WO2017110996A1

WO2017110996A1 - ログ分析システム、ログ分析方法及びプログラムを格納する記録媒体

Info

Publication number: WO2017110996A1
Application number: PCT/JP2016/088330
Authority: WO
Inventors: 遼介外川
Original assignee: 日本電気株式会社
Priority date: 2015-12-25
Filing date: 2016-12-22
Publication date: 2017-06-29
Also published as: JP6798504B2; JPWO2017110996A1

Abstract

システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示可能なログ分析システム等を提供する。ログ分析システムは、予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する形式判定部と、前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定する集合判定部と、判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する接続情報取得部と、前記集合ごとの複数のログを前記構成要素ごとに集計するログ集計部と、前記接続情報に基づき、前記構成要素ごとに集計結果を出力する情報出力部を備える。

Description

ログ分析システム、ログ分析方法及びプログラムを格納する記録媒体

　本発明は、ログの分析を行うためのログ分析システム等に関する。

　コンピュータ上で実行されるシステムにおいては、イベントの結果やメッセージ等を含むログが出力される。システム等に異常が発生した際には、ユーザ（例えばオペレータ）は、出力されたログを分析又は解析することで、異常の原因を特定する。

　システム異常の原因の追及等のためにログ分析を行う際、ユーザはシステムから出力される多数のログを参照する必要がある。ユーザへの負担を軽減するために、ログに基づく分析を補助する情報を提供することが求められている。例えば、ログに基づく分析を補助する情報の一例は、システムに含まれる複数のサーバにまたがる一連の処理の進行状況を把握するための情報（以降、「処理状況把握情報」とする）である。出力されるログに基づいて取得される処理状況把握情報により、一連の処理を行う複数のサーバのうち処理が滞留しているサーバが特定される。ユーザは、特定されたサーバの状態を調査することで、システムの異常の原因を特定することができる。

　このような一連の処理の進行状況を把握することを目的として、特許文献１は、業者や顧客から業務完了を示す情報を受け付けると、データベースの当該業務に関するテーブルを更新し、更新したテーブルに記録された業務の未処理件数を集計し、集計した未処理件数と業務の流れを示す図形（例えば、矢印）を対応付けて表示する技術を開示する。

国際公開第２０１５／００２０５９号特開２０１４－１２０００１号公報特開２００６－３３８４１３号公報

　しかしながら、特許文献１が開示する技術は、業務完了を示す情報に基づきデータベースのテーブルを更新する必要があり、システムから出力されたログに基づいて一連の処理の進行状況を把握することはできない。

　本発明の目的は、上記課題を解決し、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示可能なログ分析システム等を提供することである。

　本発明の一態様におけるログ分析システムは、予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する形式判定部と、前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定する集合判定部と、判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する接続情報取得部と、前記集合ごとの複数のログを前記構成要素ごとに集計するログ集計部と、取得された前記接続情報に基づき、前記構成要素ごとに集計結果を出力する情報出力部を備える。

　本発明の一態様におけるログ分析方法は、ログ分析方法であって、予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定し、前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定し、判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得し、前記集合ごとの複数のログを前記構成要素ごとに集計し、取得された前記接続情報に基づき、前記構成要素ごとに前記集計結果を出力する。

　本発明の一態様における記録媒体に格納されたプログラムは、コンピュータに、予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する処理と、前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定する処理と、判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する処理と、前記集合ごとの複数のログを前記構成要素ごとに集計する処理と、取得された前記接続情報に基づき、前記構成要素ごとに前記集計結果を出力する処理を実行させる。

　本発明によれば、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示することができる。

第１の実施形態に係るログ分析システムの構成を示すブロック図である。第１の実施形態に係るログ分析システムの機器構成を示す概略構成図である。第１の実施形態に係るログ分析システムの動作例を示すフローチャートである。第１の実施形態における分析対象ログの例を示す図である。第１の実施形態における形式情報の例を示す図である。第１の実施形態における形式判定結果の例を示す図である。第１の実施形態における集合の例を示す図である。第１の実施形態における集合判定結果の例を示す図である。第１の実施形態における集計結果の例を示す図である。第１の実施形態における集計結果の表示画面の例を示す図である。第２の本実施形態に係るログ分析システムの構成を示すブロック図である。第２の実施形態における集合の例を示す図である。第２の実施形態における集計結果及び接続情報の表示画面の例を示す図である。第３の実施形態に係るログ分析システムの構成を示すブロック図である。第３の実施形態における推薦情報及び接続情報の表示画面の例を示す図である。第４の実施形態に係るログ分析システムの構成を示すブロック図である。第１－第４の実施形態に係るログ分析システムの概略構成を示すブロック図である。

　以下、図面を参照して、実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。

　＜第１の実施形態＞
　以下、第１の実施形態について、図面を参照して詳細に説明する。

　図１は、第１の実施形態に係るログ分析システム１００の構成を示すブロック図である。図１において、各ブロックはハードウェア（装置）単位の構成ではなく、機能単位の構成を示している。そのため、図１に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記録媒体等、任意の手段を介して行われてよい。

　図１を参照すると、本実施形態におけるログ分析システム１００は、処理部として、入力部１１０、形式判定部１２０、集合判定部１３０、接続情報取得部１４０、ログ集計部１５０、及び情報出力部１６０を備える。また、ログ分析システム１００は、記憶部として、形式記憶部１７１、集合記憶部１７２を備える。

　入力部１１０は、分析対象のログである分析対象ログ１０を取得し、形式判定部１２０に送る。図４は、第１の実施形態における分析対象ログ１０の例を示す図である。本実施形態における分析対象ログ１０は、システムに含まれる１以上の構成要素から出力される。構成要素は、例えば、サーバ等の物理装置、仮想マシン等の仮想装置、各種プログラムである。本実施形態における分析対象ログ１０は、構成要素から出力される１つのログを１単位とし、１つ以上の任意の数のログを含む。例えば、図４が示す分析対象ログ１０の一例は、「２０１５／０８／１７　０８：２９：３７　［ＳＶ００１］　ＪＮＷ３２５８が開始しました。」である。

　分析対象ログ１０は、分析対象ログ１０に含まれるログの総体を示し、ログは分析対象ログ１０から抜き出された１つのログを示す。分析対象ログ１０は、ログ分析システム１００の外部から取得されてもよい。また、分析対象ログ１０は、ログ分析システム１００の内部に予め記録されたものを読み出すことにより取得されてよい。分析対象ログ１０は、１つ以上の装置又はプログラムから出力される１つ以上のログを含む。分析対象ログ１０は、任意のデータ形式（ファイル形式）で表されたログであり、例えばバイナリデータ又はテキストデータでよい。また、分析対象ログ１０は、データベースのテーブルとして記録されてよい。また、分析対象ログ１０は、テキストファイルとして記録されてよい。

　また、各ログは、タイムスタンプ及びメッセージ等を含む。ログ分析システム１００は、特定の種類のログに限らず、広範な種類のログを分析対象とすることができる。例えば、ｓｙｓｌｏｇ、イベントログ等のオペレーティングシステムやアプリケーションから出力されるメッセージを記録するログを分析対象ログ１０として用いることができる。

　形式判定部１２０は、分析対象ログ１０に含まれる各ログに対して、形式記憶部１７１に予め記録されているいずれの形式（フォーマット）に適合するかを判定し、判定結果を集合判定部１３０に送る。具体的には、形式判定部１２０は、分析対象ログ１０に含まれる各ログを形式ごとに分類し、形式毎に分類した各ログを集合判定部１３０に送る。また、形式判定部１２０は、判定により適合する形式を用いて各ログを変数部分と定数部分とに分離する。

　形式とは、既知のログの形式であってよい。また、形式は、ログの特性に基づいて予め決められた、ログの形式であってよい。ログの特性には、例えば、互いに類似するログ間で変化しやすい又は変化しづらいという性質、あるいは、ログ中で変化しやすい部分とみなせる文字列が記載されているという性質が含まれる。

　形式の変数部分は、形式の中で変化可能な部分であり、定数部分とはログの形式の中で変化しない部分である。送られたログ中の変数部分の値（数値、文字列及びその他のデータを含む）を変数値と呼ぶ。変数部分及び定数部分は、形式毎に異なる。そのため、ある形式では変数部分として定義される部分が、別の形式では定数部分として定義されることや、その逆があり得る。

　図５は、第１の実施形態に係る形式情報の例を示す図である。形式情報は、形式記憶部１７１に記録される。形式情報は、形式と形式の識別子である形式ＩＤ（Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）を含む。形式は、一意のＩＤに関連付けられた形式を表す文字列を含む。形式は、ログ中の変化可能な部分に所定の識別子を記載することによって変数部分として規定し、ログ中の変数部分以外の部分を定数部分として規定する。変数部分の識別子として、例えば「＜変数：タイムスタンプ＞」はタイムスタンプを表す変数部分を示し、「＜変数：文字列＞」は任意の文字列を表す変数部分を示す。変数部分の識別子として、例えば、「＜変数：数値＞」は任意の数値を表す変数部分を示し、「＜変数：ＩＰ＞」は任意のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスを表す変数部分を示す。変数部分の識別子はこれらに限られず、正規表現や、取り得る値のリスト等の任意の方法により定義されてよい。形式は変数部分を含まずに定数部分によって構成されてよく、あるいは定数部分を含まずに変数部分によって構成されてもよい。また、形式は変数部分を含まずに定数部分のみによって構成されてよく、あるいは定数部分を含まずに変数部分のみによって構成されてよい。

　例えば、形式判定部１２０は、図４の１行目のログである「２０１５／０８／１７　０８：２９：３７　［ＳＶ００１］　ＪＮＷ３２５８が開始しました。」を、図５のＩＤが「０３９」である形式に適合すると判定する。そして、形式判定部１２０は、判定された形式に基づいて該ログを処理し、タイムスタンプである「２０１５／０８／１７　０８：２９：３７」、文字列である「ＳＶ００１」及び数値である「３２５８」を変数値として決定する。

　図５において、形式は視認性のために文字列のリストで表されているが、任意のデータ形式（ファイル形式）で表されてよく、例えばバイナリデータ又はテキストデータでよい。また、形式はテキストファイルとして形式記憶部１７１に記録されてよい。また、形式はデータベースのテーブルとして形式記憶部１７１に記録されてよい。

　図６は、第１の実施形態に係る形式判定結果の例を示す図である。形式判定結果は、形式判定部１２０により、形式記憶部１７１に記録された形式ごとに分類された、分析対象ログ１０に含まれる各ログである。図６が示す形式判定結果は、各ログと形式ＩＤを含む。図６が示す形式判定結果は、形式ＩＤに関連付けられたログである。
形式判定結果は、例えば、「ログ」が「２０１５／０８／１７　０８：２９：３７　［ＳＶ００１］　ＪＮＷ３２５８が開始しました。」、「形式ＩＤ」が「０３９」、である。

　すなわち、形式判定部１２０は、予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する。

　なお、形式判定部１２０は、分析対象ログ１０に含まれる各ログが形式記憶部１７１中のいずれの形式にも適合しない場合、該ログを集合判定部１３０に送らず形式記憶部１７１に記憶する。形式に適合しないログを収集しておくことで、ログの形式を新たに追加するための情報として用いることができる。

　集合判定部１３０は、形式判定部１２０により判定された形式ごとの各ログに対して、集合記憶部１７２に予め記録されている集合に適合するかを判定し、判定結果を接続情報取得部１４０に送る。具体的には、集合判定部１３０は、判定された形式毎の各ログを集合記憶部１７２の集合毎に分類し、集合毎に分類した各ログを接続情報取得部１４０に送る。集合記憶部１７２には、１つ以上の集合が予め記録されている。

　図７は、集合記憶部１７２に記録される集合の例を示す図である。集合は、構成要素を跨る一連の処理を示す情報である。構成要素の他、構成要素と関連付けが可能な情報を用いてもよい。例えば、集合は、図６に示すように構成要素を含むログと関連付け可能な形式ＩＤで示されてもよい。図７に示す集合は、集合の識別子である集合ＩＤと複数の形式ＩＤで示される。また集合は、一意のＩＤに関連付けられた形式ＩＤを表す数値を含んでもよい。図７が示す集合の一例は、「集合ＩＤ」が「１」、「複数の形式ＩＤ」が「０３９，０５５，０７１」である。すなわち、同一の集合ＩＤに関連付けられた０３９、０５５、及び０７１の各形式に対応する各構成要素により、該構成要素間にまたがる一連の処理が実行される。集合は、各形式ＩＤが登録済のものであってもよい。集合はこれに限られず、任意の定義でもよい。

　また、集合は、例えば、形式ＩＤと該形式ＩＤの出力元であるシステム（構成要素）の情報とが対応付けられた形式情報が１以上含まれていてもよい。例えば、該集合の一例は、「集合ＩＤ」が「１」、「形式情報」が「０３９（ＳＶ００１），０５５（ＳＶ００２），０７１（ＳＶ００４）」である。「０３９（ＳＶ００１）」は、形式ＩＤである０３９と該形式ＩＤ０３９に該当するログの出力元であるＳＶ００１（Ｓｅｒｖｅｒ００１）とが対応付けられていることを示す。

　図８は、第１の実施形態における集合判定結果の例を示す図である。集合判定結果は、集合判定部１３０により、集合記憶部１７２に記録された集合ごとに分類された、形式ごとの各ログである。図８が示す集合判定結果は、形式ごとの各ログと集合ＩＤを含む。該集合判定結果は、ログと形式ＩＤと集合ＩＤを含む。該集合判定結果は、形式ＩＤと集合ＩＤとに関連付けられたログである。例えば、集合判定結果の一例は、「ログ」が「２０１５／０８／１７　０８：２９：３７　［ＳＶ００１］　ＪＮＷ３２５８が開始しました。」、「形式ＩＤ」が「０３９」、「集合ＩＤ」が「１」である。すなわち、集合判定部１３０は、複数の形式の集合のうち、判定された形式ごとの複数のログがいずれの集合であるかを判定する。

　接続情報取得部１４０は、集合判定部１３０から送られた集合ごとの各ログの出力元である構成要素の接続情報２０を取得し、接続情報２０をログ集計部１５０に送る。
接続情報２０とは、構成要素に関する情報である。接続情報２０は、分析対象ログ１０を出力する各構成要素の情報と、該構成要素間の依存関係を示す情報である。接続情報２０は、例えば、構成要素名、構成要素のリソース、システムの構成要素間のネットワークによる接続関係、仮想装置やプログラムの主従関係を含む。

　例えば、図８が示すように、接続情報取得部１４０は、集合ごとに分類されたログである「２０１５／０８／１７　０８：２９：３７　［ＳＶ００１］　ＪＮＷ　３２５８　が開始しました。」から該ログの出力元の構成要素である「ＳＶ００１」を特定し、該構成要素の接続情報を該構成要素から取得する。

　なお、本実施形態において、接続情報取得部１４０は、接続情報２０をログ分析システム１００の外部から取得する場合を例として説明している。しかしながら、これは一例であり、接続情報取得部１４０は、例えば、ログ分析システム１００の内部の記録媒体に予め記録されている接続情報２０を読み出して取得してもよい。

　その他、接続情報取得部１４０は、例えば、集合ごとの各ログの出力元の構成要素を監視する監視システムから接続情報２０を取得してもよい。

　ログ集計部１５０は、集合判定部１３０により判定された集合ごとの各ログを集計する。具体的には、ログ集計部１５０は、集合ＩＤと該集合ＩＤに対応する構成要素ごとに、集合ごとの各ログの出現回数であるログ件数を算出し、集計結果を情報出力部１６０に送る。

　図９は、第１の実施形態における集計結果の例を示す図である。集計結果は、集合記憶部１７２に記録された集合と該集合に対応する構成要素ごとにログ集計部１５０で集計されたログ件数である。図９が示す集計結果は、集合ＩＤと構成要素とログ件数であり、具体的には、集合ＩＤと、該集合ＩＤに対応付けられた構成要素と、該構成要素に関連付けられたログの件数である。例えば、集計結果の一例は、「集合ＩＤ」が「１」、「構成要素」が「ＳＶ００１」、「ログ件数」が「５０」である。すなわち、ログ集計部１５０は、集合ごとの複数のログを構成要素ごとに集計する。

　情報出力部１６０は、集合ＩＤ、該集合ＩＤに対応付けられた構成要素および該構成要素に関連付けられたログ件数を、接続情報２０が示す構成要素の接続関係に基づいて構成要素順に出力する。構成要素順とは、一連の処理における始点の構成要素から終点の構成要素への順序を表す。すなわち、情報出力部１６０は、接続情報に基づいて、構成要素ごとに集計結果を出力する。本実施形態において、情報出力部１６０は表示装置３０に集計結果を出力し、表示装置３０はユーザに向けて集計結果を画像として表示する。表示装置３０は、画像を表示するための液晶ディスプレイ、ＣＲＴ（Ｃａｔｈｏｄｅ　Ｒａｙ　Ｔｕｂｅ）ディスプレイ等の表示部を備える。

　図１０は、第１の実施形態における集計結果の表示画面の例を示す図である。図１０が示す画面Ａでは、ログ集計部１５０から送られた集計結果が表示される。図１０の画面Ａでは、例えば、「集合ＩＤ」と「構成要素」と「ログ件数」とが対応付けられた表が表示される。該画面Ａが表示する集計結果の一例は、「集合ＩＤ」が「１」、「構成要素」が「ＳＶ００１」、「ログ件数」は「５０」である。また、図１０に示した表示画面では、上から構成要素順にログ件数が表示される。すなわち、一連の処理が「ＳＶ００１」により開始され、「ＳＶ００２」、「ＳＶ００４」の順に実行される。

　なお、図１０が示す画面は一例であり、ログ集計部１５０から送られた集計結果をユーザに対して視認可能に表示できるのであれば、画面の表示方法は限定されない。また、ログ分析システム１００（情報出力部１６０）による情報（例えば、集計結果）の出力方法は、ユーザに向けた画像表示に限られない。例えば、情報出力部１６０は出力すべき情報をデータとして出力し、ログ分析システム１００又はその他システムは情報出力部１６０からのデータに対して記録処理、印刷処理、分析処理、統計処理等を行ってもよい。

　図１０の画面を参照することによって、ユーザは分析対象ログ１０中の各ログから１つの集合による各構成要素の処理結果を確認でき、各構成要素の該処理結果の差分から、どの構成要素で処理が滞留しているのかを把握することができる。例えば、図１０が示す画面では、ユーザは、構成要素ＳＶ００２と構成要素ＳＶ００４とのログ件数の差分から、構成要素ＳＶ００４での処理が滞留していると把握できる。

　図２は、本実施形態に係るログ分析システム１００の機器構成を示すブロック図である。ログ分析システム１００は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０１と、通信インターフェース１０２と、記憶装置１０３と、メモリ１０４を備える。ログ分析システム１００は、表示装置３０に通信インターフェース１０２を介して接続されてよい。また、ログ分析システム１００は、表示装置３０を含んでよい。ログ分析システム１００は独立した装置でよい。また、ログ分析システム１００は、他の装置と一体に構成されてよい。

　通信インターフェース１０２は、データの送受信を行う通信部であり、有線通信及び無線通信の少なくとも一方の通信方式を実行可能に構成される。通信インターフェース１０２は、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子等を含む。通信インターフェース１０２は、ＣＰＵ１０１からの信号に従って、該通信方式を用いてネットワークに接続され、通信を行う。通信インターフェース１０２は、例えば分析対象ログ１０を外部から受信する。

　記憶装置１０３は、ログ分析システム１００が実行するプログラムや、プログラムによる処理結果のデータ等を記憶する。記憶装置１０３は、読み取り専用のＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）や、読み書き可能のハードディスクドライブ又はフラッシュメモリ等を含む。また、記憶装置１０３は、ＣＤ（Ｃｏｍｐａｃｔ　ｄｉｓｃ）－ＲＯＭ等のコンピュータ読取可能な可搬記録媒体を含んでもよい。メモリ１０４は、ＣＰＵ１０１が処理中のデータや記憶装置１０３から読み出されたプログラム及びデータを一時的に記憶するＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等を含む。

　ＣＰＵ１０１は、処理に用いる一時的なデータをメモリ１０４に一時的に記録し、記憶装置１０３に記録されたプログラムを読み出し、該プログラムに従って該一時的なデータに対して種々の演算、制御、判別等の処理動作を実行する処理部としてのプロセッサである。また、ＣＰＵ１０１は、記憶装置１０３に処理結果のデータを記録し、また通信インターフェース１０２を介して処理結果のデータを外部に送信する。

　本実施形態においてＣＰＵ１０１は、記憶装置１０３に記録されたプログラムを実行することによって、図１の入力部１１０、形式判定部１２０、集合判定部１３０、接続情報取得部１４０、ログ集計部１５０及び情報出力部１６０として機能する。また、本実施形態において記憶装置１０３は、図１の形式記憶部１７１、集合記憶部１７２及び状態記憶部１７３として機能する。

　ログ分析システム１００は、図２に示す具体的な構成に限定されない。ログ分析システム１００は、１つの装置に限られず、２つ以上の物理的に分離した装置が有線又は無線で接続されることにより構成されていてもよい。ログ分析システム１００に含まれる各部は、それぞれ電気回路構成により実現されていてもよい。ここで、電気回路構成とは、単一のデバイス、複数のデバイス、チップセット又はクラウドを概念的に含む文言である。

　また、ログ分析システム１００の少なくとも一部がＳａａＳ（Ｓｏｆｔｗａｒｅ　ａｓ　ａ　Ｓｅｒｖｉｃｅ）形式で提供されてよい。すなわち、ログ分析システム１００を実現するための機能の少なくとも一部が、ネットワーク経由で実行されるソフトウェアによって実行されてよい。

　図３を用いて、本実施形態の動作について説明する。図３は、第１の実施形態に係るログ分析システム１００の動作を示すフローチャートである。

　入力部１１０は、分析対象ログ１０を取得する（ステップＳ１０１）。形式判定部１２０は、ステップＳ１０１で取得された分析対象ログ１０に含まれる各ログを判定対象として、形式記憶部１７１に記録されたいずれかの形式に適合するか否かを判定する（ステップＳ１０２）。形式判定部１２０は、分析対象のログが形式記憶部１７１に記録されたいずれかの形式に適合する場合（ステップＳ１０３でＹＥＳ）には、分析対象ログ１０に含まれる各ログを形式ごとに分類する。

　ステップＳ１０２において判定対象のログが形式記憶部１７１に記録されたいずれの形式にも適合しない場合には（ステップＳ１０３のＮＯ）、分析対象ログ１０の次の１つのログを判定対象としてステップＳ１０２～Ｓ１０３が繰り返される。

　集合判定部１３０は、ステップＳ１０２において判定された分析対象ログ１０に含まれる各ログを判定対象として、集合記憶部１７２に記録された集合に適合するか否かを判定する（ステップＳ１０４）。集合判定部１３０は、判定対象の各ログが集合記憶部１７２に記録された集合に適合する場合（ステップＳ１０５でＹＥＳ）には、判定対象の各ログを集合ごとに分類する。

　ステップＳ１０４において判定対象のログが集合記憶部１７２に記録されたいずれの集合にも適合しない場合には（ステップＳ１０５のＮＯ）、判定対象のログの次の１つのログを判定対象としてステップＳ１０２～Ｓ１０５が繰り返される。

　分析対象ログ１０中の全てのログに対して分析が終了していない場合には（ステップＳ１０６のＮＯ）、分析対象ログ１０の次の１つのログを判定対象としてステップＳ１０２～Ｓ１０６が繰り返される。

　分析対象ログ１０中の全てのログに対して分析が終了した場合には（ステップＳ１０６のＹＥＳ）、接続情報取得部１４０は、分析対象ログ１０において、集合判定部１３０により判定された集合ごとの各ログの出力元であるシステムの接続情報２０を取得する（ステップＳ１０７）。

　ログ集計部１５０は、ステップＳ１０５において判定された集合ごとの各ログを示す集合ログを集計する（ステップＳ１０８）。情報出力部１６０は、ステップＳ１０７において接続情報２０に基づき、ステップＳ１０８で集計された結果を示す集計情報を表示装置３０に出力し（ステップＳ１０９）、ユーザに向けて表示させる。

　以上のように、本実施形態に係るログ分析システム１００は、分析対象ログ１０中の各ログを形式ごとに判定し、該形式ごとの各ログを集合ごとに判定し、該形式ごとかつ集合ごとに判定された各ログの出力元であるシステムの接続情報を取得する。ログ分析システム１００は、該形式ごとかつ集合ごとの各ログ集合ログを集計し、接続情報２０に基づいて集計結果を出力する。

　ログ分析システム１００は、分析対象ログ１０を分析することにより、該分析対象ログ１０を出力するシステムの各構成要素間における一連の処理の結果を表示できる。これにより、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示できる。

　なお、接続情報取得部１４０は、集合ごとに分類されたログから該ログの出力元の構成要素を取得する際に、該ログの変数部分の値から構成要素を取得してもよい。
　例えば、図６が示す形式ＩＤ０３９のログ「２０１５／０８／１７　０８：２９：３７　［ＳＶ００１］　ＪＮＷ　３２５８　が開始しました。」を用いてログの出力元の構成要素の取得方法を説明する。図６が示す形式ＩＤ０３９のログの変数部分の値は、図５の形式ＩＤ０３９を参照すると「２０１５／０８／１７　０８：２９：３７」、「ＳＶ００１」、及び「３２５８」となる。接続情報取得部１４０は、該変数部分の値を参照し、構成要素である「ＳＶ００１」を特定し、該構成要素の接続情報を該構成要素から取得する。

　なお、集合記憶部１７２に予め記録されている集合（以降、「集合判定の基準」とも記載）は、設定された時期から時間が経過したり、システムを構成する機器が変更されたりすると、実態に合わなくなることがある。そのため、ログ分析システム１００は、過去に蓄積したログに基づいて集合判定の基準を変更してよい。例えば、ログ分析システム１００は、ユーザから入力された値（形式ＩＤ）を変更後の集合判定の基準として用いてよい。集合判定の基準の更新タイミングとして、ログ分析システム１００は、例えば集合判定の基準が前回設定された日から所定の時間が経過した場合に、変更後の集合判定の基準を設定してよい。また、ログ分析システム１００は、分析対象ログ１０を出力するシステムを構成する機器がリプレースされる際等に機器の変更を検知した場合に、変更後の集合判定の基準を設定してもよい。また、ログ分析システム１００は、ユーザの指示を契機として、変更後の集合判定の基準を設定してもよい。

　＜第２の実施形態＞
　以下、第２の実施形態について、図面を参照して詳細に説明する。

　第１の実施形態に係るログ分析システム１００は形式判定部１２０により判定された形式ごとの各ログを、形式記憶部１７１に記録されている複数の形式を含む集合に基づいて判定する。一方、第２の実施形態に係るログ分析システム２００は、形式判定部１２０により判定された形式ごとの各ログを、集合記憶部２７２に記録されている複数の形式の順序を含む集合に基づいて判定する。

　図１１は、本実施形態に係るログ分析システム２００の構成を示すブロック図である。ログ分析システム２００は、処理部として、入力部１１０、形式判定部１２０、集合判定部１３０、接続情報取得部１４０、ログ集計部２５０、及び情報出力部２６０を備える。また、ログ分析システム２００は、記憶部として、形式記憶部１７１、集合記憶部２７２を備える。すなわち、第２の実施形態に係るログ分析システム２００は、第１の実施形態に係るログ分析システム１００における集合記憶部１７２、ログ集計部１５０及び情報出力部１６０の代わりに、集合記憶部２７２、ログ集計部２５０及び情報出力部２６０を備える。

　ログ集計部２５０は、集合判定部１３０により判定された順序を含む集合ごとの各ログと接続情報取得部１４０により取得された接続情報２０を用いて、集合ごとのログを集計する。具体的には、ログ集計部２５０は、集合ＩＤと該集合ＩＤに対応する構成要素ごとに、集合ごとのログ件数及び未処理のログ件数を算出し、該算出結果を情報出力部２６０に送る。

　図１２は、第２の実施形態における集合の例を示す図である。集合は、集合記憶部２７２に記録される。集合は、集合ＩＤと複数の形式ＩＤの順序を含む。複数の形式ＩＤの順序は、システムの各構成要素における一連の処理の順序と対応付けられた形式ＩＤを表す。

　図１２に示す集合の一例は、「集合ＩＤ」が「１」、「形式ＩＤの順序」が「０３９→０５５→０７１」である。該集合は、形式ＩＤである０３９、０５５、及び０７１の各形式に該当する構成要素が当該順序にて処理される、一連の処理であることを示す。順序を含む集合は、例えば、各形式ＩＤが登録済のものであってもよい。順序を含む集合はこれに限られず、任意の定義でよい。また、本実施形態における集合は、矢印によって順序を表すが、これに限られず、任意の文字列、数値又は図形で順序を表してよい。

　未処理のログ件数は、システムの各構成要素が処理を完了していない件数を表す。ログ集計部２５０は、第１の実施形態におけるログ集計部１５０と同様の処理を行い、集計ＩＤ及び該集計ＩＤに対応する構成要素ごとにログ件数（以降、「処理件数」とも記載）を算出する。ログ集計部２５０は、同一集合ＩＤにおける構成要素順の各ログ件数の差分から、該各構成要素が処理を実行していないことを表す未処理ログ件数（以降、「未処理件数」とも記載）を算出する。ログ集計部２５０は、ログ件数及び未処理ログ件数を含む集計結果を情報出力部２６０に送る。

　情報出力部２６０は、接続情報２０に基づき、ログ集計部１５０から送られた集計結果と該集計結果に対応する接続情報２０を出力する。なお、本実施形態において、情報出力部２６０は、集計結果と該集計結果に対応する接続情報を出力する場合を例として説明しているが、接続情報を出力せずに集計結果を出力してもよい。

　情報出力部２６０が出力する出力結果を、図１３を用いて説明する。図１３は、第２の実施形態における集計結果及び接続情報の表示画面の例を示す図である。図１３が示す画面Ｂには、ログ集計部２５０から送られた集計結果Ｂ１と該集計結果Ｂ１に対応する接続情報を示す構成表示Ｂ２が表示される。

　図１３が示す集計結果Ｂ１は、例えば、「集合ＩＤ」、「構成要素」、「処理件数」及び「未処理件数」が対応付けられた表が表示される。該集計結果Ｂ１が表示する集計結果の一例は、「集合ＩＤ」が「１」、「構成要素」が「ＳＶ００１」、「処理件数」が「５０」、及び、「未処理件数」が「０」、である。

　図１３が示す構成表示Ｂ２は、例えば、接続情報取得部１４０により取得された接続情報２０に基づいて、各構成要素及びそれらの間の関係を示す図である。具体的には、構成表示Ｂ２は、各構成要素を示す記号（ここでは丸）と、構成要素間を接続する線とで示され、「Ｓｅｒｖｅｒ００１」と「Ｓｅｒｖｅｒ００２」が接続されていること示す。構成要素を示す記号の近傍には、該構成要素を示す文字列（構成要素名）が表示される。また、構成表示Ｂ２上には、同一の集合ＩＤにおける処理件数と未処理件数とが棒グラフで示されている。図１３が示す構成表示Ｂ２における該棒グラフは、斜線箇所が未処理件数を表している。これにより、ユーザはシステムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況を容易に知ることができる。

　未処理件数の多い構成要素等の滞留箇所を強調するために、滞留箇所を示す記号又は文字列の種類、色、大きさ等を変化させてもよい。あるいは、滞留箇所を点滅させてもよい。集計結果Ｂ１と構成表示Ｂ２との関係を明示にするために、集計結果Ｂ１中の集合ＩＤにおける構成要素や未処理件数の文字列及び数値の色と、構成表示Ｂ２中の滞留箇所の文字列の色とを同一にしてもよい。

　本実施形態に係るログ分析システム２００は、分析対象ログ１０中の各ログを形式ごとに判定し、該形式ごとの各ログを集合記憶部２７２に記録されている複数の形式の順序を含む集合ごとに判定し、該形式ごとかつ集合ごとに判定された各ログの出力元であるシステムの接続情報を取得する。ログ分析システム２００は、該形式ごとかつ集合ごとの各ログを集計し、接続情報２０に基づいて集計結果及び該集計結果に対応する接続情報を出力する。

　ログ分析システム２００は、分析対象ログ１０を分析することにより、該分析対象ログ１０を出力するシステムの各構成要素間における一連の処理の結果を表示できる。これにより、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示できる。また、ログ分析システム２００は、棒グラフを含む構成情報を出力することにより、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示できる。

　＜第２の実施形態の変形例＞
　次に、第２の実施形態に係るログ分析システム２００の変形例について説明する。以下の変形例の説明では、第２の実施形態のログ分析システム２００と同様の構成については説明を省略し、相違する点について詳しく説明する。

　ログ分析システム２００の変形例は、分析対象ログ１０、及び、接続情報２０の他に、外部の監視システムからエラー情報を取得し、該エラー情報を、取得された集計結果と該集計結果に対応する接続情報２０とともに出力する。エラー情報は、例えば、異常な構成要素と該構成要素に対するメッセージ（以降、「エラーメッセージ」とも記載）を含む。エラー情報の一例は、「構成要素」が「ＳＶ００４」、「エラーメッセージ」が「Ｄｉｓｋエラーが発生しました」である。

　外部の監視システムは、分析対象ログ１０の出力元である各構成要素により構成されるシステムを監視対象として監視し、該監視対象の異常を検出した場合、本変形例のログ分析システム２００にエラー情報を送る。本変形例の入力部１１０は、エラー情報を取得し、取得したエラー情報をログ集計部２５０に送る。

　本変形例のログ集計部２５０は、集合判定部１３０により判定された順序を含む集合ごとの各ログと、接続情報取得部１４０により取得された接続情報２０と、エラー情報を用いて、集合及びエラー情報ごとのログを集計する。具体的には、ログ集計部２５０は、集合ＩＤと該集合ＩＤに対応する構成要素ごとに、集合ごとのログ件数及び未処理のログ件数を算出する。ログ集計部２５０は、集合ＩＤに対応する各構成要素内に、エラー情報に含まれる構成要素がある場合、該構成要素とエラー情報に含まれるエラーメッセージを対応付け、ログ集計部２５０が算出した結果（算出結果と示す場合もある）および該エラーメッセージを情報出力部２６０に送る。

　本変形例の情報出力部２６０は、接続情報２０に基づき、算出結果と該集計結果に対応する接続情報２０と対応付けられたエラーメッセージとを出力する。ここで、図１３が示す集計結果Ｂ１を用いて本変形例の情報出力部２６０が出力する出力結果を説明する。本変形例における出力結果は、例えば、「集合ＩＤ」、「構成要素」、「処理件数」、「未処理件数」、及び、「エラーメッセージ」が対応付けられた表を表示する。例えば、本変形例における集計結果の一例は、「集合ＩＤ」が「１」、「構成要素」が「ＳＶ００４」、「処理件数」が「１０」、「未処理件数」が「４０」、及び、「エラーメッセージ」が「Ｄｉｓｋエラーが発生しました」である。

　本変形例のログ分析システム２００は、分析対象ログ１０中の各ログを形式ごとに判定し、該形式ごとの各ログを集合記憶部２７２に記録されている複数の形式の順序を含む集合ごとに判定し、該形式ごとかつ集合ごとに判定された各ログの出力元であるシステムの接続情報を取得する。本変形例のログ分析システム２００は、外部の監視システムにより得られたエラー情報を取得する。本変形例のログ分析システム２００は、該形式ごとかつ集合ごとの各ログを集計し、集合に対応する各構成要素とエラー情報とに基づいてエラーメッセージを対応付け、接続情報２０に基づいて集計結果、エラーメッセージ及び該集計結果に対応する接続情報２０を出力する。

　本変形例のログ分析システム２００は、分析対象ログ１０を分析することにより、該分析対象ログ１０を出力するシステムの各構成要素間における一連の処理の結果を表示できる。これにより、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示できる。また、本変形例のログ分析システム２００は、取得されたエラー情報に含まれるエラーメッセージを構成要素に対応付けて出力することにより、複数のサーバにまたがる一連の処理の進行状況で滞留などの問題が発生している場合、該問題の原因に関する情報をユーザに提示できる。

　なお、本変形例のログ集計部２５０は、エラー情報に対応する構成要素の未処理件数が所定の閾値を超過した場合、エラーメッセージを情報出力部２６０に入力してもよい。

　なお、本変形例において、ログ分析システム２００は入力部１１０がエラー情報を取得する場合を例として説明しているが、接続情報取得部１４０がエラー情報を取得してもよい。さらに、本変形例の入力部１１０は、例えば、一定の間隔など所定のルールに従い、外部の監視システムからエラー情報を含む監視情報を取得してもよい。また、本変形例の入力部１１０は、外部の監視システムから本システムに対して適宜アラートが送信された場合、監視情報を取得してもよい。

　なお、本変形例の情報出力部２６０は、エラーメッセージを接続情報２０と対応付けて出力してもよい。例えば、図１３が示す構成表示Ｂ２上の構成要素に対して、ポップアップなどの表示形式でエラーメッセージが表示されてもよい。これにより、ユーザは複数のサーバにまたがる一連の処理の進行状況で滞留などの問題が発生している場合、該問題の具体的な異常内容を容易に知ることができる。

　＜第３の実施形態＞
　以下、第３の実施形態について、図面を参照して詳細に説明する。

　本実施形態では各構成要素の処理における負荷の分散を指示する情報を示す推薦情報を生成するための推薦情報推薦部と、構成要素の類似性を示す情報（以降、「構成要素分類情報」とも記載）が予め記録されている構成分類記憶部３７３とを備える。

　図１４は、本実施形態に係るログ分析システム３００のブロック図である。本実施形態におけるログ分析システム３００は、処理部として、入力部１１０、形式判定部１２０、集合判定部１３０、接続情報取得部１４０、ログ集計部１５０、推薦情報生成部３８０及び情報出力部２６０を備える。また、ログ分析システム３００は、記憶部として、形式記憶部１７１、集合記憶部１７２及び構成分類記憶部３７３を備える。本実施形態に係るログ分析システム３００は、図１の構成に加えて、推薦情報生成部３８０と構成分類記憶部３７３とを備える。

　推薦情報生成部３８０は、構成分類記憶部３７３が記憶する構成要素分類情報、接続情報取得部１４０により入力される接続情報、及び、ログ集計部１５０により入力される集計結果に基づき、推薦情報を生成する。具体的には、推薦情報生成部３８０は、接続情報と集計結果により処理が滞留している構成要素を示す滞留構成要素を選定し、該滞留構成要素と構成要素分類情報とにより類似の構成要素を示す代替構成要素を抽出する。推薦情報生成部３８０は、抽出した代替構成要素と滞留構成要素の一つ前の処理を行う前段構成要素とが接続されているかを、接続情報に基づき判断する。推薦情報生成部３８０は、代替構成要素と前段構成要素が接続関係である場合、当該代替構成要素を滞留構成要素の負荷分散先として示す推薦情報を生成し、該推薦情報を情報出力部２６０に入力する。

　構成要素分類情報は、例えば、複数の構成要素での処理や構成などが類似していることを表す。例えば、構成要素分類情報の一例は、構成要素ＳＶ００４の処理（例えば、処理Ａ）と構成要素ＳＶ００５の処理（処理Ｂ）が類似しているため、「構成要素ＳＶ００４」における代替構成要素が「構成要素ＳＶ００５」である。また、構成要素分類情報は、構成要素に類似する代替構成要素が複数含まれていてもよい。

　図１５は、第３の実施形態における推薦情報及び接続情報２０の表示画面の例を示す図である。図１５が示す画面Ｃは、推薦情報生成部３８０により生成された推薦情報Ｃ１と、ログ集計部１５０から入力された集計結果に対応する接続情報を示す構成表示Ｃ２を表示する。

　図１５が示す推薦情報Ｃ１は、例えば、滞留構成要素ＳＶ００５から代替構成要素ＳＶ００４へ処理を分散させるように、前段構成要素ＳＶ００３からＳＶ００４へ指示するための図形（矢印）である。図１５が示す推薦情報Ｃ１は、矢印で表わされているが、これに限られず、任意の文字列、数値、図形で表されてよい。

　図１５が示す構成表示Ｃ２は、例えば、接続情報取得部１４０により取得された接続情報２０に基づいて、各構成要素及びそれらの間の関係を示す図である。具体的には、構成表示Ｃ２は、各構成要素を示す記号（ここでは丸）と、構成要素間を接続する線とで示され、例えば、「Ｓｅｒｖｅｒ００１」と「Ｓｅｒｖｅｒ００２」が接続されていることを表している。構成要素を示す記号の近傍には、該構成要素を示す文字列（構成要素名）が表示される。また、構成表示Ｃ２上には、滞留構成要素を示す滞留箇所Ｃ３が二重丸で強調される。これにより、ユーザは滞留のある構成要素を容易に知ることができる。

　また、推薦情報Ｃ１を強調するために、推薦情報Ｃ１を示す記号又は文字列の種類、色、大きさ等を変化させてもよい。あるいは、推薦情報Ｃ１を点滅させてもよい。推薦情報Ｃ１と構成表示Ｃ２中の滞留箇所Ｃ３との関係を明示にするために、推薦情報Ｃ１の記号又は文字列の種類、色と、構成表示Ｃ２中の滞留箇所Ｃ３の記号又は文字列の種類、色を同一にしてもよい。これにより、ユーザは複数種類ある滞留と該滞留を解消するための推薦情報との中で、滞留とその推薦情報が対応付けられていることを容易に知ることができる。

　本実施形態に係るログ分析システム３００は、分析対象ログ１０中の各ログを形式ごとに判定し、該形式ごとの各ログを形式記憶部１７１に記録されている複数の形式を含む集合ごとに判定し、該形式ごとかつ集合ごとに判定された各ログの出力元であるシステムの接続情報を取得する。ログ分析システム３００は、該形式ごとかつ集合ごとの各ログ集合ログを集計し、該集計結果と構成分類記憶部３７３に記録されている構成要素分類情報に基づいて推薦情報を生成し、該推薦情報と該推薦情報に対応する接続情報を出力する。

　ログ分析システム３００は、分析対象ログ１０を分析することにより、該分析対象ログ１０を出力するシステムの各構成要素間における一連の処理の結果を表示できる。これにより、システムから出力されたログに基づき複数のサーバにまたがる一連の処理の進行状況をユーザに提示できる。また、ログ分析システム３００は、推薦情報と接続情報を出力することにより、システムから出力されたログに基づき複数のサーバにまたがる一連の処理で発生する処理の滞留に対して、他の構成要素へ処理を変更するようにユーザへ提示できる。

　なお、推薦情報生成部３８０は、人やシステムによる外部からの入力、又は、分析対象ログ１０を監視する監視システムからのアラート等による異常の通知を受けつけた場合に、推薦情報を生成してもよい。これにより、ログ分析システム３００は、常に推薦情報生成部３８０が処理を実行しなくてよく、当該システムの負荷が軽減できる。

　なお、推薦情報生成部３８０は、構成要素の稼働中のシステムの処理状態である稼働状態に基づき、推薦情報を生成してもよい。稼働状態は、例えば、ＣＰＵ使用率、物理メモリ使用率、プロセス情報、パケット数又は死活監視の情報である。この場合、推薦情報生成部３８０は、滞留構成要素及び複数の代替構成要素の稼働状態を比較し、稼働状態の良い（処理負荷が低い）代替構成要素を選定し、該代替構成要素に対する推薦情報を生成する。これにより、推薦情報生成部３８０は、稼働状態の良い代替構成要素への推薦情報を生成できる。なお、稼働状態は、構成分類記憶部３７３に予め記憶されていてもよいし、接続情報２０に含まれていてもよい。

　なお、推薦情報生成部３８０は、接続情報と集計結果に基づき、構成要素分類情報を生成してもよい。この場合、推薦情報生成部３８０は、接続情報と集計結果と用いて、構成要素の類似性を判定し、該判定結果から構成要素分類情報を生成する。

　＜第４の実施形態＞
　以下、第４の実施形態について、図面を参照して詳細に説明する。

　本実施形態では形式、モデル及び状態を学習するための学習部を備える。図１６は、第４の実施形態に係るログ分析システム４００のブロック図である。ログ分析システム４００は、図１の構成に加えて、形式学習部４９１及び集合学習部４９２を備える。

　形式学習部４９１は、形式判定部１２０が形式の判定を行う際、判定対象のログが形式記憶部１７１に記録されているいずれの形式にも適合しない場合に、新たな形式を作成して形式記憶部１７１に記録する。

　形式学習部４９１が形式を学習するための第１の方法として、形式学習部４９１は、形式が未知である複数のログを蓄積し、それらに対して統計的に変化する変数部分と変化しない定数部分を分離することによって、新たな形式として定義することができる。形式学習部４９１が形式を学習するための第２の方法として、形式学習部４９１は、既知の変数値のリストを読み込み、形式が未知であるログの中で既知の変数値と一致する又は類似する部分を変数部分と判定し、それ以外の部分を定数部分と判定することによって、新たな形式を定義することができる。既知の変数値として、値そのものを用いてよく、あるいは正規表現のようなパターンを用いてよい。形式の学習方法はこれらに限られず、入力されたログに対して新たな形式を定義することが可能な任意の学習アルゴリズムを用いてよい。

　集合学習部４９２は、集合判定部１３０が集合の判定を行う際、判定対象のログが集合記憶部１７２に記録されているいずれの集合にも適合しない場合に、新たな集合を作成して集合記憶部１７２に記録する。

　通常、集合判定部１３０は集合記憶部１７２に予め記録されているいずれの集合にも適合しないログを対象外ログと判定するが、集合が未知であるログであっても対象ログである場合がある。この場合に、ユーザは入力装置を介して集合記憶部１７２の集合に適合しないログが対象ログであるという指示を入力すると、集合学習部４９２は当該ログの形式及び接続情報に基づいて新たな集合を作成し、集合記憶部１７２に記録する。集合の学習方法はこれに限られず、入力されたログから新たに集合を定義することが可能な任意の学習アルゴリズムを用いてよい。

　本実施形態に係るログ分析システム４００は、形式及び集合を学習するための学習部を備えるため、未知の形式又は集合のログから新たに形式又は集合を生成し、記録することができる。

　＜その他の実施形態＞
　図１７は、上述の第１－第４の実施形態に係るログ分析システム概略構成を示すブロック図である。図１７には、ログ分析システム５００が分析対象ログ１０を出力した各構成要素にまたがる一連の処理の進行状況に関する情報の出力を行う装置として機能するための構成例が示されている。ログ分析システム５００は、予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する形式判定部１２０と、複数の形式の集合のうち、判定された形式ごとの複数のログがいずれの集合であるかを判定する集合判定部１３０と、判定された集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する接続情報取得部１４０と、集合ごとの複数のログを構成要素ごとに集計するログ集計部５５０と、接続情報に基づき、構成要素ごとに集計結果を出力する情報出力部５６０、を備える。なお、ログ集計部５５０は、ログ集計部１５０又はログ集計部２５０の機能と同様であり、情報出力部５６０は、情報出力部１６０又は情報出力部２６０の機能と同様である。

　本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。

　上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム（より具体的には、図３に示す処理をコンピュータに実行させるプログラム）を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。

　該記録媒体としては例えばフロッピー（登録商標）ディスク、ハードディスク、光ディスク、光磁気ディスク、ＣＤ－ＲＯＭ、磁気テープ、不揮発性メモリカード、ＲＯＭを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、ＯＳ（ｏｐｅｒａｔｉｎｇ　ｓｙｓｔｅｍ）上で動作して処理を実行するものも各実施形態の範疇に含まれる。
　この出願は、２０１５年１２月２５日に出願された日本出願特願２０１５－２５４５４１を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　　分析対象ログ
　２０　　接続情報
　３０　　表示装置
　１００、２００、３００、４００、５００　　ログ分析システム
　１０１　　ＣＰＵ
　１０２　　通信インターフェース
　１０３　　記憶装置
　１０４　　メモリ
　１１０　　入力部
　１２０　　形式判定部
　１３０　　集合判定部
　１４０　　接続情報取得部
　１５０、２５０、５５０　　ログ集計部
　１６０、２６０、５６０　　情報出力部
　１７１　　形式記憶部
　１７２、２７２　　集合記憶部
　３７３　　構成分類記憶部
　３８０　　推薦情報生成部
　４９１　　形式学習部
　４９２　　集合学習部

Claims

　予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する形式判定手段と、
　前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定する集合判定手段と、
　判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する接続情報取得手段と、
　前記集合ごとの複数のログを前記構成要素ごとに集計するログ集計手段と、
　前記接続情報に基づき、前記構成要素ごとに集計結果を出力する情報出力手段、
を備えるログ分析システム。
　前記集合は前記形式の順序を含み、
　前記情報出力手段は、前記形式の順序ごとの複数のログを前記構成要素ごとに出力する請求項１に記載のログ分析システム。
　前記ログ集計手段は、前記集合ごとの複数のログに基づき前記集合の識別子及び該集合の識別子に対応する構成要素ごとのログの件数を算出し、
　前記情報出力手段は、前記集合の識別子と該集合の識別子に対応する構成要素と算出された前記ログの件数を出力する請求項１又は２に記載のログ分析システム。
　前記ログ集計手段は、前記接続情報と前記ログの件数に基づき、前記集合の識別子に対応する構成要素ごとの未処理のログの件数を算出し、
　前記情報出力手段は、算出された前記未処理のログの件数を出力する請求項３に記載のログ分析システム。
　集計された前記結果と前記接続情報とに基づき、推薦情報を生成する推薦情報生成手段をさらに備え、
　前記情報出力手段は、前記推薦情報を出力する請求項１乃至４のいずれか１項に記載のログ分析システム。
　前記集合に合致しないと判定された前記複数のログに基づいて、前記集合を新たに生成する集合学習手段をさらに備える請求項１乃至５のいずれか１項に記載のログ分析システム。
　前記情報出力手段は、集計された前記結果を表示装置に出力して表示させる請求項１乃至６のいずれか１項に記載のログ分析システム。
　予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定し、
　前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定し、
　判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得し、
　前記集合ごとの複数のログを前記構成要素ごとに集計し、
　前記接続情報に基づき、前記構成要素ごとに集計結果を出力するログ分析方法。
　コンピュータに、
　予め定められる複数の形式のうち、システムの構成要素から出力される複数のログがいずれの形式であるかを判定する処理と、
　前記複数の形式の集合のうち、判定された前記形式ごとの複数のログがいずれの集合であるかを判定する処理と、
　判定された前記集合ごとの複数のログを出力した構成要素の関係性を示す接続情報を取得する処理と、
　前記集合ごとの複数のログを前記構成要素ごとに集計する処理と、
　取得された前記接続情報に基づき、前記構成要素ごとに集計結果を出力する処理、を実行させるプログラムを格納する記録媒体。