JP2015095060A - ログ分析装置及び方法 - Google Patents
ログ分析装置及び方法 Download PDFInfo
- Publication number
- JP2015095060A JP2015095060A JP2013233599A JP2013233599A JP2015095060A JP 2015095060 A JP2015095060 A JP 2015095060A JP 2013233599 A JP2013233599 A JP 2013233599A JP 2013233599 A JP2013233599 A JP 2013233599A JP 2015095060 A JP2015095060 A JP 2015095060A
- Authority
- JP
- Japan
- Prior art keywords
- log
- storage means
- transition
- information
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims description 32
- 238000000034 method Methods 0.000 title description 24
- 230000007704 transition Effects 0.000 claims abstract description 97
- 238000010276 construction Methods 0.000 claims abstract description 40
- 239000000284 extract Substances 0.000 claims abstract description 4
- 238000000605 extraction Methods 0.000 claims description 25
- 238000010586 diagram Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 description 24
- 238000012806 monitoring device Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000004397 blinking Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】 機器の生成するログを効果的に保存・管理し、特定の故障や工事等に紐付くログの遷移を利用者に提示する。
【解決手段】 本発明は、監視対象機器からログを収集し、ログ記憶手段に格納し、ログ記憶手段のログからログテンプレートを抽出し、テンプレート情報記憶手段に格納し、該ログテンプレートの同時生起性によりグループ化してグループ情報記憶手段に格納し、ログ記憶手段、テンプレート情報記憶手段、グループ情報記憶手段の各情報に基づいて、ログを示す情報をリアルタイムに生成する。故障情報記憶手段、工事情報記憶手段、ログ記憶手段、テンプレート情報記憶手段、グループ情報記憶手段の各情報の遷移の生起回数または生起確率を計算し、遷移が発生している情報を抽出しログ遷移記憶手段に格納し、遷移が発生したログと該ログ遷移記憶手段の遷移を比較し、ログの遷移を表示する。
【選択図】 図1
【解決手段】 本発明は、監視対象機器からログを収集し、ログ記憶手段に格納し、ログ記憶手段のログからログテンプレートを抽出し、テンプレート情報記憶手段に格納し、該ログテンプレートの同時生起性によりグループ化してグループ情報記憶手段に格納し、ログ記憶手段、テンプレート情報記憶手段、グループ情報記憶手段の各情報に基づいて、ログを示す情報をリアルタイムに生成する。故障情報記憶手段、工事情報記憶手段、ログ記憶手段、テンプレート情報記憶手段、グループ情報記憶手段の各情報の遷移の生起回数または生起確率を計算し、遷移が発生している情報を抽出しログ遷移記憶手段に格納し、遷移が発生したログと該ログ遷移記憶手段の遷移を比較し、ログの遷移を表示する。
【選択図】 図1
Description
本発明は、ログ分析装置及び方法に係り、特に、多種多様な機器が出力するログ及び故障対応履歴情報を利用者にとって有効に管理、提示する技術において、多種類の機器の生成するログの形式及び生成則を事前に直接的に知ることなく、ログの遷移を利用者に提示するためのログ分析装置及び方法に関する。
近年、提供しているサービスの信頼性や質の向上のため、大規模なシステムを構成する機器の一元的な監視や管理が盛んに行われている。一方で、こうしたシステムは異なる製造元の、異なる役割を持つ機器やソフトウェアから構成されており、それぞれ独自の形態を持つログを出力する機構を有している。
システムの監視では、こうした機器のログが監視システムへ一元的に収集され、監視・管理を行う際に使用されるSYSLOGやSNMP(Simple Network Management Protocol)は、こうした監視のために利用されるプロトコルとして代表的なものである。しかし、情報機器の発展に伴い、これらのログ情報は複雑・大規模化しており、効率的な監視方法が必要となっている。
機器の監視ログは、一般に詳細な機器の状態に関する情報を含む。特に、重大な故障に至る前の、サービス影響はないが内部的には問題がある機器内部の冗長系の異常など、警報として異常度の低いものと重大故障の関連の抽出は、未知の故障検知や予防保全において大変有効である。また、機器のソフトウェアアップグレードや設定変更などの際には、変更が行われたことを示すログの発現を順に調べ、正常に変更が完了したことを確認するなどの利用も有効である。このように、ログの遷移には機器にとって何らかの意味があるものが多く、関連性の高いログの遷移を大規模複雑なログから抽出・可視化する技術が必要となっている。
こうした中で、Splunk(登録商標)のようにログ分析を簡略化するための分析基盤がある(以下、「従来技術1」と記す)。従来技術1へ収集されたログメッセージ内のフィールドはインデックス化され、検索、管理が容易となるメリットがある。
一方、ルータなどのネットワーク機器の生成するSyslogメッセージ(以下、「Syslog」
と記す)を対象とし、ベンダやメッセージタイプ、エラーコード、詳細なメッセージ内容といったある程度の形式を事前に与えられた場合におけるテンプレートの把握法を与える技術がある(例えば、非特許文献1参照)。当該技術は、ルータの位置関係などを利用してSyslogのダイジェスト情報を表示する(以下、「従来技術2」と記す)。
と記す)を対象とし、ベンダやメッセージタイプ、エラーコード、詳細なメッセージ内容といったある程度の形式を事前に与えられた場合におけるテンプレートの把握法を与える技術がある(例えば、非特許文献1参照)。当該技術は、ルータの位置関係などを利用してSyslogのダイジェスト情報を表示する(以下、「従来技術2」と記す)。
また、事前情報を用いた対象がSyslogのみではない一般的なログのテンプレートを抽出する方法がある。当該技術は、ログが格納されたログ情報記憶手段からログメッセージを取得して、該ログメッセージに含まれる各単語に対して、該単語の出現位置、単語、該ログメッセージに含まれる単語数に対して出現頻度の組に基づいてスコアを算出し、該スコアに基づいてクラスタリングを行うことにより、テンプレートを作成する。このとき、クラスタリングされたクラスタを値の高いものから併合し、ログメッセージの総単語数と重要な単語を含むクラスタの範囲を決定するための所定の閾値を乗じた値を超えた時点において併合した集合をテンプレートとする。複数の機器のログメッセージを取得して、生成されているテンプレートとマッチングを行うことにより、重要なメッセージを抽出する(以下、「従来技術3」と記す)。しかし、テンプレートだけではログの意味付けが難しく、複数生起するログ間の関係を自動的に把握することができない。
T. Qiu, Z. Ge, D. Pei, J. Wang, J.Xu, "What Happened in my Network? Mining Network Events from Router syslogs", In IMC, 2010.
しかしながら、上記の従来技術1を利用するためには、ログがどのようなフィールドを持つのかという事前知識が必要であり、異なるログメッセージ間の関係性やログの遷移を抽出して提示するといった深い分析には対応していない。
また、従来技術2では、Syslogの要約情報を表示するのみであり、情報収集段階でも知識が必要であり、例えば、どのベンダからログを収集しているか、メッセージ内のどの部分がエラーコードを示しているのかといったことを把握しておかなければならず、テンプレート把握機構を単純に用意するだけでなく、事前の手動での入力や準備が必要となる。また、Syslogのダイジェスト表示機能は、Syslogに特化した手法であるために、その他の監視ログやオペレーション情報への適用ができない。
また、従来技術3では、テンプレートだけではログの意味付けが難しく、複数生起するログ間の関係を自動的に把握することができない。
本発明は、上記の点に鑑みなされたもので、利用者が機器の生成するログを効果的に保存・管理し、特定の故障や工事等に紐付くログの遷移を提示することで、利用者がシステムの予見的な運用を行うことが可能なログ分析装置及び方法を提供することを目的とする。
一態様によれば、監視対象機器のログの関係性を分析及び可視化を行うログ分析装置であって、
前記監視対象機器からログを収集し、ログ記憶手段に格納するログ収集手段と、
前記ログ記憶手段のログから重要される部分(以下、「ログテンプレート」と記す)を抽出し、テンプレート情報記憶手段に格納し、該ログテンプレートの同時生起性によりグループ化してグループ情報記憶手段に格納するテンプレート・グループ抽出手段と、
前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報に基づいて、前記ログを示す情報をリアルタイムに生成するグラフ表示手段と、
故障分類、故障発生日時、故障機器識別情報を格納した故障情報記憶手段、工事分類、工事発生日時、工事機器識別情報を格納した工事情報記憶手段、前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報の遷移の生起回数または生起確率を計算し、遷移が発生している情報を抽出しログ遷移記憶手段に格納し、遷移が発生したログと該ログ遷移記憶手段の遷移を比較し、ログの遷移を表示する遷移比較手段と、を有するログ分析装置が提供される。
前記監視対象機器からログを収集し、ログ記憶手段に格納するログ収集手段と、
前記ログ記憶手段のログから重要される部分(以下、「ログテンプレート」と記す)を抽出し、テンプレート情報記憶手段に格納し、該ログテンプレートの同時生起性によりグループ化してグループ情報記憶手段に格納するテンプレート・グループ抽出手段と、
前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報に基づいて、前記ログを示す情報をリアルタイムに生成するグラフ表示手段と、
故障分類、故障発生日時、故障機器識別情報を格納した故障情報記憶手段、工事分類、工事発生日時、工事機器識別情報を格納した工事情報記憶手段、前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報の遷移の生起回数または生起確率を計算し、遷移が発生している情報を抽出しログ遷移記憶手段に格納し、遷移が発生したログと該ログ遷移記憶手段の遷移を比較し、ログの遷移を表示する遷移比較手段と、を有するログ分析装置が提供される。
一態様によれば、多用な種類の監視対象機器が生成するログの形式や生成則を事前に知ることなく、ログ情報の関係性を自動的に分析把握し、可視化することが可能となる。
以下、図面と共に本発明の実施の形態を説明する。
図1は、本発明の一実施の形態におけるログ分析装置の構成例である。
ログ分析装置100は、複数の利用者端末群10、監視対象機器群20、故障や工事等の監視を行う監視システム30と接続されている。利用者端末群10は、ログ分析装置100から取得した情報を表示する表示機能を有する。
ログ分析装置100は、ログ収集部110、テンプレート・グループ抽出部120、グラフ表示部130、遷移比較抽出部140、ユーザインタフェース150、ログDB101、テンプレート情報DB102、グループ情報DB103、工事履歴情報DB104、故障履歴情報DB105、ログ遷移記憶部106を有する。
ログDB101は、図2に示すように、収集されたログの発生時間、監視機器ID、ログ優先度・重要度、サービスタイプ、監視機器ラベル、メッセージ、パラメータ、テンプレートIDを格納する。
テンプレート情報DB102は、図3に示すように、テンプレートID、ログDB101のメッセージから抽出されたテンプレート情報、パラメータを格納する。
グループ情報DB103は、図4に示すように、グループID、当該グループに属するテンプレートIDを格納する。
工事履歴情報DB104は、図5に示すように工事発生日時、工事ラベル(イベントラベル)、工事機器IDの工事履歴情報を格納する。
故障履歴情報DB105は、図6に示すように故障発生日時、故障ラベル(イベントラベル)、故障機器IDの故障履歴情報を格納する。
上記の工事履歴情報DB104,故障履歴情報DB105は、機器ID毎の工事・故障発生時刻、工事・故障分類として、イベントラベルを生成して格納する。当該分類は、どのような工事・故障が発生したかを判別するための分類であり、粒度は利用者が任意に決定するものとする。
ログ収集部110は、ネットワークを介して、または、直接接続されている監視対象機器群20からログを収集し、ログDB101に格納する。監視対象機器群20が生成するログには、当該ログを生成した監視対象機器を指し示す情報(例えば、監視機器ID)が含まれており、監視対象機器群20を特定することができるものとする。また、利用状況に応じて、これらの監視対象機器群20の情報はサービス形式、位置、機器型式などの付加的属性によってラベル付けされているものとする。これらのラベルは、例えば、特定のベンダや地域の監視機器だけを可視化したい場合等に、利用者が必要に応じて与えるものであり、無くても構わない。以降これを監視機器ラベルと記す。監視機器ラベルは随時追加可能である。当該ログは、発生時間、監視機器ID、ログ優先度・重要度、サービスタイプ等の情報を含み、テンプレートID、パラメータを含む情報の構造をもって記述されているものとし、ログDB101に格納される。
テンプレート・グループ抽出部120は、ログDB101からログを取得し、既存の何らかの方法(例えば、前述の従来技術3に記載の方法)により、ログメッセージから重要とされる部分(以下、「テンプレート」と記す)を抽出し、各テンプレートに一意のインデックス(以下、「テンプレートID」と記す)を付与してテンプレート情報DB102に格納すると同時に、ログDB101の当該ログに対応するテンプレートIDの項目に、テンプレートIDを書き込む。また、メッセージ内のテンプレート以外のパラメータ部分はそれぞれの表す内容をフィールド名と共にテンプレート情報DB102に格納する。さらに、各テンプレートの過去の生起回数を計上しておき、日毎の発生量なども情報としてメモリ(図示せず)に格納しておき、異常性を示すスコアを算出する際に利用することが可能である。
また、テンプレート・グループ抽出部120は、テンプレートに関してグルーピングを行い、グループ情報DB103に格納する。グルーピングの方法としては、過去に発生したテンプレート毎に、適当な時間幅毎の生起回数を記録したベクトルについてクラスタリングを行うようなオフラインで事前に行う方法があるが、どのようなグルーピング方法を採用しても良い。以降、グルーピングされたテンプレートをテンプレートグループと呼ぶ。なお、テンプレートと同様にテンプレートグループにはインデックス(以下「グループID」と記す)を付与してグループ情報DB103に格納する。
グラフ表示部130は、ログDB101、テンプレート情報DB102、グループ情報DB103からログ情報、当該ログ情報に紐付けされているテンプレート情報、テンプレートグループ情報を読み出して、ログ情報を示すグラフをリアルタイムに生成する。図8は、通常時に利用者端末10に表示されるログ分析画面である。ログは事前に、または、オンラインで、テンプレート情報DB102から得られたテンプレート及びグループ情報DB103から得られたテンプレートグループに紐付けされる。同図(a)の例は、ログの可視化画面である。可視化方法には特に制限はないが、一例として、同図(b)では、縦軸をテンプレートIDとし、横軸を時間とし、シンボルの形及び色を監視対象機器の種別で区別してログの生起を点によりプロットする表示方法を示している。同図(b)の各点は、テンプレート、ロググループ、イベントのいずれであってもよい。以下では、簡単のため「テンプレート」を例として示す。
図8(b)のログ画面において縦軸のテンプレートIDを、メモリ(図示せず)に格納されているログの頻度や周期性などを用いて異常性を示すスコアを算出し、昇順ソートを行うことで、異常性の高いログが画面の上部に配置されるような工夫も可能である。また、詳細分析画面におけるログの樹形図表示部において、異常度の低いログは予め除くなどの利用方法も可能である。
ここで、異常性を示すスコアの算出方法の一例として、全観測期間のうちのログが発生した時間割合(頻度)をスコアとする場合には、
スコア=ログが発生していた時間総数/観測総時間
により求めることができる。また、周期性をスコアとする場合には、一日に発生した回数の変動係数により求めることができる。1日に発生した回数を1標本とし、N日観測した中で平均と分散を用いて変動係数を計算する。これは標本の変動を表し、周期性が高ければ0に近づく。
スコア=ログが発生していた時間総数/観測総時間
により求めることができる。また、周期性をスコアとする場合には、一日に発生した回数の変動係数により求めることができる。1日に発生した回数を1標本とし、N日観測した中で平均と分散を用いて変動係数を計算する。これは標本の変動を表し、周期性が高ければ0に近づく。
遷移比較抽出部140は、ログDB101、テンプレート情報DB102、グループ情報DB103、工事履歴情報DB104、故障履歴情報DB105から、ログ、ログテンプレート、ロググループ、故障情報、工事情報の各々の遷移の生起回数、または、生起確率を計算し、ログ遷移記憶部106に記録し、発生しているログとログ遷移記憶部106の検出した遷移を比較し、重大な故障や重要なイベントに紐付くといったトリガに応じて利用者にアラームの形で伝える。具体的には、生起回数、生起確率が所定の値より高い場合に、ログDB101のログ優先度・重要度を参照し、当該ログ優先度・重要度が所定の値より大きい場合には、利用者端末10に対してアラームを通知する。また、過去の遷移のカウント結果から優先度の高いイベント(ログ・ロググループ・故障等)に遷移する確率の高いログが出たら通知することも可能である。ここで、イベントとは、工事履歴情報DB104,故障履歴情報DB105から把握している故障及び工事を指し、イベントにはそれぞれインデックスが付与されている。以下、このインデックスをイベントIDと呼ぶ。また、アラームとは、画面中にアラートを示すメッセージを強調表示する、または、ブリンキングすること等を指す。アラームが出力された場合は、自動的に詳細分析画面に推移する、または、利用者が表示されたメッセージをクリックして詳細分析画面(図9)に進むことが可能である。
遷移比較抽出部140は、まず、ログDB101のログ(テンプレートID、イベントラベル)、テンプレート情報DB102のログテンプレートID、グループ情報DB103のロググループIDのいずれかを読み出して、現在発生しているログとログ遷移記憶部106のテンプレートID、または、ロググループIDの遷移回数と比較する。なお、図7のログ遷移記憶部106では、テンプレートIDを用いているが、この例に限定されることなく、グループID、工事履歴情報DB104や故障履歴情報DB105のイベントラベルを用いてもよい。
遷移比較抽出部140は、グラフ表示部130で図8(b)に表示されていたログのうち、ログ遷移記憶部106の過去の遷移とマッチしたものを線分で結び、強調表示する。また、ログ遷移記憶部106の過去に発生した遷移と比較することで、図9(a)に示すように、次に発生すると考えられるログ、あるいは、イベントが予測される形で表示する。例えば、ログ遷移記憶部106はテンプレートIDに対応する遷移回数を保持しており、当該テンプレートIDに基づいてログDB101から取得したログを図9(c)に示すように表示する。実施形態にも依存するが、表示されるログの遷移は複数表示することが可能である。図9(c)ではログDB101の該当するログがハイライトされた状態で表示される。
図9(b)には、関連すると判断されたログの遷移を表示する。同図の例では、把握したログの遷移と関連のあるテンプレート間を線分で結んだ樹形図として示されている。なお、樹形図の表示方法は図9(a)に示される方法に限定されるものではないが、各ノードは、テンプレート、テンプレートグループ、及びイベントを表し、左から右へ順にログの遷移する確率の高さを、枝の太さと共に示されており、分岐があるノードにおいては複数の遷移先の可能性があることを示す。
また、図9(a)の樹形図の表示においては、正常なノードや遷移確率が所定の値より低いノードは予め非表示とすることにより、表示を簡略化することが可能である。
ユーザインタフェース150は、利用者端末群10との送受信を行うものであり、ユーザからの入力を取得する、上記の遷移比較抽出部140で生成されたグラフを利用者端末群10に表示する等の機能を有する。
なお、上記の図1では、ログ収集部110、テンプレート・グループ抽出部120、遷移比較抽出部140の機能をログ分析装置に含む構成としているが、この例に限定されることなく、当該装置の外部に設けてもよい。遷移比較抽出部140の機能のうち、ログの遷移を表示する機能を遷移可視化装置とし、アラームを発出する機能を警報監視装置として、ログ分析装置の外部に設けてもよい。
[第1の実施例]
図10は、本発明の第1の実施例におけるログ分析装置の構成例である。
図10は、本発明の第1の実施例におけるログ分析装置の構成例である。
本実施例では、ログ収集部110で収集されたログ及び故障履歴情報を、予めログDB101に保存しており、過去の事例抽出に利用するバッチ処理による実施方法を示す。
ここで、ログ収集部110は、予め事前に起動されており、監視対象機器20群もログを生成する機能を有しているものとする。
入力とするログは、どのような機器のものでも問題ないが、例えば、ネットワーク監視のためのログ収集部110としてはルータのSyslogなどが考えられる。この場合において、図10のバッチ処理実施形態について説明する。
ネットワーク機器等の監視対象機器20群の生成するログは一元的に収集され、事前にテンプレート、ロググループ、機器情報、監視機器ラベルを付与され、ログDB101へ保存される。また、故障履歴情報や工事履歴情報についても、事前に故障分類、工事分類が行われ、イベントラベルが付与されてログDB101に格納される。故障分類、工事分類については、利用者による手動の分類でも、システムによる自動分類のどちらでも構わない。
利用者は、検出した過去の時間範囲を、ユーザインタフェース150を介して指定すると、グラフ表示部130により、図9に示す樹形図のような形で関連するログ遷移が示され、利用者は膨大かつ複雑なログの中から所定のイベントに関するログ遷移を発見することができる。
当該実施例は、バッチ処理利用による定期監視などに有効な監視方法である。
[第2の実施例]
図12は、本発明の第2の実施例におけるログ分析装置の構成例である。
図12は、本発明の第2の実施例におけるログ分析装置の構成例である。
第1の実施例は、定期監視などに有効な監視方法を示したが、本実施例では、時々刻々と発生するログ及び故障の警報情報等を用いて、リアルタイムでログ及びイベントの遷移を学習し、移動遷移を検出し、イベントの予測を行う。図10と異なり、遷移比較・抽出部140はリアルタイムで各入力情報を整形・分析する。
図12に示すように、ログはオンラインテンプレート・グループ抽出部120bにより、リアルタイムでテンプレート抽出及びグルーピングが行われ、テンプレート情報DB102,グループ情報DB103に格納され、故障履歴情報及び工事履歴情報も逐次分類がなされ、イベントとしてラベル化され、図11と同様のフォーマットでログDB101に格納される。随時ログの遷移は遷移比較抽出部140によりカウントされ、ログ遷移記憶部106に保存される。予め設定された故障に紐付きやすいログの発生時点で警報等をあげ、遷移比較抽出部140は、図9に従い、イベントの予知を行う。警報および予知の基準については利用者が予め定めることができ、遷移する確率がある閾値以上、過去の生起回数がN回以上などのように任意に設定することが可能である。
本実施例は、時々刻々と発生するログを入力として逐次ログやイベントを予測するリアルタイム処理による運用形態に適用可能である。
上記の実施形態及び実施例の図1、図10、図12に示すログ分析装置の各構成要素の動作をプログラムとして構築し、ログ分析装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
なお、本発明は、上記の実施の形態及び実施例に限定されることなく、特許請求の範囲に内において、種々変更・応用が可能である。
10 利用者端末群
20 監視対象機器群
30 監視システム
100,100A,100B ログ分析装置
101 ログDB
102 テンプレート情報DB
103 グループ情報DB
104 工事履歴情報DB
105 故障履歴情報DB
106 ログ遷移記憶部
110 ログ収集部
120,120a テンプレート・グループ抽出部
120b オンラインテンプレート・グループ抽出部
130 グラフ表示部
140 遷移比較抽出部
150 ユーザインタフェース
20 監視対象機器群
30 監視システム
100,100A,100B ログ分析装置
101 ログDB
102 テンプレート情報DB
103 グループ情報DB
104 工事履歴情報DB
105 故障履歴情報DB
106 ログ遷移記憶部
110 ログ収集部
120,120a テンプレート・グループ抽出部
120b オンラインテンプレート・グループ抽出部
130 グラフ表示部
140 遷移比較抽出部
150 ユーザインタフェース
Claims (8)
- 監視対象機器のログの関係性を分析及び可視化を行うログ分析装置であって、
前記監視対象機器からログを収集し、ログ記憶手段に格納するログ収集手段と、
前記ログ記憶手段のログから重要される部分(以下、「ログテンプレート」と記す)を抽出し、テンプレート情報記憶手段に格納し、該ログテンプレートの同時生起性によりグループ化してグループ情報記憶手段に格納するテンプレート・グループ抽出手段と、
前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報に基づいて、前記ログを示す情報をリアルタイムに生成するグラフ表示手段と、
故障分類、故障発生日時、故障機器識別情報を格納した故障情報記憶手段、工事分類、工事発生日時、工事機器識別情報を格納した工事情報記憶手段、前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報の遷移の生起回数または生起確率を計算し、遷移が発生している情報を抽出しログ遷移記憶手段に格納し、遷移が発生したログと該ログ遷移記憶手段の遷移を比較し、ログの遷移を表示する遷移比較手段と、
を有することを特徴とするログ分析装置。 - 前記遷移比較手段は、
前記グラフ表示手段により表示された前記ログを示す情報のうち、前記ログ遷移記憶手段の過去の遷移とマッチしたものを線分で結びグラフ表示画面に表示する手段と、
前記ログ遷移記憶手段の過去に発生した遷移と現在のログ情報を比較して、次に発生する可能性のあるログ、あるいは故障及び工事(以下、「イベント」と記す)を予測し、現在のログと関連のあるログを樹形図形式で前記グラフ表示画面に表示する手段と、
を含む
請求項1記載のログ分析装置。 - 前記ログ収集手段は、
時々刻々と生成されるログを事前に、またはオンラインで収集する手段を含み、
前記テンプレート・グループ抽出手段は、
収集された前記ログを前記テンプレート及びロググループに紐付け、前記ログ記憶手段に格納する手段を含み、
前記グラフ表示手段は、
前記ログ記憶手段の情報をグラフ化し、リアルタイムで一画面に表示する手段を含む
請求項1記載のログ分析装置。 - 前記ログ記憶手段は、ログについての優先度または重要度を含み、
前記遷移比較手段は、
前記ログに遷移が発生しており、かつ、該ログの前記優先度または前記重要度が所定の値より大きい場合には重大な故障や重要なイベント紐付くものとしてアラームを利用者端末に対して発出する警報手段を含む
請求項1記載のログ分析装置。 - 監視対象機器のログの関係性を分析及び可視化を行うログ分析方法であって、
収集されたログ情報を格納するログ記憶手段、
前記ログ情報から抽出されたテンプレートを格納するテンプレート情報記憶手段、
前記テンプレートをグループ化した情報を格納するグループ情報記憶手段、
故障分類、故障発生日時、故障機器識別情報を格納した故障情報記憶手段、
工事分類、工事発生日時、工事機器識別情報を格納した工事情報記憶手段、
ログの遷移を格納するログ遷移記憶手段、
ログ収集手段、テンプレート・グループ抽出手段、グラフ表示手段、遷移比較手段を有する装置において、
前記ログ収集手段が、前記監視対象機器からログを収集し、前記ログ記憶手段に格納するログ収集ステップと、
テンプレート・グループ抽出手段が、前記ログ記憶手段のログから重要される部分(以下、「ログテンプレート」と記す)を抽出し、前記テンプレート情報記憶手段に格納し、該ログテンプレートの同時生起性によりグループ化して前記グループ情報記憶手段に格納するテンプレート・グループ抽出ステップと、
前記グラフ表示手段が、前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報に基づいて、前記ログ情報を示す情報をリアルタイムに生成するグラフ表示ステップと、
前記遷移比較手段が、前記故障情報記憶手段、前記工事情報記憶手段、前記ログ記憶手段、前記テンプレート情報記憶手段、前記グループ情報記憶手段の各情報の遷移の生起回数または生起確率を計算し、遷移が発生している情報を抽出し、前記ログ遷移記憶手段に格納し、遷移が発生したログと該ログ遷移記憶手段の遷移を比較し、ログの遷移を表示する遷移比較ステップと、
を行うことを特徴とするログ分析方法。 - 前記遷移比較ステップにおいて、
前記グラフ表示ステップで表示された前記ログ情報のうち、前記ログ遷移記憶手段の過去の遷移とマッチしたものを線分で結び表示するステップと、
前記ログ遷移記憶手段の過去に発生した遷移と現在のログ情報を比較して、次に発生する可能性のあるログ、あるいは故障及び工事(以下、「イベント」と記す)を予測し、現在のログと関連のあるログを樹形図形式で表示するステップと、
を行う請求項5記載のログ分析方法。 - 前記ログ収集ステップにおいて、
時々刻々と生成されるログを事前に、またはオンラインで収集し、
前記テンプレート・グループ抽出ステップにおいて、
収集された前記ログを前記テンプレート及びロググループに紐付け、前記ログ記憶手段に格納し、
前記グラフ表示ステップにおいて、
前記ログ記憶手段の情報をグラフ化し、リアルタイムで一画面に表示する
請求項5記載のログ分析方法。 - 前記ログ記憶手段に、ログについての優先度または重要度を含む場合に、
前記遷移比較ステップにおいて、
前記ログに遷移が発生しており、かつ、該ログの前記優先度または前記重要度が所定の値より大きい場合には重大な故障や重要なイベント紐付くものとしてアラームを利用者端末に対して発出する
請求項5記載のログ分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013233599A JP6085550B2 (ja) | 2013-11-12 | 2013-11-12 | ログ分析装置及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013233599A JP6085550B2 (ja) | 2013-11-12 | 2013-11-12 | ログ分析装置及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015095060A true JP2015095060A (ja) | 2015-05-18 |
| JP6085550B2 JP6085550B2 (ja) | 2017-02-22 |
Family
ID=53197425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013233599A Expired - Fee Related JP6085550B2 (ja) | 2013-11-12 | 2013-11-12 | ログ分析装置及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6085550B2 (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016199411A1 (ja) * | 2015-06-11 | 2016-12-15 | 日本電気株式会社 | ログ表示装置とログ表示方法およびログ表示プログラム |
| JP2017126282A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
| JP2018005586A (ja) * | 2016-07-04 | 2018-01-11 | 三菱電機株式会社 | 組み込み装置 |
| JP2018082342A (ja) * | 2016-11-17 | 2018-05-24 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びコンピュータプログラム |
| KR20180061891A (ko) * | 2016-11-30 | 2018-06-08 | 정준용 | 로그 생성기 및 그를 포함하는 빅 데이터 분석 전처리 시스템 |
| JP2018163574A (ja) * | 2017-03-27 | 2018-10-18 | サクサ株式会社 | ログ管理装置及びログ管理用プログラム |
| JP2018165897A (ja) * | 2017-03-28 | 2018-10-25 | 日本電気株式会社 | 表示制御装置、表示制御方法、およびコンピュータプログラム |
| JPWO2017169949A1 (ja) * | 2016-03-30 | 2019-02-28 | 日本電気株式会社 | ログ分析装置、ログ分析方法及びプログラム |
| JPWO2019031473A1 (ja) * | 2017-08-09 | 2020-07-16 | 日本電気株式会社 | 情報選択装置、情報選択方法、及び、情報選択プログラム |
| CN113472555A (zh) * | 2020-03-30 | 2021-10-01 | 华为技术有限公司 | 故障检测方法、系统、装置、服务器及存储介质 |
| CN116599822A (zh) * | 2023-07-18 | 2023-08-15 | 云筑信息科技(成都)有限公司 | 一种基于日志采集事件的故障告警治理方法 |
| CN118070892A (zh) * | 2024-04-12 | 2024-05-24 | 中国长江电力股份有限公司 | 一种基于知识库的智能录入方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010086099A (ja) * | 2008-09-30 | 2010-04-15 | Fujitsu Ltd | ログ管理方法、ログ管理装置、ログ管理装置を備えた情報処理装置、及びプログラム |
| JP2010250702A (ja) * | 2009-04-17 | 2010-11-04 | Hitachi Software Eng Co Ltd | 文書保護システムのログ表示方法 |
| JP2011210064A (ja) * | 2010-03-30 | 2011-10-20 | Nec Corp | ログ情報収集システム、装置、方法及びプログラム |
| JP2012208565A (ja) * | 2011-03-29 | 2012-10-25 | Sumitomo Electric System Solutions Co Ltd | ログ管理方法、ログ管理装置、及びプログラム |
| JP2013065244A (ja) * | 2011-09-20 | 2013-04-11 | Toshiba Corp | 情報処理装置およびログ管理方法 |
-
2013
- 2013-11-12 JP JP2013233599A patent/JP6085550B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010086099A (ja) * | 2008-09-30 | 2010-04-15 | Fujitsu Ltd | ログ管理方法、ログ管理装置、ログ管理装置を備えた情報処理装置、及びプログラム |
| JP2010250702A (ja) * | 2009-04-17 | 2010-11-04 | Hitachi Software Eng Co Ltd | 文書保護システムのログ表示方法 |
| JP2011210064A (ja) * | 2010-03-30 | 2011-10-20 | Nec Corp | ログ情報収集システム、装置、方法及びプログラム |
| JP2012208565A (ja) * | 2011-03-29 | 2012-10-25 | Sumitomo Electric System Solutions Co Ltd | ログ管理方法、ログ管理装置、及びプログラム |
| JP2013065244A (ja) * | 2011-09-20 | 2013-04-11 | Toshiba Corp | 情報処理装置およびログ管理方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016199411A1 (ja) * | 2015-06-11 | 2016-12-15 | 日本電気株式会社 | ログ表示装置とログ表示方法およびログ表示プログラム |
| JP2017126282A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
| JPWO2017169949A1 (ja) * | 2016-03-30 | 2019-02-28 | 日本電気株式会社 | ログ分析装置、ログ分析方法及びプログラム |
| US11106563B2 (en) | 2016-03-30 | 2021-08-31 | Nec Corporation | Log analysis device, log analysis method, and recording medium storing program |
| JP2018005586A (ja) * | 2016-07-04 | 2018-01-11 | 三菱電機株式会社 | 組み込み装置 |
| JP2018082342A (ja) * | 2016-11-17 | 2018-05-24 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びコンピュータプログラム |
| KR20180061891A (ko) * | 2016-11-30 | 2018-06-08 | 정준용 | 로그 생성기 및 그를 포함하는 빅 데이터 분석 전처리 시스템 |
| JP2018163574A (ja) * | 2017-03-27 | 2018-10-18 | サクサ株式会社 | ログ管理装置及びログ管理用プログラム |
| JP2018165897A (ja) * | 2017-03-28 | 2018-10-25 | 日本電気株式会社 | 表示制御装置、表示制御方法、およびコンピュータプログラム |
| JPWO2019031473A1 (ja) * | 2017-08-09 | 2020-07-16 | 日本電気株式会社 | 情報選択装置、情報選択方法、及び、情報選択プログラム |
| CN113472555A (zh) * | 2020-03-30 | 2021-10-01 | 华为技术有限公司 | 故障检测方法、系统、装置、服务器及存储介质 |
| CN113472555B (zh) * | 2020-03-30 | 2022-09-23 | 华为技术有限公司 | 故障检测方法、系统、装置、服务器及存储介质 |
| CN116599822A (zh) * | 2023-07-18 | 2023-08-15 | 云筑信息科技(成都)有限公司 | 一种基于日志采集事件的故障告警治理方法 |
| CN116599822B (zh) * | 2023-07-18 | 2023-10-20 | 云筑信息科技(成都)有限公司 | 一种基于日志采集事件的故障告警治理方法 |
| CN118070892A (zh) * | 2024-04-12 | 2024-05-24 | 中国长江电力股份有限公司 | 一种基于知识库的智能录入方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6085550B2 (ja) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6085550B2 (ja) | ログ分析装置及び方法 | |
| US11657309B2 (en) | Behavior analysis and visualization for a computer infrastructure | |
| US11348023B2 (en) | Identifying locations and causes of network faults | |
| JP5913145B2 (ja) | ログ可視化装置及び方法及びプログラム | |
| CN107070692A (zh) | 一种基于大数据分析的云平台监控服务系统及方法 | |
| US11307916B2 (en) | Method and device for determining an estimated time before a technical incident in a computing infrastructure from values of performance indicators | |
| CN102447570A (zh) | 一种基于健康度分析的监控装置及方法 | |
| US20190228353A1 (en) | Competition-based tool for anomaly detection of business process time series in it environments | |
| CN101989931A (zh) | 一种运维告警处理方法和装置 | |
| JP2014153723A (ja) | ログ生起異常検知装置及び方法 | |
| CN104574219A (zh) | 电网业务信息系统运行工况的监测预警方法及系统 | |
| CN116755992B (zh) | 一种基于OpenStack云计算的日志分析方法及系统 | |
| CN113468022B (zh) | 一种对产品集中监控的自动化运维方法 | |
| CN114328107A (zh) | 光磁融合存储服务器集群的监控方法、系统及电子设备 | |
| Rafique et al. | TSDN-enabled network assurance: A cognitive fault detection architecture | |
| CN113534752A (zh) | 处理系统中的警报处置的方法 | |
| CN117251353A (zh) | 一种民航弱电系统的监控方法、系统及平台 | |
| CN116468423A (zh) | 一种运维应急协同方法、系统和终端设备 | |
| Wang | Research on network fault diagnosis based on fault tree analysis | |
| KR20240072451A (ko) | 잠재 공간 기반 로그 모니터링 처리 시스템 및 방법 | |
| CN114257414A (zh) | 一种网络安全智能值班方法及系统 | |
| CN117240700B (zh) | 一种基于贝叶斯分类器的网络故障诊断方法及装置 | |
| CN110798352A (zh) | 一种移动应用支撑系统中全景监控系统 | |
| CN112948154A (zh) | 一种系统异常诊断方法、装置及存储介质 | |
| WO2021151494A1 (en) | Device for monitoring a computer network system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161101 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161031 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170124 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170130 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6085550 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |