KR102244782B1 - Method for automatical parser matching based on nomalization rates to be used for accurately analyzing unstructured logs having arbitrary structures and device using the same - Google Patents
Method for automatical parser matching based on nomalization rates to be used for accurately analyzing unstructured logs having arbitrary structures and device using the same Download PDFInfo
- Publication number
- KR102244782B1 KR102244782B1 KR1020200130295A KR20200130295A KR102244782B1 KR 102244782 B1 KR102244782 B1 KR 102244782B1 KR 1020200130295 A KR1020200130295 A KR 1020200130295A KR 20200130295 A KR20200130295 A KR 20200130295A KR 102244782 B1 KR102244782 B1 KR 102244782B1
- Authority
- KR
- South Korea
- Prior art keywords
- log
- specific
- parser
- unstructured text
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/12—Use of codes for handling textual entities
- G06F40/151—Transformation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/166—Editing, e.g. inserting or deleting
- G06F40/174—Form filling; Merging
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/166—Editing, e.g. inserting or deleting
- G06F40/186—Templates
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/189—Automatic justification
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법이 개시된다. 즉, (a) 파서 매칭 디바이스가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 단계; (b) 상기 파서 매칭 디바이스가, 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 단계; (c) 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 단계; 및 (d) 상기 파서 매칭 디바이스가, 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 방법이 개시된다.A parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure is disclosed. That is, (a) when the parser matching device obtains a random analysis log list including at least one unstructured text log obtained from at least one service, the random analysis log list is referred to, and the unstructured text Obtaining policy type information corresponding to category information of each log; (b) The parser matching device refers to the specific policy type information corresponding to the specific unstructured text log, which is one of the unstructured text logs, and is the Kth log of one of N log parsers-N is an integer greater than or equal to 1- Selecting a K-th candidate log parsing policy that is at least a part of the parser-K is an integer of 1 or more and N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (c) generating, by the parser matching device, Kth normalization rate information for the specific unstructured text log of the Kth log parser with reference to the information on the Kth candidate log parsing policy; And (d) determining, by the parser matching device, whether the K-th log parser is included in a specific log parser to be used to analyze the specific unstructured text log, with reference to the K-th normalization rate information. Disclosed is a method comprising:
Description
본 발명은 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법 및 장치에 관한 것이다.The present invention relates to a normalization rate-based parser matching method and apparatus for accurately and automatically analyzing an unstructured log having an arbitrary structure.
많은 서버를 관리하는 관리자의 입장에서, 각각의 서버들 및 이들과 연결된 장비에서 생성되는 수많은 로그들은 관리자를 상당히 당혹시키는 것들 중 하나이다. 로그들의 구조 및 내용이 파악된 경우라면 괜찮겠지만, 아래와 같은 비정형의 로그들이 발생한다면 이를 기반으로 디버깅을 수행해야 하는 관리자가 그 의미를 알기가 어렵다는 점에서 그렇다. From the standpoint of an administrator who manages many servers, the numerous logs generated by each of the servers and the equipment connected to them are one of the things that greatly perplexes the administrator. It would be fine if the structure and contents of the logs are known, but if the following unstructured logs occur, it is difficult for the administrator who needs to perform debugging based on them to know the meaning.
<UTM 로그><UTM log>
3`0`1`1`3238c5`1020`20160927`10:45:23`3`6`120216154246`99.6.101.3`52152`99.6.1.111`8001`eth6`eth8````1658`10`858`8``31`1``S sa A / fa A FA a```199`N/A`4````3`0`1`1`3238c5`1020`20160927`10:45:23`3`6`120216154246`99.6.101.3`52152`99.6.1.111`8001`eth6`eth8``''1658`10`858 `8``31`1``S sa A / fa A FA a```199`N/A`4``''
<MF2 로그><MF2 log>
<14>1 2016-10-11T02:02:00.268873Z [fw4_allow] [127.0.0.1]start_time="2016-10-11 11:01:48" end_time="2016-10-11 11:01:53" duration=5 machine_name=Saha-FW fw_rule_id=5 nat_rule_id=4 src_ip=1.223.252.190 src_port=37770 dst_ip=192.168.20.10 dst_port=80 protocol=TCP ingres_if=EXT packets_forward=5 packets_backward=4 bytes_forward=969 bytes_backward=427 fragment_info= flag_record=3Way OK / FIN2 [SAF:SAF] user_auth=- terminate_reason=-<14>1 2016-10-11T02:02:00.268873Z [fw4_allow] [127.0.0.1]start_time="2016-10-11 11:01:48" end_time="2016-10-11 11:01:53" duration=5 machine_name=Saha-FW fw_rule_id=5 nat_rule_id=4 src_ip=1.223.252.190 src_port=37770 dst_ip=192.168.20.10 dst_port=80 protocol=TCP ingres_if=EXT packets_forward=5 packets_backward=4 bytes_forward=969 bytes_backward=427 fragment_info bytes_backward=427 fragment_info flag_record=3Way OK / FIN2 [SAF:SAF] user_auth=- terminate_reason=-
따라서, 이와 같은 미상의 비정형 로그들은, 이들 자체로는 정보의 의미가 없으며, 하기와 같이 분석되어야 정보로서의 의미가 있다고 볼 수 있다.Therefore, such unknown atypical logs have no meaning of information by themselves, and can be regarded as having meaning as information only when analyzed as follows.
이상의 미상 비정형 로그들을 분석하기 위해, 텍스트 분석 작업에 사용되는 파서들을 각각의 비정형 로그들의 카테고리별로 지정해 두는 작업이 필요하다. 지금까지는 이와 같은 지정 작업을 엔지니어가 일일이 수동으로 수행해 왔는데, 이 경우 시간이 상당히 오래 걸리고, 사람이 하는 일이다 보니 실수가 많이 발생하는 문제점이 있었다. 자동으로 파서를 매칭해주는 효율적인 방법이 존재한다면 이상의 문제점을 해결할 수 있겠으나, 이와 같은 방법은 많이 연구되지 않은 것으로 보인다.In order to analyze the above unknown unstructured logs, it is necessary to designate parsers used for text analysis by category of each unstructured log. Until now, engineers have been manually performing these assignments, but in this case, it takes a long time, and since it is a human task, there are problems that many mistakes occur. If there is an efficient method for automatically matching parsers, the above problem can be solved, but such a method seems to have not been studied much.
본 발명은 상술한 문제점을 해결하는 것을 목적으로 한다.It is an object of the present invention to solve the above-described problems.
또한 본 발명은 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 제공함으로써, 관리자가 비정형 로그들을 쉽게 분석할 수 있도록 하는 것을 목적으로 한다.In addition, an object of the present invention is to provide a parser matching method based on a normalization rate for accurately and automatically analyzing unstructured logs having an arbitrary structure, so that an administrator can easily analyze unstructured logs.
또한 본 발명은 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행할 수 있도록, 각각의 비정형 로그를 분석한 결과에 대한 정규화율을 계산할 수 있는 방법을 제공하는 것을 목적으로 한다.In addition, the present invention provides a method for calculating the normalization rate for the result of analyzing each unstructured log so that a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure can be performed. The purpose.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한 본 발명의 특징적인 구성은 하기와 같다.A characteristic configuration of the present invention for achieving the object of the present invention as described above and realizing the characteristic effects of the present invention described later is as follows.
본 발명의 일 태양에 따르면, 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법에 있어서, (a) 파서 매칭 디바이스가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 단계; (b) 상기 파서 매칭 디바이스가, 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 단계; (c) 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 단계; 및 (d) 상기 파서 매칭 디바이스가, 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 방법이 개시된다.According to an aspect of the present invention, in a parser matching method based on a normalization rate for accurately automatically analyzing an unstructured log having an arbitrary structure, (a) a parser matching device includes at least one unstructured text obtained from at least one service. When a difficult analysis log list including logs is obtained, obtaining policy type information corresponding to category information of each of the unstructured text logs by referring to the difficult analysis log list; (b) The parser matching device refers to the specific policy type information corresponding to the specific unstructured text log, which is one of the unstructured text logs, and is the Kth log of one of N log parsers-N is an integer greater than or equal to 1- Selecting a K-th candidate log parsing policy that is at least a part of the parser-K is an integer of 1 or more and N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (c) generating, by the parser matching device, Kth normalization rate information for the specific unstructured text log of the Kth log parser with reference to the information on the Kth candidate log parsing policy; And (d) determining, by the parser matching device, whether the K-th log parser is included in a specific log parser to be used to analyze the specific unstructured text log, with reference to the K-th normalization rate information. Disclosed is a method comprising:
일례로서, 상기 (c) 단계는, 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시들을 사용하여 상기 특정 비정형 텍스트 로그를 정규화한 후, 상기 정규화한 결과의 적정성 평가도가 임계치 이상인 경우의 개수와 상기 제K_1 내지 제K_M 로그 파싱 폴리시들의 개수 간의 비율 정보를 참조로 하여 상기 제K 정규화율 정보를 생성하는 것을 특징으로 하는 것을 특징으로 하는 방법이 개시된다.As an example, in step (c), after the parser matching device normalizes the specific unstructured text log using the K-th candidate log parsing policies, the number of cases in which the adequacy evaluation of the normalized result is greater than or equal to a threshold. And generating the Kth normalization rate information with reference to ratio information between the number of K_1 to K_Mth log parsing policies.
일례로서, 상기 (c) 단계는, 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시들 중 하나인 제K 특정 후보 로그 파싱 폴리시를 이용해 상기 특정 비정형 텍스트 로그를 정규화한 결과인 특정 정규화 결과를 참조로 하여, 상기 특정 정규화 결과의 각 섹션에 대응하는 로그 자료형 데이터를 획득하고, (i) 상기 로그 자료형 데이터와 (ii) 상기 제K 특정 후보 로그 파싱 폴리시에 대응하는 폴리시 자료형 데이터를 비교함으로써, 상기 특정 비정형 텍스트 로그를 정규화하기 위해 상기 제K 특정 후보 로그 파싱 폴리시를 사용한 것이 적절한지 여부를 나타내는, 상기 특정 정규화 결과에 대한 특정 적정성 평가도를 생성하는 것을 특징으로 하는 방법이 개시된다.As an example, in step (c), the parser matching device generates a specific normalization result, which is a result of normalizing the specific unstructured text log using the K-th specific candidate log parsing policy, which is one of the K-th candidate log parsing policies. For reference, by obtaining log data type data corresponding to each section of the specific normalization result, and comparing (i) the log data type data with (ii) policy data type data corresponding to the K-th specific candidate log parsing policy, Disclosed is a method comprising generating a specific adequacy rating for the specific normalization result, indicating whether it is appropriate to use the K-th specific candidate log parsing policy to normalize the specific unstructured text log.
일례로서, 상기 (b) 단계는, 상기 파서 매칭 디바이스가, 상기 제K 로그 파서에 대응하는 상기 제K_1 내지 제K_M 로그 파싱 폴리시가 각각의 폴리시 타입별로 분류되어 있는 상태에서, 상기 제K_1 내지 제K_M 로그 파싱 폴리시 중 상기 특정 폴리시 타입 정보에 대응하는 제K 후보 로그 파싱 폴리시를 획득함으로써 이를 포함하는 상기 후보 로그 파싱 폴리시를 선택하는 것을 특징으로 하는 방법이 개시된다.As an example, in the step (b), the parser matching device, in a state in which the K_1th to K_Mth log parsing policies corresponding to the Kth log parser are classified for each policy type, the K_1th to the K_1th Disclosed is a method comprising selecting the candidate log parsing policy including the K-th candidate log parsing policy from among the K_M log parsing policies corresponding to the specific policy type information.
일례로서, (e) 상기 파서 매칭 디바이스가, 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서를 사용자에게 제공함으로써 상기 사용자가 상기 특정 로그 파서 중 적어도 하나를 상기 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 포함된 테스트용 비정형 텍스트 로그에 대해 사용할 수 있도록 지원하는 단계를 더 포함하는 것을 특징으로 하는 방법이 개시된다.As an example, (e) in a state in which the parser matching device determines whether each of the first to Nth log parsers is included in the specific log parser, the user can provide the specific log parser to the user. Disclosed is a method comprising the step of supporting at least one of the specific log parsers to be used for the unstructured text log for testing included in the specific category information corresponding to the specific unstructured text log.
일례로서, (f) 상기 파서 매칭 디바이스가, 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 특정 로그 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 대해 지정한 후 이를 분석가능 로그 리스트에 추가하는 단계를 더 포함하는 것을 특징으로 하는 방법이 개시된다.As an example, (f) the parser matching device determines whether or not each of the first to Nth log parsers is included in the specific log parser, and the normalization rate information is the largest among the specific log parsers. The method further comprises the step of designating specific category information corresponding to the specific log unstructured text log and adding it to an analysis available log list.
일례로서, (g) 상기 파서 매칭 디바이스가, 테스트용 비정형 텍스트 로그가 획득되면, 이를 분석하여 상기 테스트용 비정형 텍스트 로그의 테스트용 카테고리 정보를 획득한 후, 상기 테스트용 카테고리 정보 및 상기 분석가능 로그 리스트를 참조로 하여 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용할 소정 로그 파서를 선택하되, 상기 테스트용 카테고리 정보와 상기 특정 카테고리 정보 간의 유사도가 임계치 이상일 경우, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용하는 단계를 더 포함하는 것을 특징으로 하는 방법이 개시된다.As an example, (g) when the parser matching device obtains a test unstructured text log, analyzes it to obtain test category information of the test unstructured text log, and then obtains the test category information and the analysis available log. Select a predetermined log parser to be used to normalize the test unstructured text log with reference to the list, but if the similarity between the test category information and the specific category information is greater than or equal to a threshold, the normalization rate information among the specific log parsers The method is disclosed, further comprising the step of using the largest one to normalize the test unstructured text log.
본 발명의 다른 태양에 따르면, 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행하는 파서 매칭 디바이스에 있어서, 인스트럭션들을 저장하는 하나 이상의 메모리; 및 상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 프로세스; (II) 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 프로세스; (III) 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 프로세스; 및 (IV) 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 프로세스를 수행하는 것을 특징으로 하는 디바이스가 개시된다.According to another aspect of the present invention, there is provided a parser matching device for performing a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure, comprising: at least one memory for storing instructions; And one or more processors configured to perform the instructions, wherein the processor includes: (I) when an egg analysis log list including at least one unstructured text log obtained from at least one service is obtained, the egg A process of obtaining policy type information corresponding to category information of each of the unstructured text logs with reference to an analysis log list; (II) With reference to specific policy type information corresponding to a specific unstructured text log, which is one of the unstructured text logs, N log parsers-N is an integer greater than or equal to 1-One of the K-th log parsers-K is 1 or more A process of selecting a K-th candidate log parsing policy that is at least a part of an integer of N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (III) a process of generating K-th normalization rate information for the specific unstructured text log of the K-th log parser with reference to the information on the K-th candidate log parsing policy; And (IV) performing a process of determining whether the Kth log parser is included in a specific log parser to be used to analyze the specific unstructured text log with reference to the Kth normalization rate information. The device is started.
일례로서, 상기 (III) 프로세스는, 상기 프로세서가, 상기 제K 후보 로그 파싱 폴리시들을 사용하여 상기 특정 비정형 텍스트 로그를 정규화한 후, 상기 정규화한 결과의 적정성 평가도가 임계치 이상인 경우의 개수와 상기 제K_1 내지 제K_M 로그 파싱 폴리시들의 개수 간의 비율 정보를 참조로 하여 상기 제K 정규화율 정보를 생성하는 것을 특징으로 하는 것을 특징으로 하는 디바이스가 개시된다.As an example, in the (III) process, after the processor normalizes the specific unstructured text log using the K-th candidate log parsing policies, the number of cases where the adequacy evaluation of the normalized result is greater than or equal to a threshold value and the Disclosed is a device, characterized in that the K-th normalization rate information is generated with reference to ratio information between the number of K_1 to K_M-th log parsing policies.
일례로서, 상기 (III) 프로세스는, 상기 프로세서가, 상기 제K 후보 로그 파싱 폴리시들 중 하나인 제K 특정 후보 로그 파싱 폴리시를 이용해 상기 특정 비정형 텍스트 로그를 정규화한 결과인 특정 정규화 결과를 참조로 하여, 상기 특정 정규화 결과의 각 섹션에 대응하는 로그 자료형 데이터를 획득하고, (i) 상기 로그 자료형 데이터와 (ii) 상기 제K 특정 후보 로그 파싱 폴리시에 대응하는 폴리시 자료형 데이터를 비교함으로써, 상기 특정 비정형 텍스트 로그를 정규화하기 위해 상기 제K 특정 후보 로그 파싱 폴리시를 사용한 것이 적절한지 여부를 나타내는, 상기 특정 정규화 결과에 대한 특정 적정성 평가도를 생성하는 것을 특징으로 하는 디바이스가 개시된다.As an example, the process (III) refers to a specific normalization result, which is a result of normalizing the specific unstructured text log using the K-th specific candidate log parsing policy, which is one of the K-th candidate log parsing policies. Thus, by obtaining log data type data corresponding to each section of the specific normalization result, and comparing (i) the log data type data with (ii) policy data type data corresponding to the K-th specific candidate log parsing policy, A device is disclosed for generating a specific adequacy rating for the specific normalization result indicating whether it is appropriate to use the K-th specific candidate log parsing policy to normalize an unstructured text log.
일례로서, 상기 (II) 프로세스는, 상기 프로세서가, 상기 제K 로그 파서에 대응하는 상기 제K_1 내지 제K_M 로그 파싱 폴리시가 각각의 폴리시 타입별로 분류되어 있는 상태에서, 상기 제K_1 내지 제K_M 로그 파싱 폴리시 중 상기 특정 폴리시 타입 정보에 대응하는 제K 후보 로그 파싱 폴리시를 획득함으로써 이를 포함하는 상기 후보 로그 파싱 폴리시를 선택하는 것을 특징으로 하는 디바이스가 개시된다.As an example, in the (II) process, in a state in which the K_1 to K_Mth log parsing policies corresponding to the Kth log parser are classified for each policy type, the K_1 to K_M log Disclosed is a device, wherein the candidate log parsing policy including the K-th candidate log parsing policy is acquired by acquiring the K-th candidate log parsing policy corresponding to the specific policy type information from among the parsing policies.
일례로서, 상기 프로세서가, (V) 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서를 사용자에게 제공함으로써 상기 사용자가 상기 특정 로그 파서 중 적어도 하나를 상기 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 포함된 테스트용 비정형 텍스트 로그에 대해 사용할 수 있도록 지원하는 프로세스를 더 수행하는 것을 특징으로 하는 디바이스가 개시된다.As an example, the processor provides the specific log parser to the user in a state in which (V) it is determined whether each of the first to Nth log parsers is included in the specific log parser, Disclosed is a device, characterized in that the device further performs a process of supporting the use of at least one of the parsers for a test unstructured text log included in specific category information corresponding to the specific unstructured text log.
일례로서, 상기 프로세서가, (VI) 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 특정 로그 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 대해 지정한 후 이를 분석가능 로그 리스트에 추가하는 프로세스를 더 수행하는 것을 특징으로 하는 디바이스가 개시된다.As an example, in a state in which it is determined whether or not each of the first to Nth log parsers is included in the specific log parser, the processor may determine that the normalization rate information is the largest among the specific log parsers. Disclosed is a device, characterized in that, after designating specific category information corresponding to a log unstructured text log, a process of adding it to an analysis available log list is performed.
일례로서, 상기 프로세서가, (VII) 테스트용 비정형 텍스트 로그가 획득되면, 이를 분석하여 상기 테스트용 비정형 텍스트 로그의 테스트용 카테고리 정보를 획득한 후, 상기 테스트용 카테고리 정보 및 상기 분석가능 로그 리스트를 참조로 하여 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용할 소정 로그 파서를 선택하되, 상기 테스트용 카테고리 정보와 상기 특정 카테고리 정보 간의 유사도가 임계치 이상일 경우, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용하는 프로세스를 더 수행하는 것을 특징으로 하는 디바이스가 개시된다.As an example, the processor, when (VII) a test unstructured text log is obtained, analyzes it to obtain test category information of the test unstructured text log, and then provides the test category information and the analysis log list. For reference, a predetermined log parser to be used to normalize the test unstructured text log is selected, but when the similarity between the test category information and the specific category information is greater than or equal to a threshold, the normalization rate information among the specific log parsers is the most. A device is disclosed, characterized by further performing a process of using a large one to normalize the test unstructured text log.
본 발명은 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 제공함으로써, 관리자가 비정형 로그들을 쉽게 분석할 수 있도록 하는 효과가 있다.The present invention provides a parser matching method based on a normalization rate for accurately and automatically analyzing unstructured logs having an arbitrary structure, thereby enabling an administrator to easily analyze unstructured logs.
또한 본 발명은 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행할 수 있도록, 각각의 비정형 로그를 분석한 결과에 대한 정규화율을 계산할 수 있는 방법을 제공할 수 있는 효과가 있다.In addition, the present invention can provide a method for calculating a normalization rate for a result of analyzing each unstructured log so that a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure can be performed. There is an effect.
도 1은 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행하는 파서 매칭 디바이스의 구성을 나타낸 도면이다.
도 2a 및 도 2b는 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행하기 위해 사용되는 제1 내지 제N 로그 파서 중 하나인 제K 로그 파서의 구성을 나타낸 도면이다.
도 3은 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 나타낸 흐름도이다.
도 4a 및 4b는 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행함으로써 사용자가 적절한 로그 파서를 사용할 수 있도록 지원하는 일 예시를 나타낸 도면이다.1 is a diagram showing a configuration of a parser matching device that performs a parser matching method based on a normalization rate for accurately automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention.
2A and 2B are one of first to Nth log parsers used to perform a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention. A diagram showing the configuration of a K log parser.
3 is a flowchart illustrating a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention.
4A and 4B illustrate an example of supporting a user to use an appropriate log parser by performing a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention. It is a drawing.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The detailed description of the present invention described below refers to the accompanying drawings, which illustrate specific embodiments in which the present invention may be practiced. These embodiments are described in detail sufficient to enable a person skilled in the art to practice the present invention. It should be understood that the various embodiments of the present invention are different from each other, but need not be mutually exclusive. For example, specific shapes, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the present invention in relation to one embodiment. In addition, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description to be described below is not intended to be taken in a limiting sense, and the scope of the present invention, if appropriately described, is limited only by the appended claims, along with all ranges equivalent to those claimed by the claims. Like reference numerals in the drawings refer to the same or similar functions over several aspects.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to enable those of ordinary skill in the art to easily implement the present invention.
도 1은 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행하는 파서 매칭 디바이스의 구성을 나타낸 도면이다.1 is a diagram showing a configuration of a parser matching device that performs a parser matching method based on a normalization rate for accurately automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention.
도 1을 참조하면, 파서 매칭 디바이스(100)는 제1 내지 제N 로그 파서(130-1 내지 130-N)을 포함할 수 있다. 이 때, 제1 내지 제N 로그 파서(130-1 내지 130-N)의 입출력 및 연산 과정은 각각 통신부(110) 및 프로세서(120)에 의해 이루어질 수 있다. 다만, 도 1에서는 통신부(110) 및 프로세서(120)의 구체적인 연결 관계를 생략하였다. 또한, 메모리(115)는 후술할 여러 가지 인스트럭션들을 저장한 상태일 수 있고, 프로세서(120)는 메모리에 저장된 인스트럭션들을 수행하도록 됨으로써 추후 설명할 프로세스들을 수행하여 본 발명을 수행할 수 있다. 이와 같이 파서 매칭 디바이스(100)가 묘사되었다고 하여, 파서 매칭 디바이스(100)가 본 발명을 실시하기 위한 미디엄, 프로세서 및 메모리가 통합된 형태인 integrated 프로세서를 포함하는 경우를 배제하는 것은 아니다. 이상 파서 매칭 디바이스(100)의 구성에 대해 설명한 바, 각각의 제1 내지 제N 로그 파서(130-1 내지 130-N)에 대해 도 2a 및 도 2b를 참조하여 설명하도록 한다.Referring to FIG. 1, the
도 2a 및 도 2b는 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행하기 위해 사용되는 제1 내지 제N 로그 파서 중 하나인 제K 로그 파서의 구성을 나타낸 도면이다.2A and 2B are one of first to Nth log parsers used to perform a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention. A diagram showing the configuration of a K log parser.
먼저, 도 2a를 참조로 하면, 제1 내지 제N 로그 파서(130-1 내지 130-N) 중 하나인 제K 로그 파서(130-K)(K는 1 이상 N 이하의 정수임)는, 제K_1 내지 제K_M 로그 파싱 폴리시(M은 1 이상의 정수임)를 포함하는 것을 확인할 수 있다. 각각의 제K_1 내지 제K_M 로그 파싱 폴리시는, 제K 로그 파서(130-K)가 로그들에 대한 파싱 작업을 수행할 때에 사용할 수 있는 각각의 파싱 규칙을 의미할 수 있다. 이와 같은 제K_1 내지 제K_M 로그 파싱 폴리시는 카테고리별로 분류된 상태일 수 있는데, 이를 살피기 위해 도 2b를 참조하도록 한다.First, referring to FIG. 2A, the K-th log parser 130-K (K is an integer of 1 or more and N or less), which is one of the first to Nth log parsers 130-1 to 130-N, is It can be seen that the K_1 to K_Mth log parsing policies (M is an integer greater than or equal to 1) are included. Each of the K_1 to K_Mth log parsing policies may mean respective parsing rules that can be used when the Kth log parser 130 -K performs a parsing operation on logs. The K_1th to K_Mth log parsing policies may be classified according to categories, and FIG. 2B is referred to in order to examine them.
도 2b를 참조로 하면, 일 예시로서, LogGenerator 파서 하위에 Security, Traffic, System 및 SMS 카테고리가 존재하고, 다시 그 하위에 ncac_esa_ids 등의 로그 파싱 폴리시가 존재함을 확인할 수 있다. 여기서 Security, Traffic, System 및 SMS는, 각 로그 파싱 폴리시의 카테고리들이고, 그 하위에 위치한 것들은 각 카테고리에 포함된 로그 파싱 폴리시들일 수 있다.Referring to FIG. 2B, as an example, it can be seen that Security, Traffic, System, and SMS categories exist under the LogGenerator parser, and log parsing policies such as ncac_esa_ids exist under the LogGenerator parser. Here, Security, Traffic, System, and SMS are categories of each log parsing policy, and those located below them may be log parsing policies included in each category.
이상 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행하는 파서 매칭 디바이스(100) 및 제1 내지 제N 로그 파서(130-1 내지 130-N)의 구성에 대해 설명한 바, 이하 파서 매칭 방법에 대해 도 3을 참조로 하여 본격적으로 살필 것이다.As described above, the
도 3은 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention.
도 3을 참조하면, 먼저, 파서 매칭 디바이스(100)가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 난분석 로그 리스트를 참조로 하여, 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득할 수 있다(S01). 이후, 파서 매칭 디바이스(100)는, 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, 제1 내지 제N 로그 파서들(N은 1 이상의 정수임)중 하나인 제K 로그 파서(K은 1 이상 N 이하의 정수임)에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시(M은 1 이상의 정수임)중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택할 수 있다(S02). 그리고, 파서 매칭 디바이스(100)가 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 제K 로그 파서의 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성할 수 있다(S03). 다음으로, 파서 매칭 디바이스(100)가, 제K 정규화율 정보를 참조로 하여, 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단할 수 있다(S04).Referring to FIG. 3, first, when the
이하 각각의 단계에 대해 구체적으로 설명하도록 한다.Hereinafter, each step will be described in detail.
먼저, 파서 매칭 디바이스(100)는, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트를 획득할 수 있다. 여기서 각각의 서비스들은 파서 매칭 디바이스(100)와 연동하여 동작하는 각각의 서버들 및 장비들에서 수행되는 것일 수 있다. 또한, 비정형 텍스트 로그는, 각각의 서버들 및 장비들이 서비스들을 수행하는 도중 생성되는 것으로서, 엔지니어가 서비스들을 관리하고 유지보수하는 데에 필요한 정보가 포함되어 있으나 그 구조가 분석되지 않아 엔지니어가 그 정보를 용이하게 획득하기 어려운 상태인 것일 수 있다.First, the
또한, 난분석 로그 리스트는, 이와 같은 비정형 텍스트 로그들을 포함하는 데이터셋일 수 있는데, 리스트 형태일 수도 있고, 그 외의 어떠한 자료구조의 형태를 가질 수도 있을 것이다. 난분석 로그 리스트에 포함된 각각의 비정형 텍스트 로그들은 분석되기 용이하지 않은 형태이기는 하지만, 각각이 어떤 서비스를 수행하던 도중 생성되었는지는 기록된 상태일 수 있으므로, 각각의 비정형 텍스트 로그들은 그들의 카테고리 정보가 태그된 상태일 수 있다. 예를 들어, 어떤 비정형 텍스트 로그는 보안 서버로부터 생성되어, 보안 카테고리 정보가 태그된 상태일 수 있고, 다른 비정형 로그는 사용자 간의 메신저 서비스를 수행하는 메신저 서버로부터 생성되어 SMS 카테고리 정보가 태그된 상태일 수 있다. 파서 매칭 디바이스(100)는, 이와 같은 정보를 포함하는 난분석 로그 리스트를 참조로 하여, 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득할 수 있다.In addition, the random analysis log list may be a data set including such unstructured text logs, and may be in the form of a list, or may have a form of any other data structure. Each unstructured text log included in the unstructured log list is not easy to be analyzed, but it is possible to record which service each was created while executing, so each unstructured text log contains their category information. May be in a tagged state. For example, some unstructured text logs may be generated from a security server and tagged with security category information, while other unstructured logs are generated from a messenger server that performs a messenger service between users and tagged SMS category information. I can. The
이후, 파서 매칭 디바이스(100)는, 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, 제K 로그 파서(130-K)에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택할 수 있다. 구체적으로는, 파서 매칭 디바이스(100)가, 제K 로그 파서(130-K)에 대응하는 제K 로그 파싱 폴리시가 각각의 폴리시 타입별로 분류되어 있는 상태에서, 제K 로그 파싱 폴리시 중 특정 폴리시 타입 정보에 대응하는 제K 후보 로그 파싱 폴리시를 획득함으로써 이를 포함하는 상기 후보 로그 파싱 폴리시를 선택할 수 있다. 예를 들어, 특정 비정형 텍스트 로그가 보안 카테고리에 포함된 로그라면, 특정 폴리시 타입 정보는 보안 타입에 대응할 것이고, 이와 같은 상황에서 파서 매칭 디바이스(100)는, 제K 로그 파서(130-K)의 제K_1 내지 제K_M 로그 파싱 폴리시 중 보안 카테고리에 해당하는 제K 후보 로그 파싱 폴리시를 선택할 수 있다. Thereafter, the
이후, 파서 매칭 디바이스(100)는, 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 제K 로그 파서(130-K)의 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성할 수 있다. 구체적으로는, 파서 매칭 디바이스(100)가, 제K 후보 로그 파싱 폴리시들을 사용하여 특정 비정형 텍스트 로그를 정규화한 후, 정규화한 결과의 적정성 평가도가 임계치 이상인 경우의 개수와 상기 제K_1 내지 제K_M 로그 파싱 폴리시들의 개수 간의 비율 정보를 참조로 하여 제K 정규화율 정보를 생성할 수 있다.Thereafter, the
일 예로, 전술한 바와 같이 특정 비정형 텍스트 로그가 보안 카테고리에 포함되어 있고, 이에 따라 제K 후보 로그 파싱 폴리시 역시 보안 카테고리에 해당하는 경우, 제K 후보 로그 파싱 폴리시를 이용하여 특정 비정형 텍스트 로그를 정규화한 뒤, 각각의 제K 후보 로그 파싱 폴리시를 이용하여 정규화된 결과를 평가함으로써 적정성 평가도를 계산하고, 이들이 임계치 이상인 경우의 비율을 계산함으로써 제K 정규화율 정보를 생성할 수 있는 것이다. 일 예로, 도 2a의 LogGenerator 파서와 같이, 보안 카테고리에 해당하는 제K 후보 로그 파싱 폴리시가 전체 8개 중 5개이고, 이들 중 적정성 평가도가 임계치를 넘는 것이 3개라면, 제K 정규화율 정보는 3/8로 계산될 수 있다. 물론, 이에 한정되는 것은 아니며, 경우에 따라 제K 정규화율 정보를 3/5 와 같이 계산할 수도 있음은 물론이라 할 것이다.For example, as described above, when a specific unstructured text log is included in the security category, and accordingly, the K-th candidate log parsing policy also falls under the security category, the K-th candidate log parsing policy is used to normalize a specific unstructured text log. After that, by evaluating the normalized results using each K-th candidate log parsing policy, the adequacy evaluation degree is calculated, and the ratio of cases where they are greater than or equal to the threshold value is calculated, thereby generating the K-th normalization rate information. As an example, as in the LogGenerator parser of FIG. 2A, if there are 5 out of 8 K-th candidate log parsing policies corresponding to the security category, and 3 of them have an adequacy rating exceeding the threshold, the K-th normalization rate information is It can be calculated as 3/8. Of course, it is not limited thereto, and of course, the K-th normalization rate information may be calculated as 3/5 in some cases.
여기서 적정성 평가도를 계산하는 일 예시에 대해 설명하도록 한다. 즉, 파서 매칭 디바이스(100)가, 제K 후보 로그 파싱 폴리시들 중 하나인 제K 특정 후보 로그 파싱 폴리시를 이용해 특정 비정형 텍스트 로그를 정규화한 결과인 특정 정규화 결과를 참조로 하여, 특정 정규화 결과의 각 섹션에 대응하는 로그 자료형 데이터를 획득하고, (i) 로그 자료형 데이터와 (ii) 제K 특정 후보 로그 파싱 폴리시에 대응하는 폴리시 자료형 데이터를 비교함으로써, 특정 비정형 텍스트 로그를 정규화하기 위해 제K 특정 후보 로그 파싱 폴리시를 사용한 것이 적절한지 여부를 나타내는, 상기 특정 정규화 결과에 대한 특정 적정성 평가도를 생성할 수 있다. 예를 들어, 특정 정규화 결과의 제2 섹션에는 IP 주소가 포함되어 있고, 제K 특정 후보 로그 파싱 폴리시는 제2 섹션에 포트 번호 정보가 포함되어 있을 것을 상정한 파싱 폴리시라고 가정하자. 이 경우, 해당 로그 자료형 데이터는, 제2 섹션에 마침표로 구분된 네 개의 세 자리 숫자가 있을 것인 바 이를 나타내는 제1 인디케이션을 포함할 수 있을 것이고, 폴리시 자료형 데이터는, 제2 섹션에 단순한 정수 값이 포함되어 있을 것인 바 이를 나타내는 제2 인디케이션을 포함할 수 있을 것이다. 이 경우 제1 인디케이션과 제2 인디케이션은 서로 다를 것이므로, 제K 특정 후보 로그 파싱 폴리시에 대한 특정 적정성 평가도는 임계치 이하로 계산될 수 있을 것이다.Here, an example of calculating the adequacy evaluation will be described. That is, the
이와 같은 적정성 평가도 계산 방법은 단순한 예시일 뿐으로, 다른 어떠한 방식이라도, 각각의 로그 파싱 폴리시들이 비정형 텍스트 로그를 잘 정규화했는지 여부를 판단할 수 있는 척도를 제공해 준다면, 본 발명의 일부분으로서 사용 가능할 것이다. 예를 들어, 단순히 특정 비정형 텍스트 로그의 섹션 수와 제K 특정 후보 로그 파싱 폴리시가 상정하는 섹션 수가 동일하다면 정규화가 잘 되는 것으로 판단할 수도 있을 것이다.This method of calculating the adequacy evaluation is only an example, and any other method may be used as a part of the present invention if each log parsing policy provides a measure to determine whether or not the unstructured text log is well normalized. . For example, if the number of sections of a specific unstructured text log and the number of sections assumed by the K-th specific candidate log parsing policy are the same, it may be determined that normalization is well performed.
이와 같이 제K 정규화율 정보가 생성되면, 파서 매칭 디바이스(100)는, 제K 정규화율 정보를 참조로 하여, 제K 로그 파서(130-K)가, 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단할 수 있을 것이다. 즉, 제1 내지 제N 로그 파서(130-1 내지 130-N)에 대해 각각 제1 내지 제N 정규화율 정보를 생성한 뒤, 각각을 이용하여, 특정 비정형 텍스트 로그를 분석하기 위해 사용할 특정 로그 파서를 결정할 수 있다.When the K-th normalization rate information is generated in this way, the
이후, 파서 매칭 디바이스(100)는, 특정 로그 파서를 사용자에게 제공함으로써 사용자가 특정 로그 파서 중 적어도 하나를 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 포함된 테스트용 비정형 텍스트 로그에 대해 사용할 수 있도록 지원할 수 있다. 이에 대해 설명하기 위해 도 4a 및 4b를 참조하도록 한다.Thereafter, the
도 4a 및 4b는 본 발명의 일 실시예에 따른 임의의 구조를 가지는 비정형 로그를 정확하게 자동 분석하기 위한 정규화율 기반 파서 매칭 방법을 수행함으로써 사용자가 적절한 로그 파서를 사용할 수 있도록 지원하는 일 예시를 나타낸 도면이다.4A and 4B illustrate an example of supporting a user to use an appropriate log parser by performing a parser matching method based on a normalization rate for accurately and automatically analyzing an unstructured log having an arbitrary structure according to an embodiment of the present invention. It is a drawing.
도 4a를 참조하면, 사용자는, 소정 장비 관리 탭에서 추천 요청(200) 버튼을 클릭함으로써, 해당 장비 종류에 대응하는 카테고리 정보에 대해 사용할 로그 파서를 파서 매칭 디바이스(100)로부터 추천받을 수 있다.Referring to FIG. 4A, a user may parse a log parser to be used for category information corresponding to a corresponding device type and receive recommendations from the
또한, 도 4b를 참조하면, 일 예시로, 전술한 프로세스를 거쳐 LogGenerator 파서와 Security 파서가 특정 로그 파서로 선택되었고, 이들의 정규화율이 각각 표에 1/8 및 2/9로 계산되었음을 알 수 있다. 이 때, 사용자는 정규화율이 더 높은 Security 파서를 선택함으로써 해당 카테고리 정보에 대한 분석을 더욱 용이하게 할 수 있게 된다.In addition, referring to FIG. 4B, as an example, it can be seen that through the above-described process, the LogGenerator parser and the Security parser were selected as specific log parsers, and their normalization rates were calculated as 1/8 and 2/9 in the table, respectively. have. In this case, the user can more easily analyze the category information by selecting a security parser with a higher normalization rate.
이와 달리, 특정 비정형 텍스트 로그에 대한 로그 파서 선택 프로세스를 완전 자동화할 수도 있다. 즉, 파서 매칭 디바이스(100)는, 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 특정 로그 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 대해 지정한 후 이를 분석가능 로그 리스트에 추가할 수 있다. 전술했던 예에 따라 설명하면, 파서 매칭 디바이스(100)는 Security 파서를 선택하여, 이를 특정 카테고리 정보에 대해 지정할 수 있을 것이다.Alternatively, you can fully automate the log parser selection process for specific unstructured text logs. That is, the
이와 같이 파서 매칭이 완료된 후, 파서 매칭 디바이스(100)는, 테스트용 비정형 텍스트 로그가 획득되면, 이를 분석하여 테스트용 비정형 텍스트 로그의 테스트용 카테고리 정보를 획득한 후, 테스트용 카테고리 정보 및 분석가능 로그 리스트를 참조로 하여 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용할 소정 로그 파서를 선택할 수 있다. 여기서, 만일 테스트용 카테고리 정보와 특정 카테고리 정보 간의 유사도가 임계치 이상일 경우, 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용할 수 있을 것이다.After parser matching is completed in this way, the
이와 같은 과정을 통해, 그 구조가 미상인 비정형 텍스트 로그가 획득되더라도, 사용자가 쉽게 이를 분석할 수 있게 된다.Through this process, even if an unstructured text log whose structure is unknown is obtained, the user can easily analyze it.
이상 설명된 본 발명에 따른 실시예들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The embodiments according to the present invention described above may be implemented in the form of program instructions that can be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program instructions, data files, data structures, and the like alone or in combination. The program instructions recorded in the computer-readable recording medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in the computer software field. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floptical disks. media), and a hardware device specially configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform the processing according to the present invention, and vice versa.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기계로부터 다양한 수정 및 변형을 꾀할 수 있다.In the above, the present invention has been described by specific matters such as specific elements and limited embodiments and drawings, but this is provided only to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , Anyone with ordinary knowledge in the technical field to which the present invention pertains can make various modifications and variations from such a machine.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위 뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention is limited to the above-described embodiments and should not be defined, and all modifications equivalently or equivalently to the claims as well as the claims to be described later fall within the scope of the spirit of the present invention. I would say.
Claims (14)
(a) 파서 매칭 디바이스가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 단계;
(b) 상기 파서 매칭 디바이스가, 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 단계;
(c) 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 단계; 및
(d) 상기 파서 매칭 디바이스가, 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 단계
를 포함하되,
상기 (c) 단계는,
상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시들을 사용하여 상기 특정 비정형 텍스트 로그를 정규화한 후, 상기 정규화한 결과의 적정성 평가도가 임계치 이상인 경우의 개수와 상기 제K_1 내지 제K_M 로그 파싱 폴리시들의 개수 간의 비율 정보를 참조로 하여 상기 제K 정규화율 정보를 생성하는 것을 특징으로 하는 것을 특징으로 하는 방법.In the normalization rate-based parser matching method for accurately and automatically analyzing an unstructured log having an arbitrary structure,
(a) When the parser matching device obtains a random analysis log list including at least one unstructured text log obtained from at least one service, each of the unstructured text logs with reference to the random analysis log list Obtaining policy type information corresponding to the category information of;
(b) The parser matching device refers to the specific policy type information corresponding to the specific unstructured text log, which is one of the unstructured text logs, and is the Kth log of one of N log parsers-N is an integer greater than or equal to 1- Selecting a K-th candidate log parsing policy that is at least a part of the parser-K is an integer of 1 or more and N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more;
(c) generating, by the parser matching device, Kth normalization rate information for the specific unstructured text log of the Kth log parser with reference to the information on the Kth candidate log parsing policy; And
(d) determining, by the parser matching device, whether the K-th log parser is included in a specific log parser to be used to analyze the specific unstructured text log with reference to the K-th normalization rate information
Including,
The step (c),
After the parser matching device normalizes the specific unstructured text log using the K-th candidate log parsing policies, the number of cases where the adequacy evaluation degree of the normalized result is equal to or greater than a threshold value and the K_1 to K_Mth log parsing policies And generating the K-th normalization rate information with reference to the ratio information between the number of units.
상기 (c) 단계는,
상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시들 중 하나인 제K 특정 후보 로그 파싱 폴리시를 이용해 상기 특정 비정형 텍스트 로그를 정규화한 결과인 특정 정규화 결과를 참조로 하여, 상기 특정 정규화 결과의 각 섹션에 대응하는 로그 자료형 데이터를 획득하고, (i) 상기 로그 자료형 데이터와 (ii) 상기 제K 특정 후보 로그 파싱 폴리시에 대응하는 폴리시 자료형 데이터를 비교함으로써, 상기 특정 비정형 텍스트 로그를 정규화하기 위해 상기 제K 특정 후보 로그 파싱 폴리시를 사용한 것이 적절한지 여부를 나타내는, 상기 특정 정규화 결과에 대한 특정 적정성 평가도를 생성하는 것을 특징으로 하는 방법.The method of claim 1,
The step (c),
The parser matching device refers to a specific normalization result, which is a result of normalizing the specific unstructured text log, using a K-th specific candidate log parsing policy, which is one of the K-th candidate log parsing policies, and each of the specific normalization results. To normalize the specific unstructured text log by obtaining log data type data corresponding to the section, and comparing (i) the log data type data with (ii) policy data type data corresponding to the K-th specific candidate log parsing policy. And generating a specific adequacy rating for the specific normalization result indicating whether it is appropriate to use the K-th specific candidate log parsing policy.
(a) 파서 매칭 디바이스가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 단계;
(b) 상기 파서 매칭 디바이스가, 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 단계;
(c) 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 단계; 및
(d) 상기 파서 매칭 디바이스가, 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 단계
를 포함하되,
상기 (b) 단계는,
상기 파서 매칭 디바이스가, 상기 제K 로그 파서에 대응하는 상기 제K_1 내지 제K_M 로그 파싱 폴리시가 각각의 폴리시 타입별로 분류되어 있는 상태에서, 상기 제K_1 내지 제K_M 로그 파싱 폴리시 중 상기 특정 폴리시 타입 정보에 대응하는 제K 후보 로그 파싱 폴리시를 획득함으로써 이를 포함하는 상기 후보 로그 파싱 폴리시를 선택하는 것을 특징으로 하는 방법.In the normalization rate-based parser matching method for accurately and automatically analyzing an unstructured log having an arbitrary structure,
(a) When the parser matching device obtains a random analysis log list including at least one unstructured text log obtained from at least one service, each of the unstructured text logs with reference to the random analysis log list Obtaining policy type information corresponding to the category information of;
(b) The parser matching device refers to the specific policy type information corresponding to the specific unstructured text log, which is one of the unstructured text logs, and is the Kth log of one of N log parsers-N is an integer greater than or equal to 1- Selecting a K-th candidate log parsing policy that is at least a part of the parser-K is an integer of 1 or more and N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more;
(c) generating, by the parser matching device, Kth normalization rate information for the specific unstructured text log of the Kth log parser with reference to the information on the Kth candidate log parsing policy; And
(d) determining, by the parser matching device, whether the K-th log parser is included in a specific log parser to be used to analyze the specific unstructured text log with reference to the K-th normalization rate information
Including,
The step (b),
When the parser matching device is in a state in which the K_1 to K_Mth log parsing policies corresponding to the Kth log parser are classified for each policy type, the specific policy type information among the K_1 to K_Mth log parsing policies And selecting the candidate log parsing policy including the K-th candidate log parsing policy corresponding to the K-th candidate log parsing policy.
(a) 파서 매칭 디바이스가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 단계;
(b) 상기 파서 매칭 디바이스가, 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 단계;
(c) 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 단계; 및
(d) 상기 파서 매칭 디바이스가, 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 단계
를 포함하되,
(e) 상기 파서 매칭 디바이스가, 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서를 사용자에게 제공함으로써 상기 사용자가 상기 특정 로그 파서 중 적어도 하나를 상기 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 포함된 테스트용 비정형 텍스트 로그에 대해 사용할 수 있도록 지원하는 단계
를 더 포함하는 것을 특징으로 하는 방법.In the normalization rate-based parser matching method for accurately and automatically analyzing an unstructured log having an arbitrary structure,
(a) When the parser matching device obtains a random analysis log list including at least one unstructured text log obtained from at least one service, each of the unstructured text logs with reference to the random analysis log list Obtaining policy type information corresponding to the category information of;
(b) The parser matching device refers to the specific policy type information corresponding to the specific unstructured text log, which is one of the unstructured text logs, and is the Kth log of one of N log parsers-N is an integer greater than or equal to 1- Selecting a K-th candidate log parsing policy that is at least a part of the parser-K is an integer of 1 or more and N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more;
(c) generating, by the parser matching device, Kth normalization rate information for the specific unstructured text log of the Kth log parser with reference to the information on the Kth candidate log parsing policy; And
(d) determining, by the parser matching device, whether the K-th log parser is included in a specific log parser to be used to analyze the specific unstructured text log with reference to the K-th normalization rate information
Including,
(e) The parser matching device provides the specific log parser to the user in a state in which it is determined whether each of the first to Nth log parsers is included in the specific log parser, so that the user can use the specific log parser. Supporting at least one of the unstructured text logs for testing included in specific category information corresponding to the specific unstructured text log
The method further comprising a.
(a) 파서 매칭 디바이스가, 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 단계;
(b) 상기 파서 매칭 디바이스가, 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 단계;
(c) 상기 파서 매칭 디바이스가, 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 단계; 및
(d) 상기 파서 매칭 디바이스가, 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 단계
를 포함하되,
(f) 상기 파서 매칭 디바이스가, 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 대해 지정한 후 이를 분석가능 로그 리스트에 추가하는 단계
를 더 포함하는 것을 특징으로 하는 방법.In the normalization rate-based parser matching method for accurately and automatically analyzing an unstructured log having an arbitrary structure,
(a) When the parser matching device obtains a random analysis log list including at least one unstructured text log obtained from at least one service, each of the unstructured text logs with reference to the random analysis log list Obtaining policy type information corresponding to the category information of;
(b) The parser matching device refers to the specific policy type information corresponding to the specific unstructured text log, which is one of the unstructured text logs, and is the Kth log of one of N log parsers-N is an integer greater than or equal to 1- Selecting a K-th candidate log parsing policy that is at least a part of the parser-K is an integer of 1 or more and N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more;
(c) generating, by the parser matching device, Kth normalization rate information for the specific unstructured text log of the Kth log parser with reference to the information on the Kth candidate log parsing policy; And
(d) determining, by the parser matching device, whether the K-th log parser is included in a specific log parser to be used to analyze the specific unstructured text log with reference to the K-th normalization rate information
Including,
(f) In a state in which the parser matching device determines whether each of the first to Nth log parsers is included in the specific log parser, it is determined that the normalization rate information is the largest among the specific log parsers. Specifying specific category information corresponding to the text log and adding it to the list of logs that can be analyzed
The method further comprising a.
(g) 상기 파서 매칭 디바이스가, 테스트용 비정형 텍스트 로그가 획득되면, 이를 분석하여 상기 테스트용 비정형 텍스트 로그의 테스트용 카테고리 정보를 획득한 후, 상기 테스트용 카테고리 정보 및 상기 분석가능 로그 리스트를 참조로 하여 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용할 소정 로그 파서를 선택하되,
상기 테스트용 카테고리 정보와 상기 특정 카테고리 정보 간의 유사도가 임계치 이상일 경우, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용하는 단계
를 더 포함하는 것을 특징으로 하는 방법.The method of claim 6,
(g) When the parser matching device obtains a test unstructured text log, it analyzes it to obtain test category information of the test unstructured text log, and then refers to the test category information and the analysis log list. To select a predetermined log parser to be used to normalize the test unstructured text log,
When the similarity between the test category information and the specific category information is greater than or equal to a threshold, using the largest normalization rate information among the specific log parsers to normalize the test unstructured text log
The method further comprising a.
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 프로세스; (II) 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 프로세스; (III) 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 프로세스; 및 (IV) 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 프로세스를 수행하되,
상기 (III) 프로세스는,
상기 프로세서가, 상기 제K 후보 로그 파싱 폴리시들을 사용하여 상기 특정 비정형 텍스트 로그를 정규화한 후, 상기 정규화한 결과의 적정성 평가도가 임계치 이상인 경우의 개수와 상기 제K_1 내지 제K_M 로그 파싱 폴리시들의 개수 간의 비율 정보를 참조로 하여 상기 제K 정규화율 정보를 생성하는 것을 특징으로 하는 것을 특징으로 하는 디바이스.In a parser matching device that performs a parser matching method based on a normalization rate to accurately and automatically analyze an unstructured log having an arbitrary structure,
One or more memories for storing instructions; And
Including one or more processors configured to perform the instructions, wherein the processor is, (I) when a random analysis log list including at least one unstructured text log obtained from at least one service is obtained, the random analysis A process of obtaining policy type information corresponding to category information of each of the unstructured text logs with reference to a log list; (II) With reference to specific policy type information corresponding to a specific unstructured text log, which is one of the unstructured text logs, N log parsers-N is an integer greater than or equal to 1-One of the K-th log parsers-K is 1 or more A process of selecting a K-th candidate log parsing policy that is at least a part of an integer of N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (III) a process of generating K-th normalization rate information for the specific unstructured text log of the K-th log parser with reference to the information on the K-th candidate log parsing policy; And (IV) performing a process of determining whether or not the Kth log parser is included in a specific log parser to be used to analyze the specific unstructured text log, with reference to the Kth normalization rate information,
The (III) process,
After the processor normalizes the specific unstructured text log using the K-th candidate log parsing policies, the number of cases where the adequacy evaluation degree of the normalized result is equal to or greater than a threshold value and the number of K_1 to K_M-th log parsing policies And generating the K-th normalization rate information with reference to the ratio information of the liver.
상기 (III) 프로세스는,
상기 프로세서가, 상기 제K 후보 로그 파싱 폴리시들 중 하나인 제K 특정 후보 로그 파싱 폴리시를 이용해 상기 특정 비정형 텍스트 로그를 정규화한 결과인 특정 정규화 결과를 참조로 하여, 상기 특정 정규화 결과의 각 섹션에 대응하는 로그 자료형 데이터를 획득하고, (i) 상기 로그 자료형 데이터와 (ii) 상기 제K 특정 후보 로그 파싱 폴리시에 대응하는 폴리시 자료형 데이터를 비교함으로써, 상기 특정 비정형 텍스트 로그를 정규화하기 위해 상기 제K 특정 후보 로그 파싱 폴리시를 사용한 것이 적절한지 여부를 나타내는, 상기 특정 정규화 결과에 대한 특정 적정성 평가도를 생성하는 것을 특징으로 하는 디바이스.The method of claim 8,
The (III) process,
The processor refers to a specific normalization result, which is a result of normalizing the specific unstructured text log, using a K-th specific candidate log parsing policy, which is one of the K-th candidate log parsing policies, in each section of the specific normalization result. The K-th to normalize the specific unstructured text log by obtaining corresponding log data type data, and comparing (i) the log data type data with (ii) policy data type data corresponding to the K-th specific candidate log parsing policy. A device for generating a specific adequacy evaluation degree for the specific normalization result, indicating whether it is appropriate to use a specific candidate log parsing policy.
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 프로세스; (II) 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 프로세스; (III) 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 프로세스; 및 (IV) 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 프로세스를 수행하되,
상기 (II) 프로세스는,
상기 프로세서가, 상기 제K 로그 파서에 대응하는 상기 제K_1 내지 제K_M 로그 파싱 폴리시가 각각의 폴리시 타입별로 분류되어 있는 상태에서, 상기 제K_1 내지 제K_M 로그 파싱 폴리시 중 상기 특정 폴리시 타입 정보에 대응하는 제K 후보 로그 파싱 폴리시를 획득함으로써 이를 포함하는 상기 후보 로그 파싱 폴리시를 선택하는 것을 특징으로 하는 디바이스.In a parser matching device that performs a parser matching method based on a normalization rate to accurately and automatically analyze an unstructured log having an arbitrary structure,
One or more memories for storing instructions; And
Including one or more processors configured to perform the instructions, wherein the processor is, (I) when a random analysis log list including at least one unstructured text log obtained from at least one service is obtained, the random analysis A process of obtaining policy type information corresponding to category information of each of the unstructured text logs with reference to a log list; (II) With reference to specific policy type information corresponding to a specific unstructured text log, which is one of the unstructured text logs, N log parsers-N is an integer greater than or equal to 1-One of the K-th log parsers-K is 1 or more A process of selecting a K-th candidate log parsing policy that is at least a part of an integer of N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (III) a process of generating K-th normalization rate information for the specific unstructured text log of the K-th log parser with reference to the information on the K-th candidate log parsing policy; And (IV) performing a process of determining whether or not the Kth log parser is included in a specific log parser to be used to analyze the specific unstructured text log, with reference to the Kth normalization rate information,
The (II) process,
In a state in which the K_1 to K_Mth log parsing policies corresponding to the Kth log parser are classified for each policy type, the processor corresponds to the specific policy type information among the K_1 to K_Mth log parsing policies. And selecting the candidate log parsing policy including the K-th candidate log parsing policy.
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 프로세스; (II) 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 프로세스; (III) 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 프로세스; 및 (IV) 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 프로세스를 수행하되,
상기 프로세서가,
(V) 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서를 사용자에게 제공함으로써 상기 사용자가 상기 특정 로그 파서 중 적어도 하나를 상기 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 포함된 테스트용 비정형 텍스트 로그에 대해 사용할 수 있도록 지원하는 프로세스를 더 수행하는 것을 특징으로 하는 디바이스.In a parser matching device that performs a parser matching method based on a normalization rate to accurately and automatically analyze an unstructured log having an arbitrary structure,
One or more memories for storing instructions; And
Including one or more processors configured to perform the instructions, wherein the processor is, (I) when a random analysis log list including at least one unstructured text log obtained from at least one service is obtained, the random analysis A process of obtaining policy type information corresponding to category information of each of the unstructured text logs with reference to a log list; (II) With reference to specific policy type information corresponding to a specific unstructured text log, which is one of the unstructured text logs, N log parsers-N is an integer greater than or equal to 1-One of the K-th log parsers-K is 1 or more A process of selecting a K-th candidate log parsing policy that is at least a part of an integer of N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (III) a process of generating K-th normalization rate information for the specific unstructured text log of the K-th log parser with reference to the information on the K-th candidate log parsing policy; And (IV) performing a process of determining whether or not the Kth log parser is included in a specific log parser to be used to analyze the specific unstructured text log, with reference to the Kth normalization rate information,
The processor,
(V) In a state in which it is determined whether each of the first to Nth log parsers is included in the specific log parser, by providing the specific log parser to the user, the user can specify at least one of the specific log parsers. A device, further comprising: performing a process of supporting the use of the unstructured text log for testing included in specific category information corresponding to the unstructured text log.
인스트럭션들을 저장하는 하나 이상의 메모리; 및
상기 인스트럭션들을 수행하도록 설정된 하나 이상의 프로세서를 포함하되, 상기 프로세서는, (I) 적어도 하나의 서비스로부터 획득된 적어도 하나의 비정형 텍스트 로그를 포함하는 난(難)분석 로그 리스트가 획득되면, 상기 난분석 로그 리스트를 참조로 하여, 상기 비정형 텍스트 로그 각각의 카테고리 정보에 대응하는 폴리시 타입 정보를 획득하는 프로세스; (II) 상기 비정형 텍스트 로그 중 하나인 특정 비정형 텍스트 로그에 대응하는 특정 폴리시 타입 정보를 참조로 하여, N개의 로그 파서들 - N은 1 이상의 정수임 - 중 하나인 제K 로그 파서 - K은 1 이상 N 이하의 정수임 - 에 각각 대응하는 제K_1 내지 제K_M 로그 파싱 폴리시 - M은 1 이상의 정수임 - 중 적어도 일부인 제K 후보 로그 파싱 폴리시를 선택하는 프로세스; (III) 상기 제K 후보 로그 파싱 폴리시에 대한 정보를 참조로 하여 상기 제K 로그 파서의 상기 특정 비정형 텍스트 로그에 대한 제K 정규화율 정보를 생성하는 프로세스; 및 (IV) 상기 제K 정규화율 정보를 참조로 하여, 상기 제K 로그 파서가, 상기 특정 비정형 텍스트 로그를 분석하기 위해 사용될 특정 로그 파서에 포함될지 여부를 판단하는 프로세스를 수행하되,
상기 프로세서가,
(VI) 각각의 상기 제1 내지 제N 로그 파서들이 상기 특정 로그 파서에 포함될 지 여부가 판단된 상태에서, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 특정 비정형 텍스트 로그에 대응하는 특정 카테고리 정보에 대해 지정한 후 이를 분석가능 로그 리스트에 추가하는 프로세스
를 더 수행하는 것을 특징으로 하는 디바이스.In a parser matching device that performs a parser matching method based on a normalization rate to accurately and automatically analyze an unstructured log having an arbitrary structure,
One or more memories for storing instructions; And
Including one or more processors configured to perform the instructions, wherein the processor is, (I) when a random analysis log list including at least one unstructured text log obtained from at least one service is obtained, the random analysis A process of obtaining policy type information corresponding to category information of each of the unstructured text logs with reference to a log list; (II) With reference to specific policy type information corresponding to a specific unstructured text log, which is one of the unstructured text logs, N log parsers-N is an integer greater than or equal to 1-One of the K-th log parsers-K is 1 or more A process of selecting a K-th candidate log parsing policy that is at least a part of an integer of N or less-K_1 to K_Mth log parsing policies respectively corresponding to-M is an integer of 1 or more; (III) a process of generating K-th normalization rate information for the specific unstructured text log of the K-th log parser with reference to the information on the K-th candidate log parsing policy; And (IV) performing a process of determining whether or not the Kth log parser is included in a specific log parser to be used to analyze the specific unstructured text log, with reference to the Kth normalization rate information,
The processor,
(VI) In a state in which it is determined whether each of the first to Nth log parsers is included in the specific log parser, it is determined that the normalization rate information is the largest among the specific log parsers. The process of specifying category information and adding it to the list of available logs for analysis
A device, characterized in that to further perform.
상기 프로세서가,
(VII) 테스트용 비정형 텍스트 로그가 획득되면, 이를 분석하여 상기 테스트용 비정형 텍스트 로그의 테스트용 카테고리 정보를 획득한 후, 상기 테스트용 카테고리 정보 및 상기 분석가능 로그 리스트를 참조로 하여 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용할 소정 로그 파서를 선택하되,
상기 테스트용 카테고리 정보와 상기 특정 카테고리 정보 간의 유사도가 임계치 이상일 경우, 상기 특정 로그 파서 중 그 정규화율 정보가 가장 큰 것을 상기 테스트용 비정형 텍스트 로그를 정규화하는 데에 사용하는 프로세스
를 더 수행하는 것을 특징으로 하는 디바이스.The method of claim 13,
The processor,
(VII) When an unstructured text log for test is obtained, analyze it to obtain test category information of the test unstructured text log, and then refer to the test category information and the list of analyzeable logs, and refer to the test unstructured text log. Select a certain log parser to use to normalize the text log,
When the similarity between the test category information and the specific category information is greater than or equal to a threshold, the process of using the largest normalization rate information among the specific log parsers to normalize the test unstructured text log
A device, characterized in that to further perform.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200130295A KR102244782B1 (en) | 2020-10-08 | 2020-10-08 | Method for automatical parser matching based on nomalization rates to be used for accurately analyzing unstructured logs having arbitrary structures and device using the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200130295A KR102244782B1 (en) | 2020-10-08 | 2020-10-08 | Method for automatical parser matching based on nomalization rates to be used for accurately analyzing unstructured logs having arbitrary structures and device using the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102244782B1 true KR102244782B1 (en) | 2021-04-27 |
Family
ID=75726044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020200130295A Active KR102244782B1 (en) | 2020-10-08 | 2020-10-08 | Method for automatical parser matching based on nomalization rates to be used for accurately analyzing unstructured logs having arbitrary structures and device using the same |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102244782B1 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006094206A2 (en) * | 2005-03-02 | 2006-09-08 | Google Inc. | Generating structured information |
| WO2015187001A2 (en) * | 2014-06-04 | 2015-12-10 | Mimos Berhad | System and method for managing resources failure using fast cause and effect analysis in a cloud computing system |
| KR101695277B1 (en) * | 2016-04-26 | 2017-01-11 | (주)시큐레이어 | Method for supporting regularization of unconstructed data and computing device using the same |
| KR101890805B1 (en) * | 2018-04-17 | 2018-08-22 | (주)시큐레이어 | Method for processing unstructured log in real-time on the basis of machine learning and server using the same |
| US10776196B2 (en) * | 2018-08-29 | 2020-09-15 | International Business Machines Corporation | Systems and methods for anomaly detection in a distributed computing system |
-
2020
- 2020-10-08 KR KR1020200130295A patent/KR102244782B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006094206A2 (en) * | 2005-03-02 | 2006-09-08 | Google Inc. | Generating structured information |
| WO2015187001A2 (en) * | 2014-06-04 | 2015-12-10 | Mimos Berhad | System and method for managing resources failure using fast cause and effect analysis in a cloud computing system |
| KR101695277B1 (en) * | 2016-04-26 | 2017-01-11 | (주)시큐레이어 | Method for supporting regularization of unconstructed data and computing device using the same |
| KR101890805B1 (en) * | 2018-04-17 | 2018-08-22 | (주)시큐레이어 | Method for processing unstructured log in real-time on the basis of machine learning and server using the same |
| US10776196B2 (en) * | 2018-08-29 | 2020-09-15 | International Business Machines Corporation | Systems and methods for anomaly detection in a distributed computing system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12225025B2 (en) | Enhanced cloud infrastructure security through runtime visibility into deployed software | |
| CN111416811B (en) | Unauthorized vulnerability detection method, system, equipment and storage medium | |
| US20160294863A1 (en) | Correlation based security risk identification | |
| US8910293B2 (en) | Determining the vulnerability of computer software applications to privilege-escalation attacks | |
| CN106528393A (en) | Method and device for Mock testing of WebService | |
| US20160380867A1 (en) | Method and System for Detecting and Identifying Assets on a Computer Network | |
| CN107688530A (en) | Method for testing software and device | |
| CN110768875A (en) | Application identification method and system based on DNS learning | |
| CN107733902A (en) | A kind of monitoring method and device of target data diffusion process | |
| US9519789B2 (en) | Identifying security vulnerabilities related to inter-process communications | |
| US9262309B2 (en) | Optimizing test data payload selection for testing computer software applications that employ data sanitizers and data validators | |
| WO2020155508A1 (en) | Suspicious user screening method and apparatus, computer device and storage medium | |
| CN103581185A (en) | Cloud searching and killing method, device and system for resisting anti-antivirus test | |
| Stoleriu et al. | Cyber attacks detection using open source elk stack | |
| US20200192786A1 (en) | Method and system for testing a system under development using real transaction data | |
| CN113259197A (en) | Asset detection method and device and electronic equipment | |
| CN113114680A (en) | Detection method and detection device for file uploading vulnerability | |
| CN111339151A (en) | Online examination method, device, equipment and computer storage medium | |
| CN104601532B (en) | A kind of method and device of logon account | |
| US10445213B2 (en) | Non-transitory computer-readable storage medium, evaluation method, and evaluation device | |
| US12184670B2 (en) | Dynamic computer threat alert system and method | |
| KR102244782B1 (en) | Method for automatical parser matching based on nomalization rates to be used for accurately analyzing unstructured logs having arbitrary structures and device using the same | |
| KR102258965B1 (en) | Method and device for classifying range of web attack types by using information on method field of http protocol and information on content-type field of http protocol | |
| CN111352975B (en) | Data quality management method, client, server and system | |
| CN113656314A (en) | Pressure test processing method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20201008 |
|
| PA0201 | Request for examination | ||
| PA0302 | Request for accelerated examination |
Patent event date: 20201014 Patent event code: PA03022R01D Comment text: Request for Accelerated Examination Patent event date: 20201008 Patent event code: PA03021R01I Comment text: Patent Application |
|
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20201214 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20210419 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20210421 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20210422 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20240311 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20250305 Start annual number: 5 End annual number: 5 |