JP3778652B2 - ログデータ収集管理方法及びその装置 - Google Patents

ログデータ収集管理方法及びその装置 Download PDF

Info

Publication number
JP3778652B2
JP3778652B2 JP10121097A JP10121097A JP3778652B2 JP 3778652 B2 JP3778652 B2 JP 3778652B2 JP 10121097 A JP10121097 A JP 10121097A JP 10121097 A JP10121097 A JP 10121097A JP 3778652 B2 JP3778652 B2 JP 3778652B2
Authority
JP
Japan
Prior art keywords
log
log data
data
normalized
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP10121097A
Other languages
English (en)
Other versions
JPH10293704A (ja
Inventor
修司 藤野
寿義 森川
明裕 浦野
秀紀 中野
眞司 森田
貢 山田
美貴 新村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP10121097A priority Critical patent/JP3778652B2/ja
Priority to US09/058,890 priority patent/US6173418B1/en
Publication of JPH10293704A publication Critical patent/JPH10293704A/ja
Application granted granted Critical
Publication of JP3778652B2 publication Critical patent/JP3778652B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0226Mapping or translating multiple network management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、マネージャがネットワークを介してエージェントからログデータを収集するシステムに係わり、特にマネージャがシステム内に存在するログデータを共通的なログデータ形式に基づいて管理するログデータの収集と管理の方式に関する。
【0002】
【従来の技術】
情報処理装置で実行されるオペレーティングシステム(OS)やアプリケーションプログラムは、各種のログ情報を出力する。出力されたログ情報を収集するいくつかの方式が知られている。例えば特開平5−250229号公報は、複数のコンピュータからのログデータ収集において、ログデータ中のエラーコードを検出することにより、エラー状態のコンピュータからのログデータを優先的に送信するログデータ収集方式を開示する。また特開平5−28008号公報は、情報処理システムが障害ログを収集するとき貯蔵手段に貯えられたログ情報の個数が一定数に達したことを検出し、ログ登録の抑止を行うことにより重要な障害情報の消失を防ぐログ情報収集方式を開示する。また特開平5−111029号公報は、下位の設備端末からのデータが採取された時刻をデータに付与して上位の制御装置に送ることにより、複数の端末からの各データの時系列的な関係が損なわれることがないようにするデータ収集方式を開示する。
【0003】
【発明が解決しようとする課題】
ネットワークを介して複数のコンピュータが接続され、コンピュータが他のコンピュータと通信しながら処理を進める分散処理システムにおいて、一人のユーザは複数の広範囲に亘るコンピュータやファイルにアクセスし得る。従ってログデータを解析することによってコンピュータやファイルへの不正なアクセスを検出するためには、個々のコンピュータが出力するログデータを中央のコンピュータに集約し、データベースに蓄積する必要がある。しかしながら各種のシステムプログラムやアプリケーションプログラムが出力するログデータは、各々そのデータ形式が異なっているので、単に個々のコンピュータプログラムが出力するログデータを収集して集約するだけではログデータの解析が困難である。また個々のコンピュータが保有する時刻がすべてのコンピュータに亘って一致しているとは限らないので、一般に個々のログデータに付与されている時刻にはずれが生じており、集約されたログデータを正しい時刻の順序に従って配列することが困難である。
【0004】
本発明は、上記の事情に鑑みてなされたものであり、その目的とするところは、共通的なデータ形式に正規化されたログデータを管理することにある。
【0005】
本発明の他の目的は、各サイトのコンピュータからログデータを収集する中央のコンピュータの時刻を基準とするログデータを管理することにある。
【0006】
【課題を解決するための手段】
上記目的を達成するため、本発明は、監視の対象とするログファイル中のログデータからあらかじめ定義されたデータ項目に対応する値を切り出して規定されたデータ項目の値を配列する正規化されたログデータを作成して蓄積する手段と、蓄積された正規化ログデータをネットワークを介してマネージャの機能を実行するコンピュータへ送信する手段とをエージェントの処理手段として有するログデータの収集をするコンピュータを特徴とする。
【0007】
また本発明は、ネットワークを介してエージェントの機能を実行するコンピュータからあらかじめ定義された共通のデータ形式に従って正規化されたログデータであってマネージャの基準とする時刻に基づいて補正されたログ出力時刻を有する正規化ログデータを受信する手段と、該正規化ログデータを補正時刻の順にデータベースに蓄積する手段とをマネージャの処理手段として有するログデータの収集と管理をするコンピュータを特徴とする。
【0008】
【発明の実施の形態】
以下、本発明の一実施形態について図面に基づいて詳細に説明する。
【0009】
図1は、本発明を適用する通信ネットワークの一例を示すシステム構成図である。ネットワークは複数のLAN1,3,4及びWAN(ワイド・エリア・ネットワーク)2に結合されるものである。マネージャ10は、計算機の主記憶装置に格納され、OSの下で走行するアプリケーションプログラム(AP)である。エージェント20は、サーバ等の計算機の主記憶装置に格納され、OSの下で走行するAPである。マネージャ10は、LAN1,3,4又はWAN2を介してエージェント20−1,20−2,20−3,20−4と通信することが可能である。図に示すように、エージェント20を実行する計算機はエージェント20と並行して他のAPを実行することが可能である。マネージャ10を実行する計算機もマネージャ10と並行して他のAPを実行することが可能であるが、充分なCPU性能と資源を確保するためには、専用の計算機を割り当てるのが望ましい。60はこのネットワークシステムを管理するネットワーク管理システムであり、ネットワーク管理プログラム及び図示しないネットワーク監視端末から構成される。ネットワーク管理システム60は、ネットワーク資源についての情報をマネージャ10に提供する。
【0010】
図2は、マネージャとエージェントが行う処理動作の概略を示す図である。マネージャ10は、定義された各種ルールをエージェント20へ配布する(▲1▼)。エージェント20は、受信したルールを登録し、そのルールに従い監視対象ログファイル群30からログデータを入力し(▲2▼)、ログデータを正規化した後、正規化ログファイル40に格納する(▲3▼)。このとき正規化ログデータ中のログ出力時刻をマネージャ10の時刻を基準とする補正時刻によつて補正する。エージェント20は、マネージャ10からログ収集要求があったとき正規化ログファイル40から正規化されたログデータを取り出し(▲4▼)、マネージャ10へ転送する(▲5▼)。マネージャ10は、収集した正規化ログデータを補正時刻の順に正規化ログデータベース50に格納する(▲6▼)。またマネージャ10は、必要に応じて正規化ログデータベース50から任意の正規化ログデータを抽出し、その解析を行う。
【0011】
図3は、マネージャ10の構成を示す機能ブロック図である。ルール110は定義された各種ルールであり、記憶装置に格納される。正規化ログデータベース50は、収集された正規化ログデータを格納するデータベースであり、記憶装置に格納される。ネットワーク管理システム60は、ネットワークを介してマネージャ10を格納する計算機と接続される他の計算機およびネットワークを監視する端末装置から構成されるシステムであり、マネージャ10と同じ計算機で走行するネットワーク管理プログラムは、ネットワークの構成要素である各通信回線、ルータ、中継機、各種計算機、計算機のプログラム等の動作状態(接続中/接続断,動作中/停止状態など)、各ネットワーク構成要素の所在場所などを管理する。以下マネージャ10を構成する各機能モジュールの機能の概略について述べる。
【0012】
(1)ルール定義100
運用者が各種ルールを定義するためのプログラムツールであり、図示しない入力装置及び表示装置を介してユーザが容易にルールを設定できるようなGUI(グラフィカル・ユーザ・インタフェース)を提供する。
【0013】
(2)スケジューラ101
ルール配布及びログ収集を実行する契機をそれぞれルール配布106及びログ収集107に知らせるプログラムである。契機の例として、例えば毎日午後5時、毎週土曜日の午後3時15分などのように実行開始を指示する。
【0014】
(3)プロセス管理102
マネージャ10の100〜109を付す各機能モジュールの起動/停止を制御するプログラムである。
【0015】
(4)ログ解析103
データベース管理109を介して正規化ログデータベース50から正規化ログデータ群を抽出し、所定の解析を行うプログラムである。以下ログ事象がログインである場合のログデータ解析の例を表1に示す。ログ事象及び正規化項目については後述する。
【0016】
【表1】
Figure 0003778652
【0017】
(5)構成管理104
対象とするエージェント20の一覧を管理するプログラムである。またネットワーク管理システム60に問い合わせを行ってエージェント20が動作する計算機の動作有無やpingの応答時間等の情報を取得してルール配布106又はログ収集107に渡す。
【0018】
(6)ルール管理105
ルール定義100から定義された各種ルールを受け取ってルール110に格納する。またルール110からルールを読み出してルール配布106に渡す。
【0019】
(7)ルール配布106
スケジューラ101の指示に従い、ルール管理105から各種ルールを取得してエージェント20ヘ配布するプログラムである。
【0020】
(8)ログ収集107
スケジューラ101の指示に従い、エージェント20から正規化ログファイルを収集するプログラムである。
【0021】
(9)データ通信108
ルール配布106及びログ収集107がエージェント20と通信するときに通信制御を行うプログラムである。
【0022】
(10)データベース管理109
ログ収集107がエージェント20から収集した正規化ログデータ群(正規化ログファイル)を正規化ログデータベース50に格納し、ログ解析103からの要求によって正規化ログデータを検索し抽出する。また所定の保存期間を過ぎた正規化ログデータを正規化ログデータベース50から削除し、未使用の記憶領域を生み出す。
【0023】
図4は、エージェント20の構成を示す機能ブロック図である。ルール205は配布を受けた各種ルールであり、記憶装置に格納される。監視対象ログファイル群30は、監視対象とするログファイルであり、記憶装置に格納される。正規化ログファイル40は、正規化ログデータを格納するファイルであり、記憶装置に格納される。以下エージェント20を構成する各機能モジュールの機能の概略について述べる。
【0024】
(1)データ通信200
データ通信200は、ルール管理203及びログファイル管理204がマネージャ10と通信するときに通信制御を行うプログラムである。
【0025】
(2)プロセス管理201
エージェント20の200〜204を付す各機能モジュールの起動/停止を制御するプログラムである。
【0026】
(3)ログ入力202
ルール管理203からログファイル監視ルールやフォーマットルール等を取得し、監視対象ログファイル群30から入力したログデータを正規化した後、正規化ログデータをログファイル管理204へ渡すプログラムである。
【0027】
(4)ルール管理203
マネージャ10から配布された各種ルールをルール205として記憶装置に格納し、ログ入力202又はログファイル管理204の要求に応じてルールを提供するプログラムである。
【0028】
(5)ログファイル管理204
ルール管理203からフィルタリングルールを取得し、ログ入力202から受け取った正規化ログデータをフィルタリングし、補正時刻を付加して正規化ログファイル40に格納する。マネージャ10のログ収集107から正規化ログファイル40の収集要求を受信したとき、正規化ログファイル40をマネ―ジャ10へ転送する。
【0029】
図5〜図14は、正規化ログデータの構造の一例を示す図である。
【0030】
図5は、正規化ログファイル40に格納される正規化ログデータ300の概略構成を示す図である。正規化ログデータ300は、共通情報クラス301と必要に応じて追加されるユーザ情報クラス302、サービス情報クラス303、アドレス情報クラス304、ファイル情報クラス305、トラフィク情報クラス306、個別情報クラス307等から構成される。共通情報クラス301は、すべての正規化ログデータ300に必須の情報クラスであり、残りの情報クラスは出力されたログデータに応じて選択されるものである。
【0031】
図6は、共通情報クラス301のデータ構成を示す図である。正規化バージョン310は、正規化のバージョンを示す番号である。ログ種別はログ事象311、ログ事象結果312、ログ出力プログラム313、データ格納クラス314及びログファイル名315を含む。ログ出力プログラム313はログを出力したOS又はAPの名称であり、ログファイル名315はログ出力プログラム313が出力したログファイルの名称である。ログ事象311、ログ事象結果312及びデータ格納クラス314については後述する。マネージャは、マネージャを搭載する計算機のホスト名316とホストIPアドレス317を格納する。エージェントは、ログを入力したエージェントを搭載する計算機のホスト名318とホストIPアドレス319を格納する。監視対象は、監視対象とするサーバ等の計算機のホスト名320とホストIPアドレス321を格納する。時刻はログ出力時刻322と補正時刻323から成る。ログ出力時刻322はログを出力した計算機の局所的な時刻であり、補正時刻323はマネージャ10を搭載する計算機の時刻に基づいて補正した時刻である。フィルタリングルール名324は、ログデータを正規化するときに適用したフィルタリングルールの名称である。
【0032】
図7は、ユーザ情報クラス302のデータ構成を示す図である。ユーザ情報クラス302は、ログインしたユーザに関する情報を記録するものであり、ユーザ名330、ユーザID(UID)331、ユーザ変更した後のユーザ名332、変更後のUID333、ユーザのセキュリティレベル334、計算機やファイルへのアクセス権335、アクセスした結果336及びユーザが操作した端末装置の名称(端末名337)を格納する。
【0033】
図8は、サービス情報クラス303のデータ構成を示す図である。サービス情報クラス303は、ユーザに提供したサービスについての情報を記録する。サービスは、サービス名340、サービスバージョン341、サービス提供のために起動したプロセスの名称(プロセス名342)及びプロセスID343を格納する。
【0034】
図9は、アドレス情報クラス304のデータ構成を示す図である。アドレス情報クラス304は、他計算機とコネクションを行ったときの情報を記録するものであり、接続元及び接続先のホスト名、IPアドレス、MACアドレス、ポート番号の他にコネクション状態、コネクションの開始時刻と終了時刻及び他計算機へのアクセス結果を格納する。
【0035】
図10は、ファイル情報クラス305のデータ構成を示す図である。ファイル情報クラス305は、ユーザが作成又は変更したファイルについてファイル名、変更前のアクセス情報及び変更後のアクセス情報を記録する。アクセス情報は、ファイルの作成時刻、最終修正時刻、最終アクセス時刻、ファイルのi−node番号、アクセス許可の有無、UID、グループID(GID)及び最終的なファイルのサイズを格納する。
【0036】
図11は、トラフィク情報クラス306のデータ構成を示す図である。トラフィク情報クラス306は、メール管理プログラム、ファイル転送プログラム等が出力するログ情報であり、ネットワークを介するデータやメッセージの受信バイト数、送信バイト数及びデータの転送時間(処理時間)を記録する。
【0037】
図12は、個別情報クラス307のデータ構成を示す図である。個別情報クラス307は、オプションであり、プログラムが出力するメッセージテキストの原文そのままの情報である。
【0038】
図13は、データ格納クラス314のデータ構造を示す図である。“T1”はデータ格納クラス314を識別するためのタグであり、“L1”は存在する情報クラスを指定する領域V1の長さを示す。“V1”は、各正規化ログデータ300に含まれる情報クラスを指定する領域であり、情報クラスの指定の開始を示すタグ、情報クラス識別子の長さ及び情報クラス識別子を順番に指定する。情報クラス識別子の長さは可変長である。各情報クラスを識別する番号をxとすると、Tx(x≧2)は情報クラスの開始を示すタグであり、Lx(x≧2)はそのVxの部分の長さであり、Vx(x≧2)は情報クラス識別子である。マネージャ10は、このデータ格納クラス314により各正規化ログデータが有する情報クラスを認識する。
【0039】
図14は、正規化項目のうちコード化が可能なもののコード化テーブル600の一例を示す図である。正規化項目のログ事象311が“login”の場合はコード“1”に、ユーザ変更“su”の場合はコード“2”というようにコード化される。コネクト(connect)は、計算機間でファイル転送やプログラム間通信を行う際のコネクションに関するログ事象を示す。ファイルは内容変更されたファイルに関するログ事象、ジョブはジョブの起動/停止/終了状態に関するログ事象である。メールはメール使用に関するログ事象を示す。ログ事象結果312はログ事象の結果であり、成功か失敗かを区分する。ユーザ情報クラス302のアクセス権335についてはあり又はなしを区分する。ユーザ情報クラス302及びアドレス情報クラス304のアクセス結果については、成功か失敗かを区分する。ファイル情報クラス305のアクセス許可については、あり又はなしを区分する。
【0040】
図15〜図20は、ルールのデータ形式を示す図である。
【0041】
図15は、マネージャルール450の一例を示す図である。DB_MAX451は正規化ログデータベース50が正規化ログデータを保存可能な期間を示す保存期間を定義する。RULE_MAX452はルール配布に使用できる最大の通信路数を定義する。LOG_MAX453はログ収集に使用できる最大の通信路数を定義する。ルール配布106やログ収集107は、この多重度数だけ通信路を使用できるが、処理の要求がこの多重度より大きい場合は通信路を順番に使用し、通信路が空くまで待った後、残りの処理を実行する。
【0042】
図16は、エージェント20の動作条件ルール470の一例を示す図である。MANAGER_ADDRESS471はマネージャのIPアドレスを定義し、FILE_MAXSIZE472は正規化ログファイル40が使用できる最大の記憶容量を定義する。
【0043】
図17は、ログファイル監視ルール500の一例を示す図である。TARGET_LOGは監視対象ログファイル名を定義し、FORMATによりファイルの形式(SEQ:シーケンシャル形式、WRAP:ラップアラウンド形式)を定義し、INTERVALにより監視間隔の時間(たとえば、10分間隔)を定義する。FMT_NAMEは当該ログファイルを正規化するときに適用するルールを定義する。例により説明すると、
TARGET_LOG:/usr/adm/syslog.log,FORMAT=SEQ,INTERVAL=10m,FMT_NAME=abc;
は、シ−ケンシャル形式のファイル/usr/adm/syslog.logを10分間隔で監視し、フォーマットルールabcにより正規化処理を行うことを示す。FMT_NAMEの指定がない場合は、エージェント20の間で共通のフォーマットルールにより正規化を行う。
【0044】
図18と図19は、フォーマットルール510及び515の一例を示す図である。ログデータがテキスト形式の場合はFMT_Tを適用し、バイナリ形式の場合はFMT_Bを適用する。REGTEXT=“文字列n”は、ログデータを選択する条件を示し、ログデータ中に文字列nが存在すれば、以下に示す規則に従ってログデータを正規化することを示す。&&は論理積(AND)を示し、複数の文字列の存在を選択条件とすることができる。|はthenを意味し、以下ログデータの文字列のシーケンスに従って文字列から順に正規化項目を拾って行くことを意味する。正規化項目とは、各情報クラスで定義されるデータ項目のことである。:は、ログデータの先頭から順番にポインタをずらして正規化項目に対応する値を切り出すための区切り文字である。正規化項目に続いて[]内に指定される文字は、任意のポインタから認識する文字列の長さ、またはその文字列が可変長の場合に認識する最後の文字を指定する。SKIPは、ログデータの先頭から順番にポインタをずらしていった場合、正規化項目に関係ない文字列が存在する場合にその文字列を読み飛ばすことを意味し、[]内には読み飛ばす文字数又は認識する最後の文字となる“区切り文字”を指定する。区切り文字を指定した場合は、その区切り文字まで読み飛ばす。以下フォーマットルールの例を挙げる。
(a)フォーマットルールA
FMT_T:REGTEXT == “SU” && REGTEXT == “+” | ログ事象 == “2” | ログ事象結果== “0” :SKIP[“ ”]:ログ出力時刻[10]: SKIP[3]:端末名[“ ”]:ユーザ名[“-”]:変更後のユーザ名[“ ”];
(b)フォーマットルールB
FMT_T:REGTEXT == “connect” && REGTEXT == “refused" | ログ事象 == “3" | ログ事象結果 == “1" :ログ出力時刻[15]: 接続先ホスト名[“ ”]:プロセス名[“["]:プロセスID[“]"]:SKIP[“from "]:接続元ホスト名[“ ”];。
図21は、ログファイルに格納されているメッセージテキストの原文の例を示す図である。メッセージテキスト551及び552は、OSが出力するユーザ変更に関するメッセージテキストの例である。メッセージテキスト553〜555は、OSがコネクション時に出力するメッセージテキストである。メッセージテキスト556及び557は、OSのジョブ管理が出力するメッセージテキストである。
【0045】
メッセージテキスト551をフォーマットルールAによって正規化すると、
・ログ事象311=2(su)
・ログ事象結果312=0(成功)
・ログ出力時刻322=1/30 11:18のエポックタイム
・端末名337=ttyp5
・ユーザ名330=fujino
・変更後のユーザ名332=root
となる。
【0046】
メッセージテキスト554をフォーマットルールBによって正規化すると、
・ログ事象311=3(connect)
・ログ事象結果312=1(失敗)
・ログ出力時刻322=Jan 12 13:12:15のエポックタイム
・接続先ホスト名354=hosta
・接続先IPアドレス355=hostaをIPアドレスに変換した値
・プロセス名342=ftpd
・プロセスID343=1111
・接続元ホスト名350=hostb
・接続元IPアドレス351=hostbをIPアドレスに変換した値
となる。
【0047】
図20は、フィルタリングルール520の一例を示す図であり、ログファイル管理204が該当する正規化ログデータだけを格納するためのルールである。FLTはフィルタリングルールであることを示し、正規化項目が指定した文字列やコードであったり、指定した時間帯の正規化ログデータであった場合、そのような条件に適合する正規化ログデータだけを抽出して格納する。==はイコールを、!=はnotイコールを、&&は論理積ANDを、||は論理和ORを、―は時間間隔をそれぞれ意味する。
【0048】
図22は、正規化ログデータベース50のデータ構造を例示する図である。正規化ログデータベース50は、正規化ログデータを補正時刻630の順に配列して格納する。ある補正時刻630から共通情報クラス631のログデータにチェインする。また共通情報クラス631からこれに続いて存在する情報クラスのログデータに次々とチェインする。情報クラスに対応して示される検索キーは、正規化ログデータを検索するときにキーとして使用される正規化項目を示すものである。また補正時刻630から次の補正時刻630へチェインが張られている。ユーザは、補正時刻630によって、また該当する情報クラスの検索キーを指定することによって正規化ログデータベース50から目的とする正規化ログデータを効率良く抽出することができる。
【0049】
図23は、マネージャ10のルール配布106の処理の流れを示すPAD図である。ルール配布106は、初期設定(ステップ701)後、プロセス管理102から終了要求が来るまでループし(ステップ702)、イベントを持つ(ステップ703)。イベントには、スケジューラ101からのルール配布要求(ステップ704)とプロセス管理102からの終了要求(ステップ712)がある。
【0050】
ルール配布要求(ステップ704)を受信した場合は、ルール管理105を介して配布するルールと配布先であるエージェント20の一覧を取得し(ステップ705)、構成管理104からエージェント20の動作状態及び応答時間の情報を取得する(ステップ706)。取得したエージェント20のping応答時間を応答時間の小さい順番に並べ替える(ステップ707)。このとき動作していないエージェント20については、応答時間を無限大と解釈する。ルールを配布するエージェント20の数だけループし(ステップ708)、エージェント20が動作している場合(ステップ709YES)は応答時間の小さい順番にルールを配布し(ステップ710)、エージェント20が動作していない場合はルール配布失敗のメッセージを出力する(ステップ711)。ルール配布に当っては、RULE_MAX452を適用する。配布したルールは、エージェント20のルール管理203に転送される。
【0051】
終了要求を受信した場合は(ステップ712)、ループを抜けて終了処理を行う(ステップ713)。
【0052】
図24は、マネージャ10のログ収集107の処理の流れを示すPAD図である。ログ収集107は、初期設定(ステップ801)後、プロセス管理102から終了要求が来るまでループし(ステップ802)、イベントを持つ(ステップ803)。イベントには、スケジューラ101からのログ収集要求(ステップ804)、エージェント20からの起動通知(ステップ811)、及びプロセス管理102からの終了要求(ステップ816)がある。
【0053】
ログ収集要求を受信した場合は(ステップ804)、スケジューラ101からログを収集するエージェント20の一覧を取得し(ステップ805)、構成管理104からこれらのエージェント20の動作状態及び応答時間の情報を取得するとともに、応答時間の短い順番にエージェント20をソートする(ステップ806)。ログを収集するエージェント20の数分ループし(ステップ807)、エージェントが動作している場合(ステップ808YES)はログを収集し(ステップ809)、エージェントが動作していない場合(ステップ808NO)はログ収集失敗メッセージを出力する(ステップ810)。ログ収集に当っては、LOG_MAX453を適用する。ログ収集107は、エージェント20のログファイル管理204を介して正規化ログファイル40を収集する。
【0054】
エージェント起動通知を受信した場合は(ステップ811)、構成管理104からエージェント20とのping(ICMPエコーリクエスト)の応答時間を取得する(ステップ812)。ICMP(Internet Control Message Protocol)は、通信ネットワークの管理に関する国際的な標準規格の1つであるアイ・エイ・ビー(IAB:Internet Activities Board)の管理標準である。ICMPを使用すると、IPノード(例えばコンピュータ)が他のIPノードと通信可能であるか否かを確認できる。またpingを使用すると、任意のIPノードと通信可能であるか否かの動作状態と応答時間を取得できる。ping応答時間を取得できた場合(ステップ813YES)は、マネージャ10の現在時刻にこの応答時間から得られる通信時間を加算した時刻を起動通知を発行したエージェント20へ通知する(ステップ814)。マネージャの時刻をエージェントに伝えるためには、マネージャの時刻にマネージャからエージェントへの通信時間を加えた時刻を通知すればよい。pingの応答時間は、マネージャからエージェントとエージェントからマネージャ、つまり行きと返りの通信時間を加えた時間間隔である。そこでping応答時間の1/2を通信時間として利用する。すなわちマネージャは、次の計算式によりエージェントの時刻を推定しエージェントへ通知する。
(エージェントの時刻)≒(マネージャの時刻)+(ping応答時間)/2応答時間を取得できなかった場合(ステップ813NO)、すなわちネットワーク管理システム60から情報を得られない場合は、単にマネージャ10の現在時刻をエージェント20へ通知する(ステップ815)。エージェント20は、マネージャ10の現在時刻を取得して正規化ログデータの補正時刻323に適用する。
【0055】
終了要求を受信した場合は(ステップ816)、ループを抜けて終了処理を行う(ステップ817)。
【0056】
図25は、マネージャ10の構成管理104の処理の流れを示すPAD図である。構成管理104は、初期設定(ステップ901)後、プロセス管理102から終了要求が来るまでループし(ステップ902)、イベントを持つ(ステップ903)。イベントにはルール配布106からのエージェント情報格納要求(ステップ904)、ルール配布106やログ収集107からのエージェント情報取得要求(ステップ909)と、プロセス管理102からの終了要求(ステップ913)がある。
【0057】
エージェント情報格納要求を受信した場合は(ステップ904)、ルール配布106からルールを配布したエージェント20の情報を取得する(ステップ905)。エージェント20の情報とは、ルールの配布時刻、配布したルール名などである。ネットワーク管理システム60と通信可能であるとき(ステップ906YES)は、取得したエージェント情報をネットワーク管理システム60に渡す(ステップ907)。ネットワーク管理システム60は、受信したルール配布の履歴情報をネットワーク管理のために利用可能である。ネットワーク管理システム60と通信できないとき(ステップ906NO)は、エージェント情報を構成管理104が保有するファイルへ格納する(ステップ908)。
【0058】
エージェント情報取得要求を受信した場合は(ステップ909)、ネットワーク管理システム60と通信できるとき(ステップ910YES)には、ネットワーク管理システム60からエージェント20の一覧、動作有無やpingの応答時間等を取得しこれらの情報を要求元に返す(ステップ911)。ネットワーク管理システム60と通信できないとき(ステップ910NO)には、構成管理104のファイルからエージェントの一覧についての情報を取得して要求元に返す(ステップ912)。
【0059】
終了要求を受信した場合は(ステップ913)、ループを抜けて終了処理(ステップ914)を行う。
【0060】
図26は、マネージャ10のデータベース管理109の処理の流れを示すPAD図である。データベース管理109は、初期設定(ステップ1001)し、正規化ログデータベース50に格納している正規化ログデータの保存期間の確認を要求(ステップ1002)した後、プロセス管理102から終了要求が来るまでループし(ステップ1003)、イベントを持つ(ステップ1004)。イベントには、ログ収集107からの正規化ログデータ格納通知(ステップ1005)、ログ解析103からの正規化ログデータ抽出要求(ステップ1008)、データベース管理109自身が正規化ログデータの保存期間を確認するための要求(ステップ1010)と、プロセス管理102からの終了要求(ステップ1014)がある。
【0061】
正規化ログデータ格納通知を受けた場合は(ステップ1005)、ログ収集107から正規化ログデータを取得し正規化ログデータベース50に格納する(ステップ1006)。格納に当っては、図22のデータ構造に従って正規化ログデータを格納する。正規化ログデータは補正時刻630の順に配列されるので、この順に従って正規化ログデータをマージする。また正規化ログデータの保存期間確認を要求する(ステップ1007)。
【0062】
正規化ログデータ抽出要求を受信した場合は(ステップ1008)、指定された検索キーにより正規化ログデータベース50を検索し、その結果抽出したデータを要求元へ応答する(ステップ1009)。
【0063】
保存期間確認要求(ステップ1010)を受信した場合は、正規化ログデータベース50に格納されている正規化ログデータの一番古い補正時刻630と現在時刻の差と、DB_MAX451とを比較し(ステップ1011)、保存期間より古い正規化ログデータを保存しているときは古い正規化ログデータを削除し(ステップ1012)、運用者に知らせるために削除メッセージを出力する(ステップ1013)。
【0064】
終了要求を受信した場合は(ステップ1014)、ループを抜けて終了処理(ステップ1015)を行う。
【0065】
図27は、エージェント20のログ入力202の処理の流れを示すPAD図である。ログ入力202は、初期設定し(ステップ1101)、エージェント20のルール管理203からログファイル監視ルール500とフォーマットルール510,515等を取得(ステップ1102)後、プロセス管理201から終了要求が来るまでループし(ステップ1103)、イベントを持つ(ステップ1104)。イベントには、ログファイル管理204からのログ入力中断要求(ステップ1105)とログ入力再開要求(ステップ1107)、プロセス管理201からの終了要求(ステップ1109)及び時間監視によるタイマ割り込みがある。
【0066】
ログ入力中断要求を受信した場合は(ステップ1105)、ログ入力を中断する(ステップ1106)。中断する要因は、正規化ログファイル40の容量がFILE_MAXSIZE472に達したときである。
【0067】
ログ入力再開要求を受信した場合は(ステップ1107)、ログ入力を再開する(ステップ1108)。再開する要因は、正規化ログファイルをマネージャ10へ転送したときである。
【0068】
終了要求を受信した場合は(ステップ1109)、ループを抜けて終了処理(ステップ1117)を行う。
【0069】
ログファイル監視ルール500に設定された監視間隔に従ってログファイルの監視時刻になったとき、監視対象ログファイル群30をオープンし(ステップ1111)、このログファイルのファイル管理情報を取得する。ファイル管理情報が前回取得したもの同じか否かを確認する(ステップ1112)。同じ場合は(ステップ1112YES)、前回オープンしたファイルと同じ内容であるため前回のファイルのオフセットからログデータを入力する(ステップ1113)。前回のファイルのオフセットは、当該ファイルについて前回入力済のレコードの次のレコードを指している。異なる場合は(ステップ1112NO)、新しいファイル(前回オープンしたファイルは削除された等)であると解釈し、先頭からログデータを入力する(ステップ1114)。その後、入力したログデータを正規化し(ステップ1115)、正規化ログデータをログファイル管理204ヘ通知する(ステップ1116)。ログデータの正規化は、上記のようにフォーマットルール510,515等を適用して行う。正規化ログデータをログファイル管理204に渡した後、当該ログファイルをクローズし、監視間隔に従って次の監視時刻にタイマを設定する。
【0070】
図28は、エージェント20のログファイル管理204の処理の流れを示すPAD図である。ログファイル管理204は、初期設定し(ステップ1201)、ルール管理203から動作条件ルール470とフィルタリングルール520を取得(ステップ1202)した後、プロセス管理201から終了要求が来るまでループし(ステップ1203)、イベントを持つ(ステップ1204)。イベントには、ログ入力202からの正規化ログデータ格納通知(ステップ1205)、マネージャ10のログ収集107からのログ収集要求(ステップ1209)、ログファイル管理204自身からの正規化ログファイル容量確認要求(ステップ1211)、マネージャ10のログ収集107からのマネージャ時刻の通知(ステップ1216)と、プロセス管理201からの終了要求(ステップ1218)がある。
【0071】
正規化ログデータ格納通知を受信した場合は(ステップ1205)、ログ入力202から正規化ログデータを取得し(ステップ1206)、エージェントとマネージャの時間差(ステップ1217の処理結果)とログ出力時刻322から補正時刻323を計算する。ログ入力202から取得した正規化ログデータにこの補正時刻323を追加して正規化ログファイル40に格納する(ステップ1207)。取得した正規化ログデータにフィルタリングルール520を適用して条件に合致する正規化ログデータのみを正規化ログファイル40に格納する。次に正規化ログファイル容量確認要求を発行する(ステップ1208)。
【0072】
ログ収集要求を受信した場合は(ステップ1209)、正規化ログファイル40中の正規化ログデータを補正時刻323の順にソートした後、MANAGER_ADDRESS471に示されるマネージャ10ヘ転送する(ステップ1210)。
【0073】
正規化ログファイル容量確認要求を受信した場合は(ステップ1211)、正規化ログファイルの使用容量とFILE_MAXSIZE472を比較し(ステップ1212)、最大サイズに達したとき(ステップ1212YES)は、ログ入力202ヘ中断通知を発行する(ステップ1213)。最大サイズに達していないとき(ステップ1212NO)は、前回中断要求を発行したか確認し(ステップ1214)、発行していたとき(ステップ1214YES)は、ログ入力202へログ入力再開要求を通知する(ステップ1215)。
【0074】
マネージャ時刻の通知を受信した場合は(ステップ1216)、エージェントとマネージャのコンピュータ時刻の差を計算する(ステップ1217)。
【0075】
終了要求を受信した場合は(ステップ1218)、ループを抜けて終了処理(ステップ1219)を行う。
【0076】
【発明の効果】
以上説明したように本発明によれば、エージェントが複数のログファイルを監視し種々の形式で出力されたログデータを入力した後、正規化を行い共通的なデータ形式に変換する。また必要なログデータだけを抽出し、ログデータの出力時刻としてマネージャの時計に合わせた補正時刻を使用するようにしたので、運用者はネットワークに存在する複数のコンピュータのログデータを統一したデータ形式及び時刻に基づいて解析することができる。
【0077】
またマネージャが蓄積するログデータについては、所定期間のログデータを保存するようにしたので、古いログデータから順に削除する形でログ情報の総量を規制できる。
【0078】
さらに収集したログデータを補正時刻及び正規化項目によって検索可能としたので、運用者は必要なログ情報を容易に取得できる。
【図面の簡単な説明】
【図1】実施形態のネットワークシステムの構成図である。
【図2】実施形態のマネージャとエージェントが行う処理動作の概略を示す図である。
【図3】実施形態のマネージャ10の構成を示す機能ブロック図である。
【図4】実施形態のエージェント20の構成を示す機能ブロック図である。
【図5】実施形態の正規化ログデータの概略構成を示す図である。
【図6】実施形態の共通情報クラスのデータ構成を示す図である。
【図7】実施形態のユーザ情報クラスのデータ構成を示す図である。
【図8】実施形態のサービス情報クラスのデータ構成を示す図である。
【図9】実施形態のアドレス情報クラスのデータ構成を示す図である。
【図10】実施形態のファイル情報クラスのデータ構成を示す図である。
【図11】実施形態のトラフィフィック情報クラスのデータ構成を示す図である。
【図12】実施形態の個別情報クラスのデータ構成を示す図である。
【図13】実施形態のデータ格納クラスのデータ構造を示す図である。
【図14】正規化項目のコード化テーブルの例を示す図である。
【図15】マネージャルールの例を示す図である。
【図16】エージェントの動作条件ルールの例を示す図である。
【図17】エージェントのログファイル監視ルールの例を示す図である。
【図18】エージェントのフォーマットルール(その1)の例を示す図である。
【図19】エージェントのフォーマットルール(その2)の例を示す図である。
【図20】エージェントのフィルタリングルールの例を示す図である。
【図21】監視対象ログファイルのログデータであるメッセージテキストの例を示す図である。
【図22】実施形態の正規化ログデータベースのデータ構造を示す図である。
【図23】実施形態のマネージャが行うルール配布の処理の流れを示すPAD図である。
【図24】実施形態のマネージャが行うログ収集の処理の流れを示すPAD図である。
【図25】実施形態のマネージャが行う構成管理の処理の流れを示すPAD図である。
【図26】実施形態のマネージャが行うデータベース管理の処理の流れを示すPAD図である。
【図27】実施形態のエージェントが行うログ入力の処理の流れを示すPAD図である。
【図28】実施形態のエージェントが行うログファイル管理の処理の流れを示すPAD図である。
【符号の説明】
10・・・マネージャ、20・・・エージェント、40・・・正規化ログファイル、50・・・正規化ログデータベース、60・・・ネットワーク管理システム、104・・・構成管理、106・・・ルール配布、107・・・ログ収集、109・・・データベース管理、110・・・ルール、202・・・ログ入力、204・・・ログファイル管理、205・・・ルール

Claims (4)

  1. エージェント側のオペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち、監視の対象とするログファイルを読み込む手段と、
    監視対象とするログファイル中のログデータ中にあらかじめ定義された文字列が含まれる場合に、当該ログデータ中の文字列を定義された文字数だけスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップすることによって、当該ログデータからあらかじめ定義されたデータ項目に対応する値を選択的に切り出して規定されたデータ項目の値を所定の順に配列する正規化されたログデータを作成する手段と、
    作成された正規化されたログデータに含まれる前記エージェント側のログ出力時刻をマネージャの基準となる時刻に基づいて補正する手段と、
    時刻補正された正規化ログデータを蓄積する手段と、
    蓄積された正規化ログデータをネットワークを介して前記マネージャの機能を実行する情報処理装置へ送信する手段とを前記エージェントの処理手段として有することを特徴とするログデータの収集をする情報処理装置。
  2. ネットワークを介してエージェントの機能を実行する複数の情報処理装置の各々から、エージェント側のオペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち監視の対象とするログファイル中のログデータについて、当該ログデータ中にあらかじめ定義された文字列が含まれる場合に、当該ログデータ中の文字列を定義された文字数だけスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップすることによって、当該ログデータからあらかじめ定義されたデータ項目に対応する値を選択的に切り出して作成された正規化されたログデータであってエージェント側のログ出力時刻とマネージャの基準とする時刻に基づいて補正されたログ出力時刻とを有する正規化ログデータを受信する手段と、該正規化ログデータを補正時刻の順にデータベースに蓄積する手段とをマネージャの処理手段として有することを特徴とするログデータの収集と管理をする情報処理装置。
  3. エージェントの処理手段によって、エージェント側のオペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち、監視の対象とするログファイルを読み込み、
    監視対象とするログファイル中のログデータ中にあらかじめ定義された文字列が含まれる場合に、当該ログデータ中の文字列を定義された文字数だけスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップすることによって、当該ログデータからあらかじめ定義されたデータ項目に対応する値を選択的に切り出して規定されたデータ項目の値を所定の順に配列する正規化されたログデータを作成し、
    作成された正規化されたログデータに含まれる前記エージェント側のログ出力時刻マネージャの基準となる時刻に基づいて補正し、
    時刻補正された正規化ログデータを蓄積し、
    蓄積された前記正規化ログデータをネットワークを介して前記マネージャの機能を実行する情報処理装置へ送信することを特徴とするログデータ収集管理方法。
  4. マネージャの処理手段によって、ネットワークを介してエージェントの機能を実行する複数の情報処理装置の各々から、エージェント側のオペレーティングシステム及びアプリケーションプログラムが出力するログファイルのうち監視の対象とするログファイル中のログデータについて、当該ログデータ中にあらかじめ定義された文字列が含まれる場合に、当該ログデータ中の文字列を定義された文字数だけスキップするか又は定義された区切り文字が現れるまで途中の文字列をスキップすることによって、当該ログデータからあらかじめ定義されたデータ項目に対応する値を選択的に切り出して作成された正規化されたログデータであって前記エージェント側のログ出力時刻とマネージャの基準とする時刻に基づいて補正されたログ出力時刻とを有する正規化ログデータを受信し、前記正規化ログデータを補正時刻の順にデータベースに蓄積することを特徴とするログデータ収集管理方法。
JP10121097A 1997-04-18 1997-04-18 ログデータ収集管理方法及びその装置 Expired - Fee Related JP3778652B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP10121097A JP3778652B2 (ja) 1997-04-18 1997-04-18 ログデータ収集管理方法及びその装置
US09/058,890 US6173418B1 (en) 1997-04-18 1998-04-13 Computer for gathering log data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10121097A JP3778652B2 (ja) 1997-04-18 1997-04-18 ログデータ収集管理方法及びその装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2002090804A Division JP4485112B2 (ja) 2002-03-28 2002-03-28 ログデータの収集管理方法および装置

Publications (2)

Publication Number Publication Date
JPH10293704A JPH10293704A (ja) 1998-11-04
JP3778652B2 true JP3778652B2 (ja) 2006-05-24

Family

ID=14294563

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10121097A Expired - Fee Related JP3778652B2 (ja) 1997-04-18 1997-04-18 ログデータ収集管理方法及びその装置

Country Status (2)

Country Link
US (1) US6173418B1 (ja)
JP (1) JP3778652B2 (ja)

Families Citing this family (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2348718A (en) * 1999-04-07 2000-10-11 Ibm Data processing system having a centralised trace facility with dynamic tracing
EP1055990A1 (en) * 1999-05-28 2000-11-29 Hewlett-Packard Company Event logging in a computing platform
US6760763B2 (en) * 1999-08-27 2004-07-06 International Business Machines Corporation Server site restructuring
JP4465064B2 (ja) * 1999-09-27 2010-05-19 富士フイルム株式会社 画像サーバおよびその制御方法
US7523190B1 (en) * 1999-12-23 2009-04-21 Bickerstaff Cynthia L Real-time performance assessment of large area network user experience
US6915342B1 (en) * 2000-02-04 2005-07-05 Ricoh Company Limited Method and system for maintaining the business office appliance through log files
US6505245B1 (en) * 2000-04-13 2003-01-07 Tecsys Development, Inc. System and method for managing computing devices within a data communications network from a remotely located console
US20040120262A1 (en) * 2000-07-25 2004-06-24 Shinji Hirose Site monitor and method for monitoring site
JP2002330177A (ja) * 2001-03-02 2002-11-15 Seer Insight Security Inc セキュリティ管理サーバおよびこれと連携して動作するホストサーバ
US6859881B2 (en) * 2001-03-28 2005-02-22 Intel Corporation Method and system for mapping network attacks onto a strategy game
GB2374493A (en) * 2001-04-12 2002-10-16 Mitel Knowledge Corp Mobile interactive logging (MILog) of network devices
US6748550B2 (en) * 2001-06-07 2004-06-08 International Business Machines Corporation Apparatus and method for building metadata using a heartbeat of a clustered system
JP2003099295A (ja) * 2001-09-21 2003-04-04 Teamgia:Kk 通信ログの処理方法、の方法をコンピュータシステム上で実行させるためのコンピュータソフトウエアプログラム及び通信ログ処理システム
US20030158944A1 (en) * 2002-02-19 2003-08-21 International Business Machines Corporation Software control in a business transaction environment
US7333918B2 (en) * 2002-09-05 2008-02-19 Strategic Power Systems, Inc. System and method for calculating part life
US7155514B1 (en) 2002-09-12 2006-12-26 Dorian Software Creations, Inc. Apparatus for event log management
JP2004264970A (ja) * 2003-02-28 2004-09-24 Hitachi Ltd プログラム、情報処理装置、及び情報処理装置におけるログデータの出力方法
US7689872B2 (en) * 2003-07-01 2010-03-30 International Business Machines Corporation Autonomic program error detection and correction
US7251748B2 (en) * 2003-09-12 2007-07-31 Sun Microsystems, Inc. System and method for determining a global ordering of events using timestamps
JP4347082B2 (ja) * 2004-02-23 2009-10-21 日本電気株式会社 イベントトレースデータの時刻補正装置,時刻補正方法及び時刻補正プログラム
US7539706B1 (en) * 2004-03-30 2009-05-26 Emc Corporation Methods and apparatus for collecting and processing file system data
TWI263915B (en) * 2004-04-02 2006-10-11 Hon Hai Prec Ind Co Ltd System and method for logging event of telecommunications devices
US7895167B2 (en) * 2005-02-16 2011-02-22 Xpolog Ltd. System and method for analysis and management of logs and events
US8578500B2 (en) * 2005-05-31 2013-11-05 Kurt James Long System and method of fraud and misuse detection
US7657624B2 (en) * 2005-06-22 2010-02-02 Hewlett-Packard Development Company, L.P. Network usage management system and method
KR100665132B1 (ko) 2005-07-29 2007-01-04 인터컴 소프트웨어(주) 이질의 로그를 정형화하는 방법
US20070038889A1 (en) * 2005-08-11 2007-02-15 Wiggins Robert D Methods and systems to access process control log information associated with process control systems
CA2623491A1 (en) * 2005-09-23 2007-04-05 Lehman Brothers Inc. System and method for event log review
JP5452836B2 (ja) 2006-03-31 2014-03-26 日本電気株式会社 資格審査システムおよびその審査方法ならびに資格審査装置
US8290949B2 (en) * 2006-07-24 2012-10-16 International Business Machines Corporation Resource name reconciliation in a configuration database
KR100865015B1 (ko) 2007-01-26 2008-10-23 삼성에스디에스 주식회사 실시간 통합 관리정보 데이터 변환 및 모니터링 장치 및 그방법
JP5001682B2 (ja) * 2007-03-12 2012-08-15 株式会社クローラ研究所 マイニングシステム及びマイニング方法
JP4804408B2 (ja) * 2007-04-17 2011-11-02 株式会社日立製作所 ログ解析方法及び装置
US7734961B2 (en) * 2007-05-01 2010-06-08 International Business Machines Corporation Distributed logging apparatus system and method
KR100912177B1 (ko) * 2007-05-17 2009-08-14 엔에이치엔(주) 사용자 행동 분석 방법 및 시스템
JP2009009448A (ja) * 2007-06-29 2009-01-15 Mitsubishi Electric Corp データ送信装置及びデータ送信方法及びプログラム
US8452761B2 (en) * 2007-10-24 2013-05-28 International Business Machines Corporation Apparatus for and method of implementing system log message ranking via system behavior analysis
US8825189B2 (en) * 2007-11-13 2014-09-02 Fisher Rosemount Systems, Inc. Methods and apparatus to execute an auxiliary recipe and a batch recipe associated with a process control system
US8150541B2 (en) * 2007-11-13 2012-04-03 Fisher-Rosemount Systems, Inc. Methods and apparatus to modify a recipe process flow associated with a process control system during recipe execution
US8555206B2 (en) * 2007-12-21 2013-10-08 Fisher-Rosemount Systems, Inc. Methods and apparatus to present recipe progress status information
US8863278B2 (en) * 2008-05-28 2014-10-14 International Business Machines Corporation Grid security intrusion detection configuration mechanism
CN101677445A (zh) * 2008-09-16 2010-03-24 中兴通讯股份有限公司 一种业务系统日志文件的清理方法及系统
US8935382B2 (en) * 2009-03-16 2015-01-13 Microsoft Corporation Flexible logging, such as for a web server
US20110019240A1 (en) * 2009-07-21 2011-01-27 Harris Technology, Llc Digital control and processing of transferred Information
US8495429B2 (en) * 2010-05-25 2013-07-23 Microsoft Corporation Log message anomaly detection
US8549201B2 (en) 2010-06-30 2013-10-01 Intel Corporation Interrupt blocker
JP5768448B2 (ja) * 2011-03-31 2015-08-26 日本電気株式会社 ログ管理システム、ログ解析装置、ログ解析方法、およびログ解析プログラム
JP5781685B2 (ja) * 2012-03-12 2015-09-24 株式会社日立製作所 ログ管理計算機、及びログ管理方法
US8682906B1 (en) * 2013-01-23 2014-03-25 Splunk Inc. Real time display of data field values based on manual editing of regular expressions
US8751963B1 (en) 2013-01-23 2014-06-10 Splunk Inc. Real time indication of previously extracted data fields for regular expressions
US9753909B2 (en) 2012-09-07 2017-09-05 Splunk, Inc. Advanced field extractor with multiple positive examples
US9152929B2 (en) 2013-01-23 2015-10-06 Splunk Inc. Real time display of statistics and values for selected regular expressions
US9311221B2 (en) * 2013-03-15 2016-04-12 Ab Initio Technology Llc Recording program execution
JP2014199504A (ja) * 2013-03-29 2014-10-23 株式会社日立システムズ 顧客別データクレンジング処理システム及び顧客別データクレンジング処理方法
CN104731664A (zh) * 2013-12-23 2015-06-24 伊姆西公司 用于故障处理的方法和装置
JP5640166B1 (ja) 2014-03-31 2014-12-10 株式会社ラック ログ分析システム
JP5988447B2 (ja) 2014-08-28 2016-09-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ログメッセージのフォーマットを推定する方法、並びに、その為のコンピュータ及びコンピュータ・プログラム
US10049171B2 (en) * 2014-09-10 2018-08-14 Ca, Inc. Batch processed data structures in a log repository referencing a template repository and an attribute repository
CN107111524A (zh) * 2014-09-12 2017-08-29 康维达无线有限责任公司 基于面向服务的架构(soa)的可扩展计费系统
MX2018010080A (es) * 2016-02-22 2018-11-09 Bbell Incorporated Fecha y hora del registro de bitacora de datos con ajuste automatico.
US10733002B1 (en) * 2016-06-28 2020-08-04 Amazon Technologies, Inc. Virtual machine instance data aggregation
US10536476B2 (en) 2016-07-21 2020-01-14 Sap Se Realtime triggering framework
US10482241B2 (en) 2016-08-24 2019-11-19 Sap Se Visualization of data distributed in multiple dimensions
US10542016B2 (en) 2016-08-31 2020-01-21 Sap Se Location enrichment in enterprise threat detection
US10630705B2 (en) 2016-09-23 2020-04-21 Sap Se Real-time push API for log events in enterprise threat detection
US10673879B2 (en) 2016-09-23 2020-06-02 Sap Se Snapshot of a forensic investigation for enterprise threat detection
US10534908B2 (en) 2016-12-06 2020-01-14 Sap Se Alerts based on entities in security information and event management products
US10530792B2 (en) 2016-12-15 2020-01-07 Sap Se Using frequency analysis in enterprise threat detection to detect intrusions in a computer system
US10534907B2 (en) * 2016-12-15 2020-01-14 Sap Se Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data
US10552605B2 (en) 2016-12-16 2020-02-04 Sap Se Anomaly detection in enterprise threat detection
US11470094B2 (en) 2016-12-16 2022-10-11 Sap Se Bi-directional content replication logic for enterprise threat detection
US10764306B2 (en) 2016-12-19 2020-09-01 Sap Se Distributing cloud-computing platform content to enterprise threat detection systems
US10530794B2 (en) 2017-06-30 2020-01-07 Sap Se Pattern creation in enterprise threat detection
US10698756B1 (en) * 2017-12-15 2020-06-30 Palantir Technologies Inc. Linking related events for various devices and services in computer log files on a centralized server
US10681064B2 (en) 2017-12-19 2020-06-09 Sap Se Analysis of complex relationships among information technology security-relevant entities using a network graph
US10986111B2 (en) 2017-12-19 2021-04-20 Sap Se Displaying a series of events along a time axis in enterprise threat detection
US10684035B2 (en) 2018-01-08 2020-06-16 Trane International Inc. HVAC system that collects customer feedback in connection with failure triage
JP6920738B2 (ja) * 2018-03-29 2021-08-18 サイレックス・テクノロジー株式会社 ログ記録装置、制御方法、及び、プログラム
WO2020127663A1 (en) * 2018-12-20 2020-06-25 Koninklijke Philips N.V. Method to efficiently evaluate a log pattern
CN110427307A (zh) * 2019-06-21 2019-11-08 平安科技(深圳)有限公司 日志解析方法、装置、计算机设备及存储介质
US11507463B2 (en) * 2019-07-23 2022-11-22 Dell Products L.P. System and method for consolidated BIOS-level event logging
CN113760844A (zh) * 2020-06-01 2021-12-07 武汉斗鱼鱼乐网络科技有限公司 一种多日志模块融合的方法及装置
CN113986643A (zh) * 2020-07-27 2022-01-28 伊姆西Ip控股有限责任公司 分析日志文件的方法、电子设备和计算机程序产品
CN116028317A (zh) 2021-10-22 2023-04-28 伊姆西Ip控股有限责任公司 训练故障分析模型的方法、电子设备和计算机程序产品

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4878167A (en) * 1986-06-30 1989-10-31 International Business Machines Corporation Method for managing reuse of hard log space by mapping log data during state changes and discarding the log data
US5293323A (en) * 1991-10-24 1994-03-08 General Electric Company Method for fault diagnosis by assessment of confidence measure
GB2276737A (en) * 1993-03-30 1994-10-05 Ibm Fault-tolerant transaction-oriented data processing
US5883923A (en) * 1995-09-18 1999-03-16 Oki Electric Industry Co., Ltd. Data receiver with symbol rate discrimination and statistical analysis functions

Also Published As

Publication number Publication date
JPH10293704A (ja) 1998-11-04
US6173418B1 (en) 2001-01-09

Similar Documents

Publication Publication Date Title
JP3778652B2 (ja) ログデータ収集管理方法及びその装置
JP4485112B2 (ja) ログデータの収集管理方法および装置
CN111752799B (zh) 一种业务链路跟踪方法、装置、设备及储存介质
US9231917B2 (en) Dynamic provisioning of protection software in a host intrusion prevention system
US7996896B2 (en) System for regulating host security configuration
US6144961A (en) Method and system for non-intrusive measurement of transaction response times on a network
US7930747B2 (en) Host intrusion prevention server
US5878420A (en) Network monitoring and management system
US5745693A (en) System for gathering and reporting real time data from an IDNX communications network
CN109120461B (zh) 一种业务性能端到端监控方法、系统及装置
US20090182866A1 (en) Method of setting and managing performance monitoring conditions and computer system using the method
JPH05204666A (ja) イベント・ストリームのイベントの処理方法及び装置
CN109460307B (zh) 基于日志埋点的微服务调用跟踪方法及其系统
US20050038888A1 (en) Method of and apparatus for monitoring event logs
US7069184B1 (en) Centralized monitoring and early warning operations console
CN105096014A (zh) 远程录制作业运行情况的方法和系统
CN102480383B (zh) 一种日志消息报文处理方法及装置
CN112685370A (zh) 一种日志采集方法、装置、设备和介质
JP2006025434A (ja) 大容量障害相関システム及び方法
CN116346680A (zh) 基于拓扑嗅探的进程间网络流量追踪控制方法和系统
JP3221538B2 (ja) ネットワーク稼動情報収集システム
JP3691272B2 (ja) 分散処理システムおよび障害解析情報の保存方法
JP3992029B2 (ja) オブジェクト管理方法
CN112765010A (zh) 业务参数集中管理方法、装置、设备及存储介质
US7349952B1 (en) Information service layer

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051227

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20051227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060228

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090310

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100310

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110310

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110310

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120310

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130310

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130310

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140310

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees