JP2012203522A - Log analysis support system - Google Patents
Log analysis support system Download PDFInfo
- Publication number
- JP2012203522A JP2012203522A JP2011065735A JP2011065735A JP2012203522A JP 2012203522 A JP2012203522 A JP 2012203522A JP 2011065735 A JP2011065735 A JP 2011065735A JP 2011065735 A JP2011065735 A JP 2011065735A JP 2012203522 A JP2012203522 A JP 2012203522A
- Authority
- JP
- Japan
- Prior art keywords
- log
- processing
- display
- unit
- support system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、主としてソフトウェアの障害解析を行うためのログ解析支援システムに関する。 The present invention relates to a log analysis support system mainly for performing software failure analysis.
従来より、ソフトウェアでは、動作に関する情報をログ情報として記録する事が行われており、障害発生時には、ログ情報を元に原因の特定を行っている。ログ情報には、発生したイベントの内容や、行った処理の内容、システムの状態など様々な情報が、時刻と共に記録されており、障害発生時には、ログを元に障害原因の解明を行う。 Conventionally, in software, information related to operations is recorded as log information, and when a failure occurs, the cause is identified based on the log information. In the log information, various information such as the contents of the event that has occurred, the contents of the processing that has been performed, the system status, and the like are recorded along with the time. When a failure occurs, the cause of the failure is clarified based on the log.
障害発生時には、障害が発生した事を知らせるログが出力される場合もある。この場合は、障害発生を知らせるログを探すだけなので、ログ情報がいくら大量にあっても、単なる検索作業で、障害発生箇所を特定できる。 When a failure occurs, a log notifying that a failure has occurred may be output. In this case, since only the log for notifying the occurrence of the failure is searched, the location where the failure has occurred can be identified by a simple search operation regardless of the amount of log information.
しかし、想定外の事態によって、意図したものとは異なる結果が発生した場合は、ソフトウェアとしては異常と認識せずに処理が続行されてしまう事がある。このような場合は、障害発生を知らせるログは存在しないため、作業者が障害に関係しそうなログを抽出し、正常動作と比較して、障害の原因となった異常動作を特定する必要がある。しかし、一般的にログ情報は大量に出力され、その中から異常個所を発見する作業は容易ではない。 However, if a result different from the intended one occurs due to an unexpected situation, the software may not be recognized as abnormal and the process may be continued. In such a case, there is no log that reports the occurrence of a failure, so it is necessary for the operator to extract a log that seems to be related to the failure, and to identify the abnormal operation that caused the failure compared with the normal operation . However, generally, a large amount of log information is output, and it is not easy to find an abnormal part from the log information.
予め想定できる異常動作であれば、そのパターンを記録しておき、ログと比較する事で、検出を自動化する事が考えられる。この方法は、システムに対する不正アクセスの検出のように、予め想定されている異常動作に対しては有効であるが、一般的に、障害は予期しない動作によって引き起こされるため、異常動作を想定して登録する方法は適さない。
そこで、ログの特徴を分析し、異常と思われる箇所の候補を提示する方法が提案されている。例えば、特許文献1に示された従来装置では、ログの出現頻度を計算し、出現頻度の低いログを、異常動作の可能性が高いと判定している。
If it is an abnormal operation that can be assumed in advance, it is possible to record the pattern and compare it with a log to automate the detection. Although this method is effective for abnormal operations that are assumed in advance, such as detection of unauthorized access to the system, in general, a failure is caused by an unexpected operation. The registration method is not suitable.
In view of this, a method has been proposed in which the characteristics of the log are analyzed and candidates for a portion that seems to be abnormal are presented. For example, in the conventional apparatus disclosed in
しかしながら、上記特許文献1に示された装置のように、出現頻度の低いログを異常動作の候補と判断する方法では、普段は発生しないような異常処理が発生した場合に効果が限定され、必要な処理の欠落や、順序の逆転など、処理の手順が原因となる障害の検出は困難である。
このような原因の特定には、その動作に関する処理全体のログの検証が必要であるが、従来では、ある動作に関する処理のログ範囲を特定するといった技術は存在しておらず、作業者が自ら判断する必要があった。
また、ログの範囲を特定しても、一つの動作の処理手順が常に完全に同じとは限らない。機械的な照合では、一致率や特徴動作の指定などが考えられるが、照合結果を見ながら、このような条件を細かく再調整するのは手間がかかる。このような場合、作業者が、大凡の傾向を見て大雑把に比較する方が適しているが、従来では大凡の傾向を見るために適した方法が存在しなかった。
However, in the method of determining a log with a low appearance frequency as a candidate for an abnormal operation as in the apparatus disclosed in
In order to identify such a cause, verification of the log of the entire process related to the operation is necessary, but conventionally, there is no technique for specifying the log range of the process related to a certain operation, and the worker himself It was necessary to judge.
Even if the range of the log is specified, the processing procedure of one operation is not always completely the same. In mechanical collation, it is conceivable to specify a coincidence rate or a feature action. However, it is troublesome to finely readjust these conditions while looking at the collation result. In such a case, it is more appropriate for the operator to see the general tendency and make a rough comparison, but conventionally, there has been no method suitable for seeing the general tendency.
この発明は上記のような課題を解決するためになされたもので、異常箇所の検出を容易に行うことのできるログ解析支援システムを得ることを目的とする。 The present invention has been made to solve the above-described problems, and an object of the present invention is to obtain a log analysis support system that can easily detect an abnormal part.
この発明に係るログ解析支援システムは、生成されたログを入力する入力部と、予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部と、区間単位で抽出したログを表示する表示部とを備えたものである。 The log analysis support system according to the present invention defines an input unit that inputs a generated log, a log that is a start point of processing related to one operation, and a log that is an end point in advance, and inputs according to these definitions An extraction unit that extracts the extracted logs by dividing each processing section related to a specific process, and a display unit that displays the logs extracted in units of sections.
この発明のログ解析支援システムは、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出するようにしたので、ログの傾向を比較することができるため、異常箇所の検出を容易に行うことができる。 The log analysis support system of the present invention defines a log as a start point and a log as an end point of a process related to one operation, and divides the input log into processing intervals related to a specific process according to these definitions. Since they are extracted, the tendency of logs can be compared, so that an abnormal part can be easily detected.
本発明では、まず、解析対象とする動作を、きっかけとなる処理と、結果となる処理で、ログの区間が明確に規定できる種類の動作に限定する。
例えば、複数の機能が、イベントによって互いに連携して動作するシステムであれば、あるイベントAをきっかけとして処理が開始され、そこから更に複数のイベントが発生して複数の機能が連携して処理を行い、最終的にイベントAに起因して発生した全てのイベントが処理されて、一つの動作が完結する。きっかけとなるイベントAから、結果となる全てのイベントの処理が終了するまでが、一つのイベント処理動作に関する処理の範囲と言える。
また、制御システムであれば、外乱をきっかけとして、内部で制御処理が発生し、結果として内部状態が静定する。この場合は、外乱の発生から、内部状態の静定までが、一つの制御動作に関する処理の範囲と言える。
本発明では、マルチプロセスやマルチスレッドのように、同時並行処理によって出力されるログは対象としない。
In the present invention, first, the operation to be analyzed is limited to a type of operation that can clearly define the log section by the triggering process and the resulting process.
For example, if a plurality of functions operate in cooperation with each other according to an event, the process is started with an event A as a trigger, and a plurality of events are generated from there and a plurality of functions cooperate to perform processing. All the events that have finally occurred due to event A are processed, and one operation is completed. It can be said that the range of processing related to one event processing operation is from the triggering event A to the end of processing of all the resulting events.
Also, in the case of a control system, control processing occurs inside triggered by a disturbance, and as a result, the internal state is settled. In this case, it can be said that the range of processing related to one control operation is from the occurrence of disturbance to the stabilization of the internal state.
In the present invention, logs output by simultaneous parallel processing, such as multi-process and multi-thread, are not targeted.
本発明では、動作に関する処理の範囲毎に、ログを区切って抽出する事で、大量のログの中から対象箇所を探す手間が不要になり、各動作のログの比較を容易に行う事ができる。
更に、区間を特定したログを比較する際に、着目する特徴だけを抜き出して多次元のグラフとして表示する。通常のログは、時間軸だけの1次元の情報である。これに対して、時間以外の要素を第2、第3の軸として、ログをグラフ化する事によって、処理の傾向を図形として表示出来る。この結果、作業者が細かい情報を無視して処理の傾向を容易に把握する事ができる。以下、この発明の実施の形態1について説明する。
In the present invention, by separating and extracting logs for each processing range related to operations, there is no need to search for a target location from a large amount of logs, and it is possible to easily compare the logs of each operation. .
Further, when comparing the logs specifying the sections, only the feature of interest is extracted and displayed as a multidimensional graph. A normal log is one-dimensional information only on the time axis. On the other hand, the trend of processing can be displayed as a graphic by graphing the log with elements other than time as the second and third axes. As a result, the worker can easily grasp the tendency of the processing by ignoring detailed information.
実施の形態1.
図1は、この発明の実施の形態1によるログ解析支援システムを示す構成図である。
図1に示すログ解析支援システムは、生成されたログファイル100を入力する入力部110と、予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部120と、区間単位で抽出したログを表示する表示部130から構成されている。
FIG. 1 is a block diagram showing a log analysis support system according to
The log analysis support system shown in FIG. 1 defines an
入力部110は、ログ情報を読み込むための入力処理部111と、読み込んだログを格納するためのログ情報格納部112を備えている。
入力部110が読み込むログ情報は、発生したイベントの内容や、行った処理の内容、システムの状態など、様々な情報が、その時刻と共に記録されている。ログ情報には、全てのログがまとめて記録されているため、入力処理部111は、この情報を一つの処理毎に分割し、発生順に並んだログのリストとして、ログ情報格納部112に格納する。
なお、入力処理部111は、ファイルやシリアル出力などの外部情報を入力するためのインタフェースと、読み込む情報をユーザが指定するために、ファイル選択手段などの一般的なインタフェースを持つものとする。
The
As the log information read by the
Note that the
抽出部120は、動作毎の処理範囲の定義条件を設定するための抽出条件設定部121と、設定された定義条件を格納するための抽出条件格納部122と、設定された条件に従って区間単位でログを抽出する抽出処理部123と、抽出したログを格納するための抽出ログ格納部124とを備えている。
The
処理範囲の定義条件とは、一つの動作に関する処理の開始点となるログと、終了点となるログを定義する事である。例えば、グラフィックユーザインタフェース(以下、GUI)に着目した場合、ユーザ操作をきっかけとしてシステム内の処理が実行され、最終的に描画の更新が行われる。ユーザ操作を記録したログが開始点のログ、描画処理を記録したログが終了点のログとなる。ユーザ操作とは、ハードウェアのボタン押下や、タッチパネル操作などを指す。終了点の定義は、特定の処理のログだけでなく、一定時間以上、特定の処理が発生していない、などの条件の指定でも構わない。 The process range definition condition is to define a log as a start point and a log as an end point of processing related to one operation. For example, when attention is paid to a graphic user interface (hereinafter referred to as GUI), processing in the system is executed in response to a user operation, and finally drawing is updated. The log that records user operations is the log of the start point, and the log that records drawing processing is the log of the end point. The user operation refers to a hardware button press or a touch panel operation. The definition of the end point is not limited to a specific process log, but may be specified by a condition such that a specific process has not occurred for a certain time or longer.
抽出条件設定部121では、動作と処理範囲の定義条件を抽出条件格納部122に登録する。定義条件の入力は、設定ファイルなどで入力するか、あるいは、ユーザが対話的に入力する手段を提供してもよい。実施の形態1では、ユーザは登録された動作の中から、抽出する動作を選択するものとする。
The extraction
抽出処理部123は、指定された動作に関する処理範囲毎にログを区切って抽出し、抽出ログ格納部124に登録する。
The
表示部130は、区間単位で抽出したログの中から、更に条件を限定するための検索処理部131と、ログを多次元のグラフとして表示するための条件を設定する表示条件設定部132と、設定された表示条件に従って多次元のグラフとして表示するための変換処理を行う表示処理部133と、グラフを表示するためのインタフェースを備えるグラフ表示部134と、設定した表示条件を格納する表示条件格納部135とを備えている。
The
処理区間を切り出すための動作は、GUI操作や制御操作といった、大きな単位であり、始点ログとなる処理は複数存在する。例えば、GUI操作であれば、始点ログとなるのは「ユーザ操作」という種類の処理であるが、「ユーザ操作」には、ENTERキー押下、音量操作、メニュー選択など、様々な操作がある。そこで、検索処理部131において、処理区間毎に切り出したログの中から、2次的な絞込みを行う。
The operation for cutting out the processing section is a large unit such as a GUI operation or a control operation, and there are a plurality of processes serving as start point logs. For example, in the case of a GUI operation, the type of processing called “user operation” is the start point log, but “user operation” includes various operations such as pressing the ENTER key, volume operation, and menu selection. Therefore, the
ログ情報は、通常、ログの発生時刻や発生順などの時間軸で並べた1次元のリストである。これを、多次元のグラフとして表示するには、第2、第3の軸を作る必要がある。表示条件設定部132では、第2、第3の軸として使用する項目を定義する。表示処理部133では、指定された項目の情報をログから取り出し、グラフとして表示可能なデータを作成し、グラフ表示部134でグラフを表示する。
The log information is usually a one-dimensional list arranged on a time axis such as a log generation time or a generation order. In order to display this as a multidimensional graph, it is necessary to create second and third axes. The display
なお、グラフが2次元であるか3次元であるかは重要ではない。重要なのは、時間軸という1次元だけの座標軸を持つリストであるログに対し、他の要素の座標軸を追加する事で図形として表示可能にするという点である。 It is not important whether the graph is two-dimensional or three-dimensional. What is important is that a log which is a list having only one dimensional coordinate axis called a time axis can be displayed as a figure by adding the coordinate axes of other elements.
表示処理部133では、指定された項目を座標軸として、グラフを作成するため、指定された項目に関する情報を取り出し、グラフとして表示可能なデータを作成して、グラフ表示部134に送出し、グラフ表示部134では表示処理部133からのデータに基づいてグラフを表示する。
In the
また、本発明のログ解析支援システムはコンピュータを用いて実現され、上述した入力処理部111、抽出条件設定部121、抽出処理部123、検索処理部131、表示条件設定部132及び表示処理部133は、それぞれの機能に対応したソフトウェアと、これらのソフトウェアを実行するためのCPUやメモリといったハードウェアから構成されている。あるいは、これら機能部の少なくとも一部を専用のハードウェアで構成してもよい。
Further, the log analysis support system of the present invention is realized by using a computer, and the
次に、実施の形態1のログ解析支援システムの具体的な動作を図2に基づいて説明する。
まず、入力部110において、ログファイル100に記録されたログ情報を読み込む。この時点では、大量のログが一つの大きなデータとなっているので、既定の区切り情報に従って、一つずつのログに分解する。ここでは、ログファイル100はテキストファイルとして生成され、改行文字が個々のログの区切りを示している。
入力処理部111は、ログファイル100を読み込み、改行毎に一つのログとして取り出す。ログは発生時刻と、ログの内容の組み合わせを一つの要素として、ログ情報格納部112のログ情報リスト113に追加する。
Next, a specific operation of the log analysis support system according to the first embodiment will be described with reference to FIG.
First, the
The
次に、抽出部120では、指定された動作に関する処理区間毎の抽出を行う。
抽出条件設定部121において、抽出条件格納部122に格納された動作のリスト(抽出条件リスト125)を図示しないディスプレイ等で提示し、どの動作に対する処理のログを切り出すのかをユーザに指定させる。ここでは、ユーザはGUI動作のログを取り出すため、GUI動作を選択したとする。なお、抽出可能な動作と、その動作の開始点ログと終了点ログの定義は、設定ファイルなどで登録したり、追加登録用のインタフェースを提供してユーザが追加できるようにすることが望ましい。
Next, the
The extraction
抽出する動作が指定されると、抽出処理部123では、ログ情報格納部112に格納されたログ情報リスト113に対し、先頭から順に探査を行う。始点となるログを見つけると、その箇所を記録しておき、終点となるログを探す。終点となるログを見つけると、先に見つけた始点ログから、この終点ログまでを一つの範囲として抽出する。抽出した範囲内のログを、一つの要素として、抽出ログ格納部124の抽出ログリスト126に登録する。こうして定義されるログの範囲を、処理区間と呼ぶ。終点ログが見つからないまま、次の始点ログが出現した場合は、次の始点ログの手前までを処理区間とみなす。これにより、終点ログが欠落する障害の場合でも、処理区間を切り出す事が出来る。
実施の形態1では、GUI動作を抽出対象として選択する。GUI動作は、ユーザ操作や外部イベントの発生を始点とし、描画処理を終点とする範囲を処理区間とする。ただし、描画更新が発生しない場合もあるので、この場合は、次の描画処理区間の開始位置の直前までが処理区間として抽出する。
When the operation to be extracted is designated, the
In the first embodiment, the GUI operation is selected as an extraction target. The GUI operation uses a user operation or an external event as a start point, and a range having a drawing process as an end point as a processing section. However, since the drawing update may not occur, in this case, the portion immediately before the start position of the next drawing processing section is extracted as the processing section.
最後に、表示部130において、ログをグラフ化して表示する。
まず、検索処理部131において、2次的な絞込みを行う。検索処理部131は、絞込み条件として指定可能な条件をユーザに提示し、選択させるインタフェースを備えているものとする。例えば、図2の抽出ログリスト126では、始点ログとなるユーザ操作はA,Bの2種類が含まれている。ここで、ユーザ操作Aに限定して絞込みを行うと、区間3のユーザ操作BをトリガとするGUI操作のログは表示対象から外れる。なお、この絞り込みは、必ずしも表示処理の最初に行う必要はない。障害発生箇所を特定する事の見通しが全く立たない場合は、まず、GUI操作の処理区間を全て表示し、そこから、疑わしいと思われる操作を徐々に絞りこむ、という使い方であってもよい。
Finally, the
First, the
次に、ユーザが表示条件設定部132において、第2の座標軸とする項目を設定する。ここではイベントの優先度を設定する。追加座標軸に設定する項目の候補は、解析対象のソフトウェアによって異なるので、設定ファイルなどで登録したり、追加登録用のインタフェースを提供してユーザが追加できるようにしてもよい。図示例では表示条件リスト136が設けられている。
Next, the user sets an item to be the second coordinate axis in the display
追加座標軸に設定する項目は、ログ情報に含まれている内容を指定する。ログ情報とは、処理の内容やシステムの状態、イベントの種類、イベントの優先度やメモリやCPUなどのリソースの使用量、処理時間など、ログに含まれる情報を指す。また、処理時間はログに直接記述されていなくても、イベント処理開始のログとイベント処理終了のログの発生時刻の差分から計算する事もできる。このように、ログに直接記述されていなくても、ログを加工する事で取得可能な情報も、合わせてログ情報と呼ぶ。 The item set in the additional coordinate axis specifies the contents included in the log information. The log information refers to information included in the log, such as processing contents, system status, event type, event priority, use amount of resources such as memory and CPU, processing time, and the like. Even if the processing time is not directly described in the log, the processing time can be calculated from the difference between the occurrence times of the event processing start log and the event processing end log. Information that can be acquired by processing the log even if it is not directly described in the log is also referred to as log information.
ログ情報の中でも、メモリ使用量やCPU占有率、処理時間など、コンピュータのリソースの使用状況に関する情報をリソース情報と呼んで区別する。また、本発明では、イベント優先度のように、リソースを使用するための判断材料となる情報も、広い意味でのリソース情報とみなす。リソース情報は、隣り合う要素同士は関連性が高いため、処理特性を軸に設定する項目とした場合、機械的にグループ化して単位の粒度を変更できる。
更に、第3の座標軸として、メモリ使用量などを指定してもよい。ただし、実施の形態1では、説明を簡単にするため、第2の座標軸だけを追加した2次元のグラフとして表示する例を示す。
Among log information, information relating to the usage status of computer resources, such as memory usage, CPU occupancy, and processing time, is called resource information and distinguished. Further, in the present invention, information that is a judgment material for using resources, such as event priority, is also regarded as resource information in a broad sense. Since the resource information has high relevance between adjacent elements, when setting the processing characteristics as an axis, the unit granularity can be changed by grouping mechanically.
Furthermore, a memory usage amount or the like may be designated as the third coordinate axis. However, in the first embodiment, in order to simplify the description, an example of displaying as a two-dimensional graph with only the second coordinate axis added is shown.
次に、表示処理部133では、抽出部120で作成した処理区間毎の抽出ログリスト126の内容を、グラフとして表示するための処理を行う。まず、一つ目の処理区間のログを取り出す。図3(a)は、抽出した処理区間のログの詳細を示したものである。この時点では、ログに記録されている全てのログ情報が含まれている。処理区間内のログを一つずつ取り出し、図3(b)に示すように、ログ情報の中から、第2の座標軸の項目であるイベント優先度だけを取り出した表を作成する。この表に基づいて、図2のグラフ表示部134は、第1の座標軸137aを発生時間とし、第2の座標軸137bをイベント優先度として、格納されているログを、一つずつ、グラフ中の該当位置にプロットし、線で結んだ折れ線グラフ137を表示する。これを全ての処理区間のログについて繰り返し、ログのグラフを表示する。この結果、ログの内容は、図4に示すように、単なる波形のような図形として表示できるため、作業者が目視で比較する際に、テキスト情報に比べて、遥かに容易に行うことができる。
複数の機能が連携する動作では、途中で発生する通信の繰り返し数が異なるなど、無視してよい違いが発生する場合があるが、このような場合でも、図形の大まかな形状だけを比較すればよい。
Next, the
In an operation in which multiple functions are linked, there may be differences that can be ignored, such as the number of repeated communications that occur in the middle, but even in this case, if only the rough shapes of the figures are compared Good.
イベントの優先度に着目すると、動作の処理の傾向は、ある規則性が現れる。イベント駆動のシステムでは、イベントは優先度に従って処理され、個々のイベント処理の間に、他のイベントの処理が割り込む事はなく、一つのイベントの処理が終わる度に残りのイベントがチェックされ、その時点で最も優先度の高いイベントが処理される。イベントの処理によって新たなイベントが発生した場合は、まずは処理待ちのイベントリストに追加され、最初のイベントの処理が終わった時点で、優先度に従って処理される。
このため、イベントの優先度を座標軸とした場合、徐々に優先度の低いイベントに収束する傾向がある。イベントの処理によってより優先度の高い新たなイベントが発生すると、優先度の低い方に収束しかけた波が、また優先度の高い方に戻る。この小さな山は、一つの処理区間内での、更に小さな処理区間と言える。
If attention is paid to the priority of the event, a certain regularity appears in the tendency of processing of the operation. In an event-driven system, events are processed according to priority, and during each event processing, no other event processing is interrupted, and each time an event is processed, the remaining events are checked and The event with the highest priority at the moment is processed. When a new event occurs due to event processing, it is first added to the event list waiting to be processed, and is processed according to the priority when the processing of the first event is completed.
For this reason, when the priority of an event is taken as a coordinate axis, the event tends to converge gradually to a low priority event. When a new event with a higher priority occurs due to event processing, the wave that has converged to the lower priority returns to the higher priority again. This small mountain can be said to be a smaller processing section within one processing section.
実施の形態1では、イベントの優先度が低・中・高の3種類ある場合、開始点となるユーザ操作と、終了点となる描画処理を優先度低の下のレベルに位置づける。このように表示すると、折れ線と時間軸で囲まれた閉じた図形になる場合は描画処理で終了したケース、閉じていない図形は描画処理なしで終了したケースである事が一目で判断できる。 In the first embodiment, when there are three types of event priorities, low, medium, and high, the user operation that is the start point and the drawing process that is the end point are positioned at the lower priority level. When displayed in this way, it can be determined at a glance that a closed figure surrounded by a polygonal line and a time axis is a case where the drawing process is finished, and a non-closed figure is a case where the figure is finished without the drawing process.
ログの表示は、図4(a)の画面401に示すように、連続で表示してもよいが、図4(b)の画面402〜404に示すように動作単位で別の画面に表示する方法もある。図4(a)のように連続して表示した場合、全体の時間軸の中での動作の発生位置が明確になる。一方、図4(b)のように動作単位で別の画面に表示すると、任意の処理区間のログを並べて表示する事ができるため、時間的に離れた位置にある処理区間を並べて比較したり、注目した処理区間だけを表示するなど、比較し易いというメリットがある。
The log may be displayed continuously as shown in the
次に、比較の方法として、ユーザが選択した任意の区間を、時間軸を揃えて表示する例について説明する。
図5は、この例における表示部130aの構成を示している。この例では、図2で示したような基本のシステム構成に対し、比較表示部138を追加した構成である。なお、表示部130a以外の構成は図2と同様であるため、他の構成の図示は省略している。比較表示部138は、比較する処理区間について、先頭ログの時間軸上の位置が揃うように表示するため、比較表示用時刻の計算を行う。
Next, as an example of comparison, an example in which an arbitrary section selected by the user is displayed with the time axis aligned will be described.
FIG. 5 shows a configuration of the display unit 130a in this example. In this example, a
図6(a)は、比較表示用に再加工したログリストを示し、図6(b)は、比較表示用時刻を求めるための加工手順を示すフローチャートである。
先頭ログを基準として時間軸を揃える場合、まず、先頭ログの発生時刻t0(図6(a)では発生時刻601)を取得し、このログの比較表示用時刻602に0を設定する(ステップST1)。次に、処理区間内に次のログがあるため(ステップST2)、2番目のログの発生時刻tn(発生時刻603)を取得し(ステップST3)、先頭ログの発生時刻(発生時刻601)を減算した値(tn−t0)を、2番目のログの表示用時刻(比較表示用時刻604)に設定する(ステップST4)。これを繰り返して、処理区間内の全てのログについて、先頭ログの発生時刻を0とした場合の時刻を求めて、比較表示用時刻として登録する。即ち、ステップST2において処理区間内に次のログが無くなるまで繰り返す。これを、比較表示する全ての処理区間について実行する。
FIG. 6A shows a log list reprocessed for comparison display, and FIG. 6B is a flowchart showing a processing procedure for obtaining a time for comparison display.
When aligning the time axis based on the top log, first, the top log generation time t0 (the
比較表示部138は、上記の処理で求めた比較表示用時刻を用いて、グラフ表示部134に対し、時間軸を揃えた比較用グラフの表示データを送出する。
比較表示の方法は、図7に示すように、時間軸上の基準位置701を揃えて並べて表示する他、図8に示すように、複数の処理区間を重ねて表示してもよい。比較する処理区間の数が多い場合は、並べて表示した方が見易く、比較する処理区間の数が少ない場合は、重ね合わせた表示の方が比較し易い。
The
As shown in FIG. 7, the comparative display method may display a plurality of processing sections in an overlapping manner as shown in FIG. 8 in addition to aligning and displaying the reference positions 701 on the time axis. When the number of processing sections to be compared is large, it is easier to see the images displayed side by side. When the number of processing sections to be compared is small, the superimposed displays are easier to compare.
なお、図8(a)は、先頭ログを基準として複数の処理区間を重ねた場合であり、先頭ログの位置が基準位置801となっている。また、図8(b)は指定されたログを基準として複数の処理区間を重ねた場合である。すなわち、図8(b)は、それぞれの処理区間の二つ目のログの位置を基準として表示した例である。二つ目のログが基準の位置802に位置するように、ログの発生時刻の補正を行って表示している。初期処理にバラツキがある事が分かっている操作などは、このように比較の基準点に任意のログを指定する事で、本当に比較したい部分を重ね合わせて比較する事ができる。
FIG. 8A shows a case where a plurality of processing sections are overlapped with the head log as a reference, and the position of the head log is a
以上説明したように、実施の形態1のログ解析支援システムによれば、生成されたログを入力する入力部と、予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部と、区間単位で抽出したログを表示する表示部とを備えたので、ログの傾向を比較することができるため、異常箇所の検出を容易に行うことができる。 As described above, according to the log analysis support system of the first embodiment, the input unit that inputs the generated log, the log that is the start point of the process related to one operation, and the log that is the end point In accordance with these definitions, it has an extraction unit that extracts and extracts the input log for each processing section related to a specific process, and a display unit that displays the log extracted in section units. Since the comparison can be made, the abnormal part can be easily detected.
また、実施の形態1のログ解析支援システムによれば、抽出部は、グラフィックユーザインタフェース動作に関する処理区間を一つの処理区間として抽出するようにしたので、互いに重複しない処理区間を確実に抽出することができる。 Further, according to the log analysis support system of the first embodiment, the extraction unit extracts the processing sections related to the graphic user interface operation as one processing section, so that the processing sections that do not overlap each other can be reliably extracted. Can do.
また、実施の形態1のログ解析支援システムによれば、表示部は、第1の座標軸である時間軸に対し、ログを生成する対象システムのリソース情報に含まれる項目を用いて多次元表示するための追加座標軸を設定し、ログ情報を多次元のグラフとして表示させるための表示データを生成する表示処理部を備えたので、多次元のグラフとして表示することにより、図形として認識することができるため、ログの比較が容易となり、異常箇所の検出をより簡単に行うことができる。また、リソース情報に着目すると、特に一定のパターンが現れやすいため、異常パターンが発見し易く、さらに、隣り合う要素同士は関連性が高いため、機械的にグループ化して単位の粒度を変更することができる。すなわち、図形をより大雑把なレベルで見ることができる。 Further, according to the log analysis support system of the first embodiment, the display unit performs multi-dimensional display using items included in the resource information of the target system that generates the log with respect to the time axis that is the first coordinate axis. Since it has a display processing unit that sets additional coordinate axes and generates display data for displaying log information as a multidimensional graph, it can be recognized as a figure by displaying it as a multidimensional graph Therefore, the comparison of logs becomes easy, and the detection of the abnormal part can be performed more easily. Focusing on resource information, it is easy to find anomalous patterns, especially because certain patterns are likely to appear. Furthermore, since adjacent elements are highly related, they can be mechanically grouped to change the unit granularity. Can do. That is, the figure can be seen at a rougher level.
また、実施の形態1のログ解析支援システムによれば、表示部は、比較する複数の処理区間のデータを、時間軸を揃えて表示させるための表示データを生成する比較表示部を備えたので、比較対照の相違点を明確にすることができる。 Further, according to the log analysis support system of the first embodiment, the display unit includes the comparison display unit that generates display data for displaying the data of the plurality of processing sections to be compared with the time axis aligned. , The difference of the comparison can be clarified.
実施の形態2.
上記実施の形態1では、イベントの発生時刻を時間軸として表示したが、時間軸を正規化して、発生時刻ではなく、発生順で表示した方が適している場合もあり、このような例を実施の形態2として説明する。なお、実施の形態2における図面上の構成は実施の形態1における図1や図2または図5に示す構成と同様であるため、これらの図を用いて説明する。
実施の形態2の表示処理部133は、時間軸として実施の形態1におけるイベントの発生時刻に代えてイベントの発生順とした表示データを生成する処理部である。これ以外のログ解析支援システムにおける構成は実施の形態1と同様である。
In the first embodiment, the event occurrence time is displayed as the time axis. However, there are cases where it is more appropriate to normalize the time axis and display it in the order of occurrence rather than the occurrence time. This will be described as a second embodiment. The configuration of the second embodiment in the drawing is the same as the configuration shown in FIG. 1, FIG. 2, or FIG. 5 in the first embodiment, and will be described with reference to these drawings.
The
図9は、実施の形態2の表示例を示す説明図であり、第2の座標軸901に処理時間を使用する例である。
イベントは必ず一つずつ処理されるため、イベント処理の開始を示すログ(イベント開始ログ)から終了を示すログ(イベント終了ログ)までの時間を計算する事で、各イベントの処理時間を計算する事ができる。そこで、表示処理部133において、まず、各イベントの処理時間を計算する。各イベントのイベント開始ログに対応するイベント終了ログを見つけ、発生時刻の差分を、そのイベントの処理時間として記憶する。この場合、時間軸に発生時間をとるメリットはないので、時間軸902にはイベントの発生順を用いる。また、開始ログと終了ログの両方を表示する必要はないので、開始ログのみ表示する。先頭のイベントから順に、イベントの処理時間をプロットすると、グラフ表示部134において、図9(a)に示すグラフが表示できる。
FIG. 9 is an explanatory diagram illustrating a display example of the second embodiment, in which the processing time is used for the second coordinate
Since events are always processed one by one, the processing time of each event is calculated by calculating the time from the log indicating the start of event processing (event start log) to the log indicating the end (event end log) I can do things. Therefore, the
処理時間のような物理量を第2の座標軸にする場合は、図9(b)のように、棒グラフなどの方が直感的に判りやすい場合もある。棒グラフの場合は、一つの矩形903が、一つのイベント処理を示す。この場合、一つの画面にまとめて表示する場合は、処理区間を示す表示が必要となる。折れ線グラフなど、各ログの位置を結ぶ場合は、線で結ばれた一つの固まりが一つの処理区間であることが分かるが、棒グラフなどの場合は、どこまでが処理区間であるかが分からないためである。
そこで、図9(b)に示すように、処理区間の始点ログと終了ログの位置に区切り線904,905を表示すると共に、対応する始点ログ位置の区切り線904と、終点ログ位置の区切り線905を関連付ける両方向矢印906を表示する。更に、終点ログが存在しない場合は、片方向矢印907を表示することで、終点ログの存在有無を区別して表示する。
When a physical quantity such as processing time is used as the second coordinate axis, a bar graph or the like may be easier to understand intuitively as shown in FIG. In the case of a bar graph, one
Therefore, as shown in FIG. 9B, the
以上説明したように、実施の形態2のログ解析支援システムによれば、表示部は、時間軸として複数の処理区間のデータの発生順としたので、例えば、処理時間を第2の座標軸に使用する場合など、発生時刻が意味を持たない場合に、パターンを単純化することで、複数の処理区間の比較を容易に行うことができる。また、抽出した処理区間が、時間軸上の一部にのみ存在する場合でも、ログを集約して見る事ができる。 As described above, according to the log analysis support system of the second embodiment, the display unit uses the processing order as the second coordinate axis because the order of generation of data in a plurality of processing sections is used as the time axis. In the case where the occurrence time does not have a meaning, such as in the case of performing, it is possible to easily compare a plurality of processing sections by simplifying the pattern. Even when the extracted processing section exists only in a part on the time axis, logs can be collected and viewed.
なお、本願発明はその発明の範囲内において、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。 In the present invention, within the scope of the invention, any combination of the embodiments, or any modification of any component in each embodiment, or omission of any component in each embodiment is possible. .
100 ログファイル、110 入力部、111 入力処理部、112 ログ情報格納部、113 ログ情報リスト、120 抽出部、121 抽出条件設定部、122 抽出条件格納部、123 抽出処理部、124 抽出ログ格納部、125 抽出条件リスト、126 抽出ログリスト、130 表示部、131 検索処理部、132 表示条件設定部、133 表示処理部、134 グラフ表示部、135 表示条件格納部、136 表示条件リスト、137 折れ線グラフ、138 比較表示部。
100 log file, 110 input unit, 111 input processing unit, 112 log information storage unit, 113 log information list, 120 extraction unit, 121 extraction condition setting unit, 122 extraction condition storage unit, 123 extraction processing unit, 124 extraction log storage unit , 125 extraction condition list, 126 extraction log list, 130 display section, 131 search processing section, 132 display condition setting section, 133 display processing section, 134 graph display section, 135 display condition storage section, 136 display condition list, 137
Claims (5)
予め、一つの動作に関する処理の開始点となるログと、終了点となるログを定義し、これら定義に従って、入力されたログを特定の処理に関する処理区間毎に区切って抽出する抽出部と、
前記区間単位で抽出したログを表示する表示部とを備えたことを特徴とするログ解析支援システム。 An input unit for inputting the generated log;
In advance, a log that is a start point and a log that is an end point of a process related to one operation is defined, and an extraction unit that extracts and divides an input log into processing sections related to a specific process according to these definitions;
A log analysis support system comprising: a display unit that displays a log extracted in units of sections.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011065735A JP2012203522A (en) | 2011-03-24 | 2011-03-24 | Log analysis support system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011065735A JP2012203522A (en) | 2011-03-24 | 2011-03-24 | Log analysis support system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012203522A true JP2012203522A (en) | 2012-10-22 |
Family
ID=47184499
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011065735A Withdrawn JP2012203522A (en) | 2011-03-24 | 2011-03-24 | Log analysis support system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012203522A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015108890A (en) * | 2013-12-03 | 2015-06-11 | シャープ株式会社 | Information processing system and display device |
| CN105074669A (en) * | 2013-03-12 | 2015-11-18 | 微软技术许可有限责任公司 | Method and system for analyzing a trace timeline of computer system activity |
| CN107250979A (en) * | 2015-02-27 | 2017-10-13 | 安提特软件有限责任公司 | Application affairs are tracked |
| JP2019082746A (en) * | 2017-10-27 | 2019-05-30 | 株式会社エヌ・ティ・ティ・データ | Abnormal log detection apparatus, method and program for detecting abnormal log |
| CN111078455A (en) * | 2019-12-24 | 2020-04-28 | 北京优特捷信息技术有限公司 | Abnormal behavior sequence correlation processing method and device based on time axis, equipment and storage medium |
-
2011
- 2011-03-24 JP JP2011065735A patent/JP2012203522A/en not_active Withdrawn
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105074669A (en) * | 2013-03-12 | 2015-11-18 | 微软技术许可有限责任公司 | Method and system for analyzing a trace timeline of computer system activity |
| JP2016514326A (en) * | 2013-03-12 | 2016-05-19 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Method and system for analyzing a trace timeline of computer system activity |
| JP2015108890A (en) * | 2013-12-03 | 2015-06-11 | シャープ株式会社 | Information processing system and display device |
| CN107250979A (en) * | 2015-02-27 | 2017-10-13 | 安提特软件有限责任公司 | Application affairs are tracked |
| JP2018508865A (en) * | 2015-02-27 | 2018-03-29 | エントイット ソフトウェア エルエルシーEntit Software Llc | Application event tracking |
| US10241845B2 (en) | 2015-02-27 | 2019-03-26 | Entit Software Llc | Application event tracing |
| CN107250979B (en) * | 2015-02-27 | 2020-09-25 | 微福斯有限责任公司 | Application event tracking |
| JP2019082746A (en) * | 2017-10-27 | 2019-05-30 | 株式会社エヌ・ティ・ティ・データ | Abnormal log detection apparatus, method and program for detecting abnormal log |
| JP7005278B2 (en) | 2017-10-27 | 2022-01-21 | 株式会社エヌ・ティ・ティ・データ | Abnormal log detection device, abnormal log detection method and program |
| CN111078455A (en) * | 2019-12-24 | 2020-04-28 | 北京优特捷信息技术有限公司 | Abnormal behavior sequence correlation processing method and device based on time axis, equipment and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11831523B2 (en) | Systems and methods for displaying adjustable metrics on real-time data in a computing environment | |
| US9483378B2 (en) | Method and system for resource monitoring of large-scale, orchestrated, multi process job execution environments | |
| JP2012203522A (en) | Log analysis support system | |
| JP6803754B2 (en) | Log message grouping device, log message grouping system and log message grouping method | |
| US11310469B2 (en) | Surveillance apparatus and a surveillance method for indicating the detection of motion | |
| CN105912699A (en) | Data analysis method and device | |
| EP3113002A1 (en) | Method and device for recommending solution based on user operation behavior | |
| CN103455498B (en) | A kind of form keyword message localization method based on hypertext | |
| EP3595770A1 (en) | Information processing apparatus, information processing method, program, and biological signal measurement system | |
| JP4396262B2 (en) | Information processing apparatus, information processing method, and computer program | |
| US20100076975A1 (en) | Information processing apparatus and search method | |
| JP7235110B2 (en) | Operation log acquisition device, operation log acquisition method, and operation log acquisition program | |
| JP6627885B2 (en) | Display method, display program, and display control device | |
| US12260624B2 (en) | Information processing method for presenting influences obtained for prediction results, information processing system, and recording medium | |
| US20160092806A1 (en) | Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus | |
| JP2009163474A (en) | Time series data search program, time series data search device, and time series data search method | |
| JP2020024650A (en) | Security information processing device, program, and method | |
| CN105607832B (en) | Information processing method and electronic equipment | |
| JP6711203B2 (en) | Image processing apparatus and image processing program | |
| JP6761151B1 (en) | Data display program, programmable display and programmable display reproduction simulator | |
| JP2006171931A (en) | Text mining device and text mining program | |
| JP7768947B2 (en) | Work analysis system, work analysis device, work analysis method, and work analysis program | |
| WO2018168864A1 (en) | Information processing apparatus, information processing method, program, and biological signal measurement system | |
| US12353312B1 (en) | Code profiling call stack linking | |
| JP5932724B2 (en) | Information processing system, information processing apparatus, information processing method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140603 |