JP5948358B2 - 監視機器情報分析装置及び方法及びプログラム - Google Patents
監視機器情報分析装置及び方法及びプログラム Download PDFInfo
- Publication number
- JP5948358B2 JP5948358B2 JP2014025534A JP2014025534A JP5948358B2 JP 5948358 B2 JP5948358 B2 JP 5948358B2 JP 2014025534 A JP2014025534 A JP 2014025534A JP 2014025534 A JP2014025534 A JP 2014025534A JP 5948358 B2 JP5948358 B2 JP 5948358B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- template
- time
- monitoring
- amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
与えられた対象イベント、監視対象機器h、該対象イベントの発生時刻及び終了時刻、該対象イベントの前後の時間幅(Tpre、Tpos)が与えられると、該監視対象機器hにおいて生起したログメッセージごとに当該ログメッセージに対応するテンプレート及び生起して時間とを格納したテンプレート情報記憶手段を参照して、前記対象イベントの発生時刻の前の時間幅における前記テンプレートの発生量と前記対象イベントの終了時刻の後の時間葉幅における前記テンプレートの発生量との変動量であるログ変動量のサンプルを、前記対象イベントが発生した日と、前記日とは別の日について算出するログ変動量計算手段と、
前記サンプルを用いて統計的手法による検定を行い、検定統計量が所定の閾値より大きい場合には事前ログとして検知する検定手段と、を有する監視機器情報分析装置が提供される。
図1は、本発明の第1の実施の形態におけるシステム構成例を示す。
x=| pih−qih |
または
定義ii)
xn=| pih (n)−qih (n)|
または、
xn=| pih (n) / qih (n)|
上記の定義iiについては、q{ih}として0が含まれる場合があるなど値域の限定のために、
xn=log (pih(n) / (1 + qih (n)) )
や、
xn| pih (n) + 1 / qih (n) + 1|
のような変更も考えられるが、pihとqihの割合を利用する点で同等である。以下では簡単化のため(定義i)を用いる場合のみを述べるが、手順については定義iiの場合も同様である。
ここで、正規分布による検定法について説明する。
Hampel testについては、非特許文献5(OUTLIER DETECTION: http://www.eng.tau.ac.il/~bengal/outlier.pdf)に記載されている。
前述の第1の実施の形態では、事象情報が予めイベントDB4に蓄積されており、オフラインで事前ログ把握を適用する場合を考えたが、本実施の形態では、事象を現時点とし、オンラインで事前ログを抽出しながら利用する場合を説明する。
本実施の形態は、監視対象機器のログ情報以外の情報を入力として持つ場合である。
2 ログ収集装置
3 テンプレート生成装置
4 イベントDB
5 利用者(端末)
6 時間帯別ログ量DB
7 他監視データ収集装置
8 他監視データ離散化装置
9 別機器情報離散化DB
10 他監視データDB
11 ログDB
20 監視機器情報分析装置
21 ユーザインタフェース
22 ログ変動量計算部
23 検定部
24 事前ログマージ部
h 監視対象機器
Claims (8)
- 複数の監視対象機器から出力されるログ情報から特定事象の以前と以後で発生量に変化があるログを抽出する監視機器情報分析装置であって、
与えられた対象イベント、監視対象機器h、該対象イベントの発生時刻及び終了時刻、該対象イベントの前後の時間幅(Tpre、Tpos)が与えられると、該監視対象機器hにおいて生起したログメッセージごとに当該ログメッセージに対応するテンプレート及び生起して時間とを格納したテンプレート情報記憶手段を参照して、前記対象イベントの発生時刻の前の時間幅における前記テンプレートの発生量と前記対象イベントの終了時刻の後の時間葉幅における前記テンプレートの発生量との変動量であるログ変動量のサンプルを、前記対象イベントが発生した日と、前記日とは別の日について算出するログ変動量計算手段と、
前記サンプルを用いて統計的手法による検定を行い、検定統計量が所定の閾値より大きい場合には事前ログとして検知する検定手段と、
を有することを特徴とする監視機器情報分析装置。 - 前記ログ変動量計算手段は、
前記対象イベントの発生時刻からTpre時間前に発生した前記監視対象機器hのテンプレートの発生量(pih)、及び該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih)を算出する第1のテンプレート発生量算出手段と、
前記監視対象機器hのn日前の前記対象イベントの発生時刻からTpre時間前に発生した該監視対象機器hのテンプレートの発生量(pih(n))、及該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih(n))を算出する第2のテンプレート発生量算出手段と、
前記第1のテンプレート発生量算出手段で求められたテンプレート発生量(pih,qih)と、前記第2のテンプレート発生量算出手段で求められたテンプレート発生量(pih(n),qih(n))のログ差分またはログ比率を前記ログ変動量として算出するサンプル算出手段と、
を含む請求項1記載の監視機器情報分析装置。 - 前記検定手段は、
得られた前記サンプルの数が所定の数以下である場合には、前記監視対象機器hとは異なる監視対象機器h’に関するサンプルの算出を該ログ変動量計算手段に指示する手段を含み、
前記ログ変動量計算手段は、
前記監視対象機器h以外の監視対象機器h’のログ変動量を求め、関数を用いて補正する手段を更に有する
請求項1または2記載の監視機器情報分析装置。 - 与えられた全ての対象イベントに対して、前記検定手段で得られた前記事前ログをマージして出力する手段を更に有する
請求項1乃至3のいずれか1項に記載の監視機器情報分析装置。 - 複数の監視対象機器から出力されるログ情報から特定事象の以前と以後で発生量に変化があるログを抽出する監視機器情報分析方法であって、
与えられた対象イベント、監視対象機器h、該対象イベントの発生時刻及び終了時刻、該対象イベントの前後の時間幅(Tpre、Tpos)が与えられると、該監視対象機器hにおいて生起したログメッセージごとに当該ログメッセージに対応するテンプレート及び生起して時間とを格納したテンプレート情報記憶手段を参照して、前記対象イベントの発生時刻の前の時間幅における前記テンプレートの発生量と前記対象イベントの終了時刻の後の時間葉幅における前記テンプレートの発生量との変動量であるログ変動量のサンプルを、前記対象イベントが発生した日と、前記日とは別の日について算出するログ変動量計算ステップと、
前記サンプルとなるログ変動量を取得し、該サンプルを用いて統計的手法による検定を行い、検定統計量が所定の閾値より大きい場合には事前ログとして検知する検定ステップと、
を行うことを特徴とする監視機器情報分析方法。 - 前記ログ変動量計算ステップにおいて、
前記対象イベントの発生時刻からTpre時間前に発生した前記監視対象機器hのテンプレートの発生量(pih)、及び該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih)を算出する第1のテンプレート発生量算出ステップと、
前記監視対象機器hのn日前の前記対象イベントの発生時刻からTpre時間前に発生した該監視対象機器hのテンプレートの発生量(pih(n))、及該対象イベントの終了時刻からTpos時間後に発生した該監視対象機器hのテンプレートの発生量(qih(n))を算出する第2のテンプレート発生量算出ステップと、
前記第1のテンプレート発生量算出ステップで求められたテンプレート発生量(pih,qih)と、前記第2のテンプレート発生量算出ステップで求められたテンプレート発生量(pih(n),qih(n))のログ差分またはログ比率を前記ログ変動量として算出するサンプル算出ステップと、
を行う請求項5記載の監視機器情報分析方法。 - 前記検定ステップにおいて、
得られた前記サンプルの数が所定の数以下であると判定された場合には、前記監視対象機器h以外の監視対象機器h’のログ変動量を求め、関数を用いて補正する
請求項5または6記載の監視機器情報分析方法。 - コンピュータを、
請求項1乃至4のいずれか1項に記載の監視機器情報分析装置の各手段として機能させるための監視機器情報分析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014025534A JP5948358B2 (ja) | 2014-02-13 | 2014-02-13 | 監視機器情報分析装置及び方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014025534A JP5948358B2 (ja) | 2014-02-13 | 2014-02-13 | 監視機器情報分析装置及び方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015153077A JP2015153077A (ja) | 2015-08-24 |
JP5948358B2 true JP5948358B2 (ja) | 2016-07-06 |
Family
ID=53895268
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014025534A Active JP5948358B2 (ja) | 2014-02-13 | 2014-02-13 | 監視機器情報分析装置及び方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5948358B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017037801A1 (ja) * | 2015-08-28 | 2017-03-09 | 株式会社日立製作所 | 監視システムおよび監視方法 |
JP6741216B2 (ja) * | 2015-11-30 | 2020-08-19 | 日本電気株式会社 | ログ分析システム、方法およびプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4328679B2 (ja) * | 2004-06-30 | 2009-09-09 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータネットワークの運用監視方法及び装置並びにプログラム |
JP5321784B2 (ja) * | 2008-03-05 | 2013-10-23 | 富士ゼロックス株式会社 | 故障診断装置およびプログラム |
JP5375829B2 (ja) * | 2008-09-18 | 2013-12-25 | 日本電気株式会社 | 運用管理装置、運用管理方法、および運用管理プログラム |
JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
-
2014
- 2014-02-13 JP JP2014025534A patent/JP5948358B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015153077A (ja) | 2015-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6669156B2 (ja) | アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム | |
JP6160673B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
US10069699B2 (en) | Monitoring device information analyzing device and method, and non-transitory storage medium storing program | |
WO2014208002A1 (ja) | システム分析装置、システム分析方法、及びシステム分析プログラム | |
JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
JP5267749B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
JP6564799B2 (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
JP2015011027A (ja) | 時系列データにおける異常を検出する方法 | |
JP2014153723A (ja) | ログ生起異常検知装置及び方法 | |
JP7031743B2 (ja) | 異常検知装置 | |
EP4020218B1 (en) | Analyzing large-scale data processing jobs | |
JP6183449B2 (ja) | システム分析装置、及び、システム分析方法 | |
WO2017110720A1 (ja) | ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体 | |
JP2016012193A (ja) | 抽出方法、装置、及びプログラム | |
JP5948358B2 (ja) | 監視機器情報分析装置及び方法及びプログラム | |
JP2007213194A (ja) | 状況解析システムおよび状況解析方法 | |
CN115292345A (zh) | 一种污染源数据解析方法、装置、设备以及存储介质 | |
KR102512857B1 (ko) | 빅데이터 기반의 스마트 팩토리 분석시스템 및 방법 | |
WO2023200597A1 (en) | Automated positive train control event data extraction and analysis engine for performing root cause analysis of unstructured data | |
JP2004348640A (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
TWI632442B (zh) | 攻擊/異常偵知裝置、攻擊/異常偵知方法以及攻擊/異常偵知程式 | |
US8448028B2 (en) | System monitoring method and system monitoring device | |
US20150154498A1 (en) | Methods for identifying silent failures in an application and devices thereof | |
JP2011150586A (ja) | 障害履歴の管理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150525 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160212 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160223 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160531 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160606 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5948358 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |