Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6547341B2 - INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM - Google Patents
[go: Go Back, main page]

JP6547341B2 - INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM - Google Patents

INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM Download PDF

Info

Publication number
JP6547341B2
JP6547341B2 JP2015051163A JP2015051163A JP6547341B2 JP 6547341 B2 JP6547341 B2 JP 6547341B2 JP 2015051163 A JP2015051163 A JP 2015051163A JP 2015051163 A JP2015051163 A JP 2015051163A JP 6547341 B2 JP6547341 B2 JP 6547341B2
Authority
JP
Japan
Prior art keywords
log
pattern
record
module
uncompleted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015051163A
Other languages
Japanese (ja)
Other versions
JP2016170713A (en
Inventor
真二郎 八木
真二郎 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015051163A priority Critical patent/JP6547341B2/en
Publication of JP2016170713A publication Critical patent/JP2016170713A/en
Application granted granted Critical
Publication of JP6547341B2 publication Critical patent/JP6547341B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ITシステムにおけるデータの加工を行うコンピュータ装置に関する。   The present invention relates to a computer device that processes data in an IT system.

IT(Infomation Technology)システムにおいて、データ管理またはデータ監視のための、データ加工方法及びデータ分析方法が開示されている。   A data processing method and a data analysis method for data management or data monitoring are disclosed in an information technology (IT) system.

例えば、特許文献1には、機密ファイルにクライアントがアクセスしたというログを、時間と共に収集し、そのログが複写されたか否かを判定し、ログ情報、時間情報、複写されたか否かをマトリクス構造で表示させるログ表示システムが記載されている。   For example, in Patent Document 1, a log indicating that a client accessed a confidential file is collected with time, it is determined whether the log has been copied, and log information, time information, matrix structure whether or not it has been copied. The log display system to be displayed by is described.

また、特許文献2には、ITシステムのアクセスログを監視し、ITシステムが行う複数の業務の割合(業務パターン)を算出し、その業務パターンに応じてネットワーク構成の最適化を行う方法が記載されている。   In addition, Patent Document 2 describes a method of monitoring an access log of an IT system, calculating a ratio of a plurality of tasks performed by the IT system (task pattern), and optimizing a network configuration according to the task pattern. It is done.

また、特許文献3には、結合元データ及び結合先データに含まれる識別項目の値及びキー項目の値をそれぞれ比較し、条件に応じて結合先データを結合元データに結合させることで、データ結合の成功率を向上させるデータ結合方法が記載されている。   Further, in Patent Document 3, the data of the identification item and the value of the key item included in the coupling source data and the coupling destination data are respectively compared, and the coupling destination data is coupled to the coupling source data according to the conditions. A data combining method has been described that improves the success rate of combining.

また、特許文献4には、データの集計レベルに応じて、集計対象を定義する集計管理表を用いて、データ内から集計対象データを読み出し、集計対象データを、集計レベルに応じ、階層構造で出力するデータ集計方法が記載されている。   Further, according to the patent document 4, the aggregation target data is read out from the data using the aggregation management table that defines the aggregation target according to the aggregation level of the data, and the aggregation target data is hierarchically structured according to the aggregation level. Describes the data aggregation method to be output.

データ分析方法の中でも、例えば、障害検出のためのシステム監視を行う際、相関解析や類似度マッチングを使用して分析を行う方法が知られている。   Among data analysis methods, for example, there is known a method of performing analysis using correlation analysis and similarity matching when performing system monitoring for failure detection.

例えば、特許文献5には、相関解析ルール情報と、ITシステムのネットワーク構成とに基づき、障害の解析を行うことで、障害情報を取得できない装置での障害も解析し表示することができるITシステムの管理方法が記載されている。   For example, in Patent Document 5, an IT system capable of analyzing and displaying a fault in a device which can not acquire fault information by analyzing the fault based on correlation analysis rule information and a network configuration of the IT system. Management method is described.

また、特許文献6には、監視対象のトランザクションの構成要素と、とトランザクション・モデルの構成要素との非類似度を求め、その非類似度に基づき、マッチ率を判定し、マッチ率に基づき、システムの処理状況の分析を行うシステム監視方法が記載されている。   Further, in Patent Document 6, the dissimilarity between the component of the transaction to be monitored and the component of the transaction model is determined, the matching rate is determined based on the dissimilarity, and the matching rate is determined based on the matching rate. A system monitoring method for analyzing the processing status of the system is described.

また、特許文献7には、システムを構成している要素の情報と、システムのログ情報とを統合させた統合ログ情報から、パターンを抽出し、そのパターンと比較対象のパターンとを比較し、差異を検出し、システムの障害の原因箇所として提示する障害分析方法が記載されている。   Further, in Patent Document 7, a pattern is extracted from integrated log information in which information of elements constituting the system and log information of the system are integrated, and the pattern is compared with a pattern to be compared; A failure analysis method is described that detects differences and presents them as the source of failure of the system.

特開2007−200047号公報JP 2007-200047 A 特開2005−99973号公報JP, 2005-99973, A 国際公開第2010/134440号WO 2010/134440 特開平06−309343号公報JP 06-309343 A 国際公開第2010/038327号WO 2010/038327 特開2010−231825号公報JP, 2010-231825, A 国際公開第2014/196129号International Publication No. 2014/196129

上述した特許文献1に記載されたログ表示方法または特許文献2に記載されたアクセスログの監視技術においては、ログを集計すること、あるいはログの監視によって業務パターンを算出することが記載されている。しかしながら、ログの情報の内容を相関解析や類似度マッチング技術を使用せずに解析し、ログの異常ログを分析する技術は、いずれにも記載されていない。   In the log display method described in Patent Document 1 described above or in the access log monitoring technology described in Patent Document 2, it is described that logs are counted or work patterns are calculated by monitoring logs. . However, none of the techniques for analyzing the content of the log information without using correlation analysis or similarity matching technology and analyzing the abnormal log of the log have been described.

特許文献3及び特許文献4において、データの結合方法及び集計データを階層化する技術が記載されている。しかしながら、ログの情報の内容を相関解析や類似度マッチング技術を使用せずに解析し、ログの異常パターンを分析する技術は記載されていない。   Patent Document 3 and Patent Document 4 describe a method of combining data and a technique for layering aggregated data. However, a technique for analyzing the contents of log information without using correlation analysis and similarity matching techniques to analyze anomalous patterns of logs has not been described.

特許文献5に記載された相関解析や、特許文献6に記載された類似度マッチングの判定を用いた場合、同一のエラーを示すものの、含まれている情報が異なる異常ログを分析することは、難しい。   When the correlation analysis described in Patent Document 5 or the determination of similarity matching described in Patent Document 6 is used, although the same error is indicated, it is possible to analyze an abnormality log that includes different information. difficult.

また、特許文献7には、システム障害の原因となるログのパターンを検出しているものの、異常ログを分析する技術は記載されていない。   Moreover, although the pattern of the log which causes a system failure is detected in patent document 7, the technique which analyzes an abnormal log is not described.

そこで、本発明の目的は、相関解析や類似度マッチングを使用せずに異常ログの分析を行う情報処理装置を提供することである。   Therefore, an object of the present invention is to provide an information processing apparatus that analyzes an abnormality log without using correlation analysis or similarity matching.

本発明の情報処理装置は、レコードが含まれるログを読み込み、前記ログを正常なログであると判定した場合、前記ログを正常ログとして送信し、前記ログを正常なログでないと判定した場合、前記ログを異常ログとして送信するログ読み込み手段と、前記正常ログに含まれるレコードの出現順序であるパターンと、前記異常ログとを比較し、前記異常ログが前記パターンと部分的に一致している場合、パターンと部分的に一致しているレコードを未完了パターンに分類し、前記異常ログが前記パターンと一致していない場合、前記異常ログを不一致レコードに分類し、前記未完了パターン及び前記不一致レコードの分析を行うログ分類手段とを備えることを特徴とする。   When the information processing apparatus according to the present invention reads a log including a record and determines that the log is a normal log, the information processing apparatus transmits the log as a normal log and determines that the log is not a normal log. The log reading means for transmitting the log as an abnormal log, the pattern which is the appearance order of the records included in the normal log, and the abnormal log are compared, and the abnormal log partially matches the pattern In this case, records that partially match the pattern are classified into incomplete patterns, and if the abnormal log does not match the pattern, the abnormal log is classified into unmatched records, and the incomplete pattern and the unmatched And log classification means for analyzing records.

本発明の情報処理方法は、レコードが含まれるログを読み込み、前記ログを正常なログであると判定した場合、前記ログを正常ログとして送信し、前記ログを正常なログでないと判定した場合、前記ログを異常ログとして送信し、前記正常ログに含まれるレコードの出現順序であるパターンと、前記異常ログとを比較し、前記異常ログが前記パターンと部分的に一致している場合、パターンと部分的に一致しているレコードを未完了パターンに分類し、前記異常ログが前記パターンと一致していない場合、前記異常ログを不一致レコードに分類し、前記未完了パターン及び前記不一致レコードの分析を行うことをコンピュータに実行させることを特徴とする。   The information processing method according to the present invention reads a log including a record, and determines that the log is a normal log, transmits the log as a normal log, and determines that the log is not a normal log. The log is transmitted as an abnormal log, and a pattern which is an appearance order of the records included in the normal log is compared with the abnormal log, and when the abnormal log partially matches the pattern, the pattern The partially matched records are classified into uncompleted patterns, and when the abnormal log does not match the pattern, the abnormal log is classified into unmatched records, and analysis of the uncompleted patterns and the unmatched records is performed. It is characterized by making a computer perform what it does.

本発明の情報処理プログラムは、レコードが含まれるログを読み込み、前記ログを正常なログであると判定した場合、前記ログを正常ログとして送信し、前記ログを正常なログでないと判定した場合、前記ログを異常ログとして送信し、前記正常ログに含まれるレコードの出現順序であるパターンと、前記異常ログとを比較し、前記異常ログが前記パターンと部分的に一致している場合、パターンと部分的に一致しているレコードを未完了パターンに分類し、前記異常ログが前記パターンと一致していない場合、前記異常ログを不一致レコードに分類し、前記未完了パターン及び前記不一致レコードの分析を行うことをコンピュータに実行させることを特徴とする。   The information processing program according to the present invention reads a log including a record, and when determining that the log is a normal log, transmits the log as a normal log, and determines that the log is not a normal log. The log is transmitted as an abnormal log, and a pattern which is an appearance order of the records included in the normal log is compared with the abnormal log, and when the abnormal log partially matches the pattern, the pattern The partially matched records are classified into uncompleted patterns, and when the abnormal log does not match the pattern, the abnormal log is classified into unmatched records, and analysis of the uncompleted patterns and the unmatched records is performed. It is characterized by making a computer perform what it does.

上記構成によって、相関解析や類似度マッチングを使用せずにログ分析を行うことができる。   With the above configuration, log analysis can be performed without using correlation analysis or similarity matching.

本発明の第1実施形態に係る情報処理装置1の構成を示すブロック図である。It is a block diagram showing composition of an information processor 1 concerning a 1st embodiment of the present invention. 本発明の第1実施形態に係る情報処理装置1のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the information processing apparatus 1 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係る情報処理装置1が行う動作を示すフローチャートである。It is a flowchart which shows the operation | movement which the information processing apparatus 1 which concerns on 1st Embodiment of this invention performs. 本発明の第1実施形態に係る正常ログ一覧311の例示的概念図である。It is an exemplary conceptual diagram of the normal log list 311 according to the first embodiment of the present invention. 本判明の第1実施形態に係る異常ログ一覧321の例示的概念図である。It is an example conceptual diagram of the abnormal log list 321 which concerns on 1st Embodiment of this discovery. 本発明の第1実施形態に係るモジュール情報一覧331の例示的概念図である。It is an exemplary conceptual diagram of the module information list 331 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るパターン一覧341の例示的概念図である。FIG. 6 is an exemplary conceptual view of a pattern list 341 according to the first embodiment of the present invention. 本発明の第1実施形態に係る情報処理装置1が行う処理Aのフローチャートである。It is a flowchart of the process A which the information processing apparatus 1 which concerns on 1st Embodiment of this invention performs. 本発明の第1実施形態に係る表示装置5が表示するメッセージの例示図である。It is an illustration figure of the message which the display apparatus 5 which concerns on 1st Embodiment of this invention displays. 本発明の第1実施形態に係るパターン比較部23が行うパターン比較処理のフローチャートである。It is a flowchart of the pattern comparison process which the pattern comparison part 23 which concerns on 1st Embodiment of this invention performs. 本発明の第1実施形態に係るモジュール関連付け部24が行うモジュール関連付け処理を示すフローチャートである。It is a flowchart which shows the module link process which the module link part which concerns on 1st Embodiment of this invention performs. 本発明の第1実施形態に係るモジュール関連付け部24が行う処理Bのフローチャートである。It is a flowchart of the process B which the module correlation part 24 which concerns on 1st Embodiment of this invention performs. 本発明の第2実施形態に係る情報処理装置10の構成を示すブロック図である。It is a block diagram showing composition of an information processor 10 concerning a 2nd embodiment of the present invention. 本発明の第2実施形態に係る未完了パターン集約部25の未完了パターン集約処理のフローチャートである。It is a flowchart of the uncompleted pattern intensive process of the uncompleted pattern intensive unit 25 according to the second embodiment of the present invention. 未完了集約部25が行う集約処理を示す例示図である。It is an illustration figure which shows the intensive processing which the uncompleted intensive part 25 performs. 本発明の第3実施形態に係る情報処理装置20の構成を示すブロック図である。It is a block diagram which shows the structure of the information processing apparatus 20 which concerns on 3rd Embodiment of this invention. 本発明の第3実施形態に係る情報処理装置20が行う動作を示すフローチャートである。It is a flowchart which shows the operation | movement which the information processing apparatus 20 which concerns on 3rd Embodiment of this invention performs. 本発明の第3実施形態に係る情報処理装置20が行う処理Cのフローチャートである。It is a flowchart of the process C which the information processing apparatus 20 which concerns on 3rd Embodiment of this invention performs. 本発明の第3実施形態に係るモジュール関連付け部24が行うモジュール関連付け処理を示すフローチャートである。It is a flowchart which shows the module link process which the module link part which concerns on 3rd Embodiment of this invention performs. 本発明の第3実施形態に係るモジュール関連付け部24が行う処理Dのフローチャートである。It is a flowchart of the process D which the module correlation part 24 which concerns on 3rd Embodiment of this invention performs. 本発明の第4実施形態に係る情報処理装置30の構成を示すブロック図である。It is a block diagram showing composition of an information processor 30 concerning a 4th embodiment of the present invention. 本発明の第5実施形態に係る情報処理装置40の構成を示すブロック図である。It is a block diagram showing composition of an information processor 40 concerning a 5th embodiment of the present invention.

以下、本発明の実施形態について図面を参照し、詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

<第1実施形態>
図1は、本発明の第1実施形態における情報処理装置1の構成を示すブロック図である。図1において情報処理装置1は、制御部2と、記憶部3と、パターン生成部4と、表示装置5と、ログ記憶部6によって構成される。制御部2は、情報処理装置1の動作を制御する。さらに、制御部2は、ID付与部21と、ログ判定部22と、パターン比較部23と、モジュール関連付け部24とを含む。
First Embodiment
FIG. 1 is a block diagram showing the configuration of the information processing apparatus 1 according to the first embodiment of the present invention. In FIG. 1, the information processing apparatus 1 includes a control unit 2, a storage unit 3, a pattern generation unit 4, a display device 5, and a log storage unit 6. The control unit 2 controls the operation of the information processing device 1. Furthermore, the control unit 2 includes an ID assignment unit 21, a log determination unit 22, a pattern comparison unit 23, and a module association unit 24.

ID付与部21は、ログを読み込み、読み込んだログの各レコードに対応したレコードIDとモジュールIDを付与する。ここで付与されるモジュールIDは、例えば、ログのファイル名や、SyslogのFacilityのように各レコードに存在するログの種類の識別子を用いてもよい。どのような基準でモジュールを設定し、モジュールIDを付与するかは、当業者において適宜選択できる。ログ判定部22は、入力されたログが正常なログかどうかを判定する。正常なログならば、ログ判定部22は、正常ログとして記憶部3の正常ログ記憶部31に送信しそこに格納する。また、正常なログでないならば、ログ判定部22は、異常ログとして記憶部3の異常ログ記憶部32に送信しそこに格納する。パターン比較部23は、パターン生成部4によって生成された正常ログに含まれる各レコードIDの出現順序であるパターンと、異常ログを比較し、パターンと一致しているかどうか判定する。そして、パターン比較部23は、パターンと一致していない異常ログをモジュール関連付け部24へ送信する。モジュール関連付け部24は、異常ログをモジュールと関連付ける。   The ID assigning unit 21 reads the log, and assigns a record ID and a module ID corresponding to each record of the read log. The module ID assigned here may be, for example, a file name of a log, or an identifier of a type of log existing in each record, such as a facility of Syslog. Those skilled in the art can appropriately select based on what criteria the module is set and the module ID is given. The log determination unit 22 determines whether the input log is a normal log. If the log is a normal log, the log determination unit 22 transmits the log as a normal log to the normal log storage unit 31 of the storage unit 3 and stores the log. If the log is not a normal log, the log determination unit 22 transmits it as an abnormality log to the abnormality log storage unit 32 of the storage unit 3 and stores it in the same. The pattern comparison unit 23 compares the pattern which is the appearance order of each record ID included in the normal log generated by the pattern generation unit 4 with the abnormality log, and determines whether the pattern matches the pattern. Then, the pattern comparison unit 23 transmits, to the module association unit 24, an abnormality log that does not match the pattern. The module association unit 24 associates the abnormal log with the module.

記憶部3は、正常ログ記憶部31と、異常ログ記憶部32と、モジュール情報記憶部33と、パターン記憶部34とを含む。正常ログ記憶部31は、ログ判定部22が正常なログだと判定した正常ログの一覧である正常ログ一覧311を含む。異常ログ記憶部32は、異常ログの一覧である異常ログ一覧321を含む。モジュール情報記憶部33は、どのモジュールにどのレコードが含まれるのかを表すモジュール情報一覧331を含む。パターン記憶部34は、パターン生成部4が生成したパターンの一覧であるパターン一覧341を記憶する。   The storage unit 3 includes a normal log storage unit 31, an abnormality log storage unit 32, a module information storage unit 33, and a pattern storage unit 34. The normal log storage unit 31 includes a normal log list 311 that is a list of normal logs determined by the log determination unit 22 to be normal logs. The abnormality log storage unit 32 includes an abnormality log list 321 which is a list of abnormality logs. The module information storage unit 33 includes a module information list 331 which indicates which record is included in which module. The pattern storage unit 34 stores a pattern list 341 which is a list of patterns generated by the pattern generation unit 4.

パターン生成部4は、正常ログに基づいて、各レコードIDの出現順序をパターンとして生成する。また、表示装置5は、モジュール関連付け部24で関連付けた結果を表示する。さらに、ログ記憶部6は、ログを記憶する。   The pattern generation unit 4 generates the appearance order of each record ID as a pattern based on the normal log. Further, the display device 5 displays the result of the association by the module association unit 24. Furthermore, the log storage unit 6 stores a log.

<ハードウェア構成>
図2は、本発明の情報処理装置1のハードウェア構成を示すブロック図である。情報処理装置1は、CPU(Central Processing Unit)61と、ROM(Road Only Memory)62と、RAM(Random Access Memory)63と、ネットワークインタフェース64と、記憶部65と、入力装置66と、出力装置67とによって構成可能である。
<Hardware configuration>
FIG. 2 is a block diagram showing the hardware configuration of the information processing apparatus 1 of the present invention. The information processing apparatus 1 includes a central processing unit (CPU) 61, a road only memory (ROM) 62, a random access memory (RAM) 63, a network interface 64, a storage unit 65, an input device 66, and an output device. And 67. FIG.

ID付与部21は、ネットワークインタフェース64と、入力装置66と、ROM62及び記憶装置65に記憶されたコンピュータプログラムをRAM63に書き込み、書き込まれたコンピュータプログラムを実行するCPU61によって構成される。パターン生成部4と、ログ判定部22と、パターン比較部23と、モジュール関連付け部24とは、ROM62及び記憶装置65に記憶されたコンピュータプログラムをRAM63に書き込み、書き込まれたコンピュータプログラムを実行するCPU61によって構成される。また、正常ログ記憶部31と、異常ログ記憶部32と、パターン記憶部33と、モジュール情報記憶部33とは、記憶装置65によって構成される。表示装置5は、出力装置67によって構成される。   The ID assigning unit 21 includes a network interface 64, an input device 66, and a CPU 61 that writes the computer program stored in the ROM 62 and the storage device 65 into the RAM 63 and executes the written computer program. The pattern generation unit 4, the log determination unit 22, the pattern comparison unit 23, and the module association unit 24 write the computer program stored in the ROM 62 and the storage unit 65 in the RAM 63 and execute the written computer program CPU 61 Composed of Further, the normal log storage unit 31, the abnormality log storage unit 32, the pattern storage unit 33, and the module information storage unit 33 are configured by the storage device 65. The display device 5 is configured of an output device 67.

後述の第2及び第3及び第4実施形態における情報処理装置10及び情報処理装置20及び情報処理装置30も同様に、上記ハードウェア構成を有することが可能であり、情報処理装置10及び情報処理装置20及び情報処理装置30が有する各機能をハードウェア的又はソフトウェア的に実現する。なお、上記ハードウェア構成は例示であり、上記構成には限定されない。   Similarly, the information processing apparatus 10, the information processing apparatus 20, and the information processing apparatus 30 in the second, third, and fourth embodiments described later can also have the above-described hardware configuration, and the information processing apparatus 10 and the information processing The respective functions of the device 20 and the information processing device 30 are realized as hardware or software. The above hardware configuration is an example, and is not limited to the above configuration.

図3は、本発明の第1実施形態に係る情報処理装置1が行う動作を示すフローチャートである。以下、図3を用いて第1実施形態に係る情報処理装置1の動作を具体的に説明する。   FIG. 3 is a flowchart showing an operation performed by the information processing apparatus 1 according to the first embodiment of the present invention. The operation of the information processing apparatus 1 according to the first embodiment will be specifically described below with reference to FIG.

まず、ID付与部21はログ記憶部6からログを読み込み(ステップS101)、読み込んだログの各レコードに対応するレコードIDを付与する(ステップS102)。例えば、ID付与部21は、クラスタリングの手法であるK平均法など公知の方法を使用することによって、付与するべきレコードIDを生成する。レコードIDは、レコードごとに付与される。さらに、ID付与部21は、各レコードに、モジュールIDを付与する(ステップS103)。付与されるモジュールIDは、例えば、ログのファイル名や、SyslogのFacilityのように各レコードに存在するログの種類の識別子を用いてもよい。どのような基準でモジュールを設定し、モジュールIDを付与するかは、当業者において適宜選択できる。そして、ID付与部21は、レコードIDとモジュールIDとの対応関係をモジュール情報一覧331として、モジュール情報記憶部33に送信し、そこに格納する(ステップS104)。   First, the ID assigning unit 21 reads a log from the log storage unit 6 (step S101), and assigns a record ID corresponding to each record of the read log (step S102). For example, the ID assigning unit 21 generates a record ID to be assigned by using a known method such as the K-means method, which is a method of clustering. Record ID is given for each record. Furthermore, the ID assigning unit 21 assigns a module ID to each record (step S103). The module ID to be assigned may be, for example, a file name of a log, or an identifier of a type of log existing in each record, such as a facility of Syslog. Those skilled in the art can appropriately select based on what criteria the module is set and the module ID is given. Then, the ID assignment unit 21 transmits the correspondence relationship between the record ID and the module ID as the module information list 331 to the module information storage unit 33, and stores it in the module information storage unit 33 (step S104).

次に、ログ判定部22にログが入力されると、ログ判定部22は入力されたログが、正常かどうか判定する(ステップS105)。たとえば、国際公開第2014/196129号(特許文献7)に記載された発明により、その判定が実施されてもよい。入力されたログが正常でない場合、ログ判定部22は、入力されたログを異常ログと判定し、異常ログを異常ログ一覧321として異常ログ記憶部32に送信し、そこに格納する(ステップS106)。そして処理はステップS110へ進む。   Next, when a log is input to the log determination unit 22, the log determination unit 22 determines whether the input log is normal (step S105). For example, the determination may be performed according to the invention described in WO 2014/196129 (Patent Document 7). If the input log is not normal, the log determination unit 22 determines that the input log is an abnormality log, transmits the abnormality log as an abnormality log list 321 to the abnormality log storage unit 32, and stores it there (step S106). ). Then, the process proceeds to step S110.

一方で、入力されたログが正常である場合、ログ判定部22は、入力されたログを正常ログと判定し、正常ログを正常ログ一覧311として正常ログ記憶部31に送信し、そこに格納する(ステップS107)。   On the other hand, when the input log is normal, the log determination unit 22 determines the input log as a normal log, transmits the normal log as the normal log list 311 to the normal log storage unit 31, and stores the log in the normal log storage unit 31. (Step S107).

パターン生成部4は、正常ログ記憶部31から正常ログを取り出し、取り出した正常ログに基づき、正常ログの各レコードが出現する順序をパターンとして、パターンを生成する(ステップS108)。さらに、パターン生成部14は、生成したパターンをパターン一覧341としてパターン記憶部34に送信し、そこに格納する(ステップS109)。なお、パターンの生成手法としては、例えば、Aprioriやバックトラック法等の公知のアルゴリズムを使用し、パターンを生成してもよい。そして、ID付与部21は、ログ記憶部6のすべてのログの読み込みをしたかどうか判定する(ステップS110)。すべてのログの読み込みをしていない場合、ステップS101へ進み、すべてのログの読み込みをした場合、後述する処理Aへ進む。   The pattern generation unit 4 extracts the normal log from the normal log storage unit 31, and generates a pattern based on the extracted normal log, with the order of appearance of each record of the normal log as a pattern (step S108). Furthermore, the pattern generation unit 14 transmits the generated pattern as the pattern list 341 to the pattern storage unit 34, and stores it in the pattern storage unit 34 (step S109). Note that, as a method of generating a pattern, for example, a known algorithm such as Apriori or backtrack method may be used to generate a pattern. Then, the ID assigning unit 21 determines whether all the logs in the log storage unit 6 have been read (step S110). If all the logs have not been read, the process proceeds to step S101. If all the logs have been read, the process proceeds to processing A described later.

以上説明した動作によって、制御部2が、異常ログ及び正常ログの識別を行うことによって、パターン生成部4が正常ログに基づきパターンを生成することができる。   By the operation described above, when the control unit 2 identifies the abnormal log and the normal log, the pattern generation unit 4 can generate a pattern based on the normal log.

図4は、本発明の第1実施形態に係る正常ログ一覧311の例示的な概念図である。正常ログはログ判定部22によって判定され、入力された順に正常ログ1(311_1)、正常ログ2(311_2)、正常ログ3(311_3)、…、正常ログn(311_n(n:自然数))として記憶される。1つのレコードIDについて、レコードの時刻、レコードの内容、モジュールIDが関連付けされ、正常ログの複数のレコードが記憶される。レコードの内容は、例えばシステムで行われた処理が記載されている。   FIG. 4 is an exemplary conceptual view of the normal log list 311 according to the first embodiment of the present invention. The normal logs are determined by the log determination unit 22 and are input as normal log 1 (311_1), normal log 2 (311_2), normal log 3 (311_3), ..., normal log n (311_n (n is a natural number))) It is memorized. The time of a record, the content of the record, and the module ID are associated with one record ID, and a plurality of records of normal logs are stored. The contents of the record describe, for example, the processing performed by the system.

図5は、本発明の第1実施形態に係る異常ログ一覧321の例示的な概念図である。異常ログは、ログ判定部22によって判定され、入力順に異常ログ1、異常ログ2、…、異常ログn(n:自然数)として記憶される。1つのレコードIDについて、レコードの時刻、レコードの内容、モジュールIDが関連付けされ、異常ログの複数のレコードが記憶される。   FIG. 5 is an exemplary conceptual view of the abnormal log list 321 according to the first embodiment of the present invention. The abnormality logs are determined by the log determination unit 22, and are stored as an abnormality log 1, an abnormality log 2, ..., an abnormality log n (n: natural number) in the order of input. The time of a record, the content of the record, and the module ID are associated with one record ID, and a plurality of records of the abnormal log are stored.

図6は、本発明の第1実施形態に係るモジュール情報一覧331の例示的な概念図である。レコードIDごとにモジュールIDが対応して記憶される。例えば、レコードIDが1の場合は、モジュールIDがModule1となり、レコードIDが2の場合は、モジュールIDがModule2となり、レコードIDがm(m:自然数)の場合は、モジュールIDは、Modulen(n:自然数)となる。   FIG. 6 is an exemplary conceptual view of the module information list 331 according to the first embodiment of the present invention. A module ID is stored corresponding to each record ID. For example, if the record ID is 1, the module ID is Module 1; if the record ID is 2, the module ID is Module 2; if the record ID is m (m: natural number), the module ID is Module n (n : Natural number).

図7は、パターン一覧341の例示的概念図である。パターン生成部4によって生成されたパターンは、生成された順にパターン1(341_1)、パターン2(341_2)、パターン3(341_3)、…、パターンn(341_n(n:自然数))となる。これらパターンは、パターン記憶部34に順次記憶される。レコードIDの出現順序は、1つのパターンの配列順序となり、出現順にレコードIDが配列されて記憶される。図7において、パターン341_nにおけるa、b、c、d、eは任意のレコードIDを示す自然数を表す。パターン341_1及びパターン341_2は、レコードIDが5つの構成となり、パターン341_3は、レコードIDが4つの構成となっているが、1つのパターンを構成するレコードIDの数は、当業者において適宜選択できる。   FIG. 7 is an exemplary conceptual view of the pattern list 341. The patterns generated by the pattern generation unit 4 become pattern 1 (341_1), pattern 2 (341_2), pattern 3 (341_3),..., Pattern n (341: n (n is a natural number)) in the order of generation. These patterns are sequentially stored in the pattern storage unit 34. The appearance order of the record IDs is the arrangement order of one pattern, and the record IDs are arranged and stored in the appearance order. In FIG. 7, a, b, c, d and e in the pattern 341 _n represent natural numbers indicating arbitrary record IDs. The pattern 341 _ 1 and the pattern 341 _ 2 have a configuration with five record IDs, and the pattern 341 _ 3 has a configuration with four record IDs, but one skilled in the art can appropriately select the number of record IDs that configure one pattern.

図8は、上述した処理Aのフローチャートを表す。まず、パターン比較部23は異常ログとパターン一覧341に含まれるパターンとを比較するパターン比較処理を行い(ステップS201)、比較の結果により、異常ログを、一致ログと、未完了パターンと、不一致レコードとに分類する。このパターン比較処理の詳細は後述する。   FIG. 8 shows a flowchart of the process A described above. First, the pattern comparison unit 23 performs pattern comparison processing for comparing the abnormality log with the patterns included in the pattern list 341 (step S201), and according to the comparison result, the abnormality log does not match the match log and the uncompleted pattern. Classify as records. Details of this pattern comparison process will be described later.

次に、モジュール関連付け部24は、未完了パターンと、不一致レコードとについて、モジュール関連付け処理を行う(ステップS202)。このモジュール関連付け処理は後述する。そして、ログ表示部である表示装置5は図9に示すようにメッセージを表示する(ステップS203)。図9は、第1実施形態に係る表示装置5が表示するメッセージの例示的な概念図である。完了パターンには、モジュール関連付け部24による処理が完了したパターンが格納され、パターン1、パターン2、パターン3、パターン4、…、パターンm(m:自然数)となっている。例えば、表示させたいパターン(図9の場合、パターンm)を選択すると、選択されたパターンに含まれるレコードID及びレコードの内容が表示される。異常メッセージ及び関連メッセージには、モジュール関連付け部24によってパターンと比較された不一致レコードが格納される。なお、この表示画面には限定されない。   Next, the module associating unit 24 performs a module associating process on the uncompleted pattern and the unmatched record (step S202). This module association process will be described later. Then, the display device 5, which is a log display unit, displays a message as shown in FIG. 9 (step S203). FIG. 9 is an exemplary conceptual view of a message displayed by the display device 5 according to the first embodiment. In the completion pattern, the patterns for which the processing by the module association unit 24 is completed are stored, and are pattern 1, pattern 2, pattern 3, pattern 4,..., Pattern m (m: natural number). For example, when a pattern to be displayed (pattern m in the case of FIG. 9) is selected, the record ID and the contents of the record included in the selected pattern are displayed. In the abnormal message and the related message, unmatched records compared with the pattern by the module associating unit 24 are stored. In addition, it is not limited to this display screen.

モジュール関連付け部24が、未完了パターンと不一致レコードとをモジュールIDを使用して関連付けることで、分析対象データと比較させるための比較対象となる情報または前記情報に基づく独自のルールを定義せず、かつ分析対象データ同士の関連性を分析し、表示することができる。   The module associating unit 24 associates the uncompleted pattern with the unmatched record using the module ID, thereby defining no information to be compared with the data to be analyzed or a unique rule based on the information. And, it is possible to analyze and display the relationship between the data to be analyzed.

図10は上述したパターン比較部23が行うパターン比較処理のフローチャートである。   FIG. 10 is a flowchart of the pattern comparison process performed by the pattern comparison unit 23 described above.

まず、パターン比較部23は、パターン記憶部34からパターンを取り出し、送信された異常ログと一致するパターンがあるかどうか判定する(ステップS301)。異常ログと一致するパターンがある場合、パターン比較部23は、異常ログを一致ログとして正常ログ記憶部31へ送信し、それを格納する(ステップS302)。そしてステップS306へ進む。   First, the pattern comparison unit 23 extracts a pattern from the pattern storage unit 34, and determines whether there is a pattern that matches the transmitted abnormality log (step S301). If there is a pattern that matches the abnormality log, the pattern comparison unit 23 transmits the abnormality log as a match log to the normal log storage unit 31 and stores it (step S302). Then, the process proceeds to step S306.

一方で、異常ログと一致するパターンがない場合、パターン比較部23は、異常ログと部分一致するパターンがあるかどうか判定する(ステップS303)。異常ログと部分的に一致するパターンがある場合、パターン比較部23は、パターンに一致しているレコードを未完了パターンとして、モジュール関連付け部24へ送信し、パターンに一致していない異常ログ及び未完了パターンの一致していないレコードを、不一致レコードとしてモジュール関連付け部24へ送信する(ステップS304)。異常ログがパターンと部分一致していない場合(パターンとすべて不一致の場合)、パターン比較部23は、不一致レコードとしてモジュール関連付け部24へ送信する(ステップS305)。そして、パターン比較部23は、異常ログ記憶部31の異常ログがすべて処理されたかどうか判定する(ステップS306)。異常ログがすべて処理されていない場合、ステップS301へ進み、異常ログがすべて処理された場合、ステップS202へ進む。   On the other hand, if there is no pattern that matches the abnormality log, the pattern comparison unit 23 determines whether there is a pattern that partially matches the abnormality log (step S303). If there is a pattern that partially matches the abnormality log, the pattern comparison unit 23 transmits the record matching the pattern as the uncompleted pattern to the module association unit 24, and the abnormality log and the unmatched pattern do not match. The record in which the completion pattern does not match is transmitted to the module associating unit 24 as a mismatch record (step S304). When the abnormality log does not partially match the pattern (when all the patterns do not match), the pattern comparison unit 23 transmits the mismatch record to the module association unit 24 (step S305). Then, the pattern comparison unit 23 determines whether all the abnormality logs in the abnormality log storage unit 31 have been processed (step S306). If all the abnormality logs are not processed, the process proceeds to step S301. If all the abnormality logs are processed, the process proceeds to step S202.

以上説明した動作によって、パターン比較部23は、異常ログとパターンを比較し、パターンとの一致度合いに応じて、異常ログを一致ログと、未完了パターンと、不一致レコードとに分類することができる。   According to the above-described operation, the pattern comparison unit 23 can compare the abnormal log with the pattern, and classify the abnormal log into the match log, the uncompleted pattern, and the unmatched record according to the degree of match with the pattern. .

図11は、上述したモジュール関連付け部24が行うモジュール関連付け処理のフローチャートである。   FIG. 11 is a flowchart of the module associating process performed by the module associating unit 24 described above.

まず、モジュール関連付け部24は、送信された未完了パターンの先頭のレコードの時刻をこの未完了パターンの先頭時刻として記録する(ステップS401)。次に、未完了パターンに含まれる最後尾のレコードの時刻から一定時間経過した時刻を終了時刻として記録する(ステップS402)。
例示的に未完了パターンの先頭時刻は、αとし、未完了パターンの終了時刻はβとする。ここで一定時間は、例えば、パターン生成時に各パターンの完了する平均時間や、最長時間を使用してもよい。また、モジュール関連付け部24は、未完了パターンの各レコードのモジュールIDを取得し(ステップS403)、取得したモジュールIDがモジュール情報一覧331に登録されているかどうか判定する(ステップS404)。取得したモジュールIDがモジュール情報一覧331に登録されている場合、ステップS406へ進む。
First, the module associating unit 24 records the time of the first record of the transmitted uncompleted pattern as the leading time of the uncompleted pattern (step S401). Next, a time when a predetermined time has elapsed since the time of the last record included in the uncompleted pattern is recorded as the end time (step S402).
For example, the start time of the uncompleted pattern is α, and the end time of the uncompleted pattern is β. Here, the fixed time may be, for example, the average time of completion of each pattern or the longest time at the time of pattern generation. Also, the module associating unit 24 acquires the module ID of each record of the uncompleted pattern (step S403), and determines whether the acquired module ID is registered in the module information list 331 (step S404). If the acquired module ID is registered in the module information list 331, the process proceeds to step S406.

一方で、取得したモジュールIDがモジュール情報一覧331に登録されていない場合、モジュール関連付け部24は、取得したモジュールIDをモジュール情報一覧331に登録する(ステップS405)。そして、モジュール関連付け部24は、未完了パターンの一致レコードを処理したかどうか判定する(ステップS406)。未完了パターンの一致レコードを処理している場合、ステップS407へ進み、未完了パターンの一致レコードを処理していない場合、ステップS404へ進む。さらにモジュール関連付け部24は、すべての未完了パターンを処理したかどうか判定する(ステップS407)。すべての未完了パターンを処理していない場合、ステップS401へ進み、すべての未完了パターンを処理している場合、処理Bへ進む。   On the other hand, when the acquired module ID is not registered in the module information list 331, the module associating unit 24 registers the acquired module ID in the module information list 331 (step S405). Then, the module associating unit 24 determines whether the uncompleted pattern matching record has been processed (step S406). If the unmatched pattern matching record is processed, the process proceeds to step S407. If the unmatched pattern matching record is not processed, the process proceeds to step S404. Furthermore, the module associating unit 24 determines whether all uncompleted patterns have been processed (step S407). If all the uncompleted patterns have not been processed, the process proceeds to step S401. If all the uncompleted patterns are processed, the process proceeds to processing B.

以上説明した動作によって、未完了パターンの先頭時刻と終了時刻を記録し、未完了パターンの各レコードのモジュールIDが、モジュール情報一覧に登録されているかどうか確認することができる。   By the operation described above, the start time and end time of the uncompleted pattern can be recorded, and it can be confirmed whether the module ID of each record of the uncompleted pattern is registered in the module information list.

図12は、上述したモジュール関連付け部24が行う処理Bのフローチャートである。   FIG. 12 is a flowchart of the process B performed by the module association unit 24 described above.

まず、モジュール関連付け部24は、送信された不一致レコードの時刻を記録する(ステップS501)。ここでは例示的に不一致レコードの時刻をγとする。そして、モジュール関連付け部24は、不一致レコードの時刻(γ)と、未完了パターンの先頭時刻(α)と、未完了パターンの終了時刻(β)とを比較する。具体的には、モジュール関連付け部24は、未完了パターンの先頭時刻が、不一致レコードの時刻より前にあり、かつ未完了パターンの終了時刻が、不一致レコードの時刻より後にある未完了パターンが存在するかどうか、つまりα<γ<βとなる未完了パターンが存在するかどうか判定する(ステップS502)。α<γ<βとなる未完了パターンが存在しない場合、ステップS507へ進む。   First, the module associating unit 24 records the time of the transmitted unmatched record (step S501). Here, as an example, the time of the unmatched record is γ. Then, the module associating unit 24 compares the time (γ) of the unmatched record, the start time (α) of the uncompleted pattern, and the end time (β) of the uncompleted pattern. Specifically, the module association unit 24 has an uncompleted pattern in which the start time of the uncompleted pattern is earlier than the time of the unmatched record, and the end time of the uncompleted pattern is later than the time of the unmatched record. In other words, it is determined whether there is an uncompleted pattern in which α <γ <β (step S502). If there is no uncompleted pattern in which α <γ <β, the process proceeds to step S507.

一方で、α<γ<βとなる未完了パターンが存在する場合、モジュール関連付け部24は、不一致レコードのモジュールIDを取得する(ステップS503)。そして、モジュール関連付け部24は、取得したモジュールIDが、モジュール情報一覧331に登録されているかどうか判定する(ステップS504)。取得したモジュールIDがモジュール情報一覧331に登録されていない場合、モジュール関連付け部24は、取得したモジュールIDを、表示装置5が表示するメッセージの異常メッセージの項目に登録する(ステップS505)。取得したモジュールIDがモジュール情報一覧331に登録されている場合、モジュール関連付け部24は、取得したモジュールIDを、表示装置5が表示するメッセージの関連メッセージの項目に登録する(ステップS506)。   On the other hand, when there is an uncompleted pattern in which α <γ <β, the module associating unit 24 acquires the module ID of the unmatched record (step S503). Then, the module associating unit 24 determines whether the acquired module ID is registered in the module information list 331 (step S504). When the acquired module ID is not registered in the module information list 331, the module associating unit 24 registers the acquired module ID in the item of the abnormality message of the message displayed by the display device 5 (step S505). When the acquired module ID is registered in the module information list 331, the module associating unit 24 registers the acquired module ID in the item of the related message of the message displayed by the display device 5 (step S506).

そして、モジュール関連付け部24は、すべての不一致レコードを処理したかどうかを判定する(ステップS507)。すべての不一致レコードを処理していない場合、ステップS501進み、すべての不一致レコードを処理した場合は、ステップS203へ進む。   Then, the module associating unit 24 determines whether all the unmatched records have been processed (step S507). If all the unmatched records have not been processed, step S501 follows. If all the unmatched records are processed, step S203 follows.

以上、上述した動作によって、未完了パターンに含まれる不一致レコードのモジュールIDが、モジュール一覧に登録されているか否かで、関連メッセージと、異常メッセージに分類することで、未完了パターンに含まれる不一致レコードが、どのモジュールと関連しているのか、または関連していないのか理解することができる。   As described above, by the operation described above, the module ID of the unmatched record included in the uncompleted pattern is classified into the related message and the abnormal message according to whether or not the module ID is registered in the module list. You can understand which module a record is associated with or not.

そして、異常ログを分類した未完了パターン及び不一致レコードをモジュールIDに基づき分析を行うことで、相関解析や類似度マッチングを用いた分析を行うことなく、異常ログの分析を行うことができる。   Then, the analysis of the abnormal log can be performed without performing the analysis using the correlation analysis or the similarity matching by analyzing the uncompleted pattern and the unmatched record in which the abnormal log is classified based on the module ID.

<第2実施形態>
次に本発明の第2実施形態に係る情報処理装置10について、図13を用いて説明する。本実施形態に係る情報処理装置10は、第1実施形態の構成に、新たに未完了パターン集約部21が追加されている。なお、本実施形態の説明において参照する各図面において、他の実施形態と同様な構成及び同様に動作するステップには、同一の符号を付し、本実施形態において重複する説明は省略する(他実施形態においても同様)。
Second Embodiment
Next, an information processing apparatus 10 according to a second embodiment of the present invention will be described with reference to FIG. In the information processing apparatus 10 according to this embodiment, an uncompleted pattern aggregation unit 21 is newly added to the configuration of the first embodiment. In the drawings referred to in the description of the present embodiment, the same reference numerals are given to the same configuration and steps as those in the other embodiments, and the duplicated description in the present embodiment will be omitted (others The same applies to the embodiment).

本実施形態において新たに加わった未完了パターン集約部25は、複数の未完了パターンを一つの未完了パターンに集約する処理を行う。なお、実施形態に係る情報処理装置10は、実施形態1に係る情報処理装置1と同様の処理を行い、さらにログ集約部25が上記集約する処理を行う。なお、未完了パターン集約部25は、図8においてステップS201のパターン比較処理の前に上記集約する処理を実行する。   The uncompleted pattern aggregating unit 25 newly added in the present embodiment performs processing of aggregating a plurality of uncompleted patterns into one uncompleted pattern. Note that the information processing apparatus 10 according to the embodiment performs the same process as the information processing apparatus 1 according to the first embodiment, and the log aggregation unit 25 further performs the above-described aggregation process. The uncompleted pattern aggregation unit 25 executes the above-described aggregation processing before the pattern comparison processing of step S201 in FIG.

図14は上述した未完了パターン集約部25が行う未完了パターン集約処理を示すフローチャートである。   FIG. 14 is a flowchart showing the uncompleted pattern aggregation process performed by the uncompleted pattern aggregation unit 25 described above.

まず、未完了パターン集約部25は、送信された未完了パターンに含まれる先頭のレコードの時刻を未完了パターンの先頭時刻として記録する(ステップS601)。次に、未完了パターン集約部25は、未完了パターンに含まれる最後尾のレコードの時刻から一定時間経過した時刻を終了時刻として記録する(ステップS602)。例示的に未完了パターンの先頭時刻をxとし、未完了パターンの終了時刻をyとする。ここで一定時間は、例えば、パターン生成時に各パターンの完了する平均時間や、最長時間を使用してもよい。また、未完了パターン集約部25は、次の未完了パターンの先頭時刻を記録する(ステップS603)。ここでは例示的に次の未完了パターンの先頭時刻をzとする。そして、未完了パターン集約部25は、次の未完了パターンの先頭時刻(z)と、未完了パターンの先頭時刻(x)と、未完了パターンの終了時刻(y)とを比較する。具体的には、次の未完了パターンの先頭時刻が、未完了パターンの時刻より後ろにあり、かつ次の未完了パターンの先頭時刻が、未完了パターンの終了時刻より前にあるかどうか、つまりx<z<yとなるかどうか判定する(ステップS604)。x<z<yとならない場合、ステップS606へ進む。一方で、x<z<yとなる場合、未完了パターン集約部25は、最初の未完了パターンと、次の未完了パターンを集約する(ステップS605)集約の処理は図15を用いて詳細に説明する。   First, the uncompleted pattern aggregating unit 25 records the time of the first record included in the transmitted uncompleted pattern as the leading time of the uncompleted pattern (step S601). Next, the uncompleted pattern aggregation unit 25 records, as the end time, a time when a predetermined time has elapsed from the time of the last record included in the uncompleted pattern (step S602). For example, let x be the start time of the uncompleted pattern and y be the end time of the uncompleted pattern. Here, the fixed time may be, for example, the average time of completion of each pattern or the longest time at the time of pattern generation. Further, the uncompleted pattern aggregation unit 25 records the leading time of the next uncompleted pattern (step S603). Here, for example, the leading time of the next incomplete pattern is assumed to be z. Then, the uncompleted pattern aggregation unit 25 compares the start time (z) of the next uncompleted pattern, the start time (x) of the uncompleted pattern, and the end time (y) of the uncompleted pattern. Specifically, whether the start time of the next uncompleted pattern is behind the time of the uncompleted pattern and the start time of the next uncompleted pattern is before the end time of the uncompleted pattern, that is, It is determined whether x <z <y (step S604). If x <z <y does not hold, the process proceeds to step S606. On the other hand, if x <z <y, the uncompleted pattern aggregating unit 25 aggregates the first uncompleted pattern and the next uncompleted pattern (step S605). The process of aggregation is detailed using FIG. explain.

図15は、集約する未完了パターン及び集約した未完了パターンを例示的に示した概念図である。   FIG. 15 is a conceptual diagram exemplarily showing an incomplete pattern to be aggregated and an aggregated incomplete pattern.

ここでは、未完了パターン201と未完了パターン202とを集約する。また、終了時刻を算出するために用いる一定時刻を15秒と設定する。もちろん一定時刻は、この数字に限定されることはない。   Here, the uncompleted pattern 201 and the uncompleted pattern 202 are aggregated. Also, the fixed time used to calculate the end time is set to 15 seconds. Of course, the fixed time is not limited to this number.

まず、未完了パターン201の先頭時刻は、14:00:00であり、最後尾のレコード時刻は14:00:03であるため、ここから算出される終了時刻は、14:00:18となる。ここで未完了パターン202の先頭時刻は、14:00:08であるため、未完了パターン201の先頭時刻から終了時刻の間に含まれるため、未完了パターン201及び未完了パターン202は集約される。そして集約された未完了パターン204となる。また、例えば、未完了パターン201と未完了パターン203とを集約しようとした場合、未完了パターン203の先頭時刻は、14:00:34であるため、未完了パターン201の先頭時刻と終了時刻との間には含まれず、集約することはできない。   First, since the start time of the uncompleted pattern 201 is 14:00:00 and the last record time is 14:00:03, the end time calculated from this is 14:00:18. . Here, since the start time of the uncompleted pattern 202 is 14:00:08, it is included between the start time and the end time of the uncompleted pattern 201, so the uncompleted pattern 201 and the uncompleted pattern 202 are aggregated. . Then, the uncompleted patterns 204 are aggregated. Also, for example, when trying to combine the uncompleted pattern 201 and the uncompleted pattern 203, since the start time of the uncompleted pattern 203 is 14:00:34, the start time and the end time of the uncompleted pattern 201 Not included and can not be aggregated.

そして、未完了パターン集約部25は、すべての未完了パターンについて処理をしたかどうか判定する(ステップS606)。すべての未完了パターンを処理していない場合、ステップS601へ進み、すべての未完了パターンを処理した場合、処理を終了する。なお、上述した未完了パターン集約処理以外に情報処理装置10が行う処理については、図3−図12を用いて説明した本発明の第1実施形態に係る情報処理装置1と同様であるため、本実施形態における説明を省略する。   Then, the uncompleted pattern aggregation unit 25 determines whether or not all uncompleted patterns have been processed (step S606). If all the uncompleted patterns have not been processed, the process advances to step S601. If all uncompleted patterns have been processed, the process ends. The processes performed by the information processing apparatus 10 in addition to the above-described incomplete pattern aggregation process are the same as the information processing apparatus 1 according to the first embodiment of the present invention described with reference to FIGS. The description in the present embodiment is omitted.

上記説明した動作によって、モジュール関連付け処理の前に、予め未完了パターンを集約することで、モジュール関連付け処理に掛かる工数を削減することができる。   By collecting the uncompleted patterns in advance before the module association processing according to the above-described operation, it is possible to reduce the number of steps for the module association processing.

<第3実施形態>
図16は、本発明の第3実施形態に係る情報処理装置20の構成を示すブロック図である。
Third Embodiment
FIG. 16 is a block diagram showing the configuration of the information processing apparatus 20 according to the third embodiment of the present invention.

情報処理装置20は、パターン生成部4と、ID付与部21と、ログ判定部22と、パターン比較部23と、モジュール関連付け部24とモジュール情報記憶部33とを含む。モジュール情報記憶部33はモジュール情報一覧331を含む。本実施形態は、第1実施形態とは異なり、ログ記憶部6と、正常ログ記憶部31と、異常ログ記憶部32と、モジュール情報記憶部33と、パターン記憶部34とを含まない構成となっている。   The information processing apparatus 20 includes a pattern generation unit 4, an ID assignment unit 21, a log determination unit 22, a pattern comparison unit 23, a module association unit 24 and a module information storage unit 33. The module information storage unit 33 includes a module information list 331. The present embodiment differs from the first embodiment in that the configuration does not include the log storage unit 6, the normal log storage unit 31, the abnormality log storage unit 32, the module information storage unit 33, and the pattern storage unit 34. It has become.

図17は、本発明の第3実施形態に係る情報処理装置20が行う動作を示すフローチャートである。以下、図16を用いて第3実施形態に係る情報処理装置20の動作を具体的に説明する。   FIG. 17 is a flowchart showing an operation performed by the information processing apparatus 20 according to the third embodiment of the present invention. The operation of the information processing apparatus 20 according to the third embodiment will be specifically described below with reference to FIG.

まず、ID付与部21はログを読み込み(ステップS701)、読み込んだログの各レコードに対応するレコードIDを付与する(ステップS702)。例えば、ID付与部21は、クラスタリングの手法であるK平均法など公知の方法を使用することによって、付与するべきレコードIDを生成する。レコードIDは、レコードごとに付与される。さらに、ID付与部21は、各レコードに、モジュールIDを付与する(ステップS703)。付与されるモジュールIDは、例えば、ログのファイル名や、SyslogのFacilityのように各レコードに存在するログの種類の識別子を用いてもよい。どのような基準でモジュールを設定し、モジュールIDを付与するかは、当業者において適宜選択できる。そして、ID付与部21は、レコードIDとモジュールIDが付与されたログをログ判定部22に送信し、レコードIDとモジュールIDとの対応関係をモジュール情報一覧331として、モジュール情報記憶部33に送信し、そこに格納する(ステップS704)。   First, the ID assigning unit 21 reads a log (step S701), and assigns a record ID corresponding to each record of the read log (step S702). For example, the ID assigning unit 21 generates a record ID to be assigned by using a known method such as the K-means method, which is a method of clustering. Record ID is given for each record. Furthermore, the ID assigning unit 21 assigns a module ID to each record (step S703). The module ID to be assigned may be, for example, a file name of a log, or an identifier of a type of log existing in each record, such as a facility of Syslog. Those skilled in the art can appropriately select based on what criteria the module is set and the module ID is given. Then, the ID assigning unit 21 transmits the log to which the record ID and the module ID are assigned to the log determination unit 22, and transmits the correspondence between the record ID and the module ID to the module information storage unit 33 as the module information list 331. And store it there (step S704).

次に、ログ判定部22にログが入力されると、ログ判定部22は入力されたログが、正常かどうか判定する(ステップS705)。たとえば、国際公開第2014/196129号(特許文献7)に記載された発明により、その判定が実施されてもよい。入力されたログが正常でない場合、ログ判定部22は、入力されたログを異常ログと判定し、異常ログをパターン比較部23に送信する(ステップS706)。そして処理はステップS709へ進む。   Next, when a log is input to the log determination unit 22, the log determination unit 22 determines whether the input log is normal (step S705). For example, the determination may be performed according to the invention described in WO 2014/196129 (Patent Document 7). If the input log is not normal, the log determination unit 22 determines that the input log is an abnormality log, and transmits an abnormality log to the pattern comparison unit 23 (step S706). Then, the process proceeds to step S709.

一方で、入力されたログが正常である場合、ログ判定部22は、入力されたログを正常ログと判定し、正常ログをパターン生成部4に送信する(ステップS707)。パターン生成部4は、送信された正常ログに含まれる各レコードIDの出現順序を、パターンとして生成する(ステップS708)。なお、パターンの生成手法としては、例えば、Aprioriやバックトラック法等の公知のアルゴリズムを使用し、パターンを生成してもよい。そして、ID付与部21は、すべてのログの読み込みをしたかどうか判定する(ステップS709)。すべてのログの読み込みをしていない場合、ステップS701へ進み、すべてのログの読み込みをした場合、後述する処理Cへ進む。例えば、ID付与部21は、一定時間ログが入力されないことを検知し、処理Cへ進んでもよい。   On the other hand, if the input log is normal, the log determination unit 22 determines that the input log is a normal log, and transmits a normal log to the pattern generation unit 4 (step S707). The pattern generation unit 4 generates an appearance order of each record ID included in the transmitted normal log as a pattern (step S 708). Note that, as a method of generating a pattern, for example, a known algorithm such as Apriori or backtrack method may be used to generate a pattern. Then, the ID assigning unit 21 determines whether all the logs have been read (step S709). If all the logs have not been read, the process proceeds to step S701. If all the logs have been read, the process proceeds to process C described later. For example, the ID assigning unit 21 may detect that a log is not input for a certain period of time, and may proceed to processing C.

以上説明した動作によって、ID付与部21がレコードID及びモジュールIDを付与し、モジュール情報一覧を生成することで、レコードIDとモジュールIDの対応関係が明確になり、ログ判定部22が、異常ログ及び正常ログの識別を行うことによって、パターン生成部4が正常ログに基づきパターンを生成することができる。   By the operation described above, the ID assigning unit 21 assigns the record ID and the module ID, and the module information list is generated, so that the correspondence between the record ID and the module ID becomes clear, and the log judging unit 22 obtains the abnormality log. By identifying the normal log, the pattern generation unit 4 can generate a pattern based on the normal log.

図18は、上述した処理Cのフローチャートを表す。   FIG. 18 shows a flowchart of the process C described above.

まず、パターン比較部23は、送信された異常ログと完全に一致するパターンがあるかどうか判定する(ステップS801)。送信された異常ログと完全に一致するパターンがある場合、ステップS805へ進む。   First, the pattern comparison unit 23 determines whether there is a pattern that completely matches the transmitted abnormality log (step S801). If there is a pattern that completely matches the sent abnormal log, the process proceeds to step S805.

一方で、送信された異常ログと完全に一致するパターンがない場合、パターン比較部23は、異常ログと部分的に一致するパターンがあるかどうか判定する(ステップS802)。送信された異常ログと部分的に一致するパターンがある場合、パターン比較部23は、送信された異常ログのうちのパターンに一致しているレコードを未完了パターンとして、モジュール関連付け部24へ送信し、パターンに一致していないレコードを、不一致レコードとしてモジュール関連付け部24へ送信する(ステップS803)。送信された異常ログがパターンと部分的に一致していない場合、パターン比較部23は、不一致レコードとしてモジュール関連付け部24へ送信する(ステップS804)。そして、パターン比較部23は、異常ログがすべて処理されたかどうか判定する(ステップS805)。異常ログがすべて処理されていない場合、ステップS801へ進み、異常ログがすべて処理された場合、ステップS806へ進む。また、パターン比較部23は、例えば、一定時間異常ログが送信されない場合、ステップS806へ進んでもよい。そして、モジュール関連付け部24は、モジュール関連付け処理を行う(ステップS806)。この処理は後述する。   On the other hand, if there is no pattern that completely matches the transmitted abnormality log, the pattern comparison unit 23 determines whether there is a pattern that partially matches the abnormality log (step S802). If there is a pattern that partially matches the transmitted abnormality log, the pattern comparison unit 23 transmits the record matching the pattern in the transmitted abnormality log to the module association unit 24 as an uncompleted pattern. The record not matching the pattern is transmitted to the module associating unit 24 as a non-matching record (step S 803). If the transmitted abnormality log does not partially match the pattern, the pattern comparison unit 23 transmits the nonconformity record to the module association unit 24 (step S804). Then, the pattern comparison unit 23 determines whether all the abnormal logs have been processed (step S805). If all the anomaly logs are not processed, the process proceeds to step S801. If all the anomaly logs are processed, the process proceeds to step S806. In addition, for example, when the abnormality log is not transmitted for a fixed time, the pattern comparison unit 23 may proceed to step S806. Then, the module association unit 24 performs module association processing (step S806). This process will be described later.

以上説明した動作によって、パターン比較部23は、異常ログを一致パターンと、未完了パターンと、不一致レコードとに分類することができる。   By the operation described above, the pattern comparison unit 23 can classify the abnormality log into the matching pattern, the incomplete pattern, and the non-matching record.

図19は前述したモジュール関連付け部24が行うモジュール関連付け処理を示すフローチャートである。   FIG. 19 is a flowchart showing module association processing performed by the module association unit 24 described above.

まず、モジュール関連付け部24は、送信された未完了パターンの先頭のレコードの時刻をこの未完了パターンの先頭時刻として記録する(ステップS901)。次に、未完了パターンに含まれる最後尾のレコードの時刻から一定時間経過した時刻を終了時刻として記録する(ステップS902)。例示的に未完了パターンの先頭時刻は、αとし、未完了パターンの終了時刻はβとする。ここで一定時間は、例えば、パターン生成時に各パターンの完了する平均時間や、最長時間を使用してもよい。また、モジュール関連付け部24は、未完了パターンの各レコードのモジュールIDを取得し(ステップ903)、取得したモジュールIDがモジュール情報一覧331に登録されているかどうか判定する(ステップS904)。取得したモジュールIDがモジュール情報一覧331に登録されている場合、ステップS906へ進む。   First, the module associating unit 24 records the time of the first record of the transmitted uncompleted pattern as the leading time of the uncompleted pattern (step S901). Next, the time when a predetermined time has elapsed since the time of the last record included in the uncompleted pattern is recorded as the end time (step S902). For example, the start time of the uncompleted pattern is α, and the end time of the uncompleted pattern is β. Here, the fixed time may be, for example, the average time of completion of each pattern or the longest time at the time of pattern generation. Also, the module associating unit 24 acquires the module ID of each record of the uncompleted pattern (step 903), and determines whether the acquired module ID is registered in the module information list 331 (step S904). If the acquired module ID is registered in the module information list 331, the process proceeds to step S906.

一方で、取得したモジュールIDがモジュール情報一覧331に登録されていない場合、モジュール関連付け部24は、取得したモジュールIDをモジュール情報一覧331に登録する(ステップS905)。そして、モジュール関連付け部24は、すべての未完了パターンの一致レコードを処理したかどうか判定する(ステップS906)。すべての未完了パターンの一致レコードを処理している場合、処理Dへ進み、すべての未完了パターンの一致レコードを処理していない場合、ステップS903へ進む。   On the other hand, when the acquired module ID is not registered in the module information list 331, the module associating unit 24 registers the acquired module ID in the module information list 331 (step S905). Then, the module associating unit 24 determines whether all the uncompleted pattern matching records have been processed (step S906). If all uncompleted pattern matching records have been processed, the process proceeds to processing D. If all uncompleted pattern matching records have not been processed, the process proceeds to step S 903.

以上説明した動作によって、すべての未完了パターンの先頭時刻と終了時刻を記憶し、未完了パターンの各レコードのモジュールIDがモジュール情報一覧に登録されているかどうか確認することができる。   By the operation described above, it is possible to store the start time and end time of all uncompleted patterns, and to confirm whether the module ID of each record of uncompleted patterns is registered in the module information list.

図20は、上述したモジュール関連付け部24が行う処理Dのフローチャートである。   FIG. 20 is a flowchart of the process D performed by the module association unit 24 described above.

まず、モジュール関連付け部24は、不一致レコードの時刻を記録する(ステップS1001)。ここでは例示的に不一致レコードの時刻をγとする。そして、モジュール関連付け部24は、不一致レコードの時刻(γ)と、未完了パターンの先頭時刻(α)と、未完了パターンの終了時刻(β)とを比較する。具体的には、未完了パターンの先頭時刻が、不一致レコードの時刻より前にあり、かつ未完了パターンの終了時刻が、不一致レコードの時刻より後にある未完了パターンが存在するかどうか、つまりα<γ<βとなる未完了パターンが存在するかどうか判定する(ステップS1002)。α<γ<βとなる未完了パターンが存在しない場合、ステップS1007へ進む。   First, the module associating unit 24 records the time of the unmatched record (step S1001). Here, as an example, the time of the unmatched record is γ. Then, the module associating unit 24 compares the time (γ) of the unmatched record, the start time (α) of the uncompleted pattern, and the end time (β) of the uncompleted pattern. Specifically, whether there is an uncompleted pattern in which the start time of the uncompleted pattern is earlier than the time of the unmatched record and the end time of the uncompleted pattern is later than the time of the unmatched record; It is determined whether there is an uncompleted pattern such that γ <β (step S1002). If there is no uncompleted pattern in which α <γ <β, the process advances to step S1007.

一方で、α<γ<βとなる未完了パターンが存在する場合、モジュール関連付け部24は、不一致レコードのモジュールIDを取得する(ステップS1003)。そして、モジュール関連付け部24は、取得したモジュールIDが、モジュール情報一覧331に登録されているかどうか判定する(ステップS1004)。取得したモジュールIDがモジュール情報一覧331に登録されていない場合、モジュール関連付け部24は、取得したモジュールIDを、異常メッセージとして送信する(ステップS1005)。取得したモジュールIDがモジュールID一覧171に登録されている場合、モジュール関連付け部24は、取得したモジュールIDを、関連メッセージとして送信する(ステップS1006)。   On the other hand, when there is an uncompleted pattern in which α <γ <β, the module associating unit 24 acquires the module ID of the unmatched record (step S1003). Then, the module associating unit 24 determines whether the acquired module ID is registered in the module information list 331 (step S1004). If the acquired module ID is not registered in the module information list 331, the module associating unit 24 transmits the acquired module ID as an abnormality message (step S1005). When the acquired module ID is registered in the module ID list 171, the module associating unit 24 transmits the acquired module ID as a related message (step S1006).

さらに、モジュール関連付け部24は、すべての不一致レコードを処理したかどうかを判定する(ステップS1007)。すべての不一致レコードを処理していない場合、ステップS1001へ進み、すべての不一致レコードを処理した場合は、ステップS1008へ進む。そして、モジュール関連付け部24は、すべての未完了パターンを処理したかどうか判定する(ステップS1008)。すべての未完了パターンを処理していない場合、処理Eへ進む。一方で、すべての未完了パターンを処理している場合、処理を終了する。モジュール関連付け部24は、例えば、一定時間未完了パターンが送信されない場合、処理を終了してもよい。   Furthermore, the module associating unit 24 determines whether all the unmatched records have been processed (step S1007). If all unmatched records have not been processed, the process advances to step S1001. If all unmatched records have been processed, the process advances to step S1008. Then, the module associating unit 24 determines whether all uncompleted patterns have been processed (step S1008). If all uncompleted patterns have not been processed, the process proceeds to process E. On the other hand, if all uncompleted patterns have been processed, the processing is ended. The module associating unit 24 may end the process, for example, when the incomplete pattern is not transmitted for a predetermined time.

以上、説明した動作によって、未完了パターンに含まれる不一致レコードのモジュールIDがモジュール一覧に登録されているか否かで、関連メッセージと、異常メッセージとに分けることで、未完了パターンに含まれる不一致レコードが、どのモジュールと関連しているのか、または関連していないのかがわかる。つまり、異常ログについての分析を行うことができる。   As described above, according to the operation described above, the nonconforming record is included in the incomplete pattern by dividing it into the related message and the abnormal message depending on whether the module ID of the nonconforming record included in the incomplete pattern is registered in the module list. But which module it is associated with or not. That is, analysis on the abnormal log can be performed.

<第4実施形態>
図21は、本発明の第4実施形態に係る情報処理装置30の構成を示すブロック図である。
Fourth Embodiment
FIG. 21 is a block diagram showing the configuration of an information processing apparatus 30 according to the fourth embodiment of the present invention.

なお、本実施形態に係る情報処理装置30の構成は、その他の実施形態の基本的な構成に対応する。   The configuration of the information processing apparatus 30 according to the present embodiment corresponds to the basic configuration of the other embodiments.

情報処理装置30は、ログ読み込み部301と、ログ分類部302とを備える。なお、第1乃至第3の実施形態におけるID付与部21及びログ判定部22の代わりに、ログ読み込み部301が使用される。また、第1乃至第3の実施形態のパターン生成部4と、パターン比較部23及びモジュール関連付け部24の代わりに、ログ分類部302が使用される。   The information processing apparatus 30 includes a log reading unit 301 and a log classification unit 302. A log reading unit 301 is used instead of the ID assigning unit 21 and the log determining unit 22 in the first to third embodiments. Also, instead of the pattern generation unit 4 of the first to third embodiments, the pattern comparison unit 23 and the module association unit 24, a log classification unit 302 is used.

ログ読み込み部301は、情報処理装置30での情報処理の過程で発生するデータ及び命令を含むログを読み込む。そして読み込んだログが正常である場合、ログ読み込み部301は、正常ログとしてログ分類部302へ送信し、読み込んだログが正常でない場合、異常ログとしてログ分類部302へ送信する。   The log reading unit 301 reads a log including data and an instruction generated in the process of information processing in the information processing apparatus 30. When the read log is normal, the log reading unit 301 transmits the log as a normal log to the log classification unit 302, and when the read log is not normal, the log reading unit 301 transmits the log as an abnormal log to the log classification unit 302.

ログ分類部302は、正常ログに基づいてログに含まれるレコードの出現順序のパターンと、異常ログを比較する。比較の結果、パターンと部分的に一致している場合、ログ分類部302は、パターンと部分的に一致しているレコードを未完了パターンに分類し、パターンと一致しない場合、異常ログを不一致レコードに分類する。そして、ログ分類部302は、未完了パターンと不一致レコードの分析を行う。   The log classification unit 302 compares the pattern of the appearance order of the records included in the log with the abnormal log based on the normal log. As a result of comparison, if the pattern partially matches, the log classification unit 302 classifies the record partially matching the pattern as an incomplete pattern, and if the pattern does not match the pattern, the abnormal log is a nonmatching record Classified into Then, the log classification unit 302 analyzes the uncompleted pattern and the unmatched record.

上述した動作によって、ログを正常ログまたは、異常ログに分類し、正常ログに基づいたパターンによって、異常ログを未完了パターンまたは不一致レコードに分類し、異常ログの分析を行うことで、相関解析や類似度マッチングを用いた分析を行うことなく、異常ログを分析することができる。   By classifying the log as a normal log or an abnormal log by the above-mentioned operation, and classifying the abnormal log as an incomplete pattern or unmatched record by a pattern based on the normal log and performing analysis of the abnormal log, correlation analysis or Anomaly logs can be analyzed without analysis using similarity matching.

<第5実施形態>
図22は、本発明の第5実施形態に係る情報処理装置40の構成を示すブロック図である。
Fifth Embodiment
FIG. 22 is a block diagram showing the configuration of an information processing apparatus 40 according to the fifth embodiment of the present invention.

情報処理装置40は、ログ読み込み部301と、ログ分類部302と、パターン記憶部34を備える。パターン記憶部34は、パターン一覧341を含む。   The information processing apparatus 40 includes a log reading unit 301, a log classification unit 302, and a pattern storage unit 34. The pattern storage unit 34 includes a pattern list 341.

ログ読み込み部301は、情報処理装置30での情報処理の過程で発生するデータ及び命令を含むログを読み込む。そして読み込んだログが正常である場合、ログ読み込み部301は、正常ログとしてログ分類部302へ送信し、読み込んだログが正常でない場合、異常ログとしてログ分類部302へ送信する。   The log reading unit 301 reads a log including data and an instruction generated in the process of information processing in the information processing apparatus 30. When the read log is normal, the log reading unit 301 transmits the log as a normal log to the log classification unit 302, and when the read log is not normal, the log reading unit 301 transmits the log as an abnormal log to the log classification unit 302.

ログ分類部302は、正常ログに基づいてログに含まれるレコードの出現順序をパターンとして生成し、生成されたパターンをパターン一覧341としてパターン記憶部34に格納する。そして、ログ分類部302は、生成されたパターンと異常ログを比較する。比較の結果、パターンと部分的に一致している場合、ログ分類部302は、パターンと部分的に一致しているレコードを未完了パターンに分類し、パターンと一致しない場合、異常ログを不一致レコードに分類する。そして、ログ分類部302は、未完了パターンと不一致レコードの分析を行う。   The log classification unit 302 generates the appearance order of the records included in the log as a pattern based on the normal log, and stores the generated pattern as a pattern list 341 in the pattern storage unit 34. Then, the log classification unit 302 compares the generated pattern with the abnormality log. As a result of comparison, if the pattern partially matches, the log classification unit 302 classifies the record partially matching the pattern as an incomplete pattern, and if the pattern does not match the pattern, the abnormal log is a nonmatching record Classified into Then, the log classification unit 302 analyzes the uncompleted pattern and the unmatched record.

以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。   Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. The configurations and details of the present invention can be modified in various ways that can be understood by those skilled in the art within the scope of the present invention.

1 情報処理装置
2 制御部
3 記憶部
4 パターン生成部
5 表示装置
6 ログ記憶部
10 情報処理装置
20 情報処理装置
30 情報処理装置
21 ID付与部
22 ログ判定部
23 パターン比較部
24 モジュール関連付け部
25 未完了パターン集約部
31 正常ログ記憶部
32 異常ログ記憶部
33 モジュール情報記憶部
34 パターン記憶部
61 CPU
62 ROM
63 RAM
64 ネットワークインタフェース
65 記憶装置
66 入力装置
67 出力装置
201 未完了パターン
202 未完了パターン
203 未完了パターン
204 集約された未完了パターン
301 ログ読み込み部
302 ログ分類部
311 正常ログ一覧
321 異常ログ一覧
331 モジュール情報一覧
341 パターン一覧
Reference Signs List 1 information processing device 2 control unit 3 storage unit 4 pattern generation unit 5 display device 6 log storage unit 10 information processing device 20 information processing device 30 information processing device 21 ID assignment unit 22 log determination unit 23 pattern comparison unit 24 module association unit 25 Uncompleted pattern aggregation unit 31 Normal log storage unit 32 Abnormality log storage unit 33 Module information storage unit 34 Pattern storage unit 61 CPU
62 ROM
63 RAM
64 Network interface 65 Storage device 66 Input device 67 Output device 201 Incomplete pattern 202 Incomplete pattern 203 Incomplete pattern 204 Incomplete pattern collected 301 Log reading part 302 Log classification part 311 Normal log list 321 Abnormal log list 331 Module information List 341 List of patterns

Claims (10)

レコードが含まれるログを読み込み、前記ログを正常なログであると判定した場合、前記ログを正常ログとして送信し、前記ログを正常なログでないと判定した場合、前記ログを異常ログとして送信するログ読み込み手段と、
前記正常ログに含まれるレコードの出現順序であるパターンと、前記異常ログとを比較し、前記異常ログが前記パターンと部分的に一致している場合、前記パターンと部分的に一致しているレコードを未完了パターンに、前記パターンと一致していないレコードを不一致レコードに分類し、前記異常ログが前記パターンと部分的にも一致していない場合、前記異常ログを不一致レコードに分類し、前記未完了パターン及び前記不一致レコードの分析を行うログ分類手段と
を備える情報処理装置。
If a log including a record is read and it is determined that the log is a normal log, the log is transmitted as a normal log, and if it is determined that the log is not a normal log, the log is transmitted as an abnormal log Log reading means,
A pattern is the appearance order of the records contained in the normal log, said comparing the error log, if the abnormality log is coincident with said pattern portion, said pattern partially coincident with that record Are classified into uncompleted patterns, and records which do not match the pattern are classified into unmatched records, and the abnormal log is classified into unmatched records if the abnormal log does not partially match the pattern, An information processing apparatus, comprising: a log classification unit that analyzes a completion pattern and the unmatched record.
前記ログは、前記ログに含まれるレコードに対応する時刻を含み、
前記ログ読み込み手段は
前記ログを読み込んだ時に、前記ログに含まれるレコードに対し、レコードID及び前記ログの種類に対応するモジュールIDを付与するID付与手段を備える
ことを特徴とする請求項1に記載の情報処理装置。
The log includes a time corresponding to a record included in the log,
The log reading means includes an ID assigning means for assigning a record ID and a module ID corresponding to the type of the log to the record included in the log when the log is read. Information processor as described.
前記レコードID及び前記モジュールIDとの対応関係を示すモジュール情報一覧を格納する記憶手段を備え、
前記記憶手段は、
前記正常ログの一覧である正常ログ一覧と、前記異常ログの一覧である異常ログ一覧と、前記パターンを格納する
ことを特徴とする請求項2に記載の情報処理装置。
A storage unit that stores a module information list indicating a correspondence between the record ID and the module ID;
The storage means is
The information processing apparatus according to claim 2, wherein a normal log list that is a list of the normal logs, an abnormal log list that is a list of the abnormal logs, and the pattern are stored.
前記ログ分類手段は、
前記未完了パターンに含まれる先頭のレコードの時刻を未完了パターンの先頭時刻として記録し、前記未完了パターンの最後尾のレコードの時刻から一定時刻経過した時刻を未完了パターンの終了時刻として記録し、前記未完了パターンに含まれるレコードのモジュールIDが前記モジュール情報一覧に登録されていない場合、前記未完了パターンに含まれるレコードのモジュールIDを、前記モジュール情報一覧に登録する
ことを特徴とする請求項3に記載の情報処理装置。
The log classification unit
The time of the first record included in the uncompleted pattern is recorded as the beginning time of the uncompleted pattern, and the time when a certain time has elapsed from the time of the last record of the uncompleted pattern is recorded as the end time of the uncompleted pattern When the module ID of the record included in the uncompleted pattern is not registered in the module information list, the module ID of the record included in the uncompleted pattern is registered in the module information list. The information processing apparatus according to Item 3.
前記ログ分類手段は、
前記不一致レコードの時刻を取得し、前記不一致レコードの時刻が、前記未完了パターンの先頭時刻と前記未完了パターンの終了時刻との間に存在する場合、前記不一致レコードのモジュールIDを取得し、前記不一致レコードのモジュールIDが前記モジュール情報一覧に登録されている場合、前記不一致レコードを関連メッセージとして出力し、前記不一致レコードのモジュールIDが前記モジュール情報一覧に登録されていない場合、前記不一致レコードを異常メッセージとして出力する
ことを特徴とする請求項4に記載の情報処理装置
The log classification unit
When the time of the unmatched record is acquired, and the time of the unmatched record exists between the start time of the uncompleted pattern and the end time of the uncompleted pattern, the module ID of the unmatched record is acquired, When the module ID of the unmatched record is registered in the module information list, the unmatched record is output as a related message, and when the module ID of the unmatched record is not registered in the module information list, the unmatched record is abnormal The information processing apparatus according to claim 4, which outputs as a message.
他方の未完了パターンの先頭時刻が、一方の未完了パターンの先頭時刻と終了時刻との間に存在する場合、前記一方の未完了パターンと前記他方の未完了パターンを集約する未完了パターン集約手段を備える
ことを特徴とする請求項5に記載の情報処理装置。
Incomplete pattern aggregating means for aggregating one incomplement pattern and the other incompletion pattern when the start time of the other incompletion pattern exists between the start time and the end time of one incompletion pattern The information processing apparatus according to claim 5, comprising:
前記関連メッセージ及び前記異常メッセージを表示する表示手段を備える
ことを特徴とする請求項6に記載の情報処理装置。
The information processing apparatus according to claim 6, further comprising display means for displaying the related message and the abnormal message.
前記ログ分類手段は、
前記正常ログに含まれるレコードの出現順序である前記パターンを生成する
ことを特徴とする請求項1乃至7のいずれかに記載の情報処理装置。
The log classification unit
The information processing apparatus according to any one of claims 1 to 7 , wherein the pattern which is the appearance order of the records included in the normal log is generated.
レコードが含まれるログを読み込み、前記ログを正常なログであると判定した場合、前記ログを正常ログとして送信し、前記ログを正常なログでないと判定した場合、前記ログを異常ログとして送信し、
前記正常ログに含まれるレコードの出現順序であるパターンと、前記異常ログとを比較し、前記異常ログが前記パターンと部分的に一致している場合、前記パターンと部分的に一致しているレコードを未完了パターンに、前記パターンと一致していないレコードを不一致レコードに分類し、前記異常ログが前記パターンと部分的にも一致していない場合、前記異常ログを不一致レコードに分類し、前記未完了パターン及び前記不一致レコードの分析を行う
ことをコンピュータに実行させる情報処理方法。
If a log including a record is read and it is determined that the log is a normal log, the log is transmitted as a normal log, and if it is determined that the log is not a normal log, the log is transmitted as an abnormal log ,
A pattern is the appearance order of the records contained in the normal log, said comparing the error log, if the abnormality log is coincident with said pattern portion, said pattern partially coincident with that record Are classified into uncompleted patterns, and records which do not match the pattern are classified into unmatched records, and the abnormal log is classified into unmatched records if the abnormal log does not partially match the pattern, An information processing method that causes a computer to execute an analysis of a completion pattern and the unmatched record.
レコードが含まれるログを読み込み、前記ログを正常なログであると判定した場合、前記ログを正常ログとして送信し、前記ログを正常なログでないと判定した場合、前記ログを異常ログとして送信し、
前記正常ログに含まれるレコードの出現順序であるパターンと、前記異常ログとを比較し、前記異常ログが前記パターンと部分的に一致している場合、前記パターンと部分的に一致しているレコードを未完了パターンに、前記パターンと一致していないレコードを不一致レコードに分類し、前記異常ログが前記パターンと部分的にも一致していない場合、前記異常ログを不一致レコードに分類し、前記未完了パターン及び前記不一致レコードの分析を行う
ことをコンピュータに実行させる情報処理プログラム。
If a log including a record is read and it is determined that the log is a normal log, the log is transmitted as a normal log, and if it is determined that the log is not a normal log, the log is transmitted as an abnormal log ,
A pattern is the appearance order of the records contained in the normal log, said comparing the error log, if the abnormality log is coincident with said pattern portion, said pattern partially coincident with that record Are classified into uncompleted patterns, and records which do not match the pattern are classified into unmatched records, and the abnormal log is classified into unmatched records if the abnormal log does not partially match the pattern, An information processing program that causes a computer to execute an analysis of a completion pattern and the unmatched record.
JP2015051163A 2015-03-13 2015-03-13 INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM Active JP6547341B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015051163A JP6547341B2 (en) 2015-03-13 2015-03-13 INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015051163A JP6547341B2 (en) 2015-03-13 2015-03-13 INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM

Publications (2)

Publication Number Publication Date
JP2016170713A JP2016170713A (en) 2016-09-23
JP6547341B2 true JP6547341B2 (en) 2019-07-24

Family

ID=56983963

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015051163A Active JP6547341B2 (en) 2015-03-13 2015-03-13 INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM

Country Status (1)

Country Link
JP (1) JP6547341B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6396615B1 (en) * 2018-02-01 2018-09-26 株式会社ソフトギア Information processing program, information processing apparatus, and debugging system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5530897B2 (en) * 2010-10-28 2014-06-25 株式会社日立メディコ Device failure analysis apparatus, device failure analysis method, and device failure analysis program

Also Published As

Publication number Publication date
JP2016170713A (en) 2016-09-23

Similar Documents

Publication Publication Date Title
US10423647B2 (en) Descriptive datacenter state comparison
JP7097195B2 (en) Learning result identification device, learning result identification method, and its program
EP3616066B1 (en) Human-readable, language-independent stack trace summary generation
JP2018045403A (en) Abnormality detection system and abnormality detection method
WO2019142345A1 (en) Security information processing device, information processing method, and recording medium
JP7538272B2 (en) Machine learning model operation management system, operation management method, and computer program
US11741686B2 (en) System and method for processing facility image data
CN108733358A (en) A Spark-based machine learning workflow construction method and device
CN114490692A (en) Data verification method, device, equipment and storage medium
US10346450B2 (en) Automatic datacenter state summarization
JP6888415B2 (en) Information processing equipment and information processing programs
CN114595127B (en) Log exception processing method, device, equipment and storage medium
Gottschalk et al. HapPenIng: happen, predict, infer—event series completion in a knowledge graph
JP6648511B2 (en) Support device, support method, and program
JP6547341B2 (en) INFORMATION PROCESSING APPARATUS, METHOD, AND PROGRAM
JP4383484B2 (en) Message analysis apparatus, control method, and control program
CN120821509A (en) Component configuration method, device, computer equipment and storage medium
CN115714710B (en) Alarm data processing method, device, computer equipment and storage medium
JP2002123516A (en) System and method for evaluating web site and recording medium
JP2023507688A (en) edge table representation of the process
JP2008191849A (en) Operation management apparatus, information processing apparatus, operation management apparatus control method, information processing apparatus control method, and program
Hajer et al. A blockchain integration to support failures prediction from log files in multi-agent systems technology
CN112115045B (en) Failure prediction method for complex software system
CN116795705A (en) Abnormal node determination method and device and computer equipment
CN112948211A (en) Alarm method, device, equipment and medium based on log processing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190528

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190610

R150 Certificate of patent or registration of utility model

Ref document number: 6547341

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150