JP5798095B2 - ログ生成則作成装置及び方法 - Google Patents
ログ生成則作成装置及び方法 Download PDFInfo
- Publication number
- JP5798095B2 JP5798095B2 JP2012178411A JP2012178411A JP5798095B2 JP 5798095 B2 JP5798095 B2 JP 5798095B2 JP 2012178411 A JP2012178411 A JP 2012178411A JP 2012178411 A JP2012178411 A JP 2012178411A JP 5798095 B2 JP5798095 B2 JP 5798095B2
- Authority
- JP
- Japan
- Prior art keywords
- template
- rule
- monitoring target
- target device
- ids
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
少なくとも前記監視対象機器のログメッセージ(以下、「ログ」と記す)、該ログメッセージ内の重要な部分(以下、「テンプレート」と記す)を格納したログ・テンプレート情報記憶手段を参照し、過去に生起したログに対応するテンプレートを抽出するテンプレート抽出手段と、
読み込んだログを分割したログ系列から、同時生起性の高い監視対象機器とテンプレートとの組を、イベントとしてグループ記憶手段に格納するグループ生成手段と、
前記グループ記憶手段の各イベントを読み出して、同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一の監視対象機器IDと対応付けられた1つ以上のテンプレートIDを抽出し、抽出した1つ以上のテンプレートIDを該監視対象機器IDに対応付けてテンプレートルール候補としてテンプレートルール候補記憶手段に格納する処理を全イベントについて繰り返し、該テンプレートルール候補記憶手段に格納されたテンプレートルール候補同士を比較して、テンプレートルール候補同士の間でテンプレートIDの組の類似度が所定の閾値より高く、監視対象機器IDが異なるものが所定の数以上存在するという条件を満たすテンプレートルール候補を抽出し、抽出したテンプレートルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けてテンプレートルールとしてルール記憶手段に格納する、或いは、同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一のテンプレートIDと対応付けられた1つ以上の監視対象機器IDを抽出し、抽出した1つ以上の監視対象機器IDを該テンプレートIDに対応付けて監視対象機器ルール候補として監視対象機器ルール候補記憶手段に格納する処理を全イベントについて繰り返し、該監視対象機器ルール候補記憶手段に格納された監視対象機器ルール候補同士を比較して、監視対象機器ルール候補同士の間で監視対象機器IDの組の類似度が所定の閾値より高く、テンプレートIDが異なるものが所定の数以上存在するという条件を満たす監視対象機器ルール候補を抽出し、抽出した監視対象機器ルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けて監視対象機器ルールとしてルール記憶手段に格納するルール把握手段と、を有する。
前記グループ記憶手段の同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一の監視対象機器IDと対応付けられた1つ以上のテンプレートIDを抽出し、抽出した1つ以上のテンプレートIDを該監視対象機器IDに対応付けてテンプレートルール候補としてテンプレートルール候補記憶手段に格納する処理を全イベントについて繰り返し、該テンプレートルール候補記憶手段に格納された全テンプレートルール候補について、テンプレートルール候補同士を比較して、テンプレートルール候補同士の間でテンプレートIDの組の類似度が所定の閾値よりも高く、監視対象機器IDが異なるものが所定の数以上存在するという条件を満たすテンプレートルール候補を抽出し、抽出したテンプレートルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けてテンプレートルールとするテンプレートルール抽出手段と、
前記グループ記憶手段の同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一のテンプレートIDと対応付けられた1つ以上の監視対象機器IDを抽出し、抽出した1つ以上の監視対象機器IDを該テンプレートIDに対応付けて監視対象機器ルール候補として監視対象機器ルール候補記憶手段に格納する処理を全イベントについて繰り返し、該監視対象機器ルール候補記憶手段に格納された全監視対象機器ルール候補について、監視対象機器ルール候補同士を比較して、監視対象機器ルール候補同士の間で監視対象機器IDの組の類似度が所定の閾値よりも高く、テンプレートIDが異なるものが所定の数以上存在するという条件を満たす監視対象機器ルール候補を抽出し、抽出した監視対象機器ルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けて監視対象機器ルールとする監視対象機器ルール抽出手段と、を含む。
前記テンプレートルールの監視対象機器IDのリストに含まれる監視対象機器IDのうち、共通の監視情報ラベルを持つものが所定の割合以上あれば、該監視対象機器IDを該監視情報ラベルで置き換える手段を更に有する。
前記監視対象機器ルールのテンプレートIDのリストに含まれるテンプレートIDのうち、共通のテンプレートラベルを持つものが所定の割合以上あれば、該テンプレートIDを該テンプレートラベルで置き換える手段を更に有する。
ルール把握部140のテンプレートルール把握部141は、同一イベントに含まれるqiのテンプレートIDのうち、同一の監視対象機器固有IDと対応付けられているものを探し、これらのテンプレートの組と監視対象機器固有IDをテンプレートルール候補記憶部170に保持する。例えば、あるイベントeiが、{(1,10)、(1,11)、(1,12)、(2,20)}という構成であれば、(1、[10,11,12])としてテンプレートルール候補記憶部170に保存する。これをテンプレートルール候補と呼ぶ。
入力とするログはどのような機器のものでも問題ないが、例えばネットワーク監視のためのルータのsyslog などが考えられる。この場合において、図4のオフラインの形態について説明する。ネットワーク機器(監視対象装置)の生成するログは一元的に収集され、ログDBへ保存され、事前にテンプレートおよび監視機器の情報が付与され, それぞれラベルも保存されている。
第1の実施例では、ログ情報があらかじめログ・テンプレート・ラベル情報DB40に蓄積されており、オフラインでルール把握を適用する場合を示したが、オンラインでルールを更新しながらの利用も可能である。以下では図5を用いながら、この利用例を示す。
3 監視対象装置
10 ログ収集装置
20 ログDB
30 ログ編集装置
40 ログ・テンプレート・ラベル情報DB
50 ユーザインタフェース
60 テンプレート整形・表示部
100 ルール作成装置
110 テンプレートID抽出部
120 ログ分割部
130 グループ生成部
140 ルール把握部
141 テンプレートルール把握部
142 監視対象機器ルール把握部
150 ルール併合部
151 抽象化部
152 複合化部
160 グループ記憶部
170 テンプレートルール候補記憶部
180 監視対象機器ルール候補記憶部
200 ルールDB
Claims (8)
- 監視対象機器のログ型式の生成則(ルール)を生成するためのログ生成則作成装置であって、
少なくとも前記監視対象機器のログメッセージ(以下、「ログ」と記す)、該ログメッセージ内の重要な部分(以下、「テンプレート」と記す)を格納したログ・テンプレート情報記憶手段を参照し、過去に生起したログに対応するテンプレートを抽出するテンプレート抽出手段と、
読み込んだログを分割したログ系列から、同時生起性の高い監視対象機器とテンプレートとの組を、イベントとしてグループ記憶手段に格納するグループ生成手段と、
前記グループ記憶手段の各イベントを読み出して、同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一の監視対象機器IDと対応付けられた1つ以上のテンプレートIDを抽出し、抽出した1つ以上のテンプレートIDを該監視対象機器IDに対応付けてテンプレートルール候補としてテンプレートルール候補記憶手段に格納する処理を全イベントについて繰り返し、該テンプレートルール候補記憶手段に格納されたテンプレートルール候補同士を比較して、テンプレートルール候補同士の間でテンプレートIDの組の類似度が所定の閾値より高く、監視対象機器IDが異なるものが所定の数以上存在するという条件を満たすテンプレートルール候補を抽出し、抽出したテンプレートルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けてテンプレートルールとしてルール記憶手段に格納する、或いは、同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一のテンプレートIDと対応付けられた1つ以上の監視対象機器IDを抽出し、抽出した1つ以上の監視対象機器IDを該テンプレートIDに対応付けて監視対象機器ルール候補として監視対象機器ルール候補記憶手段に格納する処理を全イベントについて繰り返し、該監視対象機器ルール候補記憶手段に格納された監視対象機器ルール候補同士を比較して、監視対象機器ルール候補同士の間で監視対象機器IDの組の類似度が所定の閾値より高く、テンプレートIDが異なるものが所定の数以上存在するという条件を満たす監視対象機器ルール候補を抽出し、抽出した監視対象機器ルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けて監視対象機器ルールとしてルール記憶手段に格納するルール把握手段と、
を有することを特徴とするログ生成則作成装置。 - 前記ルール把握手段は、
前記グループ記憶手段の同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一の監視対象機器IDと対応付けられた1つ以上のテンプレートIDを抽出し、抽出した1つ以上のテンプレートIDを該監視対象機器IDに対応付けてテンプレートルール候補としてテンプレートルール候補記憶手段に格納する処理を全イベントについて繰り返し、該テンプレートルール候補記憶手段に格納された全テンプレートルール候補について、テンプレートルール候補同士を比較して、テンプレートルール候補同士の間でテンプレートIDの組の類似度が所定の閾値よりも高く、監視対象機器IDが異なるものが所定の数以上存在するという条件を満たすテンプレートルール候補を抽出し、抽出したテンプレートルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けてテンプレートルールとするテンプレートルール抽出手段と、
前記グループ記憶手段の同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一のテンプレートIDと対応付けられた1つ以上の監視対象機器IDを抽出し、抽出した1つ以上の監視対象機器IDを該テンプレートIDに対応付けて監視対象機器ルール候補として監視対象機器ルール候補記憶手段に格納する処理を全イベントについて繰り返し、該監視対象機器ルール候補記憶手段に格納された全監視対象機器ルール候補について、監視対象機器ルール候補同士を比較して、監視対象機器ルール候補同士の間で監視対象機器IDの組の類似度が所定の閾値よりも高く、テンプレートIDが異なるものが所定の数以上存在するという条件を満たす監視対象機器ルール候補を抽出し、抽出した監視対象機器ルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けて監視対象機器ルールとする監視対象機器ルール抽出手段と、を含む請求項1記載のログ生成則作成装置。 - 前記ログ・テンプレート情報記憶手段は、監視情報ラベルを含み、
前記テンプレートルールの監視対象機器IDのリストに含まれる監視対象機器IDのうち、共通の監視情報ラベルを持つものが所定の割合以上あれば、該監視対象機器IDを該監視情報ラベルで置き換える手段を更に有する
請求項2記載のログ生成則作成装置。 - 前記ログ・テンプレート情報記憶手段は、テンプレートラベルを含み、
前記監視対象機器ルールのテンプレートIDのリストに含まれるテンプレートIDのうち、共通のテンプレートラベルを持つものが所定の割合以上あれば、該テンプレートIDを該テンプレートラベルで置き換える手段を更に有する
請求項2記載のログ生成則作成装置。 - 監視対象機器のログ型式の生成則(ルール)を生成するためのログ生成則作成方法であって、
テンプレート抽出手段、グループ生成手段、ルール把握手段を有する装置において、
前記テンプレート抽出手段が、少なくとも前記監視対象機器のログメッセージ(以下、「ログ」と記す)、該ログメッセージ内の重要な部分(以下、「テンプレート」と記す)を格納したログ・テンプレート情報記憶手段を参照し、過去に生起したログに対応するテンプレートを抽出するテンプレート抽出ステップと、
前記グループ生成手段が、読み込んだログを分割したログ系列から、同時生起性の高い監視対象機器とテンプレートとの組を、イベントとしてグループ記憶手段に格納するグループ生成ステップと、
前記ルール把握手段が、前記グループ記憶手段の各イベントを読み出して、同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一の監視対象機器IDと対応付けられた1つ以上のテンプレートIDを抽出し、抽出した1つ以上のテンプレートIDを該監視対象機器IDに対応付けてテンプレートルール候補としてテンプレートルール候補記憶手段に格納する処理を全イベントについて繰り返し、該テンプレートルール候補記憶手段に格納されたテンプレートルール候補同士を比較して、テンプレートルール候補同士の間でテンプレートIDの組の類似度が所定の閾値より高く、監視対象機器IDが異なるものが所定の数以上存在するという条件を満たすテンプレートルール候補を抽出し、抽出したテンプレートルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けてテンプレートルールとしてルール記憶手段に格納する、或いは、同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一のテンプレートIDと対応付けられた1つ以上の監視対象機器IDを抽出し、抽出した1つ以上の監視対象機器IDを該テンプレートIDに対応付けて監視対象機器ルール候補として監視対象機器ルール候補記憶手段に格納する処理を全イベントについて繰り返し、該監視対象機器ルール候補記憶手段に格納された監視対象機器ルール候補同士を比較して、監視対象機器ルール候補同士の間で監視対象機器IDの組の類似度が所定の閾値より高く、テンプレートIDが異なるものが所定の数以上存在するという条件を満たす監視対象機器ルール候補を抽出し、抽出した監視対象機器ルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けて監視対象機器ルールとしてルール記憶手段に格納するルール把握ステップと、
を行うことを特徴とするログ生成則作成方法。 - 前記ルール把握ステップにおいて、
前記グループ記憶手段の同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一の監視対象機器IDと対応付けられた1つ以上のテンプレートIDを抽出し、抽出した1つ以上のテンプレートIDを該監視対象機器IDに対応付けてテンプレートルール候補としてテンプレートルール候補記憶手段に格納する処理を全イベントについて繰り返し、該テンプレートルール候補記憶手段に格納された全テンプレートルール候補について、テンプレートルール候補同士を比較して、テンプレートルール候補同士の間でテンプレートIDの組の類似度が所定の閾値よりも高く、監視対象機器IDが異なるものが所定の数以上存在するという条件を満たすテンプレートルール候補を抽出し、抽出したテンプレートルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けてテンプレートルールとするテンプレートルール抽出ステップと、
前記グループ記憶手段の同一イベント内に含まれる監視対象機器IDとテンプレートIDとの組を取得し、取得した監視対象機器IDとテンプレートIDとの組において同一のテンプレートIDと対応付けられた1つ以上の監視対象機器IDを抽出し、抽出した1つ以上の監視対象機器IDを該テンプレートIDに対応付けて監視対象機器ルール候補として監視対象機器ルール候補記憶手段に格納する処理を全イベントについて繰り返し、該監視対象機器ルール候補記憶手段に格納された全監視対象機器ルール候補について、監視対象機器ルール候補同士を比較して、監視対象機器ルール候補同士の間で監視対象機器IDの組の類似度が所定の閾値よりも高く、テンプレートIDが異なるものが所定の数以上存在するという条件を満たす監視対象機器ルール候補を抽出し、抽出した監視対象機器ルール候補に含まれる監視対象機器IDのリストとテンプレートIDのリストとを対応付けて監視対象機器ルールとする監視対象機器ルール抽出ステップと、
を行う請求項5記載のログ生成則作成方法。 - 前記ルール把握ステップにおいて、
前記ログ・テンプレート情報記憶手段に、監視情報ラベルを含む場合に、
前記テンプレートルールの監視対象機器IDのリストに含まれる監視対象機器IDのうち、共通の監視情報ラベルを持つものが所定の割合以上あれば、該監視対象機器IDを該監視情報ラベルで置き換えるステップ、
前記ログ・テンプレート情報記憶手段に、テンプレートラベルを含む場合に、
前記監視対象機器ルールのテンプレートIDのリストに含まれるテンプレートIDのうち、共通のテンプレートラベルを持つものが所定の割合以上あれば、該テンプレートIDを該テンプレートラベルで置き換えるステップ、
のいずれかまたは両方のステップを更に行う、
請求項6記載のログ生成則作成方法。 - 前記ルール把握ステップにおいて、
前記テンプレートルール及び前記監視対象機器ルールにおいて、再度全イベント内での同時共起回数を計算し、所定の回数以上であれば複合ルールとして該テンプレートルールと該監視対象機器ルールを組み合わせて複合ルールとして出力する複合ルール生成ステップを更に行う
請求項5または6記載のログ生成則作成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012178411A JP5798095B2 (ja) | 2012-08-10 | 2012-08-10 | ログ生成則作成装置及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012178411A JP5798095B2 (ja) | 2012-08-10 | 2012-08-10 | ログ生成則作成装置及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014035749A JP2014035749A (ja) | 2014-02-24 |
JP5798095B2 true JP5798095B2 (ja) | 2015-10-21 |
Family
ID=50284689
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012178411A Active JP5798095B2 (ja) | 2012-08-10 | 2012-08-10 | ログ生成則作成装置及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5798095B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106575254B (zh) * | 2014-08-25 | 2019-05-28 | 日本电信电话株式会社 | 日志分析装置、日志分析系统、日志分析方法及存储介质 |
JP6503679B2 (ja) * | 2014-10-06 | 2019-04-24 | 富士通株式会社 | フィルタルール作成装置、フィルタルール作成方法、およびプログラム |
JP6665784B2 (ja) * | 2014-11-10 | 2020-03-13 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびログ分析プログラム |
JP5922811B1 (ja) * | 2015-02-05 | 2016-05-24 | 日本電信電話株式会社 | ログ情報分類装置、ログ情報分類方法、及びプログラム |
JP6643211B2 (ja) * | 2016-09-14 | 2020-02-12 | 株式会社日立製作所 | 異常検知システム及び異常検知方法 |
US20230124408A1 (en) | 2020-03-05 | 2023-04-20 | Siemens Healthcare Diagnostics Inc. | An approach for analysis of logs from a complex physical equipment |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2011111599A1 (ja) * | 2010-03-11 | 2013-06-27 | 日本電気株式会社 | 障害分析ルール抽出装置、障害分析ルール抽出方法、及び記憶媒体 |
-
2012
- 2012-08-10 JP JP2012178411A patent/JP5798095B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014035749A (ja) | 2014-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405301B1 (en) | Service analyzer interface with composite machine scores | |
US10761687B2 (en) | User interface that facilitates node pinning for monitoring and analysis of performance in a computing environment | |
JP5798095B2 (ja) | ログ生成則作成装置及び方法 | |
US10691728B1 (en) | Transforming a data stream into structured data | |
CN107660283B (zh) | 用于在日志分析系统中实现日志解析器的方法和系统 | |
US10237295B2 (en) | Automated event ID field analysis on heterogeneous logs | |
CN104461842B (zh) | 基于日志相似性来处理故障的方法和装置 | |
US9262248B2 (en) | Log configuration of distributed applications | |
US11727025B2 (en) | Method and system for implementing a log parser in a log analytics system | |
JP5933463B2 (ja) | ログ生起異常検知装置及び方法 | |
WO2014196129A1 (ja) | 障害分析装置、障害分析方法、および、記録媒体 | |
WO2016161381A1 (en) | Method and system for implementing a log parser in a log analytics system | |
JP5948291B2 (ja) | 監視情報分析装置及び方法 | |
JP5651381B2 (ja) | 障害原因判定ルール検証装置及びプログラム | |
US10346450B2 (en) | Automatic datacenter state summarization | |
JP5711677B2 (ja) | 監視情報分析装置及び方法 | |
JP5295062B2 (ja) | 複合イベント処理向けクエリ自動生成装置 | |
JP2018081403A (ja) | インシデント管理システム、インシデント管理方法およびコンピュータプログラム | |
EP4105813A1 (en) | Method for analyzing data consisting of a large number of individual messages, computer program product and computer system | |
US11838171B2 (en) | Proactive network application problem log analyzer | |
US20220035359A1 (en) | System and method for determining manufacturing plant topology and fault propagation information | |
JP2009187395A (ja) | トピック分析装置、方法及びプログラム | |
CN106469086B (zh) | 事件处理方法和装置 | |
US11755453B1 (en) | Performing iterative entity discovery and instrumentation | |
WO2021047576A1 (zh) | 日志记录处理方法、装置、设备及机器可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140728 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150311 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150324 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150602 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150713 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150818 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150820 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5798095 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |