JP2001356939A - ログ情報解析装置、方法および記録媒体 - Google Patents

ログ情報解析装置、方法および記録媒体

Info

Publication number
JP2001356939A
JP2001356939A JP2000177205A JP2000177205A JP2001356939A JP 2001356939 A JP2001356939 A JP 2001356939A JP 2000177205 A JP2000177205 A JP 2000177205A JP 2000177205 A JP2000177205 A JP 2000177205A JP 2001356939 A JP2001356939 A JP 2001356939A
Authority
JP
Japan
Prior art keywords
log information
log
information
general
predetermined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000177205A
Other languages
English (en)
Inventor
Tetsuji Takada
哲司 高田
Hideki Koike
英樹 小池
Haruo Amari
治雄 甘利
Mikio Okada
幹夫 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tokyo Electric Power Company Holdings Inc
Original Assignee
Tokyo Electric Power Co Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tokyo Electric Power Co Inc filed Critical Tokyo Electric Power Co Inc
Priority to JP2000177205A priority Critical patent/JP2001356939A/ja
Publication of JP2001356939A publication Critical patent/JP2001356939A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

(57)【要約】 【課題】 ログ情報の解析作業に要する時間を減少さ
せ、種々のデータ形式とファイル・システム上の偏在性
とを有するログ情報を統合し、既知の異常ではない異常
を示すログ情報を抽出することができ、システム管理者
が文字による膨大な量のログ情報の中から注目するべき
ログ情報を迅速に把握することができるログ情報解析装
置、方法および記録媒体を提供する。 【解決手段】 種々のデータ形式により記録されている
ログ情報を汎用ログフォーマットという中間形式に変換
することにより、ログファイル中に偏在していたログ情
報を時刻情報17を基準として統合することができる。
単語別出現頻度34と二単語連結句別出現頻度37とを
求めることにより、既知の異常とは異なる異常を示すロ
グ情報を抽出することができる。ログ情報と抽出された
特徴情報とを組み合わせて図形化してシステム管理者に
提示することができるため、ログ情報の解析作業に要す
る時間を減少させることができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ログ情報解析装
置、方法および記録媒体に関し、特にコンピュータ・シ
ステムの運用管理に用いられるログ情報解析装置、方法
および記録媒体に関する。
【0002】
【従来の技術】コンピュータ・システムの運用管理、特
に障害分析または異常現象の発見等を行うためには定期
的なログ情報の調査、監視または解析等の作業が重要で
ある。特に、近年ではコンピュータ・システムへの不正
侵入を検知するためにログ情報の解析作業の重要性は極
めて増大している。
【0003】しかし、従来のログ情報の解析作業は、シ
ステム管理者が既存のエディタ等を用いて膨大なログ情
報を有するログファイルの閲覧を行い、独自のスクリプ
トを使用して特定のログを抽出していたため、極めて時
間を要する作業となっていた。特に、ログ情報は種々の
データ形式を有している上にファイル・システム上に偏
在しているという特徴があるため、ログ情報を解析する
前の調査時における作業負担が極めて重いという問題が
あった。
【0004】さらに、ログ情報は膨大な量を有している
ため、システム管理者が注目するべきログ情報を抽出す
ることは極めて困難である。既知の異常を示すログ情報
の抽出は既存のキーワード検索命令を利用することによ
り可能ではあるが、ログ情報の中には既知の異常ではな
い異常を示すログ情報が含まれている場合もある。この
ような既知の異常ではない異常を示すログ情報を抽出す
ることは極めて困難であるという問題があった。
【0005】ログ情報は文字による記録であるため、シ
ステム管理者が文字による膨大な量のログ情報の中から
注目するべきログ情報を迅速に把握することは極めて困
難であるという問題があった。
【0006】例えば、コンピュータ・システムへの不正
侵入を検知する侵入検知システム(Intrusion Detectio
n System : IDS)では、監視する不正侵入のパター
ン・データをシグネチャとして作成している。新しい不
正侵入の方法が発見されるたびに新しい不正侵入のパタ
ーン・データをシグネチャに登録することにより不正侵
入に対応している。この結果、既知の登録されているパ
ターン・データとは異なる不正侵入が試みられた場合に
は、必ずしも有効に対応することができないという問題
があった。膨大なログ情報の中から警報を抽出し、さら
にその警報の中から誤報を切り捨てて注目するべき警報
を迅速に把握することは極めて困難であるという問題が
あった。
【0007】
【発明が解決しようとする課題】上述のように、従来の
ログ情報の解析作業は極めて時間を要する作業であり、
ログ情報の種々のデータ形式とファイル・システム上の
偏在性という特徴のため作業負担が極めて重いという問
題があった。さらに、膨大なログ情報の中から既知の異
常ではない異常を示すログ情報を抽出することは極めて
困難であるという問題があった。システム管理者が文字
による膨大な量のログ情報の中から注目するべきログ情
報を迅速に把握することは極めて困難であるという問題
があった。
【0008】そこで、本発明の目的は、上記問題を解決
するためになされたものであり、ログ情報の解析作業に
要する時間を減少させ、種々のデータ形式とファイル・
システム上の偏在性とを有するログ情報を統合し、既知
の異常ではない異常を示すログ情報を抽出することがで
き、システム管理者が文字による膨大な量のログ情報の
中から注目するべきログ情報を迅速に把握することがで
きるログ情報解析装置、方法および記録媒体を提供する
ことにある。
【0009】
【課題を解決するための手段】請求項1に記載された発
明のログ情報解析装置は、コンピュータの稼動状況を示
すログ情報が記録されたログ情報記録部と、前記ログ情
報記録部に記録されたログ情報から該ログ情報が記録さ
れた時刻と所定の文字列とを抽出し、所定の時刻形式に
変換された時刻と所定のフォーマットに変換された所定
の文字列とを含む汎用ログを作成する汎用ログ作成手段
と、前記汎用ログ作成手段により作成された汎用ログ
を、前記所定の時刻形式に変換された時刻の順に記録す
る汎用ログ記録手段と、前記汎用ログ記録手段により記
録された汎用ログを有する汎用ログ記録部と、前記汎用
ログ記録部に記録された汎用ログに対応するログ情報の
長さと該ログ情報中に現れる語の出現頻度とを含む特徴
情報を前記ログ情報記録部から抽出する特徴情報抽出手
段と、前記特徴情報抽出手段により抽出されたログ情報
を図形化して前記ログ情報と共に前記所定の時刻形式に
変換された時刻の順に表示する表示手段を備えたもので
ある。
【0010】請求項2に記載された発明のログ情報解析
装置は、請求項1において、前記特徴情報に含まれる語
の出現頻度は、前記所定のフォーマットに変換された所
定の文字列中に1単語が単独で出現する頻度と少なくと
も2単語が連続して出現する頻度とを用いて求めること
ができる。
【0011】請求項3に記載された発明のログ情報解析
装置は、請求項1において、前記表示手段が表示するロ
グ情報は、前記特徴情報に含まれる語の出現頻度が所定
の値を有する語または指定された所定の語を少なくとも
含む文字列が識別可能に表示されることができる。
【0012】請求項4に記載された発明のログ情報解析
装置は、請求項1ないし3のいずれかにおいて、前記表
示手段は、前記所定のフォーマットに変換された所定の
文字列が所定の種類に該当するログ情報を選択して表示
することができる。
【0013】請求項5に記載された発明のログ情報解析
装置は、請求項1ないし3のいずれかにおいて、前記表
示手段は、前記特徴情報に含まれる語の出現頻度が所定
の範囲内にある語を含むログ情報を選択して表示するこ
とができる。
【0014】請求項6に記載された発明のログ情報解析
装置は、請求項1ないし3のいずれかにおいて、前記表
示手段は、前記ログ情報の長さが所定の範囲内にあるロ
グ情報を選択して表示することができる。
【0015】請求項7に記載された発明のログ情報解析
装置は、請求項1ないし3のいずれかにおいて、前記表
示手段は、前記所定の時刻形式に変換された時刻が所定
の範囲内にあるログ情報を選択して表示することができ
る。
【0016】請求項8に記載された発明のログ情報解析
装置は、請求項1ないし3のいずれかにおいて、前記表
示手段は、所定の文字列を有するログ情報を選択して表
示することができる。
【0017】請求項9に記載された発明のログ情報解析
装置は、請求項1ないし8のいずれかにおいて、前記汎
用ログ作成手段における前記所定の時刻形式は、所定の
基準となる時刻から前記ログ情報が記録された時刻まで
の経過時間とすることができる。
【0018】請求項10に記載された発明のログ情報解
析装置は、請求項1ないし9のいずれかにおいて、前記
表示手段における前記ログ情報の図形化は、所定の時間
あたりの該ログ情報の数のヒストグラム化とすることが
できる。
【0019】請求項11に記載された発明のログ情報解
析装置は、請求項1ないし9のいずれかにおいて、前記
表示手段における前記ログ情報の図形化は、該ログ情報
に含まれる所定の文字列の長さに対応した線とすること
ができる。
【0020】請求項12に記載された発明のログ情報解
析方法は、コンピュータの稼動状況を示すログ情報が記
録されたログ情報記録部から該ログ情報が記録された時
刻と所定の文字列とを抽出し、所定の時刻形式に変換さ
れた時刻と所定のフォーマットに変換された所定の文字
列とを含む汎用ログを作成する汎用ログ作成ステップ
と、前記汎用ログ作成ステップで作成された汎用ログ
を、前記所定の時刻形式に変換された時刻の順に汎用ロ
グ記録部へ記録する汎用ログ記録ステップと、前記汎用
ログ記録部に記録された汎用ログに対応するログ情報の
長さと該ログ情報中に現れる語の出現頻度とを含む特徴
情報を前記ログ情報記録部に記録されたログ情報から抽
出する特徴情報抽出ステップと、前記特徴情報抽出ステ
ップで抽出されたログ情報を図形化して前記ログ情報と
共に前記所定の時刻形式に変換された時刻の順に表示す
る表示ステップとを備えたものである。
【0021】請求項13に記載された発明のログ情報解
析方法は、請求項12において、前記特徴情報に含まれ
る語の出現頻度は、前記所定のフォーマットに変換され
た所定の文字列中に1単語が単独で出現する頻度と少な
くとも2単語が連続して出現する頻度とを用いて求める
ことができる。
【0022】請求項14に記載された発明のログ情報解
析方法は、請求項12において、前記表示ステップで表
示するログ情報は、前記特徴情報に含まれる語の出現頻
度が所定の値を有する語または指定された所定の語を少
なくとも含む文字列が識別可能に表示されることができ
る。
【0023】請求項15に記載された発明の記録媒体
は、コンピュータの稼動状況を示すログ情報を解析する
ログ情報解析方法を実行するコンピュータが読み出し可
能なプログラムを格納した記録媒体であって、前記ログ
情報が記録されたログ情報記録部から該ログ情報が記録
された時刻と所定の文字列とを抽出し、所定の時刻形式
に変換された時刻と所定のフォーマットに変換された所
定の文字列とを含む汎用ログを作成する汎用ログ作成ス
テップと、前記汎用ログ作成ステップで作成された汎用
ログを、前記所定の時刻形式に変換された時刻の順に汎
用ログ記録部へ記録する汎用ログ記録ステップと、前記
汎用ログ記録部に記録された汎用ログに対応するログ情
報の長さと該ログ情報中に現れる語の出現頻度とを含む
特徴情報を前記ログ情報記録ステップで記録されたログ
情報から抽出する特徴情報抽出ステップと、前記特徴情
報抽出ステップで抽出されたログ情報を図形化して前記
ログ情報と共に前記所定の時刻形式に変換された時刻の
順に表示する表示ステップとを備えたログ情報解析方法
を実行するコンピュータが読み出し可能なプログラムを
格納した記録媒体である。
【0024】請求項16に記載された発明の記録媒体
は、請求項15において、前記特徴情報に含まれる語の
出現頻度は、前記変換された所定の文字列中に1単語が
単独で出現する頻度と少なくとも2単語が連続して出現
する頻度とを用いて求めることができる。
【0025】請求項17に記載された発明の記録媒体
は、請求項15において、前記表示ステップで表示する
ログ情報は、前記特徴情報に含まれる語の出現頻度が所
定の値を有する語または指定された所定の語を少なくと
も含む文字列が識別可能に表示されることができる。
【0026】
【発明の実施の形態】以下、図1を用いてまず本発明の
各実施の形態に共通するログ情報解析装置の概要を示
し、次に図面を参照して各実施の形態を詳細に説明す
る。
【0027】図1は、本発明のログ情報解析装置に用い
られるコンピュータの内部回路ブロックを示す。図1に
おいて、符号15は本発明のログ情報解析装置の内部回
路ブロック、1は本発明のログ情報解析方法等を処理す
る処理装置CPU(CentralProcessing Unit)、2は内
部回路ブロック15の初期化等その他の処理に必要なデ
ータが格納された読み出し専用記憶装置ROM(Read O
nly Memory)、3はCPU1が実行するコンピュータ・
プログラムまたはデータが格納された読み書き可能な記
憶装置RAM(Random Access Memory)、4はCPU1
に処理結果に基づいて画像を表示するディスプレイ等の
画像表示部、6はログ情報解析方法等を実行するための
コンピュータ・プログラムまたはデータ等を記録したコ
ンピュータ読み取り可能なCD−ROM(Compact Disc
- Read Only memory)等の脱着可能な記録媒体をセッ
トする記録媒体部、8はログ情報が記録されたログファ
イル(ログ情報記録手段)、9はログフィアル8から所
望のデータを抽出して所望の変換が行われた汎用ログが
記録された汎用ログファイル(汎用ログ情報記録手
段)、7はログファイル8と汎用ログファイル9とが記
録されたハード・ディスク等の記録装置、5は記録媒体
部6または記録装置7等と接続され入出力の制御を行う
入出力制御部、11はログ情報解析装置へ入力操作を行
うマウス、キーボード等の入力操作部、10は入力操作
部11と接続され入力制御等を行う入力制御部、12は
ネットワーク(不図示)を介して外部のコンピュータ等
と行なう通信を制御する通信制御部、14は上述のCP
U1、ROM2、RAM3、画像表示部4、入出力制御
部5、入力制御部10および通信制御部12を接続する
バスである。
【0028】本発明のログ情報解析方法等を実行するコ
ンピュータ・プログラムおよびデータは記録媒体部6に
セットされたCD−ROM等の記録媒体に記録させてお
くことができる。CD−ROMまたはメモリ・カード等
の記録媒体に記録された上記コンピュータ・プログラム
およびデータは、入出力制御部5を介してバス14を通
りRAM3へロードされる。CPU1はRAM3内にロ
ードされた上記コンピュータ・プログラムを実行するこ
とにより、入力操作部11から入力制御部10を介して
所望の入力が行なわれ、画像表示部4にログ情報解析方
法を実行中の画像を表示させることができる。
【0029】実施の形態1.図2は、本発明の実施の形
態1におけるログ情報解析方法のフローチャートを示
す。以下、フローチャートの各ステップを図面を参照し
ながら説明する。図2に示されるように、まずログファ
イル8からログ情報を入力する(ステップS102)。
このログ情報はコンピュータの稼動状況を示す情報であ
る。以下では説明の都合上、不正アクセスを検知するI
DS等におけるログ情報を用いて説明しているが、本発
明のログ情報解析方法等が対象とするログ情報は一般的
なログ情報であって、IDS等におけるログ情報に限定
されるものではない。
【0030】次に、入力したログ情報を後述の汎用ログ
フォーマットに変換する(ステップS104、汎用ログ
作成手段)。ログ情報は、ログ情報がログファイル8に
記録された時刻と、そのログ情報の内容、例えばどこか
ら接続されたか等の内容を有するデータ(所定の文字
列)とを有している。このログ情報から時刻と他の所望
のデータを抽出し、汎用ログフォーマットにしたがって
汎用ログを作成する。
【0031】図3は、本発明の実施の形態1における汎
用ログフォーマットを示す。図3において、符号16は
汎用ログフォーマットの全体を示し、17は所定の時刻
形式に変換された時刻情報、18および19は各々空白
および指定の区切り文字を含まない任意の文字列である
タグ情報1およびタグ情報2、20は指定の区切り文字
を含まない任意の文字列であるメッセージ情報である。
【0032】図4は本発明の実施の形態1におけるログ
情報から汎用ログへの変換方法のフローチャートを示
し、図5(A)、(B)は本発明の実施の形態1におけ
るログ情報から汎用ログへの変換例を示す。図5で図3
と同じ符号を付した個所は同じ部分を示すため説明は省
略する。
【0033】図4に示されるように、まず時刻情報17
とする情報をログ情報から1つ決定する(ステップS2
02)。例えば図5(A)に示されるように、時刻情報
17とする情報をログ情報ACCT29Aの時刻23
(03:17:15)と決定する。
【0034】次に、決定された時刻23を所定の基準と
なる時刻、例えば1970年1月1日9:00からの経
過秒数(所定の時刻形式)へ変換する(ステップS20
4)。ここで所定の基準となる時刻は任意に設定するこ
とができる。この結果、例えば図5(A)に示されるよ
うに、時刻情報17の値(変換された時刻)は、「95
2625865(秒)」と設定される。
【0035】ログ情報から、後述のフィルタリングまた
は単語の出現頻度を抽出する際の基礎情報となる情報を
決定し、所定の文字列へ変換することによりタグ情報1
(18)を作成する(ステップS206)。タグ情報2
(19)も同様に作成する(ステップS208)。例え
ば図5(A)に示されるように、基礎となる情報をログ
情報ACCT29Aの文字列「ypwhich」21と
決定し、この文字列21をそのままタグ情報2(19)
として作成する。タグ情報1(18)にはログ情報AC
CT28に含まれていない情報、例えばログ情報解析装
置の実行環境から得られる補完的な情報(例。「fo
o.co.jp」)を用いることもできる。
【0036】最後に、ログ情報から解析に必要となる情
報を決定し、所定の文字列へ変換することによりメッセ
ージ情報20を作成する(ステップS210)。例えば
図5(A)に示されるように、解析に必要となる情報を
ログ情報ACCT29Aの文字列「root ?」22
と文字列「0.05 0.01 540.00」24と
に決定し、これらの文字列22と24とを組み合わせた
新たな文字列「root ? 0.05 0.01 5
40.00」をメッセージ情報20として作成する。
【0037】図5(B)は他の変換例を示す。図5
(B)に示されるように、時刻情報17とする情報をロ
グ情報SYSLOG29Bの時刻25(Oct25 1
0:41:25)と決定する。決定された時刻25を所
定の基準となる時刻からの経過秒数へ変換し、例えば図
5(B)に示されるように、時刻情報17の値を「93
3912865(秒)」と設定する。
【0038】タグ情報1(18)は、図5(B)に示さ
れるように基礎となる情報をログ情報SYSLOG29
Bの文字列「foo.co.jp」26と決定し、この
文字列26をそのままタグ情報1(18)として作成す
る。タグ情報2(19)は、図5(B)に示されるよう
に基礎となる情報をログ情報SYSLOG29Bの文字
列「in.telnetd」27と決定し、この文字列
27をそのままタグ情報2(19)として作成する。
【0039】メッセージ情報20は、図5(B)に示さ
れるように、解析に必要となる情報をログ情報SYSL
OG29Bの文字列「connect from cr
ack.com」28と決定し、この文字列28をその
ままメッセージ情報20として作成する。
【0040】上述のように、ログ情報を汎用ログフォー
マットという中間形式に変換することにより、ファイル
・システム中に偏在していたログ情報を時刻情報17を
基準として統合することができる。
【0041】図2のフローチャートに戻り、ステップS
104に続いて、特徴情報を抽出する(特徴情報抽出手
段、ステップS106)。特徴情報は、汎用ログフォー
マットに変換された時刻情報17、タグ情報1(1
8)、タグ情報2(19)またはメッセージ情報(2
0)等またはログ情報から抽出する情報である。後述す
るように、これらの特徴情報をログ情報と共に視覚化し
て画像表示部4に表示することにより、システム管理者
は的確かつ迅速にログ情報を把握することができる。特
徴情報には、単位時間当たりのログ情報の数、タグ情報
1(18)等の種類別のログ情報の数、メッセージ情報
20の文字列の長さまたはメッセージ情報20に含まれ
る単語の出現頻度等がある。上述の特徴情報は例示的な
ものであり、これらの例に限定されるものではない。
【0042】図6は、本発明の実施の形態1におけるメ
ッセージ情報20に含まれる単語の出現頻度を求める方
法を説明する。図6に示されるように、ログメッセージ
30に対してテキストマイニングによる情報抽出33を
行い、1単語が単独で出現する単語別出現頻度34と2
単語が連続して出現する二単語連結句別出現頻度37と
を得ることができる。得られた単語別頻度34と二単語
連結句別出現頻度37とは、各々図6に示されるよう
に、出現数と単語等との一覧により示されている。
【0043】例えば、単語別出現頻度34に示されるよ
うに、単語「from」はログメッセージ30中に6回
単独で出現しており、一方、単語「kyoto」35は
ログメッセージ30中に1回単独で出現し、単語「se
ndai」36はログメッセージ30中に1回単独で出
現している。二単語連結句別出現頻度37に示されるよ
うに、二単語「connect from」はログメッ
セージ30中に4回出現しており、一方、二単語「fr
om kyoto」38はッセージ30中に1回単独で
出現し、単語「from sendai」39はログメ
ッセージ30中に1回単独で出現している。この結果、
単語別出現頻度34において最も出現頻度の低い単語
「kyoto」35および単語「sendai」36
と、二単語連結句別出現頻度37において最も出現頻度
の低い二単語「connect from」および二単
語「from kyoto」38とを含むログメッセー
ジ31と32とが調査を要するログメッセージであるこ
とを推測することができる。
【0044】一般的なログメッセージは数が多く記録さ
れているため、記録されている数が少ない、すなわち出
現頻度の低いログメッセージは不正侵入等を示す可能性
等が高いログメッセージであると考えることができる。
本発明の実施の形態1では上述のように単語別出現頻度
34と二単語連結句別出現頻度37とを求めることによ
り、不正侵入等の、既知の異常とは異なる異常を示すロ
グ情報を抽出することができ、注目するべきログ情報を
システム管理者に提示することができる。
【0045】図2のフローチャートに戻り、ステップS
106に続いて、ログ情報を視覚化して表示する(表示
手段、ステップS108)。具体的には、単位時間当た
りのログ情報の数をヒストグラムとして表示し、ログ情
報の文字列の長さに対応した線を用いてログ情報をアウ
トライン的に表示し(アウトライン表示)、並列的にロ
グ情報の文字の情報の部分を表示する。その他、タグ情
報1(18)等別のログ情報の数を表示することもでき
る。
【0046】図7は、本発明の実施の形態1におけるロ
グ情報の視覚化表示を示す。図7において、符号40は
ログ情報の視覚化表示の全体を示し、ログ情報は縦軸方
向の矢印(時間軸)で示されるように記録された時刻の
順に上から下へ表示されている。符号41は注目してい
るログのタグ情報1(18)等の頻度を示すタグ格子領
域またはタグ種別表示領域を示す。このタグ格子領域4
1は図7では明示されていないが、最上部が青色で、以
下黄色になり、最下部になるほど赤色で表示されてい
る。この色分けは、後述する他の領域42等における各
種の表示において、出現頻度が多いものほど青色で表示
され、出現頻度が中程度であるものは黄色で表示され、
出現頻度が低いものほど注意を引くために赤色で表示す
ることを示すための領域である。上述の色分けは例示的
なものであって、出現頻度の区別ができる色分けであれ
ば任意の色分けを用いることができる。
【0047】図7において、符号42はログ情報の数の
時間分布を表示する時間別頻度領域または時刻情報表示
領域である。時間別頻度領域42は、時間軸方向に曜日
に分かれた週格子42aと時間に分かれた日格子42b
とを有しており、横軸方向にログ情報の数が示された単
位時間別のヒストグラムを表示するヒストグラム領域4
2cを有している。ヒストグラム領域42cは時間軸順
に上から下へ等間隔で横線42e、42f等が引かれて
いる。これらの横線42eと42fとの間は12時間分
の時間間隔を示している。符号45の円内に示されるヒ
ストグラムは所定の期間にわたってほぼ一定の数のログ
情報が記録されたことを示している。週格子42aと日
格子42bとを用いることにより、領域42cに表示さ
れたログ情報のヒストグラムの曜日毎、時間毎の周期的
な側面の把握をさらに容易に行うことができる。符号4
9の円内に示されるヒストグラムは極めて少ない数のロ
グ情報の記録がなされている間に、符号LOGで示され
る極めて膨大な数のログが記録されたことを示してい
る。このログ(LOG)を以下では注目ログと呼ぶ。符
号42dは注目ログLOGが記録された時刻を示してい
る。
【0048】図7において、符号43はログ情報の文字
列の長さに対応した線でアウトライン的にログ情報を表
示するアウトライン表示領域である。アウトライン表示
領域については後述する。符号44はアウトライン表示
領域43における注目ログLOGを含む注目領域46内
の実際のログ情報を拡大して表示するログメッセージ表
示領域である。注目ログLOGを時刻情報表示領域42
内でマウス等の入力操作部11によりクリック等して選
択すると、注目ログLOGを中心として時間軸上の前後
の概要をアウトライン表示領域43に表示することがで
きる。アウトライン表示領域43中の注目領域46の部
分が拡大されてログメッセージ表示領域44に対応する
実際のログ情報を表示することができる。
【0049】図8(A)、(B)は本発明の実施の形態
1におけるアウトライン表示領域を説明する。図8で図
7と同じ符号を付した個所は同じ部分を示すため説明は
省略する。図8(A)において、符号50はログメッセ
ージ表示領域44におけるログメッセージを一部取り出
したものであり、50aないし50dは各ログメッセー
ジを示す。符号51はログメッセージ50中の各ログメ
ッセージ50a等を文字列の長さに対応した長さを有す
る線として表示したアウトライン表示である。アウトラ
イン表示51aないし51dの各線はログメッセージ5
0aないし50dに対応している。このアウトライン表
示51a等の長さに加えて、タグ種別表示領域41に示
されるログのタグ情報1(18)等の頻度に応じた色分
けをさらに施すことができる。図8(A)では色分けの
代わりにハッチング等の種類で頻度を表示している。
【0050】図8(B)において、符号52はログ情報
の視覚化表示の全体40からアウトライン表示領域43
とログメッセージ表示領域44とを取り出した表示を示
す。アウトライン表示領域43における注目ログLOG
を含む注目領域46内の実際のログ情報が拡大されて、
ログメッセージ表示領域44内の領域54内に表示され
ている。逆に、ログメッセージ表示領域44内の領域5
4内に表示されている文字情報が、注目領域46にログ
情報の長さを基に抽象化された図形となって表示されて
いると見ることもできる。
【0051】図9は、本発明の実施の形態1におけるロ
グ情報の視覚化表示の他の例を示す。図9で図7と同じ
符号を付した個所は同じ部分を示すため説明は省略す
る。図9において、符号71、72および73はメッセ
ージ情報20に含まれる単語の出現頻度(図6参照)に
応じて色分けして表示されたログ情報である。図9では
色分け表示の代わりに斜線をかぶせて示されているが、
タグ種別表示領域41に示された頻度に応じた色分けを
施して表示することができる。上述のように、ログ情報
と抽出された特徴情報とを組み合わせて図形化してシス
テム管理者に提示することができるため、ログ情報の解
析作業に要する時間を減少させることができ、システム
管理者は文字による膨大な量のログ情報の中から注目す
るべきログ情報を迅速に把握することができる。
【0052】以上より、実施の形態1によれば、種々の
データ形式により記録されているログ情報を汎用ログフ
ォーマットという中間形式に変換することにより、ファ
イル・システム中に偏在していたログ情報を時刻情報1
7を基準として統合することができる。単語別出現頻度
34と二単語連結句別出現頻度37とを求めることによ
り、不正侵入等の、既知の異常とは異なる異常を示すロ
グ情報を抽出することができ、注目するべきログ情報を
システム管理者に提示することができる。ログ情報と抽
出された特徴情報とを組み合わせて図形化してシステム
管理者に提示することができるため、ログ情報の解析作
業に要する時間を減少させることができ、システム管理
者は文字による膨大な量のログ情報の中から注目するべ
きログ情報を迅速に把握することができる。
【0053】実施の形態2.図10は、本発明の実施の
形態2におけるログ情報の視覚化表示の別の例を示す。
図10で図9と同じ符号を付した個所は同じものを示す
ため説明は省略する。図10において、符号70はログ
メッセージ表示領域44中のログ情報の視覚化表示、7
1ないし76はシステム管理者等から指定されたパター
ンマッチング用の文字列(指定された所定の語)を用い
て抽出されたキーワード、77ないし82は上述の単語
の出現頻度(図6参照)の解析により所定の範囲内の出
現頻度を有するものとして指定されたキーワードであ
る。図10では明示されていないが、キーワード71な
いし76は赤い背景色を有するように表示することがで
き、キーワード77ないし82は青い背景色を有するよ
うに表示することができる。図10では色分けの変わり
に、キーワード71ないし76は左斜線をかぶせるよう
に表示され、キーワード77ないしは右斜線をかぶせる
ように表示されている。赤い背景と青い背景とは例示的
な色分けであり、他の任意の色分け、反転表示等を用い
ることもできる。
【0054】以上より、実施の形態2によれば、システ
ム管理者等から指定されたパターンマッチング用の文字
列を用いて抽出されたキーワードと、上述の単語の出現
頻度が所定の範囲内であるものとして指定されたキーワ
ードとを色分けして表示することができる。このため、
システム管理者は文字による膨大な量のログ情報の中か
ら注目するべきログ情報を迅速に把握することができ
る。
【0055】実施の形態3.図11は、本発明の実施の
形態3におけるタグ情報による情報検索機能(フィルタ
リング)の例を示す。図11で図9と同じ符号を付した
個所は同じものを示すため説明は省略する。図11にお
いて、符号85はフィルタリング処理を行う前の画面、
86は指定されたタグ情報1(18)等の種類でフィル
タリングを行った結果の画面、87は指定されたタグ情
報1(18)の出現頻度でフィルタリングを行った結果
の画面である。画面86に示されるように、タグ情報1
(18)の種類の指定はタグ種別表示領域41中の特定
の領域88をマウス等の入力操作部11でクリック等し
て選択することにより指定することができる。図11
は、タグ情報1(18)として「inetd」が指定さ
れた例を示している。画面86に示されるように、タグ
情報1(18)の出現頻度の指定はタグ種別表示領域4
1中の特定の領域89をマウス等の入力操作部11でド
ラッグ等して選択することにより指定することができ
る。
【0056】以上より、実施の形態3によれば、マウス
等の入力操作部11でタグ情報1(18)等の種類また
はタグ情報1(18)の出現頻度を選択することによ
り、容易にログ情報のフィルタリングを行うことができ
る。
【0057】実施の形態4.図12は、本発明の実施の
形態4におけるメッセージ長によるフィルタリングの例
を示す。図12で図9と同じ符号を付した個所は同じも
のを示すため説明は省略する。図12において、符号9
0はフィルタリング処理を行う前の画面、92、94は
指定された閾値のメッセージ長でフィルタリングを行っ
た結果の画面である。画面92に示されるように、メッ
セージ長の閾値はアウトライン表示領域43内でメッセ
ージ長閾値線91を横軸上でマウス等の入力操作部11
を利用して左右に移動させることにより指定することが
できる。画面92では、注目領域93中でメッセージ長
閾値線91より長いメッセージ長が抽出された例を示し
ている。画面94では、注目領域96中でメッセージ長
閾値線95より短いメッセージ長が抽出された例を示し
ている。
【0058】以上より、実施の形態4によれば、アウト
ライン表示領域43内でメッセージ長閾値線91を横軸
上でマウス等の入力操作部11を利用して左右に移動さ
せることにより、容易に所望のメッセージ長より長いか
または短いメッセージ長のログ情報のフィルタリングを
行うことができる。
【0059】実施の形態5.図13は、本発明の実施の
形態5における時間帯によるフィルタリングの例を示
す。図13で図9と同じ符号を付した個所は同じものを
示すため説明は省略する。図13において、符号100
はフィルタリング処理を行う前の画面、102は指定さ
れた時間帯でフィルタリングを行った結果の画面であ
る。画面100は、注目ログLOGを中心とした前後の
時間帯をアウトライン表示領域43内の領域101に示
している。この状態で、例えば時刻情報表示領域42内
の注目ログLOGより時間軸上で下の位置をマウス等の
入力操作部11でクリック等することにより、画面10
2に示されるように注目ログLOGより後の時間帯(ア
ウトライン領域43内の領域105)を表示することが
できる。時間軸上で上の位置をクリック等した場合は、
注目ログLOGより前の時間帯を表示することができ
る。
【0060】以上より、実施の形態5によれば、時刻情
報表示領域42内の注目ログLOGより時間軸上で上ま
たは下の位置をマウス等の入力操作部11でクリック等
することにより、注目ログLOGより前または後の時間
帯を表示することができる。
【0061】実施の形態6.図14は、本発明の実施の
形態6における単語によるフィルタリングの例を示す。
図14で図9と同じ符号を付した個所は同じものを示す
ため説明は省略する。図14において、符号110はフ
ィルタリング処理を行う前の画面、112は指定された
単語でフィルタリングを行った結果の画面である。画面
100で例えば単語「zetaka」をマウス等の入力
操作部11でドラッグ等して選択することにより、画面
112に示されるように単語「zetaka」を含むロ
グ情報のみを表示することができる。選択される単語は
1個のみではなく複数の単語を指定することもできる。
この場合、複数の単語はすべて含むか(論理積)または
少なくとも1個を含むか(論理和)という指定をするこ
ともできる。
【0062】以上より、実施の形態6によれば、所望の
単語をマウス等の入力操作部11でドラッグ等して選択
することにより、選択された単語を含むログ情報のみを
表示することができる。
【0063】実施の形態7.上述した各実施の形態の機
能を実現するコンピュータ・プログラムを記録した記録
媒体を本発明のログ情報解析装置に供給し、そのログ情
報解析装置のCPU1が記録媒体部6等にセットされた
着脱可能な記録媒体に格納されたコンピュータ・プログ
ラムを読み取り実行することによっても、本発明の目的
が達成されることは言うまでもない。この場合、上述の
記録媒体から読み取られたコンピュータ・プログラム自
体が本発明のログ情報解析装置の新規な機能を実現する
ことになり、そのコンピュータ・プログラムを記録した
記録媒体は本発明を構成することになる。コンピュータ
・プログラムを記録した記録媒体としては、例えば、C
D−ROM、MO、メモリカード、光ディスク、フロッ
ピー(登録商標)ディスク、ハードディスク、ROM等
を用いることができる。
【0064】以上より、実施の形態7によれば、上述し
た各実施の形態の機能を実現するコンピュータ・プログ
ラムを記録した記録媒体を本発明のログ情報解析装置に
供給し、そのログ情報解析装置のCPU1が記録媒体に
格納されたコンピュータ・プログラムを読み取り実行す
ることによっても、本発明の目的を達成することができ
る。
【0065】
【発明の効果】以上説明したように、本発明のログ情報
解析装置、方法および記録媒体によれば、ログ情報を汎
用ログフォーマットに変換し、単語別出現頻度34と二
単語連結句別出現頻度37とを求め、ログ情報と抽出さ
れた特徴情報とを組み合わせて図形化してシステム管理
者に提示することにより、ログ情報の解析作業に要する
時間を減少させ、種々のデータ形式とファイル・システ
ム上の偏在性とを有するログ情報を統合し、既知の異常
ではない異常を示すログ情報を抽出することができ、シ
ステム管理者が文字による膨大な量のログ情報の中から
注目するべきログ情報を迅速に把握することができるロ
グ情報解析装置、方法および記録媒体を提供することが
できる。
【図面の簡単な説明】
【図1】 本発明のログ情報解析装置に用いられるコン
ピュータの内部回路ブロックを示す図である。
【図2】 本発明の実施の形態1におけるログ情報解析
方法を示すフローチャートである。
【図3】 本発明の実施の形態1における汎用ログフォ
ーマットを示す図である。
【図4】 本発明の実施の形態1におけるログ情報から
汎用ログへの変換方法を示すフローチャートである。
【図5】 本発明の実施の形態1におけるログ情報から
汎用ログへの変換例を示す図である。
【図6】 本発明の実施の形態1におけるメッセージ情
報20に含まれる単語の出現頻度を求める方法を説明す
る図である。
【図7】 本発明の実施の形態1におけるログ情報の視
覚化表示を示す図である。
【図8】 本発明の実施の形態1におけるアウトライン
表示領域を説明する図である。
【図9】 本発明の実施の形態1におけるログ情報の視
覚化表示の他の例を示す図である。
【図10】 本発明の実施の形態2におけるログ情報の
視覚化表示の別の例を示す図である。
【図11】 本発明の実施の形態3におけるタグ情報に
よるフィルタリングの例を示す図である。
【図12】 本発明の実施の形態4におけるメッセージ
長によるフィルタリングの例を示す図である。
【図13】 本発明の実施の形態5における時間帯によ
るフィルタリングの例を示す図である。
【図14】 本発明の実施の形態6における単語による
フィルタリングの例を示す図である。
【符号の説明】
1 CPU、 2 ROM、 3 RAM、 4 画像
表示部、 5 入出力制御部、 6 記録媒体部、 7
記録装置、 8 ログ情報、 9 汎用ログ情報、
10 入力制御部、 11 入力操作部、 12 通信
制御部、 13ネットワーク、 14 バス、 16
汎用ログフォーマットの全体、 17時刻情報、 18
タグ情報1、 19 タグ情報2、 20 メッセー
ジ情報、 21,22,23,24,25,26,27
文字列、 29A,29Bログ情報、 30 ログメ
ッセージ、 31,32 ログメッセージ、 33テキ
ストマイニングによる情報抽出、 34 単語別出現頻
度、 35,36単語、 37 二単語連結句別出現頻
度、 38,39 二単語、 41 タグ格子領域また
はタグ種別表示領域、 42 時間別頻度領域または時
刻情報表示領域、 42a 週格子、 42b 日格
子、 42cヒストグラム領域、42d 注目ログLO
Gが記録された時刻、 42e,42f 横線、 43
アウトライン表示領域、 44 ログメッセージ表示領
域、 45,49 円、46,93,96 注目領域、
50 ログメッセージの一部、 50a,50b,5
0c,50d ログメッセージ、 51,51a,51
b アウトライン表示、 52 アウトライン表示領域
43とログメッセージ表示領域44とを取り出した表
示、 54 領域、 71,72,73 ログ情報、
70 ログ情報の視覚化表示、 71,72,73,7
4,75,76 パターンマッチング用の文字列を用い
て抽出されたキーワード、 77、78,79,80,
81,82 指定されたキーワード、 85,90,1
00,110 フィルタリング処理を行う前の画面、
86 指定されたタグ情報1(18)等の種類でフィル
タリングを行った結果の画面、 87 指定されたタグ
情報1(18)の出現頻度でフィルタリングを行った結
果の画面、 91,95 メッセージ長閾値線、 9
2,94 指定された閾値のメッセージ長でフィルタリ
ングを行った結果の画面、 102 指定された時間帯
でフィルタリングを行った結果の画面、101,105
領域、 112 指定された単語でフィルタリングを
行った結果の画面。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 岡田 幹夫 神奈川県横浜市鶴見区江ヶ崎町4番1号 東京電力株式会社システム研究所内 Fターム(参考) 5B042 MA08 MA11 MA14 MC15 MC23 MC28 MC35 MC40 NN04 NN09

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータの稼動状況を示すログ情報
    が記録されたログ情報記録部と、 前記ログ情報記録部に記録されたログ情報から該ログ情
    報が記録された時刻と所定の文字列とを抽出し、所定の
    時刻形式に変換された時刻と所定のフォーマットに変換
    された所定の文字列とを含む汎用ログを作成する汎用ロ
    グ作成手段と、 前記汎用ログ作成手段により作成された汎用ログを、前
    記所定の時刻形式に変換された時刻の順に記録する汎用
    ログ記録手段と、 前記汎用ログ記録手段により記録された汎用ログを有す
    る汎用ログ記録部と、 前記汎用ログ記録部に記録された汎用ログに対応するロ
    グ情報の長さと該ログ情報中に現れる語の出現頻度とを
    含む特徴情報を前記ログ情報記録部から抽出する特徴情
    報抽出手段と、 前記特徴情報抽出手段により抽出されたログ情報を図形
    化して前記ログ情報と共に前記所定の時刻形式に変換さ
    れた時刻の順に表示する表示手段とを備えたことを特徴
    とするログ情報解析装置。
  2. 【請求項2】 請求項1記載のログ情報解析装置におい
    て、前記特徴情報に含まれる語の出現頻度は、前記所定
    のフォーマットに変換された所定の文字列中に1単語が
    単独で出現する頻度と少なくとも2単語が連続して出現
    する頻度とを用いて求められることを特徴とするログ情
    報解析装置。
  3. 【請求項3】 請求項1記載のログ情報解析装置におい
    て、前記表示手段が表示するログ情報は、前記特徴情報
    に含まれる語の出現頻度が所定の値を有する語または指
    定された所定の語を少なくとも含む文字列が識別可能に
    表示されることを特徴とするログ情報解析装置。
  4. 【請求項4】 請求項1ないし3のいずれかに記載のロ
    グ情報解析装置において、前記表示手段は、前記所定の
    フォーマットに変換された所定の文字列が所定の種類に
    該当するログ情報を選択して表示することを特徴とする
    ログ情報解析装置。
  5. 【請求項5】 請求項1ないし3のいずれかに記載のロ
    グ情報解析装置において、前記表示手段は、前記特徴情
    報に含まれる語の出現頻度が所定の範囲内にある語を含
    むログ情報を選択して表示することを特徴とするログ情
    報解析装置。
  6. 【請求項6】 請求項1ないし3のいずれかに記載のロ
    グ情報解析装置において、前記表示手段は、前記ログ情
    報の長さが所定の範囲内にあるログ情報を選択して表示
    することを特徴とするログ情報解析装置。
  7. 【請求項7】 請求項1ないし3のいずれかに記載のロ
    グ情報解析装置において、前記表示手段は、前記所定の
    時刻形式に変換された時刻が所定の範囲内にあるログ情
    報を選択して表示することを特徴とするログ情報解析装
    置。
  8. 【請求項8】 請求項1ないし3のいずれかに記載のロ
    グ情報解析装置において、前記表示手段は、所定の文字
    列を有するログ情報を選択して表示することを特徴とす
    るログ情報解析装置。
  9. 【請求項9】 請求項1ないし8のいずれかに記載のロ
    グ情報解析装置において、前記汎用ログ作成手段におけ
    る前記所定の時刻形式は、所定の基準となる時刻から前
    記ログ情報が記録された時刻までの経過時間であること
    を特徴とするログ情報解析装置。
  10. 【請求項10】 請求項1ないし9のいずれかに記載の
    ログ情報解析装置において、前記表示手段における前記
    ログ情報の図形化は、所定の時間あたりの該ログ情報の
    数のヒストグラム化であることを特徴とするログ情報解
    析装置。
  11. 【請求項11】 請求項1ないし9のいずれかに記載の
    ログ情報解析装置において、前記表示手段における前記
    ログ情報の図形化は、該ログ情報に含まれる所定の文字
    列の長さに対応した線とすることを特徴とするログ情報
    解析装置。
  12. 【請求項12】 コンピュータの稼動状況を示すログ情
    報が記録されたログ情報記録部から該ログ情報が記録さ
    れた時刻と所定の文字列とを抽出し、所定の時刻形式に
    変換された時刻と所定のフォーマットに変換された所定
    の文字列とを含む汎用ログを作成する汎用ログ作成ステ
    ップと、 前記汎用ログ作成ステップで作成された汎用ログを、前
    記所定の時刻形式に変換された時刻の順に汎用ログ記録
    部へ記録する汎用ログ記録ステップと、 前記汎用ログ記録部に記録された汎用ログに対応するロ
    グ情報の長さと該ログ情報中に現れる語の出現頻度とを
    含む特徴情報を前記ログ情報記録部に記録されたログ情
    報から抽出する特徴情報抽出ステップと、 前記特徴情報抽出ステップで抽出されたログ情報を図形
    化して前記ログ情報と共に前記所定の時刻形式に変換さ
    れた時刻の順に表示する表示ステップとを備えたことを
    特徴とするログ情報解析方法。
  13. 【請求項13】 請求項12記載のログ情報解析方法に
    おいて、前記特徴情報に含まれる語の出現頻度は、前記
    所定のフォーマットに変換された所定の文字列中に1単
    語が単独で出現する頻度と少なくとも2単語が連続して
    出現する頻度とを用いて求められることを特徴とするロ
    グ情報解析方法。
  14. 【請求項14】 請求項12記載のログ情報解析方法に
    おいて、前記表示ステップで表示するログ情報は、前記
    特徴情報に含まれる語の出現頻度が所定の値を有する語
    または指定された所定の語を少なくとも含む文字列が識
    別可能に表示されることを特徴とするログ情報解析方
    法。
  15. 【請求項15】 コンピュータの稼動状況を示すログ情
    報を解析するログ情報解析方法を実行するコンピュータ
    が読み出し可能なプログラムを格納した記録媒体であっ
    て、 前記ログ情報が記録されたログ情報記録部から該ログ情
    報が記録された時刻と所定の文字列とを抽出し、所定の
    時刻形式に変換された時刻と所定のフォーマットに変換
    された所定の文字列とを含む汎用ログを作成する汎用ロ
    グ作成ステップと、 前記汎用ログ作成ステップで作成された汎用ログを、前
    記所定の時刻形式に変換された時刻の順に汎用ログ記録
    部へ記録する汎用ログ記録ステップと、 前記汎用ログ記録部に記録された汎用ログに対応するロ
    グ情報の長さと該ログ情報中に現れる語の出現頻度とを
    含む特徴情報を前記ログ情報記録ステップで記録された
    ログ情報から抽出する特徴情報抽出ステップと、 前記特徴情報抽出ステップで抽出されたログ情報を図形
    化して前記ログ情報と共に前記所定の時刻形式に変換さ
    れた時刻の順に表示する表示ステップとを備えたことを
    特徴とするログ情報解析方法を実行するコンピュータが
    読み出し可能なプログラムを格納した記録媒体。
  16. 【請求項16】 請求項15記載の記録媒体において、
    前記特徴情報に含まれる語の出現頻度は、前記変換され
    た所定の文字列中に1単語が単独で出現する頻度と少な
    くとも2単語が連続して出現する頻度とを用いて求めら
    れることを特徴とする記録媒体。
  17. 【請求項17】 請求項15記載の記録媒体において、
    前記表示ステップで表示するログ情報は、前記特徴情報
    に含まれる語の出現頻度が所定の値を有する語または指
    定された所定の語を少なくとも含む文字列が識別可能に
    表示されることを特徴とする記録媒体。
JP2000177205A 2000-06-13 2000-06-13 ログ情報解析装置、方法および記録媒体 Pending JP2001356939A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000177205A JP2001356939A (ja) 2000-06-13 2000-06-13 ログ情報解析装置、方法および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000177205A JP2001356939A (ja) 2000-06-13 2000-06-13 ログ情報解析装置、方法および記録媒体

Publications (1)

Publication Number Publication Date
JP2001356939A true JP2001356939A (ja) 2001-12-26

Family

ID=18678837

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000177205A Pending JP2001356939A (ja) 2000-06-13 2000-06-13 ログ情報解析装置、方法および記録媒体

Country Status (1)

Country Link
JP (1) JP2001356939A (ja)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005252617A (ja) * 2004-03-03 2005-09-15 Ntt Docomo Inc 通信網管理装置、ジャーナルデータ管理装置及びジャーナルデータ管理方法
US7185089B2 (en) 2003-01-24 2007-02-27 Hitachi, Ltd. Method and system for displaying integrated log information
JP2007304647A (ja) * 2006-05-08 2007-11-22 Fujitsu Ltd リクエスト種別プログラム、リクエスト種別装置およびリクエスト種別方法
KR100800232B1 (ko) 2005-03-17 2008-02-01 가부시키가이샤 히타치세이사쿠쇼 네트워크 장치 및 이벤트 처리 방법
JP2010079865A (ja) * 2008-09-25 2010-04-08 Mizuho Trad Corp Usbポート使用履歴解析プログラム
JP2010205066A (ja) * 2009-03-04 2010-09-16 Nec Corp 反例解析支援装置、反例解析支援システム、それらの反例解析支援方法及びプログラム
WO2012070284A1 (ja) * 2010-11-25 2012-05-31 株式会社日立製作所 運用監視装置、運用監視方法、および運用監視プログラム
JP2013171471A (ja) * 2012-02-21 2013-09-02 Nippon Telegr & Teleph Corp <Ntt> 監視情報分析装置及び方法
WO2014049804A1 (ja) 2012-09-28 2014-04-03 株式会社日立製作所 分散システムにおけるシステム動作トレース方法
JPWO2013136418A1 (ja) * 2012-03-12 2015-08-03 株式会社日立製作所 ログ管理計算機、及びログ管理方法
JP2016075974A (ja) * 2014-10-02 2016-05-12 株式会社リコー 通信端末装置、通信システム、通信方法、及びプログラム
JP2016521402A (ja) * 2013-03-29 2016-07-21 キュムラス システムズ インコーポレイテッドCumulus Systems Incorporated データの編成及び高速検索
JP2017528853A (ja) * 2014-07-18 2017-09-28 ドイッチェ テレコム アーゲー コンピュータネットワークへの攻撃を検出する方法
JP2018530046A (ja) * 2015-08-17 2018-10-11 エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd サイバー攻撃の検出方法および検出装置
JP2018165897A (ja) * 2017-03-28 2018-10-25 日本電気株式会社 表示制御装置、表示制御方法、およびコンピュータプログラム
KR101964412B1 (ko) * 2018-12-12 2019-04-01 주식회사 모비젠 이동통신데이터 처리시스템의 이상로그 발생을 진단하는 방법 및 그 시스템
WO2022130942A1 (ja) * 2020-12-14 2022-06-23 パナソニックIpマネジメント株式会社 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム
WO2023276154A1 (ja) * 2021-07-02 2023-01-05 日本電気株式会社 ログ生成装置、異常検出システム、ログ生成方法及び非一時的なコンピュータ可読媒体
JP7501570B2 (ja) 2022-06-08 2024-06-18 村田機械株式会社 ログ解析装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63244143A (ja) * 1987-03-30 1988-10-11 Nec Corp 情報処理方式
JPH04155544A (ja) * 1990-10-19 1992-05-28 Fujitsu Ltd ログ処理方式
JPH05274193A (ja) * 1992-03-25 1993-10-22 Oki Electric Ind Co Ltd ログ編集機能付コンピュータシステム
JPH07182210A (ja) * 1993-09-24 1995-07-21 At & T Corp ログファイルの図形解析方法および装置
JPH0895832A (ja) * 1994-09-22 1996-04-12 Fujitsu Ltd システム異常監視装置
JPH08106408A (ja) * 1994-10-04 1996-04-23 Nippon Telegr & Teleph Corp <Ntt> 運用情報アクセスログ収集管理システム及び運用情報アクセスログ収集管理方法
JPH08314763A (ja) * 1995-05-15 1996-11-29 Mitsubishi Electric Corp ログ情報解析装置
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2000151605A (ja) * 1998-11-09 2000-05-30 Hitachi Ltd 通信ネットワーク管理支援システム

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63244143A (ja) * 1987-03-30 1988-10-11 Nec Corp 情報処理方式
JPH04155544A (ja) * 1990-10-19 1992-05-28 Fujitsu Ltd ログ処理方式
JPH05274193A (ja) * 1992-03-25 1993-10-22 Oki Electric Ind Co Ltd ログ編集機能付コンピュータシステム
JPH07182210A (ja) * 1993-09-24 1995-07-21 At & T Corp ログファイルの図形解析方法および装置
JPH0895832A (ja) * 1994-09-22 1996-04-12 Fujitsu Ltd システム異常監視装置
JPH08106408A (ja) * 1994-10-04 1996-04-23 Nippon Telegr & Teleph Corp <Ntt> 運用情報アクセスログ収集管理システム及び運用情報アクセスログ収集管理方法
JPH08314763A (ja) * 1995-05-15 1996-11-29 Mitsubishi Electric Corp ログ情報解析装置
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2000151605A (ja) * 1998-11-09 2000-05-30 Hitachi Ltd 通信ネットワーク管理支援システム

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7185089B2 (en) 2003-01-24 2007-02-27 Hitachi, Ltd. Method and system for displaying integrated log information
US7360214B2 (en) 2003-01-24 2008-04-15 Hitachi, Ltd. Method and system for displaying integrated log information
JP2005252617A (ja) * 2004-03-03 2005-09-15 Ntt Docomo Inc 通信網管理装置、ジャーナルデータ管理装置及びジャーナルデータ管理方法
KR100800232B1 (ko) 2005-03-17 2008-02-01 가부시키가이샤 히타치세이사쿠쇼 네트워크 장치 및 이벤트 처리 방법
JP2007304647A (ja) * 2006-05-08 2007-11-22 Fujitsu Ltd リクエスト種別プログラム、リクエスト種別装置およびリクエスト種別方法
JP4616791B2 (ja) * 2006-05-08 2011-01-19 富士通株式会社 リクエスト種別プログラム、リクエスト種別装置およびリクエスト種別方法
JP2010079865A (ja) * 2008-09-25 2010-04-08 Mizuho Trad Corp Usbポート使用履歴解析プログラム
JP2010205066A (ja) * 2009-03-04 2010-09-16 Nec Corp 反例解析支援装置、反例解析支援システム、それらの反例解析支援方法及びプログラム
WO2012070284A1 (ja) * 2010-11-25 2012-05-31 株式会社日立製作所 運用監視装置、運用監視方法、および運用監視プログラム
JP2012113556A (ja) * 2010-11-25 2012-06-14 Hitachi Ltd 運用監視装置、運用監視方法、および運用監視プログラム
JP2013171471A (ja) * 2012-02-21 2013-09-02 Nippon Telegr & Teleph Corp <Ntt> 監視情報分析装置及び方法
JPWO2013136418A1 (ja) * 2012-03-12 2015-08-03 株式会社日立製作所 ログ管理計算機、及びログ管理方法
WO2014049804A1 (ja) 2012-09-28 2014-04-03 株式会社日立製作所 分散システムにおけるシステム動作トレース方法
JP2016521402A (ja) * 2013-03-29 2016-07-21 キュムラス システムズ インコーポレイテッドCumulus Systems Incorporated データの編成及び高速検索
JP2017528853A (ja) * 2014-07-18 2017-09-28 ドイッチェ テレコム アーゲー コンピュータネットワークへの攻撃を検出する方法
JP2016075974A (ja) * 2014-10-02 2016-05-12 株式会社リコー 通信端末装置、通信システム、通信方法、及びプログラム
JP2018530046A (ja) * 2015-08-17 2018-10-11 エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd サイバー攻撃の検出方法および検出装置
JP2018165897A (ja) * 2017-03-28 2018-10-25 日本電気株式会社 表示制御装置、表示制御方法、およびコンピュータプログラム
KR101964412B1 (ko) * 2018-12-12 2019-04-01 주식회사 모비젠 이동통신데이터 처리시스템의 이상로그 발생을 진단하는 방법 및 그 시스템
WO2022130942A1 (ja) * 2020-12-14 2022-06-23 パナソニックIpマネジメント株式会社 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム
WO2023276154A1 (ja) * 2021-07-02 2023-01-05 日本電気株式会社 ログ生成装置、異常検出システム、ログ生成方法及び非一時的なコンピュータ可読媒体
JP7501570B2 (ja) 2022-06-08 2024-06-18 村田機械株式会社 ログ解析装置

Similar Documents

Publication Publication Date Title
JP2001356939A (ja) ログ情報解析装置、方法および記録媒体
US10761687B2 (en) User interface that facilitates node pinning for monitoring and analysis of performance in a computing environment
US10205643B2 (en) Systems and methods for monitoring and analyzing performance in a computer system with severity-state sorting
US10469344B2 (en) Systems and methods for monitoring and analyzing performance in a computer system with state distribution ring
JP4097263B2 (ja) ウェブアプリケーションモデル生成装置、ウェブアプリケーション生成支援方法及びプログラム
US9754395B2 (en) Proactive monitoring tree providing distribution stream chart with branch overlay
US9124488B2 (en) Method and apparatus for visualizing the health of datacenter objects
US9075718B2 (en) Dynamic field extraction of log data
US20090193363A1 (en) Representing Multiple Computing Resources Within A Predefined Region Of A Graphical User Interface For Displaying A Single Icon
WO2017104119A1 (ja) ログ分析システム、方法およびプログラム
CN114547077A (zh) 基层政务表格数据智能处理***及方法
KR20190118054A (ko) 트래픽 분석 장치 및 그 방법
US10157172B2 (en) Property dependency visualization
US20220398255A1 (en) Intelligent application clustering for scalable graph visualization using machine learning
JP2007122220A (ja) 情報分析処理装置、および情報分析処理方法、並びにコンピュータ・プログラム
JP2011166476A (ja) ログ解析装置およびログ解析方法
KR20230165650A (ko) 그래프 랜덤워크 기반 보안관제 이벤트 분석 장치 및 방법
Popp Visualization of performance antipattern detection results
CN118095231A (zh) 一种图表构建方法及相关设备
Lee et al. GeoSurveillance 1.1 User’s Manual
JP2000331062A (ja) 図面データの管理システム、方法およびそのためのプログラムを記録した記録媒体

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040323

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040803