JP6756680B2 - Information processing equipment, information processing methods, and information processing programs - Google Patents

Information processing equipment, information processing methods, and information processing programs Download PDF

Info

Publication number
JP6756680B2
JP6756680B2 JP2017161886A JP2017161886A JP6756680B2 JP 6756680 B2 JP6756680 B2 JP 6756680B2 JP 2017161886 A JP2017161886 A JP 2017161886A JP 2017161886 A JP2017161886 A JP 2017161886A JP 6756680 B2 JP6756680 B2 JP 6756680B2
Authority
JP
Japan
Prior art keywords
log
flow
similarity
flows
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017161886A
Other languages
Japanese (ja)
Other versions
JP2019041247A (en
Inventor
亮太 水谷
亮太 水谷
佳憲 北辻
佳憲 北辻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017161886A priority Critical patent/JP6756680B2/en
Publication of JP2019041247A publication Critical patent/JP2019041247A/en
Application granted granted Critical
Publication of JP6756680B2 publication Critical patent/JP6756680B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信機器から出力されるログに基づいてトラブルシューティングを行うための情報処理装置、情報処理方法、及び情報処理プログラムに関する。 The present invention relates to an information processing device, an information processing method, and an information processing program for performing troubleshooting based on a log output from a communication device.

従来、通信ネットワークにおいて、複数の通信機器が出力するログの出力順序を示すログフローに基づいて、異常が発生したときのトラブルシューティングを行うことが知られている(例えば、非特許文献1参照)。 Conventionally, in a communication network, it has been known to perform troubleshooting when an abnormality occurs based on a log flow indicating the output order of logs output by a plurality of communication devices (see, for example, Non-Patent Document 1). ..

従来のログフローの監視システムでは、予め、所定操作を行った場合に正常な処理が行われたときのログフローを記憶しておく。そして、監視システムは、新たに所定操作を行った場合に出力されるログフローが、正常な処理が行われたときのログフローと一致するか否かに基づいて、新たに行われた所定操作に対応して正常な処理が行われたか、異常な処理が行われたかを判定する。監視システムのオペレータは、異常な処理が行われたと判定された場合に、異常な処理が行われたときのログフローに基づいてトラブルシューティングを行う。 In the conventional log flow monitoring system, the log flow when a normal process is performed when a predetermined operation is performed is stored in advance. Then, in the monitoring system, the newly performed predetermined operation is based on whether or not the log flow output when the new predetermined operation is performed matches the log flow when the normal processing is performed. It is determined whether normal processing has been performed or abnormal processing has been performed in response to. When it is determined that an abnormal process has been performed, the operator of the monitoring system performs troubleshooting based on the log flow when the abnormal process is performed.

Byung Chul Tak, et al. “LOGAN: Problem Diagnosis in the Cloud Using Log-based Reference Models.” 2016 IEEE International Conference on Cloud Engineering (IC2E)Byung Chul Tak, et al. “LOGAN: Problem Diagnosis in the Cloud Using Log-based Reference Models.” 2016 IEEE International Conference on Cloud Engineering (IC2E)

正常な処理が行われたときのログフローと一致しないログフローが多量に発生すると、これらのログフローのトラブルシューティングを一度に行うことができないという問題が発生する。また、ログフローの中に、トラブルシューティングを早急に行う必要性が高いものと低いものとが混在している場合において、従来のログフローの監視システムは、トラブルシューティングを早急に行う必要性が高いログフローを特定することができず、結果として、複数のログフローに対するトラブルシューティングの優先順位を決めることができないという問題があった。 If a large number of log flows that do not match the log flows when normal processing is performed occur, there is a problem that troubleshooting of these log flows cannot be performed at once. In addition, when some log flows have a high need for immediate troubleshooting and some have a low need for troubleshooting, the conventional log flow monitoring system has a high need for quick troubleshooting. There was a problem that the log flow could not be specified, and as a result, it was not possible to prioritize troubleshooting for multiple log flows.

そこで、本発明はこれらの点に鑑みてなされたものであり、複数のログフローに対するトラブルシューティングの優先順位を決めることができる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。 Therefore, the present invention has been made in view of these points, and an object of the present invention is to provide an information processing device, an information processing method, and an information processing program capable of determining the priority of troubleshooting for a plurality of log flows. And.

本発明の第1の態様に係る情報処理装置は、複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローであって、前記所定処理が正常終了したことを示すログフローである正常フローと、前記所定処理が異常終了したことを示すログフローである異常フローとを記憶する記憶部と、前記所定処理が新たに行われた場合の前記ログフローを複数取得する取得部と、取得された複数のログフローの、前記正常フローとの類似度と、前記異常フローとの類似度とを算出する算出部と、算出された前記正常フローとの類似度と、前記異常フローとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する決定部と、決定された前記優先順位を出力する出力部と、を備える。 The information processing device according to the first aspect of the present invention is a log output from each of the plurality of communication devices and an output of the log when a predetermined process is performed on a network composed of a plurality of communication devices. A storage unit that stores a normal flow, which is a log flow indicating the order, and is a log flow indicating that the predetermined process has been normally completed, and an abnormal flow, which is a log flow indicating that the predetermined process has been abnormally completed. And the acquisition unit that acquires a plurality of the log flows when the predetermined process is newly performed, the similarity of the acquired plurality of log flows with the normal flow, and the similarity with the abnormal flow. Based on the calculated similarity between the calculation unit, the calculated normal flow, and the abnormal flow, and the priority of multiple troubleshooting based on each of the acquired plurality of log flows. A determination unit for determining the above and an output unit for outputting the determined priority order are provided.

前記記憶部は、取得される前記ログフローが、前記正常フローと前記異常フローのそれぞれと類似するか否かの組み合わせと、当該組み合わせに対応する前記優先順位とを関連付けた優先順位情報を記憶し、前記決定部は、前記複数のログフローのそれぞれの前記正常フローと前記異常フローとに対する前記類似度に基づいて、前記複数のログフローのそれぞれに対応する前記組み合わせを特定し、特定した前記組み合わせと前記優先順位情報とに基づいて、前記複数のログフローのそれぞれに対応する前記優先順位を決定してもよい。 The storage unit stores priority information in which a combination of whether or not the acquired log flow is similar to each of the normal flow and the abnormal flow and the priority corresponding to the combination are associated with each other. , The determination unit identifies and identifies the combination corresponding to each of the plurality of log flows based on the similarity of the plurality of log flows to the normal flow and the abnormal flow. And the priority information, the priority corresponding to each of the plurality of log flows may be determined.

前記決定部は、取得された前記ログフローの前記正常フローとの類似度と、前記異常フローとの類似度と、前記正常フローと前記異常フローのそれぞれに設定された閾値とに基づいて、取得された前記ログフローが、前記正常フローと前記異常フローのそれぞれと類似するか否かを判定してもよい。 The determination unit acquires the log flow based on the similarity with the normal flow, the similarity with the abnormal flow, and the threshold values set for the normal flow and the abnormal flow, respectively. It may be determined whether or not the log flow is similar to each of the normal flow and the abnormal flow.

前記決定部は、前記複数のログフローに、同一の前記優先順位のログフローが含まれる場合、前記異常フローの閾値を変更前の閾値に比べて高い値に変更し、同一の優先順位のログフローのそれぞれに対応する前記優先順位を再度決定してもよい。 When the plurality of log flows include the same priority log flow, the determination unit changes the threshold value of the abnormal flow to a higher value than the threshold value before the change, and logs of the same priority. The priority corresponding to each of the flows may be determined again.

前記正常フローは1つのグループに集約されているとともに、前記異常フローは前記ログフローの内容に基づいて複数のグループに分類されており、前記算出部は、取得された前記複数のログフローの、前記正常フローに対応するグループとの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度を算出してもよい。 The normal flow is aggregated into one group, the abnormal flow is classified into a plurality of groups based on the contents of the log flow, and the calculation unit is a unit of the acquired log flow. The degree of similarity with the group corresponding to the normal flow and the degree of similarity with each of the plurality of groups corresponding to the abnormal flow may be calculated.

前記情報処理装置は、取得された前記複数のログフローのうち、前記正常フロー及び前記異常フローのいずれとも一致しない複数のログフローを特定する特定部をさらに備え、前記算出部は、特定された前記複数のログフローの、前記正常フロー及び前記異常フローとの類似度を算出してもよい。 The information processing device further includes a specific unit that identifies a plurality of log flows that do not match either the normal flow or the abnormal flow among the acquired plurality of log flows, and the calculation unit is specified. The similarity between the plurality of log flows to the normal flow and the abnormal flow may be calculated.

本発明の第2の態様に係る情報処理方法は、コンピュータが実行する、複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローを複数取得するステップと、取得された前記複数のログフローの、前記所定処理が正常終了したことを示すログフローである正常フローとの類似度と、前記所定処理が異常終了したことを示すログフローである異常フローとの類似度とを算出するステップと、算出された前記正常フローとの類似度と、前記異常フローとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定するステップと、決定された前記優先順位を出力するステップと、を備える。 The information processing method according to the second aspect of the present invention is a log output from each of the plurality of communication devices when a predetermined process is performed on a network executed by a computer and composed of a plurality of communication devices. The degree of similarity between the step of acquiring a plurality of log flows indicating the output order of the log and the normal flow of the acquired plurality of log flows, which is a log flow indicating that the predetermined processing has been completed normally. Based on the step of calculating the similarity with the abnormal flow, which is a log flow indicating that the predetermined process has ended abnormally, the calculated similarity with the normal flow, and the similarity with the abnormal flow. , A step of determining a plurality of troubleshooting priorities based on each of the acquired plurality of log flows, and a step of outputting the determined priorities.

本発明の第3の態様に係る情報処理プログラムは、コンピュータを、複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローを複数取得する取得部、取得された前記複数のログフローの、前記所定処理が正常終了したことを示すログフローである正常フローとの類似度と、前記所定処理が異常終了したことを示すログフローである異常フローとの類似度とを算出する算出部、算出された前記正常フローとの類似度と、前記異常フローとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する決定部、及び、決定された前記優先順位を出力する出力部、として機能させる。 The information processing program according to the third aspect of the present invention includes a log output from each of the plurality of communication devices when a predetermined process is performed on the computer on a network composed of the plurality of communication devices. An acquisition unit that acquires a plurality of log flows indicating the log output order, a degree of similarity between the acquired plurality of log flows to a normal flow that is a log flow indicating that the predetermined process has been completed normally, and the predetermined value. Acquired based on a calculation unit that calculates the similarity with the abnormal flow, which is a log flow indicating that the processing has ended abnormally, the calculated similarity with the normal flow, and the similarity with the abnormal flow. It functions as a determination unit that determines the priority of a plurality of troubleshooting based on each of the plurality of log flows, and an output unit that outputs the determined priority.

本発明によれば、複数のログフローに対するトラブルシューティングの優先順位を決めることができるという効果を奏する。 According to the present invention, it is possible to prioritize troubleshooting for a plurality of log flows.

本実施形態に係る情報処理装置の概要を示す図である。It is a figure which shows the outline of the information processing apparatus which concerns on this embodiment. 本実施形態に係る情報処理装置の構成を示す図である。It is a figure which shows the structure of the information processing apparatus which concerns on this embodiment. 本実施形態に係る第1取得部により取得された複数のログフローの一例を示す図である。It is a figure which shows an example of the plurality of log flows acquired by the 1st acquisition part which concerns on this embodiment. 本実施形態に係る優先順位情報の一例を示す図である。It is a figure which shows an example of the priority information which concerns on this embodiment. 本実施形態に係る第2取得部により取得された複数のログフローの一例を示す図である。It is a figure which shows an example of the plurality of log flows acquired by the 2nd acquisition part which concerns on this embodiment. 本実施形態に係る特定部により特定された複数のログフローの各グループとの類似度と、各グループとの類似レベルの組み合わせとを示す図である。It is a figure which shows the degree of similarity with each group of the plurality of log flows specified by the specific part which concerns on this Embodiment, and the combination of the degree of similarity with each group. 本実施形態に係る優先順位の決定に係る情報処理装置の処理の流れを示すフローチャートである。It is a flowchart which shows the process flow of the information processing apparatus which concerns on the determination of the priority order which concerns on this Embodiment.

[情報処理装置1の概要]
図1は、本実施形態に係る情報処理装置1の概要を示す図である。情報処理装置1は、端末等の所定装置2が通信ネットワークNを利用する所定処理を実行したときの、通信ネットワークNを構成する複数の通信機器4のそれぞれが生成したログの出現順序を示すログフローに基づいて、所定処理に異常が発生していることを検出するコンピュータである。情報処理装置1は、短時間に複数の所定処理に異常が発生している場合には、複数の所定処理に対応するログフローのうち、どのログフローのトラブルシューティングから行うべきかを示す優先順位を決定する。 [Overview of Information Processing Device 1]
FIG. 1 is a diagram showing an outline of the information processing device 1 according to the present embodiment. The information processing device 1 is a log indicating the appearance order of logs generated by each of a plurality of communication devices 4 constituting the communication network N when a predetermined device 2 such as a terminal executes a predetermined process using the communication network N. It is a computer that detects that an abnormality has occurred in a predetermined process based on the flow. When an abnormality occurs in a plurality of predetermined processes in a short period of time, the information processing device 1 has a priority indicating which log flow should be troubleshooted among the log flows corresponding to the plurality of predetermined processes. To determine.

所定装置2は、ユーザの操作に応じて所定処理を複数回実行する(図1の(1))。所定処理は、所定装置2とサーバ3との間で実行される、通信ネットワークNを利用する処理であり、例えば、仮想サーバの構築処理である。 The predetermined device 2 executes the predetermined process a plurality of times according to the operation of the user ((1) in FIG. 1). The predetermined process is a process using the communication network N executed between the predetermined device 2 and the server 3, and is, for example, a virtual server construction process.

情報処理装置1は、所定処理を複数回実行させたときに複数の通信機器4が生成したログを取得する(図1の(2))。情報処理装置1は、取得したログに基づいてログフローを生成し、所定処理の実行結果に基づいて、当該ログフローを正常フローと異常フローとに分類する。情報処理装置1は、正常フローと、異常フローとを記憶する(図1の(3))。正常フローは、所定処理が正常に終了したときのログフローであり、異常フローは、所定処理が正常に終了しなかったときのログフローである。 The information processing device 1 acquires logs generated by a plurality of communication devices 4 when a predetermined process is executed a plurality of times ((2) in FIG. 1). The information processing device 1 generates a log flow based on the acquired log, and classifies the log flow into a normal flow and an abnormal flow based on the execution result of a predetermined process. The information processing device 1 stores a normal flow and an abnormal flow ((3) in FIG. 1). The normal flow is a log flow when the predetermined process is normally completed, and the abnormal flow is a log flow when the predetermined process is not normally completed.

その後、所定装置2は、ユーザの操作に応じて所定処理を複数回実行する(図1の(4))。情報処理装置1は、複数の通信機器4が生成したログを取得する(図1の(5))。情報処理装置1は、取得したログに基づいてログフローを生成し、当該ログフローと、正常フロー及び異常フローとの類似度に基づいて、トラブルシューティングを行うログフローの優先順位を決定する(図1の(6))。情報処理装置1は、決定した優先順位を、情報処理装置1に接続されている管理端末5に出力する(図1の(7))。 After that, the predetermined device 2 executes the predetermined process a plurality of times according to the operation of the user ((4) in FIG. 1). The information processing device 1 acquires logs generated by a plurality of communication devices 4 ((5) in FIG. 1). The information processing device 1 generates a log flow based on the acquired log, and determines the priority of the log flow to be troubleshooted based on the similarity between the log flow and the normal flow and the abnormal flow (Fig.). 1 (6)). The information processing device 1 outputs the determined priority to the management terminal 5 connected to the information processing device 1 ((7) in FIG. 1).

このように、情報処理装置1は、新たに取得した複数のログフローの正常フローとの類似度と、異常フローとの類似度とに基づいてトラブルシューティングを行うための優先順位を決定することができる。これにより、管理端末5のユーザは、異常に対応する可能性が高いログフローから順にトラブルシューティングを行うことができる。
以下、情報処理装置1の構成について説明する。 In this way, the information processing apparatus 1 can determine the priority for troubleshooting based on the similarity between the newly acquired plurality of log flows and the normal flow and the similarity with the abnormal flow. it can. As a result, the user of the management terminal 5 can perform troubleshooting in order from the log flow that is likely to deal with the abnormality.
Hereinafter, the configuration of the information processing device 1 will be described.

[情報処理装置1の構成例]
図2は、本実施形態に係る情報処理装置1の構成を示す図である。
情報処理装置1は、記憶部11と、制御部12とを備える。 [Configuration example of information processing device 1]
FIG. 2 is a diagram showing a configuration of an information processing device 1 according to the present embodiment.
The information processing device 1 includes a storage unit 11 and a control unit 12.

記憶部11は、例えば、ROM(Read Only Memory)及びRAM(Random Access Memory)等である。記憶部11は、情報処理装置1を機能させるための各種プログラムを記憶する。例えば、記憶部11は、情報処理装置1の制御部12を、後述する第1取得部121、設定部122、第2取得部123、特定部124、算出部125、決定部126、及び出力部127として機能させる情報処理プログラムを記憶する。 The storage unit 11 is, for example, a ROM (Read Only Memory), a RAM (Random Access Memory), or the like. The storage unit 11 stores various programs for operating the information processing device 1. For example, the storage unit 11 uses the control unit 12 of the information processing device 1 as a first acquisition unit 121, a setting unit 122, a second acquisition unit 123, a specific unit 124, a calculation unit 125, a determination unit 126, and an output unit, which will be described later. Stores an information processing program that functions as 127.

制御部12は、例えばCPU(Central Processing Unit)である。制御部12は、記憶部11に記憶されている各種プログラムを実行することにより、情報処理装置1に係る機能を制御する。制御部12は、情報処理プログラムを実行することにより、第1取得部121、設定部122、第2取得部123、特定部124、算出部125、決定部126、及び出力部127として機能する。 The control unit 12 is, for example, a CPU (Central Processing Unit). The control unit 12 controls the functions related to the information processing device 1 by executing various programs stored in the storage unit 11. By executing the information processing program, the control unit 12 functions as a first acquisition unit 121, a setting unit 122, a second acquisition unit 123, a specific unit 124, a calculation unit 125, a determination unit 126, and an output unit 127.

第1取得部121及び設定部122は、情報処理装置1が、第2取得部123により取得した複数のログフローのトラブルシューティングを行う場合の優先順位を決定できるようにするための準備処理を実行する。 The first acquisition unit 121 and the setting unit 122 execute a preparatory process for allowing the information processing device 1 to determine the priority when troubleshooting a plurality of log flows acquired by the second acquisition unit 123. To do.

第1取得部121は、通信ネットワークNを利用する所定処理が複数回行われたときの、複数の通信機器4のそれぞれが生成したログを取得し、当該ログと、当該ログの出力順序とを示すログフローを記憶部11に記憶させる。 The first acquisition unit 121 acquires a log generated by each of the plurality of communication devices 4 when a predetermined process using the communication network N is performed a plurality of times, and obtains the log and the output order of the log. The indicated log flow is stored in the storage unit 11.

具体的には、第1取得部121は、所定装置2に所定処理を複数回実行させた場合に、複数の通信機器4のそれぞれにアクセスし、複数の通信機器4のそれぞれが生成したログを取得する。 Specifically, the first acquisition unit 121 accesses each of the plurality of communication devices 4 when the predetermined device 2 executes the predetermined process a plurality of times, and records the logs generated by each of the plurality of communication devices 4. get.

第1取得部121は、取得したログと、当該ログの出力順序とを示すログフローを生成し、所定処理の実行結果に基づいて、当該ログフローを、所定処理が正常終了したことを示す正常フローと、所定処理が異常終了したことを示すログフローである異常フローとに分類する。そして、第1取得部121は、正常フローと、異常フローとを記憶部11に記憶させる。ここで、ログには、一連の処理を識別するための識別情報やログの生成時刻等の、ログの生成タイミングに応じて変化する情報や、処理内容を示す情報が含まれているものとする。 The first acquisition unit 121 generates a log flow indicating the acquired log and the output order of the log, and based on the execution result of the predetermined process, the first acquisition unit 121 indicates that the predetermined process has been normally completed. It is classified into a flow and an abnormal flow which is a log flow indicating that a predetermined process has ended abnormally. Then, the first acquisition unit 121 stores the normal flow and the abnormal flow in the storage unit 11. Here, it is assumed that the log includes information that changes according to the log generation timing, such as identification information for identifying a series of processes and the log generation time, and information indicating the processing content. ..

なお、本実施形態では、第1取得部121が、複数の通信機器4のそれぞれにアクセスし、複数の通信機器4のそれぞれが生成したログを取得したが、これに限らない。複数の通信機器4のそれぞれが情報処理装置1にアクセスし、情報処理装置1の記憶部11にログを記憶させるようにしてもよい。 In the present embodiment, the first acquisition unit 121 accesses each of the plurality of communication devices 4 and acquires the logs generated by each of the plurality of communication devices 4, but the present invention is not limited to this. Each of the plurality of communication devices 4 may access the information processing device 1 and store the log in the storage unit 11 of the information processing device 1.

また、所定装置2において実行される所定処理に応じて動作する複数の通信機器4を特定しておき、第1取得部121が、特定された複数の通信機器4において生成されたログを取得するようにしてもよい。このようにすることで、情報処理装置1は、所定処理と関係がないログを取得しないようにして、所定処理に対応する正確なログフローを取得できるとともに、処理負荷を軽減することができる。 In addition, a plurality of communication devices 4 that operate according to a predetermined process executed by the predetermined device 2 are specified, and the first acquisition unit 121 acquires the logs generated by the specified plurality of communication devices 4. You may do so. By doing so, the information processing apparatus 1 can acquire an accurate log flow corresponding to the predetermined processing without acquiring a log unrelated to the predetermined processing, and can reduce the processing load.

また、通信ネットワークNをインターネット等と接続しないローカルネットワークとしておき、第1取得部121は、ローカルネットワークにおいて複数の通信機器4のそれぞれが生成したログを取得してもよい。このようにすることで、通信機器4は、インターネット等を介して接続される外部機器との通信を行わないので、情報処理装置1は、当該通信に係るログを取得しないようにすることができる。 Further, the communication network N may be set as a local network that is not connected to the Internet or the like, and the first acquisition unit 121 may acquire the logs generated by each of the plurality of communication devices 4 in the local network. By doing so, since the communication device 4 does not communicate with the external device connected via the Internet or the like, the information processing device 1 can prevent the information processing device 1 from acquiring the log related to the communication. ..

設定部122は、第2取得部123により取得されるログフローが、正常フローと異常フローのそれぞれと類似するか否かの組み合わせと、当該組み合わせに対応する優先順位とを関連付けた優先順位情報を生成する。 The setting unit 122 provides priority information in which a combination of whether or not the log flow acquired by the second acquisition unit 123 is similar to each of the normal flow and the abnormal flow and the priority corresponding to the combination are associated with each other. Generate.

以下に、図3及び図4を参照しながら優先順位情報を生成する処理について説明する。図3は、本実施形態に係る第1取得部121により取得された複数のログフローの一例を示す図である。図4は、本実施形態に係る優先順位情報の一例を示す図である。なお、図3において、小文字のアルファベットはログを示している。 The process of generating priority information will be described below with reference to FIGS. 3 and 4. FIG. 3 is a diagram showing an example of a plurality of log flows acquired by the first acquisition unit 121 according to the present embodiment. FIG. 4 is a diagram showing an example of priority information according to the present embodiment. In FIG. 3, lowercase alphabets indicate logs.

まず、設定部122は、記憶部11に記憶されている複数の正常フローを1つのグループに集約するとともに、複数の異常フローを1以上のグループに分類する。ここで、設定部122は、複数の異常フローを、ログフローの内容に基づいて複数のグループに分類する。例えば、設定部122は、複数の異常フローのそれぞれの類似度を算出し、類似度が高い異常フローごとに集約することにより、複数のグループに分類する。 First, the setting unit 122 aggregates a plurality of normal flows stored in the storage unit 11 into one group, and classifies the plurality of abnormal flows into one or more groups. Here, the setting unit 122 classifies the plurality of abnormal flows into a plurality of groups based on the contents of the log flow. For example, the setting unit 122 calculates the similarity of each of the plurality of abnormal flows and classifies them into a plurality of groups by aggregating each abnormal flow having a high degree of similarity.

例えば、第1取得部121が、図3に示すように5つのログフローA〜Eを取得し、これらのログフローに対応する所定処理の結果が図3に示すものであったとする。この場合、設定部122は、正常フローA、C、Eを正常グループに集約し、異常フローBを第1異常グループに分類し、異常フローDを第2異常グループに分類したとする。設定部122は、図4に示すように、第2取得部123により取得されるログフローが、正常フローと異常フローのそれぞれと類似するか否かの組み合わせを特定する。 For example, it is assumed that the first acquisition unit 121 acquires five log flows A to E as shown in FIG. 3, and the result of predetermined processing corresponding to these log flows is as shown in FIG. In this case, it is assumed that the setting unit 122 aggregates the normal flows A, C, and E into the normal group, classifies the abnormal flow B into the first abnormal group, and classifies the abnormal flow D into the second abnormal group. As shown in FIG. 4, the setting unit 122 specifies a combination of whether or not the log flow acquired by the second acquisition unit 123 is similar to each of the normal flow and the abnormal flow.

本実施形態では、第2取得部123により取得されるログフローが正常フローと異常フローのそれぞれと類似するか否かを類似レベルで表現する。ここで、類似レベルを「高」及び「低」の2段階とする。例えば、第2取得部123により取得されるログフローと、各グループに含まれるログフローとの類似度を、コサイン類似度に基づいて算出し、当該類似度が所定の閾値(例えば、0.8)を超える場合に「高」、所定の閾値以下の場合に「低」とする。 In the present embodiment, whether or not the log flow acquired by the second acquisition unit 123 is similar to each of the normal flow and the abnormal flow is expressed at a similar level. Here, the similar level is defined as two levels, "high" and "low". For example, the similarity between the log flow acquired by the second acquisition unit 123 and the log flow included in each group is calculated based on the cosine similarity, and the similarity is a predetermined threshold value (for example, 0.8). ) Is exceeded, it is set as "high", and when it is below a predetermined threshold, it is set as "low".

設定部122は、図4に示すように、3つのグループの類似レベルの組み合わせとして8つの組み合わせを特定し、これらの組み合わせのそれぞれに対して優先順位を設定する。例えば、設定部122は、正常グループとの類似レベルが「低」であり、かつ、第1異常グループ又は第2異常グループとの類似レベルが「高」である組み合わせの優先順位を最も高く設定する。 As shown in FIG. 4, the setting unit 122 identifies eight combinations as combinations of similar levels of the three groups, and sets a priority for each of these combinations. For example, the setting unit 122 sets the highest priority of the combination in which the similarity level with the normal group is "low" and the similarity level with the first abnormal group or the second abnormal group is "high". ..

ここで、設定部122は、例えば、管理端末5のユーザから、複数の異常グループの重要度の設定を受け付けてもよい。そして、設定部122は、複数の異常グループの重要度に基づいて優先順位を設定してもよい。例えば、第1異常グループの重要度が第2異常グループの重要度よりも高いものとする。この場合、設定部122は、第1異常グループの類似レベルが「高」、第2異常グループとの類似レベルが「低」である組み合わせの優先順位を、第1異常グループの類似レベルが「低」、第2異常グループとの類似レベルが「高」である組み合わせの優先順位よりも高く設定する。 Here, the setting unit 122 may accept, for example, the setting of the importance of a plurality of abnormal groups from the user of the management terminal 5. Then, the setting unit 122 may set the priority based on the importance of the plurality of abnormal groups. For example, it is assumed that the importance of the first abnormal group is higher than the importance of the second abnormal group. In this case, the setting unit 122 sets the priority of the combination in which the similarity level of the first abnormal group is "high" and the similarity level with the second abnormal group is "low", and the similarity level of the first abnormal group is "low". , The level of similarity with the second anomaly group is set higher than the priority of the combination of "high".

また、設定部122は、正常グループとの類似レベルが「高」であり、かつ、第1異常グループ又は第2異常グループとの類似レベルが「低」である組み合わせの優先順位を最も低く設定する。また、設定部122は、その他の組み合わせの優先順位を中間の優先順位に設定する。設定部122は、図4に示す優先順位情報を記憶部11に記憶させる。 Further, the setting unit 122 sets the priority of the combination in which the similarity level with the normal group is "high" and the similarity level with the first abnormal group or the second abnormal group is "low". .. Further, the setting unit 122 sets the priority of other combinations to an intermediate priority. The setting unit 122 stores the priority information shown in FIG. 4 in the storage unit 11.

第2取得部123、特定部124、算出部125、決定部126、及び出力部127は、実運用環境において、所定処理が行われた場合のログフローが複数取得された場合に、これらのログフローのトラブルシューティングを行う場合の優先順位を決定する。 The second acquisition unit 123, the specific unit 124, the calculation unit 125, the determination unit 126, and the output unit 127 record these logs when a plurality of log flows when predetermined processing is performed in the actual operation environment. Determine priorities when troubleshooting flows.

第2取得部123は、所定処理を新たに行った場合のログフローを複数取得する。例えば、第2取得部123は、優先順位情報が記憶部11に記憶された後、所定装置2において所定処理が複数回実行された場合に、複数の通信機器4のそれぞれにアクセスし、複数の通信機器4のそれぞれが生成したログを取得する。そして、第2取得部123は、第1取得部121と同様に、取得したログと、当該ログの出力順序とを示すログフローを複数生成することにより、ログフローを複数取得する。 The second acquisition unit 123 acquires a plurality of log flows when a predetermined process is newly performed. For example, the second acquisition unit 123 accesses each of the plurality of communication devices 4 when the predetermined process is executed a plurality of times in the predetermined device 2 after the priority information is stored in the storage unit 11, and a plurality of communication devices 4 are accessed. Acquire the log generated by each of the communication devices 4. Then, the second acquisition unit 123 acquires a plurality of log flows by generating a plurality of acquired logs and a plurality of log flows indicating the output order of the logs, similarly to the first acquisition unit 121.

特定部124は、第2取得部123が取得した複数のログフローのうち、正常フロー及び異常フローのいずれとも一致しない複数のログフローを特定する。具体的には、特定部124は、第2取得部123が取得した複数のログフローのそれぞれについて、記憶部11に記憶されている正常フロー及び異常フローと一致するか否かを判定する。特定部124は、判定結果に基づいて、正常フロー及び異常フローのいずれとも一致しない複数のログフローを特定する。 The identification unit 124 identifies a plurality of log flows that do not match either the normal flow or the abnormal flow among the plurality of log flows acquired by the second acquisition unit 123. Specifically, the specific unit 124 determines whether or not each of the plurality of log flows acquired by the second acquisition unit 123 matches the normal flow and the abnormal flow stored in the storage unit 11. The identification unit 124 identifies a plurality of log flows that do not match either the normal flow or the abnormal flow based on the determination result.

図5は、本実施形態に係る第2取得部123により取得された複数のログフローの一例を示す図である。図5に示すように、第2取得部123は、複数のログフローとして、ログフローF、G、Hを取得していることが確認できる。ログフローF、G、Hは、図3に示す正常フロー及び異常フローのいずれとも一致していないことから、特定部124は、ログフローF、G、Hを、正常フロー及び異常フローのいずれとも一致しない複数のログフローと特定する。 FIG. 5 is a diagram showing an example of a plurality of log flows acquired by the second acquisition unit 123 according to the present embodiment. As shown in FIG. 5, it can be confirmed that the second acquisition unit 123 has acquired the log flows F, G, and H as a plurality of log flows. Since the log flows F, G, and H do not match any of the normal flow and the abnormal flow shown in FIG. 3, the specific unit 124 sets the log flows F, G, and H to both the normal flow and the abnormal flow. Identify multiple log flows that do not match.

算出部125は、第2取得部123が取得した複数のログフローのうち、特定部124により特定された複数のログフローの、記憶部11に記憶されている正常フロー及び異常フローとの類似度を算出する。具体的には、算出部125は、特定部124により特定された複数のログフローのそれぞれと、記憶部11に記憶されている正常フロー及び異常フローとのコサイン類似度を算出することにより、類似度を算出する。 The calculation unit 125 has a degree of similarity between the plurality of log flows specified by the specific unit 124 among the plurality of log flows acquired by the second acquisition unit 123 and the normal flow and the abnormal flow stored in the storage unit 11. Is calculated. Specifically, the calculation unit 125 is similar by calculating the cosine similarity between each of the plurality of log flows specified by the specific unit 124 and the normal flow and the abnormal flow stored in the storage unit 11. Calculate the degree.

より具体的には、算出部125は、特定部124により特定された複数のログフローのそれぞれについて、正常グループに含まれている複数の正常ログとの類似度を算出する。そして、算出部125は、複数の正常ログとの類似度の平均値を算出することにより、正常グループとの類似度を算出する。同様に、算出部125は、特定部124により特定された複数のログフローのそれぞれについて、異常グループに含まれている複数の異常ログとの類似度の平均値を算出することにより、異常グループとの類似度を算出する。 More specifically, the calculation unit 125 calculates the similarity with the plurality of normal logs included in the normal group for each of the plurality of log flows specified by the specific unit 124. Then, the calculation unit 125 calculates the similarity with the normal group by calculating the average value of the similarity with the plurality of normal logs. Similarly, the calculation unit 125 calculates the average value of the degree of similarity with the plurality of abnormality logs included in the abnormality group for each of the plurality of log flows specified by the identification unit 124, thereby forming the abnormality group. Calculate the similarity of.

図6は、本実施形態に係る特定部124により特定された複数のログフローの各グループとの類似度と、各グループとの類似レベルの組み合わせとを示す図である。図6に示すように、ログフローF、G、Hのそれぞれについて、正常グループとの類似度、第1異常グループとの類似度、及び第2異常グループとの類似度が算出されていることが確認できる。 FIG. 6 is a diagram showing the degree of similarity of the plurality of log flows specified by the specific unit 124 according to the present embodiment with each group and the combination of the similar level with each group. As shown in FIG. 6, for each of the log flows F, G, and H, the similarity with the normal group, the similarity with the first abnormal group, and the similarity with the second abnormal group are calculated. You can check.

決定部126は、算出部125が算出した類似度に基づいて、複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する。
具体的には、まず、決定部126は、特定部124により特定された複数のログフローのそれぞれの正常グループとの類似度と、正常グループに設定された閾値とに基づいて、複数のログフローのそれぞれが、正常グループと類似するか否かを判定する。決定部126は、判定結果に基づいて、複数のログフローのそれぞれの正常グループとの類似レベルを特定する。 The determination unit 126 determines the priority of a plurality of troubleshooting based on each of the plurality of log flows based on the similarity calculated by the calculation unit 125.
Specifically, first, the determination unit 126 determines a plurality of log flows based on the similarity of the plurality of log flows specified by the specific unit 124 with each normal group and the threshold value set for the normal group. It is determined whether or not each of the above is similar to the normal group. The determination unit 126 identifies the level of similarity of the plurality of log flows with each normal group based on the determination result.

同様に、決定部126は、複数のログフローのそれぞれの、複数の異常グループとの類似度と、複数の異常グループに設定された閾値とに基づいて、複数のログフローのそれぞれが、異常グループと類似するか否かを判定する。決定部126は、判定結果に基づいて、複数のログフローのそれぞれの異常グループとの類似レベルを特定する。 Similarly, the determination unit 126 sets each of the plurality of log flows to the anomaly group based on the similarity of each of the plurality of log flows with the plurality of anomaly groups and the threshold values set for the plurality of anomaly groups. Determine if it is similar to. The determination unit 126 identifies the level of similarity of the plurality of log flows with each abnormality group based on the determination result.

例えば、各グループの閾値が0.8である場合、図5及び図6に示すログフローFは、正常グループとの類似レベルが「高」、第1異常グループとの類似レベルが「低」、第2異常グループとの類似レベルが「低」となる。 For example, when the threshold value of each group is 0.8, the log flow F shown in FIGS. 5 and 6 has a "high" similarity level with the normal group and a "low" similarity level with the first abnormal group. The level of similarity with the second abnormal group is "low".

決定部126は、複数のログフローのそれぞれについて特定された正常グループとの類似レベル、及び異常グループとの類似レベルに基づいて、複数のログフローのそれぞれに対応する類似レベルの組み合わせを特定する。 The determination unit 126 identifies a combination of similarity levels corresponding to each of the plurality of log flows, based on the level of similarity with the normal group identified for each of the plurality of log flows and the level of similarity with the abnormal group.

類似レベルの組み合わせを、正常グループとの類似レベル、第1異常グループとの類似レベル、第2異常グループとの類似レベルの順に表記した場合、ログフローFの類似レベルの組み合わせは、図6に示すように「高、低、低」となる。 When the combinations of similar levels are expressed in the order of the similarity level with the normal group, the similarity level with the first abnormal group, and the similarity level with the second abnormal group, the combination of the similarity levels of the log flow F is shown in FIG. It becomes "high, low, low".

続いて、決定部126は、特定した組み合わせと、記憶部11に記憶されている優先順位情報とに基づいて、複数のログフローのそれぞれに対応する優先順位を決定する。例えば、決定部126は、記憶部11に記憶されている優先順位情報を参照し、複数のログフローのそれぞれに対して特定された組み合わせに関連付けられている優先順位を特定することにより、複数のログフローのそれぞれの優先順位を決定する。 Subsequently, the determination unit 126 determines the priority corresponding to each of the plurality of log flows based on the specified combination and the priority information stored in the storage unit 11. For example, the determination unit 126 refers to the priority information stored in the storage unit 11 and identifies a plurality of priorities associated with the specified combination for each of the plurality of log flows. Determine the priority of each log flow.

例えば、ログフローFは、類似レベルの組み合わせが「高、低、低」であることから、決定部126は、図4に示す優先順位情報に基づいて、ログフローFの優先順位を「4」と決定する。 For example, in the log flow F, since the combination of similar levels is “high, low, low”, the determination unit 126 sets the priority of the log flow F to “4” based on the priority information shown in FIG. To decide.

なお、決定部126は、複数のログフローの優先順位を決定した結果、複数のログフローに同一の優先順位のログフローが含まれる場合、異常フローの閾値を変更前の閾値に比べて高い値に変更してもよい。そして、決定部126は、同一の優先順位のログフローのそれぞれに対応する優先順位を再度決定してもよい。このようにすることで、決定部126は、複数のログフローのうち、相対的に異常フローに類似するログフローの優先順位を高めることができる。 As a result of determining the priority of a plurality of log flows, the determination unit 126 sets the threshold value of the abnormal flow to a higher value than the threshold value before the change when the plurality of log flows include the log flows having the same priority. May be changed to. Then, the determination unit 126 may redetermine the priority corresponding to each of the log flows having the same priority. By doing so, the determination unit 126 can raise the priority of the log flow that is relatively similar to the abnormal flow among the plurality of log flows.

出力部127は、決定部126により決定された優先順位と、当該優先順位に対応するログフローとを関連付けて管理端末5に出力する。ここで、出力部127は、第2取得部123により取得された複数のログフローのうち、異常フローと一致するログフローを最も優先順位を高くし、当該ログフローと、当該優先順位とを関連付けて管理端末5に出力してもよい。 The output unit 127 associates the priority determined by the determination unit 126 with the log flow corresponding to the priority and outputs the log flow to the management terminal 5. Here, the output unit 127 gives the highest priority to the log flow that matches the abnormal flow among the plurality of log flows acquired by the second acquisition unit 123, and associates the log flow with the priority. May be output to the management terminal 5.

[優先順位の決定に係る処理の流れ]
続いて、優先順位の決定に係る処理の流れについて説明する。図7は、本実施形態に係る優先順位の決定に係る情報処理装置1の処理の流れを示すフローチャートである。 [Process flow related to priority determination]
Next, the flow of processing related to the determination of priority will be described. FIG. 7 is a flowchart showing a processing flow of the information processing apparatus 1 related to the determination of the priority order according to the present embodiment.

まず、第1取得部121は、通信ネットワークNを利用する所定処理が複数回行われたときの、複数の通信機器4のそれぞれが生成したログを複数取得し、当該複数のログに基づいて複数のログフローを生成することにより、複数のログフローを取得する(S10)。 First, the first acquisition unit 121 acquires a plurality of logs generated by each of the plurality of communication devices 4 when a predetermined process using the communication network N is performed a plurality of times, and a plurality of logs are acquired based on the plurality of logs. A plurality of log flows are acquired by generating the log flows of (S10).

続いて、第1取得部121は、所定処理の結果に基づいて、複数のログフローを正常フロー及び異常フローに分類し、分類された正常フロー及び異常フローを記憶部11に記憶させる(S20)。
続いて、設定部122は、記憶部11に記憶されている正常フロー及び異常フローに基づいて優先順位情報を生成する(S30)。 Subsequently, the first acquisition unit 121 classifies a plurality of log flows into normal flows and abnormal flows based on the result of the predetermined processing, and stores the classified normal flows and abnormal flows in the storage unit 11 (S20). ..
Subsequently, the setting unit 122 generates priority information based on the normal flow and the abnormal flow stored in the storage unit 11 (S30).

続いて、第2取得部123は、通信ネットワークNを利用する所定処理が複数回行われたときの、複数の通信機器4のそれぞれが生成したログを複数取得し、当該複数のログに基づいて複数のログフローを生成することにより、複数のログフローを取得する(S40)。 Subsequently, the second acquisition unit 123 acquires a plurality of logs generated by each of the plurality of communication devices 4 when the predetermined process using the communication network N is performed a plurality of times, and based on the plurality of logs. Acquire a plurality of log flows by generating a plurality of log flows (S40).

続いて、特定部124は、取得された複数のログフローのうち、正常フロー及び異常フローと一致しないログフローを特定する(S50)。
続いて、決定部126は、特定されたログフローの中から1つのログフローを選択する(S60)。 Subsequently, the identification unit 124 identifies a log flow that does not match the normal flow and the abnormal flow among the acquired plurality of log flows (S50).
Subsequently, the determination unit 126 selects one log flow from the specified log flow (S60).

続いて、算出部125は、選択されたログフローの、各グループ(正常グループ及び1以上の異常グループ)との類似度を算出する(S70)。
続いて、決定部126は、予め定められている閾値に基づいて、選択されたログフローの、各グループに対する類似レベルを特定し、類似レベルの組み合わせを特定する(S80)。 Subsequently, the calculation unit 125 calculates the similarity of the selected log flow with each group (normal group and one or more abnormal groups) (S70).
Subsequently, the determination unit 126 identifies the similarity level of the selected log flow for each group based on a predetermined threshold value, and identifies a combination of similarity levels (S80).

続いて、決定部126は、特定された類似レベルの組み合わせと、記憶部11に記憶されている優先順位情報とに基づいて、選択された1つのログフローに対応する優先順位を決定する(S90)。 Subsequently, the determination unit 126 determines the priority corresponding to one selected log flow based on the specified combination of similar levels and the priority information stored in the storage unit 11 (S90). ).

続いて、決定部126は、全てのログフローの優先順位を決定したか否かを判定する(S100)。決定部126は、全てのログフローの優先順位を決定したと判定すると、S110に処理を移し、全てのログフローの優先順位を決定していないと判定すると、S60に処理を移す。 Subsequently, the determination unit 126 determines whether or not the priority of all log flows has been determined (S100). When the determination unit 126 determines that the priority of all log flows has been determined, the process is transferred to S110, and when it is determined that the priority of all log flows has not been determined, the process is transferred to S60.

出力部127は、決定部126により決定された優先順位と、当該優先順位に対応するログフローとを関連付けて出力する(S110)。 The output unit 127 outputs the priority order determined by the determination unit 126 in association with the log flow corresponding to the priority order (S110).

[本実施形態における効果]
以上の通り、本実施形態に係る情報処理装置1は、新たに取得された複数のログフローの、正常フローとの類似度と、異常フローとの類似度とを算出し、算出された正常フローとの類似度と、異常フローとの類似度とに基づいて、取得された複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定し、決定された優先順位を管理端末5に出力する。このようにすることで、情報処理装置1は、複数のログフローに対するトラブルシューティングの優先順位を決めることができる。これにより、管理端末5のユーザは、異常に対応するログフローへのトラブルシュートを迅速に行うことができる。 [Effect in this embodiment]
As described above, the information processing apparatus 1 according to the present embodiment calculates the similarity between the newly acquired log flow and the normal flow and the similarity with the abnormal flow, and the calculated normal flow. Based on the similarity with and the similarity with the abnormal flow, the priority of multiple troubleshooting based on each of the acquired multiple log flows is determined, and the determined priority is output to the management terminal 5. To do. By doing so, the information processing apparatus 1 can determine the priority of troubleshooting for a plurality of log flows. As a result, the user of the management terminal 5 can quickly troubleshoot the log flow corresponding to the abnormality.

また、情報処理装置1は、取得されるログフローが、正常フローと異常フローのそれぞれと類似するか否かの組み合わせと、当該組み合わせに対応する優先順位とを関連付けた優先順位情報を記憶する。そして、情報処理装置1は、新たに取得した複数のログフローのそれぞれの正常フローと異常フローとに対する類似度に基づいて、複数のログフローのそれぞれに対応する当該組み合わせを特定し、特定した組み合わせと優先順位情報とに基づいて、複数のログフローのそれぞれに対応する優先順位を決定する。このようにすることで、情報処理装置1は、組み合わせごとに予め優先順位が設定された優先順位情報に基づいて、適切に優先順位を決定することができる。 Further, the information processing apparatus 1 stores priority information in which a combination of whether or not the acquired log flow is similar to each of the normal flow and the abnormal flow and the priority corresponding to the combination are associated with each other. Then, the information processing device 1 identifies the combination corresponding to each of the plurality of log flows based on the similarity between the normal flow and the abnormal flow of the newly acquired plurality of log flows, and the specified combination. And the priority information, the priority corresponding to each of the plurality of log flows is determined. By doing so, the information processing apparatus 1 can appropriately determine the priority based on the priority information in which the priority is set in advance for each combination.

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。また、特に、装置の分散・統合の具体的な実施形態は以上に図示するものに限られず、その全部又は一部について、種々の付加等に応じて、又は、機能負荷に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。 Although the present invention has been described above using the embodiments, the technical scope of the present invention is not limited to the scope described in the above embodiments. It will be apparent to those skilled in the art that various changes or improvements can be made to the above embodiments. Further, in particular, the specific embodiment of the distribution / integration of the apparatus is not limited to the one shown above, and all or a part thereof may be arbitrarily added according to various additions or functional loads. It can be functionally or physically distributed / integrated in units.

例えば、上述の実施形態では、情報処理装置1が、複数の通信機器4のそれぞれにアクセスし、複数の通信機器4のそれぞれが生成したログを取得することとしたが、これに限らない。例えば、複数の通信機器4のそれぞれが生成したログを取得するログ取得装置と、情報処理装置1とを設けておき、情報処理装置1が、ログ取得装置から、複数の通信機器4のそれぞれが生成したログを取得してもよい。 For example, in the above-described embodiment, the information processing device 1 accesses each of the plurality of communication devices 4 and acquires the logs generated by each of the plurality of communication devices 4, but the present invention is not limited to this. For example, a log acquisition device for acquiring logs generated by each of the plurality of communication devices 4 and an information processing device 1 are provided, and the information processing device 1 can be transmitted from the log acquisition device to each of the plurality of communication devices 4. You may get the generated log.

1・・・情報処理装置、11・・・記憶部、12・・・制御部、121・・・第1取得部、122・・・設定部、123・・・第2取得部、124・・・特定部、125・・・算出部、126・・・決定部、127・・・出力部、2・・・所定装置、3・・・サーバ、4・・・通信機器、5・・・管理端末、N・・・通信ネットワーク 1 ... Information processing device, 11 ... Storage unit, 12 ... Control unit, 121 ... First acquisition unit, 122 ... Setting unit, 123 ... Second acquisition unit, 124 ... -Specific unit, 125 ... Calculation unit, 126 ... Decision unit, 127 ... Output unit, 2 ... Predetermined device, 3 ... Server, 4 ... Communication equipment, 5 ... Management Terminal, N ... Communication network

Claims (11)

複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローであって、前記所定処理が正常終了したことを示すログフローである正常フローと、前記所定処理が異常終了したことを示すログフローである異常フローと、前記ログフローが、前記正常フローと前記異常フローのそれぞれと類似するか否かの組み合わせと、当該組み合わせに対応するトラブルシューティングの優先順位とを関連付けた優先順位情報と、を記憶する記憶部と、
前記所定処理が新たに行われた場合の前記ログフローを複数取得する取得部と、
取得された複数のログフローの、前記正常フローとの類似度と、前記異常フローとの類似度とを算出する算出部と、
算出された前記複数のログフローのそれぞれの前記正常フローと前記異常フローとに対する類似度とに基づいて、前記複数のログフローのそれぞれに対応する前記組み合わせを特定し、特定した前記組み合わせに関連付けられて前記記憶部に記憶されている前記優先順位情報に基づいて、前記複数のログフローのそれぞれに対応する複数のトラブルシューティングの優先順位を決定する決定部と、
決定された前記優先順位を出力する出力部と、
を備える情報処理装置。 It is a log flow showing a log output from each of the plurality of communication devices and an output order of the log when a predetermined process is performed on a network composed of a plurality of communication devices, and the predetermined process is Whether the normal flow, which is a log flow indicating that the predetermined process has ended normally, the abnormal flow, which is the log flow indicating that the predetermined process has ended abnormally, and the log flow are similar to the normal flow and the abnormal flow, respectively. A storage unit that stores priority information that associates a combination of whether or not and the priority of troubleshooting corresponding to the combination, and
An acquisition unit that acquires a plurality of the log flows when the predetermined process is newly performed,
A calculation unit that calculates the degree of similarity between the acquired plurality of log flows and the abnormal flow and the degree of similarity with the abnormal flow.
Each of said calculated plurality of log flow was based on the similarity to the normal flow before Symbol abnormal flow, identifies the combination corresponding to each of the plurality of log flow, associated with a specified said combination A determination unit that determines a plurality of troubleshooting priorities corresponding to each of the plurality of log flows based on the priority information stored in the storage unit .
An output unit that outputs the determined priority, and
Information processing device equipped with. 前記決定部は、取得された前記ログフローの前記正常フローとの類似度と、前記異常フローとの類似度と、前記正常フローと前記異常フローのそれぞれに設定された閾値とに基づいて、取得された前記ログフローが、前記正常フローと前記異常フローのそれぞれと類似するか否かを判定する、
請求項1に記載の情報処理装置。 The determination unit acquires the log flow based on the similarity with the normal flow, the similarity with the abnormal flow, and the threshold values set for the normal flow and the abnormal flow, respectively. It is determined whether or not the log flow is similar to each of the normal flow and the abnormal flow.
The information processing device according to claim 1. 前記決定部は、前記複数のログフローに、同一の前記優先順位のログフローが含まれる場合、前記異常フローの閾値を変更前の閾値に比べて高い値に変更し、同一の優先順位のログフローのそれぞれに対応する前記優先順位を再度決定する、
請求項2に記載の情報処理装置。 When the plurality of log flows include the same priority log flow, the determination unit changes the threshold value of the abnormal flow to a higher value than the threshold value before the change, and logs of the same priority. Redetermine the priorities corresponding to each of the flows,
The information processing device according to claim 2. 複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローであって、前記所定処理が正常終了したことを示し、1つのグループに集約されているログフローである正常フローと、前記所定処理が異常終了したことを示し、ログフローの内容に基づいて複数のグループに分類されているログフローである異常フローとを記憶する記憶部を備え、 It is a log flow showing a log output from each of the plurality of communication devices and an output order of the log when a predetermined process is performed on a network composed of a plurality of communication devices, and the predetermined process is A normal flow, which is a log flow that is aggregated into one group, and a log that indicates that the predetermined processing has ended abnormally and is classified into a plurality of groups based on the contents of the log flow. Equipped with a storage unit that stores abnormal flows that are flows
前記所定処理が新たに行われた場合の前記ログフローを複数取得する取得部と、 An acquisition unit that acquires a plurality of the log flows when the predetermined process is newly performed,
取得された複数のログフローの、前記正常フローに対応するグループとの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度とを算出する算出部と、 A calculation unit that calculates the similarity of the acquired plurality of log flows with the group corresponding to the normal flow and the similarity with each of the plurality of groups corresponding to the abnormal flow.
算出された前記正常フローに対応するグループとの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する決定部と、 A plurality of log flows based on each of the acquired log flows based on the calculated similarity with the group corresponding to the normal flow and the similarity with each of the plurality of groups corresponding to the abnormal flow. A decision-making unit that prioritizes troubleshooting,
決定された前記優先順位を出力する出力部と、 An output unit that outputs the determined priority, and
を備える情報処理装置。 Information processing device equipped with. 複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローであって、前記所定処理が正常終了したことを示すログフローである正常フローと、前記所定処理が異常終了したことを示すログフローである異常フローとを記憶する記憶部と、 It is a log flow showing a log output from each of the plurality of communication devices and an output order of the log when a predetermined process is performed on a network composed of a plurality of communication devices, and the predetermined process is A storage unit that stores a normal flow, which is a log flow indicating that the predetermined process has ended normally, and an abnormal flow, which is a log flow indicating that the predetermined process has ended abnormally.
前記所定処理が新たに行われた場合の前記ログフローを複数取得する取得部と、 An acquisition unit that acquires a plurality of the log flows when the predetermined process is newly performed,
取得された前記複数のログフローのうち、前記正常フロー及び前記異常フローのいずれとも一致しない複数のログフローを特定する特定部と、 Of the plurality of acquired log flows, a specific unit that identifies a plurality of log flows that do not match either the normal flow or the abnormal flow, and
特定された複数のログフローの、前記正常フローとの類似度と、前記異常フローとの類似度とを算出する算出部と、 A calculation unit that calculates the degree of similarity between the specified plurality of log flows to the normal flow and the degree of similarity to the abnormal flow.
算出された前記正常フローとの類似度と、前記異常フローとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する決定部と、 A determination unit that determines the priority of a plurality of troubleshooting based on each of the acquired plurality of log flows based on the calculated similarity with the normal flow and the similarity with the abnormal flow.
決定された前記優先順位を出力する出力部と、 An output unit that outputs the determined priority, and
を備える情報処理装置。 Information processing device equipped with. コンピュータが実行する、
複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローを複数取得するステップと、
取得された前記複数のログフローの、前記所定処理が正常終了したことを示すログフローである正常フローとの類似度と、前記所定処理が異常終了したことを示すログフローである異常フローとの類似度とを算出するステップと、
記憶部に記憶されている、前記ログフローが、前記正常フローと前記異常フローのそれぞれと類似するか否かの組み合わせと、当該組み合わせに対応するトラブルシューティングの優先順位とを関連付けた優先順位情報と、算出された前記複数のログフローのそれぞれの前記正常フローと前記異常フローとに対する類似度とに基づいて、前記複数のログフローのそれぞれに対応する前記組み合わせを特定するステップと、
特定された前記組み合わせに関連付けられている前記記憶部に記憶されている前記優先順位情報に基づいて、取得された前記複数のログフローのそれぞれに対応する複数のトラブルシューティングの優先順位を決定するステップと、
決定された前記優先順位を出力するステップと、
有する情報処理方法。 Computer runs,
A step of acquiring a plurality of logs indicating a log output from each of the plurality of communication devices and an output order of the logs when a predetermined process is performed on a network composed of a plurality of communication devices, and a step of acquiring a plurality of log flows.
The degree of similarity between the acquired plurality of log flows and the normal flow, which is a log flow indicating that the predetermined process has ended normally, and the abnormal flow, which is a log flow indicating that the predetermined process has ended abnormally. Steps to calculate similarity and
Priority information that associates the combination of whether or not the log flow stored in the storage unit is similar to each of the normal flow and the abnormal flow, and the troubleshooting priority corresponding to the combination. a step of, based on the similarity to each of the normal flow of the plurality of log flow calculated and the previous SL abnormal flow, identifying the combination corresponding to each of the plurality of log flow,
A step of determining a plurality of troubleshooting priorities corresponding to each of the acquired plurality of log flows based on the priority information stored in the storage unit associated with the identified combination. When,
The step of outputting the determined priority and
Information processing method having . コンピュータが実行する、 Computer runs,
複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示す複数のログフローとして、前記所定処理が正常終了したことを示し、1つのグループに集約されているログフローである正常フローと、前記所定処理が異常終了したことを示し、ログフローの内容に基づいて複数のグループに分類されているログフローである異常フローとを取得するステップと、 When a predetermined process is performed on a network composed of a plurality of communication devices, the predetermined process is performed as a plurality of log flows indicating a log output from each of the plurality of communication devices and an output order of the log. A normal flow, which is a log flow that is aggregated into one group, and a log that indicates that the predetermined processing has ended abnormally, and is classified into a plurality of groups based on the contents of the log flow. Steps to get the abnormal flow, which is the flow,
取得された前記複数のログフローの、前記正常フローに対応するグループとの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度とを算出するステップと、 A step of calculating the similarity of the acquired plurality of log flows with the group corresponding to the normal flow and the similarity with each of the plurality of groups corresponding to the abnormal flow.
算出された前記正常フローに対応するグループとの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定するステップと、 A plurality of log flows based on each of the acquired log flows based on the calculated similarity with the group corresponding to the normal flow and the similarity with each of the plurality of groups corresponding to the abnormal flow. Steps to prioritize troubleshooting and
決定された前記優先順位を出力するステップと、 The step of outputting the determined priority and
を有する情報処理方法。 Information processing method having. コンピュータが実行する、 Computer runs,
複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローを複数取得するステップと、 A step of acquiring a plurality of logs indicating a log output from each of the plurality of communication devices and an output order of the logs when a predetermined process is performed on a network composed of a plurality of communication devices, and a step of acquiring a plurality of log flows.
取得された前記複数のログフローのうち、前記所定処理が正常終了したことを示すログフローである正常フロー及び前記所定処理が異常終了したことを示すログフローである異常フローのいずれとも一致しない複数のログフローを特定するステップと、 Of the plurality of acquired log flows, a plurality of log flows that do not match either the normal flow, which is a log flow indicating that the predetermined process has ended normally, or the abnormal flow, which is a log flow indicating that the predetermined process has ended abnormally. Steps to identify the log flow of
特定された前記複数のログフローの、前記正常フローとの類似度と、前記異常フローとの類似度とを算出するステップと、 A step of calculating the similarity of the specified plurality of log flows with the normal flow and the similarity with the abnormal flow.
算出された前記正常フローとの類似度と、前記異常フローとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定するステップと、 A step of determining a plurality of troubleshooting priorities based on each of the acquired plurality of log flows based on the calculated similarity with the normal flow and the similarity with the abnormal flow.
決定された前記優先順位を出力するステップと、 The step of outputting the determined priority and
を有する情報処理方法。 Information processing method having. コンピュータを、
複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローを複数取得する取得部、
取得された前記複数のログフローの、前記所定処理が正常終了したことを示すログフローである正常フローとの類似度と、前記所定処理が異常終了したことを示すログフローである異常フローとの類似度とを算出する算出部、
記憶部に記憶されている、前記ログフローが、前記正常フローと前記異常フローのそれぞれと類似するか否かの組み合わせと、当該組み合わせに対応するトラブルシューティングの優先順位とを関連付けた優先順位情報と、算出された前記複数のログフローのそれぞれの前記正常フローと前記異常フローとに対する類似度とに基づいて、前記複数のログフローのそれぞれに対応する前記組み合わせを特定し、特定した前記組み合わせに関連付けられている前記優先順位情報に基づいて、取得された前記複数のログフローのそれぞれに対応する複数のトラブルシューティングの優先順位を決定する決定部、及び、
決定された前記優先順位を出力する出力部、
として機能させる情報処理プログラム。 Computer,
An acquisition unit that acquires a plurality of logs indicating the logs output from each of the plurality of communication devices and the output order of the logs when a predetermined process is performed on a network composed of a plurality of communication devices.
The degree of similarity between the acquired plurality of log flows and the normal flow, which is a log flow indicating that the predetermined process has ended normally, and the abnormal flow, which is a log flow indicating that the predetermined process has ended abnormally. Calculation unit that calculates the degree of similarity,
Priority information that associates the combination of whether or not the log flow stored in the storage unit is similar to each of the normal flow and the abnormal flow, and the troubleshooting priority corresponding to the combination. , on the basis of the similarity each of the normal flow of the plurality of log flow and the calculated relative to said abnormal flow, identifies the combination corresponding to each of the plurality of log flow, associated with a specified said combination A decision unit that determines the priority of a plurality of troubleshooting corresponding to each of the acquired plurality of log flows based on the priority information , and
An output unit that outputs the determined priority,
An information processing program that functions as. コンピュータを、 Computer,
複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示す複数のログフローとして、前記所定処理が正常終了したことを示し、1つのグループに集約されているログフローである正常フローと、前記所定処理が異常終了したことを示し、ログフローの内容に基づいて複数のグループに分類されているログフローである異常フローとを取得する取得部として機能させ、 When a predetermined process is performed on a network composed of a plurality of communication devices, the predetermined process is performed as a plurality of log flows indicating a log output from each of the plurality of communication devices and an output order of the log. A normal flow, which is a log flow that is aggregated into one group, and a log that indicates that the predetermined processing has ended abnormally, and is classified into a plurality of groups based on the contents of the log flow. It functions as an acquisition unit that acquires an abnormal flow that is a flow,
取得された前記複数のログフローの、前記正常フローに対応するグループとの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度とを算出する算出部、 A calculation unit that calculates the degree of similarity of the acquired plurality of log flows with the group corresponding to the normal flow and the degree of similarity with each of the plurality of groups corresponding to the abnormal flow.
算出された前記正常フローに対応するグループの類似度と、前記異常フローに対応する複数のグループのそれぞれとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する決定部、及び、 Multiple troubles based on each of the acquired plurality of log flows based on the calculated similarity of the group corresponding to the normal flow and the similarity with each of the plurality of groups corresponding to the abnormal flow. A decision-making unit that determines shooting priorities, and
決定された前記優先順位を出力する出力部、 An output unit that outputs the determined priority,
として機能させる情報処理プログラム。 An information processing program that functions as. コンピュータを、 Computer,
複数の通信機器により構成されるネットワーク上で所定処理が行われた場合に前記複数の通信機器のそれぞれから出力されるログと当該ログの出力順序とを示すログフローを複数取得する取得部、 An acquisition unit that acquires a plurality of logs indicating the logs output from each of the plurality of communication devices and the output order of the logs when a predetermined process is performed on a network composed of a plurality of communication devices.
取得された前記複数のログフローのうち、前記所定処理が正常終了したことを示すログフローである正常フロー及び前記所定処理が異常終了したことを示すログフローである異常フローのいずれとも一致しない複数のログフローを特定する特定部、 Of the plurality of acquired log flows, a plurality of log flows that do not match either the normal flow, which is a log flow indicating that the predetermined process has ended normally, or the abnormal flow, which is a log flow indicating that the predetermined process has ended abnormally. Specific part that identifies the log flow of
特定された前記複数のログフローの、前記正常フローとの類似度と、前記異常フローとの類似度とを算出する算出部、 A calculation unit that calculates the similarity between the specified plurality of log flows and the normal flow and the similarity with the abnormal flow.
算出された前記正常フローとの類似度と、前記異常フローとの類似度とに基づいて、取得された前記複数のログフローのそれぞれに基づく複数のトラブルシューティングの優先順位を決定する決定部、及び、 A determination unit that determines the priority of a plurality of troubleshooting based on each of the acquired plurality of log flows based on the calculated similarity with the normal flow and the similarity with the abnormal flow. ,
決定された前記優先順位を出力する出力部、 An output unit that outputs the determined priority,
として機能させる情報処理プログラム。 An information processing program that functions as.
JP2017161886A 2017-08-25 2017-08-25 Information processing equipment, information processing methods, and information processing programs Expired - Fee Related JP6756680B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017161886A JP6756680B2 (en) 2017-08-25 2017-08-25 Information processing equipment, information processing methods, and information processing programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017161886A JP6756680B2 (en) 2017-08-25 2017-08-25 Information processing equipment, information processing methods, and information processing programs

Publications (2)

Publication Number Publication Date
JP2019041247A JP2019041247A (en) 2019-03-14
JP6756680B2 true JP6756680B2 (en) 2020-09-16

Family

ID=65727274

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017161886A Expired - Fee Related JP6756680B2 (en) 2017-08-25 2017-08-25 Information processing equipment, information processing methods, and information processing programs

Country Status (1)

Country Link
JP (1) JP6756680B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112269730A (en) * 2020-11-05 2021-01-26 北京小米松果电子有限公司 Abnormal log detection method, abnormal log detection device, and storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070168201A1 (en) * 2006-01-06 2007-07-19 Chellam Sudhakar V Formula for automatic prioritization of the business impact based on a failure on a service in a loosely coupled application
JP5377094B2 (en) * 2009-06-09 2013-12-25 キヤノン株式会社 Communication control device
JP2011118614A (en) * 2009-12-02 2011-06-16 Hitachi Information Systems Ltd System and method for supporting determination of priority of fault resolution
CN103765820B (en) * 2011-09-09 2016-10-26 惠普发展公司,有限责任合伙企业 Based on according to the system and method for the reference baseline assessment event of time location in sequence of events

Also Published As

Publication number Publication date
JP2019041247A (en) 2019-03-14

Similar Documents

Publication Publication Date Title
CN109586952B (en) Server capacity expansion method and device
US8572621B2 (en) Selection of server for relocation of application program based on largest number of algorithms with identical output using selected server resource criteria
CN109284220B (en) Cluster fault recovery time length estimation method, device, equipment and storage medium
WO2016069038A1 (en) Policy based workload scaler
CN113656168A (en) Method, system, medium and equipment for automatic disaster recovery and scheduling of traffic
US20130219227A1 (en) Multi-Entity Test Case Execution Workflow
CN112202617B (en) Resource management system monitoring method, device, computer equipment and storage medium
CN111679968A (en) Interface calling abnormity detection method and device, computer equipment and storage medium
CN111026602A (en) Health inspection scheduling management method and device of cloud platform and electronic equipment
CN112003763A (en) Network link monitoring method, monitoring device, monitoring equipment and storage medium
CN112380089A (en) Data center monitoring and early warning method and system
CN111858458B (en) Method, device, system, equipment and medium for adjusting interconnection channel
JP2015108898A (en) Abnormality detection system and abnormality detection method
CN111124830A (en) Monitoring method and device for micro-service
CN108255703B (en) SQL script fault repairing method and terminal thereof
CN115509875A (en) Server health degree evaluation method and device
CN109885384B (en) Task parallelism optimization method and device, computer equipment and storage medium
JP6756680B2 (en) Information processing equipment, information processing methods, and information processing programs
JP6294145B2 (en) Monitoring method, monitoring device and monitoring control program
US8275865B2 (en) Methods, systems and computer program products for selecting among alert conditions for resource management systems
CN111259299A (en) Data processing method, data processing device, computer equipment and storage medium
CN113992378B (en) Security monitoring method and device, electronic equipment and storage medium
US10255128B2 (en) Root cause candidate determination in multiple process systems
CN115686746A (en) Access method, task processing method, computing device, and computer storage medium
US20120072160A1 (en) Measure presentation device, measure presentation method, and non-transitory computer readable storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190802

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200702

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200827

R150 Certificate of patent or registration of utility model

Ref document number: 6756680

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees