JP7298229B2 - ログ分析装置、ログ分析方法及びコンピュータプログラム - Google Patents
ログ分析装置、ログ分析方法及びコンピュータプログラム Download PDFInfo
- Publication number
- JP7298229B2 JP7298229B2 JP2019054268A JP2019054268A JP7298229B2 JP 7298229 B2 JP7298229 B2 JP 7298229B2 JP 2019054268 A JP2019054268 A JP 2019054268A JP 2019054268 A JP2019054268 A JP 2019054268A JP 7298229 B2 JP7298229 B2 JP 7298229B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- fingerprint
- analysis
- unknown
- target system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、ログデータを用いた分析を実行するログ分析装置、ログ分析方法及びコンピュータプログラムの技術分野に関する。
この種の装置として、システムから出力されたログを利用することで、システムに発生した既知又は未知の障害を分析するものが知られている。例えば特許文献1では、複数のパターンを比較することで決定された基準パターンを用いて、システムの正常性の確認や障害の発生状況を分析する技術が開示されている。
その他、システムが出力するログを利用する技術として、例えば下記のようなものが知られている。特許文献2では、ログを一定時の時間フレームで区切り、ログメッセージの種類数及び時間フレーム数の形で行列表現する技術が開示されている。特許文献3では、ログ情報に紐付けされているテンプレート情報を読み出して、ログ情報を示すグラフを生成する技術が開示されている。特許文献4では、ログデータから二次元のロググラフを生成する技術が開示されている。
ログ分析では、過去の出力パターンから、システム障害の検知や解析等が行われるが、システムの複雑化・大規模化により、詳細な分析を行うことが難しくなっている。例えば、上述した特許文献1から4に記載の技術では、既知障害に関する分析を行う場合に、過去の類似障害の発生時刻を分析・予測することができないという技術的問題点が生ずる。また、未知障害に関する分析を行う場合、障害のトリガとなった機器の特定や、その波及プロセス等を分析することが難しいという技術的問題点もある。
本発明は、上記問題点に鑑みてなされたものであり、システムから出力されるログを利用して、既知障害又は未知障害を好適に分析することが可能なログ分析装置、ログ分析方法及びコンピュータプログラムを提供することを課題とする。
本発明のログ分析装置の一の態様は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成手段と、前記生成手段で生成された前記ログ指紋を順次格納する格納手段と、前記格納手段に格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析手段とを備える。
本発明のログ分析方法の一の態様は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程とを含む。
本発明のコンピュータプログラムの一の態様は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程とをコンピュータに実行させる。
上述したログ分析装置、ログ分析方法及びコンピュータプログラムのそれぞれの一の態様によれば、システムから出力されるログを利用して、既知障害又は未知障害を好適に分析することが可能である。
以下、図面を参照しながら、ログ分析装置、ログ分析方法及びコンピュータプログラムの実施形態について説明する。
<ハードウェア構成>
はじめに、図1を参照しながら、実施形態に係るログ分析装置のハードウェア構成について説明する。図1は、実施形態に係るログ分析装置のハードウェア構成を示すブロック図である。
はじめに、図1を参照しながら、実施形態に係るログ分析装置のハードウェア構成について説明する。図1は、実施形態に係るログ分析装置のハードウェア構成を示すブロック図である。
図1に示すように、本実施形態に係るログ分析装置1は、CPU(Central Processing Unit)11と、RAM(Random Access Memory)12と、ROM(Read Only Memory)13と、記憶装置14と、入力装置15と、出力装置16とを備えている。CPU11と、RAM12と、ROM13と、記憶装置14と、入力装置15と、出力装置16とは、データバス17を介して接続されている。
CPU11は、コンピュータプログラムを読み込む。例えば、CPU11は、RAM12、ROM13及び記憶装置14のうちの少なくとも一つが記憶しているコンピュータプログラムを読み込んでもよい。例えば、CPU11は、コンピュータで読み取り可能な記録媒体が記憶しているコンピュータプログラムを、図示しない記録媒体読み取り装置を用いて読み込んでもよい。CPU11は、ネットワークインタフェースを介して、ログ分析装置1の外部に配置される不図示の装置からコンピュータプログラムを取得してもよい(つまり、読み込んでもよい)。CPU11は、読み込んだコンピュータプログラムを実行することで、RAM12、記憶装置14、入力装置15及び出力装置16を制御する。本実施形態では特に、CPU11が読み込んだコンピュータプログラムを実行すると、CPU11内には、ログ分析を行うための機能ブロックが実現される。つまり、CPU11は、ログ分析を実行するためのコントローラとして機能可能である。
RAM12は、CPU11が実行するコンピュータプログラムを一時的に記憶する。RAM12は、CPU11がコンピュータプログラムを実行している際にCPU11が一時的に使用するデータを一時的に記憶する。RAM12は、例えば、D-RAM(Dynamic RAM)であってもよい。
ROM13は、CPU11が実行するコンピュータプログラムを記憶する。ROM13は、その他に固定的なデータを記憶していてもよい。ROM13は、例えば、P-ROM(Programmable ROM)であってもよい。
記憶装置14は、ログ分析装置1が長期的に保存するデータを記憶する。記憶装置14は、CPU11の一時記憶装置として動作してもよい。記憶装置14は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)及びディスクアレイ装置のうちの少なくとも一つを含んでいてもよい。
入力装置15は、ログ分析装置1のユーザからの入力指示を受け取る装置である。入力装置15は、例えば、キーボード、マウス及びタッチパネルのうちの少なくとも一つを含んでいてもよい。
出力装置16は、ログ分析装置1に関する情報を外部に対して出力する装置である。例えば、出力装置16は、ログ分析装置1に関する情報を表示可能な表示装置であってもよい。
<具体的な装置構成>
続いて、図2及び図3を参照しながら、ログ分析装置1の具体的な構成について説明する。図2は、実施形態に係るログ分析装置が備える機能ブロックを示すブロック図である。図3は、実施形態に係るログ分析装置1の具体的な構成を示すブロック図である。
続いて、図2及び図3を参照しながら、ログ分析装置1の具体的な構成について説明する。図2は、実施形態に係るログ分析装置が備える機能ブロックを示すブロック図である。図3は、実施形態に係るログ分析装置1の具体的な構成を示すブロック図である。
図2に示すように、本実施形態に係るログ分析装置1は、ログ指紋生成部100と、ログ指紋格納部200と、ログ分析部300とを備えて構成されている。
ログ指紋生成部100は、例えばCPU11内で実現される処理ブロックであり、分析対象であるシステムから出力されるログデータをパターン化することで、ログ指紋を生成可能に構成されている。ログ指紋は、既知のパターンと未知のパターンとを区別したものである。ログ指紋の具体例については、後に図5を参照して詳しく説明する。ログ指紋生成部100で生成されたログ指紋は、ログ指紋格納部200に出力される構成となっている。ログ指紋生成部100は、後述する付記における「生成手段」の一具体例である。
ログ指紋格納部200は、例えば記憶装置14の一部として構成されており、ログ指紋生成部100で生成されたログ指紋を格納可能に構成されている。ログ指紋格納部200に格納されたログ指紋は、適宜読み出し可能とされており、読み出されたログ指紋は、ログ分析部300に出力される構成となっている。ログ指紋格納部200は、後述する付記における「格納手段」の一具体例である。
ログ分析部300は、例えばCPU11内で実現される処理ブロックであり、ログ指紋格納部200から読み出されたログ指紋を用いて、分析対象であるシステムの障害発生状況を分析可能に構成されている。ログ分析部300による具体的な分析処理については、後に詳しく説明する。ログ分析部300は、後述する付記における「分析手段」の一具体例である。
図3に示すように、ログ指紋生成部100は、ログ読込部110、前処理部120、パターン抽出部130、及びパターン格納部140を備えている。
ログ読込部110は、分析対象となるシステムからログデータを順次取得可能に構成されている。
前処理部120は、ログ読込部110で取得されたログデータに含まれるログメッセージを、カンマや半角スペース、タブなど任意のデリミタ文字でトークンに分割可能に構成されている。前処理部120は、トークンの種別によっては抽象化を行ってもよい。なお、トークンへの分割方法及び抽象化の方法については、既存の技術を適宜採用することができるため、ここでの詳細な説明は省略する。
パターン抽出部130は、前処理部120でトークンに分割されたログメッセージからパターンを抽出可能に構成されている。なお、具体的なパターン抽出方法については、既存の技術を適宜採用することができるため、ここでの詳細な説明は省略する。パターン抽出部130は、抽出したパターンをパターン格納部140に格納されたパターンと比較し、未登録のパターンの場合に、そのパターンをパターン格納部140に追加(即ち、格納)可能に構成されている。また、パターン抽出部130は、抽出したパターン全てについて、検出時刻、パターン番号(即ち、パターンの識別情報)、及び新規登録フラグ情報(即ち、パターン格納部140に未登録であったことを示す情報)を紐づけてログ指紋とし、ログ指紋格納部200に格納可能に構成されている。
パターン格納部140は、パターン抽出部130で抽出されたパターンを格納(即ち、記憶)可能に構成されている。
ログ分析部300は、既知ログ分析部310、条件格納部320、及び未知ログ分析部330を備えている。
既知ログ分析部310は、過去の既知障害に関する分析を実行可能に構成されている。より具体的には、既知ログ分析部310は、既知障害に対応するログ指紋と、過去のログ指紋との照合を行うことで、既知障害に類似する障害が過去に発生した時間帯を推定可能に構成されている。既知ログ分析部310による既知障害に関する分析方法については、後に図4等を参照して詳しく説明する。
条件格納部320は、既知ログ分析部310が用いる閾値等を記憶可能に構成されている。
未知ログ分析部330は、未知障害に関する分析を実行可能に構成されている。より具体的には、未知ログ分析部330は、未知障害に対応するログ指紋から、障害波及プロセス、及び障害のトリガとなった機器やタスク等の分析を実行可能に構成されている。未知ログ分析部330による未知障害に関する分析方法については、後に図8等を参照して詳しく説明する。
結果出力部400は、既知ログ分析部310及び未知ログ分析部330における分析結果を、出力装置16に出力可能に構成されている。分析結果は、例えばディスプレイ等の表示装置に可視化された状態で表示される。
<既知障害の分析>
次に、図4を参照しながら、本実施形態に係るログ分析装置1による既知障害の分析動作(具体的には、既知ログ分析部310側で実行される動作)について説明する。図4は、既知障害の分析動作の流れを示すフローチャートである。
次に、図4を参照しながら、本実施形態に係るログ分析装置1による既知障害の分析動作(具体的には、既知ログ分析部310側で実行される動作)について説明する。図4は、既知障害の分析動作の流れを示すフローチャートである。
図4に示すように、既知障害の分析動作時には、まず分析対象となるシステムからログが出力される度に実行されるループ処理が開始される(ステップS11)。
ループ処理が開始されると、まずログ読込部110が、ログデータの読込を実行する(ステップS12)。続いて、前処理部120が、ログメッセージのトークン分割、更にはトークンの種別によって抽象化を実行する(ステップS13)。続いて、パターン抽出部130が、トークンからパターンを抽出する(ステップS14)。このとき、抽出されたパターンがパターン格納部140に未登録のものであれば、パターン抽出部130は、パターン番号を採番しパターンと共にパターン格納部140に追加する。最後に、パターン抽出部130は、抽出したパターン全てに関して、検出時刻、パターン番号、及び新規登録フラグ情報(つまり、パターン格納部140に未登録であったか否かを示すフラグ情報)を紐づけてログ指紋とし、ログ指紋格納部200に格納する(ステップS15)。
以上のステップS12からS15の処理は、システムからログが出力される度に繰り返し実行される(ステップS16)。この動作により、ログ指紋格納部200には、過去のログ指紋が順次蓄積されていく。なお、上述したループ処理は、必ずしもログが出力される度に実行されるものでなくともよく、蓄積されたログを対象として実行されてもよい。
ここで、ログ指紋について、図5を参照して具体的に説明する。図5は、ログ指紋の一例を示す二次元マップである。
図5に示すように、ログ指紋は、各時刻に出現したログのパターンを示すものとして、二次元マップ上に表現することができる。図5に示す例では、各時間帯に出現したログのパターン(具体的には、パターン番号)に応じて、複数のドットが表示されている。なお、新規登録フラグ情報については、ドットの形状や色、濃淡等で表現することができる。
このように可視化(言い換えれば、二次元化)されたログ指紋によれば、どのようなパターンがどの時間帯で出現したのかを視覚的に分かりやすく表現することができる。また、出現したパターンが、既知のパターンであるのか、それとも未知のパターンであるのかについても視覚的に分かりやすく表現することができる。なお、既知のパターンとは、ステップS14において抽出された時点でパターン格納部140に既に登録されていたパターン(つまり、新規登録フラグ情報が付随していないパターン)を意味する。未知のパターンとは、ステップS14において抽出された時点でパターン格納部140に未登録であったパターン(つまり、新規登録フラグ情報が付随するパターン)を意味する。
図4に戻り、蓄積したログ指紋で分析を開始する場合には、まずユーザが被疑時間帯(言い換えれば、分析対象としたい既知障害が発生している時間帯)を指定する(ステップS17)。これにより、既知ログ分析部310は、分析対象となる既知障害に対応するログ指紋を特定することができる。なお、被疑時間帯の指定に代えて、ユーザが別途用意した指定ログ(即ち、分析対象としたい既知障害のログ)を読み込ませてもよい。この場合、指定ログからログ指紋を生成する(即ち、ステップS12からステップS15の処理を実行する)ことで、既知ログ分析部310が、分析対象となる既知障害に対応するログ指紋を特定することができる。
既知障害に対応するログ指紋が特定されると、既知ログ分析部310は、ログ指紋の照合を実行し(ステップS18)、過去における既知障害に類似する障害の発生日時を推定する(ステップS19)。
ここで、上述したログ指紋の照合による分析(即ち、ステップS17~S19の処理)について、図6及び図7を参照して具体的に説明する。図6は、ログ指紋の照合方法の一例を示す概略図である。図7は、ログ指紋の照合結果の表示例を示す図である。
図6に示すように、分析対象となるログ指紋は、ユーザが被疑時間帯を指定することによって特定される。なお、被疑時間帯の選択幅は任意の値であってよい。その後、既知ログ分析部310は、被疑時間帯のログ指紋に類似する箇所を、蓄積された過去のログ指紋(典型的には、ログ指紋格納部200に格納されている全てのログ指紋)の中からサーチする。
図7に示すように、ログ指紋のサーチ結果は、分析対象となるログ指紋と、過去のログ指紋との類似度として出力される。なお、ログ指紋の類似度の算出方法については、既存の技術を適宜採用することができるため、ここでの詳細な説明は省略する。類似度を算出した後、既知ログ分析部310は、類似度が所定閾値(即ち、条件格納部320に予め記憶されている閾値)より大きくなっている箇所を抽出する。そして、抽出された時間帯が、類似障害が発生した時間帯であると推定する。なお、所定閾値は、類似障害を判定するための閾値として、予め最適な値(例えば「類似度90%」)を設定しておけばよい。
以上説明した一連の動作によれば、ログ指紋を利用して、既知障害に類似した障害の発生日時を正確に推定することができる。
<未知障害の分析>
次に、図8を参照しながら、本実施形態に係るログ分析装置1による未知障害の分析動作(具体的には、未知ログ分析部330側で実行される動作)について説明する。図8は、未知障害の分析動作の流れを示すフローチャートである。
次に、図8を参照しながら、本実施形態に係るログ分析装置1による未知障害の分析動作(具体的には、未知ログ分析部330側で実行される動作)について説明する。図8は、未知障害の分析動作の流れを示すフローチャートである。
図8に示すように、未知障害の分析動作時には、まず分析対象となるシステムからログが出力される度に実行されるループ処理が開始される(ステップS21)。
ループ処理が開始されると、まずログ読込部110が、ログデータの読込を実行する(ステップS22)。続いて、前処理部120が、ログメッセージのトークン分割、更にはトークンの種別によって抽象化を実行する(ステップS23)。続いて、パターン抽出部130が、トークンからパターンを抽出する(ステップS24)。このとき、抽出されたパターンがパターン格納部140に未登録のものであれば、パターン抽出部130は、パターン番号を採番しパターンと共にパターン格納部140に追加する。最後に、パターン抽出部130は、抽出したパターン全てに関して、検出時刻、パターン番号、及び新規登録フラグ情報を紐づけてログ指紋とし、ログ指紋格納部200に格納する(ステップS25)。
以上のステップS22からS25の処理は、システムからログが出力される度に繰り返し実行される(ステップS26)。この動作により、ログ指紋格納部200には、過去のログ指紋が順次蓄積されていく。なお、上述したループ処理は、必ずしもログが出力される度に実行されるものでなくともよく、蓄積されたログを対象として実行されてもよい。
未知ログ分析部330は、ここまでの処理でログ指紋格納部200に格納されたログ指紋を利用して、新たに発生した未知障害のトリガとなった機器やタスク、及び障害波及プロセスを分析する。未知ログ分析部330は、まずログ指紋格納部200に格納されたログ指紋を、分析対象となるシステムに含まれる機器別、又は分析対象となるシステムのタスク別に切り分ける処理を実行する(ステップS27)。
ここで、ログ指紋の切り分け動作(即ち、ステップS27の処理)について、図9を参照して具体的に説明する。図9は、ログ指紋の切り分け方法の一例を示す概略図である。
図9に示すように、未知ログ分析部330は、未知障害が発生するまでのログ指紋を任意の時間範囲で取り出し、機器別又はタスク別に切り分ける(即ち、分割する)。図9に示す例では、障害のトリガとなったタスクを特定するためタスク別での切り分けを行っており、システムが有するタスクの数だけ分割されたログ指紋(以下、適宜「分割ログ指紋」と称する)が出力されることになる。なお、障害のトリガとなった機器を特定する場合には、機器別の切り分けを行えばよい。この場合、システムに含まれる機器の数だけ分割ログ指紋が出力されることになる。
図8に戻り、タスク又は機器別の切り分けが完了したら、未知ログ分析部330が、分割ログ指紋毎に未知のパターンが最初に出現した時刻を検出する。上述したように、ログ指紋は、既知のパターンと未知のパターンとが区別された情報であるため、未知ログ分析部330は、未知のパターンが最初に出現した時刻を容易に検出することができる。更に、未知ログ分析部330は、未知のパターンの出現時刻が早い順に各タスクをソートする(ステップS28)。そして、ソートした結果を一覧表示することで、障害状況の可視化を行う(ステップS29)。
ここで、未知のパターンを利用した障害発生状況の可視化(即ち、ステップS28~S29の処理)について、図10及び図11を参照して具体的に説明する。図10は、未知のパターンの出現時刻に応じた各タスクのソート処理を示す概略図である。図11は、障害状況を可視化した結果の表示例を示す図である。
図10に示すように、タスクA、タスクB、タスクC、及びタスクDの4つの分割ログ指紋が出力されたケースを考える。ここで、未知のパターンが最初に出現した時刻順で各分割ログ指紋をソートすると、タスクC、タスクA、タスクD、タスクBの順となる。なお、未知のパターンが最初に出現した時刻は、ログ指紋における新規登録フラグを用いて検出できる。
図11に示すように、ソートされた各タスクのデータは、障害のトリガとなった機器又はタスク、及び障害波及プロセスを可視化したものとして表示される。図11に示す結果からは、未知障害が、タスクCをトリガとして発生したものであり、タスクC、タスクA、タスクD、タスクBの順で波及していったことが読み取れる。なお、一覧表示された各タスクを選択することで、各タスクの詳細を表示するようにしてもよい。図11に示す例では、選択されたタスクAについて、未知障害が最初に出現した時刻に関するデータと共に、具体的なログ指紋(即ち、二次元マップ)が表示されている。
以上説明した一連の動作によれば、ログ指紋を利用して、未知障害のトリガとなった機器又はタスク、及び障害波及プロセスを好適に分析することができる。
<技術的効果>
次に、本実施形態に係るログ分析装置1によって得られる技術的効果について説明する。
次に、本実施形態に係るログ分析装置1によって得られる技術的効果について説明する。
図1から図11で説明したように、本実施形態に係るログ分析装置1によれば、ログデータから自動的に生成されるログ指紋を利用して、システムにおける障害の発生状況を好適に分析することができる。具体的には、ログ指紋の類似度を用いた分析により、過去に発生した類似障害の発生時刻を細かく分析・予測することが可能である。また、未知のパターンの出現時刻を用いた分析により、障害のトリガとなった機器やタスクの特定、及び障害の波及プロセスを分析することが可能である。
なお、ログ分析の分野では、ログ分析用のテンプレートやフィルタを用いた分析が知られているが、これらを作成するには高度な専門知識が要求される。また近年では、仮想化・クラウド化によるシステムの複雑化・大規模化に伴い、多種多様なログデータが増え続けており、人手によるログ分析業務は限界を迎えつつある。このような状況において、本実施形態に係るログ指紋を用いた分析は、膨大なログデータを用いて自動的な分析を実行できるため、極めて有益な効果を発揮する。
<付記>
以上説明した実施形態に関して、更に以下の付記を開示する。
以上説明した実施形態に関して、更に以下の付記を開示する。
(付記1)
付記1に記載のログ分析装置は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成手段と、前記生成手段で生成された前記ログ指紋を順次格納する格納手段と、前記格納手段に格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析手段とを備えることを特徴とするログ分析装置である。
付記1に記載のログ分析装置は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成手段と、前記生成手段で生成された前記ログ指紋を順次格納する格納手段と、前記格納手段に格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析手段とを備えることを特徴とするログ分析装置である。
(付記2)
付記2に記載のログ分析装置は、前記分析手段は、既知障害に対応するログ指紋と、前記格納手段に格納された前記ログ指紋とを比較することで、過去において前記既知障害と同種の障害が発生した時間帯を推定することを特徴とする付記1に記載のログ分析装置である。
付記2に記載のログ分析装置は、前記分析手段は、既知障害に対応するログ指紋と、前記格納手段に格納された前記ログ指紋とを比較することで、過去において前記既知障害と同種の障害が発生した時間帯を推定することを特徴とする付記1に記載のログ分析装置である。
(付記3)
付記3に記載のログ分析装置は、前記分析手段は、前記格納手段に格納された前記ログ指紋のうち、ユーザによって指定された期間におけるログ指紋を、前記既知障害に対応するログ指紋とすることを特徴とする付記2に記載のログ分析装置。
付記3に記載のログ分析装置は、前記分析手段は、前記格納手段に格納された前記ログ指紋のうち、ユーザによって指定された期間におけるログ指紋を、前記既知障害に対応するログ指紋とすることを特徴とする付記2に記載のログ分析装置。
(付記4)
付記4に記載のログ分析装置は、前記分析手段は、ユーザによって指定されたログから生成された前記ログ指紋を、前記既知障害に対応するログ指紋とすることを特徴とする付記2に記載のログ分析装置である。
付記4に記載のログ分析装置は、前記分析手段は、ユーザによって指定されたログから生成された前記ログ指紋を、前記既知障害に対応するログ指紋とすることを特徴とする付記2に記載のログ分析装置である。
(付記5)
付記5に記載のログ分析装置は、前記分析手段は、(i)前記格納手段に格納された前記ログ指紋を前記対象システムに含まれる機器別又は前記対象システムのタスク別に切り分けて複数の分割部分とし、(ii)前記複数の分割部分の各々において前記未知のパターンが出現した時間に基づいて、前記未知のパターンに対応する未知障害のトリガとなった前記機器又は前記タスクを特定することを特徴とする付記1から4のいずれか一項に記載のログ分析装置。
付記5に記載のログ分析装置は、前記分析手段は、(i)前記格納手段に格納された前記ログ指紋を前記対象システムに含まれる機器別又は前記対象システムのタスク別に切り分けて複数の分割部分とし、(ii)前記複数の分割部分の各々において前記未知のパターンが出現した時間に基づいて、前記未知のパターンに対応する未知障害のトリガとなった前記機器又は前記タスクを特定することを特徴とする付記1から4のいずれか一項に記載のログ分析装置。
(付記6)
付記6に記載のログ分析装置は、前記分析手段は、前記複数の分割部分を、前記未知のパターンが出現した時間順にソートすることで、前記未知障害が波及するプロセスを分析することを特徴とする付記5に記載のログ分析装置である。
付記6に記載のログ分析装置は、前記分析手段は、前記複数の分割部分を、前記未知のパターンが出現した時間順にソートすることで、前記未知障害が波及するプロセスを分析することを特徴とする付記5に記載のログ分析装置である。
(付記7)
付記7に記載のログ分析方法は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程とを含むことを特徴とするログ分析方法である。
付記7に記載のログ分析方法は、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程とを含むことを特徴とするログ分析方法である。
(付記8)
付記8に記載のコンピュータプログラムは、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程とをコンピュータに実行させることを特徴とするコンピュータプログラムである。
付記8に記載のコンピュータプログラムは、対象システムのログを既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程とをコンピュータに実行させることを特徴とするコンピュータプログラムである。
(付記9)
付記9に記載の記録媒体は、付記8に記載のコンピュータプログラムが記録されていることを特徴とする記録媒体である。
付記9に記載の記録媒体は、付記8に記載のコンピュータプログラムが記録されていることを特徴とする記録媒体である。
本発明は、請求の範囲及び明細書全体から読み取るこのできる発明の要旨又は思想に反しない範囲で適宜変更可能であり、そのような変更を伴うログ分析装置、ログ分析方法及びコンピュータプログラムもまた本発明の技術思想に含まれる。
1 ログ分析装置
11 CPU
100 ログ指紋生成部
110 ログ読込部
120 前処理部
130 パターン抽出部
140 パターン格納部
200 ログ指紋格納部
300 ログ分析部
310 既知ログ分析部
320 条件格納部
330 未知ログ分析部
400 結果出力部
11 CPU
100 ログ指紋生成部
110 ログ読込部
120 前処理部
130 パターン抽出部
140 パターン格納部
200 ログ指紋格納部
300 ログ分析部
310 既知ログ分析部
320 条件格納部
330 未知ログ分析部
400 結果出力部
Claims (9)
- 対象システムのログをパターン化し、既知のパターンと未知のパターンとで区別したログ指紋を生成する生成手段と、
前記生成手段で生成された前記ログ指紋を順次格納する格納手段と、
前記格納手段に格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析手段と
を備え、
前記分析手段は、既知障害に対応するログ指紋と、前記格納手段に格納された前記ログ指紋とを比較することで、過去において前記既知障害と同種の障害が発生した時間帯を推定する
ことを特徴とするログ分析装置。 - 前記分析手段は、前記格納手段に格納された前記ログ指紋のうち、ユーザによって指定された期間におけるログ指紋を、前記既知障害に対応するログ指紋とすることを特徴とする請求項1に記載のログ分析装置。
- 前記分析手段は、ユーザによって指定されたログから生成された前記ログ指紋を、前記既知障害に対応するログ指紋とすることを特徴とする請求項1に記載のログ分析装置。
- 対象システムのログをパターン化し、既知のパターンと未知のパターンとで区別したログ指紋を生成する生成手段と、
前記生成手段で生成された前記ログ指紋を順次格納する格納手段と、
前記格納手段に格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析手段と
を備え、
前記分析手段は、(i)前記格納手段に格納された前記ログ指紋を前記対象システムに含まれる機器別又は前記対象システムのタスク別に切り分けて複数の分割部分とし、(ii)前記複数の分割部分の各々において前記未知のパターンが出現した時間に基づいて、前記未知のパターンに対応する未知障害のトリガとなった前記機器又は前記タスクを特定する
ことを特徴とするログ分析装置。 - 前記分析手段は、前記複数の分割部分を、前記未知のパターンが出現した時間順にソートすることで、前記未知障害が波及するプロセスを分析することを特徴とする請求項4に記載のログ分析装置。
- 対象システムのログをパターン化し、既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、
前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、
前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程と
を含み、
前記分析工程では、既知障害に対応するログ指紋と、前記格納手段に格納された前記ログ指紋とを比較することで、過去において前記既知障害と同種の障害が発生した時間帯を推定する
ことを特徴とするログ分析方法。 - 対象システムのログをパターン化し、既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、
前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、
前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程と
を含み、
前記分析工程では、(i)前記格納手段に格納された前記ログ指紋を前記対象システムに含まれる機器別又は前記対象システムのタスク別に切り分けて複数の分割部分とし、(ii)前記複数の分割部分の各々において前記未知のパターンが出現した時間に基づいて、前記未知のパターンに対応する未知障害のトリガとなった前記機器又は前記タスクを特定する
ことを特徴とするログ分析方法。 - 対象システムのログをパターン化し、既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、
前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、
前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程と
を含み、
前記分析工程では、既知障害に対応するログ指紋と、前記格納手段に格納された前記ログ指紋とを比較することで、過去において前記既知障害と同種の障害が発生した時間帯を推定する
ログ分析方法をコンピュータに実行させることを特徴とするコンピュータプログラム。 - 対象システムのログをパターン化し、既知のパターンと未知のパターンとで区別したログ指紋を生成する生成工程と、
前記生成工程で生成された前記ログ指紋を順次格納する格納工程と、
前記格納工程で格納された前記ログ指紋に基づいて、前記対象システムにおける障害の発生状況を分析する分析工程と
を含み、
前記分析工程では、(i)前記格納手段に格納された前記ログ指紋を前記対象システムに含まれる機器別又は前記対象システムのタスク別に切り分けて複数の分割部分とし、(ii)前記複数の分割部分の各々において前記未知のパターンが出現した時間に基づいて、前記未知のパターンに対応する未知障害のトリガとなった前記機器又は前記タスクを特定する
ログ分析方法をコンピュータに実行させることを特徴とするコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019054268A JP7298229B2 (ja) | 2019-03-22 | 2019-03-22 | ログ分析装置、ログ分析方法及びコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019054268A JP7298229B2 (ja) | 2019-03-22 | 2019-03-22 | ログ分析装置、ログ分析方法及びコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020154935A JP2020154935A (ja) | 2020-09-24 |
| JP7298229B2 true JP7298229B2 (ja) | 2023-06-27 |
Family
ID=72559281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019054268A Active JP7298229B2 (ja) | 2019-03-22 | 2019-03-22 | ログ分析装置、ログ分析方法及びコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7298229B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016132717A1 (ja) | 2015-02-17 | 2016-08-25 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびプログラム記録媒体 |
| US20160292592A1 (en) | 2015-04-03 | 2016-10-06 | Oracle International Corporation | Method and system for implementing machine learning classifications |
| WO2017081865A1 (ja) | 2015-11-13 | 2017-05-18 | 日本電気株式会社 | ログ分析システム、方法、及び記録媒体 |
-
2019
- 2019-03-22 JP JP2019054268A patent/JP7298229B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016132717A1 (ja) | 2015-02-17 | 2016-08-25 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびプログラム記録媒体 |
| US20160292592A1 (en) | 2015-04-03 | 2016-10-06 | Oracle International Corporation | Method and system for implementing machine learning classifications |
| WO2017081865A1 (ja) | 2015-11-13 | 2017-05-18 | 日本電気株式会社 | ログ分析システム、方法、及び記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020154935A (ja) | 2020-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5299272B2 (ja) | 分析プログラムおよび分析装置 | |
| US20170228309A1 (en) | System and method for equivalence class analysis-based automated requirements-based test case generation | |
| JP5874891B2 (ja) | プログラムテスト装置、プログラムテスト方法、およびプログラム | |
| JP6158623B2 (ja) | データベース分析装置及び方法 | |
| JP2010002370A (ja) | パターン抽出プログラム、方法及び装置 | |
| CN111931179B (zh) | 基于深度学习的云端恶意程序检测系统及方法 | |
| JP2017004123A (ja) | 判定装置、判定方法および判定プログラム | |
| CN105630656A (zh) | 基于日志模型的系统健壮性分析方法及装置 | |
| KR102000133B1 (ko) | 수집된 이벤트 정보 기반 악성코드 탐지 장치 및 방법 | |
| CN112214768A (zh) | 一种恶意进程的检测方法及装置 | |
| JP7077909B2 (ja) | デッドコード解析プログラム、デッドコード解析方法及びデッドコード解析装置 | |
| US20210365355A1 (en) | Test case generation apparatus, test case generation method, and computer readable medium | |
| CN113886832A (zh) | 智能合约漏洞检测方法、系统、计算机设备和存储介质 | |
| Ackermann et al. | Black-box learning of parametric dependencies for performance models | |
| JP7298229B2 (ja) | ログ分析装置、ログ分析方法及びコンピュータプログラム | |
| CN113468524A (zh) | 基于rasp的机器学习模型安全检测方法 | |
| JP6416588B2 (ja) | ソースコード検証システム | |
| CN111459796A (zh) | 自动化测试方法、装置、计算机设备和存储介质 | |
| CN108563950B (zh) | 基于SVM的Android恶意软件检测方法 | |
| JP6036089B2 (ja) | データ遷移トレース装置、データ遷移トレース方法、及び、データ遷移トレースプログラム | |
| JP5755861B2 (ja) | テストケース生成装置、テストケース生成方法およびテストケース生成プログラム | |
| CN113051561A (zh) | 应用程序的特征提取方法和装置以及分类方法和装置 | |
| CN111460439B (zh) | 基于多环境的逃避行为检测方法 | |
| KR102242000B1 (ko) | 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체 | |
| CN114640507B (zh) | 一种WebShell的检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220203 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230516 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230529 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7298229 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |