Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP2012203522A - Log analysis support system - Google Patents
[go: Go Back, main page]

JP2012203522A - Log analysis support system - Google Patents

Log analysis support system Download PDF

Info

Publication number
JP2012203522A
JP2012203522A JP2011065735A JP2011065735A JP2012203522A JP 2012203522 A JP2012203522 A JP 2012203522A JP 2011065735 A JP2011065735 A JP 2011065735A JP 2011065735 A JP2011065735 A JP 2011065735A JP 2012203522 A JP2012203522 A JP 2012203522A
Authority
JP
Japan
Prior art keywords
log
processing
display
unit
support system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2011065735A
Other languages
Japanese (ja)
Inventor
Yoshiko Shiomoto
佳子 塩本
Takashi Nakagawa
隆志 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2011065735A priority Critical patent/JP2012203522A/en
Publication of JP2012203522A publication Critical patent/JP2012203522A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a log analysis support system capable of easily detecting an abnormal part.SOLUTION: An input part 110 divides log information for each process and stores it as a long information list 113 arranged in an occurrence order in a log information storage part 112. An extraction part 120 generates an extraction log list 126 sectioned for each process section related to a specified process on the basis of an extraction condition. A display part 130 turns a first coordinate axis to a time base, sets a second coordinate axis using an item included in resource information of an object system for generating a log, and displays the log as a two-dimensional graph.

Description

本発明は、主としてソフトウェアの障害解析を行うためのログ解析支援システムに関する。   The present invention relates to a log analysis support system mainly for performing software failure analysis.

従来より、ソフトウェアでは、動作に関する情報をログ情報として記録する事が行われており、障害発生時には、ログ情報を元に原因の特定を行っている。ログ情報には、発生したイベントの内容や、行った処理の内容、システムの状態など様々な情報が、時刻と共に記録されており、障害発生時には、ログを元に障害原因の解明を行う。   Conventionally, in software, information related to operations is recorded as log information, and when a failure occurs, the cause is identified based on the log information. In the log information, various information such as the contents of the event that has occurred, the contents of the processing that has been performed, the system status, and the like are recorded along with the time. When a failure occurs, the cause of the failure is clarified based on the log.

障害発生時には、障害が発生した事を知らせるログが出力される場合もある。この場合は、障害発生を知らせるログを探すだけなので、ログ情報がいくら大量にあっても、単なる検索作業で、障害発生箇所を特定できる。   When a failure occurs, a log notifying that a failure has occurred may be output. In this case, since only the log for notifying the occurrence of the failure is searched, the location where the failure has occurred can be identified by a simple search operation regardless of the amount of log information.

しかし、想定外の事態によって、意図したものとは異なる結果が発生した場合は、ソフトウェアとしては異常と認識せずに処理が続行されてしまう事がある。このような場合は、障害発生を知らせるログは存在しないため、作業者が障害に関係しそうなログを抽出し、正常動作と比較して、障害の原因となった異常動作を特定する必要がある。しかし、一般的にログ情報は大量に出力され、その中から異常個所を発見する作業は容易ではない。   However, if a result different from the intended one occurs due to an unexpected situation, the software may not be recognized as abnormal and the process may be continued. In such a case, there is no log that reports the occurrence of a failure, so it is necessary for the operator to extract a log that seems to be related to the failure, and to identify the abnormal operation that caused the failure compared with the normal operation . However, generally, a large amount of log information is output, and it is not easy to find an abnormal part from the log information.

予め想定できる異常動作であれば、そのパターンを記録しておき、ログと比較する事で、検出を自動化する事が考えられる。この方法は、システムに対する不正アクセスの検出のように、予め想定されている異常動作に対しては有効であるが、一般的に、障害は予期しない動作によって引き起こされるため、異常動作を想定して登録する方法は適さない。
そこで、ログの特徴を分析し、異常と思われる箇所の候補を提示する方法が提案されている。例えば、特許文献1に示された従来装置では、ログの出現頻度を計算し、出現頻度の低いログを、異常動作の可能性が高いと判定している。
If it is an abnormal operation that can be assumed in advance, it is possible to record the pattern and compare it with a log to automate the detection. Although this method is effective for abnormal operations that are assumed in advance, such as detection of unauthorized access to the system, in general, a failure is caused by an unexpected operation. The registration method is not suitable.
In view of this, a method has been proposed in which the characteristics of the log are analyzed and candidates for a portion that seems to be abnormal are presented. For example, in the conventional apparatus disclosed in Patent Document 1, the appearance frequency of a log is calculated, and a log with a low appearance frequency is determined to have a high possibility of abnormal operation.

特開2006−155064号公報JP 2006-1555064 A

しかしながら、上記特許文献1に示された装置のように、出現頻度の低いログを異常動作の候補と判断する方法では、普段は発生しないような異常処理が発生した場合に効果が限定され、必要な処理の欠落や、順序の逆転など、処理の手順が原因となる障害の検出は困難である。
このような原因の特定には、その動作に関する処理全体のログの検証が必要であるが、従来では、ある動作に関する処理のログ範囲を特定するといった技術は存在しておらず、作業者が自ら判断する必要があった。
また、ログの範囲を特定しても、一つの動作の処理手順が常に完全に同じとは限らない。機械的な照合では、一致率や特徴動作の指定などが考えられるが、照合結果を見ながら、このような条件を細かく再調整するのは手間がかかる。このような場合、作業者が、大凡の傾向を見て大雑把に比較する方が適しているが、従来では大凡の傾向を見るために適した方法が存在しなかった。
However, in the method of determining a log with a low appearance frequency as a candidate for an abnormal operation as in the apparatus disclosed in Patent Document 1, the effect is limited when an abnormal process that does not normally occur occurs and is necessary. It is difficult to detect a failure caused by a processing procedure such as lack of proper processing or reversal of order.
In order to identify such a cause, verification of the log of the entire process related to the operation is necessary, but conventionally, there is no technique for specifying the log range of the process related to a certain operation, and the worker himself It was necessary to judge.
Even if the range of the log is specified, the processing procedure of one operation is not always completely the same. In mechanical collation, it is conceivable to specify a coincidence rate or a feature action. However, it is troublesome to finely readjust these conditions while looking at the collation result. In such a case, it is more appropriate for the operator to see the general tendency and make a rough comparison, but conventionally, there has been no method suitable for seeing the general tendency.

この発明は上記のような課題を解決するためになされたもので、異常箇所の検出を容易に行うことのできるログ解析支援システムを得ることを目的とする。   The present invention has been made to solve the above-described problems, and an object of the present invention is to obtain a log analysis support system that can easily detect an abnormal part.

この発明に係るログ解析支援システムは、生成されたログを入力する入力部と、予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部と、区間単位で抽出したログを表示する表示部とを備えたものである。   The log analysis support system according to the present invention defines an input unit that inputs a generated log, a log that is a start point of processing related to one operation, and a log that is an end point in advance, and inputs according to these definitions An extraction unit that extracts the extracted logs by dividing each processing section related to a specific process, and a display unit that displays the logs extracted in units of sections.

この発明のログ解析支援システムは、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出するようにしたので、ログの傾向を比較することができるため、異常箇所の検出を容易に行うことができる。   The log analysis support system of the present invention defines a log as a start point and a log as an end point of a process related to one operation, and divides the input log into processing intervals related to a specific process according to these definitions. Since they are extracted, the tendency of logs can be compared, so that an abnormal part can be easily detected.

この発明の実施の形態1によるログ解析支援システムを示す構成図である。It is a block diagram which shows the log analysis assistance system by Embodiment 1 of this invention. この発明の実施の形態1によるログ解析支援システムを動作例と共に示す構成図である。It is a block diagram which shows the log analysis assistance system by Embodiment 1 of this invention with an operation example. この発明の実施の形態1によるログ解析支援システムの処理区間毎に抽出したログと加工後のログとを示す説明図である。It is explanatory drawing which shows the log extracted for every process area of the log analysis assistance system by Embodiment 1 of this invention, and the log after a process. この発明の実施の形態1によるログ解析支援システムの複数の処理区間のログの表示例を示す説明図である。It is explanatory drawing which shows the example of a display of the log of the several process area of the log analysis assistance system by Embodiment 1 of this invention. この発明の実施の形態1によるログ解析支援システムの比較表示部を追加した場合の表示部の構成図である。It is a block diagram of the display part at the time of adding the comparison display part of the log analysis assistance system by Embodiment 1 of this invention. この発明の実施の形態1によるログ解析支援システムの比較表示用に再加工した後のログと、その加工手順を示す説明図である。It is explanatory drawing which shows the log after reprocessing for the comparison display of the log analysis assistance system by Embodiment 1 of this invention, and its processing procedure. この発明の実施の形態1によるログ解析支援システムの複数の処理区間を時間軸を揃えて表示する表示例の説明図である。It is explanatory drawing of the example of a display which displays the several process area of the log analysis assistance system by Embodiment 1 of this invention in alignment with a time axis. この発明の実施の形態1によるログ解析支援システムの複数の処理区間を時間軸を揃え、重ねて表示する表示例の説明図である。It is explanatory drawing of the example of a display which arranges the several processing area of the log analysis assistance system by Embodiment 1 of this invention, aligning a time axis, and displaying it. この発明の実施の形態2によるログ解析支援システムの表示例を示す説明図である。It is explanatory drawing which shows the example of a display of the log analysis assistance system by Embodiment 2 of this invention.

本発明では、まず、解析対象とする動作を、きっかけとなる処理と、結果となる処理で、ログの区間が明確に規定できる種類の動作に限定する。
例えば、複数の機能が、イベントによって互いに連携して動作するシステムであれば、あるイベントAをきっかけとして処理が開始され、そこから更に複数のイベントが発生して複数の機能が連携して処理を行い、最終的にイベントAに起因して発生した全てのイベントが処理されて、一つの動作が完結する。きっかけとなるイベントAから、結果となる全てのイベントの処理が終了するまでが、一つのイベント処理動作に関する処理の範囲と言える。
また、制御システムであれば、外乱をきっかけとして、内部で制御処理が発生し、結果として内部状態が静定する。この場合は、外乱の発生から、内部状態の静定までが、一つの制御動作に関する処理の範囲と言える。
本発明では、マルチプロセスやマルチスレッドのように、同時並行処理によって出力されるログは対象としない。
In the present invention, first, the operation to be analyzed is limited to a type of operation that can clearly define the log section by the triggering process and the resulting process.
For example, if a plurality of functions operate in cooperation with each other according to an event, the process is started with an event A as a trigger, and a plurality of events are generated from there and a plurality of functions cooperate to perform processing. All the events that have finally occurred due to event A are processed, and one operation is completed. It can be said that the range of processing related to one event processing operation is from the triggering event A to the end of processing of all the resulting events.
Also, in the case of a control system, control processing occurs inside triggered by a disturbance, and as a result, the internal state is settled. In this case, it can be said that the range of processing related to one control operation is from the occurrence of disturbance to the stabilization of the internal state.
In the present invention, logs output by simultaneous parallel processing, such as multi-process and multi-thread, are not targeted.

本発明では、動作に関する処理の範囲毎に、ログを区切って抽出する事で、大量のログの中から対象箇所を探す手間が不要になり、各動作のログの比較を容易に行う事ができる。
更に、区間を特定したログを比較する際に、着目する特徴だけを抜き出して多次元のグラフとして表示する。通常のログは、時間軸だけの1次元の情報である。これに対して、時間以外の要素を第2、第3の軸として、ログをグラフ化する事によって、処理の傾向を図形として表示出来る。この結果、作業者が細かい情報を無視して処理の傾向を容易に把握する事ができる。以下、この発明の実施の形態1について説明する。
In the present invention, by separating and extracting logs for each processing range related to operations, there is no need to search for a target location from a large amount of logs, and it is possible to easily compare the logs of each operation. .
Further, when comparing the logs specifying the sections, only the feature of interest is extracted and displayed as a multidimensional graph. A normal log is one-dimensional information only on the time axis. On the other hand, the trend of processing can be displayed as a graphic by graphing the log with elements other than time as the second and third axes. As a result, the worker can easily grasp the tendency of the processing by ignoring detailed information. Embodiment 1 of the present invention will be described below.

実施の形態1.
図1は、この発明の実施の形態1によるログ解析支援システムを示す構成図である。
図1に示すログ解析支援システムは、生成されたログファイル100を入力する入力部110と、予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部120と、区間単位で抽出したログを表示する表示部130から構成されている。
Embodiment 1 FIG.
FIG. 1 is a block diagram showing a log analysis support system according to Embodiment 1 of the present invention.
The log analysis support system shown in FIG. 1 defines an input unit 110 that inputs a generated log file 100, a log that is a start point of processing related to one operation, and a log that is an end point. The extraction unit 120 extracts and extracts the input log for each processing section related to a specific process, and the display unit 130 displays the log extracted for each section.

入力部110は、ログ情報を読み込むための入力処理部111と、読み込んだログを格納するためのログ情報格納部112を備えている。
入力部110が読み込むログ情報は、発生したイベントの内容や、行った処理の内容、システムの状態など、様々な情報が、その時刻と共に記録されている。ログ情報には、全てのログがまとめて記録されているため、入力処理部111は、この情報を一つの処理毎に分割し、発生順に並んだログのリストとして、ログ情報格納部112に格納する。
なお、入力処理部111は、ファイルやシリアル出力などの外部情報を入力するためのインタフェースと、読み込む情報をユーザが指定するために、ファイル選択手段などの一般的なインタフェースを持つものとする。
The input unit 110 includes an input processing unit 111 for reading log information and a log information storage unit 112 for storing the read log.
As the log information read by the input unit 110, various information such as the contents of the event that has occurred, the contents of the processing performed, the system status, and the like are recorded along with the time. Since all the logs are recorded together in the log information, the input processing unit 111 divides this information for each process and stores it in the log information storage unit 112 as a list of logs arranged in the order of occurrence. To do.
Note that the input processing unit 111 has an interface for inputting external information such as a file and serial output, and a general interface such as a file selection unit for the user to specify information to be read.

抽出部120は、動作毎の処理範囲の定義条件を設定するための抽出条件設定部121と、設定された定義条件を格納するための抽出条件格納部122と、設定された条件に従って区間単位でログを抽出する抽出処理部123と、抽出したログを格納するための抽出ログ格納部124とを備えている。   The extraction unit 120 includes an extraction condition setting unit 121 for setting a processing range definition condition for each operation, an extraction condition storage unit 122 for storing the set definition condition, and a section unit according to the set condition. An extraction processing unit 123 for extracting a log and an extraction log storage unit 124 for storing the extracted log are provided.

処理範囲の定義条件とは、一つの動作に関する処理の開始点となるログと、終了点となるログを定義する事である。例えば、グラフィックユーザインタフェース(以下、GUI)に着目した場合、ユーザ操作をきっかけとしてシステム内の処理が実行され、最終的に描画の更新が行われる。ユーザ操作を記録したログが開始点のログ、描画処理を記録したログが終了点のログとなる。ユーザ操作とは、ハードウェアのボタン押下や、タッチパネル操作などを指す。終了点の定義は、特定の処理のログだけでなく、一定時間以上、特定の処理が発生していない、などの条件の指定でも構わない。   The process range definition condition is to define a log as a start point and a log as an end point of processing related to one operation. For example, when attention is paid to a graphic user interface (hereinafter referred to as GUI), processing in the system is executed in response to a user operation, and finally drawing is updated. The log that records user operations is the log of the start point, and the log that records drawing processing is the log of the end point. The user operation refers to a hardware button press or a touch panel operation. The definition of the end point is not limited to a specific process log, but may be specified by a condition such that a specific process has not occurred for a certain time or longer.

抽出条件設定部121では、動作と処理範囲の定義条件を抽出条件格納部122に登録する。定義条件の入力は、設定ファイルなどで入力するか、あるいは、ユーザが対話的に入力する手段を提供してもよい。実施の形態1では、ユーザは登録された動作の中から、抽出する動作を選択するものとする。   The extraction condition setting unit 121 registers the operation and processing range definition conditions in the extraction condition storage unit 122. The definition condition may be input by a setting file or the like, or a means for the user to input interactively may be provided. In the first embodiment, it is assumed that the user selects an operation to be extracted from the registered operations.

抽出処理部123は、指定された動作に関する処理範囲毎にログを区切って抽出し、抽出ログ格納部124に登録する。   The extraction processing unit 123 divides and extracts logs for each processing range related to the designated operation, and registers it in the extraction log storage unit 124.

表示部130は、区間単位で抽出したログの中から、更に条件を限定するための検索処理部131と、ログを多次元のグラフとして表示するための条件を設定する表示条件設定部132と、設定された表示条件に従って多次元のグラフとして表示するための変換処理を行う表示処理部133と、グラフを表示するためのインタフェースを備えるグラフ表示部134と、設定した表示条件を格納する表示条件格納部135とを備えている。   The display unit 130 includes a search processing unit 131 for further limiting conditions from logs extracted in units of sections, a display condition setting unit 132 for setting conditions for displaying the log as a multidimensional graph, A display processing unit 133 that performs conversion processing for displaying as a multidimensional graph in accordance with the set display conditions, a graph display unit 134 that includes an interface for displaying a graph, and a display condition storage that stores the set display conditions Part 135.

処理区間を切り出すための動作は、GUI操作や制御操作といった、大きな単位であり、始点ログとなる処理は複数存在する。例えば、GUI操作であれば、始点ログとなるのは「ユーザ操作」という種類の処理であるが、「ユーザ操作」には、ENTERキー押下、音量操作、メニュー選択など、様々な操作がある。そこで、検索処理部131において、処理区間毎に切り出したログの中から、2次的な絞込みを行う。   The operation for cutting out the processing section is a large unit such as a GUI operation or a control operation, and there are a plurality of processes serving as start point logs. For example, in the case of a GUI operation, the type of processing called “user operation” is the start point log, but “user operation” includes various operations such as pressing the ENTER key, volume operation, and menu selection. Therefore, the search processing unit 131 performs secondary narrowing down from the logs cut out for each processing section.

ログ情報は、通常、ログの発生時刻や発生順などの時間軸で並べた1次元のリストである。これを、多次元のグラフとして表示するには、第2、第3の軸を作る必要がある。表示条件設定部132では、第2、第3の軸として使用する項目を定義する。表示処理部133では、指定された項目の情報をログから取り出し、グラフとして表示可能なデータを作成し、グラフ表示部134でグラフを表示する。   The log information is usually a one-dimensional list arranged on a time axis such as a log generation time or a generation order. In order to display this as a multidimensional graph, it is necessary to create second and third axes. The display condition setting unit 132 defines items to be used as the second and third axes. The display processing unit 133 extracts information on the designated item from the log, creates data that can be displayed as a graph, and displays the graph on the graph display unit 134.

なお、グラフが2次元であるか3次元であるかは重要ではない。重要なのは、時間軸という1次元だけの座標軸を持つリストであるログに対し、他の要素の座標軸を追加する事で図形として表示可能にするという点である。   It is not important whether the graph is two-dimensional or three-dimensional. What is important is that a log which is a list having only one dimensional coordinate axis called a time axis can be displayed as a figure by adding the coordinate axes of other elements.

表示処理部133では、指定された項目を座標軸として、グラフを作成するため、指定された項目に関する情報を取り出し、グラフとして表示可能なデータを作成して、グラフ表示部134に送出し、グラフ表示部134では表示処理部133からのデータに基づいてグラフを表示する。   In the display processing unit 133, in order to create a graph using the specified item as a coordinate axis, information on the specified item is extracted, data that can be displayed as a graph is generated, and sent to the graph display unit 134 to display the graph. The unit 134 displays a graph based on the data from the display processing unit 133.

また、本発明のログ解析支援システムはコンピュータを用いて実現され、上述した入力処理部111、抽出条件設定部121、抽出処理部123、検索処理部131、表示条件設定部132及び表示処理部133は、それぞれの機能に対応したソフトウェアと、これらのソフトウェアを実行するためのCPUやメモリといったハードウェアから構成されている。あるいは、これら機能部の少なくとも一部を専用のハードウェアで構成してもよい。   Further, the log analysis support system of the present invention is realized by using a computer, and the input processing unit 111, the extraction condition setting unit 121, the extraction processing unit 123, the search processing unit 131, the display condition setting unit 132, and the display processing unit 133 described above. Is composed of software corresponding to each function and hardware such as a CPU and a memory for executing the software. Alternatively, at least a part of these functional units may be configured with dedicated hardware.

次に、実施の形態1のログ解析支援システムの具体的な動作を図2に基づいて説明する。
まず、入力部110において、ログファイル100に記録されたログ情報を読み込む。この時点では、大量のログが一つの大きなデータとなっているので、既定の区切り情報に従って、一つずつのログに分解する。ここでは、ログファイル100はテキストファイルとして生成され、改行文字が個々のログの区切りを示している。
入力処理部111は、ログファイル100を読み込み、改行毎に一つのログとして取り出す。ログは発生時刻と、ログの内容の組み合わせを一つの要素として、ログ情報格納部112のログ情報リスト113に追加する。
Next, a specific operation of the log analysis support system according to the first embodiment will be described with reference to FIG.
First, the input unit 110 reads log information recorded in the log file 100. At this point, since a large amount of log is one large data, it is decomposed into one log according to predetermined delimiter information. Here, the log file 100 is generated as a text file, and a line feed character indicates a delimiter between individual logs.
The input processing unit 111 reads the log file 100 and extracts it as one log for each line feed. The log is added to the log information list 113 of the log information storage unit 112 as a combination of the time of occurrence and the content of the log.

次に、抽出部120では、指定された動作に関する処理区間毎の抽出を行う。
抽出条件設定部121において、抽出条件格納部122に格納された動作のリスト(抽出条件リスト125)を図示しないディスプレイ等で提示し、どの動作に対する処理のログを切り出すのかをユーザに指定させる。ここでは、ユーザはGUI動作のログを取り出すため、GUI動作を選択したとする。なお、抽出可能な動作と、その動作の開始点ログと終了点ログの定義は、設定ファイルなどで登録したり、追加登録用のインタフェースを提供してユーザが追加できるようにすることが望ましい。
Next, the extraction unit 120 performs extraction for each processing section related to the designated operation.
The extraction condition setting unit 121 presents a list of operations (extraction condition list 125) stored in the extraction condition storage unit 122 on a display or the like (not shown), and allows the user to specify which operation log to extract. Here, it is assumed that the user selects the GUI operation in order to extract the GUI operation log. It should be noted that it is desirable that the operations that can be extracted and the definitions of the start point log and the end point log of the operations are registered in a setting file or the like, or an interface for additional registration is provided so that the user can add them.

抽出する動作が指定されると、抽出処理部123では、ログ情報格納部112に格納されたログ情報リスト113に対し、先頭から順に探査を行う。始点となるログを見つけると、その箇所を記録しておき、終点となるログを探す。終点となるログを見つけると、先に見つけた始点ログから、この終点ログまでを一つの範囲として抽出する。抽出した範囲内のログを、一つの要素として、抽出ログ格納部124の抽出ログリスト126に登録する。こうして定義されるログの範囲を、処理区間と呼ぶ。終点ログが見つからないまま、次の始点ログが出現した場合は、次の始点ログの手前までを処理区間とみなす。これにより、終点ログが欠落する障害の場合でも、処理区間を切り出す事が出来る。
実施の形態1では、GUI動作を抽出対象として選択する。GUI動作は、ユーザ操作や外部イベントの発生を始点とし、描画処理を終点とする範囲を処理区間とする。ただし、描画更新が発生しない場合もあるので、この場合は、次の描画処理区間の開始位置の直前までが処理区間として抽出する。
When the operation to be extracted is designated, the extraction processing unit 123 searches the log information list 113 stored in the log information storage unit 112 in order from the top. When it finds the log that is the start point, it records that part and searches for the log that becomes the end point. When a log as an end point is found, a range from the first start point log to the end point log is extracted as one range. Logs within the extracted range are registered in the extracted log list 126 of the extracted log storage unit 124 as one element. The log range defined in this way is called a processing section. When the next start point log appears without finding the end point log, the processing section is considered to be before the next start point log. Thereby, even in the case of a failure in which the end point log is missing, the processing section can be cut out.
In the first embodiment, the GUI operation is selected as an extraction target. The GUI operation uses a user operation or an external event as a start point, and a range having a drawing process as an end point as a processing section. However, since the drawing update may not occur, in this case, the portion immediately before the start position of the next drawing processing section is extracted as the processing section.

最後に、表示部130において、ログをグラフ化して表示する。
まず、検索処理部131において、2次的な絞込みを行う。検索処理部131は、絞込み条件として指定可能な条件をユーザに提示し、選択させるインタフェースを備えているものとする。例えば、図2の抽出ログリスト126では、始点ログとなるユーザ操作はA,Bの2種類が含まれている。ここで、ユーザ操作Aに限定して絞込みを行うと、区間3のユーザ操作BをトリガとするGUI操作のログは表示対象から外れる。なお、この絞り込みは、必ずしも表示処理の最初に行う必要はない。障害発生箇所を特定する事の見通しが全く立たない場合は、まず、GUI操作の処理区間を全て表示し、そこから、疑わしいと思われる操作を徐々に絞りこむ、という使い方であってもよい。
Finally, the display unit 130 displays the log as a graph.
First, the search processing unit 131 performs secondary narrowing. It is assumed that the search processing unit 131 includes an interface for presenting and selecting a condition that can be specified as a narrowing condition to the user. For example, in the extracted log list 126 of FIG. 2, two types of user operations A and B are included as the start point log. Here, when narrowing down only to the user operation A, the GUI operation log triggered by the user operation B in the section 3 is excluded from the display target. Note that this narrowing is not necessarily performed at the beginning of the display process. If there is no prospect of identifying the location where the failure has occurred, the method may be such that, first, all the GUI operation processing sections are displayed, and then the operation that seems to be suspicious is gradually narrowed down.

次に、ユーザが表示条件設定部132において、第2の座標軸とする項目を設定する。ここではイベントの優先度を設定する。追加座標軸に設定する項目の候補は、解析対象のソフトウェアによって異なるので、設定ファイルなどで登録したり、追加登録用のインタフェースを提供してユーザが追加できるようにしてもよい。図示例では表示条件リスト136が設けられている。   Next, the user sets an item to be the second coordinate axis in the display condition setting unit 132. Here, the priority of the event is set. The candidate items to be set in the additional coordinate axes differ depending on the analysis target software. Therefore, the items may be registered by a setting file or the like, or may be added by the user by providing an additional registration interface. In the illustrated example, a display condition list 136 is provided.

追加座標軸に設定する項目は、ログ情報に含まれている内容を指定する。ログ情報とは、処理の内容やシステムの状態、イベントの種類、イベントの優先度やメモリやCPUなどのリソースの使用量、処理時間など、ログに含まれる情報を指す。また、処理時間はログに直接記述されていなくても、イベント処理開始のログとイベント処理終了のログの発生時刻の差分から計算する事もできる。このように、ログに直接記述されていなくても、ログを加工する事で取得可能な情報も、合わせてログ情報と呼ぶ。   The item set in the additional coordinate axis specifies the contents included in the log information. The log information refers to information included in the log, such as processing contents, system status, event type, event priority, use amount of resources such as memory and CPU, processing time, and the like. Even if the processing time is not directly described in the log, the processing time can be calculated from the difference between the occurrence times of the event processing start log and the event processing end log. Information that can be acquired by processing the log even if it is not directly described in the log is also referred to as log information.

ログ情報の中でも、メモリ使用量やCPU占有率、処理時間など、コンピュータのリソースの使用状況に関する情報をリソース情報と呼んで区別する。また、本発明では、イベント優先度のように、リソースを使用するための判断材料となる情報も、広い意味でのリソース情報とみなす。リソース情報は、隣り合う要素同士は関連性が高いため、処理特性を軸に設定する項目とした場合、機械的にグループ化して単位の粒度を変更できる。
更に、第3の座標軸として、メモリ使用量などを指定してもよい。ただし、実施の形態1では、説明を簡単にするため、第2の座標軸だけを追加した2次元のグラフとして表示する例を示す。
Among log information, information relating to the usage status of computer resources, such as memory usage, CPU occupancy, and processing time, is called resource information and distinguished. Further, in the present invention, information that is a judgment material for using resources, such as event priority, is also regarded as resource information in a broad sense. Since the resource information has high relevance between adjacent elements, when setting the processing characteristics as an axis, the unit granularity can be changed by grouping mechanically.
Furthermore, a memory usage amount or the like may be designated as the third coordinate axis. However, in the first embodiment, in order to simplify the description, an example of displaying as a two-dimensional graph with only the second coordinate axis added is shown.

次に、表示処理部133では、抽出部120で作成した処理区間毎の抽出ログリスト126の内容を、グラフとして表示するための処理を行う。まず、一つ目の処理区間のログを取り出す。図3(a)は、抽出した処理区間のログの詳細を示したものである。この時点では、ログに記録されている全てのログ情報が含まれている。処理区間内のログを一つずつ取り出し、図3(b)に示すように、ログ情報の中から、第2の座標軸の項目であるイベント優先度だけを取り出した表を作成する。この表に基づいて、図2のグラフ表示部134は、第1の座標軸137aを発生時間とし、第2の座標軸137bをイベント優先度として、格納されているログを、一つずつ、グラフ中の該当位置にプロットし、線で結んだ折れ線グラフ137を表示する。これを全ての処理区間のログについて繰り返し、ログのグラフを表示する。この結果、ログの内容は、図4に示すように、単なる波形のような図形として表示できるため、作業者が目視で比較する際に、テキスト情報に比べて、遥かに容易に行うことができる。
複数の機能が連携する動作では、途中で発生する通信の繰り返し数が異なるなど、無視してよい違いが発生する場合があるが、このような場合でも、図形の大まかな形状だけを比較すればよい。
Next, the display processing unit 133 performs processing for displaying the contents of the extraction log list 126 for each processing section created by the extraction unit 120 as a graph. First, the log of the first processing section is taken out. FIG. 3A shows details of the log of the extracted processing section. At this point, all log information recorded in the log is included. Each log in the processing section is taken out one by one, and as shown in FIG. 3B, a table is created in which only the event priority that is the item of the second coordinate axis is taken out from the log information. Based on this table, the graph display unit 134 in FIG. 2 uses the first coordinate axis 137a as the occurrence time and the second coordinate axis 137b as the event priority, and stores the stored logs one by one in the graph. A line graph 137 plotted at the corresponding position and connected by lines is displayed. This is repeated for the logs in all processing sections, and a log graph is displayed. As a result, the contents of the log can be displayed as a simple waveform-like figure as shown in FIG. 4, so that it can be performed much more easily than the text information when the operator visually compares the contents. .
In an operation in which multiple functions are linked, there may be differences that can be ignored, such as the number of repeated communications that occur in the middle, but even in this case, if only the rough shapes of the figures are compared Good.

イベントの優先度に着目すると、動作の処理の傾向は、ある規則性が現れる。イベント駆動のシステムでは、イベントは優先度に従って処理され、個々のイベント処理の間に、他のイベントの処理が割り込む事はなく、一つのイベントの処理が終わる度に残りのイベントがチェックされ、その時点で最も優先度の高いイベントが処理される。イベントの処理によって新たなイベントが発生した場合は、まずは処理待ちのイベントリストに追加され、最初のイベントの処理が終わった時点で、優先度に従って処理される。
このため、イベントの優先度を座標軸とした場合、徐々に優先度の低いイベントに収束する傾向がある。イベントの処理によってより優先度の高い新たなイベントが発生すると、優先度の低い方に収束しかけた波が、また優先度の高い方に戻る。この小さな山は、一つの処理区間内での、更に小さな処理区間と言える。
If attention is paid to the priority of the event, a certain regularity appears in the tendency of processing of the operation. In an event-driven system, events are processed according to priority, and during each event processing, no other event processing is interrupted, and each time an event is processed, the remaining events are checked and The event with the highest priority at the moment is processed. When a new event occurs due to event processing, it is first added to the event list waiting to be processed, and is processed according to the priority when the processing of the first event is completed.
For this reason, when the priority of an event is taken as a coordinate axis, the event tends to converge gradually to a low priority event. When a new event with a higher priority occurs due to event processing, the wave that has converged to the lower priority returns to the higher priority again. This small mountain can be said to be a smaller processing section within one processing section.

実施の形態1では、イベントの優先度が低・中・高の3種類ある場合、開始点となるユーザ操作と、終了点となる描画処理を優先度低の下のレベルに位置づける。このように表示すると、折れ線と時間軸で囲まれた閉じた図形になる場合は描画処理で終了したケース、閉じていない図形は描画処理なしで終了したケースである事が一目で判断できる。   In the first embodiment, when there are three types of event priorities, low, medium, and high, the user operation that is the start point and the drawing process that is the end point are positioned at the lower priority level. When displayed in this way, it can be determined at a glance that a closed figure surrounded by a polygonal line and a time axis is a case where the drawing process is finished, and a non-closed figure is a case where the figure is finished without the drawing process.

ログの表示は、図4(a)の画面401に示すように、連続で表示してもよいが、図4(b)の画面402〜404に示すように動作単位で別の画面に表示する方法もある。図4(a)のように連続して表示した場合、全体の時間軸の中での動作の発生位置が明確になる。一方、図4(b)のように動作単位で別の画面に表示すると、任意の処理区間のログを並べて表示する事ができるため、時間的に離れた位置にある処理区間を並べて比較したり、注目した処理区間だけを表示するなど、比較し易いというメリットがある。   The log may be displayed continuously as shown in the screen 401 in FIG. 4A, but is displayed in another screen in units of operation as shown in the screens 402 to 404 in FIG. 4B. There is also a method. When displayed continuously as shown in FIG. 4A, the occurrence position of the operation in the entire time axis becomes clear. On the other hand, when the operation unit is displayed on another screen as shown in FIG. 4B, the logs of arbitrary processing sections can be displayed side by side. There is an advantage that it is easy to compare, such as displaying only the processing section of interest.

次に、比較の方法として、ユーザが選択した任意の区間を、時間軸を揃えて表示する例について説明する。
図5は、この例における表示部130aの構成を示している。この例では、図2で示したような基本のシステム構成に対し、比較表示部138を追加した構成である。なお、表示部130a以外の構成は図2と同様であるため、他の構成の図示は省略している。比較表示部138は、比較する処理区間について、先頭ログの時間軸上の位置が揃うように表示するため、比較表示用時刻の計算を行う。
Next, as an example of comparison, an example in which an arbitrary section selected by the user is displayed with the time axis aligned will be described.
FIG. 5 shows a configuration of the display unit 130a in this example. In this example, a comparison display unit 138 is added to the basic system configuration as shown in FIG. Since the configuration other than the display unit 130a is the same as that in FIG. 2, the other configurations are not shown. The comparison display unit 138 calculates the time for comparison display in order to display the processing sections to be compared so that the positions on the time axis of the first log are aligned.

図6(a)は、比較表示用に再加工したログリストを示し、図6(b)は、比較表示用時刻を求めるための加工手順を示すフローチャートである。
先頭ログを基準として時間軸を揃える場合、まず、先頭ログの発生時刻t0(図6(a)では発生時刻601)を取得し、このログの比較表示用時刻602に0を設定する(ステップST1)。次に、処理区間内に次のログがあるため(ステップST2)、2番目のログの発生時刻tn(発生時刻603)を取得し(ステップST3)、先頭ログの発生時刻(発生時刻601)を減算した値(tn−t0)を、2番目のログの表示用時刻(比較表示用時刻604)に設定する(ステップST4)。これを繰り返して、処理区間内の全てのログについて、先頭ログの発生時刻を0とした場合の時刻を求めて、比較表示用時刻として登録する。即ち、ステップST2において処理区間内に次のログが無くなるまで繰り返す。これを、比較表示する全ての処理区間について実行する。
FIG. 6A shows a log list reprocessed for comparison display, and FIG. 6B is a flowchart showing a processing procedure for obtaining a time for comparison display.
When aligning the time axis based on the top log, first, the top log generation time t0 (the generation time 601 in FIG. 6A) is acquired, and 0 is set as the comparison display time 602 of this log (step ST1). ). Next, since the next log exists in the processing section (step ST2), the second log occurrence time tn (occurrence time 603) is acquired (step ST3), and the first log occurrence time (occurrence time 601) is obtained. The subtracted value (tn-t0) is set as the second log display time (comparison display time 604) (step ST4). By repeating this, the time when the first log generation time is set to 0 is obtained for all the logs in the processing section, and registered as the comparison display time. That is, it repeats until there is no next log in the processing section in step ST2. This is executed for all processing sections to be compared and displayed.

比較表示部138は、上記の処理で求めた比較表示用時刻を用いて、グラフ表示部134に対し、時間軸を揃えた比較用グラフの表示データを送出する。
比較表示の方法は、図7に示すように、時間軸上の基準位置701を揃えて並べて表示する他、図8に示すように、複数の処理区間を重ねて表示してもよい。比較する処理区間の数が多い場合は、並べて表示した方が見易く、比較する処理区間の数が少ない場合は、重ね合わせた表示の方が比較し易い。
The comparison display unit 138 sends the display data of the comparison graph with the same time axis to the graph display unit 134 using the comparison display time obtained in the above processing.
As shown in FIG. 7, the comparative display method may display a plurality of processing sections in an overlapping manner as shown in FIG. 8 in addition to aligning and displaying the reference positions 701 on the time axis. When the number of processing sections to be compared is large, it is easier to see the images displayed side by side. When the number of processing sections to be compared is small, the superimposed displays are easier to compare.

なお、図8(a)は、先頭ログを基準として複数の処理区間を重ねた場合であり、先頭ログの位置が基準位置801となっている。また、図8(b)は指定されたログを基準として複数の処理区間を重ねた場合である。すなわち、図8(b)は、それぞれの処理区間の二つ目のログの位置を基準として表示した例である。二つ目のログが基準の位置802に位置するように、ログの発生時刻の補正を行って表示している。初期処理にバラツキがある事が分かっている操作などは、このように比較の基準点に任意のログを指定する事で、本当に比較したい部分を重ね合わせて比較する事ができる。   FIG. 8A shows a case where a plurality of processing sections are overlapped with the head log as a reference, and the position of the head log is a reference position 801. FIG. 8B shows a case where a plurality of processing sections are overlapped with a designated log as a reference. That is, FIG. 8B is an example of display based on the position of the second log in each processing section. The log generation time is corrected and displayed so that the second log is positioned at the reference position 802. For operations that are known to have variations in the initial processing, it is possible to superimpose the parts that you really want to compare by specifying an arbitrary log as the reference point for comparison.

以上説明したように、実施の形態1のログ解析支援システムによれば、生成されたログを入力する入力部と、予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部と、区間単位で抽出したログを表示する表示部とを備えたので、ログの傾向を比較することができるため、異常箇所の検出を容易に行うことができる。   As described above, according to the log analysis support system of the first embodiment, the input unit that inputs the generated log, the log that is the start point of the process related to one operation, and the log that is the end point In accordance with these definitions, it has an extraction unit that extracts and extracts the input log for each processing section related to a specific process, and a display unit that displays the log extracted in section units. Since the comparison can be made, the abnormal part can be easily detected.

また、実施の形態1のログ解析支援システムによれば、抽出部は、グラフィックユーザインタフェース動作に関する処理区間を一つの処理区間として抽出するようにしたので、互いに重複しない処理区間を確実に抽出することができる。   Further, according to the log analysis support system of the first embodiment, the extraction unit extracts the processing sections related to the graphic user interface operation as one processing section, so that the processing sections that do not overlap each other can be reliably extracted. Can do.

また、実施の形態1のログ解析支援システムによれば、表示部は、第1の座標軸である時間軸に対し、ログを生成する対象システムのリソース情報に含まれる項目を用いて多次元表示するための追加座標軸を設定し、ログ情報を多次元のグラフとして表示させるための表示データを生成する表示処理部を備えたので、多次元のグラフとして表示することにより、図形として認識することができるため、ログの比較が容易となり、異常箇所の検出をより簡単に行うことができる。また、リソース情報に着目すると、特に一定のパターンが現れやすいため、異常パターンが発見し易く、さらに、隣り合う要素同士は関連性が高いため、機械的にグループ化して単位の粒度を変更することができる。すなわち、図形をより大雑把なレベルで見ることができる。   Further, according to the log analysis support system of the first embodiment, the display unit performs multi-dimensional display using items included in the resource information of the target system that generates the log with respect to the time axis that is the first coordinate axis. Since it has a display processing unit that sets additional coordinate axes and generates display data for displaying log information as a multidimensional graph, it can be recognized as a figure by displaying it as a multidimensional graph Therefore, the comparison of logs becomes easy, and the detection of the abnormal part can be performed more easily. Focusing on resource information, it is easy to find anomalous patterns, especially because certain patterns are likely to appear. Furthermore, since adjacent elements are highly related, they can be mechanically grouped to change the unit granularity. Can do. That is, the figure can be seen at a rougher level.

また、実施の形態1のログ解析支援システムによれば、表示部は、比較する複数の処理区間のデータを、時間軸を揃えて表示させるための表示データを生成する比較表示部を備えたので、比較対照の相違点を明確にすることができる。   Further, according to the log analysis support system of the first embodiment, the display unit includes the comparison display unit that generates display data for displaying the data of the plurality of processing sections to be compared with the time axis aligned. , The difference of the comparison can be clarified.

実施の形態2.
上記実施の形態1では、イベントの発生時刻を時間軸として表示したが、時間軸を正規化して、発生時刻ではなく、発生順で表示した方が適している場合もあり、このような例を実施の形態2として説明する。なお、実施の形態2における図面上の構成は実施の形態1における図1や図2または図5に示す構成と同様であるため、これらの図を用いて説明する。
実施の形態2の表示処理部133は、時間軸として実施の形態1におけるイベントの発生時刻に代えてイベントの発生順とした表示データを生成する処理部である。これ以外のログ解析支援システムにおける構成は実施の形態1と同様である。
Embodiment 2. FIG.
In the first embodiment, the event occurrence time is displayed as the time axis. However, there are cases where it is more appropriate to normalize the time axis and display it in the order of occurrence rather than the occurrence time. This will be described as a second embodiment. The configuration of the second embodiment in the drawing is the same as the configuration shown in FIG. 1, FIG. 2, or FIG. 5 in the first embodiment, and will be described with reference to these drawings.
The display processing unit 133 according to the second embodiment is a processing unit that generates display data in the order of event occurrence instead of the event occurrence time according to the first embodiment as a time axis. Other configurations in the log analysis support system are the same as those in the first embodiment.

図9は、実施の形態2の表示例を示す説明図であり、第2の座標軸901に処理時間を使用する例である。
イベントは必ず一つずつ処理されるため、イベント処理の開始を示すログ(イベント開始ログ)から終了を示すログ(イベント終了ログ)までの時間を計算する事で、各イベントの処理時間を計算する事ができる。そこで、表示処理部133において、まず、各イベントの処理時間を計算する。各イベントのイベント開始ログに対応するイベント終了ログを見つけ、発生時刻の差分を、そのイベントの処理時間として記憶する。この場合、時間軸に発生時間をとるメリットはないので、時間軸902にはイベントの発生順を用いる。また、開始ログと終了ログの両方を表示する必要はないので、開始ログのみ表示する。先頭のイベントから順に、イベントの処理時間をプロットすると、グラフ表示部134において、図9(a)に示すグラフが表示できる。
FIG. 9 is an explanatory diagram illustrating a display example of the second embodiment, in which the processing time is used for the second coordinate axis 901.
Since events are always processed one by one, the processing time of each event is calculated by calculating the time from the log indicating the start of event processing (event start log) to the log indicating the end (event end log) I can do things. Therefore, the display processing unit 133 first calculates the processing time of each event. An event end log corresponding to the event start log of each event is found, and the difference in occurrence time is stored as the processing time of the event. In this case, since there is no merit of taking the occurrence time on the time axis, the order of event occurrence is used for the time axis 902. In addition, since it is not necessary to display both the start log and the end log, only the start log is displayed. When the processing time of events is plotted in order from the first event, the graph shown in FIG.

処理時間のような物理量を第2の座標軸にする場合は、図9(b)のように、棒グラフなどの方が直感的に判りやすい場合もある。棒グラフの場合は、一つの矩形903が、一つのイベント処理を示す。この場合、一つの画面にまとめて表示する場合は、処理区間を示す表示が必要となる。折れ線グラフなど、各ログの位置を結ぶ場合は、線で結ばれた一つの固まりが一つの処理区間であることが分かるが、棒グラフなどの場合は、どこまでが処理区間であるかが分からないためである。
そこで、図9(b)に示すように、処理区間の始点ログと終了ログの位置に区切り線904,905を表示すると共に、対応する始点ログ位置の区切り線904と、終点ログ位置の区切り線905を関連付ける両方向矢印906を表示する。更に、終点ログが存在しない場合は、片方向矢印907を表示することで、終点ログの存在有無を区別して表示する。
When a physical quantity such as processing time is used as the second coordinate axis, a bar graph or the like may be easier to understand intuitively as shown in FIG. In the case of a bar graph, one rectangle 903 indicates one event process. In this case, when displaying all on one screen, it is necessary to display the processing section. When connecting the position of each log such as a line graph, it can be seen that one lump connected by a line is one processing section, but in the case of a bar graph etc., it is unknown how far it is the processing section. It is.
Therefore, as shown in FIG. 9B, the separation lines 904 and 905 are displayed at the positions of the start point log and the end log of the processing section, and the corresponding start point log position separation line 904 and the end point log position separation line. A double arrow 906 that associates 905 is displayed. Further, when the end point log does not exist, a one-way arrow 907 is displayed to distinguish and display the presence or absence of the end point log.

以上説明したように、実施の形態2のログ解析支援システムによれば、表示部は、時間軸として複数の処理区間のデータの発生順としたので、例えば、処理時間を第2の座標軸に使用する場合など、発生時刻が意味を持たない場合に、パターンを単純化することで、複数の処理区間の比較を容易に行うことができる。また、抽出した処理区間が、時間軸上の一部にのみ存在する場合でも、ログを集約して見る事ができる。   As described above, according to the log analysis support system of the second embodiment, the display unit uses the processing order as the second coordinate axis because the order of generation of data in a plurality of processing sections is used as the time axis. In the case where the occurrence time does not have a meaning, such as in the case of performing, it is possible to easily compare a plurality of processing sections by simplifying the pattern. Even when the extracted processing section exists only in a part on the time axis, logs can be collected and viewed.

なお、本願発明はその発明の範囲内において、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。   In the present invention, within the scope of the invention, any combination of the embodiments, or any modification of any component in each embodiment, or omission of any component in each embodiment is possible. .

100 ログファイル、110 入力部、111 入力処理部、112 ログ情報格納部、113 ログ情報リスト、120 抽出部、121 抽出条件設定部、122 抽出条件格納部、123 抽出処理部、124 抽出ログ格納部、125 抽出条件リスト、126 抽出ログリスト、130 表示部、131 検索処理部、132 表示条件設定部、133 表示処理部、134 グラフ表示部、135 表示条件格納部、136 表示条件リスト、137 折れ線グラフ、138 比較表示部。   100 log file, 110 input unit, 111 input processing unit, 112 log information storage unit, 113 log information list, 120 extraction unit, 121 extraction condition setting unit, 122 extraction condition storage unit, 123 extraction processing unit, 124 extraction log storage unit , 125 extraction condition list, 126 extraction log list, 130 display section, 131 search processing section, 132 display condition setting section, 133 display processing section, 134 graph display section, 135 display condition storage section, 136 display condition list, 137 line graph 138 Comparison display part.

Claims (5)

生成されたログを入力する入力部と、
予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部と、
前記区間単位で抽出したログを表示する表示部とを備えたことを特徴とするログ解析支援システム。
An input unit for inputting the generated log;
In advance, a log that is a start point and a log that is an end point of a process related to one operation is defined, and an extraction unit that extracts and divides an input log into processing sections related to a specific process according to these definitions;
A log analysis support system comprising: a display unit that displays a log extracted in units of sections.
抽出部は、グラフィックユーザインタフェース動作に関する処理区間を一つの処理区間として抽出する事を特徴とする請求項1記載のログ解析支援システム。   2. The log analysis support system according to claim 1, wherein the extraction unit extracts a processing section related to the graphic user interface operation as one processing section. 表示部は、第1の座標軸である時間軸に対し、ログを生成する対象システムのリソース情報に含まれる項目を用いて多次元表示するための追加座標軸を設定し、ログ情報を多次元のグラフとして表示させるための表示データを生成する表示処理部を備えたことを特徴とする請求項1または請求項2記載のログ解析支援システム。   The display unit sets an additional coordinate axis for multidimensional display using the items included in the resource information of the target system that generates the log with respect to the time axis that is the first coordinate axis, and displays the log information in a multidimensional graph. The log analysis support system according to claim 1, further comprising: a display processing unit that generates display data for display as a display data. 表示部は、比較する複数の処理区間のデータを、時間軸を揃えて表示させるための表示データを生成する比較表示部を備えたことを特徴とする請求項1から請求項3のうちのいずれか1項記載のログ解析支援システム。   The display unit includes a comparison display unit that generates display data for displaying data of a plurality of processing sections to be compared with a time axis aligned. The log analysis support system according to claim 1. 表示部は、時間軸として複数の処理区間のデータの発生順としたことを特徴とする請求項3または請求項4記載のログ解析支援システム。   The log analysis support system according to claim 3 or 4, wherein the display unit is arranged in the order of generation of data of a plurality of processing sections as a time axis.
JP2011065735A 2011-03-24 2011-03-24 Log analysis support system Withdrawn JP2012203522A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011065735A JP2012203522A (en) 2011-03-24 2011-03-24 Log analysis support system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011065735A JP2012203522A (en) 2011-03-24 2011-03-24 Log analysis support system

Publications (1)

Publication Number Publication Date
JP2012203522A true JP2012203522A (en) 2012-10-22

Family

ID=47184499

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011065735A Withdrawn JP2012203522A (en) 2011-03-24 2011-03-24 Log analysis support system

Country Status (1)

Country Link
JP (1) JP2012203522A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015108890A (en) * 2013-12-03 2015-06-11 シャープ株式会社 Information processing system and display device
CN105074669A (en) * 2013-03-12 2015-11-18 微软技术许可有限责任公司 Method and system for analyzing a trace timeline of computer system activity
CN107250979A (en) * 2015-02-27 2017-10-13 安提特软件有限责任公司 Application affairs are tracked
JP2019082746A (en) * 2017-10-27 2019-05-30 株式会社エヌ・ティ・ティ・データ Abnormal log detection apparatus, method and program for detecting abnormal log
CN111078455A (en) * 2019-12-24 2020-04-28 北京优特捷信息技术有限公司 Abnormal behavior sequence correlation processing method and device based on time axis, equipment and storage medium

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105074669A (en) * 2013-03-12 2015-11-18 微软技术许可有限责任公司 Method and system for analyzing a trace timeline of computer system activity
JP2016514326A (en) * 2013-03-12 2016-05-19 マイクロソフト テクノロジー ライセンシング,エルエルシー Method and system for analyzing a trace timeline of computer system activity
JP2015108890A (en) * 2013-12-03 2015-06-11 シャープ株式会社 Information processing system and display device
CN107250979A (en) * 2015-02-27 2017-10-13 安提特软件有限责任公司 Application affairs are tracked
JP2018508865A (en) * 2015-02-27 2018-03-29 エントイット ソフトウェア エルエルシーEntit Software Llc Application event tracking
US10241845B2 (en) 2015-02-27 2019-03-26 Entit Software Llc Application event tracing
CN107250979B (en) * 2015-02-27 2020-09-25 微福斯有限责任公司 Application event tracking
JP2019082746A (en) * 2017-10-27 2019-05-30 株式会社エヌ・ティ・ティ・データ Abnormal log detection apparatus, method and program for detecting abnormal log
JP7005278B2 (en) 2017-10-27 2022-01-21 株式会社エヌ・ティ・ティ・データ Abnormal log detection device, abnormal log detection method and program
CN111078455A (en) * 2019-12-24 2020-04-28 北京优特捷信息技术有限公司 Abnormal behavior sequence correlation processing method and device based on time axis, equipment and storage medium

Similar Documents

Publication Publication Date Title
US11831523B2 (en) Systems and methods for displaying adjustable metrics on real-time data in a computing environment
US9483378B2 (en) Method and system for resource monitoring of large-scale, orchestrated, multi process job execution environments
JP2012203522A (en) Log analysis support system
JP6803754B2 (en) Log message grouping device, log message grouping system and log message grouping method
US11310469B2 (en) Surveillance apparatus and a surveillance method for indicating the detection of motion
CN105912699A (en) Data analysis method and device
EP3113002A1 (en) Method and device for recommending solution based on user operation behavior
CN103455498B (en) A kind of form keyword message localization method based on hypertext
EP3595770A1 (en) Information processing apparatus, information processing method, program, and biological signal measurement system
JP4396262B2 (en) Information processing apparatus, information processing method, and computer program
US20100076975A1 (en) Information processing apparatus and search method
JP7235110B2 (en) Operation log acquisition device, operation log acquisition method, and operation log acquisition program
JP6627885B2 (en) Display method, display program, and display control device
US12260624B2 (en) Information processing method for presenting influences obtained for prediction results, information processing system, and recording medium
US20160092806A1 (en) Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus
JP2009163474A (en) Time series data search program, time series data search device, and time series data search method
JP2020024650A (en) Security information processing device, program, and method
CN105607832B (en) Information processing method and electronic equipment
JP6711203B2 (en) Image processing apparatus and image processing program
JP6761151B1 (en) Data display program, programmable display and programmable display reproduction simulator
JP2006171931A (en) Text mining device and text mining program
JP7768947B2 (en) Work analysis system, work analysis device, work analysis method, and work analysis program
WO2018168864A1 (en) Information processing apparatus, information processing method, program, and biological signal measurement system
US12353312B1 (en) Code profiling call stack linking
JP5932724B2 (en) Information processing system, information processing apparatus, information processing method, and program

Legal Events

Date Code Title Description
A300 Withdrawal of application because of no request for examination

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20140603