JP7415363B2 - ログ分析装置、方法及びプログラム - Google Patents

ログ分析装置、方法及びプログラム Download PDF

Info

Publication number
JP7415363B2
JP7415363B2 JP2019142596A JP2019142596A JP7415363B2 JP 7415363 B2 JP7415363 B2 JP 7415363B2 JP 2019142596 A JP2019142596 A JP 2019142596A JP 2019142596 A JP2019142596 A JP 2019142596A JP 7415363 B2 JP7415363 B2 JP 7415363B2
Authority
JP
Japan
Prior art keywords
log
urgency
log data
degree
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019142596A
Other languages
English (en)
Other versions
JP2021026412A (ja
Inventor
克典 田中
佳子 和田
将弘 上田
浩司 雀堂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2019142596A priority Critical patent/JP7415363B2/ja
Publication of JP2021026412A publication Critical patent/JP2021026412A/ja
Application granted granted Critical
Publication of JP7415363B2 publication Critical patent/JP7415363B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ログ分析装置、方法及びプログラムに関し、特に、システムから出力されるログを分析するためのログ分析装置、方法及びプログラムに関する。
特許文献1には、情報処理システムが出力するログを分析するログ分析システムに関する技術が開示されている。特許文献1にかかるログ分析システムでは、ログメッセージの組み合わせについて正常パターンと異常パターンとを記憶部に記憶している。そして、当該ログ分析システムは、読み込まれたログメッセージについて正常パターン及び異常パターンと一致するか否かを判定する。当該ログ分析システムは、ログメッセージがいずれにも一致しない場合、新たなパターンとして生成し、記憶部に記録する。
特許文献2には、ログフォーマットごとの周期モデルを生成し、周期モデルを用いてログが異常か否かを判定するログ分析システムに関する技術が開示されている。特許文献3には、異種混成のログソースから正規表現パターンを生成し、訓練ログからモデル及びプロファイルを生成するログ分析プラットフォームに関する技術が開示されている。特許文献4には、ログ判定システムに関する技術が開示されている。特許文献4にかかるログ判定システムは、予めログデータから学習を行い、ログ判定基準を構築する。そして、当該ログ判定システムは、構築された判定基準に基づいて、取得されるログデータが異常ログか、また、異常の前兆を示すログかを判定する。
国際公開第2016/132717号 国際公開第2017/115458号 特表2019-501448号公報 特開2014-115768号公報
しかしながら、特許文献1では、判定対象のログに何らかの対処が必要であると判定されたとしても、対処すべき順序の判別が困難であるという問題点がある。その理由は、実運用上の影響度合いに基づく対処の緊急度が考慮されていないためである。尚、特許文献2から4においてもこのような問題点を解決することができない。
本開示は、このような問題点を解決するためになされたものであり、ログデータに対する対処すべき順序を実運用に即して適切に判別するためのログ分析装置、方法及びプログラムを提供することを目的とする。
本開示の第1の態様にかかるログ分析装置は
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備える。
本開示の第2の態様にかかるログ分析方法は、
コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する。
本開示の第3の態様にかかるログ分析プログラムは、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させる。
本開示により、ログデータに対する対処すべき順序を実運用に即して適切に判別するためのログ分析装置、方法及びプログラムを提供することができる。
本実施形態1にかかるログ分析装置の構成を示すブロック図である。 本実施形態1にかかるログ分析方法の流れを示すフローチャートである。 本実施形態2にかかるログ分析システムの全体構成を示すブロック図である。 本実施形態2にかかるログ分析装置の構成を示すブロック図である。 本実施形態2にかかるログ分析方法の流れを示すフローチャートである。 本実施形態3にかかるログ分析システムの全体構成を示すブロック図である。 本実施形態3にかかるログ分析装置の構成を示すブロック図である。 本実施形態3にかかるログ分析方法の流れを示すフローチャートである。
以下では、本開示の実施形態について、図面を参照しながら詳細に説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略される。
<実施形態1>
図1は、本実施形態1にかかるログ分析装置100の構成を示すブロック図である。ログ分析装置100は、複数のノードを含む情報処理システム内の少なくとも一部のノードから出力されるログデータを分析するための情報処理装置である。ログ分析装置100は、判定部110と、取得部120と、特定部130とを備える。
判定部110は、1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する。ここで、ログデータは、所定のノード上で稼働するオペレーティングシステム、ミドルウェア、アプリケーション等から出力されるログメッセージである。また、ログ判定モデルは、入力されるログデータについて所定の演算を行うことにより、運用又は保守担当者等(以下、管理者と呼ぶ。)による情報処理システムへの対処が必要か否かの判定結果を出力する判定ロジックである。例えば、ログ判定モデルは、当該判定ロジックが実装されたプログラムモジュールであるか、機械学習により学習されたモデルプログラムである。また、判定部110は、ログメッセージが処理状況の単なる通知を示す場合や、警告を示す場合には、対処が不要と判定する。一方、判定部110は、ログメッセージがエラーを示す場合には、管理者による対処が必要と判定する。また、判定部110は、エラー内容によっては対処が不要と判定してもよい。ここで、対処とは、例えば、管理者による障害の復旧作業といった一時的な処置や、設定変更、ハードウェアの交換又はソフトウェアの改修といった恒久的な処置が挙げられる。そして、一時的な処置には、例えば、アプリケーションの再起動、データパッチ、データリカバリ、ユーザへの障害の通知等が挙げられるが、これらに限定されない。
取得部120は、判定部110によりログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する。ここで、状況情報とは、例えば、ノードにおけるリソースの負荷状況や、ノードの稼働状況といった情報であるが、これらに限定されない。
特定部130は、取得部120により取得された状況情報に基づいて、ログデータに対する対処の緊急度を特定する。ここで、緊急度とは、例えば、管理者による対処の緊急度合いを示す情報であり、少なくとも2段階以上を区別できるものであればよい。
図2は、本実施形態1にかかるログ分析方法の流れを示すフローチャートである。まず、判定部110は、1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する(S11)。ログデータに対する対処が必要と判定された場合、取得部120は、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する(S12)。そして、特定部130は、状況情報に基づいて、ログデータに対する対処の緊急度を特定する(S13)。尚、ステップS11でログデータに対する対処が不要と判定された場合、当該ログ分析方法の処理を終了する。
このように本実施形態では、システムから出力されたログデータに対する、管理者による対処の要否を判定することに加えて、システムに関する現在の状況情報を用いて対処の緊急度を特定するものである。特に、複数のログデータから複数の種類のエラーが検出された場合、単にエラーの発生順に対処すればよいとは限らない。例えば、特定の対処に長時間を要する場合には、他の対処を先に実施した方が良い場合もある。そして、エラーの組み合わせが同じであっても、現在の状況情報に応じて対処の優先度が異なる場合もある。そのため、本実施形態により、対処が必要なログデータが多数存在した場合であっても、管理者はログデータに対する対処すべき順序を実運用に即して適切に判別することができる。
尚、ログ分析装置100は、図示しない構成としてプロセッサ、メモリ及び記憶装置を備えるものである。また、当該記憶装置には、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムが記憶されている。そして、当該プロセッサは、記憶装置からコンピュータプログラムを前記メモリへ読み込み、当該コンピュータプログラムを実行する。これにより、前記プロセッサは、判定部110、取得部120及び特定部130の機能を実現する。
または、判定部110、取得部120及び特定部130は、それぞれが専用のハードウェアで実現されていてもよい。また、各装置の各構成要素の一部又は全部は、汎用または専用の回路(circuitry)、プロセッサ等やこれらの組合せによって実現されもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組合せによって実現されてもよい。また、プロセッサとして、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(field-programmable gate array)等を用いることができる。
また、ログ分析装置100の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。また、ログ分析装置100の機能がSaaS(Software as a Service)形式で提供されてもよい。
<実施形態2>
本実施形態2は、上述した実施形態1の具体的な実施例である。図3は、本実施形態2にかかるログ分析システム200の全体構成を示すブロック図である。ログ分析システム200は、情報処理システム20と、状況監視サーバ31と、ログ分析装置32と、システム構成DB(DataBase)33と、モデルDB34と、アラートログDB35とを備え、これらがネットワークNを介して接続されている。ネットワークNは、LAN(Local Area Network)、インターネット等の通信回線網である。
情報処理システム20は、運用対象の情報処理システムであり、ノード21、・・・ノード2n(nは2以上の自然数。)を備える。ノード21等の各ノードは、単体のコンピュータ装置、ブレードサーバのような情報処理基板、又は、仮想マシン等である。また、各ノードは、オペレーティングシステム、ミドルウェア及びアプリケーション等が稼働しているものとする。
状況監視サーバ31は、情報処理システム20の各ノードの稼働状況を監視するサーバ装置である。例えば、状況監視サーバ31は、ログ分析装置32から状況情報の取得要求を受信した場合、指定されたノードにおける現在の負荷状況や稼働状況の取得コマンドを発行し、コマンドの応答結果をログ分析装置32へ返信する。ここで、負荷状況には、例えば、ノードのCPU(Central Processing Unit)、メモリ、HDD(Hard Disk Drive)、ネットワーク帯域の使用率が挙げられるが、これらに限定されない。また、稼働状況は、ノードが現用系で稼働しているか、待機系で稼働しているか等を示すものとする。尚、状況監視サーバ31自体が情報処理システム20に含まれていても良い。また、状況監視サーバ31は、公知の技術で実現可能であるため、詳細な説明を省略する。
システム構成DB33は、情報処理システム20の構成を管理する構成管理データベースである。システム構成DB33は、各ノードの定義情報及び連携先情報を少なくとも管理する。ここで、ノードの定義情報は、ノードの役割や用途、ハードウェアスペック、稼働するソフトウェアに関する情報である。ノードの役割や用途とは、例えば、ノード上で稼働するアプリケーションが業務系であるか、管理(監視)系であるかといったことを特定できる情報であってもよい。また、連携先情報は、ノードの連携先のノードに関する情報、例えば、ホスト名やIP(Internet Protocol)アドレス等である。
モデルDB34は、対処不要モデル341及び要対処モデル342を管理するデータベースである。対処不要モデル341及び要対処モデル342は、上述したログ判定モデルの一例である。
対処不要モデル341は、ログデータに対する対処が不要であるか否かを判定するモデルである。まず、対処不要モデル341は、ログデータが単なる通知や警告を示す場合、対処が不要と判定する。また、例えば、ログデータがエラーログであっても、情報処理システム20へ実質的な影響がない場合がある。この場合、ログデータがエラーログであっても、情報処理システム20に対する管理者による具体的な対処(操作、作業等)が不要となる。よって、対処不要モデル341は、このようなエラーログについても対処が不要と判定する。
要対処モデル342は、ログデータに対する具体的な対処方法が判明しているか否かを判定するモデルである。例えば、あるログデータに対して過去に具体的な対処方法が判明している場合がある。そこで、要対処モデル342は、このようなログデータについて、(具体的な対処方法が判明しているため)対処が必要であると判定する。
そのため、あるログデータが、対処不要モデル341及び要対処モデル342のいずれでも検出されない(ログフォーマットが不一致となる)場合、当該ログデータに対する対処が不明であることを示す。
また、対処不要モデル341及び要対処モデル342は、過去のログデータから特徴のある共通的な文字列と変数部分とを含むログフォーマットを用いて、入力されたログデータと照合し、一致又は不一致を照合結果として出力する。
また、対処不要モデル341及び要対処モデル342は、ログデータを入力として、設定されたパラメータを用いて所定の演算を行い、演算結果を出力する処理が実装されたプログラムモジュールやモデル式である。ここで、パラメータは、重み付け係数やバイアスを含む。尚、対処不要モデル341及び要対処モデル342は、ニューラルネットワーク、サポートベクターマシン等により実現可能である。例えば、対処不要モデル341及び要対処モデル342は、学習されたログフォーマットと入力されたログデータとを照合し、一致又は不一致を判定する。
アラートログDB35は、ノード21から2nから出力されたログデータ対する分析結果等を管理するデータベースである。アラートログDB35は、ログフォーマット351、対処要否352及び対処方法353を対応付けて少なくとも管理する。ログフォーマット351は、各ノードから出力されたログデータのうち共通する文字列と文字列の可変部分とを定義したログメッセージの書式情報である。例えば、ログフォーマット351は、ログメッセージの固定文字列と変数部分とで構成される。ログフォーマット351は、予め設定されたものか、ログ分析装置32により解析されて導出されたものであってもよい。尚、ログフォーマット351の代わりにログメッセージそのものを用いても良い。対処要否352は、ログフォーマット351に該当するログデータについて過去に管理者により対処が実施されたか否かを示す情報である。対処方法353は、対処要否352が「要」であるログフォーマット351について、管理者により実施された対処内容を示す情報である。対処方法353は、例えば、所定のジョブを再実行することや、アプリケーションの再起動などが挙げられるが、これに限定されない。
尚、システム構成DB33、モデルDB34及びアラートログDB35のそれぞれは、記憶装置を備えるコンピュータ上で稼働するデータベース管理ソフトウェアにより実現可能である。
図4は、本実施形態2にかかるログ分析装置32の構成を示すブロック図である。ログ分析装置32は、記憶部41と、メモリ42と、IF(InterFace)部43と、制御部44とを備える。記憶部41は、ハードディスク、フラッシュメモリ等の不揮発性記憶装置である。記憶部41は、ログ分析プログラム411を記憶する。ログ分析プログラム411は、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムである。
メモリ42は、RAM(Random Access Memory)等の揮発性記憶装置であり、制御部44の動作時に一時的に情報を保持するための記憶領域である。IF部43は、ログ分析装置32の外部との入出力を行うインタフェースである。例えば、IF部43は、外部から取得したデータを制御部44へ出力する。また、IF部43は、制御部44から受け付けたデータを外部へ出力する。
制御部44は、ログ分析装置32の各構成を制御するプロセッサつまり制御装置である。制御部44は、記憶部41からログ分析プログラム411をメモリ42へ読み込み、ログ分析プログラム411を実行する。これにより、制御部44は、判定部441、取得部442、特定部443、表示部444、登録部445及び学習部446の機能を実現する。
判定部441は、上述した判定部110の一例であり、対処不要モデル341及び要対処モデル342を用いて、入力されたログデータに対する対処の要否を判定する。ここで、判定部441は、ノード21から2nのそれぞれから出力されるログメッセージを検知した場合に判定を行うものとする。そして、判定部441は、ログデータを対処不要モデル341及び要対処モデル342のログフォーマットと照合し、一致するか否かを判定する。尚、ログデータが対処不要モデル341及び要対処モデル342のいずれとも一致しない場合、当該ログデータは、対処方法が未知であるログ(以後、未知ログと呼ぶ。)といえる。
取得部442は、上述した取得部120の一例であり、判定部441においてログデータが対処不要モデル341と一致せず、要対処モデル342と一致する場合に、システム構成DB33から、ログデータを出力したノードの定義情報や当該ノードの連携先情報を取得する。例えば、取得部442は、ログデータを出力したノードの識別情報をキーとしてシステム構成DB33に対して検索を行う。
また、取得部442は、状況監視サーバ31に対して負荷状況や稼働状況の取得要求を行う。尚、取得部442は、状況監視サーバ31の機能を備えていても良い。
特定部443は、上述した特定部130の一例であり、取得部442により取得されたノードの定義情報や連携先情報から、ログデータが示すエラーによる情報処理システム20への影響範囲を特定する。
また、特定部443は、取得部442により取得された負荷状況や稼働状況に基づいて、対処の緊急度を特定する。これにより、ログ分析装置32は、ノードの最新の状態を動的に取得して、緊急度を特定するため、緊急度の精度がより向上する。
さらに、特定部443は、特定された情報処理システム20への影響範囲に基づいて対処の緊急度を特定することが望ましい。これにより、緊急度を特定する精度がより向上する。
また、特定部443は、取得されたノードの定義情報に基づいて、対処の緊急度を特定してもよい。例えば、ノードの役割(定義情報)が管理系を示す場合、特定部443は、ノードの役割が業務系の場合と比べて緊急度を低く特定する。これにより、業務系の障害の復旧を優先させ、業務への影響を最小限に抑えることができる。
さらに、特定部443は、ログデータが発生した時間帯をさらに加味して、緊急度を特定することが望ましい。その理由は、同じエラーであっても発生した時間帯によって対処の緊急度が異なるためである。特に、ノードの役割(定義情報)が業務系を示す場合、特定部443は、エラーの発生時間帯が業務時間帯である日中であれば緊急度を相対的に高く、業務時間外である夜間であれば緊急度を相対的に低く特定する。一方、ノードの役割(定義情報)が夜間バッチの実行であれば、特定部443は、エラーの発生時間帯が夜間の場合に緊急度を相対的に高く、日中であれば緊急度を相対的に低く特定する。これにより、緊急度の妥当性が向上する。
また、特定部443は、ログデータに対応する対処方法をアラートログDB35から特定する。例えば、特定部443は、ログデータが該当するログフォーマット351に対応付けられた対処方法353を特定する。
表示部444は、特定部443により特定された緊急度に従ってログデータを表示装置(不図示)に表示する。これにより、管理者が対処の緊急度を明確に把握できる。このとき、表示部444は、特定された優先度と対応付けてログデータを表示してもよい。または、表示部444は、特定された優先度に従った順序でログデータを表示してもよい。併せて、表示部444は、特定部443により特定された情報処理システム20への影響範囲を表示するとよい。
登録部445は、複数のログメッセージを分析してログフォーマットを決定し、決定したログフォーマット351をアラートログDB35に登録する。尚、ログフォーマットの決定の仕方は、公知の技術を用いることができるため、詳細な説明を省略する。
また、登録部445は、未知ログに対して管理者が判定した対処要否、対処方法の入力を受け付け、該当するログフォーマットに、対処要否と対処方法とを対応付けてアラートログDB35に登録する。
学習部446は、ログデータ(ログフォーマット)と、当該ログデータの判定結果(対処要否)及び対処内容(対処方法)とを学習用データとして、対処不要モデル341及び要対処モデル342を学習する。例えば、学習部446は、各ログフォーマット351に、対応する対処要否352をラベルとして付して学習用データとし、対処不要モデル341を機械学習する。また、学習部446は、対処要否352が「要」であるログフォーマット351について、対処方法353の有無をラベルとして付して学習用データとし、要対処モデル342を機械学習する。そして、判定部441は、学習後の対処不要モデル341及び要対処モデル342を用いて判定を行う。
図5は、本実施形態2にかかるログ分析方法の流れを示すフローチャートである。まず、判定部441は、ノード21から2nのそれぞれから出力されるログデータ(ログメッセージ)を検知する(S201)。次に、判定部441は、ログデータを対処不要モデル341のログフォーマットと照合する(S202)。一致と判定した場合、ステップS201へ戻る。この場合、既知の対処不要なログであるため、管理者は対処を行わない。
一方、ステップS202で不一致と判定した場合、判定部441は、ログデータを要対処モデル342のログフォーマットと照合する(S203)。一致と判定した場合、取得部442は、システム構成DB33から、ログデータを出力したノードの定義情報や当該ノードの連携先情報を取得する。そして、特定部443は、取得されたノードの定義情報や連携先情報から、ログデータが示すエラーによる情報処理システム20への影響範囲を特定する(S204)。
続いて、取得部442は、状況監視サーバ31に対して負荷状況や稼働状況の取得要求を行う。そして、特定部443は、取得された負荷状況や稼働状況、システムへの影響範囲、ノードの定義情報、連携先情報、ログデータが発生した時間帯に基づいて、対処の緊急度を特定する(S205)。
そして、特定部443は、ログデータに対応する対処方法をアラートログDB35から特定する(S206)。
その後、表示部444は、緊急度に基づいて表示する(S207)。例えば、表示部444は、ログデータ、緊急度、システムへの影響度合いを対応付けて表示装置に表示する。その後、ステップS201へ戻る。これにより、管理者は、表示装置に表示された内容、特に、緊急度を加味して、ログデータに対する対処を実施できる。
ステップS203で不一致と判定した場合、つまり、検知したログデータが未知ログであった場合、表示部444は、ログデータが未知ログである旨を表示装置に表示する。そして、管理者は、未知ログに対して対処要否を検討し、対処が「要」である場合、その対処方法を検討する。また、管理者は、未知ログのログフォーマットを決定してもよい。その後、管理者は、ログ分析装置32に対して未知ログのログフォーマットと対処要否及び対象方法を入力する。そのため、ログ分析装置32は、未知ログのログフォーマットと対処要否及び対象方法の入力を受け付ける(S208)。
そして、登録部445は、受け付けた未知ログのログフォーマットと対処要否及び対象方法とを対応付けて、アラートログDB35に登録する(S209)。
その後、学習部446は、アラートログDB35に登録されているログフォーマット351、対処要否352及び対処方法353を学習用データとして対処不要モデル341及び要対処モデル342を機械学習する(S210)。その後、ステップS201へ戻る。
このように、本実施形態によりログデータに対する対処すべき順序を実運用に即して適切に判別することができる。
<実施形態3>
本実施形態3は、上述した実施形態2の変形例である。図6は、本実施形態3にかかるログ分析システム200aの全体構成を示すブロック図である。ログ分析システム200aは、情報処理システム20と、状況監視サーバ31と、ログ分析装置32aと、システム構成DB33と、モデルDB34aと、アラートログDB35aとを備え、これらがネットワークNを介して接続されている。尚、以下の説明では、実施形態2と同様の構成には、同一の符号を付し、適宜、説明を省略する。
モデルDB34aは、要対処モデル342の代わりに、要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423を管理する。要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423は、緊急度ごとのログ判定モデルである。
アラートログDB35aは、ログフォーマット351に緊急度354をさらに対応付けて管理する。
図7は、本実施形態3にかかるログ分析装置32aの構成を示すブロック図である。ログ分析装置32aは、記憶部41aと、メモリ42と、IF部43と、制御部44aとを備える。記憶部41aは、ログ分析プログラム411aを記憶する。ログ分析プログラム411aは、本実施形態にかかるログ分析方法の処理が実装されたコンピュータプログラムである。
制御部44aは、記憶部41aからログ分析プログラム411aをメモリ42へ読み込み、ログ分析プログラム411aを実行する。これにより、制御部44aは、判定部441a、取得部442a、特定部443a、表示部444、登録部445a及び学習部446aの機能を実現する。
登録部445aは、未知ログに対して管理者が判定した対処要否、対処方法及び緊急度の入力を受け付け、該当するログフォーマットに、対処要否と対処方法と緊急度とを対応付けてアラートログDB35aに登録する。
学習部446aは、ログデータに対する対処が必要と判定された場合、当該ログデータにおける学習用データを用いて、特定された緊急度に対応するログ判定モデルを学習する。例えば、中緊急度と特定された場合、学習部446aは、対処要否352が「要」、かつ、緊急度354が「中」であるログフォーマット351について、対処方法353の有無をラベルとして付して学習用データとし、要対処モデル(中緊急度)3422を機械学習する。要対処モデル(低緊急度)3421及び要対処モデル(高緊急度)3423についても同様である。
判定部441aは、複数のログ判定モデル(要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423)のそれぞれに対して、ログデータに対する対処の要否を判定する。
特定部443aは、ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、緊急度を特定する。
取得部442aは、特定された緊急度に基づき、ログデータへの対処内容をさらに特定する。
図8は、本実施形態3にかかるログ分析方法の流れを示すフローチャートである。以下では、図5と同様の処理については説明を省略する。ステップS202で不一致と判定した場合、判定部441aは、ログデータを要対処モデル(高緊急度)3423のログフォーマットと照合する(S203a)。不一致と判定した場合、判定部441aは、ログデータを要対処モデル(中緊急度)3422のログフォーマットと照合する(S203b)。不一致と判定した場合、判定部441aは、ログデータを要対処モデル(低緊急度)3421のログフォーマットと照合する(S203c)。
ステップS203a、S203b及びS203cのいずれかで一致と判定した場合、ステップS204へ進む。ステップS204の後、特定部443aは、取得された負荷状況や稼働状況、システムへの影響範囲、ノードの定義情報、連携先情報、ログデータが発生した時間帯に加えて、一致と判定したログ判定モデルに対応する緊急度に基づいて、対処の緊急度を特定する(S205a)。例えば、ステップS203aにおいて一致と判定した場合、特定部443aは、対処の緊急度を「高」と特定する。
そして、特定部443aは、特定された緊急度に基づき、ログデータに対応する対処方法をアラートログDB35aから特定する(S206a)。例えば、ステップS203aにおいて一致と判定した場合、特定部443aは、ログデータが該当するログフォーマット351及び「高」である緊急度354に対応付けられた対処方法353を特定する。
ステップS203cで不一致と判定した場合、つまり、検知したログデータがいずれの要対処モデルとも一致しなかった場合、未知ログとなる。未知ログの場合、管理者は、未知ログに対して対処要否を検討し、対処が「要」である場合、その対処方法及び緊急度を検討する。また、管理者は、未知ログのログフォーマットを決定してもよい。その後、管理者は、ログ分析装置32に対して未知ログのログフォーマットと対処要否、対象方法及び緊急度を入力する。そのため、ログ分析装置32は、未知ログのログフォーマットと対処要否、対象方法及び緊急度の入力を受け付ける(S208a)。
そして、登録部445aは、受け付けた未知ログのログフォーマットと対処要否、対象方法及び緊急度とを対応付けて、アラートログDB35aに登録する(S209a)。
その後、学習部446aは、アラートログDB35aに登録されているログフォーマット351、対処要否352、対処方法353及び緊急度354を学習用データとして対処不要モデル341、要対処モデル(低緊急度)3421、要対処モデル(中緊急度)3422及び要対処モデル(高緊急度)3423を機械学習する(S210a)。その後、ステップS201へ戻る。
このように、本実施形態によってもログデータに対する対処すべき順序を実運用に即して適切に判別することができる。
<その他の実施形態>
尚、上述の実施形態では、ハードウェアの構成として説明したが、これに限定されるものではない。本開示は、任意の処理を、CPUにコンピュータプログラムを実行させることにより実現することも可能である。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、DVD(Digital Versatile Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本開示は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本開示は、それぞれの実施形態を適宜組み合わせて実施されてもよい。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記A1)
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
を備えるログ分析装置。
(付記A2)
前記状況情報は、前記ノードのリソースの負荷状況又は稼働状況の少なくともいずれかを含む
付記A1に記載のログ分析装置。
(付記A3)
前記取得部は、
前記システムの構成を管理する構成データベースから、前記ノードの定義情報をさらに取得し、
前記特定部は、
前記定義情報をさらに加味して、前記緊急度を特定する
付記A1又はA2に記載のログ分析装置。
(付記A4)
前記取得部は、
前記構成データベースから、前記ノードの連携先のノードに関する連携先情報をさらに取得し、
前記特定部は、
前記連携先情報をさらに加味して、前記緊急度を特定する
付記A3に記載のログ分析装置。
(付記A5)
前記特定部は、
前記ログデータが発生した時間帯をさらに加味して、前記緊急度を特定する
付記A1乃至A4のいずれか1項に記載のログ分析装置。
(付記A6)
前記ログデータと、当該ログデータの判定結果及び対処内容とを学習用データとして、前記ログ判定モデルを学習する学習部をさらに備える
付記A1乃至A5のいずれか1項に記載のログ分析装置。
(付記A7)
前記ログ分析装置は、前記緊急度ごとの複数のログ判定モデルを有し、
前記学習部は、
前記ログデータに対する対処が必要と判定された場合、当該ログデータにおける前記学習用データを用いて、前記特定された緊急度に対応する前記ログ判定モデルを学習し、
前記判定部は、前記複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
前記特定部は、
前記ログデータの判定に用いられたログ判定モデルに対応する緊急度をさらに加味して、前記緊急度を特定する
付記A6に記載のログ分析装置。
(付記A8)
前記特定された緊急度に従って前記ログデータを表示する表示部をさらに備える
付記A1乃至A7のいずれか1項に記載のログ分析装置。
(付記A9)
前記特定部は、
前記特定された緊急度に基づき、前記ログデータへの対処内容をさらに特定する
付記A1乃至A8のいずれか1項に記載のログ分析装置。
(付記B1)
コンピュータが、
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定し、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する
ログ分析方法。
(付記C1)
1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する処理と、
前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
をコンピュータに実行させるログ分析プログラム。
100 ログ分析装置
110 判定部
120 取得部
130 特定部
200 ログ分析システム
20 情報処理システム
21 ノード
2n ノード
N ネットワーク
31 状況監視サーバ
32 ログ分析装置
33 システム構成DB
34 モデルDB
341 対処不要モデル
342 要対処モデル
35 アラートログDB
351 ログフォーマット
352 対処要否
353 対処方法
41 記憶部
411 ログ分析プログラム
42 メモリ
43 IF部
44 制御部
441 判定部
442 取得部
443 特定部
444 表示部
445 登録部
446 学習部
200a ログ分析システム
32a ログ分析装置
34a モデルDB
3421 要対処モデル(低緊急度)
3422 要対処モデル(中緊急度)
3423 要対処モデル(高緊急度)
35a アラートログDB
354 緊急度
41a 記憶部
411a ログ分析プログラム
44a 制御部
441a 判定部
442a 取得部
443a 特定部
445a 登録部
446a 学習部

Claims (10)

  1. 1以上のログ判定モデルを用いて、所定のログデータに対する対処の要否を判定する判定部と、
    前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する取得部と、
    前記状況情報に基づいて、前記ログデータに対する対処の緊急度を特定する特定部と、
    を備え
    前記判定部は、前記緊急度ごとに設けられた複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
    前記特定部は、前記ログデータの判定に用いられたログ判定モデルに対応する緊急度にさらに基づいて、前記緊急度を特定する
    ログ分析装置。
  2. 前記状況情報は、前記ノードのリソースの負荷状況又は稼働状況の少なくともいずれかを含む
    請求項1に記載のログ分析装置。
  3. 前記取得部は、
    前記システムの構成を管理する構成データベースから、前記ノードの定義情報をさらに取得し、
    前記特定部は、
    前記定義情報にさらに基づいて、前記緊急度を特定する
    請求項1又は2に記載のログ分析装置。
  4. 前記取得部は、
    前記構成データベースから、前記ノードの連携先のノードに関する連携先情報をさらに取得し、
    前記特定部は、
    前記連携先情報にさらに基づいて、前記緊急度を特定する
    請求項3に記載のログ分析装置。
  5. 前記特定部は、
    前記ログデータが発生した時間帯にさらに基づいて、前記緊急度を特定する
    請求項1乃至4のいずれか1項に記載のログ分析装置。
  6. 前記ログデータと、当該ログデータの判定結果及び対処内容とを学習用データとして、前記ログ判定モデルを学習する学習部をさらに備える
    請求項1乃至5のいずれか1項に記載のログ分析装置。
  7. 前記ログ分析装置は、前記緊急度ごとの複数のログ判定モデルを有し、
    前記学習部は、
    前記ログデータに対する対処が必要と判定された場合、当該ログデータにおける前記学習用データを用いて、前記特定された緊急度に対応する前記ログ判定モデルを学習し、
    前記判定部は、前記複数のログ判定モデルのそれぞれに対して、前記ログデータに対する対処の要否を判定し、
    前記特定部は、
    前記ログデータの判定に用いられたログ判定モデルに対応する緊急度にさらに基づいて、前記緊急度を特定する
    請求項6に記載のログ分析装置。
  8. 前記特定された緊急度に従って前記ログデータを表示する表示部をさらに備える
    請求項1乃至7のいずれか1項に記載のログ分析装置。
  9. コンピュータが、
    緊急度ごとに設けられた複数のログ判定モデルを用いて、前記複数のログ判定モデルのそれぞれに対して、所定のログデータに対する対処の要否を判定し、
    前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得し、
    前記状況情報と前記ログデータの判定に用いられたログ判定モデルに対応する緊急度とに基づいて、前記ログデータに対する対処の緊急度を特定する
    ログ分析方法。
  10. 緊急度ごとに設けられた複数のログ判定モデルを用いて、前記複数のログ判定モデルのそれぞれに対して、所定のログデータに対する対処の要否を判定する処理と、
    前記ログデータに対する対処が必要と判定された場合、当該ログデータの出力元のノードを含むシステムに関する現在の状況情報を取得する処理と、
    前記状況情報と前記ログデータの判定に用いられたログ判定モデルに対応する緊急度とに基づいて、前記ログデータに対する対処の緊急度を特定する処理と、
    をコンピュータに実行させるログ分析プログラム。
JP2019142596A 2019-08-01 2019-08-01 ログ分析装置、方法及びプログラム Active JP7415363B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019142596A JP7415363B2 (ja) 2019-08-01 2019-08-01 ログ分析装置、方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019142596A JP7415363B2 (ja) 2019-08-01 2019-08-01 ログ分析装置、方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2021026412A JP2021026412A (ja) 2021-02-22
JP7415363B2 true JP7415363B2 (ja) 2024-01-17

Family

ID=74663868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019142596A Active JP7415363B2 (ja) 2019-08-01 2019-08-01 ログ分析装置、方法及びプログラム

Country Status (1)

Country Link
JP (1) JP7415363B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017004452A (ja) 2015-06-16 2017-01-05 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP2017016238A (ja) 2015-06-29 2017-01-19 株式会社リコー 情報処理システム及びプログラム
WO2017110720A1 (ja) 2015-12-25 2017-06-29 日本電気株式会社 ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体
JP2019049802A (ja) 2017-09-08 2019-03-28 日本電気株式会社 障害解析支援装置、インシデント管理システム、障害解析支援方法及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017004452A (ja) 2015-06-16 2017-01-05 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP2017016238A (ja) 2015-06-29 2017-01-19 株式会社リコー 情報処理システム及びプログラム
WO2017110720A1 (ja) 2015-12-25 2017-06-29 日本電気株式会社 ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体
JP2019049802A (ja) 2017-09-08 2019-03-28 日本電気株式会社 障害解析支援装置、インシデント管理システム、障害解析支援方法及びプログラム

Also Published As

Publication number Publication date
JP2021026412A (ja) 2021-02-22

Similar Documents

Publication Publication Date Title
US11449379B2 (en) Root cause and predictive analyses for technical issues of a computing environment
US11016836B2 (en) Graphical user interface for visualizing a plurality of issues with an infrastructure
JP6959736B2 (ja) ネットワーク障害のトラブルシューティング・オプションの識別
JP6643211B2 (ja) 異常検知システム及び異常検知方法
US10462027B2 (en) Cloud network stability
US10467132B1 (en) Variability system and analytics for continuous reliability in cloud-based workflows
US9077609B2 (en) Scalable reusable scanning of application networks/systems
EP3616066B1 (en) Human-readable, language-independent stack trace summary generation
CN111669281B (zh) 告警分析方法、装置、设备及存储介质
US11551085B2 (en) Method, device, and computer program product for error evaluation
AU2021218159B2 (en) Utilizing machine learning models to determine customer care actions for telecommunications network providers
AU2022259730B2 (en) Utilizing machine learning models to determine customer care actions for telecommunications network providers
CN110895472A (zh) 一种识别业务变更的方法和装置
US11743133B2 (en) Automatic anomaly detection
US11271798B2 (en) Automated network link repair
CN114844792A (zh) 基于lua语言的动态监控方法、装置、设备及存储介质
US9594622B2 (en) Contacting remote support (call home) and reporting a catastrophic event with supporting documentation
JP7415363B2 (ja) ログ分析装置、方法及びプログラム
CN109074293B (zh) 静观候选确定装置、方法以及计算机能读取的存储介质
US20210165907A1 (en) Systems and methods for intelligent and quick masking
US20210027254A1 (en) Maintenance management apparatus, system, method, and non-transitory computer readable medium
CN116415851A (zh) 一种基于深度学习的设施运维性态指标智能识别评价方法
CN113037570B (zh) 告警处理方法及设备
US12056038B2 (en) Log analyzer for fault detection
CN111615124B (zh) 一种服务探测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220701

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230502

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230823

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231218

R151 Written notification of patent or utility model registration

Ref document number: 7415363

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151