JPWO2017104119A1 - ログ分析システム、方法およびプログラム - Google Patents

ログ分析システム、方法およびプログラム Download PDF

Info

Publication number
JPWO2017104119A1
JPWO2017104119A1 JP2017556325A JP2017556325A JPWO2017104119A1 JP WO2017104119 A1 JPWO2017104119 A1 JP WO2017104119A1 JP 2017556325 A JP2017556325 A JP 2017556325A JP 2017556325 A JP2017556325 A JP 2017556325A JP WO2017104119 A1 JPWO2017104119 A1 JP WO2017104119A1
Authority
JP
Japan
Prior art keywords
log
abnormality
output
format
determination target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017556325A
Other languages
English (en)
Other versions
JP6780655B2 (ja
Inventor
遼介 外川
遼介 外川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2017104119A1 publication Critical patent/JPWO2017104119A1/ja
Application granted granted Critical
Publication of JP6780655B2 publication Critical patent/JP6780655B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3485Performance evaluation by tracing or monitoring for I/O devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment

Abstract

本発明は、異常ログが出力された状況に基づいて、異常ログを無視するか否か判定することができるログ分析システム、方法およびプログラムを提供する。本発明の一実施形態に係るログ分析システム100は、過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を記録する異常事例情報記憶部173と、判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する無視判定部140と、を備える。

Description

本発明は、ログの分析を行うためのログ分析システム、方法およびプログラムに関する。
一般的にコンピュータ上で実行されるシステムにおいては、複数の装置およびプログラムから、イベントの結果やメッセージ等を含むログが出力される。ログ分析システムは、出力されたログの中から所定の基準に従って異常なものを検出し、異常ログとしてユーザ(例えば、オペレータ等)に対して出力する。
異常ログの中には、状況に応じて無視できるものが存在する。そのような場合には、ユーザが画面上に表示された異常ログを参照し、画面から無視の指示を入力する。
あるいは、ログ分析システムは、所定の規則に合致する異常ログを自動的に無視する。このような例として、特許文献1に記載の技術は、ユーザから抽出対象とする処理の指定を受け付け、該処理に該当するエラーログを抽出し、該エラーログに対して該処理について予め定義された解析ルールを用いて解析を行う。これにより、ユーザが指定した特定の処理に係るログを抽出し、それ以外のログについては無視することができる。
特開2002−207612号公報
しかしながら、近年のシステムの大型化に伴ってログの数が増大しているため、ユーザが全ての異常ログを参照して個別に無視するか否かの指示を入力することは、大きな負担となる。
また、同一の異常ログが出力されていても、その異常ログが出力された状況(すなわちコンテキスト)によって無視できる場合と無視できない場合が存在する。特許文献1の技術は単純に指定した処理に合致するか否かという規則を用いるため、本来は無視できないコンテキストで出力された異常ログであっても、無視してしまうという問題がある。
異常ログに係るコンテキストには、直前に出力されたログ、性能情報、死活監視情報等の様々な要因が絡み合うため、ユーザが手動でコンテキストを含む規則を定義することは難しい。
本発明は、上述の問題に鑑みて行われたものであって、異常ログが出力された状況に基づいて、異常ログを無視するか否か判定することができるログ分析システム、方法およびプログラムを提供することを目的とする。
本発明の第1の態様は、ログ分析システムであって、過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を記録する記憶部と、判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する判定部と、を備える。
本発明の第2の態様は、ログ分析方法であって、過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を読み出す工程と、判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する工程と、を備える。
本発明の第3の態様は、ログ分析プログラムであって、コンピュータに、過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を読み出す工程と、判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する工程と、を実行させる。
本発明によれば、判定対象のログが出力された状況を示す情報に基づいて、異常ログを無視するか否か判定することができる。
第1の実施形態に係るログ分析システムのブロック図である。 第1の実施形態に係る分析対象ログの模式図である。 第1の実施形態に係るフォーマットの模式図である。 第1の実施形態に係る異常事例情報の模式図である。 第1の実施形態に係るコンテキスト情報の模式図である。 第1の実施形態に係る対応入力画面を示す模式図である。 第1の実施形態に係る異常事例情報選択画面を示す模式図である。 第1の実施形態に係るログ分析システムの概略構成図である。 第1の実施形態に係るログ分析方法のフローチャートを示す図である。 第2の実施形態に係るログ分析システムのブロック図である。 第3の実施形態に係るログ分析システムのブロック図である。 第4の実施形態に係るログ分析システムのブロック図である。 各実施形態に係るログ分析システムのブロック図である。
以下、図面を参照して、本発明の実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。
(第1の実施形態)
図1は、本実施形態に係るログ分析システム100のブロック図である。図1において、矢印は主なデータの流れを示しており、図1に示したもの以外のデータの流れがあってよい。図1において、各ブロックはハードウェア(装置)単位の構成ではなく、機能単位の構成を示している。そのため、図1に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記憶媒体等、任意の手段を介して行われてよい。
ログ分析システム100は、処理部として、ログ入力部110、フォーマット判定部120、ログ異常分析部130、無視判定部140、出力部150および異常事例登録部160を備える。また、ログ分析システム100は、記憶部として、フォーマット記憶部171、モデル記憶部172および異常事例情報記憶部173を備える。
ログ入力部110は、分析対象の期間の分析対象ログ10を取得し、ログ分析システム100に入力する。分析対象ログ10は、ログ分析システム100の外部から取得されてよく、あるいはログ分析システム100の内部に予め記録されたものを読み出すことにより取得されてよい。分析対象ログ10は、1つ以上の装置又はプログラムから出力される1つ以上のログを含む。分析対象ログ10は、任意のデータ形式(ファイル形式)で表されたログであり、例えばバイナリデータ又はテキストデータでよい。また、分析対象ログ10はデータベースのテーブルとして記録されてよく、あるいはテキストファイルとして記録されてよい。
図2Aは、例示的な分析対象ログ10の模式図である。本実施形態における分析対象ログ10は、装置又はプログラムから出力される1つのログを1単位とし、1つ以上の任意の数のログを含む。1つのログは1行の文字列でよく、あるいは複数行の文字列でよい。すなわち、分析対象ログ10は分析対象ログ10に含まれるログの総体を指し、ログは分析対象ログ10から抜き出された1つのログを指す。各ログは、タイムスタンプおよびメッセージ等を含む。ログ分析システム100は、特定の種類のログに限らず、広範な種類のログを分析対象とすることができる。例えば、syslog、イベントログ等のオペレーティングシステムやアプリケーションなどから出力されるメッセージを記録するログを分析対象ログ10として用いることができる。
フォーマット判定部120は、変数抽出部であり、分析対象ログ10に含まれる各ログに対して、フォーマット記憶部171に予め記録されているいずれのフォーマットに適合するかを判定し、適合するフォーマットを用いて各ログを変数部分と定数部分とに分離する。フォーマットとは、ログの特性に基づいて予め決められた、ログの形式である。ログの特性は、互いに類似するログ間で変化しやすい又は変化しづらいという性質や、ログ中で変化しやすい部分とみなせる文字列が記載されているという性質を含む。変数部分とはフォーマットの中で変化可能な部分であり、定数部分とはフォーマットの中で変化しない部分である。入力されたログ中の変数部分の値(数値、文字列およびその他のデータを含む)を変数値と呼ぶ。変数部分および定数部分はフォーマット毎に異なる。そのため、あるフォーマットでは変数部分として定義される部分が、別のフォーマットでは定数部分として定義されることや、その逆があり得る。
図2Bは、フォーマット記憶部171に記録される例示的なフォーマットの模式図である。フォーマットは、一意のIDに関連付けられたフォーマットを表す文字列を含む。フォーマットは、ログ中の変化可能な部分に所定の識別子を記載することによって変数部分として規定し、ログ中の変数部分以外の部分を定数部分として規定する。変数部分の識別子として、例えば「<変数:タイムスタンプ>」はタイムスタンプを表す変数部分を示し、「<変数:文字列>」は任意の文字列を表す変数部分を示し、「<変数:数値>」は任意の数値を表す変数部分を示し、「<変数:IP>」は任意のIPアドレスを表す変数部分を示す。変数部分の識別子はこれらに限られず、正規表現や、取り得る値のリスト等の任意の方法により定義されてよい。また、フォーマットは変数部分を含まずに定数部分のみによって構成されてよく、あるいは定数部分を含まずに変数部分のみによって構成されてよい。
例えば、フォーマット判定部120は、図2Aの5行目のログを、図2BのIDが223であるフォーマットに適合すると判定する。そして、フォーマット判定部120は、判定されたフォーマットに基づいて該ログを処理し、タイムスタンプである「2015/08/17 08:29:59」、文字列である「SV002」およびIPアドレスである「192.168.1.23」を変数値として決定する。
図2Bにおいて、フォーマットは視認性のために文字列のリストで表されているが、任意のデータ形式(ファイル形式)で表されてよく、例えばバイナリデータ又はテキストデータでよい。また、フォーマットはテキストファイルとしてフォーマット記憶部171に記録されてよく、あるいはデータベースのテーブルとしてフォーマット記憶部171に記録されてよい。
