JP2006155064A - 情報処理装置及び同装置に用いるプログラム - Google Patents
情報処理装置及び同装置に用いるプログラム Download PDFInfo
- Publication number
- JP2006155064A JP2006155064A JP2004342688A JP2004342688A JP2006155064A JP 2006155064 A JP2006155064 A JP 2006155064A JP 2004342688 A JP2004342688 A JP 2004342688A JP 2004342688 A JP2004342688 A JP 2004342688A JP 2006155064 A JP2006155064 A JP 2006155064A
- Authority
- JP
- Japan
- Prior art keywords
- log
- appearance frequency
- information processing
- similarity
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】 大量のログから異常を見つけ出すことへの適用も含め、より高い性能でログの出現頻度を解析すること。
【解決手段】 ログ管理システム130は、ログ出力アプリ150からのログの表示要求(出現頻度の閾値を伴う)に応じて、処理システム110で発生し、ストレージ134に蓄積されたログを解析し、出現頻度を求める。出現頻度計算部136は、ログの各事象(日時、エラーコード、エラーメッセージ、ユーザ)レベルでログ同士の類似度を解析し、ログ全体の解析結果に基づき各ログの出現頻度を計算し、頻度情報テーブル137にその結果を格納する。テーブルの頻度情報は、フィルタ138に送られ、設定された頻度の閾値に基づき、出力すべきログが選択され、読み出し部135を通じてストレージ134から読み出されたログ情報をログ出力アプリ150へ送る。
【選択図】 図1
【解決手段】 ログ管理システム130は、ログ出力アプリ150からのログの表示要求(出現頻度の閾値を伴う)に応じて、処理システム110で発生し、ストレージ134に蓄積されたログを解析し、出現頻度を求める。出現頻度計算部136は、ログの各事象(日時、エラーコード、エラーメッセージ、ユーザ)レベルでログ同士の類似度を解析し、ログ全体の解析結果に基づき各ログの出現頻度を計算し、頻度情報テーブル137にその結果を格納する。テーブルの頻度情報は、フィルタ138に送られ、設定された頻度の閾値に基づき、出力すべきログが選択され、読み出し部135を通じてストレージ134から読み出されたログ情報をログ出力アプリ150へ送る。
【選択図】 図1
Description
本発明は、ログの管理機能を持つ情報処理装置に関し、特に、ログの解析を装置(システム)上で発生した要素(事象)レベルで行うことにより、ログ情報の利用性を改善した情報処理装置及び同装置に用いるプログラムに関する。
従来から、コンピュータを情報の処理手段として持つ各種の情報処理装置(システム)においては、装置の使用状況の履歴を示すログが管理されている。ログに示された情報から、装置がどのように使用され、今どういう状態で使用されているかを知ることが可能であり、ログ情報をもとにして、例えば、ユーザの入力操作に利便性を付与するための情報の提示や装置の保守・管理が行われる。
ユーザの入力操作に利便性を提供するために用いられた例を示す従来技術として、例えば、下記特許文献1を挙げることができる。特許文献1記載のホームページメニュー自動更新装置は、利用者がホームページにアクセスした時のアクセスログから得たアクセス回数や、メニュー項目のプライオリティの設定に応じて、メニュー項目の順序や項目強調のための文字属性を変更し、利用者による選択操作の際の利便性が考慮されたメニューの更新を行うようにした装置が示されている。また、同様に、入力操作における利便性を図ることを目的とした従来技術として、下記特許文献2を例示することができる。特許文献2記載の文書管理システムは、アクセスログに基づいて、前操作と後操作の操作ペアの回数を管理し、頻度の高い操作ペアによって、次にユーザが行うことが予想される処理をメニューに優先的に表示するようにしたものが示されている。
ユーザの入力操作に利便性を提供するために用いられた例を示す従来技術として、例えば、下記特許文献1を挙げることができる。特許文献1記載のホームページメニュー自動更新装置は、利用者がホームページにアクセスした時のアクセスログから得たアクセス回数や、メニュー項目のプライオリティの設定に応じて、メニュー項目の順序や項目強調のための文字属性を変更し、利用者による選択操作の際の利便性が考慮されたメニューの更新を行うようにした装置が示されている。また、同様に、入力操作における利便性を図ることを目的とした従来技術として、下記特許文献2を例示することができる。特許文献2記載の文書管理システムは、アクセスログに基づいて、前操作と後操作の操作ペアの回数を管理し、頻度の高い操作ペアによって、次にユーザが行うことが予想される処理をメニューに優先的に表示するようにしたものが示されている。
また、装置を保守・管理するために用いられた例を示す従来技術として、例えば、下記特許文献3,4を挙げることができる。特許文献3記載のログテータ表示方法は、計算機システムに接続される装置のドライバの入力と一緒にログ解析用データ(ログ解析手段、ログフォーマット、動作確認用データ)を入力することによって、ドライバとログ解析用データを整合させ、解析結果として得られる、装置の障害の発生等を表すログデータの信頼性を高めるようにするものである。また、特許文献4記載のログテータ表示方法は、デバイス、ログ管理サーバ、管理者ツールをそれぞれネットワーク接続し、デバイスからログ管理サーバに直接ログデータを登録できるようにし、管理者ツールによってログ管理サーバに収集されたログ情報の管理、分析処理(分析方法についての開示はない)等を一元的に行うことを可能にするものである。
特開2000−293423号公報
特開2004−102935号公報
特開平8−153024号公報
特開2002−189638号公報
しかしながら、従来例として示した上記特許文献1,2は、入力メニューに優先的に表示する情報を得るという、限られた目的のためにログを解析するもので、解析の方法として、完全一致により同一のログもしくは操作ペアの発生頻度を求め、ユーザによる入力操作の傾向を頻繁に発生するログ情報から知る、ということに留まっている。
従って、例えば、大量のログから異常を見つけ出すといったことへの適用には、不向きな方法である。というのは、通常、ログに記載される事象のほとんどは、正しく、正常に終了されるログであるから、異常が発生したことを示すログは、ほんの僅かか、あるいは存在しない場合もあるからに他ならない。ログの異常検知は、予めどのようなログが異常であるのか、が判っていれば、検索することも可能であるが、システムが複雑でログのパターンが多い場合には、困難であり、又特定のシステムに有効な検索方法であっても、他の異なるシステムやシステムの変化に対して高性能を保つことができないといったことになり、柔軟性に欠ける。このようなことから、大量のログに対して異常な事象があるか、否かを上記した従来技術におけると同様の方法を適用することにより確認するのは、コストのかかる作業となり、有効な方法と言えない。
なお、従来例として示した上記特許文献3,4には、装置を保守・管理するために、ログ情報を解析することが記されているが、ログを解析する方法自体については、特筆されていない。従って、これらの従来例から、例えば、大量のログから異常を見つけ出すための有効な解決手段は得られない。
本発明は、情報処理装置(システム)上で発生したログの解析に用いられる従来技術の上記した問題点に鑑み、これを解決するためになされたもので、装置(システム)の変化に対しても、安定した解析性能が得られ、例えば、大量のログから異常を見つけ出すといったことへの適用も含め、より高い性能でログの解析を行うことを解決すべき課題とする。
従って、例えば、大量のログから異常を見つけ出すといったことへの適用には、不向きな方法である。というのは、通常、ログに記載される事象のほとんどは、正しく、正常に終了されるログであるから、異常が発生したことを示すログは、ほんの僅かか、あるいは存在しない場合もあるからに他ならない。ログの異常検知は、予めどのようなログが異常であるのか、が判っていれば、検索することも可能であるが、システムが複雑でログのパターンが多い場合には、困難であり、又特定のシステムに有効な検索方法であっても、他の異なるシステムやシステムの変化に対して高性能を保つことができないといったことになり、柔軟性に欠ける。このようなことから、大量のログに対して異常な事象があるか、否かを上記した従来技術におけると同様の方法を適用することにより確認するのは、コストのかかる作業となり、有効な方法と言えない。
なお、従来例として示した上記特許文献3,4には、装置を保守・管理するために、ログ情報を解析することが記されているが、ログを解析する方法自体については、特筆されていない。従って、これらの従来例から、例えば、大量のログから異常を見つけ出すための有効な解決手段は得られない。
本発明は、情報処理装置(システム)上で発生したログの解析に用いられる従来技術の上記した問題点に鑑み、これを解決するためになされたもので、装置(システム)の変化に対しても、安定した解析性能が得られ、例えば、大量のログから異常を見つけ出すといったことへの適用も含め、より高い性能でログの解析を行うことを解決すべき課題とする。
請求項1の発明は、装置上で発生した事象を構成要素とするログを管理する機能を有する情報処理装置であって、所定形式の事象データにより表されたログを蓄積するログ蓄積手段と、前記ログ蓄積手段に蓄積されたログを事象毎に対比し、その結果をもとにログ同士の類似度を得る類似度取得手段と、ログ全体から前記類似度取得手段により得られたログ同士の類似度をもとに各ログの出現頻度を算出するログ出現頻度算出手段と、前記ログ出現頻度算出手段により算出された各ログの出現頻度に応じて出力するログを選択する出力ログ選択手段を備えたことを特徴とする情報処理装置である。
請求項2の発明は、請求項1に記載された情報処理装置において、前記類似度取得手段は、データ形式とデータ内容を考慮して類似度を判定するようにしたことを特徴とするものである。
請求項2の発明は、請求項1に記載された情報処理装置において、前記類似度取得手段は、データ形式とデータ内容を考慮して類似度を判定するようにしたことを特徴とするものである。
請求項3の発明は、請求項1又は2に記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で受け取った外部情報処理装置におけるログを対象に加えて、前記ログ出現頻度算出手段によって出現頻度を算出し、この出現頻度を前記通信インタフェース経由で前記外部情報処理装置に返信するようにしたことを特徴とするものである。
請求項4の発明は、請求項1乃至3のいずれかに記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で外部情報処理装置に前記ログ蓄積手段に蓄積されたログから選択されたログの出現頻度の算出を依頼し、前記通信インタフェース経由で返信されてくる対象ログの出現頻度を前記ログ出現頻度算出に反映させるようにしたことを特徴とするものである。
請求項5の発明は、コンピュータを請求項1乃至4のいずれかに記載された情報処理装置の前記各々の処理手段として機能させるためのプログラムである。
請求項4の発明は、請求項1乃至3のいずれかに記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で外部情報処理装置に前記ログ蓄積手段に蓄積されたログから選択されたログの出現頻度の算出を依頼し、前記通信インタフェース経由で返信されてくる対象ログの出現頻度を前記ログ出現頻度算出に反映させるようにしたことを特徴とするものである。
請求項5の発明は、コンピュータを請求項1乃至4のいずれかに記載された情報処理装置の前記各々の処理手段として機能させるためのプログラムである。
請求項1の発明によると、ログを要素(事象)毎に対比した結果をもとにログ同士の類似度を求め、この操作をログ全体に渡って行い、得た結果に基づいて、各ログの出現頻度を算出するようにしたので、ログ情報の完全一致で出現頻度を求める従来技術に比べ、より高い性能でログの出現頻度の解析をすることが可能になり、特に、大量のログから異常を見つけ出すといったことに有効な手段を提供することが可能になる。
また、請求項2の発明によると、要素(事象)毎に類似度を判定する際に、データ形式とデータ内容を考慮して、ログの特性に応じた判定条件を設定するようにしたので、柔軟かつ正確な出現頻度を得ることが可能になる。
また、請求項3,4の発明によると、情報処理装置同士でネットワークを介してログ情報の交換を可能にする拡張機能を備えるようにしたことにより、ログの出現頻度の解析が普遍化され、誤った判断を導かないようにすることが可能になる。
また、請求項5の発明によると、コンピュータを請求項1乃至4に記載された情報処理装置を構成する処理手段として機能させるようにしたことにより、所期のログ管理機能を実現するための手段を容易に提供することが可能になる。
また、請求項2の発明によると、要素(事象)毎に類似度を判定する際に、データ形式とデータ内容を考慮して、ログの特性に応じた判定条件を設定するようにしたので、柔軟かつ正確な出現頻度を得ることが可能になる。
また、請求項3,4の発明によると、情報処理装置同士でネットワークを介してログ情報の交換を可能にする拡張機能を備えるようにしたことにより、ログの出現頻度の解析が普遍化され、誤った判断を導かないようにすることが可能になる。
また、請求項5の発明によると、コンピュータを請求項1乃至4に記載された情報処理装置を構成する処理手段として機能させるようにしたことにより、所期のログ管理機能を実現するための手段を容易に提供することが可能になる。
本発明の情報処理装置は、装置上で発生した事象を構成要素とするログの管理機能を有し、この機能の1つとして、ログの出現頻度の解析を行い、解析結果によって出力するログを選択することを可能にする。このログ管理機能は、ユーザの入力操作に利便性を付与するための情報の提示、或いは装置の保守・管理、といったことへ利用され、ログ情報の利用性が拡張される。
ログの出現頻度の解析は、従来、ログの完全一致を条件に頻度を求める方法を採用していたが、完全一致による方法では、例えば、大量のログから異常を見つけ出すといった場合には、不向きであり、又システムの変化に対する柔軟性に欠けるという問題が生じる(上記[発明が解決しようとする課題]の項、参照)。
そこで、本発明では、完全一致では無く、ログを事象毎に対比し、その結果をもとにログ同士の類似度をもとにした解析方法を用いる。ただ、装置上で発生した事象を記載したログのデータ形式は様々であり、記号や数字等の他にメッセージなどの文字列を扱う場合があり、しかも文字列の場合には一定の形式によらずに、同じような事象でも条件によって微妙に変化する場合がある。また、ログに記載されている事象の全てが類似度の判定に使用できるわけではない。従って、ログに記載されている事象(要素)のうち、類似度を求めるために使用できるもの、できないものを予め定め、また、使用できる事象でも、事象によって、完全一致とするか、一致の度合いとするか、即ちそれぞれの事象に重みをつけて、類似度を求めるための計算をする。
ログ同士の類似度は、上記のように、各事象の対比の結果として得られる類似度をもとに、最終的に1つの類似度が求められる。このログ同士の類似度は、ログ全体に渡って求められ、得られる結果にもとづき、各ログの出現頻度が計算される。
このような解析方法を用いることによって、より高い性能でログの解析を行い、さらに装置(システム)の変化に対しても、安定した解析性能が得られるようになる。
ログの出現頻度の解析は、従来、ログの完全一致を条件に頻度を求める方法を採用していたが、完全一致による方法では、例えば、大量のログから異常を見つけ出すといった場合には、不向きであり、又システムの変化に対する柔軟性に欠けるという問題が生じる(上記[発明が解決しようとする課題]の項、参照)。
そこで、本発明では、完全一致では無く、ログを事象毎に対比し、その結果をもとにログ同士の類似度をもとにした解析方法を用いる。ただ、装置上で発生した事象を記載したログのデータ形式は様々であり、記号や数字等の他にメッセージなどの文字列を扱う場合があり、しかも文字列の場合には一定の形式によらずに、同じような事象でも条件によって微妙に変化する場合がある。また、ログに記載されている事象の全てが類似度の判定に使用できるわけではない。従って、ログに記載されている事象(要素)のうち、類似度を求めるために使用できるもの、できないものを予め定め、また、使用できる事象でも、事象によって、完全一致とするか、一致の度合いとするか、即ちそれぞれの事象に重みをつけて、類似度を求めるための計算をする。
ログ同士の類似度は、上記のように、各事象の対比の結果として得られる類似度をもとに、最終的に1つの類似度が求められる。このログ同士の類似度は、ログ全体に渡って求められ、得られる結果にもとづき、各ログの出現頻度が計算される。
このような解析方法を用いることによって、より高い性能でログの解析を行い、さらに装置(システム)の変化に対しても、安定した解析性能が得られるようになる。
上記のようなログの解析が可能なログ管理機能を備えた情報処理装置(システム)に係わる実施形態を説明する
図1は、本実施形態に係わる情報処理装置(システム)の概略構成を示す。
図1において、情報処理装置100が本発明の実施装置であり、処理システム110と、ログ管理システム130及びログ出力アプリケーション150を本実施形態のログ管理に係わる構成要素として有する。
処理システム110は、処理対象の情報を処理要求に応えて処理する手段を備えたシステムであり、特定の処理システムに限定されるものではない。ただ、処理システム110は、ログ管理システム130によってログが管理されるので、処理システム上で発生する事象を要素とするログ情報を管理システム側で入力インタフェースが理解できるフォーマットで作成し、このログ情報をログ管理システム130に入力する。
ログ管理システム130は、ログ情報をストレージ134に蓄積し、ログの管理に用いる。処理システム110から入力インタフェース131を通して入力されたログ情報は、ストレージ134に蓄積するまでの処理パスに設けた、整形部132でストレージ134に蓄積可能なデータとしての形式を整え、書き出し部133によって整形部132からストレージ134に書き出される。なお、ストレージ134は、ログデータの蓄積を行うのであるから、磁気または光ディスクのようにデータを永続化できるものが望ましいが、メモリ等でも構わない。
図1は、本実施形態に係わる情報処理装置(システム)の概略構成を示す。
図1において、情報処理装置100が本発明の実施装置であり、処理システム110と、ログ管理システム130及びログ出力アプリケーション150を本実施形態のログ管理に係わる構成要素として有する。
処理システム110は、処理対象の情報を処理要求に応えて処理する手段を備えたシステムであり、特定の処理システムに限定されるものではない。ただ、処理システム110は、ログ管理システム130によってログが管理されるので、処理システム上で発生する事象を要素とするログ情報を管理システム側で入力インタフェースが理解できるフォーマットで作成し、このログ情報をログ管理システム130に入力する。
ログ管理システム130は、ログ情報をストレージ134に蓄積し、ログの管理に用いる。処理システム110から入力インタフェース131を通して入力されたログ情報は、ストレージ134に蓄積するまでの処理パスに設けた、整形部132でストレージ134に蓄積可能なデータとしての形式を整え、書き出し部133によって整形部132からストレージ134に書き出される。なお、ストレージ134は、ログデータの蓄積を行うのであるから、磁気または光ディスクのようにデータを永続化できるものが望ましいが、メモリ等でも構わない。
本実施形態において、ログの管理機能として、ログの出現頻度の解析を行い、解析結果によって出力するログを選択する機能を備える。本例では、この機能を用いて選択されたログ情報は、ログ出力アプリケーション150で表示出力用のデータとして利用される。
従って、ストレージ134からログ出力アプリケーション150までの処理パスに、読み出し部135、出現頻度計算部136、頻度情報テーブル137、フィルタ138及び表示インタフェース139がこの機能を実現する手段として設けられる。なお、本例では、ログ出力アプリケーション150が情報処理装置100内に設けられる例を示したが、別の独立したシステムにあっても良い。
この機能を利用する際、ログ出力アプリケーション150からログ情報の表示要求が、表示インタフェース139を介してログ管理システム130に送られる。ログ管理システム130側は、この要求に応じて、読み出し部135がストレージ134からログ情報を読み出し、出現頻度計算部136に送る。出現頻度計算部136は、上記したように、ログの各事象レベルでログ同士の類似度を解析した結果にもとづき、各ログの出現頻度を計算し(出現頻度計算の具体例は、後記で詳述)、頻度情報テーブル137にその結果を格納する。なお、頻度情報テーブル137は、メモリ等の高速アクセス可能な記録媒体上に作られるのが望ましいが、ディスク上に作成されても構わない。
頻度情報テーブル137に格納された頻度情報は、フィルタ138に送られ、そこに設定されている頻度の閾値に基づき、出力すべきログが選択される。この時に設定される頻度の閾値は、ログ出力アプリケーション150の要求に応じるようにするためには、表示インタフェース139を通して、ログ出力アプリケーション150から設定可能にすれば良い。表示インタフェース139は、フィルタ138によって選択されたログを特定するログ識別情報をもとに、読み出し部135を通じてストレージ134から該当するログ識別情報を持つログのログ情報を読み出し、ログ出力アプリ150へ送る。
なお、本実施形態(図1)では、情報処理装置100内に処理システム110及びログ管理システム130を備える例を示したが、処理システム110とログ管理システム130をそれぞれ別の独立した装置として構成しても良い。
従って、ストレージ134からログ出力アプリケーション150までの処理パスに、読み出し部135、出現頻度計算部136、頻度情報テーブル137、フィルタ138及び表示インタフェース139がこの機能を実現する手段として設けられる。なお、本例では、ログ出力アプリケーション150が情報処理装置100内に設けられる例を示したが、別の独立したシステムにあっても良い。
この機能を利用する際、ログ出力アプリケーション150からログ情報の表示要求が、表示インタフェース139を介してログ管理システム130に送られる。ログ管理システム130側は、この要求に応じて、読み出し部135がストレージ134からログ情報を読み出し、出現頻度計算部136に送る。出現頻度計算部136は、上記したように、ログの各事象レベルでログ同士の類似度を解析した結果にもとづき、各ログの出現頻度を計算し(出現頻度計算の具体例は、後記で詳述)、頻度情報テーブル137にその結果を格納する。なお、頻度情報テーブル137は、メモリ等の高速アクセス可能な記録媒体上に作られるのが望ましいが、ディスク上に作成されても構わない。
頻度情報テーブル137に格納された頻度情報は、フィルタ138に送られ、そこに設定されている頻度の閾値に基づき、出力すべきログが選択される。この時に設定される頻度の閾値は、ログ出力アプリケーション150の要求に応じるようにするためには、表示インタフェース139を通して、ログ出力アプリケーション150から設定可能にすれば良い。表示インタフェース139は、フィルタ138によって選択されたログを特定するログ識別情報をもとに、読み出し部135を通じてストレージ134から該当するログ識別情報を持つログのログ情報を読み出し、ログ出力アプリ150へ送る。
なお、本実施形態(図1)では、情報処理装置100内に処理システム110及びログ管理システム130を備える例を示したが、処理システム110とログ管理システム130をそれぞれ別の独立した装置として構成しても良い。
ここで、ログの出現頻度の計算について、実施例に基づいて詳細に説明する。
図2は、ログの構成を説明し、本実施例のログを示すものである。
図2(B)の各行はログで、この例には6つのログが示されている。各行に示すログは、カンマで区切られた要素を持っている。要素は、図2(A)に示すように、「Serial Number」を先頭に、以下順に、装置上で発生した事象を表す「Date Time」「Error Code」「Error Message」「User」を持つ。なお、これらの要素は、一般的には、ログを表形式で出力することを考慮して、分けられていることが多い。
本実施形態では、各行について出現頻度を求めるが、出現頻度を計算する際に、上記の要素分けした各事象のレベルでログを解析する。基本的には、各行について事象レベルでログ同士の類似度を調べ、ログ全体に渡って求められたログ同士の類似度をもとに、各ログの出現頻度が計算される。
つまり、各ログについて、ログ同士の類似度をログ全体で求め、これらのトータル値が算出される。この各ログのトータル値は、値が大きい程、出現頻度が高く、逆に、トータル値が小さい程、出現頻度が低く、特異なログである、ということを表す値(出現頻度値)となる。
図2は、ログの構成を説明し、本実施例のログを示すものである。
図2(B)の各行はログで、この例には6つのログが示されている。各行に示すログは、カンマで区切られた要素を持っている。要素は、図2(A)に示すように、「Serial Number」を先頭に、以下順に、装置上で発生した事象を表す「Date Time」「Error Code」「Error Message」「User」を持つ。なお、これらの要素は、一般的には、ログを表形式で出力することを考慮して、分けられていることが多い。
本実施形態では、各行について出現頻度を求めるが、出現頻度を計算する際に、上記の要素分けした各事象のレベルでログを解析する。基本的には、各行について事象レベルでログ同士の類似度を調べ、ログ全体に渡って求められたログ同士の類似度をもとに、各ログの出現頻度が計算される。
つまり、各ログについて、ログ同士の類似度をログ全体で求め、これらのトータル値が算出される。この各ログのトータル値は、値が大きい程、出現頻度が高く、逆に、トータル値が小さい程、出現頻度が低く、特異なログである、ということを表す値(出現頻度値)となる。
上記実施例(図2)のログの場合、ログの要素(事象)の全てが類似度解析に適しているわけではない。ログの要素(事象)の中、実際には、どれを類似度の解析に使用するかを決定し、出現頻度計算部136にその情報を設定しておく。
「Serial Number」は、発生順に付けられた通し番号であり、必ず各行ごとに異なるので、類似度の解析に用いるのには、不向きである。また、「Date Time」は、ログの書き込まれた(あるいは事象の発生した)日時であり、これも類似度の解析に用いるのには、不向きである。
「Error Code」は、一文字違うだけでも、全く違う意味になる可能性があるので、類似度の解析では、完全一致するか、どうかの判断によって、評価すべき要素である。
「Error Message」は、文字列で表現されるので、文字列の内容によって類似度が解析され、評価は、類似の度合いで表わされる。解析方法は、ログの文字列で使用される言語や文字列の長さ等をファクタとして考慮し、最適精度が得られるものが選択される。
「User」はユーザー名であるが、類似度の解析に使用するかどうかの判断は、解析結果の利用目的に必要な要素であるか、否かの判断による。
また、各行の出現頻度は、上記のように、要素(事象)レベルで調べた類似度によりログ同士の類似度を求め、ログ全体に渡って求められたログ同士の類似度をもとに、各ログの出現頻度を計算する、という過程を経て得られる。この過程では、その都度、得られる値を掛け合わせたり、足し合わせたり、あるいは各要素ごとに重みをつける、といった操作を行い、類似度を表す値の調節を行うことにより、より適正な値を得ることが可能になる。
「Serial Number」は、発生順に付けられた通し番号であり、必ず各行ごとに異なるので、類似度の解析に用いるのには、不向きである。また、「Date Time」は、ログの書き込まれた(あるいは事象の発生した)日時であり、これも類似度の解析に用いるのには、不向きである。
「Error Code」は、一文字違うだけでも、全く違う意味になる可能性があるので、類似度の解析では、完全一致するか、どうかの判断によって、評価すべき要素である。
「Error Message」は、文字列で表現されるので、文字列の内容によって類似度が解析され、評価は、類似の度合いで表わされる。解析方法は、ログの文字列で使用される言語や文字列の長さ等をファクタとして考慮し、最適精度が得られるものが選択される。
「User」はユーザー名であるが、類似度の解析に使用するかどうかの判断は、解析結果の利用目的に必要な要素であるか、否かの判断による。
また、各行の出現頻度は、上記のように、要素(事象)レベルで調べた類似度によりログ同士の類似度を求め、ログ全体に渡って求められたログ同士の類似度をもとに、各ログの出現頻度を計算する、という過程を経て得られる。この過程では、その都度、得られる値を掛け合わせたり、足し合わせたり、あるいは各要素ごとに重みをつける、といった操作を行い、類似度を表す値の調節を行うことにより、より適正な値を得ることが可能になる。
ログの出現頻度の計算例を、上記した実施例のログ(図2(B))におけるSerial Number1のログで行った場合について、以下に示す。
類似度の解析に用いる要素(事象)としては、上記のように、「Serial Number」「Date Time」は不向きであるし、本例では、「User」も適当ではないので、「Error Code」と「Error Message」が用いられる。
「Error Code」の類似度の判定は、完全一致を使用し、一致の場合は“1”、一致しない場合には“0”を値とする。「Error Message」の類似度は、文字列中に含まれる単語を調べ、一致する単語数の全単語数に対する割合を値とする。なお、簡単のため、全ての行で文字列の単語数は等しいとする。
ログ同士(ログ単位)の類似度は、上記のようにして求めた各要素の類似度を掛け合わせて、即ち、“ Error Codeの類似度 × Error Messageの類似度 ”として得るものとする。
また、ログ全体に渡って順次ログ同士を比較して得られる類似度を、足し合わせることによって、1つのログの出現頻度値として算出する。即ち、Serial Number1のログ(以下、Serial Number1のログ〜Serial Number6のログをそれぞれ「ログ1」〜「ログ6」と記す)の場合、“ ログ2に対する類似度 + ログ3に対する類似度 + ログ4に対する類似度 + ログ5に対する類似度 + 6ログに対する類似度 ”として出現頻度値を算出する。
類似度の解析に用いる要素(事象)としては、上記のように、「Serial Number」「Date Time」は不向きであるし、本例では、「User」も適当ではないので、「Error Code」と「Error Message」が用いられる。
「Error Code」の類似度の判定は、完全一致を使用し、一致の場合は“1”、一致しない場合には“0”を値とする。「Error Message」の類似度は、文字列中に含まれる単語を調べ、一致する単語数の全単語数に対する割合を値とする。なお、簡単のため、全ての行で文字列の単語数は等しいとする。
ログ同士(ログ単位)の類似度は、上記のようにして求めた各要素の類似度を掛け合わせて、即ち、“ Error Codeの類似度 × Error Messageの類似度 ”として得るものとする。
また、ログ全体に渡って順次ログ同士を比較して得られる類似度を、足し合わせることによって、1つのログの出現頻度値として算出する。即ち、Serial Number1のログ(以下、Serial Number1のログ〜Serial Number6のログをそれぞれ「ログ1」〜「ログ6」と記す)の場合、“ ログ2に対する類似度 + ログ3に対する類似度 + ログ4に対する類似度 + ログ5に対する類似度 + 6ログに対する類似度 ”として出現頻度値を算出する。
上記した出現頻度値の算出手順によると、ログ1(Serial Number1)の場合、まず、ログ1と ログ2を比較して、ログ同士の類似度を得る。
比較に使用するのは 「Error Code」と「Error Message」である。ログ1と ログ2の Error Codeは異なるため、Error Code の類似度は“0”である。ログ同士の類似度は、各要素の類似度の掛け算であるため、一つでも“0”の要素があれば全体も“0”となる。従って、ログ1と ログ2の類似度は“0”となる。
ログ管理システム130は、各行の出現頻度に関する情報を保持している。この情報は、図3に示すように、Serial Numberに対応付けて、表形式で各行の出現頻度を保持している。なお、図3に示す表は、(A)→(B)→(C)→(D)→(E)の順で行われる、ログ1の出現頻度の算出過程を説明するものである。また、図3の(F)は、図2(B)のログ全体についての算出結果として得られた出現頻度表を示す。
図3(A)は、ログ1と ログ2を比較して、ログ同士の類似度を求め、得られた結果を出現頻度に反映した結果が示されている。ログ1〜ログ6の各ログの出現頻度を表す値の初期値は“0”であり、この値に、ログ1と ログ2の類似度の計算結果をプラスする。今回は、ログ1と ログ2の類似度を表す値は“0”であり、この値が足されている。
比較に使用するのは 「Error Code」と「Error Message」である。ログ1と ログ2の Error Codeは異なるため、Error Code の類似度は“0”である。ログ同士の類似度は、各要素の類似度の掛け算であるため、一つでも“0”の要素があれば全体も“0”となる。従って、ログ1と ログ2の類似度は“0”となる。
ログ管理システム130は、各行の出現頻度に関する情報を保持している。この情報は、図3に示すように、Serial Numberに対応付けて、表形式で各行の出現頻度を保持している。なお、図3に示す表は、(A)→(B)→(C)→(D)→(E)の順で行われる、ログ1の出現頻度の算出過程を説明するものである。また、図3の(F)は、図2(B)のログ全体についての算出結果として得られた出現頻度表を示す。
図3(A)は、ログ1と ログ2を比較して、ログ同士の類似度を求め、得られた結果を出現頻度に反映した結果が示されている。ログ1〜ログ6の各ログの出現頻度を表す値の初期値は“0”であり、この値に、ログ1と ログ2の類似度の計算結果をプラスする。今回は、ログ1と ログ2の類似度を表す値は“0”であり、この値が足されている。
次に、ログ1と ログ3を比較して、ログ同士の類似度を得る。ログ1と ログ3の Error Codeは異なるため、Error Code の類似度の算出結果は“0”となる。
従って、この場合も、図3(B)に示すように、各ログの出現頻度を表す値は、初期値の“0”に、ログ1と ログ3の類似度の計算結果である“0”の値が足されている。
次に、ログ1と ログ4を比較して、ログ同士の類似度を得る。ログ1と ログ4の Error Codeは等しいので、Error Code の類似度の算出結果は“1”となる。また、Error Message も等しいため、ここでも類似度の算出結果は“1”となる。ログ単位の類似度は、各要素の類似度の掛け合わせであるから、このログ同士の類似度の算出結果は“1”となる。
従って、ログ1と ログ4の場合は、図3(C)に示すように、各ログの出現頻度を表す値は、初期値の“0”に、ログ1と ログ4の類似度の計算結果である“1”の値が足されており、それぞれ“1”となっている。
従って、この場合も、図3(B)に示すように、各ログの出現頻度を表す値は、初期値の“0”に、ログ1と ログ3の類似度の計算結果である“0”の値が足されている。
次に、ログ1と ログ4を比較して、ログ同士の類似度を得る。ログ1と ログ4の Error Codeは等しいので、Error Code の類似度の算出結果は“1”となる。また、Error Message も等しいため、ここでも類似度の算出結果は“1”となる。ログ単位の類似度は、各要素の類似度の掛け合わせであるから、このログ同士の類似度の算出結果は“1”となる。
従って、ログ1と ログ4の場合は、図3(C)に示すように、各ログの出現頻度を表す値は、初期値の“0”に、ログ1と ログ4の類似度の計算結果である“1”の値が足されており、それぞれ“1”となっている。
次に、ログ1と ログ5を比較して、ログ同士の類似度を得る。この場合、ログ4とログ5は等しいので、ログ1と ログ4の関係と同じになり、ログ同士の類似度の算出結果は“1”となる。
従って、ログ1と ログ5の場合は、図3(D)に示すように、ログ1の出現頻度を表す値については、既にログ4との関係で“1”となっている(図3(C)、参照)ので、この値にログ1と ログ5の類似度の計算結果である“1”の値が加えられて、“2”となる。また、ログ5の出現頻度を表す値については、初期値の“0”に、ログ1と ログ5の類似度の計算結果である“1”の値が足されて、“1”となる。
次に、ログ1と ログ6を比較して、ログ同士の類似度を得る。ログ1と ログ6の Error Codeは異なるため、Error Code の類似度の算出結果は“0”となる。
従って、ログ1と ログ6の場合は、図3(E)に示すように、ログ1の出現頻度を表す値については、既にログ4及びログ5との関係で“1”となっている(図3(C)、(D)参照)ので、この値にログ1と ログ6の類似度の計算結果である“0”の値が足されて、“2”となる。また、ログ6の出現頻度を表す値については、初期値の“0”に、ログ1と ログ6の類似度の計算結果である“0”の値が足されて、“0”となる。
上記のように、ログ1と他の全てのログについて、類似度を求めた結果、ログ全体におけるログ1の出現頻度を表す値が“2”と確定する。
従って、ログ1と ログ5の場合は、図3(D)に示すように、ログ1の出現頻度を表す値については、既にログ4との関係で“1”となっている(図3(C)、参照)ので、この値にログ1と ログ5の類似度の計算結果である“1”の値が加えられて、“2”となる。また、ログ5の出現頻度を表す値については、初期値の“0”に、ログ1と ログ5の類似度の計算結果である“1”の値が足されて、“1”となる。
次に、ログ1と ログ6を比較して、ログ同士の類似度を得る。ログ1と ログ6の Error Codeは異なるため、Error Code の類似度の算出結果は“0”となる。
従って、ログ1と ログ6の場合は、図3(E)に示すように、ログ1の出現頻度を表す値については、既にログ4及びログ5との関係で“1”となっている(図3(C)、(D)参照)ので、この値にログ1と ログ6の類似度の計算結果である“0”の値が足されて、“2”となる。また、ログ6の出現頻度を表す値については、初期値の“0”に、ログ1と ログ6の類似度の計算結果である“0”の値が足されて、“0”となる。
上記のように、ログ1と他の全てのログについて、類似度を求めた結果、ログ全体におけるログ1の出現頻度を表す値が“2”と確定する。
また、ログ2〜ログ6についても、上記と同様に、ログ同士の類似度をもとにした計算過程により出現頻度の計算を行っていく。ただし、ログ同士の類似度を求める時、例えばログ2の場合、改めてログ2と ログ1の類似度を計算する必要はない。これは、ログ1を計算した時に、ログ2に対する類似度は計算されて、保存されているからである。
こうして全てのログについて出現頻度の計算を行うと、図3(F)に示す完成された出現頻度の表が得られる。
なお、図3(F)に示す出現頻度の表において、ログ3及びログ6に対する出現頻度値がいずれも“0.5”となっている。この値は、ログ3とログ6のError Codeは等しいので、Error Code の類似度の算出結果は“1”となるが、Error Messageの単語の一部が異なることによるものである。ここでは2つある単語の1つが一致するので、類似度値として“0.5”となるケースで、結果として、ログ同士の類似度はこの値になる。
図3(F)に示す出現頻度の表では、出現頻度を表す値が大きいもの程、頻繁に発生する問題のないログであり、逆に、出現頻度を表す値が小さいものほど特異なログとなる。従って、一番特異なのはSerial Number 2の行のログということになる。出現頻度の低いもの、即ち、珍しいものは、問題が発生した結果出力された可能性が高い、といえる。ログを表示する際に、この出現頻度によって蓄積されたログをフィルタリングすることで、ログの中から手早く問題の発生個所を得ることが可能になる。
こうして全てのログについて出現頻度の計算を行うと、図3(F)に示す完成された出現頻度の表が得られる。
なお、図3(F)に示す出現頻度の表において、ログ3及びログ6に対する出現頻度値がいずれも“0.5”となっている。この値は、ログ3とログ6のError Codeは等しいので、Error Code の類似度の算出結果は“1”となるが、Error Messageの単語の一部が異なることによるものである。ここでは2つある単語の1つが一致するので、類似度値として“0.5”となるケースで、結果として、ログ同士の類似度はこの値になる。
図3(F)に示す出現頻度の表では、出現頻度を表す値が大きいもの程、頻繁に発生する問題のないログであり、逆に、出現頻度を表す値が小さいものほど特異なログとなる。従って、一番特異なのはSerial Number 2の行のログということになる。出現頻度の低いもの、即ち、珍しいものは、問題が発生した結果出力された可能性が高い、といえる。ログを表示する際に、この出現頻度によって蓄積されたログをフィルタリングすることで、ログの中から手早く問題の発生個所を得ることが可能になる。
上記実施形態の情報処理装置(図1参照)が備えるログ管理機能は、単独の装置(システム)上に発生したログを対象にし、外部の情報処理装置(システム)からの情報の提供を受けることを意図したものではない。
単独の装置(システム)の場合、装置内で起きる事象としては特異な事象であっても、他の同種のシステムでは、実はありふれた事象であるという可能性がある。別の場所で運用されている同種のシステムからのログの内容を参照できれば、事象が本当に問題のあるログであるか、問題になりそうな事象がどこで起きているか、といった情報を得ることが可能となる。こうしたログ管理を可能にするシステムとして、同種のシステムのログをログ管理サーバで収集し、一元的に管理するという手段(上記特許文献4、参照)を採用することも考えられる。ただ、この手段をとると、それぞれの処理を行うシステムのほかにサーバーをさらに一つ用意する必要がある。また、ログをサーバーに送るため、ログの量によってはネットワークに負荷がかかる。
そこで、本実施形態では、ログ管理はそれぞれの情報処理装置(システム)で行い、即ち、ログ管理システムを各装置(システム)に備え、このために、ログ管理システムが分散して複数存在することになっても、ログ管理システム同士で通信することで、他システムとの間で相互にそれぞれのログ情報の交換を可能にする。こうしたシステムを構築することによって、上記ログ管理サーバを用いる手段で起きる問題の解消を図り、より普遍化したログ解析を行うことを可能にする。
単独の装置(システム)の場合、装置内で起きる事象としては特異な事象であっても、他の同種のシステムでは、実はありふれた事象であるという可能性がある。別の場所で運用されている同種のシステムからのログの内容を参照できれば、事象が本当に問題のあるログであるか、問題になりそうな事象がどこで起きているか、といった情報を得ることが可能となる。こうしたログ管理を可能にするシステムとして、同種のシステムのログをログ管理サーバで収集し、一元的に管理するという手段(上記特許文献4、参照)を採用することも考えられる。ただ、この手段をとると、それぞれの処理を行うシステムのほかにサーバーをさらに一つ用意する必要がある。また、ログをサーバーに送るため、ログの量によってはネットワークに負荷がかかる。
そこで、本実施形態では、ログ管理はそれぞれの情報処理装置(システム)で行い、即ち、ログ管理システムを各装置(システム)に備え、このために、ログ管理システムが分散して複数存在することになっても、ログ管理システム同士で通信することで、他システムとの間で相互にそれぞれのログ情報の交換を可能にする。こうしたシステムを構築することによって、上記ログ管理サーバを用いる手段で起きる問題の解消を図り、より普遍化したログ解析を行うことを可能にする。
図4は、情報処理装置(システム)間で相互にログ情報の交換を可能にするシステムの概念を示す。
図4において、情報処理装置(1)1001、情報処理装置(2)1002、情報処理装置(3)1003及び情報処理装置(4)1004は、それぞれ同種の処理を行う装置である。即ち、それぞれが、同じ処理をして同じ形式のログを出す情報処理装置として、上記実施形態(図1、参照)におけるログ管理機能に加え、装置間でネットワークを介してログ情報の交換を可能にする拡張機能に必要な要素を持つログ管理システム(後述の図5に関する説明、参照)を備え、ネットワーク300によって接続されている。ネットワーク300は、LAN(Local Area Network)でもよいし、WAN(Wide Area Network)やインターネットでもよい。なお、本実施形態では、インターネットを想定している。
図4の情報処理装置(1)1001〜情報処理装置(4)1004は、それぞれの装置上で発生するログの出現頻度を調べて異常のありそうなログを、上記実施形態(図1、参照)におけると同様に抽出するが、単独装置内だけではなく、他の同種の装置内にあるログ情報も調査できれば、問題解決や障害の防止に大きな効果がある。
例えば、図4の情報処理装置(1)1001で出現頻度の低い、異常と考えられるログが発見されたとする。同種のログが、情報処理装置(2)1002や情報処理装置(3)1003でも頻度の低いログである場合には、異常である可能性がより高くなる。他方、情報処理装置(1)1001では頻度の低いログであったとしても、情報処理装置(2)1002や情報処理装置(3)1003では、頻度の高いログであった場合には、異常ではない可能性が高くなり、異常への対応を不要にすることにもなる。このように、同種のログが発生している各装置間の共通点を調べることによって問題の解析を容易にする。また、他の装置では全く発生していないログであれば、それはそのシステムに固有の問題ということになるので、他システムとの相違点を調べることによってやはり問題の解析を容易にする。
なお、情報処理装置(4)1004は、他の情報処理装置から見るとファイアウォール500の外にある。インターネット上に情報処理装置(1)1001〜情報処理装置(4)1004がそれぞれあって、物理的な場所や会社が違ったりする場合には、ファイアウォール500を設けることが一般的である。このような場合に、各情報処理装置間で連携を取る場合には、装置にWebサービスの仕組みを導入することを考慮する必要がある。
図4において、情報処理装置(1)1001、情報処理装置(2)1002、情報処理装置(3)1003及び情報処理装置(4)1004は、それぞれ同種の処理を行う装置である。即ち、それぞれが、同じ処理をして同じ形式のログを出す情報処理装置として、上記実施形態(図1、参照)におけるログ管理機能に加え、装置間でネットワークを介してログ情報の交換を可能にする拡張機能に必要な要素を持つログ管理システム(後述の図5に関する説明、参照)を備え、ネットワーク300によって接続されている。ネットワーク300は、LAN(Local Area Network)でもよいし、WAN(Wide Area Network)やインターネットでもよい。なお、本実施形態では、インターネットを想定している。
図4の情報処理装置(1)1001〜情報処理装置(4)1004は、それぞれの装置上で発生するログの出現頻度を調べて異常のありそうなログを、上記実施形態(図1、参照)におけると同様に抽出するが、単独装置内だけではなく、他の同種の装置内にあるログ情報も調査できれば、問題解決や障害の防止に大きな効果がある。
例えば、図4の情報処理装置(1)1001で出現頻度の低い、異常と考えられるログが発見されたとする。同種のログが、情報処理装置(2)1002や情報処理装置(3)1003でも頻度の低いログである場合には、異常である可能性がより高くなる。他方、情報処理装置(1)1001では頻度の低いログであったとしても、情報処理装置(2)1002や情報処理装置(3)1003では、頻度の高いログであった場合には、異常ではない可能性が高くなり、異常への対応を不要にすることにもなる。このように、同種のログが発生している各装置間の共通点を調べることによって問題の解析を容易にする。また、他の装置では全く発生していないログであれば、それはそのシステムに固有の問題ということになるので、他システムとの相違点を調べることによってやはり問題の解析を容易にする。
なお、情報処理装置(4)1004は、他の情報処理装置から見るとファイアウォール500の外にある。インターネット上に情報処理装置(1)1001〜情報処理装置(4)1004がそれぞれあって、物理的な場所や会社が違ったりする場合には、ファイアウォール500を設けることが一般的である。このような場合に、各情報処理装置間で連携を取る場合には、装置にWebサービスの仕組みを導入することを考慮する必要がある。
ここで、装置間でネットワークを介してログ情報の交換を可能にする拡張機能を持つログ管理システムの実施形態について説明する。
図5は、本実施形態のログ管理システムの概略構成を示す。なお、本実施形態は、上記実施形態(図1、参照)をベースにネットワークを介してログ情報の交換を可能にする機能の拡張を図ったものである。従って、図5には、拡張された機能に係わる構成部分のみを示し、他のログ管理システムの要素については、省略されている。
ログ管理システム130は、ネットワーク300を介して相手先装置(ログ管理システム)と相互にログ情報を交換するために、2つの手段を備える。
1つは、相手先装置(ログ管理システム)からのログの解析要求を受け付け、要求に応じてログを解析し、解析結果としての出現頻度情報を要求元の装置に送るための手段である。
また、もう1つは、ログの解析要求を相手先装置(ログ管理システム)に依頼し、相手先から送られてくる解析結果としての情報を受け取るための手段である。
図5は、本実施形態のログ管理システムの概略構成を示す。なお、本実施形態は、上記実施形態(図1、参照)をベースにネットワークを介してログ情報の交換を可能にする機能の拡張を図ったものである。従って、図5には、拡張された機能に係わる構成部分のみを示し、他のログ管理システムの要素については、省略されている。
ログ管理システム130は、ネットワーク300を介して相手先装置(ログ管理システム)と相互にログ情報を交換するために、2つの手段を備える。
1つは、相手先装置(ログ管理システム)からのログの解析要求を受け付け、要求に応じてログを解析し、解析結果としての出現頻度情報を要求元の装置に送るための手段である。
また、もう1つは、ログの解析要求を相手先装置(ログ管理システム)に依頼し、相手先から送られてくる解析結果としての情報を受け取るための手段である。
前者(ログ解析要求の受付)の手段として、ネットワーク300に接続された頻度計算要求受付I/F(インタフェース)142を有しており、ネットワーク上に存在する相手先ログ管理システムからログの解析を要求して送られてくる出現頻度計算の対象となるログ情報(以下「計算対象ログ」と記す)を受け取る。計算対象ログは、出現頻度計算部136へ送られる。
出現頻度計算部136では、計算対象ログを受け取ると、読み出し部135を通じて、ストレージ134から自システム中に蓄えられているログ情報を読み出し、自システムの全ログ情報に対する計算対象ログの出現頻度を計算する。なお、出現頻度計算は、先の実施形態におけると同様に行われる。即ち、図2及び図3の例を引くと、図2(B)のログ(蓄積されているログ群)の1つに計算対象ログを加えて、図3を参照して説明した計算過程で全ログ中における各ログの出現頻度が算出され、その1つに計算対象ログが含まれる。
上記のようにして計算された出現頻度は、頻度計算要求受付I/F142からネットワークを通じて要求元へ送信される。この時に、送信される出現頻度情報は、全ログを送ることが望ましいが、計算対象ログのみでも良い。
後者(ログの解析依頼)の手段として、ネットワーク300に接続された頻度計算要求I/F141を有している。
解析を依頼する時、自システムで発生し、ストレージ134に蓄えられているログ情報の中から計算対象ログを選択し、頻度計算要求I/F141を通じてネットワーク上に存在する他システムへ送信する。依頼に応じて他システムで計算結果として得られた出現頻度は、再び頻度計算要求I/F141を通じて返信される。
出現頻度計算部136では、計算対象ログを受け取ると、読み出し部135を通じて、ストレージ134から自システム中に蓄えられているログ情報を読み出し、自システムの全ログ情報に対する計算対象ログの出現頻度を計算する。なお、出現頻度計算は、先の実施形態におけると同様に行われる。即ち、図2及び図3の例を引くと、図2(B)のログ(蓄積されているログ群)の1つに計算対象ログを加えて、図3を参照して説明した計算過程で全ログ中における各ログの出現頻度が算出され、その1つに計算対象ログが含まれる。
上記のようにして計算された出現頻度は、頻度計算要求受付I/F142からネットワークを通じて要求元へ送信される。この時に、送信される出現頻度情報は、全ログを送ることが望ましいが、計算対象ログのみでも良い。
後者(ログの解析依頼)の手段として、ネットワーク300に接続された頻度計算要求I/F141を有している。
解析を依頼する時、自システムで発生し、ストレージ134に蓄えられているログ情報の中から計算対象ログを選択し、頻度計算要求I/F141を通じてネットワーク上に存在する他システムへ送信する。依頼に応じて他システムで計算結果として得られた出現頻度は、再び頻度計算要求I/F141を通じて返信される。
100,1001,1002,1003,1004・・情報処理装置、
110・・処理システム、 130・・ログ処理システム、
134・・ストレージ、 136・・出現頻度計算部、
137・・頻度情報テーブル、 141・・頻度計算要求I/F、
142・・頻度計算要求受付I/F、 150・・ログ出力アプリケーション、
300・・ネットワーク。
110・・処理システム、 130・・ログ処理システム、
134・・ストレージ、 136・・出現頻度計算部、
137・・頻度情報テーブル、 141・・頻度計算要求I/F、
142・・頻度計算要求受付I/F、 150・・ログ出力アプリケーション、
300・・ネットワーク。
Claims (5)
- 装置上で発生した事象を構成要素とするログを管理する機能を有する情報処理装置であって、所定形式の事象データにより表されたログを蓄積するログ蓄積手段と、前記ログ蓄積手段に蓄積されたログを事象毎に対比し、その結果をもとにログ同士の類似度を得る類似度取得手段と、ログ全体から前記類似度取得手段により得られたログ同士の類似度をもとに各ログの出現頻度を算出するログ出現頻度算出手段と、前記ログ出現頻度算出手段により算出された各ログの出現頻度に応じて出力するログを選択する出力ログ選択手段を備えたことを特徴とする情報処理装置。
- 請求項1に記載された情報処理装置において、前記類似度取得手段は、データ形式とデータ内容を考慮して類似度を判定するようにしたことを特徴とする情報処理装置。
- 請求項1又は2に記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で受け取った外部情報処理装置におけるログを対象に加えて、前記ログ出現頻度算出手段によって出現頻度を算出し、この出現頻度を前記通信インタフェース経由で前記外部情報処理装置に返信するようにしたことを特徴とする情報処理装置。
- 請求項1乃至3のいずれかに記載された情報処理装置において、外部情報処理装置との間で情報を交換する通信インタフェースを備え、前記通信インタフェース経由で外部情報処理装置に前記ログ蓄積手段に蓄積されたログから選択されたログの出現頻度の算出を依頼し、前記通信インタフェース経由で返信されてくる対象ログの出現頻度を前記ログ出現頻度算出に反映させるようにしたことを特徴とする情報処理装置。
- コンピュータを請求項1乃至4のいずれかに記載された情報処理装置の前記各々の処理手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004342688A JP4845001B2 (ja) | 2004-11-26 | 2004-11-26 | 情報処理装置及び同装置に用いるプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004342688A JP4845001B2 (ja) | 2004-11-26 | 2004-11-26 | 情報処理装置及び同装置に用いるプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006155064A true JP2006155064A (ja) | 2006-06-15 |
| JP4845001B2 JP4845001B2 (ja) | 2011-12-28 |
Family
ID=36633315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004342688A Expired - Fee Related JP4845001B2 (ja) | 2004-11-26 | 2004-11-26 | 情報処理装置及び同装置に用いるプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4845001B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0923713A (ja) * | 1995-07-13 | 1997-01-28 | Minoru Sangyo Kk | 播種器 |
| JP2008090504A (ja) * | 2006-09-29 | 2008-04-17 | Oki Electric Ind Co Ltd | コンピュータ保守支援システム及び解析サーバ |
| JP2008140380A (ja) * | 2006-11-30 | 2008-06-19 | Internatl Business Mach Corp <Ibm> | プロセッサ性能計測のための重み付けされたイベント計数方法、プロセッサ、および重み付け性能カウンタ回路(プロセッサ性能計測のための重み付けされたイベント計数システムおよび方法) |
| WO2008129635A1 (ja) * | 2007-04-12 | 2008-10-30 | Fujitsu Limited | 性能障害要因分析プログラムおよび性能障害要因分析装置 |
| KR101621959B1 (ko) * | 2015-12-23 | 2016-05-17 | 주식회사 모비젠 | 로그패턴추출장치, 로그패턴분석장치 및 그 방법 |
| JP2016158303A (ja) * | 2016-05-23 | 2016-09-01 | カシオ計算機株式会社 | 情報管理装置およびプログラム |
| WO2018110327A1 (ja) * | 2016-12-12 | 2018-06-21 | 日本電気株式会社 | 異常識別システム、方法及び記録媒体 |
| JP2020149250A (ja) * | 2019-03-12 | 2020-09-17 | 富士通株式会社 | 出力プログラム、出力方法および情報処理装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001188694A (ja) * | 2000-01-05 | 2001-07-10 | Hitachi Information Systems Ltd | イベントログの発生頻度分布表の表示方法および発生パターンの識別方法、ならびにそれらのプログラムを記録した記録媒体 |
| JP2002055853A (ja) * | 2000-05-31 | 2002-02-20 | Toshiba Corp | ログ比較デバッグ支援装置および方法およびプログラム |
| JP2003203001A (ja) * | 2001-12-28 | 2003-07-18 | Toshiba Corp | ログ解析方法、ログ解析プログラム |
-
2004
- 2004-11-26 JP JP2004342688A patent/JP4845001B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001188694A (ja) * | 2000-01-05 | 2001-07-10 | Hitachi Information Systems Ltd | イベントログの発生頻度分布表の表示方法および発生パターンの識別方法、ならびにそれらのプログラムを記録した記録媒体 |
| JP2002055853A (ja) * | 2000-05-31 | 2002-02-20 | Toshiba Corp | ログ比較デバッグ支援装置および方法およびプログラム |
| JP2003203001A (ja) * | 2001-12-28 | 2003-07-18 | Toshiba Corp | ログ解析方法、ログ解析プログラム |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0923713A (ja) * | 1995-07-13 | 1997-01-28 | Minoru Sangyo Kk | 播種器 |
| JP2008090504A (ja) * | 2006-09-29 | 2008-04-17 | Oki Electric Ind Co Ltd | コンピュータ保守支援システム及び解析サーバ |
| JP2008140380A (ja) * | 2006-11-30 | 2008-06-19 | Internatl Business Mach Corp <Ibm> | プロセッサ性能計測のための重み付けされたイベント計数方法、プロセッサ、および重み付け性能カウンタ回路(プロセッサ性能計測のための重み付けされたイベント計数システムおよび方法) |
| WO2008129635A1 (ja) * | 2007-04-12 | 2008-10-30 | Fujitsu Limited | 性能障害要因分析プログラムおよび性能障害要因分析装置 |
| JP5299272B2 (ja) * | 2007-04-12 | 2013-09-25 | 富士通株式会社 | 分析プログラムおよび分析装置 |
| KR101621959B1 (ko) * | 2015-12-23 | 2016-05-17 | 주식회사 모비젠 | 로그패턴추출장치, 로그패턴분석장치 및 그 방법 |
| JP2016158303A (ja) * | 2016-05-23 | 2016-09-01 | カシオ計算機株式会社 | 情報管理装置およびプログラム |
| WO2018110327A1 (ja) * | 2016-12-12 | 2018-06-21 | 日本電気株式会社 | 異常識別システム、方法及び記録媒体 |
| JPWO2018110327A1 (ja) * | 2016-12-12 | 2019-10-24 | 日本電気株式会社 | 異常識別システム、方法及びプログラム |
| JP2020149250A (ja) * | 2019-03-12 | 2020-09-17 | 富士通株式会社 | 出力プログラム、出力方法および情報処理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4845001B2 (ja) | 2011-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7721158B2 (en) | Customization conflict detection and resolution | |
| US11409645B1 (en) | Intermittent failure metrics in technological processes | |
| JP4906672B2 (ja) | ウェブアプリケーションの処理記録方法および処理記録装置 | |
| CN100461131C (zh) | 软件跟踪能力管理方法和装置 | |
| JP4550215B2 (ja) | 分析装置 | |
| JP5886712B2 (ja) | 分散環境におけるトランザクション別に区別されたメトリックの効率的収集 | |
| CN106657192B (zh) | 一种用于呈现服务调用信息的方法与设备 | |
| US12141143B2 (en) | Partially typed semantic based query execution optimization | |
| WO2010042112A1 (en) | Analyzing events | |
| US10977108B2 (en) | Influence range specifying method, influence range specifying apparatus, and storage medium | |
| JP4845001B2 (ja) | 情報処理装置及び同装置に用いるプログラム | |
| CN114490005A (zh) | 一种日志处理的方法、装置、电子设备及存储介质 | |
| KR102562115B1 (ko) | 데이터 처리 장치 및 데이터 처리 방법 | |
| US20210304070A1 (en) | Machine learning model operation management system, operation management method, and computer readable recording medium | |
| CN113590172A (zh) | 一种代码文件发布方法、装置、设备及存储介质 | |
| JP2019203759A5 (ja) | ||
| CN118535411A (zh) | 一种业务会话数据跟踪方法、装置及相关设备 | |
| CN113590495A (zh) | 一种测试覆盖率的确定方法、装置、设备及存储介质 | |
| JP2002123516A (ja) | ウェブサイト評価システム、ウェブサイト評価方法、記録媒体 | |
| US20100094944A1 (en) | Storage medium storing system analysis support program, system analysis support system, and system anaylsis support method | |
| JP5197128B2 (ja) | 依存関係推定装置及び依存関係推定プログラム及び記録媒体 | |
| KR100567813B1 (ko) | 텐덤 시스템의 트랜잭션 분석 시스템 | |
| JP2004288017A (ja) | データベース検索システム及び方法 | |
| JP5047010B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| US9342522B2 (en) | Computer implemented system for analyzing a screen-based user session of a process in a network environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071025 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100708 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111005 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111005 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141021 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |