しているものとする。
The
状況監視サーバ31は、情報処理システム20の各ノードの稼働状況を監視するサーバ装置である。例えば、状況監視サーバ31は、ログ分析装置32から状況情報の取得要求を受信した場合、指定されたノードにおける現在の負荷状況や稼働状況の取得コマンドを発行し、コマンドの応答結果をログ分析装置32へ返信する。ここで、負荷状況には、例えば、ノードのCPU(Central Processing Unit)、メモリ、HDD(Hard Disk Drive)、ネットワーク帯域の使用率が挙げられるが、これらに限定されない。また、稼働状況は、ノードが現用系で稼働しているか、待機系で稼働しているか等を示すものとする。尚、状況監視サーバ31自体が情報処理システム20に含まれていても良い。また、状況監視サーバ31は、公知の技術で実現可能であるため、詳細な説明を省略する。
The
システム構成DB33は、情報処理システム20の構成を管理する構成管理データベースである。システム構成DB33は、各ノードの定義情報及び連携先情報を少なくとも管理する。ここで、ノードの定義情報は、ノードの役割や用途、ハードウェアスペック、稼働するソフトウェアに関する情報である。ノードの役割や用途とは、例えば、ノード上で稼働するアプリケーションが業務系であるか、管理(監視)系であるかといったことを特定できる情報であってもよい。また、連携先情報は、ノードの連携先のノードに関する情報、例えば、ホスト名やIP(Internet Protocol)アドレス等である。
The
モデルDB34は、対処不要モデル341及び要対処モデル342を管理するデータベースである。対処不要モデル341及び要対処モデル342は、上述したログ判定モデルの一例である。
The
対処不要モデル341は、ログデータに対する対処が不要であるか否かを判定するモデルである。まず、対処不要モデル341は、ログデータが単なる通知や警告を示す場合、対処が不要と判定する。また、例えば、ログデータがエラーログであっても、情報処理システム20へ実質的な影響がない場合がある。この場合、ログデータがエラーログであっても、情報処理システム20に対する管理者による具体的な対処(操作、作業等)が不要となる。よって、対処不要モデル341は、このようなエラーログについても対処が不要と判定する。
The action-
要対処モデル342は、ログデータに対する具体的な対処方法が判明しているか否かを判定するモデルである。例えば、あるログデータに対して過去に具体的な対処方法が判明している場合がある。そこで、要対処モデル342は、このようなログデータについて、(具体的な対処方法が判明しているため)対処が必要であると判定する。
The response-required
そのため、あるログデータが、対処不要モデル341及び要対処モデル342のいずれでも検出されない(ログフォーマットが不一致となる)場合、当該ログデータに対する対処が不明であることを示す。
Therefore, if a certain log data is not detected in either the action-
また、対処不要モデル341及び要対処モデル342は、過去のログデータから特徴のある共通的な文字列と変数部分とを含むログフォーマットを用いて、入力されたログデータと照合し、一致又は不一致を照合結果として出力する。
In addition, the action-
また、対処不要モデル341及び要対処モデル342は、ログデータを入力として、設定されたパラメータを用いて所定の演算を行い、演算結果を出力する処理が実装されたプログラムモジュールやモデル式である。ここで、パラメータは、重み付け係数やバイアスを含む。尚、対処不要モデル341及び要対処モデル342は、ニューラルネットワーク、サポートベクターマシン等により実現可能である。例えば、対処不要モデル341及び要対処モデル342は、学習されたログフォーマットと入力されたログデータとを照合し、一致又は不一致を判定する。
Further, the coping-
アラートログDB35は、ノード21から2nから出力されたログデータ対する分析結果等を管理するデータベースである。アラートログDB35は、ログフォーマット351、対処要否352及び対処方法353を対応付けて少なくとも管理する。ログフォーマット351は、各ノードから出力されたログデータのうち共通する文字列と文字列の可変部分とを定義したログメッセージの書式情報である。例えば、ログフォーマット351は、ログメッセージの固定文字列と変数部分とで構成される。ログフォーマット351は、予め設定されたものか、ログ分析装置32により解析されて導出されたものであってもよい。尚、ログフォーマット351の代わりにログメッセージそのものを用いても良い。対処要否352は、ログフォーマット351に該当するログデータについて過去に管理者により対処が実施されたか否かを示す情報である。対処方法353は、対処要否352が「要」であるログフォーマット351について、管理者により実施された対処内容を示す情報である。対処方法353は、例えば、所定のジョブを再実行することや、アプリケーションの再起動などが挙げられるが、これに限定されない。
The
尚、システム構成DB33、モデルDB34及びアラートログDB35のそれぞれは、記憶装置を備えるコンピュータ上で稼働するデータベース管理ソフトウェアにより実現可能である。
Each of the
図4は、本実施形態2にかかるログ分析装置32の構成を示すブロック図である。ログ分析装置32は、記憶部41と、メモリ42と、IF(InterFace)部43と、制御部44とを備える。記憶部41は、ハードディスク、フラッシュメモリ等の不揮発性記憶装置である。記憶部41は、ログ分析プログラム411を記憶する。ログ分析プログラム411は、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムである。
FIG. 4 is a block diagram showing the configuration of the
メモリ42は、RAM(Random Access Memory)等の揮発性記憶装置であり、制御部44の動作時に一時的に情報を保持するための記憶領域である。IF部43は、ログ分析装置32の外部との入出力を行うインタフェースである。例えば、IF部43は、外部から取得したデータを制御部44へ出力する。また、IF部43は、制御部44から受け付けたデータを外部へ出力する。
The
制御部44は、ログ分析装置32の各構成を制御するプロセッサつまり制御装置である。制御部44は、記憶部41からログ分析プログラム411をメモリ42へ読み込み、ログ分析プログラム411を実行する。これにより、制御部44は、判定部441、取得部442、特定部443、表示部444、登録部445及び学習部446の機能を実現する。
The
判定部441は、上述した判定部110の一例であり、対処不要モデル341及び要対処モデル342を用いて、入力されたログデータに対する対処の要否を判定する。ここで、判定部441は、ノード21から2nのそれぞれから出力されるログメッセージを検知した場合に判定を行うものとする。そして、判定部441は、ログデータを対処不要モデル341及び要対処モデル342のログフォーマットと照合し、一致するか否かを判定する。尚、ログデータが対処不要モデル341及び要対処モデル342のいずれとも一致しない場合、当該ログデータは、対処方法が未知であるログ(以後、未知ログと呼ぶ。)といえる。
The
取得部442は、上述した取得部120の一例であり、判定部441においてログデータが対処不要モデル341と一致せず、要対処モデル342と一致する場合に、システム構成DB33から、ログデータを出力したノードの定義情報や当該ノードの連携先情報を取得する。例えば、取得部442は、ログデータを出力したノードの識別情報をキーとしてシステム構成DB33に対して検索を行う。
The
また、取得部442は、状況監視サーバ31に対して負荷状況や稼働状況の取得要求を行う。尚、取得部442は、状況監視サーバ31の機能を備えていても良い。
In addition, the
特定部443は、上述した特定部130の一例であり、取得部442により取得されたノードの定義情報や連携先情報から、ログデータが示すエラーによる情報処理システム20への影響範囲を特定する。
The
また、特定部443は、取得部442により取得された負荷状況や稼働状況に基づいて、対処の緊急度を特定する。これにより、ログ分析装置32は、ノードの最新の状態を動的に取得して、緊急度を特定するため、緊急度の精度がより向上する。
In addition, the
さらに、特定部443は、特定された情報処理システム20への影響範囲に基づいて対処の緊急度を特定することが望ましい。これにより、緊急度を特定する精度がより向上する。
Further, it is desirable that the
また、特定部443は、取得されたノードの定義情報に基づいて、対処の緊急度を特定してもよい。例えば、ノードの役割(定義情報)が管理系を示す場合、特定部443は、ノードの役割が業務系の場合と比べて緊急度を低く特定する。これにより、業務系の障害の復旧を優先させ、業務への影響を最小限に抑えることができる。
Further, the
さらに、特定部443は、ログデータが発生した時間帯をさらに加味して、緊急度を特定することが望ましい。その理由は、同じエラーであっても発生した時間帯によって対処の緊急度が異なるためである。特に、ノードの役割(定義情報)が業務系を示す場合、特定部443は、エラーの発生時間帯が業務時間帯である日中であれば緊急度を相対的に高く、業務時間外である夜間であれば緊急度を相対的に低く特定する。一方、ノードの役割(定義情報)が夜間バッチの実行であれば、特定部443は、エラーの発生時間帯が夜間の場合に緊急度を相対的に高く、日中であれば緊急度を相対的に低く特定する。これにより、緊急度の妥当性が向上する。
Further, it is desirable that the
また、特定部443は、ログデータに対応する対処方法をアラートログDB35から特定する。例えば、特定部443は、ログデータが該当するログフォーマット351に対応付けられた対処方法353を特定する。
In addition, the specifying
表示部444は、特定部443により特定された緊急度に従ってログデータを表示装置(不図示)に表示する。これにより、管理者が対処の緊急度を明確に把握できる。このとき、表示部444は、特定された優先度と対応付けてログデータを表示してもよい。または、表示部444は、特定された優先度に従った順序でログデータを表示してもよい。併せて、表示部444は、特定部443により特定された情報処理システム20への影響範囲を表示するとよい。
The
登録部445は、複数のログメッセージを分析してログフォーマットを決定し、決定したログフォーマット351をアラートログDB35に登録する。尚、ログフォーマットの決定の仕方は、公知の技術を用いることができるため、詳細な説明を省略する。
The
また、登録部445は、未知ログに対して管理者が判定した対処要否、対処方法の入力を受け付け、該当するログフォーマットに、対処要否と対処方法とを対応付けてアラートログDB35に登録する。
In addition, the
学習部446は、ログデータ(ログフォーマット)と、当該ログデータの判定結果(対処要否)及び対処内容(対処方法)とを学習用データとして、対処不要モデル341及び要対処モデル342を学習する。例えば、学習部446は、各ログフォーマット351に、対応する対処要否352をラベルとして付して学習用データとし、対処不要モデル341を機械学習する。また、学習部446は、対処要否352が「要」であるログフォーマット351について、対処方法353の有無をラベルとして付して学習用データとし、要対処モデル342を機械学習する。そして、判定部441は、学習後の対処不要モデル341及び要対処モデル342を用いて判定を行う。
The
図5は、本実施形態2にかかるログ分析方法の流れを示すフローチャートである。まず、判定部441は、ノード21から2nのそれぞれから出力されるログデータ(ログメッセージ)を検知する(S201)。次に、判定部441は、ログデータを対処不要モデル341のログフォーマットと照合する(S202)。一致と判定した場合、ステップS201へ戻る。この場合、既知の対処不要なログであるため、管理者は対処を行わない。
FIG. 5 is a flowchart showing the flow of the log analysis method according to the second embodiment. First, the
一方、ステップS202で不一致と判定した場合、判定部441は、ログデータを要対処モデル342のログフォーマットと照合する(S203)。一致と判定した場合、取得部442は、システム構成DB33から、ログデータを出力したノードの定義情報や当該ノードの連携先情報を取得する。そして、特定部443は、取得されたノードの定義情報や連携先情報から、ログデータが示すエラーによる情報処理システム20への影響範囲を特定する(S204)。
On the other hand, when it is determined in step S202 that there is a mismatch, the
続いて、取得部442は、状況監視サーバ31に対して負荷状況や稼働状況の取得要求を行う。そして、特定部443は、取得された負荷状況や稼働状況、システムへの影響範囲、ノードの定義情報、連携先情報、ログデータが発生した時間帯に基づいて、対処の緊急度を特定する(S205)。
Subsequently, the
そして、特定部443は、ログデータに対応する対処方法をアラートログDB35から特定する(S206)。
Then, the
その後、表示部444は、緊急度に基づいて表示する(S207)。例えば、表示部444は、ログデータ、緊急度、システムへの影響度合いを対応付けて表示装置に表示する。その後、ステップS201へ戻る。これにより、管理者は、表示装置に表示された内容、特に、緊急度を加味して、ログデータに対する対処を実施できる。
After that, the
ステップS203で不一致と判定した場合、つまり、検知したログデータが未知ログであった場合、表示部444は、ログデータが未知ログである旨を表示装置に表示する。そして、管理者は、未知ログに対して対処要否を検討し、対処が「要」である場合、その対処方法を検討する。また、管理者は、未知ログのログフォーマットを決定してもよい。その後、管理者は、ログ分析装置32に対して未知ログのログフォーマットと対処要否及び対象方法を入力する。そのため、ログ分析装置32は、未知ログのログフォーマットと対処要否及び対象方法の入力を受け付ける(S208)。
When it is determined in step S203 that there is a mismatch, that is, when the detected log data is an unknown log, the
そして、登録部445は、受け付けた未知ログのログフォーマットと対処要否及び対象方法とを対応付けて、アラートログDB35に登録する(S209)。
Then, the
その後、学習部446は、アラートログDB35に登録されているログフォーマット351、対処要否352及び対処方法353を学習用データとして対処不要モデル341及び要対処モデル342を機械学習する(S210)。その後、ステップS201へ戻る。
After that, the
このように、本実施形態によりログデータに対する対処すべき順序を実運用に即して適切に判別することができる。 In this way, according to the present embodiment, the order in which the log data should be dealt with can be appropriately determined according to the actual operation.
<実施形態3>
本実施形態3は、上述した実施形態2の変形例である。図6は、本実施形態3にかかるログ分析システム200aの全体構成を示すブロック図である。ログ分析システム200aは、情報処理システム20と、状況監視サーバ31と、ログ分析装置32aと、システム構成DB33と、モデルDB34aと、アラートログDB35aとを備え、これらがネットワークNを介して接続されている。尚、以下の説明では、実施形態2と同様の構成には、同一の符号を付し、適宜、説明を省略する。
<Embodiment 3>
The third embodiment is a modification of the second embodiment described above. FIG. 6 is a block diagram showing an overall configuration of the
モデルDB34aは、要対処モデル342の代わりに、要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423を管理する。要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423は、緊急度ごとのログ判定モデルである。
The
アラートログDB35aは、ログフォーマット351に緊急度354をさらに対応付けて管理する。
The
図7は、本実施形態3にかかるログ分析装置32aの構成を示すブロック図である。ログ分析装置32aは、記憶部41aと、メモリ42と、IF部43と、制御部44aとを備える。記憶部41aは、ログ分析プログラム411aを記憶する。ログ分析プログラム411aは、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムである。
FIG. 7 is a block diagram showing the configuration of the
制御部44aは、記憶部41aからログ分析プログラム411aをメモリ42へ読み込み、ログ分析プログラム411aを実行する。これにより、制御部44aは、判定部441a、取得部442a、特定部443a、表示部444、登録部445a及び学習部446aの機能を実現する。
The
登録部445aは、未知ログに対して管理者が判定した対処要否、対処方法及び緊急度の入力を受け付け、該当するログフォーマットに、対処要否と対処方法と緊急度とを対応付けてアラートログDB35aに登録する。
The
学習部446aは、ログデータに対する対処が必要と判定された場合、当該ログデータにおける学習用データを用いて、特定された緊急度に対応するログ判定モデルを学習する。例えば、中緊急度と特定された場合、学習部446aは、対処要否352が「要」、かつ、緊急度354が「中」であるログフォーマット351について、対処方法353の有無をラベルとして付して学習用データとし、要対処モデル(中緊急度)3422を機械学習する。要対処モデル(低緊急度)3421及び要対処モデル(高緊急度)3423についても同様である。
When it is determined that the log data needs to be dealt with, the
判定部441aは、複数のログ判定モデル(要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423)のそれぞれに対して、ログデータに対する対処の要否を判定する。
The
特定部443aは、ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、緊急度を特定する。
The
取得部442aは、特定された緊急度に基づき、ログデータへの対処内容をさらに特定する。 The acquisition unit 442a further specifies the content of dealing with the log data based on the specified urgency.
図8は、本実施形態3にかかるログ分析方法の流れを示すフローチャートである。以下では、図5と同様の処理については説明を省略する。ステップS202で不一致と判定した場合、判定部441aは、ログデータを要対処モデル(高緊急度)3423のログフォーマットと照合する(S203a)。不一致と判定した場合、判定部441aは、ログデータを要対処モデル(中緊急度)3422のログフォーマットと照合する(S203b)。不一致と判定した場合、判定部441aは、ログデータを要対処モデル(低緊急度)3421のログフォーマットと照合する(S203c)。
FIG. 8 is a flowchart showing the flow of the log analysis method according to the third embodiment. In the following, description of the same processing as in FIG. 5 will be omitted. If it is determined in step S202 that there is a mismatch, the
ステップS203a、S203b及びS203cのいずれかで一致と判定した場合、ステップS204へ進む。ステップS204の後、特定部443aは、取得された負荷状況や稼働状況、システムへの影響範囲、ノードの定義情報、連携先情報、ログデータが発生した時間帯に加えて、一致と判定したログ判定モデルに対応する緊急度に基づいて、対処の緊急度を特定する(S205a)。例えば、ステップS203aにおいて一致と判定した場合、特定部443aは、対処の緊急度を「高」と特定する。
If it is determined in any of steps S203a, S203b and S203c that they match, the process proceeds to step S204. After step S204, the
そして、特定部443aは、特定された緊急度に基づき、ログデータに対応する対処方法をアラートログDB35aから特定する(S206a)。例えば、ステップS203aにおいて一致と判定した場合、特定部443aは、ログデータが該当するログフォーマット351及び「高」である緊急度354に対応付けられた対処方法353を特定する。
Then, the specifying
ステップS203cで不一致と判定した場合、つまり、検知したログデータがいずれの要対処モデルとも一致しなかった場合、未知ログとなる。未知ログの場合、管理者は、未知ログに対して対処要否を検討し、対処が「要」である場合、その対処方法及び緊急度を検討する。また、管理者は、未知ログのログフォーマットを決定してもよい。その後、管理者は、ログ分析装置32に対して未知ログのログフォーマットと対処要否、対象方法及び緊急度を入力する。そのため、ログ分析装置32は、未知ログのログフォーマットと対処要否、対象方法及び緊急度の入力を受け付ける(S208a)。
If it is determined in step S203c that there is a mismatch, that is, if the detected log data does not match any of the models requiring action, an unknown log is created. In the case of an unknown log, the administrator examines the necessity of dealing with the unknown log, and if the action is "necessary", considers the coping method and the degree of urgency. The administrator may also determine the log format of the unknown log. After that, the administrator inputs the log format of the unknown log, the necessity of countermeasures, the target method, and the degree of urgency to the
そして、登録部445aは、受け付けた未知ログのログフォーマットと対処要否、対象方法及び緊急度とを対応付けて、アラートログDB35aに登録する(S209a)。
Then, the
その後、学習部446aは、アラートログDB35aに登録されているログフォーマット351、対処要否352、対処方法353及び緊急度354を学習用データとして対処不要モデル341、要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423を機械学習する(S210a)。その後、ステップS201へ戻る。
After that, the
このように、本実施形態によってもログデータに対する対処すべき順序を実運用に即して適切に判別することができる。 As described above, also in this embodiment, the order in which the log data should be dealt with can be appropriately determined according to the actual operation.
<その他の実施形態>
尚、上述の実施形態では、ハードウェアの構成として説明したが、これに限定されるものではない。本開示は、任意の処理を、CPUにコンピュータプログラムを実行させることにより実現することも可能である。
<Other Embodiments>
In the above-described embodiment, the description is made as a hardware configuration, but the present invention is not limited to this. The present disclosure can also be realized by causing the CPU to execute a computer program.
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、DVD(Digital Versatile Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 In the above example, the program can be stored and supplied to a computer using various types of non-transitory computer readable media. Non-transitory computer-readable media include various types of tangible storage media. Examples of non-temporary computer-readable media include magnetic recording media (eg flexible disks, magnetic tapes, hard disk drives), opto-magnetic recording media (eg optomagnetic disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R / W, DVD (Digital Versatile Disc), semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (Random Access Memory)) are included. The program may also be supplied to the computer by various types of transient computer readable media. Examples of temporary computer-readable media include electrical, optical, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.
なお、本開示は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施形態を適宜組み合わせて実施されてもよい。 The present disclosure is not limited to the above embodiment, and can be appropriately modified without departing from the spirit. Further, the present disclosure may be carried out by appropriately combining the respective embodiments.
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記A1)
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備えるログ分析装置。
(付記A2)
前記状況情報は、前記ノードのリソースの負荷状況又は稼働状況の少なくともいずれかを含む
付記A1に記載のログ分析装置。
(付記A3)
前記取得部は、
前記システムの構成を管理する構成データベースから、前記ノードの定義情報をさらに取得し、
前記特定部は、
前記定義情報をさらに加味して、前記緊急度を特定する
付記A1又はA2に記載のログ分析装置。
(付記A4)
前記取得部は、
前記構成データベースから、前記ノードの連携先のノードに関する連携先情報をさらに取得し、
前記特定部は、
前記連携先情報をさらに加味して、前記緊急度を特定する
付記A3に記載のログ分析装置。
(付記A5)
前記特定部は、
前記ログデータが発生した時間帯をさらに加味して、前記緊急度を特定する
付記A1乃至A4のいずれか1項に記載のログ分析装置。
(付記A6)
前記ログデータと、当該ログデータの判定結果及び対処内容とを学習用データとして、前記ログ判定モデルを学習する学習部をさらに備える
付記A1乃至A5のいずれか1項に記載のログ分析装置。
(付記A7)
前記ログ分析装置は、前記緊急度ごとの複数のログ判定モデルを有し、
前記学習部は、
前記ログデータに対する対処が必要と判定された場合、当該ログデータにおける前記学習用データを用いて、前記特定された緊急度に対応する前記ログ判定モデルを学習し、
前記判定部は、前記複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
前記特定部は、
前記ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、前記緊急度を特定する
付記A6に記載のログ分析装置。
(付記A8)
前記特定された緊急度に従って前記ログデータを表示する表示部をさらに備える
付記A1乃至A7のいずれか1項に記載のログ分析装置。
(付記A9)
前記特定部は、
前記特定された緊急度に基づき、前記ログデータへの対処内容をさらに特定する
付記A1乃至A8のいずれか1項に記載のログ分析装置。
(付記B1)
コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する
ログ分析方法。
(付記C1)
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させるログ分析プログラム。
Some or all of the above embodiments may also be described, but not limited to:
(Appendix A1)
A determination unit that determines the necessity of dealing with predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, an acquisition unit that acquires the current status information about the system including the node from which the log data is output, and an acquisition unit.
Based on the situation information, a specific unit that identifies the urgency of dealing with the log data, and
A log analyzer equipped with.
(Appendix A2)
The log analyzer according to Appendix A1, wherein the status information includes at least one of the load status and the operation status of the resources of the node.
(Appendix A3)
The acquisition unit
Further, the definition information of the node is acquired from the configuration database that manages the configuration of the system.
The specific part is
The log analyzer according to Appendix A1 or A2, which further adds the definition information to specify the degree of urgency.
(Appendix A4)
The acquisition unit
Further, the cooperation destination information regarding the cooperation destination node of the node is further acquired from the configuration database.
The specific part is
The log analysis device according to Appendix A3, which further considers the cooperation destination information and specifies the degree of urgency.
(Appendix A5)
The specific part is
The log analyzer according to any one of Supplementary A1 to A4, which further considers the time zone in which the log data is generated and specifies the degree of urgency.
(Appendix A6)
The log analysis apparatus according to any one of Supplementary A1 to A5, further comprising a learning unit for learning the log determination model by using the log data, a determination result of the log data, and a countermeasure content as learning data.
(Appendix A7)
The log analyzer has a plurality of log determination models for each degree of urgency.
The learning unit
When it is determined that it is necessary to deal with the log data, the log determination model corresponding to the specified urgency is learned by using the learning data in the log data.
The determination unit determines the necessity of dealing with the log data for each of the plurality of log determination models.
The specific part is
The log analysis device according to Appendix A6, which specifies the urgency by further adding the urgency corresponding to the log determination model used for determining the log data.
(Appendix A8)
The log analyzer according to any one of Supplementary A1 to A7, further comprising a display unit that displays the log data according to the specified urgency.
(Appendix A9)
The specific part is
The log analyzer according to any one of Supplementary A1 to A8, which further specifies the content of dealing with the log data based on the specified urgency.
(Appendix B1)
The computer
Using one or more log judgment models, it is judged whether or not it is necessary to deal with the predetermined log data.
When it is determined that the log data needs to be dealt with, the current status information about the system including the node from which the log data is output is acquired.
A log analysis method that identifies the urgency of dealing with the log data based on the status information.
(Appendix C1)
A process of determining the necessity of dealing with a predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, the process of acquiring the current status information about the system including the node from which the log data is output, and the process of acquiring the current status information.
Processing to identify the urgency of dealing with the log data based on the situation information,
A log analysis program that lets your computer run.
100 ログ分析装置
110 判定部
120 取得部
130 特定部
200 ログ分析システム
20 情報処理システム
21 ノード
2n ノード
N ネットワーク
31 状況監視サーバ
32 ログ分析装置
33 システム構成DB
34 モデルDB
341 対処不要モデル
342 要対処モデル
35 アラートログDB
351 ログフォーマット
352 対処要否
353 対処方法
41 記憶部
411 ログ分析プログラム
42 メモリ
43 IF部
44 制御部
441 判定部
442 取得部
443 特定部
444 表示部
445 登録部
446 学習部
200a ログ分析システム
32a ログ分析装置
34a モデルDB
3421 要対処モデル(低緊急度)
3422 要対処モデル(中緊急度)
3423 要対処モデル(高緊急度)
35a アラートログDB
354 緊急度
41a 記憶部
411a ログ分析プログラム
44a 制御部
441a 判定部
442a 取得部
443a 特定部
445a 登録部
446a 学習部
100
34 Model DB
341 Action-
351
3421 Response required model (low urgency)
3422 Needed to be dealt with (medium urgency)
3423 Need to deal with model (high urgency)
35a Alert log DB
354
Claims (10)
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備えるログ分析装置。 A determination unit that determines the necessity of dealing with predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, an acquisition unit that acquires the current status information about the system including the node from which the log data is output, and an acquisition unit.
Based on the situation information, a specific unit that identifies the urgency of dealing with the log data, and
A log analyzer equipped with.
請求項1に記載のログ分析装置。 The log analyzer according to claim 1, wherein the status information includes at least one of a load status and an operating status of the resources of the node.
前記システムの構成を管理する構成データベースから、前記ノードの定義情報をさらに取得し、
前記特定部は、
前記定義情報をさらに加味して、前記緊急度を特定する
請求項1又は2に記載のログ分析装置。 The acquisition unit
Further, the definition information of the node is acquired from the configuration database that manages the configuration of the system.
The specific part is
The log analyzer according to claim 1 or 2, wherein the degree of urgency is specified by further adding the definition information.
前記構成データベースから、前記ノードの連携先のノードに関する連携先情報をさらに取得し、
前記特定部は、
前記連携先情報をさらに加味して、前記緊急度を特定する
請求項3に記載のログ分析装置。 The acquisition unit
Further, the cooperation destination information regarding the cooperation destination node of the node is further acquired from the configuration database.
The specific part is
The log analyzer according to claim 3, wherein the urgency is specified by further adding the cooperation destination information.
前記ログデータが発生した時間帯をさらに加味して、前記緊急度を特定する
請求項1乃至4のいずれか1項に記載のログ分析装置。 The specific part is
The log analyzer according to any one of claims 1 to 4, further taking into account the time zone in which the log data is generated, and specifying the degree of urgency.
請求項1乃至5のいずれか1項に記載のログ分析装置。 The log analysis device according to any one of claims 1 to 5, further comprising a learning unit for learning the log determination model by using the log data, a determination result of the log data, and a countermeasure content as learning data.
前記学習部は、
前記ログデータに対する対処が必要と判定された場合、当該ログデータにおける前記学習用データを用いて、前記特定された緊急度に対応する前記ログ判定モデルを学習し、
前記判定部は、前記複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
前記特定部は、
前記ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、前記緊急度を特定する
請求項6に記載のログ分析装置。 The log analyzer has a plurality of log determination models for each degree of urgency.
The learning unit
When it is determined that it is necessary to deal with the log data, the log determination model corresponding to the specified urgency is learned by using the learning data in the log data.
The determination unit determines the necessity of dealing with the log data for each of the plurality of log determination models.
The specific part is
The log analysis apparatus according to claim 6, wherein the urgency corresponding to the log determination model used for determining the log data is further added to specify the urgency.
請求項1乃至7のいずれか1項に記載のログ分析装置。 The log analyzer according to any one of claims 1 to 7, further comprising a display unit that displays the log data according to the specified urgency.
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する
ログ分析方法。 The computer
Using one or more log judgment models, it is judged whether or not it is necessary to deal with the predetermined log data.
When it is determined that the log data needs to be dealt with, the current status information about the system including the node from which the log data is output is acquired.
A log analysis method that identifies the urgency of dealing with the log data based on the status information.
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させるログ分析プログラム。 A process of determining the necessity of dealing with a predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, the process of acquiring the current status information about the system including the node from which the log data is output, and the process of acquiring the current status information.
Based on the status information, the process of identifying the urgency of dealing with the log data and
A log analysis program that lets your computer run.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019142596A JP7415363B2 (en) | 2019-08-01 | 2019-08-01 | Log analysis device, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019142596A JP7415363B2 (en) | 2019-08-01 | 2019-08-01 | Log analysis device, method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021026412A true JP2021026412A (en) | 2021-02-22 |
JP7415363B2 JP7415363B2 (en) | 2024-01-17 |
Family
ID=74663868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019142596A Active JP7415363B2 (en) | 2019-08-01 | 2019-08-01 | Log analysis device, method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7415363B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017004452A (en) * | 2015-06-16 | 2017-01-05 | 富士ゼロックス株式会社 | Information processing device and information processing program |
JP2017016238A (en) * | 2015-06-29 | 2017-01-19 | 株式会社リコー | Information processing system and program |
WO2017110720A1 (en) * | 2015-12-25 | 2017-06-29 | 日本電気株式会社 | Log analysis system, log analysis method, and recording medium storing program |
JP2019049802A (en) * | 2017-09-08 | 2019-03-28 | 日本電気株式会社 | Failure analysis supporting device, incident managing system, failure analysis supporting method, and program |
-
2019
- 2019-08-01 JP JP2019142596A patent/JP7415363B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017004452A (en) * | 2015-06-16 | 2017-01-05 | 富士ゼロックス株式会社 | Information processing device and information processing program |
JP2017016238A (en) * | 2015-06-29 | 2017-01-19 | 株式会社リコー | Information processing system and program |
WO2017110720A1 (en) * | 2015-12-25 | 2017-06-29 | 日本電気株式会社 | Log analysis system, log analysis method, and recording medium storing program |
JP2019049802A (en) * | 2017-09-08 | 2019-03-28 | 日本電気株式会社 | Failure analysis supporting device, incident managing system, failure analysis supporting method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP7415363B2 (en) | 2024-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11016836B2 (en) | Graphical user interface for visualizing a plurality of issues with an infrastructure | |
JP6959736B2 (en) | Identifying Network Failure Troubleshooting Options | |
US10048996B1 (en) | Predicting infrastructure failures in a data center for hosted service mitigation actions | |
JP5684946B2 (en) | Method and system for supporting analysis of root cause of event | |
US11750642B1 (en) | Automated threat modeling using machine-readable threat models | |
US9077609B2 (en) | Scalable reusable scanning of application networks/systems | |
JPWO2013051142A1 (en) | Update control apparatus, update control program, and update control method | |
CN111669281B (en) | Alarm analysis method, device, equipment and storage medium | |
AU2022259730B2 (en) | Utilizing machine learning models to determine customer care actions for telecommunications network providers | |
US11743237B2 (en) | Utilizing machine learning models to determine customer care actions for telecommunications network providers | |
CN109634802B (en) | Process monitoring method and terminal equipment | |
JP6282217B2 (en) | Anti-malware system and anti-malware method | |
US11757708B2 (en) | Anomaly detection device, anomaly detection method, and anomaly detection program | |
US20140330756A1 (en) | Automated alerting rules recommendation and selection | |
JP5949785B2 (en) | Information processing method, apparatus and program | |
CN113259166A (en) | Log alarm processing method and device | |
US20210349895A1 (en) | Automatic online log template mining | |
JP7415363B2 (en) | Log analysis device, method and program | |
US20200342109A1 (en) | Baseboard management controller to convey data | |
CN112256384B (en) | Service set processing method and device based on container technology and computer equipment | |
CN110839066B (en) | Data processing method and related equipment | |
US20100115340A1 (en) | Method and apparatus for proactive alert generation via equivalent machine configuration determination from problem history data | |
US20200202230A1 (en) | Cognitive device support for potentially affected devices | |
US11706117B1 (en) | Message-based monitoring and action system | |
CN116643906A (en) | Cloud platform fault processing method and device, electronic equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220701 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230502 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230704 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230823 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231218 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7415363 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |