ログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラム
【課題】複数の情報処理装置が連携して実行される一連の処理において、情報処理装置の処理記録(ログ)の相互に関連付けることにより、各情報処理装置で実行された個々の処理の連携関係を効率的に把握させることを課題とする。
【解決手段】ログ解析装置は、複数の情報処理装置から、一連の処理の処理記録として出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出して相互に関連付ける。
【解決手段】ログ解析装置は、複数の情報処理装置から、一連の処理の処理記録として出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出して相互に関連付ける。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムに関する。
【背景技術】
【0002】
従来のWebシステムや、近年注目を浴びているクラウド上のコンピュータシステムでは、個々のサブシステムが連携して1つの処理が実行される。例えば、ファイル共有システム等では、ポータルサブシステム、認証サブシステム、アクセス解析サブシステム、ファイル蓄積サブシステムなど、各々が別個の役割を担うサブシステムが連携動作して、1つの処理が実行される。
【0003】
ところで、コンピュータシステムにおいて処理のトラブルなどが発生した場合には、システム内部に蓄積される処理記録(ログ)の解析が一般的に行われる。上述したWebシステムやクラウド上のコンピュータシステムなどのように、個々のサブシステムが連携して1つの処理が実行されるシステム(以下、連携システムと記載する)も同様であり、トラブル対応のシーンでは、該当ユーザの処理状況を把握するために、ヘルプデスク担当者が、各サブシステムが生成した処理記録の分析を行う。例えば、処理記録として各サブシステムの内部に蓄積されるログをそれぞれ解析することにより、該当ユーザに関する処理がどこまで実施されたか、該当ユーザに関する処理が成功したか、該当ユーザに関する処理において、どのサブシステムが問題だったのかなど、故障の切り分けを実施する。
【0004】
なお、コンピュータシステム内に蓄積されるログ管理の技術として、例えば、異なるログ間で同一のキーワードを抽出する仕組みなどもある(非特許文献1参照)。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】「Logstorage Ver.4のご紹介」、[Online]、[平成23年10月21日検索]、インターネット(URL:http://www.logstorage.com/pdf/logstorage_Intro.pdf)
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、連携システムでは、各サブシステムにおいて固有のログが生成され、各サブシステムで扱うユーザの処理を識別するキーワードもサブシステム間で異なるのが一般的である。例えば、連携システムにおいて、フロントのポータルサブシステムや認証システムにより生成されるログには、ユーザを示すキーワードとなるユーザIDなどが明記されている。その一方で、個々の機能を処理するサブシステムにより生成されるログには、同じユーザIDが用いられることは稀であり、例えば、処理に係るトランザクションID、データに係るコンテンツID、プロセスに係るプロセスIDなど、異なるキーワードとしてログに記載されているケースが一般的である。
【0007】
例えば、連携システムにおけるトラブルの発生時には、連携システム内の一連の処理を把握する必要がある。このため、ヘルプデスク担当者は、各サブシステムで蓄積されたログを抽出して、その中身を分析し、各サブシステムで蓄積されたログに含まれている複数のキーワードの中から、同じユーザに対する処理を示すキーワード同士を相互に関連付けることにより、各サブシステムで実行された個々の処理の連結を試みる。しかしながら、各サブシステムにて用いられるキーワードが異なる場合に、同じユーザに対する処理を示すものであるか否かを判定することは、ヘルプデスク担当者にとって困難を極める作業である。例えば、ヘルプデスク担当者は、サブシステムごとに、どこにどんなログが存在し、サブシステムのログに記載された処理が一連の処理と関連しているかどうかを、キーワードを頼りに手繰ってゆくという非効率な作業を実施することとなる。
【0008】
なお、上述した従来技術(非特許文献1)は、異なるログ間で同一のキーワードを抽出するものとされているが、同一のユーザに関する処理に関し、異なるログ間で異なるキーワードを自動的、かつ効率的に関連付けるものではない。
【0009】
本発明は、上記に鑑みてなされたものであって、複数の情報処理装置が連携して実行される一連の処理において、情報処理装置の処理記録(ログ)の相互に関連付けることにより、各情報処理装置で実行された個々の処理の連携関係を効率的に把握させることが可能なログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するために、本発明は、複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムであって、前記情報処理装置は、前記一連の処理において実行した処理の情報を記述したログを処理記録として出力する出力部を有し、前記ログ解析装置は、前記複数の情報処理装置から出力される複数の前記ログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、前記抽出部により抽出された複数のキーワードを相互に関連付けて記憶部に格納する格納部とを有することを特徴とする。
【0011】
また、本発明は、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、前記抽出部により抽出されたキーワードを相互に関連付けて記憶部に格納する格納部とを有することを特徴とする。
【0012】
また、本発明は、複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムで実行されるログ解析方法であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップとを含むことを特徴とする。
【0013】
また、本発明は、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置が実行するログ解析方法であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップとを含むことを特徴とする。
【0014】
また、本発明は、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置に実行させるためのログ解析プログラムであって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出手順と、前記抽出手順により抽出されたキーワードを相互に関連付けて記憶部に格納する格納手順とを実行させることを特徴とする。
【発明の効果】
【0015】
本発明によれば、複数の情報処理装置が連携して実行される一連の処理において、情報処理装置の処理記録(ログ)の相互に関連付けることにより、各情報処理装置で実行された個々の処理の連携関係を効率的に把握させることができる。
【図面の簡単な説明】
【0016】
【図1】図1は、実施例1に係るログ解析システムの構成を示す機能ブロック図である。
【図2】図2は、PKIシステムにおいて実行される処理の流れを示す図である。
【図3】図3は、ポータルサーバから出力される利用者のアクセスログデータの一例を示す図である。
【図4】図4は、RAサーバから出力される証明書発行・失効申請ログデータの一例を示す図である。
【図5】図5は、CAサーバから出力される証明書発行・失効ログデータの一例を示す図である。
【図6】図6は、リポジトリサーバから出力される証明書登録ログデータの一例を示す図である。
【図7】図7は、キーワード関連表に記述される情報の一例を示す図である。
【図8】図8は、キーワード‐ログ関連表に記述される情報の一例を示す図である。
【図9】図9は、時刻近傍設定表に記述される情報の一例を示す図である。
【図10】図10は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【図11】図11は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【図12】図12は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【図13】図13は、実施例で説明した処理と同様の機能を実現させるためのプログラムを実行するコンピュータの一例を示す図である。
【発明を実施するための形態】
【0017】
以下に、図面を参照しつつ、本願にかかるログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムの実施例を説明する。後述する各実施例は一実施形態にすぎず、本願にかかるログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムの実施形態を限定するものではない。また、後述する各実施例は処理内容に矛盾を生じさせない範囲で適宜組み合わせることもできる。
【実施例1】
【0018】
[ログ解析装置の概要および特徴(実施例1)]
実施例1に係るログ解析システムの概要および特徴を説明する。実施例1に係るログ解析システムは、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析することを概要とする。そして、実施例1に係るログ解析システムは、複数の情報処理装置から、一連の処理の処理記録として出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出して相互に関連付ける点に主たる特徴がある。
【0019】
すなわち、実施例1に係るログ解析システムは、同一のユーザに関する一連の処理において個々のサブシステムで固有に割り振られた異なる表現のキーワードであっても、ログが記録されたタイミング(ログの記録時刻)が近いログ同士は相互に関連するものと見なすことにより、個々のサブシステムで固有に割り振られた異なる表現のキーワードを相互に関連付けることができ、各サブシステムで実行された個々の処理の連携関係を効率的に把握させることができる。
【0020】
[ログ解析システムの構成(実施例1)]
以下の実施例1では、各サブシステムの各々が連携して実行する一連の処理の一例として、あるユーザに対する電子証明書の発行や失効に関する処理を例に挙げて説明する。
【0021】
図1は、実施例1に係るログ解析システムの構成を示す機能ブロック図である。図1に示すように、実施例1に係るログ解析システムは、ログ解析装置1とディスク装置2とを含んで構成される。そして、実施例1に係るログ解析システムは、利用者31に対して電子証明書の発行などを行うPKI(Public Key Infrastructure)システム3を構成する複数のサブシステムから、サブシステムにより処理記録として生成されたログデータを取得して解析処理を実行する。
【0022】
PKIシステム3を構成する複数のサブシステムには、図1に示すように、ポータルサーバ32、RA(Registration Authority)サーバ33、CA(Certificate Authority)サーバ34およびリポジトリサーバ35がある。
【0023】
図1に示すログデータ群は、PKIシステム3を構成する複数のサブシステムにより生成されたログデータの集合である。「利用者のアクセスログデータ41」は、ポータルサーバ32により処理記録として生成され、出力される。「証明書の発行・失効申請ログデータ42」は、RAサーバ33により処理記録として生成され、出力される。「証明書発行・失効ログデータ43」は、CAサーバ34により処理記録として生成され、出力される。「証明書登録ログデータ44」は、リポジトリサーバ35により処理記録として生成され、出力される。
【0024】
ここで、図2を用いて、利用者31が電子証明書の発行または失効の操作を行った場合に、PKIシステム3において実行される処理の流れを説明する。図2は、PKIシステムにおいて実行される処理の流れを示す図である。利用者31が電子証明書の発行または失効の操作を行うと、以下に説明するように、PKIシステム3を構成する複数のサブシステムの各々が、電子証明書の発行または失効に関する処理を行い、処理を行うたびに処理の記録としてログを出力する。
【0025】
具体的には、図2に示すように、利用者31は、ポータルサーバ32に対して証明書発行操作を行う(S101)。証明書発行操作を受けたポータルサーバ32は、RAサーバ33に対して、利用者31についての証明書発行申請メッセージを送信する(S102)。なお、この証明書発行申請メッセージには、利用者31を識別するためのユーザIDが含まれる。例えば、ユーザIDは、「UserID=****(*は任意の数字)」で表現され、利用者ごとに固有のIDが付される。ここで、ポータルサーバ32は、ステップS102の処理を行った記録として、ユーザIDを含むログを、「アクセスログデータ41(図1参照)」に出力する。
【0026】
証明書発行申請メッセージを受けたRAサーバ33は、CAサーバ34に対して、証明書発行申請メッセージに含まれるユーザIDに対応する利用者についての証明書発行申請メッセージを送信する(ステップS103)。なお、この証明書発行申請メッセージには、利用者31に対して電子証明書の発行を行うための一連の処理を識別するための情報として、トランザクションIDが含まれる。トランザクションIDは、「TransactionID=****(*は任意の数字)」で表現され、一連の処理ごとに固有のIDが付与される。ここで、RAサーバ33は、ステップS103の処理を行った記録として、ユーザIDとトランザクションIDを含むログを「証明書発行・失効申請ログデータ42(図1参照)」に出力する。
【0027】
証明書発行申請メッセージを受けたCAサーバ34は、電子証明書を発行し、リポジトリサーバ35に対して、発行した電子証明書の登録申請メッセージを送信する(S104)。なお、この登録申請メッセージには、発行した電子証明書を識別するためのサーティフィケイトIDが含まれる。サーティフィケイトIDは、「CertificateID=**(*は任意の数字)」で表現され、電子証明書ごとに固有のIDが付与される。
【0028】
証明書登録申請メッセージを受けたリポジトリサーバ35は、電子証明書を登録し、CAサーバ34に対して、証明書登録完了通知メッセージを送信する(S105)。この証明書登録完了通知メッセージにはサーティフィケイトIDが含まれる。ここで、リポジトリサーバ35は、ステップS105の処理を行った記録として、サーティフィケイトIDを含むログを、「証明書登録ログデータ44(図1参照)」に出力する。
【0029】
証明書登録完了通知メッセージを受けたCAサーバ34は、RAサーバ33に対して、証明書発行完了通知メッセージを送信する(S106)。このメッセージ証明書発行完了通知には、トランザクションIDとサーティフィケイトIDが含まれる。ここで、CAサーバ34は、ステップS106の処理を行った記録として、トランザクションIDとサーティフィケイトIDを含むログを、「証明書発行・失効ログデータ43(図1参照)」に出力する。
【0030】
証明書発行完了通知メッセージを受けたRAサーバ33は、ポータルサーバ32に対して、証明書発行完了通知メッセージを送信する(S107)。この証明書発行完了通知メッセージには、ユーザIDが含まれる。RAサーバ33は、ステップS107の処理を行った記録として、ユーザIDとトランザクションIDを含むログを、「証明書発行・失効申請ログデータ42(図1参照)」に出力する。
【0031】
証明書発行完了通知メッセージを受けたポータルサーバ32は、利用者31に対して、電子証明書の発行が完了した旨を通知するメッセージを表示する(ステップS108)。ここで、ポータルサーバ32は、ステップS108の処理を行った記録として、ユーザIDを含むログを、「アクセスログデータ41(図1参照)」に出力する。
【0032】
PKIシステム3を構成するポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35の各々が連携して実行する個々の処理(ステップS101〜ステップS108)の集合が、利用者31の電子証明書の発行に関する一連の処理である。
【0033】
また、利用者31の電子証明書を失効する場合には、図2に示すステップS109〜ステップS116の処理が実行される。PKIシステム3を構成するポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35の各々が連携して実行する個々の処理(ステップS109〜ステップS116)の集合も、利用者31の電子証明書の発行の場合と同様に、利用者31の電子証明書の失効に関する一連の処理である。
【0034】
図3〜図6を用いて、PKIシステム3を構成するポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35の各々から、処理記録として出力されるログデータの一例を説明する。
【0035】
図3に、ポータルサーバ32から出力される利用者のアクセスログデータ41の一例を示す。図3は、ポータルサーバから出力される利用者のアクセスログデータの一例を示す図である。図3に示すように、アクセスログデータ41には、アクセスログデータの名称411(例えば、logA.txt)が付与され、ポータルサーバ32から処理が行われるたびに出力される個々のログが記録されている。例えば、図3に示すように、アクセスログデータ41には、電子証明書の発行操作を行う利用者31に固有のユーザID412(例えば、UserID=1111)、ポータルサーバ32からログが出力された時刻413(例えば、2011/03/07 12:11:10.640)、および[INFO(処理情報)](例えば、証明書発行開始)などが記録されている。
【0036】
例えば、ポータルサーバ32が、図2に示すステップS102の処理を行った記録として、「UserID=1111」を含むログを出力した場合には、例えば、logA.txtのアクセスログデータ41の1段目に、ユーザID412として「UserID=1111」、ログの出力時刻413として「2011/03/07 12:11:10.640」、[INFO(処理情報)]として「証明書発行開始」が記録される。また、ポータルサーバ32が、図2に示すステップS108の処理を行った記録として、「UserID=1111」を含むログを出力した場合には、logA.txtのアクセスログデータ41の2段目に、ユーザID412として「UserID=1111」、ログの出力時刻413として「2011/03/07 12:11:11.730」、[INFO(処理情報)]として「証明書発行完了」が記録される。RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログも、ポータルサーバ32から出力されるログと同様の方法により記録される。
【0037】
図4に、RAサーバ33から出力される証明書発行・失効申請ログデータ42の一例を示す。図4は、RAサーバから出力される証明書発行・失効申請ログデータの一例を示す図である。図4に示すように、証明書発行・失効申請ログデータ42には、証明書発行・失効申請ログデータの名称421(例えば、logB.txt)が付与され、RAサーバ33から処理が行われるたびに出力される個々のログが記録されている。例えば、図4に示すように、証明書発行・失効申請ログデータ42には、ポータルサーバ32から受けた証明書発行申請メッセージに含まれるユーザID422(例えば、UserID=1111)、利用者31に対して電子証明書の発行を行うための一連の処理を識別するためのトランザクションID423(例えば、TransactionID=13321)、RAサーバ33からログが出力された時刻424(例えば、2011/03/07 12:11:10.709)、および[INFO(処理情報)](例えば、証明書発行開始)などが記録されている。
【0038】
図5に、CAサーバ34から出力される証明書発行・失効ログデータ43の一例を示す。図5は、CAサーバから出力される証明書発行・失効ログデータの一例を示す図である。図5に示すように、証明書発行・失効ログデータ43には、証明書発行・失効ログデータの名称431(例えば、logC.txt)が付与され、CAサーバ34から処理が行われるたびに出力される個々のログが記録されている。例えば、図5に示すように、証明書発行・失効ログデータ43には、RAサーバ33から受けた証明書発行申請メッセージに含まれるトランザクションID432(例えば、TransactionID=13321)、CAサーバ34からログが出力された時刻433(例えば、2011/03/07 12:11:11.706)、および[INFO(処理情報)](例えば、証明書発行完了)などが記録されている。
【0039】
図6に、リポジトリサーバ35から出力される証明書登録ログデータ44の一例を示す。図6は、リポジトリサーバから出力される証明書登録ログデータの一例を示す図である。図6に示すように、証明書登録ログデータ44には、証明書登録ログデータの名称441(例えば、logD.txt)が付与され、リポジトリサーバ35から処理が行われるたびに出力される個々のログが記録されている。例えば、図6に示すように、証明書登録ログデータ44には、CAサーバ33から受けた証明書登録申請メッセージに含まれるサーティフィケイトID442(例えば、CertificateID=21)、リポジトリサーバ35からログが出力された時刻443(例えば、2011/03/07 12:11:11.100)、および[INFO(処理情報)](例えば、証明書発行完了)などが記録されている。
【0040】
図1に戻り、ディスク装置2には、キーワード関連表21およびキーワード‐ログ関連表22が格納される。
【0041】
キーワード関連表21には、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログに含まれるキーワードの関連情報が記述されている。図7に、キーワード関連表21に記述される情報の一例を示す。図7は、キーワード関連表に記述される情報の一例を示す図である。図7は、ログの中から、ユーザID、トランザクションIDおよびサーティフィケイトIDが抽出された場合のキーワード関連表21の記述例を示している。なお、キーワードとは、同一のユーザについて複数の情報処理装置が連携して実行する一連の処理において、個々の機能を処理する情報処理装置により処理記録として生成されるログに記述される情報であって、処理対象のユーザを識別するユーザID、一連の処理を識別するトランザクションID、処理データを識別するコンテンツID、処理のプロセスを識別するプロセスIDなどの情報である。
【0042】
図7に示すように、キーワード関連表21の左から1列目には「UserID」の値が記述され、2列目には「TransactionID」の値が記述され、3列目には「CertificateID」の値が記述される。そして、キーワード関連表21の各行に記述されている値は、後述するログ解析装置1により、一連の処理における相互に関連するキーワードとして、ログから抽出されたものである。例えば、図7に示す項目行の下、2行目に記述された「UserID=1111」と、「TransactionID=13321」と、「CertificateID=21」とは、一連の処理におけるキーワードとして相互に関連付けられたものである。
【0043】
図7に示すキーワード関連表21に記述されたキーワードの関連情報は、例えば、図4に示す証明書発行・失効申請ログデータ42(logB.txt)、図5に示す証明書発行・失効ログデータ43(logC.txt)、および図6に示す証明書登録ログデータ44(例えば、logD.txt)のそれぞれから抽出されたものである。例えば、同一の1個のログ、および、そのログに記載された時刻と近傍の時刻が記載されている他のログ内に含まれた複数のキーワードに関連があると見なす。このため、「UserID」および「TransactionID」が、同一の1個のログに含まれる証明書発行・失効申請ログデータ42(logB.txt)に記録された個々のログからは、ユーザID422とトランザクションID423との間の関連性を見出すことが可能である。また、証明書発行・失効申請ログデータ42(logB.txt)に記録された時刻が互いに近傍になっている(記録された時刻を含む所定時間内に記録された)証明書発行・失効ログデータ(例えば、logC.txt)、および証明書登録ログデータ(例えば、logD.txt)のそれぞれに記録された個々のログからは、トランザクションID432とサーティフィケイトID442との間の関連性を見出すことができる。さらに、これらの関連性を、キーワード関連表21の1つの行に記述することにより、ユーザID、トランザクションIDおよびサーティフィケイトIDの3つのキーワードを相互に関連付けている。
【0044】
具体的に説明すると、図4に示す証明書発行・失効申請ログデータ42(logB.txt)の1行目もしくは2行目のログ(図4に示す425)の各々には、1個のログに「UserID=1111」および「TransactionID=13321」の両方が含まれている。よって、「UserID=1111」と「TransactionID=13321」との間の関連を見出すことができる。また、図5に示す証明書発行・失効ログデータ43(logC.txt)の1行目のログ(図5に示す434)と、図6に示す証明書登録ログデータ44(例えば、logD.txt)の1行目のログ(図6に示す444)に記載された時刻が互いに近傍である。よって、図5に示す証明書発行・失効ログデータ43(logC.txt)の1行目のログに含まれる「TransactionID=13321」と、図6に示す証明書登録ログデータ44(例えば、logD.txt)の1行目のログに含まれる「CertificateID=21」との間に関連を見出すことができる。これにより、あるユーザに関する電子証明書の発行などの一連の処理において関連性の高いものとみなすことができるキーワードの管理が可能となる。一連の処理においては同一のトランザクションIDが付与される。よって、関連を検出した「UserID=1111」および「TransactionID=13321」のキーワード対と、関連を検出した「TransactionID=13321」および「CertificateID=21」のキーワード対とで、トランザクションIDが共通しているので、「UserID=1111」、「TransactionID=13321」および「CertificateID=21」を関連付けて1つの行に記述することが可能となり、それが、図7に示す2行目のレコード211である。
【0045】
キーワード‐ログ関連表22には、登録用キーワードと、このキーワードを含むログの位置情報(ログの格納場所を示すアドレスやURL、ログが記録されているファイル名やファイル先頭からの行数等)とが対応付けて記述されている。登録用キーワードとは、キーワード−ログ関連表に登録するログを検出するための基準となるキーワードであり、例えばUserIDなど検索者がログを検索するときにユーザを識別するために指定する情報である。例えば、図8に、キーワード‐ログ関連表22に記述される情報の一例を示す。図8は、キーワード‐ログ関連表に記述される情報の一例を示す図である。
【0046】
図8に示すように、キーワード‐ログ関連表22の左から1列目には、登録用キーワードとして設定された「UserID」の値が記述され、2列目にはログ位置情報の値が記述される。なお、図8では、ログ位置情報の値として、個々のログの位置情報を示すために、個々のログが含まれるログデータの名称及びログデータ内におけるログの行数が記述される場合を示している。
【0047】
また、図8に示すように、キーワード‐ログ関連表22の項目行の下、2行目以降の各行には、左列に記述された登録用キーワードに関連すると見なされたログの位置情報が右列に記述される。例えば、キーワード‐ログ関連表22の2行目(図8に示す221)の記述内容は、キーワード「UserID=1111」に関連すると見なされたログの位置情報が「logA.txt1」であることを示している。
【0048】
また、図8に示すキーワード‐ログ関連表22には、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログに基づいて、情報の記述が行われる。例えば、ログに登録用キーワードが含まれた場合には、その登録用キーワードとログに関連があると見なし、登録用キーワードとログの位置情報をキーワード‐ログ関連表22の同一の行に記述する。このため、登録用キーワードであるUserIDをログに含んでいる、図3に示すアクセスログデータ41(logA.txt)や、図4に示す証明書発行・失効申請ログデータ42(logB.txt)については、UserIDとログの位置情報の組をキーワード‐ログ関連表22の同一の行に記述する。
【0049】
なお、ログに、登録用キーワードでないキーワードが含まれている場合には、図7に示すキーワード関連表21を参照して、登録用キーワードでないキーワードに関連付けられている登録用キーワードを抽出し、その登録用キーワードとログの位置情報とをキーワード‐ログ関連表22の同一の行に記述する。このため、登録用キーワードであるUserIDをログに含んでいない図5に示す証明書発行・失効ログデータ43(logC.txt)や、図6に示す証明書登録ログデータ44(例えば、logD.txt)についても、UserIDとログの位置情報の組を、キーワード‐ログ関連表22の同一の行に記述することが可能である。登録用キーワードとログの位置情報の関連を1つの表(キーワード‐ログ関連表22)に記述することにより、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログデータに含まれる個々のログについて、その位置情報と登録用キーワードであるUserIDの関連を一元的に記録することができる。
【0050】
図1に戻り、ログ解析装置1は、キーワード関連表作成部11およびキーワード‐ログ関連表作成部12を有する。
【0051】
キーワード関連表作成部11は、複数のサブシステムから出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出し、関連付けてキーワード関連表21に登録する。
【0052】
具体的に説明すると、キーワード関連表作成部11は、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログデータ群(図3〜図6参照)、および時刻近傍設定表13を読み込み、ログデータ群に含まれる個々のログを検査する。例えば、検査対象ログに2つ以上の異なるキーワードが含まれる場合には、それら2つのキーワードを関連するものとして検査対象ログから抽出する。また、キーワード関連表作成部11は、検査対象ログに記載された時刻と近傍の時刻が記載されている他のログ内に、複数のキーワードが含まれている場合には、キーワード関連表作成部11は、それらのキーワードには関連性があると見なして、それらのキーワードを抽出する。例えば、キーワード関連表作成部11は、時刻近傍設定表13を参照し、検査対象ログが他ログ検索処理対象ログデータである場合には、他ログ検索処理対象ログデータについて近傍の時刻が記載されている他のログを検索し、他のログ内にキーワードが含まれている場合には、そのキーワードを抽出する。そして、キーワード関連表作成部11は、検査対象ログから抽出したキーワードと、検査対象ログ以外の他ログから抽出したキーワードとを関連付けてキーワード関連表21に登録する。なお、キーワード関連表作成部11は、検査対象ログが他ログ検索処理対象ログデータではない場合、検査対象ログから抽出した2つ以上の異なるキーワードのみを、関連付けてキーワード関連表21に登録する。なお、キーワード関連表作成部11は、ログからキーワードを抽出する場合には、当該ログの文字コードを特定の文字コード(unicodeなど)に変換し、キーワードの文字コードに一致するものを抽出したり、固定形式を持つログからは予め定めた先頭からの相対バイト数分の文字コードをキーワードとして抽出したり、構造化されたログメッセージからは予め定めた正規化構文に則って分解した文字列をキーワードとして抽出したりする。
【0053】
図9に、時刻近傍設定表13に記述される情報の一例を示す。図9は、時刻近傍設定表の記述される情報の一例を示す図である。図9に示すように、時刻近傍設定表13には、処理対象ログデータ名、検索対象ログデータ名および時刻近傍範囲が記述される。
【0054】
図9に示す時刻近傍設定表13の左から1列目(131)には、時刻近傍の他ログ検索処理の対象となるログデータ名が処理対象ログデータ名として記述され、左から2列目(132)には、処理対象のログが含まれるログデータとは別のログデータ名が検索対象ログデータ名として記述され、左から3列目(133)には他ログ検索処理時の近傍な範囲についての具体的な数値が時刻近傍範囲として記述される。例えば、時刻近傍設定表13の行目(図9の134)には、処理対象ログデータ名の値として、図5に示す証明書発行・失効ログデータ43の名称「logC.txt」が記述され、検索対象ログデータ名の値として、図6に示す証明書登録ログデータ44の名称「logD.txt」が記述され、時刻近傍範囲の値として「過去1.0秒、未来0.0秒」が記述される。なお、時刻近傍範囲の値は、処理対象ログデータ名に記述された検査対象ログに含まれる時刻を基点とした時間を示している。また、時刻近傍設定表13については、ログ解析装置1の管理者が、各ログデータの個々のログに含まれるキーワードや時刻の関連を勘案したうえで決定し、各処理を行う前にあらかじめ記述しておくものである。
【0055】
キーワード‐ログ関連表作成部12は、ログデータ群4(図1、図3〜図6参照)に含まれるキーワードと、キーワードを含むログをサブシステムに蓄積されているログの中から引き当てるために必要な情報とを、対応付けてキーワード‐ログ関連表22に登録する。
【0056】
具体的に説明すると、キーワード‐ログ関連表作成部12には、登録用キーワード種別が予め設定されている。そして、キーワード‐ログ関連表作成部12は、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログデータ群4(図1、図3〜図6参照)を読み込み、ログデータ群に含まれる個々のログを検査する。例えば、個々のログについて、登録用キーワードに該当するキーワードが含まれている場合には、キーワード‐ログ関連表作成部12は、そのキーワードとログの位置情報を一組としてキーワード‐ログ関連表22に登録する。一方、登録用キーワードとは異なるキーワードが含まれている場合には、キーワード‐ログ関連表作成部12は、キーワード関連表21を参照して、登録用キーワードでないキーワードに関連付けられている登録用キーワードを抽出し、抽出した登録用キーワードと検査対象ログの位置情報を一組としてキーワード‐ログ関連表22に登録する。
【0057】
[ログ解析システムによる処理(実施例1)]
図10〜図12を用いて、実施例1に係るログ解析システムによる処理の流れを説明する。図10〜図12は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【0058】
(処理全体)
まず、図10を用いて、実施例1に係るログ解析システムによる処理全体の流れを説明する。
【0059】
図10に示すように、ログ解析装置1は、ログデータ群4(図1、図3〜図6)を読み込む(S201)。続いて、キーワード関連表作成部11は、ステップS201にて読み込んだログデータ群4について、キーワード関連表21を作成するキーワード関連表作成処理を実行する(S202)。続いて、キーワード‐ログ関連表作成部12が、ステップS201にて読み込んだログデータ群4について、キーワード‐ログ関連表22を作成するキーワード‐ログ関連表作成処理を実行し(S203)、処理を終了する。
【0060】
(キーワード関連表作成処理)
次に、図11を用いて、図10のステップS202に示すキーワード関連表作成処理の流れを詳細に説明する。
【0061】
図11に示すように、キーワード関連表作成部11は、時刻近傍設定表13を読み込み(S301)、ログデータ群4を読み込む(S302)。続いて、キーワード関連表作成部11は、ログデータ群4の中から、検査対象とする検査対象ログを一つ抽出し(S303)、検査対象ログに含まれるキーワードの数が1個以上含まれているか否かを判定する(S304)。例えば、図5に示す証明書発行・失効ログデータ43(logC.txt)から1行目のログ(434)を検査対象として抽出した場合には、このログの中にキーワードが1個以上含まれているか否かを判定する。
【0062】
判定の結果、検査対象ログの中にキーワードが1個以上含まれている場合には(S304、Yes)、キーワード関連表作成部11は、続いて、時刻近傍設定表13を参照して、検査対象ログが時刻近傍の他ログ検索処理対象のログデータに含まれているか否かを判定する(S305)。ここで、時刻近傍の他ログ検索処理対象ログデータとは、検査対象ログに記載された時刻と検査対象ログが含まれるログデータとは別のログデータのログ(他ログ)に記載された時刻が近傍である場合に、検査対象ログに含まれるキーワードと他ログに含まれるキーワードが相互に関連すると見なすことができる種別のログデータであって、時刻が近傍である他ログ(時刻近傍の他ログ)の検索をかけるログデータのことである。
【0063】
他ログ検索処理対象のログデータは、時刻近傍設定表13の処理対象ログデータ名(131)の欄に予め設定されているので、キーワード関連表作成部11は、検査対象ログが時刻近傍設定表13の処理対象ログデータ名(131)の欄に設定されているログデータに含まれるかどうかを判定することにより、ステップS305の判定処理を実行する。例えば、図5に示す証明書発行・失効ログデータ43(logC.txt)から1行目のログ(434)を検査対象として抽出した場合、図9に示す時刻近傍設定表13の処理対象ログデータ名(131)の欄には「logC.txt」が設定されているので、検査対象ログが他ログ検索処理対象のログデータに含まれるものとする判定結果を出力することとなる。
【0064】
判定の結果、検査対象ログが時刻近傍の他ログ検索処理対象のログデータに含まれている場合には(S305、Yes)、キーワード関連表作成部11は、検査対象ログに記載された時刻に近傍な時刻を記載した他ログを抽出する処理を実行する(S306)。
【0065】
具体的に説明すると、キーワード関連表作成部11は、時刻近傍設定表13の検索対象ログデータ名(132)の欄に設定されているログデータを検索対象に据え、検査対象ログに含まれる時刻を基準として、時刻近傍設定表13に設定されている時刻近傍範囲内に含まれる時刻が記述されたログ(他ログ)を、検索対象に据えたログデータについて検索をかけることにより抽出する。例えば、図9に示す時刻近傍設定表13では、検索対象ログデータ名の欄に「logD.txt」が設定されているので、キーワード関連表作成部11は、図6に示す証明書登録ログデータ44(logD.txt)を検索対象に据える。そして、時刻近傍設定表13に設定されている時刻近傍範囲には「過去1.0秒、未来0.0秒」が設定されているので、キーワード関連表作成部11は、証明書発行・失効ログデータ43(logC.txt)から検査対象として抽出した、証明書発行・失効ログデータ43(logC.txt)の1行目のログ(434)に記述されている時刻「2011/03/07/12:11:11:706」を基準として、時刻近傍範囲である「過去1.0秒、未来0.0秒」の範囲内の時刻が記述された他ログを、証明書登録ログデータ44(logD.txt)に含まれるログの中から検索する。なお、検索対象に据えた、図6に示す証明書登録ログデータ44(logD.txt)の、1行目のログ(444)に記述された時刻「2011/03/07/12:11:11:100」が、検査対象ログである証明書発行・失効ログデータ43(logC.txt)の1行目のログ(434)に記述された時刻「2011/03/07/12:11:11:706」を基準として、「過去1.0秒、未来0.0秒」の時刻近傍範囲内にあるので、キーワード関連表作成部11は、検索対象に据えた、図6に示す証明書登録ログデータ44(logD.txt)の、1行目のログ(444)を他ログとして抽出する。
【0066】
続いて、キーワード関連表作成部11は、検査対象ログと、ステップS306で抽出した他ログのそれぞれから、ログに含まれるキーワードを抽出する(S307)。そして、キーワード関連表作成部11は、ステップS307の抽出の結果、2個以上のキーワードの組が抽出されたか否かを判定する(S308)。
【0067】
判定の結果、2個以上のキーワードの組が抽出された場合には(S307、Yes)、キーワード関連表作成部11は、続いて、ステップS307にて抽出された2個以上のキーワードの組が、ディスク装置2に格納されているキーワード関連表21に既に登録済みであるか否かを判定する(S309)。
【0068】
判定の結果、ステップS307にて抽出された2個以上のキーワードの組がキーワード関連表21に既に登録済みではない場合には(S309、No)、キーワード関連表作成部11は、ステップS307にて抽出された2個以上のキーワードを関連付けてキーワード関連表21に登録する(S310)。これとは反対に、判定の結果、ステップS307にて抽出された2個以上のキーワードの組がキーワード関連表21に既に登録済みである場合には(S309、Yes)、キーワード関連表作成部11は、ログデータ群4に含まれる全てのログを抽出しているか(ログデータ群に含まれる全てのログについて図11の処理を行ったか)否かを判定する(S311)。
【0069】
判定の結果、ログデータ群4に含まれる全てのログを抽出していない場合には(S311、No)、キーワード関連表作成部11は、上述したステップS303に戻り、ステップS303〜ステップS311までの処理を実行する。これとは反対に、判定の結果、ログデータ群4に含まれる全てのログを抽出している場合には(S311、Yes)、キーワード関連表作成部11は、キーワード関連表作成処理を終了する。
【0070】
上述したステップS308において、判定の結果、2個以上のキーワードの組が抽出さなかった場合には(S308、No)、キーワード関連表作成部11は、上述したステップS311の処理に移る。
【0071】
上述したステップS305において、判定の結果、検査対象ログが時刻近傍の他ログ検索処理対象のログデータに含まれていない場合には(S305、No)、キーワード関連表作成部11は、上述したステップS307の処理に移る。なお、ステップS307では、キーワード関連表作成部11は、検索対象ログのみからのキーワードの抽出を実行する。
【0072】
上述したステップS304において、判定の結果、検査対象ログの中にキーワードが1個以上含まれていない場合(キーワードが0個の場合)には(S304、No)、キーワード関連表作成部11は、上述したステップS311の処理に移る。
【0073】
(キーワード‐ログ関連表作成処理)
次に、図12を用いて、図10のステップS203に示すキーワード‐ログ関連表作成処理の流れを詳細に説明する。
【0074】
図12に示すように、キーワード‐ログ関連表作成部12は、ログデータ群4を読み込み(S401)、読み込んだログデータ群4からログを1個抽出する(S402)。続いて、キーワード‐ログ関連表作成部12は、抽出したログを検査し、ログ内に1個以上のキーワードが含まれているか否か判定する(S403)。なお、ステップS103において、抽出したログ内に1以上のキーワードが含まれているか否かを判定するのは、キーワードとログの関連情報を見出すためには、1個のログに1以上のキーワードが含まれている必要があるためである。
【0075】
判定の結果、ログ内に1個以上のキーワードが含まれている場合には(S403、Yes)、キーワード‐ログ関連表作成部12は、そのキーワードの中に、登録用キーワードが含まれているか否かを判定する(S404)。
【0076】
判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードの中に登録用キーワードが含まれていない場合には(S404、No)、キーワード‐ログ関連表作成部12は、キーワード関連表21を参照して、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致するキーワードが、キーワード関連表21に登録されているか否かを判定する(S405)。
【0077】
判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致するキーワードが、キーワード関連表21に登録されている場合には(S405、Yes)、キーワード‐ログ関連表作成部12は、キーワード関連表21を参照して、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致する、キーワード関連表21内のキーワードと、関連付けられている登録用キーワードをキーワード関連表21から抽出する(S406)。
【0078】
続いて、キーワード‐ログ関連表作成部12は、ステップS406においてキーワード関連表21内から抽出した登録用キーワードと、ステップS402において抽出したログの位置情報(ログの格納場所を示すアドレスやURL、ログが記録されているファイル名やファイル先頭からの行数等)の組を、関連付けてキーワード‐ログ関連表22に登録する(S407)。
【0079】
続いて、キーワード‐ログ関連表作成部12は、ログデータ群4に含まれる全てのログを抽出しているか(ログデータ群に含まれる全てのログについて図12の処理を行ったか)否かを判定する(S408)。
【0080】
判定の結果、ログデータ群4に含まれる全てのログを抽出していない場合には(S408、No)、キーワード‐ログ関連表作成部12は、上述したステップS402に戻り、ステップS402〜ステップS408までの処理を実行する。これとは反対に、判定の結果、ログデータ群4に含まれる全てのログを抽出している場合には(S408、Yes)、キーワード‐ログ関連表作成部12は、キーワード‐ログ関連表作成処理を終了する。
【0081】
上述したステップS405において、判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致するキーワードが、キーワード関連表21に登録されていない場合には(S405、No)、キーワード‐ログ関連表作成部12は、上述したステップS408の処理へ移る。
【0082】
上述したステップS404において、判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードの中に登録用キーワードが含まれている場合には(S404、Yes)、キーワード‐ログ関連表作成部12は、上述したステップS407の処理へ移る。
【0083】
上述したステップS403において、判定の結果、ログ内に1個以上のキーワードが含まれていない場合には(S403、No)、キーワード‐ログ関連表作成部12は、上述したステップS408の処理へ移る。
【0084】
[実施例1による効果]
上述してきたように、実施例1に係るログ解析システムでは、ログ解析装置1が、例えば、PKIシステム3を構成する、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35などの複数のサブシステムから、一連の処理の処理記録として出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出して相互に関連付ける。よって、実施例1に係るログ解析システムによれば、同一のユーザに関する一連の処理において個々のサブシステムで固有に割り振られた異なる表現のキーワードであっても、ログが記録されたタイミング(ログの記録時刻)が近いログ同士は相互に関連するものと見なすことにより、個々のサブシステムで固有に割り振られた異なる表現のキーワードを相互に関連付けることができる。例えば、同一のログ上で同一時刻に記載された処理結果に、「UserID=1111」、「TransactionID=13321」という2つのキーワード情報が存在し、かつ、ログに記載された時刻が互いに近傍(ある時間範囲内にある)異なるログ上に記載された処理結果に「TransactionID=13321」と、「CertificateID=21」、という2つのキーワード情報が存在する場合は、これらの3つのキーワードを、同じユーザに対する一連の処理の関する情報と判定し、参照できる結果としてキーワード関連表21(図7参照)に関連付けて登録する。よって、例えば、ヘルプデスク担当者が、キーワード関連表21を参照することにより、複数かつ異なる表現のキーワードが一連の処理に属することを把握でき、ある特定のログに記録されたキーワードが分かれば、キーワード関連表21を参照することにより、別のログで表現されたキーワードを引き当てることができる。つまり、あるログの記録には、「TransactionID=13321」のみが存在する場合であっても、キーワード関連表21を参照することにより、「UserID=1111」に関連した処理であることを突き止めることが可能である。このようなことから、実施例1によれば、各サブシステムで実行された個々の処理の連携関係を効率的に把握させることができる。
【0085】
また、実施例1では、キーワード‐ログ関連表22に、キーワード関連表21に登録したキーワードを含むログの位置情報(ログの格納場所を示すアドレスやURL、ログが記録されているファイル名やファイル先頭からの行数等)を対応付けて記録する。よって、例えば、ヘルプデスク担当者が、「UserID=1111」に関連する、他のサブシステムでの処理内容を調べる場合には、キーワード関連表21を参照して、「TransactionID=13321」を引き当て、続いて、キーワード‐ログ関連表22を参照して、「TransactionID=13321」が抽出されたログの位置を引き当てることができる。このように、実施例1によれば、一連の処理に属するキーワードと、キーワードが抽出されたログの位置情報とを一元的に管理することにより、一連の処理における処理内容が記述されたログに効率的に引き当てることもできる。
【実施例2】
【0086】
以下、本発明にかかるログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムのその他の実施形態として実施例2を説明する。
【0087】
(1)装置構成等
実施例1に係るログ解析システムの構成、例えば、図1に示すログ解析システムの各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。
【0088】
例えば、図1に示すログ解析システムにおけるキーワード関連表作成部11とキーワード‐ログ関連表作成部12とを、機能的または物理的に統合した構成としてもよい。また、図1に示すディスク装置2に格納されているキーワード関連表21およびキーワード‐ログ関連表22は、ログ解析装置1の内部に、機能的または物理的に統合された構成としてもよい。このように、図1に示すログ解析システムの各構成要素の分散または統合の具体的形態は、図1に示すものに限られず、各構成要素の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
【0089】
(2)ログ解析方法
実施例1に係るログ解析システムにより、以下のようなログ解析方法が実現される。
【0090】
すなわち、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置を有するログ解析システムで実行されるログ解析方法であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと(例えば、図11のS307など参照)、前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップと(例えば、図11のS310など参照)、を含むログ解析方法が実現される。
【0091】
(3)ログ解析装置に所定の手順を実行させるプログラム
また、上述の実施例で説明した各種の処理(例えば、図10〜図12など)は、パーソナルコンピュータやワークステーションなど、実施例1に係るログ解析システムにログ解析装置1として実装されるコンピュータに、上述の実施例で説明した各種の処理と同様の処理機能を実現するための手順(プロセス)を実行させるためのプログラムをインストールすることにより実現することもできる。
【0092】
そこで、以下では、図13を用いて、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の機能を実現するコンピュータの一例を説明する。図13は、上述の実施例で説明した処理と同様の機能を実現させるためのプログラムを実行するコンピュータの一例を示す図である。
【0093】
図13に示すように、ログ解析装置1として実装されるコンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、図13に示すように、ハードディスクドライブインタフェース1030と、光ディスクドライブインタフェース1040を有する。また、コンピュータ1000は、図13に示すように、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070を有する。そして、コンピュータ1000は、これらの各部1010〜1070をバス1080によって接続する。
【0094】
メモリ1010は、図13に示すように、ROM(Read Only Memory)及びRAM(Random Access Memory)を含む。ROMは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図13に示すように、ハードディスクドライブ1090に接続される。光ディスクドライブインタフェース1040は、図13に示すように、光ディスクドライブ1100に接続される。例えば、光ディスクドライブ1100には、光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050は、図13に示すように、例えば、マウス2000およびキーボード3000に接続される。ビデオアダプタ1060は、図13に示すように、例えば、ディスプレイ4000に接続される。
【0095】
ここで、図13に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。
【0096】
すなわち、上述したログ解析装置1と同様の機能を有するプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。つまり、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。このプログラムモジュールは、例えば、図1に示すログ解析装置1のキーワード関連表作成部11とキーワード‐ログ関連表作成部12などにより実行される手順(プロセス)に対応する。
【0097】
また、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールにより用いられるデータは、プログラムデータとして、例えばハードディスクドライブ1090に記憶される。例えば、このプログラムデータは、例えば、ディスク装置2に格納されているキーワード関連表21(図7参照)、キーワード‐ログ関連表(図8参照)、時刻近傍設定表13(図9参照)に記録されている各種データに対応する。
【0098】
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAMに読み出し、上述の実施例で説明した各種の処理(例えば、図10〜図12など)を実現するための手順を実行する。
【0099】
なお、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られるものではなく、例えば、着脱可能な記憶媒体である光ディスクドライブ1100等に記憶されていてもよい。この場合には、CPU1020が、光ディスクドライブ1100を介して、ログ解析装置1と同様の機能を有するプログラムモジュールやプログラムデータを読み出す。
【0100】
あるいは、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)など)を介して接続された他のコンピュータに記憶されていてもよい。この場合には、CPU1020が、ネットワークインタフェース1070を介して、ログ解析装置1と同様の機能を有するプログラムモジュールやプログラムデータを他のコンピュータから読み出す。
【0101】
なお、プログラムによりCPU1020が動作して各種処理を行う代わりに、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの電子回路を用いて処理を行うこともできる。また、メモリ1010として、フラッシュメモリ(flash memory)などを用いることもできる。
【符号の説明】
【0102】
1 ログ解析装置
2 ディスク装置
3 PKIシステム
31 利用者
32 ポータルサーバ
33 RA(Registration Authority)サーバ
34 CA(Certificate Authority)サーバ
35 リポジトリサーバ
1000 コンピュータ
1010 メモリ
1020 CPU
1030 ハードディスクドライブインタフェース
1040 光ディスクドライブインタフェース
1050 シリアルポートインタフェース
1060 ビデオアダプタ
1070 ネットワークインタフェース
1080 バス
1090 ハードディスクドライブ
1100 光ディスクドライブ
2000 マウス
3000 キーボード
4000 ディスプレイ
【技術分野】
【0001】
本発明は、ログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムに関する。
【背景技術】
【0002】
従来のWebシステムや、近年注目を浴びているクラウド上のコンピュータシステムでは、個々のサブシステムが連携して1つの処理が実行される。例えば、ファイル共有システム等では、ポータルサブシステム、認証サブシステム、アクセス解析サブシステム、ファイル蓄積サブシステムなど、各々が別個の役割を担うサブシステムが連携動作して、1つの処理が実行される。
【0003】
ところで、コンピュータシステムにおいて処理のトラブルなどが発生した場合には、システム内部に蓄積される処理記録(ログ)の解析が一般的に行われる。上述したWebシステムやクラウド上のコンピュータシステムなどのように、個々のサブシステムが連携して1つの処理が実行されるシステム(以下、連携システムと記載する)も同様であり、トラブル対応のシーンでは、該当ユーザの処理状況を把握するために、ヘルプデスク担当者が、各サブシステムが生成した処理記録の分析を行う。例えば、処理記録として各サブシステムの内部に蓄積されるログをそれぞれ解析することにより、該当ユーザに関する処理がどこまで実施されたか、該当ユーザに関する処理が成功したか、該当ユーザに関する処理において、どのサブシステムが問題だったのかなど、故障の切り分けを実施する。
【0004】
なお、コンピュータシステム内に蓄積されるログ管理の技術として、例えば、異なるログ間で同一のキーワードを抽出する仕組みなどもある(非特許文献1参照)。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】「Logstorage Ver.4のご紹介」、[Online]、[平成23年10月21日検索]、インターネット(URL:http://www.logstorage.com/pdf/logstorage_Intro.pdf)
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、連携システムでは、各サブシステムにおいて固有のログが生成され、各サブシステムで扱うユーザの処理を識別するキーワードもサブシステム間で異なるのが一般的である。例えば、連携システムにおいて、フロントのポータルサブシステムや認証システムにより生成されるログには、ユーザを示すキーワードとなるユーザIDなどが明記されている。その一方で、個々の機能を処理するサブシステムにより生成されるログには、同じユーザIDが用いられることは稀であり、例えば、処理に係るトランザクションID、データに係るコンテンツID、プロセスに係るプロセスIDなど、異なるキーワードとしてログに記載されているケースが一般的である。
【0007】
例えば、連携システムにおけるトラブルの発生時には、連携システム内の一連の処理を把握する必要がある。このため、ヘルプデスク担当者は、各サブシステムで蓄積されたログを抽出して、その中身を分析し、各サブシステムで蓄積されたログに含まれている複数のキーワードの中から、同じユーザに対する処理を示すキーワード同士を相互に関連付けることにより、各サブシステムで実行された個々の処理の連結を試みる。しかしながら、各サブシステムにて用いられるキーワードが異なる場合に、同じユーザに対する処理を示すものであるか否かを判定することは、ヘルプデスク担当者にとって困難を極める作業である。例えば、ヘルプデスク担当者は、サブシステムごとに、どこにどんなログが存在し、サブシステムのログに記載された処理が一連の処理と関連しているかどうかを、キーワードを頼りに手繰ってゆくという非効率な作業を実施することとなる。
【0008】
なお、上述した従来技術(非特許文献1)は、異なるログ間で同一のキーワードを抽出するものとされているが、同一のユーザに関する処理に関し、異なるログ間で異なるキーワードを自動的、かつ効率的に関連付けるものではない。
【0009】
本発明は、上記に鑑みてなされたものであって、複数の情報処理装置が連携して実行される一連の処理において、情報処理装置の処理記録(ログ)の相互に関連付けることにより、各情報処理装置で実行された個々の処理の連携関係を効率的に把握させることが可能なログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するために、本発明は、複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムであって、前記情報処理装置は、前記一連の処理において実行した処理の情報を記述したログを処理記録として出力する出力部を有し、前記ログ解析装置は、前記複数の情報処理装置から出力される複数の前記ログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、前記抽出部により抽出された複数のキーワードを相互に関連付けて記憶部に格納する格納部とを有することを特徴とする。
【0011】
また、本発明は、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、前記抽出部により抽出されたキーワードを相互に関連付けて記憶部に格納する格納部とを有することを特徴とする。
【0012】
また、本発明は、複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムで実行されるログ解析方法であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップとを含むことを特徴とする。
【0013】
また、本発明は、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置が実行するログ解析方法であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップとを含むことを特徴とする。
【0014】
また、本発明は、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置に実行させるためのログ解析プログラムであって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出手順と、前記抽出手順により抽出されたキーワードを相互に関連付けて記憶部に格納する格納手順とを実行させることを特徴とする。
【発明の効果】
【0015】
本発明によれば、複数の情報処理装置が連携して実行される一連の処理において、情報処理装置の処理記録(ログ)の相互に関連付けることにより、各情報処理装置で実行された個々の処理の連携関係を効率的に把握させることができる。
【図面の簡単な説明】
【0016】
【図1】図1は、実施例1に係るログ解析システムの構成を示す機能ブロック図である。
【図2】図2は、PKIシステムにおいて実行される処理の流れを示す図である。
【図3】図3は、ポータルサーバから出力される利用者のアクセスログデータの一例を示す図である。
【図4】図4は、RAサーバから出力される証明書発行・失効申請ログデータの一例を示す図である。
【図5】図5は、CAサーバから出力される証明書発行・失効ログデータの一例を示す図である。
【図6】図6は、リポジトリサーバから出力される証明書登録ログデータの一例を示す図である。
【図7】図7は、キーワード関連表に記述される情報の一例を示す図である。
【図8】図8は、キーワード‐ログ関連表に記述される情報の一例を示す図である。
【図9】図9は、時刻近傍設定表に記述される情報の一例を示す図である。
【図10】図10は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【図11】図11は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【図12】図12は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【図13】図13は、実施例で説明した処理と同様の機能を実現させるためのプログラムを実行するコンピュータの一例を示す図である。
【発明を実施するための形態】
【0017】
以下に、図面を参照しつつ、本願にかかるログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムの実施例を説明する。後述する各実施例は一実施形態にすぎず、本願にかかるログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムの実施形態を限定するものではない。また、後述する各実施例は処理内容に矛盾を生じさせない範囲で適宜組み合わせることもできる。
【実施例1】
【0018】
[ログ解析装置の概要および特徴(実施例1)]
実施例1に係るログ解析システムの概要および特徴を説明する。実施例1に係るログ解析システムは、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析することを概要とする。そして、実施例1に係るログ解析システムは、複数の情報処理装置から、一連の処理の処理記録として出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出して相互に関連付ける点に主たる特徴がある。
【0019】
すなわち、実施例1に係るログ解析システムは、同一のユーザに関する一連の処理において個々のサブシステムで固有に割り振られた異なる表現のキーワードであっても、ログが記録されたタイミング(ログの記録時刻)が近いログ同士は相互に関連するものと見なすことにより、個々のサブシステムで固有に割り振られた異なる表現のキーワードを相互に関連付けることができ、各サブシステムで実行された個々の処理の連携関係を効率的に把握させることができる。
【0020】
[ログ解析システムの構成(実施例1)]
以下の実施例1では、各サブシステムの各々が連携して実行する一連の処理の一例として、あるユーザに対する電子証明書の発行や失効に関する処理を例に挙げて説明する。
【0021】
図1は、実施例1に係るログ解析システムの構成を示す機能ブロック図である。図1に示すように、実施例1に係るログ解析システムは、ログ解析装置1とディスク装置2とを含んで構成される。そして、実施例1に係るログ解析システムは、利用者31に対して電子証明書の発行などを行うPKI(Public Key Infrastructure)システム3を構成する複数のサブシステムから、サブシステムにより処理記録として生成されたログデータを取得して解析処理を実行する。
【0022】
PKIシステム3を構成する複数のサブシステムには、図1に示すように、ポータルサーバ32、RA(Registration Authority)サーバ33、CA(Certificate Authority)サーバ34およびリポジトリサーバ35がある。
【0023】
図1に示すログデータ群は、PKIシステム3を構成する複数のサブシステムにより生成されたログデータの集合である。「利用者のアクセスログデータ41」は、ポータルサーバ32により処理記録として生成され、出力される。「証明書の発行・失効申請ログデータ42」は、RAサーバ33により処理記録として生成され、出力される。「証明書発行・失効ログデータ43」は、CAサーバ34により処理記録として生成され、出力される。「証明書登録ログデータ44」は、リポジトリサーバ35により処理記録として生成され、出力される。
【0024】
ここで、図2を用いて、利用者31が電子証明書の発行または失効の操作を行った場合に、PKIシステム3において実行される処理の流れを説明する。図2は、PKIシステムにおいて実行される処理の流れを示す図である。利用者31が電子証明書の発行または失効の操作を行うと、以下に説明するように、PKIシステム3を構成する複数のサブシステムの各々が、電子証明書の発行または失効に関する処理を行い、処理を行うたびに処理の記録としてログを出力する。
【0025】
具体的には、図2に示すように、利用者31は、ポータルサーバ32に対して証明書発行操作を行う(S101)。証明書発行操作を受けたポータルサーバ32は、RAサーバ33に対して、利用者31についての証明書発行申請メッセージを送信する(S102)。なお、この証明書発行申請メッセージには、利用者31を識別するためのユーザIDが含まれる。例えば、ユーザIDは、「UserID=****(*は任意の数字)」で表現され、利用者ごとに固有のIDが付される。ここで、ポータルサーバ32は、ステップS102の処理を行った記録として、ユーザIDを含むログを、「アクセスログデータ41(図1参照)」に出力する。
【0026】
証明書発行申請メッセージを受けたRAサーバ33は、CAサーバ34に対して、証明書発行申請メッセージに含まれるユーザIDに対応する利用者についての証明書発行申請メッセージを送信する(ステップS103)。なお、この証明書発行申請メッセージには、利用者31に対して電子証明書の発行を行うための一連の処理を識別するための情報として、トランザクションIDが含まれる。トランザクションIDは、「TransactionID=****(*は任意の数字)」で表現され、一連の処理ごとに固有のIDが付与される。ここで、RAサーバ33は、ステップS103の処理を行った記録として、ユーザIDとトランザクションIDを含むログを「証明書発行・失効申請ログデータ42(図1参照)」に出力する。
【0027】
証明書発行申請メッセージを受けたCAサーバ34は、電子証明書を発行し、リポジトリサーバ35に対して、発行した電子証明書の登録申請メッセージを送信する(S104)。なお、この登録申請メッセージには、発行した電子証明書を識別するためのサーティフィケイトIDが含まれる。サーティフィケイトIDは、「CertificateID=**(*は任意の数字)」で表現され、電子証明書ごとに固有のIDが付与される。
【0028】
証明書登録申請メッセージを受けたリポジトリサーバ35は、電子証明書を登録し、CAサーバ34に対して、証明書登録完了通知メッセージを送信する(S105)。この証明書登録完了通知メッセージにはサーティフィケイトIDが含まれる。ここで、リポジトリサーバ35は、ステップS105の処理を行った記録として、サーティフィケイトIDを含むログを、「証明書登録ログデータ44(図1参照)」に出力する。
【0029】
証明書登録完了通知メッセージを受けたCAサーバ34は、RAサーバ33に対して、証明書発行完了通知メッセージを送信する(S106)。このメッセージ証明書発行完了通知には、トランザクションIDとサーティフィケイトIDが含まれる。ここで、CAサーバ34は、ステップS106の処理を行った記録として、トランザクションIDとサーティフィケイトIDを含むログを、「証明書発行・失効ログデータ43(図1参照)」に出力する。
【0030】
証明書発行完了通知メッセージを受けたRAサーバ33は、ポータルサーバ32に対して、証明書発行完了通知メッセージを送信する(S107)。この証明書発行完了通知メッセージには、ユーザIDが含まれる。RAサーバ33は、ステップS107の処理を行った記録として、ユーザIDとトランザクションIDを含むログを、「証明書発行・失効申請ログデータ42(図1参照)」に出力する。
【0031】
証明書発行完了通知メッセージを受けたポータルサーバ32は、利用者31に対して、電子証明書の発行が完了した旨を通知するメッセージを表示する(ステップS108)。ここで、ポータルサーバ32は、ステップS108の処理を行った記録として、ユーザIDを含むログを、「アクセスログデータ41(図1参照)」に出力する。
【0032】
PKIシステム3を構成するポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35の各々が連携して実行する個々の処理(ステップS101〜ステップS108)の集合が、利用者31の電子証明書の発行に関する一連の処理である。
【0033】
また、利用者31の電子証明書を失効する場合には、図2に示すステップS109〜ステップS116の処理が実行される。PKIシステム3を構成するポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35の各々が連携して実行する個々の処理(ステップS109〜ステップS116)の集合も、利用者31の電子証明書の発行の場合と同様に、利用者31の電子証明書の失効に関する一連の処理である。
【0034】
図3〜図6を用いて、PKIシステム3を構成するポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35の各々から、処理記録として出力されるログデータの一例を説明する。
【0035】
図3に、ポータルサーバ32から出力される利用者のアクセスログデータ41の一例を示す。図3は、ポータルサーバから出力される利用者のアクセスログデータの一例を示す図である。図3に示すように、アクセスログデータ41には、アクセスログデータの名称411(例えば、logA.txt)が付与され、ポータルサーバ32から処理が行われるたびに出力される個々のログが記録されている。例えば、図3に示すように、アクセスログデータ41には、電子証明書の発行操作を行う利用者31に固有のユーザID412(例えば、UserID=1111)、ポータルサーバ32からログが出力された時刻413(例えば、2011/03/07 12:11:10.640)、および[INFO(処理情報)](例えば、証明書発行開始)などが記録されている。
【0036】
例えば、ポータルサーバ32が、図2に示すステップS102の処理を行った記録として、「UserID=1111」を含むログを出力した場合には、例えば、logA.txtのアクセスログデータ41の1段目に、ユーザID412として「UserID=1111」、ログの出力時刻413として「2011/03/07 12:11:10.640」、[INFO(処理情報)]として「証明書発行開始」が記録される。また、ポータルサーバ32が、図2に示すステップS108の処理を行った記録として、「UserID=1111」を含むログを出力した場合には、logA.txtのアクセスログデータ41の2段目に、ユーザID412として「UserID=1111」、ログの出力時刻413として「2011/03/07 12:11:11.730」、[INFO(処理情報)]として「証明書発行完了」が記録される。RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログも、ポータルサーバ32から出力されるログと同様の方法により記録される。
【0037】
図4に、RAサーバ33から出力される証明書発行・失効申請ログデータ42の一例を示す。図4は、RAサーバから出力される証明書発行・失効申請ログデータの一例を示す図である。図4に示すように、証明書発行・失効申請ログデータ42には、証明書発行・失効申請ログデータの名称421(例えば、logB.txt)が付与され、RAサーバ33から処理が行われるたびに出力される個々のログが記録されている。例えば、図4に示すように、証明書発行・失効申請ログデータ42には、ポータルサーバ32から受けた証明書発行申請メッセージに含まれるユーザID422(例えば、UserID=1111)、利用者31に対して電子証明書の発行を行うための一連の処理を識別するためのトランザクションID423(例えば、TransactionID=13321)、RAサーバ33からログが出力された時刻424(例えば、2011/03/07 12:11:10.709)、および[INFO(処理情報)](例えば、証明書発行開始)などが記録されている。
【0038】
図5に、CAサーバ34から出力される証明書発行・失効ログデータ43の一例を示す。図5は、CAサーバから出力される証明書発行・失効ログデータの一例を示す図である。図5に示すように、証明書発行・失効ログデータ43には、証明書発行・失効ログデータの名称431(例えば、logC.txt)が付与され、CAサーバ34から処理が行われるたびに出力される個々のログが記録されている。例えば、図5に示すように、証明書発行・失効ログデータ43には、RAサーバ33から受けた証明書発行申請メッセージに含まれるトランザクションID432(例えば、TransactionID=13321)、CAサーバ34からログが出力された時刻433(例えば、2011/03/07 12:11:11.706)、および[INFO(処理情報)](例えば、証明書発行完了)などが記録されている。
【0039】
図6に、リポジトリサーバ35から出力される証明書登録ログデータ44の一例を示す。図6は、リポジトリサーバから出力される証明書登録ログデータの一例を示す図である。図6に示すように、証明書登録ログデータ44には、証明書登録ログデータの名称441(例えば、logD.txt)が付与され、リポジトリサーバ35から処理が行われるたびに出力される個々のログが記録されている。例えば、図6に示すように、証明書登録ログデータ44には、CAサーバ33から受けた証明書登録申請メッセージに含まれるサーティフィケイトID442(例えば、CertificateID=21)、リポジトリサーバ35からログが出力された時刻443(例えば、2011/03/07 12:11:11.100)、および[INFO(処理情報)](例えば、証明書発行完了)などが記録されている。
【0040】
図1に戻り、ディスク装置2には、キーワード関連表21およびキーワード‐ログ関連表22が格納される。
【0041】
キーワード関連表21には、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログに含まれるキーワードの関連情報が記述されている。図7に、キーワード関連表21に記述される情報の一例を示す。図7は、キーワード関連表に記述される情報の一例を示す図である。図7は、ログの中から、ユーザID、トランザクションIDおよびサーティフィケイトIDが抽出された場合のキーワード関連表21の記述例を示している。なお、キーワードとは、同一のユーザについて複数の情報処理装置が連携して実行する一連の処理において、個々の機能を処理する情報処理装置により処理記録として生成されるログに記述される情報であって、処理対象のユーザを識別するユーザID、一連の処理を識別するトランザクションID、処理データを識別するコンテンツID、処理のプロセスを識別するプロセスIDなどの情報である。
【0042】
図7に示すように、キーワード関連表21の左から1列目には「UserID」の値が記述され、2列目には「TransactionID」の値が記述され、3列目には「CertificateID」の値が記述される。そして、キーワード関連表21の各行に記述されている値は、後述するログ解析装置1により、一連の処理における相互に関連するキーワードとして、ログから抽出されたものである。例えば、図7に示す項目行の下、2行目に記述された「UserID=1111」と、「TransactionID=13321」と、「CertificateID=21」とは、一連の処理におけるキーワードとして相互に関連付けられたものである。
【0043】
図7に示すキーワード関連表21に記述されたキーワードの関連情報は、例えば、図4に示す証明書発行・失効申請ログデータ42(logB.txt)、図5に示す証明書発行・失効ログデータ43(logC.txt)、および図6に示す証明書登録ログデータ44(例えば、logD.txt)のそれぞれから抽出されたものである。例えば、同一の1個のログ、および、そのログに記載された時刻と近傍の時刻が記載されている他のログ内に含まれた複数のキーワードに関連があると見なす。このため、「UserID」および「TransactionID」が、同一の1個のログに含まれる証明書発行・失効申請ログデータ42(logB.txt)に記録された個々のログからは、ユーザID422とトランザクションID423との間の関連性を見出すことが可能である。また、証明書発行・失効申請ログデータ42(logB.txt)に記録された時刻が互いに近傍になっている(記録された時刻を含む所定時間内に記録された)証明書発行・失効ログデータ(例えば、logC.txt)、および証明書登録ログデータ(例えば、logD.txt)のそれぞれに記録された個々のログからは、トランザクションID432とサーティフィケイトID442との間の関連性を見出すことができる。さらに、これらの関連性を、キーワード関連表21の1つの行に記述することにより、ユーザID、トランザクションIDおよびサーティフィケイトIDの3つのキーワードを相互に関連付けている。
【0044】
具体的に説明すると、図4に示す証明書発行・失効申請ログデータ42(logB.txt)の1行目もしくは2行目のログ(図4に示す425)の各々には、1個のログに「UserID=1111」および「TransactionID=13321」の両方が含まれている。よって、「UserID=1111」と「TransactionID=13321」との間の関連を見出すことができる。また、図5に示す証明書発行・失効ログデータ43(logC.txt)の1行目のログ(図5に示す434)と、図6に示す証明書登録ログデータ44(例えば、logD.txt)の1行目のログ(図6に示す444)に記載された時刻が互いに近傍である。よって、図5に示す証明書発行・失効ログデータ43(logC.txt)の1行目のログに含まれる「TransactionID=13321」と、図6に示す証明書登録ログデータ44(例えば、logD.txt)の1行目のログに含まれる「CertificateID=21」との間に関連を見出すことができる。これにより、あるユーザに関する電子証明書の発行などの一連の処理において関連性の高いものとみなすことができるキーワードの管理が可能となる。一連の処理においては同一のトランザクションIDが付与される。よって、関連を検出した「UserID=1111」および「TransactionID=13321」のキーワード対と、関連を検出した「TransactionID=13321」および「CertificateID=21」のキーワード対とで、トランザクションIDが共通しているので、「UserID=1111」、「TransactionID=13321」および「CertificateID=21」を関連付けて1つの行に記述することが可能となり、それが、図7に示す2行目のレコード211である。
【0045】
キーワード‐ログ関連表22には、登録用キーワードと、このキーワードを含むログの位置情報(ログの格納場所を示すアドレスやURL、ログが記録されているファイル名やファイル先頭からの行数等)とが対応付けて記述されている。登録用キーワードとは、キーワード−ログ関連表に登録するログを検出するための基準となるキーワードであり、例えばUserIDなど検索者がログを検索するときにユーザを識別するために指定する情報である。例えば、図8に、キーワード‐ログ関連表22に記述される情報の一例を示す。図8は、キーワード‐ログ関連表に記述される情報の一例を示す図である。
【0046】
図8に示すように、キーワード‐ログ関連表22の左から1列目には、登録用キーワードとして設定された「UserID」の値が記述され、2列目にはログ位置情報の値が記述される。なお、図8では、ログ位置情報の値として、個々のログの位置情報を示すために、個々のログが含まれるログデータの名称及びログデータ内におけるログの行数が記述される場合を示している。
【0047】
また、図8に示すように、キーワード‐ログ関連表22の項目行の下、2行目以降の各行には、左列に記述された登録用キーワードに関連すると見なされたログの位置情報が右列に記述される。例えば、キーワード‐ログ関連表22の2行目(図8に示す221)の記述内容は、キーワード「UserID=1111」に関連すると見なされたログの位置情報が「logA.txt1」であることを示している。
【0048】
また、図8に示すキーワード‐ログ関連表22には、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログに基づいて、情報の記述が行われる。例えば、ログに登録用キーワードが含まれた場合には、その登録用キーワードとログに関連があると見なし、登録用キーワードとログの位置情報をキーワード‐ログ関連表22の同一の行に記述する。このため、登録用キーワードであるUserIDをログに含んでいる、図3に示すアクセスログデータ41(logA.txt)や、図4に示す証明書発行・失効申請ログデータ42(logB.txt)については、UserIDとログの位置情報の組をキーワード‐ログ関連表22の同一の行に記述する。
【0049】
なお、ログに、登録用キーワードでないキーワードが含まれている場合には、図7に示すキーワード関連表21を参照して、登録用キーワードでないキーワードに関連付けられている登録用キーワードを抽出し、その登録用キーワードとログの位置情報とをキーワード‐ログ関連表22の同一の行に記述する。このため、登録用キーワードであるUserIDをログに含んでいない図5に示す証明書発行・失効ログデータ43(logC.txt)や、図6に示す証明書登録ログデータ44(例えば、logD.txt)についても、UserIDとログの位置情報の組を、キーワード‐ログ関連表22の同一の行に記述することが可能である。登録用キーワードとログの位置情報の関連を1つの表(キーワード‐ログ関連表22)に記述することにより、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログデータに含まれる個々のログについて、その位置情報と登録用キーワードであるUserIDの関連を一元的に記録することができる。
【0050】
図1に戻り、ログ解析装置1は、キーワード関連表作成部11およびキーワード‐ログ関連表作成部12を有する。
【0051】
キーワード関連表作成部11は、複数のサブシステムから出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出し、関連付けてキーワード関連表21に登録する。
【0052】
具体的に説明すると、キーワード関連表作成部11は、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログデータ群(図3〜図6参照)、および時刻近傍設定表13を読み込み、ログデータ群に含まれる個々のログを検査する。例えば、検査対象ログに2つ以上の異なるキーワードが含まれる場合には、それら2つのキーワードを関連するものとして検査対象ログから抽出する。また、キーワード関連表作成部11は、検査対象ログに記載された時刻と近傍の時刻が記載されている他のログ内に、複数のキーワードが含まれている場合には、キーワード関連表作成部11は、それらのキーワードには関連性があると見なして、それらのキーワードを抽出する。例えば、キーワード関連表作成部11は、時刻近傍設定表13を参照し、検査対象ログが他ログ検索処理対象ログデータである場合には、他ログ検索処理対象ログデータについて近傍の時刻が記載されている他のログを検索し、他のログ内にキーワードが含まれている場合には、そのキーワードを抽出する。そして、キーワード関連表作成部11は、検査対象ログから抽出したキーワードと、検査対象ログ以外の他ログから抽出したキーワードとを関連付けてキーワード関連表21に登録する。なお、キーワード関連表作成部11は、検査対象ログが他ログ検索処理対象ログデータではない場合、検査対象ログから抽出した2つ以上の異なるキーワードのみを、関連付けてキーワード関連表21に登録する。なお、キーワード関連表作成部11は、ログからキーワードを抽出する場合には、当該ログの文字コードを特定の文字コード(unicodeなど)に変換し、キーワードの文字コードに一致するものを抽出したり、固定形式を持つログからは予め定めた先頭からの相対バイト数分の文字コードをキーワードとして抽出したり、構造化されたログメッセージからは予め定めた正規化構文に則って分解した文字列をキーワードとして抽出したりする。
【0053】
図9に、時刻近傍設定表13に記述される情報の一例を示す。図9は、時刻近傍設定表の記述される情報の一例を示す図である。図9に示すように、時刻近傍設定表13には、処理対象ログデータ名、検索対象ログデータ名および時刻近傍範囲が記述される。
【0054】
図9に示す時刻近傍設定表13の左から1列目(131)には、時刻近傍の他ログ検索処理の対象となるログデータ名が処理対象ログデータ名として記述され、左から2列目(132)には、処理対象のログが含まれるログデータとは別のログデータ名が検索対象ログデータ名として記述され、左から3列目(133)には他ログ検索処理時の近傍な範囲についての具体的な数値が時刻近傍範囲として記述される。例えば、時刻近傍設定表13の行目(図9の134)には、処理対象ログデータ名の値として、図5に示す証明書発行・失効ログデータ43の名称「logC.txt」が記述され、検索対象ログデータ名の値として、図6に示す証明書登録ログデータ44の名称「logD.txt」が記述され、時刻近傍範囲の値として「過去1.0秒、未来0.0秒」が記述される。なお、時刻近傍範囲の値は、処理対象ログデータ名に記述された検査対象ログに含まれる時刻を基点とした時間を示している。また、時刻近傍設定表13については、ログ解析装置1の管理者が、各ログデータの個々のログに含まれるキーワードや時刻の関連を勘案したうえで決定し、各処理を行う前にあらかじめ記述しておくものである。
【0055】
キーワード‐ログ関連表作成部12は、ログデータ群4(図1、図3〜図6参照)に含まれるキーワードと、キーワードを含むログをサブシステムに蓄積されているログの中から引き当てるために必要な情報とを、対応付けてキーワード‐ログ関連表22に登録する。
【0056】
具体的に説明すると、キーワード‐ログ関連表作成部12には、登録用キーワード種別が予め設定されている。そして、キーワード‐ログ関連表作成部12は、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35から出力されるログデータ群4(図1、図3〜図6参照)を読み込み、ログデータ群に含まれる個々のログを検査する。例えば、個々のログについて、登録用キーワードに該当するキーワードが含まれている場合には、キーワード‐ログ関連表作成部12は、そのキーワードとログの位置情報を一組としてキーワード‐ログ関連表22に登録する。一方、登録用キーワードとは異なるキーワードが含まれている場合には、キーワード‐ログ関連表作成部12は、キーワード関連表21を参照して、登録用キーワードでないキーワードに関連付けられている登録用キーワードを抽出し、抽出した登録用キーワードと検査対象ログの位置情報を一組としてキーワード‐ログ関連表22に登録する。
【0057】
[ログ解析システムによる処理(実施例1)]
図10〜図12を用いて、実施例1に係るログ解析システムによる処理の流れを説明する。図10〜図12は、実施例1に係るログ解析システムによる処理の流れを示す図である。
【0058】
(処理全体)
まず、図10を用いて、実施例1に係るログ解析システムによる処理全体の流れを説明する。
【0059】
図10に示すように、ログ解析装置1は、ログデータ群4(図1、図3〜図6)を読み込む(S201)。続いて、キーワード関連表作成部11は、ステップS201にて読み込んだログデータ群4について、キーワード関連表21を作成するキーワード関連表作成処理を実行する(S202)。続いて、キーワード‐ログ関連表作成部12が、ステップS201にて読み込んだログデータ群4について、キーワード‐ログ関連表22を作成するキーワード‐ログ関連表作成処理を実行し(S203)、処理を終了する。
【0060】
(キーワード関連表作成処理)
次に、図11を用いて、図10のステップS202に示すキーワード関連表作成処理の流れを詳細に説明する。
【0061】
図11に示すように、キーワード関連表作成部11は、時刻近傍設定表13を読み込み(S301)、ログデータ群4を読み込む(S302)。続いて、キーワード関連表作成部11は、ログデータ群4の中から、検査対象とする検査対象ログを一つ抽出し(S303)、検査対象ログに含まれるキーワードの数が1個以上含まれているか否かを判定する(S304)。例えば、図5に示す証明書発行・失効ログデータ43(logC.txt)から1行目のログ(434)を検査対象として抽出した場合には、このログの中にキーワードが1個以上含まれているか否かを判定する。
【0062】
判定の結果、検査対象ログの中にキーワードが1個以上含まれている場合には(S304、Yes)、キーワード関連表作成部11は、続いて、時刻近傍設定表13を参照して、検査対象ログが時刻近傍の他ログ検索処理対象のログデータに含まれているか否かを判定する(S305)。ここで、時刻近傍の他ログ検索処理対象ログデータとは、検査対象ログに記載された時刻と検査対象ログが含まれるログデータとは別のログデータのログ(他ログ)に記載された時刻が近傍である場合に、検査対象ログに含まれるキーワードと他ログに含まれるキーワードが相互に関連すると見なすことができる種別のログデータであって、時刻が近傍である他ログ(時刻近傍の他ログ)の検索をかけるログデータのことである。
【0063】
他ログ検索処理対象のログデータは、時刻近傍設定表13の処理対象ログデータ名(131)の欄に予め設定されているので、キーワード関連表作成部11は、検査対象ログが時刻近傍設定表13の処理対象ログデータ名(131)の欄に設定されているログデータに含まれるかどうかを判定することにより、ステップS305の判定処理を実行する。例えば、図5に示す証明書発行・失効ログデータ43(logC.txt)から1行目のログ(434)を検査対象として抽出した場合、図9に示す時刻近傍設定表13の処理対象ログデータ名(131)の欄には「logC.txt」が設定されているので、検査対象ログが他ログ検索処理対象のログデータに含まれるものとする判定結果を出力することとなる。
【0064】
判定の結果、検査対象ログが時刻近傍の他ログ検索処理対象のログデータに含まれている場合には(S305、Yes)、キーワード関連表作成部11は、検査対象ログに記載された時刻に近傍な時刻を記載した他ログを抽出する処理を実行する(S306)。
【0065】
具体的に説明すると、キーワード関連表作成部11は、時刻近傍設定表13の検索対象ログデータ名(132)の欄に設定されているログデータを検索対象に据え、検査対象ログに含まれる時刻を基準として、時刻近傍設定表13に設定されている時刻近傍範囲内に含まれる時刻が記述されたログ(他ログ)を、検索対象に据えたログデータについて検索をかけることにより抽出する。例えば、図9に示す時刻近傍設定表13では、検索対象ログデータ名の欄に「logD.txt」が設定されているので、キーワード関連表作成部11は、図6に示す証明書登録ログデータ44(logD.txt)を検索対象に据える。そして、時刻近傍設定表13に設定されている時刻近傍範囲には「過去1.0秒、未来0.0秒」が設定されているので、キーワード関連表作成部11は、証明書発行・失効ログデータ43(logC.txt)から検査対象として抽出した、証明書発行・失効ログデータ43(logC.txt)の1行目のログ(434)に記述されている時刻「2011/03/07/12:11:11:706」を基準として、時刻近傍範囲である「過去1.0秒、未来0.0秒」の範囲内の時刻が記述された他ログを、証明書登録ログデータ44(logD.txt)に含まれるログの中から検索する。なお、検索対象に据えた、図6に示す証明書登録ログデータ44(logD.txt)の、1行目のログ(444)に記述された時刻「2011/03/07/12:11:11:100」が、検査対象ログである証明書発行・失効ログデータ43(logC.txt)の1行目のログ(434)に記述された時刻「2011/03/07/12:11:11:706」を基準として、「過去1.0秒、未来0.0秒」の時刻近傍範囲内にあるので、キーワード関連表作成部11は、検索対象に据えた、図6に示す証明書登録ログデータ44(logD.txt)の、1行目のログ(444)を他ログとして抽出する。
【0066】
続いて、キーワード関連表作成部11は、検査対象ログと、ステップS306で抽出した他ログのそれぞれから、ログに含まれるキーワードを抽出する(S307)。そして、キーワード関連表作成部11は、ステップS307の抽出の結果、2個以上のキーワードの組が抽出されたか否かを判定する(S308)。
【0067】
判定の結果、2個以上のキーワードの組が抽出された場合には(S307、Yes)、キーワード関連表作成部11は、続いて、ステップS307にて抽出された2個以上のキーワードの組が、ディスク装置2に格納されているキーワード関連表21に既に登録済みであるか否かを判定する(S309)。
【0068】
判定の結果、ステップS307にて抽出された2個以上のキーワードの組がキーワード関連表21に既に登録済みではない場合には(S309、No)、キーワード関連表作成部11は、ステップS307にて抽出された2個以上のキーワードを関連付けてキーワード関連表21に登録する(S310)。これとは反対に、判定の結果、ステップS307にて抽出された2個以上のキーワードの組がキーワード関連表21に既に登録済みである場合には(S309、Yes)、キーワード関連表作成部11は、ログデータ群4に含まれる全てのログを抽出しているか(ログデータ群に含まれる全てのログについて図11の処理を行ったか)否かを判定する(S311)。
【0069】
判定の結果、ログデータ群4に含まれる全てのログを抽出していない場合には(S311、No)、キーワード関連表作成部11は、上述したステップS303に戻り、ステップS303〜ステップS311までの処理を実行する。これとは反対に、判定の結果、ログデータ群4に含まれる全てのログを抽出している場合には(S311、Yes)、キーワード関連表作成部11は、キーワード関連表作成処理を終了する。
【0070】
上述したステップS308において、判定の結果、2個以上のキーワードの組が抽出さなかった場合には(S308、No)、キーワード関連表作成部11は、上述したステップS311の処理に移る。
【0071】
上述したステップS305において、判定の結果、検査対象ログが時刻近傍の他ログ検索処理対象のログデータに含まれていない場合には(S305、No)、キーワード関連表作成部11は、上述したステップS307の処理に移る。なお、ステップS307では、キーワード関連表作成部11は、検索対象ログのみからのキーワードの抽出を実行する。
【0072】
上述したステップS304において、判定の結果、検査対象ログの中にキーワードが1個以上含まれていない場合(キーワードが0個の場合)には(S304、No)、キーワード関連表作成部11は、上述したステップS311の処理に移る。
【0073】
(キーワード‐ログ関連表作成処理)
次に、図12を用いて、図10のステップS203に示すキーワード‐ログ関連表作成処理の流れを詳細に説明する。
【0074】
図12に示すように、キーワード‐ログ関連表作成部12は、ログデータ群4を読み込み(S401)、読み込んだログデータ群4からログを1個抽出する(S402)。続いて、キーワード‐ログ関連表作成部12は、抽出したログを検査し、ログ内に1個以上のキーワードが含まれているか否か判定する(S403)。なお、ステップS103において、抽出したログ内に1以上のキーワードが含まれているか否かを判定するのは、キーワードとログの関連情報を見出すためには、1個のログに1以上のキーワードが含まれている必要があるためである。
【0075】
判定の結果、ログ内に1個以上のキーワードが含まれている場合には(S403、Yes)、キーワード‐ログ関連表作成部12は、そのキーワードの中に、登録用キーワードが含まれているか否かを判定する(S404)。
【0076】
判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードの中に登録用キーワードが含まれていない場合には(S404、No)、キーワード‐ログ関連表作成部12は、キーワード関連表21を参照して、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致するキーワードが、キーワード関連表21に登録されているか否かを判定する(S405)。
【0077】
判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致するキーワードが、キーワード関連表21に登録されている場合には(S405、Yes)、キーワード‐ログ関連表作成部12は、キーワード関連表21を参照して、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致する、キーワード関連表21内のキーワードと、関連付けられている登録用キーワードをキーワード関連表21から抽出する(S406)。
【0078】
続いて、キーワード‐ログ関連表作成部12は、ステップS406においてキーワード関連表21内から抽出した登録用キーワードと、ステップS402において抽出したログの位置情報(ログの格納場所を示すアドレスやURL、ログが記録されているファイル名やファイル先頭からの行数等)の組を、関連付けてキーワード‐ログ関連表22に登録する(S407)。
【0079】
続いて、キーワード‐ログ関連表作成部12は、ログデータ群4に含まれる全てのログを抽出しているか(ログデータ群に含まれる全てのログについて図12の処理を行ったか)否かを判定する(S408)。
【0080】
判定の結果、ログデータ群4に含まれる全てのログを抽出していない場合には(S408、No)、キーワード‐ログ関連表作成部12は、上述したステップS402に戻り、ステップS402〜ステップS408までの処理を実行する。これとは反対に、判定の結果、ログデータ群4に含まれる全てのログを抽出している場合には(S408、Yes)、キーワード‐ログ関連表作成部12は、キーワード‐ログ関連表作成処理を終了する。
【0081】
上述したステップS405において、判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードと一致するキーワードが、キーワード関連表21に登録されていない場合には(S405、No)、キーワード‐ログ関連表作成部12は、上述したステップS408の処理へ移る。
【0082】
上述したステップS404において、判定の結果、ステップS402において抽出したログ内に含まれる1個以上のキーワードの中に登録用キーワードが含まれている場合には(S404、Yes)、キーワード‐ログ関連表作成部12は、上述したステップS407の処理へ移る。
【0083】
上述したステップS403において、判定の結果、ログ内に1個以上のキーワードが含まれていない場合には(S403、No)、キーワード‐ログ関連表作成部12は、上述したステップS408の処理へ移る。
【0084】
[実施例1による効果]
上述してきたように、実施例1に係るログ解析システムでは、ログ解析装置1が、例えば、PKIシステム3を構成する、ポータルサーバ32、RAサーバ33、CAサーバ34およびリポジトリサーバ35などの複数のサブシステムから、一連の処理の処理記録として出力される複数のログの一つを検査対象として、検査対象のログに含まれるキーワードを抽出するとともに、検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出して相互に関連付ける。よって、実施例1に係るログ解析システムによれば、同一のユーザに関する一連の処理において個々のサブシステムで固有に割り振られた異なる表現のキーワードであっても、ログが記録されたタイミング(ログの記録時刻)が近いログ同士は相互に関連するものと見なすことにより、個々のサブシステムで固有に割り振られた異なる表現のキーワードを相互に関連付けることができる。例えば、同一のログ上で同一時刻に記載された処理結果に、「UserID=1111」、「TransactionID=13321」という2つのキーワード情報が存在し、かつ、ログに記載された時刻が互いに近傍(ある時間範囲内にある)異なるログ上に記載された処理結果に「TransactionID=13321」と、「CertificateID=21」、という2つのキーワード情報が存在する場合は、これらの3つのキーワードを、同じユーザに対する一連の処理の関する情報と判定し、参照できる結果としてキーワード関連表21(図7参照)に関連付けて登録する。よって、例えば、ヘルプデスク担当者が、キーワード関連表21を参照することにより、複数かつ異なる表現のキーワードが一連の処理に属することを把握でき、ある特定のログに記録されたキーワードが分かれば、キーワード関連表21を参照することにより、別のログで表現されたキーワードを引き当てることができる。つまり、あるログの記録には、「TransactionID=13321」のみが存在する場合であっても、キーワード関連表21を参照することにより、「UserID=1111」に関連した処理であることを突き止めることが可能である。このようなことから、実施例1によれば、各サブシステムで実行された個々の処理の連携関係を効率的に把握させることができる。
【0085】
また、実施例1では、キーワード‐ログ関連表22に、キーワード関連表21に登録したキーワードを含むログの位置情報(ログの格納場所を示すアドレスやURL、ログが記録されているファイル名やファイル先頭からの行数等)を対応付けて記録する。よって、例えば、ヘルプデスク担当者が、「UserID=1111」に関連する、他のサブシステムでの処理内容を調べる場合には、キーワード関連表21を参照して、「TransactionID=13321」を引き当て、続いて、キーワード‐ログ関連表22を参照して、「TransactionID=13321」が抽出されたログの位置を引き当てることができる。このように、実施例1によれば、一連の処理に属するキーワードと、キーワードが抽出されたログの位置情報とを一元的に管理することにより、一連の処理における処理内容が記述されたログに効率的に引き当てることもできる。
【実施例2】
【0086】
以下、本発明にかかるログ解析システム、ログ解析装置、ログ解析方法およびログ解析プログラムのその他の実施形態として実施例2を説明する。
【0087】
(1)装置構成等
実施例1に係るログ解析システムの構成、例えば、図1に示すログ解析システムの各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。
【0088】
例えば、図1に示すログ解析システムにおけるキーワード関連表作成部11とキーワード‐ログ関連表作成部12とを、機能的または物理的に統合した構成としてもよい。また、図1に示すディスク装置2に格納されているキーワード関連表21およびキーワード‐ログ関連表22は、ログ解析装置1の内部に、機能的または物理的に統合された構成としてもよい。このように、図1に示すログ解析システムの各構成要素の分散または統合の具体的形態は、図1に示すものに限られず、各構成要素の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
【0089】
(2)ログ解析方法
実施例1に係るログ解析システムにより、以下のようなログ解析方法が実現される。
【0090】
すなわち、同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置を有するログ解析システムで実行されるログ解析方法であって、前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと(例えば、図11のS307など参照)、前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップと(例えば、図11のS310など参照)、を含むログ解析方法が実現される。
【0091】
(3)ログ解析装置に所定の手順を実行させるプログラム
また、上述の実施例で説明した各種の処理(例えば、図10〜図12など)は、パーソナルコンピュータやワークステーションなど、実施例1に係るログ解析システムにログ解析装置1として実装されるコンピュータに、上述の実施例で説明した各種の処理と同様の処理機能を実現するための手順(プロセス)を実行させるためのプログラムをインストールすることにより実現することもできる。
【0092】
そこで、以下では、図13を用いて、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の機能を実現するコンピュータの一例を説明する。図13は、上述の実施例で説明した処理と同様の機能を実現させるためのプログラムを実行するコンピュータの一例を示す図である。
【0093】
図13に示すように、ログ解析装置1として実装されるコンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、図13に示すように、ハードディスクドライブインタフェース1030と、光ディスクドライブインタフェース1040を有する。また、コンピュータ1000は、図13に示すように、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070を有する。そして、コンピュータ1000は、これらの各部1010〜1070をバス1080によって接続する。
【0094】
メモリ1010は、図13に示すように、ROM(Read Only Memory)及びRAM(Random Access Memory)を含む。ROMは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図13に示すように、ハードディスクドライブ1090に接続される。光ディスクドライブインタフェース1040は、図13に示すように、光ディスクドライブ1100に接続される。例えば、光ディスクドライブ1100には、光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050は、図13に示すように、例えば、マウス2000およびキーボード3000に接続される。ビデオアダプタ1060は、図13に示すように、例えば、ディスプレイ4000に接続される。
【0095】
ここで、図13に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。
【0096】
すなわち、上述したログ解析装置1と同様の機能を有するプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。つまり、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。このプログラムモジュールは、例えば、図1に示すログ解析装置1のキーワード関連表作成部11とキーワード‐ログ関連表作成部12などにより実行される手順(プロセス)に対応する。
【0097】
また、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールにより用いられるデータは、プログラムデータとして、例えばハードディスクドライブ1090に記憶される。例えば、このプログラムデータは、例えば、ディスク装置2に格納されているキーワード関連表21(図7参照)、キーワード‐ログ関連表(図8参照)、時刻近傍設定表13(図9参照)に記録されている各種データに対応する。
【0098】
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAMに読み出し、上述の実施例で説明した各種の処理(例えば、図10〜図12など)を実現するための手順を実行する。
【0099】
なお、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られるものではなく、例えば、着脱可能な記憶媒体である光ディスクドライブ1100等に記憶されていてもよい。この場合には、CPU1020が、光ディスクドライブ1100を介して、ログ解析装置1と同様の機能を有するプログラムモジュールやプログラムデータを読み出す。
【0100】
あるいは、上述の実施例で説明した各種の処理(例えば、図10〜図12など)と同様の処理機能をログ解析装置1としてのコンピュータ1000に実現させるための手順が記述されたプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)など)を介して接続された他のコンピュータに記憶されていてもよい。この場合には、CPU1020が、ネットワークインタフェース1070を介して、ログ解析装置1と同様の機能を有するプログラムモジュールやプログラムデータを他のコンピュータから読み出す。
【0101】
なお、プログラムによりCPU1020が動作して各種処理を行う代わりに、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの電子回路を用いて処理を行うこともできる。また、メモリ1010として、フラッシュメモリ(flash memory)などを用いることもできる。
【符号の説明】
【0102】
1 ログ解析装置
2 ディスク装置
3 PKIシステム
31 利用者
32 ポータルサーバ
33 RA(Registration Authority)サーバ
34 CA(Certificate Authority)サーバ
35 リポジトリサーバ
1000 コンピュータ
1010 メモリ
1020 CPU
1030 ハードディスクドライブインタフェース
1040 光ディスクドライブインタフェース
1050 シリアルポートインタフェース
1060 ビデオアダプタ
1070 ネットワークインタフェース
1080 バス
1090 ハードディスクドライブ
1100 光ディスクドライブ
2000 マウス
3000 キーボード
4000 ディスプレイ
【特許請求の範囲】
【請求項1】
複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムであって、
前記複数の情報処理装置のそれぞれは、
前記一連の処理において実行した処理の情報を記述したログを処理記録として出力する出力部を有し、
前記ログ解析装置は、
前記複数の情報処理装置から出力される複数の前記ログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、
前記抽出部により抽出された複数のキーワードを相互に関連付けて記憶部に格納する格納部と
を有することを特徴とするログ解析システム。
【請求項2】
前記格納部は、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項1に記載のログ解析システム。
【請求項3】
同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置であって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、
前記抽出部により抽出されたキーワードを相互に関連付けて記憶部に格納する格納部と
を有することを特徴とするログ解析装置。
【請求項4】
前記格納部は、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項3に記載のログ解析装置。
【請求項5】
複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムで実行されるログ解析方法であって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、
前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップと
を含むことを特徴とするログ解析方法。
【請求項6】
前記格納ステップは、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項5に記載のログ解析方法。
【請求項7】
同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置が実行するログ解析方法であって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、
前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップと
を含むことを特徴とするログ解析方法。
【請求項8】
前記格納ステップは、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項7に記載のログ解析方法。
【請求項9】
同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置に実行させるためのログ解析プログラムであって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出手順と、
前記抽出手順により抽出されたキーワードを相互に関連付けて記憶部に格納する格納手順と
を実行させることを特徴とするログ解析プログラム。
【請求項10】
前記格納手順は、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項9に記載のログ解析プログラム。
【請求項1】
複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムであって、
前記複数の情報処理装置のそれぞれは、
前記一連の処理において実行した処理の情報を記述したログを処理記録として出力する出力部を有し、
前記ログ解析装置は、
前記複数の情報処理装置から出力される複数の前記ログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、
前記抽出部により抽出された複数のキーワードを相互に関連付けて記憶部に格納する格納部と
を有することを特徴とするログ解析システム。
【請求項2】
前記格納部は、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項1に記載のログ解析システム。
【請求項3】
同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置であって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出部と、
前記抽出部により抽出されたキーワードを相互に関連付けて記憶部に格納する格納部と
を有することを特徴とするログ解析装置。
【請求項4】
前記格納部は、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項3に記載のログ解析装置。
【請求項5】
複数の情報処理装置と、同一ユーザについて前記複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置とを有するログ解析システムで実行されるログ解析方法であって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、
前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップと
を含むことを特徴とするログ解析方法。
【請求項6】
前記格納ステップは、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項5に記載のログ解析方法。
【請求項7】
同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置が実行するログ解析方法であって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出ステップと、
前記抽出ステップにより抽出されたキーワードを相互に関連付けて記憶部に格納する格納ステップと
を含むことを特徴とするログ解析方法。
【請求項8】
前記格納ステップは、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項7に記載のログ解析方法。
【請求項9】
同一ユーザについて複数の情報処理装置が連携して実行する一連の処理に関する処理記録を解析するログ解析装置に実行させるためのログ解析プログラムであって、
前記複数の情報処理装置の各々から前記一連の処理に関する処理記録として出力される複数のログの一つを検査対象として、該検査対象のログに含まれるキーワードを抽出するとともに、前記検査対象のログが記録された時刻を基準として過去または未来に記録された検査対象以外の他のログの各々に含まれるキーワードを抽出する抽出手順と、
前記抽出手順により抽出されたキーワードを相互に関連付けて記憶部に格納する格納手順と
を実行させることを特徴とするログ解析プログラム。
【請求項10】
前記格納手順は、前記キーワードと、該キーワードを含むログを前記情報処理装置に蓄積されているログの中から引き当てるために必要な情報とを、対応付けて記憶部に格納することを特徴とする請求項9に記載のログ解析プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−92979(P2013−92979A)
【公開日】平成25年5月16日(2013.5.16)
【国際特許分類】
【出願番号】特願2011−235990(P2011−235990)
【出願日】平成23年10月27日(2011.10.27)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年5月16日(2013.5.16)
【国際特許分類】
【出願日】平成23年10月27日(2011.10.27)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]