IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > KDDI株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ KDDI株式会社の特許一覧

特許6997668関連イベント統合プログラム、装置及び方法
<>
  • 特許-関連イベント統合プログラム、装置及び方法 図1
  • 特許-関連イベント統合プログラム、装置及び方法 図2
  • 特許-関連イベント統合プログラム、装置及び方法 図3
  • 特許-関連イベント統合プログラム、装置及び方法 図4
  • 特許-関連イベント統合プログラム、装置及び方法 図5
  • 特許-関連イベント統合プログラム、装置及び方法 図6
  • 特許-関連イベント統合プログラム、装置及び方法 図7
  • 特許-関連イベント統合プログラム、装置及び方法 図8
  • 特許-関連イベント統合プログラム、装置及び方法 図9
  • 特許-関連イベント統合プログラム、装置及び方法 図10
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2021-12-21
(45)【発行日】2022-01-17
(54)【発明の名称】関連イベント統合プログラム、装置及び方法
(51)【国際特許分類】
   G06F 16/906 20190101AFI20220107BHJP
【FI】
G06F16/906
【請求項の数】 12
(21)【出願番号】P 2018079232
(22)【出願日】2018-04-17
(65)【公開番号】P2019185663
(43)【公開日】2019-10-24
【審査請求日】2020-05-23
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100135068
【弁理士】
【氏名又は名称】早原 茂樹
(74)【代理人】
【識別番号】100141313
【弁理士】
【氏名又は名称】辰巳 富彦
(72)【発明者】
【氏名】黒川 茂莉
【審査官】早川 学
(56)【参考文献】
【文献】国際公開第2013/128530(WO,A1)
【文献】特開2017-058915(JP,A)
【文献】特開2015-185009(JP,A)
【文献】特開平11-025169(JP,A)
【文献】米国特許出願公開第2015/0052071(US,A1)
【文献】米国特許出願公開第2013/0139179(US,A1)
【文献】高井努ほか,イベント相関解析による効果的な運転課題の抽出と運転支援構築,計装,(有)工業技術社,2009年04月01日,Vol.52,No.4,pp.49-53
(58)【調査した分野】(Int.Cl.,DB名)
G06F 16/00-16/958
(57)【特許請求の範囲】
【請求項1】
種類の異なる第1イベント群及び第2イベント群の各々から、互いに関連するイベントを抽出する装置に搭載されたコンピュータを機能させるプログラムであって、
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報とを有し、前記プログラムは、
第1イベント群のうちで、関連調査対象の識別子を有するイベントの集合である第1イベント集合に含まれる少なくとも1つのイベントであって、第2イベント群のうちで同じ識別子を有するイベントの集合である第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する少なくとも1つのイベントを選択し、選択された当該少なくとも1つのイベントをもって、第2イベント集合毎に、対応する第1イベント部分集合を生成するIDマッチング手段と、
第2イベント集合毎に生成された当該第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれるイベントが重複せずに属していることになる組合せを、イベント統合用組合せに決定し、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に対応する第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定する関連イベント決定手段と
してコンピュータを機能させることを特徴とする関連イベント統合プログラム。
【請求項2】
前記関連イベント決定手段は、当該組合せのうち、第1イベント集合に含まれる所定割合以上のイベントが重複せずに属していることになる組合せを、当該イベント統合用組合せに決定することを特徴とする請求項1に記載の関連イベント統合プログラム。
【請求項3】
生成された第1イベント部分集合毎に、当該第1イベント部分集合に含まれるイベントの時刻情報の当該時間差の小ささに基づいて、当該第1イベント部分集合の類似度を算出する類似度算出手段としてコンピュータを更に機能させ、
前記関連イベント決定手段は、当該組合せのうち、当該組合せに含まれる当該第1イベント部分集合における当該類似度の合計が最大であるものを、当該イベント統合用組合せに決定する
ことを特徴とする請求項1又は2に記載の関連イベント統合プログラム。
【請求項4】
生成された第1イベント部分集合毎に、当該第1イベント部分集合に属するイベントの数と、第1イベント集合に含まれる全ての第1イベント部分集合に属するイベントの数との比に基づいて、当該第1イベント部分集合の被覆度を算出する被覆度算出手段としてコンピュータを更に機能させ、
前記関連イベント決定手段は、当該類似度の合計が最大である類似度最大組合せが複数存在する場合に、当該類似度最大組合せのうち、当該類似度最大組合せに含まれる当該第1イベント部分集合における当該被覆度の合計が最大であるものを、当該イベント統合用組合せに決定する
ことを特徴とする請求項3に記載の関連イベント統合プログラム。
【請求項5】
生成された第1イベント部分集合毎に、当該第1イベント部分集合に属するイベントの数と、第1イベント集合に含まれる全ての第1イベント部分集合に属するイベントの数との比に基づいて、当該第1イベント部分集合の被覆度を算出する被覆度算出手段としてコンピュータを更に機能させ、
前記関連イベント決定手段は、当該組合せのうち、当該組合せに含まれる当該第1イベント部分集合における当該被覆度の合計が最大であるものを、当該イベント統合用組合せに決定する
ことを特徴とする請求項1又は2に記載の関連イベント統合プログラム。
【請求項6】
生成された第1イベント部分集合毎に、当該第1イベント部分集合に含まれるイベントの時刻情報の当該時間差の小ささに基づいて、当該第1イベント部分集合の類似度を算出する類似度算出手段としてコンピュータを更に機能させ、
前記関連イベント決定手段は、当該被覆度の合計が最大である被覆度最大組合せが複数存在する場合に、当該被覆度最大組合せのうち、当該被覆度最大組合せに含まれる当該第1イベント部分集合における当該類似度の合計が最大であるものを、当該イベント統合用組合せに決定する
ことを特徴とする請求項5に記載の関連イベント統合プログラム。
【請求項7】
前記関連イベント決定手段は、
各々重みの付与された第1イベント部分集合の族から、当該重みの和を最小化する第1イベント部分集合を選択する集合被覆問題の解として、当該イベント統合用組合せを決定し、
各第1イベント部分集合に付与される当該重みを、当該第1イベント部分集合に含まれるイベントの時刻情報の当該時間差の大きさに基づいて算出された非類似度、及び/又は当該族に含まれる全ての第1イベント部分集合に属するイベントの数と当該第1イベント部分集合に属するイベントの数との比、に基づいて決定する
ことを特徴とする請求項1に記載の関連イベント統合プログラム。
【請求項8】
前記IDマッチング手段は、第1イベント集合と第2イベント集合との和集合であって、属するイベントが自身の有する時刻情報に基づいて時間に係る順番を付された和集合を生成し、当該和集合に基づいて、第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する当該第1イベント部分集合を生成することを特徴とする請求項1から7のいずれか1項に記載の関連イベント統合プログラム。
【請求項9】
前記IDマッチング手段は、第2イベント集合毎に生成された第1イベント部分集合に対し、当該関連調査対象の識別子と、対応する第2イベント集合に係る識別子とを包含する部分集合識別子を付与し、
前記関連イベント決定手段は、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に付与された部分集合識別子に包含されている第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定する
ことを特徴とする請求項1から8のいずれか1項に記載の関連イベント統合プログラム。
【請求項10】
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報と、当該イベントに係る属性情報とを有し、
前記IDマッチング手段は、第1イベント集合に含まれる当該少なくとも1つのイベントの属性情報が、当該時間差が小さいとして対応付けられた第2イベント集合のイベントの属性情報と一致する又は類似する場合に、当該少なくとも1つのイベントをもって当該第1イベント部分集合を生成する
ことを特徴とする請求項1から9のいずれか1項に記載の関連イベント統合プログラム。
【請求項11】
種類の異なる第1イベント群及び第2イベント群の各々から、互いに関連するイベントを抽出する関連イベント統合装置であって、
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報とを有し、前記関連イベント統合装置は、
第1イベント群のうちで、関連調査対象の識別子を有するイベントの集合である第1イベント集合に含まれる少なくとも1つのイベントであって、第2イベント群のうちで同じ識別子を有するイベントの集合である第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する少なくとも1つのイベントを選択し、選択された当該少なくとも1つのイベントをもって、第2イベント集合毎に、対応する第1イベント部分集合を生成するIDマッチング手段と、
第2イベント集合毎に生成された当該第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれるイベントが重複せずに属していることになる組合せを、イベント統合用組合せに決定し、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に対応する第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定する関連イベント決定手段と
を有することを特徴とする関連イベント統合装置。
【請求項12】
種類の異なる第1イベント群及び第2イベント群の各々から、互いに関連するイベントを抽出する装置に搭載されたコンピュータが実行する関連イベント統合方法であって、
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報とを有し、前記関連イベント統合方法は、
第1イベント群のうちで、関連調査対象の識別子を有するイベントの集合である第1イベント集合に含まれる少なくとも1つのイベントであって、第2イベント群のうちで同じ識別子を有するイベントの集合である第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する少なくとも1つのイベントを選択し、選択された当該少なくとも1つのイベントをもって、第2イベント集合毎に、対応する第1イベント部分集合を生成するステップと、
第2イベント集合毎に生成された当該第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれるイベントが重複せずに属していることになる組合せを、イベント統合用組合せに決定し、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に対応する第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定するステップと
を有することを特徴とする関連イベント統合方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、発生する種々のイベントにおける関連性を調査する技術に関する。
【背景技術】
【0002】
近年、ICT(Information and Communication Technologies)システムの普及に伴い、1つの原因から様々な種類のイベントが大量に発生する現象がしばしば発生する。例えば通信システムにおいては、一箇所での通信障害の発生によって、サーバやルータ等の異なる複数の装置から、当該障害に係るイベントが大量に発生する。
【0003】
この場合、これらの多数のイベントを高速で関連付けることができれば、障害の原因箇所が比較的容易に推定される。しかしながら、実際には、発生したイベント間の関連性を明確にすることは非常に困難であって、多くの場合、イベントの発生したその原因を突き止めることのできないのが実情である。
【0004】
このような問題に対し、例えば特許文献1は、システム障害時に発生した複数のイベントから特徴を抽出して、その特徴に基づき障害をクラスタリングし、同じ障害クラスタに含まれるイベントに基づいて障害原因判定ルールを生成する技術を提案している。また、例えば特許文献2は、異なる種類の複数のコミュニケーションツールで行われたコミュニケーションイベントにおける、メッセージの送信者、受信者および送信時刻の情報を含むイベントデータを取得し、取得したイベントデータを、一定のデータフォーマットのデータに変換して、コミュニケーションイベントログを統合的に取り扱う技術を開示している。
【0005】
さらに、特許文献3には、本願発明者によって発明された、異なる種類のイベントストリームから互いに関連するイベントを抽出する技術が開示されている。この技術は具体的に、第1のイベントストリーム及び第2のイベントストリームのそれぞれから、「第1のイベント」及び「第2のイベント」を取得し、第1のイベント識別子とその開始時刻情報とを含む「第1のイベントペア」を記憶させたバッファを利用して、互いに関連するイベントである「第1のイベント」及び「第2のイベント」を含む「第2のイベントペア」を生成している。
【0006】
ここで、第1の終了イベントを取得した際にはバッファに記憶されたこの「第1のイベント」に関係するイベントペアを削除するので、関連する可能性のある「第1のイベント」及び「第2のイベント」のみを確実に抽出することが可能となっている。また、関連するイベントを示す「第2のイベントペア」を生成する際には、時間の包含関係を担保し得る形でイベントペアを生成する。すなわち、イベントに係る時間の単純な近接度に拘泥せずに、互いに関連するイベントを抽出可能となっているのである。
【先行技術文献】
【特許文献】
【0007】
【文献】特開2011-209908号公報
【文献】特開2012-141720号公報
【文献】特開2017-58915号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1及び2に記載されたような従来技術は、発生した複数のイベントのうち、所定の時間範囲内で発生したイベント同士を関連付けるのみであり、必ずしも発生時刻は近接していないが互いに関連しているイベント同士を抽出することは、非常に困難であった。
【0009】
例えば、特許文献1に記載された技術は、所定時間範囲の時間窓を用いて発生時刻の差がこの時間窓以内のイベントを同一のイベントブロックに含めることによって、同期イベントの関連付けを行っている。従って、イベント間の関連性の判断は、この時間窓内での発生時刻に縛られてしまう。一方、特許文献2に記載された技術も、イベントの発生時刻を基点とし、その前後の所定の時間範囲内で発生したイベントの属性をイベントデータに含めることにより、同期イベントの関連付けを行っているのみである。
【0010】
この点、特許文献3に記載された技術では、イベントの開始時刻から終了時刻に至る時間範囲に含まれる他のイベントを関連付ける、といった時間の包含関係に基づく関連付けを行うことが可能となっている。しかしながら、この特許文献3に記載の技術においても、例えば、ある1つのイベントと別の複数のイベントとが関連している場合に、このような一対多の関連付けを行うことまでは想定されていなかった。
【0011】
ちなみに、このような一対多の関連関係は、時間の包含関係と同様、例えば、端末からの要求を受信し、サーバやネットワーク機器といったフロントエンド及びバックエンドのシステムが連携して、端末に応答を返信する通信システムにおいて少なからず発生するものである。しかしながら従来、そのような関係を見出して、一対多の形で互いに関連するイベントを抽出することは非常に困難であった。
【0012】
そこで、本発明は、一対多の形で互いに関連するイベントを抽出可能なプログラム、装置及び方法を提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明によれば、種類の異なる第1イベント群及び第2イベント群の各々から、互いに関連するイベントを抽出する装置に搭載されたコンピュータを機能させるプログラムであって、
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報とを有し、本プログラムは、
第1イベント群のうちで、関連調査対象の識別子を有するイベントの集合である第1イベント集合に含まれる少なくとも1つのイベントであって、第2イベント群のうちで同じ識別子を有するイベントの集合である第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する少なくとも1つのイベントを選択し、選択された当該少なくとも1つのイベントをもって、第2イベント集合毎に、対応する第1イベント部分集合を生成するIDマッチング手段と、
第2イベント集合毎に生成された当該第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれるイベントが重複せずに属していることになる組合せを、イベント統合用組合せに決定し、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に対応する第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定する関連イベント決定手段と
してコンピュータを機能させることを特徴とする関連イベント統合プログラムが提供される。
【0014】
この本発明による関連イベント統合プログラムにおいて、関連イベント決定手段は、当該組合せのうち、第1イベント集合に含まれる所定割合以上のイベントが重複せずに属していることになる組合せを、当該イベント統合用組合せに決定することも好ましい。
【0015】
また、本発明による関連イベント統合プログラムの一実施形態として、本プログラムは、生成された第1イベント部分集合毎に、当該第1イベント部分集合に含まれるイベントの時刻情報の当該時間差の小ささに基づいて、当該第1イベント部分集合の類似度を算出する類似度算出手段としてコンピュータを更に機能させ、
関連イベント決定手段は、当該組合せのうち、当該組合せに含まれる当該第1イベント部分集合における当該類似度の合計が最大であるものを、当該イベント統合用組合せに決定することも好ましい。
【0016】
さらに、上記の類似度算出に係る実施形態において、本プログラムは、生成された第1イベント部分集合毎に、当該第1イベント部分集合に属するイベントの数と、第1イベント集合に含まれる全ての第1イベント部分集合に属するイベントの数との比に基づいて、当該第1イベント部分集合の被覆度を算出する被覆度算出手段としてコンピュータを更に機能させ、
関連イベント決定手段は、当該類似度の合計が最大である類似度最大組合せが複数存在する場合に、当該類似度最大組合せのうち、当該類似度最大組合せに含まれる当該第1イベント部分集合における当該被覆度の合計が最大であるものを、当該イベント統合用組合せに決定することも好ましい。
【0017】
また、本発明による関連イベント統合プログラムの他の実施形態として、本プログラムは、生成された第1イベント部分集合毎に、当該第1イベント部分集合に属するイベントの数と、第1イベント集合に含まれる全ての第1イベント部分集合に属するイベントの数との比に基づいて、当該第1イベント部分集合の被覆度を算出する被覆度算出手段としてコンピュータを更に機能させ、
関連イベント決定手段は、当該組合せのうち、当該組合せに含まれる当該第1イベント部分集合における当該被覆度の合計が最大であるものを、当該イベント統合用組合せに決定することも好ましい。
【0018】
さらに、上記の被覆度度算出に係る実施形態において、本プログラムは、生成された第1イベント部分集合毎に、当該第1イベント部分集合に含まれるイベントの時刻情報の当該時間差の小ささに基づいて、当該第1イベント部分集合の類似度を算出する類似度算出手段としてコンピュータを更に機能させ、
関連イベント決定手段は、当該被覆度の合計が最大である被覆度最大組合せが複数存在する場合に、当該被覆度最大組合せのうち、当該被覆度最大組合せに含まれる当該第1イベント部分集合における当該類似度の合計が最大であるものを、当該イベント統合用組合せに決定することも好ましい。
【0019】
また、本発明による関連イベント統合プログラムにおいて、関連イベント決定手段は、
各々重みの付与された第1イベント部分集合の族から、当該重みの和を最小化する第1イベント部分集合を選択する集合被覆問題の解として、当該イベント統合用組合せを決定し、
各第1イベント部分集合に付与される当該重みを、当該第1イベント部分集合に含まれるイベントの時刻情報の当該時間差の大きさに基づいて算出された非類似度、及び/又は当該族に含まれる全ての第1イベント部分集合に属するイベントの数と当該第1イベント部分集合に属するイベントの数との比、に基づいて決定する
ことも好ましい。
【0020】
また、本発明による関連イベント統合プログラムにおいて、IDマッチング手段は、第1イベント集合と第2イベント集合との和集合であって、属するイベントが自身の有する時刻情報に基づいて時間に係る順番を付された和集合を生成し、当該和集合に基づいて、第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する当該第1イベント部分集合を生成することも好ましい。
【0021】
さらに、本発明による関連イベント統合プログラムにおいて、IDマッチング手段は、第2イベント集合毎に生成された第1イベント部分集合に対し、当該関連調査対象の識別子と、対応する第2イベント集合に係る識別子とを包含する部分集合識別子を付与し、
関連イベント決定手段は、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に付与された部分集合識別子に包含されている第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定することも好ましい。
【0022】
また、本発明による関連イベント統合プログラムの更なる他の実施形態として、各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報と、当該イベントに係る属性情報とを有し、
IDマッチング手段は、第1イベント集合に含まれる当該少なくとも1つのイベントの属性情報が、当該時間差が小さいとして対応付けられた第2イベント集合のイベントの属性情報と一致する又は類似する場合に、当該少なくとも1つのイベントをもって当該第1イベント部分集合を生成することも好ましい。
【0023】
本発明によれば、また、種類の異なる第1イベント群及び第2イベント群の各々から、互いに関連するイベントを抽出する関連イベント統合装置であって、
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報とを有し、本関連イベント統合装置は、
第1イベント群のうちで、関連調査対象の識別子を有するイベントの集合である第1イベント集合に含まれる少なくとも1つのイベントであって、第2イベント群のうちで同じ識別子を有するイベントの集合である第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する少なくとも1つのイベントを選択し、選択された当該少なくとも1つのイベントをもって、第2イベント集合毎に、対応する第1イベント部分集合を生成するIDマッチング手段と、
第2イベント集合毎に生成された当該第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれるイベントが重複せずに属していることになる組合せを、イベント統合用組合せに決定し、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に対応する第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定する関連イベント決定手段と
を有することを特徴とする関連イベント統合装置が提供される。
【0024】
本発明によれば、さらに、種類の異なる第1イベント群及び第2イベント群の各々から、互いに関連するイベントを抽出する装置に搭載されたコンピュータが実行する関連イベント統合方法であって、
各イベントは、当該イベントの識別子と、当該イベントの時刻に係る時刻情報とを有し、本関連イベント統合方法は、
第1イベント群のうちで、関連調査対象の識別子を有するイベントの集合である第1イベント集合に含まれる少なくとも1つのイベントであって、第2イベント群のうちで同じ識別子を有するイベントの集合である第2イベント集合に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する少なくとも1つのイベントを選択し、選択された当該少なくとも1つのイベントをもって、第2イベント集合毎に、対応する第1イベント部分集合を生成するステップと、
第2イベント集合毎に生成された当該第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれるイベントが重複せずに属していることになる組合せを、イベント統合用組合せに決定し、決定した当該イベント統合用組合せに含まれる当該第1イベント部分集合に対応する第2イベント集合に係る識別子の集合を、当該関連調査対象の識別子に関連する識別子集合に決定するステップと
を有することを特徴とする関連イベント統合方法が提供される。
【発明の効果】
【0025】
本発明の関連イベント統合プログラム、装置及び方法によれば、一対多の形で互いに関連するイベントを抽出することができる。
【図面の簡単な説明】
【0026】
図1】本発明による関連イベント統合装置の一実施形態における機能構成を示す機能ブロック図である。
図2】本発明に係る関連イベント決定部での処理の一実施例を説明するための模式図である。
図3】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図4】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図5】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図6】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図7】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図8】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図9】本発明による関連イベント統合方法の一実施例を示すテーブルである。
図10】本発明による関連イベント統合方法の一実施例における関連イベント決定処理を概略的に示す模式図である。
【発明を実施するための形態】
【0027】
以下、本発明の実施形態について、図面を用いて詳細に説明する。
【0028】
図1は、本発明による関連イベント統合装置の一実施形態における機能構成を示す機能ブロック図である。
【0029】
図1に示した本実施形態の関連イベント統合装置1は、通信インタフェース101を介して取得した種類の異なる第1イベント群及び第2イベント群の各々から、「一対多の形で互いに関連する」イベントを抽出する装置である。
【0030】
ここで、第1イベント群として、通信ネットワークにおけるバックエンドシステム(例えば、携帯電話網と接続された通信ネットワークのサーバ)での処理によって発生する種々のイベントの時系列を採用し、一方、第2イベント群として、同じ通信ネットワークにおけるフロントエンドシステム(例えば、携帯電話網を構成する基地局)での処理によって発生する種々のイベントの時系列を採用することができる。勿論その逆として、第1イベント群及び第2イベント群のそれぞれに、フロントエンドシステム及びバックエンドシステムに係るイベント時系列を採用する場合もあり得る。また当然に、第1及び第2イベント群として、その他のシステムにおける、それぞれのイベントが互いに関連し得るイベントストリームの2系列を採用することも可能である。
【0031】
また、イベントとしては具体的に、例えば、ユーザによる各種アドレスの取得、URL(Uniform Resource Locator)の取得や、ユーザの位置情報の取得等に関連して発生する事象、さらには、例えば装置・機器における各種処理に伴って生成されるログや、アラートや障害等の発生により生成されるログに現れる事象が該当する。その他、事象発生・終了等に係る時刻の情報が特定できる事象ならば、様々なものがイベントとして採用可能となる。具体的に、本装置1で取り扱う各イベントは、基本的に、
<イベントの識別子(イベントID),イベントの時刻に係る情報(時刻情報)>
の形のデータとなっている。
【0032】
さらに本実施形態において、「一対多の形で互いに関連する」とは、第1イベント群のうちのある1つのイベントが、第2イベント群のうちの複数のイベントと関連している場合のことである。
【0033】
例えば、バックエンドサーバが永続的な識別子(ID)を設定する一方、フロント認証サーバが、セキュリティ目的でセッションタイムアウトのような有効期間を設けて、識別子(ID)を変更する状況や、DHCP(Dynamic Host Configuration Protocol)サーバがクライアントに対し(IDとしての)IP(Internet Protocol)アドレスを動的に割り当てたり定期的に変更したりする状況において、「一対多の形で互いに関連する」イベントが発生することも少なくない。さらには、ユーザ等がクッキー(cookie)のように短期で消滅しては別のものが付される可能性のあるIDを利用してアクセスを行う場合にも「一対多の形で互いに関連する」イベントが発生し得るのである。
【0034】
なお、イベントを識別するイベントIDは、イベントに関係する通信機器固有の番号、例えば製造番号やMAC(Media Access Control)アドレス等であってもよい。また、IPアドレスやドメイン名等のネットワークアドレスとすることもできる。さらに、アプリケーション・プログラムで生成されるID、例えば、アプリID、ユーザIDやクッキーID等であってもよい。さらには、イベントIDとして、これらの情報に対し非識別化処理を施した結果として得られる匿名の番号を採用することも可能である。
【0035】
ここで、以下の記載で使用される表記・用語を説明する。
(a)第1イベント群に属する第1イベントについて、それらのイベントIDは、集合的に「ID1」として表す。また、個々のイベントIDは「ID1-*」との形で表現される。
(b)また、第2イベント群に属する第2イベントについても同様に、それらのイベントIDは、集合的に「ID2」として表す。また、個々のイベントIDも「ID2-*」との形で表現される。
【0036】
(c)第1イベント群のうちで、関連調査対象のイベントID(例えばID1-1)を有するイベントの集合を、「第1イベント集合」とする。ここで、「第1イベント集合」のIDもこのイベントID(例えばID1-1)とする。
(d)また、第2イベント群のうちで、同じイベントID(具体的には1つのID2-*)を有するイベントの集合を、「第2イベント集合」とする。ここで、「第2イベント集合」のIDもこのイベントID(ID2-*)とする。
【0037】
同じく図1において、関連イベント統合装置1は、その特徴として、
(A)第1イベント群のうちで、関連調査対象のIDに係る「第1イベント集合」に含まれる「少なくとも1つのイベント」であって、「第2イベント集合」に含まれる各イベントにおける時刻情報に対して各々時間差の小さい時刻情報を有する「少なくとも1つのイベント」を選択し、選択された「少なくとも1つのイベント」をもって、「第2イベント集合」毎に、対応する「第1イベント部分集合」を生成するIDマッチング部112と、
(B)(第2イベント集合毎に生成された)「第1イベント部分集合」の組合せであって、組合せた結果として、「第1イベント集合」に含まれるイベントが重複せずに属していることになる組合せを、「イベント統合用組合せ」に決定し、決定した「イベント統合用組合せ」に含まれる「第1イベント部分集合」に対応する「第2イベント集合」に係るIDの集合を、関連調査対象のIDに関連する識別子集合に決定する関連イベント決定部115と
を有している。
【0038】
例えば、後に詳細に説明する図2の実施例ではあるが、同図においては、関連調査対象のIDがID1-1である場合に、「イベント統合用組合せ」として、3つの「第1イベント部分集合」ID1-1-2-1、ID1-1-2-2及びID1-1-2-3が決定され、それらにそれぞれ対応する3つの「第2イベント集合」に係るID集合ID2-1、ID2-2及びID2-3が、関連調査対象IDであるID1-1に関連するものとして決定されている。
【0039】
このように、関連イベント統合装置1は、最初に、「一対多」の「多」となり得る第2イベント群側から、関連イベントの時間的近接性を利用して「一」の一部となり得る「第1イベント部分集合」を候補として挙げ、次いで「一対多」の「一」となる「第1イベント部分集合」の集合(「イベント統合用組合せ」)を決定した上で、それに対応する「第2イベント集合」を関連イベント(の集合)として決定する、という巧みな手法を駆使した関連イベント統合処理を実施する。
【0040】
これにより、従来対応関係の把握が困難であった、一対多の形で互いに関連するイベントを抽出し統合することができるのである。
【0041】
また、関連イベント統合装置1は、上述したようにまず、第2イベント群側から第1イベント群側へ時間的近接性を利用してアプローチし、その後、複雑な計算を実行することなく折り返す形で関連する「第2イベント集合」を決定するので、関連イベントを、より少ない記憶領域を用いてより短時間で検索することを可能とする。
【0042】
さらに、イベント間の時間的近接性に特徴を有するイベント群は、例えばフロントエンドとバックエンドのシステムが連携して動作する形態で一般的に発生し得るものであり、また、一対多の形で互いに関連するイベントも、上述したように種々のケースにおいて発生することが少なくない。したがって、関連イベント統合装置1による関連イベント統合処理の適用範囲は、相当に広いことが理解される。
【0043】
[装置の機能構成]
同じく、図1に示した機能ブロック図によれば、関連イベント統合装置1は、通信インタフェース101と、第1イベントバッファ102と、第2イベントバッファ103と、イベント集合保存部104と、イベント和集合保存部105と、第1イベント部分集合保存部106と、被覆度・類似度保存部107と、イベント統合情報保存部108と、ディスプレイ(DP)109と、プロセッサ・メモリとを有する。
【0044】
ここで、このプロセッサ・メモリは、本発明による関連イベント統合プログラムの一実施形態を保存しており、また、コンピュータ機能を有していて、この関連イベント統合プログラムを実行することによって、関連イベント統合処理を実施する。このことから、関連イベント統合装置1は、専用の装置又はユニットであってもよいが、本発明による関連イベント統合プログラムを搭載した、例えばパーソナル・コンピュータ(PC)、ノート型若しくはタブレット型コンピュータ、又はスマートフォン等とすることもできる。また、各保存部の保存先は、容量に応じてキャッシュメモリ、メインメモリ、スワップメモリ、ストレージのいずれかから適宜選択されることも好ましい。
【0045】
さらに、このプロセッサ・メモリは、機能構成部として、イベント取得部111と、時間差判定部112aを含むIDマッチング部112と、被覆度算出部113と、類似度算出部114と、合計被覆度・類似度判定部115aを含む関連イベント決定部115と、アプリケーション121とを有する。なお、これらの機能構成部は、プロセッサ・メモリに保存された関連イベント統合プログラムの機能と捉えることができる。また、図1における関連イベント統合装置1の機能構成部間を矢印で接続して示した処理の流れは、本発明による関連イベント統合方法の一実施形態としても理解される。
【0046】
同じく図1において、第1イベントバッファ102及び第2イベントバッファ103はそれぞれ、通信インタフェース101を介して受信された第1イベント群及び第2イベント群を蓄積し、受信した順番に応じて又は受けた要求内容に応じて順次、第1イベント及び第2イベントをイベント取得部111に出力する。
【0047】
イベント取得部111は、入力した第1イベント及び第2イベントを、受けた要求内容に応じて又は取得した順番に応じて、IDマッチング部112、被覆度算出部113、類似度算出部114、及び関連イベント決定部115へ出力する。また、入力した第1イベント及び第2イベントを適宜、イベント集合保存部104に保存し、必要に応じて適宜、同保存部104から読み出すことも好ましい。ここで本実施形態において、取り扱われるイベントは各々、
<イベントID,発生時刻>
の形のデータとなっている。このうち、発生時刻のデータは、例えば2014/01/01 11:22:33といった日付型又は文字列型であってもよく、所定の日時を基準にした経過時間を表す整数型とすることもできる。なお、経過時間の単位は任意の時間幅とすることが可能である。
【0048】
ここで本実施形態においては、第1イベントバッファ102に蓄積される第1イベント群が、「一対多の形の関連」のうちの「一」の側であり、第2イベントバッファ103に蓄積される第2イベント群が「多」の側となっている。すなわち、以下、第1イベント群のうちのある1つのイベントが、第2イベント群のうちの別の複数のイベントと関連している場合を検索していくのである。
【0049】
なお当然に、第1イベント群及び第2イベント群に対する以下に説明する処理を入れ替えて、第2イベント群のうちのある1つのイベントが、第1イベント群のうちの別の複数のイベントと関連している場合を検索することも可能である。ちなみに本実施形態では、第2イベント群側の「多」については、互いに発生時刻に関して排他的であることを前提としている。
【0050】
同じく図1において、IDマッチング部112の時間差判定部112aは、
(a)第2イベント群のうちで同じイベントIDを有するイベントの集合である第2イベント集合の各々から見て、関連調査対象のイベントID(例えばID1-1)を有する第1イベントの各々との間における発生時刻の「時間差」を算出し、
(b)第2イベント集合毎に、当該第2イベント集合(ID2-*)に含まれている第2イベント(ID2-*)の各々について、最も「時間差」の小さい第1イベント(ID1-1)を決定する。
【0051】
次いで、IDマッチング部112は、第2イベント集合毎に決定された上記(b)の第1イベント(ID1-1)をもって、当該第2イベント集合(ID2-*)に対応する第1イベント部分集合を生成するのである。なお、生成された第1イベント部分集合は適宜、第1イベント部分集合保存部106に保存され、要求に応じて適宜、同保存部106から読み出されてもよい。
【0052】
ここで、変更態様として、取り扱われるイベントが各々、
<イベントID,発生時刻,属性情報>
の形のデータとなっている場合を考える。このうち、属性情報は、イベントの属性を表す情報であり種々のものが採用可能であるが、例えば、イベントが発生しているドメインのID情報とすることもできる。
【0053】
この場合、IDマッチング部112は、第2イベント集合ID2毎に決定された上記(b)の第1イベント(ID1-1)の有する属性情報が、「時間差」の最小な対応先である第2イベント集合(ID2-*)に含まれるイベントの属性情報と一致する又は類似する場合に、この決定された上記(b)の第1イベント(ID1-1)をもって第1イベント部分集合を生成することも好ましい。
【0054】
これにより、例えば時間的にはマッチングしているが、異なる属性のイベント、例えば異なるドメインに係るイベントを、関連イベントから除外することができる。すなわち、属性情報に応じて、時間的にマッチングしたイベントを更に絞り込み、所望する形の関連イベントを優先して抽出したり、当該関連イベントだけを抽出したりすることも可能となるのである。
【0055】
次いで、後の関連イベント決定処理の際に使用される被覆度及び類似度の算出について説明する。ちなみに後述するように、この関連イベント決定処理は、算出された被覆度及び類似度のいずれか一方を用いて実施されてもよく、または、両方を勘案して実施されることも好ましい。
【0056】
同じく図1において、被覆度算出部113は、IDマッチング部112で生成された第1イベント部分集合毎に、当該第1イベント部分集合に属するイベントの数と、第1イベント集合(ID1-1)に含まれる全ての第1イベント部分集合に属するイベントの数との比に基づいて、当該第1イベント部分集合の被覆度を算出する。具体的には、当該比を被覆度としてもよい。
【0057】
また、類似度算出部114は、IDマッチング部112で生成された第1イベント部分集合毎に、当該第1イベント部分集合に含まれる第1イベントの発生時刻(時刻情報)における(対応先の第2イベントの発生時刻(時刻情報)との差である)上記の「時間差」の小ささに基づいて、当該第1イベント部分集合の類似度を算出する。
【0058】
具体的に、類似度算出部114は、
(a)当該第1イベント部分集合に含まれる全ての第1イベントの「時間差」の和を、当該第1イベント部分集合の非類似度Dとし、(1-D)又は1/Dを類似度としてもよく、
(b)当該第1イベント部分集合に含まれる各第1イベントの「時間差」が所定閾値TH以内の場合に1をカウントし、そうでない場合に0をカウントして、カウントの合計と総カウント数との比を類似度としてもよい。
【0059】
ちなみに、類似度は、「時間差」が小さくなるほど高くなる尺度であり、「時間差」の単調減少関数であれば種々のものが採用可能である。また、上述したように算出された被覆度や類似度は適宜、被覆度・類似度保存部107によって保存され、関連イベント決定部115等からの要求に応じて適宜、読み出されてもよい。
【0060】
次に、関連イベント決定部115は、
(a)第2イベント集合ID2毎に生成された第1イベント部分集合の組合せであって、組合せた結果として、第1イベント集合に含まれる所定割合(例えば100%や95%)以上のイベントが重複せずに属していることになる組合せを、「イベント統合用組合せ」に決定し、
(b)決定した「イベント統合用組合せ」に含まれる第1イベント部分集合に対応する第2イベント集合(ID2-*)に係るIDの集合を、関連調査対象のID(ID1-1)に関連するID集合に決定する。
【0061】
ここで、上記(a)の処理については、「第2イベント集合ID2毎に生成された第1イベント部分集合の組合せ」を第1イベント部分集合族として、全ての第1イベント部分集合族のうちから1つを、「イベント統合用組合せ」として選択する処理であると捉えることも可能である。
【0062】
さらに、同じく上記(a)の「イベント統合用組合せ」の決定においては、関連イベント決定部115の合計被覆度・類似度判定部115aでの次に述べる判定結果を更に勘案して、決定を行うことがより好ましい。これにより、より確実な関連性を有するイベント同士を統合可能となるのである。
【0063】
具体的に、合計被覆度・類似度判定部115aは、
(a1)第2イベント集合ID2毎に生成された第1イベント部分集合の組合せのうち、当該組合せに含まれる第1イベント部分集合における類似度の合計が最大である類似度最大組合せを「イベント統合用組合せ」に決定することも好ましく、さらに、
(a2)類似度最大組合せが複数存在する場合には、これらの類似度最大組合せのうち、当該類似度最大組合せに含まれる第1イベント部分集合における被覆度の合計が最大であるものを「イベント統合用組合せ」に決定してもよい。
【0064】
さらに変更態様として、合計被覆度・類似度判定部115aは、
(a3)第2イベント集合ID2毎に生成された第1イベント部分集合の組合せのうち、当該組合せに含まれる第1イベント部分集合における被覆度の合計が最大である被覆度最大組合せを「イベント統合用組合せ」に決定することもでき、その際、
(a4)被覆度最大組合せが複数存在する場合には、これらの被覆度最大組合せのうち、当該被覆度最大組合せに含まれる第1イベント部分集合における類似度の合計が最大であるものを「イベント統合用組合せ」に決定してもよい。
【0065】
さらに、合計被覆度・類似度判定部115aは、更なる変更態様として、
(a5)類似度を重視する度合いとしての重みw(0≦w≦1)を用い、次式
(総合評価度)=w*(類似度)+(1-w)*(被覆度)
によって総合評価度を算出し、第2イベント集合ID2毎に生成された第1イベント部分集合の組合せのうち、当該組合せに含まれる第1イベント部分集合における総合評価度の合計が最大である組合せを「イベント統合用組合せ」に決定することも可能である。
【0066】
図2は、関連イベント決定部115での処理の一実施例を説明するための模式図である。なお、同図の実施例では、上記(a1)の類似度判定によってイベント統合用組合せが決定されている。
【0067】
図2の実施例によれば、関連調査対象の第1イベントIDがID1-1である場合において、すでに、5つの第2イベント集合ID2-1、ID2-2、ID2-3、ID2-4及びID2-5にそれぞれ対応付けられた、5つの第1イベント部分集合ID1-1-2-1、ID1-1-2-2、ID1-1-2-3、ID1-1-2-4及びID1-1-2-5が決定されている。また、これらの第1イベント部分集合の各々について類似度が算出されている。なお、これらの第1イベント部分集合のIDの付与については後に、より具体的な別の実施例を用いて説明する。
【0068】
