JPWO2017169949A1 - ログ分析装置、ログ分析方法及びプログラム - Google Patents

ログ分析装置、ログ分析方法及びプログラム Download PDF

Info

Publication number
JPWO2017169949A1
JPWO2017169949A1 JP2018509072A JP2018509072A JPWO2017169949A1 JP WO2017169949 A1 JPWO2017169949 A1 JP WO2017169949A1 JP 2018509072 A JP2018509072 A JP 2018509072A JP 2018509072 A JP2018509072 A JP 2018509072A JP WO2017169949 A1 JPWO2017169949 A1 JP WO2017169949A1
Authority
JP
Japan
Prior art keywords
log
monitoring target
correlation model
pattern
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018509072A
Other languages
English (en)
Other versions
JP6881434B2 (ja
Inventor
育大 網代
育大 網代
ゾン ボー
ゾン ボー
シュー ジャンウー
シュー ジャンウー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2017169949A1 publication Critical patent/JPWO2017169949A1/ja
Application granted granted Critical
Publication of JP6881434B2 publication Critical patent/JP6881434B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

ログからシステムの障害原因を分析する際のユーザの負荷を軽減する。ログ分析装置は、所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する相関モデル生成部と、前記相関モデルに基づき前記監視対象の異常の有無を判定する判定部を備える。

Description

本発明は、ログの分析を行うためのログ分析装置等に関する。
コンピュータ上で実行されるシステムにおいては、イベントの結果又はメッセージ等を含むログが出力される。システム等に異常が発生した際には、ユーザ(例えばオペレータ)は、出力されたログを分析、解析することで、異常の原因を特定する。
システム異常の原因の追及等のためにログ分析を行う際、ユーザはシステムから出力される多数のログを参照する必要がある。ユーザへの負担を軽減するために、ログに基づく分析を補助する情報を提供することが求められている。
特許文献1は、監視対象ホストのログを読み込み、平常時のログ遷移モデルと読み込まれたログ情報とに基づき、ログ変化があった時に変化のあったログの性能情報を取得し、取得した性能情報とログ情報から障害の有無を判定する技術を開示する。
また、特許文献2は、監視対象のソフト構成及びハード構成ごとのログの特性に基づくソフト構成とハード構成とが関連付けられた定義に基づき、ログを監視対象のソフト構成及びハード構成ごとに出力する技術を開示する。
特開2014−120001号公報 特開2010−86099号公報
特許文献1に開示された技術は、監視ホストにおける障害の有無をログ情報から判断している。特許文献2に開示された技術は、監視対象から出力されるログを所定の分類ごとに出力する。しかしながら、ログ情報を出力するシステム(監視ホスト)における障害の原因を推定するためには分析者又はオペレータなどのユーザが自身のノウハウを基にログ情報を分析する必要があり、特許文献1及び特許文献2に開示された技術では障害の原因箇所を推定できない。ユーザは、ノウハウを基にログからシステムの障害原因を分析するため負荷が大きい。すなわち、特許文献1及び特許文献2に開示された技術では、システムにおける障害の原因箇所を分析するユーザの負荷が大きいままであり、該ユーザの負荷を軽減できない。
本発明の目的は、上記課題を解決し、ログからシステムの障害原因を分析する際のユーザの負荷を軽減できるログ分析装置等を提供することである。
本発明の一態様におけるログ分析装置は、所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する相関モデル生成部と、前記相関モデルに基づき前記監視対象の異常の有無を判定する判定部と、を備える。
本発明の一態様におけるログ分析方法は、所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成し、前記相関モデルに基づき前記監視対象の異常の有無を判定する。
本発明の一態様におけるプログラムを格納する記録媒体は、コンピュータに、所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する処理と、前記相関モデルに基づき前記監視対象の異常の有無を判定する処理と、を実行させる。
本発明によれば、ログからシステムの障害原因を分析する際のユーザの負荷を軽減できる。
第1の実施形態におけるログ分析システムの運用形態を示す図である。 本実施形態におけるログ分析装置等を実現するコンピュータ装置のハードウェア構成を示すブロック図である。 第1の実施形態におけるログ分析装置の機能構成を示すブロック図である。 第1の実施形態におけるログ情報記憶部が格納するログ情報の一例を示す図である。 第1の実施形態における形式記憶部が格納する形式情報の一例を示す図である。 第1の実施形態におけるログ分析部の動作例を示すフローチャートである。 第1の実施形態における判定済みログ情報の一例を示す図である。 第1の実施形態におけるログ時系列情報の一例を示す図である。 第1の実施形態における性能情報の一例を示す図である。 第1の実施形態における異常判定部の動作例を示すフローチャートである。 第1の実施形態における出力情報の例を示す図である。 第1の実施形態におけるログ分析装置の動作例を示すフローチャートである。 第1の実施形態における出力情報の別の例を示す図である。 第2の実施形態におけるログ分析装置の機能構成を示すブロック図である。 第2の実施形態における異常分析部の動作例を示すフローチャートである。 第2の実施形態におけるログ分析装置の動作例を示すフローチャートである。 各実施形態におけるログ分析装置のブロック図である。
以下、図面を参照して、本発明の実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。
本実施形態においては、監視対象から出力されるログのパターンの時系列と監視対象の稼働状態に基づいてパターンと監視対象との相関モデルを生成し、生成した相関モデルを用いて監視対象の異常の有無を判定するログ分析装置(情報処理装置)を例として説明する。
図1は、第1の実施形態におけるログ分析システム1の運用形態の例を示す図である。図1に示すように、本実施形態におけるログ分析システム1は、ログ分析装置10と出力装置20が、インターネット又はLAN(Local Area Network)等のネットワークを介して接続されて構成されている。
ログ分析装置10は、ログのパターンと監視対象の稼働状態の相関モデルを生成し、生成した相関モデルを用いて検査対象のログ及び稼働状態を分析し、分析結果を出力するためのPC(Personal Computer)等の情報処理装置である。以降、ログ分析装置10が出力する情報を「出力情報」とする。なお、ログ分析システム1は、ログ分析装置10の代わりに後述するログ分析装置11を用いてもよい。ログ分析装置10,11の詳細は後述する。
出力装置20は、本実施形態におけるログ分析システム1を利用するユーザのインタフェースであり、一般的な情報処理機能を有するPCに、GUI(Graphical User Interface)等を実現するためのソフトウェアプログラムがインストールされていることによって実現される。なお、出力装置20は、ログ分析装置10から出力される出力情報の表示等を行うためのタブレット端末又はウェアラブル端末などの情報処理装置であってもよい。
次に、本実施形態におけるログ分析システム1に含まれるログ分析装置10と出力装置20の各装置を構成するハードウェアについて説明する。図2は、本実施形態におけるログ分析装置10又は出力装置20を実現するコンピュータ装置50のハードウェア構成を示すブロック図である。
図2に示すように、コンピュータ装置50は、CPU(Central Processing Unit)501と、ROM(Read Only Memory)502と、RAM(Random Access Memory)503と、記憶装置504と、ドライブ装置505と、通信インタフェース506と、入出力インタフェース507とを備える。
CPU501は、RAM503を用いてプログラム508を実行する。プログラム508は、ROM502に記憶されていてもよい。また、プログラム508は、記録媒体509に記録され、ドライブ装置505によって読み出されてもよいし、外部装置からネットワーク510を介して送信されてもよい。通信インタフェース506は、ネットワーク510を介して外部装置とデータをやり取りする。入出力インタフェース507は、周辺機器(キーボード、マウス、表示装置など)とデータをやり取りする。通信インタフェース506及び入出力インタフェース507は、データを取得又は出力する手段として機能することができる。出力情報などのデータは、記憶装置504に記憶されていてもよいし、プログラム508に含まれていてもよい。
なお、以下の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図6、図10、図12等に示す処理をコンピュータに実行させるプログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。
該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD(Compact Disc)−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。
<第1の実施形態>
次に、本実施形態におけるログ分析装置10の機能について説明する。図3は、第1の実施形態におけるログ分析装置10の機能構成を示すブロック図である。図3に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記録媒体等、任意の手段を介して行われてよい。
図3に示すように、本実施形態におけるログ分析装置10は、ログ情報記憶部101、形式記憶部102、ログ分析部103、性能情報記憶部104、相関モデル生成部105、情報取得部106、異常判定部107及び情報出力部108を含む。
ログ情報記憶部101は、監視対象システムから得られるログ情報を格納する。ログ情報記憶部101の例はメモリ又はハードディスク等の記憶装置である。監視対象システムとは、例えばIT(Information Technology)システムである。ITシステムは、機器(例えば、サーバ、クライアント端末、ネットワーク機器、その他の情報機器)又は、当該機器上で動作するシステム・ソフトウェア、アプリケーション・ソフトウェア等のソフトウェアにより構成される。
図4に示すように、ログ情報は、複数のログ(ログデータ)を含む。図4は、第1の実施形態におけるログ情報記憶部101が格納するログ情報の一例を示す図である。図4に示す例において、ログ情報に含まれる1つのログは、「2015/08/17 08:21:37 [SV008] JNW 3258 が開始しました。」である。
なお、ログ情報は、稼動中に発生したイベントの内容、稼働中の状況等を記録したログを含む。また、ログ情報は、例えば、バイナリデータ又はテキストデータ等の、任意のデータ形式(ファイル形式)で表されたログを含んでよい。また、ログ情報は、データベースのテーブル又はテキストファイルとしてログ情報記憶部101に格納されてよい。また、ログ情報は、随時あるいは定期的にログ情報記憶部101に追加・更新される。
なお、本実施形態のログ情報記憶部101は、例えば、監視対象システムが正常稼働している期間のログ情報を格納する。
形式記憶部102は、形式情報を格納する。形式記憶部102の例は、メモリ又はハードディスク等の記憶装置である。形式情報とは、ログの表現形式を示すフォーマットのパターンである。例えば、ログとして「Process p325 start」、「Process p223 start」、「Process p234 start」のようなログが複数出力されている場合、これらのログに共通する「Process <変数> start」のような変数部分と定数部分とで構成されるフォーマットパターンが存在すると推測される。変数部分とは、フォーマットパターンの中で変化可能な部分である。上述のフォーマットパターンにおける変数部分は、「<変数>」である。定数部分とは、フォーマットパターンの中で変化しない部分である。上述のフォーマットパターンにおける定数部分は、「Process」、「start」である。形式記憶部102には、1つ以上のフォーマットパターンを含む形式情報が格納される。
図5が示すように、形式情報は、フォーマットパターンと該フォーマットパターンの識別子であるパターンIDとが対応付けられている。図5は、第1の実施形態における形式記憶部102が格納する形式情報の一例を示す図である。図5に示す例においては、パターンIDが「039」の場合のフォーマットパターンは、「<変数:タイムスタンプ> [<変数:文字列>] JNW <変数:数値> が開始しました。」である。
ログ分析部103は、ログ情報と形式情報とに基づき、ログの形式ごとの時系列情報(以降、「ログ時系列情報」とも記載)を生成する。具体的には、ログ分析部103は、ログ情報に含まれるログと、形式情報に含まれるフォーマットパターンとを参照し、各フォーマットパターンに対応するログが一定時間内にいくつ出現しているかを示すログ時系列情報を生成する。
以下、ログ分析部103によるログ時系列情報生成処理の詳細を説明する。図6は、第1の実施形態におけるログ分析部103の動作例を示すフローチャートである。
ログ分析部103は、ログ情報記憶部101に格納されるログ情報と、形式記憶部102に格納される形式情報に基づき、ログごとに形式を判定する(ステップS101)。図7に示すように、ログ分析部103は、図4に示すログ情報を図5に示す形式情報の各フォーマットパターンのうちどのフォーマットパターンに該当するかを判定する。図7は、第1の実施形態における判定済みログ情報の一例を示す図である。例えば、図4に示す例では、ログ情報が「2015/08/17 08:21:37 [SV008] JNW 3258 が開始しました。」である。形式情報が図5に示す情報である場合のログ分析部103は、図7に示すように、「2015/08/17 08:21:37 [SV008] JNW 3258 が開始しました。」をパターンID「039」に判定する。
なお、図7に示すパターン判定済みログ情報に示す「パターンID」の列は、各行のログに対応するフォーマットパターンのパターンIDを表している。
ログ分析部103は、全てのログを判定した場合(ステップS102でYes)、判定済みログ情報に基づきログ時系列情報を生成する(ステップS103)。図8に示すように、ログ分析部103は、判定済みログ情報のログをパターンIDごとに分類し、分類されたログの出現量を所定期間ごとに算出する。図8は、第1の実施形態におけるログ時系列情報の一例を示す図である。図8に示す例においては、ログ時系列情報は、各フォーマットパターン(パターンID)に対応するログが5分間隔で何回出現しているか、を表形式で表す。具体的には、例えば、図7のログ情報において、2015/08/17 08:25:00から2015/08/17 08:29:59までの5分間を、その開始時刻を用いて「2015/08/17 08:25:00」と表す。「2015/08/17 08:25:00」で、パターンIDが「071」に該当するログ情報は「2015/08/17 08:26:16 [SV001] JNW 529 が終了しました。」および「2015/08/17 08:26:37 [SV008] JNW 3258 が終了しました。」の2つである。該場合におけるログ分析部103は、図8に示すように所定期間の開始時刻である「2015/08/17 08:25:00」に関連付られるパターンIDの「071」のログ時系列情報(出現数)を「2」と算出する。
また、ログ分析部103は、全てのログを判定していない場合(ステップS102でNo)、ステップS101の処理を実行する。
なお、ログ時系列情報は、CSV(Comma−Separated Values)、TSV(Tab−Separated Values)、JSON(JavaScript(登録商標) Object Notation)等の、任意のファイル形式でよい。
性能情報記憶部104は、監視対象システムの性能メトリクスを示す性能情報(以降、「稼働状態」とも記載)を格納する。性能情報記憶部104の例は、メモリ又はハードディスク等の記憶装置である。性能メトリクスとは、1秒、1分、又は5分といった単位時間あたりのコンピュータリソースの使用量、使用率、又は使用回数等のことである。具体的には、性能メトリクスは、CPU使用率、メモリ使用量、ディスクビジー率、ネットワーク送受信量などである。図9に示すように、性能情報は、監視対象の性能メトリクスの時系列情報である。図9は、第1の実施形態における性能情報の一例を示す図である。図9に示す例において、性能情報は、所定期間ごとの時刻と該所定期間における性能メトリクスごとの値とが対応付けられている。具体的には、例えば、図9に示すように、所定期間の開始時刻である「2015/08/17 08:25:00」に関連づけられる性能メトリクスであるCPU使用率の値は、「2」を示す。
なお、コンピュータリソースは、物理CPU又はディスク等の物理的なリソースだけではなく、論理的なリソースであってもよい。論理的なリソースとしては、仮想マシンに割り当てられる論理CPU又は論理ディスク、ネットワークコネクション数、ミドルウェアの稼働スレッド数等がある。
なお、本実施形態の性能情報の時刻は、図8に示すログ時系列情報の時刻と同じである。また、本実施形態における性能情報に含まれる性能メトリクスの値を実際のパーセンテージで説明したが、例えば、実際のパーセンテージを四捨五入するなどの概算値又は各比率でもよい。
相関モデル生成部105は、ログ時系列情報と性能情報とに基づき、ログのパターンと性能メトリクスとの間の相関関係を示す相関モデルを生成する。具体的には、相関モデル生成部105は、フォーマットパターンに対応するログの出現量と性能メトリクスごとの値との相関モデルを生成する。
以下、相関モデルについて、簡単な例を用いて説明する。ある2つの変数Xと変数Yとの相関モデルの算出式は、以下の通りである。
Y=A・X+B・・・(式1)
上記(式1)に示すように、変数Xを説明変数、変数Yを目的関数、AとBをある定数とする場合の相関モデルは、例えば、一方の値が決まると他方の値が決まる関係式を示す。なお、上記(式1)におけるA又はBは、相関分析又は回帰分析によって推定される。
変数XとYとが時系列情報XiとYi(i=0,1,2,…)とである場合における相関モデルの算出式は、以下の通りである。例えば、下記(式2)は、本実施形態におけるログ時系列情報と性能時系列情報との相関モデルを示す。
Yi=A・Xi+B・・・(式2)
なお、上記(式2)に示す時系列情報XiとYiとの間の相関関係の有無は、データから得られる相関係数が一定以上であること、上記(式2)との誤差又は残差平方和等が一定以下であること等、により判定される。また、時系列情報XiとYiとの相関関係は、例えば、Xi又はYiの過去の時系列情報Xi,Yi(i=0,…i−1)も用いたARX(Auto−Regressive, eXogenous)モデルにより推定されてもよい。
相関モデル生成部105は、ログ分析部103により生成されたログ時系列情報に含まれるフォーマットパターンを説明変数、性能情報記憶部104に格納された性能時系列情報に含まれる性能メトリクスを目的変数として、フォーマットパターンと性能メトリクスとの組合せに対する相関関係を分析し、相関関係があると判定されたフォーマットパターンと性能メトリクスとの対(ペア)を相関モデルとして生成する。具体的には、例えば、フォーマットパターンを示す「パターン039」と性能メトリクスを示す「CPU使用率」とに相関関係がある場合、相関モデル生成部105は、「CPU使用率―パターン039」である相関モデルを生成する。すなわち、相関モデル生成部105は、所定期間における監視対象から出力されるログのパターンの時系列及び監視対象の稼働状態に基づき、パターンと監視対象との相関モデルを生成する。
なお、相関モデル生成部105は、例えば、生成した相関モデルをログ分析システム1内部の記憶装置に格納してもよい。また、本実施形態の相関モデル生成部105では、フォーマットパターンを説明変数、性能メトリクスを目的変数として説明したが、それに限定されない。例えば、相関モデル生成部105は、フォーマットパターンを目的変数、性能メトリクスを説明変数として、フォーマットパターンと性能メトリクスとの相関関係を分析し、相関モデルを生成してもよい。また、相関モデル生成部105は、事前に指定したフォーマットパターン又はコンピュータリソースを主として相関関係を分析するようにしてもよい。
情報取得部106は、監視対象システムの検査対象のログ情報及び性能情報(以降、「検査対象のログ情報及び性能情報」とも記載)を取得する。検査対象のログ情報及び性能情報とは、異常判定の対象となる監視対象のシステムのログ情報及び性能情報を示す。
なお、情報取得部106は、例えば、リアルタイムでログ情報及び性能情報を取得してもよいし、所定の間隔で一定期間取得してもよい。取得された検査対象のログ情報及び性能情報は、ログ分析システム1内部の記憶装置に格納されて良い。情報取得部106は、ログ分析システム1内部の記憶装置に格納された一定期間のログ情報及び性能情報を読み出すことにより、取得して良い。また、情報取得部106は、例えば、監視対象システムを監視する監視システムからログ情報及び性能情報を取得して良い。また、ログ情報及び性能情報は、監視システムなどにより一定期間取得されて良い。
異常判定部107は、検査対象のログ情報及び性能情報と相関モデルとに基づき、監視対象システムの異常を判定する。具体的には、異常判定部107は、相関モデルに基づき、検査対象のログ時系列情報と性能情報との異常を判定する。
以下、異常判定部107による異常判定処理の詳細を説明する。図10は、第1の実施形態における異常判定部107の動作例を示すフローチャートである。図10に示すように、異常判定部107は、情報取得部106により取得される検査対象のログ情報と形式記憶部102に格納される形式情報とに基づき、検査対象のログ時系列情報を生成する(ステップS201)。本ステップにおける処理は、上述のステップS101〜S103の処理と同様である。
異常判定部107は、相関モデル生成部105により生成された相関モデルに基づき、生成した検査対象のログ時系列情報と情報取得部106により取得された検査対象の性能情報との異常を判定する(ステップS202)。例えば、異常判定部107は、検査対象のログ時系列情報及び性能情報が、相関モデルに対応しているか否かを判定する。具体的には、異常判定部107は、相関モデル中で相関があるとみなされている説明変数(例えば、フォーマットパターンに対応するログの出現量)と目的変数(例えば、性能メトリクスごとの値)に関し、相関モデルから予測される目的変数の値と実際の観測値(例えば、検査対象の性能メトリクスの値)との差が一定以上ある場合に、相関モデルに対応していない(以降、「相関が崩れた」とも記載)と判定する。すなわち、異常判定部107は、相関モデルに基づき監視対象の異常の有無を判定する。
なお、情報取得部106により取得された一定期間のログ情報及び性能情報を判定する場合の異常判定部107は、例えば、一定期間のログ情報及び性能情報の全てについて判定するまで、ステップS201及びステップS202の処理を繰り返してもよい。
なお、判定時において、目的変数の予測値と観測値との差は目的変数が取りうる値の平均値に依存するため、異常判定部107は、差を目的変数の平均値で除算(正規化)した値に基づき異常の判定を行ってもよい。また、異常判定部107は、予測される目的変数の値と観測値との差が一定以上の状態が一定期間続いた場合に、相関が崩れたと判定してもよい。また、異常判定部107は、ある検査対象期間のログ情報及び性能情報から得られる相関係数が一定以下である場合に、相関が崩れたと判定してもよい。
情報出力部108は、異常判定部107により異常と判定された相関モデルを含む出力情報を出力する。具体的には、例えば、情報出力部108は、相関が崩れたと判定された相関モデルを出力する。
また、情報出力部108は、例えば、出力情報を出力装置20に出力する。図11は、第1の実施形態における出力情報の例を示す図である。図11に示すように、出力情報は、フォーマットパターンである「パターン039」と、該フォーマットパターンとの間で相関関係にある性能メトリクスである「CPU使用率」と、からなる相関モデルを示す。該相関モデルは、検査対象のログ情報及び性能情報の間で「パターン039」と「CPU使用率」との相関が崩れたことを示す。
なお、情報出力部108は、相関モデル生成部105により生成された全ての相関モデルを含む出力情報を出力してもよい。該状況における情報出力部108は、例えば、相関モデルのうち、相関関係が崩れた相関モデルが太字、斜線、色等で強調された出力情報を出力する。
次に、本実施形態におけるログ分析装置10の動作について説明する。図12は、第1の実施形態におけるログ分析装置10の動作例を示すフローチャートである。
ログ分析部103は、ログ情報記憶部101に格納されるログ情報と形式記憶部102に格納される形式情報とに基づきログ時系列情報を生成する(ステップS301)。相関モデル生成部105は、ログ分析部103により生成されたログ時系列情報と性能情報記憶部104に格納される性能情報とに基づき相関モデルを生成する(ステップS302)。情報取得部106は、検査対象のログ情報及び性能情報を取得する(ステップS303)。異常判定部107は、情報取得部106により取得された検査対象のログ情報及び性能情報と相関モデル生成部105により生成された相関モデルとに基づき異常を判定する(ステップS304)。情報出力部108は、判定結果に基づき出力情報を出力する(ステップS305)。
以上説明したように、本実施形態におけるログ分析システム1において、ログ分析装置10は、ログ情報と形式情報と性能情報とから得られる相関モデルと、検査対象のログ情報及び性能情報と、に基づき異常を判定し、判定結果に基づき出力情報を出力装置20に出力する。
これにより、生成した相関モデルを用いて検査対象のログ及び稼働状態の異常を判定し、異常に関する相関モデルを含む出力情報を出力できるので、ユーザは監視対象システムの異常と該異常に関する相関モデルを確認でき、ログからシステムの障害原因を分析する際のユーザの負荷を軽減できる。具体的には、ユーザは異常に関する相関モデルからフォーマットパターンと性能メトリクスとのうち、少なくとも一方が異常であることを確認できる。また、ユーザは異常に関する相関モデルに含まれるフォーマットパターンと性能メトリクスとを確認できるので、ユーザはシステムの障害原因におけるノウハウを蓄積でき、ログからシステムの障害原因を分析する際のユーザの負荷をより軽減できる。
なお、本実施形態の情報出力部108では、図11に示すように、フォーマットパターンと性能メトリクスとが一対一対応された相関モデルを含む出力情報を出力するとして説明したが、それに限定されない。例えば、情報出力部108は、図13に示す出力情報を出力してもよい。図13は、第1の実施形態における出力情報の別の例を示す図である。図13に示すように、本例での出力情報は、性能メトリクスとフォーマットパターンとが線で接続されている。性能メトリクスとフォーマットパターンとを接続する線は、性能メトリクスとフォーマットパターンとが相関関係にあることを示す。図13が示す例では、性能メトリクスである「CPU使用率」は、3つのフォーマットパターンである「パターンX,パターンY,パターンZ」と相関関係にある。なお、パターンY,Zへの線は省略している。
本例におけるログ分析装置10においては、相関が崩れた相関モデルを性能メトリクスごとにまとめて出力することができる。これにより、ユーザは異常に関する相関モデルを性能メトリクスごとに確認でき、ユーザの障害解析にかかる負荷を低減することが可能となる。
なお、図13に示す例においては、フォーマットパターンと性能メトリクスとを線で結ぶことで相関関係を表現しているが、線の色を赤などの警告色に変えることによって相関の破壊を表してもよい。本例におけるログ分析装置10においては、正常稼働時の監視対象システムから得られた相関モデルを基に、検査対象のログ情報及び性能情報との関係を検査することで、監視対象システムの異常を検知することができる。これにより、監視対象システムの障害に至る兆候を早期に捉え、障害分析を早期に開始することで障害復旧を早めることが可能となる。また、どの相関関係が崩れたかを提示することで、ユーザの障害解析にかかる負荷を低減することが可能となる。
なお、情報出力部108は、出力情報を出力装置に出力する代わりに、データベース等に格納するようにしてもよい。また、情報出力部108は、相関モデルの予測値と観測値との差、あるいは、差を基に相関の崩れ又は破壊の大きさを算出して出力するようにしてもよい。
なお、本実施形態のログ分析装置10は、相関モデルに基づき検査対象のログ情報及び性能情報から異常を判定し、判定結果に基づき出力情報を出力装置20に出力するとして説明したが、それに限定されない。例えば、ログ分析装置10は、検査対象のログ情報及び性能情報から相関モデルを生成し、生成した相関モデルを含む出力情報を出力装置20に出力してもよい。具体的には、例えば、本例のログ分析装置10は、図13のように性能メトリクスでまとめられた、正常な相関モデルを含む出力情報を出力する。これにより、大量のログ情報又は性能情報の中から、監視対象システムの障害原因を分析する際に有用なログのフォーマットパターンと性能メトリクスとの相関関係を示す相関モデルを生成し、ユーザに提供することができる。例えば、フォーマットパターン「Process <変数> start」とCPU使用率との相関関係を提供することにより、分析対象システムの処理内容についての知識のないユーザにも、プロセス(Process)がCPUリソースを消費することがわかる。また、CPU使用率が想定以上に高くなってしまった場合又は、逆に低くなってしまった場合に、ログに示されたプロセスに異常が発生したと判断することができるなど、ログからシステムの障害原因を分析する際のユーザの負荷をより軽減できる。
<第2の実施形態>
次に、第2の実施形態について説明する。第1の実施形態では生成した相関モデルと検査対象のログ情報及び性能情報とに基づき異常を判定していたが、本実施形態では形式情報と検査対象のログ情報とに基づき異常を分析する。本実施形態におけるログ分析装置11の機能について説明する。図14は、第2の実施形態におけるログ分析装置11の機能構成を示すブロック図である。図14に示すように本実施形態におけるログ分析装置11は、第1の実施形態のログ分析装置10の構成に加え、異常分析部109を備える。既出の説明と重複する説明は適宜省略される。
異常分析部109は、形式記憶部102に格納される形式情報と、情報取得部106により取得された検査対象のログ情報とに基づき、異常を分析する。具体的には、異常分析部109は、検査対象のログ情報がフォーマットパターンに合致しないログを異常があると分析する。
以下、異常分析部109による異常分析処理の詳細を説明する。図15は、第2の実施形態における異常分析部109の動作例を示すフローチャートである。図15に示すように、異常分析部109は、情報取得部106により取得される検査対象のログ情報と形式記憶部102に格納される形式情報とに基づき、異常を分析する(ステップS401)。具体的には、異常分析部109は、調査対象のログ情報が形式情報のフォーマットパターンに合致しないログを異常があると分析する。ステップS401で異常がないと分析された場合(ステップS402でNo)、異常分析部109は、異常がないと分析した検査対象のログ情報をログ分析システム1内部の記憶装置に格納する(ステップS403)。異常分析部109は、全てのログを分析した場合(ステップS404でYes)、処理を完了する。
また、異常分析部109は、全てのログを分析していない場合(ステップS404でNo)、ステップS401の処理を実行する。また、異常分析部109は、ステップS401で異常があると分析された場合(ステップS402でYes)、異常分析部109は、異常と分析したログを監視対象システムの処理内容の異常として決定し(ステップS405)、ステップS404の処理を実行する。具体的には、例えば、ログ情報の中に、ログパターンには存在しないプロセスの異常終了又はプロセスの再起動を表す「Process ... down」又は「Process ... restart」等の未知のログが含まれていた場合、異常分析部109は、監視対象システムにおける処理で異常が発生していると分析する。
なお、異常分析部109は、ステップS401で異常があると分析された場合(ステップS402でYes)、決定した処理内容の異常に関する異常情報を出力装置20へ出力する。
異常判定部107は、上述のステップS403でログ分析システム1内部の記憶装置に格納される検査対象のログ情報及び性能情報と相関モデルとに基づき、監視対象システムの異常を判定する。具体的には、異常判定部107は、検査対象のログ時系列情報及び性能情報と相関モデルとに基づき、異常のログ時系列情報又は性能情報に対応する相関モデルを決定する。本実施形態における異常判定部107の処理は、第1の実施形態における異常判定部107の処理(ステップS201〜ステップS204)と同様である。
異常判定部107は、異常があると判定した場合、監視対象システムの処理リソースの異常であると判定する。該状況においては、格納された検査対象のログ情報は異常分析部109により異常なしと判定されているため、異常判定部107は、処理自体に異常はないと判定する。具体的には、例えば、異常判定部107は、ログパターンと性能メトリクス間の相関が崩れている状態がログパターンで示される処理に使われたコンピュータリソースの使用量、使用率、使用回数等に異常がある可能性が高いことを示す判定を実施する。
情報出力部108は、第1の実施形態における情報出力部108と同様に出力情報を出力する。また、情報出力部108は、分析結果が異常の場合、監視対象システムの処理内容に異常があることを示す通知情報を含む出力情報を出力する。また、情報出力部108は、判定結果が異常の場合、監視対象システムの処理リソースが異常であることを示す通知情報を含む出力情報を出力する。
次に、本実施形態におけるログ分析装置11の動作について説明する。図16は、第2の実施形態におけるログ分析装置11の動作例を示すフローチャートである。本実施形態におけるログ分析装置11の処理(ステップS501〜ステップS503)は、第1の実施形態におけるログ分析装置10の処理(ステップS301〜ステップS303)と同様であるため、説明を省略する。
異常分析部109は、情報取得部106により取得された検査対象のログ情報と形式記憶部102に格納される形式情報とに基づき、異常を分析する(ステップS504)。
異常判定部107は、ログ分析システム1内部の記憶装置に格納される検査対象のログ情報及び性能情報と相関モデル生成部105により生成された相関モデルとに基づき異常を判定する(ステップS505)。情報出力部108は、分析結果及び判定結果に基づき出力情報を出力する(ステップS506)。
以上説明したように、本実施形態におけるログ分析システム1においては、検査対象のログ情報及び性能情報と形式情報と生成した相関モデルとに基づき、異常を分析し、異常を判定し、分析結果及び判定結果に基づき出力情報を出力装置20に出力する。
これにより、検査対象のログ情報に基づく異常を分析でき、フォーマットパターンと性能メトリクス間の相関の崩れに基づく異常を判定できるので、システムの異常の原因を切り分け、ユーザの障害解析にかかる負荷を低減することが可能となる。
<その他の実施形態>
図17は、上述の各実施形態におけるログ分析装置30の概略構成図である。図17には、ログ分析装置30が所定期間における監視対象から出力されるログのパターンの時系列及び監視対象の稼働状態に基づき、パターンと監視対象との相関モデルを生成し、相関モデルに基づき監視対象の異常の有無の判定を行う装置として機能するための構成例が示されている。ログ分析装置30は、所定期間における監視対象から出力されるログのパターンの時系列及び監視対象の稼働状態に基づき、パターンと監視対象との相関モデルを生成する相関モデル生成部105と、相関モデルに基づき監視対象の異常の有無を判定する異常判定部107を備える。
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する相関モデル生成部と、
前記相関モデルに基づき前記監視対象の異常の有無を判定する判定部と、
を備えるログ分析装置。
(付記2)
前記判定部は、前記監視対象の検査対象のログのパターンと前記監視対象の検査対象の稼働状態との関係が前記相関モデルに対応しているか否かで前記監視対象の異常の有無を判定する付記1に記載のログ分析装置。
(付記3)
判定結果が異常である場合、前記相関モデルのうち、前記検査対象のログのパターンと関係のある相関モデルを出力する出力部をさらに備える付記2に記載のログ分析装置。
(付記4)
前記出力部は、前記判定結果が異常である場合の相関モデルを稼働状態に対応付けて出力する付記3に記載のログ分析装置。
(付記5)
前記検査対象のログと予め定められた複数のログのパターンとに基づき、前記監視対象が異常か否かを分析する分析部をさらに備える付記2乃至4のうちいずれか1項に記載のログ分析装置。
(付記6)
前記出力部は、前記分析結果が異常である場合に第1の異常を、前記判定結果が異常である場合に第2の異常を出力する付記5に記載のログ分析装置。
(付記7)
前記判定部は、前記相関モデルに基づく稼働状態と前記検査対象の稼働状態とが予め定められた範囲の中に含まれるか否かで異常の有無を判定する付記1乃至6のうちいずれか1項にログ分析装置。
(付記8)
前記相関モデル生成部は、前記ログのパターンの時系列の変化と前記稼働状態の変化とが予め定められた範囲の中に含まれる場合の前記パターンと前記稼働状態との相関モデルを生成する付記1乃至7のうちいずれか1項に記載のログ分析装置。
(付記9)
前記出力部は、前記相関モデルを出力する付記1乃至8のうちいずれか1項に記載のログ分析装置。
(付記10)
所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成し、
前記相関モデルに基づき前記監視対象の異常の有無を判定するログ分析方法。
(付記11)
コンピュータに、
所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する処理と、
前記相関モデルに基づき前記監視対象の異常の有無を判定する処理と、
を実行させるプログラム。
(付記12)
所定期間における監視対象から出力されるログと予め定められた複数のログのパターンとに基づき、前記ログのパターンの時系列を生成する時系列生成部と、
前記ログのパターンの時系列及び前記所定期間における前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する相関モデル生成部と、
を備えるログ分析装置。
(付記13)
所定期間における監視対象から出力されるログと予め定められた複数のログのパターンとに基づき、前記ログのパターンの時系列を生成し、
前記ログのパターンの時系列及び前記所定期間における前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成するログ分析方法。
(付記14)
コンピュータに、
所定期間における監視対象から出力されるログと予め定められた複数のログのパターンとに基づき、前記ログのパターンの時系列を生成する処理と、
前記ログのパターンの時系列及び前記所定期間における前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する処理と、
を実行させるプログラム。
(付記15)
予め定められた複数のログのパターンと検査対象のログ情報及び性能情報とから、前記ログのパターンと性能情報に含まれる性能メトリクスとの相関モデルを生成するログ分析方法。
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
この出願は、2016年3月30日に出願された日本出願特願2016−067122を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1 ログ分析システム
10、11、30 ログ分析装置
20 出力装置
50 コンピュータ装置
101 ログ情報記憶部
102 形式記憶部
103 ログ分析部
104 性能情報記憶部
105 相関モデル生成部
106 情報取得部
107 異常判定部
108 情報出力部
109 異常分析部
501 CPU
502 ROM
503 RAM
504 記憶装置
505 ドライブ装置
506 通信インタフェース
507 入出力インタフェース
508 プログラム
509 記録媒体
510 ネットワーク
本発明の一態様におけるプログラムは、コンピュータに、所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する処理と、前記相関モデルに基づき前記監視対象の異常の有無を判定する処理と、を実行させる。


Claims (14)

  1. 所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する相関モデル生成手段と、
    前記相関モデルに基づき前記監視対象の異常の有無を判定する判定手段、
    を備えるログ分析装置。
  2. 前記判定手段は、前記監視対象の検査対象のログのパターンと前記監視対象の検査対象の稼働状態との関係が前記相関モデルに対応しているか否かで前記監視対象の異常の有無を判定する請求項1に記載のログ分析装置。
  3. 判定結果が異常である場合、前記相関モデルのうち、前記検査対象のログのパターンと関係のある相関モデルを出力する出力手段をさらに備える請求項2に記載のログ分析装置。
  4. 前記出力手段は、前記判定結果が異常である場合の相関モデルを稼働状態に対応付けて出力する請求項3に記載のログ分析装置。
  5. 前記検査対象のログと予め定められた複数のログのパターンとに基づき、前記監視対象が異常か否かを分析する分析手段をさらに備える請求項2乃至4のうちいずれか1項に記載のログ分析装置。
  6. 前記出力手段は、前記分析結果が異常である場合に第1の異常を、前記判定結果が異常である場合に第2の異常を出力する請求項5に記載のログ分析装置。
  7. 前記判定手段は、前記相関モデルに基づく稼働状態と前記検査対象の稼働状態とが予め定められた範囲の中に含まれるか否かで異常の有無を判定する請求項1乃至6のうちいずれか1項にログ分析装置。
  8. 前記出力手段は、前記相関モデルを出力する請求項1乃至7のうちいずれか1項に記載のログ分析装置。
  9. 所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成し、
    前記相関モデルに基づき前記監視対象の異常の有無を判定するログ分析方法。
  10. コンピュータに、
    所定期間における監視対象から出力されるログのパターンの時系列及び前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する処理と、
    前記相関モデルに基づき前記監視対象の異常の有無を判定する処理と、
    を実行させるプログラムを格納した記録媒体。
  11. 前記相関モデル生成手段は、前記ログのパターンの時系列の変化と前記稼働状態の変化とが予め定められた範囲の中に含まれる場合の前記パターンと前記稼働状態との相関モデルを生成する請求項1乃至8のうちいずれか1項に記載のログ分析装置。
  12. 所定期間における監視対象から出力されるログと予め定められた複数のログのパターンとに基づき、前記ログのパターンの時系列を生成する時系列生成手段と、
    前記ログのパターンの時系列及び前記所定期間における前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する相関モデル生成手段と、
    を備えるログ分析装置。
  13. 所定期間における監視対象から出力されるログと予め定められた複数のログのパターンとに基づき、前記ログのパターンの時系列を生成し、
    前記ログのパターンの時系列及び前記所定期間における前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成するログ分析方法。
  14. コンピュータに、
    所定期間における監視対象から出力されるログと予め定められた複数のログのパターンとに基づき、前記ログのパターンの時系列を生成する処理と、
    前記ログのパターンの時系列及び前記所定期間における前記監視対象の稼働状態に基づき、前記パターンと前記監視対象との相関モデルを生成する処理と、
    を実行させるプログラムを格納した記録媒体。
JP2018509072A 2016-03-30 2017-03-21 ログ分析装置、ログ分析方法及びプログラム Active JP6881434B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016067122 2016-03-30
JP2016067122 2016-03-30
PCT/JP2017/011102 WO2017169949A1 (ja) 2016-03-30 2017-03-21 ログ分析装置、ログ分析方法及びプログラムを格納する記録媒体

Publications (2)

Publication Number Publication Date
JPWO2017169949A1 true JPWO2017169949A1 (ja) 2019-02-28
JP6881434B2 JP6881434B2 (ja) 2021-06-02

Family

ID=59964381

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018509072A Active JP6881434B2 (ja) 2016-03-30 2017-03-21 ログ分析装置、ログ分析方法及びプログラム

Country Status (3)

Country Link
US (1) US11106563B2 (ja)
JP (1) JP6881434B2 (ja)
WO (1) WO2017169949A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922125B2 (en) 2019-06-13 2021-02-16 Micro Focus Llc Capability liveness of containerized services
US11630719B1 (en) * 2022-02-01 2023-04-18 Dell Products L.P. System and method for potential system impairment detection
CN117672330A (zh) * 2022-08-24 2024-03-08 富联精密电子(天津)有限公司 硬盘性能检测方法及相关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001195285A (ja) * 2000-01-11 2001-07-19 Nippon Telegr & Teleph Corp <Ntt> アプリケーション性能劣化要因分析方法,アプリケーション性能劣化要因分析システムおよびそのプログラム記録媒体
JP2008009842A (ja) * 2006-06-30 2008-01-17 Hitachi Ltd コンピュータシステムの制御方法及びコンピュータシステム
JP2014153721A (ja) * 2013-02-04 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> ログ可視化装置及び方法及びプログラム
JP2015095060A (ja) * 2013-11-12 2015-05-18 日本電信電話株式会社 ログ分析装置及び方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4872944B2 (ja) * 2008-02-25 2012-02-08 日本電気株式会社 運用管理装置、運用管理システム、情報処理方法、及び運用管理プログラム
JP5444673B2 (ja) 2008-09-30 2014-03-19 富士通株式会社 ログ管理方法、ログ管理装置、ログ管理装置を備えた情報処理装置、及びプログラム
WO2011083687A1 (ja) * 2010-01-08 2011-07-14 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム記憶媒体
US8880946B2 (en) * 2010-06-07 2014-11-04 Nec Corporation Fault detection apparatus, a fault detection method and a program recording medium
WO2013111560A1 (ja) * 2012-01-23 2013-08-01 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム
JP2014120001A (ja) 2012-12-17 2014-06-30 Kddi Corp 監視装置、監視対象ホストの監視方法、監視プログラム及び記録媒体
US9734005B2 (en) * 2014-10-31 2017-08-15 International Business Machines Corporation Log analytics for problem diagnosis

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001195285A (ja) * 2000-01-11 2001-07-19 Nippon Telegr & Teleph Corp <Ntt> アプリケーション性能劣化要因分析方法,アプリケーション性能劣化要因分析システムおよびそのプログラム記録媒体
JP2008009842A (ja) * 2006-06-30 2008-01-17 Hitachi Ltd コンピュータシステムの制御方法及びコンピュータシステム
JP2014153721A (ja) * 2013-02-04 2014-08-25 Nippon Telegr & Teleph Corp <Ntt> ログ可視化装置及び方法及びプログラム
JP2015095060A (ja) * 2013-11-12 2015-05-18 日本電信電話株式会社 ログ分析装置及び方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
MAHIMKAR, AJAY ET AL.: "Troubleshooting Chronic Conditions in Large IP Networks", [ONLINE], JPN6020038037, 2008, US, pages 1 - 12, XP058125415, ISSN: 0004361537, DOI: 10.1145/1544012.1544014 *
木村 達明 他: "大規模ネットワーク監視情報における重要イベント抽出法", 電子情報通信学会技術研究報告, vol. 第111巻 第468号, JPN6021011731, 1 March 2012 (2012-03-01), JP, pages 261 - 264, ISSN: 0004477975 *

Also Published As

Publication number Publication date
US20200301810A1 (en) 2020-09-24
US11106563B2 (en) 2021-08-31
WO2017169949A1 (ja) 2017-10-05
JP6881434B2 (ja) 2021-06-02

Similar Documents

Publication Publication Date Title
JP6008070B1 (ja) 運用管理装置、運用管理方法、及び、運用管理プログラムが記録された記録媒体
US9383900B2 (en) Enabling real-time operational environment conformity to an enterprise model
JP5874936B2 (ja) 運用管理装置、運用管理方法、及びプログラム
US20190068467A1 (en) Cloud Network Stability
US9524223B2 (en) Performance metrics of a computer system
EP4182796B1 (en) Machine learning-based techniques for providing focus to problematic compute resources represented via a dependency graph
JPWO2011155621A1 (ja) 障害検出装置、障害検出方法およびプログラム記録媒体
JP6787340B2 (ja) ログ分析システム、ログ分析方法及びプログラム
JP6109662B2 (ja) 運用管理装置、運用管理方法およびプログラム
WO2017169949A1 (ja) ログ分析装置、ログ分析方法及びプログラムを格納する記録媒体
JP2018028783A (ja) システム状態可視化プログラム、システム状態可視化方法及びシステム状態可視化装置
JPWO2020202433A1 (ja) 情報処理装置およびapi使用履歴表示プログラム
JP7437145B2 (ja) 監視サーバ、プログラム、及び監視方法
US11176109B2 (en) Time-series data condensation and graphical signature analysis
JP6627258B2 (ja) システムモデル生成支援装置、システムモデル生成支援方法、及び、プログラム
JP2008171234A (ja) システム構成候補導出装置、方法およびプログラム
US20230336409A1 (en) Combination rules creation device, method and program
US11681576B2 (en) Anomaly coping support apparatus, method, and program
JPWO2017110996A1 (ja) ログ分析システム、ログ分析方法及びプログラムを格納する記録媒体
KR20220048233A (ko) 비정상 이벤트 탐지 방법, 그리고 이를 구현하기 위한 장치
US20220342788A1 (en) Anomaly location estimating apparatus, method, and program
US9054995B2 (en) Method of detecting measurements in service level agreement based systems
Tedesco et al. Theius: a streaming visualization suite for hadoop clusters
JP2008171104A (ja) 業務サービスとシステム性能を監視対象とする監視装置、監視システム、監視方法および監視プログラム
JP2018160020A (ja) 監視システム、プログラムおよび監視方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180921

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210406

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210419

R150 Certificate of patent or registration of utility model

Ref document number: 6881434

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150