ログ異常分析部130は、フォーマット判定部120によりフォーマットが判定されたログに対して、モデル記憶部172に予め記録されているモデルに基づいて異常か否かを判定する。モデルとは、ログの正常な振る舞いの定義である。モデル記憶部172には、1つ以上のモデルが予め記録されている。本実施形態において、モデルは、正常とみなすフォーマットと変数値との組み合わせによって定義される。モデルは、例えばあるフォーマットにおいて数値の変数値が所定の範囲内であること、あるフォーマットにおいて文字列の変数値が登録済のものであること等である。モデルはこれに限られず、任意の定義でよい。
ログ異常分析部130は、入力されたログがモデル記憶部172中のいずれのモデルにも適合しない場合に該ログは異常であると判定する。一方、ログ異常分析部130は、入力されたログがモデル記憶部172中のいずれかのモデルに適合する場合に該ログは正常ログであると判定する。
無視判定部140は、ログ異常分析部130から出力される異常ログに対して、異常事例情報記憶部173に記録された異常事例情報に基づいて無視するか否かの判定を行う。異常事例情報は、過去にユーザからの入力に基づいて無視された異常ログが出力された状況(すなわちコンテキスト)を示す情報である。
図3Aは、例示的な異常事例情報の模式図である。異常事例情報は、一意の識別子である異常事例IDに関連付けられた、フォーマットの識別子であるフォーマットIDおよび該フォーマットに適用される変数値を含む。フォーマットIDおよび変数値は、無視判定部140が判定対象とする異常ログ自身が有する情報である。フォーマットIDは異常ログがいずれのフォーマットに該当するかを示し、変数値は異常ログが該フォーマット中で有する具体的な変数値を示す。
さらに、異常事例情報は、異常事例IDに関連付けられた、直前シーケンス、CPU使用率、および停止デバイスを含む。直前シーケンス、CPU使用率および停止デバイスは、無視判定部140が判定対象とする異常ログが出力された環境の情報である。
直前シーケンスは、シーケンス情報であり、異常ログが出力された時刻以前の所定の時間以内(例えば5分以内)に出力されたログのフォーマットIDのリストである。シーケンスは、リスト中のフォーマットIDの順列又は組み合わせである。図3Aの異常事例情報は、直前シーケンスとして異常ログの前にフォーマットIDが039、585、585のログが順に出現することを示す。ここでシーケンス情報は異常ログ自身のフォーマットIDを含まないが、含んでもよい。シーケンス情報は、異常ログが出力された時刻以前のログに限られず、該時刻を基準とした前後の所定の時間以内のログから取得されてよい。また、シーケンス情報は、所定の時間以内のログに限られず、所定の個数(例えば3個)のログから取得されてよい。
CPU使用率は、性能情報であり、異常ログが出力された時刻における、該異常ログに関連する装置のCPUの使用率である。図3Aの異常事例情報は、異常ログが出力された時刻におけるCPU使用率が37%であることを示す。異常ログに関連する装置(サーバ、ネットワーク機器、仮想マシン等)は、例えば異常ログを出力した装置、あるいは異常ログを出力した装置に接続された装置である。異常ログに関連する装置が複数存在する場合には、CPU使用率として、複数の装置のCPU使用率の平均値を用いてよく、あるいは複数の装置のCPU使用率のリストを用いてよい。また、性能情報として、CPU使用率に限られず、メモリの使用率、ネットワークの通信量、又はそれらの組み合わせ等、装置の性能に係る任意の情報を用いてよい。
停止デバイスは、死活監視情報であり、異常ログが出力された時刻に停止中の装置又はプログラムのリストである。図3Aの異常事例情報は、SV003の識別子(ここではサーバ名)を有する装置が停止中であることを示す。死活監視情報として、停止デバイスに限られず、実行中の装置又はプログラムのリスト等、装置又はプログラムの稼動状態に係る任意の情報を用いてよい。死活監視情報の対象は、装置に配線又はネットワークを介して接続されている装置、装置間を接続するネットワーク機器、実行中の仮想マシン又はプログラム等の任意の装置又はプログラムでよい。
また、異常事例情報は、フォーマットの出現比率を含んでよい。フォーマットの出現比率は、異常ログが出力された時刻を基準とした所定の時間以内(例えば5分以内)に出力されたログのフォーマットIDの割合である。フォーマットの出現比率は異常ログ自身を含んでよく、又は含まなくてよい。例えば図3Aでは、異常ログが出力された時刻から遡って5分以内における、039のフォーマットIDが約33%であり、585のフォーマットIDが約66%であるというフォーマットの出現比率を算出することができる。
また、異常事例情報は、シーケンスの出現比率を含んでよい。シーケンスの出現比率は、異常ログが出力された時刻を基準とした所定の時間以内(例えば5分以内)に出力されたログのシーケンス(フォーマットIDの順列又は組み合わせ)の割合である。フォーマットの出現比率は異常ログ自身を含んでよく、又は含まなくてよい。例えば図3Aでは、異常ログが出力された時刻から遡って5分以内における、039、585のフォーマットIDを順に含むシーケンスが50%であり、585、585のフォーマットIDを順に含むシーケンスが50%であるというシーケンスの出現比率を算出することができる。
異常事例情報として、これらの情報の全てに限らず、これらの情報のうち少なくとも一部が用いられてよい。
異常事例情報は、後述する異常事例登録部160によって、過去にユーザからの入力に基づいて無視された異常ログが出力された状況に基づいて生成され、異常事例情報記憶部173に記録される。無視判定部140は、このような異常事例情報を用いることによって、異常ログが出力される状況(コンテキスト)に基づいて自動的に無視するか否かの判定を行うことができる。
無視判定部140は、判定対象の異常ログが出力される状況を示す情報(コンテキスト情報という)を収集する。図3Bは、例示的なコンテキスト情報の模式図である。コンテキスト情報の項目は、上述した過去の異常ログから生成された異常事例情報の項目に対応している。無視判定部140は、異常ログを出力する装置、および異常ログに関連する装置から、コンテキスト情報を収集する。
本実施形態に係るコンテキスト情報は、判定対象である異常ログと、該異常ログが出力された時刻以前の所定の時間以内(例えば5分以内)に出力されたログ(直前ログという)とを含む。直前ログは、異常ログが出力された時刻以前のログに限られず、該時刻を基準とした前後の所定の時間以内のログでもよい。なお、各ログの末尾には参考のために括弧書きでフォーマット判定部120によって判定されたフォーマットのフォーマットIDが付記されているが、フォーマットID自体はログに含まれない。さらに、本実施形態に係るコンテキスト情報は、異常ログが出力された時刻における該異常ログに関連する装置のCPU使用率、および該時刻における停止デバイスを含む。
無視判定部140は、判定対象の異常ログから生成したコンテキスト情報が、異常事例情報記憶部173に記録されたいずれの異常事例情報に類似するかを判定する。本実施形態において、無視判定部140は、以下の(1)〜(5)の条件が全て満たされる場合に、コンテキスト情報と異常事例情報とが類似していることを判定する。
(1)コンテキスト情報の異常ログのフォーマットIDと、異常事例情報のフォーマットIDとが合致すること
具体的には、無視判定部140は、コンテキスト情報の異常ログのフォーマットIDが、異常事例情報のフォーマットIDと同一である場合に、合致していると判定する。
(2)コンテキスト情報の異常ログ中の各変数値と、異常事例情報の各変数値とが類似すること
具体的には、無視判定部140は、変数値が文字列のとき、コンテキスト情報の異常ログ中の変数値が、異常事例情報の変数値を基準として所定の規則(例えば末尾の1文字以外が一致すること、あるいは一定の文字列と変化する数字の組み合わせで定義されていること)に合致している場合に、類似していると判定する。また、無視判定部140は、変数値が数値のとき、コンテキスト情報の異常ログ中の変数値が、異常事例情報の変数値を基準として所定の範囲内(例えば−10%〜+10%)である場合に、類似していると判定する。
(3)コンテキスト情報の直前ログが、異常事例情報の直前シーケンスに合致すること
具体的には、無視判定部140は、コンテキスト情報の直前ログのフォーマットIDの順列又は組み合わせが、異常事例情報の直前シーケンスのフォーマットIDの順列又は組み合わせと同一である場合に、合致していると判定する。なお、無視判定部140は、コンテキスト情報の直前ログの全てではなく、一部が直前シーケンスと同一である場合に合致していると判定してもよい。
(4)コンテキスト情報のCPU使用率と、異常事例情報のCPU使用率とが類似すること
具体的には、無視判定部140は、コンテキスト情報のCPU使用率が、異常事例情報のCPU使用率を基準として所定の範囲内(例えば−10%〜+10%)である場合に、類似していると判定する。
(5)コンテキスト情報の停止デバイスが、異常事例情報の停止デバイスに類似すること
具体的には、無視判定部140は、コンテキスト情報の停止デバイスの少なくとも一部が、異常事例情報の停止デバイスと同一である場合に、類似していると判定する。なお、無視判定部140は、コンテキスト情報の停止デバイスの一部ではなく、全てが異常事例情報の停止デバイスと同一である場合に類似していると判定してもよい。
無視判定部140は、(1)〜(5)の条件の全てではなく、一部が満たされる場合に、コンテキスト情報と異常事例情報とが類似していることを判定してもよい。また、(1)〜(5)の条件に代えて又は加えて、上述のフォーマットの出現比率又はシーケンスの出現比率を条件として用いてもよい。
無視判定部140は、判定対象の異常ログから生成したコンテキスト情報が、異常事例情報記憶部173に記録されたいずれかの異常事例情報に類似すると判定した場合に、該異常ログを無視する。異常ログを無視することは、出力部150からの異常ログの出力等を行わず、ユーザによる対応を求めないことである。一方、無視判定部140は、判定対象の異常ログから生成したコンテキスト情報が、異常事例情報記憶部173に記録されたいずれの異常事例情報にも類似しないと判定した場合に、出力部150に該異常ログを入力する。
出力部150は、無視判定部140によっていずれの異常事例情報にも類似しないと判定された異常ログの出力を行う。本実施形態において、出力部150は表示装置20に異常ログを出力し、表示装置20はユーザに向けて異常ログを対応入力画面画像として表示する。出力部150は、異常ログとともに、音や光を発生すること、あるいは表示装置20上での所定のメッセージを表示することによってアラートを出力してもよい。
表示装置20は、画像を表示するための液晶ディスプレイ、CRT(Cathode Ray Tube)ディスプレイ等の表示部を備える。また、表示装置20は、キーボード、マウス、タッチパネル等の入力装置を備え、ユーザからの入力を受け付ける。そして、表示装置20は、ユーザにより入力された各異常ログに対する対応内容をログ分析システム100に入力する。
図4は、表示装置20を用いる例示的な対応入力画面Aを示す模式図である。図4に示す対応入力画面Aは、ログ異常分析部130から出力された異常ログA1と、各異常ログA1に対する対応内容を指定する選択ボックスA2と、選択した内容を登録するための設定ボタンA3とを含む。選択ボックスA2は、異常ログA1に対する対応内容として、例えば異常ログA1を無視することを示す「無視」、異常ログA1に対して何らかの対応を行ったことを示す「対応済」、および対応の判断をまだ行っていないことを示す「保留」を含む。
ユーザは、入力装置を用いて、各異常ログA1に対して選択ボックスA2上で対応内容を選択した後、設定ボタンA3を押下する。その後、ログ分析システム100は、選択ボックスA2上で選択された対応内容を各異常ログA1に関連付けて記録する。さらに、選択ボックスA2上で選択された対応内容が、異常ログA1を無視することを示す場合に、後述する異常事例登録部160は該異常ログA1に基づいて異常事例情報を生成し、異常事例情報記憶部173に登録する。
図4に示す対応入力画面Aは一例であり、ユーザが異常ログに対する対応内容を入力できれば、いずれの方法を用いてもよい。
異常事例登録部160は、ユーザによって無視すると判断された異常ログから異常事例情報を生成し、異常事例情報記憶部173に記録する。具体的には、まず異常事例登録部160は、判定対象の異常ログに対して、ユーザが入力装置を用いて入力した対応内容を読み取る。ユーザにより入力される対応内容が判定対象の異常ログを無視することを示す場合に、異常事例登録部160は、上述の無視判定部140と同様の方法で、判定対象の異常ログに係るコンテキスト情報を収集する。異常事例登録部160は、収集されたコンテキスト情報に基づいて、異常事例情報を生成し、異常事例情報記憶部173に登録する。
例として、異常事例登録部160が図3Bに示すコンテキスト情報に基づいて図3Aに示す異常事例情報を生成する方法を以下に説明する。異常事例情報の異常事例IDは、異常事例情報記憶部173に未登録の任意の文字列又は数値を取得することにより生成される。異常事例情報のフォーマットIDおよび変数値は、フォーマット判定部120による判定結果を用いて、コンテキスト情報の異常ログからフォーマットIDおよび変数値(ただし、ここではタイムスタンプを除外)を抽出することによって生成される。異常事例情報の直前シーケンスは、フォーマット判定部120による判定結果を用いて、コンテキスト情報の直前ログからフォーマットIDを抽出することによって生成される。異常事例情報のCPU使用率および停止デバイスは、コンテキスト情報のCPU使用率および停止デバイスと同一である。コンテキスト情報に基づいて異常事例情報を生成する方法は、これらに限られず、値を除外すること、値を変換すること、値をパターン化すること等、任意の規則を用いてよい。
また、異常事例登録部160は、下記の通りユーザによる入力操作に基づいて異常事例情報を選択してもよい。上述の対応入力画面Aにおいてユーザによって異常ログを無視するという対応内容が入力された場合、異常事例登録部160は、まず、該異常ログに基づき、仮の異常事例情報を生成する。次に、異常事例登録部160は、表示装置20を介して、ユーザに対して仮の異常事例情報を提示する。図5は、表示装置20を用いる例示的な異常事例情報選択画面Bを示す模式図である。図5に示す異常事例情報選択画面Bは、異常事例登録部160により生成された異常事例情報B1と、異常事例情報B1に含まれる各情報(異常ログ、直前ログ、性能情報および死活監視情報)について対応内容を決定する根拠とした情報か否かを選択するチェックボックスB2と、選択した内容を登録するための設定ボタンB3とを含む。チェックボックスB2がオンになっている場合には対応する情報が選択されており、チェックボックスB2がオフになっている場合には対応する情報の選択が解除されていることを示す。
ユーザは、異常事例情報選択画面Bにおいて対応内容を決定する根拠とした情報を、チェックボックスB2を用いて選択し、設定ボタンB3を押下する。その後、異常事例登録部160は、ユーザの入力に基づいて選択された異常事例情報を異常事例情報記憶部173に登録する。例えば、異常事例登録部160は、異常事例情報のうち直前ログのみが選択された場合、性能情報や死活監視情報などの選択されなかったその他の情報を、異常事例情報から削除してもよい。あるいは、異常事例登録部160は、無視判定部140が過去の異常事例と照合を行う際に、前記その他の情報を類似判定の条件としないように異常事例情報中に定義してもよい。
図5に示す異常事例情報選択画面Bは一例であり、ユーザが異常事例情報の選択内容を入力できれば、いずれの方法を用いてもよい。例えば、異常ログに含まれる各変数値についてチェックボックスB2を設け、ユーザによる選択を受け付けてもよい。また、直前ログに含まれる各ログについてチェックボックスB2を設け、ユーザによる選択を受け付けてもよい。
図6は、本実施形態に係るログ分析システム100の例示的な機器構成を示す概略構成図である。ログ分析システム100は、CPU(Central Processing Unit)101と、メモリ102と、記憶装置103と、通信インターフェース104とを備える。ログ分析システム100は、表示装置20に通信インターフェース104を介して接続されてよく、あるいは表示装置20を含んでよい。ログ分析システム100は独立した装置でよく、あるいは他の装置と一体に構成されてよい。
通信インターフェース104は、データの送受信を行う通信部であり、有線通信および無線通信の少なくとも一方の通信方式を実行可能に構成される。通信インターフェース104は、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子等を含む。通信インターフェース104は、CPU101からの信号に従って、該通信方式を用いてネットワークに接続され、通信を行う。通信インターフェース104は、例えば分析対象ログ10を外部から受信する。
記憶装置103は、ログ分析システム100が実行するプログラムや、プログラムによる処理結果のデータ等を記憶する。記憶装置103は、読み取り専用のROM(Read Only Memory)や、読み書き可能のハードディスクドライブ又はフラッシュメモリ等を含む。また、記憶装置103は、CD−ROM等のコンピュータ読取可能な可搬記憶媒体を含んでもよい。メモリ102は、CPU101が処理中のデータや記憶装置103から読み出されたプログラムおよびデータを一時的に記憶するRAM(Random Access Memory)等を含む。
CPU101は、処理に用いる一時的なデータをメモリ102に一時的に記録し、記憶装置103に記録されたプログラムを読み出し、該プログラムに従って該一時的なデータに対して種々の演算、制御、判別などの処理動作を実行する処理部としてのプロセッサである。また、CPU101は、記憶装置103に処理結果のデータを記録し、また通信インターフェース104を介して処理結果のデータを外部に送信する。
本実施形態においてCPU101は、記憶装置103に記録されたプログラムを実行することによって、図1のログ入力部110、フォーマット判定部120、ログ異常分析部130、無視判定部140、出力部150および異常事例登録部160として機能する。また、本実施形態において記憶装置103は、図1のフォーマット記憶部171、モデル記憶部172および異常事例情報記憶部173として機能する。
ログ分析システム100は、図6に示す具体的な構成に限定されない。ログ分析システム100は、1つの装置に限られず、2つ以上の物理的に分離した装置が有線又は無線で接続されることにより構成されていてもよい。ログ分析システム100に含まれる各部は、それぞれ電気回路構成により実現されていてもよい。ここで、電気回路構成とは、単一のデバイス、複数のデバイス、チップセット又はクラウドを概念的に含む文言である。
また、ログ分析システム100の少なくとも一部がSaaS(Software as a Service)形式で提供されてよい。すなわち、ログ分析システム100を実現するための機能の少なくとも一部が、ネットワーク経由で実行されるソフトウェアによって実行されてよい。
図7は、本実施形態に係るログ分析方法のフローチャートを示す図である。まず、フォーマット判定部120は分析対象ログ10に含まれる各ログがフォーマット記憶部171に予め記録されているいずれのフォーマットに合致するかを判定し、ログ異常分析部130はフォーマットが判定された分析対象ログ10の各ログに対してモデル記憶部172に予め記録されているモデルに基づいて異常か否かを判定する(ステップS101)。ログ異常分析部130は、入力されたログがモデル記憶部172中のいずれのモデルにも適合しない場合に該ログは異常ログであると判定する。一方、ログ異常分析部130は、入力されたログがモデル記憶部172中のいずれかのモデルに適合する場合に該ログは正常ログであると判定する。
以降の処理は、ステップS101で取得された異常ログの1つ1つを判定対象として行われる。複数の異常ログが並行して処理されてよく、あるいは1つの異常ログの処理が終了した後に別の1つの異常ログが処理されてよい。
無視判定部140は、異常事例情報記憶部173に記録された異常事例情報に基づいて、判定対象の異常ログが、既知の異常事例に該当するか否かを判定する(ステップS102)。具体的には、無視判定部140は、異常事例情報記憶部173に記録された異常事例情報のフォーマットIDの中に異常ログのフォーマットIDと一致するものが存在する場合に判定対象の異常ログは既知の異常事例に該当すると判定し、そうでない場合に既知の異常事例に該当しないと判定する。また、フォーマットIDが一致するか否かに加えて、異常ログ中の変数値が異常事例情報中の変数値に一致又は類似するか否かに基づいて、判定対象の異常ログが既知の異常事例に該当するか否かを判定してもよい。
ステップS102において判定対象の異常ログが既知の異常事例に該当すると判定された場合には(ステップS103のYES)、無視判定部140は、判定対象の異常ログのコンテキスト情報の収集を行う(ステップS104)。本実施形態において、コンテキスト情報は、異常ログ自身、直前ログ、CPU使用率、および停止デバイスを含む。具体的には、無視判定部140は、フォーマット判定部120によってフォーマットが判定されたログ(すなわち、異常ログおよび正常ログ)のうち、異常ログが出力された時刻から遡って所定の時間以内(例えば5分以内)に出力されたものを直前ログとして取得する。異常ログが出力された時刻は、例えば異常ログ中のタイムスタンプの部分から取得される。また、無視判定部140は、不図示の性能情報監視システム(装置又はプログラム)から、異常ログが出力された時刻における異常ログを出力した装置のCPUの使用率をCPU使用率として取得する。また、無視判定部140は、不図示の死活監視システム(装置又はプログラム)から、異常ログが出力された時刻における停止中の装置又はプログラムのリストを、停止デバイスとして取得する。
次に、無視判定部140は、異常事例情報記憶部173に記録された各異常事例情報と、ステップS104で取得された異常ログのコンテキスト情報との比較を行う(ステップS105)。上述のように、無視判定部140は、コンテキスト情報の異常ログ、直前ログ、CPU使用率、および停止デバイスが、異常事例情報記憶部173に記録されたいずれかの異常事例情報に対して所定の条件を満たす場合に、判定対象の異常ログのコンテキスト情報は、該異常事例情報と類似すると判定する。
ステップS105において判定対象の異常ログのコンテキスト情報が、異常事例情報記憶部173に記録されたいずれかの異常事例情報に類似すると判定された場合には(ステップS106のYES)、無視判定部140は、判定対象の異常ログを無視する(ステップS107)。そして、判定対象の異常ログに対する処理は終了する。
ステップS102において判定対象の異常ログが既知の異常事例に該当しないと判定された場合(ステップS103のNO)、あるいはステップS105においてコンテキスト情報が異常事例情報記憶部173に記録されたいずれの異常事例情報にも類似しないと判定された場合には(ステップS106のNO)、出力部150は、表示装置20を用いて、ユーザに対して異常ログを出力する(ステップS108)。
ユーザはステップS108で出力された異常ログを参照し、入力装置を用いて対応内容を入力する。ログ分析システム100は、ユーザから入力された対応内容に応じた対応を行う。例えば、対応内容が「無視」であればその異常ログを無視するものとして表示装置20上からその異常ログを消去し、「保留」であれば表示装置20上のその異常ログの表示を継続する。また、ログ分析システム100は、その他入力された対応内容に応じて所定の処理を行ってよい。
次に、異常事例登録部160は、ユーザから入力された対応内容を読み取る(ステップS109)。そして、ステップS109で読み取られた対応内容が異常ログの無視を示す場合に(ステップS110のYES)、異常事例登録部160は、判定対象の異常ログのコンテキスト情報の収集を行う(ステップS111)。異常事例登録部160は、ステップS111で収集されたコンテキスト情報に基づいて、異常事例情報を生成し、異常事例情報記憶部173に登録する(ステップS112)。そして、判定対象の異常ログに対する処理は終了する。
ステップS109で読み取られた対応内容が異常ログの無視以外の対応を示す場合に(ステップS110のNO)、判定対象の異常ログに対する処理は終了する。
一般的に、同一の種類の異常ログが出力されていても、その異常ログが出力された状況、すなわちコンテキストによって無視できる場合と無視できない場合が存在する。本実施形態に係るログ分析システム100は、判定対象の異常ログのコンテキスト情報に基づいて、無視するか否かを決定する。そのため、異常ログが出力された状況に応じて、異常ログを自動的に無視することができる。さらに、ログ分析システム100は、ユーザにより無視された異常ログから異常事例情報を自動的に生成するため、異常ログに係るコンテキスト情報から異常事例情報を容易に定義することができる。
(第2の実施形態)
本実施形態では、異常事例情報を生成する際に、異常ログの出力時以外にも広く発生しているログやシーケンスを異常事例情報の元となるコンテキスト情報から除外する。これにより、異常ログが既知の異常事例か否かの判定に貢献しない情報を用いずに判定を行うことができ、判定の精度を向上させることができる。
図8は、本実施形態に係るログ分析システム200のブロック図である。ログ分析システム200は、図1の構成に加えて、処理部である異常事例選別部280、および記憶部である判定済ログ記憶部274を備える。
判定済ログ記憶部274は、フォーマット判定部120によりフォーマットが判定されたログ(すなわち、異常ログおよび正常ログ)を逐次記録し、蓄積する。異常事例選別部280は、異常事例登録部160の前段に設けられ、判定済ログ記憶部274に記録されたログに基づいて、異常事例情報の生成のために異常事例登録部160に入力される情報を選別する。
具体的には、異常事例選別部280は、コンテキスト情報中の直前ログから、判定済ログ記憶部274に記録されたログにおいて広く発生しているフォーマットIDに該当するものを除外する。広く発生しているフォーマットIDは、例えば単位時間あたりの出現数(すなわち出現頻度)が所定の閾値以上であるフォーマットIDである。広く発生しているフォーマットIDの定義として、その他任意の定義を用いてよい。
別の方法として、異常事例選別部280は、コンテキスト情報中の直前ログから、判定済ログ記憶部274に記録されたログにおいて広く発生しているシーケンスに該当するものを除外する。広く発生しているシーケンスは、例えば単位時間あたりの出現数が所定の閾値以上である、複数のフォーマットIDの順列又は組み合わせである。広く発生しているシーケンスの定義として、その他任意の定義を用いてよい。また、コンテキスト情報から、広く発生しているフォーマットIDおよびシーケンスの両方を除外してもよい。
そして、異常事例登録部160は、異常事例選別部280によって内容が選別されたコンテキスト情報に基づいて、無視された異常ログに係る異常事例情報を生成し、異常事例情報記憶部173に登録する。
異常ログの出力時以外にも広く発生しているログのフォーマットおよびシーケンスは、異常とは関係なく出力されるため、異常事例に該当するか否かの判定には貢献せず、むしろ判定の精度を低下させる蓋然性が高い。本実施形態に係るログ分析システム200において、異常事例登録部160は異常ログの出力時以外にも広く発生しているログのフォーマット又はシーケンスが除外された異常事例情報を生成する。そのため、無視判定部140は、異常ログの出力時以外にも広く発生しているログのフォーマット又はシーケンスの情報を用いずに、判定対象の異常ログが過去の異常事例に該当するか否か(すなわち、自動的に無視するか否か)を判定することができる。
(第3の実施形態)
本実施形態では、異常事例情報を生成する際に、異常ログに含まれる変数値を含むログ、および異常ログに含まれる変数値に関連する性能情報、死活監視情報のみを用いる。これにより、判定対象の異常ログの内容に直接関係する情報のみを用いて判定を行うことができ、判定の精度を向上させることができる。
図9は、本実施形態に係るログ分析システム300のブロック図である。ログ分析システム300は、図1の構成に加えて、処理部である共通変数抽出部380を備える。
共通変数抽出部380は、異常事例登録部160の前段に設けられ、判定対象の異常ログに含まれる変数値に基づいて、異常事例情報の生成のために異常事例登録部160に入力される情報を選別する。
具体的には、共通変数抽出部380は、フォーマット判定部120により判定されたフォーマットに基づいて、判定対象の異常ログから変数値(共通変数値という)を抽出する。このとき、共通変数抽出部380は、共通変数値として、全ての変数値を用いてよく、あるいは所定の規則に基づいて選択される一部の変数値を用いてよい。例えば、異常ログ中の変数値の中で、構成要素(サーバ、ネットワーク機器、仮想マシン、アプリケーション等)に係るもののみを用いてよい。
そして、共通変数抽出部380は、異常ログが出力された時刻以前の所定の時間以内(例えば5分以内)に出力されたログのうち、共通変数値のいずれかを含むログを、コンテキスト情報中の直前ログとする。直前ログは、異常ログが出力された時刻以前のログに限られず、該時刻を基準とした前後の所定の時間以内のログでもよい。また、共通変数抽出部380は、異常ログが出力された時刻における、共通変数値のいずれかに合致する装置の性能情報(例えばCPU使用率)を、コンテキスト情報中の性能情報とする。また、共通変数抽出部380は、異常ログが出力された時刻における、共通変数値のいずれかに合致する装置の死活監視情報(例えば停止デバイス)を、コンテキスト情報中の死活監視情報とする。
そして、異常事例登録部160は、共通変数抽出部380によって抽出されたコンテキスト情報に基づいて、無視された異常ログに係る異常事例情報を生成し、異常事例情報記憶部173に登録する。
本実施形態に係るログ分析システム300において、異常事例登録部160は異常ログに含まれる変数値(共通変数値)を含むログ又は共通変数値に合致する装置の性能情報、死活監視情報のみを用いて、異常事例情報を生成する。そのため、無視判定部140は、異常ログに直接関係する情報のみを用いて、判定対象の異常ログが過去の異常事例に該当するか否か(すなわち、自動的に無視するか否か)を判定することができる。
(第4の実施形態)
図10は、本実施形態に係るログ分析システム400のブロック図である。ログ分析システム400は、図1の構成に加えて、フォーマット学習部491およびモデル学習部492を備える。
フォーマット学習部491は、フォーマット判定部120がフォーマットの判定を行う際、判定対象のログがフォーマット記憶部171に記録されているいずれのフォーマットにも適合しない場合に、新たなフォーマットを作成してフォーマット記憶部171に記録する。
フォーマット学習部491がフォーマットを学習するための第1の方法として、フォーマット学習部491は、フォーマットが未知である複数のログを蓄積し、それらに対して統計的に変化する変数部分と変化しない定数部分とを分離することによって、新たなフォーマットとして定義することができる。フォーマット学習部491がフォーマットを学習するための第2の方法として、フォーマット学習部491は、既知の変数値のリストを読み込み、フォーマットが未知であるログの中で既知の変数値と一致する又は類似する部分を変数部分と判定し、それ以外の部分を定数部分と判定することによって、新たなフォーマットを定義することができる。既知の変数値として、値そのものを用いてよく、あるいは正規表現のようなパターンを用いてよい。フォーマットの学習方法はこれらに限られず、入力されたログに対して新たなフォーマットを定義することが可能な任意の学習アルゴリズムを用いてよい。
モデル学習部492は、ログ異常分析部130がモデルの判定を行う際、判定対象のログがモデル記憶部172に記録されているいずれのモデルにも適合しない場合に、新たなモデルを作成してモデル記憶部172に記録する。
通常、ログ異常分析部130はモデル記憶部172に予め記録されているいずれのモデルにも適合しないログを異常ログと判定するが、モデルが未知であるログであっても正常ログである場合がある。この場合に、ユーザは入力装置を介してモデル記憶部172のモデルに適合しないログが正常ログであるという指示を入力すると、モデル学習部492は当該ログのフォーマットおよび変数値に基づいて新たなモデルを作成し、モデル記憶部172に記録する。モデルの学習方法はこれに限られず、入力されたログから新たにモデルを定義することが可能な任意の学習アルゴリズムを用いてよい。
以上のように、ログ分析システム400は、フォーマットおよびモデルの学習部を備えるため、未知のフォーマットおよびモデルを含むログから新たにフォーマットおよびモデルを生成し、記録することができる。
(その他の実施形態)
図11は、上述の各実施形態に係るログ分析システム100、200、300、400の概略構成図である。図11には、ログ分析システム100、200、300、400が異常事例情報に基づいて判定対象の異常ログを無視するか否かの判定を行う装置として機能するための構成例が示されている。ログ分析システム100、200、300、400は、過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を記録する記憶部としての異常事例情報記憶部173と、判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する判定部としての無視判定部140と、を備える。
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。
上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図7に示す処理をコンピュータに実行させるプログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。
該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。
上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を記録する記憶部と、
判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する判定部と、
を備えるログ分析システム。
(付記2)
ユーザにより入力された前記判定対象のログに対する対応内容を読み取り、前記対応内容が前記判定対象のログを無視することを示す場合に、前記判定対象のログが出力された状況を示す情報を、前記無視されたログが出力された状況を示す情報として前記記憶部に記録する登録部を備える、付記1に記載のログ分析システム。
(付記3)
前記判定対象のログが、前記判定対象のログの中で変化可能な変数部分と前記判定対象のログの中で変化しない定数部分とを含む、予め決められた複数の形式のいずれに合致するか判定する形式判定部をさらに備え、
前記判定対象のログが出力された状況を示す情報は、前記判定対象のログの前記形式、および前記判定対象のログ中の前記変数部分の値の少なくとも一方を含む、付記1又は2に記載のログ分析システム。
(付記4)
前記形式判定部は、前記判定対象のログが出力された時刻を基準として所定の時間内に出力された複数のログが、前記予め決められた複数の形式のいずれに合致するか判定するようにさらに構成され、
前記判定対象のログが出力された状況を示す情報は、前記複数のログの前記形式の順列又は組み合わせを含む、付記3に記載のログ分析システム。
(付記5)
前記形式判定部により前記形式が判定されたログを蓄積する判定済ログ記憶部をさらに備え、
前記複数のログの前記形式の順列又は組み合わせから、前記判定済ログ記憶部に蓄積されたログ中に所定の閾値以上の頻度で出現する前記形式を除外する選別部をさらに備える、付記4に記載のログ分析システム。
(付記6)
前記判定対象のログが出力された状況を示す情報から、前記判定対象のログ中の前記変数部分の値を含む情報のみを抽出する抽出部をさらに備える、付記3〜5のいずれか一項に記載のログ分析システム。
(付記7)
前記判定対象のログが出力された状況を示す情報は、前記判定対象のログに関連する装置の性能情報および死活監視情報の少なくとも一方を含む、付記1〜6のいずれか一項に記載のログ分析システム。
(付記8)
過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を読み出す工程と、
判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する工程と、
を備えるログ分析方法。
(付記9)
コンピュータに、
過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を読み出す工程と、
判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する工程と、
を実行させるログ分析プログラム。
この出願は、2015年12月14日に出願された日本出願特願2015−242945を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (9)

  1. 過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を記録する記憶部と、
    判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する判定部と、
    を備えるログ分析システム。
  2. ユーザにより入力された前記判定対象のログに対する対応内容を読み取り、前記対応内容が前記判定対象のログを無視することを示す場合に、前記判定対象のログが出力された状況を示す情報を、前記無視されたログが出力された状況を示す情報として前記記憶部に記録する登録部を備える、請求項1に記載のログ分析システム。
  3. 前記判定対象のログが、前記判定対象のログの中で変化可能な変数部分と前記判定対象のログの中で変化しない定数部分とを含む、予め決められた複数の形式のいずれに合致するか判定する形式判定部をさらに備え、
    前記判定対象のログが出力された状況を示す情報は、前記判定対象のログの前記形式、および前記判定対象のログ中の前記変数部分の値の少なくとも一方を含む、請求項1又は2に記載のログ分析システム。
  4. 前記形式判定部は、前記判定対象のログが出力された時刻を基準として所定の時間内に出力された複数のログが、前記予め決められた複数の形式のいずれに合致するか判定するようにさらに構成され、
    前記判定対象のログが出力された状況を示す情報は、前記複数のログの前記形式の順列又は組み合わせを含む、請求項3に記載のログ分析システム。
  5. 前記形式判定部により前記形式が判定されたログを蓄積する判定済ログ記憶部をさらに備え、
    前記複数のログの前記形式の順列又は組み合わせから、前記判定済ログ記憶部に蓄積されたログ中に所定の閾値以上の頻度で出現する前記形式を除外する選別部をさらに備える、請求項4に記載のログ分析システム。
  6. 前記判定対象のログが出力された状況を示す情報から、前記判定対象のログ中の前記変数部分の値を含む情報のみを抽出する抽出部をさらに備える、請求項3〜5のいずれか一項に記載のログ分析システム。
  7. 前記判定対象のログが出力された状況を示す情報は、前記判定対象のログに関連する装置の性能情報および死活監視情報の少なくとも一方を含む、請求項1〜6のいずれか一項に記載のログ分析システム。
  8. 過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を読み出す工程と、
    判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する工程と、
    を備えるログ分析方法。
  9. コンピュータに、
    過去にユーザからの入力に基づいて無視されたログが出力された状況を示す情報を読み出す工程と、
    判定対象のログが出力された状況を示す情報が、前記無視されたログが出力された状況を示す情報に類似する場合に、前記判定対象のログを無視することを判定する工程と、
    を実行させるログ分析プログラム。

JP2017556325A 2015-12-14 2016-12-08 ログ分析システム、方法およびプログラム Active JP6780655B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015242945 2015-12-14
JP2015242945 2015-12-14
PCT/JP2016/005083 WO2017104119A1 (ja) 2015-12-14 2016-12-08 ログ分析システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2017104119A1 true JPWO2017104119A1 (ja) 2018-09-27
JP6780655B2 JP6780655B2 (ja) 2020-11-04

Family

ID=59056210

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017556325A Active JP6780655B2 (ja) 2015-12-14 2016-12-08 ログ分析システム、方法およびプログラム

Country Status (3)

Country Link
US (1) US20180365124A1 (ja)
JP (1) JP6780655B2 (ja)
WO (1) WO2017104119A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10514974B2 (en) * 2015-02-17 2019-12-24 Nec Corporation Log analysis system, log analysis method and program recording medium
US10516684B1 (en) * 2016-04-21 2019-12-24 Instart Logic, Inc. Recommending and prioritizing computer log anomalies
CN108762965A (zh) * 2018-05-22 2018-11-06 东旭集团有限公司 日志查找方法、系统及生产设备
JP7111965B2 (ja) * 2018-09-03 2022-08-03 富士通株式会社 情報処理方法、情報処理装置および情報処理プログラム
JP7103427B2 (ja) * 2018-10-11 2022-07-20 日本電信電話株式会社 情報処理装置、データ分析方法及びプログラム
CN112805687A (zh) * 2018-10-11 2021-05-14 日本电信电话株式会社 信息处理装置、异常分析方法以及程序
CN111274059B (zh) * 2020-01-21 2023-10-10 浙江大华技术股份有限公司 一种从设备的软件异常处理方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008198123A (ja) * 2007-02-15 2008-08-28 Hitachi Information Systems Ltd 障害検知システム及び障害検知プログラム
JP2009075817A (ja) * 2007-09-20 2009-04-09 Hitachi Ltd ログ解析方法、ログ格納装置及びプログラム
JP2014106851A (ja) * 2012-11-29 2014-06-09 Fujitsu Ltd 情報処理装置、情報処理方法及びプログラム
WO2014196129A1 (ja) * 2013-06-03 2014-12-11 日本電気株式会社 障害分析装置、障害分析方法、および、記録媒体
WO2015146086A1 (ja) * 2014-03-28 2015-10-01 日本電気株式会社 ログ分析システム、障害原因分析システム、ログ分析方法、および、記録媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008198123A (ja) * 2007-02-15 2008-08-28 Hitachi Information Systems Ltd 障害検知システム及び障害検知プログラム
JP2009075817A (ja) * 2007-09-20 2009-04-09 Hitachi Ltd ログ解析方法、ログ格納装置及びプログラム
JP2014106851A (ja) * 2012-11-29 2014-06-09 Fujitsu Ltd 情報処理装置、情報処理方法及びプログラム
WO2014196129A1 (ja) * 2013-06-03 2014-12-11 日本電気株式会社 障害分析装置、障害分析方法、および、記録媒体
WO2015146086A1 (ja) * 2014-03-28 2015-10-01 日本電気株式会社 ログ分析システム、障害原因分析システム、ログ分析方法、および、記録媒体

Also Published As

Publication number Publication date
JP6780655B2 (ja) 2020-11-04
US20180365124A1 (en) 2018-12-20
WO2017104119A1 (ja) 2017-06-22

Similar Documents

Publication Publication Date Title
JP6780655B2 (ja) ログ分析システム、方法およびプログラム
WO2017094262A1 (ja) ログ分析システム、方法およびプログラム
JP6708219B2 (ja) ログ分析システム、方法およびプログラム
JP6787340B2 (ja) ログ分析システム、ログ分析方法及びプログラム
JP5913145B2 (ja) ログ可視化装置及び方法及びプログラム
WO2018122890A1 (ja) ログ分析方法、システムおよびプログラム
CN113190401B (zh) 快游戏的异常监控方法、电子设备、移动终端以及存储介质
JPWO2018069950A1 (ja) ログ分析方法、システムおよびプログラム
JP6955676B2 (ja) ログ分析方法、システムおよび記録媒体
CN106301979B (zh) 检测异常渠道的方法和系统
WO2017094263A1 (ja) ログ分析システム、方法およびプログラム
JP5711677B2 (ja) 監視情報分析装置及び方法
US9235423B2 (en) Availability evaluation device and availability evaluation method
JP6798504B2 (ja) ログ分析システム、ログ分析方法及びプログラム
CN108170838B (zh) 话题演变的可视化展现方法、应用服务器及计算机可读存储介质
JP6756378B2 (ja) 異常検出方法、システムおよびプログラム
WO2017081866A1 (ja) ログ分析システム、方法およびプログラム
WO2017085921A1 (ja) ログ分析システム、方法およびプログラム
US20220004481A1 (en) Log analysis device, log analysis method, and program
US20220253529A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN109522340B (zh) 一种数据统计方法、装置及设备
JP7103392B2 (ja) 異常検出方法、システムおよびプログラム
CN115840772A (zh) 一种客群数据统计方法、装置、电子设备及存储介质
CN115437891A (zh) 一种告警邮件的生成方法及装置、存储介质、计算机设备
JP2018165897A (ja) 表示制御装置、表示制御方法、およびコンピュータプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200915

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200928

R150 Certificate of patent or registration of utility model

Ref document number: 6780655

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150