JP7745478B2 - Analytical device and analytical method - Google Patents
Analytical device and analytical methodInfo
- Publication number
- JP7745478B2 JP7745478B2 JP2022028435A JP2022028435A JP7745478B2 JP 7745478 B2 JP7745478 B2 JP 7745478B2 JP 2022028435 A JP2022028435 A JP 2022028435A JP 2022028435 A JP2022028435 A JP 2022028435A JP 7745478 B2 JP7745478 B2 JP 7745478B2
- Authority
- JP
- Japan
- Prior art keywords
- patterns
- pattern
- unit
- log
- extracted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本開示は、分析装置及び分析方法に関する。 This disclosure relates to an analytical device and an analytical method.
特許文献1に記載のログ分析システム等は、情報処理システムから出力されたログメッセージを分析するとき、一定時間内に連続して出力されたログメッセージの組み合わせを抽出する時間を短縮することを目的とする。上記したログ分析システム等は、上記した目的を達成すべく、ログメッセージの出現情報に基づいて、同期して出現するログメッセージの組み合わせ毎に基準パターンを生成し、かつ、基準パターンに含まれるログメッセージの出現情報を基準パターン間で比較した結果に基づき基準パターン同士を統合する。 The log analysis system described in Patent Document 1 aims to shorten the time required to extract combinations of log messages output consecutively within a certain period of time when analyzing log messages output from an information processing system. To achieve this goal, the log analysis system generates a reference pattern for each combination of log messages that appear synchronously based on the log message appearance information, and integrates the reference patterns based on the results of comparing the appearance information of the log messages included in the reference patterns between the reference patterns.
しかしながら、上記した情報処理システム毎に、出力されるログのフォーマット、及びログが出力される時間間隔が異なることから、複数の情報処理システムから出力される、フォーマット等が相違する複数のログ間で、同時発生パターンを検出することが困難であった。 However, because the format of the logs output and the time intervals at which the logs are output differ for each of the above-mentioned information processing systems, it has been difficult to detect concurrent occurrence patterns among multiple logs with different formats and other characteristics output from multiple information processing systems.
本開示の目的は、粒度が異なるデータ同士の間で同時発生パターンを検出することの困難性を低減する分析装置及び分析方法を提供することにある。 The objective of this disclosure is to provide an analysis device and analysis method that reduces the difficulty of detecting co-occurrence patterns between data with different granularities.
上記した課題を解決すべく、本開示に係る分析装置は、複数の機器からデータを取得するデータ取得部と、各機器毎に、取得されたデータにおける複数の同時発生パターン、及び複数の同時発生パターンの発生回数を抽出し、抽出された発生回数に基づき、抽出された複数の同時発生パターンを統合することにより、統合ログを作成する個別分析部と、複数の機器間で、統合ログを組み合わせる統合部と、組み合わされたログから同時発生パターンを抽出する統合分析部と、を含む。 To solve the above-mentioned problems, the analysis device disclosed herein includes a data acquisition unit that acquires data from multiple devices; an individual analysis unit that extracts multiple simultaneous occurrence patterns and the number of occurrences of the multiple simultaneous occurrence patterns from the acquired data for each device, and creates an integrated log by integrating the extracted simultaneous occurrence patterns based on the extracted number of occurrences; an integration unit that combines the integrated logs between multiple devices; and an integrated analysis unit that extracts simultaneous occurrence patterns from the combined log.
本開示に係る分析装置によれば、粒度が異なるデータ同士の間で同時発生パターンを検出することの困難性を低減する。 The analysis device disclosed herein reduces the difficulty of detecting co-occurrence patterns between data of different granularity.
本開示に係る分析装置の実施形態について説明する。 This section describes an embodiment of an analytical device according to the present disclosure.
以下では、説明及び理解を容易にすべく、1つの符号により複数の名称を総称することがあり、例えば、符号「1」より、「データ取得部1A」、「データ取得部1B」、、、を総称することがある。
実施形態.
〈実施形態〉
〈実施形態の機能〉
実施形態の分析装置BSは、同一のデータから同時発生パターンを抽出する。実施形態の分析装置BSでは、処理は、学習フェーズと推論フェーズとに分けられていない。
In the following, to facilitate explanation and understanding, multiple names may be collectively referred to by a single reference symbol; for example, the reference symbol "1" may be used to collectively refer to "data acquisition unit 1A,""data acquisition unit 1B," etc.
Embodiment.
<Embodiment>
<Functions of the embodiment>
The analysis device BS of the embodiment extracts co-occurrence patterns from the same data. In the analysis device BS of the embodiment, the processing is not divided into a learning phase and an inference phase.
「同時発生パターン」とは、起因する現象が同一であるデータの組み合わせをいう。以下では、「同時発生パターン」と「イベントパターン」とは、同義であり、また、「パターン」と略称することがある。 A "co-occurrence pattern" refers to a combination of data that causes the same phenomenon. Hereinafter, "co-occurrence pattern" and "event pattern" are synonymous and may be abbreviated to "pattern."
図1は、実施形態の分析装置BSの機能ブロック図である。 Figure 1 is a functional block diagram of the analysis device BS of this embodiment.
分析装置BSは、図1に示されるように、データ取得部1A~1Dと、ログ個別分析部2A~2Dと、統合ログ作成部3A~3Dと、統合ログ分析部4A~4Dと、パターン表示部5と、パターン記憶部6と、を含む。 As shown in FIG. 1, the analysis device BS includes data acquisition units 1A-1D, individual log analysis units 2A-2D, integrated log creation units 3A-3D, integrated log analysis units 4A-4D, pattern display unit 5, and pattern storage unit 6.
〈データ取得部1の構成〉
データ取得部1は、分析する対象であるシステムから、分析対象BTであるデータ(例えば、ログデータ、メトリクスデータ)を少なくとも一つ取得する。データ取得部1は、取得されたデータをログ個別分析部2へ受け渡す。
<Configuration of data acquisition unit 1>
The data acquisition unit 1 acquires at least one piece of data (e.g., log data, metrics data) that is the analysis target BT from the system that is the target of analysis. The data acquisition unit 1 passes the acquired data to the log individual analysis unit 2.
〈ログ個別分析部2の構成〉
図2は、実施形態のログ個別分析部2の機能ブロック図である。
<Configuration of individual log analysis unit 2>
FIG. 2 is a functional block diagram of the individual log analysis unit 2 according to the embodiment.
ログ個別分析部2は、図2に示されるように、ログ個別分析部2は、第1パターン抽出部20と、第1パターン統合部21と、ログ統合部22と、イベントパターン定義部23と、を有する。 As shown in FIG. 2, the individual log analysis unit 2 includes a first pattern extraction unit 20, a first pattern integration unit 21, a log integration unit 22, and an event pattern definition unit 23.
第1パターン抽出部20は、データ取得部1及びログ統合部22から取得されるインデックスの範囲が重複するデータについて、各行に分類し、分類値に変換する。第1パターン抽出部20は、相互に近い時間帯で発生する分類値について、頻出パターンマイニングを実施することにより、同時発生パターンとなるイベントの組み合わせを抽出する。 The first pattern extraction unit 20 classifies data with overlapping index ranges acquired from the data acquisition unit 1 and the log integration unit 22 into rows and converts them into classification values. The first pattern extraction unit 20 performs frequent pattern mining on classification values that occur in close time periods to extract combinations of events that form simultaneous occurrence patterns.
イベントを抽出する方法は、機械学習の手法のひとつであるアソシエーション分析などを用いてもよいし、イベントパターンを保持している外部ファイルと照合するなどしてもよい。 Events can be extracted using methods such as association analysis, a machine learning technique, or by matching them with an external file that stores event patterns.
第1パターン統合部21は、第1パターン抽出部20により抽出されたイベント又はイベントパターンの発生頻度に基づき、パターンを統合する。 The first pattern integration unit 21 integrates patterns based on the occurrence frequency of events or event patterns extracted by the first pattern extraction unit 20.
パターンの統合方法については、例えば、イベントパターンの部分集合が一致しているものを統合候補として抽出し、データ取得部1又はログ統合部22から取得された時系列データを用いて各イベントの発生頻度を計算・集計し、計算・集計の結果に基づき、イベントパターンの共通部分をマージする等の方法を用いることができる。 As a method for integrating patterns, for example, methods can be used in which matching subsets of event patterns are extracted as integration candidates, the occurrence frequency of each event is calculated and tallied using time-series data acquired from the data acquisition unit 1 or the log integration unit 22, and the common parts of the event patterns are merged based on the results of the calculation and aggregation.
ログ統合部22は、抽出されたパターンの系列を統合することで1つのログの行とし、インデックスの順番や時系列で並び替える。ログ統合部22は、抽出されたパターンに名前を付けてログを分類し、パターンの定義とパターンの分類結果を圧縮する。ログ統合部22は、抽出されたパターンをイベントパターン定義部に保存する。 The log integration unit 22 integrates the extracted pattern sequences into a single log row and sorts them in index order or chronological order. The log integration unit 22 assigns names to the extracted patterns to classify the logs, and compresses the pattern definitions and pattern classification results. The log integration unit 22 saves the extracted patterns in the event pattern definition unit.
イベントパターン定義部23は、パターンの定義等を例えば、メモリ及びデータベースなど任意の場所に格納する。 The event pattern definition unit 23 stores pattern definitions, etc. in any location, such as memory or a database.
ログ記憶部24は、パターンが抽出されなかったイベントの集合で構成されるログを記憶する。記憶されたログは、分析範囲などを指定する要素として第1パターン抽出部20で使用されてもよく、また、破棄されて上で分析が行われてもよい。 The log storage unit 24 stores a log consisting of a collection of events from which no patterns were extracted. The stored log may be used by the first pattern extraction unit 20 as an element for specifying the analysis range, etc., or may be discarded before further analysis.
〈統合ログ作成部3の構成〉
統合ログ作成部3は、ログ個別分析部2により作成された統合ログの系列を統合し、1つのログの行とする。
<Configuration of Integrated Log Creation Unit 3>
The integrated log creator 3 integrates the series of integrated logs created by the individual log analyzer 2 into a single log line.
〈統合ログ分析部4の構成〉
図3は、実施形態の統合ログ分析部4の機能ブロック図である。
<Configuration of Integrated Log Analysis Unit 4>
FIG. 3 is a functional block diagram of the integrated log analysis unit 4 according to the embodiment.
統合ログ分析部4は、図3に示されるように、イベント抽出部40と、第2パターン統合部41と、を有する。 As shown in FIG. 3, the integrated log analysis unit 4 has an event extraction unit 40 and a second pattern integration unit 41.
イベント抽出部40は、統合ログ作成部3により取得されたデータについて、頻出パターンマイニングを実施することにより、イベントを抽出する。 The event extraction unit 40 extracts events by performing frequent pattern mining on the data acquired by the integrated log creation unit 3.
イベントの抽出の手法は、機械学習の手法のひとつであるアソシエーション分析などを用いてもよいし、イベントパターンを保持している外部ファイルと照合してもよい。 Event extraction methods may include association analysis, a machine learning technique, or matching with an external file that contains event patterns.
第2パターン統合部41は、抽出されたイベントパターンについて不要なイベントを削除する。 The second pattern integration unit 41 deletes unnecessary events from the extracted event pattern.
イベントの削除の方法については、イベントパターンの部分集合が一致しているものを統合候補として抽出し、統合ログ作成部3から取得された時系列データから各イベントの時間的な発生頻度を計算・集計し、発生頻度がかけ離れているイベントパターンを削除する。これにより、適切なパターンのみを出力する。 Event deletion is performed by extracting matching event pattern subsets as integration candidates, calculating and aggregating the temporal occurrence frequency of each event from the time-series data obtained from the integrated log creation unit 3, and deleting event patterns with significantly different occurrence frequencies. This allows only appropriate patterns to be output.
〈パターン表示部5及びパターン記憶部6の構成〉
パターン表示部5は、抽出されたイベントパターンを表示し、また、パターン記憶部6は、抽出されたイベントパターンを記憶する。
<Configuration of pattern display unit 5 and pattern storage unit 6>
The pattern display unit 5 displays the extracted event pattern, and the pattern storage unit 6 stores the extracted event pattern.
〈実施形態のハードウェア構成〉
図4は、実施形態の分析装置BSのハードウェア構成を示す。
Hardware Configuration of the Embodiment
FIG. 4 shows the hardware configuration of the analysis apparatus BS according to the embodiment.
実施形態の分析装置BSは、上述した機能を果たすべく、図2に示されるように、プロセッサPRと、メモリMEと、記憶媒体KIと、を含み、必要に応じて、入力部NYと、出力部SYと、更に含む。 To perform the above-described functions, the analytical device BS of this embodiment includes a processor PR, memory ME, and storage medium KI, as shown in FIG. 2, and may further include an input unit NY and an output unit SY as needed.
プロセッサPRは、ソフトウェアに従ってハードウェアを動作させる、よく知られたコンピュータの中核である。メモリMEは、例えば、DRAM(Dynamic Random Access Memory)、SRAM(Static Random Access Memory)から構成される。記憶媒体KIは、例えば、ハードディスクドライブ(HDD:Hard Disk Drive)、ソリッドステートドライブ(SSD:Solid State Drive)、ROM(Read Only Memory)から構成される。記憶媒体KIは、プログラムPRGを記憶する。プログラムPRGは、プロセッサPRが実行すべき処理の内容を規定する命令群である。 The processor PR is the well-known core of a computer, operating the hardware according to software. The memory ME is composed of, for example, dynamic random access memory (DRAM) and static random access memory (SRAM). The storage medium KI is composed of, for example, a hard disk drive (HDD), a solid state drive (SSD), and read-only memory (ROM). The storage medium KI stores a program PRG. The program PRG is a set of instructions that defines the processing to be executed by the processor PR.
入力部NYは、例えば、カメラ、マイク、キーボード、マウス、タッチパネルから構成される。出力部SYは、例えば、液晶モニター、プリンタ、タッチパネルから構成される。 The input unit NY is composed of, for example, a camera, microphone, keyboard, mouse, and touch panel. The output unit SY is composed of, for example, an LCD monitor, printer, and touch panel.
分析装置BSにおける機能とハードウェア構成との関係については、ハードウェア上で、プロセッサPRが、記憶媒体KIに記憶されたプログラムPRGを、メモリMEを用いて実行すると共に、必要に応じて、入力部NY及び出力部SYの動作を制御することにより、データ取得部1~パターン表示部5の各部の機能を実現する。 Regarding the relationship between the functions and hardware configuration of the analytical device BS, the processor PR executes the program PRG stored in the storage medium KI using the memory ME on the hardware, and controls the operation of the input unit NY and output unit SY as necessary, thereby realizing the functions of each unit from the data acquisition unit 1 to the pattern display unit 5.
〈実施形態の動作〉
図5は、実施形態の分析装置BSの動作を示すフローチャートである。
<Operation of the embodiment>
FIG. 5 is a flowchart showing the operation of the analyzer BS according to the embodiment.
ステップST1:データ取得部1は、分析する対象である情報システムから、分析対象BTとして、データ(例えば、文字列の系列データや数値の系列データ)を取得する。 Step ST1: The data acquisition unit 1 acquires data (e.g., string sequence data or numeric sequence data) as the analysis target BT from the information system to be analyzed.
ステップST2:前記取得されたデータ、例えば、時系列データに頻出パターンマイニングを実施することにより、同時発生パターン及び発生回数を抽出する。 Step ST2: Perform frequent pattern mining on the acquired data, for example, time-series data, to extract co-occurrence patterns and their occurrence counts.
ステップST3:イベントパターンの部分集合が一致しているものを統合候補として抽出し、前記抽出された発生回数に基づき、パターンの共通部分をマージする。 Step ST3: Event patterns with matching subsets are extracted as integration candidates, and the common parts of the patterns are merged based on the extracted number of occurrences.
図6は、実施形態のイベントパターンの抽出及び統合を示す。 Figure 6 shows the extraction and integration of event patterns in an embodiment.
図6に示されるように、機器Xから出力されたログについて、同時発生となるイベントパターンとイベントの発生回数を抽出する(ステップST2)。 As shown in Figure 6, simultaneous event patterns and the number of times the events occur are extracted from the log output from device X (step ST2).
前記抽出された発生回数について、木構造を利用して集計する。詳しくは、最上位のノードから末端の葉ノードまでの一つの経路が一つの組み合わせのパターンに対応し、葉ノードのイベントの発生回数が、イベントの組み合わせパターンの発生回数をも表す。 The extracted occurrence counts are tallied using a tree structure. Specifically, one path from the top node to the terminal leaf node corresponds to one combination pattern, and the number of occurrences of an event at a leaf node also represents the number of occurrences of that event combination pattern.
図6で、「現象」と「イベント」とは、同一である。例えば、ログデータに出力されている現象Aと、木の葉ノードとして表現されているイベントAとは、同一である。 In Figure 6, "phenomenon" and "event" are the same. For example, phenomenon A output in the log data and event A represented as a leaf node of the tree are the same.
例えば、抽出されたイベントパターン(A、D、E)の(D、E)の発生回数のパターンと、イベントパターン(D、E、F)の(D、E)の発生回数のパターンとが一致している。そこで、2つのイベントパターンを組み合わせた、イベントパターン(A、D、E、F)を作成する(ステップST3)。 For example, the pattern of the number of occurrences of (D, E) in the extracted event pattern (A, D, E) matches the pattern of the number of occurrences of (D, E) in the event pattern (D, E, F). Therefore, the two event patterns are combined to create an event pattern (A, D, E, F) (step ST3).
ステップST4:前記抽出されたパターンに名前を付けてログを分類し、パターンの定義とパターンの分類結果が圧縮された統合ログを作成する。 Step ST4: Name the extracted patterns, classify the logs, and create an integrated log that condenses the pattern definitions and pattern classification results.
抽出されたパターンの定義は、イベントパターン定義部23に保存される。パターンとして抽出されなかったイベントは、ログ記憶部24に保存される。 The definitions of the extracted patterns are stored in the event pattern definition unit 23. Events that are not extracted as patterns are stored in the log storage unit 24.
図7は、実施形態の統合ログ(前半)を示す。 Figure 7 shows the integrated log (first half) of an embodiment.
図8は、実施形態の統合ログ(後半)を示す。 Figure 8 shows the integrated log (second half) of the embodiment.
機器Xのログデータ(図6に図示。)から、8個のイベントパターンが、より詳しくは、イベントパターン(現象A、現象B、現象C)、(現象A、現象B)、(現象A)、(現象A、現象D)、(現象A、現象D、現象E)、(現象A、現象D、現象E、現象F)、(現象D)、及び(現象D、現象F)が抽出される。前記抽出されたパターンに名前(例えば、パターンP1、パターンP2)を付け、パターン定義「パターンP1:(現象A、現象B、現象C)、パターンP2:(現象A、現象B)、パターンP3:(現象A)、パターンP4:(現象A、現象D)、パターンP5:(現象A、現象D、現象E)、パターンP6:(現象A、現象D、現象E、現象F)、パターンP7:(現象D)、パターンP8:(現象D、現象F)」をイベントパターン定義部23に保存する。 Eight event patterns are extracted from the log data of device X (shown in FIG. 6), more specifically, the event patterns (phenomenon A, phenomenon B, phenomenon C), (phenomenon A, phenomenon B), (phenomenon A), (phenomenon A, phenomenon D), (phenomenon A, phenomenon D, phenomenon E), (phenomenon A, phenomenon D, phenomenon E, phenomenon F), (phenomenon D), and (phenomenon D, phenomenon F). The extracted patterns are given names (e.g., pattern P1, pattern P2), and the pattern definitions "Pattern P1: (phenomenon A, phenomenon B, phenomenon C), pattern P2: (phenomenon A, phenomenon B), pattern P3: (phenomenon A), pattern P4: (phenomenon A, phenomenon D), pattern P5: (phenomenon A, phenomenon D, phenomenon E), pattern P6: (phenomenon A, phenomenon D, phenomenon E, phenomenon F), pattern P7: (phenomenon D), pattern P8: (phenomenon D, phenomenon F)" are saved in the event pattern definition unit 23.
パターンの分類結果である「{2021/1/100:00:01、2021/1/100:00:03}パターンP1;{2021/1/100:00:04、2021/1/100:00:05}パターンP2;{2021/1/100:00:06、2021/1/100:00:06}パターンP3;{2021/1/100:00:07、2021/1/100:00:08}パターンP4;{2021/1/100:00:07、2021/1/100:00:09}パターンP5;{2021/1/100:00:07、2021/1/100:00:10}パターンP6;{2021/1/100:00:11、2021/1/100:00:11}パターンP7;{2021/1/100:00:13、2021/1/100:00:14}パターンP8」を、統合ログとして定義し、インデックスの順番や時系列で並び替える。 The pattern classification results are: {2021/1/100:00:01, 2021/1/100:00:03} Pattern P1; {2021/1/100:00:04, 2021/1/100:00:05} Pattern P2; {2021/1/100:00:06, 2021/1/100:00:06} Pattern P3; {2021/1/100:00:07, 2021/1/100:00:08} Pattern P4; {2021/1/10 Define "{2021/1/100:00:07, 2021/1/100:00:09} Pattern P5; {2021/1/100:00:07, 2021/1/100:00:10} Pattern P6; {2021/1/100:00:11, 2021/1/100:00:11} Pattern P7; {2021/1/100:00:13, 2021/1/100:00:14} Pattern P8" as an integrated log and sort by index order or chronological order.
イベントパターンとして抽出されなかったイベント「2021/1/100:00:15現象G」は、パターン抽出されなかったイベントの集合で構成されるログを保持するログ記憶部24に格納される。 The event "2021/1/100:00:15 Phenomenon G" that was not extracted as an event pattern is stored in the log storage unit 24, which holds a log consisting of a collection of events for which patterns were not extracted.
ステップST5:前記作成された統合ログについて、ステップST2と同様の処理を実施する。 Step ST5: The same processing as in step ST2 is performed on the created integrated log.
ステップST6:ステップST2~ステップST5の処理を、未分類のイベントがなくなるまで、又は、頻出パターンが抽出できなくなるまで、繰り返する。ステップST2~ステップST6における一連の処理は、ログ単位で独立しており、任意のログの処理が先行してもよいし並行して動作してもよい。 Step ST6: Repeat steps ST2 to ST5 until there are no more unclassified events or until frequent patterns can no longer be extracted. The series of processes in steps ST2 to ST6 are independent for each log, and the processing of any log may precede or run in parallel.
ステップST7:ステップST6までに生成された統合ログ同士を時系列に統合し、即ち、組み合わせたログを生成する。 Step ST7: The integrated logs generated up to step ST6 are integrated in chronological order, i.e., a combined log is generated.
分析対象のログが1つである場合は、ステップST7以後の処理は省略してよい。 If there is only one log to be analyzed, processing from step ST7 onwards may be omitted.
図9は、実施形態の複数の機器における統合ログ(前半)を示す。 Figure 9 shows the first half of the integrated log for multiple devices in this embodiment.
図10は、実施形態の複数の機器における統合ログ(後半)を示す。 Figure 10 shows the second half of the integrated log for multiple devices in this embodiment.
機器YについてもステップST2~ST6の処理を繰り返すことにより、統合ログ「{2021/1/100:00:02、2021/1/100:00:03}パターンQ1;{2021/1/100:00:03、2021/1/100:00:03}パターンQ2」が出力されていることを想定する。 It is assumed that by repeating steps ST2 to ST6 for device Y, the integrated log "{2021/1/100:00:02, 2021/1/100:00:03} Pattern Q1; {2021/1/100:00:03, 2021/1/100:00:03} Pattern Q2" is output.
ステップST7では、機器X、機器Yの各々のデータから生成された統合ログをマージする、機器Xの統合ログと機器Yの統合ログとを組み合わせる。これにより、インデックスの順番や時系列で並び替えた統合ログ、即ち、組み合わせログ「{2021/1/100:00:01、2021/1/100:00:03}パターンP1;{2021/1/100:00:02、2021/1/100:00:03}パターンQ1;{2021/1/100:00:03、2021/1/100:00:03}パターンQ2;{2021/1/100:00:04、2021/1/100:00:05}パターンP2;{2021/1/100:00:06、2021/1/100:00:06}パターンP3;{2021/1/100:00:07、2021/1/100:00:08}パターンP4;{2021/1/100:00:07、2021/1/100:00:09}パターンP5;{2021/1/100:00:07、2021/1/100:00:10}パターンP6;{2021/1/100:00:11、2021/1/100:00:11}パターンP7;{2021/1/100:00:13、2021/1/100:00:14}パターンP8」を定義する。 In step ST7, the integrated logs generated from the data of device X and device Y are merged, and the integrated log of device X and the integrated log of device Y are combined. This generates an integrated log sorted in index order and chronological order, i.e., a combined log "{2021/1/100:00:01, 2021/1/100:00:03} Pattern P1; {2021/1/100:00:02, 2021/1/100:00:03} Pattern Q1; {2021/1/100:00:03, 2021/1/100:00:03} Pattern Q2; {2021/1/100:00:04, 2021/1/100:00:05} Pattern P2; {2021/1/100:00:06, 2021/1 /100:00:06} Pattern P3; {2021/1/100:00:07, 2021/1/100:00:08} Pattern P4; {2021/1/100:00:07, 2021/1/100:00:09} Pattern P5; {2021/1/100:00:07, 2021/1/100:00:10} Pattern P6; {2021/1/100:00:11, 2021/1/100:00:11} Pattern P7; {2021/1/100:00:13, 2021/1/100:00:14} Pattern P8" are defined.
ステップST8:前記生成された統合ログ、即ち、組み合わせログについて、頻出パターンマイニングを実施することにより、同時発生パターンと各イベントの時間的な発生頻度を抽出する。 Step ST8: Frequent pattern mining is performed on the generated integrated log, i.e., the combined log, to extract co-occurrence patterns and the temporal occurrence frequency of each event.
ここで、イベントパターンの部分集合が一致しているものを統合候補として抽出し、前記抽出された各イベントの時間的な発生頻度に基づき、同時発生現象となる確率の低いイベントパターンを削除し、1階層上の頻出パターンマイニングを実施してイベントパターンを抽出する。 Here, matching subsets of event patterns are extracted as integration candidates, and based on the temporal occurrence frequency of each extracted event, event patterns with a low probability of occurring simultaneously are removed, and frequent pattern mining at a higher level is performed to extract event patterns.
ステップST9:イベントパターンが、時間的発生頻度の乖離があるか否かを判断する。 Step ST9: Determine whether the event patterns have a discrepancy in their occurrence frequency over time.
図11は、実施形態のイベントの削除を示す。 Figure 11 shows an embodiment of deleting an event.
前記抽出されたイベントパターンは、図11に示されるように、(A、B、C)=(9回/10sec、5回/10sec、1回/10sec)、(α、ε)=(80回/100sec、40回/100sec)であった場合、イベントパターンの時間的な発生頻度は、(A、B、C)=1回/10sec、(A、B)=4回/10sec、(A)=4回/10sec、(α、ε)=4回/10sec、(α)=4回/10secと表すことができる。イベントパターンαと同時発生の確率が低いパターンは、イベントパターンαの発生パターンとかけ離れた時間的発生頻度を持つものとみなすことができることから、時間的発生頻度の乖離が大きいイベントパターン(A、B、C)を削除する。 As shown in Figure 11, if the extracted event patterns are (A, B, C) = (9 times/10 seconds, 5 times/10 seconds, 1 time/10 seconds), (α, ε) = (80 times/100 seconds, 40 times/100 seconds), the temporal occurrence frequencies of the event patterns can be expressed as (A, B, C) = 1 time/10 seconds, (A, B) = 4 times/10 seconds, (A) = 4 times/10 seconds, (α, ε) = 4 times/10 seconds, (α) = 4 times/10 seconds. Patterns that have a low probability of co-occurring with event pattern α can be considered to have temporal occurrence frequencies that are significantly different from the occurrence pattern of event pattern α, so event patterns (A, B, C) with large deviations in temporal occurrence frequencies are deleted.
イベントの削除における時間的発生頻度の閾値は、任意に設定してもよい。 The threshold for the temporal frequency of events to be deleted may be set arbitrarily.
イベントパターンを削除する候補が無い場合、イベントを削除せずにステップST10の処理へ進む。 If there are no candidates for deleting an event pattern, proceed to step ST10 without deleting the event.
ここで、例えば、(A)、(A、B)及び(α)の算出は、以下のように行われる。
イベントAをA、イベントBをB、イベントCをCと呼び、(A、B)を組み合わせの単位、A、Bを組み合わせとする。
Here, for example, (A), (A, B) and (α) are calculated as follows.
Event A is called A, event B is called B, and event C is called C, and (A, B) is the unit of combination, and A and B are a combination.
(A)=Aのみの発生頻度
(A、B)=A、Bのみの発生頻度
(A、B、C)=A、B、Cのみの発生頻度
とした場合、
If (A) = frequency of occurrence of only A, (A, B) = frequency of occurrence of only A and B, and (A, B, C) = frequency of occurrence of only A, B, and C,
(A)
=Aの発生頻度-A、Bの発生頻度
=9回/10sec-5回/10sec
=4回/10sec
(A)
= Frequency of occurrence of A - Frequency of occurrence of A and B
= 9 times/10 seconds - 5 times/10 seconds
= 4 times/10 seconds
(A、B)
=A、Bの発生頻度-(A、B、C)
=5回/10sec-1回/10sec
=4回/10sec
(A, B)
= Frequency of occurrence of A and B - (A, B, C)
= 5 times/10 seconds - 1 time/10 seconds
= 4 times/10 seconds
(α)
=αの発生頻度-α、εの発生頻度
=80回/100sec-40回/100sec
=40回/100sec
=4回/10sec
(α)
= Frequency of occurrence of α - Frequency of occurrence of α and ε
= 80 times/100 seconds - 40 times/100 seconds
= 40 times/100 seconds
= 4 times/10 seconds
ステップST11:前記抽出されたイベントパターンをパターン表示部5が表示し、又はパターン記憶部6に記憶する。 Step ST11: The extracted event pattern is displayed by the pattern display unit 5 or stored in the pattern storage unit 6.
〈実施形態の効果〉
図12は、実施形態の分析装置BSの効果を示す。
Effects of the embodiment
FIG. 12 shows the effect of the analyzer BS of the embodiment.
図12に示されるように、従来のパターン抽出では、異なるデータ、即ち、機器Xのログデータと機器Yのログデータとを統合した後に頻出パターンマイニングを用いる。従って、分断された同時発生パターンしか抽出されない可能性が高い。 As shown in Figure 12, conventional pattern extraction uses frequent pattern mining after integrating different data, i.e., the log data of device X and the log data of device Y. Therefore, there is a high possibility that only disconnected co-occurrence patterns will be extracted.
実施形態の分析装置BSは、上述したように、また、図12に示されるように、データを系列毎に個別に、即ち、機器X毎に及び機器Y毎に、分類した後に統合する。実施形態の分析装置BSは、統合されたデータについて、頻出パターンマイニングを用いる。これにより、例えば、文字データと数値データとの間で、換言すれば、粒度が異なるデータ同士の間で同時発生パターンを抽出することができる。 As described above and shown in FIG. 12, the analysis device BS of the embodiment classifies data separately for each series, i.e., for each device X and each device Y, and then integrates the data. The analysis device BS of the embodiment uses frequent pattern mining on the integrated data. This makes it possible to extract co-occurrence patterns, for example, between character data and numeric data, in other words, between data of different granularity.
実施形態の分析装置BSは、また、イベントの抽出、パターンの統合、ログの統合の処理を条件に基づき繰り返す。これにより、同時発生パターンの抽出回数を人が指定する必要がなく、またパターンの抽出漏れを防ぐことができる。 The analysis device BS of this embodiment also repeats the processes of event extraction, pattern integration, and log integration based on conditions. This eliminates the need for a person to specify the number of times to extract simultaneous patterns, and also prevents patterns from being missed during extraction.
一般的に、ログのサイズが大きくなる傾向の下で、同時発生パターンが分断された状態で抽出され易くなる傾向になっている。しかし、実施形態の分析装置BSでは、分断されたイベントパターンの共通部分をマージすることにより、同時発生パターンを効率的に抽出することができ、かつ、分析の精度を向上させることができる。また、イベントパターンの発生頻度が乖離しているパターンを削除することにより、分析時間を短縮することができ、同時発生パターンをより効率的に抽出することができる。更に、ログを圧縮しながら分析することにより、分析時間を短縮することができる。 Generally, as log sizes tend to increase, concurrent patterns tend to be extracted in a fragmented state. However, the analysis device BS of this embodiment can efficiently extract concurrent patterns and improve analysis accuracy by merging the common parts of fragmented event patterns. Furthermore, by deleting patterns with divergent event pattern occurrence frequencies, analysis time can be shortened, allowing concurrent patterns to be extracted more efficiently. Furthermore, analysis time can be shortened by compressing the log while performing analysis.
〈変形例1〉
用途が限定されている場合(例えば、分析対象のログが一つである場合等)、分析装置BSは、統合ログ作成部3と統合ログ分析部4が無い構成でよい。
<Variation 1>
When the use is limited (for example, when there is only one log to be analyzed), the analysis device BS may be configured without the integrated log creation unit 3 and the integrated log analysis unit 4.
〈変形例2〉
頻出パターンマイニングの手法として一般的な機械学習手法(例えば、アソシエーション分析)を用いる実施形態と相違し、イベントパターンを保持している外部ファイルと照合する等でイベントパターンを抽出してもよい。
<Variation 2>
Unlike the embodiment that uses a general machine learning method (for example, association analysis) as a frequent pattern mining method, the event patterns may be extracted by, for example, comparing them with an external file that holds the event patterns.
〈変形例3〉
上述した発生頻度については、第1パターン抽出部20により算出された発生頻度をそのまま利用し、発生頻度に乖離のあるパターンを削除することもできる。従って、ステップST8での処理を省略し、組み合わせの候補を列挙してもよい。また、ステップST9、ステップST10での分析により組み合わせ候補を削減した後に、ステップST8の処理を実施することにより、演算量を削減することも可能である。
<Variation 3>
Regarding the occurrence frequencies described above, it is also possible to use the occurrence frequencies calculated by the first pattern extraction unit 20 as they are, and delete patterns with deviations in occurrence frequencies. Therefore, the process of step ST8 may be omitted, and combination candidates may be listed. Furthermore, it is also possible to reduce the amount of calculation by performing the process of step ST8 after eliminating combination candidates through the analysis of steps ST9 and ST10.
本開示の要旨を逸脱しない範囲で、上述した実施形態同士を組み合わせてもよく、また、各実施形態中の構成要素を適宜、削除し、変更し、または、他の構成要素を追加してもよい。 The above-described embodiments may be combined, and components within each embodiment may be deleted or modified, or other components may be added, as appropriate, without departing from the spirit of this disclosure.
1 データ取得部、2 ログ個別分析部、3 統合ログ作成部、4 統合ログ分析部、5 パターン表示部、6 パターン記憶部、20 第1パターン抽出部、21 第1パターン統合部、22 ログ統合部、23 イベントパターン定義部、24 ログ記憶部、40 イベント抽出部、41 第2パターン統合部、BS 分析装置、BT 分析対象、KI 記憶媒体、ME メモリ、NY 入力部、P パターン、PR プロセッサ、PRG プログラム、Q パターン、SY 出力部、X 機器、Y 機器。 1 Data acquisition unit, 2 Individual log analysis unit, 3 Integrated log creation unit, 4 Integrated log analysis unit, 5 Pattern display unit, 6 Pattern storage unit, 20 First pattern extraction unit, 21 First pattern integration unit, 22 Log integration unit, 23 Event pattern definition unit, 24 Log storage unit, 40 Event extraction unit, 41 Second pattern integration unit, BS Analysis device, BT Analysis target, KI Storage medium, ME Memory, NY Input unit, P Pattern, PR Processor, PRG Program, Q Pattern, SY Output unit, X Device, Y Device.
Claims (7)
前記各機器毎に、前記取得されたデータにおける複数の同時発生パターン、及び前記複数の同時発生パターンの発生回数を抽出し、前記抽出された発生回数に基づき、前記抽出された複数の同時発生パターンを統合することにより、統合ログを作成する個別分析部と、
前記複数の機器間で、前記統合ログを組み合わせる統合部と、
前記組み合わされたログから前記同時発生パターンを抽出する統合分析部と、
を含む分析装置。 a data acquisition unit that acquires data from a plurality of devices;
an individual analysis unit that extracts, for each of the devices, a plurality of simultaneous occurrence patterns and the number of times the simultaneous occurrence patterns occur in the acquired data, and creates an integrated log by integrating the extracted simultaneous occurrence patterns based on the extracted number of times the patterns occur;
an integration unit that combines the integrated logs between the plurality of devices;
an integrated analysis unit that extracts the co-occurrence patterns from the combined logs;
An analytical device comprising:
請求項1に記載の分析装置。 the individual analysis unit has a first pattern extraction unit, a first pattern integration unit, and a log integration unit, and repeats processing by the first pattern extraction unit, processing by the first pattern integration unit, and processing by the log integration unit until there are no unclassified events or until frequent patterns can no longer be extracted.
The analytical device of claim 1 .
請求項1に記載の分析装置。 the integration unit merges common similar parts among the extracted multiple co-occurrence patterns;
The analytical device of claim 1 .
前記統合分析部は、前記抽出された時間的な発生頻度に基づき、同時に発生しえない同時発生パターンを除外する、
請求項1に記載の分析装置。 the individual analysis unit extracts the temporal occurrence frequency of the simultaneous occurrence pattern;
the integrated analysis unit excludes simultaneous occurrence patterns that cannot occur simultaneously based on the extracted temporal occurrence frequencies;
The analytical device of claim 1 .
請求項1に記載の分析装置。 the integration unit names and classifies the co-occurrence patterns, and compresses the definitions of the co-occurrence patterns and the results of the classification.
The analytical device of claim 1 .
前記記憶されたログは、イベント数が1の組み合わせパターンの系列として後段の処理で他の組み合わせパターンと同様に取り扱われ、分析する範囲を指定するために用いられ、又は、破棄されて分析が行われる、
請求項5に記載の分析装置。 the individual analysis unit has a log storage unit that stores a log consisting of a set of events from which the simultaneous occurrence pattern is not extracted,
The stored log is treated as a series of combination patterns with one event in the same manner as other combination patterns in subsequent processing, and is used to specify the range of analysis, or is discarded and then analyzed.
The analytical device according to claim 5 .
個別分析部が、前記取得された複数のデータにおける複数の同時発生パターン、及び前記複数の同時発生パターンの発生回数を抽出し、
統合部が、前記抽出された発生回数に基づき、前記抽出された複数の同時発生パターンを統合することにより、統合ログを作成し、
統合分析部が、前記統合されたログから前記同時発生パターンを抽出する、
分析方法。 The data acquisition unit acquires a plurality of pieces of data,
an individual analysis unit extracting a plurality of simultaneous occurrence patterns from the plurality of acquired data and the number of occurrences of the simultaneous occurrence patterns;
an integration unit that integrates the extracted simultaneous occurrence patterns based on the extracted occurrence counts to create an integrated log;
an integrated analysis unit extracting the coincidence patterns from the integrated logs;
Analysis method.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022028435A JP7745478B2 (en) | 2022-02-25 | 2022-02-25 | Analytical device and analytical method |
| PCT/JP2022/044495 WO2023162390A1 (en) | 2022-02-25 | 2022-12-02 | Analysis device and analysis method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022028435A JP7745478B2 (en) | 2022-02-25 | 2022-02-25 | Analytical device and analytical method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023124581A JP2023124581A (en) | 2023-09-06 |
| JP7745478B2 true JP7745478B2 (en) | 2025-09-29 |
Family
ID=87765509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022028435A Active JP7745478B2 (en) | 2022-02-25 | 2022-02-25 | Analytical device and analytical method |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7745478B2 (en) |
| WO (1) | WO2023162390A1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015045262A1 (en) | 2013-09-24 | 2015-04-02 | 日本電気株式会社 | Log analysis system, fault cause analysis system, log analysis method, and recording medium which stores program |
| WO2016075915A1 (en) | 2014-11-10 | 2016-05-19 | 日本電気株式会社 | Log analyzing system, log analyzing method, and program recording medium |
-
2022
- 2022-02-25 JP JP2022028435A patent/JP7745478B2/en active Active
- 2022-12-02 WO PCT/JP2022/044495 patent/WO2023162390A1/en not_active Ceased
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015045262A1 (en) | 2013-09-24 | 2015-04-02 | 日本電気株式会社 | Log analysis system, fault cause analysis system, log analysis method, and recording medium which stores program |
| WO2016075915A1 (en) | 2014-11-10 | 2016-05-19 | 日本電気株式会社 | Log analyzing system, log analyzing method, and program recording medium |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023162390A1 (en) | 2023-08-31 |
| JP2023124581A (en) | 2023-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112765603B (en) | Abnormity tracing method combining system log and origin graph | |
| US8423493B2 (en) | Condition monitoring with automatically generated error templates from log messages and sensor trends based on time semi-intervals | |
| NL2026782B1 (en) | Method and system for determining affiliation of software to software families | |
| CN113254255A (en) | Cloud platform log analysis method, system, device and medium | |
| US20160203156A1 (en) | Method, apparatus and system for data analysis | |
| CN104156562A (en) | Failure predication system and failure predication method for background operation and maintenance system of bank | |
| CN111506504B (en) | Software development process measurement-based software security defect prediction method and device | |
| CN105740707A (en) | Malicious file identification method and device | |
| JP7103496B2 (en) | Related score calculation system, method and program | |
| CN116155589B (en) | A method and system for identifying attack event types based on machine learning | |
| US8909768B1 (en) | Monitoring of metrics to identify abnormalities in a large scale distributed computing environment | |
| CN116910315B (en) | A system kernel log compression storage method based on atomic operations and hypergraph | |
| EP2256677A1 (en) | Workflow processing program, method, and device | |
| Wilson et al. | The motif tracking algorithm | |
| CN114116422A (en) | Hard disk log analysis method, hard disk log analysis device and storage medium | |
| JP5528292B2 (en) | System, method and program for extracting meaningful frequent itemsets | |
| JP7745478B2 (en) | Analytical device and analytical method | |
| US8478575B1 (en) | Automatic anomaly detection for HW debug | |
| CN109299132B (en) | SQL data processing method, system and electronic device | |
| CN112486935A (en) | Log record processing method, device, equipment and machine-readable storage medium | |
| CN120821597A (en) | Log analysis method and device | |
| CN114329119A (en) | Deep learning-based important information ordering method and device for traffic analysis and storage medium | |
| CN117290566A (en) | A screening method for chip test data | |
| CN113268734B (en) | A key host event identification method based on information flow analysis | |
| Ghiasvand | uPAD: Unsupervised Privacy-Aware Anomaly Detection in High Performance Computing Systems. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240705 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20250507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250630 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250819 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250916 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7745478 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |