WO2016132717A1 - ログ分析システム、ログ分析方法およびプログラム記録媒体 - Google Patents

ログ分析システム、ログ分析方法およびプログラム記録媒体 Download PDF

Info

Publication number
WO2016132717A1
WO2016132717A1 PCT/JP2016/000723 JP2016000723W WO2016132717A1 WO 2016132717 A1 WO2016132717 A1 WO 2016132717A1 JP 2016000723 W JP2016000723 W JP 2016000723W WO 2016132717 A1 WO2016132717 A1 WO 2016132717A1
Authority
WO
WIPO (PCT)
Prior art keywords
log
pattern
abnormality
message group
analysis
Prior art date
Application number
PCT/JP2016/000723
Other languages
English (en)
French (fr)
Inventor
遼介 外川
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to US15/551,844 priority Critical patent/US10514974B2/en
Priority to JP2017500505A priority patent/JP6669156B2/ja
Publication of WO2016132717A1 publication Critical patent/WO2016132717A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0775Content or structure details of the error report, e.g. specific table structure, specific error fields
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0778Dumping, i.e. gathering error/state information after a fault for later diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging

Abstract

 情報処理システムで発生した障害を高い精度で特定・解析するために、少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析し、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報を含む参考情報をログメッセージ群の構成パターンと関連付ける分析手段と、分析手段による分析結果に従って、既知のパターンとは異なる構成パターンをもつログメッセージ群から新たなパターンを生成するパターン生成手段とを備えるログ分析システムとする。

Description

ログ分析システム、ログ分析方法およびプログラム記録媒体
 本発明は、情報処理システムが出力するログを分析するログ分析システム、ログ分析方法およびプログラム記録媒体に関する。
 情報処理システムの運用・保守を行う者(以下、管理者と呼ぶ)は、システムから出力されるログを分析し、システムの状態を判断する。これまでの情報処理システムの管理においては、ログを分析するためのルールを管理者が生成していた。しかし、現在では情報処理システムから出力されるログのサイズが膨大になり、管理者がログの全てを把握できないため、ログを分析するためのルールを網羅的に生成することが難しい。そのため、自動的に生成したログの分析ルールを用いてシステムの状態を分析する技術が提案されている。
 特許文献1には、インシデント管理運用業務における障害復旧作業の時間を短縮するインシデント管理システムについて開示されている。特許文献1のシステムは、監視対象機器に発生した障害と、過去にインシデントとして登録された障害との類似性を判定し、類似するインシデントを提示する。特許文献1のシステムは、障害時に出力されたログメッセージに含まれるホスト名、アプリケーション名およびメッセージに含まれる文字の合致率を算出し、合致率が一定値以上の過去のインシデントを類似するインシデントとして提示する。
 また、一般的な情報処理装置は、何らかの処理を実行すると、当該処理の実行に応じた複数のメッセージを所定の時系列順に出力する。このように、情報処理装置が特定の処理を実行した際に所定の時系列順に出力する複数のメッセージを「一連のメッセージ」と呼ぶ。
 特許文献2には、イベントログの中で、障害原因の特定の手がかりとなる箇所を短時間で見つけ出すことができる機器障害分析装置について開示されている。特許文献2の装置は、正常時に出力される一連のメッセージを正常時パターンとして定義し、その正常時パターンと機器の稼働ログとの一致度を算出し、一致度が閾値以下となる稼働ログを異常ログとして検出する。すなわち、特許文献2の装置は、「一連のメッセージを処理単位でグループ化する情報」に基づいてログを分析する。
 特許文献3には、大規模なシステムの異常を検出し、異常発生個所を同定する異常診断装置について開示されている。特許文献3の装置は、システムを構成するサブシステム単位で正常モデルを生成し、正常モデルに含まれないデータを異常として検出する。特許文献3の装置は、検出した異常とサブシステムの階層的な依存関係とに基づいてシステムの異常個所を特定する。
 また、その他にも、ログやパターン、障害解析などの情報分析に関する技術がいくつか開示されている。
 特許文献4には、通信システム内で伝送されるパケット内のデータのセキュリティが確保されながら通信システム内のトラフィックが削減される暗号通信を実現する暗号通信装置について開示されている。特許文献4の装置は、処理対象パケット内のデータとサンプルパケット内のデータとのデータパターンが一致するデータ部分を抽出してマッチングデータを作成する。
 特許文献5には、監視対象の機器が自己感染型悪性プログラムに感染したことを高い確実性で検知する感染活動検知装置について開示されている。特許文献5の装置は、所定時間内のアクセスに関するログレコードからなるログデータを抽出する。
 特許文献6には、監視対象のサーバにおいて発生する障害に対して、遠隔地から対応するリモートメンテナンスシステムについて開示されている。特許文献6のシステムは、監視対象の装置で発生した障害の原因を切り分け、それぞれの障害の原因に対して予め用意しておいた障害メッセージおよび対処情報から適切な情報を選択する。
 特許文献7には、所定の動作パターンから様々な動作パターンを生成する動作パターン生成装置について開示されている。特許文献7の装置は、隠れマルコフモデルの持つ遷移確率や出力確率に従って時系列データを生成することによって動作パターンを生成する。
 特許文献8には、サーバから指定されたログファイル群を収集し、収集したログファイル群を共通フォーマットの中間形式のログ情報に変換するログ解析装置について開示されている。特許文献8の装置は、中間形式のログ情報に変換ルールを適用し、解析のしやすい統合ログを生成する。
 特許文献9には、ネットワークを介したコミュニケーション支援に好適な通信状態表示方法について開示されている。特許文献9の方法においては、電子メールなどのメッセージに関して発信元や発信先、日時、サブジェクトを取得し、各データに固有の識別子を付与し、これらのデータをデータサーバ内の蓄積データ管理テーブルを用いて管理する。
特開2014-119982号公報 特開2012-94046号公報 特許第5621667号公報 特開2014-183562号公報 特開2011-2916号公報 特開2010-66840号公報 特開2009-66693号公報 特開2006-259811号公報 特開平9-55763号公報
 特許文献1のインシデント管理システムは、既知の障害を検出・分析の対象としており、未知の障害を対象とすることができない。情報処理システムにおいて発生した未知の障害を検出するためには、既知の障害とともに既知の正常の状態をルール化する必要があるが、特許文献1のシステムではルールを生成する方法については開示されていない。また、特許文献1が開示する技術は、既知のログメッセージを含む新規の障害が発生した場合に誤ったインシデントを提示する。障害の分析を高精度に行うためには、単体のログメッセージだけでなく、処理に関する一連のログメッセージを分析することが必要である。
 特許文献2および3の装置は、正常時のパターンのみを備えるため、過去と同一の障害が発生した場合に、その障害を過去に発生した障害と紐づけることができない。また、特許文献2および3の装置は、機器稼働ログにおける正常時パターンとの差異を異常として検出するため、異常同士を区別することができない。
 すなわち、特許文献1~3の開示する技術は、ルールとの一致・差異を検出するため、正常な動作が組み合わさった結果発生する障害について情報を提示することができない。正常な動作が組み合わさったことで発生する障害について情報を提示するためには、正常に完了した動作に関する情報を提示すること必要である。
 特許文献1~9の開示する技術を組み合わせれば、ログから正常ではないパターンを抽出し、抽出したパターンに基づいて監視対象システムの障害を検出することはできる。しかし、特許文献1~9の開示する技術を組み合わせても、正常な動作が組み合わさったことで発生する障害について情報を提示することはできない。
 本発明の目的は、情報処理システムで発生した障害を高い精度で特定・解析できるログ分析システムを提供することである。
 本発明のログ分析システムは、少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析し、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報を含む参考情報をログメッセージ群の構成パターンと関連付ける分析手段と、分析手段による分析結果に従って、既知のパターンとは異なる構成パターンをもつログメッセージ群から新たなパターンを生成するパターン生成手段とを備える。
 本発明のログ分析方法においては、少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析し、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報を含む参考情報をログメッセージ群の構成パターンと関連付け、分析結果に従って、既知のパターンとは異なる構成パターンをもつログメッセージ群から新たなパターンを生成する。
 本発明のログ分析プログラムは、少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析する処理と、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報を含む参考情報をログメッセージ群の構成パターンと関連付ける処理と、分析結果に従って、既知のパターンとは異なる構成パターンをもつログメッセージ群から新たなパターンを生成する処理とをコンピュータに実行させるプログラムを記録したプログラム記録媒体。
 本発明によれば、情報処理システムで発生した障害を高い精度で特定・解析できるログ分析システムを提供することが可能になる。
本発明の第1の実施形態に係るログ分析システムの構成を示すブロック図である。 本発明の第1の実施形態に係るログファイルの一例を示す図である。 本発明の第1の実施形態に係る正常パターンの一例を示す図である。 本発明の第1の実施形態に係る異常パターンの一例を示す図である。 本発明の第1の実施形態に係る参考ログの一例を示す図である。 本発明の第1の実施形態に係るログ分析システムの動作に関するフローチャートである。 本発明の第1の実施形態に係るログ分析システムが取り扱う正常パターンに関する概念図である。 本発明の第1の実施形態に係るログ分析システムが取り扱う未完了ログに関する概念図である。 本発明の第1の実施形態に係るログ分析システムが取り扱う未知ログに関する概念図である。 本発明の第1の実施形態に係るログ分析システムが取り扱う参考ログに関する概念図である。 本発明の第1の実施形態に係るログ分析システムの異常パターン生成部による異常パターン生成処理に関するフローチャートである。 本発明の第1の実施形態に係るログ分析システムが取り扱う異常ログに関する概念図である。 本発明の第1の実施形態に係るログ分析システムにおける判定時間に関する概念図である。 本発明の第1の実施形態に係る分析結果の一例を示す図である。 本発明の第1の実施形態に係る分析結果の一例を示す図である。 本発明の第2の実施形態に係るログ分析システムの構成を示すブロック図である。 本発明の第2の実施形態に係る分類情報の一例を示す図である。 本発明の第3の実施形態に係るログ分析システムの構成を示すブロック図である。 本発明の第3の実施形態に係る障害対応情報の一例を示す図である。 本発明の第4の実施形態に係るログ分析システムの構成を示すブロック図である。 本発明の第4の実施形態に係る異常パターンの分析結果の一例を示す図である。 本発明の第4の実施形態に係る異常パターンの分析結果の一例を示す図である。 本発明の第5の実施形態に係るログ分析システムの構成を示すブロック図である。 本発明の第5の実施形態に係るログ分析システムのパターン学習部の動作に関するフローチャートである。 本発明の第6の実施形態に係るログ分析システムの構成を示すブロック図である。 本発明の第6の実施形態に係るログ分析システムの分析手段の内部構成を示すブロック図である。 本発明の第6の実施形態に係るログ分析システムの分析手段の内部構成を示すブロック図である。 本発明の各実施形態に係るログ分析システムを実現するためのハードウェア構成の一例を示すブロック図である。
 以下に、本発明を実施するための形態について図面を用いて説明する。ただし、以下に述べる実施形態には、本発明を実施するために技術的に好ましい限定がされているが、発明の範囲を以下に限定するものではない。
 なお、以下の実施形態の説明に用いる全図においては、特に理由が無い限り、同様箇所には同一符号を付す。また、以下の実施形態において、実質的に同様の構成・動作に関しては繰り返しの説明を省略する場合がある。また、図面中の矢印の向きは、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
 (第1の実施形態)
 まず、本発明の第1の実施形態に係るログ分析システム11について、図面を用いて説明する。
 [構成]
 図1は、本実施形態に係るログ分析システム11の構成を示すブロック図である。図1のように、ログ分析システム11は、ログ読み込み部21、パターン記憶部31、条件記憶部35、正常分析部51、異常分析部52、異常パターン生成部71および結果出力部91を備える。
 ログ分析システム11は、図示しない情報処理システムから出力されたログファイル101(以下、単にログファイルと記載)を取得し、ログファイルに含まれるログメッセージ(ログレコードとも呼ぶ)を分析する。
 〔ログファイル〕
 ログファイルは、少なくとも一つのログメッセージによって構成される。通常、ログファイルは、分析対象であるアプリケーションやシステムにおけるイベントの発生に伴って出力される。ログファイルは、アプリケーションやシステムで発生したイベントと、当該イベントが発生した時刻とが関連付けられた情報であるログメッセージが時系列順に整列された情報を含む。図1には、ログファイルの一例として、syslogやlog4j、Event logをあげている。
 ログファイルは、ログメッセージまたはログメッセージの集合である。これ以降、複数のログメッセージのことをログメッセージ群と呼ぶこともある。また、ログファイルのことを単にログと呼ぶこともある。
 図2に、複数のログメッセージを含むログファイルの一例(ログファイル110)を示す。図2において、ログファイルに少なくとも一つ含まれるログメッセージは、当該メッセージが出力された時刻、当該メッセージに固有な識別子であるログID(Identifier)、メッセージ本文、ログレベルなどの複数のログ要素を含む。なお、ログ分析システム11が取り扱うログファイルは、図2の例に含まれていないログ要素を含んでいてもよいし、図2の例に含まれるログ要素のいずれかを含んでいなくてもよい。
 〔ログ読み込み部〕
 ログ読み込み部21は、分析対象とするログファイルを読み込み、読み込んだログファイルを構成するログメッセージを正常分析部51に送信するログ収集手段である。
 なお、ログ読み込み部21は、分析対象のシステムから直接ログを受信したり、図示しない記憶部からログファイルを読み出したり、管理者によってログファイルの入力を直接受け付けたりしてもよい。また、ログ読み込み部21は、例えば、読み込み対象とするログファイルの指定、読み込み対象とするログメッセージが出力された日時の指定を管理者から受け付けてもよい。また、ログ読み込み部21は、ログの分析に必要な情報が定義されたファイル(図示しない)を読み込み、ファイルに定義された情報に従って、読み込んだログファイルの形式をログ分析システム11が分析しやすい形式に変換してもよい。
 〔パターン記憶部〕
 パターン記憶部31は、正常パターン41(以下、正常パターン)、異常パターン42(以下、異常パターン)および参考ログ43(以下、参考ログ)を記憶する記憶手段である。
 正常パターン(第1のパターンとも呼ぶ)は、対象システムが正常である場合に出力されるログメッセージの組み合わせまたは時系列順序である。ログメッセージの組み合わせまたは時系列順序のことを構成パターンとも呼ぶ。正常パターンは、少なくとも1つのログメッセージによって構成される。正常パターンは、固有の識別子であるパターンID(以下、正常パターンID)を有する。
 図3に、正常パターンの一例である正常パターンテーブル141を示す。図3の正常パターンテーブル141において、正常パターンIDが1の正常パターン(以下、正常パターン「1」と記載)は、1001、2004、3009、5025というログIDが付与された4つのログメッセージの組み合わせであることを示す。すなわち、正常パターン「1」は、「1001、2004、3009、5025」という構成パターンを有する。
 なお、図3では正常パターンを表現するためにログIDを用いたが、ログIDの代わりにログメッセージそのものを用いてもよい。また、正常パターンを表記するために、ログIDを意味する数字を順番に並べた文字列や、文字と矢印の組み合わせによって時系列順序を表現してもよい。例えば、「1234」や「1、2、3、4」、「1→2→3→4」などのように正常パターンを表記し、時系列順序が1、2、3、4の順番となることを示してもよい。また、正常パターンは、状態遷移を表すオートマトンの形式で記述されてもよい。
 また、正常パターンは、当該パターンの開始から正常に完了するまでの時間に相当する規定時間(第1の時間とも呼ぶ)の情報を持っていてもよい。規定時間は、正常パターンが完了することを期待する時間の上限値に相当する。規定時間は、正常パターンごとに個別に定義してもよいし、正常パターン集合全体に対して一意の値を定義してもよい。
 異常パターン(第2のパターンとも呼ぶ)は、分析対象のログファイルに含まれるログメッセージ群の構成パターンが正常パターンと一致しないときの構成パターンである。異常パターンは、異常分析部52によって異常パターンと一致しない構成パターンを含む異常ログが検出されたときに、その異常ログに基づいて異常パターン生成部71によって生成され、パターン記憶部31に記憶される。異常パターンは、少なくとも1つのログメッセージによって構成される。
 異常パターンは、正常パターンと部分的に一致する構成パターンと、正常パターンと不一致な構成パターンとの組み合わせとして定義される。すなわち、異常パターンとは、正常パターンに含まれるログメッセージと、正常パターンに含まれないログメッセージとを組み合わせた構成パターンである。異常パターンは、固有の識別子であるパターンID(以下、異常パターンID)を有する。異常パターンは、正常パターンと同様の形式で表現できる。
 図4に、異常パターンの一例である異常パターンテーブル142を示す。図4の異常パターンテーブル142では、異常パターンIDが1の異常パターン(以下、異常パターン「1」と記載)は、ログIDが1001、2004、3009、8064、8065の5つのログメッセージの組み合わせである。図3の正常パターンテーブル141と比較すると、異常パターン「1」において、ログIDが1001、2004、3009の組み合わせは正常パターン「1」に含まれる。しかし、異常パターン「1」において、ログIDが8064および8065のログメッセージは正常パターン「1」に含まれない。
 参考ログ43(参考情報とも呼ぶ)は、異常ログが発生したときに、その異常ログに付随して発生する構成パターンに合致している正常パターンの情報である。参考ログは、異常ログ発生時に、その異常ログの発生時刻を基準とする所定の時間内に発生した構成パターンに合致する正常パターンの情報である。すなわち、参考ログは、異常ログの発生時刻よりも所定の時間分前の時刻から、異常ログの発生時刻よりも所定の時間分後の時刻までに発生した構成パターンに合致する正常パターンの情報である。なお、異常ログ発生時刻前の所定の時間と、異常ログ発生時刻後の所定の時間とは、異なっていても構わない。また、参考ログは、異常ログの発生時刻を含む第2の時間内に発生した構成パターンに合致する正常パターンの情報であると表現することもできる。
 参考ログは、異常ログに対応する異常パターンIDと、その異常パターンIDに対応する正常パターンIDの組み合わせで表現される。また、パターン記憶部31に記録された参考ログを第1の参考ログと呼び、異常ログ発生時に正常分析部51によって抽出された参考ログを第2の参考ログと呼ぶ。
 図5に参考ログの一例である参考ログテーブル143を示す。例えば、異常パターン「1」に対応する異常ログが発生したときに、その異常ログに付随して正常パターン「10、11、12」が発生していたとする。このとき、異常ログに付随して発生した正常パターン「10、11、12」が参考ログである。参考ログテーブル143には、異常パターン「1」に対応させて、「10、11、12」が参考ログとして記録される。
 パターン記憶部31は、正常分析部51および異常分析部52によって参照される。また、パターン記憶部31は、異常パターン生成部71が生成した新たな異常パターンと、その新たな異常パターンに対応する参考ログを記憶する。
 〔条件記憶部〕
 条件記憶部35は、異常パターンを生成するための条件である判定条件45(以下、判定条件)を記憶する。判定条件は、例えばログに関する時刻やログの類似性などの条件として設定される。なお、条件記憶部35は、パターン記憶部31と同じ記憶装置に設定されていてもよいし、異なる記憶装置に設定されていてもよい。
 〔正常分析部〕
 正常分析部51は、複数のログメッセージをログ読み込み部21から受信する。正常分析部51は、ログを受信した際にパターン記憶部31を参照し、受信したログの構成パターンと、パターン記憶部31に記録された正常パターンとを比較する。そして、正常分析部51は、受信したログの構成パターンが正常パターンと一致しているか否かを分析する。正常分析部51は、結果出力部91に分析結果を出力する。
 また、正常分析部51は、受信したログの構成パターンが正常パターンと一致しない場合には、そのログを異常ログとして異常分析部52に出力する。このとき、正常分析部51は、その異常ログに付随して発生した正常パターンを参考情報として異常ログに併せて出力する。正常分析部51の詳細については後述する。
 〔異常分析部〕
 異常分析部52は、異常ログと、その異常ログに付随する参考情報とを正常分析部51から受信する。異常分析部52は、異常ログを受信した際にパターン記憶部31を参照し、受信した異常ログの構成パターンと、パターン記憶部31に記録された異常パターン42とを比較する。そして、異常分析部52は、受信した異常ログの構成パターンと、記録された異常パターンとが一致しているか否かを分析する。異常分析部52は、結果出力部91に分析結果を出力する。
 異常分析部52は、異常ログの構成パターンが異常パターンと一致しないと判定した場合には、その異常ログと、その異常ログに付随する参考情報とを異常パターン生成部71に出力する。なお、異常分析部52の詳細については後述する。
 〔異常パターン生成部〕
 異常パターン生成部71は、異常ログと、その異常ログに付随する参考情報とを異常分析部52から受信する。異常パターン生成部71は、条件記憶部35に記録された判定条件に従って、受信した異常ログから異常パターンを生成する。異常パターン生成部71は、生成した異常パターンをパターン記憶部31に送信し、その異常パターンをパターン記憶部31に記録させる。
 例えば、異常パターン生成部71に判定条件を入力する際には、図示しない入力部を介して、管理者が判定条件を直接入力するように構成してもよい。また、異常パターン生成部71は、図示しない入力部を介して、判定条件を定義したファイルを読み込むように構成してもよい。また、異常パターン生成部71は、図示しない入力部を介して、管理者が定義した異常パターンの入力を受け、当該異常パターンをパターン記憶部31に直接記録するように構成してもよい。
 〔結果出力部〕
 結果出力部91は、正常分析部51および異常分析部52の分析結果を受信し、受信した分析結果を出力する。
 分析対象のログの構成パターンが正常パターンと一致するという分析結果を受信した場合、結果出力部91は、当該ログを正常パターンと関連付けて出力する。また、分析対象のログの構成パターンが異常パターンと一致するという分析結果を受信した場合、結果出力部91は、当該ログを異常パターンと関連付けて出力する。なお、結果出力部91の出力形式はここであげた限りではない。
 以上が、本実施形態に係るログ分析システムの構成についての説明である。
 [動作]
 次に、図6のフローチャートに沿って、本実施形態に係るログ分析システム11の動作について説明する。なお、以下の説明においては、ログ分析システム11を構成する構成要素間のデータの送受信については省略している場合がある。
 図6において、まず、ログ読み込み部21は、入力されたログファイルを読み込む(図6:ステップS1)。
 次に、正常分析部51は、読み込まれたログファイルを分析する(図6:ステップS2)。例えば、正常分析部51は、読み込まれたログファイルに含まれる各ログメッセージのログIDの組み合わせまたは時系列順序と、パターン記憶部31に記録された正常パターンとを比較する。
 入力されたログファイルに含まれるログメッセージ群の構成パターンが正常パターンと一致する場合(ステップS3でYes)、正常分析部51は、入力されたログは正常であるという分析結果を結果出力部91へ出力する(図6:ステップS9へ進む)。
 ここで、図7を用いて、入力されたログメッセージ群の構成パターンが正常パターンと一致する例について説明する。例えば、正常パターンの時系列順序が「1→2→3→4」であり、規定時間を「10秒」とする。このとき、ログメッセージ「1」の読み込み時刻「2014/12/10 10:00:34」から「2014/12/10 10:00:44」までの10秒間に検出されたログメッセージが分析対象のログとなる。
 図7のように、ログメッセージ「1」の読み込み時刻から規定時間を経過するまでの間に、正常パターンを構成する全てのログメッセージが時系列順に検出されれば、正常分析部51はそのログメッセージ群を含むログファイルが正常であると判定する。
 一方、入力されたログファイルに含まれるログメッセージ群の構成パターンが正常パターンと一致しない場合(図6:ステップS3でNo)、正常分析部51は、そのログメッセージ群を異常ログとして異常分析部52へ送信する。すなわち、正常分析部51は、規定時間内において正常パターンに含まれる全ての要素を充足しなかったログを異常ログとして異常分析部52へ送信する(ステップS4へ進む)。同時に、正常分析部51は、入力されたログファイルが異常パターンを含むという分析結果を結果出力部91へ出力する(図6:ステップS9へ進む)。これ以降、規定時間内において正常パターンに含まれる全ての要素を充足しなかったログを未完了ログと呼ぶ。
 ここで、図8を用いて、入力されたログファイルに含まれるログメッセージ群の構成パターンが正常パターンと一致しない例について説明する。例えば、時系列順序が「1→2→3→4」である正常パターンの規定時間を「10秒」とする。また、ログメッセージ「1」の読み込み時刻を「2014/12/10 10:00:34」とする。
 図8のように、ログメッセージ「1」の読み込み時刻から10秒後の「2014/12/10 10:00:44」までに、「1→2→3」までは正常パターンの一部に合致していたが、「4」が出現しなかった場合、正常分析部51は規定時間を超過したとみなす。その結果を受け、正常分析部51は、規定時間内に正常パターンの一部と合致していた「1→2→3」に対応するログメッセージ群を未完了ログとして異常分析部52へ送信する。
 また、正常分析部51は、未完了ログに付随する情報として、その未完了ログに対応する正常パターンに関する情報を送信する。例えば、図8のように、未完了ログが正常パターン「1」に対応する場合、正常分析部51は、当該ログは正常パターン「1」に対応するという情報を異常分析部52に送信する。
 また、正常分析部51は、当該異常ログに対し、正常パターンを充足するためには不足しているログの情報を異常分析部52に送信してもよい。これ以降、分析対象のログメッセージの構成パターンにおいて、正常パターンを充足するためには不足しているログのことを不足ログと呼ぶ。例えば、図8のように、「1→2→3→4」という正常パターンにおいてログメッセージ「4」のみが存在しない場合、正常分析部51は、未完了ログ(「1→2→3」)に加え、ログメッセージ「4」の情報を不足ログとして異常分析部52へ送信してもよい。
 さらに、入力されたログメッセージにおいて、正常パターンを構成するログメッセージに含まれないログメッセージが検出された場合、正常分析部51は当該ログを異常分析部52へ送信する。これ以降、異常ログにおいて、正常パターンを構成するログメッセージに含まれないログメッセージのことを未知ログと呼ぶ。例えば、図9のように、「1→2→3」という未完了ログとともに、「11→12→13」という正常パターンには含まれないログメッセージが異常ログから検出された場合、正常分析部51は、未完了ログ「1→2→3」を異常分析部52へ送信する。同時に、正常分析部51は、「11→12→13」の情報を未知ログとして異常分析部52へ送信する。
 すなわち、異常ログとは、未知ログ、未完了ログおよびそれらのログに合致した正常パターンや不足ログなどの付随情報と定義することができる。
 異常ログを異常分析部52へ送信する場合、正常分析部51は、当該異常ログの発生時刻から別途定義される参考分析時間内に検出されたログに合致する正常パターンの情報を参考ログとして異常分析部52へ送信する。なお、参考分析時間とは、参考ログを決定するために定義される時間である。例えば、参考分析時間は、異常ログ発生時刻の前後に設定される。
 図10に、参考ログを説明するための概念図を示す。例えば、参考分析時間が「1分」であり、異常パターンID「1」が付与されることになる異常ログが異常ログ発生時刻「2014/11/30 13:51:49」に発生したとする。すなわち、異常ログ発生時刻の1分前の「2014/11/30 13:50:49」から、2分が経過した「2014/11/30 13:52:49」までの間が第2の時間に相当する。このとき、第2の時間内に検出されたログメッセージ群の構成パターンに合致する正常パターンを当該異常ログに関する参考ログと決定する。図10の例では、「2014/11/30 13:50:49」から、「2014/11/30 13:51:49」までの第2の時間内に発生したログのうち、パターンIDが「10」、「11」、「12」の正常パターンが参考ログに相当する。
 上記の例では、参考ログを決定するための時間区間を、異常ログ発生時刻の参考分析時間だけ前から異常ログ発生時刻の参考分析時間経過後までと定義した。異常ログ発生時刻の参考分析時間だけ前から異常ログ発生時刻まで、あるいは、異常ログ発生時刻から参考分析時間経過後までなど、異常ログ発生時刻を区間の開始点ないし終点として定義してもよい。
 また、正常分析部51は、正常パターンを識別するためのパターンIDの集合を参考ログとして送信するものとする。例えば、図10のように、ある異常ログが発生したときに、パターンID「10、11、12」の正常パターンが参考ログであると決定された場合、正常分析部51は、「10、11、12」を参考ログとして異常分析部52へ送信する。
 正常分析部51が異常ログと当該異常ログに関する参考ログとを異常分析部52へ送信するタイミングは、当該異常ログを分析により検出した時点とすればよい。また、正常分析部51は、入力された全てのログの分析が終了した時点で、それまでに検出された異常ログをまとめて異常分析部52へ送信してもよい。あるいは、正常分析部51は、異常ログが発生してから、別途定義される一定期間経過した任意の時刻までに異常ログが発生しなかった場合に、前回の送信時刻から当該時刻までの間に発生した異常ログを異常分析部52へ送信してもよい。
 次に、異常分析部52は、正常分析部51から受信した異常ログを分析する(図6:ステップS4)。具体的には、異常分析部52が、正常分析部51から受信した異常ログの構成パターンと、パターン記憶部31に記録された異常パターンとを比較する。
 異常ログの構成パターンと異常パターンとが合致した場合(図6:ステップS5でYes)、異常分析部52は、正常分析部51から受信した参考ログと、パターン記憶部31に記録された当該異常パターンに対応する参考ログとを比較する(図6:ステップS6)。なお、パターン記憶部31に記録された当該異常パターンに対応する参考ログは第1の参考ログに相当し、正常分析部51から受信した参考ログは第2の参考ログに相当する。
 例えば、異常パターンID「101」に対応する第2の参考ログが「31、48、129」であったとする。このとき、異常ログが異常パターンID「101」の異常パターンに合致し、当該異常ログに対応する第1の参考ログが「31、129、534」であったとする。この場合、異常分析部52は、その異常ログに対応する第1の参考ログと、異常パターンID「101」に対応する第2の参考ログとを比較した結果、「31、129」が合致したと判定する。
 そして、異常分析部52は、異常パターンID「101」の異常パターンが発生し、当該異常パターンに対応する第2の参考ログと合致した参考ログは「31、129」であるという分析結果を結果出力部91へ送信する(図6:ステップS9へ進む)。
 一方、異常ログの構成パターンと異常パターンとが合致しない場合(図6:ステップS5でNo)、異常分析部52は、その異常ログと、その異常ログに対応する第2の参考ログとを異常パターン生成部71へ送信する(図6:ステップS7へ進む)。同時に、異常分析部52は、結果出力部91へ異常ログを送信する。このとき、異常分析部52は、異常ログとともに、その異常ログに対応する参考ログを結果出力部91へ送信してもよい。
 次に、異常パターン生成部71は、条件記憶部35に記録された判定条件に基づいて、異常分析部52から受信した異常ログから新たな異常パターンを生成する(図6:ステップS7)。なお、ステップS7の処理については、後で詳細に説明する。
 次に、パターン記憶部31は、新たな異常パターンと、その新たな異常パターンに対応する参考ログとをパターン記憶部31へ登録する(図6:ステップS8)。
 そして、結果出力部91は、正常分析部51および異常分析部52から受信した結果を出力する(図6:ステップS9)。なお、結果出力部91は、正常分析部51および異常分析部52から受信した結果を個別に出力してもよいし、併せて出力してもよい。
 〔異常パターン生成処理〕
 ここで、図6のステップS7の処理(異常パターン生成処理と呼ぶ)について、図11のフローチャートを参照しながら詳細に説明する。
 図11において、まず、異常パターン生成部71は、異常分析部52から異常ログを読み込む(図11:ステップS71)。
 異常ログに未完了ログが含まれない場合(図11:ステップS72でNo)、異常パターン生成部71は、その異常ログを新たな異常パターンとしてパターン記憶部31に送信し、対応する参考ログをパターン記憶部31に送信する(図11:ステップS76)。パターン記憶部31に送信された異常パターンおよび参考ログは、パターン記憶部31に記憶される。
 一方、異常ログに未完了ログが含まれる場合(図11:ステップS72でYes)、異常パターン生成部71は、その未完了ログに対応する正常パターンの情報および不足ログを取得する(図11:ステップS73)。
 例えば、異常ログに含まれる未完了ログが「123」であり、その異常ログに対応する正常パターンが「1→2→3→4」である場合、不足ログは「4」である。
 次に、異常パターン生成部71は、判定条件に従って、異常ログに含まれる未知ログ(第1の未知ログ)から、未完了ログに対応する未知ログ(第2の未知ログ)を抽出する(図11:ステップS74)。
 判定条件とは、未完了ログと、その未完了ログに対応する未知ログとを決定するための条件である。なお、第1の未知ログとは、異常ログを構成するログメッセージのうち、未完了ログに含まれないログメッセージのことをいう。すなわち、未知ログとは、第1の未知ログの集合であるともいえる。また、第1の未知ログのうち、判定条件を満たすログメッセージのことを第2の未知ログと呼び、判定条件を満たさないログメッセージのことを第3の未知ログと呼ぶ。
 ここで、未完了ログ、未知ログおよび不足ログの構成を説明するための概念図を図12に示す。図12の上側が異常ログの構成を示し、下側が異常ログから生成した新たな異常パターンの構成を示す。正常ログは、未完了ログと不足ログとによって構成される。また、異常ログは、未完了ログと第2の未知ログとによって構成される。
 例えば、判定条件として時間(以下、判定時間)を指定した場合、未完了ログの発生時刻から判定時間(第3の時間とも呼ぶ)の範囲内に存在する未知ログが、第2の未知ログに含まれる判定すればよい。なお、未完了ログの発生時刻は、未完了ログに含まれるログメッセージの時刻のうち、最も早い時刻から最も遅い時刻の範囲内のいずれであってもよい。
 ここで、図13を用いて、未知ログについて説明する。なお、図13には、ログメッセージの発生時刻を示す。例えば、未完了ログに含まれるログの中で最も遅い時刻が「2014/11/30 14:56:20」であり、判定条件が「1分」であるとする。ここでは、未完了ログに含まれるログの中で最も遅い時刻である「2014/11/30 14:56:20」を未完了ログの発生時刻とする。このとき、未知ログは、「2014/11/30 14:56:21」、「2014/11/30 14:56:23」、「2014/11/30 15:00:00」、「2014/11/30 15:00:00」に発生したものとする。これらの4つの時刻において、判定条件を満たすログは、「2014/11/30 14:56:21」、「2014/11/30 14:56:23」に発生したログである。したがって、異常パターン生成部71は、当該ログ(「2014/11/30 14:56:21」および「2014/11/30 14:56:23」に発生したログ)を第2の未知ログとして抽出する。
 また、例えば、判定条件としてログの類似性を定義した場合、異常パターン生成部71は、未完了ログまたは不足ログと、未知ログとの類似性を判定し、第1の未知ログのうち判定条件に定義された類似性の条件を満たす未知ログを第2の未知ログと判定する。
 例えば、異常パターン生成部71は、類似性を判定するために、ログメッセージに含まれる文字列を編集距離などの値を利用して比較する。このとき、異常パターン生成部71は、編集距離が閾値条件を満たしたログメッセージを類似するログメッセージと判定する。
 また、異常パターン生成部71は、例えば、ログメッセージに含まれる単語に基づき、単語を一つの次元とする特徴ベクトルを生成し、特徴ベクトル同士の距離に基づいてログの類似性を判定してもよい。このとき、異常パターン生成部71は、特徴ベクトル間の距離が一定値以下のログメッセージを類似するログメッセージと判定する。例えば、特徴ベクトル同士の距離としては、ユークリッド平方距離やミンコフスキー距離、マハラノビスの汎距離などを用いることができる。
 また、異常パターン生成部71は、ホスト名やアプリケーション名、ログファイル名などの辞書を事前に用意し、同じ単語を含むログメッセージや、同一のホストやアプリケーションなどから出力されたログメッセージを類似するメッセージと判定してもよい。
 例えば、不足ログを出力したホストと同一のホストから出力されたログを第2の未知ログとするという判定条件を定義する。また、「1→2→3→4」という正常パターンに対して、不足ログが「4」であり、この不足ログはホスト「vm001」から出力されたものとする。第1の未知ログにそれぞれ「vm001」、「vm002」、「vm003」から出力されたログが含まれていた場合、異常パターン生成部71は、「vm001」から出力されたログを第2の未知ログとして抽出する。
 ただし、異常パターン生成部71は、時間および類似性の両方を判定条件として用いて判定してもよいし、時間や類似性ではない判定条件を用いて判定してもよい。
 次に、異常パターン生成部71は、未完了ログと、その未完了ログに対応する第2の未知ログとを結合し、新たな異常パターンを生成する(図11:ステップS75)。なお、異常パターン生成部71は、第3の未知ログを結果出力部91へ別途送信する。
 例えば、未完了ログが「1→2→3」、第2の未知ログが「101、235」であった場合、異常パターンは「1→2→3→101→235」となる。なお、この例は異常パターンを表記するための一例であり、異常パターンをオートマトンとして記述してもよいし、未完了ログと第2の未知ログとの関連性のみを記録して別個に保存してもよい。
 最後に、異常パターン生成部71は、新たな異常パターンと、その新たな異常パターンに対応する参考ログとをパターン記憶部31に送信して記憶させる(図11:ステップS76)。
 以上が、本実施形態に係るログ分析システムに関する動作についての説明である。
 〔結果出力画面〕
 ここで、結果出力部91から出力される出力結果の一例を示す。
 図14は、正常パターンを用いて検出した異常の出力結果の一例(出力結果画面191)を示す。図14の出力結果画面191には、当該異常の発生時刻、異常の内容として未完了ログおよび未知ログ、その未完了ログに対応する正常パターンおよび不足ログ、参考ログに関する情報を含む出力結果が表示されている。
 また、図15に、異常パターンを用いて検出した異常の出力結果の一例(出力結果画面192)を示す。図15の出力結果画面192には、当該異常の発生時刻、異常の内容として未完了ログや未知ログ、一致した異常パターン、対応する正常パターンと不足ログ、異常パターンの参考ログと一致した参考ログの情報を含んだ出力結果を出力する。また、結果出力部91は、異常パターン生成部71から受信した第3の未知ログを別途出力する。
 以上が、本実施形態に係るログ分析システム11の動作に関する説明である。なお、ログ読み込み部21、正常分析部51、異常分析部52および異常パターン生成部71は、それぞれ図示しない入力装置からユーザや他のプログラム・ソフトウェアによるログ分析開始の命令を受信し、その命令を契機に動作を開始してもよい。また、ログ読み込み部21、正常分析部51、異常分析部52および異常パターン生成部71は、ログファイルの入力や更新などを契機に動作を開始してもよい。
 [効果]
 以上の本実施形態に係るログ分析システムによれば、障害に関する事前情報がなくても、ログに含まれる障害に関するログを適切に抽出し、抽出したログを障害検出のためのパターンとして記憶することができる。その理由は、ログ分析システムは、正常パターンから逸脱する一連のログを正常パターンに基づいて抽出し、抽出した一連のログを異常パターンとして記録できるからである。
 また、本実施形態に係るログ分析システムは、発生した障害が過去に発生した障害と合致するのか否かを高い精度で特定することができる。その理由は、本実施形態に係るログ分析システムは、正常パターンから逸脱した一連のログを異常パターンとして記憶し、分析対象の障害に関するログと異常パターンとが一致するか否かを判定できるからである。
 また、本実施形態に係るログ分析システムは、管理者による障害の解析を支援することができる。第1の理由は、ログ分析システムが、障害の発生によって正常パターンから逸脱したログが存在する場合に、その障害に付随して発生していた正常なログをその障害と関連付けて管理者に提示できるからである。第2の理由は、ログ分析システムが、新たな障害発生時において、過去の障害発生時に付随して発生していた正常なログの発生状況を管理者に提示できるからである。
 また、本実施形態に係るログ分析システムは、異常なログメッセージは同一であるものの、事象としては異なる障害を正しく識別することができる。その理由は、本実施形態に係るログ分析システムは、正常パターンを用いることによって、異常なログメッセージだけではなく、途中まで正常パターンと一致したログメッセージについても併せて異常を判定するためである。
 (第2の実施形態)
 次に、本発明の第2の実施形態に係るログ分析システム12について、図面を用いて説明する。
 図16は、本実施形態に係るログ分析システム12の構成を示すブロック図である。本実施形態に係るログ分析システム12は、第1の実施形態に係るログ分析システム11の構成にログ分類部25および分類記憶部37を追加した構成を持つ。なお、図16において、図1の構成と実質的に同一の構成には同様の符号を付与し、詳細な説明を省略する。
 ログ分類部25は、ログ読み込み部21からログを受信する。ログ分類部25は、受信したログに含まれる各ログメッセージに対して一意に識別可能な識別子(以下、ログIDと呼ぶ)を付与する。また、ログ分類部25は、ログIDとログメッセージとの対応関係を分類記憶部37へ記録する。
 分類記憶部37は、ログIDとログメッセージとの対応関係を定義した分類情報47(以下、分類情報)を記録する。
 図17は、分類情報の一例(分類情報テーブル147)を示す図である。分類情報は、ログIDと、そのログIDに対応するログメッセージを含む。なお、ログメッセージは、ログメッセージをそのまま定義してもよいし、正規表現などを用いて定義してもよい。
 次に、ログ分類部25の動作について説明する。
 まず、ログ分類部25は、ログ読み込み部21から受信したログに含まれるログメッセージに対して分類記憶部37に記憶された分類情報を参照し、そのログメッセージに対応するログIDの存在を検証する。
 対応するログIDが存在する場合、ログ分類部25は、当該ログIDを対象のログメッセージに付与する。一方、対応するログIDが存在しない場合、ログ分類部25は、新規ログIDを定義し、定義した新規ログIDを対象のログメッセージに付与する。そして、ログ分類部25は、新規ログIDと、その新規ログIDに対応するログメッセージを分類記憶部37へ記録する。
 なお、ログ読み込み部21から受信した複数のログに対して、既存のクラスタリング手法を用いて同一のログメッセージを一つの集合に分類し、分類された集合に対してログIDを付与するよう構成してもよい。
 ログ分類部25は、分類した結果を正常分析部51へ送信する。正常分析部51以降の動作は、第1の実施形態に係るログ分析システム11と同様であるため、詳細な説明は省略する。
 [効果]
 本実施形態に係るログ分析システムによれば、ログIDを有していなかったログに関してもログ分析を行うことができる。その理由は、本実施形態に係るログ分析システムは、ログIDが付与されていないログメッセージに対してログIDを付与するログ分類部および分類記憶部を有するためである。その結果、本実施形態に係るログ分析システムによれば、ログIDを有していなかったログに関しても異常を高精度に分析することができる。
 (第3の実施形態)
 次に、本発明の第3の実施形態に係るログ分析システム13について、図面を用いて説明する。
 図18は、本実施形態に係るログ分析システム13の構成を示すブロック図である。本実施形態に係るログ分析システム13は、第1の実施形態に係るログ分析システム11の構成に障害対応記憶部38を追加した構成を持つ。なお、図18において、図1の構成と実質的に同一の構成には同様の符号を付与し、詳細な説明を省略する。
 障害対応記憶部38は、障害対応情報48(以下、障害対応情報)を記憶する。障害対応情報とは、過去の異常パターン発生時に、実際に管理者が対応した処置内容、あるいは管理者が実行すべき処置内容を定義した情報である。
 図19に、障害対応情報(障害対応情報テーブル148)の一例を示す。図19の障害対応情報テーブル148は、障害の発生日時、その障害に対応する異常パターンID、その障害に対する処置内容を含む。なお、処置内容とは、異常の内容や過去の障害時に実行した作業を示す内容である。
 異常分析部52は、正常分析部51から入力された異常ログと、パターン記憶部31に記録された異常パターンとを比較する。異常分析部52は、異常パターンと一致するログが存在した場合、異常パターンおよび当該パターンに対応する障害対応情報を結果出力部91へ送信する。
 結果出力部91は、発生した障害に関して、障害対応記憶部38に記憶された障害対応情報テーブルを参照し、過去に同様の障害が発生した際になされた処置内容を管理者が確認できるような情報を出力画面(図示しない)に出力する。
 [効果]
 第3の実施形態に係るログ分析システムによれば、異常発生時における管理者の分析および対応作業を支援することができる。その理由は、過去に同一の異常が発生した際に実行された対応作業あるいは当該の異常発生時に管理者が実行すべき作業を提示するためである。
 (第4の実施形態)
 次に、本発明の第4の実施形態に係るログ分析システム14について、図面を用いて説明する。
 図20は、本実施形態に係るログ分析システム14の構成を示すブロック図である。本実施形態に係るログ分析システム14は、第1の実施形態に係るログ分析システム11の構成に、構成記憶部39を追加した構成をもつ。
 構成記憶部39は、構成情報49(以下、構成情報)を記憶する。構成情報とは、分析対象とするシステムを構成する構成要素間の依存関係、あるいは各構成要素に対応するログファイルの関係を定義した情報である。
 なお、ここでいう構成要素とは、分析対象のシステムを構成するサーバやストレージ、端末装置、センサなどの装置、あるいはそれらの装置にインストールされたソフトウェアである。各構成要素は、インターネットやイントラネットなどのネットワークによってログ分析システムが動作する装置に接続される。
 異常分析部52は、構成情報を参照し、異常パターンに含まれるログを構成要素ごとにまとめて結果出力部91に出力する。
 結果出力部91は、異常分析部52から受信した異常パターンに含まれるログを構成要素ごとにまとめて出力する。なお、結果出力部91が、直接構成情報を参照し、異常分析部52から受信した異常パターンに含まれるログを構成要素ごとにまとめるように構成してもよい。
 例えば、「1→2→3→4」というパターンにおいて、ログメッセージ「1」が構成要素「vm001」、ログメッセージ「2、3」が構成要素「vm002」、ログメッセージ「4」が構成要素「vm003」に属するメッセージであるとする。この場合、結果出力部91は、異常パターンを「vm001→vm002→vm003」と出力すればよい。
 出力結果の一例(出力結果画面193)を図21に示す。図21の出力結果画面193は、分析結果として、構成要素とログとを同一の画面に出力する例である。出力結果画面193には、異常パターンの時系列順序に従って、構成要素のホスト名が左から右に向けて表示されており、異常パターンが「vm001→vm002→vm003」であることを示す。出力結果画面193には、各構成要素に対応するログが各構成要素のホスト名の下部に表示されている。なお、各構成要素に対応するログは、各構成要素に対応することが明確になりさえすればよく、図21のような配置に限定するわけではない。また、図21の出力結果画面193は一例であり、構成要素のアイコンは、ホスト名に限らず、アプリケーション名やシステム名などのように構成要素を特定できる情報であればその種類は問わない。
 また、図22の出力結果画面194のように、構成要素を示すアイコンをクリックしたり、構成要素を示すアイコン上にポインターを合わせたりした際に、各構成要素に対応するログを表示するようにしてもよい。図22の上側の出力結果画面194-1では、管理者の操作によって動く矢印状のポインター195が構成要素のアイコン上にないため、各構成要素に対応するログは表示されていない。一方、図22の下側の出力結果画面194-2では、ポインター195が構成要素「vm001」上にあるため、構成要素「vm001」のログがアイコンの下に表示されている。
 さらに、異常パターンのうち未完了ログが含まれる構成要素を示すアイコンの色と、未知ログが含まれる構成要素を示すアイコンの色とを変えて表示してもよい。
 [効果]
 第4の実施形態に係るログ分析システムによれば、異常発生時における管理者の分析および対応作業を支援することができる。その理由は、異常が発生した際に、各構成要素に対応させて異常なログを提示するためである。
 (第5の実施形態)
 次に、本発明の第5の実施形態に係るログ分析システム15について、図面を用いて説明する。
 図23は、本実施形態に係るログ分析システム15の構成を示すブロック図である。本実施形態に係るログ分析システム15は、第1の実施形態に係るログ分析システム11が備える異常パターン生成部71および判定条件45に替えて、パターン学習部75を備える。
 ログ読み込み部21および正常分析部51の動作は、第1の実施形態に係るログ分析システムにおける当該要素の動作と同一であるため説明を省略する。
 異常分析部52は、正常分析部51から受信した未完了ログおよび未知ログと、パターン記憶部31に記録された異常パターンとを比較し、受信した未完了ログおよび未知ログに異常パターンと一致するパターンが含まれるか否かを判定する。異常パターンと一致するパターンが存在する場合、異常分析部52は、一致した結果を結果出力部91へ送信する。異常パターンと一致するパターンが存在しない場合、異常分析部52は、未完了ログおよび未知ログをパターン学習部75へ送信する。
 パターン学習部75は、異常分析部52から受信した未完了ログおよび未知ログに基づいてパターン生成処理を実行し、生成したパターンをパターン記憶部31へ記録する。
 ここで、パターン学習部75の動作について、図24のフローチャートに沿って詳細に説明する。
 図24において、まず、パターン学習部75は、異常分析部52から受信した全ての未完了ログおよび未知ログを時系列順に並び替えたログを生成する(図24:ステップS101)。これ以降、未完了ログおよび未知ログを時系列順に並び替えたログを学習用ログと呼ぶ。
 次に、パターン学習部75は、生成した学習用ログに基づき、ログ間の遷移確率などを用いて、一定の条件を満たすログの組み合わせまたは時系列順序(構成パターンとも呼ぶ)を学習用ログ内部に存在するパターンとして抽出する(図24:ステップS102)。
 なお、パターン学習部75は、APRIORI、prefixspan、FP-Growth(Frequent Pattern Growth)などのパターン認識アルゴリズムを用いてパターンを抽出してもよい。また、パターン学習部75は、BIDE(BI-Directional Extension)をパターン認識アルゴリズムとしてパターンを抽出してもよい。なお、ここであげたパターン認識アルゴリズムは一例であり、これらのアルゴリズムを組み合わせたり、これらのアルゴリズム以外のアルゴリズムを用いたりしてもよい。
 次に、パターン学習部75は、抽出したパターンを異常パターンとしてパターン記憶部31に記録する(図24:ステップS103)。
 なお、パターン学習部75が生成したパターンを図示しない出力部へ出力し、管理者が出力結果を参照できる構成としてもよい。その場合、出力されたパターンが正常パターンまたは異常パターンのいずれであるのかを管理者が定義し、定義した結果を図示しない入力部を介して入力するように構成すればよい。そして、パターン学習部75は、管理者の入力した定義に基づいて、当該パターンを正常パターンまたは異常パターンとしてパターン記憶部31へ記録すればよい。
 以上が、パターン学習部75の動作についての説明である。なお、図24のパターン生成処理は、図6のステップS7およびステップS8に対応する処理である。
 本実施形態に係るログ分析システムによれば、第1の実施形態に係るログ分析システムと同様の効果を得ることができる。
 以上の第1~第5の実施形態に係るログ分析システムの構成要素は、適宜組み合わせることができる。また、本発明は、上述した第1~第5の実施形態に限定されず、様々な態様で実施することが可能である。なお、各図面に示す第1~第5の実施形態に係るログ分析システムの機能構成に関するブロック分けは説明の便宜上の構成であり、その実装に際しては各ブロック図に示した構成には限定されない。
 (第6の実施形態)
 次に、本発明の第6の実施形態に係るログ分析システム10について説明する。本実施形態に係るログ分析システム10は、第1~第5の実施形態に係るログ分析システムを上位概念化したシステムである。
 図25および図26は、本実施形態に係るログ分析システム10の構成を示すブロック図である。図25のように、本実施形態に係るログ分析システム10は、ログ収集手段20、蓄積手段30、分析手段50、パターン生成手段70、出力手段90を備える。ログ分析システム10を構成する各手段は、回路で構成してもよいし、ソフトウェアとして構成してもよい。
 ログ収集手段20は、第1~第5の実施形態に係るログ分析システムのログ読み込み部21の機能を有する。また、ログ収集手段20は、第2の実施形態に係るログ分析システムのログ分類部25を有していてもよい。
 蓄積手段30は、第1~第5の実施形態に係るログ分析システムのパターン記憶部31の機能を有する。
 蓄積手段30は、正常なログファイルに含まれるログメッセージ群の構成パターンである第1のパターンと、第1のパターンとは異なる構成パターンである第2のパターンと、第2のパターンに対応する第1の参考情報とを蓄積する。なお、第1のパターンは正常パターンに相当し、第2のパターンは異常パターンに相当し、第1の参考情報は第1の参考ログに相当する。また、蓄積手段30に蓄積された正常パターンと異常パターンとは既知であるため、正常パターンと異常パターンとを併せて既知のパターンと呼ぶこともある。
 また、蓄積手段30は、構成に応じて、条件記憶部35や分類記憶部37、障害対応記憶部38、構成記憶部39の機能を有してもよい。
 分析手段50は、図26のように、第1~第5の実施形態に係るログ分析システムの正常分析部51の機能を有する第1の分析手段50-1と、異常分析部52の機能を有する第2の分析手段50-2とを有する。
 分析手段50は、ログメッセージ群の構成パターンを既知のパターンと比較した分析結果を出力するとともに、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報を出力する。また、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報とは、第2の参考情報のことである。
 第1の分析手段50-1は、分析対象のログファイルに含まれるログメッセージ群を取得し、取得したログメッセージ群の構成パターンが第1のパターンと一致するか否かを分析する。
 ログメッセージ群の構成パターンが第1のパターンと一致する場合、第1の分析手段50-1は、ログメッセージ群が正常であるという分析結果を出力する。
 ログメッセージ群の構成パターンが第1のパターンと一致しない場合、第1の分析手段50-1は、ログメッセージ群が異常であるという分析結果を出力手段90に出力する。また、第1の分析手段50-1は、異常であると分析されたログメッセージ群と、ログメッセージ群に付随する他のログメッセージ群に合致する第1のパターンの情報を含む第2の参考情報とを第2の分析手段50-2に出力する。
 なお、第1の分析手段50-1から出力されるログメッセージ群は、第1~第5の実施形態における異常ログに相当する。また、第1の分析手段50-1から出力される第2の参考情報は、第1~第5の実施形態における第2の参考ログに相当する。
 第2の分析手段50-2は、第1の分析手段50-1からログメッセージ群および第2の参考情報を取得し、取得したログメッセージ群の構成パターンが第2のパターンと一致するか否かを分析する。
 ログメッセージ群の構成パターンが第2のパターンと一致する場合、第2の分析手段50-2は、ログメッセージ群の構成パターンと一致する第2のパターンを出力する。併せて、第2の分析手段50-2は、当該第2のパターンに対応する第1の参考情報と第2の参考情報との間で共通する第1のパターンの情報を出力する。
 ログメッセージ群の構成パターンが第2のパターンと一致しない場合、第2の分析手段50-2は、ログメッセージ群および第2の参考情報をパターン生成手段に出力する。
 パターン生成手段70は、第1~第5の実施形態に係るログ分析システムの異常パターン生成部71の機能を有する。
 パターン生成手段70は、分析手段50による分析結果に基づいて、既知のパターンとは異なる構成パターンをもつログメッセージ群に含まれる複数のログメッセージを組み合わせて新たなパターンを生成する。また、パターン生成手段70は、ログメッセージ群に付随して発生する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報(第2の参考情報)を新たなパターンと関連付ける。
 パターン生成手段70は、第2の分析手段50-2からログメッセージ群および第2の参考情報を受信する。パターン生成手段70は、ログメッセージ群を構成するログメッセージから、第1のパターンに含まれるログメッセージと、第1のパターンに含まれないログメッセージのうち所定の判定条件を満たすログメッセージとを組み合わせて新たな構成パターンを生成する。
 パターン生成手段70は、生成した新たな構成パターンを第2のパターンとして蓄積手段30に追加するとともに、追加した第2のパターンに対応する第1の参考情報として新たな構成パターンに対応する第2の参考情報を蓄積手段30に追加する。
 また、パターン生成手段70は、第5の実施形態に係るログ分析システムのパターン学習部75の機能を有していてもよい。
 出力手段90は、第1~第5の実施形態に係るログ分析システムの結果出力部91の機能を有する。出力手段90は、例えば、第1の分析手段50-1および第2の分析手段50-2の分析結果をモニターなどに表示させる。
 以上が本実施形態に係るログ分析システム10の構成についての説明である。なお、ログ分析システム10の各構成要素の動作や機能に関しては、第1~第5の実施形態に係るログ分析システムに説明した通りである。
 (第7の実施形態)
 次に、本発明の第7の実施形態に係るログ分析システムについて説明する。本実施形態に係るログ分析システムは、第6の実施形態に係るログ分析システムをさらに上位概念化したシステムである。
 図27は、本実施形態に係るログ分析システムの構成を示すブロック図である。図27のように、本実施形態に係るログ分析システムは、分析手段50と、パターン生成手段70とを備える。ログ分析システムを構成する各手段は、回路で構成してもよいし、ソフトウェアとして構成してもよい。
 分析手段50は、少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析する。そして、分析手段50は、ログメッセージ群に付随する他のログメッセージ群の構成パターンと合致する既知のパターンに関する情報を含む参考情報をログメッセージ群の構成パターンと関連付ける。
 パターン生成手段70は、分析手段50による分析結果に従って、既知のパターンとは異なる構成パターンをもつログメッセージ群から新たなパターンを生成する。
 本実施形態のログ分析手段によれば、情報処理システムで発生した障害を高い精度で特定・解析できる。
 (ハードウェア)
 ここで、本発明の各実施形態に係るログ分析システムを実現するハードウェアについて説明する。
 各実施形態に係るログ分析システムは、例えば、図28のような構成のコンピュータ120によって実現することができる。コンピュータ120は、CPU121(Central Processing Unit)、メモリ122、記憶装置123、通信インターフェース124を備える。コンピュータ120は、入力装置125または出力装置126を備えていてもよい。コンピュータ120の各構成は、バス129によって互いに接続される。
 ログ分析システムの機能は、例えばCPU121が、メモリ122に読み出されたコンピュータプログラム(ソフトウェアプログラム、以下単に「プログラム」と記載する)を実行することにより実現される。プログラムの実行に際して、CPU121は、通信インターフェース124、入力装置125および出力装置126を適宜制御する。
 各実施形態を例として説明される本発明は、係るプログラムが格納されたコンパクトディスク等の不揮発性の記憶媒体によっても構成される。記憶媒体が格納するプログラムは、例えばドライブ装置により読み出される。
 各実施形態に係るログ分析システムが実行する通信は、例えばOS(Operating System)が提供する機能を使ってアプリケーションプログラムが通信インターフェースを制御することによって実現される。入力装置125は、例えばキーボード、マウスまたはタッチパネルである。出力装置126は、例えばディスプレイである。
 なお、各実施形態に係るログ分析システムおよびその各機能ブロックのハードウェア構成は、上述した構成に限定されない。各実施形態に係るログ分析システムは、2つ以上の物理的に分離した装置が有線または無線で通信可能に接続された構成としてもよい。また、各実施形態に係るログ分析システムの処理をコンピュータに実行させるログ分析プログラムも本発明の範囲に含まれる。さらに、本発明の実施形態に係るログ分析プログラムを記録したプログラム記録媒体も本発明の範囲に含まれる。
 以上、実施形態を参照して本発明を説明してきたが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
 この出願は、2015年2月17日に出願された日本出願特願2015-028455を基礎とする優先権を主張し、その開示の全てをここに取り込む。
 10、11、12、13、14、15  ログ分析システム
 20  ログ収集手段
 21  ログ読み込み部
 25  ログ分類部
 30  蓄積手段
 31  パターン記憶部
 35  条件記憶部
 37  分類記憶部
 38  障害対応記憶部
 39  構成記憶部
 50  分析手段
 51  正常分析部
 52  異常分析部
 70  パターン生成手段
 71  異常パターン生成部
 75  パターン学習部
 90  出力手段
 91  結果出力部

Claims (10)

  1.  少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析し、前記ログメッセージ群に付随する他の前記ログメッセージ群の構成パターンと合致する前記既知のパターンに関する情報を含む参考情報を前記ログメッセージ群の構成パターンと関連付ける分析手段と、
     前記分析手段による分析結果に従って、前記既知のパターンとは異なる構成パターンをもつ前記ログメッセージ群から新たなパターンを生成するパターン生成手段とを備えるログ分析システム。
  2.  前記分析手段は、
     前記ログメッセージ群の構成パターンが第1のパターンと一致するか否かを分析し、一致する場合には前記ログメッセージ群が正常であるという分析結果を出力し、一致しない場合には前記ログメッセージ群が異常であるという分析結果を出力するとともに、前記ログメッセージ群に付随する他の前記ログメッセージ群に合致する前記第1のパターンに関する情報を含む第2の参考情報と前記ログメッセージ群の構成パターンとを関連付けて後段に出力する第1の分析手段と、
     前記第1の分析手段から取得した前記ログメッセージ群の構成パターンが前記第2のパターンと一致するか否かを分析し、前記ログメッセージ群の構成パターンが前記第2のパターンと一致する場合には、前記ログメッセージ群の構成パターンと一致する前記第2のパターンと、前記第2のパターンに関連付けられた前記第1の参考情報と前記第2の参考情報との間で共通する前記第1のパターンの情報とを出力し、前記ログメッセージ群の構成パターンが前記第2のパターンと一致しない場合には、前記ログメッセージ群および前記第2の参考情報を出力する第2の分析手段とを有し、
     前記パターン生成手段は、
     前記ログメッセージ群および前記第2の参考情報を前記第2の分析手段から受信し、前記ログメッセージ群を構成する前記ログメッセージのうち前記第1のパターンに含まれる前記ログメッセージと、前記第1のパターンに含まれない前記ログメッセージのうち所定の判定条件を満たす前記ログメッセージとを組み合わせて前記新たな構成パターンを生成し、生成した前記新たな構成パターンを前記第2のパターンとして追加するとともに、前記追加した第2のパターンに対応する第1の参考情報として前記新たな構成パターンに対応する前記第2の参考情報を追加する請求項1に記載のログ分析システム。
  3.  前記第1の分析手段は、
     前記ログメッセージ群に含まれるいずれかの前記ログメッセージの発生時刻を起点とした第1の時間内において前記ログメッセージ群の構成パターンが前記第1のパターンと一致するか否かを分析するとともに、前記第1のパターンとは構成パターンが一致しない前記ログメッセージ群を含む異常ログを検出した場合には、前記異常ログの発生時刻を含む第2の時間内に発生した前記第2の参考情報を前記異常ログに関連付けて前記第2の分析手段に出力し、
     前記第2の分析手段は、
     前記異常ログおよび前記第2の参考情報を前記第1の分析手段から受信し、受信した前記異常ログと前記第2のパターンとを比較して前記第2のパターンと一致する前記異常ログが検出された場合、前記異常ログに対応する前記第2の参考情報と、前記異常ログと一致する前記第2のパターンに関連付けられた前記第1の参考情報とを比較し、共通する前記第1のパターンの情報を前記異常ログと一致する前記第2のパターンに対応させ、前記異常ログが前記第2のパターンと一致しないと判定した場合、前記異常ログとともに前記異常ログに対応する前記第2の参考情報を前記パターン生成手段に出力し、
     前記パターン生成手段は、
     前記第2の分析手段から出力された前記異常ログに関して、前記第1のパターンに含まれる前記ログメッセージ群と、前記第1のパターンに含まれない前記ログメッセージ群のうち前記所定の判定条件を満たす前記ログメッセージ群とを組み合わせて新たな構成パターンを生成し、生成した前記新たな構成パターンを前記第2のパターンとして追加するとともに、前記新たな構成パターンに対応させて前記第2の参考情報を追加する異常パターン生成部を有する請求項2に記載のログ分析システム。
  4.  前記異常パターン生成部は、
     前記第1のパターンに含まれるいずれかの前記ログメッセージの発生時刻を起点とする第3の時間を前記判定条件とし、前記第2の分析手段によって出力された前記異常ログに関して、前記第3の時間内に発生した前記第1のパターンに含まれない前記ログメッセージ群を前記第1のパターンに含まれる前記ログメッセージ群と組み合わせる請求項3に記載のログ分析システム。
  5.  複数の前記ログメッセージのそれぞれに一意に識別可能な識別子を付与するログ分類部と、
     前記ログメッセージと前記識別子との対応関係を記憶する分類記憶部とを有する請求項2乃至4のいずれか一項に記載のログ分析システム。
  6.  前記第2のパターンに対応する処置内容を記憶する障害対応記憶部を有し、
     前記第2の分析手段は、
     前記異常ログにおいて前記第2のパターンと一致する構成パターンを有する前記ログメッセージ群を検出した際に、前記障害対応記憶部を参照し、検出された前記ログメッセージ群の構成パターンと一致する前記第2のパターンに対応する前記処置内容を前記第2のパターンと対応させる請求項3乃至5のいずれか一項に記載のログ分析システム。
  7.  前記ログメッセージ群を出力した構成要素を記憶する構成情報記憶部を有し、
     前記第2の分析手段は、
     前記異常ログにおいて前記第2のパターンと一致する構成パターンを有する前記ログメッセージ群を検出した際に、前記構成情報記憶部を参照し、検出された前記ログメッセージ群の構成パターンに含まれる前記ログメッセージを前記構成要素に対応させる請求項3乃至6のいずれか一項に記載のログ分析システム。
  8.  前記第1の分析手段は、
     前記ログメッセージ群に含まれる前記ログメッセージのいずれかの発生時刻を起点とした第1の時間内において、前記ログメッセージ群の構成パターンが前記第1のパターンと一致するか否かを分析するとともに、前記第1のパターンとは一致しない構成パターンを有する前記ログメッセージ群を含む異常ログを検出した場合には、前記異常ログとともに、前記異常ログの発生時刻を含む第2の時間内発生した前記第2の参考情報を前記異常ログに対応させて前記第2の分析手段に出力し、
     前記第2の分析手段は、
     前記第1の分析手段から出力された前記異常ログと、前記異常ログに対応する前記第2の参考情報とを受信し、受信した前記異常ログと前記第2のパターンとを比較し、前記異常ログが前記第2のパターンと一致すると判定した場合、前記異常ログに対応する前記第2の参考情報と、前記異常ログと一致する前記第2のパターンに対応する前記第1の参考情報とを比較し、共通する前記第1のパターンの情報を前記異常ログと一致する前記第2のパターンに対応させ、前記異常ログが前記第2のパターンと一致しないと判定した場合、前記異常ログとともに前記異常ログに対応する前記第2の参考情報を前記パターン生成手段に出力し、
     前記パターン生成手段は、
     前記第2の分析手段から受信した前記異常ログに含まれるログファイルを時系列順に並び替えた学習用ログを生成し、生成した前記学習用ログに基づいて、パターン認識アルゴリズムを用いて一定の条件を満たす前記ログメッセージ群の構成パターンを新たな構成パターンとして抽出するパターン学習部を有する請求項2乃至7のいずれか一項に記載のログ分析システム。
  9.  少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析し、
     前記ログメッセージ群に付随する他の前記ログメッセージ群の構成パターンと合致する前記既知のパターンに関する情報を含む参考情報を前記ログメッセージ群の構成パターンと関連付け、
     分析結果に従って、前記既知のパターンとは異なる構成パターンをもつ前記ログメッセージ群から新たなパターンを生成するログ分析方法。
  10.  少なくとも一つのログメッセージによって構成されるログメッセージ群の構成パターンと既知のパターンとを比較して分析する処理と、
     前記ログメッセージ群に付随する他の前記ログメッセージ群の構成パターンと合致する前記既知のパターンに関する情報を含む参考情報を前記ログメッセージ群の構成パターンと関連付ける処理と、
     分析結果に従って、前記既知のパターンとは異なる構成パターンをもつ前記ログメッセージ群から新たなパターンを生成する処理とをコンピュータに実行させるログ分析プログラムを記録したプログラム記録媒体。
PCT/JP2016/000723 2015-02-17 2016-02-12 ログ分析システム、ログ分析方法およびプログラム記録媒体 WO2016132717A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/551,844 US10514974B2 (en) 2015-02-17 2016-02-12 Log analysis system, log analysis method and program recording medium
JP2017500505A JP6669156B2 (ja) 2015-02-17 2016-02-12 アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015028455 2015-02-17
JP2015-028455 2015-02-17

Publications (1)

Publication Number Publication Date
WO2016132717A1 true WO2016132717A1 (ja) 2016-08-25

Family

ID=56688762

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2016/000723 WO2016132717A1 (ja) 2015-02-17 2016-02-12 ログ分析システム、ログ分析方法およびプログラム記録媒体

Country Status (3)

Country Link
US (1) US10514974B2 (ja)
JP (1) JP6669156B2 (ja)
WO (1) WO2016132717A1 (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018069950A1 (ja) * 2016-10-13 2018-04-19 日本電気株式会社 ログ分析方法、システムおよびプログラム
KR20190090126A (ko) * 2018-01-24 2019-08-01 주식회사 오픈시스넷 가상화된 시스템 비정상 탐지 방법
WO2020003460A1 (ja) * 2018-06-28 2020-01-02 日本電気株式会社 異常検知装置
US10579461B2 (en) 2017-01-16 2020-03-03 Hitachi, Ltd. Log message grouping apparatus, log message grouping system, and log message grouping method
KR20200043799A (ko) * 2018-10-18 2020-04-28 최재호 스마트 로그파일 관리 장치 및 방법
JP2020149250A (ja) * 2019-03-12 2020-09-17 富士通株式会社 出力プログラム、出力方法および情報処理装置
JP2020154935A (ja) * 2019-03-22 2020-09-24 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータプログラム
US20210027254A1 (en) * 2018-02-13 2021-01-28 Nec Platforms, Ltd., Maintenance management apparatus, system, method, and non-transitory computer readable medium
US11249948B2 (en) 2017-10-31 2022-02-15 Delta Pds Co., Ltd. Smart log file management device and method for creating a system log message containing information about an update to a folder or a file folder
US11392548B2 (en) 2017-12-05 2022-07-19 Delta Pds Co., Ltd. Apparatus for managing folder and method for the same
US11496507B2 (en) 2017-03-09 2022-11-08 Nec Corporation Abnormality detection device, abnormality detection method and abnormality detection program
WO2023214446A1 (ja) * 2022-05-02 2023-11-09 日本電信電話株式会社 分類装置、分類方法、およびプログラム

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3407273A1 (de) * 2017-05-22 2018-11-28 Siemens Aktiengesellschaft Verfahren und anordnung zur ermittlung eines anomalen zustands eines systems
US10452465B2 (en) * 2017-09-08 2019-10-22 Oracle International Corporation Techniques for managing and analyzing log data
JP7293260B2 (ja) * 2018-06-20 2023-06-19 コーニンクレッカ フィリップス エヌ ヴェ ログパターンの分析方法
JP7029362B2 (ja) * 2018-08-16 2022-03-03 三菱重工業株式会社 異常検出装置、異常検出方法、及びプログラム
JP7207009B2 (ja) * 2019-02-26 2023-01-18 日本電信電話株式会社 異常検知装置、異常検知方法および異常検知プログラム
US11307953B2 (en) * 2019-10-03 2022-04-19 Oracle International Corporation Block-based anomaly detection in computing environments
US11204823B2 (en) 2019-10-03 2021-12-21 Oracle International Corporation Enhanced anomaly detection at edge devices in computing environments
EP4038504A1 (en) * 2019-10-03 2022-08-10 Oracle International Corporation Enhanced anomaly detection in computing environments
US20210191798A1 (en) * 2019-12-18 2021-06-24 Vmware, Inc. Root cause identification of a problem in a distributed computing system using log files
CN113986643A (zh) * 2020-07-27 2022-01-28 伊姆西Ip控股有限责任公司 分析日志文件的方法、电子设备和计算机程序产品
US11836140B2 (en) * 2021-05-18 2023-12-05 Sap Se Log sampling and storage system
CN115495424A (zh) * 2021-06-18 2022-12-20 伊姆西Ip控股有限责任公司 数据处理的方法、电子设备和计算机程序产品

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014102661A (ja) * 2012-11-19 2014-06-05 Fujitsu Ltd 適用判定プログラム、障害検出装置および適用判定方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5916826B2 (ja) 1979-07-30 1984-04-18 松下電器産業株式会社 液体の塗布方法
JPH0955763A (ja) 1995-08-11 1997-02-25 Nippon Telegr & Teleph Corp <Ntt> 通信状態表示方法
JP2006259811A (ja) 2005-03-15 2006-09-28 Nec Corp ログ作成装置及びプログラム
JP4523480B2 (ja) * 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP2009066693A (ja) 2007-09-12 2009-04-02 Toyota Motor Corp 運動データの生成装置、方法、及びロボット装置
JP4918669B2 (ja) 2008-09-09 2012-04-18 株式会社日立システムズ リモートメンテナンスシステムと方法およびプログラム
JP2011002916A (ja) 2009-06-17 2011-01-06 Lac Co Ltd 感染活動検知装置、感染活動検知方法、及びプログラム
US20110083123A1 (en) * 2009-10-05 2011-04-07 Microsoft Corporation Automatically localizing root error through log analysis
US20110154117A1 (en) * 2009-12-22 2011-06-23 General Electric Company, A New York Corporation Methods and apparatus to perform log file analyses
JP5530897B2 (ja) 2010-10-28 2014-06-25 株式会社日立メディコ 機器障害分析装置、機器障害分析方法、および機器障害分析プログラム
JP5621667B2 (ja) 2011-03-14 2014-11-12 株式会社豊田中央研究所 異常診断装置、プログラム
JP6027880B2 (ja) 2012-12-17 2016-11-16 株式会社日立システムズ インシデント管理システム、インシデント管理方法、およびプログラム
JP6036442B2 (ja) * 2013-03-21 2016-11-30 富士通株式会社 暗号通信装置、暗号通信方法、および暗号通信プログラム
WO2014196982A1 (en) * 2013-06-07 2014-12-11 Hewlett-Packard Development Company, L.P. Identifying log messages
WO2014196980A1 (en) * 2013-06-07 2014-12-11 Hewlett-Packard Development Company, L.P. Prioritizing log messages
JP6332277B2 (ja) * 2013-09-24 2018-05-30 日本電気株式会社 ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体
KR101594701B1 (ko) * 2014-10-20 2016-02-16 삼성에스디에스 주식회사 이상 접속 검출 장치 및 방법
US9734005B2 (en) * 2014-10-31 2017-08-15 International Business Machines Corporation Log analytics for problem diagnosis
US20180357214A1 (en) * 2015-11-13 2018-12-13 Nec Corporation Log analysis system, log analysis method, and storage medium
JP6780655B2 (ja) * 2015-12-14 2020-11-04 日本電気株式会社 ログ分析システム、方法およびプログラム
US11221904B2 (en) * 2015-12-28 2022-01-11 Nec Corporation Log analysis system, log analysis method, and log analysis program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014102661A (ja) * 2012-11-19 2014-06-05 Fujitsu Ltd 適用判定プログラム、障害検出装置および適用判定方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MOTOMITSU ADACHI: "System Management and Operation for Cloud Computing Systems", FUJITSU, vol. 62, no. 5, 9 September 2011 (2011-09-09), pages 515 - 521, ISSN: 0016-2515 *
RYOSUKE TOGAWA: "A log analysis method using sequential log patterns for large scale systems", IEICE TECHNICAL REPORT, vol. 114, no. 389, 8 January 2015 (2015-01-08), pages 13 - 18, ISSN: 0913-5685 *

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2018069950A1 (ja) * 2016-10-13 2019-06-24 日本電気株式会社 ログ分析方法、システムおよびプログラム
WO2018069950A1 (ja) * 2016-10-13 2018-04-19 日本電気株式会社 ログ分析方法、システムおよびプログラム
US10579461B2 (en) 2017-01-16 2020-03-03 Hitachi, Ltd. Log message grouping apparatus, log message grouping system, and log message grouping method
US11496507B2 (en) 2017-03-09 2022-11-08 Nec Corporation Abnormality detection device, abnormality detection method and abnormality detection program
US11249948B2 (en) 2017-10-31 2022-02-15 Delta Pds Co., Ltd. Smart log file management device and method for creating a system log message containing information about an update to a folder or a file folder
US11741049B2 (en) 2017-12-05 2023-08-29 Delta Pds Co., Ltd. Apparatus for managing folder and method for the same
US11392548B2 (en) 2017-12-05 2022-07-19 Delta Pds Co., Ltd. Apparatus for managing folder and method for the same
KR102079287B1 (ko) * 2018-01-24 2020-02-19 주식회사 오픈시스넷 가상화된 시스템 비정상 탐지 방법
KR20190090126A (ko) * 2018-01-24 2019-08-01 주식회사 오픈시스넷 가상화된 시스템 비정상 탐지 방법
US20210027254A1 (en) * 2018-02-13 2021-01-28 Nec Platforms, Ltd., Maintenance management apparatus, system, method, and non-transitory computer readable medium
US11640459B2 (en) 2018-06-28 2023-05-02 Nec Corporation Abnormality detection device
JPWO2020003460A1 (ja) * 2018-06-28 2021-06-03 日本電気株式会社 異常検知装置
JP7031743B2 (ja) 2018-06-28 2022-03-08 日本電気株式会社 異常検知装置
WO2020003460A1 (ja) * 2018-06-28 2020-01-02 日本電気株式会社 異常検知装置
KR102155193B1 (ko) * 2018-10-18 2020-09-11 최재호 스마트 로그파일 관리 장치 및 방법
KR20200043799A (ko) * 2018-10-18 2020-04-28 최재호 스마트 로그파일 관리 장치 및 방법
JP2020149250A (ja) * 2019-03-12 2020-09-17 富士通株式会社 出力プログラム、出力方法および情報処理装置
JP2020154935A (ja) * 2019-03-22 2020-09-24 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータプログラム
JP7298229B2 (ja) 2019-03-22 2023-06-27 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータプログラム
WO2023214446A1 (ja) * 2022-05-02 2023-11-09 日本電信電話株式会社 分類装置、分類方法、およびプログラム

Also Published As

Publication number Publication date
JP6669156B2 (ja) 2020-03-18
US10514974B2 (en) 2019-12-24
US20180046529A1 (en) 2018-02-15
JPWO2016132717A1 (ja) 2017-11-30

Similar Documents

Publication Publication Date Title
WO2016132717A1 (ja) ログ分析システム、ログ分析方法およびプログラム記録媒体
JP6919569B2 (ja) ログ分析システム、方法、及び記録媒体
US9612898B2 (en) Fault analysis apparatus, fault analysis method, and recording medium
JP4458493B2 (ja) ログ通知条件定義支援装置とログ監視システムおよびプログラムとログ通知条件定義支援方法
JP6327234B2 (ja) イベント解析装置、イベント解析システム、イベント解析方法、およびイベント解析プログラム
WO2017083148A1 (en) Periodicity analysis on heterogeneous logs
US20100057667A1 (en) Detection rule-generating facility
JP2011138422A (ja) 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム
US11640459B2 (en) Abnormality detection device
JP2007242002A (ja) ネットワーク管理装置及びネットワーク管理方法及びプログラム
JP6988304B2 (ja) 運用管理システム、監視サーバ、方法およびプログラム
KR102298395B1 (ko) 사용자 행위 분석 시스템 및 방법과, 이를 위한 이벤트 수집 에이전트
JP6280862B2 (ja) イベント分析システムおよび方法
CN115643035A (zh) 基于多源日志的网络安全态势评估方法
WO2018069950A1 (ja) ログ分析方法、システムおよびプログラム
US11297142B2 (en) Temporal discrete event analytics system
JP2003216457A (ja) エラーログ収集解析エージェントシステム
US20150100584A1 (en) Method, computer program and apparatus for analyzing symbols in a computer system
JP2007189644A (ja) 管理装置及び管理方法及びプログラム
Murtaza et al. On the comparison of user space and kernel space traces in identification of software anomalies
JP6451483B2 (ja) 予兆検知プログラム、装置、及び方法
JP6340990B2 (ja) メッセージ表示方法、メッセージ表示装置、およびメッセージ表示プログラム
JP2010218267A (ja) 障害発生確率算出システム,障害発生確率算出方法及びプログラム
JP7412164B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6508202B2 (ja) 情報処理装置、情報処理方法、及び、プログラム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16752107

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2017500505

Country of ref document: JP

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 15551844

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16752107

Country of ref document: EP

Kind code of ref document: A1