WO2017110720A1

WO2017110720A1 - ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体

Info

Publication number: WO2017110720A1
Application number: PCT/JP2016/087732
Authority: WO
Inventors: 遼介外川
Original assignee: 日本電気株式会社
Priority date: 2015-12-25
Filing date: 2016-12-19
Publication date: 2017-06-29
Also published as: JP6787340B2; JPWO2017110720A1

Abstract

異常ログに関する異常の原因をユーザに提示可能なログ分析システム等を提供する。ログ分析システムは、変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する形式判定部と、判定された形式の変数部分の値に基づいて、ログが異常であるか否かを分析する異常分析部と、異常であると分析されたログを出力したシステムの構成要素の稼働状態を取得する稼働状態取得部と、取得された稼働状態に応じた原因情報を取得する原因情報取得部と、取得された異常原因と該異常原因に対応する構成要素を出力する情報出力部を備える。

Description

ログ分析システム、ログ分析方法及びプログラムを格納した記録媒体

　本発明は、ログの分析を行うためのログ分析システム等に関する。

　コンピュータ上で実行されるシステムにおいては、イベントの結果やメッセージ等を含むログが出力される。システム等に異常が発生した際には、ユーザ（例えばオペレータ）は、出力されたログを分析又は解析することで、異常の原因を特定する。

　システム異常の原因の追及等のためにログ分析を行う際、ユーザはシステムから出力される多数のログを参照する必要がある。ユーザへの負担を軽減するために、ログに基づく分析を補助する情報を提供することが求められている。

　特許文献１は、監視対象ホストのログを読み込み、平常時のログ遷移モデルと読み込まれたログ情報に基づき、ログ変化があった時に変化のあったログの性能情報を取得し、取得した性能情報とログ情報から障害の有無を判定する技術を開示する。

　特許文献２は、サーバマシンについて測定された性能測定値を収集し、収集した性能測定値に基づいて性能障害の有無を判定し、性能障害が発生していると判定した場合にその性能障害の原因箇所を推定し、性能障害箇所推定処理の結果に基づいて、性能障害の原因箇所の管理者に性能障害の発生を通知する技術を開示する。

　特許文献３は、予め定められた文字列テンプレートと関連する可変部分に基づいてログ記載を分析する技術を開示する。

特開２０１４－１２０００１号公報特表２０１５－５１６６０４号公報米国特許出願公開第２０１２／０１２４０４７号明細書

　しかしながら、特許文献１が開示する技術は、監視ホストにおける障害の有無を判断しているが、何が原因で故障したかを提示できていない。同様に、特許文献２及び３が開示する技術もまた、何が原因で故障したかを提示できていない。すなわち、特許文献１、２及び３が開示する技術は、ログの異常検知において、異常の原因をユーザに提示することができない。

　本発明の目的は、上記課題を解決し、異常ログに関する異常の原因をユーザに提示可能なログ分析システム等を提供することである。

　本発明の一態様におけるログ分析システムは、変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する形式判定部と、判定された前記形式の前記変数部分の値に基づいて、前記ログが異常であるか否かを分析する異常分析部と、異常であると分析された前記ログを出力したシステムの構成要素の稼働状態を取得する稼働状態取得部と、取得された前記稼働状態に応じた異常の原因を示す情報を含む異常原因を取得する異常原因取得部と、取得された前記異常原因と該異常原因に対応する構成要素を出力する情報出力部と、を備える。

　本発明の一態様におけるログ分析方法は、ログ分析方法であって、変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定し、判定された前記形式の前記変数部分の値に基づいて、前記ログが異常であるか否かを分析し、異常であると分析された前記ログを出力したシステムの構成要素の稼働状態を取得し、取得された前記性能情報が含む稼働状態に応じた異常原因を取得し、取得された前記異常原因と該異常原因に対応する構成要素を出力する。

　本発明の一態様における記録媒体に格納されたプログラムは、コンピュータに、変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する処理と、判定された前記形式の前記変数部分の値に基づいて、前記ログが異常であるか否かを分析する処理と、異常であると分析された前記ログを出力したシステムの構成要素の稼働状態を取得する処理と、取得された前記性能情報が含む稼働状態に応じた異常原因を取得する処理と、取得された前記異常原因と該異常原因に対応する構成要素を出力する処理、を実行させる。

　本発明によれば、異常ログに関する異常の原因をユーザに提示することができる。

第１の実施形態に係るログ分析システムの構成を示すブロック図である。第１の実施形態に係るログ分析システムの機器構成を示すブロック図である。第１の実施形態に係るログ分析システムの動作を示すフローチャートである。第１の実施形態に係る分析対象ログの例を示す図である。第１の実施形態に係る形式情報の例を示す図である。第１の実施形態に係る形式判定結果の例を示す図である。第１の実施形態に係る状態情報の例を示す図である。第１の実施形態における原因情報の表示画面の例を示す図である。第２の本実施形態に係るログ分析システムの構成を示すブロック図である。第２の実施形態における原因情報及び接続情報の表示画面の例を示す図である。第２の実施形態における原因情報及び接続情報の表示画面の例を示す図である。第３の実施形態に係るログ分析システムの構成を示すブロック図である。第３の実施形態に係る状態情報の例を示す図である。第３の実施形態における原因情報及び接続情報の表示画面の例を示す図である。第４の実施形態に係るログ分析システムの構成を示すブロック図である。第１－第４の実施形態に係るログ分析システムの概略構成を示すブロック図である。

　以下、図面を参照して、実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。

　＜第１の実施形態＞
　以下、第１の実施形態について、図面を参照して詳細に説明する。

　図１は、第１の実施形態に係るログ分析システム１００の構成を示すブロック図である。図１において、各ブロックはハードウェア（装置）単位の構成ではなく、機能単位の構成を示している。そのため、図１に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記録媒体等、任意の手段を介して行われてよい。

　図１を参照すると、本実施形態におけるログ分析システム１００は、処理部として、入力部１１０、形式判定部１２０、異常分析部１３０、性能情報取得部１４０、原因情報取得部１５０、及び情報出力部１６０を備える。また、ログ分析システム１００は、記憶部として、形式記憶部１７１、モデル記憶部１７２、及び状態記憶部１７３を備える。

　入力部１１０は、分析対象のログである分析対象ログ１０を取得する。分析対象ログ１０は、ログ分析システム１００の外部から取得されてよい。また、分析対象ログ１０は、ログ分析システム１００の内部に予め記録されたものを読み出すことにより取得されてよい。分析対象ログ１０は、１つ以上の装置又はプログラムから出力される１つ以上のログを含む。分析対象ログ１０は、任意のデータ形式（ファイル形式）で表されたログであり、例えばバイナリデータ又はテキストデータである。また、分析対象ログ１０は、データベースのテーブルとして記録されてよい。また、分析対象ログ１０は、テキストファイルとして記録されてよい。

　図４は、第１の実施形態に係る分析対象ログ１０の例を示す図である。本実施形態における分析対象ログ１０は、装置又はプログラムから出力される１つのログを１単位とし、１つ以上の任意の数のログを含む。１つのログは１行の文字列でよい。また、１つのログは複数行の文字列でよい。すなわち、分析対象ログ１０は、分析対象ログ１０に含まれるログの総体を指し、ログは分析対象ログ１０から抜き出された１つのログを指す。分析対象ログ１０が含む１つのログは、例えば、「２０１５／０８／１７　０８：２９：３７　［ＳＶ００８］　ＪＮＷ３２５８が開始しました。」である。

　また、各ログは、タイムスタンプ及びメッセージ等を含む。ログ分析システム１００は、特定の種類のログに限らず、広範な種類のログを分析対象とすることができる。例えば、ｓｙｓｌｏｇ、イベントログ等のオペレーティングシステムやアプリケーションから出力されるメッセージを記録するログを分析対象ログ１０として用いることができる。

　形式判定部１２０は、分析対象ログ１０に含まれる各ログに対して、形式記憶部１７１に予め記録されているいずれの形式（フォーマット）に適合するかを判定し、判定結果を異常分析部１３０に送る。具体的には、形式判定部１２０は、分析対象ログ１０に含まれる各ログを形式ごとに分類し、形式毎に分類した各ログを異常分析部１３０に送る。また、形式判定部１２０は、判定により適合する形式を用いて各ログを変数部分と定数部分とに分離する。

　形式とは、既知のログの形式であってよい。また、形式は、ログの特性に基づいて予め決められた、ログの形式であってもよい。ログの特性には、例えば、互いに類似するログ間で変化しやすい又は変化しづらいという性質、あるいは、ログ中で変化しやすい部分とみなせる文字列が記載されているという性質が含まれる。

　形式の変数部分は、形式の中で変化可能な部分であり、定数部分とはログの形式の中で変化しない部分である。送られたログ中の変数部分の値（数値、文字列及びその他のデータを含む）を変数値と呼ぶ。変数部分及び定数部分は、形式毎に異なる。そのため、ある形式では変数部分として定義される部分が、別の形式では定数部分として定義されることや、その逆があり得る。

　図５は、第１の実施形態に係る形式情報の例を示す図である。形式情報は、図１の形式記憶部１７１に記録される。形式情報は、形式と形式の識別子である形式ＩＤ（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）を含む。形式は、一意のＩＤに関連付けられた形式を表す文字列を含む。形式は、ログ中の変化可能な部分に所定の識別子を記載することによって変数部分として規定し、ログ中の変数部分以外の部分を定数部分として規定する。変数部分の識別子として、例えば「＜変数：タイムスタンプ＞」はタイムスタンプを表す変数部分を示し、「＜変数：文字列＞」は任意の文字列を表す変数部分を示す。変数部分の識別子として、例えば、「＜変数：数値＞」は任意の数値を表す変数部分を示し、「＜変数：ＩＰ＞」は任意のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスを表す変数部分を示す。変数部分の識別子はこれらに限られず、正規表現や、取り得る値のリスト等の任意の方法により定義されてよい。また、形式は変数部分を含まずに定数部分によって構成されてよく、あるいは定数部分を含まずに変数部分によって構成されてよい。例えば、形式は変数部分を含まずに定数部分のみで構成されてよく、あるいは、定数部分を含まずに変数部分のみで構成されてもよい。

　例えば、形式判定部１２０は、図４の１行目のログである「２０１５／０８／１７　０８：２９：３７　［ＳＶ００８］　ＪＮＷ３２５８が開始しました。」を、図５のＩＤが「０３９」である形式に適合すると判定する。そして、形式判定部１２０は、判定された形式に基づいて該ログを処理し、タイムスタンプである「２０１５／０８／１７　０８：２９：３７」、文字列である「ＳＶ００８」及び数値である「３２５８」を変数値として決定する。

　図５において、形式は視認性のために文字列のリストで表されているが、任意のデータ形式（ファイル形式）で表されてよく、例えばバイナリデータ又はテキストデータでもよい。また、形式はテキストファイルとして形式記憶部１７１に記録されてもよい。また、形式はデータベースのテーブルとして形式記憶部１７１に記録されてよい。

　図６は、第１の実施形態に係る形式判定結果の例を示す図である。形式判定結果は、形式判定部１２０により、形式記憶部１７１に記録された形式ごとに分類された、分析対象ログ１０に含まれる各ログである。図６が示す形式判定結果は、各ログと形式ＩＤとを含む。図６が示す形式判定結果は、形式ＩＤに関連付けられたログである。

　形式判定結果は、例えば、「ログ」が「２０１５／０８／１７　０８：２９：３７　［ＳＶ００８］　ＪＮＷ３２５８が開始しました。」、「形式ＩＤ」が「０３９」、である。

　すなわち、形式判定部１２０は、変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する。

　異常分析部１３０は、形式判定部１２０により判定されたログ中の変数値に対して、モデル記憶部１７２に予め記録されているモデルに基づいて異常か否かを判定する。モデルとは、ログの正常な振る舞いの定義である。モデル記憶部１７２には、１つ以上のモデルが予め記録されている。モデルは、例えば、ある形式において数値の変数値が所定の範囲内であること、ある形式において文字列の変数値が登録済のものであることである。モデルはこれに限られず、任意の定義でよい。すなわち、異常分析部１３０は、判定された形式の変数部分の値に基づいて、ログが異常であるか否かを分析する。

　異常分析部１３０は、送られたログがモデル記憶部１７２中のいずれのモデルにも適合しない場合、該ログは異常であると判定し、異常ログとして次の性能情報取得部１４０に送る。一方、異常分析部１３０は、送られたログがモデル記憶部１７２中のいずれかのモデルに適合する場合、該ログは正常ログであると判定し、性能情報取得部１４０には送らない。

　性能情報取得部１４０は、異常分析部１３０から送られた異常ログに基づいて、その出力元であるシステムに含まれる構成要素の性能情報２０を取得し、性能情報２０を原因情報取得部１５０に送る。構成要素は、例えば、サーバ等の物理装置、仮想マシン等の仮想装置、各種プログラムである。性能情報２０とは、構成要素に関する情報であり、構成要素の稼働中のシステムの処理状態である稼働状態を含む情報である。また、性能情報２０は、構成要素名又は構成要素のリソース等を含んでもよい。性能情報２０は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）使用率、物理メモリ使用率、プロセス情報、パケット数又は死活監視の情報である。性能情報２０は、ログ分析システム１００の外部から取得されてよい。すなわち、性能情報取得部１４０は、異常であると分析されたログを出力したシステムの構成要素の稼働状態を取得する。なお、性能情報取得部は、稼働状態取得部とも記される。

　性能情報取得部１４０は、例えば、異常ログの出力元のシステムから性能情報２０を直接取得してよい。また、性能情報取得部１４０は、例えば、異常ログの出力元のシステムを監視する監視システムから性能情報２０を取得してよい。また、性能情報２０は、性能情報取得部１４０や監視システム等により一定期間取得されてよい。そして、一定期間取得された性能情報２０は、ログ分析システム１００内部に記憶されてよい。性能情報取得部１４０は、ログ分析システム１００の内部に記憶された一定期間の性能情報２０を読み出すことにより、取得してよい。

　原因情報取得部１５０は、性能情報取得部１４０により取得された性能情報２０と状態記憶部１７３に予め記録されている状態情報を用いて、異常ログの出力元のシステムの構成要素の異常の原因に関する情報である原因情報を取得する。原因情報は、例えば、異常ログの出力元のシステムの構成要素の異常の原因を示す情報（異常原因）や異常ログの出力元のシステムにおいて異常が発生している構成要素の情報（異常原因に対応する構成要素）を含む。例えば、原因情報の一例は、ログを出力したシステムの構成要素の稼働状態に応じた異常原因である。具体的には、原因情報取得部１５０は、性能情報取得部１４０によって取得された１以上の性能情報２０を状態記憶部１７３に予め記録されている状態情報に基づき、いずれの状態に該当するかを判定し、状態の判定結果を情報出力部１６０に送る。

　状態情報は、性能情報２０に基づいて異常の原因を定義する情報である。

　図７は、状態記憶部１７３に記録される状態情報の例を示す図である。図７の（ａ）に示す状態情報は、性能異常種別、異常原因、及び閾値のリストを含む。性能異常種別は、閾値に対する性能情報２０の状態を示す。異常原因は、性能情報２０に対応する異常ログの出力元のシステムの状態を示す。閾値は、性能情報２０から異常原因を判定するための判定値である。例えば、図７の（ａ）に示す状態情報の一例は、「性能異常種別」が「閾値未満」、「異常原因」が「稼働停止」、「閾値」が「ＣＰＵ使用率１％」である。

　ここで、例えば、性能情報取得部１４０により取得された異常ログの出力元のシステムの性能情報２０における稼働状態の「ＣＰＵ使用率」が「０％」であるとする。この場合、性能情報２０における稼働状態の「ＣＰＵ使用率」は１％未満であるため、稼働状態は、図７の（ａ）に示した状態情報のうち、「閾値」が「ＣＰＵ使用率１％」であり「性能異常種別」が「閾値未満」の状態情報に対応する。したがって、原因情報取得部１５０は、図７の（ａ）に示した「異常原因」である「稼働停止」を原因情報として情報出力部１６０に送る。すなわち、原因情報取得部１５０は、取得された稼働状態に応じた異常原因を取得する。原因情報取得部は、異常原因取得部とも記される。

　また、状態情報の他の例として、図７の（ｂ）に示す状態情報は、形式ＩＤと異常原因と閾値を含む。図７の（ｂ）が示す状態情報は、形式記憶部１７１に記録された形式ＩＤに関連付けられた、異常原因及び閾値を含む。図７の（ｂ）に示す状態情報は、例えば、「形式ＩＤ」が「０３９」、「異常原因」が「稼働停止」、「閾値」が「ＣＰＵ使用率０％」である。

　本実施形態に係るログ分析システム１００が図７の（ｂ）に示す状態情報を用いる場合、性能情報取得部１４０は、異常分析部１３０から入力された異常ログの形式ＩＤを取得する。すなわち、性能情報取得部１４０は、異常であると分析されたログの形式を取得する。原因情報取得部１５０は、性能情報取得部１４０により取得された異常ログの出力元のシステムの性能情報２０、異常ログの形式ＩＤ及び図７の（ｂ）に示す形式ＩＤごとの状態情報の閾値を用いて、形式ＩＤごとの異常ログの出力元のシステムの異常原因を取得する。すなわち、原因情報取得部１５０は、取得された性能情報２０に含まれる稼働状態とログの形式と異常ログの形式ごとの閾値と性能情報２０とに応じて形式ごとの原因情報を取得する。情報出力部１６０は、原因情報取得部１５０により取得された形式ＩＤごとの異常ログの出力元のシステムの異常原因と該異常原因に対応する構成要素とを出力する。すなわち、情報出力部１６０は、形式ごとの原因情報を出力する。

　これにより、図７の（ｂ）の状態情報を用いるログ分析システム１００は、形式の特性ごとの異常原因を取得及び出力するため、異常原因をより正確に取得できる。また、本実施形態のログ分析システム１００は、形式ＩＤごとに異常原因を取得するため、処理が早くなる。

　図７が示す状態情報の閾値は１種類の判定値であるが、これに限定されず複数種類の判定値でもよい。また、図７の（ａ）と図７の（ｂ）に示す状態情報の閾値は期間に関連付けられた判定値でよい。期間に関連付けられた判定値である閾値は、例えば、判定値が所定の期間継続しているかどうかを判定するために使用される。期間に関連付けられた判定値である閾値は、例えば、「ＣＰＵ使用率０％　３秒間」である。原因情報取得部１５０は、性能情報２０と、状態情報の形式ＩＤ及び閾値とを用いることで、異常ログの出力元のシステムの異常原因の取得を簡易にできる。その理由としては、形式（例えば、形式ＩＤ）ごとに閾値が定まっているため、原因情報取得部１５０は、異常分析部１３０によって取得された異常ログの形式ＩＤに対応する閾値で異常原因を取得するからである。この閾値を用いることにより、本実施形態のログ分析システム１００は、異常原因をより正確に取得可能となる。

　また、図７において、状態情報は視認性のために文字列として表されているが、任意のデータ形式（ファイル形式）で表されてよく、例えばバイナリデータ又はテキストデータでよい。状態情報はここに示した具体的な定義に限られず、任意の方法により定義されてよい。また、状態情報は複数のファイル又はテーブルに別れて記録されてもよい。

　情報出力部１６０は、原因情報取得部１５０により取得された原因情報（状態の判定結果）の出力を行う。すなわち、情報出力部１６０は、取得された異常原因と該異常原因に対応する構成要素を出力する。本実施形態において、情報出力部１６０は表示装置３０に原因情報を出力し、表示装置３０はユーザに向けて原因情報を画像として表示する。表示装置３０は、画像を表示するための液晶ディスプレイ、ＣＲＴ（Ｃａｔｈｏｄｅ　Ｒａｙ　Ｔｕｂｅ）ディスプレイ等の表示部を備える。

　図８は、表示装置３０を用いる原因情報の表示画面の例を示す図である。図８が示す画面Ａは、異常ログの出力元のシステムにおける異常箇所（異常原因に対応する構成要素）と、原因情報取得部１５０により取得された異常原因とを表示する。図８が示す画面Ａは、例えば、「異常箇所」が「ＳＶ００８」、「異常原因」は「稼働停止」である。すなわち、図８が示す画面Ａは、異常ログの出力元のシステム名と、当該システムの異常原因を対応付けて表示している。

　図８が示す画面は一例であり、原因情報取得部１５０により取得された原因情報をユーザに対して視認可能に表示できれば、いずれの表示方法を用いてもよい。また、ログ分析システム１００（情報出力部１６０）による情報の出力方法は、ユーザに向けた画像表示に限られない。例えば、情報出力部１６０は出力すべき情報をデータとして出力し、ログ分析システム１００は情報出力部１６０からのデータに対して記録処理、印刷処理、分析処理、統計処理等を行う手段を備えてもよい。また、当該記録処理等は、ログ分析システム１００の外部装置（図示せず）に実行させてもよい。

　図８の画面を参照することによって、ユーザは分析対象ログ１０中の各ログから取得された異常ログの出力元であるシステムの異常の原因を知ることができる。

　図２は、本実施形態に係るログ分析システム１００の機器構成を示すブロック図である。ログ分析システム１００は、ＣＰＵ１０１と、通信インターフェース１０２と、記憶装置１０３と、メモリ１０４とを備える。ログ分析システム１００は、表示装置３０に通信インターフェース１０２を介して接続されてよい。また、ログ分析システム１００は、表示装置３０を含んでよい。ログ分析システム１００は独立した装置でよい。また、ログ分析システム１００は、他の装置と一体に構成されてよい。

　通信インターフェース１０２は、データの送受信を行う通信部であり、有線通信及び無線通信の少なくとも一方の通信方式を実行可能に構成される。通信インターフェース１０２は、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子等を含む。通信インターフェース１０２は、ＣＰＵ１０１からの信号に従って、該通信方式を用いてネットワークに接続され、通信を行う。通信インターフェース１０２は、例えば分析対象ログ１０を外部から受信する。

　記憶装置１０３は、ログ分析システム１００が実行するプログラムや、プログラムによる処理結果のデータ等を記憶する。記憶装置１０３は、読み取り専用のＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）や、読み書き可能のハードディスクドライブ又はフラッシュメモリ等を含む。また、記憶装置１０３は、ＣＤ（ｃｏｍｐａｃｔ　ｄｉｓｃ）－ＲＯＭ等のコンピュータ読取可能な可搬記録媒体を含んでもよい。メモリ１０４は、ＣＰＵ１０１が処理中のデータや記憶装置１０３から読み出されたプログラム及びデータを一時的に記憶するＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等を含む。

　ＣＰＵ１０１は、処理に用いる一時的なデータをメモリ１０４に一時的に記録し、記憶装置１０３に記録されたプログラムを読み出し、該プログラムに従って該一時的なデータに対して種々の演算、制御、判別等の処理動作を実行する処理部としてのプロセッサである。また、ＣＰＵ１０１は、記憶装置１０３に処理結果のデータを記録し、また通信インターフェース１０２を介して処理結果のデータを外部に送信する。

　本実施形態においてＣＰＵ１０１は、記憶装置１０３に記録されたプログラムを実行することによって、図１の入力部１１０、形式判定部１２０、異常分析部１３０、性能情報取得部１４０、原因情報取得部１５０及び情報出力部１６０として機能する。また、本実施形態において記憶装置１０３は、図１の形式記憶部１７１、モデル記憶部１７２及び状態記憶部１７３として機能する。

　ログ分析システム１００は、図２に示す具体的な構成に限定されない。ログ分析システム１００は、１つの装置に限られず、２つ以上の物理的に分離した装置が有線又は無線で接続されることにより構成されていてもよい。ログ分析システム１００に含まれる各部は、それぞれ電気回路構成により実現されていてもよい。ここで、電気回路構成とは、単一のデバイス、複数のデバイス、チップセット又はクラウドを概念的に含む文言である。

　また、ログ分析システム１００の少なくとも一部がＳａａＳ（Ｓｏｆｔｗａｒｅ　ａｓ　ａ　Ｓｅｒｖｉｃｅ）形式で提供されてよい。すなわち、ログ分析システム１００を実現するための機能の少なくとも一部が、ネットワーク経由で実行されるソフトウェアによって実行されてよい。

　図３を用いて、本実施形態の動作について説明する。図３は、第１の実施形態に係るログ分析システム１００の動作例を示すフローチャートである。

　入力部１１０は、分析対象ログ１０を取得する（ステップＳ１０１）。形式判定部１２０は、ステップＳ１０１で入力された分析対象ログ１０に含まれる各ログを判定対象として、形式記憶部１７１に記録されたいずれかの形式に適合するか否かを判定する（ステップＳ１０２）。

　ステップＳ１０２において判定対象のログが形式記憶部１７１に記録されたいずれの形式にも適合しない場合には（ステップＳ１０３のＮＯ）、ステップＳ１０５へ進む。

　ステップＳ１０２において判定対象のログが形式記憶部１７１に記録されたいずれかの形式に適合した場合には（ステップＳ１０３のＹＥＳ）、形式判定部１２０は、該形式を用いて判定対象のログを変数部分と定数部分とに分離し、判定対象のログ中の変数値を記録する（ステップＳ１０４）。また、形式判定部１２０は、分析対象ログ１０に含まれる各ログを形式ごとに分類する。

　異常分析部１３０は、ステップＳ１０４において取得された変数値に基づいて、判定対象のログがモデル記憶部１７２に記録されたいずれかのモデルに適合するか否かを判定する（ステップＳ１０５）。異常分析部１３０は、判定対象のログがモデル記憶部１７２に記録されたいずれのモデルにも適合しない場合には、判定対象のログは異常ログであると判定する。一方、異常分析部１３０は、判定対象のログがモデル記憶部１７２に記録されたいずれかのモデルに適合する場合には、判定対象のログは正常ログであると判定する。

　また、異常分析部１３０は、ステップＳ１０３でＮＯの場合、形式に適合しないログを未知の形式を持つ異常ログ（未知ログ）であると判定する。

　分析対象ログ１０中の全てのログに対して分析が終了していない場合には（ステップＳ１０６のＮＯ）、分析対象ログ１０の次の１つのログを判定対象としてステップＳ１０２～Ｓ１０６を繰り返す。

　分析対象ログ１０中の全てのログに対して分析が終了した場合には（ステップＳ１０６のＹＥＳ）、分析対象ログ１０において、異常分析部１３０により判定された異常ログの出力元であるシステムの性能情報２０を取得する（ステップＳ１０７）。

　原因情報取得部１５０は、ステップＳ１０７において取得された性能情報２０に基づき、異常ログの出力元のシステムの原因情報である原因情報を取得する（ステップＳ１０８）。情報出力部１６０は、ステップＳ１０８で取得された原因情報を表示装置３０に出力し（ステップＳ１０９）、ユーザに向けて表示させる。

　以上のように、本実施形態に係るログ分析システム１００は、分析対象ログ１０中の各ログから異常ログを分析し、該異常ログの出力元であるシステムの性能情報２０に基づいて原因情報を取得し、該原因情報を出力する。ログ分析システム１００は、分析対象ログ１０を出力するシステムに異常が発生すると、該システムの異常の原因を表示できる。これにより、ユーザに異常ログに関する異常の原因を提示できる。

　なお、モデル記憶部１７２に予め記録されているモデル（以降、「異常判定の基準」と記載）は、設定された時期から時間が経過したり、システムを構成する機器が変更されたりすると、実態に合わなくなることがある。そのため、ログ分析システム１００は、過去に蓄積したログに基づいて異常判定の基準を変更してよい。例えば、ログ分析システム１００は、所定の期間内に蓄積したログにおける各形式の出現比率の平均値を変更後の異常判定の基準として用いてよい。あるいは、ログ分析システム１００は、ユーザから入力された値を変更後の異常判定の基準として用いてよい。異常判定の基準の更新タイミングとして、ログ分析システム１００は、例えば異常判定の基準が前回設定された日から所定の時間が経過した場合に、変更後の異常判定の基準を設定してよい。また、ログ分析システム１００は、分析対象ログ１０を出力するシステムを構成する機器がリプレースされる際等に機器の変更を検知した場合に、変更後の異常判定の基準を設定してもよい。また、ログ分析システム１００は、ユーザの指示を契機として、変更後の異常判定の基準を設定してもよい。

　＜第２の実施形態＞
　以下、第２の実施形態について、図面を参照して詳細に説明する。

　第１の実施形態におけるログ分析システム１００は異常ログの出力元のシステムの性能情報２０に基づいて状態を判定するが、本実施形態におけるログ分析システム２００は性能情報２０に加えて、異常ログの出力元のシステムの接続情報４０に基づいて状態の判定を行う。

　図９は、本実施形態に係るログ分析システム２００の構成を示すブロック図である。本実施形態におけるログ分析システム２００は、処理部として、入力部１１０、形式判定部１２０、異常分析部１３０、性能情報取得部２４０、原因情報取得部１５０、及び情報出力部１６０を備える。また、ログ分析システム２００は、記憶部として、形式記憶部１７１、モデル記憶部１７２、及び状態記憶部１７３を備える。すなわち、本実施形態に係るログ分析システム２００は、第１の実施形態に係るログ分析システム１００における性能情報取得部１４０の代わりに、性能情報取得部２４０を備える。

　性能情報取得部２４０は、異常分析部１３０から入力された異常ログの出力元であるシステムの性能情報２０に加えて、該システムの接続情報４０を取得し、性能情報２０及び接続情報４０を原因情報取得部１５０に送る。すなわち、性能情報取得部２４０は、システムの性能情報２０とシステムの各構成要素の関係性を示す接続情報４０を取得する。接続情報４０は、分析対象ログ１０を出力するシステムの構成要素間の依存関係を示す情報である。性能情報取得部は、稼働状態取得部とも記される。

　接続情報４０は、例えば、システムの構成要素間のネットワークによる接続関係、仮想装置やプログラムの主従関係である。また、接続情報４０は、ログ分析システム２００の外部から取得されてよい。接続情報４０は、ログ分析システム２００の内部に予め記録されたものを読み出すことにより取得されてよい。

　また、性能情報取得部２４０は、異常ログの出力元であるシステムの性能情報２０と接続情報４０を取得する際に、例えば、該異常ログの内容に基づき取得してもよい。具体的には、第１の実施形態の図４が示す「２０１５／０８／１７　０８：３２：３０　［ＳＶ００４］　ＳＶ００３へのリクエストがタイムアウトしました」というログの場合、性能情報取得部２４０は、ＳＶ００４だけでなく、ＳＶ００３の性能情報２０及び接続情報４０を取得してもよい。また、性能情報取得部２４０は、異常ログの出力元であるシステムの性能情報２０と接続情報４０を取得する際に、例えば、該システム（構成要素）に接続されている構成要素の性能情報２０を取得してもよい。具体的には、本実施形態の図１０が示すように、性能情報取得部２４０は、例えば、異常ログの出力元であるシステム（例えば、Ｓｅｒｖｅｒ００８）の接続関係にある構成要素（例えば、Ｓｅｒｖｅｒ００５）の性能情報２０、あるいは、接続関係にある全ての構成要素（例えば、Ｓｅｒｖｅｒ００１からＳｅｒｖｅｒ００７）の性能情報２０を取得してもよい。

　原因情報取得部１５０は、性能情報取得部２４０により取得された性能情報２０及び接続情報４０を用いて、異常ログの出力元のシステムの原因情報である原因情報と該原因情報に関連付けられた接続情報を取得する。すなわち、原因情報取得部１５０は、取得された性能情報２０に含まれる稼働状態と接続情報４０とに応じて原因情報と該原因情報に関連付けられた接続情報を取得する。具体的には、原因情報取得部１５０は、性能情報取得部２４０によって取得された１以上の性能情報２０及び接続情報４０を状態記憶部１７３に予め記録されている状態情報に基づき、いずれの状態に該当するかを判定し、状態の判定結果を情報出力部１６０に入力する。ここで、状態の判定結果は、異常箇所と異常箇所の原因を含む原因情報に加えて、接続情報４０を含む。

　また、原因情報取得部１５０は、例えば、性能情報取得部２４０が該異常ログの内容に基づき取得した性能情報２０及び接続情報４０を用いて、原因情報と該原因情報に関連付けられた接続情報を取得してもよい。また、原因情報取得部１５０は、例えば、性能情報取得部２４０により取得された、異常ログの出力元であるシステム（構成要素）に接続されている構成要素の性能情報２０及び接続情報４０を用いて、原因情報と該原因情報に関連付けられた接続情報を取得してもよい。これにより、ユーザは、異常ログの出力元であるシステム（異常箇所）の異常原因を確認できるだけでなく、異常箇所に関連する構成要素の状態も確認できる。

　図１０は、第２の実施形態における原因情報及び接続情報４０の表示画面の例を示す図である。図１０が示す表示装置３０の画面Ｂは、原因情報取得部１５０により取得された原因情報Ｂ１と、原因情報取得部１５０により取得された原因情報に関連付けられた接続情報を表す構成表示Ｂ２を表示する。構成表示Ｂ２は、例えば、性能情報取得部２４０により取得された性能情報２０及び接続情報４０に基づいて、各構成要素及びそれらの間の関係を示す。
具体的には、構成表示Ｂ２は、各構成要素を示す記号（ここでは丸）と、構成要素間を接続する線で示され、例えば、「Ｓｅｒｖｅｒ００１」と「Ｓｅｒｖｅｒ００２」が接続されていることを表している。構成要素を示す記号の近傍には、該構成要素を示す文字列（構成要素名）が表示される。また、構成表示Ｂ２上には、異常箇所が二重丸Ｂ３で強調される。これにより、ユーザは異常のある構成要素を容易に知ることができる。

　図１０が示す原因情報Ｂ１は、例えば、形式ＩＤ，異常箇所及び原因のリストを含む。
図１０が示す原因情報Ｂ１、例えば、「形式ＩＤ」が「０３９」、「異常箇所」が「ＳＶ００８」、「異常原因」は「稼働停止」である。

　異常箇所を強調するために、異常箇所を示す記号又は文字列の種類、色、大きさ等を変化させてもよい。あるいは、異常箇所を点滅させてもよい。原因情報Ｂ１と構成表示Ｂ２との関係を明示するために、原因情報Ｂ１中の異常箇所の文字列の色と、構成表示Ｂ２中の異常箇所の文字列の色とを同一にしてもよい。

　図１１は、図１０が示した表示画面にさらに性能情報２０を表示する表示画面の例を示す図である。図１１が示す画面Ｂは、図１０に示した画面Ｂに加えて、構成要素の性能情報２０を表す性能情報Ｂ４を表示してもよい。例えば、図１１が示す性能情報Ｂ４はＳＶ００８の性能情報２０（例えば、「ＣＰＵ使用率」が「３０％」、「物理メモリ」が「７０％」）である。

　図１１に示した性能情報Ｂ４は、ユーザが構成表示Ｂ２上の二重丸Ｂ３に対して外部からの操作（例えば、マウス、タッチパネル等の入力装置を用いた操作）を行うことによって表示される。すなわち、情報出力部１６０は、外部からの入力操作に応じて、取得された性能情報２０を出力する。

　なお、図８に示した画面Ａにおいても、同様の処理が行われてもよい。例えば、ユーザが構成表示Ａ上のＳＶ００８に対して外部からの操作を行うことによって、画面Ａは、ＳＶ００８の性能情報２０を表示する。

　ログ分析システム２００（情報出力部１６０）は、ユーザの操作により選択された原因情報又は構成表示（接続情報４０）を表示装置３０上で画像表示するだけでなく、原因情報又は構成表示を記録、印刷等の任意の方法によって出力してもよい。

　本実施形態に係るログ分析システム２００は、異常ログの出力元であるシステムの接続情報４０を備えるため、性能情報２０と接続情報４０に基づいて原因情報と該原因情報に関連付けられた接続情報を取得し、該原因情報と該原因情報に関連付けられた接続情報を出力できる。本実施形態によれば、異常ログの出力元のシステムの異常箇所と該異常箇所の原因を提示でき、構成要素間の関係性及び異常箇所を視認可能な状態でユーザに提供できる。

　このように、本実施形態においては、第１の実施形態における状態の判定に代えて、形式の出現比率に基づいて各時間区間における異常の発生を判定し、出力する。本実施形態によれば、直接的に異常の発生を示す情報をユーザに提供することができる。

　＜第３の実施形態＞
　以下、第３の実施形態について、図面を参照して詳細に説明する。

　第２の実施形態におけるログ分析システム２００は異常ログの出力元のシステムの性能情報２０及び接続情報４０に基づいて状態を判定するが、本実施形態におけるログ分析システム３００は性能情報２０及び接続情報４０とユーザが対応すべき順位を示す優先順位を含む状態情報に基づいて状態の判定を行う。

　図１２は、本実施形態に係るログ分析システム３００の構成を示すブロック図である。本実施形態におけるログ分析システム３００は、処理部として、入力部１１０、形式判定部１２０、異常分析部１３０、性能情報取得部２４０、原因情報取得部１５０、及び情報出力部１６０を備える。また、ログ分析システム３００は、記憶部として、形式記憶部１７１、モデル記憶部１７２、及び状態記憶部３７３を備える。すなわち、本実施形態に係るログ分析システム３００は、第２の実施形態に係るログ分析システム２００における状態記憶部１７３の代わりに、状態記憶部３７３を備える。

　図１３は、状態記憶部３７３に記録される状態情報の例を示す図である。図１３が示す状態情報は、優先順位、異常原因、及び閾値のリストを含む。

　図１３が示す状態情報は、例えば、「優先順位」が「１」、「異常原因」が「稼働停止」、「閾値」が「ＣＰＵ使用率０％」である。原因情報取得部１５０は、性能情報取得部２４０により取得された異常ログの出力元のシステムの性能情報２０及び接続情報４０と、図１３が示す状態情報の優先順位、異常原因及び閾値とを用いることで、異常ログの出力元のシステムの異常原因と該異常原因への優先順位を取得できる。具体的には、原因情報取得部１５０は、性能情報取得部２４０によって取得された１以上の性能情報２０及び接続情報４０を状態記憶部３７３に予め記録されている、優先順位を含む状態情報に基づき、いずれの状態に該当するかを判定し、状態の判定結果を情報出力部１６０に送る。すなわち、原因情報取得部１５０は、取得された性能情報２０が示す稼働状態に応じて、稼働状態ごとに重み付けされた、原因情報を取得する。情報出力部１６０は、取得された稼働状態ごとに重み付けされた、原因情報を表示装置３０に出力する。また、ユーザはログ分析システム３００を用いることで、異常ログの出力元のシステムの異常箇所、該異常箇所の原因及び優先順位を確認でき、重大な異常から優先的に対応することができる。

　図１３において、状態情報は視認性のために文字列及び数値のリストで表されているが、任意のデータ形式（ファイル形式）で表されてよく、例えばバイナリデータ又はテキストデータでよい。

　図１４は、表示装置３０が原因情報及び接続情報４０の表示画面の例を示す図である。
図１４が示す画面Ｃは、原因情報取得部１５０により取得された優先順位を含む原因情報（状態の判定結果）Ｃ１を表示する。図１４が示す原因情報Ｃ１は、例えば、形式ＩＤ，優先順位、異常箇所及び原因のリストを含む。原因情報Ｃ１は、例えば、優先順位の高いものから順に表示されてよい。これにより、原因情報Ｃ１の中で最上位の異常箇所である「ＳＶ００８」が、優先度の高い（重大な）異常であることを示すことができる。上位の異常箇所や原因を強調するために、変数値の文字種、色、大きさ等を変化させてもよい。

　また、図１４が示す画面Ｃは、性能情報取得部２４０により取得された性能情報２０及び接続情報４０に基づいて、各構成要素及びそれらの間の関係を示す構成表示Ｃ２を表示する。構成表示Ｃ２には、各構成要素を示す記号（ここでは丸）と、構成要素間を接続する線とが示される。構成要素を示す記号の近傍には、該構成要素を示す文字列（構成要素名）が表示される。構成表示Ｃ２上には、優先順位の高い構成要素（異常箇所）が三重丸Ｃ３で強調され、その他の異常箇所が二重丸Ｃ４で強調される。これにより、ユーザは重大な異常のある構成要素を容易に知ることができる。上位の異常箇所を強調するために、異常箇所を示す記号又は文字列の種類、色、大きさ等を変化させてもよい。あるいは、上位の異常箇所を点滅させてもよい。原因情報Ｃ１と構成表示Ｃ２との関係を明示するために、原因情報Ｃ１中の異常箇所の文字列の色と、構成表示Ｃ２中の異常箇所の文字列の色とを同一にしてもよい。

　本実施形態に係るログ分析システム３００は、優先順位を含む状態情報を備えるため、優先順位を含む状態情報に基づいて優先順位を含む原因情報を取得し、該原因情報を出力できる。本実施形態によれば、異常ログの出力元のシステムの異常箇所と該異常箇所の原因を提示でき、重大な異常から優先的に対応するための優先順位をユーザに提供できる。

　＜第４の実施形態＞
　以下、第４の実施形態について、図面を参照して詳細に説明する。

　本実施形態では形式、モデル及び状態を学習するための学習部を備える。図１５は、第４の実施形態に係るログ分析システム４００のブロック図である。ログ分析システム４００は、図１の構成に加えて、形式学習部４８１、モデル学習部４８２及び状態学習部４８３を備える。

　形式学習部４８１は、形式判定部１２０が形式の判定を行う際、判定対象のログが形式記憶部１７１に記録されているいずれの形式にも適合しない場合に、新たな形式を作成して形式記憶部１７１に記録する。

　形式学習部４８１が形式を学習するための第１の方法として、形式学習部４８１は、形式が未知である複数のログを蓄積し、それらに対して統計的に変化する変数部分と変化しない定数部分とを分離することによって、新たな形式として定義することができる。形式学習部４８１が形式を学習するための第２の方法として、形式学習部４８１は、既知の変数値のリストを読み込み、形式が未知であるログの中で既知の変数値と一致する又は類似する部分を変数部分と判定し、それ以外の部分を定数部分と判定することによって、新たな形式を定義することができる。既知の変数値として、値そのものを用いてよく、あるいは正規表現のようなパターンを用いてよい。形式の学習方法はこれらに限られず、入力されたログに対して新たな形式を定義することが可能な任意の学習アルゴリズムを用いてよい。

　モデル学習部４８２は、異常分析部１３０がモデルの判定を行う際、判定対象のログがモデル記憶部１７２に記録されているいずれのモデルにも適合しない場合に、新たなモデルを作成してモデル記憶部１７２に記録する。

　通常、異常分析部１３０はモデル記憶部１７２に予め記録されているいずれのモデルにも適合しないログを異常ログと判定するが、モデルが未知であるログであっても正常ログである場合がある。この場合に、ユーザは入力装置を介してモデル記憶部１７２のモデルに適合しないログが正常ログであるという指示を入力すると、モデル学習部４８２は当該ログの形式及び変数値に基づいて新たなモデルを作成し、モデル記憶部１７２に記録する。モデルの学習方法はこれに限られず、入力されたログから新たにモデルを定義することが可能な任意の学習アルゴリズムを用いてよい。

　状態学習部４８３は、原因情報取得部１５０が状態の判定を行う際、判定対象の性能情報２０が状態記憶部１７３に記録されているいずれの状態にも該当（類似）しない場合に、該性能情報２０に係る情報を新たな状態として状態記憶部１７３に記録する。具体的には、状態学習部４８３は、新たに生成した異常原因及び閾値を状態記憶部１７３に記録する。異常原因及び閾値は、所定の規則（日時等）に基づいて自動的に生成されてもよく、あるいはキーボード等の入力装置を介してユーザによる入力を受け付けてもよい。

　また、状態学習部４８３は、異常原因及び閾値に加えて、性能異常種別や形式ＩＤ等も関連付けて状態記憶部１７３に記録してよい。

　本実施形態に係るログ分析システム４００は、形式、モデル及び状態を学習するための学習部を備えるため、未知の形式、モデル又は状態のログから新たに形式、モデル又は状態を生成し、記録することができる。

　＜その他の実施形態＞
　図１６は、上述の第１－第４の実施形態に係るログ分析システムの概略構成を示すブロック図である。図１６には、ログ分析システム５００が異常ログを出力したシステムの異常原因と該異常原因に対応する構成要素の出力を行う装置として機能するための構成例が示されている。ログ分析システム５００は、変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する形式判定部１２０と、判定された形式の変数部分の値に基づいて、ログが異常であるか否かを分析する異常分析部１３０と、異常であると分析されたログを出力したシステムの構成要素の稼働状態を取得する性能情報取得部５４０と、取得された稼働状態に応じた異常原因を取得する原因情報取得部１５０と、取得された原因情報を出力する情報出力部１６０を備える。性能情報取得部５４０は、性能情報取得部１４０又は性能情報取得部２４０と同様の機能を有する。また、性能情報取得部は、異常原因取得部とも記され、原因情報取得部は、異常原因取得部とも記される。

　本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。

　上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム（より具体的には、図３に示す処理をコンピュータに実行させるプログラム）を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。

　該記録媒体としては例えばフロッピー（登録商標）ディスク、ハードディスク、光ディスク、光磁気ディスク、ＣＤ－ＲＯＭ、磁気テープ、不揮発性メモリカード、ＲＯＭを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、ＯＳ（Ｏｐｅｒａｔｉｎｇ　ｓｙｓｔｅｍ）上で動作して処理を実行するものも各実施形態の範疇に含まれる。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

　この出願は、２０１５年１２月２５日に出願された日本出願特願２０１５－２５４５４０を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　　分析対象ログ
　２０　　性能情報
　３０　　表示装置
　４０　　接続情報
　１００、２００、３００、４００、５００　　ログ分析システム
　１０１　　ＣＰＵ
　１０２　　通信インターフェース
　１０３　　記憶装置
　１０４　　メモリ
　１１０　　入力部
　１２０　　形式判定部
　１３０　　異常分析部
　１４０、２４０、５４０　　性能情報取得部
　１５０　　原因情報取得部
　１６０　情報出力部
　１７１　　形式記憶部
　１７２　　モデル記憶部
　１７３、３７３　　状態記憶部
　４８１　　形式学習部
　４８２　　モデル学習部
　４８３　　状態学習部

Claims

　変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する形式判定手段と、
　判定された前記形式の前記変数部分の値に基づいて、前記ログが異常であるか否かを分析する異常分析手段と、
　異常であると分析された前記ログを出力した構成要素の稼働状態を取得する稼働状態取得手段と、
　取得された前記稼働状態に応じた異常原因を取得する異常原因取得手段と、
　取得された前記異常原因と該異常原因に対応する構成要素を出力する情報出力手段
を備えるログ分析システム。
　前記稼働状態取得手段は、前記異常であると分析された前記ログの形式を取得し、
　前記異常原因取得手段は、取得された前記稼働状態と前記ログの前記形式とに応じて形式ごとの異常原因を取得し、
　前記情報出力手段は、前記形式ごとの前記異常原因と該異常原因に対応する構成要素を出力する請求項１に記載のログ分析システム。
　前記稼働状態取得手段は、前記システムの各構成要素の関係性を示す接続情報を取得し、　前記異常原因取得手段は、取得された前記稼働状態と前記接続情報とに応じて前記異常原因と該異常原因に対応する構成要素と該異常原因及び構成要素に関連付けられた接続情報とを取得し、
　前記情報出力手段は、前記異常原因と該異常原因に対応する構成要素と該異常原因及び構成要素に関連付けられた前記接続情報とを出力する、
請求項１又は２に記載のログ分析システム。
　前記異常原因取得手段は、取得された前記稼働状態に応じて、稼働状態ごとに重み付けされた、異常原因を取得し、
　前記情報出力手段は、前記稼働状態ごとに重み付けされた、異常原因と該異常原因に対応する構成要素を出力する、
請求項１乃至３のいずれか１項に記載のログ分析システム。
　前記情報出力手段は、外部からの入力操作に応じて、取得された前記稼働状態を出力する、
請求項１乃至４のいずれか１項に記載のログ分析システム。
　前記情報出力手段は、前記異常原因と該異常原因に対応する構成要素を表示装置に出力して表示させる、
請求項１乃至５のいずれか１項に記載のログ分析システム。
　変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定し、
　判定された前記形式の前記変数部分の値に基づいて、前記ログが異常であるか否かを分析し、
　異常であると分析された前記ログを出力したシステムの構成要素の稼働状態を取得し、
　取得された前記稼働状態に応じた異常原因を取得し、
　取得された前記異常原因と該異常原因に対応する構成要素を出力する、
ログ分析方法。
　コンピュータに、
　変数部分及び定数部分の構成により定められる複数の形式のうち、システムの構成要素から出力されるログがいずれの形式であるかを判定する処理と、
　判定された前記形式の前記変数部分の値に基づいて、前記ログが異常であるか否かを分析する処理と、
　異常であると分析された前記ログを出力したシステムの構成要素の稼働状態を取得する処理と、
　取得された前記稼働状態に応じた異常原因を取得する処理と、
　取得された前記異常原因と該異常原因に対応する構成要素を出力する処理と、
　を実行させるプログラムを格納した記録媒体。