JP6280862B2 - イベント分析システムおよび方法 - Google Patents

イベント分析システムおよび方法 Download PDF

Info

Publication number
JP6280862B2
JP6280862B2 JP2014238755A JP2014238755A JP6280862B2 JP 6280862 B2 JP6280862 B2 JP 6280862B2 JP 2014238755 A JP2014238755 A JP 2014238755A JP 2014238755 A JP2014238755 A JP 2014238755A JP 6280862 B2 JP6280862 B2 JP 6280862B2
Authority
JP
Japan
Prior art keywords
event
sequence
graph
prediction model
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014238755A
Other languages
English (en)
Other versions
JP2016099938A (ja
JP2016099938A5 (ja
Inventor
慶行 但馬
慶行 但馬
志村 明俊
明俊 志村
知行 山形
知行 山形
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2014238755A priority Critical patent/JP6280862B2/ja
Publication of JP2016099938A publication Critical patent/JP2016099938A/ja
Publication of JP2016099938A5 publication Critical patent/JP2016099938A5/ja
Application granted granted Critical
Publication of JP6280862B2 publication Critical patent/JP6280862B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、鉄道や電力等の社会インフラのシステムやその設備の保守、障害対応等におけるイベント分析システムおよびイベント分析方法に関する。
昨今、鉄道の乗り入れや電力融通など、社会インフラは大規模化と複雑化が進みつつあり、障害対応や保守のコスト増大、熟練者不足が問題となってきている。また、社会インフラに係るシステムが、インターネット等の公衆通信ネットワークに接続されることが一般化してきた結果、サイバー攻撃など新たな脅威も生まれている。これらを背景として、従来から開発・実用化が進められてきたタービン等のコンポーネント単位の障害分析に加え、コンポーネントを制御する計算機に起因する障害や計算機が出力するデータから分析できる障害などのシステムレベルの障害に対する対応迅速化が求められている。
一般的に計算機では、社会インフラの状態を計測するセンサ値のように、定期的に計測される時系列の数値データではなく、不定期に発生するOSやミドルウェアの警告やエラー、コマンドの実行結果、あるいは、アプリケーションの内部ステート遷移や動作履歴などに関する時系列の文字列データ、いわゆるログが分析対象の大半を占める。
システムレベルの障害に対応するために、特許文献1では、障害等のイベントを発生させる原因を予め定義し、発生原因間の遷移を有限オートマトンでモデル化し、観察されるイベントの生成確率が最も高くなる発生原因の状態遷移を出力する技術が開示されている。これによって、定義した発生原因の発生過程を用いた原因分析や将来のイベント発生予測をユーザに提示することができる。
特開2011−175504号公報
しかしながら、特許文献1記載の技術を適用するためには、イベントの発生原因を装置開発者が予め適切に定義する必要がある。ところが、複数のコンポーネント(装置や設備等の社会インフラを構成する要素)に複数の計算機を接続したシステムでは、ある計算機で発生した障害の原因がネットワーク上の他のコンポーネントに起因する等、イベント(障害などのシステムの状態)の発生原因の候補が膨大となり、予めすべてを定義することが困難である。従って、イベントの発生原因が特定できないばかりか、例えば発生原因が特定できないイベントを他の発生原因から発生したと判定することになりかねないため、発生原因の推定精度が悪化する可能性がある。
一方、発生原因は適切に定義されているが、実際には発生原因に対応するイベントが観測できない状況もある。例えば、ログとしては出力したものの、ディスクの記憶容量やネットワークリソースの制約から、出力したログを破棄している場合等に、イベントが観測できない状況が生じる。このような場合、前述とは逆にある発生原因に対応させるイベントが観測できないため、他のイベントを対応させることとなり、発生原因を分析しても、発生するイベントを正しく解釈できなくなる可能性がある。
このような状況にあっては、システムの運用開始や改修にかかる、障害検知や分析などに要する時間とコストが多大になる。そこで、監視対象システムの障害の発生原因を事前に定義する必要のないイベント分析システムおよび方法が必要とされる。
開示するイベント分析システムは、監視対象システムの稼働時の第1のイベント列に基づき第1のイベントを予測する局所予測モデルを予め学習する局所予測モデル学習プロセス、監視対象システムの第2のイベント列を監視し、監視した第2のイベント列に含まれる第2のイベントの観測結果と、局所予測モデルを用いて予測した第1のイベントの予測結果とが不一致の第2のイベントを抽出する異常検知プロセス、および、第2のイベントの抽出に応答して、監視した第2のイベント列に含まれ、観測結果を生じさせる、第2のイベントの直前に発生した第3のイベントを起点としてバックトレースした第1のイベントグラフを作成する障害分析支援プロセスを有する。
開示するイベント分析システムによれば、監視対象システムからのイベントに基づく局所予測モデルを用いて、監視対象システムの異常発生に対応したイベントを分析できるので、障害検知や分析などのシステムの運用開始や改修にかかる時間とコストを削減できる。
イベント分析システムの構成図である。 イベント列の例である。 局所予測モデルパラメータの例である。 モデル予測精度データの例である。 イベントグラフデータの例である。 ノードイベントの例である。 事例データの例である。 特徴関数定義の例である。 局所予測モデル学習プロセスの処理フローチャートである。 局所予測モデルの学習の処理フローチャートである。 障害分析支援プロセスの処理フローチャートである。 イベントグラフの作成の処理フローチャートである。 事例登録プロセスの処理フローチャートである。 事例提示プロセスの処理フローチャートである。 イベントグラフ表示画面の例である。 事例データ表示画面の例である。
本実施形態は、鉄道や電力等の社会インフラのシステム(監視対象システムと呼ぶ)が稼働中に出力するログに基づいて、障害の検知、対応支援、および事例提示のためのイベント(監視対象システムの状態)を分析するシステムの例である。詳細な説明に先立って、本実施形態のイベント分析システムの概略を説明する。
イベント分析システムは、モデル学習、障害分析支援、事例提示の3つの機能(プロセス)を備える。モデル学習は、監視対象システムから正常時のログを収集、解析することで得られるイベント列からイベントの変化を局所的に予測する局所予測モデルを学習する。
障害分析支援は、監視対象システムの異常状態を検知し、その異常状態に至る過程を分析し、その分析結果を保守員やエンジニアに提示する。具体的には、次のように障害分析を支援する。イベント分析システムは、局所予測モデルを用いてイベントの変化を予測し、予測結果と観測されたイベントとの乖離(一致の有無)を監視する。乖離がある(不一致の)場合、イベント分析システムは、観測されたイベントを障害と判定し、抽出する。この判定は、一般的な社会インフラなどの監視対象システムは状態遷移ベースで作られ、タイミングは異なっても状態遷移過程は同じであるので、予測と異なる場合、監視対象システムの異常な挙動である可能性が高いことに基づく。次に、抽出したイベントの直前に発生したイベントを起点にイベントを遡って(バックトレースして)、関連するイベントを抽出し、抽出したイベントを連結することでイベントグラフを生成する。そして、障害に対応する保守員やエンジニアにこのイベントグラフを提示する。このイベントグラフは、障害の発生に寄与した可能性が高いイベントを連結したものであるため、保守員やエンジニアが、障害発生に至る流れを把握し、根本的な原因を発見することに役立つ。
事例提示は、障害分析支援によって生成された、障害発生に至る可能性のあるイベントグラフをキーにして、保守員やエンジニアが予め登録した障害原因と対策内容に関する事例データを検索し、検索結果に基づいて障害への対策を提示する。保守員やエンジニアが事例データを登録する際、事例データと関連するイベントを指定しておく。イベント分析システムは、指定されたイベントからイベントグラフを生成し、事例データと対応付けて登録しておく。その上で、イベント分析システムは、監視対象システムから抽出されるイベントに基づいてイベントグラフを生成し、登録されているイベントグラフとの類似を監視する。イベント分析システムは、類似したイベントグラフを見つけた場合、保守員やエンジニアに、生成したイベントグラフと対応する事例データを提示する。すなわち、イベントグラフを事例データのキーとして、監視対象システムの稼働時に生成したイベントグラフに基づいて事例データを検索し、検索した事例データを生成したイベントグラフと対応させて提示する。これによって、既知の障害に類似する障害であれば、保守員やエンジニアが分析に時間を要することなく対策できる。
図1は、イベント分析システムの構成図である。イベント分析システムは、監視対象システム1のイベントを監視するイベント監視装置2、分析用計算機3、および操作端末4を備える。監視対象システム1とイベント監視装置2は、監視対象システム1内の制御用LAN(Local Area Network)等の制御用ネットワーク14を介して接続される。イベント監視装置2、分析用計算機3、および操作端末4は、インターネット等または自営網などのネットワーク5を介して接続される。
なお、図1に示すように、典型的なイベント分析システムでは、イベント監視装置2は、監視対象システム1が設置された現地サイトに置かれ、分析用計算機3はデータセンターなどに設置される。一方、操作端末4は、現地サイトの保守員と保守拠点のエンジニアが使うために、現地サイトと保守拠点との双方に設置される。なお、これら構成および配置は一例であって、すべて現地サイトに置くことも可能であるし、後述のイベント監視装置2の一部機能(収集解析部、転送部)を除いて保守拠点に集約することも可能である。また、イベント監視装置2、分析用計算機3、および操作端末4がネットワークで接続されていないシステムの場合、USB(Universal Serial Bus)メモリ等の記憶媒体を介してイベントや局所予測モデルのパラメータ(後述)を受け渡す形態を採ってもよい。
監視対象システム1は、様々なシステムであり、その形態も様々であるが、センサやアクチュエータを持った設備11、設備11の状態をセンサを介して監視し、設備11を制御するコントローラ12、およびコントローラ12を統括する制御用計算機13を備え、これらは制御用ネットワーク14を介して接続される。なお、図示する構成要素は一例であって、設備11などの要素数は増減してもよく、一つの制御用ネットワーク14で接続されていても、階層化された制御用ネットワーク14で接続されていてもよい。
図1を用いて、各装置の構成を説明する。イベント監視装置2は、収集解析部21、異常検知部22、および事例検索部23の各処理部、並びに、短期イベント記憶部24、およびパラメータ記憶部25の各記憶部を備えるコンピュータである。
収集解析部21は、監視対象システム1のコントローラ12、制御用計算機13、および制御用ネットワーク14(ログ出力するネットワーク機器)からログを収集し、収集したログを解析して時系列のイベント列を生成し、分析用計算機3に送信する。異常検知部22は、分析用計算機3から受信した局所予測モデルのパラメータに基づき監視対象システム1の異常状態を検知する。事例検索部23は、分析用計算機3から受信したイベントグラフに対応する、事例データを検索する。短期イベント記憶部24はイベントを格納する。短期イベント記憶部24はイベントを、分析用計算機3に送信するまで一時的に格納するバッファである。パラメータ記憶部25は、局所予測モデルのパラメータ、事例データなどを格納する。
分析用計算機3は、モデル学習部31、イベントグラフ作成部32、および操作管理部33の各処理部、並びに、イベント記憶部34、モデル記憶部35、および事例記憶部36の各記憶部を備えるコンピュータである。
モデル学習部31は、イベント監視装置2が生成したイベント列から監視対象システム1の正常時の局所予測モデルを生成する。イベントグラフ作成部32は、起点となるイベントから遡り(バックトレースして)、監視対象システム1の異常状態を示すイベントの発生に至るまでの、監視対象システム1の局所予測モデル上で異常状態の発生に寄与するイベントを抽出し、抽出したイベントを連結することでイベントグラフを作成する。操作管理部33は、操作端末4への表示情報の作成や、操作端末4からの事例データを登録する。
イベント記憶部34は、イベント監視装置2から受信したイベントを格納する。モデル記憶部35は、局所予測モデルのパラメータ等を格納する。事例記憶部36は、事例データおよびそれに対応するイベントグラフ等を格納する。
操作端末4は、分析用計算機3で作成された表示情報の表示や、事例データを入力する。
なお、以上の各処理部及び各記憶部の配置は一例であって、他の装置上にあっても、複数の装置上に配置されてもよい。例えば、異常検知部22が分析用計算機3にあってもよいし、イベントグラフ作成部32がイベント監視装置2に配置されてもよい。
図2は、短期イベント記憶部24およびイベント記憶部34が格納するイベント列100(イベントが一つの場合もイベント列と呼ぶ。)の例である。イベント列100は、監視対象システム1から収集したログを解析することで得られ、サイトID101、時刻102、イベントID103、および詳細データ104を含む。サイトID101及びイベントID103は、それぞれ現地サイト及びイベントを識別するための識別子である。図2には、ある現地サイトSite1の通信ミドルウェアの通信ログの例として、詳細データ104に「2014/9/21 12:23:14.1034 SEND TYPE=xxx DATA=yyy」を示している。このようなイベント列100を発生させるログの場合、イベント列100は、サイトID101にSite1を格納し、ログに含まれる時刻部分(詳細データ104の時刻部分)を時刻102に格納し、「装置名.通信ミドルウェアの名前.ログ名.SEND」等に対応してあらかじめ定められた識別子をイベントID102に格納し、ログ全体、もしくは不要な箇所を削除したログの一部の文字列を詳細データ104に格納する。
このように、イベント(図2のレコード)の時系列の連なりがイベント列である。前述したように、イベントが一つの場合もイベント列と呼ぶ。なお、短期イベント記憶部24は現地サイトのイベントを格納するが、イベント記憶部34は、分析用計算機3に接続する全ての現地サイトのイベントを格納する。
図3は、パラメータ記憶部25およびモデル記憶部35が格納する局所予測モデルパラメータ200の例である。詳細は後述するが、イベントの局所予測モデルにはロジスティック回帰モデル(2値の場合の対数線形モデル)を用いる。このため、イベントの特徴(図8を用いて後述)に対する重みベクトルが局所予測モデルのパラメータである。局所予測モデルパラメータ200は、サイトID201、イベントID202、特徴ID203、および重み204を含む。サイトID201及びイベントID202は、それぞれ現地サイト及びイベントを識別するための識別子であり、特徴ID203は局所予測モデルに対応するイベントの特徴を識別するための識別子である。局所予測モデルは、サイトID201とイベントID202との対によって特定される。
なお、他のモデルを用いる場合は、適宜パラメータも変更する。また、パラメータ記憶部24は自サイトに関係するパラメータを格納するが、モデル記憶部35は、分析用計算機に接続する全ての現地サイトのパラメータを格納する。
図4は、モデル記憶部35が格納するモデル予測精度データ300の例である。モデル予測精度データ300は、サイトID301、イベントID302、及び予測精度303を含む。サイトID301及びイベントID302は、それぞれ現地サイト及びイベントを識別するための識別子である。詳細は後述するが、予測精度303は、イベント列から算出された、局所予測モデルの予測精度を表す。
図5は、パラメータ記憶部25および事例記憶部36が格納するイベントグラフデータ400の例である。イベントグラフデータ400は、イベントの発生過程を表現するイベントグラフのエッジ情報であり、グラフID401、親ノードID402、子ノードID403、連結タイプ404、重み405を含む。グラフID401は、イベントグラフを識別するための識別子である。親ノードID402および子ノードID403はノードを識別するための識別子であり、イベントの発生をバックトレースするので、子ノードID403のイベントが親ノードID402のイベントを発生させることを意味し、親ノードID402および子ノードID403のそれぞれは図6のノードイベント500で定義される。連結タイプ404は、エッジの導出過程(子ノードID403のイベントから親ノードID402のイベントへの状態遷移)に基づいて設定される。重み405は、局所予測モデルの予測に用いられる。イベントグラフデータ400の詳細は、イベント分析システムの動作説明等において後述する。
図6は、パラメータ記憶部25および事例記憶部36が格納する、イベントグラフのノードとなるノードイベント500の例である。ノードイベント500は、イベントグラフのノードとイベントの対応を示すデータであり、ノードID501、サイトID502、時刻503、イベントID504を含む。ノードID501が、イベントグラフ400の親ノードID402または子ノードID403と対応し、サイトID502、時刻503、およびイベントID504が、イベント列100のサイトID101、時刻102、イベントID103と対応する。
図7は、パラメータ記憶部25および事例記憶部36が格納する事例データ600の例である。事例データ600は、操作端末4を介して、保守員やエンジニアが障害を発見、解析、対策後に、すなわち発生した障害に関して入力するデータであって、事例ID601、サイトID602、グラフID603、内容データ604を含む。事例ID601、サイトID602、及びグラフID603は、それぞれ、事例データ、現地サイト及びイベントグラフを識別するための識別子である。事例ID601とサイトID602との対で事例データが特定される。内容データ604は、保守員やエンジニアによって入力されるデータであり、典型的には「[状況]マシン2のプロセスが異常終了、[原因]追加したマシンの性能がHUBの性能を超えパケットロス、[対策]HUBを最新型に変更」といった状況、原因、対策に関する情報が入力される。なお、この入力項目を含むフォーマットは、対象のシステムに応じて適宜変更される。グラフID603は、内容データ604に対応したイベントグラフを表すので、グラフID603で識別されるイベントグラフをキーにして、稼働中の監視対象システム1のイベント列(グラフID603で識別されるイベントグラフに対応する障害に至るイベント列)から事例データが検索される。
図8、モデル記憶部35が格納する特徴関数定義700の例である。特徴関数定義700は、局所予測モデルの入力となる特徴量を生成するための特徴関数の定義データであって、特徴ID701と、特徴関数定義702を含む。特徴ID701は、特徴関数定義702の定義を識別するための識別子である。
本実施形態では、特定のイベントの発生や、特定のイベント列の発生順序または発生タイミングを特徴量として用いる。一般に特徴関数は、引数(または入力)としてのイベント列に対して数値(1又は0)を返す関数であって、前述以外の定義、例えば、単に複合イベントの発生や、イベントIDだけでなく、イベントの詳細データに含まれる特定キーワード等を考慮した関数を定義することができる。
以下、イベント監視装置2および分析用計算機3の連携により各プロセスの処理を説明するが、説明を簡単にするために、図2〜図8の各データを各記憶部に格納する処理を必ずしも明示していない。
図9は、局所予測モデル学習プロセスの処理フローチャートである。局所予測モデル学習プロセスの処理は、収集解析部21およびモデル学習部31の連携により実行される。
収集解析部21は、監視対象システム1から、OSやミドルウェアの警告やエラー、コマンドの実行結果、アプリケーションの内部ステート遷移や動作履歴などに関する時系列の文字列データであるログを収集する(S101)。収集解析部21は、収集したログを解析し、自サイトのサイトID101に対応させ、ログの内容(アラームであれば、エラーレベルやそのID等)に応じた時刻102、イベントID103及び詳細データ104を付与したイベント100を抽出し、短期イベント記憶部24に格納する(S102)。なお、短期イベント記憶部24に格納されたイベント列100は、分析用計算機3への送信完了(イベント記憶部34への格納完了)に応じて削除される。
モデル学習部31は、定期的(1日1回の頻度等)にイベント監視装置の短期イベント記憶部24からのイベント列100を収集し、イベント記憶部34に格納する(S103)。モデル学習部31は、監視対象システム1の正常時のイベント列100を用いて、イベントの変化を局所的に予測する局所予測モデルを学習し、局所予測モデルパラメータ200を作成し、作成した局所予測モデルパラメータ200をモデル記憶部35に格納する(S104)。この処理については、後述する。
モデル学習部31は、交差検定等を用いて作成した局所予測モデルの予測精度を算出し、モデル予測精度データ300を作成し、モデル記憶部35に格納する(S105)。モデル学習部31は、作成した局所予測モデルパラメータ200と、モデル予測精度データ300をイベント監視装置2に送信する。イベント監視装置2は、受信した局所予測モデルパラメータ200とモデル予測精度データ300をパラメータ記憶部25に格納し、処理を終える(S106)。
なお、監視対象システム1の運用時(正常時)のイベント列からモデルを学習する例を述べたが、実際には、監視対象システム1の出荷前テストや出荷した後の現地での試運転で収集されたイベント列を用いて学習してもよい。
図10は、モデル学習部31による局所予測モデルの学習(S104)の処理フローチャートである。ここでは、局所予測モデルとしてL1正則化付のロジスティック回帰を用いる。説明に先立って定義を説明する。
イベント集合Eは、イベント列100に対応し、E = {E_i,t | i=1,2,3,…,I, t=1,2,3,…,T}と記載する。ここで、E_i,tはイベント集合の要素であり、iはサイトID101とイベントID103との対(以下では、イベントID103を代表させ、「イベントIDがi」などと記載する。)を示し、tは時刻102を示す。時刻tにイベントIDがiのイベントが発生していない場合、E_i,tは値Emptyが対応付けられる。そうでないならば(発生しているならば)、E_i,tはサイトID101、イベントID103、時刻102に対応するイベント列100のレコードが対応付けられる。
ある時刻tsから他の時刻te-1までのイベントの部分集合をE[ts:te]={E_i,t | i=1,2,3,…,I, t=ts,…,te}と記載する。
イベント変化C(i, t)は、E_i,tがEmptyでなく、K時刻前(t-K:t-1、t-2、・・・のように離散的な時刻を表す。以下も同様の表現を用いる。)までに発生したEmptyでないイベントの中で最新のイベントE_i,t’と、イベントIDが同じでない場合に1、それ以外は0を返す関数とする。ここで、Kは予め定義しておく定数であって、本実施形態では、各イベントIDについてE_iの平均発生間隔の2倍とする。ただし、それ以外の値、例えば3分、等の定数であってもかまわない。
特徴ベクトルΦ(E([ts:te]))は、E[ts:te]における特徴を表し、Φ(E[ts:te])=[φ_1(E([ts:te])), …, φ_k(E([ts:te])), … , φ_K(E([ts:te]))]と記載する。ここで、φ_k(・)は特徴量関数であり、φ_k(E[ts:te])は、E[ts:te]のk番目の特徴量を表す。
重みベクトルW_iは、イベントIDがiの局所予測モデルの重みベクトルであり、W_i=[W_i,0, W_i,1, … , W_i,K]と記載する。
以上の定義に従って、局所予測モデルの学習の処理を説明する。モデル学習部31は、学習回数のカウンタcntに0を代入し、各W_iに乱数を設定する(S201)。モデル学習部31は、時刻変数tに1からTまでの値をランダムに設定する(S102)。モデル学習部31は、特徴量Φ([E[t-τ,t])を算出する。ここでτは定数であって、各イベントIDについてE_iの平均発生間隔とする(S203)。モデル学習部31は、イベントIDに対応する変数iに0を代入する(S204)。
モデル学習部31は、入力を特徴量Φ([E[t-τ,t])、出力をC(i, t)とするL1正則化付ロジスティック回帰モデルとして表現されたイベントiの局所予測モデルの重みベクトルW_iを更新する(S205)。ここで、特徴量Φ([E[t-τ,t])を生成するために、特徴関数定義700に登録された特徴関数φ_kの定義702を用いる。具体的には、例えば、あるイベントIDのイベントが発生したならば1、そうでなければ0、というような単一イベントの関係に基づく特徴や、あるイベントIDのイベントが発生した2秒後以内に他のイベントIDのイベントが発生したならば1、そうでなければ0、というような複数のイベントとイベントの順序関係に基づく特徴を用いる。重みベクトルW_iの更新には、勾配法や劣勾配法で更新した重みベクトルと正則化項の最適化によって最終的な重みベクトルを決定するForward Backward Splittingを用いる。これによって、スパースな重みベクトルW_iを得ることができる。
モデル学習部31は、変数iを1インクリメントする(S206)。モデル学習部31は、すべてのiについてS205〜S206を実行したかを判定し、実行した場合はS208に移り、そうでない場合は、S205に戻る(S207)。
S207において、すべてのiについて実行した場合、モデル学習部31はカウンタcntを1インクリメントする(S208)。モデル学習部31は、cntが予め定められた回数N未満かを判定し、未満の場合、S202に戻り、そうでない(以上の)場合は、処理を終了する(S209)。
説明した局所予測モデルは、イベントの明示的な因果関係や原因を扱う必要がなく、モデル学習部31が、イベント監視装置2を介して監視対象システム1から取得したイベント列を用いるので、対象とする監視対象システム1に関して知識をほとんど持たない人でも、局所予測モデルの構築が可能である。また、重みベクトルのスパース化によって後述の処理で生成されるイベントグラフが簡素化できる。この結果、保守員やエンジニアにわかりやすいイベントグラフを提示できる。また、事例検索のためにイベントグラフとイベント列の相関を求めるための計算量も小さくできる。
以上は、ロジスティック回帰モデルを用いた例を示したが、多値の変化を扱う場合には、前記のような入力の特徴量と多値のイベント変化の組合せとして表現される特徴関数(素性関数)に関する対数線形モデルを用いることができる。さらに、他の予測モデル、例えばCW(Confidence-Weighted)やAROW(Adaptive Regularization of Weight Vectors)等の識別モデルCRF(Conditional Random Fields)等の構造予測が可能なモデルを用いてもよい。また、モデルの更新方法についても、単なる勾配法や劣勾配法を用いるだけであってもよいし、その他の手法を用いても良い。
図11は、障害分析支援プロセスの処理フローチャートである。障害分析支援プロセスの処理は、収集解析部21、異常検知部22、イベントグラフ作成部32、および操作管理部33の連携により実行される。障害分析支援プロセスの処理は、新しいイベントに応じて又は定期的に実行される。収集解析部21は、前述の処理(S101、S102)と同様に、監視対象システム1からログを収集し、最新のイベント列100を短期イベント記憶部24に格納する。ここで、説明を簡単にするために、格納された(観測された)イベント列100をイベントID=100、時刻tとする。異常検知部22が、時刻t-1に観測したイベントをもとに、局所予測モデルを用いて時刻tのイベントを予測する(S301)。
異常検知部22は、予測した時刻tのイベントの予測結果と観測した時刻tのイベントID=100(観測結果)が一致しているか否かを判定する。一致していれば処理を終了し、一致していなければS303に移る(S302)。予測結果と観測結果が一致していない場合、異常検知部22は、分析用計算機3に監視対象システム1の異常を通知する(S303)。イベントグラフ作成部32は、異常を通知したイベント監視装置2から最新のイベント列100を収集する(S304)。最新のイベント列100がイベント記憶部34にすでに格納されている場合は、イベントグラフ作成部32はイベント記憶部34から最新のイベント列100を収集する。
イベントグラフ作成部32は、観測され、異常が通知されたイベント(前述の例の時刻tのイベント)の直前のイベント(前述の例の時刻t-1の観測されたイベント)を起点として、イベントを時間的に遡って(バックトレースして)関連するイベントを抽出し、抽出したイベントを連結することでイベントグラフを作成する(S305)。この処理の詳細は、後述する。操作管理部33は、操作端末4に異常の発生通知と、作成したイベントグラフを送信する。部操作端末4は、受信した内容を表示し、障害分析支援プロセスの処理を終了する(S306)。
以上の説明において、異常検知部22は、予測結果と観測結果の乖離に基づいて異常検知したが、明確に障害に至る異常であると判定できるイベントの検出や、他の手法、例えば1Class SVM(Support Vector Machine)やSVM等を用いた異常検知を併用してもよい。
図12は、イベントグラフ作成部32によるイベントグラフの作成(図11のS305)の処理フローチャートである。イベントグラフ作成部32は、異常が通知されたイベントに対応するノードイベント500を、事例記憶部36に格納する。そして、イベントグラフデータ400の親ノードID402を「Empty」、子ノードID403を事例記憶部36に格納したノードイベント500のノードID501、連結タイプ404を「なし」、重み405を「Empty」として、イベントグラフデータ400を作成し、事例記憶部36に格納する。(S401)。
イベントグラフ作成部32は、通知されたイベントのM時刻前に発生したイベントをイベント管理部34のイベント列100から抽出し、ノードイベント500を作成し、事例記憶部36に登録する。さらにイベントグラフ作成部32は、通知されたイベントのノードID(親ノード)と、抽出した各イベントのノードID(子ノード)のタプルをスタック(Last-in First-out)に追加する。スタックは、分析用計算機3のワークエリア(作業記憶領域)に設ける。なお、M時刻前に発生したイベントが複数ある場合は、別々にスタックに追加する(S402)。本実施例ではMは通知されたイベントの平均発生間隔とする。なお、1分前まで等、Mは対象によって自由に変更してよい。
イベントグラフ作成部32は、スタックが空かどうかを判定し、スタックが空の場合は本処理を終了し、そうでない場合はS404に移る(S403)。イベントグラフ作成部32は、スタックから親ノードと子ノードのタプルを取り出し(S404)、取り出した親ノード、子ノードに対応するイベントグラフデータ400を作成し、事例管理部36に登録する。このとき、イベントグラフデータ400の親ノードID402が通知されたノードである場合、連結タイプ404には「異常遷移」、重み405には「Empty」、通知されたノードでない場合は連結タイプ404には「正常遷移」、重み405には親ノードに対応するイベントIDの局所予測モデルにおける子ノードに対応するイベントIDの重みを登録する(S405)。
イベントグラフ作成部32は、取り出した子ノードの局所予測モデルの予測精度303が予め設定された閾値α(例えば、α=0.6)未満であるかを判定し、α未満である場合にはS403に戻り、そうでない場合にはS407に移る(S406)。予測精度がα未満でなかった場合、イベントグラフ作成部32は、局所予測モデルによる子ノードの予測結果が観測結果(子ノード)と乖離していないか(すなわち、True-PositiveもしくはFalse-Negativeであること)を判定する。乖離していない場合はS408に移り、そうでない場合はS409に移る(S407)。
予測結果と観測結果が乖離していない場合、イベントグラフ作成部32は、再帰的にイベントグラフを作成するために、観測結果(子ノード)を新たな親ノード、局所予測モデルの重みが一定値以上(スパース化できれているならば0でない)の特徴関数で用いたイベント(予測に寄与するイベント)を新たな子ノードとしてスタックに追加し、S403に戻る(S408)。
予測結果と観測結果が乖離している場合、イベントグラフ作成部32は、観測結果(子ノード)のM時刻前に発生したイベントを抽出し、ノードイベント500を作成し、事例管理部36に登録する。イベントグラフ作成部32は、観測結果を新たな親ノード、登録したノードイベントに対応するノードを新たな子ノードとしてイベントグラフデータ400を作成し、事例記憶部36に格納する。このときイベントグラフ作成部32は、イベントグラフデータ400の連結タイプ404には「異常遷移」、重み405には「Empty」を設定する。そして、ステップ1S403に戻る(S409)。
以上のように、局所予測モデルに基づいて、あるイベントの発生過程を分析、抽出することができる。
図13は、事例登録プロセスの処理フローチャートである。事例登録プロセスの処理は、保守員やエンジニアが前述の障害分析支援プロセスを活用して、障害の原因を突き止め、対策を講じた後に、操作管理部33および事例検索部23の連携により実行される。保守員やエンジニアが、事例ID、サイトID、突き止めた原因や講じた対策を、操作端末4を介して入力する(S501)。
保守員やエンジニアが、操作端末4を用いて、障害に関係するイベントグラフを、入力した原因および対策に対応付ける。操作端末4は、イベントグラフと原因および対策などが対応付けられた事例データ600を操作管理部33に送信する。操作管理部33は受信した事例データ600を事例記憶部36に格納する(S502)。
事例管理部36は、格納された事例データ600、事例データ600のグラフID603として参照されているイベントグラフデータ400、並びに、イベントグラフデータ400の親ノードID402および子ノードID403として参照されているノードイベント500を、イベント監視装置2の事例検索部23に配信する。事例検索部23は、受信した事例データ600、イベントグラフデータ400およびノードイベント500をパラメータ記憶部25に格納し、処理を終了する(S503)。
なお、あるサイトの事例を他のサイトに配信する場合に、システム構成や動作上存在しないイベントをイベントグラフから削除しておく。
運用時に起きた障害に関する事例を登録する例を述べたが、実際には、監視対象システム1の出荷前テストや出荷した後の現地での試運転で発生した障害等を同様に登録してもよい。
図14は、事例提示プロセスの処理フローチャートである。事例提示プロセスの処理は、事例検索部23および操作管理部33の連携によって定期的に実行される。短期イベント記憶部24には、最新のイベント列が格納されている状態を前提として、事例提示プロセスの処理を説明する。
事例照合部23は、短期イベント記憶部24に格納されている現時刻(t)からτ時刻前まで(t-τ〜t)のイベント列100を取得する。そして、事例検索部23は、イベント列100とパラメータ記憶部25に格納されているイベントグラフデータ400、ノードイベント500との相関(または類似度、距離)を計算する(S601)。例えば、イベント列100の発生順序が重要となることが多いことを考慮すると、発生順序を反映できる相関係数であるスピアマンの順位相関係数を用いることができる。また、イベント列100の詳細データ104を考慮するならば、前述したイベントグラフの生成処理に基づき、短期イベント記憶部24から取得したイベント列100の最新時刻付近のイベント列からイベントグラフを生成し、イベントグラフ同士のグラフカーネル(ツリーカーネル)によって類似性を図ることもできる。これは、観測したイベント列に基づいたイベントグラフをキーにすることで、稼働中のイベント列を使って、類似したイベントグラフに対応する事例を検索することを可能とする。
事例検索部23が、相関が予め設定した閾値γ(例えば、γ=0.8)以上となる事例があるかを判定し、該当する事例ある場合にはS603に移り、そうでなければ処理を終了する(S602)。
イベントグラフ間の相関が閾値γ以上に対応する事例がある場合、事例検索部23は、その事例データ600を分析用計算機3の操作管理部33に通知する。操作管理部33は、通知された事例データ600と対応するイベントグラフデータ400、並びに、イベントグラフデータ400の親ノードID402および子ノードID403に対応するノードイベント500を操作端末4に送信する。操作端末41は、受信した各データを表示(保守員やエンジニアに通知)し、処理を終了する(S603)。
以上のように、イベントグラフを使うことで稼動している監視対象システム1のイベント列からリアルタイムで事例の検索が可能になる。さらに、イベントグラフは、障害が起きた際のイベントからバックトレースすることで生成しているので、最終的な障害が起きる前に事例を検索し、保守員やエンジニアに提示することも可能となる。
なお、本実施形態ではリアルタイムで事例を検索するためにイベントグラフを用いる方法を説明したが、イベントグラフ同士の類似性から事例を分類し、体系化して保守員やエンジニアに提示することもできる。
図15は、イベントグラフ表示画面1100の例である。イベントグラフ表示画面1100は、イベント監視装置2の異常検知部22が検出した異常に関連するイベントIDとイベントグラフを操作端末4の画面に表示したものである。イベントグラフ表示画面1100は、サイト表示ボックス1101、日時表示ボックス1102、異常イベントID表示ボックス1103、およびイベントグラフモニタ1104を有する。
サイト表示ボックス1101には、異常が発生した監視対象システム1のサイトを表示する。日時表示ボックス1102には、異常が発生した時刻を表示する。異常イベントID表示ボックス1103には通知されたイベントIDを表示する。イベントグラフモニタ1104には、イベントグラフデータ400に基づいて、異常イベントID表示ボックス1103に表示したイベント1104aをルートノードとし、子孫ノードに対応するイベントIDを左側に配置するツリー状の有向グラフを表示する。また、イベントグラフモニタ1104の下部には、表示された各ノードに対応するイベントの発生時刻が表示される。
図15に示す例のように、あるイベントが他の2つのイベントの発生に寄与することがあり(あるノードに親ノードが2つ存在する場合があり、図中、イベントID44に、イベントID67とイベントID108の親ノードがある)、厳密に各ノードが半順序集合をなすツリーではない。
また、イベントグラフデータ400の連結タイプ404に応じて表示方法を次のように変更する。連結タイプ404が「異常遷移」である場合、同じ親ノードを持つ兄弟ノードを破線枠1104bで囲み、親ノードとその破線枠1104bとをエッジ1104cで結ぶ。さらに、そのエッジの上に「!(1104c)」を表示することで、「異常遷移」であることを明示する。連結タイプ404が「正常遷移」である場合、親ノードと子ノードを直接エッジで結ぶ。さらに、そのエッジの上に「○(1104d)」を表示することで、「正常遷移」であることを明示する。また、対応する局所予測モデルの重み(1104e)を、局所予測モデルパラメータ200の重み204に基づいて表示する。なお、正常遷移が何段も続く場合は間のノードとエッジを省略して表示してもよい。以上のように表示することで、保守員やエンジニアが障害の発生過程を示すイベントを視覚的に捉えることができる。また、「!」や「○」は記号の一例であって、視覚的に認識される表示であればよく、他の記号あるいは文字列等で表記されていてもかまわない。
図16は、事例データ表示画面1200の例である。事例データ表示画面1200は、イベント監視装置2の事例検索部23が検索し、検索時刻を付与して、分析用計算機3に通知した事例データを、操作端末4に表示したものである。事例データ表示画面1200は、サイト表示ボックス1201、日時表示ボックス1202、事例リスト1203、稼動状況リスト1204、および事例イベントグラフモニタ1205を備える。
サイト表示ボックス1201には、分析用計算機3に通知された事例データ600のサイトID601を表示する。日時表示ボックス1202には、通知された事例データ600の検索時刻を表示する。事例リスト1203には通知された事例データ600の事例ID601、相関(事例データを検索する際のイベントグラフ間の相関)、および内容データ604を表示する。稼働状況リスト1204には、サイト表示ボックス1201に表示したサイトで発生した最近のイベント列100の時刻102、イベントID103、および詳細データ104を表示する。事例イベントグラフモニタ1205には、事例リスト1203で選択された事例データ600のイベントグラフを表示する。
稼働状況リスト1204に表示されているイベントIDがイベントグラフのノードとして表示されている場合、そのノードを特徴づける(そのノードの表示色を変えるなどにより、他とは異なる態様で表示する。)。以上のような事例データの表示により、保守員やエンジニアが発生したイベント列と近い事例を把握することができる。
前述の処理説明では、図15および図16の表示画面例に表示されるすべてのデータが、イベント監視装置2から分析用計算機3を介して、または分析用計算機3から、操作端末4に送信されるように説明していないが、処理説明を簡明にするために詳細を省略したものである。
以上に説明したように、本実施形態によれば、事前にイベントの発生原因等を定義する必要がなく、監視対象システムから取得したイベント列を用いて局所予測モデルを構築でき、構築した局所予測モデルを利用することにより、障害検知や分析などのシステムの運用開始または改修にかかる時間とコストを削減できる。
また、本実施形態によれば、稼働している監視対象システムのログからリアルタイムに異常を検知したり、生成したイベントグラフを事例のキーとして検索できるので、熟練していない保守員やエンジニアであっても監視対象システムの異常や事例を把握することができる。
さらに、本実施形態によれば、装置間の相互作用で起きる障害であっても、実際の監視対象システムの動作から局所予測モデルを構築するので、発生する障害に特有のイベント列に含まれるノイズ(監視対象システムとは無関係のイベント)が少なく、障害の発生原因の推定に要する時間を少なくできる。
1:監視対象システム、2:イベント監視装置、3:分析用計算機、4:操作端末、5:ネットワーク、11:設備、12:コントローラ、13:制御用計算機、14:制御用ネットワーク、21:収集解析部、22:異常検知部、23:事例検索部、24:短期イベント記憶部、25:パラメータ記憶部、31:モデル学習部、32:イベントグラフ作成部、33:操作管理部、34:イベント記憶部、35:モデル記憶部、36:事例記憶部。

Claims (15)

  1. 監視対象システムの稼働時の第1のイベント列に基づき第1のイベントを予測する局所予測モデルを予め学習する局所予測モデル学習プロセス、
    前記監視対象システムの第2のイベント列を監視し、監視した前記第2のイベント列に含まれる第2のイベントの観測結果と、前記局所予測モデルを用いて予測した前記第1のイベントの予測結果とが不一致の前記第2のイベントを抽出する異常検知プロセス、および
    前記第2のイベントの抽出に応答して、監視した前記第2のイベント列に含まれ、前記観測結果を生じさせる、前記第2のイベントの直前に発生した第3のイベントを起点としてバックトレースした第1のイベントグラフを作成する障害分析支援プロセスを有することを特徴とするイベント分析システム。
  2. 前記局所予測モデルを用いた予測は、前記第1のイベント列に含まれる前記第1のイベントの発生順序及び発生タイミングの一方に基づいて予測することを特徴とする請求項1記載のイベント分析システム。
  3. 前記障害分析支援プロセスは、前記第3のイベントに対する前記局所予測モデルの予測精度が高く、前記第3のイベントの予測結果と前記第3のイベントの観測結果とが一致する場合には、前記第3のイベントの予測に寄与した、前記第2のイベント列に含まれる第4のイベントを新しい起点として、前記第2のイベント列に含まれるイベント列を再帰的に抽出し、再帰的に抽出した前記イベント列を結合した前記第1のイベントグラフを生成することを特徴とする請求項1記載のイベント分析システム。
  4. 前記障害分析支援プロセスは、前記再帰的に抽出した前記イベント列に含まれる第4のイベントに対する前記局所予測モデルの予測精度が高く、前記第4のイベントの予測結果と前記第4のイベントの観測結果とが不一致の場合には、前記第4のイベントの直前のイベント列を抽出して、前記再帰的な抽出を終了し、さらに、前記第4のイベントに対する前記局所予測モデルの予測精度が低い場合は前記再帰的な抽出を終了することを特徴とする請求項3記載のイベント分析システム。
  5. 前記局所予測モデル学習プロセスは、前記局所予測モデルの重みベクトルをスパース化することを特徴とする請求項1記載のイベント分析システム。
  6. 第2のイベントグラフに対応させた事例を有し、前記第2のイベント列と相関の強い前記第2のイベントグラフを検索し、検索した前記第2のイベントグラフに対応する前記事例を操作端末に表示する事例提示プロセスをさらに有することを特徴とする請求項1記載のイベント分析システム。
  7. 前記事例提示プロセスは、前記第2のイベント列に含まれる前記第2のイベントの発生順序を反映する相関係数を用いて前記相関を算出することを特徴とする請求項6記載のイベント分析システム。
  8. 前記事例提示プロセスは、前記第2のイベント列のバックトレースの経緯を視覚的に認識されるように表示し、前記第2のイベント列に含まれるイベント間の遷移が正常遷移の場合は、前記イベント間の遷移の予測に用いた前記局所予測モデルの重みを付与してグラフ表示することを特徴とする請求項6記載のイベント分析システム。
  9. 前記異常検知プロセスが用いる、サイトに関連する前記局所予測モデルを、前記監視対象システムのサイトに設置するイベント監視装置にあらかじめ記憶することを特徴とする請求項1記載のイベント分析システム。
  10. 監視対象システムのイベント分析システムにおけるイベント分析方法であって、前記イベント分析システムは、
    前記監視対象システムの稼働時の第1のイベント列に基づき第1のイベントを予測する局所予測モデルを予め学習し、
    前記監視対象システムの第2のイベント列を監視し、監視した前記第2のイベント列に含まれる第2のイベントの観測結果と、前記局所予測モデルを用いて予測した前記第1のイベントの予測結果とが不一致の前記第2のイベントを抽出し、
    前記第2のイベントの抽出に応答して、監視した前記第2のイベント列に含まれ、前記観測結果を生じさせる、前記第2のイベントの直前に発生した第3のイベントを起点としてバックトレースした第1のイベントグラフを作成することを特徴とするイベント分析方法。
  11. 前記イベント分析システムは、前記第3のイベントに対する前記局所予測モデルの予測精度が高く、前記第3のイベントの予測結果と前記第3のイベントの観測結果とが一致する場合には、前記第3のイベントの予測に寄与した、前記第2のイベント列に含まれる第4のイベントを新しい起点として、前記第2のイベント列に含まれるイベント列を再帰的に抽出し、再帰的に抽出した前記イベント列を結合したイベントグラフを生成することを特徴とする請求項10記載のイベント分析方法。
  12. 前記イベント分析システムは、前記再帰的に抽出した前記イベント列に含まれる第4のイベントに対する前記局所予測モデルの予測精度が高く、前記第4のイベントの予測結果と前記第4のイベントの観測結果とが不一致の場合には、前記第4のイベントの直前のイベント列を抽出して、前記再帰的な抽出を終了し、さらに、前記第4のイベントに対する前記局所予測モデルの予測精度が低い場合は前記再帰的な抽出を終了することを特徴とする請求項11記載のイベント分析方法。
  13. 前記イベント分析システムは、第2のイベントグラフに対応させた事例を有し、前記第2のイベント列と相関の強い前記第2のイベントグラフを検索し、検索した前記第2のイベントグラフに対応する前記事例を操作端末に表示することを特徴とする請求項10記載のイベント分析方法。
  14. 前記イベント分析システムは、前記第2のイベント列に含まれる前記第2のイベントの発生順序を反映する相関係数を用いて前記相関を算出することを特徴とする請求項13記載のイベント分析方法。
  15. 前記イベント分析システムは、前記第2のイベント列のバックトレースの経緯を視覚的に認識されるように表示し、前記第2のイベント列に含まれるイベント間の遷移が正常遷移の場合は、前記イベント間の遷移の予測に用いた前記局所予測モデルの重みを付与してグラフ表示することを特徴とする請求項13記載のイベント分析方法。
JP2014238755A 2014-11-26 2014-11-26 イベント分析システムおよび方法 Active JP6280862B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014238755A JP6280862B2 (ja) 2014-11-26 2014-11-26 イベント分析システムおよび方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014238755A JP6280862B2 (ja) 2014-11-26 2014-11-26 イベント分析システムおよび方法

Publications (3)

Publication Number Publication Date
JP2016099938A JP2016099938A (ja) 2016-05-30
JP2016099938A5 JP2016099938A5 (ja) 2017-04-27
JP6280862B2 true JP6280862B2 (ja) 2018-02-14

Family

ID=56077931

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014238755A Active JP6280862B2 (ja) 2014-11-26 2014-11-26 イベント分析システムおよび方法

Country Status (1)

Country Link
JP (1) JP6280862B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108536126A (zh) * 2018-04-18 2018-09-14 杭州和利时自动化有限公司 一种点检仪和dcs***的点检方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6358401B1 (ja) * 2016-09-13 2018-07-18 富士電機株式会社 アラーム予測装置、アラーム予測方法、及びプログラム
WO2019031473A1 (ja) * 2017-08-09 2019-02-14 日本電気株式会社 情報選択装置、情報選択方法、及び、情報選択プログラムが記録された記録媒体
JP6510125B1 (ja) * 2018-07-11 2019-05-08 ヤフー株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
JP2020071570A (ja) * 2018-10-30 2020-05-07 ファナック株式会社 データ作成装置、デバッグ装置、データ作成方法及びデータ作成プログラム
JP7243329B2 (ja) * 2019-03-15 2023-03-22 日本電気株式会社 コンピュータプログラム、イベント異常検知方法及びコンピュータ
US20230109736A1 (en) * 2021-10-11 2023-04-13 Woven Alpha, Inc. Customized data request system and method of using

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09288512A (ja) * 1996-04-22 1997-11-04 Toshiba Corp プラント状態可視化システム
JP4445750B2 (ja) * 2003-12-26 2010-04-07 株式会社野村総合研究所 因果関係推定プログラム及び因果関係推定方法
JP2012203498A (ja) * 2011-03-24 2012-10-22 Casio Comput Co Ltd エラー検出処理装置及びプログラム
JP2014120001A (ja) * 2012-12-17 2014-06-30 Kddi Corp 監視装置、監視対象ホストの監視方法、監視プログラム及び記録媒体

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108536126A (zh) * 2018-04-18 2018-09-14 杭州和利时自动化有限公司 一种点检仪和dcs***的点检方法

Also Published As

Publication number Publication date
JP2016099938A (ja) 2016-05-30

Similar Documents

Publication Publication Date Title
JP6280862B2 (ja) イベント分析システムおよび方法
US20200272531A1 (en) Automatic correlation of dynamic system events within computing devices
EP3803660B1 (en) Knowledge graph for real time industrial control system security event monitoring and management
JP6669156B2 (ja) アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム
JP6875179B2 (ja) システム分析装置、及びシステム分析方法
KR102118670B1 (ko) Ict 인프라 관리 시스템 및 이를 이용한 ict 인프라 관리 방법
EP2924579B1 (en) Event correlation
US10860406B2 (en) Information processing device and monitoring method
JP5285084B2 (ja) 検出イベントに応じたアクション実行を支援するシステム、検出イベントに応じたアクション実行を支援する方法、支援装置及びコンピュータプログラム
US20160378583A1 (en) Management computer and method for evaluating performance threshold value
JP2019185422A (ja) 故障予知方法、故障予知装置および故障予知プログラム
JP2016143299A (ja) リスク評価システムおよびリスク評価方法
JP7031743B2 (ja) 異常検知装置
WO2020066052A1 (ja) 監視システム及び監視方法
CA3127100C (en) Anomaly detection for predictive maintenance and deriving outcomes and workflows based on data quality
US9860109B2 (en) Automatic alert generation
JP5413240B2 (ja) イベント予測システムおよびイベント予測方法、ならびにコンピュータ・プログラム
JP2020052714A5 (ja)
JP2019057139A (ja) 運用管理システム、監視サーバ、方法およびプログラム
US11126490B2 (en) Apparatus and methods for fault detection in a system consisted of devices connected to a computer network
CN116611593A (zh) 用于预测空压机的故障的方法、设备和介质
JP2019036865A (ja) 通信解析装置、通信解析プログラム、及び通信解析方法
Strasser et al. Diagnostic alarm sequence maturation in timed failure propagation graphs
US20160080305A1 (en) Identifying log messages
KR20190090028A (ko) 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170321

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170321

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180122

R150 Certificate of patent or registration of utility model

Ref document number: 6280862

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150