Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6794909B2 - Message output program, message output method and message output device - Google Patents
[go: Go Back, main page]

JP6794909B2 - Message output program, message output method and message output device - Google Patents

Message output program, message output method and message output device Download PDF

Info

Publication number
JP6794909B2
JP6794909B2 JP2017079499A JP2017079499A JP6794909B2 JP 6794909 B2 JP6794909 B2 JP 6794909B2 JP 2017079499 A JP2017079499 A JP 2017079499A JP 2017079499 A JP2017079499 A JP 2017079499A JP 6794909 B2 JP6794909 B2 JP 6794909B2
Authority
JP
Japan
Prior art keywords
unit
messages
message
word
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017079499A
Other languages
Japanese (ja)
Other versions
JP2018180927A (en
Inventor
幸洋 渡辺
幸洋 渡辺
横山 乾
乾 横山
正洋 麻岡
正洋 麻岡
大塚 浩
浩 大塚
近藤 玲子
玲子 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017079499A priority Critical patent/JP6794909B2/en
Priority to PCT/JP2018/008296 priority patent/WO2018190033A1/en
Publication of JP2018180927A publication Critical patent/JP2018180927A/en
Application granted granted Critical
Publication of JP6794909B2 publication Critical patent/JP6794909B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • G06F16/355Creation or modification of classes or clusters
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Machine Translation (AREA)

Description

本発明は、メッセージを集約する技術に関する。 The present invention relates to a technique for aggregating messages.

或る監視装置は、監視対象のネットワークシステムに含まれるホストから多種多様なイベントに関するメッセージを受け付けて、当該メッセージを表示する。システムの管理者は、表示されたメッセージをチェックして、例えば障害の発生を把握する。 A monitoring device receives a message about a wide variety of events from a host included in the network system to be monitored, and displays the message. The system administrator checks the displayed message to understand, for example, the occurrence of a failure.

監視装置において、同じメッセージを繰り返し受け付けることもある。このような事態を想定して、同一のメッセージに関して2回目以降のメッセージを破棄するフィルタを設ければ、重複するメッセージを排除することができる。 The monitoring device may repeatedly accept the same message. Assuming such a situation, if a filter for discarding the second and subsequent messages for the same message is provided, duplicate messages can be eliminated.

また、一連のメッセージについて規則性があれば、フィルタが所定のルールに基づいて一連のメッセージを一つのメッセージにまとめることもある。これにより、メッセージの数を減らすこともできる。 Also, if there is regularity in a series of messages, the filter may combine the series of messages into one message based on a predetermined rule. This can also reduce the number of messages.

このようなフィルタリングを通過した複数のメッセージが同一事象に起因することがある。但し、同一事象に起因するメッセージは、その内容が同一であるとは限らない。また、同一事象に起因するとしても一連のメッセージとしての規則性を有しているとは限らない。従って、従来のフィルタを用いてもこれらのメッセージはそのまま表示される。そのため、システムの管理者が状況の把握に手間取ることがある。 Multiple messages that have passed such filtering may result from the same event. However, the contents of messages caused by the same event are not always the same. Moreover, even if it is caused by the same event, it does not always have regularity as a series of messages. Therefore, these messages are displayed as they are even if a conventional filter is used. Therefore, the system administrator may have trouble grasping the situation.

特開2013−171471号公報Japanese Unexamined Patent Publication No. 2013-171471

本発明の目的は、一側面では、同一事象に起因する複数メッセージの趣旨を把握し易くすることである。 An object of the present invention is, on the one hand, to make it easier to understand the purpose of a plurality of messages caused by the same event.

一態様に係るメッセージ出力方法は、(A)各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類し、(B)複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定し、(C)共通単語を含むメッセージが集約された第1メッセージを出力する処理を含む。 In the message output method according to one aspect, (A) a plurality of messages identified by each identifier are classified into a plurality of classes which are a set of messages based on the similarity between the messages, and (B) are included in the plurality of messages. This includes a process of identifying a common word in which the number of classes in which the word appears is larger than the standard, and (C) outputting a first message in which messages including the common word are aggregated.

一側面としては、同一事象に起因する複数メッセージの趣旨を把握し易くなる。 On one side, it becomes easier to understand the purpose of multiple messages caused by the same event.

図1は、ネットワーク構成例を示す図である。FIG. 1 is a diagram showing an example of a network configuration. 図2は、監視機器のモジュール構成例を示す図である。FIG. 2 is a diagram showing a module configuration example of the monitoring device. 図3Aは、第1テーブルの例を示す図である。FIG. 3A is a diagram showing an example of the first table. 図3Bは、第1テーブルの例を示す図である。FIG. 3B is a diagram showing an example of the first table. 図3Cは、第1テーブルの例を示す図である。FIG. 3C is a diagram showing an example of the first table. 図3Dは、第1テーブルの例を示す図である。FIG. 3D is a diagram showing an example of the first table. 図3Eは、第1テーブルの例を示す図である。FIG. 3E is a diagram showing an example of the first table. 図4は、リストの例を示す図である。FIG. 4 is a diagram showing an example of a list. 図5Aは、集約部のモジュール構成例を示す図である。FIG. 5A is a diagram showing a module configuration example of the aggregation unit. 図5Bは、集約部のモジュール構成例を示す図である。FIG. 5B is a diagram showing a module configuration example of the aggregation unit. 図6は、メイン処理フローを示す図である。FIG. 6 is a diagram showing a main processing flow. 図7は、集約処理フローを示す図である。FIG. 7 is a diagram showing an aggregation processing flow. 図8は、メッセージ分類処理フローを示す図である。FIG. 8 is a diagram showing a message classification processing flow. 図9は、単語テーブルの例を示す図である。FIG. 9 is a diagram showing an example of a word table. 図10は、単語抽出処理フローを示す図である。FIG. 10 is a diagram showing a word extraction processing flow. 図11は、集計テーブルの例を示す図である。FIG. 11 is a diagram showing an example of a summary table. 図12は、集計処理フローを示す図である。FIG. 12 is a diagram showing an aggregation processing flow. 図13は、重複数テーブルの例を示す図である。FIG. 13 is a diagram showing an example of a multiple table. 図14は、重複数算出処理フローを示す図である。FIG. 14 is a diagram showing a multiple calculation processing flow. 図15は、類似度テーブルの例を示す図である。FIG. 15 is a diagram showing an example of a similarity table. 図16は、類似度算出処理フローを示す図である。FIG. 16 is a diagram showing a similarity calculation processing flow. 図17は、分類テーブルの例を示す図である。FIG. 17 is a diagram showing an example of a classification table. 図18は、同型グループ処理フローを示す図である。FIG. 18 is a diagram showing an isomorphic group processing flow. 図19は、クラステーブルの例を示す図である。FIG. 19 is a diagram showing an example of a class table. 図20Aは、同型グループに係る候補特定処理フローを示す図である。FIG. 20A is a diagram showing a candidate identification processing flow related to the same type group. 図20Bは、同型グループに係る候補特定処理フローを示す図である。FIG. 20B is a diagram showing a candidate identification processing flow related to the same type group. 図21Aは、出現率テーブルの例を示す図である。FIG. 21A is a diagram showing an example of an appearance rate table. 図21Bは、出現率テーブルの例を示す図である。FIG. 21B is a diagram showing an example of an appearance rate table. 図22は、変数判別処理フローを示す図である。FIG. 22 is a diagram showing a variable discrimination processing flow. 図23は、同型グループのレコード追加処理フローを示す図である。FIG. 23 is a diagram showing a record addition processing flow of the same type group. 図24は、共通変数グループ処理フローを示す図である。FIG. 24 is a diagram showing a common variable group processing flow. 図25は、共通単語テーブルの例を示す図である。FIG. 25 is a diagram showing an example of a common word table. 図26は、共通単語特定処理フローを示す図である。FIG. 26 is a diagram showing a common word identification processing flow. 図27は、グループ生成処理フローを示す図である。FIG. 27 is a diagram showing a group generation processing flow. 図28Aは、一次グループテーブルの例を示す図である。FIG. 28A is a diagram showing an example of a primary group table. 図28Bは、一次グループテーブルの例を示す図である。FIG. 28B is a diagram showing an example of a primary group table. 図29は、二次グループテーブルの例を示す図である。FIG. 29 is a diagram showing an example of a secondary group table. 図30は、共通変数グループのレコード追加処理フローを示す図である。FIG. 30 is a diagram showing a record addition processing flow of the common variable group. 図31は、コンピュータの機能ブロック図である。FIG. 31 is a functional block diagram of the computer.

図1に、ネットワーク構成例を示す。この例では、ネットワークにホスト103、DB(DataBase)サーバー105及びDNSサーバー107が接続されている。ネットワークは、例えばLAN(Local Area Network)である。ホスト103は、他のホスト103、DBサーバー105又はDNSサーバー107のサービスを利用することがある。尚、DBサーバー105及びDNSサーバー107もホスト装置の一種である。 FIG. 1 shows an example of a network configuration. In this example, the host 103, the DB (DataBase) server 105, and the DNS server 107 are connected to the network. The network is, for example, a LAN (Local Area Network). The host 103 may use the services of another host 103, the DB server 105, or the DNS server 107. The DB server 105 and the DNS server 107 are also a type of host device.

ネットワークにはさらに監視機器101が接続されている。監視機器101は、ホスト103、DBサーバー105及びDNSサーバー107の状況を監視する。つまり、ホスト103、DBサーバー105及びDNSサーバー107は、監視対象の装置に相当する。具体的には、監視対象の装置においてイベントが発生すると、監視対象の装置はイベントの内容を知らせるメッセージを含むイベント通知を監視機器101に送信する。監視機器101は、受信したイベント通知の内容を表示装置に表示する。管理者は、随時イベント通知の内容をチェックして、監視対象装置の状況を把握する。 A monitoring device 101 is further connected to the network. The monitoring device 101 monitors the status of the host 103, the DB server 105, and the DNS server 107. That is, the host 103, the DB server 105, and the DNS server 107 correspond to the devices to be monitored. Specifically, when an event occurs in the device to be monitored, the device to be monitored sends an event notification including a message notifying the content of the event to the monitoring device 101. The monitoring device 101 displays the content of the received event notification on the display device. The administrator checks the contents of the event notification at any time to grasp the status of the monitored device.

図2に、監視機器101のモジュール構成例を示す。監視機器101は、受信部201、フィルタ203、ルール記憶部205、第1テーブル格納部207、第1判定部209、第1追加部211、集約部213、第2テーブル格納部215、表示処理部217、参照データ記憶部219、受付部221及び第1抽出部223を有する。 FIG. 2 shows a module configuration example of the monitoring device 101. The monitoring device 101 includes a receiving unit 201, a filter 203, a rule storage unit 205, a first table storage unit 207, a first determination unit 209, a first addition unit 211, an aggregation unit 213, a second table storage unit 215, and a display processing unit. It has 217, a reference data storage unit 219, a reception unit 221 and a first extraction unit 223.

受信部201は、イベント通知を受信する。フィルタ203は、受信したイベント通知に対するフィルタリングを行う。ルール記憶部205は、フィルタリングのためのルールを記憶する。第1テーブル格納部207は、第1テーブルを格納する。第1テーブルには、フィルタ203を通過したイベント通知に関する内容が格納される。第1テーブルについては、図3A乃至図3Eを用いて後述する。 The receiving unit 201 receives the event notification. The filter 203 filters the received event notification. The rule storage unit 205 stores rules for filtering. The first table storage unit 207 stores the first table. The first table stores the contents related to the event notification that has passed the filter 203. The first table will be described later with reference to FIGS. 3A to 3E.

第1判定部209は、単位期間内において受信したイベント通知の数が閾値を超えるか否かを判定する。第1追加部211は、単位期間内において受信したイベント通知を第2テーブルに追加する。集約部213は、単位期間内において受信したイベント通知を集約する。第2テーブル格納部215は、第2テーブルを格納する。第2テーブルは、第1テーブルと同様の構成である。但し、第2テーブルは、イベント通知を集約した内容のレコードを含む場合がある。 The first determination unit 209 determines whether or not the number of event notifications received within the unit period exceeds the threshold value. The first addition unit 211 adds the event notification received within the unit period to the second table. The aggregation unit 213 aggregates the event notifications received within the unit period. The second table storage unit 215 stores the second table. The second table has the same configuration as the first table. However, the second table may include records whose contents are aggregated event notifications.

表示処理部217は、第2テーブルに基づいてリストの表示を行う。参照データ記憶部219は、集約対象となったイベント通知の内容を記憶する。受付部221は、集約対象となったイベント通知の内容の照会指示を受け付ける。照会指示を受け付けた場合に、第1抽出部223は、集約対象となったイベント通知を抽出する。第1抽出部223によって抽出されたイベント通知の内容は、表示処理部217によって表示される。尚、表示処理部217は、出力部の例である。出力の形態は、印刷、送信又は記憶媒体への書き込みなどであってもよい。 The display processing unit 217 displays the list based on the second table. The reference data storage unit 219 stores the contents of the event notification to be aggregated. The reception unit 221 receives an inquiry instruction of the content of the event notification to be aggregated. When the inquiry instruction is received, the first extraction unit 223 extracts the event notification to be aggregated. The content of the event notification extracted by the first extraction unit 223 is displayed by the display processing unit 217. The display processing unit 217 is an example of an output unit. The form of output may be printing, transmission, writing to a storage medium, or the like.

上述した受信部201、フィルタ203、第1判定部209、第1追加部211、集約部213、表示処理部217、受付部221及び第1抽出部223は、ハードウエア資源(例えば、図31)と、以下で述べる処理をプロセッサに実行させるプログラムとを用いて実現される。 The above-mentioned receiving unit 201, filter 203, first determination unit 209, first additional unit 211, aggregation unit 213, display processing unit 217, reception unit 221 and first extraction unit 223 are hardware resources (for example, FIG. 31). And a program that causes the processor to execute the processing described below.

上述したルール記憶部205、第1テーブル格納部207、第2テーブル格納部215及び参照データ記憶部219は、ハードウエア資源(例えば、図31)を用いて実現される。 The rule storage unit 205, the first table storage unit 207, the second table storage unit 215, and the reference data storage unit 219 described above are realized by using hardware resources (for example, FIG. 31).

図3A乃至図3Eに、第1テーブルの例を示す。この例における第1テーブルは、フィルタ203を通過したイベント通知に対応するレコードを有している。第1テーブルのレコードは、イベント通知IDが格納されるフィールドと、受信日時が格納されるフィールドと、ホストに関するフィールドと、メッセージが格納されるフィールドとを有している。 3A to 3E show examples of the first table. The first table in this example has records corresponding to event notifications that have passed the filter 203. The record of the first table has a field for storing the event notification ID, a field for storing the reception date and time, a field for the host, and a field for storing the message.

イベント通知IDは、フィルタ203を通過したイベント通知を識別する。受信日時は、イベント通知を受信した時点を特定する。ホストのフィールドには、イベント通知の送信元であるホストの名前が格納される。メッセージは、イベントの内容を表す。図3Aに示した第1テーブルの続きを図3Bに示す。図3Bに示した第1テーブルの続きを図3Cに示す。図3Cに示した第1テーブルの続きを図3Dに示す。図3Dに示した第1テーブルの続きを図3Eに示す。 The event notification ID identifies the event notification that has passed the filter 203. The reception date and time specifies the time when the event notification is received. The host field contains the name of the host that is the source of the event notification. The message represents the content of the event. The continuation of the first table shown in FIG. 3A is shown in FIG. 3B. The continuation of the first table shown in FIG. 3B is shown in FIG. 3C. The continuation of the first table shown in FIG. 3C is shown in FIG. 3D. The continuation of the first table shown in FIG. 3D is shown in FIG. 3E.

図3A乃至図3Eに示した第1テーブルは、2015年10月13日の17時48分44秒から同17時48分47秒に至る3秒間に受信したイベント通知に関するレコードを有している。各レコードは、受信した順にイベント通知に関する内容を格納している。 The first table shown in FIGS. 3A to 3E has a record relating to the event notification received in 3 seconds from 17:48:44 to 17:48:47 on October 13, 2015. .. Each record stores the contents related to the event notification in the order of reception.

イベント通知ID:52132からイベント通知ID:52149までの18個のレコードにおけるメッセージは、「ORD05282」及び「失敗」の単語を含んでいる。これらのレコードは、いずれもホスト名が「ORD05282」であるDBサーバー105の故障に起因するイベントに関する。つまり、これらのレコードに格納されているメッセージは、DBサーバー105の故障という同一事象に起因する。 The messages in the 18 records from event notification ID: 52132 to event notification ID: 52149 include the words "ORD05282" and "failure". All of these records relate to an event caused by a failure of the DB server 105 whose host name is "ORD05282". That is, the messages stored in these records are caused by the same event of failure of the DB server 105.

また、イベント通知ID:52151からイベント通知ID:52166までの16個のレコードにおけるメッセージは、「NT1CF100」「OMSKOBE」及び「FABS5079」などのホスト名に相当する変数以外の部分が共通である。これらのレコードは、いずれもDNSサーバー107の故障に起因するイベントに関する。つまり、これらのレコードに格納されているメッセージは、DNSサーバー107の故障という同一事象に起因する。 Further, the messages in the 16 records from the event notification ID: 52151 to the event notification ID: 52166 have common parts other than the variables corresponding to the host names such as "NT1CF100", "OMSKOBE", and "FABS5079". All of these records relate to events resulting from the failure of DNS server 107. That is, the messages stored in these records are due to the same event of a DNS server 107 failure.

イベント通知ID:52150レコードは、ホスト名「HOST_MVI」のホスト103自身の資源不足に起因するイベントに関する。つまり、このレコードに格納されているメッセージは、他のレコードに格納されているメッセージの場合とは異なる事象に起因する。 The event notification ID: 52150 record relates to an event caused by a resource shortage of the host 103 itself having the host name "HOST_MVI". That is, the message stored in this record is due to a different event than the message stored in other records.

管理者が、短い時間内に受信した多数のイベント通知の関連を把握し、如何なる事象が想定されるかを検討するには時間がかかる。例えば図3A乃至図3Eに示したイベント通知ID:52132からイベント通知ID:52166までのレコードの内容を一斉に表示させると、先に受信したイベント通知の内容がリストから流れ出てしまう。また、多くの類似するメッセージに係るイベント通知にまぎれて、イベント通知ID:52150のメッセージは見落とされ易い。 It takes time for the administrator to understand the relationship between many event notifications received within a short period of time and to consider what kind of event is expected. For example, if the contents of the records from the event notification ID: 52132 to the event notification ID: 52166 shown in FIGS. 3A to 3E are displayed all at once, the contents of the previously received event notification will flow out from the list. In addition, the message with event notification ID: 52150 is easily overlooked among the event notifications related to many similar messages.

図4に、本実施の形態で表示されるリストの例を示す。本実施の形態では、イベント通知ID:52151からイベント通知ID:52166までのレコードのように、変数以外の部分が共通するメッセージに係るイベント通知のグループを特定して、これらのメッセージを集約する。図4に示したリストの第1行は、このグループのイベント通知を集約した内容を示している。イベント通知の項目の「M1」は、当該グループを識別する。受信日時は、このグループのイベント通知を最初に受信した日時を示している。ホストの項目におけるホスト数は、このグループのイベント通知を送信したホストの正味の数である。メッセージの項目には、変数以外の内容と変数の位置を示すコードとが表示される。また、メッセージの項目には、このグループのメッセージが16件あることも示している。 FIG. 4 shows an example of a list displayed in the present embodiment. In the present embodiment, a group of event notifications related to messages having common parts other than variables, such as records from event notification ID: 52151 to event notification ID: 52166, is specified, and these messages are aggregated. The first row of the list shown in FIG. 4 shows the aggregated contents of the event notifications of this group. The event notification item "M1" identifies the group. The reception date and time indicates the date and time when the event notification of this group was first received. The number of hosts in the Hosts section is the net number of hosts that sent event notifications for this group. In the message item, the contents other than the variable and the code indicating the position of the variable are displayed. The message item also shows that there are 16 messages in this group.

更に、本実施の形態では、イベント通知ID:52132からイベント通知ID:52149までのレコードのように、共通の変数(この例では、「ORD05282」)を含むメッセージに係るイベント通知のグループを特定して、これらのメッセージを集約する。図4に示したリストの第3行は、このグループのイベント通知を集約した内容を示している。イベント通知の項目の「W1」は、当該グループを識別する。受信日時は、このグループのイベント通知を最初に受信した日時を示している。ホストの項目におけるホスト数は、このグループのイベント通知を送信したホストの正味の数である。メッセージの項目には、このグループのメッセージには、「ORD05282」及び「失敗」が含まれていることと、このグループのメッセージが18件あることを示している。 Further, in the present embodiment, a group of event notifications related to a message including a common variable (in this example, "ORD05282") such as records from event notification ID: 52132 to event notification ID: 52149 is specified. And aggregate these messages. The third row of the list shown in FIG. 4 shows the aggregated contents of the event notifications of this group. The event notification item "W1" identifies the group. The reception date and time indicates the date and time when the event notification of this group was first received. The number of hosts in the Hosts section is the net number of hosts that sent event notifications for this group. The message item indicates that the messages in this group include "ORD05282" and "failure" and that there are 18 messages in this group.

図4に示したリストの第2行は、上述した2つのグループに属さないID:52150のイベント通知に関する内容を表している。 The second line of the list shown in FIG. 4 shows the contents related to the event notification of ID: 52150 which does not belong to the above-mentioned two groups.

尚、第4行以降には、図3A乃至図3Eに示したイベント通知以前に受信したイベント通知に基づく内容が表されている。この内容については省略する。 The fourth and subsequent lines show the contents based on the event notification received before the event notification shown in FIGS. 3A to 3E. This content will be omitted.

図5A及び図5Bに、集約部213のモジュール構成例を示す。集約部213は、分類部501、第1グループ処理部503、第2グループ処理部505及び第2追加部507を有する。 5A and 5B show a module configuration example of the aggregation unit 213. The aggregation unit 213 has a classification unit 501, a first group processing unit 503, a second group processing unit 505, and a second additional unit 507.

分類部501は、メッセージ分類処理を実行する。メッセージ分類処理については、図8を用いて後述する。分類部501は、第2抽出部511、集計部513、第1算出部515、第2算出部517及びクラスタリング部519を有する。第2抽出部511は、単語抽出処理を実行する。単語抽出処理については、図10を用いて後述する。集計部513は、集計処理を実行する。集計処理については、図12を用いて後述する。第1算出部515は、重複数算出処理を実行する。重複数算出処理については、図14を用いて後述する。第2算出部517は、類似度算出処理を実行する。類似度算出処理については、図16を用いて後述する。クラスタリング部519は、クラスタリング処理を実行する。 The classification unit 501 executes the message classification process. The message classification process will be described later with reference to FIG. The classification unit 501 includes a second extraction unit 511, an aggregation unit 513, a first calculation unit 515, a second calculation unit 517, and a clustering unit 519. The second extraction unit 511 executes the word extraction process. The word extraction process will be described later with reference to FIG. The aggregation unit 513 executes the aggregation process. The aggregation process will be described later with reference to FIG. The first calculation unit 515 executes the multiple calculation process. The multiple calculation process will be described later with reference to FIG. The second calculation unit 517 executes the similarity calculation process. The similarity calculation process will be described later with reference to FIG. The clustering unit 519 executes the clustering process.

第1グループ処理部503は、同型グループ処理を実行する。同型グループ処理については、図18を用いて後述する。第1グループ処理部503は、第1特定部521、判別部523及び第3追加部525を有する。第1特定部521は、同型グループに係る候補特定処理を実行する。同型グループに係る候補特定処理については、図20A及び図20Bを用いて後述する。判別部523は、変数判別処理を実行する。変数判別処理については、図22を用いて後述する。第3追加部525は、同型グループのレコード追加処理を実行する。同型グループのレコード追加処理については、図23を用いて後述する。 The first group processing unit 503 executes the same type group processing. The isomorphic group processing will be described later with reference to FIG. The first group processing unit 503 has a first specific unit 521, a discrimination unit 523, and a third additional unit 525. The first specific unit 521 executes the candidate identification process related to the same type group. The candidate identification process for the same type group will be described later with reference to FIGS. 20A and 20B. The discrimination unit 523 executes the variable discrimination process. The variable discrimination process will be described later with reference to FIG. The third addition unit 525 executes the record addition process of the same type group. The record addition process of the same type group will be described later with reference to FIG.

第2グループ処理部505は、共通変数グループ処理を実行する。共通変数グループ処理については、図24を用いて後述する。第2グループ処理部505は、第2特定部531、生成部533及び第4追加部535を有する。第2特定部531は、共通単語特定処理を実行する。共通単語特定処理については、図26を用いて後述する。生成部533は、グループ生成処理を実行する。グループ生成処理については、図27を用いて後述する。生成部533は、第2判定部537及び統合部539を有する。第2判定部537は、複数の一次グループを統合するか否かを判定する。一次グループについては、後述する。統合部539は、複数の一次グループを統合し、二次グループを生成する。二次グループについては、後述する。第4追加部535は、共通変数グループのレコード追加処理を実行する。共通変数グループのレコード追加処理については、図30を用いて後述する。 The second group processing unit 505 executes common variable group processing. The common variable group processing will be described later with reference to FIG. 24. The second group processing unit 505 has a second specific unit 531 and a generation unit 533 and a fourth additional unit 535. The second specific unit 531 executes the common word identification process. The common word identification process will be described later with reference to FIG. The generation unit 533 executes the group generation process. The group generation process will be described later with reference to FIG. 27. The generation unit 533 has a second determination unit 537 and an integration unit 539. The second determination unit 537 determines whether or not to integrate a plurality of primary groups. The primary group will be described later. The integration unit 539 integrates a plurality of primary groups to generate a secondary group. The secondary group will be described later. The fourth addition unit 535 executes the record addition process of the common variable group. The record addition process of the common variable group will be described later with reference to FIG.

第2追加部507は、同型グループ及び共通変数グループに属していないイベント通知を第2テーブルに追加する。 The second addition unit 507 adds event notifications that do not belong to the isomorphic group and the common variable group to the second table.

上述した分類部501、第1グループ処理部503、第2グループ処理部505及び第2追加部507は、ハードウエア資源(例えば、図31)と、以下で述べる処理をプロセッサに実行させるプログラムとを用いて実現される。同じく第2抽出部511、集計部513、第1算出部515、第2算出部517、クラスタリング部519、第1特定部521、判別部523、第3追加部525、第2特定部531、生成部533、第4追加部535、第2判定部537及び統合部539も、ハードウエア資源(例えば、図31)と、以下で述べる処理をプロセッサに実行させるプログラムとを用いて実現される。 The classification unit 501, the first group processing unit 503, the second group processing unit 505, and the second additional unit 507 described above include hardware resources (for example, FIG. 31) and a program that causes the processor to execute the processing described below. Realized using. Similarly, the second extraction unit 511, the aggregation unit 513, the first calculation unit 515, the second calculation unit 517, the clustering unit 519, the first specific unit 521, the discrimination unit 523, the third additional unit 525, the second specific unit 531 and generation. The unit 533, the fourth additional unit 535, the second determination unit 537, and the integrated unit 539 are also realized by using hardware resources (for example, FIG. 31) and a program that causes the processor to execute the processing described below.

図5Bの説明に移る。集約部213は、更に単語テーブル格納部551、集計テーブル格納部553、重複数テーブル格納部555、類似度テーブル格納部557、分類テーブル格納部559、クラステーブル格納部561、出現率テーブル格納部563、共通単語テーブル格納部565及びグループテーブル格納部567を有する。 The explanation will move to FIG. 5B. The aggregation unit 213 further includes a word table storage unit 551, an aggregation table storage unit 553, a multiple table storage unit 555, a similarity table storage unit 557, a classification table storage unit 559, a class table storage unit 561, and an appearance rate table storage unit 563. , Has a common word table storage unit 565 and a group table storage unit 567.

単語テーブル格納部551は、単語テーブルを格納する。単語テーブルについては、図9を用いて後述する。集計テーブル格納部553は、集計テーブルを格納する。集計テーブルについては、図11を用いて後述する。重複数テーブル格納部555は、重複数テーブルを格納する。重複数テーブルについては、図13を用いて後述する。類似度テーブル格納部557は、類似度テーブルを格納する。類似度テーブルについては、図15を用いて後述する。分類テーブル格納部559は、分類テーブルを格納する。分類テーブルについては、図17を用いて後述する。 The word table storage unit 551 stores the word table. The word table will be described later with reference to FIG. The aggregation table storage unit 553 stores the aggregation table. The summary table will be described later with reference to FIG. The multiple table storage unit 555 stores the multiple tables. The multiple tables will be described later with reference to FIG. The similarity table storage unit 557 stores the similarity table. The similarity table will be described later with reference to FIG. The classification table storage unit 559 stores the classification table. The classification table will be described later with reference to FIG.

クラステーブル格納部561は、クラステーブルを格納する。クラステーブルについては、図19を用いて後述する。出現率テーブル格納部563は、出現率テーブルを格納する。出現率テーブルについては、図21A及び図21Bを用いて後述する。共通単語テーブル格納部565は、共通単語テーブルを格納する。共通単語テーブルについては、図25を用いて後述する。グループテーブル格納部567は、一次グループテーブル及び二次グループテーブルを格納する。一次グループテーブルについては、図28A及び図28Bを用いて後述する。二次グループテーブルについては、図29を用いて後述する。 The class table storage unit 561 stores the class table. The class table will be described later with reference to FIG. The appearance rate table storage unit 563 stores the appearance rate table. The appearance rate table will be described later with reference to FIGS. 21A and 21B. The common word table storage unit 565 stores the common word table. The common word table will be described later with reference to FIG. The group table storage unit 567 stores the primary group table and the secondary group table. The primary group table will be described later with reference to FIGS. 28A and 28B. The secondary group table will be described later with reference to FIG. 29.

上述した単語テーブル格納部551、集計テーブル格納部553、重複数テーブル格納部555、類似度テーブル格納部557、分類テーブル格納部559、クラステーブル格納部561、出現率テーブル格納部563、共通単語テーブル格納部565及びグループテーブル格納部567は、ハードウエア資源(例えば、図31)を用いて実現される。 The word table storage unit 551, the aggregation table storage unit 553, the multiple table storage unit 555, the similarity table storage unit 557, the classification table storage unit 559, the class table storage unit 561, the occurrence rate table storage unit 563, and the common word table. The storage unit 565 and the group table storage unit 567 are realized by using hardware resources (for example, FIG. 31).

図6に、メイン処理フローを示す。第1判定部209は、順次単位期間の経過を待つ(S601)。単位期間の長さは、例えば3秒である。 FIG. 6 shows the main processing flow. The first determination unit 209 sequentially waits for the elapse of the unit period (S601). The length of the unit period is, for example, 3 seconds.

単位期間が経過すると、第1判定部209は、当該単位期間内において受信したイベント通知の数を算出する(S603)。そして、第1判定部209は、当該単位期間内において受信したイベント通知の数が閾値を超えるか否かを判定する(S605)。閾値は、例えばリストの行数である。 When the unit period elapses, the first determination unit 209 calculates the number of event notifications received within the unit period (S603). Then, the first determination unit 209 determines whether or not the number of event notifications received within the unit period exceeds the threshold value (S605). The threshold is, for example, the number of rows in the list.

当該単位期間内において受信したイベント通知の数が閾値を超えないと判定した場合には、第1追加部211は、当該単位期間内において受信したイベント通知を第2テーブルに追加する(S607)。 When it is determined that the number of event notifications received within the unit period does not exceed the threshold value, the first addition unit 211 adds the event notifications received within the unit period to the second table (S607).

表示処理部217は、第2テーブルに基づいて、リストを表示する(S609)。具体的には、最新の受信日時のレコードの内容をリストの先頭行に表示する。更に、受信日時を遡る順に従ってレコードを特定し、当該レコードの内容を次々表示する。末尾の行を表示した時点で処理を終了する。つまり、リストの行数に相当する数のレコードの内容が、受信日時が新しい順に表示される。そして、S601に示した処理に戻って、上述した処理を繰り返す。 The display processing unit 217 displays the list based on the second table (S609). Specifically, the contents of the record of the latest reception date and time are displayed in the first line of the list. Further, the records are specified in the order of going back to the reception date and time, and the contents of the records are displayed one after another. The process ends when the last line is displayed. That is, the contents of the number of records corresponding to the number of rows in the list are displayed in the order of newest reception date and time. Then, the process returns to the process shown in S601, and the above-mentioned process is repeated.

一方、S605において当該単位期間内において受信したイベント通知の数が閾値を超えると判定した場合には、集約部213は、集約処理を実行する(S611)。集約部213は、集約処理において、当該単位期間内において受信したイベント通知の全部又は一部を集約する。 On the other hand, when it is determined in S605 that the number of event notifications received within the unit period exceeds the threshold value, the aggregation unit 213 executes the aggregation process (S611). In the aggregation process, the aggregation unit 213 aggregates all or a part of the event notifications received within the unit period.

図7に、集約処理フローを示す。分類部501は、メッセージ分類処理を実行する(S701)。分類部501は、メッセージ分類処理において、単位期間内において受信したイベント通知を分類する。 FIG. 7 shows an aggregation processing flow. The classification unit 501 executes the message classification process (S701). The classification unit 501 classifies the event notifications received within the unit period in the message classification process.

図8に、メッセージ分類処理フローを示す。第2抽出部511は、単語抽出処理を実行する(S801)。第2抽出部511は、単語抽出処理において、各メッセージに含まれる単語を抽出する。 FIG. 8 shows a message classification processing flow. The second extraction unit 511 executes the word extraction process (S801). The second extraction unit 511 extracts the words included in each message in the word extraction process.

単語抽出処理について説明する前に、抽出された単語を格納する単語テーブルについて説明する。図9に、単語テーブルの例を示す。この例における単語テーブルは、メッセージに含まれる単語に対応するレコードを有している。単語テーブルのレコードは、イベント通知IDが格納されるフィールドと、単語が格納されるフィールドとを有している。イベント通知IDは、当該単語が出現するメッセージを含むイベント通知を特定する。 Before explaining the word extraction process, a word table for storing the extracted words will be described. FIG. 9 shows an example of a word table. The word table in this example has records corresponding to the words contained in the message. The record of the word table has a field in which the event notification ID is stored and a field in which the word is stored. The event notification ID identifies an event notification including a message in which the word appears.

図10に、単語抽出処理フローを示す。第2抽出部511は、図6のS601で待った単位期間内に受信したイベント通知のIDを1つ特定する(S1001)。例えば、第2抽出部511は、受信時間の順に従ってイベント通知のIDを特定する。 FIG. 10 shows a word extraction processing flow. The second extraction unit 511 identifies one ID of the event notification received within the unit period waited in S601 of FIG. 6 (S1001). For example, the second extraction unit 511 specifies the ID of the event notification in the order of the reception time.

第2抽出部511は、当該イベント通知に含まれるメッセージを特定する(S1003)。第2抽出部511は、特定したメッセージを単語に分解する(S1005)。そして、第2抽出部511は、分解された各単語について単語テーブルに新しいレコードを設け、当該レコードに当該イベント通知のIDと当該単語とを対応付けて格納する(S1007)。 The second extraction unit 511 identifies the message included in the event notification (S1003). The second extraction unit 511 decomposes the specified message into words (S1005). Then, the second extraction unit 511 provides a new record in the word table for each decomposed word, and stores the event notification ID and the word in the record in association with each other (S1007).

第2抽出部511は、未特定のイベント通知IDがあるか否かを判定する(S1009)。未特定のイベント通知IDがあると判定した場合には、S1001に示した処理に戻って、上述した処理を繰り返す。一方、未特定のイベント通知IDがないと判定した場合には、単語抽出処理を終える。単語抽出処理を終えると、呼び出し元のメッセージ分類処理に復帰する。 The second extraction unit 511 determines whether or not there is an unspecified event notification ID (S1009). If it is determined that there is an unspecified event notification ID, the process returns to the process shown in S1001 and the above-mentioned process is repeated. On the other hand, if it is determined that there is no unspecified event notification ID, the word extraction process ends. When the word extraction process is completed, the process returns to the caller's message classification process.

図8の説明に戻る。集計部513は、集計処理を実行する(S803)。集計部513は、集計処理において、イベント通知IDに対応する単語数及び各単語の出現数を集計する。 Returning to the description of FIG. The aggregation unit 513 executes the aggregation process (S803). In the aggregation process, the aggregation unit 513 aggregates the number of words corresponding to the event notification ID and the number of appearances of each word.

集計処理について説明する前に、イベント通知IDに対応する単語数及び各単語の出現数を集計するために用いられる集計テーブルについて説明する。 Before explaining the aggregation process, the aggregation table used to aggregate the number of words corresponding to the event notification ID and the number of occurrences of each word will be described.

図11に、集計テーブルの例を示す。この例における集計テーブルは、イベント通知IDに対応するレコードを有している。集計テーブルのレコードは、単語テーブルに格納された単語に対応するフィールドを有する。当該フィールドには、当該単語を「含む」旨のコード又は「含まない」旨のコードが格納される。集計テーブルのレコードは、更に、イベント通知IDに対応する単語数が格納されるフィールドを有する。また、集計テーブルは、各単語の出現数が格納されるフィールドも有している。 FIG. 11 shows an example of a summary table. The aggregation table in this example has a record corresponding to the event notification ID. The records in the summary table have fields corresponding to the words stored in the word table. In the field, a code indicating that the word is "included" or a code indicating that the word is "not included" is stored. The record in the summary table also has a field in which the number of words corresponding to the event notification ID is stored. The summary table also has a field in which the number of occurrences of each word is stored.

図示した1番目のレコードは、ID:52132で識別されるイベント通知のメッセージに「ホスト」「ORD05282」「において」「disk」「出力」「されました」「パラメータ」及び「C」の単語が含まれ、「D」及び「E」の単語が含まれないことを示している。また、1番目のレコードは、ID:52132で識別されるイベント通知のメッセージには、17個の単語が含まれることを示している。 In the first record shown, the word "host", "ORD05282", "at", "disk", "output", "done", "parameter" and "C" are included in the event notification message identified by ID: 52132. It is included and indicates that the words "D" and "E" are not included. The first record shows that the event notification message identified by ID: 52132 contains 17 words.

また、図11は、例えば「ホスト」の単語が6個のイベント通知のメッセージに含まれることを示している。 Also, FIG. 11 shows that, for example, the word "host" is included in the six event notification messages.

図12に、集計処理フローを示す。集計部513は、図6のS601で待った単位期間内に受信したイベント通知のIDを1つ特定する(S1201)。例えば、集計部513は、受信時間の順に従ってイベント通知のIDを特定する。 FIG. 12 shows an aggregation processing flow. The totaling unit 513 specifies one ID of the event notification received within the unit period waited in S601 of FIG. 6 (S1201). For example, the aggregation unit 513 specifies the ID of the event notification according to the order of reception time.

集計部513は、単語テーブルにおいて当該イベント通知IDに対応する単語の各々について、集計テーブルの当該イベント通知IDのレコードにおける当該単語のフィールドに「含む」旨のコードを格納する(S1203)。また、集計部513は、「含む」を設定しない単語のフィールドに、「含まない」旨のコードを格納する。 The aggregation unit 513 stores a code to the effect that each word corresponding to the event notification ID in the word table is "included" in the field of the word in the record of the event notification ID in the aggregation table (S1203). In addition, the aggregation unit 513 stores a code indicating "not included" in the field of the word for which "included" is not set.

集計部513は、「含む」旨のコードが格納されたフィールドをカウントし、当該フィールドの数を当該イベント通知IDのレコードにおける単語数のフィールドに格納する(S1205)。 The aggregation unit 513 counts the fields in which the code to "include" is stored, and stores the number of the fields in the field of the number of words in the record of the event notification ID (S1205).

集計部513は、未特定のイベント通知IDがあるか否かを判定する(S1207)。未特定のイベント通知IDがあると判定した場合には、S1201に示した処理に戻って、上述した処理を繰り返す。 The aggregation unit 513 determines whether or not there is an unspecified event notification ID (S1207). If it is determined that there is an unspecified event notification ID, the process returns to the process shown in S1201 and the above-described process is repeated.

一方、未特定のイベント通知IDがないと判定した場合には、集計部513は、各単語の出現数をカウントし、当該単語に対応する出現数のフィールドに格納する(S1209)。単語の出現数は、当該単語に関して「含む」旨のコードが格納されたフィールドの数である。集計処理を終えると、呼び出し元のメッセージ分類処理に復帰する。 On the other hand, when it is determined that there is no unspecified event notification ID, the aggregation unit 513 counts the number of occurrences of each word and stores it in the field of the number of appearances corresponding to the word (S1209). The number of occurrences of a word is the number of fields in which a code indicating "contains" is stored for the word. When the aggregation process is completed, the process returns to the caller's message classification process.

図8の説明に戻る。第1算出部515は、重複数算出処理を実行する(S805)。第1算出部515は、重複数算出処理において、比較元のイベント通知のメッセージに含まれる単語のうち、比較先のイベント通知のメッセージにも含まれる単語の数を算出する。当該単語の数を重複数という。 Returning to the description of FIG. The first calculation unit 515 executes the multiple calculation process (S805). In the multiple calculation process, the first calculation unit 515 calculates the number of words included in the event notification message of the comparison source among the words included in the event notification message of the comparison destination. The number of such words is called multiple.

重複数算出処理について説明する前に、重複数を格納する重複数テーブルについて説明する。図13に、重複数テーブルの例を示す。この例における重複数テーブルは、比較元のイベント通知IDに対応するレコードを有している。比較元は、図6のS601で待った単位期間内に受信した各イベント通知である。重複数テーブルのレコードは、比較先の各イベント通知IDに対応するフィールド(以下、重複数フィールドという。)を有する。比較先も、図6のS601で待った単位期間内に受信した各イベント通知である。重複数フィールドには、上述した重複数が格納される。集計テーブルのレコードは、更に、単語数が格納されるフィールドを有する。単語数は、図11に示した集計テーブルの場合と同様である。 Before explaining the multiple calculation process, a multiple table that stores multiple multiple tables will be described. FIG. 13 shows an example of a multiple table. The multiple table in this example has a record corresponding to the event notification ID of the comparison source. The comparison source is each event notification received within the unit period waited in S601 of FIG. The record of the multiple table has a field (hereinafter, referred to as a multiple field) corresponding to each event notification ID of the comparison destination. The comparison destination is also each event notification received within the unit period waited in S601 of FIG. The above-mentioned multiple fields are stored in the multiple fields. The records in the summary table also have a field in which the number of words is stored. The number of words is the same as in the case of the aggregation table shown in FIG.

図13は、例えばID:52132で識別されるイベント通知のメッセージに含まれる17個の単語のうち、16個の単語がID:52133で識別されるイベント通知のメッセージに含まれることを示している。 FIG. 13 shows, for example, that 16 words out of the 17 words included in the event notification message identified by ID: 52132 are included in the event notification message identified by ID: 52133. ..

また、図13は、例えばID:52132で識別されるイベント通知のメッセージに含まれる17個の単語のうち、1個の単語がID:62164で識別されるイベント通知のメッセージに含まれることを示している。 Further, FIG. 13 shows that, for example, one word out of the 17 words included in the event notification message identified by ID: 52132 is included in the event notification message identified by ID: 62164. ing.

図14に、重複数算出処理フローを示す。第1算出部515は、比較元のイベント通知IDを1つ特定する(S1401)。例えば、第1算出部515は、図6のS601で待った単位期間内に受信したイベント通知のIDを受信時間の順に従って1つ特定する。 FIG. 14 shows a multiple calculation processing flow. The first calculation unit 515 specifies one event notification ID of the comparison source (S1401). For example, the first calculation unit 515 identifies one ID of the event notification received within the unit period waited in S601 of FIG. 6 in the order of the reception time.

第1算出部515は、比較先のイベント通知IDを1つ特定する(S1403)。例えば、第1算出部515は、比較元のイベント通知IDを除き、図6のS601で待った単位期間内に受信したイベント通知のIDを受信時間の順に従って1つ特定する。 The first calculation unit 515 specifies one event notification ID to be compared (S1403). For example, the first calculation unit 515 specifies one event notification ID received within the unit period waited in S601 of FIG. 6 in the order of reception time, excluding the event notification ID of the comparison source.

第1算出部515は、単語テーブルに基づいて、比較元のメッセージに含まれる単語を1つ特定する(S1405)。第1算出部515は、単語テーブルに基づいて、当該単語が比較先のメッセージに含まれているか否かを判定する(S1407)。 The first calculation unit 515 identifies one word included in the comparison source message based on the word table (S1405). The first calculation unit 515 determines whether or not the word is included in the comparison destination message based on the word table (S1407).

当該単語が比較先のメッセージに含まれていると判定した場合には、第1算出部515は、比較元のイベント通知IDのレコードにおける比較先のイベント通知IDの重複数フィールドの値に1を加える(S1409)。尚、重複数フィールドにおける初期値は0である。当該単語が比較先のメッセージに含まれていないと判定した場合には、第1算出部515は、重複数のフィールドの値を更新しない。 When it is determined that the word is included in the comparison destination message, the first calculation unit 515 sets 1 as the value of the multiple field of the comparison destination event notification ID in the record of the comparison source event notification ID. Add (S1409). The initial value in the multiple fields is 0. If it is determined that the word is not included in the comparison destination message, the first calculation unit 515 does not update the values of the multiple fields.

第1算出部515は、未特定の単語があるか否かを判定する(S1411)。未特定の単語があると判定した場合には、S1405に示した処理に戻って、上述した処理を繰り返す。 The first calculation unit 515 determines whether or not there is an unspecified word (S1411). If it is determined that there is an unspecified word, the process returns to the process shown in S1405 and the above-described process is repeated.

一方、未特定の単語がないと判定した場合には、第1算出部515は、特定されていない比較先のイベント通知IDがあるか否かを判定する(S1413)。特定されていない比較先のイベント通知IDがあると判定した場合には、S1403に示した処理に戻って、上述した処理を繰り返す。 On the other hand, when it is determined that there is no unspecified word, the first calculation unit 515 determines whether or not there is an event notification ID of the comparison destination which is not specified (S1413). If it is determined that there is an event notification ID of the comparison destination that has not been specified, the process returns to the process shown in S1403, and the above-mentioned process is repeated.

一方、特定されていない比較先のイベント通知IDがないと判定した場合には、第1算出部515は、集計テーブルに基づいて、比較元のイベント通知IDのレコードにおける単語数のフィールドに、比較元であるイベント通知のメッセージにおける単語数を格納する(S1415)。 On the other hand, when it is determined that there is no unspecified event notification ID of the comparison destination, the first calculation unit 515 compares the number of words in the field of the number of words in the record of the event notification ID of the comparison source based on the aggregation table. The number of words in the original event notification message is stored (S1415).

第1算出部515は、特定されていない比較元のイベント通知IDがあるか否かを判定する(S1417)。特定されていない比較元のイベント通知IDがあると判定した場合には、S1401に示した処理に戻って、上述した処理を繰り返す。 The first calculation unit 515 determines whether or not there is an event notification ID of the comparison source that has not been specified (S1417). If it is determined that there is an event notification ID of the comparison source that has not been specified, the process returns to the process shown in S1401 and the above-mentioned process is repeated.

一方、特定されていない比較元のイベント通知IDがないと判定した場合には、重複数算出処理を終える。重複数算出処理を終えると、呼び出し元のメッセージ分類処理に復帰する。 On the other hand, if it is determined that there is no unspecified event notification ID of the comparison source, the multiple calculation process is completed. When the multiple calculation process is completed, the process returns to the caller's message classification process.

図8の説明に戻る。第2算出部517は、類似度算出処理を実行する(S807)。第2算出部517は、類似度算出処理において、2つのイベント通知IDに係るメッセージ間の類似度を算出する。類似度の値が大きい場合には、2つのメッセージが類似することを意味する。類似度の値が小さい場合には、2つのメッセージが類似しないことを意味する。 Returning to the description of FIG. The second calculation unit 517 executes the similarity calculation process (S807). The second calculation unit 517 calculates the similarity between the messages related to the two event notification IDs in the similarity calculation process. A large similarity value means that the two messages are similar. If the similarity value is small, it means that the two messages are not similar.

類似度算出処理について説明する前に、類似度を格納する類似度テーブルについて説明する。図15に、類似度テーブルの例を示す。この例における類似度テーブルは、比較元のイベント通知IDに対応するレコードを有している。類似度テーブルのレコードは、比較先の各イベント通知IDに対応するフィールド(以下、類似度フィールドという。)を有する。当該フィールドには、上述した類似度が格納される。 Before explaining the similarity calculation process, a similarity table for storing the similarity will be described. FIG. 15 shows an example of a similarity table. The similarity table in this example has a record corresponding to the event notification ID of the comparison source. The record of the similarity table has a field (hereinafter, referred to as a similarity field) corresponding to each event notification ID of the comparison destination. The above-mentioned similarity is stored in the field.

例えば、ID:52132で識別されるイベント通知のメッセージとID:52133で識別されるイベント通知のメッセージとの類似度は、0.94である。また、ID:52132で識別されるイベント通知のメッセージとID:62164で識別されるイベント通知のメッセージとの類似度は、0.06である。 For example, the similarity between the event notification message identified by ID: 52132 and the event notification message identified by ID: 52133 is 0.94. The similarity between the event notification message identified by ID: 52132 and the event notification message identified by ID: 62164 is 0.06.

図16に、類似度算出処理フローを示す。第2算出部517は、図6のS601で待った単位期間内に受信したイベント通知のIDの組を1つ特定する(S1601)。 FIG. 16 shows a similarity calculation processing flow. The second calculation unit 517 identifies one set of event notification IDs received within the unit period waited in S601 of FIG. 6 (S1601).

第2算出部517は、当該組の一方のイベント通知IDを比較元とし、当該組の他方のイベント通知IDを比較先とする重複度を算出する(S1603)。重複度は、重複数テーブルにおいて比較元及び比較先によって特定される重複数を、比較元によって特定される単語数で除することによって求められる。 The second calculation unit 517 calculates the degree of duplication with one event notification ID of the group as the comparison source and the other event notification ID of the group as the comparison destination (S1603). The multiplicity is determined by dividing the multiples specified by the comparison source and the comparison destination in the multiple table by the number of words specified by the comparison source.

第2算出部517は、更に、上記他方のイベント通知IDを比較元とし、上記一方のイベント通知IDを比較先とする重複度を算出する(S1605)。 The second calculation unit 517 further calculates the degree of duplication with the other event notification ID as the comparison source and the one event notification ID as the comparison destination (S1605).

そして、第2算出部517は、算出した2つの重複度の平均を求め、比較元及び比較先によって特定される類似度フィールドに格納する(S1607)。但し、S1603で算出した重複度を、当該類似度フィールドに格納するようにしてもよい。或いは、S1605で算出した重複度を、当該類似度フィールドに格納するようにしてもよい。 Then, the second calculation unit 517 obtains the average of the calculated two multiplicities and stores it in the similarity field specified by the comparison source and the comparison destination (S1607). However, the multiplicity calculated in S1603 may be stored in the similarity field. Alternatively, the multiplicity calculated in S1605 may be stored in the similarity field.

第2算出部517は、未特定のイベント通知IDの組があるか否かを判定する(S1609)。未特定のイベント通知IDの組があると判定した場合には、S1601に示した処理に戻って、上述した処理を繰り返す。一方、未特定のイベント通知IDの組がないと判定した場合には、類似度算出処理を終える。類似度算出処理を終えると、呼び出し元のメッセージ分類処理に復帰する。 The second calculation unit 517 determines whether or not there is a set of unspecified event notification IDs (S1609). When it is determined that there is a set of unspecified event notification IDs, the process returns to the process shown in S1601 and the above-described process is repeated. On the other hand, if it is determined that there is no unspecified event notification ID set, the similarity calculation process is completed. When the similarity calculation process is completed, the process returns to the caller's message classification process.

図8の説明に戻る。クラスタリング部519は、クラスタリング処理を実行する(S809)。クラスタリング部519は、クラスタリング処理において、類似度に基づいてイベント通知のクラスタリングを行う。クラスタリング処理は、従来技術である。例えば、クラスタリング部519は、ウォード法による分析を行う。クラスは、メッセージが類似するイベント通知のグループに相当する。 Returning to the description of FIG. The clustering unit 519 executes a clustering process (S809). The clustering unit 519 clusters event notifications based on the degree of similarity in the clustering process. The clustering process is a conventional technique. For example, the clustering unit 519 performs analysis by Ward's method. A class corresponds to a group of event notifications with similar messages.

図17に、クラスタリング処理の結果を格納する分類テーブルの例を示す。この例における分類テーブルは、イベント通知に対応するレコードを有している。分類テーブルのレコードは、イベント通知IDが格納されるフィールドと、クラスIDが格納されるフィールドとを有している。イベント通知IDは、分類されたイベント通知を特定する。クラスIDは、当該イベント通知が属するクラス、つまりグループを識別する。 FIG. 17 shows an example of a classification table that stores the results of the clustering process. The classification table in this example has a record corresponding to the event notification. The record of the classification table has a field in which the event notification ID is stored and a field in which the class ID is stored. The event notification ID identifies the classified event notification. The class ID identifies the class to which the event notification belongs, that is, the group.

図17は、例えばID:52132のイベント通知、ID:52133のイベント通知、ID:52134のイベント通知、ID:52147のイベント通知、ID:52148のイベント通知及びID:52149のイベント通知が、ID:C01で識別されるクラスに属することを示している。 FIG. 17 shows, for example, an event notification with ID: 52132, an event notification with ID: 52133, an event notification with ID: 52134, an event notification with ID: 52147, an event notification with ID: 52148, and an event notification with ID: 52149. It indicates that it belongs to the class identified by C01.

クラスタリング処理を終えると、メッセージ分類処理も終え、呼び出し元の集約処理に復帰する。 When the clustering process is completed, the message classification process is also completed and the process returns to the caller aggregation process.

図7の説明に戻る。第1グループ処理部503は、同型グループ処理を実行する(S703)。第1グループ処理部503は、同型グループ処理において、変数以外の部分が共通するメッセージに係るイベント通知のグループを特定する。当該グループを同型グループという。 Returning to the description of FIG. The first group processing unit 503 executes the same type group processing (S703). The first group processing unit 503 specifies a group of event notifications related to messages in which parts other than variables are common in the same type group processing. The group is called an isomorphic group.

図18に、同型グループ処理フローを示す。第1特定部521は、同型グループに係る候補特定処理を実行する(S1801)。第1特定部521は、同型グループに係る候補特定処理において、同型グループの候補に該当するクラスを特定する。 FIG. 18 shows an isomorphic group processing flow. The first specific unit 521 executes the candidate identification process related to the same type group (S1801). The first identification unit 521 specifies a class corresponding to a candidate of the same type group in the candidate identification process relating to the same type group.

候補特定処理について説明する前に、クラステーブルについて説明する。図19に、クラステーブルの例を示す。この例におけるクラステーブルは、クラスに対応するレコードを有している。クラステーブルのレコードは、クラスIDが格納されるフィールドと、イベント通知数が格納されるフィールドと、重複数の平均が格納されるフィールドと、単語数の平均が格納されるフィールドと、重複しない単語の数が格納されるフィールドと、非重複率が格納されるフィールドと、同型グループの候補に関するフィールドとを有している。 Before explaining the candidate identification process, the class table will be described. FIG. 19 shows an example of a class table. The class table in this example has records corresponding to the class. The records in the class table include a field that stores the class ID, a field that stores the number of event notifications, a field that stores multiple averages, a field that stores the average number of words, and words that do not overlap. It has a field for storing the number of, a field for storing the non-overlapping rate, and a field for candidates of the same type group.

クラスIDは、クラスを識別する。イベント通知数は、当該クラスに含まれるイベント通知の数である。重複数の平均は、当該クラスに属するイベント通知の各組における重複数の平均である。重複数は、重複テーブルに基づいて特定される。単語数の平均は、当該クラスに属するイベント通知のメッセージにおける単語数の平均である。重複しない単語の数は、単語数の平均から重複数の平均を引いた値である。非重複率は、重複しない単語の数を単語数の平均で除した値である。同型グループの候補に関するフィールドには、当該クラスが同型グループの候補に「該当する」旨のコード又は「該当しない」旨のコードが格納される。当該クラスが同型グループの候補に該当するか否かに関する判定方法は、後述する。 The class ID identifies the class. The number of event notifications is the number of event notifications included in the class. The multiple average is the average of multiples in each set of event notifications belonging to the class. Multiples are identified based on a duplicate table. The average number of words is the average number of words in the event notification message belonging to the class. The number of non-overlapping words is the average number of words minus the average of multiple words. The non-duplicate rate is the number of non-overlapping words divided by the average number of words. In the field related to the candidate of the same type group, a code indicating that the class "corresponds" to the candidate of the same type group or a code indicating "not applicable" is stored. The method for determining whether or not the class is a candidate for the same type group will be described later.

図示した1番目のレコードは、ID:C01のクラスには、6個のイベント通知が含まれ、これらのイベント通知の組に関する重複数の平均が16であることを示している。更に、当該1番目のレコードは、ID:C01のクラスに属するイベント通知に含まれるメッセージの単語数の平均が17個であり、重複しない単語が1個と看做されることを示している。加えて、当該1番目のレコードは、ID:C01のクラスにおける非重複率が0.06であり、このクラスが同型グループの候補に該当することを示している。 The first record illustrated shows that the class with ID: C01 contains 6 event notifications, with a multiple average of 16 for these event notification pairs. Further, the first record shows that the average number of words in the message included in the event notification belonging to the class of ID: C01 is 17, and the non-duplicate words are regarded as one. In addition, the first record has a non-overlapping rate of 0.06 in the class with ID: C01, indicating that this class is a candidate for the isomorphic group.

図20Aに、同型グループに係る候補特定処理フローを示す。第1特定部521は、クラスIDを1つ特定する(S2001)。第1特定部521は、分類テーブルに基づいて、当該クラスに属するイベント通知を特定する(S2003)。第1特定部521は、当該クラスに属するイベント通知の数を求め、当該クラスに対応するレコードのイベント通知数のフィールドに格納する(S2005)。 FIG. 20A shows a candidate identification processing flow related to the same type group. The first specific unit 521 specifies one class ID (S2001). The first identification unit 521 identifies the event notification belonging to the class based on the classification table (S2003). The first specific unit 521 obtains the number of event notifications belonging to the class and stores it in the field of the number of event notifications of the record corresponding to the class (S2005).

第1特定部521は、当該クラスに属するイベント通知の各組に関して、重複数テーブルに基づいて当該組に係る重複数を特定する。第1特定部521は、特定した重複数の平均を算出する。そして、第1特定部521は、算出した重複数の平均を当該クラスに対応するレコードに格納する(S2007)。 The first specific unit 521 specifies the multiples related to the set based on the multiple table for each set of event notifications belonging to the class. The first specific unit 521 calculates the average of the specified multiples. Then, the first specific unit 521 stores the calculated average of the plurality of multiples in the record corresponding to the class (S2007).

第1特定部521は、当該クラスに属する各イベント通知の単語数を特定し、特定した単語数の平均を算出する。第1特定部521は、算出した単語数の平均を当該クラスに対応するレコードに格納する(S2009)。 The first specific unit 521 specifies the number of words in each event notification belonging to the class, and calculates the average of the specified number of words. The first specific unit 521 stores the average of the calculated number of words in the record corresponding to the class (S2009).

第1特定部521は、単語数の平均から重複数の平均を引いて、重複しない単語の数を求める。第1特定部521は、当該重複しない単語の数を当該クラスに対応するレコードに格納する(S2011)。 The first specific unit 521 subtracts the average of a plurality of multiple words from the average of the number of words to obtain the number of unique words. The first specific unit 521 stores the number of unique words in the record corresponding to the class (S2011).

第1特定部521は、重複しない単語の数を単語数の平均で除して、非重複率を求める。第1特定部521は、当該非重複率を当該クラスに対応するレコードに格納する(S2013)。端子Aを介して、図20Bに示したS2015の処理に移る。 The first specific unit 521 divides the number of non-overlapping words by the average number of words to obtain the non-overlapping rate. The first specific unit 521 stores the non-overlapping rate in the record corresponding to the class (S2013). The process of S2015 shown in FIG. 20B proceeds via the terminal A.

第1特定部521は、非重複率が0を超え且つ非重複率が閾値(例えば、0.2)を下回るか否かを判定する(S2015)。非重複率が0である場合には変数を含まないので、この例における同型グループには該当しないものとする。非重複率が閾値を超える場合には、変数以外にも異なる単語があると想定されるので、この例における同型グループには該当しないものとする。 The first specific unit 521 determines whether or not the non-overlapping rate exceeds 0 and the non-overlapping rate is below the threshold value (for example, 0.2) (S2015). When the non-overlapping rate is 0, the variable is not included, so it is not considered to correspond to the isomorphic group in this example. If the non-overlapping rate exceeds the threshold, it is assumed that there are different words other than variables, so it does not correspond to the isomorphic group in this example.

非重複率が0を超え且つ非重複率が閾値を下回る場合には、第1特定部521は、当該クラスに対応するレコードにおける同型グループの候補のフィールドに「該当する」旨のコードを格納する(S2017)。 When the non-duplicate rate exceeds 0 and the non-duplicate rate falls below the threshold value, the first specific unit 521 stores a code indicating "corresponding" in the candidate field of the same type group in the record corresponding to the class. (S2017).

一方、非重複率が0である場合又は非重複率が閾値以上である場合には、第1特定部521は、当該クラスに対応するレコードにおける同型グループの候補のフィールドに「該当しない」旨のコードを格納する(S2019)。 On the other hand, when the non-overlapping rate is 0 or the non-overlapping rate is equal to or higher than the threshold value, the first specific unit 521 indicates that the field corresponding to the class corresponds to the candidate field of the same type group. Store the code (S2019).

第1特定部521は、未特定のクラスIDがあるか否かを判定する(S2021)。未特定のクラスIDがあると判定した場合には、端子Bを介して、図20AのS2001に示した処理に戻って、上述した処理を繰り返す。一方、未特定のクラスIDがないと判定した場合には、同型グループに係る候補特定処理を終える。同型グループに係る候補特定処理を終えると、呼び出し元の同型グループ処理に復帰する。 The first specific unit 521 determines whether or not there is an unspecified class ID (S2021). When it is determined that there is an unspecified class ID, the process returns to the process shown in S2001 of FIG. 20A via the terminal B, and the above-described process is repeated. On the other hand, if it is determined that there is no unspecified class ID, the candidate identification process related to the same type group is completed. When the candidate identification processing related to the same type group is completed, the process returns to the same type group processing of the caller.

図18の説明に戻る。判別部523は、変数判別処理を実行する(S1803)。判別部523は、変数判別処理において、同型グループの候補に該当するクラスに属するメッセージに含まれる単語のうち、変数と看做される単語を判別する。 Returning to the description of FIG. The discrimination unit 523 executes the variable discrimination process (S1803). In the variable discrimination process, the discriminant unit 523 discriminates a word that is regarded as a variable among the words included in the message belonging to the class corresponding to the candidate of the same type group.

図21A及び図21Bに、出現率テーブルの例を示す。出現率テーブルは、同型グループの候補毎に設けられる。この例における出現率テーブルのヘッダは、同型グループの候補に該当するクラスのIDが格納されるフィールドを有している。更に、この例における出現率テーブルは、当該クラスのメッセージに含まれる単語に対応するレコードを有している。出現率テーブルのレコードは、単語が格納されるフィールドと、出現メッセージ数が格納されるフィールドと、出現率が格納されるフィールドと、変数に関するフィールドとを有している。 21A and 21B show an example of the appearance rate table. The appearance rate table is provided for each candidate of the same type group. The header of the occurrence rate table in this example has a field in which the ID of the class corresponding to the candidate of the same type group is stored. Further, the occurrence rate table in this example has a record corresponding to a word contained in a message of the class. The record of the occurrence rate table has a field for storing words, a field for storing the number of occurrence messages, a field for storing the occurrence rate, and a field for variables.

単語のフィールドには、当該クラスのメッセージに含まれる単語が格納される。出現メッセージ数は、当該クラスのメッセージのうち、当該単語を含むメッセージの数である。出現率は、出現メッセージ数を当該クラスに属するメッセージの数で除した値である。変数に関するフィールドには、当該単語が変数に「該当する」旨のコード又は「該当しない」旨のコードが格納される。 The word field stores the words contained in the message of the class. The number of appearing messages is the number of messages containing the word among the messages of the class. The appearance rate is a value obtained by dividing the number of appearance messages by the number of messages belonging to the class. In the field related to the variable, a code indicating that the word "corresponds" to the variable or a code indicating that the word "does not correspond" is stored.

図21Aは、ID:C01のクラスに関する出現率テーブルの例である。1番目のレコードは、単語「ホスト」がID:C01のクラスに属する6個のメッセージに出現することを示している。また、当該1番目のレコードは、単語「ホスト」がC01のクラスに属するメッセージに1.00の割合で出現し、この単語が変数に該当しないことを示している。 FIG. 21A is an example of an appearance rate table for the class with ID: C01. The first record shows that the word "host" appears in six messages belonging to the class with ID: C01. In addition, the first record indicates that the word "host" appears in a message belonging to the class of C01 at a rate of 1.00, and this word does not correspond to a variable.

図21Bに、ID:C08のクラスに関する出現率テーブルの例である。最後のレコードは、単語「GBSE5008」がID:C08のクラスに属する1個のメッセージに出現することを示している。また、当該1番目のレコードは、単語「GBSE5008」がC08のクラスに属するメッセージに0.06の割合で出現し、この単語が変数に該当することを示している。 FIG. 21B is an example of an appearance rate table for the class with ID: C08. The last record shows that the word "GBSE5008" appears in one message belonging to the class ID: C08. In addition, the first record indicates that the word "GBSE5008" appears in a message belonging to the class of C08 at a rate of 0.06, and that this word corresponds to a variable.

図22に、変数判別処理フローを示す。判別部523は、クラステーブルに基づいて、同型グループの候補に該当するクラスIDを1つ特定する(S2201)。 FIG. 22 shows a variable discrimination processing flow. The determination unit 523 identifies one class ID corresponding to the candidate of the same type group based on the class table (S2201).

判別部523は、当該クラスに属するいずれかのメッセージに含まれる単語を1つ特定する(S2203)。判別部523は、分類テーブル及び単語テーブルに基づいて、当該クラスに属するイベント通知のメッセージのうち、当該単語が出現するメッセージの数を計数する。判別部523は、当該メッセージの数、つまり出現メッセージ数を当該クラスの出現率テーブルにおける当該単語のレコードに格納する(S2205)。 The determination unit 523 identifies one word included in any of the messages belonging to the class (S2203). The determination unit 523 counts the number of messages in which the word appears among the event notification messages belonging to the class based on the classification table and the word table. The determination unit 523 stores the number of the messages, that is, the number of occurrence messages, in the record of the word in the appearance rate table of the class (S2205).

判別部523は、出現メッセージ数を当該クラスに属するメッセージの数で除して、出現率を求める。判別部523は、当該出現率を当該クラスの出現率テーブルにおける当該単語のレコードに格納する(S2207)。 The determination unit 523 divides the number of appearing messages by the number of messages belonging to the class to obtain the appearance rate. The determination unit 523 stores the occurrence rate in the record of the word in the appearance rate table of the class (S2207).

判別部523は、出現率が0を超え且つ出現率が閾値(例えば、0.2)を下回るか否かを判定する(S2209)。この例では出現率が0を超える条件を省くようにしてもよい。尚、出現率が閾値を超える場合には、当該単語がこの例で想定しているホスト名のような変数ではないと見込まれる。 The determination unit 523 determines whether or not the appearance rate exceeds 0 and the appearance rate is below the threshold value (for example, 0.2) (S2209). In this example, the condition that the appearance rate exceeds 0 may be omitted. If the appearance rate exceeds the threshold value, it is expected that the word is not a variable such as the host name assumed in this example.

出現率が0を超え且つ出現率が閾値を下回ると判定した場合には、判別部523は、当該単語のレコードにおける変数に関するフィールドに「該当する」旨のコードを格納する(S2211)。 When it is determined that the appearance rate exceeds 0 and the appearance rate is lower than the threshold value, the determination unit 523 stores a code indicating "corresponding" in the field related to the variable in the record of the word (S2211).

一方、出現率が0である場合又は出現率が閾値以上である場合には、判別部523は、当該単語のレコードにおける変数に関するフィールドに「該当しない」旨のコードを格納する(S2213)。 On the other hand, when the appearance rate is 0 or the appearance rate is equal to or higher than the threshold value, the discrimination unit 523 stores a code indicating "not applicable" in the field related to the variable in the record of the word (S2213).

判別部523は、未特定の単語があるか否かを判定する(S2215)。未特定の単語があると判定した場合には、S2203に示した処理に戻って、上述した処理を繰り返す。 The determination unit 523 determines whether or not there is an unspecified word (S2215). When it is determined that there is an unspecified word, the process returns to the process shown in S2203, and the above-described process is repeated.

一方、未特定の単語がないと判定した場合には、判別部523は、未特定のクラスIDがあるか否かを判定する(S2217)。未特定のクラスIDがあると判定した場合には、S2201に示した処理に戻って、上述した処理を繰り返す。 On the other hand, when it is determined that there is no unspecified word, the determining unit 523 determines whether or not there is an unspecified class ID (S2217). If it is determined that there is an unspecified class ID, the process returns to the process shown in S2201 and the above process is repeated.

一方、未特定のクラスIDがないと判定した場合には、変数判別処理を終える。変数判別処理を終えると、呼び出し元の同型グループ処理に復帰する。 On the other hand, if it is determined that there is no unspecified class ID, the variable determination process is terminated. When the variable discrimination process is completed, the process returns to the caller's isomorphic group process.

図18の説明に戻る。第3追加部525は、同型グループのレコード追加処理を実行する(S1805)。第3追加部525は、同型グループのレコード追加処理において、同型グループに関して集約されたレコードを第2テーブルに追加する。 Returning to the description of FIG. The third addition unit 525 executes the record addition process of the same type group (S1805). The third addition unit 525 adds the aggregated records for the same type group to the second table in the record addition process of the same type group.

図23に、同型グループのレコード追加処理フローを示す。第3追加部525は、同型グループの候補であるクラスのうち、変数を含むクラスを1つ特定する(S2301)。つまり、第3追加部525は、同型グループの候補であるクラスに関する出現率テーブルのうち、当該出現率テーブルに含まれる変数に関するフィールドのいずれかに「該当する」旨のコードが設定されているものを特定する。特定されたクラスは、同型グループに相当する。 FIG. 23 shows a record addition processing flow of the same type group. The third additional unit 525 identifies one class including a variable among the classes that are candidates for the isomorphic group (S2301). That is, in the third additional unit 525, among the appearance rate tables for classes that are candidates for the same type group, a code indicating "corresponding" is set in any of the fields related to the variables included in the appearance rate table. To identify. The identified class corresponds to an isomorphic group.

第3追加部525は、第2テーブルに新たなレコードを設ける(S2303)。第3追加部525は、当該同型グループを識別するIDを割り当てる(S2305)。第3追加部525は、割り当てられた同型グループIDを新たなレコードにおけるイベント通知のフィールドに格納する。 The third additional unit 525 provides a new record in the second table (S2303). The third additional unit 525 assigns an ID that identifies the isomorphic group (S2305). The third addition unit 525 stores the assigned isomorphic group ID in the event notification field in the new record.

第3追加部525は、当該同型グループに属するイベント通知の受信日時のうち、最初の受信日時を特定する(S2307)。第3追加部525は、当該最初の受信日時を新たなレコードにおける受信日時のフィールドに格納する。 The third additional unit 525 specifies the first reception date / time among the reception date / time of the event notification belonging to the same type group (S2307). The third additional unit 525 stores the first reception date and time in the reception date and time field in the new record.

第3追加部525は、当該同型グループに属するイベント通知を送信した正味のホスト数を求める(S2309)。第3追加部525は、当該正味のホスト数を新たなレコードにおけるホストのフィールドに格納する。 The third additional unit 525 obtains the net number of hosts that have transmitted event notifications belonging to the same type group (S2309). The third addendum 525 stores the net number of hosts in the host field in the new record.

第3追加部525は、変数以外の単語と変数部分を示すコードとを含む共通メッセージを生成する(S2311)。例えば、第3追加部525は、当該同型グループに属するいずれかのイベント通知のメッセージを基礎として、変数に該当する単語を変数部分を示すコードに置き換える。変数部分を示すコードは、変数の位置を示す要素の例である。変数部分を示すコードに代えて、変数部分を示す図形又はマークの識別子を用いるようにしてもよい。尚、この場合、表示処理部217は識別子を図形又はマークの画像に置き換えて表示する。第3追加部525は、生成した共通メッセージを新たなレコードにおけるメッセージのフィールドに格納する。 The third additional unit 525 generates a common message including a word other than the variable and a code indicating the variable portion (S2311). For example, the third addition unit 525 replaces the word corresponding to the variable with the code indicating the variable part based on the message of any event notification belonging to the same type group. The code indicating the variable part is an example of an element indicating the position of the variable. Instead of the code indicating the variable part, the identifier of the figure or the mark indicating the variable part may be used. In this case, the display processing unit 217 replaces the identifier with an image of a figure or a mark and displays the identifier. The third addition unit 525 stores the generated common message in the message field in the new record.

第3追加部525は、当該同型グループに属するイベント通知の数を特定する(S2313)。第3追加部525は、特定したイベント通知数を新たなレコードにおけるメッセージのフィールドに格納する。 The third additional unit 525 specifies the number of event notifications belonging to the same type group (S2313). The third additional unit 525 stores the specified number of event notifications in the message field in the new record.

第3追加部525は、当該同型グループに属するイベント通知の内容を参照データに加える(S2315)。このとき、当該イベント通知の内容は、同型グループIDと紐付けられる。 The third additional unit 525 adds the content of the event notification belonging to the same type group to the reference data (S2315). At this time, the content of the event notification is associated with the same type group ID.

第3追加部525は、未特定のクラスがあるか否かを判定する(S2317)。未特定のクラスがあると判定した場合には、S2301に示した処理に戻って、上述した処理を繰り返す。 The third additional unit 525 determines whether or not there is an unspecified class (S2317). If it is determined that there is an unspecified class, the process returns to the process shown in S2301 and the above process is repeated.

一方、未特定のクラスがないと判定した場合には、同型グループのレコード追加処理を終える。同型グループのレコード追加処理を終えると、呼び出し元の同型グループ処理に復帰する。 On the other hand, if it is determined that there is no unspecified class, the record addition process of the same type group is completed. When the record addition processing of the same type group is completed, the process returns to the same type group processing of the caller.

図18の説明に戻る。同型グループのレコード追加処理を終えると、同型グループ処理を終える。同型グループ処理を終えると、呼び出し元の集約処理に復帰する。 Returning to the description of FIG. When the record addition processing of the same type group is completed, the same type group processing is completed. When the same type group processing is completed, the process returns to the caller's aggregation processing.

図7の説明に戻る。第2グループ処理部505は、共通変数グループ処理を実行する(S705)。第2グループ処理部505は、共通変数グループ処理において、共通の変数を含むメッセージに係るイベント通知のグループを特定する。当該グループを共通変数グループという。 Returning to the description of FIG. The second group processing unit 505 executes common variable group processing (S705). The second group processing unit 505 specifies a group of event notifications related to a message including a common variable in the common variable group processing. The group is called a common variable group.

図24に、共通変数グループ処理フローを示す。第2特定部531は、共通単語特定処理を実行する(S2401)。第2特定部531は、共通単語特定処理で、所定数以上のクラスにおいて、当該クラスに属するいずれかのイベント通知のメッセージに出現する共通の単語を特定する。当該単語を共通単語という。 FIG. 24 shows a common variable group processing flow. The second specific unit 531 executes the common word identification process (S2401). The second identification unit 531 identifies a common word that appears in any event notification message belonging to the class in a predetermined number or more of the classes in the common word identification process. The word is called a common word.

共通単語特定処理について説明する前に、共通単語を特定するために用いられる共通単語テーブルについて説明する。図25に、共通単語テーブルの例を示す。この例における共通単語テーブルは、単語テーブルに含まれる単語に対応するレコードを有している。共通単語テーブルのレコードは、単語が格納されるフィールドと、出現クラス数が格納されるフィールドと、共通単語に関するフィールドとを有している。 Before explaining the common word identification process, the common word table used for specifying the common word will be described. FIG. 25 shows an example of a common word table. The common word table in this example has records corresponding to the words contained in the word table. The record of the common word table has a field for storing words, a field for storing the number of occurrence classes, and a field for common words.

単語のフィールドには、単語テーブルに含まれる単語が格納される。出現クラス数は、当該単語を含むメッセージが属する正味のクラス数である。共通単語のフィールドには、当該単語が共通単語に「該当する」旨のコード又は「該当しない」旨のコードが格納される。 The word field stores the words contained in the word table. The number of occurrence classes is the net number of classes to which the message containing the word belongs. In the common word field, a code indicating that the word "corresponds" to the common word or a code indicating that the word does not correspond is stored.

図示した1番目のレコードは、単語「ホスト」が1個のクラスに属するイベント通知のメッセージに出現し、共通単語に該当しないことを示している。図示した2番目のレコードは、単語「ORD05282」が6個のクラスに属するイベント通知のメッセージに出現し、共通単語に該当することを示している。図示した4番目のレコードは、単語「失敗」も6個のクラスに属するイベント通知のメッセージに出現し、共通単語に該当することを示している。 The first record shown shows that the word "host" appears in an event notification message belonging to one class and does not correspond to a common word. The second record shown shows that the word "ORD05282" appears in an event notification message belonging to six classes and corresponds to a common word. In the fourth record shown, the word "failure" also appears in the event notification message belonging to the six classes, indicating that it corresponds to a common word.

図26に、共通単語特定処理フローを示す。第2特定部531は、単語テーブルに含まれる単語を1つ特定する(S2601)。第2特定部531は、共通単語テーブルに新たなレコードを設けて、当該レコードに当該単語を格納する。 FIG. 26 shows a common word identification processing flow. The second specifying unit 531 identifies one word included in the word table (S2601). The second specific unit 531 provides a new record in the common word table and stores the word in the record.

第2特定部531は、クラスIDを1つ特定する(S2603)。第2特定部531は、単語テーブル及び分類テーブルに基づいて、当該単語が当該クラスに属するいずれかのイベント通知のメッセージに含まれるか否かを判定する(S2605)。当該単語が当該クラスに属するいずれかのイベント通知のメッセージに含まれると判定した場合には、第2特定部531は、当該レコードにおける出現クラス数の値に1を加える(S2607)。尚、出現クラス数の初期値は0である。当該単語が当該クラスに属するいずれのメッセージにも含まれないと判定した場合には、第2特定部531は、当該レコードにおける出現クラス数を更新しない。 The second specific unit 531 specifies one class ID (S2603). The second specific unit 531 determines whether or not the word is included in any event notification message belonging to the class based on the word table and the classification table (S2605). When it is determined that the word is included in the message of any event notification belonging to the class, the second specific unit 531 adds 1 to the value of the number of occurrence classes in the record (S2607). The initial value of the number of appearance classes is 0. If it is determined that the word is not included in any of the messages belonging to the class, the second specific unit 531 does not update the number of occurrence classes in the record.

第2特定部531は、未特定のクラスIDがあるか否かを判定する(S2609)。未特定のクラスIDがあると判定した場合には、S2603に示した処理に戻って、上述した処理を繰り返す。 The second specific unit 531 determines whether or not there is an unspecified class ID (S2609). If it is determined that there is an unspecified class ID, the process returns to the process shown in S2603 and the above-described process is repeated.

一方、未特定のクラスIDがないと判定した場合には、第2特定部531は、出現クラス数が閾値(例えば、4)を上回るか否かを判定する(S2611)。出現クラス数が閾値を上回ると判定した場合には、第2特定部531は、当該単語のレコードにおける共通単語に関するフィールドに「該当する」旨のコードを格納する(S2613)。一方、出現クラス数が閾値以下であると判定した場合には、第2特定部531は、当該単語のレコードにおける共通単語に関するフィールドに「該当しない」旨のコードを格納する(S2615)。 On the other hand, when it is determined that there is no unspecified class ID, the second specific unit 531 determines whether or not the number of appearing classes exceeds the threshold value (for example, 4) (S2611). When it is determined that the number of occurrence classes exceeds the threshold value, the second specific unit 531 stores a code indicating "corresponding" in the field relating to the common word in the record of the word (S2613). On the other hand, when it is determined that the number of occurrence classes is equal to or less than the threshold value, the second specific unit 531 stores a code indicating "not applicable" in the field relating to the common word in the record of the word (S2615).

第2特定部531は、未処理の単語があるか否かを判定する(S2617)。未処理の単語があると判定した場合には、S2601に示した処理に戻って、上述した処理を繰り返す。一方、未処理の単語がないと判定した場合には、共通単語特定処理を終える。共通単語特定処理を終えると、呼び出し元の共通変数グループ処理に復帰する。 The second specific unit 531 determines whether or not there is an unprocessed word (S2617). When it is determined that there is an unprocessed word, the process returns to the process shown in S2601 and the above-described process is repeated. On the other hand, when it is determined that there is no unprocessed word, the common word identification process is terminated. When the common word identification process is completed, the process returns to the common variable group process of the caller.

図24の説明に戻る。生成部533は、グループ生成処理を実行する(S2403)。生成部533は、グループ生成処理において、共通単語に基づいて共通変数グループを生成する。具体的には、一次グループ及び二次グループのいずれか一方又は両方が生成される。つまり、グループ生成処理において生成される一次グループ及び二次グループのいずれか一方又は両方が共通変数グループに相当する。 Returning to the description of FIG. 24. The generation unit 533 executes the group generation process (S2403). The generation unit 533 generates a common variable group based on a common word in the group generation process. Specifically, either one or both of the primary group and the secondary group are generated. That is, either or both of the primary group and the secondary group generated in the group generation process correspond to the common variable group.

尚、本実施の形態では、共通単語には、共通変数に相当するものと共通変数に相当しないものが混在する場合がある。上述の例で、共通単語「ORD05282」は共通変数に相当する。一方、共通単語「失敗」は共通変数に相当しない。 In the present embodiment, the common words may include words corresponding to the common variables and words not corresponding to the common variables. In the above example, the common word "ORD05282" corresponds to a common variable. On the other hand, the common word "failure" does not correspond to a common variable.

図27に、グループ生成処理フローを示す。生成部533は、共通単語毎に一次グループを生成する(S2701)。具体的には、一次グループテーブルが設けられる。 FIG. 27 shows a group generation processing flow. The generation unit 533 generates a primary group for each common word (S2701). Specifically, a primary group table is provided.

図28A及び図28Bに、一次グループテーブルの例を示す。この例における一次グループテーブルのヘッダは、共通変数グループIDが格納されるフィールドと、共通単語が格納されるフィールドとを有している。共通変数グループIDは、共通変数グループを識別する。但し、一次グループテーブルが生成された時点において、共通変数グループIDはまだ設定されない。更に、この例における一次グループテーブルは、イベント通知IDが格納されるレコードを有している。イベント通知IDは、当該共通単語を含むメッセージに係るイベント通知を特定する。 28A and 28B show an example of a primary group table. The header of the primary group table in this example has a field in which the common variable group ID is stored and a field in which the common word is stored. The common variable group ID identifies the common variable group. However, the common variable group ID is not yet set when the primary group table is generated. Further, the primary group table in this example has a record in which the event notification ID is stored. The event notification ID identifies an event notification related to a message including the common word.

図28Aに示した一次グループテーブルの例は、図示した18個のイベント通知IDで特定されるメッセージに共通単語「ORD05282」が含まれることを示している。図28Bに示した一次グループテーブルの例は、図示した18個のイベント通知IDで特定されるメッセージに共通単語「失敗」が含まれることを示している。尚、この例で、図28Aに示した一次グループテーブルにおけるイベント通知IDと図28Bに示した一次グループテーブルにおけるイベント通知IDとが一致している。 The example of the primary group table shown in FIG. 28A shows that the message identified by the 18 event notification IDs shown includes the common word "ORD05282". The example of the primary group table shown in FIG. 28B shows that the message identified by the 18 event notification IDs shown includes the common word "failure". In this example, the event notification ID in the primary group table shown in FIG. 28A and the event notification ID in the primary group table shown in FIG. 28B match.

図27の説明に戻る。第2判定部537は、一次グループの組合せを特定する(S2703)。第2判定部537は、例えば組合せ要素となる一次グループの数がより多い組合せから順に特定する。 Returning to the description of FIG. 27. The second determination unit 537 identifies the combination of the primary groups (S2703). The second determination unit 537 specifies, for example, combinations in descending order of the number of primary groups serving as combination elements.

第2判定部537は、当該組合せに係る各一次グループにおけるイベント通知IDが重複するか否かを判定する(S2705)。この例では、第2判定部537は、各一次グループにおけるイベント通知IDがすべて一致するか否かを判定する。第2判定部537は、各一次グループにおけるイベント通知IDの一部が一致するか否かを判定するようにしてもよい。具体的には、第2判定部537は、所定数以上のイベント通知IDが一致するか否かを判定するようにしてもよい。或いは、第2判定部537は、所定割合以上のイベント通知IDが一致するか否かを判定するようにしてもよい。 The second determination unit 537 determines whether or not the event notification IDs in each primary group related to the combination are duplicated (S2705). In this example, the second determination unit 537 determines whether or not all the event notification IDs in each primary group match. The second determination unit 537 may determine whether or not a part of the event notification IDs in each primary group match. Specifically, the second determination unit 537 may determine whether or not a predetermined number or more of event notification IDs match. Alternatively, the second determination unit 537 may determine whether or not the event notification IDs of a predetermined ratio or more match.

各一次グループにおけるイベント通知IDが重複すると判定した場合には、統合部539は、当該組合せに係る各一次グループを統合し、二次グループを生成する(S2707)。具体的には、統合部539は、二次グループテーブルを生成し、元の各一次グループテーブルを削除する。各一次グループにおけるイベント通知IDが重複しないと判定した場合には、そのままS2709の処理に移る。 When it is determined that the event notification IDs in each primary group are duplicated, the integration unit 539 integrates each primary group related to the combination to generate a secondary group (S2707). Specifically, the integration unit 539 creates a secondary group table and deletes each original primary group table. If it is determined that the event notification IDs in each primary group do not overlap, the process proceeds to S2709 as it is.

図29に、二次グループテーブルの例を示す。この例における二次グループテーブルのヘッダは、共通変数グループIDが格納されるフィールドと、共通単語が格納される複数のフィールドとを有している。共通単語は、二次グループに属するイベント通知のメッセージに含まれる共通の単語である。二次グループテーブルにおけるレコードには、ヘッダに格納されている複数の共通単語を含むメッセージに係るイベント通知IDが格納される。つまり、統合部539は、元の各一次グループテーブルにおいて共通のイベント通知IDを、二次グループテーブルに設定する。 FIG. 29 shows an example of a secondary group table. The header of the secondary group table in this example has a field in which the common variable group ID is stored and a plurality of fields in which the common word is stored. A common word is a common word contained in an event notification message belonging to a secondary group. In the record in the secondary group table, the event notification ID related to the message including a plurality of common words stored in the header is stored. That is, the integration unit 539 sets the event notification ID common to each of the original primary group tables in the secondary group table.

図27の説明に戻る。第2判定部537は、未処理の組合せがあるか否かを判定する(S2709)。未処理の組合せがあると判定した場合には、S2703に示した処理に戻って、上述した処理を繰り返す。 Returning to the description of FIG. 27. The second determination unit 537 determines whether or not there is an unprocessed combination (S2709). When it is determined that there is an unprocessed combination, the process returns to the process shown in S2703, and the above-mentioned process is repeated.

一方、未処理の組合せがないと判定した場合には、生成部533は、残りの一次グループ、つまり統合されなかった一次グループに共通変数グループIDを割り当てる(S2711)。そして、一次グループテーブルのヘッダに、当該共通変数グループIDを格納する。グループ生成処理を終えると、呼び出し元の共通変数グループ処理に復帰する。 On the other hand, when it is determined that there is no unprocessed combination, the generation unit 533 assigns the common variable group ID to the remaining primary group, that is, the primary group that has not been integrated (S2711). Then, the common variable group ID is stored in the header of the primary group table. When the group generation process is completed, the process returns to the common variable group process of the caller.

図24の説明に戻る。第4追加部535は、共通変数グループのレコード追加処理を実行する(S2405)。第4追加部535は、共通変数グループのレコード追加処理において、共通変数グループに関して集約されたレコードを第2テーブルに追加する。 Returning to the description of FIG. 24. The fourth addition unit 535 executes the record addition process of the common variable group (S2405). The fourth addition unit 535 adds the aggregated records for the common variable group to the second table in the record addition process of the common variable group.

図30に、共通変数グループのレコード追加処理フローを示す。第4追加部535は、生成された共通変数グループを1つ特定する(S3001)。 FIG. 30 shows a record addition processing flow of the common variable group. The fourth additional unit 535 identifies one generated common variable group (S3001).

第4追加部535は、第2テーブルに新たなレコードを設ける(S3003)。第4追加部535は、共通変数グループIDを新たなレコードにおけるイベント通知のフィールドに格納する(S3005)。 The fourth additional unit 535 provides a new record in the second table (S3003). The fourth additional unit 535 stores the common variable group ID in the event notification field in the new record (S3005).

第4追加部535は、当該共通変数グループに属するイベント通知の受信日時のうち、最初の受信日時を特定する(S3007)。第4追加部535は、当該最初の受信日時を新たなレコードにおける受信日時のフィールドに格納する。 The fourth additional unit 535 specifies the first reception date / time among the reception date / time of the event notification belonging to the common variable group (S3007). The fourth addition unit 535 stores the first reception date and time in the reception date and time field in the new record.

第4追加部535は、当該共通変数グループに属するイベント通知を送信した正味のホスト数を求める(S3009)。第4追加部535は、当該正味のホスト数を新たなレコードにおけるホストのフィールドに格納する。 The fourth additional unit 535 obtains the net number of hosts that have transmitted event notifications belonging to the common variable group (S3009). The fourth addition unit 535 stores the net number of hosts in the host field in the new record.

第4追加部535は、当該共通変数グループにおける共通単語を新たなレコードにおけるメッセージのフィールドに格納する(S3011)。 The fourth addition unit 535 stores the common word in the common variable group in the message field in the new record (S3011).

第4追加部535は、当該共通変数グループに属するイベント通知の数を特定する(S3013)。第4追加部535は、特定したイベント通知数を新たなレコードにおけるメッセージのフィールドに格納する。 The fourth additional unit 535 specifies the number of event notifications belonging to the common variable group (S3013). The fourth addition unit 535 stores the specified number of event notifications in the message field in the new record.

第4追加部535は、当該共通変数グループに属するイベント通知の内容を参照データに加える(S3015)。このとき、当該イベント通知の内容は、共通変数グループIDと紐付けられる。 The fourth additional unit 535 adds the content of the event notification belonging to the common variable group to the reference data (S3015). At this time, the content of the event notification is associated with the common variable group ID.

第4追加部535は、未特定のクラスがあるか否かを判定する(S3017)。未特定のクラスがあると判定した場合には、S3001に示した処理に戻って、上述した処理を繰り返す。 The fourth additional unit 535 determines whether or not there is an unspecified class (S3017). If it is determined that there is an unspecified class, the process returns to the process shown in S3001 and the above process is repeated.

一方、未特定のクラスがないと判定した場合には、共通変数グループのレコード追加処理を終える。共通変数グループのレコード追加処理を終えると、呼び出し元の共通変数グループ処理に復帰する。 On the other hand, if it is determined that there is no unspecified class, the record addition process of the common variable group is completed. When the record addition processing of the common variable group is completed, the process returns to the common variable group processing of the caller.

図24の説明に戻る。共通変数グループ処理を終えると、呼び出し元の集約処理に復帰する。 Returning to the description of FIG. 24. When the common variable group processing is completed, the process returns to the caller's aggregation processing.

図7の説明に戻る。第2追加部507は、図6のS601で待った単位期間内に受信したイベント通知に相当するレコード(第1テーブル)から、同型グループ及び共通変数グループに属していないイベント通知のレコードを抽出し、抽出したレコードを第2テーブルに追加する(S707)。集約処理を終えると、呼び出し元のメイン処理に復帰する。 Returning to the description of FIG. The second addition unit 507 extracts the records of the event notifications that do not belong to the same type group and the common variable group from the records (first table) corresponding to the event notifications received within the unit period waited in S601 of FIG. The extracted record is added to the second table (S707). When the aggregation process is completed, the caller returns to the main process.

図6の説明に戻る。表示処理部217は、リストを表示する(S613)。上述したように、表示処理部217は、受信日時が新しい順に第2テーブルのレコードの内容を表示する。この例では、図4に示したように、1番目にID:M1の共通変数グループに関する行が表示される。2番目に共通変数グループ及び同型グループに属さないID:52150のイベント通知に関する行が表示される。3番目にID:W1の同型グループに関する行が表示される。4番目以降には、以前の単位期間に取得したイベント通知に基づく内容が表示される。そして、リストの表示を終えると、S601に示した処理に戻って、上述した処理を繰り返す。 Returning to the description of FIG. The display processing unit 217 displays the list (S613). As described above, the display processing unit 217 displays the contents of the records in the second table in the order of newest reception date and time. In this example, as shown in FIG. 4, the line related to the common variable group with ID: M1 is displayed first. Second, the line related to the event notification of ID: 52150 that does not belong to the common variable group and the isomorphic group is displayed. Third, the line related to the isomorphic group with ID: W1 is displayed. From the fourth onward, the contents based on the event notification acquired in the previous unit period are displayed. Then, when the display of the list is finished, the process returns to the process shown in S601 and the above-described process is repeated.

本実施の形態によれば、共通変数グループのメッセージを集約するので、同一事象に起因する複数メッセージの趣旨を把握し易くなる。例えば、障害の原因となった装置の識別子を含むメッセージを集約し、単一のメッセージによって原因の装置を示すことができる。 According to the present embodiment, since the messages of the common variable group are aggregated, it becomes easy to grasp the purpose of a plurality of messages caused by the same event. For example, messages containing the identifier of the device that caused the failure can be aggregated and a single message can indicate the device that caused the failure.

また、同じメッセージに含まれる複数の共通単語を一緒に集約内容として表示するので、より具体的に同一事象に起因する複数メッセージの趣旨を把握し易くなる。例えば、原因の装置を特定する情報の他に、当該装置の状態を併せて把握することができる。 In addition, since a plurality of common words included in the same message are displayed together as an aggregated content, it becomes easier to more specifically understand the purpose of the plurality of messages caused by the same event. For example, in addition to the information for identifying the cause device, the state of the device can also be grasped.

また、同型グループのメッセージを集約するので、複数発生した同様のイベントを捉え易くなる。 In addition, since the messages of the same type group are aggregated, it becomes easy to catch the same event that has occurred multiple times.

また、共通変数グループと同型グループとのいずれにも属さないメッセージを表示するので、集約対象以外のメッセージの見逃しを防止できる。 In addition, since messages that do not belong to either the common variable group or the isomorphic group are displayed, it is possible to prevent overlooking messages other than the aggregation target.

以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上述の機能ブロック構成はプログラムモジュール構成に一致しない場合もある。 Although one embodiment of the present invention has been described above, the present invention is not limited thereto. For example, the functional block configuration described above may not match the program module configuration.

また、上で説明した各記憶領域の構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ、処理の順番を入れ替えることや複数の処理を並列に実行させるようにしても良い。 Further, the configuration of each storage area described above is an example, and does not have to be the configuration as described above. Further, also in the processing flow, if the processing result does not change, the order of the processing may be changed or a plurality of processing may be executed in parallel.

なお、上で述べた監視機器101は、コンピュータ装置であって、図31に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。 The monitoring device 101 described above is a computer device, and as shown in FIG. 31, a memory 2501, a CPU (Central Processing Unit) 2503, a hard disk drive (HDD: Hard Disk Drive) 2505, and a display device 2509. The display control unit 2507, the drive device 2513 for the removable disk 2511, the input device 2515, and the communication control unit 2517 for connecting to the network are connected by a bus 2519. The operating system (OS: Operating System) and the application program for executing the processing in this embodiment are stored in the HDD 2505, and are read from the HDD 2505 to the memory 2501 when executed by the CPU 2503. The CPU 2503 controls the display control unit 2507, the communication control unit 2517, and the drive device 2513 according to the processing contents of the application program to perform a predetermined operation. Further, although the data in the process of processing is mainly stored in the memory 2501, it may be stored in the HDD 2505. In the embodiment of the present invention, the application program for performing the above-described processing is stored and distributed on the computer-readable removable disk 2511 and installed from the drive device 2513 to the HDD 2505. It may be installed on the HDD 2505 via a network such as the Internet and a communication control unit 2517. Such a computer device realizes various functions as described above by organically collaborating with the hardware such as the CPU 2503 and the memory 2501 described above and the program such as the OS and the application program. ..

以上述べた本発明の実施の形態をまとめると、以下のようになる。 The embodiments of the present invention described above can be summarized as follows.

本実施の形態に係るメッセージ出力方法は、(A)各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類し、(B)複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定し、(C)共通単語を含むメッセージが集約された第1メッセージを出力する処理を含む。 In the message output method according to the present embodiment, (A) a plurality of messages identified by each identifier are classified into a plurality of classes which are a set of messages based on the similarity between the messages, and (B) a plurality of messages. Among the words included in, a common word in which the number of classes in which the word appears is larger than the standard is specified, and (C) a process of outputting a first message in which messages including the common word are aggregated is included.

このようにすれば、同一事象に起因する複数メッセージの趣旨を把握し易くなる。例えば、障害の原因となった装置の識別子を含むメッセージを集約し、単一のメッセージによって原因の装置を知らせることができる。 In this way, it becomes easy to understand the purpose of a plurality of messages caused by the same event. For example, a message containing the identifier of the device that caused the failure can be aggregated, and the device that caused the failure can be notified by a single message.

更に、共通単語の組合せについて、各共通単語を含むメッセージの上記識別子が重複するか否かを判定し、上記識別子が重複する場合に、各共通単語に係る第1メッセージを同じグループにまとめるようにしてもよい。 Further, regarding the combination of common words, it is determined whether or not the above identifiers of the messages including each common word are duplicated, and when the above identifiers are duplicated, the first message related to each common word is grouped in the same group. You may.

このようにすれば、より具体的に同一事象に起因する複数メッセージの趣旨を把握し易くなる。例えば、原因の装置に関する情報の他に、当該装置における現象を併せて把握することができる。 In this way, it becomes easier to more specifically grasp the purpose of a plurality of messages caused by the same event. For example, in addition to the information about the cause device, the phenomenon in the device can also be grasped.

更に、複数のクラスのうち、同一クラスに属するメッセージ間において重複しない単語の割合が基準より小さい候補クラスを特定し、候補クラスに属するメッセージに含まれる複数の単語のうち、候補クラスに属するメッセージ単位の出現率が基準よりも小さい単語を変数であると判別するようにしてもよい。また、候補クラスに関して変数が判別された場合に、候補クラスに属するメッセージが集約された第2メッセージとして、候補クラスに属するメッセージに含まれる変数以外の単語と変数の位置を示す要素とを出力するようにしてもよい。 Furthermore, among a plurality of classes, a candidate class in which the ratio of non-overlapping words among messages belonging to the same class is smaller than the standard is specified, and among a plurality of words included in the message belonging to the candidate class, a message unit belonging to the candidate class A word whose appearance rate of is smaller than the standard may be determined as a variable. Further, when a variable is determined for the candidate class, a word other than the variable included in the message belonging to the candidate class and an element indicating the position of the variable are output as the second message in which the messages belonging to the candidate class are aggregated. You may do so.

このようにすれば、例えば複数発生した同様のイベントを捉え易くなる。 In this way, for example, it becomes easy to catch a plurality of similar events that have occurred.

更に、複数のメッセージのうち、第1メッセージによる集約対象及び第2メッセージによる集約対象に該当しないメッセージを出力するようにしてもよい。 Further, among a plurality of messages, a message that does not correspond to the aggregation target by the first message and the aggregation target by the second message may be output.

このようにすれば、集約対象以外のメッセージの見逃しを防止できる。 In this way, it is possible to prevent overlooking messages other than those to be aggregated.

なお、上記方法による処理をコンピュータに行わせるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納されるようにしてもよい。尚、中間的な処理結果は、一般的にメインメモリ等の記憶装置に一時保管される。 A program for causing a computer to perform the processing by the above method can be created, and the program can be a computer-readable storage medium such as a flexible disk, a CD-ROM, a magneto-optical disk, a semiconductor memory, or a hard disk. It may be stored in a storage device. The intermediate processing result is generally temporarily stored in a storage device such as a main memory.

以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。 The following additional notes will be further disclosed with respect to the embodiments including the above embodiments.

(付記1)
各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類し、
前記複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定し、
前記共通単語を含むメッセージが集約された第1メッセージを出力する
処理をコンピュータに実行させるメッセージ出力プログラム。
(Appendix 1)
Multiple messages, each identified by an identifier, are classified into multiple classes, which are a collection of messages, based on the similarity between the messages.
Among the words included in the plurality of messages, the common word in which the number of classes in which the word appears is larger than the standard is identified.
A message output program that causes a computer to execute a process of outputting a first message in which messages including the common words are aggregated.

(付記2)
更に、
前記共通単語の組合せについて、各共通単語を含むメッセージの前記識別子が重複するか否かを判定し、
前記識別子が重複する場合に、前記各共通単語に係る前記第1メッセージを同じグループにまとめる
処理を含む付記1記載のメッセージ出力プログラム。
(Appendix 2)
In addition
For the combination of the common words, it is determined whether or not the identifier of the message including each common word is duplicated.
The message output program according to Appendix 1, which includes a process of grouping the first messages related to the common words into the same group when the identifiers are duplicated.

(付記3)
更に、
前記複数のクラスのうち、同一クラスに属するメッセージ間において重複しない単語の割合が基準より小さい候補クラスを特定し、
前記候補クラスに属するメッセージに含まれる複数の単語のうち、前記候補クラスに属するメッセージ単位の出現率が基準よりも小さい単語を変数であると判別し、
前記候補クラスに関して前記変数が判別された場合に、前記候補クラスに属する前記メッセージが集約された第2メッセージとして、前記候補クラスに属する前記メッセージに含まれる前記変数以外の単語と前記変数の位置を示す要素とを出力する
処理を含む付記1又は2記載のメッセージ出力プログラム。
(Appendix 3)
In addition
Among the plurality of classes, a candidate class in which the ratio of unique words among messages belonging to the same class is smaller than the standard is specified.
Of the plurality of words included in the message belonging to the candidate class, the word whose appearance rate of the message unit belonging to the candidate class is smaller than the standard is determined to be a variable.
When the variable is determined for the candidate class, words other than the variable and the position of the variable included in the message belonging to the candidate class are set as the second message in which the messages belonging to the candidate class are aggregated. The message output program according to Appendix 1 or 2, which includes a process of outputting the indicated element.

(付記4)
更に、
前記複数のメッセージのうち、前記第1メッセージによる集約対象及び前記第2メッセージによる集約対象に該当しないメッセージを出力する
処理を含む付記3記載のメッセージ出力プログラム。
(Appendix 4)
In addition
The message output program according to Appendix 3, which includes a process of outputting a message that does not correspond to the aggregation target by the first message and the aggregation target by the second message among the plurality of messages.

(付記5)
各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類し、
前記複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定し、
前記共通単語を含むメッセージが集約された第1メッセージを出力する
処理を含み、コンピュータにより実行されるメッセージ出力方法。
(Appendix 5)
Multiple messages, each identified by an identifier, are classified into multiple classes, which are a collection of messages, based on the similarity between the messages.
Among the words included in the plurality of messages, the common word in which the number of classes in which the word appears is larger than the standard is identified.
A message output method executed by a computer, which includes a process of outputting a first message in which messages including the common word are aggregated.

(付記6)
各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類する分類部と、
前記複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定する特定部と、
前記共通単語を含むメッセージが集約された第1メッセージを出力する出力部と
を有するメッセージ出力装置。
(Appendix 6)
A classification unit that classifies a plurality of messages identified by each identifier into a plurality of classes that are a set of messages based on the similarity between the messages.
Among the words included in the plurality of messages, a specific part that identifies a common word in which the number of classes in which the word appears is larger than the standard, and
A message output device including an output unit that outputs a first message in which messages including the common word are aggregated.

101 監視機器 103 ホスト
105 DBサーバー 107 DNSサーバー
201 受信部 203 フィルタ
205 ルール記憶部 207 第1テーブル格納部
209 第1判定部 211 第1追加部
213 集約部 215 第2テーブル格納部
217 表示処理部 219 参照データ記憶部
221 受付部 223 第1抽出部
501 分類部 503 第1グループ処理部
505 第2グループ処理部 507 第2追加部
511 第2抽出部 513 集計部
515 第1算出部 517 第2算出部
519 クラスタリング部 521 第1特定部
523 判別部 525 第3追加部
531 第2特定部 533 生成部
535 第4追加部 537 第2判定部
539 統合部 551 単語テーブル格納部
553 集計テーブル格納部 555 重複数テーブル格納部
557 類似度テーブル格納部 559 分類テーブル格納部
561 クラステーブル格納部 563 出現率テーブル格納部
565 共通単語テーブル格納部 567 グループテーブル格納部
101 Monitoring equipment 103 Host 105 DB server 107 DNS server 201 Reception unit 203 Filter 205 Rule storage unit 207 1st table storage unit 209 1st judgment unit 211 1st additional unit 213 Aggregation unit 215 2nd table storage unit 217 Display processing unit 219 Reference data storage unit 221 Reception unit 223 1st extraction unit 501 Classification unit 503 1st group processing unit 505 2nd group processing unit 507 2nd additional unit 511 2nd extraction unit 513 Aggregation unit 515 1st calculation unit 517 2nd calculation unit 519 Clustering part 521 1st specific part 523 Discrimination part 525 3rd additional part 531 2nd specific part 533 Generation part 535 4th additional part 537 2nd judgment part 539 Integration part 551 Word table storage part 553 Aggregation table storage part 555 Multiple Table storage 557 Similarity table storage 559 Classification table storage 561 Class table storage 563 Occurrence rate table storage 565 Common word table storage 567 Group table storage

Claims (6)

各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類し、
前記複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定し、
前記共通単語を含むメッセージが集約された第1メッセージを出力する
処理をコンピュータに実行させるメッセージ出力プログラム。
Multiple messages, each identified by an identifier, are classified into multiple classes, which are a collection of messages, based on the similarity between the messages.
Among the words included in the plurality of messages, the common word in which the number of classes in which the word appears is larger than the standard is identified.
A message output program that causes a computer to execute a process of outputting a first message in which messages including the common words are aggregated.
更に、
前記共通単語の組合せについて、各共通単語を含むメッセージの前記識別子が重複するか否かを判定し、
前記識別子が重複する場合に、前記各共通単語に係る前記第1メッセージを同じグループにまとめる
処理を含む請求項1記載のメッセージ出力プログラム。
In addition
For the combination of the common words, it is determined whether or not the identifier of the message including each common word is duplicated.
The message output program according to claim 1, further comprising a process of grouping the first messages related to the common words into the same group when the identifiers are duplicated.
更に、
前記複数のクラスのうち、同一クラスに属するメッセージ間において重複しない単語の割合が基準より小さい候補クラスを特定し、
前記候補クラスに属するメッセージに含まれる複数の単語のうち、前記候補クラスに属するメッセージ単位の出現率が基準よりも小さい単語を変数であると判別し、
前記候補クラスに関して前記変数が判別された場合に、前記候補クラスに属する前記メッセージが集約された第2メッセージとして、前記候補クラスに属する前記メッセージに含まれる前記変数以外の単語と前記変数の位置を示す要素とを出力する
処理を含む請求項1又は2記載のメッセージ出力プログラム。
In addition
Among the plurality of classes, a candidate class in which the ratio of unique words among messages belonging to the same class is smaller than the standard is specified.
Of the plurality of words included in the message belonging to the candidate class, the word whose appearance rate of the message unit belonging to the candidate class is smaller than the standard is determined to be a variable.
When the variable is determined for the candidate class, words other than the variable and the position of the variable included in the message belonging to the candidate class are set as the second message in which the messages belonging to the candidate class are aggregated. The message output program according to claim 1 or 2, which includes a process of outputting the indicated element.
更に、
前記複数のメッセージのうち、前記第1メッセージによる集約対象及び前記第2メッセージによる集約対象に該当しないメッセージを出力する
処理を含む請求項3記載のメッセージ出力プログラム。
In addition
The message output program according to claim 3, further comprising a process of outputting a message that does not correspond to the aggregation target by the first message and the aggregation target by the second message among the plurality of messages.
各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類し、
前記複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定し、
前記共通単語を含むメッセージが集約された第1メッセージを出力する
処理を含み、コンピュータにより実行されるメッセージ出力方法。
Multiple messages, each identified by an identifier, are classified into multiple classes, which are a collection of messages, based on the similarity between the messages.
Among the words included in the plurality of messages, the common word in which the number of classes in which the word appears is larger than the standard is identified.
A message output method executed by a computer, which includes a process of outputting a first message in which messages including the common word are aggregated.
各々識別子によって識別される複数のメッセージを、メッセージ間の類似度に基づきメッセージの集合である複数のクラスに分類する分類部と、
前記複数のメッセージに含まれる単語のうち、当該単語が出現するクラスの数が基準より多い共通単語を特定する特定部と、
前記共通単語を含むメッセージが集約された第1メッセージを出力する出力部と
を有するメッセージ出力装置。
A classification unit that classifies a plurality of messages identified by each identifier into a plurality of classes that are a set of messages based on the similarity between the messages.
Among the words included in the plurality of messages, a specific part that identifies a common word in which the number of classes in which the word appears is larger than the standard, and
A message output device including an output unit that outputs a first message in which messages including the common word are aggregated.
JP2017079499A 2017-04-13 2017-04-13 Message output program, message output method and message output device Expired - Fee Related JP6794909B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017079499A JP6794909B2 (en) 2017-04-13 2017-04-13 Message output program, message output method and message output device
PCT/JP2018/008296 WO2018190033A1 (en) 2017-04-13 2018-03-05 Message output program, message output method, and message output device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017079499A JP6794909B2 (en) 2017-04-13 2017-04-13 Message output program, message output method and message output device

Publications (2)

Publication Number Publication Date
JP2018180927A JP2018180927A (en) 2018-11-15
JP6794909B2 true JP6794909B2 (en) 2020-12-02

Family

ID=63792361

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017079499A Expired - Fee Related JP6794909B2 (en) 2017-04-13 2017-04-13 Message output program, message output method and message output device

Country Status (2)

Country Link
JP (1) JP6794909B2 (en)
WO (1) WO2018190033A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7199991B2 (en) * 2019-02-13 2023-01-06 セコム株式会社 Monitoring system, monitoring method and program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6503679B2 (en) * 2014-10-06 2019-04-24 富士通株式会社 Filter rule creation device, filter rule creation method, and program
JP2016143320A (en) * 2015-02-04 2016-08-08 富士通株式会社 Log monitoring method, log monitoring apparatus, log monitoring system, and log monitoring program

Also Published As

Publication number Publication date
WO2018190033A1 (en) 2018-10-18
JP2018180927A (en) 2018-11-15

Similar Documents

Publication Publication Date Title
Thengane et al. Clip model is an efficient continual learner
Messalas et al. Model-agnostic interpretability with shapley values
DE112020005289B4 (en) PARTIALLY SORTED BLOCKCHAIN
CN110717828B (en) Abnormal account detection method and system based on frequent transaction mode
Peterson A heavy traffic limit theorem for networks of queues with multiple customer types
Giorgi et al. The remarkable benefit of user-level aggregation for lexical-based population-level predictions
Zhang et al. Joint optimization of AI fairness and utility: a human-centered approach
Altmann et al. On the analysis of rates of behaviour
Christen Data linkage: The big picture
CN109542741A (en) The automatic packet storage approach of log, device, computer equipment and storage medium
JP2015069461A (en) Information processing device
Bersini Self-assertion versus self-recognition: A tribute to Francisco Varela
CN110490750A (en) Data know method for distinguishing, system, electronic equipment and computer storage medium
JP6794909B2 (en) Message output program, message output method and message output device
Guan et al. Tracking the evolution of infrastructure systems and mass responses using publically available data
Chakraborty et al. Movie success prediction using historical and current data mining
CN110032494A (en) A kind of double grains degree noise log filter method based on incidence relation
JPWO2017037801A1 (en) Monitoring system and monitoring method
Rafail et al. Local receptivity climates and the dynamics of media attention to protest
CN118708580A (en) Method and computing device for managing data
Little et al. What can the age composition of a population tell us about the age composition of its out‐migrants?
JP7607607B2 (en) Consortium management device and method
CN109767546B (en) Quality check scheduling device and quality check scheduling method for negotiable documents
Khan Minhas et al. INTWEEMS: a framework for incremental clustering of tweet streams
Gyanchandani et al. Intrusion detection using C4. 5: performance enhancement by classifier combination

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201013

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201026

R150 Certificate of patent or registration of utility model

Ref document number: 6794909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees