JP7293260B2 - ログパターンの分析方法 - Google Patents

ログパターンの分析方法 Download PDF

Info

Publication number
JP7293260B2
JP7293260B2 JP2020570955A JP2020570955A JP7293260B2 JP 7293260 B2 JP7293260 B2 JP 7293260B2 JP 2020570955 A JP2020570955 A JP 2020570955A JP 2020570955 A JP2020570955 A JP 2020570955A JP 7293260 B2 JP7293260 B2 JP 7293260B2
Authority
JP
Japan
Prior art keywords
log
log pattern
analysis
normalized
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020570955A
Other languages
English (en)
Other versions
JP2021528760A (ja
Inventor
セルヴェリウス ペトルス パウルス プロンク
ヨハネス ヘンリクス マリア コースト
マウロ バービエリ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips NV filed Critical Koninklijke Philips NV
Publication of JP2021528760A publication Critical patent/JP2021528760A/ja
Application granted granted Critical
Publication of JP7293260B2 publication Critical patent/JP7293260B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/40ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management of medical equipment or devices, e.g. scheduling maintenance or upgrades
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0775Content or structure details of the error report, e.g. specific table structure, specific error fields
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/63ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for local operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Biomedical Technology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Epidemiology (AREA)
  • Computing Systems (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Description

本発明は一般に、医用撮像装置サービス技術、故障診断技術、ログパターン検出技術、及び関連技術に関する。
磁気共鳴イメージング(MRI)、透過型コンピュータトモグラフィ(CT)、及び術中X線(iXR)スキャナなどの医療撮像システムは、場合によっては遠隔サービスエンジニア(RSE)によって解決されることができるシステム障害を経験することがある。しかしながら、多くの場合、フィールドサービスエンジニア(FSE)は、問題を解決するために病院を訪問しなければならない。特に、部品の交換が必要な場合には、FSEが病院を訪問することは避けられない。システム障害の根本原因を遠隔で判定できるかどうかに応じて、問題を解決するには、最初の訪問中に必要な部分が利用できない場合に、複数回のFSE訪問が必要になることがある。1回目の訪問時に、FSEは問題の根本原因を判定し、問題を解決するために1つ又は複数の部品を交換する必要があるかどうかを判定し、部品の交換が必要である場合にはどの部品かを判定する。1つ又は複数の部品を注文した後、FSEは、2回目の訪問で実際の交換を行う。ちなみに、根本原因の識別は困難であり、根本原因が最初の訪問で明確に決定できない場合、問題を解決するために3回以上の訪問が必要となることがある。
これらの故障による医用撮像システムの計画外のダウンタイムを短縮し、関連する保守費用を削減するためには遠隔で解決できる問題の割合を増やすこと、FSEが病院を訪問する必要がある場合には問題を解決するために必要な訪問回数を減らすことが有利である。訪問の回数は、問題を遠隔で診断することによって減らすことができる。
障害の最も可能性の高い根本原因を遠隔で判定するために、マシンログデータを使用することができる。動作中、多くの市販の医用撮像システムは、ログデータを連続的に生成する。これらは、ステータス情報、イベントに関する情報、及び警告とエラーの内容を含むタイムスタンプ付きメッセージである。通常、このロギングデータは局所的に保存されるため、FSEはオンサイト(現場)でデータを検査することができる。付加的に、適切なアクセス権限を持つサービスエンジニアが、ロギングデータをリモートで検査することができる場合もある。更に、一部のインストールでは、ロギングデータは中央ストレージサーバに(例えば、毎日)アップロードされ、そこで、イメージングシステムの完全なインストールされたベースに関する最も一般的な問題を識別するために分析されることができる。
システム障害の根本原因分析を助けるために、1つのアプローチは、既知の障害モードと相関するログパターンを作成することである。ログイベントデータの経験とレビューに基づいて、所与の時間スパン内の特定のログイベントの発生又は非発生の論理的な組み合わせを、原因-解決ツリーと共に作成することで、ログパターンを作ることができ、この原因-解決ツリーには、障害の可能性のある複数の原因と、原因ごとに1つ又は複数の解決策がリストアップされる。システム障害による病院からのサービスコールの際に、ログパターンは、コールの前のある時間間隔にわたって、例えば、コールの1日又は1週間前に生成されたログイベントに適用される。ログパターンが1回以上発生した場合、アラートが生成されることで、エンジニアがは、根本原因分析においてそれを使用することができる。ログパターンは、ログパターンのブール式が真と評価されるログパターンのタイムスパンに等しい長さの時間間隔がある場合、所定の時間間隔で1つのマシンによって生成されたログイベントのシーケンスの中にヒットを持つ。ヒットが発見されると、識別された時間間隔はヒットを単に「含む」ように最大限に縮小され、それは1つのヒットとしてカウントされ、縮小された間隔の直後にウィンドウを再配置することによって、追加のヒットの探索が継続される。ログパターンは、サービスコールに関してヒットを持つと言うことができ、それにより、このサービスコールの前の予め規定された時間間隔の中にログパターンが少なくとも1つのヒットを持つことが示される。
ログパターンの性能の分析は、それがどのくらい頻繁に起こるか、また、それが起こったときに、それが正しい機会に起こるか、すなわち、それが手近な障害に関連するか、原因解決ツリーが有用なガイダンスを提供するかなど、様々な方法で定量化することができる。あまりにも多くのアラートを生成するログパターンは、根本原因分析の有効性に悪影響を及ぼす可能性があり、一方、あまりにも少ないアラートを生成するログパターンは、診断的価値が限られている。この性能分析は、典型的には履歴データに対して行われる。
以下は、特定の改良を開示する。
本明細書に開示するいくつかの実施形態では、非一時記憶媒体が、少なくともサービスコール時間フレーム及びコンテントを除去又は置換するための正規化規則を含む構成データと、ログイベントと各々がコール時間を有するサービスコールとを有する医用撮像装置ログデータに対して動作するログパターン分析方法を実行するための、電子プロセッサによって読み取り可能かつ行可能な命令と、を記憶し、各サービスコールは、サービスコールのコール時間のサービスコール時間フレーム内に発生するログイベントのサブセットに関連付けられる。ログパターン分析方法は、正規化ログイベントの前処理を行うステップであって、前処理は、正規化規則に従ってログイベントのコンテントを除去又は置換することによって正規化されたログイベントを生成すること、及び各正規化ログイベントを、当該正規化ログイベントに合致する関連ログイベントを有する1又は複数のサービスコールにリンクすることを含む、ステップと、事前分析を実行するステップであって、前記事前分析は、分析中のログパターンに合致する正規化ログイベントのテストセットと、正規化ログイベントのテストセットにリンクされたサービスコールのテストセットと、を識別することを含む、ステップと、サービスコールのテストセットを分析して、ヒットサービスコールを識別するステップであって、各ヒットサービスコールがサービスコールのテストセットに属し、分析中のログパターンが、サービスコールのヒットを有する、ステップと、ヒットするサービスコールを要約したログパターンレポートを提示するようディスプレイを制御するステップと、を含む。
本明細書で開示されるいくつかの実施形態では、医用撮像装置の画像診断システムが、前段落に記載されるような非一時記憶媒体と、非一時記憶媒体に動作可能に接続され、ログパターン分析方法を実行するための命令を読み取り実行するサーバコンピュータと、非一時記憶媒体に動作可能に接続され、ログパターン編集方法を実行するための命令を読み取り実行する診断設計コンピュータと、を有する。システムは更に、非一時記憶媒体と動作可能に接続されて、診断支援方法を実行するための命令を読み取り実行するフィールドサービスエンジニアコンピュータを有することができる。
本明細書に開示するいくつかの実施形態において、ログパターン分析装置は、電子プロセッサと、ログイベント及びコール時間を各々が有するサービスコールを有する医用撮像装置ログデータに対して動作するログパターン分析方法を実行するための、電子プロセッサによって読み取り及び実行可能な命令を記憶する非一時記憶媒体と、を備え、各サービスコールは、サービスコールのコール時間のサービスコール時間フレーム内で発生するログイベントのサブセットに関連付けられる。ログパターン分析方法は、医用撮像装置ログデータの前処理を実行するステップであって、前記前処理は、ログイベントのコンテントを除去又は置換することによって正規化されたログイベントを生成し、各正規化されたログイベントを、当該正規化されたログイベントと合致する関連ログイベントを有する1又は複数のサービスコールとリンクさせることを含む、ステップと、事前分析を実行するステップであって、前記事前分析は、分析中のログパターンと合致する正規化ログイベントのテストセットと、正規化ログイベントのテストセットにリンクされたサービスコールのテストセットと、を識別することを含む、ステップと、ヒットサービスコールを識別するために、サービスコールのテストセットを分析するステップであって、各ヒットサービスコールがサービスコールのテストセットに属し、分析中のログパターンがヒットサービスコールごとにヒットを有する、ステップと、を有する。
本明細書で開示されるいくつかの実施形態では、ログパターン分析方法は、ログイベントと、コール時間を各々が有するサービスコールとを有する医用撮像装置ログデータに対して動作し、各サービスコールは、サービスコールのコール時間のサービスコール時間フレーム内に発生するログイベントのサブセットに関連付けられる。ログパターン分析方法は、正規化されたログイベントを生成するために、医用撮像装置ログデータのログイベントのコンテントを除去又は置換し、各正規化されたログイベントを、当該正規化されたログイベントに合致する関連ログイベントを有する1又は複数のサービスコールにリンクするステップと、分析中のログパターンに合致する正規化ログイベントのテストセットと、正規化ログイベントのテストセットにリンクされたサービスコールのテストセットと、を識別するステップと、ヒットサービスコールのテストセットを識別するために、サービスコールのテストセットを分析するステップであって、各ヒットサービスコールがサービスコールのテストセットに属し、分析中のログパターンがヒットサービスコールごとにヒットを有する、ステップと、を有する。ログパターン分析方法は、電子プロセッサによって適切に実行される。
1つの利点は、高い計算効率を有する自動性能分析を有する医用撮像装置ログパターン編集器を提供することにある。
別の利点は、より速い計算速度を有する自動性能分析を有する医用撮像装置ログパターン編集器を提供することにある。別の利点は、関連する電子データネットワークに課されるログデータ転送トラフィックを低減する医用撮像装置ログパターン編集器を提供することにある。
別の利点は、本明細書に開示されるようなログパターン分析器を使用したより効率的な性能分析を受ける配備されたログパターンによって達成される、改善された診断精度を有する医用撮像装置診断システムを提供することにある。
所与の実施形態は、本開示を読み理解することにより当業者に明らかになるように、前述の利点のいずれも提供しなくてもよく、あるいは1つ、2つ、より多く、又はすべてを提供してもよく、及び/又は他の利点を提供してもよい。
本発明は、様々な構成要素及び構成要素の取り合わせ、並びに様々なステップ及びステップの取り合わせの形をとることができる。図面は、好ましい実施形態を例示する目的のためだけのものであり、本発明を限定するものとして解釈されるべきではない。
本明細書に開示されるような効率的な自動性能分析を有するログパターン編集装置と、ログパターン編集装置を使用して生成されたログパターンを使用するコンピュータ診断支援装置と、を有する医用撮像システム診断システムを概略的に示す図。 図1の装置によって適切に実行される自動化されたログパターン性能分析方法を概略的に示す図。 ログパターンの構造を本明細書に記載のログイベントに分解する視覚的表現を概略的に示す図。
履歴データを使用したログパターンの性能の評価には、多くの以前のコールで生成されたログイベントデータにログパターンを適用する必要がある。たとえば、年間10000件のサービスコールを集合的に経験する、数千台の医用撮像システムがインストールされているとする。ログパターンが、年間100件のサービスコール、すなわち、すべてのサービスコールの1%についてヒットすると仮定する。ログパターンの性能の評価を行うには、膨大な数のサービスコールを分析する必要がある。1000件のランダムサービスコール(すべてのサービスコールの10%)についてログイベントを分析しても、ログパターンがヒットするのは、平均10件のサービスコールだけになる。これは、一般に、適切な統計的分析を行うのに十分ではなく、このアプローチを実際には困難にするか、又は実現不可能にさえする。一方、10000件すべてのサービスコールの全ログイベントを処理すると、ログパターンがヒットする100件のサービスコールが生成される。これは統計的分析には十分である可能性が高いが、この膨大な量のログイベントデータを処理するのに必要なコンピューティングリソースは非常に大きく、やはり、このアプローチを実際には困難にするか、又は実現不可能にさえする。
本明細書に開示されるアプローチでは、履歴ログイベントデータの開示された前処理を実行することによって、これらの困難性が低減される。これは、過去の所定の時間フレームの中で(及び任意選択で、特定の他の指定された制約を用いて)1回行わればよく、それにより、開示された事前分析を受ける正規化ログイベントのセットが生成され、所定のパターンがヒットするサービスコールのスーパーセットが識別される。事前処理は所与のログパターンに固有ではない(ただし、いくつかの実施形態では、分析されるログパターンのタイプに関する既知の制約が、より効果的な正規化を可能にすることができ、これは正規化の範囲を選択する際の正規化されたログデータの再使用可能性の目標とバランスを取ることができる)。前処理のログパターン特異性のないので、診断設計者が、新しいログパターンを定義するプロセスにいる場合、ログパターンは、前処理によって一度生成された同じ正規化ログデータに対して調整され、再実行されることができ、その結果、前処理ステップは、繰り返される必要がない。これは、特定の診断タスクについてログパターンを最適化するためにログパターンを調整する診断設計者によって生成される可能性が高いタイプのログパターンのバリエーションの迅速な分析を容易にする。事前分析は、ログパターンに依存するが、縮小されたデータセット、すなわち、事前処理によって生成された正規化データに対して行われ、従って、すべての利用可能なログデータを分析するよりも効率的である。事前分析は、各ログパターンごとに、所与の時間フレーム内のすべてのコールのセットをフィルタリングして、ログパターンがヒットする可能性があるコールの比較的小さいスーパーセットを生成するフィルタリングステップと見なすことができる。
スーパーセットは、分析中のログパターンとのヒットが全く(又は少なくともごくわずかしか)破棄されないことを確実にするように、事前分析によって選択される。これは、分析中のログパターンに合致(マッチ)する正規化ログイベントのテストセットを識別することによって実行される。このマッチングは、ログイベントの正規化されたコンテントのマッチングが異なる方法で処理されることを除いて、(正規化されていない)ログイベントのログパターンに対する通常のマッチングと同様である。概念的には、ログイベントの正規化されたフィールドに対応するログパターン項目が、定義された正規化のための予め定義された正規化コンテントマッチングルールに従って処理される場合(これらは正規化されたログパターン項目と呼ばれる)、ログパターンは、正規化されていると見なされることがある。この状況では、正規化されたログイベントが正規化されたログパターンの個々の正規化されたログパターン項目と合致する場合、正規化されたログイベントは、分析中の正規化されたログパターンと合致すると言う。これは、(正規化されていないログイベントが正規化されていないログパターンにヒットするかどうかと比較して)いくつかのヒットをエラーにする可能性があるが、分析中のログパターンに実際にヒットしたログイベントが、正規化ログパターンとのマッチングによって誤って廃棄されることはない(又は少なくともごくわずかな異常なケースでのみ起こりうる)。従って、結果として得られるテストセットは、分析中のログパターンがヒットしたすべてのコール(又は少なくともほとんどすべてのコール)を含み、分析中のログパターンがヒットしなかった追加のコールも含むことができる(実際には通常は含む)という意味で、スーパーセットである。
図1を参照すると、本明細書で開示される効率的な自動性能分析を伴うログパターン編集装置10、12と、ログパターン編集装置を使用して生成されたログパターンを使用するコンピュータ診断支援装置14とを有する、医用撮像システム診断システムが概略的に示されている。ログパターン編集装置は、非一時記憶媒体(図示せず)に動作可能に接続され、本明細書に開示されるような前処理及び前分析を使用するログパターン分析方法を実行するための命令を読み取り実行するサーバコンピュータ10と、非一時記憶媒体に動作可能に接続され、ログパターン編集方法を実行するための命令を読み取り実行する診断設計コンピュータ12と、を備える。例示的なコンピュータ診断支援装置14は、非一時記憶媒体に動作可能に接続された、ログパターン編集装置10、12から配備されたログパターンを採用した診断支援方法を実行するための命令を読み取り実行するフィールドサービスエンジニアコンピュータ14として示されている。上記において、電子プロセッサ10、12、14の各々は、コンピュータ、サーバ、デスクトップコンピュータ、ノートブックコンピュータ、又は他のマイクロプロセッサベースの電子処理装置によって具現化されることができることが理解されるのであろう。典型的には、ログパターン分析方法は、これらの分析に含まれる大規模な計算のために、例示的なサーバ10などの高い計算容量を有する電子プロセッサによって実行される(本明細書で開示されるような前処理及び前分析によって達成される改善された計算効率であっても、依然として比較的大規模なままである)。本明細書で言及する非一時記憶媒体は、例えば、ハードディスクドライブ、RAIDアレイ、又は他の磁気記憶媒体、ソリッドステートドライブ(SSD)又は他の電子記憶媒体、光ディスク又は他の光記憶媒体、それらの様々な組合せなどとして様々に具体化されることができる。更に、開示された電子プロセッサはさまざまに組み合わせられることができ、及び/又はさまざまな非一時記憶媒体が、電子データネットワークなどによってさまざまに組み合わせられることができることが理解されよう。例えば、ログパターン編集装置10は、複数のサーバコンピュータのアドホックな組み合わせからなるクラウドコンピューティングリソースとして実現されてもよい。
更に、ログパターン編集方法を実行するコンピュータ又は他の電子プロセッサ12は、ユーザインタラクションが、ログパターン分析結果のログパターン編集及びレビューを実行することを可能にする適切なユーザインタフェイスハードウェアを有する。限定的ではない例として、ログパターン編集方法(サーバコンピュータ10が初期及び/又は編集されたログパターンを分析するために実行するログパターン分析方法を起動することを含む)を実行するようにプログラムされる例示的な診断設計コンピュータ12は、例示的なディスプレイ16(分析結果の表示を提供し、オプションでユーザ入力装置として機能するタッチ感知オーバーレイも含む)、キーボード18、マウス、トラックボール、説明用トラックパッド又は他のポインティングデバイス20などのユーザインタフェースハードウェアを有する。同様に、例示的なフィールドサービスエンジニアコンピュータ14は、例示的なディスプレイ22(分析結果の表示を提供し、任意選択で、ユーザ入力装置として機能するタッチ感知オーバーレイも含む)、キーボード24、マウス、トラックボール、例示的なトラックパッド、又は他のポインティングデバイス26などのユーザインタフェースハードウェアを有する。
ログパターン分析は、ログイベントを含み及びサービスコールを更に含む医用撮像装置ログデータに対して動作する。図1では、ログイベントはログイベントデータベース30に記憶され、サービスコールに関するデータは、サービスコールデータベース32に記憶される。これは、共通のデータ入力パラダイムを反映し、この場合、ログイベントは、医用撮像装置によって、自動的に生成され、ログイベントデータベース30にログ記録される一方、サービスコールデータは、サービスエンジニア又は他の担当者によって手動又は半手動で入力され、サービスコールデータベース32に記憶される。しかし、これは単に例示的なものであり、ログイベントとサービスコールデータの両方を記憶する統合データベースを使用することも企図される。非限定的な例として、医用撮像装置は、例えば、コンピュータトモグラフィ(CT)イメージングスキャナ、磁気共鳴イメージング(MRI)スキャナ、CアームX線又は他のイメージングコンポーネントを使用する画像誘導治療(iGT)デバイス、ポジトロンエミッショントモグラフィ(PET)スキャナ、シングルフォトンエミッションコンピュータトモグラフィ(SPECT)イメージングに使用されるようなガンマカメラ、ハイブリッドイメージングシステム(例えば、PET/CT)などとすることができる。
各サービスコールはコール時間を有し、コール時間は、典型的にはサービスコールが開かれることにつながった問題で顧客が電話をかけたときにログ記録された日付/時間として指定される。コール時間は、例えば、サービスコールセンターエージェントが手動でコール時間を入力した時間、又はカスタマーコールの受信のために自動的に生成されたタイムスタンプなどとして、様々に指定されることができる。各サービスコールは、当該サービスコールのコール時間のサービスコール時間フレーム内に発生するログイベントのサブセットに関連付けられる。サービスコールの時間フレームは、ログパターン分析の構成パラメータであり、サービスコールの時間フレームは、サービスコールにつながる根本的な問題の原因となった可能性があるか、又はその根本的な問題と相関した可能性があるすべてのログイベントをログイベントのサブセットが含む十分な長さに設定されることが望ましい。一方、サービスコールの時間フレームが長すぎると、サービスコールに関連付けられるログイベントのサブセットが非現実的に大きくなる可能性がある。サービスコール時間フレームの適切な値は、多くのファクタ、例えば、医用撮像システムが設置されている国又は地域、及び/又は顧客タイプ(例えば、より大きな医療施設は典型的には問題の社内修復を試みるのにより多くの時間を費やすが、より小さな医療施設はより迅速にベンダーに電話をかけることに頼ることができる)などに、依存しうる。
通常、サービスコール時間フレームは、サービスコールのコール時間より前(通常はそれまで)の時間に正確に及ぶようにされ、たとえば、コール時間が2月20日の正午で、サービスコールの時間フレームの長さが24時間である場合、サービスコールに関連付けられるログイベントのサブセットは、2月19日の正午から2月20日の正午までの間(後者は再びコール時間)にタイムスタンプ付けされたログイベントである。このアプローチでは、サービスコールが発信される時点(コール時間)までの根本原因が、コール時間までにタイムスタンプされたログから明らかである必要があると想定している。正確に前の時間の時間フレームを使用することは、ある種の問題の検出時に医用撮像装置をオフラインにすることがある(従って、もはやログイベントを生成しない)一般的な状況にも対応する。ただし、サービスコール時間フレームは、コール時間の後ろにある程度の長さを追加で延びることも企図される。たとえば、コール時間が、2月20日の正午で、サービスコール時間フレームの長さが24時間である場合、サービスコールに関連付けられたログイベントのサブセットには、2月19日午後2時から2月20日午後2時までの間にタイムスタンプ付けされたログイベント(この例ではコール時間の後ろ2時間を延長する)を含めることができる。
開示された前処理は、例えばサーバーコンピュータ10によって実現されるプリプロセッサ34によって図1に示されており、サーバコンピュータ10は、正規化規則に従ってログイベントのコンテントを除去又は置換することによって正規化ログイベントを生成し、各正規化ログイベントを、当該正規化ログイベントに合致する関連ログイベントを有する1又は複数のサービスコールにリンクすることを含む医用撮像装置ログデータの前処理を実行するようにプログラムされている。より一般的には、医用撮像装置ログデータの前処理は、ログイベントのコンテントを除去又は置換することにより正規化されたログイベントを生成すること、及び各正規化ログイベントを、当該正規化ログイベントと合致する関連ログイベントを有する1又は複数のサービスコールとリンクすることを含む。適切なアプローチでは、正規化されるコンテントは、ログエントリ間で変動性を有する医用撮像装置ログエントリのデータフィールド又は他の選択されたコンテントを置換する標準コンテントを含む。ある特定の実現例では、あるタイプの置換のための正規化コンテントは、空ストリングのようなヌルコンテントであってもよく、このような正規化は、ログイベントからコンテントを除去することを示す。
1つのアプローチでは、医用撮像装置ログイベントは、医用撮像装置ログイベントのコンテントを、構成データ36によって定義される正規化コンテントで置き換えることによって正規化される。例えば、構成データ36は、ログイベントのどのフィールドを正規化するかを定義する正規化規則と、これらのフィールドのコンテントを置き換える標準コンテントとを適切に含むことができる。正規化は、ログイベントから情報を置換又は除去することになるので、2以上の(又は実際には多くの)さまざまな異なる医用撮像装置ログイベントが、このようにして正規化され、同じ正規化された医用撮像装置ログイベントになりうる。特定の正規化された医療撮像装置ログイベントに正規化された全ての医用撮像装置ログイベントは、その特定の正規化された医用撮像装置ログイベントに「合致」すると言える。別の言い方をすれば、医用撮像装置ログイベントが、構成データ36によって定義されるような正規化コンテントでコンテントを置換することによって正規化されるときに、前記正規化された医用撮像装置ログイベントをもたらす場合、医用撮像装置ログイベントは、正規化された医用撮像装置ログイベントと合致すると言える。
ログパターン分析の目的は、分析中のログパターンが特定の根本原因(又はたとえば何らかの関連性をもつ根本原因のセット)を持つサービスコールをどの程度良好に識別するかを評価することである。従って、各々の正規化されたログイベントは、当該正規化されたログイベントと合致する関連するログイベントを持つ1又は複数のサービスコールとリンクされる。1つの処理アプローチでは、サービスコールに関連付けられたログイベント(つまり、サービスコールに関連付けられたサブセットの一部)は、それぞれのサービスコールにリンクされたまま正規化される。その後、同一の(重複する)正規化されたログイベントは、マージャにおいて、ログイベントが関与するすべてのサービスコールにリンクされた単一の正規化されたログイベントにマージされる。この「重複排除」プロセスは、結果として、正規化されたログイベントのセットが、当該正規化されたログイベントのセットが導出されたログイベントのセットよりも実質的に小さくなることが理解されるのであろう。更に、正規化されたログイベントに含まれる情報が少なくなるため、正規化ログイベントは、より効率的に処理されることができる。
図1に示されるように、プリプロセッサ34は、正規化されたログイベントを生成するための前処理を実行する際に、いかなるログパターンにも依存しない。しかし、構成36は、分析中のログパターンが依存するログイベントのデータの除去又は置換(すなわち、正規化)を制限するように選択され得ることが理解される。トレードオフを行うことができ、すなわち、正規化されるべきデータは、ログパターンに対して有意義な事前分析を提供するのに十分なデータを保持しながら、実質的な計算効率の改善を提供するのに十分であるように選択される。構成データ36は、所望の修正の柔軟性に依存して様々な方法で記憶されることができる。例えば、変更されることが予想されない構成データは、ログパターン分析方法を実現する実行可能命令にハードコーディングされることができる。めったに変更されないと予想される構成データは、特定の許可された人員(例えば、ログパターン分析システムを維持する責任を有するリード診断設計者)によってのみ編集可能なグローバル構成ファイルに記憶されることができる。ローカル構成ファイル又はタスク特有の構成ファイルは、例えば、分析中の特定のタイプのログパターン及び/又は分析に使用されている履歴ログデータの特定のセットなどのファクタに応じて、頻繁に更新されることが予想される構成データを記憶するために使用されることができる(例えば、予測される特定の配備状況に適した履歴ログデータが使用されることができる。例として、ログパターンが小児科で発生する可能性のある問題を診断するために開発されている場合、小児科から取得される履歴ログデータが使用されることができ、ログパターンが心臓病科で発生する可能性のある問題を診断するために開発されている場合、心臓病科から取得される履歴ログデータが使用されることができる、など)。プリプロセッサ34によって適用される正規化規則に対する任意の変更は、これらの正規化規則を使用した前処理が繰り返されることを必要とし、これは、計算的に比較的高価になることに留意されたい。開示される事前分析は、図1において、例えば、分析中のログパターン40に合致する正規化ログイベントのテストセットと、正規化ログイベントのテストセットにリンクされたサービスコールのテストセット42と、を識別することを含む事前分析を実行するようにプログラムされたサーバコンピュータ10によって実現される、事前アナライザ38によって概略的に示されていることに留意されたい。再び、ログパターン分析の目的は、分析中のログパターン40が特定の根本原因(又は例えば何らかの関連性をもつ根本原因のセット)を有するサービスコールをどれだけ良好に識別するかを評価することであり、事前アナライザ38の出力は、(ログパターン40に合致する正規化されたログイベントの中間テストセットではなく)サービスコール42のテストセットである。
より具体的には、目的は、分析中のログパターン40のヒットであるデータベース内のすべてのサービスコールのスーパーセットであるサービスコール42のテストセットを生成することである。言い換えると、サービスコール42のテストセットは、分析中のログパターン40に合致するログイベントのサブセットに関連するすべてのサービスコールを含むべきであるが、分析中のログパターン40に合致しない追加のサービスコールも含むことができる。これを達成するために、事前分析では、オーバーインクルーシブ(過剰包含)マッチングを使用して、分析中のログパターン40と合致する正規化されたログイベントのテストセットを特定し、ここで、正規化されたログイベント(つまり正規化されたコンテント)は、予め定義された正規化コンテントマッチングルールを使用して、対応する正規化されたログパターン項目とマッチングされる。
サービスコール42のテストセットは、メインログパターン分析器44への入力として機能する。通常、メインログパターンアナライザ44は、唯一のログパターン分析であり、イベントログデータベース30から、サービスコールデータベース32内のすべてのサービスコールに関連するすべてのログイベントを取り出す。つまり、メインアナライザ44は、通常、コールデータベース32に含まれる任意のサービスコールのサービスコール時間フレームにあるすべてのログイベントを処理する。これは、処理すべき膨大な量のデータであり、メイン分析を計算的に非効率にする。対照的に、図1のログパターン分析方法は、プリプロセッサ34及びプリアナライザ38を活用して、関連するコールの数を、サービスコール42のテストセットに低減し、テストセットのサービスコールの数は、データベース32内のサービスコールの総数と比較して大幅に低減されるが、プリアナライザ38によって実行される事前分析のオーバーインクルーシブネス(過剰包含性)のために、このサービスコール42のテストセットは、分析下のログパターン40がヒットをスコリングする(更に、分析下のログパターン40がヒットしない他のサービスコールを含む)すべてのサービスコールを含むことが確実にされる。従って、メインログパターンアナライザ44によって実行されるメインログパターン分析は、プリプロセッサ34及びプリアナライザ38によって実行されるサービスコールの「事前フィルタリング」によってはるかに効率的になり、分析下のログパターン40のサービスコールのセット46をより効率的に生成する。
メインログパターンアナライザ44は、ヒットするサービスコール46を識別するためにサービスコールのテストセット42を分析するようにプログラムされたサーバコンピュータ10によって適切に実現され、ここで、各ヒットするサービスコールは、サービスコール42のテストセットに属し、分析中のログパターン40がヒットするものである。なお、メインログパターンアナライザ44は、データベース30からの「オリジナルの」ログイベントデータに対して動作する。すなわち、メインログパターンアナライザ44は、正規化されたログイベントに対して動作しない。従って、正規化によって失われている情報がないので、ログパターン40がヒットするかどうかにあいまいさはない。従って、メインアナライザ44の効果は、サービスコールのオーバーインクルーシブなテストセット42を入力として受け取り、ログパターン40に実際にヒットしないサービスコールを除去して、ヒットするサービスコール46を出力することである。
ログパターン分析で使用される医用撮像装置ログデータは、履歴データですなわち、サービスコールは、サービスコールをトリガした問題の根本原因(又は根本原因)が特定された解決済みのサービスコールである。従って、データベース32内のサービスコールの根本原因は既知であり、サービスコールのデータとして記憶されている。従って、根本原因識別子48は、ヒットしたサービスコール46によって決定された1又は複数の根本原因を識別するようにプログラムされたサーバコンピュータ10によって適切に実現される。別の方法では、識別された根本原因が、ヒットしたサービスコール46についてサービスコールデータベース32に(例えば、サービスコールに応答し、医用撮像装置の問題を解決したフィールドサービスエンジニア又は他の専門家によって)入力された根本原因である。
図1を引き続き参照して、サーバコンピュータ10によって実現されるログパターン分析方法は、典型的な実現例において、診断設計コンピュータ12、すなわちユーザインタフェースを操作して、ログパターン編集器50を使用してログパターン40を入力する診断設計者によって起動され、すなわち、ユーザインタフェースは、それを通じて、分析中のログパターン40が編集され、また、ログパターン分析方法が起動されて、分析中の編集されたログパターン40のヒットしたサービスコール46を要約するログパターンヒットレポート52を提示することができる。例えば、ログパターンレポート52は、診断設計コンピュータ12のディスプレイ16上に表示されることができる。
ヒットサービスコール46の概要は、限定的ではない例示として、識別された1又は複数の根本原因48に関する情報、「生ログイベントデータ」の表示、すなわち、ログパターン40がヒットしたログイベント、などを含むことができる(任意には、文脈的な周辺ログデータを含む。例えば、ログパターンヒットがある一定の時間間隔にわたるログイベントのセット上にあった場合、表示されるコンテキストは、ヒットに寄与しなかったが、ヒットに寄与したログイベント間の時間にタイムスタンプされた追加のログイベントを含む。更に、ヒットに寄与した最初のログイベントの前の何らかのリードインタイムインターバル及び/又はヒットに寄与した最後のログイベント後の何らかのリードアウトタイムインターバルのコンテキストを任意に含む)。ヒットしたサービスコール46が、多数の異なる根本原因48を生み出していた場合、識別された根本原因48に関して提示される情報は、ヒットしたサービスコール46の中で最も頻繁に発生したトップN個の根本原因の短縮されたリストと、各根本原因を識別するヒットサービスコールの数のカウントと、を有することができる。表示される情報は、ヒットしたサービスコールのカウント(すなわち、分析中のログパターン40がヒットしたサービスコールの数)、ヒットしたサービスコールのカウントと医用撮像装置ログデータ内のサービスコールのカウントとの比、カウント及び比率の両方など、ヒットしたサービスコール46の何らかの定量化を更に含むことができる。上記は単に例示的なレポートコンテントであり、より一般的には、ログパターンレポート52が、ヒットしたサービスコール46が関係する医用撮像装置のタイプ、それらのデバイスが使用されていた撮像タスクのタイプなどの、追加の情報及び/又は他の情報を含むことができる。
診断設計コンピュータ12を操作する診断設計者のガイダンス下で、ログパターン編集及び分析処理を繰り返して、ログパターン編集ユーザインターフェース50を介して初期ログパターン40を入力し、その後、サーバコンピュータ10によって実現されるログパターン分析方法を呼び出して、ログパターンレポートを生成することができることが理解されよう。このレポートをレビューした後、診断設計者は、ログパターンが、例えば、1つ又はいくつかの根本原因との十分に強い相関関係、管理可能な総ヒット数、十分に低い偽陽性率(すなわち、ログパターンが診断を意図している根本原因を特定しないサービスコールのヒット)、及び/又はそのようなもので定量化されるような、最適化された(又は少なくとも許容できる)診断結果を生成していることに満足するまで、診断設計者は、ログパターン編集器50を介してログパターン40を更に編集し、ログパターン分析方法を呼び出し、更新された(すなわち、更に編集された)ログパターンについての更新されたログパターンレポートを生成する等を行うことができる。診断設計者のガイダンス下でこの反復プロセスを実行する際に、プリプロセッサ34によって生成された同じ正規化されたログデータを各反復において使用することができる(これは、前処理がログパターンに特有ではないからである)。従って、診断デザイナがログパターン編集ユーザインターフェース50を介してログパターン編集を開始する前に、計算集約的な前処理が実行されることができ、編集は迅速なプロセスである。より一般的には、前処理は特の時点で行うことができ、その時点で、すべての診断設計者は、インタラクティブな状況で多数のパターンを構成するためにログパターン分析ツールを使用し始めることができる。ある時点に、例えば1年後に、この前処理は、考慮されるコールのセットを更新するために、例えば、より最近のコールを含むように再実行されることができ、診断設計者は、この前処理が終了するとすぐに、更新されたデータの使用を開始することができる。
診断設計者がログパターンを満足する場合、ログパターン編集方法によって提示されたユーザインターフェース(例えば、ログパターン編集器ユーザインターフェース50)が、適切に「保存」ダイアログ等を提供することができ、これを介して、分析中の(最終の)編集されたログパターン40は、好ましくは、最終の編集されたログパターン40に対して実行された最終の分析においてヒットしたサービスコール46によって決定された1又は複数の根本原因で注釈が付けられた、配備されたログパターンデータベース54に、配備されたログパターンとして保存することができる。従って、配備されたログパターンは、注釈付けされた1つ又は複数の根本原因を診断するように設計される。実際には、ログパターン編集器50によって出力された最終的に最適化されたログパターンと、そのログパターンのフィールドへの実際の配備との間に、更なる検証層を介在させることができる。例えば、最終のログパターンは、リード診断設計者によってレビューされることができ、又は、他の場合には、何らかの承認プロセスに合格することを必要としてもよい。日常業務では、リモートサービスエンジニアが、例えば、追加のテストを実行することによって、問題のより詳細な評価においてログパターンの出力を考慮することができる。例えば、2以上のログパターンがヒットを与えることがあり、それゆえ決定的でない証拠を提供し、その後、追加のテストを実行することによって解決される。
図1を引き続き参照すると、データベース54に記憶された配備されたログパターンは、現場で実行される現在のサービスコール中に適用される。コンピュータ診断支援装置14(例示的なフィールドサービスエンジニアコンピュータ14)は、非一時記憶媒体(図示せず)と動作可能に接続され、以下のステップを含む診断支援方法(例えば、コンピュータ14上で実行される例示的なフィールドベースの診断支援アプリケーションプログラム56として実現される)を実行するための命令を読み取り、実行する:配備されたログパターンを、サービス中の医用撮像装置によって生成された医療撮像装置ログデータに適用するステップ、及び、配備されたログパターンが、サービス中の医療撮像装置によって生成された医療撮像装置ログデータ内で少なくとも1つの合致を有することを条件として、データベース54内の配備されたログパターンに注釈付けされた1つ又は複数の根本原因を提示するようにフィールドサービスエンジニアコンピュータ14のディスプレイ22を制御するステップ。アプリケーションプログラム56は、ログパターンマッチングに寄与したログイベントを表示するなど、更なる情報も提示することができる(ここでも、任意に、マッチングを構成するログイベントの間に、又はかかるログイベントにつながる、又はかかるイベントから導かれたタイムスタンプされた周囲ログイベントを含む文脈で表示される)。
図2を参照して、図1のログパターン分析装置10によって適切に実行される例示的なログ分析方法を説明する。この方法は、イベントログデータベース30に記憶されたログイベントデータと、サービスコールデータベース32に記憶されたサービスコールに対して動作する。前処理64は、正規化されたログイベントデータ66を生成するために、構成データ36に従って、図1のプリプロセッサ34によって実行される。分析中のログパターン40の事前分析68は、サービスコールのテストセット42を生成するために、図1の事前分析器38によって実行される。メイン分析74は、図1のメインアナライザ44によって実行され、分析結果76、例えば、ヒットしたサービスコール46及びヒットしたサービスコール46内で識別された根本原因48、及び、任意に、分析中のログパターン40に合致するログイベントのような追加の結果情報を、任意にはコンテキストの周囲ログイベントと共に生成する。
所要の構成に基づいて、前処理64は、正規化されたログイベントデータ66のリストを生成し、各々の正規化されたログイベントl^について、関連するログイベントlが1^に正規化されるサービスコールの識別子のリストを生成する。正規化されたログイベントデータ66は、分析中のログパターン40が与えられた場合、サービスコール42のテストセットを決定する前処理68において処理される。これらは次に、サービスコール42のテストセットのサービスコールごとに、サービスコールのコール時間のサービスコール時間フレーム内に発生したログイベントのサブセットを取り出し、このデータに基づいて与えられたログパターン40を分析して、ログパターン40がこのサービスコールのヒットを有するか否かを計算するメイン分析74によって使用される。これらは、メイン分析の結果76の基礎を形成する。正規化ステップ(すなわち、前処理64)は、ログイベントの属性又はフィールド、例えば、説明及び追加情報のようなテキスト部分において、日付、時間、整数、IPアドレス、温度値などを定数文字列によって置き換えるために、構成データ36の正規化規則を採用し、従って、潜在的に多くの異なるログイベントを1つの正規化されたログイベントに効果的にマッピングする。たとえば、10進数の整数は文字列<xxx>に置き換えられる。正規化されたコンテントが単純に削除される(又は、同等に、空の文字列<>で置き換えられる)ことが企図される。サービスコール42のテストセットは、典型的には所与の構成に対するコールの総数よりも大幅に小さい。この結果、計算及びデータ転送が大幅に節約される。例えば、1台のマシンから1週間分の関連ログイベントデータ(又はそれ以上)を持つ10000件のサービスコールを検索し、平均90000件のログイベントを分析用に生成する代わりに、前処理64と事前分析68を使用して、約150件のコールに対してのみこれを実行するだけで十分でありうる。
以下では、いくつかの追加の態様及び/又は実施形態及び/又は例が図2の例示的なログパターン分析方法を参照して説明される。1つの例示的な例では、構成36が、典型的には過去1年又は複数年の時間フレーム(たとえば、数ヶ月又は数週間程度のより短い時間フレームも代替的に企図される)、前処理64が行われることになるシステムを識別するシステムコード及びリリースのセット、並びにサービスコールのコール時間から1日又は1週間時間的に後方に延びるサービスコール時間フレーム(再び、より長い又はより短いサービスコール時間フレームが企図される。更に、サービスコール時間フレームは、サービスコールのコール時間を過ぎて部分的に前方へ時間的に延在することができる)の定義を含む。所与の構成36では、前処理64は、識別されたシステムの1つを含む所与の時間フレームのサービスコールごとに、このシステムによってサービスコール時間フレーム中に生成されたすべてのログイベントのリストを作成する。これらのログイベントは正規化される。このデータを使用して、正規化されたログイベント66のリストが生成され、正規化されたログイベントl^ごとに、ログイベントlがl^に正規化されるサービスコールのすべての識別子のリストが生成される。この前処理64は、所与の構成36に対して1回だけ行われればよく、その後、この前処理64の結果66は、多くのログパターンに関して繰り返し使用されることができる。
図2を引き続き参照し、図3を更に参照しながら、一例では、ログパターン40が、ログパターン項目80、及び時間スパンからなる論理式を含む。例えば、論理式は、高々長さの時間スパン内のA∧B∧¬(C∨D)であり、ここで、A,B,C,Dはログパターン項目であり、∧は論理積、∨は論理和、¬は論理否定、tは時間量を示す。各ログパターン項目80は、単一のログイベント上の条件82の組み合わせから成り、これらの条件をそれぞれ満たすログイベント84のセットを識別する。これを図3に視覚的に示す。これらの条件82は、ログパターン40が構成される様々な属性に適用される。例としては、イベントid、イベントカテゴリ、システムモード、説明、追加情報などがある。これらの条件は正確な値、例えば、event id = 0630000001やsystem mode = normal operation、description = Generator exception occurredのようになるが、正規表現の観点から、additional infoには正規表現POST(Clea|Poly-G2)LUC1Passedが含まれる。事前分析68(図2を参照)は、この例の条件のdescriptionと追加情報部分additional infoの値を正規化する。対照的に、この例示的な例では、event id及びイベントカテゴリは正規化されていない。正規化されたログパターン項目ごとに、正規化されたログイベントデータを使用して、正規化されたログパターン項目を満たす正規化されたログイベントが識別される。これらの正規化されたログイベントのそれぞれに関連付けられたコール識別子を組み合わせることで、ログパターン項目が発生するコール識別子のセットが取得される。前処理64は、正規化可能なログパターンに適用されることができる。ログイベントlの正規化されたバージョンは、l^によって表すものとする。ログパターンの正規化可能性は、連言標準形(CNF)の否定に関与しないログパターン項目の各々が正規化可能であることを意味する。ログパターン項の正規化可能性とは、ログパターン項がログイベントのセットSを識別し、このログパターン項の正規化バージョンが正規化されたログイベントのセットS'を識別した場合、すべての正規化されたログイベントのセットl∈Sが保持され、l^∈S^が得られる。言い換えると、正規化バージョンがそのヒットのスーパーセットを識別するたびに、ログパターンが正規化可能になる。
一般に、ログパターンは正規化可能である。ログパターン項目の条件description = abc15を考える。description = abc15を持つすべてのログイベントが識別される。1つの正規化アプローチでは、条件の正規化によってdescription = abc<xxx>に変更される。この正規化条件は、ログイベント内の元のdescriptionの正規化バージョンであるdescription = abc<xxx>を持つすべての正規化されたログイベントを識別する。また、ほとんどの正規表現についても、このプロパティーが保持される。例えば、正規表現(05AH|06AW)は、(<xxx>AH|<xxx>AW)に正規化でき、それにより、05AHを含むオリジナルのログイベントは、一度正規化されると、<xxx>AHを含むようになる。当然のことながら、02AHを含むオリジナルのログイベントも<xxx>AHを含み、正規化された条件に合致するため、正規化はより多くのヒットを生成することができる。また、正規化できない正規表現のインスタンスがいくつかある。例えば、A{5}であり、これは、行内の5つのAを意味する。厳密な正規化の手順によっては、正規化によってこれが有効な正規表現ではないA{<xxx>}に変更され、正規化されたログイベントで合致が生成されない場合がある。これは検出されることができるので、例外を出されることができ、評価が停止する。ここで、2つのことがこも例において計算される。第1に、ログパターン内の正規化されたログパターン項目のそれぞれに関連付けられたコールのセットを使用することによって、ログパターンの論理式を、例えば、Dijkstraのシャントアルゴリズムを使用して評価して、それを逆ポーランド表記に変換し、この表記のスタックベースの評価を逆ポーランド表記で実行することができる。しかし、この評価を行う一方で、各否定演算子は真に評価され、すなわちすべてのコールが考慮されるように評価される。時間スパンは考慮されない。このようにして、元のログパターンが少なくとも1つのヒットを有するすべてのサービスコールのスーパーセットが得られることが示されることができる。メイン分析74に時間スパンを含めることは、ウィンドウベースのアルゴリズムを用いて適切に行われる。
理解されるように、開示された前処理及び事前分析は、例えば、ネットワークを介したデータの転送と同様に、計算労力の節約を提供する。更に、前処理や事前分析を行うことで、より高品質なログパターンの生成が容易になり、特に総所有コストの削減や計画外のダウンタイムの削減など、医療システムのメンテナンスに良い影響を与えることが期待される。
本発明は、好ましい実施形態を参照して説明されてきた。前述の詳細な説明を読み理解することにより、修正及び変更が、当業者に思いつく可能性がある。例示的な実施形態は、それら修正及び変更が添付の特許請求の範囲又はその等価物の範囲内に入る限りにおいて、そのようなすべての修正及び変更を含むものと解釈されることが意図される。

Claims (20)

  1. 少なくとも1つのサービスコール時間フレームと、コンテンツを除去又は置換するための正規化規則とを含む構成データと、
    ログイベントと、コール時間をそれぞれ有するサービスコールとを含む医用撮像装置ログデータに対して動作するログパターン分析方法を実行するための、電子プロセッサによって読み取り可能及び実行可能な命令であって、各サービスコールは、当該サービスコールのコール時間の前記サービスコール時間フレーム内に発生するログイベントのサブセットに関連付けられる、命令と
    を記憶する、非一時的な記憶媒体であって、前記ログパターン分析方法は、
    前記医用撮像装置ログデータの前処理を実行するステップであって、前記正規化規則に従って前記ログイベントのコンテンツを除去又は置換することによって、正規化されたログイベントを生成するステップ、及び各々の前記正規化されたログイベントを、当該正規化されたログイベントと合致する関連ログイベントを有する1つ又は複数のサービスコールとリンクするステップを含む、ステップと、
    事前分析を実行するステップであって、分析中のログパターンに合致する前記正規化されたログイベントのテストセットと、前記正規化されたログイベントのテストセットにリンクされるサービスコールのテストセットとを識別するステップを含む、ステップと、
    前記サービスコールのテストセットを分析して、ヒットするサービスコールを識別するステップであって、各々のヒットされたサービスコールは、前記サービスコールのテストセットに属し、前記分析中のログパターンは、各々のヒットされたサービスコールに対して一つのヒットを有する、ステップと、
    前記ヒットされたサービスコールを要約するログパターンレポートを表示するようにディスプレイを制御するステップと
    を有する、非一時的な記憶媒体。
  2. 前記事前分析を実行する前記ステップは、オーバーインクルーシブマッチングを使用して、前記分析中のログパターンと合致する正規化されたログイベントのテストセットを識別することを含み、前記正規化されたログイベントの削除又は置換されるコンテンツは、予め定義された正規化されたコンテンツマッチングルールを使用して、対応する正規化されたログパターン項目にマッチングされる、請求項1に記載の非一時的な記憶媒体。
  3. 前記分析中のログパターンは、分析中の第1のログパターン及び分析中の第2のログパターンを含み、前記前処理は、正規化されたログイベントを生成するために1回実行され、前記事前分析及び分析は、分析中の第1のログパターンについては1回目に実行され、分析中の第2のログパターンについては2回目に実行される、請求項1又は2に記載の非一時的な記憶媒体。
  4. 前記ログパターン分析方法の分析は、ヒットするサービスコールによって識別される1つ又は複数の根本原因を識別することを含み、ヒットするサービスコールを要約する前記ログパターンレポートは、識別された1つ又は複数の根本原因に関する情報を含む、請求項1乃至3のいずれか1項に記載の非一時的な記憶媒体。
  5. 前記構成データの少なくとも一部が、前記ログパターン分析方法を実行するために読み取り可能かつ実行可能な命令にハードコーディングされる、請求項1乃至4のいずれか1項に記載の非一時的な記憶媒体。
  6. 前記非一時的な記憶媒体が更に、前記電子プロセッサによって読み取り可能かつ実行可能な、ログパターン編集方法を実行するための命令を記憶し、前記ログパターン編集方法は、
    ユーザインタフェースを提示するステップであって、該ユーザインタフェースを通じて、前記分析中のログパターンが編集されることができ、該ユーザインタフェースを通じて、前記ログパターン分析方法が呼び出されて、分析中の前記編集されたログパターンに対するヒットするサービスコールをまとめたログパターンレポートを提示する、ステップ、
    を有する、請求項1乃至5のいずれか1項に記載の非一時的な記憶媒体。
  7. 前記ログパターン編集方法によって提示される前記ユーザインタフェースを通じて、分析中の前記編集されたログパターンが、前記ヒットするサービスコールによって決定された1つ又は複数の根本原因で注釈付けされた配備されたログパターンとして記憶されることができる、請求項6に記載の非一時的な記憶媒体。
  8. 電子プロセッサによって読み取り可能かつ実行可能な、診断支援方法を実行するための命令を更に記憶し、前記診断支援方法が、
    配備されたログパターンを、サービス中の医用撮像装置によって生成された医用撮像装置ログデータに適用するステップと、
    前記配備されたログパターンが、サービス中の医用撮像装置によって生成された医用撮像装置ログデータ内で少なくとも1つの合致を有することを条件として、前記配備されたログパターンに注釈付けされた1つ又は複数の根本原因を提示するようディスプレイを制御するステップと、
    を有する、請求項7に記載の非一時的な記憶媒体。
  9. 医用撮像装置診断システムであって、
    請求項8に記載の非一時的な記憶媒体と、
    前記非一時的な記憶媒体に動作可能に接続され、前記ログパターン分析方法を実行するための命令を読み取り実行するサーバコンピュータと、
    前記非一時的な記憶媒体に動作可能に接続され、前記ログパターン編集方法を実行するための命令を読み取って実行する診断設計コンピュータと、
    前記非一時的な憶媒体に動作可能に接続され、前記診断支援方法を実行するための命令を読み取って実行するフィールドサービスエンジニアコンピュータと、
    を有する、医用撮像撮像装置診断システム。
  10. 請求項6乃至7のいずれか1項に記載の非一時的な記憶媒体と、
    前記非一時的な記憶媒体に動作可能に接続され、前記ログパターン分析方法を実行するための命令を読み取り実行するサーバコンピュータと、
    前記非一時的な記憶媒体に動作可能に接続され、前記ログパターン編集方法を実行するための命令を読み取り実行する診断設計コンピュータと、
    を有する、医用撮像装置の診断設計システム。
  11. ログパターン分析装置であって、
    電子プロセッサと、
    ログイベントと、コール時間を有するサービスコールとを含む医用撮像装置ログデータに対して動作するログパターン分析方法を実行するための、電子プロセッサによって読み取り及び実行可能な命令を記憶する非一時的な記憶媒体であって、各サービスコールは、当該サービスコールのコール時間のサービスコール時間フレーム内に発生するログイベントのサブセットに関連付けられる、非一時的な記憶媒体と、
    を有し、前記ログパターン分析方法は、
    前記医用撮像装置ログデータの前処理を実行するステップであって、前記ログイベントのコンテンツを除去又は置換することによって正規化されたログイベントを生成するステップ、及び各々の正規化されたログイベントを、当該正規化されたログイベントと合致する関連するログイベントを有する1つ又は複数のサービスコールとリンクするステップ、を含む、ステップと、
    事前分析を実行するステップであって、分析中のログパターンと合致する前記正規化されたログイベントのテストセットと、前記正規化されたログイベントのテストセットとリンクされたサービスコールのテストセットとを識別するステップを含む、ステップと、
    前記サービスコールのテストセットを分析して、ヒットされたサービスコールを識別するステップであって、各々のヒットされたサービスコールは、前記サービスコールのテストセットに属し、前記分析中のログパターンは、各々のヒットされたサービスコールに対して一つのヒットを有する、ステップと
    を有する、ログパターン分析装置。
  12. 前記事前分析を実行するステップは、前記正規化されたログイベントの除去又は置換されたコンテンツがあらかじめ規定された正規化されたコンテンツマッチングルールを使用して、対応する正規化されたログパターン項目にマッチングされる、オーバーインクルーシブマッチングを使用して、前記分析中のログパターンに合致する前記正規化されたログイベントのテストセットを識別することを含む、請求項11に記載のログパターン分析装置。
  13. 前記分析中のログパターンは、分析中の第1のログパターン及び分析中の第2のログパターンを含み、前記前処理は、前記正規化されたログイベントを生成するために1回実行され、前記事前分析及び前記分析は、分析中の第1のログパターンについては1回目に実行され、分析中の第2のログパターンについては2回目に実行される、請求項11又は12に記載のログパターン分析装置。
  14. 請求項11乃至13のいずれか1項に記載のログパターン分析装置と、
    ユーザインタフェース、及び前記ヒットするサービスコールの定量化及び前記ヒットするサービスコールによって識別される1つ又は複数の根本原因のうちの少なくとも1つを含むログパターンレポート、を提示するようにプログラムされた診断設計コンピュータと、
    を有し、前記ユーザインタフェースを通じて、前記分析中のログパターンが編集されることができ、前記ユーザインタフェースを通じて、前記ログパターン分析装置が起動されることができる、ログパターン編集装置。
  15. 前記ログパターンレポートは、前記ヒットするサービスコールのカウントと、前記ヒットするサービスコールのカウントと前記医用撮像装置ログデータ内のサービスコールのカウントとの比と、のうちの少なくとも1つを含む、前記ヒットするサービスコールの定量化を含む、請求項14に記載のログパターン編集装置。
  16. 医用撮像装置の診断設計システムであって、
    請求項11乃至13のいずれか1項に記載のログパターン分析装置と、
    ユーザインタフェースと、ヒットサービスコールの定量化及びヒットサービスコールによって識別される1つ又は複数の根本原因の少なくとも1つを含むログパターンレポートと、を提示するようにプログラムされた診断設計コンピュータであって、前記ユーザインタフェースを通じて、前記分析中のログパターンが編集されることができ、前記ユーザインタフェースを通じて、前記ログパターン分析装置が起動されことができる、診断設計コンピュータと、
    適用されたログパターンが前記医用撮像装置ログデータ内に少なくとも1つの合致を有することを条件として、前記診断設計コンピュータによって編集されたログパターンを、サービス下の医用撮像装置によって生成される医用撮像装置ログデータに適用するようにプログラムされたフィールドサービスエンジニアコンピュータと、
    適用されたログパターンに関連する1つ又は複数の根本原因は前記フィールドサービスエンジニアコンピュータのディスプレイ上に表示される、診断設計システム。
  17. ログイベントと、コール時間をそれぞれ有するサービスコールと、を含む医用撮像装置ログデータに対して動作するログパターン分析方法であって、各サービスコールは、当該サービスコールのコール時間のサービスコール時間フレーム内に発生するログイベントのサブセットに関連付けられ、前記ログパターン分析方法は、
    正規化されたログイベントを生成するために、前記医用撮像装置ログデータのログイベントのコンテンツを除去又は置換し、各々の前記正規化されたログイベントを、当該正規化されたログイベントに合致する関連するログイベントを有する1つ又は複数のサービスコールにリンクするステップと、
    分析中のログパターンに合致する前記正規化されたログイベントのテストセットと、前記正規化されたログイベントのテストセットとリンクされたサービスコールのテストセットとを識別するステップと、
    前記サービスコールのテストセットを分析して、ヒットするサービスコールを識別するステップであって、各々のヒットされたサービスコールは、前記サービスコールのテストセットに属し、前記分析中のログパターンは、各々のヒットされたサービスコールに対して一つのヒットを有する、ステップと
    を有し、
    前記ログパターン分析方法は、電子プロセッサよって実行される、ログパターン分析方法。
  18. 前記分析中のログパターンに合致する正規化ログイベントのテストセットの前記識別は、予め規定された正規化コンテンツマッチングルールを使用して、正規化ログイベントの除去されたコンテンツ又は置換されたコンテンツを、対応する正規化ログパターン項目にマッチングすることを含む、請求項17に記載のログパターン分析方法。
  19. ヒットサービスコールによって決定される1つ又は複数の根本原因を識別するステップと、
    前記識別された1つ又は複数の根本原因を提示するようディスプレイを動作させるステップと、
    を更に有する、請求項17又は18に記載のログパターン分析方法。
  20. ヒットしたサービスコールのカウント及びヒットしたサービスコールのカウントと医用撮像装置ログデータ内のサービスコールのカウントの比率のうちの少なくとも1つを計算するステップと、
    計算されたカウント又は比率を提示するようディスプレイを操作するステップと、
    を有する、請求項17乃至19のいずれか1項に記載のログパターン分析方法。
JP2020570955A 2018-06-20 2019-06-13 ログパターンの分析方法 Active JP7293260B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862687369P 2018-06-20 2018-06-20
US62/687,369 2018-06-20
PCT/EP2019/065421 WO2019243145A1 (en) 2018-06-20 2019-06-13 Method to analyze log patterns

Publications (2)

Publication Number Publication Date
JP2021528760A JP2021528760A (ja) 2021-10-21
JP7293260B2 true JP7293260B2 (ja) 2023-06-19

Family

ID=66912827

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020570955A Active JP7293260B2 (ja) 2018-06-20 2019-06-13 ログパターンの分析方法

Country Status (5)

Country Link
US (1) US11823794B2 (ja)
EP (1) EP3811594B1 (ja)
JP (1) JP7293260B2 (ja)
CN (1) CN112368994A (ja)
WO (1) WO2019243145A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113396395A (zh) 2018-12-20 2021-09-14 皇家飞利浦有限公司 有效评估日志模式的方法
US20230316109A1 (en) * 2020-08-11 2023-10-05 Koninklijke Philips N.V. Automatic construction of fault-finding trees
US20230336409A1 (en) * 2020-09-14 2023-10-19 Nippon Telegraph And Telephone Corporation Combination rules creation device, method and program
US11392444B1 (en) * 2021-03-09 2022-07-19 Dell Products L.P. Method and apparatus for analysis of runtime behavior
CN115662607B (zh) * 2022-12-13 2023-04-07 四川大学 一种基于大数据分析的互联网线上问诊推荐方法及服务器

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080059120A1 (en) 2006-08-30 2008-03-06 Fei Xiao Using fault history to predict replacement parts
JP2016192064A (ja) 2015-03-31 2016-11-10 三菱電機株式会社 費用予測装置およびプログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040199828A1 (en) * 2003-04-01 2004-10-07 International Business Machines Corporation Method and apparatus for tracing troubleshooting events for aiding technical assistance
US7895167B2 (en) 2005-02-16 2011-02-22 Xpolog Ltd. System and method for analysis and management of logs and events
CN101888309B (zh) * 2010-06-30 2012-07-04 中国科学院计算技术研究所 在线日志分析方法
US9294946B2 (en) * 2010-08-27 2016-03-22 Qualcomm Incorporated Adaptive automatic detail diagnostic log collection in a wireless communication system
US9460169B2 (en) 2011-01-12 2016-10-04 International Business Machines Corporation Multi-tenant audit awareness in support of cloud environments
US9405755B1 (en) 2013-10-03 2016-08-02 Initial State Technologies, Inc. Apparatus and method for processing log file data
US9607059B2 (en) 2014-01-31 2017-03-28 Sap Se Intelligent data mining and processing of machine generated logs
JP2016024786A (ja) 2014-07-24 2016-02-08 富士通フロンテック株式会社 ログ解析装置
US9734005B2 (en) 2014-10-31 2017-08-15 International Business Machines Corporation Log analytics for problem diagnosis
WO2016132717A1 (ja) * 2015-02-17 2016-08-25 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
US9665420B2 (en) 2015-07-31 2017-05-30 Ca, Inc. Causal engine and correlation engine based log analyzer
US10474519B2 (en) * 2015-09-17 2019-11-12 Netapp, Inc. Server fault analysis system using event logs
US10038710B2 (en) 2015-12-22 2018-07-31 Sap Se Efficient identification of log events in enterprise threat detection
US10289509B2 (en) 2016-04-06 2019-05-14 Nec Corporation System failure prediction using long short-term memory neural networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080059120A1 (en) 2006-08-30 2008-03-06 Fei Xiao Using fault history to predict replacement parts
JP2016192064A (ja) 2015-03-31 2016-11-10 三菱電機株式会社 費用予測装置およびプログラム

Also Published As

Publication number Publication date
EP3811594B1 (en) 2022-08-10
JP2021528760A (ja) 2021-10-21
US11823794B2 (en) 2023-11-21
CN112368994A (zh) 2021-02-12
US20210225500A1 (en) 2021-07-22
WO2019243145A1 (en) 2019-12-26
EP3811594A1 (en) 2021-04-28

Similar Documents

Publication Publication Date Title
JP7293260B2 (ja) ログパターンの分析方法
US11921571B2 (en) Method to efficiently evaluate a log pattern
US11829365B2 (en) Systems and methods for data quality monitoring
JP2019502191A (ja) サービス呼び出し情報処理の方法及びデバイス
Zhou et al. Examining the potentially confounding effect of class size on the associations between object-oriented metrics and change-proneness
JP5306360B2 (ja) データ記録を一致させるシステムの分析のための方法およびシステム
US7673291B2 (en) Automatic database diagnostic monitor architecture
US20090055684A1 (en) Method and apparatus for efficient problem resolution via incrementally constructed causality model based on history data
EP3418910A1 (en) Big data-based method and device for calculating relationship between development objects
US8306945B2 (en) Associating database log records into logical groups
CN107077413A (zh) 数据驱动的测试框架
JP6316844B2 (ja) 予測モデル生成のためのユーザーインタフェース
CN107766353B (zh) 一种数据库统计信息迁移的方法和设备
EP2415209A1 (en) Network analysis system
US8543552B2 (en) Detecting statistical variation from unclassified process log
Lo et al. Efficient mining of recurrent rules from a sequence database
CN112907377A (zh) 业务流程监控方法、装置、设备及介质
US9348721B2 (en) Diagnosing entities associated with software components
CN111383123A (zh) 临床医疗开销的统计方法、装置、存储介质及电子设备
EP3032424A1 (en) Registering an event
Ouyang et al. Explainable ai enabled inspection of business process prediction models
CN108572915A (zh) 一种代码缺陷检测方法及系统
Murdoch Development of a method for software maintenance using event logs
Unnikrishnan et al. Discovering specific cascades in critical care transfer networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220425

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220726

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230307

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230607

R150 Certificate of patent or registration of utility model

Ref document number: 7293260

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150