WO2020031694A1

WO2020031694A1 - ログ情報収集装置およびログ情報収集方法

Info

Publication number: WO2020031694A1
Application number: PCT/JP2019/028963
Authority: WO
Inventors: 諭士中務; 公利齋藤; 高橋　賢
Original assignee: 日本電信電話株式会社
Priority date: 2018-08-09
Filing date: 2019-07-24
Publication date: 2020-02-13
Also published as: US20210303387A1; US11340976B2; JP7047661B2; JP2020027330A

Abstract

システム構築時に予期できなかった不具合や複数種類のログを横断的に監視しなければ検知できない不具合等を検知可能とする。ログ情報収集部１２４は、オペレーション装置１２からの指令に従って稼働するネットワーク機器１４のログ情報を収集する。条件判定部２６は、ネットワーク機器１４から収集したログ情報に第１の文字列が含まれている場合、当該第１の文字列を含むログ情報の発生時刻前後の所定時間帯に、第２の文字列を含む他のログ情報が発生したか否かを判定する。新規ログ情報生成部２７は、所定時間帯に第２の文字列を含む他のログ情報が発生した場合または発生しなかった場合に、第３の文字列を含む新規ログ情報を生成する。判定条件指定部２１は、第１の文字列、第２の文字列、第３の文字列、所定時間帯およびログ情報の発生有無の指定を受け付ける。

Description

ログ情報収集装置およびログ情報収集方法

　本発明は、オペレーション装置からの指令に従って稼働するネットワーク機器のログ情報を収集するログ情報収集装置およびログ情報収集方法に関する。

　従来、制御対象の機器群に対して、オペレータや他システムからの制御命令、予め定められたシナリオ等に基づくオペレーションを実行するシステム（例えば、通信事業者においてネットワーク機器群の制御を行うネットワークオペレーションシステム等）には、オペレーションの実行状態やシステムの稼働状況に関するログ情報（オペレーションログ）を収集するログ情報収集機能が設けられている。ネットワークオペレーションシステムでは、オペレーションの実行結果や状態を出力するログ情報の蓄積が必要不可欠であり、エラー発生の検知や問題発生時の解析に用いられる。

　ログ情報が出力される頻度は、システムに求める品質や解析者の技量等によって様々であるが、ログ情報の出力頻度が高くなるほど問題解析に用いることができる情報が増える一方、ログ情報が蓄積される速度が膨大になるため、オペレータが重要なログを見落とさずに検知できるようにする仕組みが必要となる。

　このため、ネットワークオペレーションシステムでは、システムの状態を監視するオペレータが、そのログの重要度を示すレベルごとに、監視用画面にログを表示するか否かを決定する運用を行っている。例えば、非特許文献１に示すようなロギングユーティリティソフトウェアでは、６つのログレベルを標準提供しており、オペレータが監視する画面上には、デバッグや異常時の解析を目的に出力されるような詳細情報に属するログレベルのログ情報は表示せず、警告やエラーを示すログのみを表示するなどして、大量に出力されるログのうち、重要なログのみを視認できるようにする運用を行っている。

"log4j"、［online］、ウキペディア、［平成３０年８月２日検索］、インターネット<ＵＲＬ：https://ja.wikipedia.org/wiki/Log4j>

　しかしながら、オペレーションログとしてシステムで固定的に設定され、プログラム中に埋め込まれたログ情報のみでは、プログラムのコーディング時には気付くことができなかった故障など、新たに運用中に発見された故障を検知することができない可能性がある。
　また、そのような故障のうち、監視用画面に表示していないログレベルのログも含めて複数のログに跨ったパターンとして出力されているものや、本来一定のパターンとして出力されるべきログが部分的に欠けているものなど、１つのログだけでなく複数のログを横断的に確認することによって検知できるものについては、従来の技術に示したような特定のログレベルのみ固定的に監視用画面に表示させる運用では検知することができない。

　本発明は、このような事情に鑑みなされたものであり、システム構築時に予期できなかった不具合や複数種類のログを横断的に監視しなければ検知できない不具合等を検知可能とすることを目的とする。

　上述の目的を達成するため、請求項１に記載の発明は、オペレーション装置からの指令に従って稼働するネットワーク機器のログ情報を収集するログ情報収集装置であって、前記ネットワーク機器から収集した前記ログ情報に第１の文字列が含まれている場合、当該第１の文字列を含む前記ログ情報の発生時刻前後の所定時間帯に、第２の文字列を含む他のログ情報が発生したか否かを判定する条件判定部と、前記所定時間帯に前記第２の文字列を含む他のログ情報が発生した場合または発生しなかった場合に、第３の文字列を含む新規ログ情報を生成する新規ログ情報生成部と、前記第１の文字列、前記第２の文字列、前記第３の文字列、前記所定時間帯および前記ログ情報の発生有無の指定を受け付ける判定条件指定部と、を備えることを特徴とするログ情報収集装置とした。

　また、請求項５に記載の発明は、オペレーション装置からの指令に従って稼働するネットワーク機器のログ情報を収集するログ情報収集方法であって、前記ネットワーク機器から収集した前記ログ情報に第１の文字列が含まれている場合、当該第１の文字列を含む前記ログ情報の発生時刻前後の所定時間帯に、第２の文字列を含む他のログ情報が発生したか否かを判定する条件判定工程と、前記所定時間帯に前記第２の文字列を含む他のログ情報が発生した場合または発生しなかった場合に、第３の文字列を含む新規ログ情報を生成する新規ログ情報生成工程と、前記条件判定工程および前記新規ログ情報生成工程に先立って、前記第１の文字列、前記第２の文字列、前記第３の文字列、前記所定時間帯および前記ログ情報の発生有無の指定を受け付ける判定条件指定工程と、を含むことを特徴とするログ情報収集方法とした。

　このように、収集したログ情報について指定された条件が成立した場合に、指定された文字列（第３の文字列）を含む新規ログ情報を生成することにより、ネットワーク機器側のシステムを変更することなく任意の状況に応じたログ情報を生成可能となる。これにより、例えばシステム構築時に予期できなかった不具合に対応するログ情報を追加することができ、システムの問題の早期発見や故障の予兆の検知などを図ることができ、システム品質の向上が期待できる。

　また、請求項２に記載の発明は、前記判定条件指定部は、１つの前記第１の文字列および前記第３の文字列の組に対して、前記第２の文字列、前記所定時間帯および前記ログ情報の発生有無からなる判定条件の指定を複数受け付け可能であり、前記条件判定部は、１つの前記第１の文字列に対して複数指定された前記判定条件がそれぞれ成立するか否かを判定し、前記新規ログ情報生成部は、複数指定された前記判定条件が全て成立した場合に、前記第１の文字列と組となる前記第３の文字列を含む新規ログ情報を生成する、ことを特徴とするログ情報収集装置とした。

　また、請求項６に記載の発明は、前記判定条件指定工程では、１つの前記第１の文字列および前記第３の文字列の組に対して、前記第２の文字列、前記所定時間帯および前記ログ情報の発生有無からなる判定条件の指定を複数受け付け可能であり、前記条件判定工程では、１つの前記第１の文字列に対して複数指定された前記判定条件がそれぞれ成立するか否かを判定し、前記新規ログ情報生成工程では、複数指定された前記判定条件が全て成立した場合に、前記第１の文字列と組となる前記第３の文字列を含む新規ログ情報を生成する、ことを特徴とするログ情報収集方法とした。

　このように、１つの第１の文字列および第３の文字列の組に対して、判定条件の指定を複数受け付け可能とすることによって、例えば複数種類のログを横断的に監視しなければ検知できない不具合に対応するログ情報を追加することができ、システム内の不具合をより精度よく監視することができる。

　また、請求項３に記載の発明は、前記ネットワーク機器から収集した前記ログ情報を一時保存するログキャッシュ部を更に備え、前記条件判定部は、前記ログキャッシュ部に保存された前記ログ情報に前記第２の文字列を含む他のログ情報が含まれているか否かを判定し、前記ログキャッシュ部は、前記所定時間帯に基づいて前記ログ情報を順次消去する、ことを特徴とするログ情報収集装置とした。

　また、請求項７に記載の発明は、前記ネットワーク機器から収集した前記ログ情報は、ログキャッシュ部に一時保存されており、前記条件判定工程では、前記ログキャッシュ部に保存された前記ログ情報に前記第２の文字列を含む他のログ情報が含まれているか否かを判定し、前記所定時間帯に基づいて前記ログキャッシュ部の前記ログ情報を順次消去するログ消去工程を更に含む、ことを特徴とするログ情報収集方法とした。

　このように、ログキャッシュ部内のログ情報を順次消去することにより、ログキャッシュ部の記憶容量を抑えることができ、効率的に条件判定を行う上で有利となる。

　また、請求項４に記載の発明は、前記判定条件指定部で指定された各項目を判定条件として記録する判定条件記録部を更に備え、前記所定時間帯は、前記第１の文字列を含む前記ログ情報の発生時刻前の時間帯を指定する前判定時間帯と、前記第１の文字列を含む前記ログ情報の発生時刻後の時間帯を指定する後判定時間帯とを指定可能であり、前記ログキャッシュ部は、前記判定条件記録部に記録された前記前判定時間帯の最大値を経過した前記ログ情報を順次消去する、ことを特徴とするログ情報収集装置とした。

　また、請求項８に記載の発明は、前記判定条件指定工程で指定された各項目は、判定条件として判定条件記録部に記録されており、前記所定時間帯は、前記第１の文字列を含む前記ログ情報の発生時刻前の時間帯を指定する前判定時間帯と、前記第１の文字列を含む前記ログ情報の発生時刻後の時間帯を指定する後判定時間帯とを指定可能であり、前記ログ消去工程では、前記判定条件記録部に記録された前記前判定時間帯の最大値を経過した前記ログ情報を順次消去する、ことを特徴とするログ情報収集方法とした。

　このように、前判定時間帯の最大値を経過したログ情報を順次消去する、言い換えると前判定時間帯の最大値を経過するまでログ情報を保存することにより、条件判定を行う上で必要十分なログ情報を保持することができる。

　本発明によれば、システム構築時に予期できなかった不具合や複数種類のログを横断的に監視しなければ検知できない不具合等を検知可能とすることができる。

オペレーションシステムの構成を示す図である。ネットワーク機器から出力されるログ情報の一例である。ログ情報表示部に表示するログの種類（ログレベル）を示す表である。ログ情報収集部の機能的構成を示すブロック図である。判定条件の一例を示す表である。オペレーション処理遅延を検出するための判定条件の一例である。ログキャッシュ部に一時保存されているログ情報の一例である。ログ情報収集部の処理を示すフローチャートである。

　以下に添付図面を参照して、本発明にかかるログ情報収集装置およびログ情報収集方法の好適な実施の形態を詳細に説明する。まず、実施の形態にかかるログ情報収集装置が設置されるオペレーションシステムについて説明する。

　図１は、オペレーションシステムの構成を示す図である。
　オペレーションシステム１０は、オペレーション装置１２、ネットワーク機器１４、ログ情報格納部１６、ログ情報表示部１８を含んで構成される。

　オペレーション装置１２は、オペレーション処理部１２２およびログ情報収集部１２４を有する。本実施の形態では、オペレーション装置１２のログ情報収集部１２４がログ情報収集装置として機能する。
　オペレーション処理部１２２は、上位システムまたはシステム運用者からの処理要求に従ってネットワーク機器１４に対して各種処理を指令する。
　ログ情報収集部１２４は、ネットワーク機器１４から出力されるログ情報を収集する。

　ネットワーク機器１４は、オペレーション装置１２（オペレーション処理部１２２）からの指令に従って稼働する。本実施の形態では、オペレーション装置１２の配下に複数のネットワーク機器１４が設けられているものとする。
　また、ネットワーク機器１４は、オペレーション装置１２に処理の実行状態（実行結果を含む）やネットワーク機器１４の稼働状況に関するログ情報をオペレーション装置１２（ログ情報収集部１２４）に出力する。

　図２は、ネットワーク機器から出力されるログ情報の一例を示す図である。
　図２の各行が１つのログ情報に対応する。ログ情報３０には、ログ情報の生成日時３２、ログレベル（ログの内容）３４、詳細情報３６が含まれている。ログレベル３４の一例としては、［ＥＲＲＯＲ（エラー）］、［ＷＡＲＮ（警告）］、［ＩＮＦＯ（情報）］、［ＤＥＢＵＧ（デバック情報）］、［ＴＲＡＣＥ（トレース情報）］などが挙げられる（図３参照）。

　ネットワーク機器１４から出力されたログ情報は、ログ情報格納部１６に記録される。ログ情報格納部１６に記録されたログ情報の一部は、ログ情報表示部１８に表示される。オペレーションシステム１０のオペレータは、ログ情報表示部１８に表示されたログ情報を参照し、ネットワーク機器の障害等を検知する。
　ログ情報格納部１６に格納されたログ情報のうち、ログ情報表示部１８に表示するログ情報はログレベルにより規定されている。

　図３は、ログ情報表示部に表示するログの種類（ログレベル）を示す表である。
　上述のように、ログレベルには、［ＥＲＲＯＲ（エラー）］、［ＷＡＲＮ（警告）］、［ＩＮＦＯ（情報）］、［ＤＥＢＵＧ（デバック情報）］、［ＴＲＡＣＥ（トレース情報）］があるが、このうち［ＥＲＲＯＲ（エラー）］、［ＷＡＲＮ（警告）］、［ＩＮＦＯ（情報）］はログ情報表示部１８に表示し、［ＤＥＢＵＧ（デバック情報）］、［ＴＲＡＣＥ（トレース情報）］は非表示とする。
　すなわち、ログ情報格納部１６に格納されたログ情報をログレベルによりフィルタリングし、一定レベル以下のログを表示しないことによって重要なログの見落としがないようにしている。

　つぎに、ログ情報収集部１２４の詳細について説明する。
　図４は、ログ情報収集部１２４（ログ情報収集装置）の機能的構成を示すブロック図である。
　ログ情報収集部１２４は、判定条件指定部２１、判定条件記録部２２、ログ転送部２３、ログキャッシュ部２４、判定対象ログ抽出部２５、条件判定部２６、新規ログ情報生成部２７を備える。

　判定条件指定部２１は、ユーザ、すなわちオペレータから、後述する条件判定部２６での判定条件（図５に示す各項目）の指定を受け付ける。
　判定条件記録部２２は、判定条件指定部２１を介して指定された判定条件を記録している。

　図５は、判定条件の一例を示す表である。
　判定条件５０には、判定対象ログ文字列（第１の文字列）５１、前後判定時間帯５２（前判定時間帯５３、後判定時間帯５４：所定時間帯）、前後ログ文字列（第２の文字列）５５、前後ログ文字列有無条件（ログ情報の発生有無）５６、ユーザ定義ログ文字列（第３の文字列）５７が含まれている。なお、ユーザ定義ログ文字列５７は判定条件そのものではないが、判定条件の付随情報として取り扱う。
　これら判定条件（ユーザ定義ログ文字列５７を含む）は、判定条件指定部２１を介して任意のタイミングで変更（追加や削除を含む）可能である。

　例えば、Ｎｏ．１の判定条件は、文字列［ｘｘｘ］を含むログが発生する前後Ｘ秒以内の期間（前Ｘ秒～後Ｘ秒の間）に、文字列［ｙｙｙ］を含むログ情報が発生した場合（有の場合）、文字列［ＺＺＺ］を含む新規ログを生成することを示す。

　また、Ｎｏ．２の判定条件は、複数の条件が組み合わされており、文字列［ａａａ］を含むログが発生してからＸ秒以内（後Ｘ秒の間）に、文字列［ｂｂｂ］を含むログ情報が発生し（有条件）かつ文字列［ｃｃｃ］を含むログ情報が発生せず（無条件）、更に文字列［ａａａ］を含むログが発生する前Ｘ秒以内に、文字列［ｄｄｄ］を含むログ情報が発生している場合に（有条件）、文字列［ＥＥＥ］を含むログを生成することを示す。
　すなわち、Ｎｏ．２の判定条件では、１つの第１の文字列（文字列［ａａａ］）および第３の文字列（文字列［ＥＥＥ］）の組に対して、第２の文字列、所定時間帯およびログ情報の発生有無からなる判定条件の指定を複数受け付け可能（判定条件１：Ｘ秒以内（後Ｘ秒の間）に文字列［ｂｂｂ］を含むログ情報が発生（有条件）、判定条件２：Ｘ秒以内（後Ｘ秒の間）に文字列［ｃｃｃ］を含むログ情報が発生しない（無条件）、判定条件３：前Ｘ秒以内に文字列［ｄｄｄ］を含むログ情報が発生（有条件））となっており、複数指定された判定条件が全て成立した場合に、第１の文字列（文字列［ａａａ］）と組となる第３の文字列（文字列［ＥＥＥ］）を含む新規ログ情報が生成される。

　また、Ｎｏ．３の判定条件は、文字列［ｆｆｆ］を含むログが発生した場合に、文字列［ＧＧＧ］を含むログを生成することを示す。なお、Ｎｏ．３の判定条件は、普段はログ情報表示部１８に表示させないログレベル（例えばＤＥＢＵＧ）のログ情報のうち、特定のログのみを表示させたい場合などに用いる。

　図４の説明に戻り、ログ転送部２３は、ネットワーク機器１４から収集したログ情報を、ログ情報格納部１６およびログキャッシュ部２４に転送する。本実施の形態では、ログ転送部２３は、ネットワーク機器１４から収集したログ情報を全てログ情報格納部１６およびログキャッシュ部２４に転送するものとする。

　ログキャッシュ部２４は、ネットワーク機器１４から収集したログ情報（ログ転送部２３により転送されたログ情報）を一時保存する。
　本実施の形態では、ログキャッシュ部２４は、判定条件に含まれる前後判定時間帯５２（所定時間帯、図５参照）に基づいてログ情報を順次消去する。より詳細には、ログキャッシュ部２４は、判定条件記録部２２に記録された前判定時間帯の最大値を経過したログ情報を順次消去する。これにより、ログキャッシュ部２４の記憶容量を抑えることができる。

　判定対象ログ抽出部２５は、ネットワーク機器１４から収集したログ情報のうち、判定対象ログ文字列（第１の文字列）５１を含むログ情報（以下、「判定対象ログ情報」という）を抽出する。

　条件判定部２６は、判定対象ログ抽出部２５により抽出された判定対象ログ情報に対応する判定条件が成立するか否かを判定する。
　すなわち、条件判定部２６は、ネットワーク機器１４から収集したログ情報に第１の文字列（判定対象ログ文字列５１）が含まれている場合、当該第１の文字列を含むログ情報（判定対象ログ情報）の発生時刻前後の所定時間帯（前後判定時間帯５２）に、第２の文字列（前後ログ文字列５５）を含む他のログ情報が発生したか否かを判定する。なお、他のログ情報が発生したか否か、とは、他のログ情報が発生した場合と発生しなかった場合とを含む。

　例えば、判定対象ログ情報Ａ（判定対象文字列［ｒｒｒ］を含むログ情報）の判定条件として、前判定時間帯α秒、前後文字列［ｎｎｎ］、前後ログ文字列有無条件：有、が設定されているものとする。この場合、条件判定部２６は、既にログキャッシュ部２４に記録されているログ情報を検索し、上記前判定時間帯に発生した前後文字列［ｎｎｎ］を含む他のログ情報があるか否かを判定する。前判定時間帯に発生した前後文字列［ｎｎｎ］を含む他のログ情報がある場合には条件成立、ない場合は条件不成立となる。

　また、例えば、判定対象ログ情報Ｂ（判定対象文字列［ｓｓｓ］を含むログ情報）の判定条件として、後判定時間帯β秒、前後文字列［ｍｍｍ］、前後ログ文字列有無条件：有、が設定されているものとする。この場合、条件判定部２６は、後判定時間帯β秒の間、ログキャッシュ部２４に記録されてくるログ情報を監視し、上記後判定時間帯に発生した前後文字列［ｍｍｍ］を含む他のログ情報があるか否かを判定する。後判定時間帯に発生した前後文字列［ｍｍｍ］を含む他のログ情報がある場合には条件成立、ない場合は条件不成立となる。

　このように、判定対象ログ情報の判定条件として、前判定時間帯のみが設定されている場合には判定対象ログ情報が抽出された時点で判定が可能であり、後判定時間帯が設定されている場合には判定対象ログ情報が抽出された後、後判定時間帯が経過するまで判定を継続する。
　また、ログキャッシュ部２４に記録されたログ情報のうち、判定条件記録部２２に記録された前判定時間帯の最大値を経過したログ情報は、判定条件に合致する可能性はないので、上述のようにログキャッシュ部２４から消去する。

　新規ログ情報生成部２７は、条件判定部２６によって判定対象ログ情報に対応する判定条件が成立すると判定された場合、判定条件に付随して指定されたユーザ定義ログ文字列５７を含む新規のログ情報を生成する。
　すなわち、新規ログ情報生成部２７は、所定時間帯（前後判定時間帯５２）に第２の文字列（前後ログ文字列５５）を含む他のログ情報が発生した場合（前後ログ文字列有無条件：有の場合）または発生しなかった場合（前後ログ文字列有無条件：無の場合）に、第３の文字列（ユーザ定義ログ文字列５７）を含む新規ログ情報を生成する。
　新規ログ情報生成部２７によって生成された新規ログは、ログ転送部２３によりログ情報格納部１６へと転送される。また、新規ログをログキャッシュ部２４にも転送するようにしてもよい。

　以下に、単純なログ監視では見落としてしまう内部動作の問題を検出する例として、オペレーション処理の遅延を検出する場合について説明する。

　図６は、オペレーション処理遅延を検出するための判定条件の一例である。
　図６の例では、判定対象ログ文字列（第１の文字列）５１として、オペレーションの開始ログに含まれる文字列［Ｏｐｅｒａｔｉｏｎ［ａａ］Ｓｔａｒｔ］、後判定時間帯５４としてオペレーションに要する処理時間の予測値（Ｙ秒）、前後ログ文字列（第２の文字列）５５としてオペレーションの終了ログに含まれる文字列［Ｏｐｅｒａｔｉｏｎ［ａａ］ＥＮＤ］、前後ログ文字列有無条件（ログ情報の発生有無）５６として［無］、ユーザ定義ログ文字列（第３の文字列）５７とし［yyyy/mm/dd hh:mmss.sss（ログ生成時の時刻）[WARN]Operation[aa]delayed］と設定されている。

　図７は、ログキャッシュ部に一時保存されているログ情報の一例である。
　図７（ａ）では、判定対象ログ文字列である［Ｏｐｅｒａｔｉｏｎ［ａａ］Ｓｔａｒｔ］を含む判定対象ログ情報（符号７１）が一番上の行に記録されており、それ以降の行には判定対象ログ情報の生成以降に生成されたログ情報が順次記録されている。しかし、後判定時間帯５４内に前後ログ文字列［Ｏｐｅｒａｔｉｏｎ［ａａ］ＥＮＤ］を含むログ情報は発生していない。よって、オペレーションの遅延が疑われ、新規ログ情報生成部２７により新規ログ［yyyy/mm/dd hh:mm:ss.sss（ログ生成時の時刻）[WARN]Operation[aa]delayed］が生成され、ログ情報格納部１６へと転送される。この新規ログはログレベル［ＷＡＲＮ（警告）］のため、ログ情報表示部１８に表示され、オペレータにオペレーション遅延を報知することができる。

　また、図７（ｂ）も、図７（ａ）と同様に、判定対象ログ文字列である［Ｏｐｅｒａｔｉｏｎ［ａａ］Ｓｔａｒｔ］を含む判定対象ログ情報（符号７１）が一番上の行に記録されており、それ以降の行には判定対象ログ情報の生成以降に生成されたログ情報が順次記録されている。図７（ｂ）では、後判定時間帯５４内に前後ログ文字列［Ｏｐｅｒａｔｉｏｎ［ａａ］ＥＮＤ］を含むログ情報が発生している（符号７２）。よって、オペレーションは予定通り終了しているため、新規ログの生成は行われない。

　図８は、ログ情報収集部（ログ情報収集装置）の処理を示すフローチャートである。
　まず、判定条件指定部２１を介してオペレータから判定条件（ユーザ定義ログ文字列５７を含む）の指定を受け付ける（ステップＳ８００：判定条件指定工程）。指定された判定条件は、判定条件記録部２２に記録される（ステップＳ８０２）。上述のように、判定条件はオペレータにより逐次変更が可能である。

　ネットワーク機器１４でログ情報が発生すると（ステップＳ８０４：Ｙｅｓ）、ログ転送部２３は、収集したログ情報をログ情報格納部１６およびログキャッシュ部２４に転送する（ステップＳ８０６）。ネットワーク機器１４でログが発生していなければ（ステップＳ８０４：Ｎｏ）、ログ転送部２３は、ログが発生するまで待つ（ステップＳ８０４に戻る）。
　ログキャッシュ部２４は、転送されてきたログ情報を一時保存するとともに、判定条件記録部２２に記録された前判定時間帯の最大値を経過したログ情報を順次消去する（ステップＳ８０８：ログ消去工程）。

　また、判定対象ログ抽出部２５は、ログキャッシュ部２４に転送されたログ情報の中に判定対象ログ情報があるか否かを判断する（ステップＳ８１０）。
　判定対象ログ情報がない場合は（ステップＳ８１０：Ｎｏ）、そのままステップＳ８０４に戻る。
　判定対象ログ情報がある場合は（ステップＳ８１０：Ｙｅｓ）、条件判定部２６によって、当該判定対象ログ情報に対応する判定条件が成立するか否かを判定する（ステップＳ８１２：条件判定工程）。

　判定条件が成立する場合は（ステップＳ８１２：Ｙｅｓ）、新規ログ情報生成部２７により判定条件に付随して指定されたユーザ定義ログ文字列５７を含む新規のログ情報を生成し（ステップＳ８１４：新規ログ情報生成工程）、ログ転送部２３によりログ情報格納部１６へと転送する（ステップＳ８１６）。
　判定条件が成立しない場合は（ステップＳ８１２：Ｎｏ）、そのままステップＳ８０４に戻る。

　以上説明したように、実施の形態にかかるオペレーション装置１２（ログ情報収集部１２４）は、オペレータから指定された条件が成立した場合に、オペレータから指定された文字列（第３の文字列）を含む新規ログ情報を生成することにより、ネットワーク機器１４側のシステムを変更することなく任意の状況に応じたログ情報を生成可能となる。これにより、例えばシステム構築時に予期できなかった不具合に対応するログ情報を追加することができ、システムの問題の早期発見や故障の予兆の検知などを図ることができ、システム品質の向上が期待できる。

　また、１つの第１の文字列および第３の文字列の組に対して、判定条件の指定を複数受け付け可能なので、例えば複数種類のログを横断的に監視しなければ検知できない不具合に対応するログ情報を追加することができ、システム内の不具合をより精度よく監視することができる。

　また、ログキャッシュ部２４内のログ情報を順次消去することにより、ログキャッシュ部の記憶容量を抑えることができ、効率的に条件判定を行う上で有利となる。
　特に、前判定時間帯の最大値を経過したログ情報を順次消去する、言い換えると前判定時間帯の最大値を経過するまでログ情報を保存することにより、条件判定を行う上で必要十分なログ情報を保持することができる。

　１０　オペレーションシステム
　１２　オペレーション装置
　１４　ネットワーク機器
　１６　ログ情報格納部
　１８　ログ情報表示部
　１２２　オペレーション処理部
　１２４　ログ情報収集部（ログ情報収集装置）
　２１　判定条件指定部
　２２　判定条件記録部
　２３　ログ転送部
　２４　ログキャッシュ部
　２５　判定対象ログ抽出部
　２６　条件判定部
　２７　新規ログ情報生成部

Claims

　オペレーション装置からの指令に従って稼働するネットワーク機器のログ情報を収集するログ情報収集装置であって、
　前記ネットワーク機器から収集した前記ログ情報に第１の文字列が含まれている場合、当該第１の文字列を含む前記ログ情報の発生時刻前後の所定時間帯に、第２の文字列を含む他のログ情報が発生したか否かを判定する条件判定部と、
　前記所定時間帯に前記第２の文字列を含む他のログ情報が発生した場合または発生しなかった場合に、第３の文字列を含む新規ログ情報を生成する新規ログ情報生成部と、
　前記第１の文字列、前記第２の文字列、前記第３の文字列、前記所定時間帯および前記ログ情報の発生有無の指定を受け付ける判定条件指定部と、
　を備えることを特徴とするログ情報収集装置。
　前記判定条件指定部は、１つの前記第１の文字列および前記第３の文字列の組に対して、前記第２の文字列、前記所定時間帯および前記ログ情報の発生有無からなる判定条件の指定を複数受け付け可能であり、
　前記条件判定部は、１つの前記第１の文字列に対して複数指定された前記判定条件がそれぞれ成立するか否かを判定し、
　前記新規ログ情報生成部は、複数指定された前記判定条件が全て成立した場合に、前記第１の文字列と組となる前記第３の文字列を含む新規ログ情報を生成する、
　ことを特徴とする請求項１に記載のログ情報収集装置。
　前記ネットワーク機器から収集した前記ログ情報を一時保存するログキャッシュ部を更に備え、
　前記条件判定部は、前記ログキャッシュ部に保存された前記ログ情報に前記第２の文字列を含む他のログ情報が含まれているか否かを判定し、
　前記ログキャッシュ部は、前記所定時間帯に基づいて前記ログ情報を順次消去する、
　ことを特徴とする請求項２に記載のログ情報収集装置。
　前記判定条件指定部で指定された各項目を判定条件として記録する判定条件記録部を更に備え、
　前記所定時間帯は、前記第１の文字列を含む前記ログ情報の発生時刻前の時間帯を指定する前判定時間帯と、前記第１の文字列を含む前記ログ情報の発生時刻後の時間帯を指定する後判定時間帯とを指定可能であり、
　前記ログキャッシュ部は、前記判定条件記録部に記録された前記前判定時間帯の最大値を経過した前記ログ情報を順次消去する、
　ことを特徴とする請求項３に記載のログ情報収集装置。
　オペレーション装置からの指令に従って稼働するネットワーク機器のログ情報を収集するログ情報収集方法であって、
　前記ネットワーク機器から収集した前記ログ情報に第１の文字列が含まれている場合、当該第１の文字列を含む前記ログ情報の発生時刻前後の所定時間帯に、第２の文字列を含む他のログ情報が発生したか否かを判定する条件判定工程と、
　前記所定時間帯に前記第２の文字列を含む他のログ情報が発生した場合または発生しなかった場合に、第３の文字列を含む新規ログ情報を生成する新規ログ情報生成工程と、
　前記条件判定工程および前記新規ログ情報生成工程に先立って、前記第１の文字列、前記第２の文字列、前記第３の文字列、前記所定時間帯および前記ログ情報の発生有無の指定を受け付ける判定条件指定工程と、
　を含むことを特徴とするログ情報収集方法。
　前記判定条件指定工程では、１つの前記第１の文字列および前記第３の文字列の組に対して、前記第２の文字列、前記所定時間帯および前記ログ情報の発生有無からなる判定条件の指定を複数受け付け可能であり、
　前記条件判定工程では、１つの前記第１の文字列に対して複数指定された前記判定条件がそれぞれ成立するか否かを判定し、
　前記新規ログ情報生成工程では、複数指定された前記判定条件が全て成立した場合に、前記第１の文字列と組となる前記第３の文字列を含む新規ログ情報を生成する、
　ことを特徴とする請求項５に記載のログ情報収集方法。
　前記ネットワーク機器から収集した前記ログ情報は、ログキャッシュ部に一時保存されており、
　前記条件判定工程では、前記ログキャッシュ部に保存された前記ログ情報に前記第２の文字列を含む他のログ情報が含まれているか否かを判定し、
　前記所定時間帯に基づいて前記ログキャッシュ部の前記ログ情報を順次消去するログ消去工程を更に含む、
　ことを特徴とする請求項６に記載のログ情報収集方法。
　前記判定条件指定工程で指定された各項目は、判定条件として判定条件記録部に記録されており、
　前記所定時間帯は、前記第１の文字列を含む前記ログ情報の発生時刻前の時間帯を指定する前判定時間帯と、前記第１の文字列を含む前記ログ情報の発生時刻後の時間帯を指定する後判定時間帯とを指定可能であり、
　前記ログ消去工程では、前記判定条件記録部に記録された前記前判定時間帯の最大値を経過した前記ログ情報を順次消去する、
　ことを特徴とする請求項７に記載のログ情報収集方法。