JP6803754B2 - ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法 - Google Patents

ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法 Download PDF

Info

Publication number
JP6803754B2
JP6803754B2 JP2017004788A JP2017004788A JP6803754B2 JP 6803754 B2 JP6803754 B2 JP 6803754B2 JP 2017004788 A JP2017004788 A JP 2017004788A JP 2017004788 A JP2017004788 A JP 2017004788A JP 6803754 B2 JP6803754 B2 JP 6803754B2
Authority
JP
Japan
Prior art keywords
log
log message
word
message
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017004788A
Other languages
English (en)
Other versions
JP2018116322A (ja
Inventor
憲 阿久根
憲 阿久根
洋司 小澤
洋司 小澤
順史 木下
順史 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017004788A priority Critical patent/JP6803754B2/ja
Priority to US15/864,829 priority patent/US10579461B2/en
Publication of JP2018116322A publication Critical patent/JP2018116322A/ja
Application granted granted Critical
Publication of JP6803754B2 publication Critical patent/JP6803754B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0778Dumping, i.e. gathering error/state information after a fault for later diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0769Readable error formats, e.g. cross-platform generic formats, human understandable formats
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0784Routing of error reports, e.g. with a specific transmission path or data flow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2268Logging of test results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、情報システムが出力するログの分析を支援するログメッセージグループ化装置、ログメッセージグループ化システム、および、ログメッセージグループ化方法に関する。
ソフトウェアで構成される情報システムは、動作状態等を示すログメッセージが記録されたログを出力する。一般的に、情報システムにおいて障害等のシステム異常が発生すると、情報システムの運用者は、システム異常の根本原因を追究するために、情報システムから出力されるログを分析する。
このようなログの分析において、エラーやウォーニング等の明確に障害またはその徴候を表すログメッセージだけでは、システム異常の根本原因を特定できない場合がある。そのため、運用者は、ログに含まれる膨大なログメッセージの中から、たとえば、障害やその徴候などを表す第一のログメッセージおよび当該第一のログメッセージと関連性の高い第二のログメッセージを抽出し、これらログメッセージを用いて根本原因を特定する。
そこで、膨大なログメッセージの中から第一のログメッセージに関連する第二のログメッセージを抽出するために、これらログメッセージをグループとして関連付けて分析を支援する技術が、たとえば、下記特許文献1および特許文献2に開示されている。
特許文献1には、対象システムが正常である場合に出力されるログメッセージの組み合わせまたは時系列順序を正常パターンとしてグループ化し、正常パターンとの比較によりログを分析するとともに、この正常パターンと適合しないパターンについて異常パターンとして記憶して、これら正常パターンおよび異常パターンを用いてログを分析する技術が開示されている。
特許文献2には、複数のメッセージを出力した出力元装置に関連する文書から、複数のメッセージの説明文を取得し、取得した説明文に基づいて互いに関連するメッセージを同一のグループにグループ化する技術が開示されている。
国際公開第2016/132717号 特開2016−76020号公報
しかしながら、開発スピードが速いソフトウェアにおいては、ログメッセージの出力形式が頻繁に変更されるので出力形式の種類が多くなる。そのため、特許文献1のようにあらかじめ正常パターンなどのログメッセージをグループとして関連付ける情報を作成することが困難である。さらに、同様の処理を複数並行して行う情報システムにおいては、各処理に応じて出力されるログメッセージが入れ子になる可能性があることから、ログメッセージの組み合わせまたは時系列順序だけではグループ化の精度が不十分である。また、特許文献2で開示されている技術は、メッセージの説明文を取得する文書が十分に整備されていなければならないため、特許文献1と同様に、あらかじめログメッセージをグループとして関連付ける情報を作成することが困難である。
本発明は、あらかじめログメッセージをグループとして関連付ける情報を用意する必要のないログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法を提供することを目的とする。
本発明の一つの実施態様に係るログメッセージグループ化装置は、プロセッサを有するログメッセージグループ化装置であって、前記プロセッサが、(a)複数のログメッセージが記録されたログを収集する、(b)前記ログから前記複数のログメッセージを取得する、(c)第1のログメッセージを構成する単語の出現回数を、前記ログに含まれる複数のログメッセージに基づいて作成され、前記複数のログメッセージに含まれる単語と前記単語の出現回数とを関連付けて格納した単語−出現回数関連情報から取得する、(d)前記第1のログメッセージと、前記第1のログメッセージを構成する単語のうち、その出現回数が所定の出現回数判定閾値未満である単語を少数単語として関連付けてログ−単語関連情報に格納する、(e)前記第1のログメッセージより過去の第2のログメッセージに含まれる前記少数単語を前記ログ−単語関連情報から取得する、(f)前記第1のログメッセージに含まれる前記少数単語と前記第2のログメッセージに含まれる前記少数単語との一致度を示す評価値である第1の評価値を算出する、ように構成されていることを特徴とする。
好適な実施態様においては、前記プロセッサが、(g)前記第1のログメッセージを構成する単語の出現回数に基づいて定まる前記第1のログメッセージの識別情報である分類値を生成する、(h)前記第1のログメッセージと前記第1のログメッセージの分類値とを関連付けて前記ログ−単語関連情報に格納する、(i)前記第2のログメッセージを構成する単語の出現回数に基づいて定まる前記第2のログメッセージの分類値を取得する、(j)前記第1のログメッセージの分類値と前記第2のログメッセージの分類値との組み合わせの出現回数を、前記ログに含まれる複数のログメッセージに基づいて作成され、各ログメッセージを構成する単語の出現回数に基づいて定まる各ログメッセージの分類値の組み合わせとその出現回数とを関連付けて格納した分類値−出現回数関連情報から取得する、(k)前記分類値−出現回数関連情報から取得した前記組み合わせの出現回数に基づいて前記第1のログメッセージの分類値と前記第2のログメッセージの分類値との組み合わせの出現度を示す評価値である第2の評価値を算出する、(l)前記第1の評価値および前記第2の評価値に基づき前記第1のログメッセージと前記第2のログメッセージとの関連度を示す評価値である第3の評価値を算出する、ように構成されていてもよい。
本発明の一実施形態に係るログメッセージグループ化システムの構成例を示す図である。 ログおよびログに記録されたログメッセージの一例を示す図である。 ログメッセージグループ化装置のハードウェア構成の一例を示すブロック図である。 ログメッセージに出現する単語のうち、出現回数が多い単語および少ない単語の一例を示す図である。 単語−出現回数関連付け管理テーブルの構成例を示す図である。 ログ−単語関連付け管理テーブルの構成例を示す図である。 分類値−出現回数関連付け管理テーブルの構成例を示す図である。 ログ−グループ関連付け管理テーブルの構成例を示す図である。 ログメッセージグループ化システムの管理端末の画面表示の一例を示す。 単語の出現回数の算出処理の一例を示すシーケンス図である。 一致度評価値の算出処理の一例を示すシーケンス図である。 出現度評価値と関連度評価値との算出処理の一例を示すシーケンス図である。 分類値の算出方法の一例を説明する図である。 単語の出現回数の算出処理の一例を示すフローチャート図である。 一致度評価値の算出処理の一例を示すフローチャート図である。 出現度評価値の算出処理の一例を示すフローチャート図である。 グループ化されたログメッセージを表示する処理の一例を示すフローチャート図である。
以下、本発明の一実施形態にかかるログメッセージグループ化システムについて、図面を用いて説明する。
図1は、本実施形態に係るログメッセージグループ化システムの構成例を示す説明図である。図2は、ログおよびログに記録されたログメッセージの一例を示す図である。
ログメッセージグループ化システム100は、ログ200を出力する1または複数の情報システム130と、情報システム130が出力したログ200を集約するログシステム131と、ログシステム131からログ200を収集し、関連するログメッセージ201をグループとして関連付けるログメッセージグループ化装置101と、ログメッセージグループ化装置101からグループとして関連付けられたログメッセージに関する情報を取得する管理端末132と、を備えている。
情報システム130は、1または複数のソフトウェアをコンピュータ上で実行することにより1または複数のログ200を出力する。ログ200の出力形式は、たとえば、Syslog等の公知のログの形式でもよいし、独自のログの形式でもよい。
ログシステム131は、情報システム130によって出力されたログ200を集約する。本実施形態おいて、ログシステム131は、ログメッセージグループ化装置101から独立しているが、ログメッセージグループ化装置101に組み込まれてもよい。情報システム130とログメッセージグループ化装置101とが一対一で設けられている構成などでは、ログシステム131を省略してもよい。
管理端末132は、ログメッセージグループ化装置101に接続される。管理端末132は、運用者から入力された情報を受け付け、受け付けた情報をログメッセージグループ化装置101に送信する。また、管理端末132は、ログメッセージグループ化装置101から情報を取得し、取得した情報を表示する。本実施形態において、管理端末132は、ログメッセージグループ化装置101から独立しているが、ログメッセージグループ化装置101に組み込まれていてもよい。
図2は、ログ200およびログ200に記録されたログメッセージ201の一例を示す。ログ200は、1以上のログメッセージ201で構成されており、ログメッセージ201は、少なくとも1以上の単語が含まれている。単語とは、例えば、ログレベル、時刻、ソフトウェア名、固有の識別子などである。
図3は、ログメッセージグループ化装置101のハードウェア構成の一例を示すブロック図である。本実施形態では、ログメッセージグループ化装置101が物理マシンである場合について説明する。ログメッセージグループ化装置101は、プロセッサ401と、記憶デバイス402と、入力デバイス403と、出力デバイス404と、通信インタフェース405と、を有している。ログメッセージグループ化装置101の各部はデータバス406を介して互いに接続される。ログメッセージグループ化装置101は仮想マシンであってもよいし、ソフトウェアであってもよい。記憶デバイス402は、ネットワーククラウド上にあってもよい。
プロセッサ401は、ログメッセージグループ化装置101を制御する。
記憶デバイス402は、たとえば、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、フラッシュメモリで構成されている。
記憶デバイス402は、プロセッサ401により実行される収集プログラム102と、分割プログラム103と、単語出現回数算出プログラム104と、単語出現回数参照プログラム105と、単語抽出プログラム106と、単語関連度算出プログラム107と、分類値算出プログラム108と、ログ関連度算出プログラム109と、グループ化算出プログラム110と、を記憶する。
また、記憶デバイス402は、単語−出現回数関連付け管理テーブル120と、ログ−単語関連付け管理テーブル121と、分類値−出現回数関連付け管理テーブル122と、ログ−グループ関連付け管理テーブル123と、を記憶する。
記憶デバイス402は、永続的なまたは一時的な記録媒体であり、プロセッサ401の作業エリアでもある。上記プログラム102〜110はいずれも、記憶デバイス402にあらかじめ格納されていてもよいし、必要に応じて他の記憶デバイスや外部記憶装置、ネットワーククラウドから導入されてもよい。
入力デバイス403は、情報入力に用いられ、たとえば、キーボード、マウス、タッチパネル、テンキーまたはスキャナなどである。出力デバイス404は、図形や各種データを表示する、たとえば、ディスプレイである。通信インタフェース405は、データを送受信する。
プロセッサ401は、上記プログラム102〜110を実行することで、記憶デバイス402及び通信インタフェース405を用いながら、以下に説明する各種処理を実現する。以下の説明では、上記プログラム102〜110を実行主体として説明する。なお、プロセッサ401が上記プログラム102〜110を実行することで実現する機能の一部または全部は専用ハードウェアで実現してもよい。
プロセッサ401は、上記プログラム102〜110を実行することにより、
(a) 複数のログメッセージ201が記録されたログ200を収集する、
(b) ログ200から複数のログメッセージ201を取得する、
(c) ログメッセージ201(第1のログメッセージ)を構成する単語の出現回数を、ログ200に含まれる複数のログメッセージ201に基づいて作成され、複数のログメッセージ201に含まれる単語と当該単語の出現回数とを関連付けて格納した学習後の単語−出現回数関連付け管理テーブル120から取得する、
(d) ログメッセージ201と、当該ログメッセージ201を構成する単語のうちその出現回数が所定の出現回数判定閾値未満である単語を少数単語として関連付けてログ−単語関連付け管理テーブル121に格納する、
(e) ログメッセージ201より過去のログメッセージ201(第2のログメッセージ)に含まれる少数単語をログ−単語関連付け管理テーブル121から取得する、
(f) ログメッセージ201の少数単語と過去のログメッセージ201の少数単語との一致度を示す一致度評価値E1を算出する、
(g) ログメッセージ201を構成する単語の出現回数に基づいて定まるログメッセージ201の識別情報である分類値を算出する、
(h) ログメッセージ201とログメッセージ201の分類値とを関連付けてログ−単語関連付け管理テーブル121に格納する、
(i) 過去を構成する単語の出現回数に基づいて定まるログメッセージ201の分類値をログ−単語関連付け管理テーブル121から取得する、
(j) ログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせの出現回数を、ログ200に含まれる複数のログメッセージ201に基づいて作成され、各ログメッセージを構成する単語の出現回数に基づいて定まる各ログメッセージ201の分類値の組み合わせとその出現回数とを関連付けて格納した学習後の分類値−出現回数関連付け管理テーブル122から取得する、
(k) 分類値−出現回数関連付け管理テーブル122から取得した分類値の組み合わせの出現回数に基づいてログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせの出現度を示す出現度評価値E2を算出する、
(l) 一致度評価値E1および出現度評価値E2に基づきログメッセージ201と過去のログメッセージ201との関連度を示す関連度評価値E3を算出する、
(m) 複数のログメッセージ201に含まれる単語と当該単語の出現回数とを関連付けて格納した単語−出現回数関連付け管理テーブル120を作成する、
(n) ログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせと、当該組み合わせの出現回数とを関連付けて格納した分類値−出現回数関連付け管理テーブル122を作成する、
(o) 一致度評価値E1、出現度評価値E2及び関連度評価値E3のいずれかに基づいてログメッセージ201と過去のログメッセージ201とをグループとして関連付けてログ−グループ関連付け管理テーブル123に格納する、
(p) グループとして関連付けられたログメッセージ201に関する情報のリクエストメッセージ受け付けると、当該リクエストに含まれるログメッセージ201とグループとして関連付けられた他のログメッセージ201をログ−グループ関連付け管理テーブル123から取得して当該リクエストメッセージに対するレスポンスメッセージに含めて出力する、
(p’) 前記リクエストに含まれるログメッセージとグループとして関連付けられかつ評価値を満足する他のログメッセージをログ−グループ関連付け管理テーブル123から取得して当該リクエストメッセージに対するレスポンスメッセージに含めて出力する。
次に、上記プログラム102〜110について説明する。
収集プログラム102は、ログシステム131において集約された、ログメッセージが記録されたログ200を収集する。収集プログラム102は、収集したログ200を分割プログラム103に転送する。ログ200の収集方法は、収集プログラム102からログシステム131のログ200を受け取りにいってもよいし、ログシステム131から収集プログラム102にログ200を転送してもよい。また、ログシステム131を省略した構成では、情報システム130から直接ログ200を受け取りまたは転送してもよい。
分割プログラム103は、収集プログラム102からログ200を受け付ける。分割プログラム103は、ログ200から記録された順に処理対象のログメッセージ201を取得し、分割ルールに基づいて、ログメッセージ201を構成する単語に分割する。分割ルールとは、たとえば、ログメッセージ201に含まれるスペースを区切り文字として単語に分割する、ログメッセージに含まれるカンマを区切り文字として単語に分割する、などである。分割ルールは、分割プログラム103にあらかじめ設定されていてもよく、または、運用者によって入力されたりしてもよい。分割プログラム103は、ログメッセージ201およびそれを構成する単語のリストを単語出現回数算出プログラム104および単語出現回数参照プログラム105に転送する。
単語出現回数算出プログラム104は、分割プログラム103から処理対象のログメッセージ201を構成する単語のリストを受け付ける。単語出現回数算出プログラム104は、単語のリストに含まれる単語を検索キーとして、作成途中の単語−出現回数関連付け管理テーブル120(図5)から検索する。単語出現回数算出プログラム104は、検索の結果、単語を格納したレコードが見つかるとその出現回数に1を加算して更新し、単語を格納したレコードが見つからないとその単語についての新たなレコードを追加(すなわち更新)してその出現回数を1に設定する。また、単語出現回数算出プログラム104は、レコードを更新した日を登録日として格納する。単語出現回数算出プログラム104は、このような処理を繰り返すことで、ログ200に含まれる単語と当該単語の出現回数とを関連付けて格納した単語−出現回数関連付け管理テーブル120を作成していき、収集したログ200について上記処理を終えると学習後の単語−出現回数関連付け管理テーブル120が完成する。学習後の単語−出現回数関連付け管理テーブル120は、上記収集プログラム102で収集された現在の処理対象のログ200より前の過去のログ200に基づいて作成されている。このようにすることで、ログメッセージ201をグループとして関連付けながら、ログ200に含まれる単語と当該単語の出現回数とを関連付けて格納した単語−出現回数関連付け管理テーブル120を作成することができ、処理効率を高めることができる。
単語出現回数算出プログラム104は、たとえば、運用者によって指定された算出期間(前日や過去1週間以内など)にログ200に記録されたログメッセージ201に基づいて、単語−出現回数関連付け管理テーブル120を作成してもよい。または、単語出現回数算出プログラム104が、単語−出現回数関連付け管理テーブル120を継続的に作成するとともに、この単語−出現回数関連付け管理テーブル120から運用者によって指定された参照期間に含まれる登録日が設定されたレコードのみを抽出・複製して学習後の単語−出現回数関連付け管理テーブルとしてもよい。
単語出現回数参照プログラム105は、分割プログラム103から処理対象のログメッセージ201およびそれを構成する単語のリストを受け付ける。単語出現回数参照プログラム105は、学習後の単語−出現回数関連付け管理テーブル120から単語のリストに含まれる各単語の出現回数を取得する。単語−出現回数関連付け管理テーブル120に単語のレコードが存在しないとき、当該単語の出現回数を0とする。そして、単語出現回数参照プログラム105は、単語のリストに含まれる各単語にその出現回数をひも付けして、ログメッセージ201とともに単語抽出プログラム106および分類値算出プログラム108に転送する。
単語抽出プログラム106は、単語出現回数参照プログラム105から処理対象のログメッセージ201と出現回数がひも付けられた単語のリストを受け付ける。単語抽出プログラム106は、単語のリストから出現回数判定閾値未満の出現回数の単語である少数単語を抽出して少数単語のリストを作成する。少数単語は1または複数個抽出される。出現回数判定閾値の値は、運用者によって設定された値でもよいし、たとえば出現回数について偏差値や出現確率など独自の手法を用いて決定した値でもよい。単語抽出プログラム106は、ログメッセージ201について少数単語のリストを作成すると、ログメッセージ201の発生時刻と、ログメッセージ201と、その少数単語のリストとを関連付けて格納した新たなレコードをログ−単語関連付け管理テーブル121(図6)に追加する。
図4(a)、(b)に、ログメッセージ201に含まれる単語のうち、出現回数が比較的多い単語の一例300と、出現回数が比較的少ない単語の一例310を示す。出現回数が多い単語とは、たとえば、ログレベル(INFO、WARNING、ERRORなど)やソフトウェア名(authentication)、日付(2016−09−21、Sep 20)などの単語である。出現回数が少ない単語とは、たとえば、リクエストIDやユーザID、インスタンスIDなどの単語である。図4(a)、(b)に記載されている出現回数が多い単語の例300と出現回数が少ない単語の例310は一例であり、これらにより本実施形態の構成や効果が制限されるものではない。
さらに、単語抽出プログラム106は、ログ−単語関連付け管理テーブル121から、処理対象のログメッセージ201より前に記録されかつ発生時刻が取得対象期間に含まれる1または複数の過去のログメッセージ201、その少数単語のリストおよびその分類値(後述)を取得する。取得対象期間は、運用者によって指定された期間でもよいし、予め設定された期間でもよいし、独自の手法を用いて決定した期間でもよい。取得対象期間は、たとえば、1時間前以降(すなわち1時間前から現在まで)などである。単語抽出プログラム106は、処理対象のログメッセージ201およびその少数単語のリストと、ログ−単語関連付け管理テーブル121から取得した過去のログメッセージ201、その少数単語のリストおよびその分類値と、を単語関連度算出プログラム107に転送する。
単語関連度算出プログラム107は、単語抽出プログラム106から処理対象のログメッセージ201およびその少数単語のリストと、過去のログメッセージ201、その少数単語のリストおよび分類値を受け付ける。単語関連度算出プログラム107は、処理対象のログメッセージ201の少数単語および過去のログメッセージ201の少数単語が一致するかどうかを判定する。このとき、処理対象のログメッセージ201と過去のログメッセージ201とを1対1で比較する。例えば、単語抽出プログラム106から50個の過去のログメッセージ201を受け付けたときは、単語関連度算出プログラム107は、処理対象のログメッセージ201(第1のログメッセージ)と50個の過去のログメッセージ201(第2のログメッセージ)とをそれぞれ比較、判定する。単語関連度算出プログラム107は、一致する少数単語の数および比較した少数単語の数に基づいて一致度を示す一致度評価値E1を算出する。従って、上記例では50個の一致度評価値E1が算出される。一致度評価値E1は、ログメッセージ間において少数単語の一致度を示す指標である。
本実施形態において、たとえば、処理対象のログメッセージ201の少数単語数が3、過去のログメッセージ201の少数単語数が3の場合に、全ての少数単語が一致したとき、一致度評価値E1は1(=3/3)となる。処理対象のログメッセージ201の少数単語数が3、過去のログメッセージ201の少数単語数が5の場合に、2つの少数単語が一致したとき、一致度評価値E1は0.4(=2/5)となる。処理対象のログメッセージ201の少数単語数が6、過去のログメッセージ201の少数単語数が4の場合に、3つの少数単語が一致したとき、一致度評価値E1は0.5(=3/6)となる。すなわち、分母はいずれかのログメッセージ201のうち多い方の少数単語数となる。ここに示す一致度評価値E1の算出方法は、一例であって、これらにより本実施形態の構成や効果が制限されるものではなく、本発明の目的に反しない限り、少数単語の一致度評価値E1の算出方法は任意である。
単語関連度算出プログラム107は、処理対象のログメッセージ201と、処理対象のログメッセージ201と比較された過去のログメッセージ201及びその一致度評価値E1と、をグループ化算出プログラム110に転送する。さらに、単語関連度算出プログラム107は、一致度評価値E1が算出された処理対象のログメッセージ201及び過去のログメッセージ201の組み合わせと、過去のログメッセージ201およびその分類値とをログ関連度算出プログラム109に転送する。
分類値算出プログラム108は、単語出現回数参照プログラム105から処理対象のログメッセージ201および出現回数がひも付けられた単語のリストを受け付ける。分類値算出プログラム108は、単語の出現回数に基づいて分類値を算出する。分類値は、ログメッセージ201を、当該ログメッセージ201を構成する単語の出現回数に基づき分類するための値であり、ログメッセージ201の識別情報として扱うことができる。分類値が近いほどログメッセージ201の構成が類似すると考えられる。本実施形態において、処理対象のログメッセージ201について、各単語の出現回数の総和を算出し、この算出結果を分類値とする。分類値算出プログラム108は、ログメッセージ201と当該ログメッセージ201について算出した分類値とを関連付けて、ログ−単語関連付け管理テーブル121に格納する。なお、ログメッセージ201とその分類値とを関連付けて、ログ−単語関連付け管理テーブル121とは別の管理テーブルに格納してもよい。さらに、分類値算出プログラム108は、ログメッセージ201とその分類値をログ関連度算出プログラム109に転送する。
ログ関連度算出プログラム109は、分類値算出プログラム108から処理対象のログメッセージ201およびその分類値を受け付ける。また、ログ関連度算出プログラム109は、単語関連度算出プログラム107から一致度評価値E1が算出された過去のログメッセージ201およびその分類値を受け付ける。ログ関連度算出プログラム109は、処理対象のログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせを検索キーとして、分類値−出現回数関連付け管理テーブル122(図7)から検索する。ログ関連度算出プログラム109は、検索の結果、これら分類値の組み合わせを格納したレコードが見つかるとその出現回数に1を加算して更新してもよいし、これら分類値の組み合わせを格納したレコードが見つからないとその組み合わせについて新たなレコードを追加するとともに出現回数を1に設定してもよい。ログ関連度算出プログラム109は、このような処理を繰り返すことで、処理対象のログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせと、当該組み合わせの出現回数とを関連付けて格納した分類値−出現回数関連付け管理テーブル122を作成していき、収集したログ200について上記処理を終えると学習後の分類値−出現回数関連付け管理テーブル122が完成する。学習後の分類値−出現回数関連付け管理テーブル122は、上記収集プログラム102で収集された現在の処理対象のログ200より前の過去のログ200に基づいて作成されている。このようにすることで、ログメッセージ201をグループとして関連付けながら、処理対象のログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせと、当該組み合わせの出現回数とを関連付けて格納した分類値−出現回数関連付け管理テーブル122を作成することができ、処理効率を高めることができる。一方で、分類値−出現回数関連付け管理テーブル122は単語−出現回数関連付け管理テーブル120のように過去のログ200で予め学習させておいてもよい。ログ関連度算出プログラム109は学習後の分類値−出現回数関連付け管理テーブル122を用いて、分類値の組み合わせの出現回数を取得してもよい。
さらに、ログ関連度算出プログラム109は、分類値−出現回数関連付け管理テーブル122から処理対象のログメッセージ201(第1のログメッセージ)の分類値と過去のログメッセージ201(第2のログメッセージ)の分類値との組み合わせの出現回数を取得する。そして、取得した分類値の組み合わせの出現回数に基づいて出現度評価値E2を算出する。すなわち、処理対象のログメッセージ201に対して一致度評価値E1が算出された過去のログメッセージ201について、出現度評価値E2が算出される。
出現度評価値E2は、ログメッセージ201のある組み合わせの出現度を示す評価値であって、本実施形態では以下の式を用いて算出する。
E2=1−exp(−x/σ)
ただし、xは分類値の組み合わせの出現回数、σは定数である。σは、たとえば、運用者によって設定された値でもよいし、出現回数について偏差値や出現確率など独自の手法を用いて決定した値でもよい。ここに示す出現度評価値E2の算出方法は、一例であって、これらにより本実施形態の構成や効果が制限されるものではなく、本発明の目的に反しない限り、分類値の組み合わせの出現度評価値E2の算出方法は任意である。出現度評価値E2は、一致度評価値E1を重み付けする値としての意味を持ち、具体的には、定数σに対して出現回数が極端に少ない分類値の組み合わせは、すなわち出現が希なログメッセージの組み合わせは重要性が低いものとして重み付けとしての出現度評価値E2を小さくする。
ログ関連度算出プログラム109は、処理対象のログメッセージ201と、処理対象のログメッセージ201と比較された過去のログメッセージ201及びその出現度評価値E2と、をグループ化算出プログラム110に転送する。
グループ化算出プログラム110は、単語関連度算出プログラム107から処理対象のログメッセージ201、過去のログメッセージ201及びその一致度評価値E1を受け付ける。さらに、グループ化算出プログラム110は、ログ関連度算出プログラム109から処理対象のログメッセージ201、過去のログメッセージ201及びその出現度評価値E2を受け付ける。そして、グループ化算出プログラム110は、過去のログメッセージ201ごとに、一致度評価値E1と出現度評価値E2を乗じて関連度評価値E3を算出する。グループ化算出プログラム110は、関連度評価値E3に対応する処理対象のログメッセージ201と過去のログメッセージ201とを一つのグループとし、グループを一意に識別するグループIDを生成する。グループ化算出プログラム110は、このグループIDと、関連度評価値E3を算出した2つのログメッセージ201と、関連度評価値E3とを関連付けて格納した新たなレコードをログ−グループ関連付け管理テーブル123(図8)に追加する。処理対象のログメッセージ201に対して複数の過去のログメッセージ201が存在する場合、関連度評価値E3が上位の所定数のログメッセージ201の組み合わせのみをログ−グループ関連付け管理テーブル123にレコードとして追加するようにしてもよい。このようにすることで、ログメッセージ201をより精度よくグループとして関連付けることができる。
次に、管理テーブル120〜123について、図5〜図8を参照して説明する。
図5は、単語−出現回数関連情報としての単語−出現回数関連付け管理テーブル120の構成例を示す。単語−出現回数関連付け管理テーブル120は、登録日500と、単語501と、単語出現回数カウント502とを含む1または複数のレコードを有する管理情報である。単語−出現回数関連付け管理テーブル120は、ログメッセージグループ化装置101がログ200を受け付けるたびに、単語出現回数算出プログラム104によって、逐次的に更新される。単語−出現回数関連付け管理テーブル120は、運用者により指示された算出期間について一から作成してもよい。または、継続的に単語−出現回数関連付け管理テーブル120を作成し、運用者によって指定された参照期間に含まれる登録日が格納されたレコードのみ抽出・複製して学習後の単語−出現回数関連付け管理テーブル120を作成してもよい。
登録日500は、値として、レコードが新規作成された日付またはレコードが更新された日付を格納する。登録日500は、単語出現回数参照プログラム105が参照期間を指定された際に使用されるものであり。あらかじめ算出期間が指定されて単語−出現回数関連付け管理テーブル120が作成される構成では、本カラムは不要である。単語501は、値として、ログ200に記録されたログメッセージ201に含まれる単語を格納する。単語出現回数カウント502は、値として、所定期間(たとえば上記算出期間)中に単語が出現した回数を格納する。これにより、単語出現回数参照プログラム105は、所定期間中に単語501に格納された単語がログ200に出現した回数についての情報を取得できる。
図6は、ログ−単語関連情報としてのログ−単語関連付け管理テーブル121の構成例を示す。ログ−単語関連付け管理テーブル121は、発生時刻600と、ログメッセージストア601と、分類値ストア602と、少数単語リスト603とを含む1または複数のレコードを有する管理情報である。ログ−単語関連付け管理テーブル121は、ログメッセージグループ化装置101がログ200を受け付けるたびに、単語抽出プログラム106および分類値算出プログラム108によって、逐次的に更新される。ログ−単語関連付け管理テーブル121は、単語抽出プログラム106によって、発生時刻600、ログメッセージストア601および少数単語リスト603に値が格納され、分類値算出プログラム108によって、分類値ストア602に値が格納される。
発生時刻600は、値としてログメッセージ201が発生した時刻を格納する。ログメッセージストア601は、値としてログメッセージ201を格納する。分類値ストア602は、値として、分類値算出プログラム108によって算出された分類値を格納する。少数単語リスト603は、値として、ログメッセージストア601に格納されたログメッセージ201について出現回数が少ない(出現回数判定閾値未満)と判定された単語である少数単語のリストが格納される。これにより、処理対象のログメッセージ201より前に記録された過去のログメッセージ201について、少数単語のリストおよび分類値を取得できる。
図7は、分類値−出現回数関連情報としての分類値−出現回数関連付け管理テーブル122の構成例を示す。分類値−出現回数関連付け管理テーブル122は、分類値の組み合わせ700と、組み合わせ出現回数カウント701とを含む1または複数のレコードを有する管理情報である。分類値−出現回数関連付け管理テーブル122は、ログメッセージグループ化装置101がログ200を受け付けるたびに、ログ関連度算出プログラム109によって、逐次的に更新される。分類値−出現回数関連付け管理テーブル122は、ログ関連度算出プログラム109によって、分類値の組み合わせ700および組み合わせ出現回数カウント701に値が格納される。
分類値の組み合わせ700は、値として、処理対象のログメッセージ201と過去のログメッセージ201との2つのログメッセージ201の分類値の組み合わせを格納する。組み合わせ出現回数カウント701は、値として、分類値の組み合わせ700に格納された2つのログメッセージ201の分類値の組み合わせの出現回数を格納する。これにより、処理対象のログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせの出現回数を取得できる。
図8は、ログ−グループ関連情報であるログ−グループ関連付け管理テーブル123の構成例を示す。ログ−グループ関連付け管理テーブル123は、グループIDストア800とログメッセージグループ801と関連度802とを含む1または複数のレコードを有する管理情報である。ログ−グループ関連付け管理テーブル123は、グループ化算出プログラム110によって、逐次的に更新される。ログ−グループ関連付け管理テーブル123は、グループ化算出プログラム110によって、グループIDストア800、ログメッセージグループ801および関連度802に値が格納される。
グループIDストア800は、値として、他に同じ値が存在しないユニークな値のグループIDを格納する。グループIDはグループ化算出プログラム110により生成される。ログメッセージグループ801は、値として、グループとして関連付けられた2つのログメッセージ201を格納する。関連度802は、値として、グループ化算出プログラム110で算出された関連度評価値E3を格納する。これにより、運用者は関連性の高いログメッセージ201を取得できる。なお、関連度802には、一致度評価値E1または出現度評価値E2が格納されてもよい。
上記説明では、「×××テーブル」の表現にて各情報を説明しているが、情報はどのようなデータ構造で表現されてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「×××テーブル」を「×××情報」と呼ぶことができる。また、上記説明における各テーブルの構成は一例であり、1つのテーブルは、2以上のテーブルに分割されてもよいし、2以上のテーブルの全部又は一部が1つのテーブルであってもよい。
図9は、管理端末132の画面表示の一例を示す図であり、(a)はグループ化前のログメッセージを表示している状態を示し、(b)はグループ化後のログメッセージを表示している状態を示す。管理端末132は、画面901において、ログメッセージ表示領域902と、ログメッセージ表示領域902に表示されたログメッセージM101、M102、・・・をスクロール表示するためのスクロールバー903と、関連度評価値E3の下限値(すなわち評価値の条件)が入力される入力ボックス905と、グループ化後のログメッセージを表示する処理の開始を指示するグループ表示ボタン904と、を有している。入力ボックス905を省略してもよいし、あるいは、入力ボックス905には一致度評価値E1または出現度評価値E2の下限値が入力されるようにしてもよい。画面901には、図示しないマウスによって操作されるカーソルCが表示されており、このカーソルCを操作して、ログメッセージ表示領域902に表示されているログメッセージM101、M102、・・・の選択、入力ボックス905へのフォーカス移動、グループ表示ボタン904の押下などを行う。図9の画面表示は一例であり、これらにより本実施形態の構成や効果が制限されるものではない。
次に、単語の出現回数を算出する処理について、図10を参照して説明する。図10は、単語の出現回数を算出する処理の一例を示すシーケンス図である。
本実施形態において、管理端末132のCLI(Command Line Interface)やGUI(Graphical User Interface)の操作に応じて、管理端末132は、ログメッセージグループ化装置101へリクエストメッセージを送信する。送信時のプロトコルは、SSH(Secure Shell)、HTTP(Hypertext Transfer Protocol)等の公知の手法でも独自の手法でもよい。上記リクエストメッセージに対する応答としてログメッセージグループ化装置101から管理端末132送信されたレスポンスメッセージは、管理端末132において処理され、処理結果がGUI等により表示される。管理端末132は、ログメッセージグループ化装置101の一部であってもよい。
ログメッセージグループ化システム100の構築時に、分割プログラム103は、運用者により操作された管理端末132から分割ルールの登録要求を受け付ける(S1001)と、分割プログラム103は当該分割ルールに基づいてログメッセージ201を分割する。分割ルールとは、たとえば、「ログメッセージをスペース区切りで単語に分割する」である。分割ルールは、各情報システム130について共通の分割ルールを定義してもよく、個々の情報システム130に応じた分割ルールを定義してもよい。また、分割ルールは、ログメッセージグループ化システム100の構築後に変更してもよい。
その後、収集プログラム102がSyslog等のログ200を受け付ける(S1002)と、分割プログラム103に当該ログ200を転送する(S1003)。分割プログラム103は収集プログラム102からログ200を受け付けると、ステップS1001にて登録した分割ルールに基づいて、ログを単語に分割する(S1004)。これにより、ログは1以上の単語に分割される。分割プログラム103は分割した単語のリストを単語出現回数算出プログラム104に転送する(S1005)。単語出現回数算出プログラム104は単語のリストを受け付けると、単語−出現回数関連付け管理テーブル120を参照し、単語のリストに含まれる単語の出現回数を更新する。単語出現回数算出プログラム104は、ステップS1005により受け付けた単語の数と同じ数だけ、ステップS1006〜ステップS1007を繰り返す。
次に、一致度評価値E1を算出する処理について、図11を参照して説明する。図11は、一致度評価値E1を算出する処理の一例を示すシーケンス図である。
ログメッセージグループ化システム100の構築時あるいは運用開始後に、単語抽出プログラム106は、運用者により操作された管理端末132から出現回数に関する閾値(出現回数判定閾値)を受け付ける(S1101)と、以降、単語抽出プログラム106はステップS1101で受け付けた出現回数判定閾値を用いて処理を行う。出現回数判定閾値は、たとえば、「出現回数が100回以下の単語を出現回数が少ない単語(少数単語)とする」などの判定基準として使用される。また、本実施形態においては出現回数判定閾値について運用者からの指定により設定するが、独自の手法により設定してもよい。出現回数判定閾値は、各情報システム130について共通の値を設定してもよく、個々の情報システム130に応じた値を設定してもよい。出現回数判定閾値は、運用開始後に変更してもよい。
また、単語関連度算出プログラム107は、運用者により操作された管理端末132から時間に関する閾値(処理対象期間)を受け付ける(S1102)。処理対象期間は、たとえば、「現在の処理対象のログメッセージの発生時刻より前に記録された過去のログメッセージを評価値の算出対象(すなわち、処理対象のログメッセージにグループとして関連付ける対象)とする」ための対象期間として用いられる。単語抽出プログラム106は、ログ−単語関連付け管理テーブル121から、発生時刻が処理対象期間に含まれる過去のログメッセージを取得する。また、本実施形態においては処理対象期間について運用者からの指定により設定するが、独自の手法により設定してもよい。処理対象期間は、各情報システム130について共通の値を設定してもよく、個々の情報システム130に応じた値を設定してもよい。処理対象期間は、運用開始後に変更してもよい。
そして、収集プログラム102が、Syslog等のログ200を収集し(S1103)、分割プログラム103に当該ログ200を転送する(S1104)。分割プログラム103は、収集プログラム102からログ200を受け付けると、ログ200に記録された処理対象のログメッセージ201を順次取得して、ステップS1001にて登録した分割ルールに基づいて単語に分割し(S1105)、単語のリストを単語出現回数参照プログラム105に転送する(S1106)。単語出現回数参照プログラム105は、分割プログラム103から処理対象のログメッセージ201および単語のリストを受け付けると、学習後の単語−出現回数関連付け管理テーブル120から単語のリストに含まれる単語の出現回数を取得して(S1107)、単語にひも付けし、単語抽出プログラム106と分類値算出プログラム108にログメッセージ201と出現回数をひも付けした単語のリストとを転送する(S1108、S1109)。ステップS1109については後述する。
単語抽出プログラム106は、処理対象のログメッセージ201および出現回数をひも付けした単語のリストを受け付けると、ステップS1101にて設定された閾値(出現回数判定閾値)に基づいて、出現回数が少ない単語である少数単語を抽出する(S1110)。単語抽出プログラム106は、ログメッセージ201および少数単語のリストを単語関連度算出プログラム107に転送する(S1111)。単語関連度算出プログラム107は、ログ−単語関連付け管理テーブル121から、ステップS1102にて登録された閾値(処理対象期間)に発生した過去のログメッセージ201、その少数単語のリストおよびその分類値を取得する(S1112)。
単語関連度算出プログラム107は、ステップS1111にて取得した処理対象のログメッセージ201の少数単語のリストとステップS1112にて取得した過去のログメッセージ201の少数単語のリストから一致度評価値E1を算出する(S1113)。単語関連度算出プログラム107は、処理対象のログメッセージ201および過去のログメッセージ201と、これらログメッセージ201の一致度評価値E1とをグループ化算出プログラム110に転送する(S1114)。さらに、単語関連度算出プログラム107は、処理対象のログメッセージ201および過去のログメッセージ201と、過去のログメッセージ201およびその分類値とをログ関連度算出プログラム109に転送する(S1115)。
次に、出現度評価値E2と関連度評価値E3とを算出する処理について、図12を参照して説明する。図12は、出現度評価値E2と関連度評価値E3とを算出する処理の一例を示すシーケンス図である。
分類値算出プログラム108は、単語出現回数参照プログラム105から処理対象のログメッセージ201および出現回数がひも付けされた単語のリストを受け付けると、出現回数に基づいて分類値を算出する(S1201)。分類値算出プログラム108は、ログ関連度算出プログラム109にログメッセージ201およびその分類値を転送する(1202)。ログ関連度算出プログラム109は、処理対象のログメッセージ201およびその分類値を受け付けると、この分類値とステップS1115にて取得した過去のログメッセージ201の分類値との組み合わせについて、学習済の分類値−出現回数関連付け管理テーブル122を参照して、これら分類値の組み合わせの出現回数を取得する(S1203)。ログ関連度算出プログラム109は、これら分類値の組み合わせの出現回数に基づいて、出現度評価値E2を算出する(S1204)。ログ関連度算出プログラム109は、処理対象のログメッセージ201および過去のログメッセージ201と、これらログメッセージ201の出現度評価値E2を、グループ化算出プログラム110に転送する(S1205)。
グループ化算出プログラム110は、ステップS1114にて単語関連度算出プログラム107から取得した一致度評価値E1と、ステップS1205にてログ関連度算出プログラム109から取得した出現度評価値E2とに基づいて関連度評価値E3を算出する(S1206)。グループ化算出プログラム110は、グループIDを生成し、関連度評価値E3(複数ある場合は最も大きい関連度評価値E3)とその算出に用いたログメッセージ201の組み合わせを関連付けて、ログ−グループ関連付け管理テーブル123に格納する(S1207)。
次に、分類値の算出方法について、図13を参照して説明する。図13は、分類値の算出方法の一例を説明する図である。
分割プログラム103は、上記ステップS1001によって登録された分割ルール1300に基づいて、ログメッセージ201を単語のリスト1301にする。単語出現回数参照プログラム105は、単語−出現回数関連付け管理テーブル120を参照し、各単語の出現回数を取得して、分類値算出プログラム108に転送する。分類値算出プログラム108は、各単語の出現回数に基づいてその総和を算出し、算出結果を分類値1302とする。
次に、単語の出現回数を算出する処理について、図14を参照して説明する。図14は、単語の出現回数を算出する処理の一例を示すフローチャートである。本フローチャートは、図10のステップS1002〜S1007の処理に相当する。
収集プログラム102がログ200を収集すると分割プログラム103に転送し(S1401)、分割プログラム103がログ200に記録されたログメッセージ201を取得し、分割ルールに基づいて単語に分割して、単語出現回数算出プログラム104に転送する(S1402)。単語出現回数算出プログラム104は、分割された単語のリストに含まれる全ての単語について、ステップS1404〜ステップS1407を繰り返す(S1403)。単語出現回数算出プログラム104は、単語−出現回数関連付け管理テーブル120を参照し、単語の出現回数を取得する(S1404)。単語出現回数算出プログラム104は、単語−出現回数関連付け管理テーブル120に単語のレコードが存在すると判定した場合(S1405:Yes)は、単語−出現回数関連付け管理テーブル120の該当する単語の出現回数を更新し(S1406)、レコードが存在しないと判定した場合(S1405:No)は、単語−出現回数関連付け管理テーブル120に単語のレコードを追加する(S1407)。
次に、一致度評価値E1を算出する処理について、図15を参照して説明する。図15は、一致度評価値E1を算出する処理の一例を示すフローチャートである。本フローチャートは、図11のステップS1103〜S1113の処理に相当する。
収集プログラム102がログ200を収集すると分割プログラム103に転送し(S1501)、分割プログラム103がログ200に記録されたログメッセージ201を分割ルールに基づいて単語に分割して、単語出現回数参照プログラム105に転送する(S1502)。単語出現回数参照プログラム105は、学習後の単語−出現回数関連付け管理テーブル120を参照し、単語のリストに含まれる全ての単語について出現回数を取得して、単語抽出プログラムに転送する(S1503)。単語抽出プログラム106は、単語のリストに含まれる全ての単語について、ステップS1505〜ステップS1506を繰り返す(S1504)。単語抽出プログラム106は、単語の出現回数が閾値(出現回数判定閾値)未満であると(S1505:Yes)、出現回数が少ない単語(少数単語)と判定して少数単語のリストに含めて(S1506)、次の繰り返し処理を継続する。単語抽出プログラム106は、単語の出現回数が閾値(出現回数判定閾値)未満でないと(S1505:No)、少数単語でないと判定して、次の繰り返し処理を継続する。
そして、単語抽出プログラム106は、繰り返し処理が終了すると少数単語のリストを単語関連度算出プログラム107に転送する(S1507)。単語関連度算出プログラム107は、ログ−単語関連付け管理テーブル121から時間に関する閾値(処理対象期間)内に発生した過去のログメッセージ201およびその少数単語を取得する(S1508)。単語関連度算出プログラム107は、処理対象のログメッセージおよび過去のログメッセージの全てについて、ステップS1510〜S1511を繰り返す(S1509)。単語関連度算出プログラム107は、ステップS1507にて取得した処理対象のログメッセージ201の少数単語のリストと、ステップS1508にて取得した過去のログメッセージ201における少数単語のリストと、を比較して、一致する単語が存在する場合(S1510:Yes)、一致度評価値E1を算出して(S1511)、次の繰り返し処理を継続する。単語関連度算出プログラム107は、一致する単語が存在しない場合(S1510:No)、次の繰り返し処理を継続する。
次に、出現度評価値E2を算出する処理について、図16を参照して説明する。図16は、出現度評価値E2を算出する処理の一例を示すフローチャートである。ステップS1201〜S1204の処理に相当する。
分類値算出プログラム108は、単語出現回数参照プログラム105からログメッセージを分割した単語のリストを取得すると、処理対象のログメッセージ201の分類値を算出して、ログ関連度算出プログラム109に転送する(S1601)。ログ関連度算出プログラム109は、単語関連度算出プログラム107から過去のログメッセージの分類値を取得する(S1602)。ログ関連度算出プログラム109は、ステップS1601で取得した処理対象のログメッセージ201の分類値と、ステップS1602で取得した過去のログメッセージの分類値との組み合わせについて、分類値−出現回数関連付け管理テーブル122を参照し、これら分類値の組み合わせの出現回数を取得する(S1603)。ログ関連度算出プログラム109は、ステップS1603にて取得した出現回数に基づいて出現度評価値E2を算出する(S1604)。
次に、ログメッセージグループ化装置101が、グループ化されたログメッセージのリストを出力する処理について、図17を参照して説明する。図17は、グループ化されたログメッセージのリストを管理端末132に出力する処理の一例を示すフローチャートである。
ログメッセージグループ化装置101(具体的にはプロセッサ401)が、管理端末132から送信されたリクエストメッセージを受け付けると(S1701)、ログ−グループ化関連付け管理テーブル123を参照して、リクエストメッセージに含まれるログメッセージ201を含むログメッセージグループ801を検索する(S1702)。ログメッセージグループ化装置101は、検索ヒットした全てのログメッセージグループ801について、ステップS1704の処理を繰り返す(S1703)。なお、リクエストメッセージに関連度評価値E3の下限値が含まれている場合は、この下限値も検索条件に含め、関連度802に格納されている関連度評価値E3が当該下限値以上となるレコードのログメッセージグループ801を検索する。ログメッセージグループ化装置101は、ログメッセージグループ801に格納されているログメッセージ201を取得し、取得したログメッセージ201から重複しているものを削除して、グループとなるログメッセージのリストを作成する(S1704)。ログメッセージグループ化装置101は、管理端末132へのレスポンスメッセージにこのログメッセージのリストを含めて送信する(S1705)。これにより、運用者は管理端末132を通じて、グループとして関連付けられたログメッセージのリストを取得できる。なお、リクエストメッセージには関連度評価値E3の下限値の代わりに一致度評価値E1または出現度評価値E2の下限値が含まれていてもよく、これを検索条件に含めてもよい。
図17の処理について、図9を参照して管理端末132の表示操作の観点から説明する。運用者は、管理端末132によってログシステム131からログ200を取得して、図9(a)に示すように、ログメッセージ表示領域902にログメッセージM101、M102、・・・を表示する。運用者は管理端末132を操作して、入力ボックス905に関連度評価値E3の下限値を入力する。下限値に0が入力された場合、この下限値は無視されてリクエストメッセージに含まれない。そして、運用者は、ログメッセージ表示領域902に表示されているログメッセージM101、M102、・・・の中から1つのログメッセージ(図9の例ではログメッセージM105)をクリックして選択する。そして、運用者が、グループ表示ボタン904を押下すると、選択されたログメッセージおよび関連度評価値E3の下限値を含むリクエストメッセージが生成されて、ログメッセージグループ化装置101に送信される。
そして、ログメッセージグループ化装置101において、リクエストメッセージが受け付けられると、リクエストメッセージに含めたログメッセージと関連性の高いログメッセージがグループ化されて、ログメッセージのリストとしてレスポンスメッセージに含められて送られてくる。管理端末132は、レスポンスメッセージを受信すると、図9(b)に示すように、それに含まれるログメッセージのリストをログメッセージ表示領域902に表示する。図9に示す例では、ログ−グループ化関連付け管理テーブル123に図8に示す値が格納されている場合を想定している。そのため、ログメッセージM105を選択しかつ関連度評価値E3の下限値を0.60に設定すると、ログメッセージM105とそれに関連するログメッセージM101およびM103が表示される。または、ログメッセージM105を選択しかつ関連度評価値E3の下限値を、たとえば0.80に設定すると、グループIDがG2となるレコードが除外されるため、ログメッセージM105とそれに関連するログメッセージM101とが表示される。このようにすることで、関連度評価値E3の下限値を入力することにより、グループとして関連付けられたログメッセージ201をより絞り込んで精度を高めることができる。
以上より、本実施形態によれば、ログメッセージグループ化装置101が、ログメッセージ201を構成する単語のうち出現回数の比較的少ない単語である少数単語の一致度を示す一致度評価値E1を算出する。このようにしたことから、ログ200に記録されたログメッセージ201は、関連度の高いログメッセージ201同士ほど共通の少数単語を含むものと考えられるので、ログメッセージ201間の少数単語の一致度を指標とすることにより、あらかじめログメッセージ201をグループとして関連付ける情報を用意することなく、関連するログメッセージ201をグループ化することができる。
また、ログメッセージグループ化装置101が、分類値の組み合わせの出現回数に基づいてログメッセージ201の分類値と過去のログメッセージ201の分類値との組み合わせの出現度を示す出現度評価値E2を算出し、一致度評価値E1および出現度評価値E2に基づきログメッセージ201と過去のログメッセージ201との関連度を示す関連度評価値E3を算出する。このようにしたことから、2つのログメッセージ201の分類値の組み合わせの出現回数に基づく出現度評価値E2を指標とすることにより、出現が希な分類値の組み合わせ、すなわち、出現が希なログメッセージ201の組み合わせを除外することができる。そのため、関連するログメッセージ201をより精度よくグループ化することができる。
したがって、あらかじめログメッセージをグループとして関連付ける情報を用意することなくログメッセージをグループ化することができるので、ログメッセージの出力形式が頻繁に変更される情報システムのログに記録されたログメッセージの分析を支援することができる。また、同様の処理を複数並行して行う情報システムにおいて、各処理に応じて出力されるログメッセージが入れ子になったときでも、精度よくログメッセージをグループ化することができる。
上述した実施形態では、関連度評価値E3を用いて処理対象のログメッセージ201と過去のログメッセージ201との関連性を評価する構成であったが、これに限定されるものではない。これ以外にも、一致度評価値E1のみを用いてログメッセージ201の関連性を評価する構成としてもよい。
以上、図面を用いて本発明の実施形態を詳述してきたが、具体的な構成はこの実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の構成に置き換える事が可能であり、また、ある実施形態の構成に他の構成を加えることも可能である。本発明の要旨を逸脱しない範囲における設計変更等があっても、それらは本発明に含まれるものである。
100…ログメッセージグループ化システム、101…ログメッセージグループ化装置、102…収集プログラム、103…分割プログラム、104…単語出現回数算出プログラム、105…単語出現回数参照プログラム、106…単語抽出プログラム、107…単語関連度算出プログラム、108…分類値算出プログラム、109…ログ関連度算出プログラム、110…グループ化算出プログラム、120…単語−出現回数関連付け管理テーブル(単語−出現回数関連情報)、121…ログ−単語関連付け管理テーブル(ログ−単語関連情報)、122…分類値−出現回数関連付け管理テーブル(分類値−出現回数関連情報)、123…ログ−グループ関連付け管理テーブル(ログ−グループ関連情報)、130…情報システム、131…ログシステム、132…管理端末、200…ログ

Claims (9)

  1. プロセッサを有するログメッセージグループ化装置であって、
    前記プロセッサが、
    (a)複数のログメッセージが記録されたログを収集する、
    (b)前記ログから前記複数のログメッセージを取得する、
    (c)第1のログメッセージを構成する単語の出現回数を、前記ログに含まれる複数のログメッセージに基づいて作成され、前記複数のログメッセージに含まれる単語と前記単語の出現回数とを関連付けて格納した単語−出現回数関連情報から取得する、
    (d)前記第1のログメッセージと、前記第1のログメッセージを構成する単語のうち、その出現回数が所定の出現回数判定閾値未満である単語を少数単語として関連付けてログ−単語関連情報に格納する、
    (e)前記第1のログメッセージより過去の第2のログメッセージに含まれる前記少数単語を前記ログ−単語関連情報から取得する、
    (f)前記第1のログメッセージに含まれる前記少数単語と前記第2のログメッセージに含まれる前記少数単語との一致度を示す評価値である第1の評価値を算出する、ように構成されていることを特徴とするログメッセージグループ化装置。
  2. 請求項1に記載のログメッセージグループ化装置において、
    前記プロセッサが、
    (g)前記第1のログメッセージを構成する単語の出現回数に基づいて定まる前記第1のログメッセージの識別情報である分類値を生成する、
    (h)前記第1のログメッセージと前記第1のログメッセージの分類値とを関連付けて前記ログ−単語関連情報に格納する、
    (i)前記第2のログメッセージを構成する単語の出現回数に基づいて定まる前記第2のログメッセージの分類値を取得する、
    (j)前記第1のログメッセージの分類値と前記第2のログメッセージの分類値との組み合わせの出現回数を、前記ログに含まれる複数のログメッセージに基づいて作成され、各ログメッセージを構成する単語の出現回数に基づいて定まる各ログメッセージの分類値の組み合わせとその出現回数とを関連付けて格納した分類値−出現回数関連情報から取得する、
    (k)前記分類値−出現回数関連情報から取得した前記組み合わせの出現回数に基づいて前記第1のログメッセージの分類値と前記第2のログメッセージの分類値との組み合わせの出現度を示す評価値である第2の評価値を算出する、
    (l)前記第1の評価値および前記第2の評価値に基づき前記第1のログメッセージと前記第2のログメッセージとの関連度を示す評価値である第3の評価値を算出する、ように構成されていることを特徴とするログメッセージグループ化装置。
  3. 請求項1に記載のログメッセージグループ化装置において、
    前記プロセッサが、
    (m)前記複数のログメッセージに含まれる単語と当該単語の出現回数とを関連付けて格納した単語−出現回数関連情報を作成する、ように構成されていることを特徴とするログメッセージグループ化装置。
  4. 請求項2に記載のログメッセージグループ化装置において、
    前記プロセッサが、
    (n)前記第1のログメッセージの分類値と前記第2のログメッセージの分類値との組み合わせと、その組み合わせの出現回数とを関連付けて格納した分類値−出現回数関連情報を作成する、ように構成されていることを特徴とするログメッセージグループ化装置。
  5. 請求項2に記載のログメッセージグループ化装置において、
    前記プロセッサが、
    (o)前記第1〜第3の評価値のいずれかに基づいて前記第1のログメッセージと前記第2のログメッセージとをグループとして関連付けてログ−グループ関連情報に格納する、ように構成されていることを特徴とするログメッセージグループ化装置。
  6. 請求項5に記載のログメッセージグループ化装置において、
    前記プロセッサが、
    (p)ログメッセージに関する情報のリクエストを受け付けると、前記リクエストに含まれるログメッセージとグループとして関連付けられた他のログメッセージを前記ログ−グループ関連情報から取得して当該リクエストに対するレスポンスに含めて出力する、ように構成されていることを特徴とするログメッセージグループ化装置。
  7. 請求項6に記載のログメッセージグループ化装置において、
    前記リクエストには、前記第1〜第3の評価値のいずれかに係る条件を示す情報が含まれ、
    前記プロセッサが、
    (p’)前記リクエストに含まれるログメッセージとグループとして関連付けられかつ前記条件を満足する他のログメッセージを前記ログ−グループ関連情報から取得して当該リクエストに対するレスポンスに含めて出力する、ように構成されていることを特徴とするログメッセージグループ化装置。
  8. ログメッセージが記録されたログを出力する1または複数の情報システムと、
    前記ログを収集し、前記ログメッセージをグループとして関連付けるログメッセージグループ化装置と、
    前記ログメッセージグループ化装置からグループとして関連付けられたログメッセージに関する情報を取得する管理端末と、を備え、
    前記ログメッセージグループ化装置が、請求項7に記載のログメッセージグループ化装置で構成されていることを特徴とするログメッセージグループ化システム。
  9. ログメッセージグループ化方法であって、
    プロセッサが、
    (a)複数のログメッセージが記録されたログを収集する、
    (b)前記ログから前記複数のログメッセージを取得する、
    (c)第1のログメッセージを構成する単語の出現回数を、前記ログに含まれる複数のログメッセージに基づいて作成され、前記複数のログメッセージに含まれる単語と前記単語の出現回数とを関連付けて格納した単語−出現回数関連情報から取得する、
    (d)前記第1のログメッセージと、前記第1のログメッセージを構成する単語のうち、その出現回数が所定の出現回数判定閾値未満である単語を少数単語として関連付けてログ−単語関連情報に格納する、
    (e)前記第1のログメッセージより過去の第2のログメッセージに含まれる前記少数単語を前記ログ−単語関連情報から取得する、
    (f)前記第1のログメッセージに含まれる前記少数単語と前記第2のログメッセージに含まれる前記少数単語との一致度を示す評価値である第1の評価値を算出する、ことを特徴とするログメッセージグループ化方法。
JP2017004788A 2017-01-16 2017-01-16 ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法 Active JP6803754B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017004788A JP6803754B2 (ja) 2017-01-16 2017-01-16 ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法
US15/864,829 US10579461B2 (en) 2017-01-16 2018-01-08 Log message grouping apparatus, log message grouping system, and log message grouping method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017004788A JP6803754B2 (ja) 2017-01-16 2017-01-16 ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法

Publications (2)

Publication Number Publication Date
JP2018116322A JP2018116322A (ja) 2018-07-26
JP6803754B2 true JP6803754B2 (ja) 2020-12-23

Family

ID=62841339

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017004788A Active JP6803754B2 (ja) 2017-01-16 2017-01-16 ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法

Country Status (2)

Country Link
US (1) US10579461B2 (ja)
JP (1) JP6803754B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6803754B2 (ja) * 2017-01-16 2020-12-23 株式会社日立製作所 ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法
US10831585B2 (en) * 2017-03-28 2020-11-10 Xiaohui Gu System and method for online unsupervised event pattern extraction and holistic root cause analysis for distributed systems
US10839802B2 (en) * 2018-12-14 2020-11-17 Motorola Mobility Llc Personalized phrase spotting during automatic speech recognition
JP7207009B2 (ja) * 2019-02-26 2023-01-18 日本電信電話株式会社 異常検知装置、異常検知方法および異常検知プログラム
US11244058B2 (en) 2019-09-18 2022-02-08 Bank Of America Corporation Security tool
US11281520B2 (en) * 2020-06-05 2022-03-22 Vmware, Inc. Methods and systems for determining potential root causes of problems in a data center using log streams
CN112882997B (zh) * 2021-02-19 2022-06-07 武汉大学 一种基于N-gram与频繁模式挖掘的系统日志解析方法
US11921603B2 (en) * 2021-08-05 2024-03-05 Microsoft Technology Licensing, Llc Automated interoperational tracking in computing systems
US11625309B1 (en) * 2021-10-31 2023-04-11 Kyndryl, Inc. Automated workload monitoring by statistical analysis of logs

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001147923A (ja) * 1999-11-18 2001-05-29 Toshiba Corp 類似文書検索装置、類似文書検索方法及び記録媒体
JP5521807B2 (ja) * 2010-06-16 2014-06-18 富士通株式会社 障害原因推定装置、障害原因推定プログラム及び障害原因推定方法
JP5609637B2 (ja) * 2010-12-28 2014-10-22 富士通株式会社 プログラム、情報処理装置、及び情報処理方法
JP5933463B2 (ja) * 2013-02-04 2016-06-08 日本電信電話株式会社 ログ生起異常検知装置及び方法
US9244755B2 (en) * 2013-05-20 2016-01-26 Vmware, Inc. Scalable log analytics
US20160261541A1 (en) * 2013-06-07 2016-09-08 Hewlett-Packard Development Company, L.P. Prioritizing log messages
JP6432266B2 (ja) 2014-10-03 2018-12-05 富士通株式会社 グループ化方法、グループ化装置、およびグループ化プログラム
JP6503679B2 (ja) * 2014-10-06 2019-04-24 富士通株式会社 フィルタルール作成装置、フィルタルール作成方法、およびプログラム
US9892166B2 (en) * 2014-10-09 2018-02-13 Ca, Inc. Partitioning log records based on term frequency and type for selective skipping during full-text searching
WO2016075915A1 (ja) * 2014-11-10 2016-05-19 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
US9612897B1 (en) * 2014-12-12 2017-04-04 State Farm Mutual Automobile Insurance Company Method and system for detecting system outages using application event logs
US9678822B2 (en) * 2015-01-02 2017-06-13 Tata Consultancy Services Limited Real-time categorization of log events
WO2016132717A1 (ja) 2015-02-17 2016-08-25 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
JP6803754B2 (ja) * 2017-01-16 2020-12-23 株式会社日立製作所 ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法

Also Published As

Publication number Publication date
US10579461B2 (en) 2020-03-03
JP2018116322A (ja) 2018-07-26
US20180203757A1 (en) 2018-07-19

Similar Documents

Publication Publication Date Title
JP6803754B2 (ja) ログメッセージグループ化装置、ログメッセージグループ化システムおよびログメッセージグループ化方法
CN107291928B (zh) 一种日志存储系统和方法
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
WO2014196129A1 (ja) 障害分析装置、障害分析方法、および、記録媒体
JP6047017B2 (ja) パターン抽出装置および制御方法
JP6665784B2 (ja) ログ分析システム、ログ分析方法およびログ分析プログラム
WO2017104119A1 (ja) ログ分析システム、方法およびプログラム
CN102257487A (zh) 分析事件
JP2017010277A (ja) 作業分析システム及び作業分析方法
JP5466622B2 (ja) 運用監視装置、運用監視方法、および運用監視プログラム
JP2018195127A (ja) インシデント管理装置、インシデント管理方法およびコンピュータプログラム
JP6174469B2 (ja) 事故分析活用支援装置および方法
KR101597143B1 (ko) 정보 처리 장치 및 정보 처리 방법
JP5711677B2 (ja) 監視情報分析装置及び方法
JP2009110220A (ja) 監査ログ収集・評価システム、監査ログ収集・評価方法、および、収集・評価コンピュータ
US11423230B2 (en) Process extraction apparatus and non-transitory computer readable medium
JPH08314751A (ja) 障害対策支援方法
JP2005190402A (ja) リスク評価支援システム、情報処理装置、リスク評価支援方法、及びプログラム
JP2013152543A (ja) 画像蓄積プログラム、方法および装置
JP7446147B2 (ja) 合意形成支援装置および合意形成支援方法
CN113094088A (zh) 数据库配置信息采集方法、装置、计算机设备及存储介质
JP2007041638A (ja) シーケンス図作成装置、シーケンス図作成プログラムおよびシーケンス図作成プログラムを記録したコンピュータ読取り可能な記録媒体
WO2020070906A1 (ja) ワークショップ支援システム及びワークショップ支援方法
JP2016122413A (ja) 画像処理装置、画像処理装置の制御方法およびプログラム
JPWO2009008129A1 (ja) 開発書類データ管理装置、開発書類データ管理システム、開発書類データ管理方法及び、そのプログラム並びに記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201023

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201201

R150 Certificate of patent or registration of utility model

Ref document number: 6803754

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150