ここで本実施例において、関連イベント決定部115(図1)は、第1イベント集合ID1-1に含まれるイベントの全て(すなわち「所定割合」=100%)が重複せずに属していることになり、且つ類似度の合計が最大(合計2.6)となる、3つの第1イベント部分集合ID1-1-2-1、ID1-1-2-2及びID1-1-2-3をイベント統合用組合せに決定している。
【0069】
次いで、関連イベント決定部115は、これら3つの第1イベント集合にそれぞれ対応する3つの第2イベント集合ID2-1、ID2-2及びID2-3に係るID集合{ID2-1, ID2-2, ID2-3}を、関連調査対象IDであるID1-1に関連する関連イベントID集合に決定しているのである。
【0070】
ちなみに、本実施例でも理解されるように、関連イベント統合装置1は、第2イベント群側から第1イベント群側へ時間的近接性を利用してアプローチし、その後、複雑な計算を実行することなく折り返す形でイベント統合用組合せを決定するので、関連イベント(本実施例では、ID1-1と、ID2-1、ID2-2及びID2-3とが関連イベント)が、より少ない記憶領域の下、より短時間で検索可能となっている。
【0071】
図1に戻って、関連イベント決定部115は、決定した関連イベントを含むイベント統合情報を、適宜イベント統合情報保存部108に保存して、例えばアプリケーション121等の要求に応じて読み出し、アプリケーション121等へ出力することも好ましい。また、例えば関連イベントの情報をディスプレイ109に表示したり、通信インタフェース101を介して外部の情報処理装置に送信したりしてもよい。
【0072】
アプリケーション121は、取得した関連イベントの情報を利用して所定の処理を行い、例えば処理結果をディスプレイ109に表示したり、通信インタフェース101を介して外部の情報処理装置に送信したりすることも好ましい。
【0073】
[実施例]
図3図9は、本発明による関連イベント統合方法の一実施例を示すテーブルである。また、図10は、本実施例における関連イベント決定処理を概略的に示す模式図である。
【0074】
本実施例では、最初に、図3(A)に示した2つの第1イベント集合ID1-1及びID1-2と、図3(B)に示した5つの第2イベント集合ID2-1、ID2-2、ID2-3、ID2-4及びID2-5とが、関連調査対象としてイベント集合保存部104に保存されている。ここで、各イベントは、当該イベントのIDと当該イベントの発生日時刻とが対応付けられたデータとなっている。
【0075】
次いで、図4に示すように、IDマッチング部112(図1)は、第1イベント集合ID1-1及びID1-2と第2イベント集合ID2-1、ID2-2、ID2-3、ID2-4及びID2-5との和集合であって、属するイベントが自身の有する時刻情報(イベント日時刻)に基づいて時間に係る順番を付されたイベント和集合を生成している。
【0076】
具体的には、これらの第1イベント集合及び第2イベント集合に含まれる各イベントが、当該イベントの有するイベント日時刻の順に並び替えられ、さらに、便宜的なイベント番号1~29を当該順に付されたイベント和集合テーブルが生成され、イベント和集合保存部105(図1)に保存されている。このイベント和集合テーブルは、時間差を算出してIDマッチングを行うために必要となる中間データを格納するテーブルであり、イベント取得部に到着するイベントの並び順についてイベント日時刻の順であることが保証される場合、その生成は不要となる。また、イベント日時刻と、その後となるイベント到着の日時刻との時間幅について所定時間幅以下であることが保証される場合には、イベント和集合テーブルの保存期間は、当該所定時間幅の範囲に限定することができる。
【0077】
ちなみに、本実施例の以下の説明ではイベント番号に直接言及しない場合も少なくないが、イベント集合及びイベント部分集合に含まれる各イベントは、実際の処理においては、この段階で付与されたイベント番号を識別子として、認識され、且つ取り扱われることになる。
【0078】
また、IDマッチング部112(図1)は、上述したように生成したイベント和集合に基づき、図5に示すように、第2イベント集合に含まれる各イベントにおけるイベント日時刻(時刻情報)に対して各々最小の時間差となるイベント日時刻(時刻情報)を有する第1イベントを決定し、当該第1イベントをまとめた第1イベント部分集合を生成している。
【0079】
ここで、予め日時刻順に並び替えられたイベント和集合を生成しているので、1つの第2イベント集合に含まれる各第2イベントのイベント番号に対し、第1イベント集合に含まれる第1イベントのイベント番号のうち、日時刻差の点で最近傍のイベント番号を特定する処理が容易になっている。
【0080】
なお、本実施例では、日時刻差が同一のイベント番号が複数あった場合、イベント番号の最若番のものを選択することとなっている。この点当然に、例えば秒又はそれ未満の日時刻を参照し、より正確な最近傍を求めて1つのイベント番号を決定することも可能である。さらに、別の基準を設定し、当該基準を満たすイベント番号を選択する形をとることもできる。
【0081】
さらに、本実施例では、日時刻差が同一のイベント番号が複数のイベント番号と対応するような「一対多」は許容していない。例えば図5のテーブルにおいて、イベント20については、第1イベント集合に含まれる第1イベントのイベント番号のうち、日時刻差の点で最近傍となるイベント番号が他のイベント番号であるイベント21によってすでに対応付けられてしまっている。したがって、イベント20については対応先の第1イベントが存在しないことを示す「-」が付されている。なお当然に、上記の「一対多」を許容する実施形態も可能である。
【0082】
IDマッチング部112(図1)はさらに、同じく図5に示すように、第2イベント集合毎に生成された第1イベント部分集合に対し、関連調査対象となる第1イベントのID(本実施例ではID1-1及びID1-2の2つ)と、対応する第2イベント集合のIDとを包含する形の部分集合IDを付与している。
【0083】
具体的には例えば、第2イベント集合ID2-1に含まれる3つの第2イベント(イベント番号2、3及び5)のそれぞれに対応付けられた(第1イベント集合ID1-1に含まれる)3つの第1イベント(イベント番号1、4及び6)からなる第1イベント部分集合に対し、ID1-1とID2-1とを包含する形の「ID1-1-2-1」とのIDが付与されている。
【0084】
次に本実施例において、類似度算出部114(図1)は、図6に示すように、生成された第1イベント部分集合毎に、当該第1イベント部分集合に含まれる第1イベントの日時刻における(対応する第2イベントの日時刻との)日時刻差を算出している。ここで、図6のテーブルでの日時刻差は、両日時刻の差の絶対値を分単位で表したものである。
【0085】
類似度算出部114(図1)は次いで、図7に示すように、先に算出された日時刻差に基づいて、第2イベント集合毎に生成された第1イベント部分集合における類似度を算出している。具体的には本実施例では、当該第1イベント部分集合に含まれる第1イベントの日時刻差の平均値を求め、当該平均値の逆数を類似度として算出している。
【0086】
例えば、第1イベント部分集合ID1-1-2-1では、日時刻差の平均値は1であるので、類似度は、その逆数である1となっている。また、第1イベント部分集合ID1-1-2-2では、日時刻差の平均値は1/3であるので、類似度は、3(=3/1)となっている。
【0087】
ちなみに、日時刻差の平均が0の場合は類似度が無限大となってしまうが、その場合の類似度としては、例えばシステム上の最大値を設定してもよい。また、類似度は、第1イベントID1と第2イベントID2との一対多の組み合わせにも適用可能である。この場合も以上の算出方法と同様に、関連するイベント番号の日時刻差の平均値の逆数を類似度としてもよく、その他、日時刻差が小さいものほど高くなるような尺度であれば種々のものが類似度として採用できる。
【0088】
さらに本実施例において、被覆度度算出部113(図1)は、図8に示すように、第2イベント集合毎に生成された第1イベント部分集合における被覆度を算出している。具体的には本実施例では、第1イベント集合(ID1-*)に含まれる全イベント数に対する、当該第1イベント部分集合(ID1-*-2-*)に含まれる全イベント数の割合を被覆度として算出している。
【0089】
例えば、第1イベント集合ID1-1に含まれるイベントは9個であるのに対し、第1イベント部分集合ID1-1-2-1に含まれるイベントは3個であるので、被覆度は、0.333(=3/9)となっている。
【0090】
ここで本実施例での被覆度算出からすると、被覆度は、第2イベント集合に対応付けられた第1イベント部分集合が、元の第1イベント集合に包含されるその割合を求めているとも捉えられる。すなわち、第1イベント集合と第2イベント集合との包含関係の程度を示しているとも理解されるのである。なお、被覆度は、第1イベントID1と第2イベントID2との一対多の組み合わせにも適用可能である。この場合、被覆度は、第1イベント集合に含まれるイベントにおける、第1イベント部分集合に含まれるイベントである割合によって算出されることができる。
【0091】
次に、関連イベント決定部115(図1)は、図9に示すように、第1イベント部分集合(第2イベント集合)毎に算出された類似度及び被覆度を用いて、第1イベントID1と第2イベントID2との間における関連イベントの(一対多の)組合せを決定し、これをイベント統合結果として出力している。
【0092】
ここで本実施例では、すでに説明した上記(a1)のように、第2イベント集合ID2毎に生成された第1イベント部分集合の組合せのうち、当該組合せに含まれる第1イベント部分集合における類似度の合計が最大である類似度最大組合せを「イベント統合用組合せ」に決定し、同じくすでに説明した上記(a2)のように、類似度最大組合せが複数存在する場合には、これらの類似度最大組合せのうち、当該類似度最大組合せに含まれる第1イベント部分集合における被覆度の合計が最大であるものを「イベント統合用組合せ」に決定している。
【0093】
具体的には、最初に類似度がより高くなるように、第1イベントID1に対して対応する第2イベント集合ID2を追加していき、被覆度が最大値1に到達した時点で終了するといった処理が行われている。図9によれば、例えば、関連調査対象が第1イベントID1-1である場合、(対応する第1イベント部分集合の)類似度が大きい順に第2イベント集合ID2-2、ID2-3及びID2-1を順次足し合わせ、被覆度の合計が1に達した段階で、これらの第2イベントIDの集合{ID2-1, ID2-2, ID2-3}と、関連調査対象イベントのIDであるID1-1とが対応づけられたイベント統合情報が生成されている。
【0094】
また、関連調査対象が第1イベントID1-2である場合は、(対応する第1イベント部分集合の)類似度が大きい順に第2イベント集合ID2-5及びID2-4を順次足し合わせ、被覆度の合計は0.667(=0.5+0.167)であっていまだ最大値1に達していないが、(第1イベント部分集合と)対応する第2イベント集合を全て加えているのでここで終了し、結局、これらの第2イベントIDの集合{ID2-5, ID2-4}と、関連調査対象イベントのIDであるID1-2とが対応づけられたイベント統合情報が生成されている。
【0095】
なお、以上に説明したような関連イベントの決定処理は、類似度及び被覆度によって決定された「イベント統合用組合せ」に含まれる第1イベント部分集合のIDに包含されている第2イベント集合のIDの集合を、関連調査対象のIDに関連する関連ID集合に決定していると捉えることも可能である。すなわち例えば、「イベント統合用組合せ」に3つの第1イベント部分集合ID1-1-2-1、ID1-1-2-2及びID1-1-2-3が含まれている場合、これらの部分集合IDに包含されている第2イベントIDの集合である{ID2-1, ID2-2, ID2-3}を、関連調査対象IDであるID1-1に関連する関連ID集合に決定するのである。
【0096】
以上、図3図9に示した実施例を用いて、本発明による関連イベント統合方法を具体的に説明したが、処理全体の理解を容易にするため、図10に、本実施例における関連イベント決定処理を模式的に示している。
【0097】
ちなみに、本発明による関連イベント統合方法は、公知である集合被覆問題の解法に沿って定式化することも可能である。すなわち、各々重みWGの付与された第1イベント部分集合の族から、重みWGの和を最小化する第1イベント部分集合を選択する集合被覆問題の解として、「イベント統合用組合せ」を決定することができる。
【0098】
ここで、この際、各第1イベント部分集合に付与される重みWGを、
(a)当該第1イベント部分集合に含まれるイベントの時刻情報の「時間差」の大きさに基づいて算出された非類似度、及び
(b)当該族に含まれる全ての第1イベント部分集合に属するイベントの数と当該第1イベント部分集合に属するイベントの数とのイベント数比(反被覆度)
に基づいて決定してもよい。勿論、上記(a)の非類似度及び上記(b)のイベント数比のいずれか一方のみを重みWGとして採用することも可能である。
【0099】
以上、詳細に説明したように、本発明の関連イベント統合プログラム、装置及び方法によれば、従来対応関係の把握が困難であった、一対多の形で互いに関連するイベントを抽出し統合することができる。また、最初に第2イベント群側から第1イベント群側へ時間的近接性を利用してアプローチし、その後、複雑な計算を実行することなく折り返す形で関連する第2イベント集合を決定するので、関連イベントを、より少ない記憶領域を用いて短時間で検索することが可能となるのである。
【0100】
ちなみに、このようにイベント間の時間的近接性に特徴を有するイベント群は、フロントエンドとバックエンドのシステムが連携して動作する形態で一般的に発生し得るものであり、また、一対多の形で互いに関連するイベントも種々のケースにおいて発生することが少なくない。したがって、本発明による関連イベント統合処理の適用範囲は、相当に広いものとなっている。
【0101】
また、本発明によれば、1つの実施形態として、異なる種類の機器・システムにおけるイベントログ同士のIDを紐付けて、迅速に同期するIDを検索することも可能となる。これにより、例えば、通信サービス間のIDを連携させたり、ネットワーク機器間の連携を行ったりすることもできる。さらに、現在大きく進展しているIoT(Internet of Things)の分野でも、多数の機器・デバイスから出力される情報の関連性の調査を、より少ない記憶領域を利用してより短時間で処理することが可能となるのである。
【0102】
以上に述べた本発明の種々の実施形態について、本発明の技術思想及び見地の範囲内での種々の変更、修正及び省略は、当業者によれば容易に行うことができる。以上に述べた説明はあくまで例示であって、何ら制約を意図するものではない。本発明は、特許請求の範囲及びその均等物によってのみ制約される。
【符号の説明】
【0103】
1 関連イベント統合装置
101 通信インタフェース
102 第1イベントバッファ
103 第2イベントバッファ
104 イベント集合保存部
105 イベント和集合保存部
106 第1イベント部分集合保存部
107 被覆度・類似度保存部
108 イベント統合情報保存部
109 ディスプレイ(DP)
111 イベント取得部
112 IDマッチング部
112a 時間差判定部
113 被覆度算出部
114 類似度算出部
115 関連イベント決定部
115a 合計被覆度・類似度判定部
121 アプリケーション
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.