JP5948358B2 - 監視機器情報分析装置及び方法及びプログラム - Google Patents

監視機器情報分析装置及び方法及びプログラム Download PDF

Info

Publication number
JP5948358B2
JP5948358B2 JP2014025534A JP2014025534A JP5948358B2 JP 5948358 B2 JP5948358 B2 JP 5948358B2 JP 2014025534 A JP2014025534 A JP 2014025534A JP 2014025534 A JP2014025534 A JP 2014025534A JP 5948358 B2 JP5948358 B2 JP 5948358B2
Authority
JP
Japan
Prior art keywords
log
template
time
monitoring
amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014025534A
Other languages
English (en)
Other versions
JP2015153077A (ja
Inventor
達明 木村
達明 木村
暁 渡邉
暁 渡邉
剛 豊野
剛 豊野
西松 研
研 西松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014025534A priority Critical patent/JP5948358B2/ja
Publication of JP2015153077A publication Critical patent/JP2015153077A/ja
Application granted granted Critical
Publication of JP5948358B2 publication Critical patent/JP5948358B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、監視機器情報分析装置及び方法及びプログラムに係り、特に、多種多様な機器が出力するログ情報から利用者にとって有用な情報を抽出するための監視機器情報分析装置及び方法及びプログラムに関する。
今日、コスト削減を主な理由として、異なる製造元の、異なる役割を持つ機器、ソフトウェアの一元的な監視・管理が行われている。一方で、こうした多種多様な機器やソフトウェアはそれぞれ独自の形態を持つログを出力する機構を有しており、機器の監視・管理を行う際において使用される。情報機器の発展に伴い、これらのログ情報は複雑・大規模化しており、すべてを日常的に監視することはできず、分析そのものが課題となっている。
こうした中で、非特許先行文献1のように、機器のデータを収集し、インデックス化することによりログ分析を簡略化するための分析基盤がある。
一方、非特許先行文献2では、ルータなどのネットワーク機器の生成するsyslogを対象とし、ルータの位置関係などを利用して、syslog のダイジェスト情報を表示する手法および頻度等を利用した異常検知法を提案している。
一方, 非特許先行文献3では、ネットワークにおける機器の設定変更等の工事起因の異常検知手法を提案している。予め工事の時点を与え、その時点でログの発生量やトラヒック量などの各指標の変化を検知する手法である。
Splunk http://www.splunk.com/ T. Qiu, Z. Ge, D. Pei, J. Wang, J, Xu,"What Happened in my Network? Mining Network Events from Router Syslogs", In IMC, 2010. Ajay Mahimkar, Zihui Ge, Jia Wang, Jennifer Yates, Yin Zhang, Joanne Emmons, Brian Huntley, Mark Stockert, "Rapid Detection of Maintenance Induced Changes in Service Performance," In ACM CoNEXT (International Conference on emerging Networking EXperiments and Technologies), 2011. 木村達明, 渡邉暁, 豊野剛, 西松研, 塩本公平. 大規模ネットワークログ情報のオンライン・テンプレート抽出法. 電子情報通信学会ソサイエティ大会, 2013.
しかしながら、上記非特許文献1の技術は、膨大で複雑なログの中から隠れた意味のあるログ情報を発見するには、個々のログの発生する意味やログメッセージの内容に関しての事前知識やシステムに関する経験が必要となる。
また、非特許文献2の技術は、ダイジェスト情報を表示するのみであり、実際に得られる情報がオペレーション上重要かどうかを判断することはできない。
非特許文献3の技術は、故障の前に発生する予兆ログや発生量の変化等の発見には利用することができない。
また、こうした技術以外にも様々な異常検知技術が提案されているが、例えば故障の予兆ログのように、特定イベントに対して意味のあるログ情報の発現を抽出する技術は存在しない。
本発明は、上記の点に鑑みなされたもので、利用者が機器の生成するログメッセージの意味を直接的に知ることなく、特定事象の事前予兆ログ(以前と以後で発生量に顕著な変化のあるログ)を抽出することが可能な監視機器情報分析装置及び方法及びプログラムを提供することを目的とする。
一態様によれば、複数の監視対象機器から出力されるログ情報から特定事象の以前と以後で発生量に変化があるログを抽出する監視機器情報分析装置であって、
与えられた対象イベント、監視対象機器h、該対象イベントの発生時刻及び終了時刻、該対象イベントの前後の時間幅(Tpre、Tpos)が与えられると、該監視対象機器hにおいて生起したログメッセージごとに当該ログメッセージに対応するテンプレート及び生起して時間とを格納したテンプレート情報記憶手段を参照して、前記対象イベントの発生時刻の前の時間幅における前記テンプレートの発生量と前記対象イベントの終了時刻の後の時間葉幅における前記テンプレートの発生量との変動量であるログ変動量のサンプルを、前記対象イベントが発生した日と、前記日とは別の日について算出するログ変動量計算手段と、
記サンプルを用いて統計的手法による検定を行い、検定統計量が所定の閾値より大きい場合には事前ログとして検知する検定手段と、を有する監視機器情報分析装置が提供される。
一態様によれば、利用者が機器の生成するログメッセージの意味を直接知ることなく、特定事象の以前と以後で発生量に変化のあるログを抽出することが可能となる。
本発明の第1の実施の形態におけるシステム構成例である。 本発明の第1の実施の形態における監視機器情報分析装置の構成例である。 本発明の第1の実施の形態における分析処理のフローチャートである。 本発明の第2の実施の形態におけるシステム構成例である。 本発明の第3の実施の形態におけるシステム構成例である。
以下、図面と共に本発明の実施の形態を説明する。
本発明は、利用者が監視対象とする機器群が生成する十分な過去の情報を分析することにより、特定事象の以前と以後で発生量に変化のあるログを抽出するものである。
[第1の実施の形態]
図1は、本発明の第1の実施の形態におけるシステム構成例を示す。
同図に示すシステムは、オフライン利用時の形態を示している。
同図に示すシステムは、監視対象機器h(1)〜h(n)からなる監視対象機器群と、当該監視対象機器群からログ情報を一元的に収集するログ収集装置2、ログ収集装置2で収集されたログ情報を格納するログDB11、ログDB11のログ情報からテンプレートを生成するテンプレート生成装置3、生成されたテンプレートを格納するテンプレート情報DB1、故障などの特定の事象情報が記録されたイベントDB4、テンプレート情報DB1とイベントDB4の情報に基づいて発生量に変化のあるログを抽出する監視機器情報分析装置20を有する。テンプレート情報は、過去にログDB11に蓄積された監視対象機器hのログ情報から、ここで、テンプレート情報DB1に格納される予め、非特許文献4のテンプレート抽出法などを用いて、ログ情報内の重要とされる部分(以下、「テンプレート」と記す)が抽出され、テンプレートIDが付与されている。テンプレートIDは、i=1,2,…,Iで表す。
ログ収集装置2に接続される監視対象機器hが生成するログ情報には、該当ログ情報を生成した監視対象機器hを指し示す情報が含まれており、監視対象機器hを特定することができるものとする。監視対象機器hには全てIDが付与されており、h=1,2,…,Hで表す。
図1に示すシステムでは、ログ収集装置2で収集されたログ情報を、予めログDB11に保存している場合を想定しており、オフラインで各故障の事後に分析を行い、事前ログを抽出する。
テンプレート生成装置3は、ログDB11から取得したログ情報を、生起した時間、監視機器IDと共に、どのログテンプレートに一致するかを把握し、ログテンプレートに一意に対応するログテンプレートID付与してテンプレートDB1に格納する。これにより、どの時点でどの監視対象機器hからどのテンプレートIが発生したかが把握されているものとする。
本発明は、故障などのある特定の事象の前後のログ及び別日の同時間帯に発生したログ、他の監視対象機器で同時間帯に発生したログなどを分析することで、事象の前後で発生の挙動が変化したと考えられるログを特定する。以降、これを「事前ログ」と記す。
ログ収集装置2に入力されるログ情報はどのような機器のものでも問題ないが、例えば、ネットワーク監視のためのルータのsyslogなどが考えられる。
図2は、本発明の一実施の形態における監視機器情報分析装置の構成例を示す。
監視機器情報分析装置20は、テンプレート情報DB1に接続されている。
監視機器情報分析装置20は、ユーザインタフェース21、ログ変動量計算部22、検定部23、事前ログマージ部24を有する。
図1の例では、テンプレート情報DB1及びイベントDB4を監視機器情報分析装置20の外部に配置しているが、この例に限定されることなく、当該監視機器情報分析装置20内に配置してもよい。
ユーザインタフェース21は、利用者5から指定された分析したい事象(対象イベント)、監視対象機器、時間幅(対象イベントの前後の時間)等の情報を取得し、後述するログ変動量計算部22、検定部23、事前ログマージ部24による処理を行うことで抽出された事前ログを利用者5に出力する。
ログ変動量計算部22は、利用者5から指定された対象イベントに基づいてイベントDB4を参照して得られた事象と、監視対象機器のIDに基づいて、テンプレート情報DB1から、指定された時間幅における監視対象機器(h)のテンプレート発生量と、当該監視対象機器(h)における故障のn日前の同時間帯のテンプレートの発生量を取得し、後述する所定の定義を適用して、対象イベント発生日の時間幅内で発生したイベントに関するログ変動量を算出する。
検定部23は、ログ変動量計算部22で求められたログ変動量をサンプルとして取得し、当該サンプルを用いて統計的手法による検定を行い、事前ログを検出する。検定を行う際に、抽出されたこれらのサンプル数で不足する場合には、当該監視対象機器h以外の機器のテンプレート発生量の算出及びログ変動量の算出をログ変動量計算部22に指示し、取得する。
事前ログマージ部24は、全イベントに対して検出された事前ログをマージしたものをユーザインタフェース21に出力する。
図3は、本発明の一実施の形態における分析処理のフローチャートである。
ステップ101)ログ変動量計算部22は、イベントDB4からユーザにより指定された対象のイベントを指定し、ユーザインタフェース21を介して、特定事象(以下、「対象イベント」と記す)、監視対象機器h、発生時刻/終了時刻、対象イベント前後の時間幅Tpre、Tposを取得する。なお、発生時刻/終了時刻の代わりに、故障の発生時刻/回復時時刻のように幅を持つものを用いても良い。対象イベント前後の時間幅Tpre、Tposは、利用者5が任意に設定することができ、事前に発生したログと事後に発生したログの発生量の変化を見る期間を意味する。なお、以下では、対象イベントの発生時刻からTpre時間前、及び、対象イベントの終了時刻からTpos時間後に発生した監視対象機器hにおけるテンプレートiの発生量をpih及びqihと表す。
ステップ102) ログ変動量計算部22は、テンプレートDB1を参照し、ステップ101で取得した監視対象機器h、発生時刻/終了時刻、対象イベント前後の時間幅Tpre、Tposを用いて、発生時刻からTpre時間前に発生した監視対象機器hのテンプレート発生量pih、及び、終了時刻からTpos時間後に発生した監視対象機器hのテンプレートiの発生量qihを求め、メモリ(図示せず)に格納する。
さらに、ログ変動量計算部22は、テンプレートDB1を参照し、当該監視対象機器hにおける故障のn日前(n=1,2,…,n)の同時間帯(対象イベントの発生時刻からTpre前、対象イベントの終了時刻からTpos後)の監視対象機器hにおけるテンプレートiの発生量を、pih(n)、qih(n)として取得し、メモリ(図示せず)に格納する。ここで、n日前という設定の仕方は任意であり、ユーザがユーザインタフェース21を介して、例えば、同一曜日のみを指定したり、別の月の同じ日付のみを指定することも可能である。
ログ変動量計算部22は、メモリ(図示せず)に格納されたテンプレート発生量(pih,qih,pih(n),qih(n))を取得し、以下の定義i、定義iiを用いてログ変動量を求める。
定義i)
x=| pih−qih |
または
定義ii)
xn=| pih (n)−qih (n)|
または、
xn=| pih (n) / qih (n)|
上記の定義iiについては、q{ih}として0が含まれる場合があるなど値域の限定のために、
xn=log (pih(n) / (1 + qih (n)) )
や、
xn| pih (n) + 1 / qih (n) + 1|
のような変更も考えられるが、pihとqihの割合を利用する点で同等である。以下では簡単化のため(定義i)を用いる場合のみを述べるが、手順については定義iiの場合も同様である。
上記のログ変動量の定義i、定義iiにはそれぞれ以下のような違いがある。
定義iについては、ログの相対的な差を表すため、例えば常時大量に発生するログの差分(pih =100, qih =99の場合、x=1)と、一度しか発生しないログ(pih =1, qih =0の場合、x=1)を同等に扱い「異常」と考える。一方で、定義iiの場合は、その割合を計算するため、大量に発生する場合(pih =100, qih =99の場合、x=101/100)は一度しか発生しないログ(pih =1, qih =0の場合、x=2/1)よりも異常度が低いと考えられる。利用者は目的に応じてどちらの定義も指定することができる。
上記で求められたxまたはxnをサンプルとしてメモリ(図示せず)に格納する。
ステップ103)検定部23は、メモリ(図示せず)からステップ102で求められたログ変動量(定義iを用いた場合はx、定義iiを用いた場合はxn)をサンプルとして取得する。
ステップ104)利用者が閾値をユーザインタフェース21を介して設定しておき、サンプルがその閾値を下回るとき、ログ変動量計算部22に対して監視対象機器h以外の監視対象機器h'のログの変動量の算出を指示し、監視対象機器h'のログ変動量から上記のステップ102と同様の方法で求められたサンプルxh'を取得する。
状況によっては、監視対象機器hでのn日前のログをサンプルとして十分に確保できない場合であったり、異常値が多く含まれるために検出が困難となる場合がある。こうしたとき、以下の要領で他の監視対象機器のサンプルの情報を用いることでサンプル数を増やす。当該サンプルは、監視対象機器h以外の機器h'(h'≠h)の対象イベント前後の変化量をxh'=|pih'−qih'|として取得する。こうして、サンプルに用いる監視対象機器h'は対象イベントと同様の機器役割や種別を持つ機器であることが望ましいため、事前に与えられた場合は、利用者5がサンプルとして利用する監視対象機器群を指定するものとする。
サンプルとして利用する監視対象機器h'において、テンプレートiの出方が同様とは限らないため、これを予め補正する必要がある。これは、関数f()を用いて補正する方法、即ち、xh':=f(xh)とする方法が考えられるが、一例として簡単にf()が線形多項式の場合を考える。
過去のxh'及びxhをn日分サンプルとして用意し、これを線形多項式としてフィッティングを行う。方法は様々なものがあるが、例として二乗和誤差最小化やマージン最大化などがある。
ステップ105)検定部23は、上記のステップ103で得られたサンプル、ステップ104において必要に応じて取得したサンプルを用いて、任意の統計的手法による検定を行い、所定の閾値より高ければ事前ログとして検出する。
検定の仕方は任意であるが、例えば、正規分布による検定、Hampel test、QUARTILE法、t-検定等が挙げられる。
<正規分布による検定法>
ここで、正規分布による検定法について説明する。
Figure 0005948358
 として、検定統計量|x−μ|/σがある閾値以上であれば、事前ログとして検知する。所定の値以上のサンプル数Nがあり、xnが正規分布に従っていれば有効であると判断する。
<Hampel testによる検出法>
Hampel testについては、非特許文献5(OUTLIER DETECTION: http://www.eng.tau.ac.il/~bengal/outlier.pdf)に記載されている。
上記の正規分布による検定法では、サンプルの中に異常点が含まれた場合、その影響を受け平均μや標準偏差σの値が正常の値から離れてしまう場合がある。これに対し、Hampel testはこれらの影響を緩和する手法であり、median(xn) =xnのメジアン、
Figure 0005948358
 として計算し、検定量
Figure 0005948358
 がある閾値を超えた場合に、事前ログとして検知する。平均の代わりにメジアンを用いることで、標本中に存在する特異点を考慮する手法である。
上記の処理により得られた事前ログをメモリ(図示せず)に格納する。
ステップ106)上記のステップ102〜105の処理を全テンプレートについて実行した後、全入力イベントに対して、ステップ105までに検出された事前ログをマージし、ユーザインタフェース21を介して出力する。
[第2の実施の形態]
前述の第1の実施の形態では、事象情報が予めイベントDB4に蓄積されており、オフラインで事前ログ把握を適用する場合を考えたが、本実施の形態では、事象を現時点とし、オンラインで事前ログを抽出しながら利用する場合を説明する。
図4は、本発明の第2の実施の形態におけるシステム構成例を示す。図1と同一構成部分には同一符号を付し、その説明を省略する。
同図では、監視対象機器hにおいて時々刻々と発生するログに対して、現時点を特定事象(対象イベント)として、事前ログの有無をオンラインで特定する形態を示している。
利用場面としては、例えば、ユーザ申告故障などの場合に利用することができる。
ログ収集装置2で収集された各ログ情報は、テンプレート生成装置3において、どのテンプレートに属するかが把握され、同時に監視機器情報も付与され、テンプレート情報DB1に格納される。また、現時点と同時間帯に発生したログの量を把握するために、任意の時間幅に発生したログの量を時間帯別ログ量DB6に順次記録しておく。
監視機器情報分析装置20では、分析を行う時間間隔は任意であるが、利用者5によって事前に設定された分析開始時間になれば、現時刻を対象事象発生時刻として、第1の実施の形態と同様の方法により事前ログを抽出し、ユーザインタフェース21を介して利用へ逐次通知する。
[第3の実施の形態]
本実施の形態は、監視対象機器のログ情報以外の情報を入力として持つ場合である。
テンプレートIDのような、1,2,…と番号を振ることができる離散化された情報であれば、前述の第1、第2の実施の形態が適用可能であるが、CPU使用率、トラヒック量などの連続値の数値情報であれば、これを利用者5が予めオフラインで離散化しておくことにより、ログ情報に紐付くテンプレートと同様に扱えるようにする。
図5は、本発明の第3の実施の形態におけるシステム構成例を示す。同図において、図1と同一構成部分には同一符号を付し、その説明を省略する。
図5に示すシステムは、図1の構成に、ログ収集装置2とは別の他監視データ収集装置7と、他監視データ離散化装置8、別機器情報離散化DB9、他監視データDB11が付加されている。
他監視データ収集装置7は、監視対象機器hから機器ID(h)に対応付けられたCPU使用率、トラヒック量等の離散化情報を取得する。
他監視データ離散化装置8は、収集された離散化情報を取得して別機器情報離散化DB9に格納し、ログ収集装置2において随時到着したログ情報と当該離散化情報を機器ID(h)でマッチングを行い、紐付けて他監視データDB11に格納する。
監視機器情報分析装置20は、テンプレート情報DB1を用いて、事前ログを抽出すると共に、当該事前ログに他監視データDB11の情報を関連付けて出力する。監視機器情報分析装置20の処理は、オフライン時は第1の実施の形態と同様であり、オンライン時は第2の実施の形態と同様の処理を行う。
なお、上記の図2に示される監視機器情報分析装置20の各構成要素の動作をプログラムとして構築し、監視機器情報分析装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることも可能である。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
1 テンプレート情報DB
2 ログ収集装置
3 テンプレート生成装置
4 イベントDB
5 利用者(端末)
6 時間帯別ログ量DB
7 他監視データ収集装置
8 他監視データ離散化装置
9 別機器情報離散化DB
10 他監視データDB
11 ログDB
20 監視機器情報分析装置
21 ユーザインタフェース
22 ログ変動量計算部
23 検定部
24 事前ログマージ部
h 監視対象機器

Claims (8)

  1. 複数の監視対象機器から出力されるログ情報から特定事象の以前と以後で発生量に変化があるログを抽出する監視機器情報分析装置であって、
    与えられた対象イベント、監視対象機器h、該対象イベントの発生時刻及び終了時刻、該対象イベントの前後の時間幅(Tpre、Tpos)が与えられると、該監視対象機器hにおいて生起したログメッセージごとに当該ログメッセージに対応するテンプレート及び生起して時間とを格納したテンプレート情報記憶手段を参照して、前記対象イベントの発生時刻の前の時間幅における前記テンプレートの発生量と前記対象イベントの終了時刻の後の時間葉幅における前記テンプレートの発生量との変動量であるログ変動量のサンプルを、前記対象イベントが発生した日と、前記日とは別の日について算出するログ変動量計算手段と、
    記サンプルを用いて統計的手法による検定を行い、検定統計量が所定の閾値より大きい場合には事前ログとして検知する検定手段と、
    を有することを特徴とする監視機器情報分析装置。
  2. 前記ログ変動量計算手段は、
    前記対象イベントの発生時刻からTpre時間前に発生した前記監視対象機器hのテンプレートの発生量(pih)、及び該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih)を算出する第1のテンプレート発生量算出手段と、
    前記監視対象機器hのn日前の前記対象イベントの発生時刻からTpre時間前に発生した該監視対象機器hのテンプレートの発生量(pih(n))、及該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih(n))を算出する第2のテンプレート発生量算出手段と、
    前記第1のテンプレート発生量算出手段で求められたテンプレート発生量(pih,qih)と、前記第2のテンプレート発生量算出手段で求められたテンプレート発生量(pih(n),qih(n))のログ差分またはログ比率を前記ログ変動量として算出するサンプル算出手段と、
    を含む請求項1記載の監視機器情報分析装置。
  3. 前記検定手段は、
    得られた前記サンプルの数が所定の数以下である場合には、前記監視対象機器hとは異なる監視対象機器h’に関するサンプルの算出を該ログ変動量計算手段に指示する手段を含み、
    前記ログ変動量計算手段は、
    前記監視対象機器h以外の監視対象機器h’のログ変動量を求め、関数を用いて補正する手段を更に有する
    請求項1または2記載の監視機器情報分析装置。
  4. 与えられた全ての対象イベントに対して、前記検定手段で得られた前記事前ログをマージして出力する手段を更に有する
    請求項1乃至3のいずれか1項に記載の監視機器情報分析装置。
  5. 複数の監視対象機器から出力されるログ情報から特定事象の以前と以後で発生量に変化があるログを抽出する監視機器情報分析方法であって、
    与えられた対象イベント、監視対象機器h、該対象イベントの発生時刻及び終了時刻、該対象イベントの前後の時間幅(Tpre、Tpos)が与えられると、該監視対象機器hにおいて生起したログメッセージごとに当該ログメッセージに対応するテンプレート及び生起して時間とを格納したテンプレート情報記憶手段を参照して、前記対象イベントの発生時刻の前の時間幅における前記テンプレートの発生量と前記対象イベントの終了時刻の後の時間葉幅における前記テンプレートの発生量との変動量であるログ変動量のサンプルを、前記対象イベントが発生した日と、前記日とは別の日について算出するログ変動量計算ステップと、
    前記サンプルとなるログ変動量を取得し、該サンプルを用いて統計的手法による検定を行い、検定統計量が所定の閾値より大きい場合には事前ログとして検知する検定ステップと、
    を行うことを特徴とする監視機器情報分析方法。
  6. 前記ログ変動量計算ステップにおいて、
    前記対象イベントの発生時刻からTpre時間前に発生した前記監視対象機器hのテンプレートの発生量(pih)、及び該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih)を算出する第1のテンプレート発生量算出ステップと、
    前記監視対象機器hのn日前の前記対象イベントの発生時刻からTpre時間前に発生した該監視対象機器hのテンプレートの発生量(pih(n))、及該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih(n))を算出する第2のテンプレート発生量算出ステップと、
    前記第1のテンプレート発生量算出ステップで求められたテンプレート発生量(pih,qih)と、前記第2のテンプレート発生量算出ステップで求められたテンプレート発生量(pih(n),qih(n))のログ差分またはログ比率を前記ログ変動量として算出するサンプル算出ステップと、
    を行う請求項5記載の監視機器情報分析方法。
  7. 前記検定ステップにおいて、
    得られた前記サンプルの数が所定の数以下であると判定された場合には、前記監視対象機器h以外の監視対象機器h’のログ変動量を求め、関数を用いて補正する
    請求項5または6記載の監視機器情報分析方法。
  8. コンピュータを、
    請求項1乃至4のいずれか1項に記載の監視機器情報分析装置の各手段として機能させるための監視機器情報分析プログラム。
JP2014025534A 2014-02-13 2014-02-13 監視機器情報分析装置及び方法及びプログラム Active JP5948358B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014025534A JP5948358B2 (ja) 2014-02-13 2014-02-13 監視機器情報分析装置及び方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014025534A JP5948358B2 (ja) 2014-02-13 2014-02-13 監視機器情報分析装置及び方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2015153077A JP2015153077A (ja) 2015-08-24
JP5948358B2 true JP5948358B2 (ja) 2016-07-06

Family

ID=53895268

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014025534A Active JP5948358B2 (ja) 2014-02-13 2014-02-13 監視機器情報分析装置及び方法及びプログラム

Country Status (1)

Country Link
JP (1) JP5948358B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017037801A1 (ja) * 2015-08-28 2017-03-09 株式会社日立製作所 監視システムおよび監視方法
JP6741216B2 (ja) * 2015-11-30 2020-08-19 日本電気株式会社 ログ分析システム、方法およびプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4328679B2 (ja) * 2004-06-30 2009-09-09 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータネットワークの運用監視方法及び装置並びにプログラム
JP5321784B2 (ja) * 2008-03-05 2013-10-23 富士ゼロックス株式会社 故障診断装置およびプログラム
JP5375829B2 (ja) * 2008-09-18 2013-12-25 日本電気株式会社 運用管理装置、運用管理方法、および運用管理プログラム
JP5264470B2 (ja) * 2008-12-26 2013-08-14 三菱電機株式会社 攻撃判定装置及びプログラム

Also Published As

Publication number Publication date
JP2015153077A (ja) 2015-08-24

Similar Documents

Publication Publication Date Title
JP6669156B2 (ja) アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム
JP6160673B2 (ja) 運用管理装置、運用管理方法、及びプログラム
US10069699B2 (en) Monitoring device information analyzing device and method, and non-transitory storage medium storing program
WO2014208002A1 (ja) システム分析装置、システム分析方法、及びシステム分析プログラム
JP6183450B2 (ja) システム分析装置、及び、システム分析方法
JP5267749B2 (ja) 運用管理装置、運用管理方法、及びプログラム
JP6564799B2 (ja) 閾値決定装置、閾値決定方法及びプログラム
JP2015011027A (ja) 時系列データにおける異常を検出する方法
JP2014153723A (ja) ログ生起異常検知装置及び方法
JP7031743B2 (ja) 異常検知装置
EP4020218B1 (en) Analyzing large-scale data processing jobs
JP6183449B2 (ja) システム分析装置、及び、システム分析方法
WO2017110720A1 (ja) ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体
JP2016012193A (ja) 抽出方法、装置、及びプログラム
JP5948358B2 (ja) 監視機器情報分析装置及び方法及びプログラム
JP2007213194A (ja) 状況解析システムおよび状況解析方法
CN115292345A (zh) 一种污染源数据解析方法、装置、设备以及存储介质
KR102512857B1 (ko) 빅데이터 기반의 스마트 팩토리 분석시스템 및 방법
WO2023200597A1 (en) Automated positive train control event data extraction and analysis engine for performing root cause analysis of unstructured data
JP2004348640A (ja) ネットワーク管理システム及びネットワーク管理方法
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
TWI632442B (zh) 攻擊/異常偵知裝置、攻擊/異常偵知方法以及攻擊/異常偵知程式
US8448028B2 (en) System monitoring method and system monitoring device
US20150154498A1 (en) Methods for identifying silent failures in an application and devices thereof
JP2011150586A (ja) 障害履歴の管理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150525

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160223

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160606

R150 Certificate of patent or registration of utility model

Ref document number: 5948358

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150