WO2017163896A1

WO2017163896A1 - ログ収集装置、ログ生成装置、およびログ収集方法

Info

Publication number: WO2017163896A1
Application number: PCT/JP2017/009411
Authority: WO
Inventors: 尾崎　実
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2016-03-22
Filing date: 2017-03-09
Publication date: 2017-09-28
Also published as: JP2017173982A; US20190089371A1; EP3435236A4; EP3435236B1; US10469101B2; EP3435236A1; JP6735469B2

Abstract

ログ収集装置は、ログ生成装置からテキストログを受信するログ受信部と、受信されたテキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成する辞書生成部と、ログ生成装置に対し、生成された圧縮辞書を送信して、当該圧縮辞書の送信後に送信されるテキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示する辞書送信部と、当該圧縮辞書の送信後に受信されたテキストログに対して圧縮辞書を使用して伸張処理を行う伸張処理部と、を有する。

Description

ログ収集装置、ログ生成装置、およびログ収集方法

　本開示は、テキストログを受信／送信するログ収集装置、ログ生成装置、およびログ収集方法に関する。

　所定のイベントの発生を示すログメッセージを生成し、生成したログメッセージを他の装置へ送信する装置（以下「ログ生成装置」という）は、様々な分野で使用されている。不審者を検知したときに中央監視センターのサーバへ通知を行う監視カメラは、このようなログ生成装置の一例である。

　ログメッセージのデータ形式としては、例えば、テキスト形式が採用されている。ＡＳＣＩＩでログメッセージを記述するＳｙｓｌｏｇは、このようなログメッセージの一例である。

　ところが、テキスト形式のログメッセージ（以下「テキストログ」という）は、データサイズが比較的大きいため、ログ生成装置とログメッセージを受信する装置（以下「ログ収集装置」という）との間の通信リソースの消費が問題となる。特に、１つのログ収集装置が共通の通信回線を介して多数のログ生成装置からログメッセージを収集する場合、ログ生成装置とログ収集装置との間の通信帯域が狭い場合、あるいはログメッセージの送信量が多い場合には、システム全体のパフォーマンスを低下させ得る。また、このようなパフォーマンスの低下を回避しようとすると、１つのログ収集装置が管理することができるログ生成装置の台数が制限される。

　そこで、ログ生成装置側で、テキストログのデータ（以下「ログデータ」という）単体から当該ログデータを圧縮する辞書式圧縮を行い、データサイズが圧縮されたログデータに変換して、ログ収集装置へ送信することが考えられる。このような技術としては、例えば、特許文献１に記載の辞書式圧縮（ＬＺＷ）が挙げられる。ログ収集装置は、圧縮されたログデータ単体に基づいて当該ログデータの伸張を行い、元のログデータを復元する。これにより、上述の通信リソースの消費の問題を軽減することができる。

　ところで、ログ生成装置によっては、辞書式圧縮を行うのに十分な処理能力を持たせることが困難な場合がある。したがって、ログ生成装置の処理負荷の増大を抑えた状態で、低負荷なテキストログ伝送を可能にする技術が望まれる。

　本開示は、ログ生成装置の処理負荷の増大を抑えた状態で、テキストログの低負荷な伝送を目的とする。

特開昭６０－１１６２２８号公報

　本開示のログ収集装置は、ログ生成装置からテキストログを受信するログ受信部と、受信された前記テキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成する辞書生成部と、前記ログ生成装置に対し、生成された前記圧縮辞書を送信して、当該圧縮辞書の送信後に送信される前記テキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示する辞書送信部と、当該圧縮辞書の送信後に受信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行う伸張処理部と、を有する。

　本開示のログ生成装置は、テキストログを生成するログ生成部と、生成されたテキストログをログ収集装置へ送信するログ送信部と、前記ログ収集装置から、テキスト圧縮を行うための圧縮辞書を受信する辞書受信部と、受信された前記圧縮辞書を使用した圧縮処理を、当該圧縮辞書の受信後に送信される前記テキストログに対して行う圧縮処理部と、を有する。

　本開示のログ収集方法は、ログ生成装置からテキストログを受信するステップと、受信された前記テキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成するステップと、前記ログ生成装置に対し、生成された前記圧縮辞書を送信して、当該圧縮辞書の送信後に送信される前記テキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示するステップと、当該圧縮辞書の送信後に受信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行うステップと、を有する。

　本開示によれば、ログ生成装置の処理負荷の増大を抑えた状態で、テキストログを低負荷で伝送できる。

図１は、本実施の形態に係るログ収集システムの構成の一例を示すシステム構成図である。図２は、本実施の形態におけるログデータに対する処理の概要を示す模式図である。図３は、本実施の形態に係るログ生成装置の構成の一例を示すブロック図である。図４は、本実施の形態に係るログ収集サーバの構成の一例を示すブロック図である。図５は、本実施の形態における共通辞書の内容の一例を示す図である。図６は、本実施の形態における装置辞書の内容の一例を示す図である。図７は、本実施の形態における辞書共有の状態の一例を示す模式図である。図８は、本実施の形態における辞書共有化情報の内容の一例を示す図である。図９は、本実施の形態に係るログ生成装置の動作の一例を示すフローチャートである。図１０は、本実施の形態に係るログ収集サーバの動作の一例を示すフローチャートである。

　以下、適宜図面を参照しながら、実施形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になることを避け、当業者の理解を容易にするためである。尚、添付図面及び以下の説明は、当業者が本開示を十分に理解するために提供されるものであり、これらにより特許請求の範囲に記載の主題を限定することは意図されていない。

　＜システムの概要＞
　まず、本実施の形態に係るログ生成装置およびログ収集装置を含むログ生成システムの概要について説明する。

　図１は、ログ収集システムの構成の一例を示すシステム構成図である。

　図１において、ログ収集システム１００は、第１～第Ｎのログ生成装置２００１～２００Ｎ、および、通信ネットワーク３００を介して第１～第Ｎのログ生成装置２００１～２００Ｎのそれぞれと通信可能に接続するログ収集サーバ（ログ収集装置）４００を有する。なお、第１～第Ｎのログ生成装置２００１～２００Ｎは、同一の構成を有しているため、以下、適宜「ログ生成装置２００」として纏めて説明を行う。

　ログ生成装置２００は、テキストログを生成し、生成したテキストログのデータ（ログデータ）をログ収集サーバ４００へ送信する。ログ生成装置２００は、例えば、ある建物の各所に設置された、赤外線センサ付きの監視カメラである。

　通信ネットワーク３００は、第１～第Ｎのログ生成装置２００１～２００Ｎおよびログ収集サーバ４００と接続する通信回線である。通信ネットワーク３００は、例えば、上述の建物に敷設されたＬＡＮ（Local Area Network）である。

　ログ収集サーバ４００は、ログ生成装置２００から送られてきたログデータを受信し、かかるログデータの受信により、第１～第Ｎのログ生成装置２００１～２００Ｎからテキストログを収集する。ログ収集サーバ４００は、例えば、上述の建物の管理センターに設置された情報処理装置である。

　ログ収集システム１００は、ログ生成装置２００においてログデータのデータサイズを圧縮することにより、通信ネットワーク３００の伝送負荷の低減を図る。但し、ログ収集システム１００は、ログ生成装置２００において辞書圧縮を行うのではなく、ログ収集サーバ４００において受信したログデータに基づいて圧縮辞書を生成し、生成された圧縮辞書をログ生成装置２００に使用させる。

　図２は、ログ収集システム１００における、ログデータに対する処理の概要を示す模式図である。

　図２に示すように、ログ収集サーバ４００は、ログ生成装置２００から過去に受信したログデータ（図示せず）に基づいて、圧縮辞書５００を生成して保持する（Ｓ１０１０）。そして、ログ収集サーバ４００は、生成した圧縮辞書５００をログ生成装置２００へ送信して共有化する（Ｓ１０２０）。

　ログ生成装置２００は、共有化された圧縮辞書５００’を保持し（Ｓ１０３０）、かかる圧縮辞書５００’を用いてログデータ６１０に対するテキスト圧縮を行う（Ｓ１０４０）。そして、ログ生成装置２００は、かかるテキスト圧縮の処理により生成されたログデータ６２０を、ログ収集サーバ４００へ送信する（Ｓ１０５０）。

　ログ収集サーバ４００は、ログ生成装置２００から受信したログデータ６２０’に対し、保持している圧縮辞書５００を用いて伸張処理を行う（Ｓ１０６０）。そして、ログ収集サーバ４００は、かかる伸張処理により生成されたログデータ６１０’を、元のログデータ６１０として取得する。

　なお、圧縮辞書５００の生成手法としては、例えば、出現頻度が高い文字列を、「０ｘｆｆ」＋１バイト２５６種類のインデックス番号に置き換える、特許文献１に記載のテキスト圧縮の手法を前提とした、辞書生成手法を採用することができる。なお、ログ収集サーバ４００は、最上位ビットが１であれば、上述の１バイト２５６種類のインデックス番号を更に１バイト拡張するというように、可変長のインデックス番号を変換後の文字列として採用してもよい。

　また、この場合、テキスト圧縮の手法としては、ログデータ６１０に「０ｘｆｆ」が含まれるとき、後続のインデックス番号を圧縮辞書５００’で検索して対応する文字列を取り出し、その他の場合にはログデータのコードをそのままとする手法を採用することができる。

　このようなログ収集サーバ４００は、ログ生成装置２００の処理負荷を軽減しつつ、データサイズが圧縮されたログデータを伝送することができる。なお、圧縮辞書５００を生成する処理がログ収集サーバ４００に集中することになるが、ログ収集サーバ４００は、かかる処理の集中に耐え得る処理能力を有している。

　＜装置の構成＞
　次に、各装置の構成について説明する。

　図３は、ログ生成装置２００の構成の一例を示すブロック図である。

　図３において、ログ生成装置２００は、ログ生成部２１０、圧縮処理部２２０、ログ送信部２３０、辞書受信部２４０、および装置側辞書格納部２５０を有する。

　ログ生成部２１０は、テキストログを生成し、ログデータを圧縮処理部２２０へ出力する。ログ生成部２１０は、例えば、ビデオカメラ、画像処理部、および赤外線センサ（いずれも図示せず）を含み、撮影映像に対する画像解析やセンサ信号に基づいて、不審者の出現といった各種イベントの発生を検出し、かかるイベントの発生を示すログデータを生成する。

　圧縮処理部２２０は、後述の装置側辞書格納部２５０に格納された圧縮辞書を使用した圧縮処理を、ログ生成部２１０から出力されたログデータに対して行い、かかる処理により得られた圧縮されたログデータを、ログ送信部２３０へ出力する。

　なお、ログ生成装置２００は、後述の通り、ログ収集サーバ４００から受信した圧縮辞書を装置側辞書格納部２５０に格納する。したがって、圧縮処理部２２０は、圧縮辞書を使用した圧縮処理を、当該圧縮辞書の受信後に送信されるログデータに対して行う。圧縮処理部２２０は、装置側辞書格納部２５０に圧縮辞書が存在しない場合、ログ生成部２１０から出力されたログデータをそのままログ送信部２３０へ出力する。また、圧縮処理部２２０は、装置側辞書格納部２５０に格納された圧縮辞書に存在しないログデータ部分についても、そのままログ送信部２３０へ出力する。

　ログ送信部２３０は、圧縮処理部２２０から出力されたログデータを、ログ生成装置２００の識別情報を付与した状態で、ログ収集装置へ送信する。かかるログデータには、圧縮されていないログデータ、および、圧縮されたログデータが含まれる。

　辞書受信部２４０は、ログ収集装置４００から、テキスト圧縮による圧縮処理を行うための圧縮辞書を受信する。そして、辞書受信部２４０は、受信した圧縮辞書を、装置側辞書格納部２５０へ出力する。

　なお、辞書受信部２４０は、ログ収集サーバ４００から自律的に送られてくる圧縮辞書を待機して受信してもよいし、ログ収集サーバ４００に対して圧縮辞書の送信を要求することにより圧縮辞書の受信を行ってもよい。特に前者の場合、辞書受信部２４０は、圧縮辞書を受信したことを示す応答を、ログ収集サーバ４００に対して行うことが望ましい。

　装置側辞書格納部２５０は、辞書受信部２４０から出力された圧縮辞書を、格納して保持する。かかる圧縮辞書は、上述の通り、圧縮処理部２２０によって使用される。また、装置側辞書格納部２５０は、既に格納されている圧縮辞書と同一の種別（共通辞書／装置辞書）の新たな圧縮辞書が辞書受信部２４０から出力されたとき、当該新たな圧縮辞書で、対応する既存の圧縮辞書を更新する。

　また、ログ生成装置２００は、図示しないが、例えば、ＣＰＵ（Central Processing Unit）、制御プログラムを格納したＲＯＭ（Read Only Memory）等の記憶媒体、ＲＡＭ（Random Access Memory）等の作業用メモリ、および通信回路を有する。この場合、上記した各部の機能は、ＣＰＵが制御プログラムを実行することにより実現される。

　このような構成により、ログ生成装置２００は、圧縮辞書作成を行うことなく、ログ収集サーバ４００から取得した圧縮辞書を用いて、送信の対象となるログデータの圧縮を行うことができる。

　図４は、ログ収集サーバ４００の構成の一例を示すブロック図である。

　図４において、ログ収集サーバ４００は、ログ受信部４１０、伸張処理部４２０、ログ格納部４３０、辞書生成部４４０、辞書格納部４５０、および辞書送信部４６０を有する。

　ログ受信部４１０は、第１～第Ｎのログ生成装置２００１～２００Ｎのそれぞれからログデータを受信し、受信されたログデータを伸張処理部４２０へ出力する。

　なお、ログ受信部４１０は、各ログ生成装置２００から自律的に送られてくるログデータを待機して受信してもよいし、各ログ生成装置２００に対してログデータの送信を要求することによりログデータの受信を行ってもよい。特に前者の場合、ログ受信部４１０は、ログデータを受信したことを示す応答を、ログデータの送信元であるログ生成装置２００に対して行うことが望ましい。

　伸張処理部４２０は、後述の辞書格納部４５０に格納された圧縮辞書を使用した伸張処理を、ログ受信部４１０から出力されたログデータに対して行い、かかる処理により得られた伸張された（復元された）ログデータを、送信元の識別情報を付した状態で、ログ格納部４３０へ出力する。

　なお、ログ収集サーバ４００は、後述の通り、辞書生成部４４０により生成された圧縮辞書を辞書格納部４５０に格納すると共に、同じ内容の圧縮辞書を、辞書送信部４６０によりログ生成部２１０へ送信する。したがって、伸張処理部４２０は、ログ生成装置２００がログデータの圧縮に使用した圧縮辞書と同じものを使用して、ログ生成装置２００から受信したログデータに対する伸張処理を行う。

　伸張処理部４２０は、辞書格納部４５０に圧縮辞書が存在しない場合、ログ受信部４１０から出力されたログデータをそのままログ格納部４３０へ出力する。また、伸張処理部４２０は、辞書格納部４５０に格納された圧縮辞書に存在しないログデータ部分についても、そのままログ格納部４３０へ出力する。

　ログ格納部４３０は、伸張処理部４２０から出力されたログデータを、送信元の識別情報を付した状態で、格納して保持する。ログデータは、上述の通り、第１～第Ｎのログ生成装置２００１～２００Ｎのそれぞれから受信される。したがって、ログ格納部４３０には、第１～第Ｎのログ生成装置２００１～２００Ｎから収集されたログデータが蓄積される。

　なお、かかるログデータは、各ログ生成装置２００で生成された、圧縮前のログデータを復元したものである。ログ格納部４３０に格納されたログデータは、例えば、ログ収集サーバ４００の図示しないデータ解析部における統計的な解析等に供される。

　辞書生成部４４０は、ログ格納部４３０に格納されたログデータに基づいて、テキスト圧縮を行うための圧縮辞書を生成する。そして、辞書生成部４４０は、生成された圧縮辞書を、辞書格納部４５０へ出力する。

　但し、辞書生成部４４０は、第１～第Ｎのログ生成装置２００１～２００Ｎのログデータに基づく圧縮辞書（以下「共通辞書」という）と、ログ生成装置２００毎の、当該ログ生成装置２００から送信されたログデータに基づく圧縮辞書（以下「装置辞書」という）とを生成する。また、辞書生成部４４０は、元のログデータを生成したログ生成装置２００の識別情報を、各装置辞書に付与する。

　なお、辞書生成部４４０は、辞書格納部４５０に格納されている圧縮辞書の内容を、ログ格納部４３０に格納されたログデータに基づいて、適宜更新する。

　また、圧縮辞書の生成手法としては、様々なものから任意に選択することができる。例えば、データに含まれるパターンをコード化してデータを圧縮する辞書式圧縮において、パターンを見つけ出す手法としては、スライド辞書法と動的辞書法の２種類が存在するが、いずれを採用してもよい。

　辞書格納部４５０は、辞書生成部４４０から出力された圧縮辞書を、格納して保持する。かかる圧縮辞書は、上述の通り、伸張処理部４２０によって使用される。また、辞書格納部４５０は、新たな圧縮辞書が格納される毎に、および、格納する圧縮辞書が更新される毎に、その旨を辞書送信部４６０へ通知する。なお、辞書格納部４５０は、１個の共通辞書と第１～第Ｎのログ生成装置２００１～２００Ｎに対応したＮ個の装置辞書を格納するのに十分な容量を有する。

　辞書送信部４６０は、ログ生成装置２００に対し、辞書格納部４５０に格納された圧縮辞書を送信して、当該圧縮辞書の送信後に送信されるテキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示する。また、辞書送信部４６０は、圧縮辞書が更新される毎に、対応するログ生成装置２００に対して更新後の圧縮辞書（あるいは更新内容を示す情報）を送信して、更新前の圧縮辞書に置き換えて更新後の圧縮辞書を使用することを指示する。

　また、ログ収集サーバ４００は、図示しないが、例えば、ＣＰＵ、制御プログラムを格納したＲＯＭ等の記憶媒体、ＲＡＭ等の作業用メモリ、および通信回路を有する。この場合、上記した各部の機能は、ＣＰＵが制御プログラムを実行することにより実現される。

　このような構成により、ログ収集サーバ４００は、各ログ生成装置２００から受信したログデータに基づいて圧縮辞書を生成し、各ログ生成装置２００に対してかかる圧縮辞書を用いた圧縮処理を行わせることができる。

　＜圧縮辞書の内容および共有化手法＞
　ここで、圧縮辞書の内容およびその共有化の仕方について説明する。

　図５は、共通辞書の内容の一例を示す図である。

　図５に示すように、共通辞書５１０は、例えば、辞書名５１１およびバーション５１２の組合せを識別情報とし、番号５１３毎に、文字列５１４および頻度５１５を記述する。バーション５１２は、共通辞書５１０の更新の版を示す情報である。文字列５１４は、圧縮の対象となったログデータの文字列であり、頻度５１５は、当該文字列の出現頻度である。番号５１３は、文字列５１４を変換したときのインデックス番号（例えば「０ｘｆｆ」に続いて記述されるテキスト）である。

　例えば、「１」という番号５１３に対応付けて、"rtkit-daemon:[#debug] Sucessfully"という文字列５１４が記述されている。これは、ログデータに"rtkit-daemon:[#debug] Sucessfully"というテキストが存在する場合、当該テキストが、０ｘｆｆ，０ｘ０１の２バイトに圧縮されることを示す。

　図６は、装置辞書の内容の一例を示す図である。

　図６に示すように、装置辞書５２０は、例えば、辞書名５２１、装置番号５２２およびバーション５２３の組合せを識別情報とし、番号５２４毎に、文字列５２５および頻度５２６を記述する。装置番号５２２は、装置辞書５２０の生成の基となったログデータの送信元を示す情報であり、例えば、ログ生成装置２００の識別情報である。バーション５２３は、装置辞書５２０の更新の版を示す情報である。文字列５２５は、圧縮の対象となったログデータの文字列であり、頻度５２６は、当該文字列の出現頻度である。番号５２４は、文字列５２５を変換したときのインデックス番号（例えば「０ｘｆｆ」に続いて記述されるテキスト）である。

　例えば、「１」という番号５２４に対応付けて、"PC-NSX6000"という文字列５２５が記述されている。これは、ログデータに"PC-NSX6000"というテキストが存在する場合、当該テキストが、０ｘｆｆ，０ｘ０１の２バイトに圧縮されることを示す。

　なお、共通辞書５１０および装置辞書５２０のいずれも、圧縮処理および伸張処理の効率の観点から、出現頻度が高い順またはアルファベット順の少なくともいずれかにソートされていることが望ましい。また、辞書生成部４４０は、各ログ生成装置２００の（装置側辞書格納部２５０の）メモリサイズを考慮して、生成される装置辞書の最大サイズ（ＭａｘＳｉｚｅＤ）を制限することが望ましい。また、図５および図６では、異なるテキストに対して同一の番号が対応付けられている例を示したが、異なるテキストに対応付けられる番号（圧縮後のテキスト）は、異なる番号か、他の付加情報により区別されるものであることが望ましい。

　このように、辞書生成部４４０は、第１～第Ｎのログ生成装置２００１～２００Ｎで共通に使用する共通辞書と、ログ生成装置２００毎に個別に使用する装置辞書とを生成する。装置辞書は、ログ生成装置２００の名称（ホスト名）等、装置毎に特有の文字列が多い場合や、第１～第Ｎのログ生成装置２００１～２００Ｎで共に異なるシリーズ（タイプ、バージョン）の装置が混在している場合に、効果を発揮する。

　ログ生成装置２００毎に、ログデータで多用される文字列の傾向は異なり得る。また、ログ収集システム１００は、同一のログデータ群から生成された圧縮辞書であっても、ログ生成装置２００の電源投入状況等に起因して、共有のタイミングがログ生成装置２００毎に異なり得る。

　図７は、辞書共有の状態の一例を示す模式図である。

　図７に示すように、例えば、ログ収集サーバ４００は、バージョン１の共通辞書５１０Ｖ１を生成した後、かかる辞書を更新したバージョン２の共通辞書５１０Ｖ２を生成する。また、ログ収集サーバ４００は、バージョン１の第１の装置辞書５２０１Ｖ１を生成した後、かかる辞書を更新したバージョン２の第１の装置辞書５２０１Ｖ２を生成する。更に、ログ収集サーバ４００は、バージョン１の第２の装置辞書５２０２Ｖ１を生成した後、かかる辞書を更新したバージョン２の第２の装置辞書５２０２Ｖ２を生成する。

　例えば、バージョン２の共通辞書５１０Ｖ２は、第２のログ生成装置２００２には送信されたが、第１のログ生成装置２００１には旧バージョンのバージョン１の共通辞書５１０Ｖ１しか送信されていない。バージョン２の第１の装置辞書５２０１Ｖ２は、生成されているが、第１のログ生成装置２００１にはまだ送信されていない。バージョン２の第２の装置辞書５２０２Ｖ２は、第２のログ生成装置２００２に送信されている。

　ログ収集サーバ４００は、更新後の最新の辞書のみならず、更新前の各辞書のうち、使用中、あるいは、使用の可能性がある辞書（例えば、バージョン１の共通辞書５１０Ｖ１およびバージョン１の第１の装置辞書５２０１Ｖ１）についても保持する。

　一方で、ログ収集サーバ４００は、不要となった更新前の辞書（例えば、バージョン１の第２の装置辞書５２０１Ｖ２）を削除する。同様に、ログ収集サーバ４００は、例えば、第１～第Ｎのログ生成装置２００１～２００Ｎの全てに対してバージョンＭの共通辞書の送信が完了した時点で、バージョンＭ－１の共通辞書を削除するというように、不要な共通辞書を削除する。

　ログ収集サーバ４００が伸張処理に使用する圧縮辞書は、伸張処理の対象となるログデータに対して圧縮処理の際に使用された圧縮辞書と同一内容である必要がある。

　そこで、辞書送信部４６０は、ログ生成装置２００毎に圧縮辞書を送信すると共に、第１～第Ｎのログ生成装置２００１～２００Ｎのいずれに対してどの圧縮辞書を送信したかを示す辞書共有化情報を、生成して辞書格納部４５０に格納し、これを管理する。辞書送信部４６０は、圧縮辞書の、種別、対象となるログ生成装置２００、および更新の版を区別して、圧縮辞書の送信履歴を辞書共有化情報に記録する。

　図８は、辞書共有化情報の内容の一例を示す図である。

　図８に示すように、辞書共有化情報５３０は、装置名称５３１および装置番号５３２の組毎に、共通辞書（の識別情報）５３３および装置辞書（の識別情報）５３４を記述する。共通辞書５３３および装置辞書５３４は、装置番号５３２が示すログ生成装置２００に送信した共通辞書および装置辞書のうち、最も新しいものを示す。なお、装置名称５３１は、必ずしも必要ではない。

　例えば、「１」という装置番号５３２に対応付けて、「共通辞書Ｖｅｒ.１」という共通辞書５３３と、「第１の装置辞書Ｖｅｒ.１」という装置辞書５３４とが記述されている。これは、第１のログ生成装置２００に対して送信済みの最新の共通辞書および装置辞書５３４が、バージョン１の共通辞書およびバージョン１の第１の装置辞書であるということを示す。

　伸張処理部４２０は、このような辞書共有化情報５３０を参照して、ログ生成装置２００毎に、当該ログ生成装置２００から送信されたログデータに対して、どの圧縮辞書のどの版（更新前／更新後）を使用するかを決定する。これにより、伸張処理部４２０は、受信したログデータの圧縮処理の際に使用された圧縮辞書と同一のものを使用して、当該ログデータに対する伸張処理を行うことができ、より確実に元のログデータを復元することができる。

　＜装置の動作＞
　次に、各装置の動作について説明する。

　図９は、ログ生成装置２００の動作の一例を示すフローチャートである。

　ステップＳ２０１０において、辞書受信部２４０は、ログ収集サーバ４００から圧縮辞書（共通辞書５１０／装置辞書５２０、図５および図６参照）を受信したか否かを判定する。

　辞書受信部２４０は、圧縮辞書を受信した場合（Ｓ２０１０：ＹＥＳ）、処理をステップＳ２０２０へ進める。また、辞書受信部２４０は、圧縮辞書を受信していない場合（Ｓ２０１０：ＮＯ）、処理を後述のステップＳ２０３０へ進める。

　ステップＳ２０２０において、装置側辞書格納部２５０は、受信された圧縮辞書を格納する。または、装置側辞書格納部２５０は、受信された圧縮辞書で、既存の同一の種別の圧縮辞書（旧バージョンの圧縮辞書）を更新する。

　ステップＳ２０３０において、ログ生成部２１０は、ログデータの生成タイミングが到来したか否かを判定する。かかるタイミングは、例えば、５秒毎等の周期的なタイミング、および、不審者が検知された等の所定のイベントが発生したタイミングのうち少なくとも１つである。

　ログ生成部２１０は、ログデータの生成タイミングが到来した場合（Ｓ２０３０：ＹＥＳ）、処理をステップＳ２０４０へ進める。また、ログ生成部２１０は、ログデータの生成タイミングが到来していない場合（Ｓ２０３０：ＮＯ）、処理を後述のステップＳ２０５０へ進める。

　ステップＳ２０４０において、ログ生成部２１０は、ログデータを生成し、圧縮処理部２２０に用意された仮バッファにセット（圧縮処理部２２０へ出力）する。

　ステップＳ２０５０において、圧縮処理部２２０は、ログデータの送信タイミングが到来したか否かを判定する。かかるタイミングは、例えば、新たなログデータが生成されたタイミング、５分毎等の周期的なタイミング、および、ログ収集サーバ４００からログデータの送信を要求されたタイミングのうちの少なくとも１つである。

　圧縮処理部２２０は、ログデータの送信タイミングが到来した場合（Ｓ２０５０：ＹＥＳ）、処理をステップＳ２０６０へ進める。また、圧縮処理部２２０は、ログデータの送信タイミングが到来していない場合（Ｓ２０５０：ＮＯ）、処理を後述のステップＳ２１２０へ進める。

　ステップＳ２０６０において、圧縮処理部２２０は、仮バッファにセットされたログデータのうち、後続のステップＳ２０７０～Ｓ２０９０の処理がまだ行われていない未処理データ（テキスト）を、前方から、装置側辞書格納部２５０に格納された圧縮辞書で検索する。

　ステップＳ２０７０において、圧縮処理部２２０は、検索の対象となったデータ部分（テキスト）が、いずれかの圧縮辞書に存在したか否かを判定する。

　圧縮処理部２２０は、検索対象がいずれかの圧縮辞書にも存在しない場合（Ｓ２０７０：ＮＯ）、処理をステップＳ２０８０へ進める。また、圧縮処理部２２０は、検索対象がいずれかの圧縮辞書に存在する場合（Ｓ２０７０：ＹＥＳ）、処理を後述のステップＳ２０９０へ進める。

　ステップＳ２０８０において、圧縮処理部２２０は、検索対象となったデータ部分を、そのまま、ログ送信部２３０に用意された通信バッファにセット（ログ送信部２３０へ出力）する。

　ステップＳ２０９０において、圧縮処理部２２０は、検索対象となったデータ部分に対し、圧縮辞書に基づいて圧縮処理を行い、得られたデータ（圧縮されたデータ）を、ログ送信部２３０の通信バッファにセット（ログ送信部２３０へ出力）する。

　なお、仮バッファにセットされたログデータは、ステップＳ２０７０～Ｓ２０９０の処理により、仮バッファから消去される。

　ステップＳ２１００において、圧縮処理部２２０は、仮バッファに、未処理データが存在するか否かを判定する。

　圧縮処理部２２０は、未処理データが存在する場合（Ｓ２１００：ＹＥＳ）、処理をステップＳ２０６０へ戻す。また、圧縮処理部２２０は、未処理データが存在しない場合（Ｓ２１００：ＮＯ）、処理をステップＳ２１１０へ進める。

　なお、圧縮処理部２２０は、所定の時間毎または通信バッファにセットされたデータの少なくともいずれかのデータ量が所定値に達する毎に、処理をステップＳ２１１０へ進めてから、処理をステップＳ２０６０へ戻すようにしてもよい。

　ステップＳ２１１０において、ログ送信部２３０は、通信バッファにセットされたデータを、ログデータとしてログ収集サーバ４００へ送信する。

　そして、ステップＳ２１２０において、辞書受信部２４０は、ユーザ操作等により処理の終了を指示されたか否かを判定する。

　辞書受信部２４０は、処理の終了を指示されていない場合（Ｓ２１２０：ＮＯ）、処理をステップＳ２０１０へ戻す。また、辞書受信部２４０は、処理の終了を指示された場合（Ｓ２１２０：ＹＥＳ）、一連の処理を終了する。

　このような動作により、ログ生成装置２００は、逐次、ログ収集サーバ４００から圧縮辞書を取得すると共に、取得した圧縮辞書を用いてログデータを圧縮し、ログ収集サーバ４００へ送信することができる。

　図１０は、ログ収集サーバ４００の動作の一例を示すフローチャートである。

　ステップＳ３０１０において、ログ受信部４１０は、いずれかのログ生成装置２００からログデータを受信したか否かを判定する。なお、かかるログデータの受信は、上述の通り、受動的に行われたものであってもよいし、能動的に行われたものであってもよい。後者の場合、ログ受信部４１０は、例えば、５分毎等の周期的なタイミングで、ログデータの送信をログ生成装置２００に要求する。

　ログ受信部４１０は、ログデータを受信した場合（Ｓ３０１０：ＹＥＳ）、処理をステップＳ３０２０へ進める。また、ログ受信部４１０は、ログデータを受信していない場合（Ｓ３０１０：ＮＯ）、処理を後述のステップＳ３０４０へ進める。

　ステップＳ３０２０において、伸張処理部４２０は、受信されたログデータの送信元のログ生成装置２００と共有している圧縮辞書（およびそのバージョン）を、辞書格納部４５０に格納された辞書共有化情報５３０（図８参照）から特定する。なお、ログデータの送信元は、当該ログデータに付与された識別情報から特定することができる。

　ステップＳ３０３０において、伸張処理部４２０は、特定された共有の圧縮辞書を参照して、圧縮されたログデータに対する伸張処理を行い、伸張処理により得られたデータを、元のログデータとしてログ格納部４３０に格納（記録）する。なお、上述の通り、かかるログデータの記録は、ログ生成装置２００毎に行われる。

　ステップＳ３０４０において、辞書生成部４４０は、いずれかの圧縮辞書の生成／更新タイミングが到来したか否かを判定する。かかるタイミングは、例えば、ログ格納部４３０に蓄積されたログデータのデータ量の累計、あるいは、最後に圧縮辞書が生成されてから蓄積されたログデータのデータ量の合計が所定値に達したタイミング、および、１日毎等の周期的なタイミングのうち少なくとも１つを含む。

　辞書生成部４４０は、圧縮辞書の生成／更新タイミングが到来した場合（Ｓ３０４０：ＹＥＳ）、処理をステップＳ３０５０へ進める。また、辞書生成部４４０は、圧縮辞書の生成／更新タイミングが到来していない場合（Ｓ３０４０：ＮＯ）、処理を後述のステップＳ３０６０へ進める。

　ステップＳ３０５０において、辞書生成部４４０は、ログ格納部４３０に記録されたログデータに基づき、圧縮辞書の生成または更新（バージョンアップ）を行う。辞書生成部４４０が圧縮辞書の生成または更新に使用するログデータの範囲は、最初のデータから最新のデータ迄の全てでもよいし、その一部でもよい。例えば、辞書生成部４４０は、直近の１週間に取得されたログデータに基づいて、圧縮辞書の生成または更新を行う。

　なお、辞書生成部４４０は、少なくとも装置辞書５２０（図６参照）については、圧縮辞書の生成／更新タイミングの到来の有無の判定、および、圧縮辞書の生成または更新を、ログ生成装置２００毎に行うことが望ましい。

　ステップＳ３０６０において、辞書送信部４６０は、圧縮辞書の送信タイミングが到来したか否かを判定する。かかるタイミングは、例えば、新たに圧縮辞書が生成または更新されたタイミングである。

　辞書送信部４６０は、圧縮辞書の送信タイミングが到来した場合（Ｓ３０６０：ＹＥＳ）、処理をステップＳ３０７０へ進める。また、辞書送信部４６０は、圧縮辞書の送信タイミングが到来していない場合（Ｓ３０６０：ＮＯ）、処理を後述のステップＳ３０８０へ進める。

　ステップＳ３０７０において、辞書送信部４６０は、送信の対象となる圧縮辞書、例えば新たに生成または更新された圧縮辞書を、対応するログ生成装置２００へ送信すると共に、辞書格納部４５０に格納された辞書共有化情報５３０（図８参照）を更新する。対応するログ生成装置２００とは、例えば、送信の対象となる圧縮辞書の生成に用いられたログデータの送信元であり、共通辞書５１０の場合には第１～第Ｎのログ生成装置２００１～２００Ｎ、装置辞書５２０の場合にはいずれかのログ生成装置２００である。

　そして、ステップＳ３０８０において、ログ受信部４１０は、ユーザ操作等により処理の終了を指示されたか否かを判定する。

　ログ受信部４１０は、処理の終了を指示されていない場合（Ｓ３０８０：ＮＯ）、処理をステップＳ３０１０へ戻す。また、ログ受信部４１０は、処理の終了を指示された場合（Ｓ３０８０：ＹＥＳ）、一連の処理を終了する。

　このような動作により、ログ収集サーバ４００は、逐次、第１～第Ｎのログ生成装置２００１～２００Ｎのそれぞれからログデータを取得すると共に、取得したログデータに基づいて圧縮辞書を生成し、これを共有化して伝送データの圧縮化を実現することができる。

　＜本実施の形態の効果＞
　以上説明したように、本実施の形態に係るログ収集サーバ４００は、ログ生成装置２００からテキストログを受信するログ受信部４１０と、受信されたテキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成する辞書生成部４４０と、を有する。また、ログ収集サーバ４００は、ログ生成装置２００に対し、生成された圧縮辞書を送信して、当該圧縮辞書の送信後に送信されるテキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示する辞書送信部４６０と、当該圧縮辞書の送信後に受信されたテキストログに対して圧縮辞書を使用して伸張処理を行う伸張処理部４２０とを有する。

　すなわち、ログ収集サーバ４００は、各ログ生成装置２００からのテキストログに対する解析機能、学習型のテキスト辞書生成機能、および辞書更新機能を持たせ、システムに適した効率の良い圧縮辞書を自動生成する。そして、ログ収集サーバ４００は、生成した圧縮辞書を各ログ生成装置２００に配信することにより、各ログ生成装置２００が同じ圧縮辞書を用いて送信の対象となるテキストログの圧縮を行うことを可能にする。

　これにより、本実施の形態に係るログ収集サーバ４００は、ログ生成装置２００の処理負荷の増大を抑えた状態で、低負荷なテキストログ伝送を可能にし、効果的なテキストログ収集を実現することができる。

　＜本実施の形態の変形例＞
　なお、ログ生成装置２００は、監視カメラに限定されるものではなく、テキストログを生成する他の各種装置であってもよい。

　また、圧縮辞書の内容、形式、およびその生成手法は、上述の例に限定されるものではなく、元のテキストログを復元可能にかつ効率的に圧縮／伸張するものであれば、各種の技術を採用することができる。

　また、ログ収集サーバ４００は、必ずしも、いずれのログ生成装置２００に対していずれの圧縮辞書を送信したか（各ログ生成装置２００がどの圧縮辞書を使用しているか）を示す辞書共有化情報を管理しなくてもよい。例えば、ログ生成装置２００が、どの圧縮辞書を使用して圧縮処理を行っているかを示す情報を、ログデータに付与する等してログ収集サーバ４００に送信する場合、ログ収集サーバ４００は、かかる情報に基づいて伸張処理に使用する圧縮辞書を決定してもよい。

　また、ログ収集サーバ４００は、圧縮辞書の送信とは別に、送信した複数の圧縮辞書のうちいずれを使用して圧縮処理を行うかを、ログ生成装置２００に対して指示してもよい。

　また、ログ収集サーバ４００は、１つのログ生成装置２００のみからログデータを受信するものであってもよい。

　また、ログ収集サーバ４００の構成の一部は、当該装置の構成の他の部分と物理的に離隔していてもよい。この場合、それらの離隔した複数の部分は、互いに通信を行うための通信部をそれぞれ備える必要がある。同様に、ログ生成装置２００の構成の一部も、当該装置の構成の他の部分と物理的に離隔していてもよい。

　＜本開示のまとめ＞
　本開示に係るログ収集装置は、ログ生成装置からテキストログを受信するログ受信部と、受信された前記テキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成する辞書生成部と、前記ログ生成装置に対し、生成された前記圧縮辞書を送信して、当該圧縮辞書の送信後に送信される前記テキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示する辞書送信部と、当該圧縮辞書の送信後に受信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行う伸張処理部と、を有する。

　なお、上記ログ収集装置において、前記ログ受信部は、複数の前記ログ生成装置のそれぞれから前記テキストログを受信し、前記辞書送信部は、前記ログ生成装置毎に前記圧縮辞書を送信し、前記複数のログ生成装置のいずれに対して前記圧縮辞書を送信したかを示す辞書共有化情報を管理し、前記伸張処理部は、前記辞書共有化情報を参照して、前記ログ生成装置毎に、当該ログ生成装置から送信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行うか否かを決定してもよい。

　また、上記ログ収集装置において、前記辞書生成部は、前記複数のログ生成装置から送信された前記テキストログに基づいて前記圧縮辞書を生成および更新し、更新前の前記圧縮辞書および更新後の前記圧縮辞書を保持し、前記辞書送信部は、前記ログ生成装置に対し、更新後の前記圧縮辞書を送信して、更新前の前記圧縮辞書に置き換えて前記更新後の圧縮辞書を使用することを指示し、前記更新前の圧縮辞書と前記更新後の圧縮辞書とを区別して前記辞書共有化情報に記録し、前記伸張処理部は、前記ログ生成装置毎に、当該ログ生成装置から送信された前記テキストログに対して前記更新前の圧縮辞書および前記更新後の圧縮辞書のいずれを使用するかを決定してもよい。

　また、上記ログ収集装置において、前記辞書生成部は、前記複数のログ生成装置から送信された前記テキストログに基づいて生成される前記圧縮辞書である共通辞書は別に、前記ログ生成装置毎に、当該ログ生成装置から送信された前記テキストログに基づいて前記圧縮辞書を装置辞書として生成し、前記伸張処理部は、前記ログ生成装置毎に、前記共通辞書と当該ログ生成装置の前記装置辞書とを使用して前記伸張処理を行ってもよい。

　また、上記ログ収集装置は、受信された前記テキストログまたは前記伸張処理の少なくともいずれかが行われた後の前記テキストログを蓄積するログ格納部、を有し、前記辞書生成部は、蓄積された前記テキストログに基づいて、定期的に前記圧縮辞書を更新し、前記辞書送信部は、前記ログ生成装置に対し、前記圧縮辞書が更新される毎に、更新後の前記圧縮辞書を送信して、更新前の前記圧縮辞書に置き換えて前記更新後の圧縮辞書を使用することを指示してもよい。

　本開示に係るログ生成装置は、テキストログを生成するログ生成部と、生成されたテキストログをログ収集装置へ送信するログ送信部と、前記ログ収集装置から、テキスト圧縮を行うための圧縮辞書を受信する辞書受信部と、受信された前記圧縮辞書を使用した圧縮処理を、当該圧縮辞書の受信後に送信される前記テキストログに対して行う圧縮処理部と、を有する。

　本開示に係るログ収集方法は、ログ生成装置からテキストログを受信するステップと、受信された前記テキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成するステップと、前記ログ生成装置に対し、生成された前記圧縮辞書を送信して、当該圧縮辞書の送信後に送信される前記テキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示するステップと、当該圧縮辞書の送信後に受信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行うステップと、を有する。

　本開示に係るログ収集装置、ログ生成装置、およびログ収集方法は、ログ生成装置の処理負荷の増大を抑えた状態で、低負荷なテキストログ伝送を可能にするログ収集装置、ログ生成装置、およびログ収集方法として有用である。

　１００　　ログ収集システム
　２００　　ログ生成装置
　２１０　　ログ生成部
　２２０　　圧縮処理部
　２３０　　ログ送信部
　２４０　　辞書受信部
　２５０　　装置側辞書格納部
　３００　　通信ネットワーク
　４００　　ログ収集サーバ
　４１０　　ログ受信部
　４２０　　伸張処理部
　４３０　　ログ格納部
　４４０　　辞書生成部
　４５０　　辞書格納部
　４６０　　辞書送信部

Claims

　ログ生成装置からテキストログを受信するログ受信部と、
　受信された前記テキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成する辞書生成部と、
　前記ログ生成装置に対し、生成された前記圧縮辞書を送信して、当該圧縮辞書の送信後に送信される前記テキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示する辞書送信部と、
　当該圧縮辞書の送信後に受信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行う伸張処理部と、を有する、
　ログ収集装置。
　前記ログ受信部は、
　複数の前記ログ生成装置のそれぞれから前記テキストログを受信し、
　前記辞書送信部は、
　前記ログ生成装置毎に前記圧縮辞書を送信し、前記複数のログ生成装置のいずれに対して前記圧縮辞書を送信したかを示す辞書共有化情報を管理し、
　前記伸張処理部は、
　前記辞書共有化情報を参照して、前記ログ生成装置毎に、当該ログ生成装置から送信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行うか否かを決定する、
　請求項１に記載のログ収集装置。
　前記辞書生成部は、
　前記複数のログ生成装置から送信された前記テキストログに基づいて前記圧縮辞書を生成および更新し、更新前の前記圧縮辞書および更新後の前記圧縮辞書を保持し、
　前記辞書送信部は、
　前記ログ生成装置に対し、更新後の前記圧縮辞書を送信して、更新前の前記圧縮辞書に置き換えて前記更新後の圧縮辞書を使用することを指示し、前記更新前の圧縮辞書と前記更新後の圧縮辞書とを区別して前記辞書共有化情報に記録し、
　前記伸張処理部は、
　前記ログ生成装置毎に、当該ログ生成装置から送信された前記テキストログに対して前記更新前の圧縮辞書および前記更新後の圧縮辞書のいずれを使用するかを決定する、
　請求項２に記載のログ収集装置。
　前記辞書生成部は、
　前記複数のログ生成装置から送信された前記テキストログに基づいて生成される前記圧縮辞書である共通辞書は別に、前記ログ生成装置毎に、当該ログ生成装置から送信された前記テキストログに基づいて前記圧縮辞書を装置辞書として生成し、
　前記伸張処理部は、
　前記ログ生成装置毎に、前記共通辞書と当該ログ生成装置の前記装置辞書とを使用して前記伸張処理を行う、
　請求項３に記載のログ収集装置。
　受信された前記テキストログまたは前記伸張処理の少なくともいずれかが行われた後の前記テキストログを蓄積するログ格納部、を有し、
　前記辞書生成部は、
　蓄積された前記テキストログに基づいて、定期的に前記圧縮辞書を更新し、
　前記辞書送信部は、
　前記ログ生成装置に対し、前記圧縮辞書が更新される毎に、更新後の前記圧縮辞書を送信して、更新前の前記圧縮辞書に置き換えて前記更新後の圧縮辞書を使用することを指示する、
　請求項１に記載のログ収集装置。
　テキストログを生成するログ生成部と、
　生成されたテキストログをログ収集装置へ送信するログ送信部と、
　前記ログ収集装置から、テキスト圧縮を行うための圧縮辞書を受信する辞書受信部と、
　受信された前記圧縮辞書を使用した圧縮処理を、当該圧縮辞書の受信後に送信される前記テキストログに対して行う圧縮処理部と、を有する、
　ログ生成装置。
　ログ生成装置からテキストログを受信するステップと、
　受信された前記テキストログに基づいて、テキスト圧縮を行うための圧縮辞書を生成するステップと、
　前記ログ生成装置に対し、生成された前記圧縮辞書を送信して、当該圧縮辞書の送信後に送信される前記テキストログに対して当該圧縮辞書を使用した圧縮処理を行うことを指示するステップと、
　当該圧縮辞書の送信後に受信された前記テキストログに対して前記圧縮辞書を使用して伸張処理を行うステップと、を有する、
　ログ収集方法。