JPWO2018066661A1 - ログ分析方法、システムおよび記録媒体 - Google Patents

ログ分析方法、システムおよび記録媒体 Download PDF

Info

Publication number
JPWO2018066661A1
JPWO2018066661A1 JP2018543970A JP2018543970A JPWO2018066661A1 JP WO2018066661 A1 JPWO2018066661 A1 JP WO2018066661A1 JP 2018543970 A JP2018543970 A JP 2018543970A JP 2018543970 A JP2018543970 A JP 2018543970A JP WO2018066661 A1 JPWO2018066661 A1 JP WO2018066661A1
Authority
JP
Japan
Prior art keywords
log
order
logs
analysis target
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018543970A
Other languages
English (en)
Other versions
JP6955676B2 (ja
Inventor
遼介 外川
遼介 外川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2018066661A1 publication Critical patent/JPWO2018066661A1/ja
Application granted granted Critical
Publication of JP6955676B2 publication Critical patent/JP6955676B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/1734Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本発明の一実施形態に係るログ分析システム100は、第1ログを分析対象ログ10として入力するログ入力部110と、第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する第1順序判定部130と、第1ログから第1部分ログを除いて得られる第2ログに含まれるログのうち、識別子を有しないログの出現順序である第2順序を判定する第2順序判定部150と、第1順序および第2順序を用いて、分析対象ログに含まれるログの出現順序である第3順序を出力する第3順序出力部170と、を備える。

Description

本発明は、ログの分析を行うためのログ分析方法、システムおよび記録媒体に関する。
コンピュータ上で実行されるシステムでは、一般的にイベントの結果やメッセージ等を含むログが出力される。システム異常等が発生した際には、多数のログを参照してログ分析が行われる。特に近年、システムの大規模化が進んでおり、ログの数が膨大になっているため、ユーザ(オペレータ等)が目視で関連するログを辿ることは難しい。したがって、システムによって互いに関連するログを自動的に出力することが求められている。
特許文献1に記載の技術は、複数のログ間の共起確率を算出し、共起確率の高いログのパターン(すなわち順列又は組み合わせ)を抽出する。また、特許文献1に記載の技術は、複数のシステムからのログを統合し、統合されたログからさらに共起確率を算出し、共起確率の高いメッセージ群を抽出する。このような構成により、関連性の高いメッセージを集約して出力することができる。
特開2016−76075号公報
一般的なシステムにおいては、複数の種類の装置およびプログラムから、様々な種類のログが出力される。そのため出力されるログの内容は、出力元の装置やプログラムによって大きく異なる。例えば第1の種類のログは関連性を示す識別子を含むため関連性の判定が容易であるが、第2の種類のログは識別子を有さないため関連性の判定が難しい場合がある。また、第1の種類のログと第2の種類のログとが関連する場合に、それらのログが時系列で混在する(例えば入れ子に出力される)ため、関連性を判定することはさらに難しい。
しかしながら、特許文献1に記載の技術は複数の種類のログを想定しておらず、単純に共起確率の高いログのパターン(順列又は組み合わせ)を抽出している。そのため、複数の種類のログが混在している状況では、関連性の高いログのパターンを正確に検出できない場合がある。
本発明は、上述の問題に鑑みて行われたものであって、複数の種類が混在しているログから関連性の高いログの順序を高精度に出力することができるログ分析方法、システムおよび記録媒体を提供することを目的とする。
本発明の第1の態様は、ログ分析方法であって、第1ログを分析対象ログとして入力する工程と、前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、を含む。
本発明の第2の態様は、ログ分析プログラムが記録された記録媒体であって、当該ログ分析プログラムは、コンピュータに、第1ログを分析対象ログとして入力する工程と、前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、を実行させる。
本発明の第3の態様は、ログ分析システムであって、第1ログを分析対象ログとして入力するログ入力部と、前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する第1順序判定部と、前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する第2順序判定部と、前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する第3順序出力部と、を備える。
本発明によれば、関連性を示す識別子を有するログ、および識別子を有さないログに対して別々にログの順序を判定し、判定された順序を用いて分析対象ログ全体に対するログの順序を出力する。そのため、複数の種類が混在しているログからも、関連性の高いログの順序を出力することができる。
第1の実施形態に係るログ分析システムのブロック図である。 第1の実施形態に係る分析対象ログの模式図である。 第1の実施形態に係るフォーマットの模式図である。 第1の実施形態に係るログ分析方法の模式図である。 第1の実施形態に係る関連識別子定義の模式図である。 第1の実施形態に係るログ分析システムの概略構成図である。 第1の実施形態に係るログ分析方法のフローチャートを示す図である。 第2の実施形態に係るログ分析システムのブロック図である。 各実施形態に係るログ分析システムのブロック図である。
以下、図面を参照して、本発明の実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。
(第1の実施形態)
図1は、本実施形態に係るログ分析システム100のブロック図である。図1において、矢印は主なデータの流れを示しており、図1に示したもの以外のデータの流れがあってよい。図1において、各ブロックはハードウェア(装置)単位の構成ではなく、機能単位の構成を示している。そのため、図1に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記憶媒体等、任意の手段を介して行われてよい。
ログ分析システム100は、処理部として、ログ入力部110、フォーマット判定部120、第1順序判定部130、第1ログ再構成部140、第2順序判定部150、第2ログ再構成部160および第3順序出力部170を備える。また、ログ分析システム100は、記憶部として、フォーマット記憶部181、関連識別子記憶部182および結果記憶部183を備える。
ログ入力部110は、分析の対象とする分析対象ログ10を受け取り、ログ分析システム100に入力する。分析対象ログ10は、ログ分析システム100の外部から取得されてよく、あるいはログ分析システム100の内部に予め記録されたものを読み出すことにより取得されてよい。分析対象ログ10は、1つ以上の装置又はプログラムから出力される1つ以上のログを含む。分析対象ログ10は、任意のデータ形式(ファイル形式)で表されたログであり、例えばバイナリデータ又はテキストデータでよい。また、分析対象ログ10はデータベースのテーブルとして記録されてよく、あるいはテキストファイルとして記録されてよい。
図2Aは、例示的な分析対象ログ10の模式図である。本実施形態における分析対象ログ10は、装置又はプログラムから出力される1つのログを1単位とし、1つ以上の任意の数のログを含む。1つのログは1行の文字列でよく、あるいは複数行の文字列でよい。すなわち、分析対象ログ10は分析対象ログ10に含まれるログの総体を指し、ログは分析対象ログ10から抜き出された1つのログを指す。各ログは、タイムスタンプおよびメッセージ等を含む。ログ分析システム100は、特定の種類のログに限らず、広範な種類のログを分析対象とすることができる。例えば、syslog、イベントログ等のオペレーティングシステムやアプリケーションなどから出力されるメッセージを記録する任意のログを分析対象ログ10として用いることができる。
フォーマット判定部120は、分析対象ログ10に含まれる各ログに対して、フォーマット記憶部181に予め記録されているいずれのフォーマット(形式)に適合するかを判定し、適合するフォーマットを用いて各ログを変数部分と定数部分とに分離する。フォーマットとは、ログの特性に基づいて予め決められた、ログの形式である。ログの特性は、互いに類似するログ間で変化しやすい又は変化しづらいという性質や、ログ中で変化しやすい部分とみなせる文字列が記載されているという性質を含む。変数部分とはフォーマットの中で変化可能な部分であり、定数部分とはフォーマットの中で変化しない部分である。入力されたログ中の変数部分の値(数値、文字列およびその他のデータを含む)を変数値と呼ぶ。変数部分および定数部分はフォーマット毎に異なる。そのため、あるフォーマットでは変数部分として定義される部分が、別のフォーマットでは定数部分として定義されることや、その逆があり得る。
図2Bは、フォーマット記憶部181に記録される例示的なフォーマットの模式図である。フォーマットは、一意のフォーマットIDに関連付けられたフォーマットを表す文字列を含む。フォーマットは、ログ中の変化可能な部分に所定の識別子を記載することによって変数部分として規定し、ログ中の変数部分以外の部分を定数部分として規定する。変数部分の識別子として、例えば「<変数:タイムスタンプ>」はタイムスタンプを表す変数部分を示し、「<変数:文字列>」は任意の文字列を表す変数部分を示し、「<変数:数値>」は任意の数値を表す変数部分を示し、「<変数:IP>」は任意のIPアドレスを表す変数部分を示す。変数部分の識別子はこれらに限られず、正規表現や、取り得る値のリスト等の任意の方法により定義されてよい。また、フォーマットは変数部分を含まずに定数部分のみによって構成されてよく、あるいは定数部分を含まずに変数部分のみによって構成されてよい。
例えば、フォーマット判定部120は、図2Aの3行目のログを、図2BのIDが1であるフォーマットに適合すると判定する。そして、フォーマット判定部120は、判定されたフォーマットに基づいて該ログを処理し、タイムスタンプである「2015/08/17 08:28:37」、文字列である「SV003」、数値である「3258」およびIPアドレスである「192.168.1.23」を変数値として決定する。
図2Bにおいて、フォーマットは視認性のために文字列のリストで表されているが、任意のデータ形式(ファイル形式)で表されてよく、例えばバイナリデータ又はテキストデータでよい。また、フォーマットはバイナリファイル又はテキストファイルとしてフォーマット記憶部181に記録されてよく、あるいはデータベースのテーブルとしてフォーマット記憶部181に記録されてよい。
第1順序判定部130、第1ログ再構成部140、第2順序判定部150、第2ログ再構成部160および第3順序出力部170は、以下に説明するログ分析方法によって分析対象ログ10に対して2段階の順序判定を行い、該2段階の順序判定の結果に基づいて単一の順序を出力する。
図3は、本実施形態に係るログ分析方法の模式図である。フォーマット判定部120によってフォーマットが判定された後の分析対象ログ10を、第1ログL1とする。図3の第1ログL1中のIDはフォーマットIDである。まず、第1順序判定部130は、第1ログL1のうち所定の関連識別子を有するログ(第1部分ログという)を抽出する。関連識別子とは、ログが互いに関連することを示す識別子であり、関連識別子記憶部182中に予め定義される。より具体的には、関連識別子は、2つ以上のログが互いに関連するものとして出力された順列又は組み合わせであることを示す、該2つ以上のログ中に記載された文字列である。図3の第1ログL1中のID:5からID:6までのログは、図2Aの2行目〜7行目のログに対応する。例えば、図2Aの3行目〜6行目のログは共通する文字列「JNW」を含んでおり、互いに関連するログであることがわかる。そのため、第1順序判定部130は、この文字列「JNW」を関連識別子として用いることができる。
図4は、関連識別子記憶部182に記録される例示的な関連識別子定義の模式図である。関連識別子定義は、一意の関連識別子IDに関連付けられた関連識別子を表す文字列を含む。関連識別子は、同一の値によってログ同士の関連性を表してよく、あるいは所定の規則によってログ同士の関連性を表してよい。例えば、関連識別子IDが101の関連識別子定義は、ログ中に同一の文字列「JNW」が含まれることによって関連性を示す。また、関連識別子IDが102の関連識別子定義は、ログ中に「L001」、「L002」、「L003」のような連番を含む文字列が含まれることによって順序を示す(なお、関連識別子中の「<NNN>」の部分は3桁の連番であることを表す)。関連識別子は、ここに示したものに限られず、ログ同士の関連性を表すことが可能な任意の文字列又は数値でよい。関連識別子定義は、予めログ分析システム100内に記録されるか、あるいはユーザによって入力される。
第1順序判定部130は、第1ログL1のうち関連識別子を有するログ(第1部分ログ)に対して、該関連識別子に基づいて第1順序判定を行う。具体的には、第1順序判定部130は、第1ログL1のうち関連識別子を有するログの中で、所定の時間範囲内で共通の関連識別子(すなわち、同一の関連識別子又は連番の関連識別子)を有するログ群の順序を第1順序S1として判定する。図3の第1順序S1中のIDはフォーマットIDである。ログ群を検出する時間範囲は、その範囲内であれば互いに関連する一連のログであるとみなせる任意の値(例えば5分以内)でよい。判定された第1順序S1は、メモリ等に一時的に記録される。第1ログL1中に複数の関連識別子が存在する場合には、第1順序判定部130はそれぞれの関連識別子について別々に順序を判定する。第1順序S1は、互いに関連するログのパターン(順列又は組み合わせ)である。
第1ログ再構成部140は、第1順序判定部130により判定された第1順序S1に該当するログ群(第1部分ログ)を第1ログL1から除外することによって、第2ログL2を生成する。図3の第2ログL2中のIDはフォーマットIDである。生成された第2ログL2は、メモリ等に一時的に記録される。
第2順序判定部150は、第1ログ再構成部140により生成された第2ログL2に対して、第2ログL2に含まれるログのうち、関連識別子を有しないログの時系列の相関関係に基づいて第2順序判定を行う。具体的には、第2順序判定部150は、第1順序S1に該当するログ群を含まない第2ログL2において、関連識別子を有しない各ログのフォーマットIDが時系列で出現する回数を含む時系列情報を生成する。そして、第2順序判定部150は、時系列情報からフォーマットIDの時系列の相関関係としてフォーマットID間の遷移確率を算出し、遷移確率が所定の閾値より高いログ群の順序を第2順序S2として判定する。図3の第2順序S2中のIDはフォーマットIDである。換言すると、遷移確率は、第1の種類(ここではフォーマット)のログの後に第2の種類のログが出現する確率である。互いに関連するログは特定の順序で出現する確率が高いため、ログ(フォーマットID)の時系列の相関関係に基づいて互いに関連するログ群の順序を抽出することができる。
判定された第2順序S2は、メモリ等に一時的に記録される。第2順序S2は、互いに関連するログのパターン(順列又は組み合わせ)である。第2順序S2の判定方法として、ここに示したものに限られず、パターンマッチング、機械学習等の任意の方法を用いてよい。
このように、本実施形態では識別子を有するログに対する第1順序判定と、識別子を有さないログに対する第2順序判定とが独立して行われるため、そのような異なる種類のログが混在している状況であってもそれぞれの順序を高精度に判定することができる。
第2ログ再構成部160は、第2順序判定部150により判定された第2順序S2に該当するログ群を第2ログL2から除外し、さらに第1順序S1および第2順序S2を示す仮ログTを第2ログL2に挿入することによって、第3ログL3を生成する。図3の第3ログL3中のIDはフォーマットIDである。仮ログTは、実体的なログ(すなわち具体的なメッセージを含むログ)そのものではなく、第1順序S1および第2順序S2に該当するログが存在する位置(時刻)を示す情報である。生成された第3ログL3は、メモリ等に一時的に記録される。
図3の例では、第2順序S2の中に、第1順序S1が入れ子になっている。そのため、仮ログTとして、第2順序S2の前半を表す文字列「B[1]」、第1順序S1を表す文字列「A」、第2順序S2の後半を表す文字列「B[2]」が第2ログL2に挿入される。仮ログT中の第1順序S1および第2順序S2の出現位置の記載方法はこれに限られない。仮ログTは、ここに示したものに限られず、第1順序S1および第2順序S2を示すことが可能な任意の方法で表されてよい。
第3順序出力部170は、第2ログ再構成部160により生成された第3ログL3から所定の規則に基づいて順序を判定し、仮ログTを実体的なログに戻してから第3順序S3として出力する。図3の第3順序S3中のIDはフォーマットIDである。例えば第2順序判定と同様に、第3順序出力部170は、第1順序S1および第2順序S2を用いて再構成された第3ログL3(仮ログTを含む)から遷移確率を算出し、遷移確率が所定の閾値より高いログ群の順序を第3順序S3として判定し、出力する。第3順序S3の判定方法として、ここに示したものに限られず、相関分析、機械学習等の任意の方法を用いてよい。第3順序S3は、互いに関連するログのパターン(順列又は組み合わせ)である。第3順序S3の判定方法として、ここに示したものに限られず、パターンマッチング、機械学習等の任意の方法を用いてよい。
判定された第3順序S3は、結果記憶部183に記録される。また、判定された第3順序S3の出力は、結果記憶部183への記録に限られず、表示装置への表示、ネットワークを介した送信等、任意の方法によって行われてよい。
ログ分析システム100は、判定された第3順序S3を用いて分析対象ログ10の異常を検出する異常検出部をさらに備えてよい。異常検出部は、分析対象ログ10の中に結果記憶部183に記録された第3順序S3に合致しないログのパターンが存在する場合に、異常であることを検出して出力する。異常の出力は、データの記録、ネットワークを介した送信等、任意の方法によって行われてよい。
このように、本実施形態では識別子を有するログから判定された第1順序と、識別子を有さないログから判定された第2順序を用いてログを再構成し、該再構成されたログから単一の第3順序を判定するため、識別子を有するログおよび識別子を有さないログを組み合わせた順序を判定することができる。
図5は、本実施形態に係るログ分析システム100の例示的な機器構成を示す概略構成図である。CPU(Central Processing Unit)101と、メモリ102と、記憶装置103と、通信インターフェース104とを備えるログ分析システム100は独立した装置でよく、あるいは他の装置と一体に構成されてよい。
通信インターフェース104は、データの送受信を行う通信部であり、有線通信および無線通信の少なくとも一方の通信方式を実行可能に構成される。通信インターフェース104は、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子等を含む。通信インターフェース104は、CPU101からの信号に従って、該通信方式を用いてネットワークに接続され、通信を行う。通信インターフェース104は、例えば分析対象ログ10を外部から受信する。
記憶装置103は、ログ分析システム100が実行するプログラムや、プログラムによる処理結果のデータ等を記憶する。記憶装置103は、読み取り専用のROM(Read Only Memory)や、読み書き可能のハードディスクドライブ又はフラッシュメモリ等を含む。また、記憶装置103は、CD−ROM等のコンピュータ読取可能な可搬記憶媒体を含んでもよい。メモリ102は、CPU101が処理中のデータや記憶装置103から読み出されたプログラムおよびデータを一時的に記憶するRAM(Random Access Memory)等を含む。
CPU101は、処理に用いる一時的なデータをメモリ102に一時的に記録し、記憶装置103に記録されたプログラムを読み出し、該プログラムに従って該一時的なデータに対して種々の演算、制御、判別などの処理動作を実行する処理部としてのプロセッサである。また、CPU101は、記憶装置103に処理結果のデータを記録し、また通信インターフェース104を介して処理結果のデータを外部に送信する。
本実施形態においてCPU101は、記憶装置103に記録されたプログラムを実行することによって、図1のログ入力部110、フォーマット判定部120、第1順序判定部130、第1ログ再構成部140、第2順序判定部150、第2ログ再構成部160および第3順序出力部170として機能する。また、本実施形態において記憶装置103は、図1のフォーマット記憶部181、関連識別子記憶部182および結果記憶部183として機能する。
ログ分析システム100は、図5に示す具体的な構成に限定されない。ログ分析システム100は、1つの装置に限られず、2つ以上の物理的に分離した装置が有線又は無線で接続されることにより構成されていてもよい。ログ分析システム100に含まれる各部は、それぞれ電気回路構成により実現されていてもよい。ここで、電気回路構成とは、単一のデバイス、複数のデバイス、チップセット又はクラウドを概念的に含む文言である。
また、ログ分析システム100の少なくとも一部がSaaS(Software as a Service)形式で提供されてよい。すなわち、ログ分析システム100を実現するための機能の少なくとも一部が、ネットワーク経由で実行されるソフトウェアによって実行されてよい。
図6は、本実施形態に係るログ分析システム100を用いるログ分析方法のフローチャートを示す図である。まず、ログ入力部110は、分析対象ログ10を取得し、ログ分析システム100に入力する(ステップS101)。フォーマット判定部120は、ステップS101で入力された分析対象ログ10に含まれる各ログについて、フォーマット記憶部181に記録されたいずれのフォーマットに適合するか判定する(ステップS102)。
第1順序判定部130は、ステップS102においてフォーマットが判定されたログ(第1ログL1)から、関連識別子記憶部182に記録された関連識別子を有するログ(第1部分ログ)を抽出し、抽出された第1部分ログに対して上述の方法によって第1順序判定を行う(ステップS103)。ステップS103で判定された第1順序S1は、メモリ102に一時的に記録される。
第1ログ再構成部140は、ステップS103で判定された第1順序S1に該当するログ群(第1部分ログ)を第1ログL1から除外することによって、第2ログL2を生成する(ステップS104)。生成された第2ログL2は、メモリ102に一時的に記録される。
第2順序判定部150は、ステップS104で生成された第2ログL2のうち、関連識別子を有しないログに対して、上述の方法によって第2順序判定を行う(ステップS105)。ステップS105で判定された第2順序S2は、メモリ102に一時的に記録される。
第2ログ再構成部160は、ステップS105で判定された第2順序S2に該当するログ群を第2ログL2から除外し(ステップS106)、さらに第1順序S1および第2順序S2を示す仮ログTを第2ログL2に挿入することによって、第3ログL3を生成する(ステップS107)。生成された第3ログL3は、メモリ102に一時的に記録される。
第3順序出力部170は、ステップS107で生成された第3ログL3から上述の方法によって順序を判定し、仮ログTを実体的なログに戻してから第3順序S3として出力する(ステップS108)。
ログ分析システム100のCPU101は、図6に示すログ分析方法に含まれる各ステップ(工程)の主体となる。すなわち、CPU101は、図6に示すログ分析方法を実行するためのプログラムをメモリ102または記憶装置103から読み出し、該プログラムを実行してログ分析システム100の各部を制御することによって図6に示すログ分析方法を実行する。
本実施形態に係るログ分析システム100は、識別子を有するログに対する第1順序判定と、識別子を有さないログに対する第2順序判定とを行い、それらによって判定された第1順序および第2順序に基づいて再構成されたログから第3順序を出力する。そのため、識別子を有するログと識別子を有さないログとが混在した状況であっても、識別子を有するログおよび識別子を有さないログを組み合わせた順序を高精度に判定および出力することができる。また、ログ分析システム100は、識別子を有するログについては識別子を用いて素早くかつ正確に順序を判定しつつも、識別子を有さないログについては時系列の相関関係を用いて順序を判定する。そのため、識別子の情報を無駄にせず、識別子を有するログおよび識別子を有さないログの全体の順序判定の効率化を計ることができる。
(第2の実施形態)
本実施形態では、2つ以上の装置又はプログラムから出力された分析対象ログに対して個別に第1および第2順序を判定し、その後に集約されたログに対して第3順序を判定して出力する。これにより、2つ以上の装置又はプログラムにまたがるログの順序をより高精度に判定および出力することができる。
図7は、本実施形態に係るログ分析システム200のブロック図である。ログ分析システム200は、図1の構成に加えて、処理部であるログ集約部290をさらに備える。また、本実施形態においてはログ入力部110に第1の分析対象ログ11および第2の分析対象ログ12が入力される。ここでは簡略化のために2つの分析対象ログ11、12を用いているが、3つ以上の分析対象ログを用いてよい。
ログ入力部110、フォーマット判定部120、第1順序判定部130、第1ログ再構成部140、第2順序判定部150および第2ログ再構成部160は、2つの分析対象ログ11、12に対して、それぞれ第1の実施形態と同様に第1順序判定および第2順序判定を行い、それぞれ仮ログTを含む第3ログL3を生成する。2つの分析対象ログ11、12に対する処理は並列で行われてよく、あるいは順次行われてよい。
ログ集約部290は、2つの分析対象ログ11、12から生成された2つの第3ログL3を統合して時系列順に並び替えた集約ログを生成する。そして、第3順序出力部170は、集約ログに対して、第1の実施形態と同様に第3順序出力を行う。
本実施形態に係るログ分析システム200は、2つ以上の装置又はプログラムから出力された分析対象ログに対して、個別に第1および第2順序を判定する。そのため装置又はプログラムから出力された分析対象ログが混在する前に、高精度に順序を判定することができる。
(その他の実施形態)
図8は、上述の各実施形態に係るログ分析システム100、200の概略構成図である。図8には、ログ分析システム100、200が識別子を有するログから判定された第1順序と、識別子を有さないログから判定された第2順序を用いて再構成されたログから単一の第3順序を判定する装置として機能するための構成例が示されている。ログ分析システム100、200は、互いに関連することを示す識別子を有する第1ログおよび前記識別子を有さない第2ログを含む分析対象ログを入力するログ入力部110と、前記第1ログにおいて、前記識別子を用いて前記第1ログに含まれるログの出現順序である第1順序を判定する第1順序判定部130と、前記第2ログにおいて、前記識別子を用いずに前記第2ログに含まれるログの出現順序である第2順序を判定する第2順序判定部150と、前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する第3順序出力部170と、を備える。
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。
上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図6に示す処理をコンピュータに実行させるプログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。
該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。
上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
第1ログを分析対象ログとして入力する工程と、
前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、
前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、
前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、
を含むログ分析方法。
(付記2)
前記第2順序を判定する工程は、前記識別子を有しないログ間の時系列の相関関係に基づいて、前記第2順序を判定する、付記1に記載のログ分析方法。
(付記3)
前記第2順序を判定する工程は、前記識別子を有しないログの中で第1の種類のログの次に第2の種類のログが出現する遷移確率が所定の閾値より高いログ群の順序を、前記第2順序として判定する、付記2に記載のログ分析方法。
(付記4)
前記第1順序を判定する工程は、前記第1部分ログの中で共通の前記識別子を有するログ群の順序を、前記第1順序として判定する、付記1〜3のいずれか一項に記載のログ分析方法。
(付記5)
前記第3順序を出力する工程は、前記分析対象ログから前記第1順序および前記第2順序に該当するログを除外した後に、前記分析対象ログに前記第1順序および前記第2順序に該当するログの位置を示す情報を挿入することによって生成された第3ログから、前記第3順序を出力する、付記1〜4のいずれか一項に記載のログ分析方法。
(付記6)
前記分析対象ログを入力する工程は、第1の分析対象ログおよび第2の分析対象ログを入力し、
前記第1順序を判定する工程は、前記第1の分析対象ログおよび前記第2の分析対象ログのそれぞれに対して個別に前記第1順序を判定し、
前記第2順序を判定する工程は、前記第1の分析対象ログおよび前記第2の分析対象ログのそれぞれに対して個別に前記第2順序を判定し、
前記第3順序を出力する工程は、前記第1の分析対象ログおよび前記第2の分析対象ログの前記第1順序および前記第2順序を統合することによって、前記第3順序を出力する、付記1〜5のいずれか一項に記載のログ分析方法。
(付記7)
前記分析対象ログに含まれる各ログが、変化可能な変数部分と変化しない定数部分とを含む、予め決められた複数の形式のいずれに合致するか判定する工程をさらに含み、
前記第1順序を判定する工程および前記第2順序を判定する工程は、前記分析対象ログに含まれる各ログの前記形式を用いて前記第1順序および前記第2順序を判定する、付記1〜6のいずれか一項に記載のログ分析方法。
(付記8)
前記第1順序、前記第2順序および前記第3順序は、ログの順列又は組み合わせである、付記1〜7のいずれか一項に記載のログ分析方法。
(付記9)
コンピュータに、
第1ログを分析対象ログとして入力する工程と、
前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、
前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、
前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、
を実行させるログ分析プログラムが記録された記録媒体。
(付記10)
第1ログを分析対象ログとして入力するログ入力部と、
前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する第1順序判定部と、
前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する第2順序判定部と、
前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する第3順序出力部と、
を備えるログ分析システム。
この出願は、2016年10月6日に出願された日本出願特願2016−198028を基礎とする優先権を主張し、その開示の全てをここに取り込む。
100、200 ログ分析システム
101 CPU
102 メモリ
103 記憶装置
104 通信インターフェース
110 ログ入力部
120 フォーマット判定部
130 第1順序判定部
140 第1ログ再構成部
150 第2順序判定部
160 第2ログ再構成部
170 第3順序出力部
181 フォーマット記憶部
182 関連識別子記憶部
183 結果記憶部
290 ログ集約部
本発明の第2の態様は、ログ分析プログラムであって、当該ログ分析プログラムは、コンピュータに、第1ログを分析対象ログとして入力する工程と、前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、を実行させる。



Claims (10)

  1. 第1ログを分析対象ログとして入力する工程と、
    前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、
    前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、
    前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、
    を含むログ分析方法。
  2. 前記第2順序を判定する工程は、前記識別子を有しないログ間の時系列の相関関係に基づいて、前記第2順序を判定する、請求項1に記載のログ分析方法。
  3. 前記第2順序を判定する工程は、前記識別子を有しないログの中で第1の種類のログの次に第2の種類のログが出現する遷移確率が所定の閾値より高いログ群の順序を、前記第2順序として判定する、請求項2に記載のログ分析方法。
  4. 前記第1順序を判定する工程は、前記第1部分ログの中で共通の前記識別子を有するログ群の順序を、前記第1順序として判定する、請求項1〜3のいずれか一項に記載のログ分析方法。
  5. 前記第3順序を出力する工程は、前記分析対象ログから前記第1順序および前記第2順序に該当するログを除外した後に、前記分析対象ログに前記第1順序および前記第2順序に該当するログの位置を示す情報を挿入することによって生成された第3ログから、前記第3順序を出力する、請求項1〜4のいずれか一項に記載のログ分析方法。
  6. 前記分析対象ログを入力する工程は、第1の分析対象ログおよび第2の分析対象ログを入力し、
    前記第1順序を判定する工程は、前記第1の分析対象ログおよび前記第2の分析対象ログのそれぞれに対して個別に前記第1順序を判定し、
    前記第2順序を判定する工程は、前記第1の分析対象ログおよび前記第2の分析対象ログのそれぞれに対して個別に前記第2順序を判定し、
    前記第3順序を出力する工程は、前記第1の分析対象ログおよび前記第2の分析対象ログの前記第1順序および前記第2順序を統合することによって、前記第3順序を出力する、請求項1〜5のいずれか一項に記載のログ分析方法。
  7. 前記分析対象ログに含まれる各ログが、変化可能な変数部分と変化しない定数部分とを含む、予め決められた複数の形式のいずれに合致するか判定する工程をさらに含み、
    前記第1順序を判定する工程および前記第2順序を判定する工程は、前記分析対象ログに含まれる各ログの前記形式を用いて前記第1順序および前記第2順序を判定する、請求項1〜6のいずれか一項に記載のログ分析方法。
  8. 前記第1順序、前記第2順序および前記第3順序は、ログの順列又は組み合わせである、請求項1〜7のいずれか一項に記載のログ分析方法。
  9. コンピュータに、
    第1ログを分析対象ログとして入力する工程と、
    前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する工程と、
    前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する工程と、
    前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する工程と、
    を実行させるログ分析プログラムが記録された記録媒体。
  10. 第1ログを分析対象ログとして入力するログ入力部と、
    前記第1ログに含まれるログのうち、互いに関連することを示す識別子を有する第1部分ログの出現順序である第1順序を判定する第1順序判定部と、
    前記第1ログから前記第1部分ログを除いて得られる第2ログに含まれるログのうち、前記識別子を有しないログの出現順序である第2順序を判定する第2順序判定部と、
    前記第1順序および前記第2順序を用いて、前記分析対象ログに含まれるログの出現順序である第3順序を出力する第3順序出力部と、
    を備えるログ分析システム。
JP2018543970A 2016-10-06 2017-10-05 ログ分析方法、システムおよび記録媒体 Active JP6955676B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016198028 2016-10-06
JP2016198028 2016-10-06
PCT/JP2017/036346 WO2018066661A1 (ja) 2016-10-06 2017-10-05 ログ分析方法、システムおよび記録媒体

Publications (2)

Publication Number Publication Date
JPWO2018066661A1 true JPWO2018066661A1 (ja) 2019-07-25
JP6955676B2 JP6955676B2 (ja) 2021-10-27

Family

ID=61831744

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018543970A Active JP6955676B2 (ja) 2016-10-06 2017-10-05 ログ分析方法、システムおよび記録媒体

Country Status (3)

Country Link
US (1) US20200042422A1 (ja)
JP (1) JP6955676B2 (ja)
WO (1) WO2018066661A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2570512B (en) * 2018-01-30 2020-04-22 Advanced Risc Mach Ltd An apparatus and method for aligning corresponding elements in multiple streams of elements
US11163718B2 (en) * 2018-10-30 2021-11-02 Dell Products L.P. Memory log retrieval and provisioning system
EP4165525A1 (en) * 2020-06-11 2023-04-19 Commonwealth Scientific and Industrial Research Organisation Log data compliance
CN116599861A (zh) * 2023-07-18 2023-08-15 海马云(天津)信息技术有限公司 检测云服务异常的方法、服务器设备和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4300808B2 (ja) * 2003-01-24 2009-07-22 株式会社日立製作所 統合ログ表示方法及びシステム
JP2011159125A (ja) * 2010-02-01 2011-08-18 Nec Corp イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法
US10572318B2 (en) * 2014-08-25 2020-02-25 Nippon Telegraph And Telephone Corporation Log analysis apparatus, log analysis system, log analysis method and computer program

Also Published As

Publication number Publication date
US20200042422A1 (en) 2020-02-06
JP6955676B2 (ja) 2021-10-27
WO2018066661A1 (ja) 2018-04-12

Similar Documents

Publication Publication Date Title
JPWO2018066661A1 (ja) ログ分析方法、システムおよび記録媒体
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
JP6741216B2 (ja) ログ分析システム、方法およびプログラム
WO2017104119A1 (ja) ログ分析システム、方法およびプログラム
US20170140309A1 (en) Database analysis device and database analysis method
JP2018045403A (ja) 異常検知システム及び異常検知方法
JP6665784B2 (ja) ログ分析システム、ログ分析方法およびログ分析プログラム
WO2018069950A1 (ja) ログ分析方法、システムおよびプログラム
WO2017110720A1 (ja) ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体
CN105630656A (zh) 基于日志模型的系统健壮性分析方法及装置
JP6756379B2 (ja) ログ分析方法、システムおよびプログラム
US9712389B2 (en) Method, apparatus, and program for the discovery of resources in a computing environment
CN109818808B (zh) 故障诊断方法、装置和电子设备
CN108334524B (zh) 一种storm日志错误分析方法及装置
CN112988780A (zh) 数据校核方法和装置、存储介质及电子设备
CN113128213A (zh) 日志模板提取方法及装置
JP6756378B2 (ja) 異常検出方法、システムおよびプログラム
JP6798504B2 (ja) ログ分析システム、ログ分析方法及びプログラム
CN115576831A (zh) 一种测试案例推荐方法、装置、设备及存储介质
CN113641523A (zh) 一种日志处理方法及装置
CN112583825A (zh) 一种工业系统的异常检测方法和装置
WO2017081866A1 (ja) ログ分析システム、方法およびプログラム
JP7276550B2 (ja) 異常検出方法、システムおよびプログラム
JP6547341B2 (ja) 情報処理装置、方法及びプログラム
JP7103392B2 (ja) 異常検出方法、システムおよびプログラム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190124

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210902

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210915

R150 Certificate of patent or registration of utility model

Ref document number: 6955676

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150