WO2019064370A1

WO2019064370A1 - ログ分析システム、ログ分析方法、ログ分析プログラム、及び記憶媒体

Info

Publication number: WO2019064370A1
Application number: PCT/JP2017/034930
Authority: WO
Inventors: 三橋　秀男
Original assignee: 日本電気株式会社
Priority date: 2017-09-27
Filing date: 2017-09-27
Publication date: 2019-04-04
Also published as: JPWO2019064370A1; US11574211B2; US20200210865A1; JP6922992B2

Abstract

機器から出力されるログの中からトランザクションを識別する識別部と、開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるグループ化部と、前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成する学習部と、検査対象の前記トランザクションを前記学習モデルに基づいて検査する検査部と、を備えることを特徴とするログ分析システム。

Description

ログ分析システム、ログ分析方法、ログ分析プログラム、及び記憶媒体

　本発明は、ログ分析システム、ログ分析方法、ログ分析プログラム、及び記憶媒体に関する。

　近年、コンビニエンスストアやスーパーマーケットなどの小売り店舗では、ＰＯＳ（Point　Of　Sales）端末などの電子機器が導入されており、会計作業、発注作業、在庫管理作業などの店舗運営に関する作業の効率化が図られている。その反面、電子機器の停止は、直ちに店舗運営の停止を引き起こす。このため、電子機器に障害が発生した際には、障害を早期に検知して、復旧させる必要がある。

　例えば、特許文献１には、正常状態の電子機器から出力されるログを機械学習し、その学習内容に基づいて障害を検知する方法が記載されている。この方法では、学習時のログがどのような順序で出現するのかを予め学習しておく。そして、検査時のログの出現順序が学習時の出現順序と一致しているか否かを判断することで、障害を検知する。

特開２０１５－１９７９１７号公報

　例えば、ＰＯＳ端末のような人間が操作する電子機器では、イレギュラーな割り込み操作や操作順序の入れ替えなど、不規則な操作も行われる。このため、電子機器が正常状態である場合でも、ログの出現順序は常に一定とは限らない。これに対し、特許文献１に記載された従来技術では、ある時点におけるログの出現順序を正常状態として学習する。このため、学習内容と異なるタイプのログ、例えばイレギュラーな割り込み操作などを含むログを検査すると、機器が正常状態で動作しているにもかかわらず、障害が発生していると誤って検知する可能性がある。

　そこで、本発明は、上述の課題に鑑み、電子機器が出力するログから障害を高精度で検知できるログ分析システム、ログ分析方法、ログ分析プログラム、及び記憶媒体を提供することを目的とする。

　本発明の一つの観点によれば、機器から出力されるログの中からトランザクションを識別する識別部と、開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるグループ化部と、前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成する学習部と、検査対象の前記トランザクションを前記学習モデルに基づいて検査する検査部と、を備えるログ分析システムが提供される。

　本発明によれば、電子機器が出力するログから障害を高精度で検知できるログ分析システム、ログ分析方法、ログ分析プログラム及び記憶媒体を提供することができる。

第１実施形態に係るログ分析システムの機能を示すブロック図である。第１実施形態に係るログ分析システムのハードウェア構成例を示すブロック図である。第１実施形態における学習処理の具体例を示すフローチャートである。第１実施形態におけるログの分類例を説明する図である。第１実施形態における学習モデルの作成例を説明する図である。第１実施形態における検査処理の具体例を示すフローチャートである。図６に示す検査処理の詳細な処理例を示すフローチャートである。第１実施形態における異常検知条件の具体例を示す図である。第１実施形態における学習モデルに基づく検査例を説明する図である。第２実施形態に係るログ分析システムの全体構成例を示すブロック図である。

　以下、図面を参照して、本発明の実施形態を説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明は省略することもある。

［第１実施形態］
　図１は、第１実施形態に係るログ分析システム１０の機能を示すブロック図である。ログ分析システム１０は、ログ分類部１１、トランザクション識別部１２、グループ化部１３、学習部１４、記憶部１５、及び検査部１６を備える。

　ログ分類部１１は、ＰＯＳ端末（電子機器）２０から学習時（正常状態での動作時）に出力されるログ（以下、「正常ログ」という。）及び検査時に出力されるログ（以下、「検査ログ」という。）に対して、各ログデータの種類に応じたログ分類ＩＤを付与する。本実施形態では、ログ分類部１１は、同じ種類のログにはラベルとして同じ数値のログ分類ＩＤを付与する。ただし、ログ分類ＩＤは数値に限らず、分類を区別できれば記号及び文字でもよい。

　ログ分類部１１は、データの種類に応じてログを分類する従来技術を用いて処理を実行できる。例えばログ同士の類似性が高いものを同一分類とするログ分類方法（ＷＯ２０１６／１９９４３３参照）、予め設定されたテンプレートに従って分類するログ分類方法（特許第５９１３１４５号参照）などを用いる。

　トランザクション識別部１２は、正常ログ及び検査ログのデータ群の中からトランザクションを識別する。ここで、「トランザクション」とは、所定の一連の操作などの、一つの纏まりとして抽出できるログのデータセットをいう。ＰＯＳ端末２０を例に説明すると、客ごとの購入商品のレジ打ち操作に対応した一連のログがトランザクションに相当する。すなわち、１人目の客に対する一連のレジ打ち操作と、２人目の客に対する一連のレジ打ち操作とは別々のトランザクションとなる。

　また、トランザクション識別部１２は、各トランザクションに対して固有のトランザクションＩＤを付与する。本実施形態では、トランザクションＩＤを「ＴＩＤ_＋数値」の形式で付与するが、トランザクションを識別できれば他の形式でもよい。

　例えば、ＰＯＳ端末２０が出力するログに予めトランザクションを示す識別情報が付与されている場合には、トランザクション識別部１２は、その識別情報に基づいてトランザクションを識別できる。

　これに対し、ログにトランザクションを示す識別情報が付与されていない場合には、トランザクション識別部１２は、例えばログの出力時間に一定の間隔が空いた箇所をトランザクションの境界とする方法を用いてトランザクションを識別できる。例えば、ＰＯＳ端末２０におけるログの出力時間は、レジ打ち操作の際に１人目の客と２人目の客との間に時間的な空きができる。このため、この方法によりトランザクションを識別することができる。

　グループ化部１３は、トランザクションの開始時及び終了時に係る正常ログに付与されたログ分類ＩＤの両方が共通するトランザクションを同一のグループに振り分ける。

　学習部１４は、同一のグループのトランザクションにおける正常ログの種類ごとの出現回数を定義する学習モデルを作成する。本実施形態では、学習モデルは、同一のグループに振り分けられた複数のトランザクションの間において、ログ分類ＩＤごとの出現回数の最大数及び最小数をテーブル形式で定義する。ただし、学習モデルの形式は、テーブル形式に限られない。

　記憶部１５は、学習部１４が作成した学習モデル、検査部１６が検査処理時に用いる異常検知条件に対応するプログラムなどを記憶する。

　検査部１６は、検査ログのトランザクションを学習モデルと所定の異常検知条件とに基づいて検査する。検査方法の詳細については後述する。

　図２は、図１に示すログ分析システム１０のハードウェア構成例を示すブロック図である。ログ分析システム１０は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０１、メモリ１０２、記憶装置１０３、インタフェース１０４、入力装置１０５、ディスプレイ１０６、スピーカ１０７、及びプリンタ１０８を備える。

　ＣＰＵ１０１は、記憶装置１０３に記録されたプログラムをメモリ１０２上にロードして実行することにより、ログ分析システム１０の全体の制御及び演算処理を行うプロセッサである。また、ＣＰＵ１０１は、記憶装置１０３に処理結果のデータを記録し、インタフェース１０４を介して処理結果のデータを外部に送信する。

　メモリ１０２は、ＣＰＵ１０１が処理中のデータや記憶装置１０３から読み出されたデータを一時的に記憶するＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）などを含む。

　記憶装置１０３は、ＣＰＵ１０１が実行するプログラムや、プログラムによる処理結果のデータなどを記憶する。記憶装置１０３は、読み取り専用のＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）や、読み書き可能のハードディスクドライブ又はフラッシュメモリなどを含む。また、記憶装置１０３は、ＣＤ－ＲＯＭなどのコンピュータ読取可能な可搬記憶媒体を含んでもよい。

　インタフェース１０４は、データの送受信を行う通信部であり、有線通信及び無線通信の少なくとも一方の通信方式を実行可能に構成される。インタフェース１０４は、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子などを含む。インタフェース１０４は、ＣＰＵ１０１からの信号に従って、該通信方式を用いて通信を行う。

　入力装置１０５は、ユーザからの入力を受け付けるキーボードなどを含み、入力された内容を信号としてＣＰＵ１０１に送信する。入力装置１０５及びディスプレイ１０６が一体化されたタッチスクリーンが用いられてもよい。

　ディスプレイ１０６は、ＣＰＵ１０１からの信号に従って、ログの検査結果などの所定の情報を表示する表示装置である。ディスプレイ１０６としては、液晶ディスプレイなどの任意の表示装置を用いることができる。

　スピーカ１０７は、ＣＰＵ１０１からの信号に従って音声を出力する音声出力装置である。プリンタ１０８は、ＣＰＵ１０１からの信号に従って、ログの検査結果などを印刷する印刷装置である。プリンタ１０８として、サーマルプリンタ、インクジェットプリンタ、レーザプリンタなどの任意の印刷装置を用いることができる。

　なお、ログ分析システム１０は、図２に示す構成に限定されず、その他の機器を更に備えてもよい。ログ分析システム１０は一つ又は複数の装置からなってもよく、あるいは他の装置と一体に構成されてもよい。また、ログ分析システム１０は別の装置に接続され、本実施形態においてログ分析システム１０によって行われる処理の少なくとも一部は該装置によって行われてもよい。

　続いて、上述のように構成された本実施形態に係るログ分析システム１０の動作について図面を参照しながら説明する。

　図３は、第１実施形態における学習処理の具体例を示すフローチャートである。

　ステップＳ１０１において、ログ分類部１１は、正常動作中のＰＯＳ端末２０が出力する正常ログを取得する。

　ステップＳ１０２において、ログ分類部１１は、正常ログにデータの種類に応じてログ分類ＩＤを付与する。図４は、第１実施形態におけるログの分類例を説明する図である。ここでは、５つのログＬＯＧ_１～ＬＯＧ_５が順番に出力されている。操作内容（操作Ａ、操作Ｂ、操作Ｅ、操作Ｇ）によって機器から出力されるデータの種類が異なるため、ログＬＯＧ_１～ＬＯＧ_５のログ分類ＩＤとしては、１、２、２、５、７がそれぞれ付与されることが示されている。

　ステップＳ１０３において、トランザクション識別部１２は、正常ログのデータ群をトランザクションごとに分割し、各トランザクションにトランザクションＩＤを付与する。なお、トランザクションの識別情報が正常ログ内に予め含まれる場合には、その識別情報を利用する。

　ステップＳ１０４において、グループ化部１３は、各トランザクションの開始時及び終了時の正常ログに対して各々付与されているログ分類ＩＤの組み合わせごとに、同一のグループにトランザクションを振り分ける。

　ステップＳ１０５において、学習部１４は、同一のグループに振り分けられたトランザクションの正常ログに対して付与されたログ分類ＩＤの出現回数をトランザクションごとにカウントする。そして、学習部１４は、グループ内におけるログ分類ＩＤの出現回数の最小数及び最大数に基づいて学習モデルを作成する。

　図５は、第１実施形態における学習モデルの作成例を説明する図である。正常ログのデータ群の中には、開始時のログ分類ＩＤが「１」であり、終了時のログ分類ＩＤが「７」である３つのトランザクションＴＩＤ_１～ＴＩＤ_３がある。このため、トランザクションＴＩＤ_１～ＴＩＤ_３は、同一のグループＧｒ_１に振り分けられている。トランザクションＴＩＤ_１のログは、ログ分類ＩＤで「１,２,２,５,７」という順序で出現している。また、トランザクションＴＩＤ_２のログは、「１,２,２,５,２,２,５,７」という順序で出現している。そして、トランザクションＴＩＤ_３のログは、「１,２,２,５,６,７」という順序で出現している。

　学習部１４は、ログ分類ＩＤごとに３つのトランザクション内での出現回数をカウントして、その最大数（以下、「最大出現回数」という。）、最小数（以下、「最小出現回数」という。）をテーブル形式で学習モデルＭｄ_１を作成している。

　詳述すると、ログ分類ＩＤが「２」のログは、トランザクションＴＩＤ_１とトランザクションＴＩＤ_３には２回出現し、トランザクションＴＩＤ_２には４回出現する。よって、ログ分類ＩＤが「２」のログについて、最小出現回数は「２」、最大出現回数は「４」としてモデル化される。また、ログ分類ＩＤが「６」のログは、トランザクションＴＩＤ_３に１回出現し、トランザクションＴＩＤ_１とトランザクションＴＩＤ_２には出現しない。よって、ログ分類ＩＤが「６」のログについて、最小出現回数は「０」、最大出現回数は「１」としてモデル化される。更に、トランザクションＴＩＤ_１～ＴＩＤ_３の間における、トランザクションの開始から終了までの所要時間の最短時間と最長時間の情報も学習モデルＭｄ_１の定義情報として含まれている。

　図６は、第１実施形態における検査処理の具体例を示すフローチャートである。

　ステップＳ２０１において、ログ分類部１１は、検査時におけるＰＯＳ端末２０が出力する検査ログのデータ群を取得する。

　ステップＳ２０２において、ログ分類部１１は、各検査ログにデータの種類に応じてログ分類ＩＤを付与する。

　ステップＳ２０３において、トランザクション識別部１２は、検査ログのデータ群の中からトランザクションを識別して、データ群をトランザクションごとに分割するとともに、各トランザクションにトランザクションＩＤを付与する。なお、トランザクションの識別情報が検査ログ内に予め含まれる場合には、トランザクション識別部１２は、その識別情報を利用できる。

　ステップＳ２０４において、学習部１４は、検査ログのデータ群に含まれる複数のトランザクションの中からトランザクションを一つ選択する。

　ステップＳ２０５において、学習部１４は、選択されたトランザクションの開始時に係る検査ログに対して付与されたログ分類ＩＤに基づいて記憶部１５に記憶された学習モデルを参照する。これにより、学習部１４は、トランザクションの開始時のログ分類ＩＤが一致する学習モデルの有無を判定する。ここで、開始時のログ分類ＩＤが一致する学習モデルが有ると判定された場合（ステップＳ２０５：ＹＥＳ）には、ステップＳ２０６へ進む。これに対し、開始時のログ分類ＩＤが一致する学習モデルが無いと判定された場合（ステップＳ２０５：ＮＯ）には、ステップＳ２０８へ進む。

　ステップＳ２０６において、学習部１４は、選択されたトランザクションと開始時のログ分類ＩＤが一致する学習モデルを記憶部１５から取得する。

　ステップＳ２０７において、学習部１４は、ステップＳ２０４で選択されたトランザクションを学習モデル及び所定の異常検知条件に基づいて検査する。この処理の具体例については後述する。

　ステップＳ２０８において、学習部１４は、未処理のトランザクションの有無を判定する。ここで、未処理のトランザクションが有ると判定された場合（ステップＳ２０８：ＹＥＳ）には、Ｓ２０４へ戻る。これに対し、未処理のトランザクションが無いと判定された場合（ステップＳ２０８：ＮＯ）には、検査処理を終了する。

　図７は、第１実施形態における検査処理の詳細な処理例を示すフローチャートであり、図６のＳ２０７に相当する。

　ステップＳ３０１において、学習部１４は、異常検知条件のＮｏに対応する変数Ｎの値を１、異常検知数に対応する変数Ｘの値を０にそれぞれ初期化する。更に、学習部１４は、異常検知条件（Ｎ）についての処理結果に対応する変数Ｅｒｒ（Ｎ）の値を０に初期化する。

　ステップＳ３０２において、学習部１４は、異常検知条件（Ｎ）に対応する所定の判定プログラムを呼び出して実行する。

　ステップＳ３０３において、学習部１４は、検査対象のトランザクションが異常検知条件（Ｎ）に該当するか否かを判定する。ここで、異常検知条件（Ｎ）に該当すると判定された場合（ステップＳ３０３：ＹＥＳ）には、ステップＳ３０４へ進む。これに対し、ここで、異常検知条件（Ｎ）に該当しないと判定された場合（ステップＳ３０３：ＮＯ）には、ステップＳ３０５へ進む。なお、異常検知条件の具体例については、後述する。

　ステップＳ３０４において、学習部１４は、変数Ｘを１加算するとともに、変数Ｅｒｒ（Ｎ）に異常検知を示す値として１を格納する。

　ステップＳ３０５において、学習部１４は、次の異常検知条件の判定処理に移るために、変数Ｎを１加算する。

　ステップＳ３０６において、学習部１４は、変数Ｎの値が異常検知条件の最終Ｎｏに対応する定数Ｎ_maxを超えるか否かを判定する。ここで、変数Ｎの値がＮ_maxを超えると判定された場合（ステップＳ３０６：ＹＥＳ）には、ステップＳ３０７へ進む。これに対し、変数Ｎの値がＮ_maxを超えないと判定された場合（ステップＳ３０６：ＮＯ）には、ステップＳ３０２へ戻る。

　ステップＳ３０７において、学習部１４は、変数Ｎの値が０か否かを判定する。ここで、変数Ｎの値が０であると判定された場合（ステップＳ３０７：ＹＥＳ）には、ステップＳ３０８へ進む。これに対し、変数Ｎの値が０でないと判定された場合（ステップＳ３０７：ＮＯ）には、ステップＳ３０９へ進む。

　ステップＳ３０８において、学習部１４は、検査結果が“正常（障害なし）”であるメッセージを例えばディスプレイ１０６やプリンタ１０８に出力する。

　ステップＳ３０９において、学習部１４は、検査結果が“異常（障害あり）”であるメッセージを例えばディスプレイ１０６やプリンタ１０８に出力する。なお、複数の異常検知条件（Ｎ）のうち、どの条件に該当するのかに関しては、変数Ｅｒｒ（Ｎ）の値を検査結果に含めることでユーザは判断できる。

　図８は、第１実施形態における異常検知条件の具体例を示す図である。本実施形態において、図８に示す異常検知条件に対応する実際の判定処理は、例えば検査部１６に相当するメインプログラムから各異常検知条件に対応するプログラム（サブルーチン）を呼び出すことで実行される。なお、異常検知条件に対応する判定処理は、メインプログラム上に直接記述されていてもよい。

　以下、図８に例示された異常検知条件（１）から（８）に基づいて検査部１６が実行する判定処理について詳述する。

　異常検知条件（１）は、「検査ログの出現回数が、学習モデルの最大出現回数を超える。」ことである。この場合、検査部１６は、検査対象のトランザクション内でのログ分類ＩＤごとの出現回数をカウントし、カウント値が学習モデルでの同一のログ分類ＩＤの最大出現回数よりも大きい場合に障害として検知する。この異常検知条件（１）によれば、検査部１６は、例えばキーが多重に入力されたときに、障害を検知できる。

　異常検知条件（２）は、「検査ログの出現回数が、学習モデルの最小出現回数に満たない。」ことである。この場合、検査部１６は、検査対象のトランザクション内でのログ分類ＩＤごとの出現回数をカウントし、学習モデルでの同一のログ分類ＩＤの最小出現回数よりも小さい場合に障害として検知する。この異常検知条件（２）によれば、検査部１６は、例えば、キーを押下、あるいは、バーコードをスキャンしてもデータが入力されないときに、障害を検知できる。

　異常検知条件（３）は、「ログ分類ＩＤが、トランザクションの終了ログと学習モデルの終了ログとの間で異なる。」ことである。この場合、検査部１６は、検査対象のトランザクションの終了時の検査ログに付与されたログ分類ＩＤと、学習モデルにおいてトランザクションの終了時について定義されたログ分類ＩＤとを比較し、ログ分類ＩＤが一致しない場合に障害として検知する。この異常検知条件（３）によれば、検査部１６は、機器の一連の処理が正しく終了しないときに、障害を検知できる。

　異常検知条件（４）は、「検査対象のトランザクションの開始から終了までの所要時間が、学習モデルに定義された最短時間よりも短い。」ことである。この場合、検査部１６は、検査対象のトランザクションの開始から終了までの所要時間が、学習モデルに定義された最短時間よりも短い場合に障害として検知する。この異常検知条件（４）によれば、検査部１６は、一連の処理のうち、ログには現れない機器内部の処理が実行されないときに、障害を検知できる。

　異常検知条件（５）は、「検査対象のトランザクションの開始から終了までの所要時間が、学習モデルに定義された最長時間よりも長い。」ことである。この場合、検査部１６は、検査対象のトランザクションの開始から終了までの所要時間が、学習モデルに記録された最長時間よりも長い場合に障害として検知する。この異常検知条件（５）によれば、検査部１６は、例えば、一連の処理のうち、ログには現れない機器内部の処理がタイムアウトエラーを起こしているときに、障害を検知できる。

　異常検知条件（６）は、「学習モデルに含まれていないログ分類ＩＤが、検査対象のトランザクション内に出現する。」ことである。この場合、検査部１６は、検査対象のトランザクション内に、学習モデルには含まれていないログ分類ＩＤのログが出現している場合に障害として検知する。この異常検知条件（６）によれば、検査部１６は、正常時には出現しないエラーログや警報ログなどが機器から出力されるときに、障害を検知できる。

　異常検知条件（７）は、「学習モデルに含まれる全てのログ分類ＩＤが、検査対象のトランザクション内に出現しない。」ことである。この場合、検査部１６は、学習モデルに定義されているログ分類ＩＤの全てが、検査対象のトランザクションに出現していない場合に障害として検知する。この異常検知条件（７）によれば、検査部１６は、上述の異常検知条件（２）の場合と同様に、キーを押下、あるいは、バーコードのスキャンを実行した際にデータが入力されないときに、障害を検知できる。ただし、所定のログ分類ＩＤのログがトランザクションの途中に全く出現しなくなる場合にのみ検知する点で、上述の異常検知条件（２）と異なる。

　異常検知条件（８）は、「ログ分類ＩＤの出現回数の比率が、検査対象のトランザクションと学習モデルとの間で異なる。」ことである。この場合、検査部１６は、検査対象のトランザクションにおけるログ分類ＩＤごとの出現回数の比率と、学習モデルにおけるログ分類ＩＤごとの出現回数の比率とを比較する。そして、２つの比率が一致しない場合に障害として検知する。この異常検知条件（８）によれば、検査部１６は、例えばＰＯＳ端末２０における複数の商品のバーコードをスキャンする操作のように、一つのトランザクション内に繰り返し構造があり、その繰り返し数がトランザクションごとに変わる場合の検査に有効である。具体的には、一つのトランザクションを繰り返し部分ごとに参照したときに、正常な繰り返し部分と障害を含む繰り返し部分とが混在する場合には、検査部１６は、例示した８つの条件のうち、異常検知条件（８）でのみ障害を検知できる。

　図９は、図１に示す検査部１６における学習モデルに基づく検査例を説明する図である。ここでは、同一のグループＧｒ_２に振り分けられたトランザクションＴＩＤ_５とトランザクションＴＩＤ_６を学習し、学習モデルＭｄ_２を作成する例を示している。トランザクションＴＩＤ_５は、ログ分類ＩＤで「１,２,２,５,７」という順番でログが出現するデータ構造である。これに対し、トランザクションＴＩＤ_６は、ログ分類ＩＤで「１,２,２,５,７」という順番を３回繰り返すようにログが出現するデータ構造である。

　この場合、ログ分類ＩＤが「１」、「５」、「７」のログは、トランザクションＴＩＤ_５では１回ずつ出現し、トランザクションＴＩＤ_６では３回ずつ出現する。よって、ログ分類ＩＤが「１」、「５」、「７」のログは、最小出現回数は「１」、最大出現回数は「３」としてモデル化される。

　また、ログ分類ＩＤが「２」のログは、トランザクションＴＩＤ_５では２回出現し、トランザクションＴＩＤ_６では６回出現する。よって、ログ分類ＩＤが「２」のログは、最小出現回数は「２」、最大出現回数は「６」としてモデル化される。

　ここで、検査対象としてトランザクションＴＩＤ_７が入力された場合を考える。トランザクションＴＩＤ_７は、ログ分類ＩＤで「１,２,２,５,７」というデータ構造が２回繰り返された後、３回目の動作の際に異常が発生してログ分類ＩＤが「５」の検査ログが出現せずに「１,２,２,７」になったデータ構造を有する。

　この場合、３回目の繰り返し部分に、ログ分類ＩＤが「５」の検査ログが出現しないことから、一見すると、上述の異常検知条件（７）による障害の検知も考えられる。しかし、２回目の繰り返しまではログ分類ＩＤが「５」である検査ログが正常に出現しているため、異常検知条件（７）では検知できない。また、ログ分類ＩＤが「５」の検査ログの出現回数は、学習時の最大出現回数と最小出現回数の間にある。このため、異常検知条件（２）でも障害を検知できない。

　そこで、このような障害の場合には、出現回数の比率に基づく異常検知条件（８）によって検知する。その理由は、トランザクション内に繰り返し構造が何回出現したとしても、ログ分類ＩＤの出現回数の比率は変化しないからである。このことを利用し、検査部１６は、ログ分類ＩＤの出現回数の比率が学習時と検査時で一致しない場合に障害として検知できる。

　図９では、検査部１６が、開始のログ分類ＩＤと終了のログ分類ＩＤとがいずれも同一であるトランザクションを同一グループに振り分け、１つの学習モデルを作成する際、開始時のログ分類ＩＤ（「１」）の出現回数を基準として出現比率を算出している。学習モデルＭｄ_２におけるログ分類ＩＤの出現比率は「１,２,１,１」である。これに対し、検査データにおける比率は、開始時のログ分類ＩＤが「１」の出現回数「３」を基準として「１,２,０．６７,１」と算出している。

　なお、ログ分類ＩＤの出現比率は、学習モデルの最小出現回数をみて、そのうち最小の値を示すログ分類ＩＤの出現回数を基準「１」として算出してもよい。例えば、図９に示した学習モデルＭｄ_２では、最小出現回数のうちの最小値は「１」なので比率モデルは「１,２,１,１」となる。

　同様に、検査ログも出現回数の最小値を基準として比率化すると、出現回数は「３,６,２,３」であるから、比率は「１．５,３,１,１．５」となる。よって、学習時の比率モデルと異なることから、このトランザクションを障害として検知できる。

　以上のように、本実施形態に係るログ分析システム１０によれば、トランザクション内におけるログの出現順序ではなく、出現回数に基づいて学習モデルを作成し、検査対象のトランザクションを学習モデルに基づいて検査する。このため、例えば人間により不規則な操作が行われるＰＯＳ端末２０のような電子機器の場合でも、電子機器が出力するログから高精度に障害を検知できる。

［第２実施形態］
　図１０は、第２実施形態に係るログ分析システム８０の全体構成例を示すブロック図である。ログ分析システム８０は、識別部８１、グループ化部８２、学習部８３、及び検査部８４を備える。識別部８１は、機器から出力されるログの中からトランザクションを識別する。グループ化部８２は、開始時及び終了時に係るログの両方が共通するトランザクションを同一のグループに振り分ける。学習部８３は、同一のグループのトランザクションにおいて、ログの種類ごとに出現回数を定義する学習モデルを作成する。検査部８４は、検査対象のトランザクションを学習モデルに基づいて検査する。

　本実施形態に係るログ分析システム８０によれば、電子機器が出力するログから障害を高精度で検知できる。

［変形実施形態］
　以上、実施形態を参照して本発明を説明したが、本発明は上述の実施形態に限定されるものではない。本願発明の構成及び詳細には本発明の要旨を逸脱しない範囲で、当業者が理解し得る様々な変形をすることができる。例えば、いずれかの実施形態の一部の構成を、他の実施形態に追加した実施形態、あるいは他の実施形態の一部の構成と置換した実施形態も本発明を適用し得る実施形態であると理解されるべきである。

　例えば、上述の実施形態では、トランザクションの開始時のログに係るログ分類ＩＤと、学習モデルにおいて定義された開始時のログに係るログ分類ＩＤとが同一であるときに、その学習モデルを使用して検査ログのトランザクションを検査している。しかし、開始時及び終了時のログに係るログ分類ＩＤが、検査対象のトランザクションと学習モデルとの間で同一であることをトランザクションの選択条件としてもよい。この場合、判定基準として使用する学習モデルを絞り込める利点がある。

　また、上述の実施形態では、全ての異常検知条件について判定処理を行う処理例を示したが、いずれかの異常検知条件に該当したときには、その他の条件についての判定処理を行わない構成でもよい。この場合、判定に要する処理時間を短縮することができる利点がある。
　また、上述の各実施形態の機能を実現するように該実施形態の構成を動作させるプログラムを記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のコンピュータプログラムが記録された記録媒体はもちろん、そのコンピュータプログラム自体も各実施形態に含まれる。

　該記録媒体としては、例えばフロッピー（登録商標）ディスク、ハードディスク、光ディスク、光磁気ディスク、ＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ－Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、磁気テープ、不揮発性メモリカード、ＲＯＭを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）上で動作して処理を実行するものも各実施形態の範疇に含まれる。

　上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

（付記１）
　機器から出力されるログの中からトランザクションを識別する識別部と、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるグループ化部と、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成する学習部と、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査する検査部と、
　を備えることを特徴とするログ分析システム。

（付記２）
　前記ログの種類に応じたログ分類ＩＤを前記ログごとに付与する分類部を更に備え、
　前記学習モデルは、前記ログ分類ＩＤごとに前記出現回数を定義する
　ことを特徴とする付記１記載のログ分析システム。

（付記３）
　前記学習モデルは、前記同一のグループの前記トランザクションの間において、前記ログの種類ごとに前記出現回数の最大数及び最小数を定義する
　ことを特徴とする付記１又は２記載のログ分析システム。

（付記４）
　前記学習モデルは、テーブル形式であることを特徴とする付記１乃至３のいずれか一項記載のログ分析システム。

（付記５）
　前記学習モデルは、前記同一のグループの前記トランザクションの間において、前記ログの種類ごとに前記出現回数の最大数を定義し、
　前記検査部は、前記トランザクションにおける前記出現回数が、前記最大数を超えるときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至４のいずれか一項記載のログ分析システム。

（付記６）
　前記学習モデルは、前記同一のグループの前記トランザクションの間において、前記ログの種類ごとに前記出現回数の最小数を定義し、
　前記検査部は、前記トランザクションにおける前記出現回数が、前記最小数に満たないときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至５のいずれか一項記載のログ分析システム。

（付記７）
　前記検査部は、前記トランザクションの開始時及び終了時に係る前記ログの種類が、前記学習モデルにおいて定義された前記開始時及び前記終了時に係る前記ログの種類と前記終了時について異なるときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至６のいずれか一項記載のログ分析システム。

（付記８）
　前記学習モデルは、前記同一のグループの前記トランザクションの間における、前記トランザクションの開始から終了までの所要時間の最短時間を定義情報に含み、
　前記検査部は、前記検査対象の前記トランザクションの所要時間が前記最短時間よりも短いときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至７のいずれか一項記載のログ分析システム。

（付記９）
　前記学習モデルは、前記同一のグループの前記トランザクションの間における、前記トランザクションの開始から終了までの所要時間の最長時間を定義情報に含み、
　前記検査部は、前記検査対象の前記トランザクションの所要時間が前記最長時間よりも長いときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至８のいずれか一項記載のログ分析システム。

（付記１０）
　前記検査部は、前記検査対象の前記トランザクションにおいて、前記学習モデルには含まれない種類の前記ログが出現したときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至９のいずれか一項記載のログ分析システム。

（付記１１）
　前記検査部は、前記学習モデルにおいて定義された前記開始時及び前記終了時を除く全ての前記ログが、前記検査対象のトランザクションに出現しないときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至１０のいずれか一項記載のログ分析システム。

（付記１２）
　前記検査部は、前記学習モデルにおいて定義された前記ログの種類ごとの前記出現回数の比率と、前記検査対象の前記トランザクションにおける前記ログの種類ごとの前記出現回数の比率とが異なるときに、前記機器の異常を検知する
　ことを特徴とする付記１乃至１１のいずれか一項記載のログ分析システム。

（付記１３）
　前記検査部は、前記開始時に係る前記ログの種類が前記学習モデルと前記トランザクションとの間で同一であるとき、前記トランザクションを検査対象とすることを特徴とする付記１乃至１２のいずれか一項記載のログ分析システム。

（付記１４）
　前記検査部は、前記開始時及び前記終了時に係る前記ログの種類が前記学習モデルと前記トランザクションとの間で同一であるとき、前記トランザクションを検査対象とすることを特徴とする付記１乃至１２のいずれか一項記載のログ分析システム。

（付記１５）
　前記検査部は、前記検査対象の前記トランザクションにおいて、前記学習モデルに含まれている種類の前記ログのいずれかが出現しないときに、前記機器の異常を検知することを特徴とする付記１乃至１３のいずれか一項記載のログ分析システム。

（付記１６）
　機器から出力されるログの中からトランザクションを識別するステップと、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるステップと、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成するステップと、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査するステップと、
　を備えることを特徴とするログ分析方法。

（付記１７）
　コンピュータに、
　機器から出力されるログの中からトランザクションを識別するステップと、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるステップと、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成するステップと、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査するステップと、
　を実行させることを特徴とするログ分析プログラム。

（付記１８）
　コンピュータに、
　機器から出力されるログの中からトランザクションを識別するステップと、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるステップと、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成するステップと、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査するステップと、
　を実行させることを特徴とするプログラムが記憶された記憶媒体。

１０・・・ログ分析システム
１１・・・ログ分類部
１２・・・トランザクション識別部
１３・・・グループ化部
１４・・・学習部
１５・・・記憶部
１６・・・検査部
２０・・・ＰＯＳ端末（電子機器）
１０１・・・ＣＰＵ
１０２・・・メモリ
１０３・・・記憶装置
１０４・・・インタフェース
１０５・・・入力装置
１０６・・・ディスプレイ
１０７・・・スピーカ
１０８・・・プリンタ
８０・・・ログ分析システム
８１・・・識別部
８２・・・グループ化部
８３・・・学習部
８４・・・検査部
ＬＯＧ_１～ＬＯＧ_５・・・ログ
ＴＩＤ_１～ＴＩＤ_７・・・トランザクション
Ｇｒ_１，Ｇｒ_２・・・グループ
Ｍｄ_１，Ｍｄ_２・・・学習モデル

Claims

　機器から出力されるログの中からトランザクションを識別する識別部と、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるグループ化部と、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成する学習部と、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査する検査部と、
　を備えることを特徴とするログ分析システム。
　前記ログの種類に応じたログ分類ＩＤを前記ログごとに付与する分類部を更に備え、
　前記学習モデルは、前記ログ分類ＩＤごとに前記出現回数を定義する
　ことを特徴とする請求項１記載のログ分析システム。
　前記学習モデルは、前記同一のグループの前記トランザクションの間において、前記ログの種類ごとに前記出現回数の最大数及び最小数を定義する
　ことを特徴とする請求項１又は２記載のログ分析システム。
　前記学習モデルは、テーブル形式であることを特徴とする請求項１乃至３のいずれか一項記載のログ分析システム。
　前記学習モデルは、前記同一のグループの前記トランザクションの間において、前記ログの種類ごとに前記出現回数の最大数を定義し、
　前記検査部は、前記トランザクションにおける前記出現回数が、前記最大数を超えるときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至４のいずれか一項記載のログ分析システム。
　前記学習モデルは、前記同一のグループの前記トランザクションの間において、前記ログの種類ごとに前記出現回数の最小数を定義し、
　前記検査部は、前記トランザクションにおける前記出現回数が、前記最小数に満たないときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至５のいずれか一項記載のログ分析システム。
　前記検査部は、前記トランザクションの開始時及び終了時に係る前記ログの種類が、前記学習モデルにおいて定義された前記開始時及び前記終了時に係る前記ログの種類と前記終了時について異なるときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至６のいずれか一項記載のログ分析システム。
　前記学習モデルは、前記同一のグループの前記トランザクションの間における、前記トランザクションの開始から終了までの所要時間の最短時間を定義情報に含み、
　前記検査部は、前記検査対象の前記トランザクションの所要時間が前記最短時間よりも短いときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至７のいずれか一項記載のログ分析システム。
　前記学習モデルは、前記同一のグループの前記トランザクションの間における、前記トランザクションの開始から終了までの所要時間の最長時間を定義情報に含み、
　前記検査部は、前記検査対象の前記トランザクションの所要時間が前記最長時間よりも長いときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至８のいずれか一項記載のログ分析システム。
　前記検査部は、前記検査対象の前記トランザクションにおいて、前記学習モデルには含まれない種類の前記ログが出現したときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至９のいずれか一項記載のログ分析システム。
　前記検査部は、前記学習モデルにおいて定義された前記開始時及び前記終了時を除く全ての前記ログが、前記検査対象のトランザクションに出現しないときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至１０のいずれか一項記載のログ分析システム。
　前記検査部は、前記学習モデルにおいて定義された前記ログの種類ごとの前記出現回数の比率と、前記検査対象の前記トランザクションにおける前記ログの種類ごとの前記出現回数の比率とが異なるときに、前記機器の異常を検知する
　ことを特徴とする請求項１乃至１１のいずれか一項記載のログ分析システム。
　前記検査部は、前記開始時に係る前記ログの種類が前記学習モデルと前記トランザクションとの間で同一であるとき、前記トランザクションを検査対象とする
　ことを特徴とする請求項１乃至１２のいずれか一項記載のログ分析システム。
　機器から出力されるログの中からトランザクションを識別するステップと、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるステップと、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成するステップと、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査するステップと、
　を備えることを特徴とするログ分析方法。
　コンピュータに、
　機器から出力されるログの中からトランザクションを識別するステップと、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるステップと、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成するステップと、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査するステップと、
　を実行させることを特徴とするログ分析プログラム。
　コンピュータに、
　機器から出力されるログの中からトランザクションを識別するステップと、
　開始時及び終了時に係る前記ログの両方が共通する前記トランザクションを同一のグループに振り分けるステップと、
　前記同一のグループの前記トランザクションにおいて、前記ログの種類ごとに出現回数を定義する学習モデルを作成するステップと、
　検査対象の前記トランザクションを前記学習モデルに基づいて検査するステップと、
　を実行させることを特徴とするプログラムが記憶された記憶媒体。