WO2025041236A1

WO2025041236A1 - ログ処理装置、ログ処理方法、及びプログラム

Info

Publication number: WO2025041236A1
Application number: PCT/JP2023/030049
Authority: WO
Inventors: 洋一松尾; 裕介牧野
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2023-08-21
Filing date: 2023-08-21
Publication date: 2025-02-27
Anticipated expiration: 2026-02-21

Abstract

ログ処理装置において、通信ネットワークからログを収集するログ収集部と、前記ログ収集部により収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部に入力するログ処理部とを備える。

Description

ログ処理装置、ログ処理方法、及びプログラム

　本発明は、通信ネットワークから収集したログに基づいて、通信ネットワークの異常箇所を推定する技術に関連するものである。

　通信事業者にとって、通信ネットワーク内に発生する異常に対して、異常の状態の把握や迅速な対応は重要である。こうした中で、通信ネットワーク内の異常を早期に検知するための研究や、異常箇所の推定を行う研究が行われている（非特許文献１、２）。

　異常箇所を推定する手法として、ベイジアンネットワークを用いて、異常箇所とそれによって引き起こされる通信ネットワーク内のデータ（観測データと呼ぶ）の変化の関係性をモデル化（因果モデルと呼ぶ）し、異常時の観測データから異常箇所を推定する手法が提案されている（非特許文献３）。

　非特許文献３では、ネットワークのリンクのup/downのデータを用いてルータの正常・異常を判定する。エキスパートの知識から、ルータの正常・異常は隣接しているリンクの観測データのみに影響があるという仮定のもと、ネットワークのトポロジーの隣接関係を用いて因果モデルを構築する。

　また、非特許文献４では、通信ネットワーク内の様々な異常に対して、異常箇所推定を行えるように、物理的な対向装置のリンクダウン以外にも様々なログを用いている。例えば、ルータなどの機器からは、ＣＰＵやメモリ、インタフェースモジュールなどの機器の状態（機器レイヤと呼ぶ）を表すログ、物理的に接続している対向装置とのインタフェースの接続などの状態（物理レイヤと呼ぶ）を表すログ、及び、論理的に接続している機器の状態（論理レイヤと呼ぶ）を表すログなど、異常になったレイヤごとに異なったログが出力される。これらを用いて、異常パターン、あるいは生成されるログの原因となりえる事象ごとにオペレータの知識を用いて因果モデルを作成し、異常箇所の推定を行う。

K. Tajiri, T. Iwata, Y. Matsuo and K. Watanabe, "Fault Detection of ICT systems with Deep Learning Model for Missing Data," 2021 IFIP/IEEE International Symposium on Integrated Network Management (IM), 2021, pp. 445-451. Y. Matsuo, Y. Nakano, A. Watanabe, K. Watanabe, K. Ishibashi, and K. Kawahara, "Root-cause diagnosis for rare failures using Bayesian network with dynamic modification," Proc. IEEE, ICC, 2018. Srikanth Kandula, Dina Katabi, and Jean-philippe Vasseur. Shrink: A tool for failure diagnosis in IP networks. Proceedings of the 2005 ACM SIGCOMM workshop on Mining network data, pages 173-178, 2005. He Yan, Lee Breslau, Zihui Ge, Dan Massey, Dan Pei, and Jennifer Yates. G-RCA: A Generic Root Cause Analysis Platform for Service Quality Management in Large IP Networks. IEEE/ACM Transactions on Networking, 20(6):1734-1747, 2012.

　非特許文献３、４ともに障害発生時のログを用いて異常箇所の推定を行う。しかし、同時に複数の障害が発生することは想定しておらず、障害発生時にはその一つの障害に関するログしか発生しないという前提がある。

　しかし、実際の通信ネットワークにおいては同時に複数の障害が発生することもある。また、過去に発生した障害に関連して定期的にログが出現する、通信サービスを提供している顧客の操作によりログが発生する、同時間帯に工事を実施していた工事によりログが発生する、など、発生した障害と関わりがないログも出現している。

　その結果、異常箇所推定手法の仮定が成り立たないため、同時発生した異常箇所を推定できない、過去に発生した障害のログが影響して推定箇所が間違ってしまう、など、推定精度が低下するという課題がある。

　本発明は上記の点に鑑みてなされたものであり、通信ネットワーク内の異常箇所の推定精度を向上させるための技術を提供することを目的とする。

　開示の技術によれば、通信ネットワークからログを収集するログ収集部と、
　前記ログ収集部により収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部に入力するログ処理部と
　を備えるログ処理装置が提供される。

　開示の技術によれば、通信ネットワーク内の異常箇所の推定精度を向上させるための技術が提供される。

異常箇所推定装置１００の構成例を示す図である。異常箇所推定装置１００の処理手順を示すフローチャートである。ログ処理装置２００の構成例を示す図である。装置のハードウェア構成例を示す図である。通信ネットワークの例を示す図である。図５に基づく因果モデルの例を示す図である。

　以下、図面を参照して本発明の実施の形態（本実施の形態）を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。

　（実施の形態の概要）
　本実施の形態では、通信ネットワークにおいて、障害が発生する場合に、発生した障害と関係がないログも出現する状況を想定する。このような状況において、後述する異常箇所推定装置１００が、発生した各ログに対して、どの障害に関連するログか、を示すラベリングを行うことで、異常箇所の推定精度を向上させることとしている。なお、「異常箇所」を「障害箇所」、「故障個所」などと呼んでもよい。

　すなわち、本実施の形態では、通信ネットワークにおいて、各障害、工事、ユーザによる操作などの何らかの要因によってログが発生するという自然法則に着目し、異常箇所推定装置１００が、各ログに対してログが発生した要因を表すラベルを付与し、付与したラベルの値が同じログごとに、異常箇所推定手法を用いて異常箇所を推定することとしている。以下、本実施の形態における装置構成、及び装置動作を詳細に説明する。

　（装置構成例）
　図１に、本実施の形態における異常箇所推定装置１００の構成例を示す。図１に示すように、異常箇所推定装置１００は、観測データ収集エンジン１６０、観測データＤＢ１４０、観測データ前処理エンジン１３０、因果モデル構築エンジン１１０、因果モデル推論エンジン１２０、利用者への出力インタフェース１５０を有する。

　なお、観測データ収集エンジン１６０、観測データ前処理エンジン１３０、因果モデル構築エンジン１１０、因果モデル推論エンジン１２０をそれぞれ、観測データ収集部１６０、観測データ前処理部１３０、因果モデル構築部１１０、因果モデル推論部１２０と呼んでもよい。また、観測データ収集エンジン１６０、観測データ前処理エンジン１３０、因果モデル構築エンジン１１０、因果モデル推論エンジン１２０をそれぞれ、観測データ収集回路１６０、観測データ前処理回路１３０、因果モデル構築回路１１０、因果モデル推論回路１２０と呼んでもよい。

　また、異常箇所推定装置１００をログ処理装置と呼んでもよい。また、観測データ収集エンジン１６０、観測データ前処理エンジン１３０をそれぞれ、ログ収集部、ログ処理部と呼んでもよい。異常箇所推定装置１００の動作概要を図２のフローの手順に沿って説明する。

　Ｓ１０１において、観測データ収集エンジン１６０は、通信ネットワークから観測データ（機器から発生するログ等）を収集する。Ｓ１０２において、観測データ前処理エンジン１３０は、発生したログが属するラベルｙ_ｉを判定し、ラベルが同じログの集合（後述するｚ_ｊ）ごとに、ログを観測データＤＢ１４０に格納する。つまり、発生した要因が同じログごとに、ログを観測データＤＢ１４０に格納する。

　本実施の形態では、観測データ収集エンジン１６０がラベルを判定する方法として、後述する３通りの方法があるが、そのうち１つを事前にオペレータが選択しておく。あるいは、３通りのうち、２つ、あるいは３つを選択し、それぞれの方法で付与されたラベルをオペレータが確認し、適切なものを選択する方法を用いてもよい。

　因果モデル構築エンジン１１０は、既存手法（非特許文献２、３、４などの手法）により、因果モデルを構築する。Ｓ１０３において、因果モデル推論エンジン１２０は観測データＤＢ１４０へ格納されたログの発生状況をもとに、観測ノードの値を決定し、異常箇所の推定を実施し、出力インタフェース１５０に推定結果である異常箇所を出力する。

　出力インタフェース１５０は、利用者に対して通信ネットワークの中の異常発生箇所とその際の最大事後確率等を表示する。また、出力インタフェース１５０は、運用システムに新たにマシンが追加された際などは、因果グラフへのノードの追加を行い、また、それに伴う因果関係の変化を利用者に修正させることもできる。

　異常箇所推定装置１００は、１つの装置（コンピュータ）であってもよいし、複数の装置からなるものであってもよい。

　また、観測データ前処理エンジン１３０で処理されたログを用いて異常箇所を推定する機能部を「異常箇所推定部」と呼んでもよい。

　図１の構成においては、「観測データＤＢ１４０、観測データ前処理エンジン１３０、因果モデル構築エンジン１１０、因果モデル推論エンジン１２０、利用者への出力インタフェース１５０」の部分が「異常箇所推定部」に相当する。

　なお、本実施の形態では、異常箇所推定部として、因果モデルを用いて異常時の観測データから異常箇所を推定する手法（非特許文献３）に基づく機能部を用いているが、異常箇所推定部は、この手法を用いるものに限定されない。

　また、観測データ収集エンジン１６０と観測データ前処理エンジン１３０により１つの装置を構成し、それをログ処理装置と呼んでもよい。

　図３にログ処理装置２００の構成例を示す。図３に示すように、ログ収集装置２００は、ログ収集部２１０、及びログ処理部２２０を含む。図３には、異常箇所推定部３００も示されている。

　ログ収集部２１０とログ処理部２２０はそれぞれ観測データ収集エンジン１６０と観測データ前処理エンジン１３０に対応する。図３では、ログ収集装置２００の外部に異常箇所推定部３００があるが、異常箇所推定部３００が、ログ収集装置２００の内部にあってもよい。

　ログ収集部２１０は、通信ネットワークからログを収集する。ログ処理部２２０は、前記ログ収集部２１０により収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部３００に入力する。

　（ハードウェア構成例）
　本明細書に記載したいずれの装置（異常箇所推定装置１００、ログ処理装置２００）も、例えば、コンピュータにプログラムを実行させることにより実現できる。このコンピュータは、物理的なコンピュータであってもよいし、クラウド上の仮想マシンであってもよい。

　すなわち、当該装置は、コンピュータに内蔵されるＣＰＵやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体（可搬メモリ等）に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。

　図４は、上記コンピュータのハードウェア構成例を示す図である。図４のコンピュータは、それぞれバスＢＳで相互に接続されているドライブ装置１０００、補助記憶装置１００２、メモリ装置１００３、ＣＰＵ１００４、インタフェース装置１００５、表示装置１００６、入力装置１００７、出力装置１００８等を有する。

　当該コンピュータでの処理を実現するプログラムは、例えば、ＣＤ－ＲＯＭ又はメモリカード等の記録媒体１００１によって提供される。プログラムを記憶した記録媒体１００１がドライブ装置１０００にセットされると、プログラムが記録媒体１００１からドライブ装置１０００を介して補助記憶装置１００２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１００１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１００２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１００３は、プログラムの起動指示があった場合に、補助記憶装置１００２からプログラムを読み出して格納する。ＣＰＵ１００４は、メモリ装置１００３に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置１００５は、ネットワークに接続するためのインタフェースとして用いられる。表示装置１００６はプログラムによるＧＵＩ（Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ）等を表示する。入力装置１００７はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置１００８は演算結果を出力する。

　（動作例）
　以下では、異常箇所推定装置１００の動作を、より詳細に説明する。なお、本実施の形態では、ルータにより構成される通信ネットワークを対象とすることを想定しているが、これは一例である。本発明に係る技術は、通信ネットワークを構成するノードの種類に依らずに適用可能である。

　＜因果モデルについて＞
　本発明に係る技術に係る前処理について説明する前に、まず、非特許文献３に基づく、因果モデルの構築について説明する。

　図５に、観測データ収集エンジン１６０が観測データを収集する対象となる通信ネットワークの例を示す。図５に示すように、この通信ネットワークは、ルータ１～６が図示するとおりに接続されたネットワークである。例えば、ルータ１とルータ２は直接に接続されており、これらは互いに隣接関係にある。ルータ１とルータ４は直接には接続されておらず、これらは隣接関係にない。

　因果モデル構築エンジン１１０は、エキスパートオペレーターの知識等に基づいて、図５に示す通信ネットワーク（物理レイヤのネットワーク）に対して、図６に示す因果モデルを構築する。因果モデルは、通信ネットワーク内の機器（ルータ）に対して、各機器の状態を表す機器ノードと、その機器からログ（例：リンクダウンに関するｓｙｓｌｏｇ）が発生したかどうかを表す観測ノードからなる。つまり、観測ノードは、各機器の観測結果を表す。なお、因果モデルをベイジアンネットワークと呼んでもよい。

　例えば、図６の因果モデルにおいて、機器ノードのルータ１は、観測ノードのルータ１、２と接続されている。これは、ルータ１に異常が発生した場合に、ルータ１の観測データとルータ２の観測データに影響する可能性があるということを示している。

　また、例えば、図６の因果モデルにおいて、機器ノードのルータ２は、観測ノードのルータ１、２、３、６と接続されている。これは、ルータ２に異常が発生した場合に、ルータ１、２、３、６のそれぞれの観測データに影響する可能性があるということを示している。

　＜観測データ前処理エンジン１３０についての詳細説明＞
　前述したとおり、本実施の形態では、通信ネットワークにおいて、各障害、工事、ユーザによる操作など何らかの要因によってログが発生するという自然法則に着目している。そのため、観測データ前処理エンジン１３０は、観測データ収集エンジン１６０により収集された各ログに対して、ログが発生した要因を表すラベルを付与し、ラベルを付与したログを観測データＤＢ１４０に格納する。因果モデル推論エンジン１２０は、付与したラベルの値が同じログごとに異常箇所推定を行う。以下、観測データ前処理エンジン１３０の動作をより詳細に説明する。

　まず、時刻ｔからｔ＋τまでの間に発生したログをｘ_１，…，ｘ_Ｎとする。ここで、τは任意の方法で事前に決定する、異常箇所推定処理を実行する時間幅である。障害発生から１分以内に推定結果を得たい場合は、例えばτを３０秒とする。Ｎは発生したログ数である。

　従来技術では、ｘ_１，…，ｘ_Ｎを異常箇所推定部に入力して、異常箇所処理を行っていた。しかし、ｘ_１，…，ｘ_Ｎをそのまま用いる場合、前述した問題があるため、推定精度が低下する。

　そこで、観測データ前処理エンジン１３０は、各ｘ_ｉ（ｉ∈｛１，…，Ｎ｝）に対して、各ログが発生した要因を表すラベルｙ_ｉ（ｉ∈｛１，…Ｎ｝）を求め、｛ｘ_ｉ，ｙ_ｉ｝^Ｎ _ｉ＝１を作成する。ここで、ｙ_ｉの値は１からＭの正の整数値とし、Ｍは任意に与えるものとする。ラベルｙ_ｉは通信ネットワーク内で発生する障害、工事、ユーザ起因など、ログが発生した要因を表し、Ｍはそれら要因の種類の総数である。

　以下では、ラベルｙ_ｉの値が計算できた場合にどのように課題を解決するかを説明し、その後、ｘ_ｉに対するｙ_ｉの値の計算方法とＭの与え方について説明する。

　例えば、ｙ_ｉの値において、１は障害Ａが要因で発生したログを表し、２は障害Ｂが要因で発生したログを表すとする。この時、ある時刻ｔからｔ＋τで発生したログｘ_１，…，ｘ_５に対して、観測データ前処理エンジン１３０が、これらのログを分析した結果、障害Ａによりｘ_１，ｘ_２，ｘ_４が発生し、障害Ｂによりｘ_３，ｘ_５が発生したと判明した場合、ｙ_１，ｙ_２，ｙ_４をそれぞれ１とし、ｙ_３，ｙ_５をそれぞれ２とする。

　次に、観測データ前処理エンジン１３０は、あるｊ∈１，…，Ｍに対してｚ_ｊ＝｛ｘ_ｉ｜ｙ_ｉ＝ｊ，ｉ∈１，…，Ｎ｝を計算する。つまり、ｙ_ｉ＝ｊであるログの集合ｚ_ｊを求める。

　観測データ前処理エンジン１３０は、ｚ_ｊが空集合でなければ、ｚ_ｊを異常箇所推定部に入力する。これはｙ_ｉの値が同じ、つまりログが発生した障害要因が同じログを異常箇所推定部に入力することである。これにより、異常箇所推定部が前提としていた「ある障害に関するログだけが発生しており、そのログを入力として障害箇所を推定する」という仮定を満たすことができるようになるため、異常箇所の推定精度が向上する。

　より具体的には、観測データ前処理エンジン１３０は、ｚ_ｊが空集合でなければ、ｚ_ｊを観測データＤＢ１４０に格納する。これは、ログが発生した障害要因が同じログごとに、ログを観測データＤＢ１４０に格納することである。

　観測データ前処理エンジン１３０は、上記の処理をｊ＝１からｊ＝Ｍまで、ｊを１ずつ増加させながら繰り返し行う。例えば、空集合でないｚ_ｊが得られるｊの個数がｋであるとした場合、ログｘ_ｉ（ｉ∈１，…，Ｎ）の集合に対して、ログを要因ごとにｋ個に分割し、ｋのそれぞれについて異常箇所推定手法を実施することとなる。

　次に、観測データ前処理エンジン１３０によるラベルｙ_ｉの決定方法について説明する。ラベルの決定方法は特定の方法に限定されないが、本実施の形態では、下記の決定方法例１～３の３つの例について説明する。なお、決定方法例１～３のうちのいずれか２つ、又は、決定方法例１～３全部を組み合わせて、ログ発生要因を判定してもよい。

　決定方法例１：
　決定方法例１では、通信ネットワークにおいて要因となる事象とそれによるログの発生パターンが既知であるとする。この場合、観測データ前処理エンジン１３０が、既知である要因とそのログの発生パターンを用いてルール（例：要因１は機器ＡでログＢが発生する、など）を順々に作成し、各ルールを１からＭに割り当てる。

　そして、観測データ前処理エンジン１３０は、発生したログｘ_ｉを取得した際には、そのログがどのルールに当てはまるか確認し、ｙ_ｉの値を当てはまるルールを表す値に決定する。また、この場合、Ｍはルールの総数とすれば良い。

　決定方法例２：
　決定方法例２では、観測データ前処理エンジン１３０は、ログの発生要因を決定づける外部情報を用いて、ヒューリスティックにｙ_ｉの値を決定する。ここでは、観測データ前処理エンジン１３０は、ｙ_ｉの値を決定するために必要な外部情報を、例えば定期的に、あるいは必要に応じて取得可能であるものとする。

　例えば、観測データ前処理エンジン１３０が、ある時刻ｔからｔ＋τにおいて、通信ネットワーク内で工事が実施されていたことを把握すると、当該時間に発生したログｘ_ｉは工事が要因となっている可能性が高いと判断し、ｙ_ｉに当該工事を表す値を設定する。また、観測データ前処理エンジン１３０は、障害Ｃによるログが定常的に発生していることを把握した場合、発生しているログｘ_ｉに対するラベルｙ_ｉを、障害Ｃを表す値にする。

　また、観測データ前処理エンジン１３０は、ユーザが操作できる機器においてログｘ_ｉが発生したことを検知した場合、ラベルｙ_ｉの値を、ユーザ起因を表す値にする。そして、それ以外のログは時刻ｔからｔ＋τに発生した障害が要因となっているログであると判断し、ラベルｙ_ｉの値を、その障害を表す値とする。

　上記のようにして、各ログｘ_ｉに対して、ラベルｙ_ｉの値を決定することができる。この場合、過去に発生した工事、障害、ユーザ操作の要因に対して順に１から値を割り当ていき、要因数が増えるごとにＭの値を増やしていけば良い。

　決定方法例３：
　決定方法例３では、観測データ前処理エンジン１３０は、データからラベルの値を決定するアルゴリズムを使用する。

　データからラベルの値を決定する手法（アルゴリズム）は、特定の手法に限定されないが、例えば、参考文献１（WO2022/259307A1）に開示された既知の手法を用いることができる。この手法は、要因ごとにアラームをクラスタリングする手法である。

　この手法に基づき、観測データ前処理エンジン１３０は、時刻ｔからｔ＋τに発生したログをクラスタリングし、各ログがどのクラスタに属するかを示すクラスタ値を求め、求めたクラスタ値を、そのクラスタに属するログのｙ_ｉの値として用いる。これにより、要因ごとに、ログにラベルを付与することができる。この場合、Ｍの値として、クラスタ値の最大値を用いればよい。なお、クラスタリングをしてログの要因を分類する手法として、参考文献１に開示された手法以外の手法を用いることとしてもよい。

　＜因果モデル構築エンジン１１０及び因果モデル推論エンジン１２０についての詳細説明＞
　本実施の形態において、因果モデル構築エンジン１１０及び因果モデル推論エンジン１２０による処理自体は既存技術である。因果モデル構築エンジン１１０による因果モデル構築の方法は、図５、図６を参照して説明したとおりであり、例えば、機器の物理的（あるいは論理的）な接続関係から因果モデルを構築する。

　上述した処理により、観測データＤＢ１４０には、発生した障害要因が同じログごとに、ログが格納されている。因果モデル推論エンジン１２０は、発生した障害要因が同じログ（ｙ_ｉの値が同じログ）ごとに、因果モデルを用いて異常箇所推定を行う。具体的には、以下のようにノードの値を定義する。

　異常箇所推定の対象となるシステム（通信ネットワーク）の因果モデルにおける機器ノードをａ_ｉ、観測ノードをｂ_ｉ，ｉ∈（１，…Ｎ）とする。ここでのＮは機器数である。

　各ａ_ｉは０（正常状態）か１（異常状態）の値を取るとする。なお、０か１の２値ではなく、３値以上の多値を取ることも可能であり、その場合は最小値が正常状態、最大値が異常状態、その間の値ｃは、「ｃ／（最大値－最小値）」の割合で異常となっていることを意味する値、などのように定義する。

　各ｂ_ｉは０か１の値を取るとし、１はｉ番目のルータでログが発生したことを表す。なお、０か１の２値ではなく、３値以上の多値を取ることも可能であり、その場合はｉ番目のルータで発生したログの発生件数を値とするなどのように定義する。

　上記の因果モデルへの入力値については、因果モデル推論エンジン１２０が、観測データＤＢ１４０から読み出したログから決定（計算）することができる。

　因果モデルを用いた推論自体は非特許文献３での手法と同じであり、事前確率Ｐ（ａ_ｉ）と条件付き確率Ｐ（ｂ_ｊ｜ａ_ｉ）を規定し、推論を行う。

　（実施の形態に係る技術の効果について）
　上述したとおり、観測データ前処理エンジン１３０が、各ログに対してログが発生した要因を表すラベルを付与し、異常箇所推定部が、付与したラベルの値が同じログごとに異常箇所推定を行うこととしたので、通信ネットワーク内の異常箇所の推定精度を向上させことができる。

　以上の実施形態に関し、更に以下の付記を開示する。

　＜付記＞
（付記項１）
　メモリと、
　前記メモリに接続された少なくとも１つのプロセッサと、
　を含み、
　前記プロセッサは、
　通信ネットワークからログを収集し、
　収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部に入力する
　ログ処理装置。
（付記項２）
　前記プロセッサは、収集された各ログに発生要因を表すラベルを付与し、付与したラベルの値が同じ複数のログを前記異常箇所推定部に入力する
　付記項１に記載のログ処理装置。
（付記項３）
　前記プロセッサは、ログの発生要因となる事象と当該事象によるログ発生のパターンに基づくルールを用いて、各ログの発生要因を判定する
　付記項１又は２に記載のログ処理装置。
（付記項４）
　前記プロセッサは、ログの発生要因に関連する外部情報を用いて、各ログの発生要因を判定する
　付記項１又は２に記載のログ処理装置。
（付記項５）
　前記プロセッサは、ログをクラスタリングし、各ログがどのクラスタに属するかを示すクラスタ値を求め、求めたクラスタ値に基づいて、各ログの発生要因を判定する
　付記項１又は２に記載のログ処理装置。
（付記項６）
　ログ処理装置が実行するログ処理方法であって、
　通信ネットワークからログを収集するログ収集ステップと、
　前記ログ収集ステップにより収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部に入力するログ処理ステップと
　を備えるログ処理方法。
（付記項７）
　コンピュータを、付記項１ないし５のうちいずれか１項に記載のログ処理装置におけるログ収集部及びログ処理部として機能させるためのプログラムを記憶した非一時的記憶媒体。

　以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１００　異常箇所推定装置
１１０　因果モデル構築エンジン
１２０　因果モデル推論エンジン
１３０　観測データ前処理エンジン
１４０　観測データＤＢ
１５０　出力インタフェース
１６０　観測データ収集エンジン
２００　ログ収集装置
２１０　ログ収集部
２２０　ログ処理部
３００　異常箇所推定部
１０００　ドライブ装置
１００１　記録媒体
１００２　補助記憶装置
１００３　メモリ装置
１００４　ＣＰＵ
１００５　インタフェース装置
１００６　表示装置
１００７　入力装置
１００８　出力装置

Claims

　通信ネットワークからログを収集するログ収集部と、
　前記ログ収集部により収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部に入力するログ処理部と
　を備えるログ処理装置。
　前記ログ処理部は、前記ログ収集部により収集された各ログに発生要因を表すラベルを付与し、付与したラベルの値が同じ複数のログを前記異常箇所推定部に入力する
　請求項１に記載のログ処理装置。
　前記ログ処理部は、ログの発生要因となる事象と当該事象によるログ発生のパターンに基づくルールを用いて、各ログの発生要因を判定する
　請求項１に記載のログ処理装置。
　前記ログ処理部は、ログの発生要因に関連する外部情報を用いて、各ログの発生要因を判定する
　請求項１に記載のログ処理装置。
　前記ログ処理部は、ログをクラスタリングし、各ログがどのクラスタに属するかを示すクラスタ値を求め、求めたクラスタ値に基づいて、各ログの発生要因を判定する
　請求項１に記載のログ処理装置。
　ログ処理装置が実行するログ処理方法であって、
　通信ネットワークからログを収集するログ収集ステップと、
　前記ログ収集ステップにより収集された各ログの発生要因を判定し、発生要因が同じ複数のログを異常箇所推定部に入力するログ処理ステップと
　を備えるログ処理方法。
　コンピュータを、請求項１ないし５のうちいずれか１項に記載のログ処理装置におけるログ収集部及びログ処理部として機能させるためのプログラム。