JPWO2020012579A1 - ログ分析装置、ログ分析方法、プログラム - Google Patents

ログ分析装置、ログ分析方法、プログラム Download PDF

Info

Publication number
JPWO2020012579A1
JPWO2020012579A1 JP2020529898A JP2020529898A JPWO2020012579A1 JP WO2020012579 A1 JPWO2020012579 A1 JP WO2020012579A1 JP 2020529898 A JP2020529898 A JP 2020529898A JP 2020529898 A JP2020529898 A JP 2020529898A JP WO2020012579 A1 JPWO2020012579 A1 JP WO2020012579A1
Authority
JP
Japan
Prior art keywords
log
unit
alert
output
logs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020529898A
Other languages
English (en)
Other versions
JP7078114B2 (ja
Inventor
遼介 外川
遼介 外川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020012579A1 publication Critical patent/JPWO2020012579A1/ja
Application granted granted Critical
Publication of JP7078114B2 publication Critical patent/JP7078114B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2358Change logging, detection, and notification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、前記ログ監視部が出力した前記アラートに基づいて、前記ログメッセージの中から当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、を有し、前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する。

Description

本発明は、ログ分析装置、ログ分析方法、プログラムに関する。
システムログやアプリケーションログなどのログメッセージを監視するための技術が知られている。
例えば、特許文献1には、形式判定手段と、集合判定手段と、接続情報取得手段と、ログ集計手段と、情報出力手段と、を有するログ分析システムが記載されている。特許文献1によると、出力される複数のログが予め定められる複数の形式のうちのいずれの形式であるか、形式判定手段が判定するとともに、複数の形式の集合のうち、判定された形式ごとの複数のログがいずれの集合であるかを集合判定手段が判定する。また、接続情報取得手段は、判定された集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する。そして、ログ集計手段は、集合ごとの複数のログを構成要素ごとに集計する。その後、情報出力手段は、接続情報に基づき、構成要素ごとに集計結果を出力する。
また、関連する技術として、例えば、特許文献2がある。特許文献2には、ログを収集して記憶するとともに、ログから抽出する重要部分であるログテンプレートを記憶し、また、ログテンプレートの同時生起性によりグループ化して記憶するログ分析装置が記載されている。特許文献2によると、ログ分析装置は、上記各情報に基づいて、ログを示す情報をリアルタイムに生成する。また、ログ分析装置は、上記各情報を含む情報の遷移の生起回数または生起回数を計算し、遷移が発生している情報を抽出して記憶し、遷移が発生したログと記憶している遷移とを比較して、ログの遷移を表示する。
国際公開第2017/110996号 特開2015−95060号公報
ログの分析を行う際には、システムから出力される多数のログを確認することが必要となる。ここで、分析を行う際に確認することが必要なログは大量に存在する。その結果、ログの確認を行うことが難しくなる、という問題があった。
このような問題に対して、特許文献1に記載されている技術の場合、集計結果を出力しているものの、上記課題を解決するための手段は何ら提示していない。また、特許文献2に記載されている技術もログの遷移を提示するというものであり、上記課題は解決できない。そのため、依然として、ログの分析を行う際、分析対象のログが大量に存在しており、人が確認することが難しい、という課題が生じていた。
そこで、本発明の目的は、ログの分析を行う際、分析対象のログが大量に存在しており、人が確認することが難しい、という課題を解決するログ分析装置、ログ分析方法、プログラムを提供することにある。
かかる目的を達成するため本発明の一形態であるログ分析装置は、
監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、
前記ログ監視部が出力した前記アラートに基づいて、前記ログメッセージの中から当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、
を有し、
前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する
という構成をとる。
また、本発明の他の形態であるログ分析方法は、
情報処理装置が、
監視対象のログメッセージが所定の条件を満たす場合にアラートを出力し、
出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出し、
出力した前記アラートと、抽出した前記関連ログに応じた情報と、を出力する
という構成をとる。
また、本発明の他の形態であるプログラムは、
情報処理装置に、
監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、
前記ログ監視部が出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、
を実現させ、
前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する
プログラムである。
本発明は、以上のように構成されることにより、ログの分析を行う際、分析対象のログが大量に存在しており、人が確認することが難しい、という課題を解決するログ分析装置、ログ分析方法、プログラムを提供することが可能となる。
本発明の第1の実施形態におけるログ分析装置の構成の一例を示すブロック図である。 図1で示すログメッセージの一例を示す図である。 図1で示す監視ルール記憶部が記憶する監視ルールの一例を示す図である。 図1で示すアラート分析部が行うクラスタリングの一例を示す図である。 図1で示すログ分類部が図2で示すログメッセージに基づいて生成するパターンの一例を示す図である。 図1で示すログ要約部が行う集約処理の一例を示す図である。 図1で示すログ要約部が行う集約処理の他の一例を示す図である。 図1で示す出力部による出力の内容の一例を示す図である。 本発明の第1の実施形態におけるログ監視部の動作の一例を示すフローチャートである。 本発明の第1の実施形態におけるアラート分析部の動作の一例を示すフローチャートである。 本発明の第1の実施形態における関連ログ抽出部の動作の一例を示すフローチャートである。 本発明の第1の実施形態におけるログ要約部の動作の一例を示すフローチャートである。 本発明の第1の実施形態を実現可能なコンピュータ(情報処理装置)のハードウェア構成を例示的に説明する図である。 本発明の第2の実施形態におけるログ分析装置の構成の一例を示すブロック図である。
[第1の実施形態]
本発明の第1の実施形態を図1から図13までを参照して説明する。図1は、ログ分析装置10の構成の一例を示すブロック図である。図2は、ログメッセージ2の一例を示す図である。図3は、監視ルール記憶部12が記憶する監視ルールの一例を示す図である。図4は、アラート分析部13が行うクラスタリングの一例を示す図である。図5は、ログ分類部14がログメッセージ2に基づいて生成するパターンの一例を示す図である。図6、図7は、ログ要約部17が行う集約処理の一例を示す図である。図8は、出力部18による出力の内容の一例を示す図である。図9は、ログ監視部11の動作の一例を示すフローチャートである。図10は、アラート分析部13の動作の一例を示すフローチャートである。図11は、関連ログ抽出部16の動作の一例を示すフローチャートである。図12は、ログ要約部17の動作の一例を示すフローチャートである。図13は、ログ分析装置10を実現可能なコンピュータ(情報処理装置)のハードウェア構成を例示的に説明する図である。
本発明の第1の実施形態では、アラートを出力する際に、アラートとともに当該アラートに関連するログである関連ログに応じた情報を出力するログ分析装置10について説明する。後述するように、ログ分析装置10は、アラートを時系列分布に従って分類したクラスタごとに、クラスタ内の各アラートに関連する関連ログを抽出する。そして、ログ分析装置10は、抽出した関連ログを当該関連ログが属するパターンに基づいて要約した後、要約した結果に応じた情報をアラートとともに出力する。
なお、本実施形態においては、ログメッセージ2中のログはそれぞれ何らかのパターンに属しているものとする。例えば、パターンとは、ログを複数の変数の並び(一部は固定の文字列(値)であっても構わない)として捉えたものである。ログがどのパターンに属するかは、例えば、ログ中の各フィールドの値を当該フィールドの属性に応じた変数に変換した際の変数の並びなどから判断することが出来る。ここで、フィールドとは、ログ中の値、変数を判断する際の基準となる区切りのことをいう。例えば、ログは、日付日時、IPアドレス(Internet Protocol address)、英字のみ、英数混合、数字のみ、など、ログが示す対象・情報の中身(属性)が変化する箇所で各フィールドに区切られている。なお、日付と日時で異なるフィールドになるなど、上記例示した以外の個所でフィールドを区切っても構わない。また、フィールドの属性に応じた変数には、例えば、英字のみ(WORD)、英数混合(NOTSPACE)、数字のみ(NUM)などがある。変数は、日付日時を示す数字のみの変数やIPアドレスを示す変数など、上記をより細分化したものや上記例示したもの以外であっても構わない。
例えば、「2017/02/24 09:01:00 success 127.0.0.1 bear」というログの場合、当該ログは、日付日時のフィールド、英字のみのフィールド、IPアドレスのフィールド、英字のみのフィールドの4つのフィールドを含んでいる。また、上記ログの場合、日付日時のフィールドの値が2017/02/24 09:01:00であり、1番目の英字のみのフィールドの値がsuccessであり、IPアドレスのフィールドの値が127.0.0.1であり、2番目の英字のみのフィールドの値がbearである。このようなログ中の各フィールドの値を変数に変換すると、例えば、「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」というパターンとなる。つまり、値「2017/02/24 09:01:00」が変数%{NUM_TS}に対応し、値「success」が変数%{WORD}に対応所定、値「127.0.0.1」が変数%{IP_NUM}に対応し、値「bear」が変数%{WORD}に対応する。このような場合、上記ログ「2017/02/24 09:01:00 success 127.0.0.1 bear」は、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」に属している、ということが出来る。
ログ分析装置10は、アラートを出力する際に、アラートとともに関連ログに応じた情報を出力する情報処理装置である。図1は、ログ分析装置10の構成の一例を示している。図1を参照すると、ログ分析装置10は、例えば、ログ監視部11と、監視ルール記憶部12と、アラート分析部13と、ログ分類部14と、分類ルール記憶部15と、関連ログ抽出部16と、ログ要約部17と、出力部18と、を有している。
ログ監視部11は、所与の監視ルールに基づいて異常を検知する。そして、ログ監視部11は、検知した内容を示すアラートを出力する。換言すると、ログ監視部11は、監視対象のログメッセージ2が所定の条件である監視ルールを満たす場合に、異常を検知してアラートを出力する。
例えば、図2で示すようなログメッセージ2を、外部装置などからログ分析装置10が受信したとする。図2を参照すると、ログメッセージ2には、例えば、「2017/02/24 09:01:00 success 127.0.0.1 bear」、「2017/02/24 09:02:00 success 127.0.0.2 root」、「2017/02/24 09:04:00 fail 192.10.0.5 zaq123」、「2017/02/24 09:04:00 fail 192.10.0.5 zaq123」、「2017/02/24 09:04:00 fail 192.10.0.5 zaq123」、「2017/02/24 09:04:00 fail 192.10.0.5 zaq123」、「2017/02/24 09:04:00 fail 192.10.0.5 zaq123」、「2017/02/24 09:04:40 success 192.10.0.6 bear_1」、などのログが含まれている。
また、所与の監視ルールとして、監視ルール記憶部12が図3で示すような監視ルールを記憶しているとする。図3を参照すると、監視ルール記憶部12は、例えば、「”fail”が5回以上連続して発生」することを条件として、「fail count exceeds its upper limit」というアラートを出力する旨の監視ルールを予め記憶している。
このような場合、ログ監視部11は、09:04:00に連続して5回”fail”が発生したため、監視ルール記憶部12に格納された監視ルールに基づいて、異常を検知する。そして、ログ監視部11は、検知した内容を示すアラートを出力する。例えば、ログ監視部11は、「2017/02/24 09:04:10 fail count exceeds its upper limit :{2017/02/24 09:04:00 fail 192.10.0.5 zaq123}」のようなアラートを出力する。
このように、ログ監視部11は、監視ルール記憶部12に記憶された監視ルールに基づいて、ログメッセージ2中の異常を検知する。そして、ログ監視部11は、検知した結果に応じたアラートを出力する。
監視ルール記憶部12は、監視ルールを記憶する記憶装置である。本実施形態の場合、監視ルール記憶部12は、条件とアラートとを対応づけた情報を監視ルールとして記憶している(図3参照)。例えば、図3の1行目では、条件「”fail”が5回以上連続して発生」とアラート「fail count exceeds its upper limit」とが対応づけられている。
なお、監視ルール記憶部12が記憶する監視ルールは上記例示したもの以外であっても構わない。本実施形態においては、監視ルール記憶部12が記憶する監視ルールの数も特に限定しない。また、監視ルールは、人が定義したものであっても構わないし、機械学習によって生成されたモデルなどであっても構わない。
アラート分析部13は、ログ監視部11から出力された複数のアラートを、アラートの時系列分布に従って複数のクラスタに分類する。
例えば、アラート分析部13は、図4で示すように、時刻によるクラスタ分類を行うことが出来る。具体的には、アラート分析部13は、ログ監視部11から出力された複数のアラートを一定の時間幅で分割する。そして、アラート分析部13は、同一の時間幅に含まれるアラートを同一のクラスタに含まれるアラートと判定する。例えば、図4の場合、アラート分析部13は、時間100〜110の間に存在する4つのアラートを同一のクラスタに分類する。また、アラート分析部13は、時間120〜130の間に存在する2つのアラートを同一のクラスタに分類する。このように、アラート分析部13は、同一時間帯に存在するアラートを同一のクラスタに分類するクラスタ分類を行うことが出来る。なお、上記時間幅は任意の幅で構わない。
なお、アラート分析部13は、複数のアラート間の時間差が予め定められた閾値以上となった場合に別のクラスタとなるように判定しても構わない。つまり、アラート分析部13は、アラート間の時間差と閾値とに基づいて、クラスタ分類を行うよう構成しても構わない。なお、上記閾値は任意の値で構わない。
また、例えば、アラート分析部13は、アラート発生元の情報を加えてクラスタ分類を行うことが出来る。具体的には、アラート分析部13は、共通する任意の装置、ログファイル、ログメッセージに起因するアラートであり、かつ、それらアラートが所定の時間幅(任意の幅で構わない)に含まれる場合に、当該複数のアラートを同一のクラスタに含まれるアラートと判断することが出来る。
また、例えば、アラート分析部13は、既知の機械学習的方法によりアラートの時系列分布からクラスタを生成しても構わない。
アラート分析部13は、上述した方法のいずれか、または、その組み合わせにより、ログ監視部11から出力された複数のアラートを、アラートの時系列分布に従って複数のクラスタに分類することが出来る。
なお、本実施形態においては、アラート分析部13が上述した分類処理を開始するタイミングについては特に限定しない。例えば、アラート分析部13は、予め定められた周期ごとに上記分類を行っても構わないし、分類を行っていないアラートの数が所定数以上となるごとに上記分類を行っても構わない。アラート分析部13は、ログ監視部11がアラートを出力するごとなど上記例示した以外のタイミングで分類処理を開始しても構わない。
ログ分類部14は、ログメッセージ2に含まれる各ログが属するパターンを判断する。換言すると、ログ分類部14は、ログメッセージ2に含まれる各ログを、ログが属するパターンに応じて分類する。そして、ログ分類部14は、分類した結果を分類ルール記憶部15に格納する。
例えば、ログ分類部14は、ログ中の各フィールドの値を変数に変換した際の変数の並びに基づいて、ログが属するパターンを判断する。例えば、ログ分類部14が図2で示すようなログメッセージ2を受信したとする。図2で示す場合、1番目のログと2番目のログの各フィールドの値を変数に変換した際の変数の並びは、「日付日時を示す数字のみ、英字のみ、IPアドレスを示す数字のみ、英字のみ」となる。そこで、ログ分類部14は、図2中の1番目、2番目のログについて、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」に属すると判断する。また、ログ分類部14は、図2で示す場合、3番目から8番目までのログの各フィールドの値を変数に変換した際の変数の並びは、「日付日時を示す数字のみ、英字のみ、IPアドレスを示す数字のみ、英数混合」となる。そこで、ログ分類部14は、図2中の3番目から8番目までのログについて、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{NOTSPACE}」に属すると判断する。このように、ログ分類部14は、ログメッセージ2に含まれる各ログを、ログが属するパターンに基づいて分類する。
なお、ログ分類部14は、上記例示した以外の方法を用いてログを分類しても構わない。例えば、ログ分類部14は、ログメッセージ2に含まれる各ログを、クラスタ分析などを用いて複数の部分集合に分割し、分割した部分集合ごとに、フィールドの値を変数に変換した際の変数の並びに基づくパターンを判断するよう構成しても構わない。ログ分類部14は、その他既知の方法を用いて、ログが属するパターンを判断するよう構成しても構わない。
分類ルール記憶部15は、ログ分類部14が分類したログとパターンとの対応を記憶する記憶装置である。例えば、図2、図5で示す場合、分類ルール記憶部15は、図2中の1番目、2番目のログと、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」と、を対応付けて記憶する。また、分類ルール記憶部15は、図2中の3番目から8番目までのログと、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{NOTSPACE}」と、を対応付けて記憶する。
関連ログ抽出部16は、アラート分析部13から出力されるクラスタごとに、クラスタ内の各アラートに関連する、ログメッセージ2に含まれるログである関連ログを抽出する。例えば、あるクラスタに3つのアラートが存在すると仮定した場合、関連ログ抽出部16は、クラスタ内に存在する3つのアラートそれぞれについて、関連ログを抽出する。
例えば、関連ログ抽出部16は、各アラートの発生元の情報に基づき、関連ログを抽出する。具体的には、例えば、関連ログ抽出部16は、アラート発生元の情報と、クラスタ内のアラートのうちの最も時刻が早いアラートの時刻と最も時刻が遅いアラートの時刻との間の時間帯を示す情報と、に基づいて、関連ログを抽出する。例えば、関連ログ抽出部16は、アラートの原因となったログと同一の発生元(装置など)から出力されたログのうち上記時間帯に生じたログを、関連ログとして抽出する。
また、関連ログ抽出部16は、上記抽出した関連ログに加えて、アラート発生元の装置と物理的、又は、仮想的に関係のある装置(例えば、直接接続されているなど接続関係にある装置)から出力されたログを関連ログとして抽出することが出来る。例えば、関連ログ抽出部16は、トポロジ情報などに基づいて、アラート発生元の装置と物理的・仮想的に関係のある装置を特定する。そして、関連ログ抽出部16は、特定した接続関係にある装置から出力されたログのうち上記時間帯に生じたログを、関連ログとして抽出する。
以上のように、関連ログ抽出部16は、アラートの発生元である装置からアラートと同時間帯に出力されたログやアラートの発生元である装置と接続関係にある装置からアラートと同時間帯に出力されたログを、関連ログとして抽出することが出来る。
ログ要約部17は、クラスタごとに、関連ログ抽出部16が抽出した関連ログを関連ログの属するパターンに基づいて要約する。
図6は、ログ要約部17の処理の一例を示している。図6を参照すると、ログ要約部17は、時系列に基づいて、クラスタごとに関連ログをさらに分割する。例えば、ログ要約部17は、図6(A)に示すように、一定時間幅ごとに、クラスタ内の関連ログを分割する。図6(A)の場合、ログ要約部17は、あるクラスタ内の関連ログを、時系列に応じて5つのグループに分割している。図6(A)の場合、例えば、左側のグループほど早い時刻のグループとなる。なお、上記時間幅は任意の幅で構わない。
続いて、ログ要約部17は、グループ内に含まれる関連ログを、関連ログが属するパターンに応じて集約することで、グループ内に含まれる関連ログを要約する。つまり、ログ要約部17は、パターンに基づいてグループごとの要約を行う。
なお、関連ログの集約は、例えば、パターンを用いて行うことが出来る。例えば、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」に属する2つのログ「2017/02/24 09:01:00 success 127.0.0.1 bear」と「2017/02/24 09:02:00 success 127.0.0.2 root」を集約するとする。この場合、ログ要約部17は、「2017/02/24 09:01:00 success 127.0.0.1 bear」と「2017/02/24 09:02:00 success 127.0.0.2 root」の2つのログをパターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」に集約することが出来る。このような集約を行った場合、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」が上記2つの関連ログを含んでいることになる。つまり、パターン「%{NUM_TS}%{WORD}%{IP_NUM}%{WORD}」が上記2つの関連ログを示していることになる。
例えば、ログ要約部17は、図6(B)で示すように、同一のパターンに属する関連ログが同一時刻に存在する場合、当該同一時刻に存在するパターンを一つに集約する。図6(B)の場合、3番目の時刻にパターンP1に属する関連ログが2つ存在している。そこで、ログ要約部17は、当該2つの関連ログを1つに集約する。なお、同一のパターンに属する関連ログが同一時刻に複数存在する場合、ログ要約部17は、当該同一時刻に存在する複数のログすべてを一つに集約して構わない。
また、ログ要約部17は、図6(C)で示すように、同一のパターンに属する関連ログが連続する場合、当該連続する同一のパターンを一つに集約する。図6(C)の場合、図6(B)で2つの関連ログを集約した結果、2番目の時刻と3番目の時刻でパターンP1が連続することになる。そこで、ログ要約部17は、連続する2つの関連ログ(3番目の関連ログは図6(B)で集約されているもの)を1つに集約する。なお、同一のパターンが複数連続する場合、ログ要約部17は、当該連続する複数のパターンすべてを一つに集約して構わない。
例えば、上記のようにして、ログ要約部17は、グループごとの要約を行う。なお、ログ要約部17は、上記例示した要約のうちのいずれか一つのみを実行するよう構成しても構わないし、複数組み合わせて実行するよう構成しても構わない。
また、ログ要約部17は、上記例示した以外の方法を用いてグループ内のログの要約を行うよう構成しても構わない。例えば、図7で示すように、グループ内で同一のシーケンスが繰り返される場合(つまり、同一のパターンの並びが繰り返される場合)、当該同一のシーケンスを繰り返す関連ログを一つに集約することが出来る。図7の場合、パターンP2に属する関連ログの後パターンP1に属する関連ログが続く、というシーケンスが繰り返されている。そこで、ログ要約部17は、繰り返すシーケンスを一つに集約する。その結果、パターンP2に属するログの後にパターンP1に属するログが続くというシーケンスが一つ残ることになる。なお、同一のシーケンスが複数連続する場合、ログ要約部17は、当該連続するシーケンスすべてを一つに集約して構わない。
なお、ログ要約部17は、図7で示すような図6で例示した以外の方法と、図6で例示した方法とを組み合わせてグループ内の関連ログの要約を行うよう構成しても構わない。
また、ログ要約部17は、グループ間の集約を行うことで、グループ間の要約を行う。
例えば、ログ要約部17は、図6(D)で示すように、複数のグループ間で同一のシーケンスが連続している場合、一つのグループに要約することが出来る。図6(D)の場合、あるグループにおいてパターンP2に属するログの後パターンP1に属するログが続いており、また、上記グループの後のグループにおいて、パターンP2に属するログの後パターンP1に属するログが続いている。つまり、連続する2つのグループにおいて、同一のシーケンスが連続している。そこで、ログ要約部17は、同一のシーケンスを有する2つのグループを一つに集約する。その結果、2つのグループが一つに集約されることになる。なお、同一のシーケンスを有するグループが複数連続する場合、ログ要約部17は、連続するグループすべてを一つに集約して構わない。
例えば、上記のようにして、ログ要約部17は、グループ間の要約を行う。なお、ログ要約部17は、上記例示した方法以外の方法を用いてグループ間の要約を行うよう構成しても構わない。
以上のように、ログ要約部17は、グループごとの要約を行うとともに、グループ間の要約を行う。なお、ログ要約部17は、グループごとの要約とグループ間の要約のいずれか一方のみを行うよう構成しても構わない。
出力部18は、ログ監視部11が出力したアラートを出力するとともに、当該アラートと同一のクラスタに属する関連ログなどを要約した結果に応じた情報を出力する。例えば、出力部18は、ログ分析装置10が有するLCD(Liquid Crystal Display、液晶ディスプレイ)などの画面表示装置や外部装置に対して、上記情報を出力する。
例えば、出力部18は、ログ監視部11が出力したアラートを出力するとともに、要約した結果(パターンや関連ログ)などをそのまま出力することが出来る。この際、出力部18は、パターンに含まれる関連ログの情報(例えば、各変数に含まれる値の情報)を出力しても構わない。
また、出力部18は、図8で示すように、ログ監視部11が出力したアラートを出力するとともに、要約した結果に応じたサマリ情報を出力することが出来る。サマリ情報は、例えば、要約した結果であるパターンの一部(例えば、パターンのうち予め定められたフィールドの値)を示す情報やパターンの出力頻度を示す情報などから構成される。出力部18は、サマリ情報として、上記例示した以外の情報を出力しても構わない。なお、出力部18は、予め定められたフィールドの値の代わりに、パターン中の各変数に含まれる値の分布演算の結果などに基づいて特定されるフィールドの値をサマリ情報に含めるよう構成しても構わない。出力部18は、上記例示した方法以外の方法を用いて特定したフィールドの値をサマリ情報に含めるよう構成しても構わない。
なお、出力部18は、要約した結果をそのまま出力するとともに、サマリ情報も出力するよう構成しても構わない。
以上が、ログ分析装置10の構成の一例である。続いて図9から図12までを参照して、ログ分析装置10の処理の一例について説明する。
まず、図9を参照して、ログ分析装置10のうちログ監視部11の動作の一例について説明する。図9を参照すると、ログ監視部11は、ログメッセージ2を監視する。例えば、ログ監視部11は、監視ルール記憶部12が記憶する監視ルールをログメッセージ2が満たすか否か監視する(ステップS101)。
監視ルール記憶部12が記憶する監視ルールをログメッセージ2が満たさない場合(ステップS101、No)、ログ監視部11は、監視を継続する。一方、監視ルール記憶部12が記憶する監視ルールをログメッセージ2が満たす場合(ステップS101、No)、ログ監視部11は、アラートを出力する(ステップS102)。例えば、監視ルール記憶部12が図3で示すような監視ルールを記憶している状態で、図2で示すようなログメッセージ2を受信した場合、ログ監視部11は、09:04:00に連続して5回”fail”が発生したため、ログメッセージ2が監視ルールを満たすとしてアラートを出力する。
