特許ウォッチ

公開番号2025093185
公報種別公開特許公報(A)
公開日2025-06-23
出願番号2023208770
出願日2023-12-11
発明の名称情報処理装置、情報処理方法及び情報処理プログラム
出願人株式会社オービック
代理人弁理士法人酒井国際特許事務所
主分類G06F 11/07 20060101AFI20250616BHJP(計算;計数)
要約【課題】イベント等のログ情報に基づく異常検知精度の向上を図る。
【解決手段】判定部は、監視時間分の各ログ情報に、正常時に記録されるログ情報が存在するか否かを示す判定結果を出力する。正常処理割合算出部は、このような判定を行った総数に対する、監視時間分の各ログ情報のうち、正常時に記録されるログ情報であると判定された数の割合である正常処理割合を算出する。状態情報検出部は、算出された正常処理割合の値と、記憶部に記憶されている正常処理割合の判定閾値とを比較した比較結果に基づいて記憶部を参照し、判定閾値に関連付けされて記憶部に記憶されている監視対象の状態を示す状態情報を検出する。イベントログ情報検出部は、状態情報検出部で検出された状態情報に対応するイベントログ情報を検出する。イベントログ情報出力部は、検出されたイベントログ情報を、監視対象の正常動作を監視する監視部に供給する。
【選択図】図1
特許請求の範囲【請求項１】
記憶部に時刻情報が付加されて記憶される監視対象のログ情報のうち、所定のタイミングの時刻から、指定された時間分遡った時刻までの時間である監視時間分の各ログ情報の識別子と、前記記憶部に予め記憶されている、正常時に記録されるログ情報の識別子とを比較し、前記監視時間分の各前記ログ情報に、正常時に記録される前記ログ情報の識別子を備えるログ情報が存在するか否かを示す判定結果を前記識別子毎に出力する判定部と、
監視時間分の各前記ログ情報に、正常時に記録される前記ログ情報の識別子を備えるログ情報が存在するか否かの判定を行った総数に対する、前記監視時間分の各前記ログ情報のうち、前記判定部により、正常時に記録される前記ログ情報の識別子を備えるログ情報であると判定された前記ログ情報の数の割合である正常処理割合を算出する正常処理割合算出部と、
算出された前記正常処理割合の値と、前記記憶部に記憶されている前記正常処理割合の判定閾値とを比較した比較結果に基づいて前記記憶部を参照し、前記判定閾値に関連付けされて前記記憶部に記憶されている前記監視対象の状態を示す状態情報を検出する状態情報検出部と、
前記記憶部に記憶されている前記監視対象の状態を示すイベントログ情報のうち、前記状態情報検出部で検出された前記状態情報に対応する前記イベントログ情報を検出するイベントログ情報検出部と、
検出された前記イベントログ情報を、前記監視対象の正常動作を監視する監視部に供給するイベントログ情報出力部と、
を有する情報処理装置。
続きを表示（約 1,800 文字）【請求項２】
前記状態情報検出部は、前記記憶部に複数の前記判定閾値が記憶されている場合、算出された前記正常処理割合の値と各前記判定閾値とをそれぞれ比較し、前記正常処理割合の値との差分値が最小となる前記判定閾値に関連付けされている前記状態情報を検出すること、
を特徴とする請求項１に記載の情報処理装置。
【請求項３】
前記イベントログ情報出力部は、汎用オペレーションシステムで処理可能な情報形態で、前記イベントログ情報を出力し、
前記監視部は、前記汎用オペレーションシステムに基づいて動作することで、前記イベントログ情報に応じた監視結果を外部機器に出力すること、
を特徴とする請求項１又は請求項２に記載の情報処理装置。
【請求項４】
判定部が、記憶部に時刻情報が付加されて記憶される監視対象のログ情報のうち、所定のタイミングの時刻から、指定された時間分遡った時刻までの時間である監視時間分の各ログ情報の識別子と、前記記憶部に予め記憶されている、正常時に記録されるログ情報の識別子とを比較し、前記監視時間分の各前記ログ情報に、正常時に記録される前記ログ情報の識別子を備えるログ情報が存在するか否かを示す判定結果を前記識別子毎に出力する判定ステップと、
正常処理割合算出部が、監視時間分の各前記ログ情報に、正常時に記録される前記ログ情報の識別子を備えるログ情報が存在するか否かの判定を行った総数に対する、前記監視時間分の各前記ログ情報のうち、前記判定ステップで、正常時に記録される前記ログ情報の識別子を備えるログ情報であると判定された前記ログ情報の数の割合である正常処理割合を算出する正常処理割合算出ステップと、
状態情報検出部が、算出された前記正常処理割合の値と、前記記憶部に記憶されている前記正常処理割合の判定閾値とを比較した比較結果に基づいて前記記憶部を参照し、前記判定閾値に関連付けされて前記記憶部に記憶されている前記監視対象の状態を示す状態情報を検出する状態情報検出ステップと、
イベントログ情報検出部が、前記記憶部に記憶されている前記監視対象の状態を示すイベントログ情報のうち、前記状態情報検出ステップで検出された前記状態情報に対応する前記イベントログ情報を検出するイベントログ情報検出ステップと、
イベントログ情報出力部が、検出された前記イベントログ情報を、前記監視対象の正常動作を監視する監視部に供給するイベントログ情報出力ステップと、
を有する情報処理方法。
【請求項５】
コンピュータを、
記憶部に時刻情報が付加されて記憶される監視対象のログ情報のうち、所定のタイミングの時刻から、指定された時間分遡った時刻までの時間である監視時間分の各ログ情報の識別子と、前記記憶部に予め記憶されている、正常時に記録されるログ情報の識別子とを比較し、前記監視時間分の各前記ログ情報に、正常時に記録される前記ログ情報の識別子を備えるログ情報が存在するか否かを示す判定結果を前記識別子毎に出力する判定部と、
監視時間分の各前記ログ情報に、正常時に記録される前記ログ情報の識別子を備えるログ情報が存在するか否かの判定を行った総数に対する、前記監視時間分の各前記ログ情報のうち、前記判定部により、正常時に記録される前記ログ情報の識別子を備えるログ情報であると判定された前記ログ情報の数の割合である正常処理割合を算出する正常処理割合算出部と、
算出された前記正常処理割合の値と、前記記憶部に記憶されている前記正常処理割合の判定閾値とを比較した比較結果に基づいて前記記憶部を参照し、前記判定閾値に関連付けされて前記記憶部に記憶されている前記監視対象の状態を示す状態情報を検出する状態情報検出部と、
前記記憶部に記憶されている前記監視対象の状態を示すイベントログ情報のうち、前記状態情報検出部で検出された前記状態情報に対応する前記イベントログ情報を検出するイベントログ情報検出部と、
検出された前記イベントログ情報を、前記監視対象の正常動作を監視する監視部に供給するイベントログ情報出力部として機能させること、
を特徴とする情報処理プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。
続きを表示（約 2,700 文字）【背景技術】
【０００２】
今日において、例えばＷｅｂ（ＷｏｒｌｄＷｉｄｅＷｅｂ：ウェブ）サービス又はアプリケーションサービス等、様々なサービスが提供されている。このようなサービスにおいては、常時又は所定の時間置きに異常状態が監視され、出力された特定のログ情報に基づいて、システムの異常が判定される。
【０００３】
例えば、特許文献１（特開２０１６－０２４７８６号公報）には、複数のアプリケーションのログを解析して、異常事象を検知するログ解析装置が開示されている。このログ解析装置は、複数のアプリケーションのログを収集する。また、直接の異常事象を示すエラーログとし、その直前に連続して出力される警告ログとの組み合わせをログパターンとして、予め登録されたログパターンと、収集したログのログパターンとの類似度を算出する。そして、算出した類似度に基づいて、通知する異常事象の内容を決定する。
【０００４】
これにより、複数のアプリケーションのログの解析結果に基づいて、異常事象を検知できる。
【先行技術文献】
【特許文献】
【０００５】
特開２０１６－０２４７８６号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
ここで、イベント等のログ情報に基づく異常検知精度を向上させた装置の開発が求められている。
【０００７】
本発明は、上述の課題に鑑みてなされたものであり、イベント等のログ情報に基づく異常検知精度を向上させることが可能な情報処理装置、情報処理方法及び情報処理プログラムの提供を目的とする。
【課題を解決するための手段】
【０００８】
上述の課題を解決し、目的を達成するために、本発明に係る情報処理装置は、記憶部に時刻情報が付加されて記憶される監視対象のログ情報のうち、所定のタイミングの時刻から、指定された時間分遡った時刻までの時間である監視時間分の各ログ情報の識別子と、記憶部に予め記憶されている、正常時に記録されるログ情報の識別子とを比較し、監視時間分の各ログ情報に、正常時に記録されるログ情報の識別子を備えるログ情報が存在するか否かを示す判定結果を識別子毎に出力する判定部と、監視時間分の各ログ情報に、正常時に記録されるログ情報の識別子を備えるログ情報が存在するか否かの判定を行った総数に対する、監視時間分の各ログ情報のうち、判定部により、正常時に記録されるログ情報の識別子を備えるログ情報であると判定されたログ情報の数の割合である正常処理割合を算出する正常処理割合算出部と、算出された正常処理割合の値と、記憶部に記憶されている正常処理割合の判定閾値とを比較した比較結果に基づいて記憶部を参照し、判定閾値に関連付けされて記憶部に記憶されている監視対象の状態を示す状態情報を検出する状態情報検出部と、記憶部に記憶されている監視対象の状態を示すイベントログ情報のうち、状態情報検出部で検出された状態情報に対応するイベントログ情報を検出するイベントログ情報検出部と、検出されたイベントログ情報を、監視対象の正常動作を監視する監視部に供給するイベントログ情報出力部と、を有する。
【０００９】
また、上述の課題を解決し、目的を達成するために、本発明に係る情報処理方法は、判定部が、記憶部に時刻情報が付加されて記憶される監視対象のログ情報のうち、所定のタイミングの時刻から、指定された時間分遡った時刻までの時間である監視時間分の各ログ情報の識別子と、記憶部に予め記憶されている、正常時に記録されるログ情報の識別子とを比較し、監視時間分の各ログ情報に、正常時に記録されるログ情報の識別子を備えるログ情報が存在するか否かを示す判定結果を識別子毎に出力する判定ステップと、正常処理割合算出部が、監視時間分の各ログ情報に、正常時に記録されるログ情報の識別子を備えるログ情報が存在するか否かの判定を行った総数に対する、監視時間分の各ログ情報のうち、判定ステップで、正常時に記録されるログ情報の識別子を備えるログ情報であると判定されたログ情報の数の割合である正常処理割合を算出する正常処理割合算出ステップと、状態情報検出部が、算出された正常処理割合の値と、記憶部に記憶されている正常処理割合の判定閾値とを比較した比較結果に基づいて記憶部を参照し、判定閾値に関連付けされて記憶部に記憶されている監視対象の状態を示す状態情報を検出する状態情報検出ステップと、イベントログ情報検出部が、記憶部に記憶されている監視対象の状態を示すイベントログ情報のうち、状態情報検出ステップで検出された状態情報に対応するイベントログ情報を検出するイベントログ情報検出ステップと、イベントログ情報出力部が、検出されたイベントログ情報を、監視対象の正常動作を監視する監視部に供給するイベントログ情報出力ステップと、を有する。
【００１０】
また、上述の課題を解決し、目的を達成するために、本発明に係る情報処理プログラムは、コンピュータを、記憶部に時刻情報が付加されて記憶される監視対象のログ情報のうち、所定のタイミングの時刻から、指定された時間分遡った時刻までの時間である監視時間分の各ログ情報の識別子と、記憶部に予め記憶されている、正常時に記録されるログ情報の識別子とを比較し、監視時間分の各ログ情報に、正常時に記録されるログ情報の識別子を備えるログ情報が存在するか否かを示す判定結果を識別子毎に出力する判定部と、監視時間分の各ログ情報に、正常時に記録されるログ情報の識別子を備えるログ情報が存在するか否かの判定を行った総数に対する、監視時間分の各ログ情報のうち、判定部により、正常時に記録されるログ情報の識別子を備えるログ情報であると判定されたログ情報の数の割合である正常処理割合を算出する正常処理割合算出部と、算出された正常処理割合の値と、記憶部に記憶されている正常処理割合の判定閾値とを比較した比較結果に基づいて記憶部を参照し、判定閾値に関連付けされて記憶部に記憶されている監視対象の状態を示す状態情報を検出する状態情報検出部と、記憶部に記憶されている監視対象の状態を示すイベントログ情報のうち、状態情報検出部で検出された状態情報に対応するイベントログ情報を検出するイベントログ情報検出部と、検出されたイベントログ情報を、監視対象の正常動作を監視する監視部に供給するイベントログ情報出力部として機能させる。
【発明の効果】
（【００１１】以降は省略されています）

関連特許