JP6332277B2 - ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体 - Google Patents

ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体 Download PDF

Info

Publication number
JP6332277B2
JP6332277B2 JP2015538856A JP2015538856A JP6332277B2 JP 6332277 B2 JP6332277 B2 JP 6332277B2 JP 2015538856 A JP2015538856 A JP 2015538856A JP 2015538856 A JP2015538856 A JP 2015538856A JP 6332277 B2 JP6332277 B2 JP 6332277B2
Authority
JP
Japan
Prior art keywords
pattern
log
time
analysis system
patterns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015538856A
Other languages
English (en)
Other versions
JPWO2015045262A1 (ja
Inventor
遼介 外川
遼介 外川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015045262A1 publication Critical patent/JPWO2015045262A1/ja
Application granted granted Critical
Publication of JP6332277B2 publication Critical patent/JP6332277B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0778Dumping, i.e. gathering error/state information after a fault for later diagnosis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、情報処理システムが出力するログを分析する技術に関する。
情報処理システムを運用保守する際には、運用保守を行う者(以下、「管理者」と記載する)は、当該情報処理システムに障害が発生した場合、当該障害の原因を特定する必要がある。管理者が障害の原因を特定する際に、当該情報処理システムが出力したログは重要な手がかりとなり得る。しかし、情報処理システムが出力するログのサイズは膨大であるので、管理者はその全てを詳細に分析することはできない。
そのため、管理者が障害の原因を特定する際には、情報処理システムが出力する膨大な量のログから、当該障害が発生した直接的または間接的な原因を示すメッセージ(以下、「原因メッセージ」と記載する)を特定する必要がある。そして管理者は、特定された原因メッセージ、および、当該原因メッセージの周辺のログを詳細に分析することにより、障害の原因を特定する。
特許文献1は、情報処理システムが出力する膨大なサイズのログから、正常動作時とは異なる頻度で出現するメッセージのパターンを検出する技術の一例を開示する。特許文献1が開示する技術は、情報処理システムが正常に動作していた際に当該情報処理システムが出力したログ(以下、「正常ログ」と記載する)から、正常ログにおけるメッセージの出現頻度等の典型的なパターン(以下、「正常パターン」と記載する)を抽出する。特許文献1が開示する技術は、正常パターンと、当該情報処理システムが出力した分析対象のログ(以下、「分析対象ログ」)とを比較し、両者の差分を抽出する。これにより特許文献1が開示する技術は、分析対象ログから正常動作時とは異なる頻度で出現するメッセージを検出することができる。
特許第4944391号公報 特開2012−194604号公報 特開2012−168702号公報
特許文献1は、正常ログから正常パターンをどのように抽出するかについて、詳細には開示していない。情報処理システムに発生した障害の原因分析が適切に行われるためには、正常ログから正常パターンが適切に抽出されることが必要である。
「正常ログから正常パターンを適切に抽出する」ということについて説明する。「正常ログから正常パターンを適切に抽出する」ということは、正常ログに基づいて、情報処理装置においてどのような処理がどれくらいの頻度で実行されたかを示す情報を抽出する、ということである。
情報処理装置において何らかの処理が実行されると、情報処理装置は、当該処理が実行されたことに応じて複数のメッセージを所定の時系列順に出力する。以降、情報処理装置が特定の処理を実行したことに応じて当該情報処理装置が出力した所定の時系列順の複数のメッセージを、「一連のメッセージ」と記載する。
正常ログには、膨大な数量のメッセージが含まれる。正常ログに基づいて、どのような処理がどれくらいの頻度で実行されたかを示す情報を抽出するためには、「一連のメッセージを処理単位でグループ化する情報」が必要である。
特許文献2および特許文献3は、「一連のメッセージを処理単位でグループ化する情報」に基づいて、ログを分析する技術を開示する。
特許文献2が開示する技術は、メッセージに含まれるトランザクションIDを「一連のメッセージを処理単位でグループ化する情報」として用いる。特許文献2が開示する技術は、メッセージに含まれるトランザクションIDに基づいて、同一のトランザクションIDを含む複数のメッセージを、当該トランザクションに関連する一連のメッセージとしてグルーピングする。
特許文献3が開示する技術は、プロセスに関連する一連のメッセージを事前に定義した情報を、「一連のメッセージを処理単位でグループ化する情報」として用いる。特許文献3が開示する技術は、特許文献3が開示する技術は、当該情報に基づいて、複数のメッセージを、特定のプロセスに関連する一連のメッセージとしてグルーピングする。
しかし、正常ログから正常パターンを適切に抽出する場合において、「一連のメッセージを処理単位でグループ化する情報」は、必ずしも事前に与えられるとは限らない。特許文献2が開示する技術において、メッセージにトランザクションIDが付与されていない状況も考えられる。
本発明は、一連のメッセージを処理単位でグループ化する情報が事前に与えられることなしに、正常ログから正常パターンを適切に抽出すること、または抽出することを支援することを目的の1つとする。
本発明の第1の側面は、イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含むログファイルを、所定のルールに従って、時系列順に連続する複数のログレコードの集合である複数のロググループへと分割する分割手段と、複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける抽出手段と、あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力すべきパターンを選択する選択手段と、を備えるログ分析システムである。
本発明の第2の側面は、コンピュータが、イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含むログファイルを、所定のルールに従って、時系列順に連続する複数のログレコードの集合である複数のロググループへと分割し、複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づけ、あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力すべきパターンを選択する、ログ分析方法である。
本発明の第3の側面は、コンピュータに、イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含むログファイルを、所定のルールに従って、時系列順に連続する複数のログレコードの集合である複数のロググループへと分割する処理と、複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける処理と、あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力すべきパターンを選択する処理と、を実行させるプログラムを記録する記憶媒体である。
また、本発明の目的は、上記のプログラムが格納されたコンピュータ読み取り可能な記録媒体に加えて、その記憶媒体に格納されているプログラムによっても達成される。
本発明によれば、一連のメッセージを処理単位でグループ化する情報が事前に与えられることなしに、正常ログから正常パターンを適切に抽出すること、または抽出することを支援することができる。
図1は、本発明の第1の実施形態にかかるログ分析システム100を説明するブロック図である。 図2は、本発明の第1の実施形態にかかるログ分析システム100に入力される正常ログ910の一例を表す図である。 図3は、本発明の第1の実施形態にかかるログ分析システム100の構成を表すブロック図である。 図4は、本発明の第1の実施形態にかかる分割部110によって分割されたログファイルの一例を表す図である。 図5は、本発明の第1の実施形態にかかる抽出部120によって抽出されたパターンの一例を表す図である。 図6は、本発明の第1の実施形態にかかる選択部130の動作を説明する図である。 図7は、本発明の第1の実施形態にかかる選択部130の動作を説明する図である。 図8は、本発明の第1の実施形態にかかるログ分析システム100の動作を説明するフローチャートである。 図9は、ログ分析システム100を実現するハードウェア構成の一例を表す図である 図10は、本発明の第2の実施形態にかかるログ分析システム101の構成を表すブロック図である。 図11Aは、本発明の第2の実施形態にかかる変換部150に入力されるログファイルの一例を表す第1の図である。 図11Bは、本発明の第2の実施形態にかかる変換部150に入力されるログファイルの一例を表す第2の図である。 図11Cは、本発明の第2の実施形態にかかる変換部150に入力されるログファイルの一例を表す第3の図である。 図12は、本発明の第2の実施形態にかかるフォーマットの一例を表す図である。 図13は、本発明の第2の実施形態にかかるフォーマットの一例を表す図である。 図14は、本発明の第2の実施形態にかかるログ分析システム101の動作を説明するフローチャートである。 図15は、本発明の第3の実施形態にかかる障害原因分析システム300の構成を表すブロック図である。 図16は、本発明の第4の実施形態にかかる第4の実施形態にかかるログ分析システム102の動作を説明するフローチャートである。
以下、本発明の実施形態について、図面を参照して詳細に説明する。
<第1の実施形態>
図1は、本発明の第1の実施形態にかかるログ分析システム100を説明するブロック図である。図1に示すように、ログ分析システム100は、情報処理システム900から出力された正常ログ910を取得する。上述したように、正常ログ910とは、情報処理システム900が正常に動作していた際に当該情報処理システム900が出力したログである。ログ分析システム100は、正常ログ910に基づいて、情報処理システム900においてどのような処理がどれくらいの頻度で実行されたかを示す情報、すなわち正常パターン920を抽出する。なお、後述するように、正常パターン920においては、必ずしも具体的な処理が特定される必要はない。ログ分析システム100は、正常パターン920を、正常パターン記憶部200に出力する。以下の説明において、「情報処理システム900」は、本実施形態に係るログ分析システム100及び本発明の他の実施形態に係るログ分析システムによって取得される、正常ログ910を出力する情報処理装置である。「情報処理システム900」本発明の他の実施形態に係る障害原因分析システム300によって取得される、分析対象ログ990を出力する情報処理装置でもある。
図2は、情報処理システム900から出力された正常ログ910の一例を説明する図である。正常ログ910は、ログファイルとも呼ばれる。正常ログ910は、複数のログレコードが時系列順に整列された情報を含む。
ログレコードは、情報処理システム900において発生したイベントと当該イベントが発生した時刻とが関連づけられた情報である。ログレコードは、メッセージとも呼ばれる。ログレコードは、図2に示した「行」に相当する情報である。図2の1行目に示したログレコードを参照すると、情報処理システム900において、イベントID(識別子)「A」によって識別されるイベントが時刻09:04:01に発生したことがわかる。図2の2行目に示したログレコードを参照すると、情報処理システム900において、イベントID(識別子)「B」によって識別されるイベントが時刻09:04:02に発生したことがわかる。イベントIDは、情報処理システム900において発生したイベントを識別する識別子である。
以降、実施形態を説明する際に、イベントを特定する必要がある場合には、イベントIDを用いて特定する。また、以降、例えば「ある時刻においてイベントAが発生したことを示すログレコード」を、「イベントAのログレコード」と表現する場合がある。
情報処理システム900が何らかの処理を実行すると、情報処理システム900は、当該処理が実行されたことに応じて複数のイベントを所定の時系列順に発生する。以降、情報処理システム900が特定の処理を実行したことに応じて当該情報処理システム900が発生する所定の時系列順の複数のイベントを、「一連のイベント」と記載する。
理解を容易にするため、以下に示すような具体的な前提をおいて、本実施形態を説明する。情報処理システム900が(処理1)を実行した場合、情報処理システム900は、イベントA、イベントBおよびイベントCをこの順番で発生することとする。情報処理システム900が(処理2)を実行した場合、情報処理システム900は、イベントX、およびイベントYをこの順番で発生することとする。
従って、情報処理システム900は、(処理1)を実行した場合、イベントAのログレコード、イベントBのログレコードおよびイベントCのログレコードを、この順番で出力する。情報処理システム900は、(処理2)を実行した場合、イベントXのログレコードおよびイベントYのログレコードを、この順番で出力する。
正常ログ910には、膨大な数量のログレコードが含まれる。ログ分析システム100は、正常ログ910に基づいてどのような処理がどれくらいの頻度で実行されたかを示す情報を抽出する。例えば、ログ分析システム100は、「所定時間の間に処理1が10回実行され処理2が18回実行された」というような情報を正常パターン920として抽出する。なお、正常パターン920にあっては、必ずしも具体的な処理が特定される必要はない。例えば、正常パターン920は「所定時間の間にイベントA→B→Cというパターンが10回発生し、イベントX→Yというパターンが18回発生した」というような情報でもよい。正常パターン920がこのような情報であっても、情報処理システム900に発生した障害の原因を分析する際の比較対象としての役割は十分に果たすことができる。
なお、記号「→」は、当該記号の前後に発生したイベントが、正常ログ910において時系列的に連続していることを示す記号である。すなわち、「A→B→C」とは、正常ログ910においてイベントAのログレコードとイベントBのログレコードとイベントCのログレコードとがこの順番で連続していることを示す。以降、複数のイベントが連続して発生したことを表す際に、記号「→」を省略して、例えば「A→B→C」を「ABC」と表現する場合がある。
ログ分析システム100が正常ログ910に基づいてこのような情報を抽出するためには、「一連のログレコードを処理単位でグループ化する情報」が必要である。
ここで、「一連のログレコードを処理単位でグループ化する情報」は、例えば、「イベントAのログレコード、イベントBのログレコードおよびイベントCのログレコードが何らかの処理に関連付いている」あるいは「イベントXのログレコードおよびイベントYのログレコードが何らかの処理に関連付いている」という情報である。
本実施形態にかかるログ分析システム100は、事前に「一連のログレコードを処理単位でグループ化する情報」を明示的に与えられることなく、正常ログ910に基づいて正常パターン920を適切に抽出できる。なぜなら、本実施形態にかかるログ分析システム100は、正常ログ910に基づいて、「一連のログレコードを処理単位でグループ化する情報」を自ら抽出することができるからである。
言い換えると、ログ分析システム100は、事前に「イベントAのログレコード、イベントBのログレコードおよびイベントCのログレコードが何らかの処理に関連付いている」あるいは「イベントXのログレコードおよびイベントYのログレコードが何らかの処理に関連付いている」という情報を与えられていなくても、正常ログ910に基づいて、このような情報を自ら抽出することができる、ということである。
本実施形態にかかる情報処理システム900は、前提として、下記に示すような性質を有するものとする。
(前提1)情報処理システム900は、複数の処理を並行して実行する。
(前提2)例えば情報処理システム900が、処理1と処理2とを並列に実行すると、情報処理システム900が出力するログファイルにおいて処理1に関連するイベントのログレコードと、処理2に関連するログレコードとが、時系列的に混ざって出力される場合がある。例えば、図2に示す09:04:12から09:04:16までに出力されたログレコードにおいては、処理1に関連するイベントのログレコードと、処理2に関連するイベントのログレコードとが、時系列的に混ざっている。図2に示す例では、イベントA→B→Cが、処理1に関連するイベントである。イベントX→Yが、処理2に関連するイベントである。
(前提3)上述したような、ある処理に関連するイベントのログレコードと、他の処理に関連するイベントのログレコードとが、時系列的に混ざって出力されることは、稀である。ほとんどの場合、特定の処理に関連するイベントのログレコードは、ログファイルにおいて時系列的に連続となる。
かかる前提に基づいて、ログ分析システム100が、正常ログ910からどのように正常パターン920を適切に抽出するかを、以下、詳細に説明する。
図3は、図1に示すログ分析システム100の構成を示すブロック図である。図3に示すように、ログ分析システム100は、分割部110と、抽出部120と、選択部130と、正常パターン抽出部140と、を備える。
分割部110は、正常ログ910を取得し、取得した正常ログ910を複数のロググループへと分割する。ロググループは、時系列的に連続する複数のログレコードの集合である(詳細は後述する)。
抽出部120は、複数のロググループから、時系列的に連続する複数のイベントから構成される複数の「パターン」を抽出する。抽出部120は、パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける(詳細は後述する)。
選択部130は、あるパターンを構成する時系列的に連続する複数のイベントと他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、前記複数のパターンから出力するパターンを選択する。また、選択部130は、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力するパターンを選択する(詳細は後述する)。
正常パターン抽出部140は、選択部130が出力したパターンに基づいて、正常ログ910から正常パターン920を抽出する。
分割部110の詳細を説明する。図4は、図2に示す正常ログ910が、分割部110によって複数のロググループに分割された様子を説明する図である。図4に示すロググループは、分割部110が、5秒間隔で、正常ログ910をロググループに分割した場合における、ロググループである。
分割部110は、あらかじめ指定された所定の時間間隔で正常ログ910を分割する。好ましくは、分割部110は、情報処理システム900が実行する処理に応じて出力される一連のイベントのログレコードが、一つのロググループに包含されると見込まれる程度の時間間隔で、正常ログ910を分割することが望ましい。情報処理システム900が特定の処理を実行するのに要する時間は、情報処理システム900の負荷状況等によって毎回異なるが、分割部110は例えば、平均処理時間等の値を算出し、このような値に基づいて分割の時間幅を決定することが望ましい。
分割の時間幅を決定する際には、プロセスまたはトランザクションの実行時間のポアソン分布等の値が参酌されてもよい。
抽出部120の詳細を説明する。図5は、抽出部120によって複数のロググループから抽出された「パターン」の一例と、当該パターンが抽出された「頻度」とを表す図である。「パターン」とは、ロググループの中に見られる、時系列的に連続する複数のイベントから構成される組み合わせである。「頻度」とは、当該パターンが幾つのログレコードから抽出されたかを表す情報である。
具体例を用いて説明する。例えば、抽出部120が、図4に示すロググループ1からパターンを抽出する場合を考える。ロググループ1を構成する時系列的に連続する複数のログレコードは、すなわち「ABCXY」である。抽出部120が、ロググループ1から抽出し得るパターンを、以下に列挙する。「ABCXY」、「ABCX」、「BCXY」、「ABC」、「BCX」、「CXY」、「AB」、「BC」、「CX」、「XY」、「A」、「B」、「C」、「X」、「Y」。
抽出部120は、複数のロググループから「パターン」を抽出する。抽出部120は、パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける。例えば図5において、パターン「ABC」の頻度は43である。これは、パターン「ABC」は、43個のロググループから抽出されたことを意味する。
抽出部120がパターンを抽出する具体的な方法としては、さまざまなアルゴリズムを用いることができる。抽出部120は例えば、apriori、prefixspan、LCM (Linear time Closed itemset Miner)、BIDE (Bi-Directional Execution)もしくはFP (Frequent Pattern)-growth、またはこれらのアルゴリズムの応用を用いて、パターンを抽出する。
以降、情報処理システム900が実行する特定の処理に関連付くパターンを、「意味のあるパターン」と記載する。例えば、パターン「ABC」は処理1に関連するパターンなので、意味のあるパターンである。例えば、パターン「XY」は処理2に関連するパターンなので、意味のあるパターンである。
以降、情報処理システム900が実行する特定の処理に関連付かないパターンを、「意味の無いパターン」と記載する。意味の無いパターンの1つの類型は、例えば、意味のあるパターンの部分集合に過ぎないパターンである。例えば、「AB」または「BC」などのパターンは、独立してそれ自身何らかの処理に関連付いているわけではないので、意味のないパターンである。意味の無いパターンの他の類型は、例えば、意味のあるパターンに何らかのイベントが付加されたパターンである。例えば、「ABCX」または「XYA」などのパターンは、独立してそれ自身何らかの処理に関連付いているわけではないので、意味のないパターンである。意味の無いパターンの他の類型は、例えば、ある処理に関連するパターンと他の処理に関連するパターンとが時系列的に混じっているパターンである。例えば、「ABXCY」または「XAYBC」などのパターンは、独立してそれ自身何らかの処理に関連付いているわけではないので、意味のないパターンである。
選択部130の詳細を説明する。選択部130は、抽出部120が抽出した複数のパターンのうちから、「意味のあるパターン」を選択し、選択したパターンを「一連のメッセージを処理単位でグループ化する情報」として出力する。
上述した(前提3)を鑑みると、ある処理に関連するパターンと他の処理に関連するパターンとが時系列的に混じっているパターンは稀である。そのため、選択部130は、所定の閾値よりも低い頻度のパターンを選択しないことによって、このようなパターンをノイズとして除去することができる。
同様に、上述した(前提3)を鑑みると、情報処理システム900が実行する特定の処理に関連付くパターン「ABC」および「XY」が抽出される頻度は、他のパターンの頻度よりも高くなると考えられる。しかし、例えば、パターン「ABC」の頻度が高い場合には、当該パターンの部分集合であるパターン「AB」または「BC」の頻度も、当然に高くなる。また、当該パターンに何らかのイベントが付加された「ABCX」または「YABC」などのパターンの頻度もある程度高くなることが考えられる。よって選択部130は、単純に頻度の高いパターンを選択するのみでは、「意味のあるパターン」を選択することはできない。
なぜなら、選択部130が単純に頻度の高いパターンを抽出すると、「意味のあるパターン」、「意味のあるパターンの部分集合のパターン」または「意味のあるパターンに何らかのイベントが付加されたパターン」が区別なく抽出されるからである。選択部130はこれらのパターンから「意味のあるパターン」を区別して選択することはできない。
選択部130は、以下に示す動作によって、これら複数のパターンから、「意味のあるパターン」を選択する。以下、選択部130の動作を具体的に説明する。
選択部130は、あるパターンを構成する時系列的に連続する複数のイベントと他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、複数のパターンから出力するパターンを選択する。また、選択部130は、パターンに関連づけられた頻度情報に基づいて、複数のパターンから出力するパターンを選択する。
理解を容易にするため、「親パターン」、「子パターン」という用語を定義する。一方のパターンを構成する時系列的に連続する複数のイベントが、他方のパターンを構成する時系列的に連続する複数のイベントの部分集合である場合に、前記他方のパターンを前記一方のパターンの親パターンと定義する。また、前記一方のパターンを前記他方のパターンの子パターンと定義する。例えば、「ABCD」というパターンは、「ABC」というパターンの親パターンである。例えば、「AB」というパターンは、「ABC」というパターンの子パターンである。同様に、「孫パターン」という用語等も定義することができる。
選択部130は、抽出部120が抽出したパターンのそれぞれについて親子関係を分析する。図6は、選択部130が「ABCD」というパターンについて親子関係を分析した様子を表す図である。図6に示すように、選択部130は、イベントの順序が共通するパターンを同じ分類集合にまとめる。そして、選択部130は、パターンに含まれるイベント数(要素数)に基づいて、パターンの親子関係を分析する。
以下、選択部130の動作として、具体例1から具体例4までを説明する。選択部130は、例えば、下記に示す具体例を組み合わせることにより、「意味のあるパターン」を抽出する。
(具体例1)
選択部130は、前記複数のパターンのそれぞれについて親子関係を分析する。選択部130による分析の結果、例えば、パターン「ABCX」に対して、親パターンが「ABCX」であり、子パターンが「ABC」であり、孫パターンが「AB」であるというような親子関係が得られる。
選択部130は、親パターンの頻度に対する子パターンの頻度の比を算出する。図5に示した例では、親パターン「ABCX」の頻度は17であり、子パターン「ABC」の頻度は43であるので、頻度の比は43/17=2.5である。ここで「/」は除算を表す記号である。ここで、当該比が比較的大きな値の場合(例えば2以上の場合など)、当該親パターンは「意味の無いパターン」である可能性が高いと考えられる。なぜなら、そのような親パターンは、子パターンに単にイベントが付加しただけのパターンと考えられるからである。
同様に選択部130は、親パターンの頻度に対する子パターンの頻度の比を算出する。図5に示した例では、親パターン「ABC」の頻度は43であり、子パターン「AB」の頻度は46であるので、頻度の比は46/43=1.07である。当該比が1に近い値である場合(例えば1.1以下の場合など)、当該子パターンは「意味の無いパターン」である可能性が高いと考えられる。なぜなら、このような子パターンのほとんどは親パターンの部分集合として抽出されているにすぎず、このような子パターンが独立して何らかの処理に関連付いているとは考えにくいためである。このような子パターンが、親パターンの部分集合として以外に抽出される場合としては、例えば、例えば図4に示すロググループ2と3との境界のように、分割部110が、たまたま、「意味のあるパターン」の途中で正常ログ910を分割してしまうような場合、と考えられる。
(具体例2)
選択部130は、前記複数のパターンのそれぞれについて親子関係を分析する。選択部130は、パターンを構成する要素(イベント)の数が多く、かつ、頻度の高いパターンを、優先的に「意味のあるパターン」として選択してもよい。例えば、パターン「ABC」は、パターンを構成する要素の数が3つ(AとBとC)であり、頻度が43と高いので、優先的に「意味のあるパターン」として選択される。パターンを構成する要素の数の多少の判断基準、および、頻度の高低の判断基準は、例えば、あらかじめ定められていてもよい。
(具体例3)
選択部130は、前記複数のパターンのそれぞれについて親子関係を分析する。図7は、選択部130が、各パターンについて、当該パターンが幾つの親パターンを有するかを分析した表である。選択部130は、よりたくさんの親パターンを有する子パターンを、優先的に「意味のあるパターン」として選択してもよい。
(具体例4)
選択部130は、前記複数のパターンのそれぞれについて親子関係を分析する。選択部130は、パターンの支持度、子パターンに対する親パターンの信頼度、または、支持度に対する信頼度の比(リフト値)等に基づいて、「意味のあるパターン」を選択してもよい。支持度、信頼度、またはリフト値は、例えばあらかじめオペレータにより定義されていてもよい。
(具体例5)
選択部130は、例えば、「XYABC」というパターンが抽出された場合に、当該パターンを充足するような子パターンを優先的に選択してもよい。例えば、上述の例では、「ABC」と「XY」という子パターンは、「ABCXY」という親パターンを充足するので、優先的に選択される。例えば、上述の例では、「XAB」や「XBC」という子パターンでは、「ABCXY」という親パターンを充足しない(例えば、XABではYCが余る)ので、候補から除外される。
以上、選択部130の動作として(具体例1)、(具体例2)、(具体例3)、(具体例4)および(具体例5)を説明した。選択部130は、上述した具体例に示す動作により、抽出部120が抽出したパターンのうち、「ABC」および「XY」を、「意味のあるパターン」として選択する。選択部130は、選択したパターンを、正常パターン抽出部140に出力する。
正常パターン抽出部140は、選択部130から「意味のあるパターン」の入力を受け付ける。正常パターン抽出部140は、当該パターンに基づいて、正常ログ910から正常パターン920を抽出する。
次に、ログ分析システム100の動作を説明する。図8は、第1の実施形態にかかるログ分析システム100の動作を示すフローチャートである。
分割部110は、正常ログ910(ログファイル)を、複数のロググループに分割する(ステップS101)。抽出部120は、複数のロググループからパターンを抽出する(ステップS102)。選択部130は、抽出部120が抽出したパターンのうちから、「意味があるパターン」を選択し、選択された「意味があるパターン」を出力する(ステップS103)。正常パターン抽出部140は、選択部130が選択したパターンに基づいて、正常ログ910から正常パターン920を抽出する(ステップS104)。
次に、ログ分析システム100を実現可能なハードウェア構成の一例を説明する。図9はログ分析システム100を実現可能なハードウェア構成の一例を示す図である。
本実施形態のログ分析システム100及び他の実施形態に係るログ分析システムは、図9に示すハードウェア構成を備えるコンピュータによって実現できる。そのコンピュータは、CPU(Central Processing Unit)1、メモリ2、記憶装置3、通信インターフェース(I/F)4を備える。ログ分析システムは、入力装置5または出力装置6を備えていてもよい。ログ分析システムの機能は、例えばCPU1が、メモリ2に読み出されたコンピュータプログラム(ソフトウェアプログラム、以下単に「プログラム」と記載する)を実行することにより実現される。実行に際して、CPU1は、通信インターフェース4、入力装置5および出力装置6を適宜制御する。
尚、本実施形態および後述する各実施形態を例として説明される本発明は、係るプログラムが格納されたコンパクトディスク等の不揮発性の記憶媒体8によっても構成される。記憶媒体8が格納するプログラムは、例えばドライブ装置7により読み出される。
ログ分析システムが実行する通信は、例えばOS(Operating System)が提供する機能を使ってアプリケーションプログラムが通信インターフェース4を制御することによって実現される。入力装置5は、例えばキーボード、マウスまたはタッチパネルである。出力装置6は、例えばディスプレイである。ログ分析システムは、2つ以上の物理的に分離した装置が有線または無線で通信可能に接続されることによって構成されていてもよい。なお、ログ分析システムおよびその各機能ブロックのハードウェア構成は、上述した構成に限定されない。また、上述したハードウェア構成は、後述する他の実施形態にかかるログ分析システム、および、障害原因分析システムにも適用可能である。
第1の実施形態にかかるログ分析システム100の効果を説明する。ログ分析システム100は、一連のメッセージを処理単位でグループ化する情報が事前に与えられることなしに、正常ログ910から正常パターン920を適切に抽出すること、または抽出することを支援することができる。その理由は、ログ分析システム100は、正常ログ910に基づいて「一連のメッセージを処理単位でグループ化する情報」を自ら抽出することができるからである。
(第1の実施形態の変形例)
分割部110と、抽出部120と、選択部130と、正常パターン抽出部140は、それぞれ、例えば、図示しない入力装置からユーザあるいは他のプログラムやソフトウェアなどによるパターン生成開始の命令を受信することを契機に動作を開始してもよい。分割部110と、抽出部120と、選択部130と、正常パターン抽出部140は、それぞれ、例えば、ログファイルの入力、更新などを契機に動作を開始してもよい。
分割部110は、ログファイルを、所定の個数のログレコードが1つのロググループを構成するように分割してもよい。例えば、分割部110は、ログファイルを、5つのログレコードが1つのロググループを構成するように、分割してもよい。分割部110は、所定の時間間隔でログファイルを取得してもよい。分割部110は、例えば、5分間分のログファイルを5分間隔で取得する、5分間分のログを3分間隔で取得する、というように動作してもよい。
抽出部120は、時系列的に連続しないイベントをパターンと見なして抽出してもよい。例えば抽出部120は、ロググループ1「ABCXY」から、パターン「ABXY」、「ACY」または「BCY」などのパターンを抽出してもよい。
選択部130は、時系列的に連続しないイベントに基づいて親子関係を分析してもよい。例えば、選択部130は、親パターン「ABCX」に対して、「AC」または「ACX」などのパターンを子パターンとして関連づけてもよい。
<第2の実施形態>
図10は、本発明の第2の実施形態にかかるログ分析システム101の構成を示すブロック図である。図3に示した構成と実質的に同一の構成については、同様の符号を付与し、説明を省略する。第2の実施形態にかかるログ分析システム101は、第1の実施形態にかかるログ分析システム100に加えて、更に、変換部150を備える。
第1の実施形態において、ログ分析システム100が受け付ける正常ログ910は、図2に示すように、ログレコード毎に既にイベントIDが付与されていた。第2の実施形態において、ログ分析システム101が受け付ける正常ログ911は、より生データに近いログファイルである。変換部150は、例えば、図11A、図11B、又は図11Cに示すようなログファイルを受け取り、受け取ったログファイルを図2に示すようなログに変換する。
図11A、図11Bおよび図11Cは、それぞれ、変換部150が受け取る正常ログ911(ログファイル)の一例を示す図である。ログファイルは、少なくとも1以上のログレコードで構成される。ログレコードは、少なくとも1以上のログ要素を含んで構成される。ログ要素とは、日時、ログID(識別子)、メッセージなどログレコードを構成する要素である。
変換部150は、事前にオペレータにより定義されたフォーマットに従って、正常ログ911を変換する。図12は、オペレータが事前に定義したフォーマットの一例を表す図である。図12に示すフォーマットは、「2013/07/01 09:00:00〜2013/07/01 18:00:00」という期間を指定し、「日時」「ログID」というログ要素を指定している。なお、フォーマットにはログファイルからログ要素を抽出するために、各ログ要素の正規表現などの、抽出するログ要素を識別可能な情報を記録してもよい。また、フォーマットには、対象とするログファイルの名称など、ログファイルを識別可能な情報を記録してもよい。フォーマットは、ログ要素により構成されるログレコードの構造を正規表現として記録してもよい。
図13は、オペレータが事前に定義したフォーマットの他の例を表す図である。図13は、イベントIDと、当該イベントIDが付与されるべきイベントの表現(レコード表現)とを関連づける情報を表す。レコード表現は、各ログレコードを表す文字列である。レコード表現として、各ログレコードがそのまま記録されていてもよい。また、レコード表現として、各ログレコードのログ要素を抽出した情報が記録されていてもよい。あるいは、レコード表現として、各ログレコードと合致する正規表現が記録されていてもよい。
変換部150は、例えば図11A、図11B、又は図11Cに示すような正常ログ911の入力を受け付けると、図12または図13に示すフォーマットに基づいて、図2に示すようなログファイルに変換する。変換部150は、例えば、ログフォーマットにおいて指定された期間分のログを情報処理システム900から読み込んでもよい。なお、読み込む対象のログファイルは複数存在していてもよい。変換部150は、取得した、または、読み込んだログファイルから、フォーマットが指定するログ要素を抽出する。例えば、図12に示すフォーマットの場合、変換部150は、ログファイルに含まれるログレコードから、日時と、ログIDのみを抽出する。変換部150は、変換したログを時系列順に並べ替え、出力する。これにより、分割部110、抽出部120、選択部130、正常パターン抽出部140は、正常ログ911を処理可能となる。
図14は、第2の実施形態にかかるログ分析システム101の動作を説明するフローチャートである。図8において説明したステップと同一の動作を行うステップに関しては、同一の符号を付与し、説明を省略する。
変換部150は、ログファイル911を受け付け、受け付けたログファイルを、各ログレコードにイベントIDが付与されるように変換する(ステップS201)。分割部110は、変換部150から変換されたログファイルを受け付ける。以降の動作は、図3におけるステップS101ないしステップS104に示した動作と同様であるので、説明を省略する。
第2の実施形態にかかるログ分析システム101の効果を説明する。ログ分析システム101は、変換部150を備える。変換部150は、情報処理システム900が出力するログを、分割部110、抽出部120、選択部130、及び正常パターン抽出部140が処理可能な形式に変換する。これにより、ログ分析システム101は、様々なフォーマットで出力される正常ログ911を処理することができる。
<第3の実施形態>
図15は、本発明の第3の実施形態における障害原因分析システム300の構成を説明するブロック図である。障害原因分析システム300は、第2の変換部310と、パターン比較部320と、異常パターン出力部330とを備える。
第2の変換部310は、情報処理システム900が出力した、分析対象のログファイルである分析対象ログ990を取得する。第2の変換部310には、あらかじめ、選択部130が選択した「一連のメッセージを処理単位でグループ化する情報」が登録されている。第2の変換部310は、分析対象ログ990から、「一連のメッセージを処理単位でグループ化する情報」に基づいて、パターンを抽出する。
パターン比較部320は、第2の変換部310が分析対象ログ990を変換したパターンと、正常パターン記憶部200が記憶するパターンとを比較する。パターン比較部320は、分析対象ログ990を変換したパターンにおいて、正常パターン920と異なるパターンを抽出する。
異常パターン出力部330は、パターン比較部320が実行した比較の結果に基づいて、分析対象ログ990のうち、異常な箇所を出力する。
第3の実施形態にかかる障害原因分析システム300によれば、情報処理システム900が出力する膨大な量のログから、当該障害が発生した直接的または間接的な原因を示すメッセージを抽出し、出力することができる。
<第4の実施形態>
図16は、本発明の第4の実施形態にかかるログ分析システム102の構成を表すブロック図である。図16に示すように、ログ分析システム102は、分割部112と、抽出部122と、選択部132とを備える。
分割部112は、ログファイルを、所定のルールに従って、複数のロググループへと分割する。ログファイルは、イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含む。ロググループは、時系列順に連続する複数のログレコードの集合である。
抽出部122は、複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける。
選択部132は、前記複数のパターンから出力すべきパターンを選択する。その際、選択部132は、あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、選択する。
また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。
各ブロック図に示したブロック分けは、説明の便宜上から表された構成である。各実施形態を例に説明された本発明は、その実装に際して、各ブロック図に示した構成には限定されない。
以上、本発明を実施するための形態について説明したが、上記実施の形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に、本発明にはその等価物も含まれる。
この出願は、2013年9月24日に出願された日本出願特願2013−197416を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1 CPU
2 メモリ
3 記憶装置
4 通信インターフェース
5 入力装置
6 出力装置
7 ドライブ装置
8 記憶媒体
100 ログ分析システム
101 ログ分析システム
102 ログ分析システム
110 分割部
112 分割部
120 抽出部
122 抽出部
130 選択部
132 選択部
140 正常パターン抽出部
150 変換部
200 正常パターン記憶部
300 障害原因分析システム
310 第2の変換部
320 パターン比較部
330 異常パターン出力部
900 情報処理システム
910 正常ログ
911 正常ログ
920 正常パターン
990 分析対象ログ

Claims (10)

  1. イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含むログファイルを、所定のルールに従って、時系列順に連続する複数のログレコードの集合である複数のロググループへと分割する分割手段と、
    複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける抽出手段と、
    あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力すべきパターンを選択する選択手段と、
    を備えるログ分析システム。
  2. 前記ログファイルは、実行する処理に応じて複数のイベントを所定の順番で発生することが可能な情報処理装置から出力された情報に基づくログファイルであって、
    前記選択手段は、特定の処理が実行されたことに応じて発生した一連のイベントを過不足なく含むパターンを選択する、
    請求項1に記載のログ分析システム。
  3. 一方のパターンを構成する時系列的に連続する複数のイベントが、他方のパターンを構成する時系列的に連続する複数のイベントの部分集合である場合に、前記他方パターンを前記一方のパターンの親パターンと定義し、前記一方のパターンを前記他方のパターンの子パターンと定義する場合において、
    前記選択手段は、前記複数のパターンを対象として親子関係を分析し、親パターンと子パターンとの間の、信頼度、支持度、またはリフト値に基づいて、前記複数のパターンから出力するパターンを選択する、
    請求項2に記載のログ分析システム。
  4. 一方のパターンを構成する時系列的に連続する複数のイベントが、他方のパターンを構成する時系列的に連続する複数のイベントの部分集合である場合に、前記他方パターンを前記一方のパターンの親パターンと定義し、前記一方のパターンを前記他方のパターンの子パターンと定義する場合において、
    前記選択手段は、前記複数のパターンを対象として親子関係を分析し、所定の閾値よりも大きい数量の親パターンを有する子パターンを優先的に選択する、
    請求項2または3に記載のログ分析システム。
  5. 一方のパターンを構成する時系列的に連続する複数のイベントが、他方のパターンを構成する時系列的に連続する複数のイベントの部分集合である場合に、前記他方パターンを前記一方のパターンの親パターンと定義し、前記一方のパターンを前記他方のパターンの子パターンと定義する場合において、
    前記選択手段は、前記複数のパターンのそれぞれについて親子関係を分析し、あるパターンに対して親パターンと子パターンとの両方が存在する場合において、前記親パターンの頻度に対する前記あるパターンの頻度の割合が第1の閾値未満であって、かつ、前記あるパターンの頻度に対する前記子パターンの頻度の割合が第2の閾値以上である場合に、前記あるパターンを優先的に選択する、
    請求項2から4のいずれかに記載のログ分析システム。
  6. 前記選択手段は、パターンを構成する時系列的に連続するイベントの数が所定の閾値よりも大きく、かつ、所定の閾値よりも高い頻度と関連づけられたパターンを優先的に選択する、請求項2から5のいずれかに記載のログ分析システム。
  7. 前記ログファイルは、前記情報処理装置が正常に動作していた環境におけるログファイルであって、
    前記選択手段が出力したパターンに基づいて、前記ログファイルから前記処理が実行された順序および頻度を示す情報である正常パターンを抽出する正常パターン抽出手段を更に備える、
    請求項2から5のいずれかに記載のログ分析システム。
  8. 前記選択手段が出力したパターンに基づいて、前記情報処理装置から出力された他のログファイルから、前記処理が実行された順序および頻度を示す情報を抽出し、前記抽出されたパターンと、請求項7に記載のログ分析システムが抽出した正常パターンと、を比較することにより、前記他のログファイルに異常なパターンが含まれているか否かを分析し、異常なパターンが含まれている場合には、当該異常なパターンを構成するログレコードを出力する、
    障害原因分析システム。
  9. コンピュータが、
    イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含むログファイルを、所定のルールに従って、時系列順に連続する複数のログレコードの集合である複数のロググループへと分割し、
    複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づけ、
    あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力すべきパターンを選択する、
    ログ分析方法。
  10. コンピュータに、
    イベントと当該イベントが発生した時刻とが関連づけられた情報である複数のログレコードが時系列順に整列された情報を含むログファイルを、所定のルールに従って、時系列順に連続する複数のログレコードの集合である複数のロググループへと分割する処理と、
    複数の前記ロググループから、時系列的に連続する複数のイベントによって構成される複数のパターンを抽出し、前記パターンを、当該パターンが幾つのログレコードから抽出されたかを表す頻度情報と関連づける処理と、
    あるパターンを構成する時系列的に連続する複数のイベントと、他のパターンを構成する時系列的に連続した複数のイベントとの包含関係に基づいて、かつ、前記パターンに関連づけられた頻度情報に基づいて、前記複数のパターンから出力すべきパターンを選択する処理と、
    を実行させるプログラム
JP2015538856A 2013-09-24 2014-08-21 ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体 Active JP6332277B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013197416 2013-09-24
JP2013197416 2013-09-24
PCT/JP2014/004275 WO2015045262A1 (ja) 2013-09-24 2014-08-21 ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体

Publications (2)

Publication Number Publication Date
JPWO2015045262A1 JPWO2015045262A1 (ja) 2017-03-09
JP6332277B2 true JP6332277B2 (ja) 2018-05-30

Family

ID=52742441

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015538856A Active JP6332277B2 (ja) 2013-09-24 2014-08-21 ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体

Country Status (3)

Country Link
US (1) US10152366B2 (ja)
JP (1) JP6332277B2 (ja)
WO (1) WO2015045262A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016132717A1 (ja) * 2015-02-17 2016-08-25 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
US9928155B2 (en) * 2015-11-18 2018-03-27 Nec Corporation Automated anomaly detection service on heterogeneous log streams
JP6643211B2 (ja) * 2016-09-14 2020-02-12 株式会社日立製作所 異常検知システム及び異常検知方法
US10379996B2 (en) * 2017-07-05 2019-08-13 Juniper Networks, Inc. Software analytics platform
US10698796B2 (en) * 2018-02-01 2020-06-30 SoftGear Co., Ltd. Non-transitory computer-readable medium, information processing apparatus, debugging system and debugging method
JP6396615B1 (ja) * 2018-02-01 2018-09-26 株式会社ソフトギア 情報処理プログラム、情報処理装置及びデバッグシステム
US10719384B2 (en) 2018-02-22 2020-07-21 Red Hat, Inc. Determining relationships between components in a computing environment to facilitate root-cause analysis
JP7184078B2 (ja) * 2018-04-19 2022-12-06 日本電気株式会社 ログ分析システム、ログ分析方法及びプログラム
US20220004481A1 (en) * 2018-07-20 2022-01-06 Nec Corporation Log analysis device, log analysis method, and program
US10521331B1 (en) * 2018-08-31 2019-12-31 The Mitre Corporation Systems and methods for declarative specification, detection, and evaluation of happened-before relationships
US11061800B2 (en) * 2019-05-31 2021-07-13 Microsoft Technology Licensing, Llc Object model based issue triage
US11762858B2 (en) 2020-03-19 2023-09-19 The Mitre Corporation Systems and methods for analyzing distributed system data streams using declarative specification, detection, and evaluation of happened-before relationships
CN113472555B (zh) * 2020-03-30 2022-09-23 华为技术有限公司 故障检测方法、系统、装置、服务器及存储介质
WO2021210099A1 (ja) * 2020-04-15 2021-10-21 日本電信電話株式会社 パターン抽出装置、パターン抽出方法及びプログラム
JP2023124581A (ja) * 2022-02-25 2023-09-06 三菱電機株式会社 分析装置及び分析方法

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5119377A (en) * 1989-06-16 1992-06-02 International Business Machines Corporation System and method for software error early detection and data capture
US5463768A (en) * 1994-03-17 1995-10-31 General Electric Company Method and system for analyzing error logs for diagnostics
US5982995A (en) * 1996-11-04 1999-11-09 Xerox Corporation Method for logging data in an electrophotographic printing machine
JPH11224214A (ja) * 1998-02-05 1999-08-17 Fujitsu Ltd イベント分類装置およびそのプログラム記録媒体
WO2001055862A1 (en) * 2000-01-28 2001-08-02 Ibeam Broadcasting Corporation Method and system for real-time distributed data mining and analysis for networks
US6654915B1 (en) * 2000-09-11 2003-11-25 Unisys Corporation Automatic fault management system utilizing electronic service requests
JP2003203001A (ja) * 2001-12-28 2003-07-18 Toshiba Corp ログ解析方法、ログ解析プログラム
US7194445B2 (en) * 2002-09-20 2007-03-20 Lenovo (Singapore) Pte. Ltd. Adaptive problem determination and recovery in a computer system
US8032866B1 (en) * 2003-03-27 2011-10-04 Identify Software Ltd. System and method for troubleshooting runtime software problems using application learning
US7721152B1 (en) * 2004-12-21 2010-05-18 Symantec Operating Corporation Integration of cluster information with root cause analysis tool
JP4944391B2 (ja) 2005-05-11 2012-05-30 富士通株式会社 メッセージ異常自動判別装置、方法、及びプログラム
US7614043B2 (en) * 2005-08-26 2009-11-03 Microsoft Corporation Automated product defects analysis and reporting
GB0524742D0 (en) * 2005-12-03 2006-01-11 Ibm Methods and apparatus for remote monitoring
CN101192227B (zh) * 2006-11-30 2011-05-25 阿里巴巴集团控股有限公司 一种基于分布式计算网络的日志文件分析方法和系统
US8990378B2 (en) * 2007-07-05 2015-03-24 Interwise Ltd. System and method for collection and analysis of server log files
US20090144699A1 (en) * 2007-11-30 2009-06-04 Anton Fendt Log file analysis and evaluation tool
JP5293115B2 (ja) * 2008-11-26 2013-09-18 富士通株式会社 故障原因推測方法、故障原因推測装置、及びプログラム
JP2011002870A (ja) * 2009-06-16 2011-01-06 Hitachi Ltd ウェブアプリケーションの操作性評価・改善方法およびウェブシステム
US20110154117A1 (en) * 2009-12-22 2011-06-23 General Electric Company, A New York Corporation Methods and apparatus to perform log file analyses
JP5494675B2 (ja) * 2010-01-19 2014-05-21 富士通株式会社 解析方法、解析装置及び解析プログラム
US8112667B2 (en) * 2010-01-25 2012-02-07 International Business Machines Corporation Automated system problem diagnosing
JP5541130B2 (ja) * 2010-12-10 2014-07-09 富士通株式会社 管理装置、管理方法および管理用プログラム
JP2012168702A (ja) 2011-02-14 2012-09-06 Nippon Telegr & Teleph Corp <Ntt> ログ解析装置およびログ解析方法
JP5686001B2 (ja) 2011-03-14 2015-03-18 富士通株式会社 情報処理装置、メッセージ切分け方法およびメッセージ切分けプログラム
US20130227352A1 (en) * 2012-02-24 2013-08-29 Commvault Systems, Inc. Log monitoring
US9465684B1 (en) * 2013-03-15 2016-10-11 Emc Corporation Managing logs of storage systems

Also Published As

Publication number Publication date
US10152366B2 (en) 2018-12-11
JPWO2015045262A1 (ja) 2017-03-09
US20160224402A1 (en) 2016-08-04
WO2015045262A1 (ja) 2015-04-02

Similar Documents

Publication Publication Date Title
JP6332277B2 (ja) ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体
CN103793284B (zh) 基于共同序列模式的、用于智能客户服务的分析系统和方法
JP6665784B2 (ja) ログ分析システム、ログ分析方法およびログ分析プログラム
CN109376196B (zh) 一种redo日志批量同步方法及装置
US20150378803A1 (en) Extraction method and device
JP6025520B2 (ja) データ分析支援処理システム及び方法
US20160070763A1 (en) Parallel frequent sequential pattern detecting
Evermann et al. Big data meets process mining: Implementing the alpha algorithm with map-reduce
JP7207009B2 (ja) 異常検知装置、異常検知方法および異常検知プログラム
JP4928848B2 (ja) 計算機システム統合管理環境におけるメッセージ変換装置
US10459730B2 (en) Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data
JP5838871B2 (ja) データ解析装置、データ分割装置、データ解析方法、データ分割方法、データ解析プログラム、及びデータ分割プログラム
JP6802109B2 (ja) ソフトウェア仕様分析装置、及びソフトウェア仕様分析方法
JP2012247979A (ja) 処理プログラム、処理方法及び処理装置
US8775873B2 (en) Data processing apparatus that performs test validation and computer-readable storage medium
JP2012212228A (ja) It障害検知・検索装置及びプログラム
JP7205007B1 (ja) 支援装置、操作システム、表示データ作成装置、支援方法、表示データ作成方法、支援プログラム及び表示データ作成プログラム
JP7180681B2 (ja) 情報処理装置、制御方法、及びプログラム
WO2021047576A1 (zh) 日志记录处理方法、装置、设备及机器可读存储介质
WO2023162390A1 (ja) 分析装置及び分析方法
WO2024009404A1 (ja) ログデータ解析装置、ログデータ解析方法、及びログデータ解析プログラム
JP6849910B2 (ja) 差分ログ適用プログラム、差分ログ適用装置及び差分ログ適用方法
JP2017162196A (ja) 集約ルール作成プログラムおよび集約ルール作成装置
JP2023072547A (ja) 状態分析装置、及び状態推定方法
JP2020038427A (ja) 情報処理方法、情報処理装置および情報処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170718

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180403

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180416

R150 Certificate of patent or registration of utility model

Ref document number: 6332277

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150