続いて、図10を参照して、ログ分析装置10のうちアラート分析部13の動作の一例について説明する。図10を参照すると、アラート分析部13は、ログ監視部11から出力された複数のアラートを、アラートの時系列分布に従って複数のクラスタに分類する(ステップS201)。例えば、アラート分析部13は、図4で示すように、ログ監視部11から出力された複数のアラートを一定の時間幅で分割して、同一の時間幅に含まれるアラートを同一のクラスタに含まれるアラートと判定する。これにより、アラート分析部13は、一定の時間幅ごとのクラスタにアラートを分類する。
なお、アラート分析部13は、予め定められた周期ごとに上記分類を行っても構わないし、分類を行っていないアラートの数が所定数以上となるごとに上記分類を行っても構わない。アラート分析部13は、ログ監視部11がアラートを出力するごとに上記分類を行っても構わない。アラート分析部13は、上記例示した以外のタイミングで分類処理を開始しても構わない。
続いて、図11を参照して、関連ログ抽出部16の動作の一例について説明する。図11を参照すると、関連ログ抽出部16は、各アラートの発生元の情報に基づき、関連ログを抽出する。具体的には、例えば、関連ログ抽出部16は、アラート発生元の情報と、クラスタ内のアラートのうちの最も時刻が早いアラートの時刻と最も時刻が遅いアラートの時刻との間の時間帯を示す情報と、に基づいて、クラスタごとに関連ログを抽出する(ステップS301)。関連ログ抽出部16は、アラートの発生元である装置からアラートと同時間帯に出力されたログを関連ログとして抽出しても構わないし、上記ログに加えて、アラートの発生元である装置と接続関係にある装置からアラートと同時間帯に出力されたログも関連ログとして抽出しても構わない。
続いて、図12を参照して、ログ要約部17の動作の一例について説明する。図12を参照すると、ログ要約部17は、クラスタごとに、関連ログ抽出部16が抽出した関連ログをさらに分割する。例えば、ログ要約部17は、図6(A)に示すように、一定時間幅ごとに、関連ログを分割する(ステップS401)。
ログ要約部17は、グループ内に含まれる関連ログを、関連ログが属するパターンに応じて集約することで、グループ内に含まれる関連ログを要約する。例えば、グループ内の関連ログが所定の条件を満たす場合(ステップS402、YES)、ログ要約部17は、条件を満たす関連ログを集約する(ステップS403)。一方、グループ内の関連ログが所定の条件を満たさない場合(ステップS402、NO)、ログ要約部17は、関連ログを集約しない。なお、集約する際の条件には、同一のパターンが同時刻に存在する場合、同一のパターンが連続する場合、グループ内で同一のシーケンスが繰り返される場合、などがある。
また、ログ要約部17は、グループ間の集約を行うことで、グループ間の要約を行う。例えば、グループ間で所定の条件を満たす場合(ステップS404、YES)、ログ要約部17は、条件を満たすグループを集約する(ステップS405)。一方、グループ間で所定の条件を満たさない場合(ステップS404、NO)、ログ要約部17は、グループを集約しない。なお、グループを集約する際の条件には、複数のグループ間で同一のシーケンスが連続している場合などがある。
このように、本実施形態におけるログ分析装置10は、アラート分析部13と、関連ログ抽出部16と、を有している。このような構成により、関連ログ抽出部16は、アラート分析部13から出力されるクラスタごとに、クラスタ内の各アラートに関連するログである関連ログを抽出することが出来る。その結果、出力部18は、アラートともに、抽出した関連ログに応じた出力を行うことが可能となる。これにより、確認が必要なログを絞ることが可能となり、ログの分析を行う際、分析対象のログが大量に存在しており、人が確認することが難しい、という課題を解決することが可能となる。
また、本実施形態のログ分析装置10は、上記構成に加えて、ログ分類部14と、ログ要約部17と、を有している。このような構成により、ログ要約部17は、ログ分類部14が判断した関連ログのパターンに基づいて、関連ログを集約することが出来る。その結果、出力部18は、アラートともに、抽出した関連ログを集約した結果に応じた出力を行うことが可能となる。これにより、確認する情報をより絞ることが可能となり、より効率的に上記課題を解決することが可能となる。
<ハードウェア構成について>
なお、上述した第1の実施形態において、ログ分析装置10が有する各構成要素は、機能単位のブロックを示している。ログ分析装置10が有する各構成要素の一部又は全部は、例えば図13に示すような情報処理装置300とプログラムとの任意の組み合せにより実現することが出来る。図13は、ログ分析装置10の各構成要素を実現する情報処理装置300のハードウェア構成の一例を示すブロック図である。情報処理装置300は、一例として、以下のような構成を含むことが出来る。
・CPU(Central Processing Unit)301
・ROM(Read Only Memory)302
・RAM(Random Access Memory)303
・RAM303にロードされるプログラム群304
・プログラム群304を格納する記憶装置305
・情報処理装置300外部の記録媒体310の読み書きを行うドライブ装置306
・情報処理装置300外部の通信ネットワーク311と接続する通信インタフェース307
・データの入出力を行う入出力インタフェース308
・各構成要素を接続するバス309
上述したログ分析装置10が有する各構成要素は、これらの機能を実現するプログラム群304をCPU301が取得して実行することで実現することが出来る。ログ分析装置10が有する各構成要素の機能を実現するプログラム群304は、例えば、予め記憶装置305やROM302に格納されており、必要に応じてCPU301がRAM303にロードして実行する。なお、プログラム群304は、通信ネットワーク311を介してCPU301に供給されてもよいし、予め記録媒体310に格納されており、ドライブ装置306が該プログラムを読み出してCPU301に供給してもよい。
なお、図13は、情報処理装置300の構成の一例を示しており、情報処理装置300の構成は上述した場合に例示されない。例えば、情報処理装置300は、ドライブ装置306を有さないなど、上述した構成の一部から構成されても構わない。
[第2の実施形態]
次に、図14を参照して、本発明の第2の実施形態について説明する。第2の実施形態では、ログ分析装置40の構成の概要について説明する。
ログ分析装置40は、ログメッセージを監視してアラートを出力する情報処理装置である。図14は、ログ分析装置40の構成の一例を示している。図14を参照すると、ログ分析装置40は、例えば、ログ監視部41と、関連ログ抽出部42と、を有している。
例えば、ログ分析装置40は、CPUなどの演算装置と、記憶装置と、を有している。例えば、ログ分析装置40は、記憶装置が有するプログラムを演算装置が実行することで、上記各処理部を実現する。
ログ監視部41は、監視対象のログメッセージが所定の条件を満たす場合にアラートを出力する。
関連ログ抽出部42は、ログ監視部41が出力したアラートに基づいて、ログメッセージの中から当該アラートと関連するログである関連ログを抽出する。
このように、ログ分析装置40は、ログ監視部41と、関連ログ抽出部42と、を有している。このような構成により、ログ分析装置40は、ログ監視部41が出力したアラートと、関連ログ抽出部42が抽出した関連ログに応じた情報と、を出力することが出来る。これにより、確認が必要なログを絞ることが可能となり、ログの分析を行う際、分析対象のログが大量に存在しており、人が確認することが難しい、という課題を解決することが可能となる。
また、上述したログ分析装置40は、当該ログ分析装置40に所定のプログラムが組み込まれることで実現できる。具体的に、本発明の他の形態であるプログラムは、情報処理装置に、監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部41と、ログ監視部41が出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出する関連ログ抽出部42と、を実現させ、ログ監視部41が出力したアラートと、関連ログ抽出部42が抽出した関連ログに応じた情報と、を出力するプログラムである。
また、上述したログ分析装置40により実行されるログ分析方法は、情報処理装置が、監視対象のログメッセージが所定の条件を満たす場合にアラートを出力し、出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出し、出力したアラートと、抽出した関連ログに応じた情報と、を出力する、という方法である。
上述した構成を有する、プログラム、又は、ログ分析方法、の発明であっても、上記ログ分析装置40と同様の作用を有するために、上述した本発明の目的を達成することが出来る。
<付記>
上記実施形態の一部又は全部は、以下の付記のようにも記載されうる。以下、本発明におけるログ分析装置などの概略を説明する。但し、本発明は、以下の構成に限定されない。
(付記1)
監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、
前記ログ監視部が出力した前記アラートに基づいて、前記ログメッセージの中から当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、
を有し、
前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する
ログ分析装置。
(付記2)
付記1に記載のログ分析装置であって、
前記関連ログ抽出部は、前記関連ログとして、前記アラートの原因となったログと同一の発生元から出力されたログを抽出する
ログ分析装置。
(付記3)
付記1または付記2に記載のログ分析装置であって、
前記関連ログ抽出部は、前記関連ログとして、前記アラートの原因となったログの発生元の装置と物理的、又は、仮想的に関係のある装置から出力されたログを抽出する
ログ分析装置。
(付記4)
付記1から付記3までのいずれか1項に記載のログ分析装置であって、
前記ログ監視部が出力した複数の前記アラートを、前記アラートの時系列分布に従って複数のクラスタに分類するアラート分析部を有し、
前記関連ログ抽出部は、前記関連ログとして、前記アラート分析部が分類したクラスタに基づいて前記アラートと同時間帯に出力されたと判断されるログを抽出する
ログ分析装置。
(付記5)
付記1から付記4までのいずれか1項に記載のログ分析装置であって、
前記ログメッセージ中の各ログを、所定のパターンに分類するログ分類部と、
前記関連ログ抽出部が抽出した前記関連ログを前記ログ分類部が分類した前記パターンに基づいて要約するログ要約部と、
を有する
ログ分析装置。
(付記6)
付記5に記載のログ分析装置であって、
前記ログ要約部は、前記関連ログ抽出部が抽出した前記関連ログを時系列に基づいて複数のグループに分割し、前記グループごとに前記関連ログの要約を行う
ログ分析装置。
(付記7)
付記6に記載のログ分析装置であって、
前記ログ要約部は、前記グループ内において、同一の前記パターンが同時刻に存在する場合、同一の前記パターンが連続する場合、同一の前記パターンの並びが繰り返される場合、のうちの少なくとも一つの条件を満たす場合に、前記関連ログの要約を行う
ログ分析装置。
(付記8)
付記5から付記8までのいずれか1項に記載のログ分析装置であって、
前記ログ要約部は、前記関連ログ抽出部が抽出した前記関連ログを時系列に基づいて複数のグループに分割し、前記グループ間の要約を行う
ログ分析装置。
(付記9)
付記8に記載のログ分析装置であって、
前記ログ要約部は、複数の前記グループ間で同一の前記パターンの並びが繰り返される場合に前記グループ間の要約を行う
ログ分析装置。
(付記10)
付記から付記9までのいずれか1項に記載のログ分析装置であって、
前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログを前記ログ要約部が要約した結果に基づく情報であるサマリ情報と、を出力する
ログ分析装置。
(付記11)
情報処理装置が、
監視対象のログメッセージが所定の条件を満たす場合にアラートを出力し、
出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出し、
出力した前記アラートと、抽出した前記関連ログに応じた情報と、を出力する
ログ分析方法。
(付記11−1)
付記11に記載のログ分析方法であって、
前記関連ログとして、前記アラートの原因となったログと同一の発生元から出力されたログを抽出する
ログ分析方法。
(付記11−2)
付記11または付記11−1に記載のログ分析方法であって、
前記関連ログとして、前記アラートの原因となったログの発生元の装置と物理的、又は、仮想的に関係のある装置から出力されたログを抽出する
ログ分析方法。
(付記12)
情報処理装置に、
監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、
前記ログ監視部が出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、
を実現させ、
前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する
プログラム。
(付記12−1)
付記12に記載のプログラムであって、
前記関連ログ抽出部は、前記関連ログとして、前記アラートの原因となったログと同一の発生元から出力されたログを抽出する
プログラム。
(付記12−2)
付記11または付記11−1に記載のプログラムであって、
前記関連ログ抽出部は、前記関連ログとして、前記アラートの原因となったログの発生元の装置と物理的、又は、仮想的に関係のある装置から出力されたログを抽出する
プログラム。
なお、上記各実施形態及び付記において記載したプログラムは、記憶装置に記憶されていたり、コンピュータが読み取り可能な記録媒体に記録されていたりする。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。
以上、上記各実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることが出来る。
10 ログ分析装置
11 ログ監視部
12 監視ルール記憶部
13 アラート分析部
14 ログ分類部
15 分類ルール記憶部
16 関連ログ抽出部
17 ログ要約部
18 出力部
2 ログメッセージ
300 情報処理装置
301 CPU
302 ROM
303 RAM
304 プログラム群
305 記憶装置
306 ドライブ装置
307 通信インタフェース
308 入出力インタフェース
309 バス
310 記録媒体
311 通信ネットワーク
40 ログ分析装置
41 ログ監視部
42 関連ログ抽出部

Claims (12)

  1. 監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、
    前記ログ監視部が出力した前記アラートに基づいて、前記ログメッセージの中から当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、
    を有し、
    前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する
    ログ分析装置。
  2. 請求項1に記載のログ分析装置であって、
    前記関連ログ抽出部は、前記関連ログとして、前記アラートの原因となったログと同一の発生元から出力されたログを抽出する
    ログ分析装置。
  3. 請求項1または請求項2に記載のログ分析装置であって、
    前記関連ログ抽出部は、前記関連ログとして、前記アラートの原因となったログの発生元の装置と物理的、又は、仮想的に関係のある装置から出力されたログを抽出する
    ログ分析装置。
  4. 請求項1から請求項3までのいずれか1項に記載のログ分析装置であって、
    前記ログ監視部が出力した複数の前記アラートを、前記アラートの時系列分布に従って複数のクラスタに分類するアラート分析部を有し、
    前記関連ログ抽出部は、前記関連ログとして、前記アラート分析部が分類したクラスタに基づいて前記アラートと同時間帯に出力されたと判断されるログを抽出する
    ログ分析装置。
  5. 請求項1から請求項4までのいずれか1項に記載のログ分析装置であって、
    前記ログメッセージ中の各ログを、所定のパターンに分類するログ分類部と、
    前記関連ログ抽出部が抽出した前記関連ログを前記ログ分類部が分類した前記パターンに基づいて要約するログ要約部と、
    を有する
    ログ分析装置。
  6. 請求項5に記載のログ分析装置であって、
    前記ログ要約部は、前記関連ログ抽出部が抽出した前記関連ログを時系列に基づいて複数のグループに分割し、前記グループごとに前記関連ログの要約を行う
    ログ分析装置。
  7. 請求項6に記載のログ分析装置であって、
    前記ログ要約部は、前記グループ内において、同一の前記パターンが同時刻に存在する場合、同一の前記パターンが連続する場合、同一の前記パターンの並びが繰り返される場合、のうちの少なくとも一つの条件を満たす場合に、前記関連ログの要約を行う
    ログ分析装置。
  8. 請求項5から請求項7までのいずれか1項に記載のログ分析装置であって、
    前記ログ要約部は、前記関連ログ抽出部が抽出した前記関連ログを時系列に基づいて複数のグループに分割し、前記グループ間の要約を行う
    ログ分析装置。
  9. 請求項8に記載のログ分析装置であって、
    前記ログ要約部は、複数の前記グループ間で同一の前記パターンの並びが繰り返される場合に前記グループ間の要約を行う
    ログ分析装置。
  10. 請求項5から請求項9までのいずれか1項に記載のログ分析装置であって、
    前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログを前記ログ要約部が要約した結果に基づく情報であるサマリ情報と、を出力する
    ログ分析装置。
  11. 情報処理装置が、
    監視対象のログメッセージが所定の条件を満たす場合にアラートを出力し、
    出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出し、
    出力した前記アラートと、抽出した前記関連ログに応じた情報と、を出力する
    ログ分析方法。
  12. 情報処理装置に、
    監視対象のログメッセージが所定の条件を満たす場合にアラートを出力するログ監視部と、
    前記ログ監視部が出力したアラートに基づいて、当該アラートと関連するログである関連ログを抽出する関連ログ抽出部と、
    を実現させ、
    前記ログ監視部が出力した前記アラートと、前記関連ログ抽出部が抽出した前記関連ログに応じた情報と、を出力する
    プログラム。

JP2020529898A 2018-07-11 2018-07-11 ログ分析装置、ログ分析方法、プログラム Active JP7078114B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/026196 WO2020012579A1 (ja) 2018-07-11 2018-07-11 ログ分析装置、ログ分析方法、プログラム

Publications (2)

Publication Number Publication Date
JPWO2020012579A1 true JPWO2020012579A1 (ja) 2021-07-08
JP7078114B2 JP7078114B2 (ja) 2022-05-31

Family

ID=69142324

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020529898A Active JP7078114B2 (ja) 2018-07-11 2018-07-11 ログ分析装置、ログ分析方法、プログラム

Country Status (3)

Country Link
US (1) US20210232483A1 (ja)
JP (1) JP7078114B2 (ja)
WO (1) WO2020012579A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210264033A1 (en) * 2020-02-20 2021-08-26 Bank Of America Corporation Dynamic Threat Actionability Determination and Control System
CN114816895A (zh) * 2021-01-22 2022-07-29 华为技术有限公司 处理告警日志的方法、装置及存储介质
CN113220543B (zh) * 2021-04-15 2024-02-23 新浪技术(中国)有限公司 一种业务自动报警方法及装置
US11829338B2 (en) * 2021-12-07 2023-11-28 International Business Machines Corporation Unlabeled log anomaly continuous learning

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005209115A (ja) * 2004-01-26 2005-08-04 National Institute Of Information & Communication Technology ログ要約装置、ログ要約プログラムおよび記録媒体
WO2011111599A1 (ja) * 2010-03-11 2011-09-15 日本電気株式会社 障害分析ルール抽出装置、障害分析ルール抽出方法、及び記憶媒体
JP2014203294A (ja) * 2013-04-05 2014-10-27 株式会社日立製作所 障害対応システムおよび障害対応方法
JP2015191327A (ja) * 2014-03-27 2015-11-02 日本電気株式会社 システム監視装置、システムの監視方法、及びプログラム
WO2017110996A1 (ja) * 2015-12-25 2017-06-29 日本電気株式会社 ログ分析システム、ログ分析方法及びプログラムを格納する記録媒体

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5867659A (en) * 1996-06-28 1999-02-02 Intel Corporation Method and apparatus for monitoring events in a system
DE10337144A1 (de) * 2003-08-11 2005-03-17 Hewlett-Packard Company, Palo Alto Verfahren zur Aufzeichnung von Ereignis-Logs
US7653633B2 (en) * 2005-11-12 2010-01-26 Logrhythm, Inc. Log collection, structuring and processing
US11113138B2 (en) * 2018-01-02 2021-09-07 Carrier Corporation System and method for analyzing and responding to errors within a log file

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005209115A (ja) * 2004-01-26 2005-08-04 National Institute Of Information & Communication Technology ログ要約装置、ログ要約プログラムおよび記録媒体
WO2011111599A1 (ja) * 2010-03-11 2011-09-15 日本電気株式会社 障害分析ルール抽出装置、障害分析ルール抽出方法、及び記憶媒体
JP2014203294A (ja) * 2013-04-05 2014-10-27 株式会社日立製作所 障害対応システムおよび障害対応方法
JP2015191327A (ja) * 2014-03-27 2015-11-02 日本電気株式会社 システム監視装置、システムの監視方法、及びプログラム
WO2017110996A1 (ja) * 2015-12-25 2017-06-29 日本電気株式会社 ログ分析システム、ログ分析方法及びプログラムを格納する記録媒体

Also Published As

Publication number Publication date
JP7078114B2 (ja) 2022-05-31
US20210232483A1 (en) 2021-07-29
WO2020012579A1 (ja) 2020-01-16

Similar Documents

Publication Publication Date Title
JP7078114B2 (ja) ログ分析装置、ログ分析方法、プログラム
CN111082966B (zh) 基于批量告警事件的定位方法、装置、电子设备及介质
JP6643211B2 (ja) 異常検知システム及び異常検知方法
US8452761B2 (en) Apparatus for and method of implementing system log message ranking via system behavior analysis
US20170208080A1 (en) Computer-readable recording medium, detection method, and detection apparatus
CN114281781A (zh) 一种数据处理方法以及数据处理设备
CN111131304A (zh) 面向云平台大规模虚拟机细粒度异常行为检测方法和系统
JPWO2017115458A1 (ja) ログ分析システム、方法およびプログラム
US11757708B2 (en) Anomaly detection device, anomaly detection method, and anomaly detection program
CN112434238A (zh) 网页质量检测方法、装置、电子设备及存储介质
JP6856527B2 (ja) メッセージ分析装置、メッセージ分析方法、および、メッセージ分析プログラム
JPWO2017094263A1 (ja) ログ分析システム、方法およびプログラム
CN111950623B (zh) 数据稳定性监控方法、装置、计算机设备及介质
CN110677271B (zh) 基于elk的大数据告警方法、装置、设备及存储介质
US11423230B2 (en) Process extraction apparatus and non-transitory computer readable medium
WO2016199411A1 (ja) ログ表示装置とログ表示方法およびログ表示プログラム
CN111309511A (zh) 一种应用运行数据的处理方法、装置及终端
CN112559940B (zh) 页面标注方法、装置、设备及介质
JP7276743B2 (ja) 異常操作検知装置、異常操作検知方法、およびプログラム
JPWO2018110327A1 (ja) 異常識別システム、方法及びプログラム
CN114969333A (zh) 基于数据挖掘的网络信息安全管理方法及装置
CN113888265A (zh) 产品推荐方法、装置、设备及计算机可读存储介质
WO2020017037A1 (ja) ログ分析装置、ログ分析方法、プログラム
CN113569552A (zh) 日志模板提取方法、装置、电子设备及计算机存储介质
Samii et al. Interactive Visualization for System Log Analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220419

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220502

R151 Written notification of patent or utility model registration

Ref document number: 7078114

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151