JP2021026412A - Log analyzer, method and program - Google Patents

Log analyzer, method and program Download PDF

Info

Publication number
JP2021026412A
JP2021026412A JP2019142596A JP2019142596A JP2021026412A JP 2021026412 A JP2021026412 A JP 2021026412A JP 2019142596 A JP2019142596 A JP 2019142596A JP 2019142596 A JP2019142596 A JP 2019142596A JP 2021026412 A JP2021026412 A JP 2021026412A
Authority
JP
Japan
Prior art keywords
log
log data
urgency
unit
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019142596A
Other languages
Japanese (ja)
Other versions
JP7415363B2 (en
Inventor
田中 克典
Katsunori Tanaka
克典 田中
和田 佳子
Yoshiko Wada
佳子 和田
将弘 上田
Masahiro Ueda
将弘 上田
浩司 雀堂
Koji Jakudo
浩司 雀堂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2019142596A priority Critical patent/JP7415363B2/en
Publication of JP2021026412A publication Critical patent/JP2021026412A/en
Application granted granted Critical
Publication of JP7415363B2 publication Critical patent/JP7415363B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

To appropriately determine an order to be treated to log data on the basis of practical use.SOLUTION: A log analyzer (100) comprises: a determination part (110) for determining the necessity of treatment to predetermined log data using one or more log determination models; an acquisition part (120) for acquiring present status information on a system including the node of the output source of the log data when it is determined that the treatment to the log data is necessary; and a specification part (130) for specifying the urgency of the treatment to the log data on the basis of the status information.SELECTED DRAWING: Figure 1

Description

本発明は、ログ分析装置、方法及びプログラムに関し、特に、システムから出力されるログを分析するためのログ分析装置、方法及びプログラムに関する。 The present invention relates to a log analyzer, method and program, and more particularly to a log analyzer, method and program for analyzing logs output from the system.

特許文献1には、情報処理システムが出力するログを分析するログ分析システムに関する技術が開示されている。特許文献1にかかるログ分析システムでは、ログメッセージの組み合わせについて正常パターンと異常パターンとを記憶部に記憶している。そして、当該ログ分析システムは、読み込まれたログメッセージについて正常パターン及び異常パターンと一致するか否かを判定する。当該ログ分析システムは、ログメッセージがいずれにも一致しない場合、新たなパターンとして生成し、記憶部に記録する。 Patent Document 1 discloses a technique relating to a log analysis system that analyzes a log output by an information processing system. In the log analysis system according to Patent Document 1, a normal pattern and an abnormal pattern are stored in a storage unit for a combination of log messages. Then, the log analysis system determines whether or not the read log message matches the normal pattern and the abnormal pattern. If the log message does not match any of the log messages, the log analysis system generates a new pattern and records it in the storage unit.

特許文献2には、ログフォーマットごとの周期モデルを生成し、周期モデルを用いてログが異常か否かを判定するログ分析システムに関する技術が開示されている。特許文献3には、異種混成のログソースから正規表現パターンを生成し、訓練ログからモデル及びプロファイルを生成するログ分析プラットフォームに関する技術が開示されている。特許文献4には、ログ判定システムに関する技術が開示されている。特許文献4にかかるログ判定システムは、予めログデータから学習を行い、ログ判定基準を構築する。そして、当該ログ判定システムは、構築された判定基準に基づいて、取得されるログデータが異常ログか、また、異常の前兆を示すログかを判定する。 Patent Document 2 discloses a technique relating to a log analysis system that generates a periodic model for each log format and uses the periodic model to determine whether or not the log is abnormal. Patent Document 3 discloses a technique relating to a log analysis platform that generates a regular expression pattern from a heterogeneous log source and generates a model and a profile from a training log. Patent Document 4 discloses a technique related to a log determination system. The log determination system according to Patent Document 4 learns from log data in advance and builds a log determination standard. Then, the log determination system determines whether the acquired log data is an abnormality log or a log indicating a precursor of an abnormality based on the established determination criteria.

国際公開第2016/132717号International Publication No. 2016/132717 国際公開第2017/115458号International Publication No. 2017/115458 特表2019−501448号公報Special Table 2019-501448 特開2014−115768号公報Japanese Unexamined Patent Publication No. 2014-115768

しかしながら、特許文献1では、判定対象のログに何らかの対処が必要であると判定されたとしても、対処すべき順序の判別が困難であるという問題点がある。その理由は、実運用上の影響度合いに基づく対処の緊急度が考慮されていないためである。尚、特許文献2から4においてもこのような問題点を解決することができない。 However, Patent Document 1 has a problem that it is difficult to determine the order in which measures should be taken even if it is determined that some measures are required for the log to be determined. The reason is that the urgency of countermeasures based on the degree of impact on actual operation is not taken into consideration. It should be noted that even in Patent Documents 2 to 4, such a problem cannot be solved.

本開示は、このような問題点を解決するためになされたものであり、ログデータに対する対処すべき順序を実運用に即して適切に判別するためのログ分析装置、方法及びプログラムを提供することを目的とする。 The present disclosure has been made to solve such a problem, and provides a log analyzer, a method, and a program for appropriately determining the order in which log data should be dealt with in accordance with actual operation. The purpose is.

本開示の第1の態様にかかるログ分析装置は
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備える。 The log analyzer according to the first aspect of the present disclosure uses one or more log determination models to determine the necessity of dealing with predetermined log data, and a determination unit.
When it is determined that the log data needs to be dealt with, an acquisition unit that acquires the current status information about the system including the node from which the log data is output, and an acquisition unit.
Based on the situation information, a specific unit that identifies the urgency of dealing with the log data, and
To be equipped.

本開示の第2の態様にかかるログ分析方法は、
コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する。 The log analysis method according to the second aspect of the present disclosure is
The computer
Using one or more log judgment models, it is judged whether or not it is necessary to deal with the predetermined log data.
When it is determined that the log data needs to be dealt with, the current status information about the system including the node from which the log data is output is acquired.
Based on the situation information, the urgency of dealing with the log data is specified.

本開示の第3の態様にかかるログ分析プログラムは、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させる。 The log analysis program according to the third aspect of the present disclosure is
A process of determining the necessity of dealing with a predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, the process of acquiring the current status information about the system including the node from which the log data is output, and the process of acquiring the current status information.
Based on the status information, the process of identifying the urgency of dealing with the log data and
Let the computer run.

本開示により、ログデータに対する対処すべき順序を実運用に即して適切に判別するためのログ分析装置、方法及びプログラムを提供することができる。 According to the present disclosure, it is possible to provide a log analyzer, a method, and a program for appropriately determining the order in which log data should be dealt with in accordance with actual operation.

本実施形態1にかかるログ分析装置の構成を示すブロック図である。It is a block diagram which shows the structure of the log analysis apparatus which concerns on this Embodiment 1. 本実施形態1にかかるログ分析方法の流れを示すフローチャートである。It is a flowchart which shows the flow of the log analysis method which concerns on this Embodiment 1. 本実施形態2にかかるログ分析システムの全体構成を示すブロック図である。It is a block diagram which shows the whole structure of the log analysis system which concerns on Embodiment 2. 本実施形態2にかかるログ分析装置の構成を示すブロック図である。It is a block diagram which shows the structure of the log analysis apparatus which concerns on Embodiment 2. 本実施形態2にかかるログ分析方法の流れを示すフローチャートである。It is a flowchart which shows the flow of the log analysis method which concerns on this Embodiment 2. 本実施形態3にかかるログ分析システムの全体構成を示すブロック図である。It is a block diagram which shows the whole structure of the log analysis system which concerns on this Embodiment 3. 本実施形態3にかかるログ分析装置の構成を示すブロック図である。It is a block diagram which shows the structure of the log analysis apparatus which concerns on this Embodiment 3. 本実施形態3にかかるログ分析方法の流れを示すフローチャートである。It is a flowchart which shows the flow of the log analysis method which concerns on this Embodiment 3.

以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。 Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. In each drawing, the same or corresponding elements are designated by the same reference numerals, and duplicate explanations are omitted as necessary for the sake of clarity of explanation.

<実施形態1>
図1は、本実施形態1にかかるログ分析装置100の構成を示すブロック図である。ログ分析装置100は、複数のノードを含む情報処理システム内の少なくとも一部のノードから出力されるログデータを分析するための情報処理装置である。ログ分析装置100は、判定部110と、取得部120と、特定部130とを備える。 <Embodiment 1>
FIG. 1 is a block diagram showing a configuration of a log analyzer 100 according to the first embodiment. The log analysis device 100 is an information processing device for analyzing log data output from at least a part of nodes in an information processing system including a plurality of nodes. The log analysis device 100 includes a determination unit 110, an acquisition unit 120, and a specific unit 130.

判定部110は、1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する。ここで、ログデータは、所定のノード上で稼働するオペレーティングシステム、ミドルウェア、アプリケーション等から出力されるログメッセージである。また、ログ判定モデルは、入力されるログデータについて所定の演算を行うことにより、運用又は保守担当者等(以下、管理者と呼ぶ。)による情報処理システムへの対処が必要か否かの判定結果を出力する判定ロジックである。例えば、ログ判定モデルは、当該判定ロジックが実装されたプログラムモジュールであるか、機械学習により学習されたモデルプログラムである。また、判定部110は、ログメッセージが処理状況の単なる通知を示す場合や、警告を示す場合には、対処が不要と判定する。一方、判定部110は、ログメッセージがエラーを示す場合には、管理者による対処が必要と判定する。また、判定部110は、エラー内容によっては対処が不要と判定してもよい。ここで、対処とは、例えば、管理者による障害の復旧作業といった一時的な処置や、設定変更、ハードウェアの交換又はソフトウェアの改修といった恒久的な処置が挙げられる。そして、一時的な処置には、例えば、アプリケーションの再起動、データパッチ、データリカバリ、ユーザへの障害の通知等が挙げられるが、これらに限定されない。 The determination unit 110 determines the necessity of dealing with the predetermined log data by using one or more log determination models. Here, the log data is a log message output from an operating system, middleware, an application, or the like running on a predetermined node. In addition, the log judgment model determines whether or not it is necessary for an operation or maintenance person (hereinafter referred to as an administrator) to deal with the information processing system by performing a predetermined calculation on the input log data. It is a judgment logic that outputs the result. For example, the log determination model is a program module in which the determination logic is implemented, or a model program learned by machine learning. Further, the determination unit 110 determines that no action is required when the log message merely indicates a notification of the processing status or indicates a warning. On the other hand, if the log message indicates an error, the determination unit 110 determines that the administrator needs to take action. Further, the determination unit 110 may determine that no action is required depending on the content of the error. Here, the countermeasures include, for example, temporary measures such as failure recovery work by the administrator, and permanent measures such as setting change, hardware replacement, or software repair. The temporary measures include, but are not limited to, restarting the application, data patching, data recovery, notification of failure to the user, and the like.

取得部120は、判定部110によりログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する。ここで、状況情報とは、例えば、ノードにおけるリソースの負荷状況や、ノードの稼働状況といった情報であるが、これらに限定されない。 When the determination unit 110 determines that the log data needs to be dealt with, the acquisition unit 120 acquires the current status information about the system including the node from which the log data is output. Here, the status information is, for example, information such as a resource load status in a node and an operating status of a node, but is not limited thereto.

特定部130は、取得部120により取得された状況情報に基づいて、ログデータに対する対処の緊急度を特定する。ここで、緊急度とは、例えば、管理者による対処の緊急度合いを示す情報であり、少なくとも2段階以上を区別できるものであればよい。 The identification unit 130 specifies the urgency of dealing with the log data based on the situation information acquired by the acquisition unit 120. Here, the urgency level is, for example, information indicating the urgency level of the response by the administrator, and may be any information that can distinguish at least two levels or more.

図2は、本実施形態1にかかるログ分析方法の流れを示すフローチャートである。まず、判定部110は、1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する(S11)。ログデータに対する対処が必要と判定された場合、取得部120は、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する(S12)。そして、特定部130は、状況情報に基づいて、ログデータに対する対処の緊急度を特定する(S13)。尚、ステップS11でログデータに対する対処が不要と判定された場合、当該ログ分析方法の処理を終了する。 FIG. 2 is a flowchart showing the flow of the log analysis method according to the first embodiment. First, the determination unit 110 determines the necessity of dealing with the predetermined log data by using one or more log determination models (S11). When it is determined that the log data needs to be dealt with, the acquisition unit 120 acquires the current status information about the system including the node from which the log data is output (S12). Then, the specifying unit 130 specifies the urgency of dealing with the log data based on the situation information (S13). If it is determined in step S11 that no action is required for the log data, the process of the log analysis method is terminated.

このように本実施形態では、システムから出力されたログデータに対する、管理者による対処の要否を判定することに加えて、システムに関する現在の状況情報を用いて対処の緊急度を特定するものである。特に、複数のログデータから複数の種類のエラーが検出された場合、単にエラーの発生順に対処すればよいとは限らない。例えば、特定の対処に長時間を要する場合には、他の対処を先に実施した方が良い場合もある。そして、エラーの組み合わせが同じであっても、現在の状況情報に応じて対処の優先度が異なる場合もある。そのため、本実施形態により、対処が必要なログデータが多数存在した場合であっても、管理者はログデータに対する対処すべき順序を実運用に即して適切に判別することができる。 As described above, in the present embodiment, in addition to determining whether or not the administrator needs to deal with the log data output from the system, the urgency of dealing with the log data is specified by using the current status information about the system. is there. In particular, when a plurality of types of errors are detected from a plurality of log data, it is not always necessary to deal with them in the order in which the errors occur. For example, if it takes a long time to take a specific action, it may be better to take another action first. Even if the combination of errors is the same, the priority of handling may differ depending on the current status information. Therefore, according to the present embodiment, even if there are a large number of log data that need to be dealt with, the administrator can appropriately determine the order in which the log data should be dealt with according to the actual operation.

尚、ログ分析装置100は、図示しない構成としてプロセッサ、メモリ及び記憶装置を備えるものである。また、当該記憶装置には、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムが記憶されている。そして、当該プロセッサは、記憶装置からコンピュータプログラムを前記メモリへ読み込み、当該コンピュータプログラムを実行する。これにより、前記プロセッサは、判定部110、取得部120及び特定部130の機能を実現する。 The log analysis device 100 includes a processor, a memory, and a storage device as a configuration (not shown). Further, the storage device stores a computer program in which the processing of the log analysis method according to the present embodiment is implemented. Then, the processor reads the computer program from the storage device into the memory and executes the computer program. As a result, the processor realizes the functions of the determination unit 110, the acquisition unit 120, and the specific unit 130.

または、判定部110、取得部120及び特定部130は、それぞれが専用のハードウェアで実現されていてもよい。また、各装置の各構成要素の一部又は全部は、汎用または専用の回路(circuitry)、プロセッサ等やこれらの組合せによって実現されもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。また、プロセッサとして、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(field-programmable gate array)等を用いることができる。 Alternatively, the determination unit 110, the acquisition unit 120, and the specific unit 130 may each be realized by dedicated hardware. Further, a part or all of each component of each device may be realized by a general-purpose or dedicated circuitry, a processor, or a combination thereof. These may be composed of a single chip or may be composed of a plurality of chips connected via a bus. A part or all of each component of each device may be realized by a combination of the above-mentioned circuit or the like and a program. Further, as a processor, a CPU (Central Processing Unit), a GPU (Graphics Processing Unit), an FPGA (field-programmable gate array), or the like can be used.

また、ログ分析装置100の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。また、ログ分析装置100の機能がSaaS(Software as a Service)形式で提供されてもよい。 Further, when a part or all of each component of the log analysis device 100 is realized by a plurality of information processing devices and circuits, the plurality of information processing devices and circuits may be centrally arranged. It may be distributed. For example, the information processing device, the circuit, and the like may be realized as a form in which each of the client-server system, the cloud computing system, and the like is connected via a communication network. Further, the function of the log analyzer 100 may be provided in the SaaS (Software as a Service) format.

<実施形態2>
本実施形態2は、上述した実施形態1の具体的な実施例である。図3は、本実施形態2にかかるログ分析システム200の全体構成を示すブロック図である。ログ分析システム200は、情報処理システム20と、状況監視サーバ31と、ログ分析装置32と、システム構成DB(DataBase)33と、モデルDB34と、アラートログDB35とを備え、これらがネットワークNを介して接続されている。ネットワークNは、LAN(Local Area Network)、インターネット等の通信回線網である。 <Embodiment 2>
The second embodiment is a specific embodiment of the first embodiment described above. FIG. 3 is a block diagram showing the overall configuration of the log analysis system 200 according to the second embodiment. The log analysis system 200 includes an information processing system 20, a status monitoring server 31, a log analysis device 32, a system configuration DB (DataBase) 33, a model DB 34, and an alert log DB 35, which are via network N. Is connected. The network N is a communication network such as a LAN (Local Area Network) and the Internet.

情報処理システム20は、運用対象の情報処理システムであり、ノード21、・・・ノード2n(nは2以上の自然数。)を備える。ノード21等の各ノードは、単体のコンピュータ装置、ブレードサーバのような情報処理基板、又は、仮想マシン等である。また、各ノードは、オペレーティングシステム、ミドルウェア及びアプリケーション等が稼働しているものとする。 The information processing system 20 is an information processing system to be operated, and includes nodes 21, ... Nodes 2n (n is a natural number of 2 or more). Each node such as node 21 is a single computer device, an information processing board such as a blade server, a virtual machine, or the like. In addition, it is assumed that the operating system, middleware, applications, etc. are running on each node.

状況監視サーバ31は、情報処理システム20の各ノードの稼働状況を監視するサーバ装置である。例えば、状況監視サーバ31は、ログ分析装置32から状況情報の取得要求を受信した場合、指定されたノードにおける現在の負荷状況や稼働状況の取得コマンドを発行し、コマンドの応答結果をログ分析装置32へ返信する。ここで、負荷状況には、例えば、ノードのCPU(Central Processing Unit)、メモリ、HDD(Hard Disk Drive)、ネットワーク帯域の使用率が挙げられるが、これらに限定されない。また、稼働状況は、ノードが現用系で稼働しているか、待機系で稼働しているか等を示すものとする。尚、状況監視サーバ31自体が情報処理システム20に含まれていても良い。また、状況監視サーバ31は、公知の技術で実現可能であるため、詳細な説明を省略する。 The status monitoring server 31 is a server device that monitors the operating status of each node of the information processing system 20. For example, when the status monitoring server 31 receives a status information acquisition request from the log analysis device 32, the status monitoring server 31 issues a command for acquiring the current load status and operating status of the specified node, and outputs the command response result to the log analysis device. Reply to 32. Here, the load status includes, but is not limited to, the CPU (Central Processing Unit) of the node, the memory, the HDD (Hard Disk Drive), and the network bandwidth usage rate. In addition, the operating status shall indicate whether the node is operating in the active system, the standby system, and the like. The status monitoring server 31 itself may be included in the information processing system 20. Further, since the status monitoring server 31 can be realized by a known technique, detailed description thereof will be omitted.

システム構成DB33は、情報処理システム20の構成を管理する構成管理データベースである。システム構成DB33は、各ノードの定義情報及び連携先情報を少なくとも管理する。ここで、ノードの定義情報は、ノードの役割や用途、ハードウェアスペック、稼働するソフトウェアに関する情報である。ノードの役割や用途とは、例えば、ノード上で稼働するアプリケーションが業務系であるか、管理(監視)系であるかといったことを特定できる情報であってもよい。また、連携先情報は、ノードの連携先のノードに関する情報、例えば、ホスト名やIP(Internet Protocol)アドレス等である。 The system configuration DB 33 is a configuration management database that manages the configuration of the information processing system 20. The system configuration DB 33 manages at least the definition information and the cooperation destination information of each node. Here, the node definition information is information on the role and use of the node, the hardware specifications, and the software to be operated. The role and use of the node may be, for example, information that can identify whether the application running on the node is a business system or a management (monitoring) system. Further, the cooperation destination information is information about the node of the cooperation destination of the node, for example, a host name, an IP (Internet Protocol) address, or the like.

モデルDB34は、対処不要モデル341及び要対処モデル342を管理するデータベースである。対処不要モデル341及び要対処モデル342は、上述したログ判定モデルの一例である。 The model DB 34 is a database that manages the coping-free model 341 and the coping-requiring model 342. The coping-free model 341 and the coping-required model 342 are examples of the log determination model described above.

対処不要モデル341は、ログデータに対する対処が不要であるか否かを判定するモデルである。まず、対処不要モデル341は、ログデータが単なる通知や警告を示す場合、対処が不要と判定する。また、例えば、ログデータがエラーログであっても、情報処理システム20へ実質的な影響がない場合がある。この場合、ログデータがエラーログであっても、情報処理システム20に対する管理者による具体的な対処(操作、作業等)が不要となる。よって、対処不要モデル341は、このようなエラーログについても対処が不要と判定する。 The action-free model 341 is a model for determining whether or not the action for the log data is unnecessary. First, the action-free model 341 determines that no action is required when the log data merely indicates a notification or warning. Further, for example, even if the log data is an error log, it may not have a substantial effect on the information processing system 20. In this case, even if the log data is an error log, it is not necessary for the administrator to take specific measures (operations, operations, etc.) for the information processing system 20. Therefore, the action-free model 341 determines that no action is required for such an error log.

要対処モデル342は、ログデータに対する具体的な対処方法が判明しているか否かを判定するモデルである。例えば、あるログデータに対して過去に具体的な対処方法が判明している場合がある。そこで、要対処モデル342は、このようなログデータについて、(具体的な対処方法が判明しているため)対処が必要であると判定する。 The response-required model 342 is a model for determining whether or not a specific countermeasure for log data is known. For example, a specific countermeasure may be known in the past for a certain log data. Therefore, the action-requiring model 342 determines that such log data needs to be dealt with (because a specific coping method is known).

そのため、あるログデータが、対処不要モデル341及び要対処モデル342のいずれでも検出されない(ログフォーマットが不一致となる)場合、当該ログデータに対する対処が不明であることを示す。 Therefore, if a certain log data is not detected in either the action-unnecessary model 341 or the action-requiring model 342 (the log formats do not match), it indicates that the action for the log data is unknown.

また、対処不要モデル341及び要対処モデル342は、過去のログデータから特徴のある共通的な文字列と変数部分とを含むログフォーマットを用いて、入力されたログデータと照合し、一致又は不一致を照合結果として出力する。 In addition, the action-free model 341 and the action-required model 342 collate with the input log data using a log format including a characteristic common character string and a variable part from the past log data, and match or do not match. Is output as a collation result.

また、対処不要モデル341及び要対処モデル342は、ログデータを入力として、設定されたパラメータを用いて所定の演算を行い、演算結果を出力する処理が実装されたプログラムモジュールやモデル式である。ここで、パラメータは、重み付け係数やバイアスを含む。尚、対処不要モデル341及び要対処モデル342は、ニューラルネットワーク、サポートベクターマシン等により実現可能である。例えば、対処不要モデル341及び要対処モデル342は、学習されたログフォーマットと入力されたログデータとを照合し、一致又は不一致を判定する。 Further, the coping-unnecessary model 341 and the coping-required model 342 are program modules and model formulas in which a process of inputting log data, performing a predetermined calculation using set parameters, and outputting a calculation result is implemented. Here, the parameters include a weighting coefficient and a bias. The coping-free model 341 and the coping-required model 342 can be realized by a neural network, a support vector machine, or the like. For example, the action-free model 341 and the action-requiring model 342 collate the learned log format with the input log data, and determine a match or a mismatch.

アラートログDB35は、ノード21から2nから出力されたログデータ対する分析結果等を管理するデータベースである。アラートログDB35は、ログフォーマット351、対処要否352及び対処方法353を対応付けて少なくとも管理する。ログフォーマット351は、各ノードから出力されたログデータのうち共通する文字列と文字列の可変部分とを定義したログメッセージの書式情報である。例えば、ログフォーマット351は、ログメッセージの固定文字列と変数部分とで構成される。ログフォーマット351は、予め設定されたものか、ログ分析装置32により解析されて導出されたものであってもよい。尚、ログフォーマット351の代わりにログメッセージそのものを用いても良い。対処要否352は、ログフォーマット351に該当するログデータについて過去に管理者により対処が実施されたか否かを示す情報である。対処方法353は、対処要否352が「要」であるログフォーマット351について、管理者により実施された対処内容を示す情報である。対処方法353は、例えば、所定のジョブを再実行することや、アプリケーションの再起動などが挙げられるが、これに限定されない。 The alert log DB 35 is a database that manages analysis results and the like for log data output from the node 21 to 2n. The alert log DB 35 manages at least the log format 351 and the coping necessity 352 and the coping method 353 in association with each other. The log format 351 is log message format information that defines a common character string and a variable portion of the character string in the log data output from each node. For example, the log format 351 is composed of a fixed character string of a log message and a variable part. The log format 351 may be a preset one or one that has been analyzed and derived by the log analyzer 32. The log message itself may be used instead of the log format 351. The action necessity 352 is information indicating whether or not the log data corresponding to the log format 351 has been dealt with by the administrator in the past. The coping method 353 is information indicating the content of the coping taken by the administrator for the log format 351 for which the coping necessity 352 is "necessary". The coping method 353 includes, but is not limited to, re-execution of a predetermined job, restart of an application, and the like.

尚、システム構成DB33、モデルDB34及びアラートログDB35のそれぞれは、記憶装置を備えるコンピュータ上で稼働するデータベース管理ソフトウェアにより実現可能である。 Each of the system configuration DB 33, the model DB 34, and the alert log DB 35 can be realized by database management software running on a computer provided with a storage device.

図4は、本実施形態2にかかるログ分析装置32の構成を示すブロック図である。ログ分析装置32は、記憶部41と、メモリ42と、IF(InterFace)部43と、制御部44とを備える。記憶部41は、ハードディスク、フラッシュメモリ等の不揮発性記憶装置である。記憶部41は、ログ分析プログラム411を記憶する。ログ分析プログラム411は、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムである。 FIG. 4 is a block diagram showing the configuration of the log analyzer 32 according to the second embodiment. The log analysis device 32 includes a storage unit 41, a memory 42, an IF (InterFace) unit 43, and a control unit 44. The storage unit 41 is a non-volatile storage device such as a hard disk or a flash memory. The storage unit 41 stores the log analysis program 411. The log analysis program 411 is a computer program in which the processing of the log analysis method according to the present embodiment is implemented.

メモリ42は、RAM(Random Access Memory)等の揮発性記憶装置であり、制御部44の動作時に一時的に情報を保持するための記憶領域である。IF部43は、ログ分析装置32の外部との入出力を行うインタフェースである。例えば、IF部43は、外部から取得したデータを制御部44へ出力する。また、IF部43は、制御部44から受け付けたデータを外部へ出力する。 The memory 42 is a volatile storage device such as a RAM (Random Access Memory), and is a storage area for temporarily holding information when the control unit 44 operates. The IF unit 43 is an interface for inputting / outputting to / from the outside of the log analyzer 32. For example, the IF unit 43 outputs the data acquired from the outside to the control unit 44. Further, the IF unit 43 outputs the data received from the control unit 44 to the outside.

制御部44は、ログ分析装置32の各構成を制御するプロセッサつまり制御装置である。制御部44は、記憶部41からログ分析プログラム411をメモリ42へ読み込み、ログ分析プログラム411を実行する。これにより、制御部44は、判定部441、取得部442、特定部443、表示部444、登録部445及び学習部446の機能を実現する。 The control unit 44 is a processor, that is, a control device that controls each configuration of the log analysis device 32. The control unit 44 reads the log analysis program 411 from the storage unit 41 into the memory 42, and executes the log analysis program 411. As a result, the control unit 44 realizes the functions of the determination unit 441, the acquisition unit 442, the specific unit 443, the display unit 444, the registration unit 445, and the learning unit 446.

判定部441は、上述した判定部110の一例であり、対処不要モデル341及び要対処モデル342を用いて、入力されたログデータに対する対処の要否を判定する。ここで、判定部441は、ノード21から2nのそれぞれから出力されるログメッセージを検知した場合に判定を行うものとする。そして、判定部441は、ログデータを対処不要モデル341及び要対処モデル342のログフォーマットと照合し、一致するか否かを判定する。尚、ログデータが対処不要モデル341及び要対処モデル342のいずれとも一致しない場合、当該ログデータは、対処方法が未知であるログ(以後、未知ログと呼ぶ。)といえる。 The determination unit 441 is an example of the determination unit 110 described above, and determines the necessity of coping with the input log data by using the coping-free model 341 and the coping-requiring model 342. Here, the determination unit 441 shall make a determination when it detects a log message output from each of the nodes 21 to 2n. Then, the determination unit 441 collates the log data with the log formats of the coping-unnecessary model 341 and the coping-required model 342, and determines whether or not they match. If the log data does not match either the response-unnecessary model 341 or the response-required model 342, the log data can be said to be a log for which the countermeasure is unknown (hereinafter referred to as an unknown log).

取得部442は、上述した取得部120の一例であり、判定部441においてログデータが対処不要モデル341と一致せず、要対処モデル342と一致する場合に、システム構成DB33から、ログデータを出力したノードの定義情報や当該ノードの連携先情報を取得する。例えば、取得部442は、ログデータを出力したノードの識別情報をキーとしてシステム構成DB33に対して検索を行う。 The acquisition unit 442 is an example of the acquisition unit 120 described above, and outputs log data from the system configuration DB 33 when the log data in the determination unit 441 does not match the action-unnecessary model 341 and matches the action-required model 342. Acquires the definition information of the node and the cooperation destination information of the node. For example, the acquisition unit 442 searches the system configuration DB 33 using the identification information of the node that outputs the log data as a key.

また、取得部442は、状況監視サーバ31に対して負荷状況や稼働状況の取得要求を行う。尚、取得部442は、状況監視サーバ31の機能を備えていても良い。 In addition, the acquisition unit 442 requests the status monitoring server 31 to acquire the load status and the operating status. The acquisition unit 442 may have the function of the status monitoring server 31.

特定部443は、上述した特定部130の一例であり、取得部442により取得されたノードの定義情報や連携先情報から、ログデータが示すエラーによる情報処理システム20への影響範囲を特定する。 The specific unit 443 is an example of the specific unit 130 described above, and specifies the range of influence on the information processing system 20 due to the error indicated by the log data from the node definition information and the cooperation destination information acquired by the acquisition unit 442.

また、特定部443は、取得部442により取得された負荷状況や稼働状況に基づいて、対処の緊急度を特定する。これにより、ログ分析装置32は、ノードの最新の状態を動的に取得して、緊急度を特定するため、緊急度の精度がより向上する。 In addition, the specific unit 443 specifies the urgency of the countermeasure based on the load status and the operating status acquired by the acquisition unit 442. As a result, the log analysis device 32 dynamically acquires the latest state of the node and identifies the urgency, so that the accuracy of the urgency is further improved.

さらに、特定部443は、特定された情報処理システム20への影響範囲に基づいて対処の緊急度を特定することが望ましい。これにより、緊急度を特定する精度がより向上する。 Further, it is desirable that the specific unit 443 specifies the degree of urgency of the countermeasure based on the range of influence on the specified information processing system 20. As a result, the accuracy of identifying the degree of urgency is further improved.

また、特定部443は、取得されたノードの定義情報に基づいて、対処の緊急度を特定してもよい。例えば、ノードの役割(定義情報)が管理系を示す場合、特定部443は、ノードの役割が業務系の場合と比べて緊急度を低く特定する。これにより、業務系の障害の復旧を優先させ、業務への影響を最小限に抑えることができる。 Further, the specific unit 443 may specify the urgency of the countermeasure based on the acquired definition information of the node. For example, when the role of the node (definition information) indicates the management system, the specific unit 443 specifies the role of the node with a lower degree of urgency than in the case of the business system. As a result, it is possible to prioritize the recovery of business-related failures and minimize the impact on business.

さらに、特定部443は、ログデータが発生した時間帯をさらに加味して、緊急度を特定することが望ましい。その理由は、同じエラーであっても発生した時間帯によって対処の緊急度が異なるためである。特に、ノードの役割(定義情報)が業務系を示す場合、特定部443は、エラーの発生時間帯が業務時間帯である日中であれば緊急度を相対的に高く、業務時間外である夜間であれば緊急度を相対的に低く特定する。一方、ノードの役割(定義情報)が夜間バッチの実行であれば、特定部443は、エラーの発生時間帯が夜間の場合に緊急度を相対的に高く、日中であれば緊急度を相対的に低く特定する。これにより、緊急度の妥当性が向上する。 Further, it is desirable that the specific unit 443 specifies the degree of urgency by further considering the time zone in which the log data was generated. The reason is that even if the same error occurs, the urgency of dealing with it differs depending on the time of day when it occurs. In particular, when the role (definition information) of the node indicates a business system, the specific unit 443 has a relatively high degree of urgency if the error occurrence time zone is the business time zone during the daytime, and is outside the business hours. At night, specify a relatively low degree of urgency. On the other hand, if the role of the node (definition information) is nighttime batch execution, the specific unit 443 has a relatively high urgency when the error occurrence time zone is nighttime, and a relative urgency when the error occurs during the daytime. Specify low. This improves the validity of the urgency.

また、特定部443は、ログデータに対応する対処方法をアラートログDB35から特定する。例えば、特定部443は、ログデータが該当するログフォーマット351に対応付けられた対処方法353を特定する。 In addition, the specifying unit 443 specifies a coping method corresponding to the log data from the alert log DB 35. For example, the specifying unit 443 specifies a coping method 353 in which the log data is associated with the corresponding log format 351.

表示部444は、特定部443により特定された緊急度に従ってログデータを表示装置(不図示)に表示する。これにより、管理者が対処の緊急度を明確に把握できる。このとき、表示部444は、特定された優先度と対応付けてログデータを表示してもよい。または、表示部444は、特定された優先度に従った順序でログデータを表示してもよい。併せて、表示部444は、特定部443により特定された情報処理システム20への影響範囲を表示するとよい。 The display unit 444 displays the log data on the display device (not shown) according to the urgency specified by the specific unit 443. As a result, the administrator can clearly grasp the urgency of the countermeasure. At this time, the display unit 444 may display the log data in association with the specified priority. Alternatively, the display unit 444 may display the log data in an order according to the specified priority. At the same time, the display unit 444 may display the range of influence on the information processing system 20 specified by the specific unit 443.

登録部445は、複数のログメッセージを分析してログフォーマットを決定し、決定したログフォーマット351をアラートログDB35に登録する。尚、ログフォーマットの決定の仕方は、公知の技術を用いることができるため、詳細な説明を省略する。 The registration unit 445 analyzes a plurality of log messages, determines a log format, and registers the determined log format 351 in the alert log DB 35. Since a known technique can be used for determining the log format, detailed description thereof will be omitted.

また、登録部445は、未知ログに対して管理者が判定した対処要否、対処方法の入力を受け付け、該当するログフォーマットに、対処要否と対処方法とを対応付けてアラートログDB35に登録する。 In addition, the registration unit 445 receives the input of the countermeasure necessity and the countermeasure method determined by the administrator for the unknown log, and registers the countermeasure necessity and the countermeasure method in the alert log DB35 in association with the corresponding log format. To do.

学習部446は、ログデータ(ログフォーマット)と、当該ログデータの判定結果(対処要否)及び対処内容(対処方法)とを学習用データとして、対処不要モデル341及び要対処モデル342を学習する。例えば、学習部446は、各ログフォーマット351に、対応する対処要否352をラベルとして付して学習用データとし、対処不要モデル341を機械学習する。また、学習部446は、対処要否352が「要」であるログフォーマット351について、対処方法353の有無をラベルとして付して学習用データとし、要対処モデル342を機械学習する。そして、判定部441は、学習後の対処不要モデル341及び要対処モデル342を用いて判定を行う。 The learning unit 446 learns the coping unnecessary model 341 and the coping model 342 by using the log data (log format), the determination result of the log data (necessity of coping) and the coping content (coping method) as learning data. .. For example, the learning unit 446 attaches the corresponding coping necessity 352 as a label to each log format 351 as learning data, and machine-learns the coping-free model 341. Further, the learning unit 446 attaches the presence / absence of the coping method 353 as a label to the log format 351 for which the coping necessity 352 is "necessary" and uses it as learning data, and machine-learns the coping model 342. Then, the determination unit 441 makes a determination using the post-learning coping-free model 341 and the coping-requiring model 342.

図5は、本実施形態2にかかるログ分析方法の流れを示すフローチャートである。まず、判定部441は、ノード21から2nのそれぞれから出力されるログデータ(ログメッセージ)を検知する(S201)。次に、判定部441は、ログデータを対処不要モデル341のログフォーマットと照合する(S202)。一致と判定した場合、ステップS201へ戻る。この場合、既知の対処不要なログであるため、管理者は対処を行わない。 FIG. 5 is a flowchart showing the flow of the log analysis method according to the second embodiment. First, the determination unit 441 detects the log data (log message) output from each of the nodes 21 to 2n (S201). Next, the determination unit 441 collates the log data with the log format of the no-action model 341 (S202). If it is determined that they match, the process returns to step S201. In this case, the administrator does not take any action because it is a known log that does not require any action.

一方、ステップS202で不一致と判定した場合、判定部441は、ログデータを要対処モデル342のログフォーマットと照合する(S203)。一致と判定した場合、取得部442は、システム構成DB33から、ログデータを出力したノードの定義情報や当該ノードの連携先情報を取得する。そして、特定部443は、取得されたノードの定義情報や連携先情報から、ログデータが示すエラーによる情報処理システム20への影響範囲を特定する(S204)。 On the other hand, when it is determined in step S202 that there is a mismatch, the determination unit 441 collates the log data with the log format of the model 342 requiring action (S203). If it is determined that they match, the acquisition unit 442 acquires the definition information of the node that outputs the log data and the cooperation destination information of the node from the system configuration DB 33. Then, the identification unit 443 specifies the range of influence on the information processing system 20 due to the error indicated by the log data from the acquired node definition information and cooperation destination information (S204).

続いて、取得部442は、状況監視サーバ31に対して負荷状況や稼働状況の取得要求を行う。そして、特定部443は、取得された負荷状況や稼働状況、システムへの影響範囲、ノードの定義情報、連携先情報、ログデータが発生した時間帯に基づいて、対処の緊急度を特定する(S205)。 Subsequently, the acquisition unit 442 requests the status monitoring server 31 to acquire the load status and the operating status. Then, the identification unit 443 specifies the urgency of the countermeasure based on the acquired load status and operation status, the range of influence on the system, the node definition information, the cooperation destination information, and the time zone when the log data is generated ( S205).

そして、特定部443は、ログデータに対応する対処方法をアラートログDB35から特定する(S206)。 Then, the identification unit 443 specifies a coping method corresponding to the log data from the alert log DB35 (S206).

その後、表示部444は、緊急度に基づいて表示する(S207)。例えば、表示部444は、ログデータ、緊急度、システムへの影響度合いを対応付けて表示装置に表示する。その後、ステップS201へ戻る。これにより、管理者は、表示装置に表示された内容、特に、緊急度を加味して、ログデータに対する対処を実施できる。 After that, the display unit 444 displays based on the degree of urgency (S207). For example, the display unit 444 displays the log data, the degree of urgency, and the degree of influence on the system on the display device in association with each other. After that, the process returns to step S201. As a result, the administrator can take measures against the log data in consideration of the contents displayed on the display device, particularly the degree of urgency.

ステップS203で不一致と判定した場合、つまり、検知したログデータが未知ログであった場合、表示部444は、ログデータが未知ログである旨を表示装置に表示する。そして、管理者は、未知ログに対して対処要否を検討し、対処が「要」である場合、その対処方法を検討する。また、管理者は、未知ログのログフォーマットを決定してもよい。その後、管理者は、ログ分析装置32に対して未知ログのログフォーマットと対処要否及び対象方法を入力する。そのため、ログ分析装置32は、未知ログのログフォーマットと対処要否及び対象方法の入力を受け付ける(S208)。 When it is determined in step S203 that there is a mismatch, that is, when the detected log data is an unknown log, the display unit 444 displays on the display device that the log data is an unknown log. Then, the administrator examines whether or not it is necessary to deal with the unknown log, and if the action is "necessary", considers how to deal with it. The administrator may also determine the log format of the unknown log. After that, the administrator inputs the log format of the unknown log, the necessity of countermeasures, and the target method to the log analysis device 32. Therefore, the log analysis device 32 accepts the input of the log format of the unknown log, the necessity of countermeasures, and the target method (S208).

そして、登録部445は、受け付けた未知ログのログフォーマットと対処要否及び対象方法とを対応付けて、アラートログDB35に登録する(S209)。 Then, the registration unit 445 associates the received log format of the unknown log with the necessity of countermeasures and the target method, and registers the log format in the alert log DB 35 (S209).

その後、学習部446は、アラートログDB35に登録されているログフォーマット351、対処要否352及び対処方法353を学習用データとして対処不要モデル341及び要対処モデル342を機械学習する(S210)。その後、ステップS201へ戻る。 After that, the learning unit 446 uses the log format 351 registered in the alert log DB 35, the coping necessity 352, and the coping method 353 as learning data to machine-learn the coping-unnecessary model 341 and the coping model 342 (S210). After that, the process returns to step S201.

このように、本実施形態によりログデータに対する対処すべき順序を実運用に即して適切に判別することができる。 In this way, according to the present embodiment, the order in which the log data should be dealt with can be appropriately determined according to the actual operation.

<実施形態3>
本実施形態3は、上述した実施形態2の変形例である。図6は、本実施形態3にかかるログ分析システム200aの全体構成を示すブロック図である。ログ分析システム200aは、情報処理システム20と、状況監視サーバ31と、ログ分析装置32aと、システム構成DB33と、モデルDB34aと、アラートログDB35aとを備え、これらがネットワークNを介して接続されている。尚、以下の説明では、実施形態2と同様の構成には、同一の符号を付し、適宜、説明を省略する。 <Embodiment 3>
The third embodiment is a modification of the second embodiment described above. FIG. 6 is a block diagram showing an overall configuration of the log analysis system 200a according to the third embodiment. The log analysis system 200a includes an information processing system 20, a status monitoring server 31, a log analysis device 32a, a system configuration DB 33, a model DB 34a, and an alert log DB 35a, which are connected via the network N. There is. In the following description, the same components as those in the second embodiment are designated by the same reference numerals, and the description thereof will be omitted as appropriate.

モデルDB34aは、要対処モデル342の代わりに、要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423を管理する。要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423は、緊急度ごとのログ判定モデルである。 The model DB 34a manages a response-requiring model (low urgency) 3421, a response-requiring model (medium urgency) 3422, and a response-requiring model (high urgency) 3423 instead of the response-requiring model 342. The response-requiring model (low urgency) 3421, the response-requiring model (medium urgency) 3422, and the response-requiring model (high urgency) 3423 are log determination models for each urgency.

アラートログDB35aは、ログフォーマット351に緊急度354をさらに対応付けて管理する。 The alert log DB 35a manages the log format 351 in association with the urgency level 354.

図7は、本実施形態3にかかるログ分析装置32aの構成を示すブロック図である。ログ分析装置32aは、記憶部41aと、メモリ42と、IF部43と、制御部44aとを備える。記憶部41aは、ログ分析プログラム411aを記憶する。ログ分析プログラム411aは、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムである。 FIG. 7 is a block diagram showing the configuration of the log analyzer 32a according to the third embodiment. The log analysis device 32a includes a storage unit 41a, a memory 42, an IF unit 43, and a control unit 44a. The storage unit 41a stores the log analysis program 411a. The log analysis program 411a is a computer program in which the processing of the log analysis method according to the present embodiment is implemented.

制御部44aは、記憶部41aからログ分析プログラム411aをメモリ42へ読み込み、ログ分析プログラム411aを実行する。これにより、制御部44aは、判定部441a、取得部442a、特定部443a、表示部444、登録部445a及び学習部446aの機能を実現する。 The control unit 44a reads the log analysis program 411a from the storage unit 41a into the memory 42, and executes the log analysis program 411a. As a result, the control unit 44a realizes the functions of the determination unit 441a, the acquisition unit 442a, the specific unit 443a, the display unit 444, the registration unit 445a, and the learning unit 446a.

登録部445aは、未知ログに対して管理者が判定した対処要否、対処方法及び緊急度の入力を受け付け、該当するログフォーマットに、対処要否と対処方法と緊急度とを対応付けてアラートログDB35aに登録する。 The registration unit 445a accepts the input of the necessity, countermeasure, and urgency of the unknown log determined by the administrator, and alerts the corresponding log format by associating the response necessity, the countermeasure, and the urgency. Register in the log DB35a.

学習部446aは、ログデータに対する対処が必要と判定された場合、当該ログデータにおける学習用データを用いて、特定された緊急度に対応するログ判定モデルを学習する。例えば、中緊急度と特定された場合、学習部446aは、対処要否352が「要」、かつ、緊急度354が「中」であるログフォーマット351について、対処方法353の有無をラベルとして付して学習用データとし、要対処モデル(中緊急度)3422を機械学習する。要対処モデル(低緊急度)3421及び要対処モデル(高緊急度)3423についても同様である。 When it is determined that the log data needs to be dealt with, the learning unit 446a learns the log determination model corresponding to the specified urgency by using the learning data in the log data. For example, when the degree of urgency is specified as medium urgency, the learning unit 446a labels the log format 351 in which the necessity 352 is "necessary" and the urgency 354 is "medium" as the presence or absence of the countermeasure 353. Then, it is used as learning data, and a model requiring coping (medium urgency) 3422 is machine-learned. The same applies to the response-requiring model (low urgency) 3421 and the response-requiring model (high urgency) 3423.

判定部441aは、複数のログ判定モデル(要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423)のそれぞれに対して、ログデータに対する対処の要否を判定する。 The determination unit 441a refers to the log data for each of the plurality of log determination models (response required model (low urgency) 3421, response required model (medium urgency) 3422, and response required model (high urgency) 3423). Determine the need for action.

特定部443aは、ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、緊急度を特定する。 The identification unit 443a further adds the urgency corresponding to the log determination model used for determining the log data, and specifies the urgency.

取得部442aは、特定された緊急度に基づき、ログデータへの対処内容をさらに特定する。 The acquisition unit 442a further specifies the content of dealing with the log data based on the specified urgency.

図8は、本実施形態3にかかるログ分析方法の流れを示すフローチャートである。以下では、図5と同様の処理については説明を省略する。ステップS202で不一致と判定した場合、判定部441aは、ログデータを要対処モデル(高緊急度)3423のログフォーマットと照合する(S203a)。不一致と判定した場合、判定部441aは、ログデータを要対処モデル(中緊急度)3422のログフォーマットと照合する(S203b)。不一致と判定した場合、判定部441aは、ログデータを要対処モデル(低緊急度)3421のログフォーマットと照合する(S203c)。 FIG. 8 is a flowchart showing the flow of the log analysis method according to the third embodiment. In the following, description of the same processing as in FIG. 5 will be omitted. If it is determined in step S202 that there is a mismatch, the determination unit 441a collates the log data with the log format of the response-requiring model (high urgency) 3423 (S203a). When it is determined that there is a mismatch, the determination unit 441a collates the log data with the log format of the response-requiring model (medium urgency) 3422 (S203b). When it is determined that there is a mismatch, the determination unit 441a collates the log data with the log format of the response-requiring model (low urgency) 3421 (S203c).

ステップS203a、S203b及びS203cのいずれかで一致と判定した場合、ステップS204へ進む。ステップS204の後、特定部443aは、取得された負荷状況や稼働状況、システムへの影響範囲、ノードの定義情報、連携先情報、ログデータが発生した時間帯に加えて、一致と判定したログ判定モデルに対応する緊急度に基づいて、対処の緊急度を特定する(S205a)。例えば、ステップS203aにおいて一致と判定した場合、特定部443aは、対処の緊急度を「高」と特定する。 If it is determined in any of steps S203a, S203b and S203c that they match, the process proceeds to step S204. After step S204, the identification unit 443a adds the acquired load status and operation status, the range of influence on the system, the node definition information, the cooperation destination information, and the time zone in which the log data was generated, and the log determined to match. The urgency of coping is specified based on the urgency corresponding to the determination model (S205a). For example, if it is determined in step S203a that they match, the identification unit 443a specifies the urgency of the countermeasure as "high".

そして、特定部443aは、特定された緊急度に基づき、ログデータに対応する対処方法をアラートログDB35aから特定する(S206a)。例えば、ステップS203aにおいて一致と判定した場合、特定部443aは、ログデータが該当するログフォーマット351及び「高」である緊急度354に対応付けられた対処方法353を特定する。 Then, the specifying unit 443a specifies a coping method corresponding to the log data from the alert log DB35a based on the specified urgency (S206a). For example, when it is determined in step S203a that they match, the identification unit 443a specifies the coping method 353 associated with the log format 351 to which the log data corresponds and the urgency 354 which is "high".

ステップS203cで不一致と判定した場合、つまり、検知したログデータがいずれの要対処モデルとも一致しなかった場合、未知ログとなる。未知ログの場合、管理者は、未知ログに対して対処要否を検討し、対処が「要」である場合、その対処方法及び緊急度を検討する。また、管理者は、未知ログのログフォーマットを決定してもよい。その後、管理者は、ログ分析装置32に対して未知ログのログフォーマットと対処要否、対象方法及び緊急度を入力する。そのため、ログ分析装置32は、未知ログのログフォーマットと対処要否、対象方法及び緊急度の入力を受け付ける(S208a)。 If it is determined in step S203c that there is a mismatch, that is, if the detected log data does not match any of the models requiring action, an unknown log is created. In the case of an unknown log, the administrator examines the necessity of dealing with the unknown log, and if the action is "necessary", considers the coping method and the degree of urgency. The administrator may also determine the log format of the unknown log. After that, the administrator inputs the log format of the unknown log, the necessity of countermeasures, the target method, and the degree of urgency to the log analyzer 32. Therefore, the log analyzer 32 accepts the input of the log format of the unknown log, the necessity of countermeasures, the target method, and the degree of urgency (S208a).

そして、登録部445aは、受け付けた未知ログのログフォーマットと対処要否、対象方法及び緊急度とを対応付けて、アラートログDB35aに登録する(S209a)。 Then, the registration unit 445a associates the received log format of the unknown log with the necessity of countermeasures, the target method, and the degree of urgency, and registers the log format in the alert log DB35a (S209a).

その後、学習部446aは、アラートログDB35aに登録されているログフォーマット351、対処要否352、対処方法353及び緊急度354を学習用データとして対処不要モデル341、要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423を機械学習する(S210a)。その後、ステップS201へ戻る。 After that, the learning unit 446a uses the log format 351 registered in the alert log DB 35a, the coping necessity 352, the coping method 353, and the urgency level 354 as learning data as the coping unnecessary model 341 and the coping required model (low urgency) 3421. , The coping model (medium urgency) 3422 and the coping model (high urgency) 3423 are machine-learned (S210a). After that, the process returns to step S201.

このように、本実施形態によってもログデータに対する対処すべき順序を実運用に即して適切に判別することができる。 As described above, also in this embodiment, the order in which the log data should be dealt with can be appropriately determined according to the actual operation.

<その他の実施形態>
尚、上述の実施形態では、ハードウェアの構成として説明したが、これに限定されるものではない。本開示は、任意の処理を、CPUにコンピュータプログラムを実行させることにより実現することも可能である。 <Other Embodiments>
In the above-described embodiment, the description is made as a hardware configuration, but the present invention is not limited to this. The present disclosure can also be realized by causing the CPU to execute a computer program.

上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、DVD(Digital Versatile Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 In the above example, the program can be stored and supplied to a computer using various types of non-transitory computer readable media. Non-transitory computer-readable media include various types of tangible storage media. Examples of non-temporary computer-readable media include magnetic recording media (eg flexible disks, magnetic tapes, hard disk drives), opto-magnetic recording media (eg optomagnetic disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R / W, DVD (Digital Versatile Disc), semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (Random Access Memory)) are included. The program may also be supplied to the computer by various types of transient computer readable media. Examples of temporary computer-readable media include electrical, optical, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.

なお、本開示は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施形態を適宜組み合わせて実施されてもよい。 The present disclosure is not limited to the above embodiment, and can be appropriately modified without departing from the spirit. Further, the present disclosure may be carried out by appropriately combining the respective embodiments.

上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記A1)
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備えるログ分析装置。
(付記A2)
前記状況情報は、前記ノードのリソースの負荷状況又は稼働状況の少なくともいずれかを含む
付記A1に記載のログ分析装置。
(付記A3)
前記取得部は、
前記システムの構成を管理する構成データベースから、前記ノードの定義情報をさらに取得し、
前記特定部は、
前記定義情報をさらに加味して、前記緊急度を特定する
付記A1又はA2に記載のログ分析装置。
(付記A4)
前記取得部は、
前記構成データベースから、前記ノードの連携先のノードに関する連携先情報をさらに取得し、
前記特定部は、
前記連携先情報をさらに加味して、前記緊急度を特定する
付記A3に記載のログ分析装置。
(付記A5)
前記特定部は、
前記ログデータが発生した時間帯をさらに加味して、前記緊急度を特定する
付記A1乃至A4のいずれか1項に記載のログ分析装置。
(付記A6)
前記ログデータと、当該ログデータの判定結果及び対処内容とを学習用データとして、前記ログ判定モデルを学習する学習部をさらに備える
付記A1乃至A5のいずれか1項に記載のログ分析装置。
(付記A7)
前記ログ分析装置は、前記緊急度ごとの複数のログ判定モデルを有し、
前記学習部は、
前記ログデータに対する対処が必要と判定された場合、当該ログデータにおける前記学習用データを用いて、前記特定された緊急度に対応する前記ログ判定モデルを学習し、
前記判定部は、前記複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
前記特定部は、
前記ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、前記緊急度を特定する
付記A6に記載のログ分析装置。
(付記A8)
前記特定された緊急度に従って前記ログデータを表示する表示部をさらに備える
付記A1乃至A7のいずれか1項に記載のログ分析装置。
(付記A9)
前記特定部は、
前記特定された緊急度に基づき、前記ログデータへの対処内容をさらに特定する
付記A1乃至A8のいずれか1項に記載のログ分析装置。
(付記B1)
コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する
ログ分析方法。
(付記C1)
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させるログ分析プログラム。 Some or all of the above embodiments may also be described, but not limited to:
(Appendix A1)
A determination unit that determines the necessity of dealing with predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, an acquisition unit that acquires the current status information about the system including the node from which the log data is output, and an acquisition unit.
Based on the situation information, a specific unit that identifies the urgency of dealing with the log data, and
A log analyzer equipped with.
(Appendix A2)
The log analyzer according to Appendix A1, wherein the status information includes at least one of the load status and the operation status of the resources of the node.
(Appendix A3)
The acquisition unit
Further, the definition information of the node is acquired from the configuration database that manages the configuration of the system.
The specific part is
The log analyzer according to Appendix A1 or A2, which further adds the definition information to specify the degree of urgency.
(Appendix A4)
The acquisition unit
Further, the cooperation destination information regarding the cooperation destination node of the node is further acquired from the configuration database.
The specific part is
The log analysis device according to Appendix A3, which further considers the cooperation destination information and specifies the degree of urgency.
(Appendix A5)
The specific part is
The log analyzer according to any one of Supplementary A1 to A4, which further considers the time zone in which the log data is generated and specifies the degree of urgency.
(Appendix A6)
The log analysis apparatus according to any one of Supplementary A1 to A5, further comprising a learning unit for learning the log determination model by using the log data, a determination result of the log data, and a countermeasure content as learning data.
(Appendix A7)
The log analyzer has a plurality of log determination models for each degree of urgency.
The learning unit
When it is determined that it is necessary to deal with the log data, the log determination model corresponding to the specified urgency is learned by using the learning data in the log data.
The determination unit determines the necessity of dealing with the log data for each of the plurality of log determination models.
The specific part is
The log analysis device according to Appendix A6, which specifies the urgency by further adding the urgency corresponding to the log determination model used for determining the log data.
(Appendix A8)
The log analyzer according to any one of Supplementary A1 to A7, further comprising a display unit that displays the log data according to the specified urgency.
(Appendix A9)
The specific part is
The log analyzer according to any one of Supplementary A1 to A8, which further specifies the content of dealing with the log data based on the specified urgency.
(Appendix B1)
The computer
Using one or more log judgment models, it is judged whether or not it is necessary to deal with the predetermined log data.
When it is determined that the log data needs to be dealt with, the current status information about the system including the node from which the log data is output is acquired.
A log analysis method that identifies the urgency of dealing with the log data based on the status information.
(Appendix C1)
A process of determining the necessity of dealing with a predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, the process of acquiring the current status information about the system including the node from which the log data is output, and the process of acquiring the current status information.
Processing to identify the urgency of dealing with the log data based on the situation information,
A log analysis program that lets your computer run.

100 ログ分析装置
110 判定部
120 取得部
130 特定部
200 ログ分析システム
20 情報処理システム
21 ノード
2n ノード
N ネットワーク
31 状況監視サーバ
32 ログ分析装置
33 システム構成DB
34 モデルDB
341 対処不要モデル
342 要対処モデル
35 アラートログDB
351 ログフォーマット
352 対処要否
353 対処方法
41 記憶部
411 ログ分析プログラム
42 メモリ
43 IF部
44 制御部
441 判定部
442 取得部
443 特定部
444 表示部
445 登録部
446 学習部
200a ログ分析システム
32a ログ分析装置
34a モデルDB
3421 要対処モデル(低緊急度)
3422 要対処モデル(中緊急度)
3423 要対処モデル(高緊急度)
35a アラートログDB
354 緊急度
41a 記憶部
411a ログ分析プログラム
44a 制御部
441a 判定部
442a 取得部
443a 特定部
445a 登録部
446a 学習部 100 Log analysis device 110 Judgment unit 120 Acquisition unit 130 Specific unit 200 Log analysis system 20 Information processing system 21 node 2n node N network 31 Status monitoring server 32 Log analysis device 33 System configuration DB
34 Model DB
341 Action-free model 342 Action-required model 35 Alert log DB
351 Log format 352 Necessity of action 353 Action method 41 Storage section 411 Log analysis program 42 Memory 43 IF section 44 Control section 441 Judgment section 442 Acquisition section 443 Specific section 444 Display section 445 Registration section 446 Learning section 200a Log analysis system 32a Log analysis Device 34a model DB
3421 Response required model (low urgency)
3422 Needed to be dealt with (medium urgency)
3423 Need to deal with model (high urgency)
35a Alert log DB
354 Urgency 41a Storage unit 411a Log analysis program 44a Control unit 441a Judgment unit 442a Acquisition unit 443a Specific unit 445a Registration unit 446a Learning unit

Claims (10)

1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備えるログ分析装置。 A determination unit that determines the necessity of dealing with predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, an acquisition unit that acquires the current status information about the system including the node from which the log data is output, and an acquisition unit.
Based on the situation information, a specific unit that identifies the urgency of dealing with the log data, and
A log analyzer equipped with. 前記状況情報は、前記ノードのリソースの負荷状況又は稼働状況の少なくともいずれかを含む
請求項1に記載のログ分析装置。 The log analyzer according to claim 1, wherein the status information includes at least one of a load status and an operating status of the resources of the node. 前記取得部は、
前記システムの構成を管理する構成データベースから、前記ノードの定義情報をさらに取得し、
前記特定部は、
前記定義情報をさらに加味して、前記緊急度を特定する
請求項1又は2に記載のログ分析装置。 The acquisition unit
Further, the definition information of the node is acquired from the configuration database that manages the configuration of the system.
The specific part is
The log analyzer according to claim 1 or 2, wherein the degree of urgency is specified by further adding the definition information. 前記取得部は、
前記構成データベースから、前記ノードの連携先のノードに関する連携先情報をさらに取得し、
前記特定部は、
前記連携先情報をさらに加味して、前記緊急度を特定する
請求項3に記載のログ分析装置。 The acquisition unit
Further, the cooperation destination information regarding the cooperation destination node of the node is further acquired from the configuration database.
The specific part is
The log analyzer according to claim 3, wherein the urgency is specified by further adding the cooperation destination information. 前記特定部は、
前記ログデータが発生した時間帯をさらに加味して、前記緊急度を特定する
請求項1乃至4のいずれか1項に記載のログ分析装置。 The specific part is
The log analyzer according to any one of claims 1 to 4, further taking into account the time zone in which the log data is generated, and specifying the degree of urgency. 前記ログデータと、当該ログデータの判定結果及び対処内容とを学習用データとして、前記ログ判定モデルを学習する学習部をさらに備える
請求項1乃至5のいずれか1項に記載のログ分析装置。 The log analysis device according to any one of claims 1 to 5, further comprising a learning unit for learning the log determination model by using the log data, a determination result of the log data, and a countermeasure content as learning data. 前記ログ分析装置は、前記緊急度ごとの複数のログ判定モデルを有し、
前記学習部は、
前記ログデータに対する対処が必要と判定された場合、当該ログデータにおける前記学習用データを用いて、前記特定された緊急度に対応する前記ログ判定モデルを学習し、
前記判定部は、前記複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
前記特定部は、
前記ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、前記緊急度を特定する
請求項6に記載のログ分析装置。 The log analyzer has a plurality of log determination models for each degree of urgency.
The learning unit
When it is determined that it is necessary to deal with the log data, the log determination model corresponding to the specified urgency is learned by using the learning data in the log data.
The determination unit determines the necessity of dealing with the log data for each of the plurality of log determination models.
The specific part is
The log analysis apparatus according to claim 6, wherein the urgency corresponding to the log determination model used for determining the log data is further added to specify the urgency. 前記特定された緊急度に従って前記ログデータを表示する表示部をさらに備える
請求項1乃至7のいずれか1項に記載のログ分析装置。 The log analyzer according to any one of claims 1 to 7, further comprising a display unit that displays the log data according to the specified urgency. コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する
ログ分析方法。 The computer
Using one or more log judgment models, it is judged whether or not it is necessary to deal with the predetermined log data.
When it is determined that the log data needs to be dealt with, the current status information about the system including the node from which the log data is output is acquired.
A log analysis method that identifies the urgency of dealing with the log data based on the status information. 1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させるログ分析プログラム。 A process of determining the necessity of dealing with a predetermined log data using one or more log determination models, and
When it is determined that the log data needs to be dealt with, the process of acquiring the current status information about the system including the node from which the log data is output, and the process of acquiring the current status information.
Based on the status information, the process of identifying the urgency of dealing with the log data and
A log analysis program that lets your computer run.
JP2019142596A 2019-08-01 2019-08-01 Log analysis device, method and program Active JP7415363B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019142596A JP7415363B2 (en) 2019-08-01 2019-08-01 Log analysis device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019142596A JP7415363B2 (en) 2019-08-01 2019-08-01 Log analysis device, method and program

Publications (2)

Publication Number Publication Date
JP2021026412A true JP2021026412A (en) 2021-02-22
JP7415363B2 JP7415363B2 (en) 2024-01-17

Family

ID=74663868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019142596A Active JP7415363B2 (en) 2019-08-01 2019-08-01 Log analysis device, method and program

Country Status (1)

Country Link
JP (1) JP7415363B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017004452A (en) * 2015-06-16 2017-01-05 富士ゼロックス株式会社 Information processing device and information processing program
JP2017016238A (en) * 2015-06-29 2017-01-19 株式会社リコー Information processing system and program
WO2017110720A1 (en) * 2015-12-25 2017-06-29 日本電気株式会社 Log analysis system, log analysis method, and recording medium storing program
JP2019049802A (en) * 2017-09-08 2019-03-28 日本電気株式会社 Failure analysis supporting device, incident managing system, failure analysis supporting method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017004452A (en) * 2015-06-16 2017-01-05 富士ゼロックス株式会社 Information processing device and information processing program
JP2017016238A (en) * 2015-06-29 2017-01-19 株式会社リコー Information processing system and program
WO2017110720A1 (en) * 2015-12-25 2017-06-29 日本電気株式会社 Log analysis system, log analysis method, and recording medium storing program
JP2019049802A (en) * 2017-09-08 2019-03-28 日本電気株式会社 Failure analysis supporting device, incident managing system, failure analysis supporting method, and program

Also Published As

Publication number Publication date
JP7415363B2 (en) 2024-01-17

Similar Documents

Publication Publication Date Title
US11016836B2 (en) Graphical user interface for visualizing a plurality of issues with an infrastructure
JP6959736B2 (en) Identifying Network Failure Troubleshooting Options
US10048996B1 (en) Predicting infrastructure failures in a data center for hosted service mitigation actions
JP5684946B2 (en) Method and system for supporting analysis of root cause of event
US11750642B1 (en) Automated threat modeling using machine-readable threat models
US9077609B2 (en) Scalable reusable scanning of application networks/systems
JPWO2013051142A1 (en) Update control apparatus, update control program, and update control method
CN111669281B (en) Alarm analysis method, device, equipment and storage medium
AU2022259730B2 (en) Utilizing machine learning models to determine customer care actions for telecommunications network providers
US11743237B2 (en) Utilizing machine learning models to determine customer care actions for telecommunications network providers
CN109634802B (en) Process monitoring method and terminal equipment
JP6282217B2 (en) Anti-malware system and anti-malware method
US11757708B2 (en) Anomaly detection device, anomaly detection method, and anomaly detection program
US20140330756A1 (en) Automated alerting rules recommendation and selection
JP5949785B2 (en) Information processing method, apparatus and program
CN113259166A (en) Log alarm processing method and device
US20210349895A1 (en) Automatic online log template mining
JP7415363B2 (en) Log analysis device, method and program
US20200342109A1 (en) Baseboard management controller to convey data
CN112256384B (en) Service set processing method and device based on container technology and computer equipment
CN110839066B (en) Data processing method and related equipment
US20100115340A1 (en) Method and apparatus for proactive alert generation via equivalent machine configuration determination from problem history data
US20200202230A1 (en) Cognitive device support for potentially affected devices
US11706117B1 (en) Message-based monitoring and action system
CN116643906A (en) Cloud platform fault processing method and device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220701

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230502

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231218

R151 Written notification of patent or utility model registration

Ref document number: 7415363

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151