专利名称:信息处理装置、信息处理方法以及程序的制作方法
技术领域:
本发明涉及根据日志中包含的顺序信息来指定事件等的出现模式而高效并且高速地检索的方式。
背景技术:
根据以信息安全、网络监视、设备管理等领域为中心而收集积蓄的日志数据,对信息泄漏、非法访问、设备故障等履历进行监视,提高对信息、网络、设备的管理的趋势变大。为此,需要收集监视对象的履历数据,并在一定期间内追踪该对象进行什么样的举止。在履历数据中,记录有监视对象识别ID、时间戳、事件等动作信息。但是,这些信息的构造不具有管理发生顺序的手段,所以不适合于在一定期间内追记监视对象等要求。针对这样的课题,例如在文书检索中有如下技术将用正规表现来表示的检索条件式变换为与其等价的检索自动机,并从所生成的状态转移表中检索字符串的出现模式。另外,有针对用图表构造表示的数据构造指定部分图表而对其进行检索的技术。另外,作为将它们融合而得到的技术,有可以针对作为层次构造文书的 XML(Extensible Markup Language,可扩展标记语言)文书取出标记并将标记的出现模式作为检索自动机而进行检索的技术(例如,专利文献1)。专利文献1 日本特开2004-U6933号公报
发明内容
但是,在XML等文书构造中,标记必然有开始和结束,具有完整的层次构造,所以上述方法有效,但在履历数据中,在分支之后该信息的终端位置是可变的,所以在上述方法中,存在并非高效这样的课题。进而,存在检索条件式自身变得复杂,据此,高速的检索变得极其困难这样的课题。本发明的主要目的之一是解决这样的课题,其主要目的在于,实现一种在用多个节点的连结来表示事件的发生原委的履历的信息中产生了路径的分支或者路径的合并的情况下,可以高效并且总括地解析事件的发生原委的构造。本发明的信息处理装置的特征在于,具有信息存储部,存储事件履历信息,该事件履历信息是用多个节点的连结来表示事件的发生原委的履历的信息,并且该事件履历信息包括与2个以上的后方节点连结的分支节点以及与2个以上的前方节点连结的合并节点中的至少某一个;以及信息解析部,针对所述事件履历信息的各节点,从前方的节点起依次按照节点的连结顺序进行解析,识别各节点表示的事件,判定解析对象的节点是否与分支节点以及合并节点中的某一个相当,在解析对象的节点是分支节点的情况下,针对从分支节点分支的每个分支路径,按照连结顺序解析分支路径中包含的各节点,识别各节点表示的事件,在解析对象的节点是合并节点的情况下,针对合流到合并节点的每个上游路径,按照连结顺序解析上游路径中包含的各节点,识别各节点表示的事件,从所述事件履历信息抽取1个以上的事件发生顺序的模式。其特征在于,所述信息处理装置还具有抽取条件输入部,该抽取条件输入部输入表示抽取对象事件和抽取对象事件的出现顺序的抽取条件,所述信息解析部判定所抽取的事件发生顺序的模式是否与所述抽取条件中示出的抽取对象事件的出现顺序一致。其特征在于,所述信息存储部存储有多个事件履历信息,所述信息解析部针对每个事件履历信息,抽取事件发生顺序的模式,并抽取如下事件履历信息该事件履历信息包括与所述抽取条件中示出的抽取对象事件的出现顺序一致的事件发生顺序的模式。其特征在于,所述信息存储部将多个事件履历信息分类为多个范畴而存储,进而, 将属于不同的范畴的关联的2个以上的事件履历信息彼此对应起来存储,所述信息解析部对属于特定的范畴的事件履历信息的各节点进行解析,在解析中的所述特定的范畴的事件履历信息与其他范畴的事件履历信息相对应的情况下,抽取与所述特定的范畴的事件履历信息相对应的其他范畴的事件履历信息,对所抽取的其他范畴的事件履历信息的节点进行解析,根据属于2个以上的范畴的2个以上的事件履历信息的节点的组合,抽取1个以上的事件发生顺序的模式。其特征在于,所述信息存储部以节点为单位彼此相对应地存储属于不同的范畴的关联的2个以上的事件履历信息,所述信息解析部对属于所述特定的范畴的事件履历信息的各节点进行解析,在解析中的节点与其他范畴的事件履历信息内的节点相对应的情况下,抽取与解析中的节点相对应的节点,解析所抽取的节点。其特征在于,所述信息解析部在所抽取的其他范畴的事件履历信息还与另外的范畴的事件履历信息相对应的情况下,抽取该另外的范畴的事件履历信息,对所抽取的另外的范畴的事件履历信息的节点进行解析,根据属于3个以上的范畴的3个以上的事件履历信息的节点的组合,抽取1个以上的事件发生顺序的模式。其特征在于,所述信息存储部以节点为单位彼此相对应地存储属于不同的范畴的关联的2个以上的事件履历信息,所述信息解析部对所抽取的其他范畴的事件履历信息的节点进行解析,在解析中的节点与另外的范畴的事件履历信息内的节点相对应的情况下,抽取与解析中的节点相对应的节点,解析所抽取的节点。其特征在于,所述信息解析部在所述事件履历信息中包括分支节点的情况下,从未解析的分支路径中选择作为解析对象的分支路径,针对所选择出的分支路径中包含的各节点,从前方的节点起依次按照连结顺序进行解析,在所选择出的分支路径中包含的各节点的解析结束之后,选择新的解析对象的分支路径。其特征在于,所述信息解析部在所述事件履历信息中包括合并节点的情况下,从未解析的上游路径中选择作为解析对象的上游路径,针对所选择出的上游路径中包含的各节点,从前方的节点起依次按照连结顺序进行解析,在所选择出的上游路径中包含的各节点的解析结束之后,选择新的解析对象的上游路径。其特征在于,所述信息解析部在合并节点的所有上游路径的解析完成之后,开始合并节点的后方的各节点的解析。其特征在于,所述信息解析部在进行了合并节点的所有上游路径的解析的结果, 判明了合并节点表示多个种类的事件时,反复进行如下次数的合并节点的后方各节点的解析相当于合并节点所表示的事件的种类数的次数。本发明的信息处理方法的特征在于,使计算机从规定的存储装置取得事件履历信息,该事件履历信息是用多个节点的连结来表示事件的发生原委的履历的信息,并且该事件履历信息包括与2个以上的后方节点连结的分支节点以及与2个以上的前方节点连结的合并节点中的至少某一个,使所述计算机针对所述事件履历信息的各节点,从前方的节点起依次按照节点的连结顺序进行解析,识别各节点表示的事件,判定解析对象的节点是否与分支节点以及合并节点中的某一个相当,在解析对象的节点是分支节点的情况下,针对从分支节点分支的每个分支路径,按照连结顺序对分支路径中包含的各节点进行解析,识别各节点表示的事件,在解析对象的节点是合并节点的情况下,针对合流到合并节点的每个上游路径,按照连结顺序解析上游路径中包含的各节点,识别各节点表示的事件,从所述事件履历信息抽取1 个以上的事件发生顺序的模式。本发明的程序的特征在于,用于使计算机执行如下处理信息取得处理,从规定的存储装置取得事件履历信息,该事件履历信息是用多个节点的连结来表示事件的发生原委的履历的信息,并且该事件履历信息包括与2个以上的后方节点连结的分支节点以及与2个以上的前方节点连结的合并节点中的至少某一个;以及信息解析处理,针对所述事件履历信息的各节点,从前方的节点起依次按照节点的连结顺序进行解析,识别各节点表示的事件,判定解析对象的节点是否与分支节点以及合并节点中的某一个相当,在解析对象的节点是分支节点的情况下,针对从分支节点分支的每个分支路径,按照连结顺序对分支路径中包含的各节点进行解析,识别各节点表示的事件,在解析对象的节点是合并节点的情况下,针对合流到合并节点的每个上游路径,按照连结顺序解析上游路径中包含的各节点,识别各节点表示的事件,从所述事件履历信息抽取1个以上的事件发生顺序的模式。根据本发明,在事件履历信息中产生了路径的分支或者路径的合并的情况下,针对每个分支路径解析分支路径中包含的各节点,并且,针对每个上游路径解析上游路径中包含的各节点,所以可以高效并且总括地解析事件的发生原委。
图1是示出实施方式1的检索装置的结构例的图。图2是示出实施方式1的数据构造的例子的图。图3是示出实施方式1的顺序关系构造的图。图4是示出实施方式1的层次关系构造的图。
图5是示出实施方式1的层次关系构造的图。图6是示出实施方式1的类间关系构造的图。图7是示出实施方式1的举动索引主体构造体的图。图8是示出实施方式1的类构造体的图。图9是示出实施方式1的事例构造体的图。图10是示出实施方式1的举动构造体的图。图11是示出实施方式1的检索自动机以及举动索引的图。图12是实施方式1的处理流程图。图13是实施方式1中的状态转移图。图14是示出实施方式2的检索自动机以及举动索引的图。图15是实施方式2的分支节点处理流程图。图16是实施方式2的分支节点状态管理变量。图17是实施方式2的分支节点用栈。图18是实施方式2的分支节点以后处理流程图。图19是实施方式2的状态转移图。图20是示出实施方式2的包括分支节点的举动索引的图。图21是示出实施方式2的栈以及状态管理变量的变化的图。图22是示出实施方式3的检索自动机以及举动索引的图。图23是实施方式3的合并节点处理流程图。图M是示出实施方式3的包括合并节点的举动索引的图。图25是示出实施方式3的栈以及状态管理变量的变化的图。图沈是示出实施方式4的检索装置的结构例的图。图27是示出实施方式4的检索自动机以及举动索引的图。图观是示出实施方式4的检索对象类切换的定义文件的图。图四是示出实施方式1 4的检索装置的硬件结构例的图。(附图标记说明)100 检索装置;101 日志;102 举动数据生成部;103 举动索引;104 正规表现变换部;105 检索自动机保持部;106 状态转移表;107 举动信息抽取部;108 节点类别判定部;109 合并分支节点处理部;110 评价部;111 状态评价部;112 关系解析部;113 检索结果存储部;114 分支合并位置存储部;115 分支合并状态存储部;116 类间关系定义文件;117 信息存储部;200 客户机。
具体实施例方式实施方式1.在本实施方式以及以后的实施方式中,说明在将由于事件的发生而引起的状态的变化(举动)作为具有图表(graph)构造的数据模型管理的数据构造中,从根据事件ID和对象ID的出现模式生成的检索条件式变换为等价的检索自动机(automaton),使用该自动机生成的状态转移表来判断是否为受理状态而判断是否为相当的对象,从而可以在以往困难的举动的检索中实现基于复杂的检索条件式的检索的构造。
另外,说明在举动中发生了分支的情况下无需进行重复的检索,而可以高效地检索的构造。进而,说明例如在通过在制造工序的过程中将部件嵌入到产品中而需要以其他着眼点追踪的情况下对不同的着眼点下的关系进行管理,从而可以实现切换了着眼点的追踪的构造。以下,针对本发明,说明图示的实施方式,但本发明不限于附图所示的实施方式。 另外,作为本发明的实施的说明,以几个日志为例子而进行说明,但本发明可以应用于所有履历。图1示出本实施方式的检索装置100的结构图。另外,检索装置100是信息处理装置的例子。收集日志的对象没有特别限定,例如设为能够将由与LAN(Local Area Network, 局域网)等网络连接的所有设备收集到的日志101集积到特定的机器上。在图1中,日志101是1个,但也可以是多个。针对所收集的日志101,举动数据生成部102生成具有适合于追踪对象的举动(举止)的图表构造的举动索引103,信息存储部117存储举动索引103。信息存储部117例如是检索装置100内的存储器或者外部存储装置。举动索引103是用多个节点的连结来表示事件的发生原委的履历的信息,在后面详述。在举动索引103中,一般,包括与2个以上的后方的节点连结的分支节点以及从2个以上的前方的节点连结的合并节点中的至少某一个。另外,检索执行用户从客户机200输入检索条件式。检索条件式只要其可以唯一地变换为正规表现,则可以是任意的表现形式。检索条件式是示出抽取对象的事件(抽取对象事件)和抽取对象的事件的出现顺序的条件式。 检索条件式是抽取条件的例子。所输入的检索条件式通过正规表现变换部104变换为正规表现形式。正规表现变换部104是抽取条件输入部的例子。另外,由正规表现变换部104变换为正规表现形式的检索条件式是通过检索自动机保持部105被变换为检索自动机,生成状态转移表106,状态转移表106被存储在检索装置100内的规定的存储区域中。在检索时,举动信息抽取部107读入举动索引103的数据,根据由评价部110取得的举动而取得转移的状态,判定与检索条件式相当的事件的发生顺序的模式是否存在于举动索引103中,将判定结果存储在检索结果存储部113中。客户机200可以通过查询检索结果存储部113来利用检索结果。针对在本实施方式以及以后的实施方式中说明的部分一致检索法式中使用的各方式,以根据入出室等人类的行动日志来检索行动模式的情况为例子进行具体说明。正规表现变换部104将表示以可变换为正规表现的形式输入的行动模式的检索条件式变换成正规表现形式。例如,在用于检索从门A进入并从门B出去的人的检索条件式的情况下,该检索条件式被变换为由表示元字符(meta character)和举动的文字构成的“(入室)(门A). * (出室)(门B) ”等那样的正规表现形式。
检索自动机保持部105变换为与所输入的正规表现检索条件式等价的检索自动机,生成状态转移表106。状态转移表是指,针对举动信息的输入,记述了从状态向状态的转移的表。评价部110包括状态评价部111以及关系解析部112。状态评价部111依次输入参照所生成的状态转移表106,从举动索引103通过举动信息抽取部107抽取,并从节点类别判定部108输出的节点的信息(举动信息),取得各节点的状态。然后,状态评价部111对节点类别判定部108响应各节点的状态。另外,状态评价部111判断从举动索引103的各节点的状态导出的举动索引103 中的事件的发生顺序的模式是否与根据检索条件式生成的状态转移表106的状态转移的模式一致,在事件的发生顺序的模式与状态转移表106的状态转移的模式一致的情况下成为受理状态。另外,状态评价部111如果取得了受理状态,则作为表示在当前搜索中的举动信息内存在与所指定的检索条件式相当的部分的信息,将相当的追踪对象(事例)以及表示以哪个举动成为受理状态的命中(hit)位置存储到检索结果存储部113中。另外,在关系解析部112中,在检索检索条件式中指定的行动模式时,需要跨越人、设备、文件等来检索的情况下,可以一边切换检索的范围一边进行检索。另外,在实施方式4中详细说明关系解析部112。节点类别判定部108针对从举动信息抽取部107抽取的举动判定是进行分支的举动(分支节点)、或者进行合并的举动(合并节点)。举动进行分支是指,例如通过复制文件而内容被继承,生成多个具有不同的ID的部分那样的情况。合并是指,例如在制造线(manufacturing line)中配合具有不同的ID的原料而合并成不同的1个ID那样的情况。在合并分支节点处理部109中,按照节点类别判定部108的节点判定结果,在其是合并节点或者分支节点的情况下,针对节点的举动ID、节点的状态进行存储或者调出处理。此处开始,进一步详细说明各个功能。为此,首先简单说明在检索装置100中作为检索对象的举动索引103的数据构造。图2是示出成为检索对象的举动索引103的数据管理的构造的图。主体(main)201是指,表示举动索引自身的父构造体,识别举动索引103。类202表示该举动索引103中存在的范畴,例如是相当于用户、场所、文件、设备寸。事例203表示属于类202的实体,如果是用户类则事例是指可以唯一地识别个人的用户ID那样的实体。举动204表示各个事例的实际的举止,例如是“入室后的状态” “出室后的状态”寸。以后,将举动索引103中的各举动204称为举动节点或者简称为节点。另外,举动索引103中的箭头205表示举动之间的前后关系,“入室前的状态”和 “入室后的状态”通过“入室”这样的事件205产生关系。
在本实施方式中,各个事件信息储存到后侧的举动节点的构造体信息中。举动索引103的举动节点分别与举动构造体(图10)相对应。在举动构造体中,包括举动节点的事件的信息,详细后述。在上述例子中,在“入室后的状态”这样的举动节点的举动构造体中,示出了“入室”这样的事件。这样,从各举动节点导出了事件。各举动节点表示的事件是日志101的日志数据中包含的事件。另外,根据举动索引103中的各举动节点的连结关系、各举动节点的举动构造体中示出的事件的信息,导出在日志101的日志数据中示出的事件的发生原委的履历。这样,举动索引103以及举动构造体通过多个节点的连结来表示日志数据中的事件的发生原委,相当于事件履历信息。图3是示出举动索引中的最单纯的前后关系的图,按照所发生的次序单纯地对在某类的某事例中发生的举动附加关系来管理。如图3所示,将前方的节点是1个、且后方的节点是1个的举动节点称为通常节
点ο图4示出具有层次构造的关系。事例A401通过某举动404的接下来的事件408生成了事例A401以外的2个事例 (事例B402以及事例C403)。将这样的关系称为层次关系,将后方的节点是2个以上的举动404称为分支节点。另外,事件408称为分支事件。另外,将从分支节点分支的路径(在图4中,节点405以及其以后的节点连结了的路径、节点406以及其以后的节点连结了的路径、节点407以及其以后的节点连结了的路径这3个路径)称为分支路径。图5示出层次关系与图4相同但是合并的情况的层次关系。事例A501的举动504、以及事例B502的举动505通过事件507被合并为事例 C503。将这样的前方的节点是2个以上的举动506称为合并节点。另外,事件507称为合并事件。另外,将合流到合并节点506的路径(在图5中,从节点504向节点506的路径、 从节点505向节点506的路径这2个路径)称为上游路径。图6示出类间的关系。对于用举动索引103管理的关系,一般按照事例的单位管理。另外,在具有层次关系的情况下管理不同的事例之间的关系。除此以外,为了对人、物、设备等附加关系,还管理类之间的关系。属于用户类601中的用户A通过产生了举动603的事件605与属于文件类602中的文件I的举动604产生关系。可以通过该关系从用户类向文件类切换检索对象范围。对于跨越类的检索对象范围的切换,在实施方式4中说明。接下来,叙述举动索引103中的各数据的构造。图7示出主体201的主体构造体700,主体构造体700具有举动索引管理的类数701以及管理向类构造体的指针的类构造体指针列表702。通过追寻类构造体指针列表702,可以从主体构造体700检索所有类。图8示出举动索引103中的类202的类构造体800。类构造体800具有类ID801,用于唯一地识别类;在进行管理的事例数802,对该类所管理的事例203的个数进行管理;以及事例构造体指针列表803,管理向属于该类的事例的构造体的指针。通过追寻事例构造体指针列表803,可以检索属于该类中的所有事例。图9示出举动索引103中的事例203的事例构造体900。在事例构造体900中,管理唯一地识别事例的事例ID901、对向该事例所属的类 202的指针进行管理的向类构造体的指针902、对属于该事例的举动数进行管理的、在进行管理的举动数903、以及对向属于该事例的举动构造体的指针进行管理的举动构造体指针列表904。通过追寻举动构造体指针列表904,可以检索属于该事例的所有举动。图10示出举动索引103中的举动204的举动构造体1000。举动构造体1000具有举动ID1001,唯一地识别举动;向事例构造体的指针 1002,对向该举动所属的事例的指针进行管理;以及事件ID1003,可以唯一地识别表示发生了该举动的事件。另外,作为用于对为了追踪而所需的举动之间的关系进行管理的数据,对1个之后的举动数1004、1个之后的举动ID排列1005、1个之前的举动数1006、1个之前的举动ID 排列1007进行管理。另外,作为对用于切换检索范围的类间的关系进行管理的数据,具有对与该举动有关系的类的个数进行管理的关联类数1008以及用于对其类ID进行管理的关联类 ID1009。通过该数据构造,可以针对存在关系的所有举动,从任意的举动到任意的举动进行检索。另外,图7 图10所示的各构造体是与举动索引103对应起来存储在信息存储部 117或者其他存储区域中。在本实施方式的检索装置100中,首先,正规表现变换部104从客户机200输入表示事件的出现顺序的检索条件,检索自动机保持部105按照检索条件式生成状态转移表 106。然后,举动信息抽取部107根据举动索引103从解析对象的事例依次按照连结顺序抽取举动节点,节点类别判定部108判别从举动信息抽取部107抽取的解析对象的举动节点是通常节点、分支节点、合并节点中的哪一个。另外,状态评价部111解析各举动节点来判断各举动节点的状态(即,各举动节点象征的事件),判定状态的转移模式是否与状态转移表106 —致。在通常节点连续的期间,状态评价部111按照举动节点的连结顺序,进行各举动节点的解析。在节点类别判定部108识别了分支节点的情况下,举动信息抽取部107针对从分支节点分支的每个分支路径,按照连结顺序,抽取分支路径中包含的各节点,状态评价部111针对每个分支路径,解析分支路径中包含的各节点,判断各节点的状态。更具体而言,合并分支节点处理部109将分支节点以及分支路径各自的信息登记到分支合并位置存储部114、分支合并状态存储部115中,从没有通过状态评价部111进行解析的分支路径中选择作为解析对象的分支路径,举动信息抽取部107从前方的节点,依次按照连结顺序,抽取由合并分支节点处理部109选择出的分支路径中包含的各节点。合并分支节点处理部109在状态评价部111针对所选择出的分支路径中包含的各节点进行的解析结束之后,选择新的解析对象的分支路径。另外,在节点类别判定部108识别了合并节点的情况下,举动信息抽取部107针对合流到合并节点的每个上游路径,按照连结顺序,抽取上游路径中包含的各节点,状态评价部111针对每个上游路径,解析上游路径中包含的各节点,判断各节点的状态。更具体而言,合并分支节点处理部109将合并节点以及合流路径各自的信息登记到分支合并位置存储部114、分支合并状态存储部115中,从没有通过状态评价部111进行解析的上游路径中选择作为解析对象的上游路径,举动信息抽取部107从前方的节点,依次按照连结顺序,抽取由合并分支节点处理部109选择出的上游路径中包含的各节点。合并分支节点处理部109在状态评价部111针对所选择出的上游路径中包含的各节点进行的解析结束之后,选择新的解析对象的上游路径。另外,举动信息抽取部107在合并节点的所有上游路径的解析完成之后,开始合并节点的后方的各节点的抽取。这样,举动信息抽取部107、节点类别判定部108、合并分支节点处理部109以及评价部110协作而进行举动索引103中包含的各节点的解析,举动信息抽取部107、节点类别判定部108、合并分支节点处理部109以及评价部110作为信息解析部发挥功能。另外,在实施方式2中详细说明针对分支节点的处理,在实施方式3中详细说明针对合并节点的处理。图11示出在实施方式1中说明的检索人的行动模式的情况下的检索条件式1101、 根据检索条件式生成的状态转移图1102、以及成为检索对象的举动索引1103的例子。状态转移图1102是与状态转移表106等价的信息,以下,为简化说明,有时代替状态转移表而使用状态转移图来说明。在举动索引1103中,检索对象类是用户,属于用户类中的用户数是3名。用户由于既不会被复制也不会被合并,所以不具有分支节点或者合并节点。在该例子中,存在与检索条件式1101 —致的事件发生顺序的模式的用户事例仅为用户C。图12是示出图11中的人的行动模式检索的处理流程的图。其中,设成已经生成了状态转移表106。在步骤1201中,举动信息抽取部107首先从检索对象的举动索引1103取得作为检索对象的用户类的事例。举动信息抽取部107例如从客户机200被指示取得用户类的事例,按照来自客户机200的指示,取得用户类的事例。接下来,在步骤1202中,举动信息抽取部107从所取得的用户事例的事例构造体 900(图9)的举动构造体指针列表904,抽取成为所取得的用户事例的检索开始点的举动节点ο接下来,在步骤1203中,节点类别判定部108判别从举动信息抽取部107抽取的举动节点的类别(通常节点、分支节点、合并节点),并且将所抽取的举动节点的信息(例如,举动构造体1000(图10)的事件ID1003)输入到状态评价部111。节点类别判定部108,如果1个之前的节点的数量是1个且1个之后的节点的数量是1个则判定为通常节点,如果1个之后的节点的数量是2个以上则判定为分支节点,如果 1个之前的节点的数量是2个以上则判定为合并节点。节点类别判定部108参照从举动信息抽取部107抽取的举动节点的举动构造体 1000 (图10)的1个之前的举动数1006的项目,判断1个之前的举动节点的数量,参照1个之后的举动数1004的项目,判断1个之后的举动节点的数量。在本实施方式中说明的举动索引1103中,由于仅有通常节点,所以不进行针对分支节点的处理、针对合并节点的处理。在实施方式2中说明针对分支节点的处理,在实施方式3中说明针对合并节点的处理。在步骤1204中,状态评价部111通过从节点类别判定部108输入的信息,取得转移后的状态。例如,在状态评价部111从节点类别判定部108输入了图11的举动索引1103的用户A的第2个举动(举动ID:2)的事件ID的情况下,状态评价部111可以根据所输入的事件ID识别“门扉1入室”这样的事件,判断为该举动(举动ID 2)的状态是“门扉1入室后的状态”。接下来,状态评价部111在步骤1205中,判断在步骤1204中取得的状态是否为受理状态,如果是受理状态(在步骤1205中“是”),则在步骤1206中将相当的用户的ID存储到存储区域中,转移到接下来的用户的检索处理。此时,状态转移被复位。在并非受理状态的情况下(在步骤1205中“否”),举动信息抽取部107在步骤 1207中针对当前检索中的用户判断是否检索至终端举动,在存在接下来的举动的情况下 (在步骤1207中“否”),回到步骤1202取得接下来的举动来继续执行检索处理。另一方面,在步骤1207中检索至终端举动的情况下,在步骤1208中,举动信息抽取部107判断是否存在作为接下来的检索对象事例的用户,在不存在用户的情况下结束, 在存在不同的用户的情况下对状态转移进行复位,回到步骤1201取得新的用户而开始检索处理。图13是示出在图11的实施方式1中的人的行动模式检索中由于举动的运动而状态如何转移的图。节点内的文字表示状态转移图1102中的状态。用户A1301从检索开始的状态“S”通过“门扉1入室”转移到状态“p2”,在“登录” 中状态仍为“p2”,在“门扉2出室”中仅针对出室转移到“p3”。用户B1302从开始状态“S”通过“门扉1入室”转移到状态“p2”,在“登录” “注销”中状态仍为“p2”,在“门扉3出室”中仅针对出室转移到“p3”。用户C1303从开始状态“S ”通过“门扉1入室”转移到状态“p2”,在“登录”中状态仍为“P2”,在“门扉1出室”中转移到受理状态。因此,在实施方式1的图11中的行动模式检索的例子中,仅用户C1303相当于检索条件式。实施方式2.在本实施方式中,说明应用于具有分支节点的举动索引103的检索的例子。检索装置100的结构图与实施方式1同样,是图1。图14示出在该实施方式2中说明的进行文件的操作模式的情况下的检索条件式 1401、状态转移图1402以及举动索引1403的一个例子。检索对象是文件,属于文件类中的事例的数量是“文件A”、“文件B”、“文件C”这3 个。文件的特征在于,由于通过拷贝事件等而复制,所以具有分支节点,合并分支节点处理部109进行分支处理。在检索条件式1401中,示出检索在进行了拷贝之后印刷的文件。在图14的举动索引1403中,存在与检索条件式1401 —致的事件发生顺序的模式的文件事例仅为文件B。图15是示出图14中的文件的操作模式检索的处理流程的图。其中,设成已经生成了状态转移表106。另外,针对分支节点以外的节点的检索处理与实施方式1相同,所以此处仅说明与分支节点相关的处理。在步骤1501中,节点类别判定部108参照所取得的举动的举动构造体1000(图 10)具有的1个之后的举动数1004,在存在2个以上的情况下判断为当前处理中的举动是分支节点。在是分支节点的情况下,在步骤1502中,合并分支节点处理部109在分支节点的举动构造体1000的暂时变量中储存所需的信息,在步骤1503中,合并分支节点处理部109 将向该举动信息构造体1000的指针储存到分支节点栈(图17)中,举动信息抽取部107转移到接下来的举动的检索处理。图16示出在解析对象的举动节点是分支节点的情况下,追加到举动构造体的暂时变量中的信息。状态1601存储作为在将该分支节点具有的信息输入到状态评价部111时从状态评价部111得到的响应的转移状态。例如,如果是图14的举动索引1403中的文件B的第2个举动节点(举动ID 6), 则合并分支节点处理部109从状态评价部111取得“文件B的保存后的状态”这样的响应, 将该“文件B的保存后的状态”储存到状态1601中。剩余的未处理举动数1602是对状态评价部111未进行节点的解析的未解析的分支路径的数量进行管理的项目。每当分支路径的解析结束,剩余的未处理举动数1602的数量减少。最接近地(most recently)处理的索引1603是管理接下来进行解析的分支路径的项目。更具体而言,最接近地处理的索引1603根据举动构造体1000内的“1个之后的举动ID排列1005”中示出的举动ID的排列中的顺序(是第几个索引),来确定接下来进行解析的举动节点。
例如,在分支节点的1个之后的举动节点的数量是2个的情况下,这些2个举动节点的ID储存到“1个之后的举动ID排列1005”的第0个索引和第1个索引中。在图14的举动索引1403的文件B的分支节点(举动ID:6)的例子中,在“1个之后的举动ID排列 1005”的第0个索引中存储ID :7,在第1个索引中存储ID :9。而且,当针对在“1个之后的举动ID排列1005”的第0个索引中存储了 ID的举动节点(在图14的例子中,ID 7的节点)进行解析时,最接近地处理的索引1603的值成为 “0”(第0个索引)。而且,如果从在第0个索引中储存了 ID的举动节点连锁的分支路径的各节点的解析结束,则回到分支节点,但此时,可以参照最接近地处理的索引1603的值,判断为针对第 0个索引的举动节点的处理结束,可以判断为接下来成为解析的对象的举动节点是在第1 个索引中储存了 ID的举动节点(在图14的例子中,ID 9的节点)。另外,图16所示的暂时变量在生成时被初始化,在不会再次回到分支节点时被初始化。图17是栈的形象图。在栈中储存向判定为分支节点的举动构造体的指针。此处,使用通用地利用的指针列表来储存。在指针列表中,准备了对最末尾1702追加新的指针的函数、取出开头1701的指针的函数、取出最末尾的指针的函数、指定并取出从开头起第几个的函数。在用作分支节点用的栈的情况下,在追加时始终追加到最末尾,即使在取出的情况下也始终从最末尾取出。接下来,说明回到分支节点来检索的情况下的检索方式。图18是在结束了针对某分支路径的解析之后回到分支节点并针对不同的分支路径进行检索的处理的流程图。在步骤1801中,合并分支节点处理部109参照用作栈的指针列表来确认是否存在向作为分支节点的举动构造体的指针。该指针是在图15的步骤1503中连接的指针。如果不存在,则针对当前处理中的事例的检索处理结束。在存在的情况下,在步骤1802中,合并分支节点处理部109从栈取得向作为分支节点的举动信息的构造体的指针。接下来,在步骤1803中,合并分支节点处理部109从作为分支节点的举动节点的举动构造体1000中储存的暂时变量中,使最接近地处理的索引1603(图16)递增,从1个之后的举动ID排列1005,取得与递增后的索引编号对应的ID而作为接下来的检索对象的举动节点的ID。此时,合并分支节点处理部109参照剩余的未处理举动数1602,在针对该分支节点没有未处理的举动节点、不存在应检索的分支路径的情况下(在步骤1803中“是”),对暂时变量进行初始化,从栈删除向该分支节点的指针(步骤1809)。接下来,在步骤1804中,状态评价部111取得分支节点的状态,在接下来的步骤 1805中,举动信息抽取部107取得分支节点的1个之后的举动的举动构造体。接下来,在步骤1806中,节点类别判定部108判别从举动信息抽取部107抽取的举动节点的类别(通常节点、分支节点、合并节点),并且将所抽取的举动节点的信息(例如,举动构造体1000(图10)的事件ID1003)输入到状态评价部111。而且,状态评价部111在步骤1807中输入所取得的举动的信息,同时继续进行分支节点以后的分支路径的各节点的解析。节点类别判定部108在抽取了分支节点的情况下,进行图15所示的处理。另外, 在抽取了合并节点的情况下进行实施方式3所示的处理。在步骤1808中,举动信息抽取部107如果确认是终端的节点,则再次在步骤1801 中参照栈。只要在栈中存在分支节点,则反复同样的检索处理。另外,在步骤1808中并非终端的情况下,回到步骤1805,举动信息抽取部107抽取接下来的举动的共同构造体。在图19中,使用图14的文件的检索例来示出各个举动中的状态的转移。与指定为检索条件式的文件操作模式相当的事例仅为表示受理状态的文件B。图20示出具有分支节点的举动索引2000的例子,图21示出针对举动索引2000 使用在图14中指定的检索条件式1401进行了检索的情况下的分支节点栈2010的变化和在分支节点中识别的接下来的举动ID2011的变化。另外,图21的接下来的举动ID2011是为了说明而设置的项目,在检索装置100内无需直接管理接下来的举动ID2011这样的项目。在检索装置100中,可以从图16所示的“剩余的未处理举动数1602”的信息、“最接近地处理的索引1603”的信息、图10所示的“1个之后的举动ID排列1005”的信息,导出与图21的“接下来的举动ID2011”相当的内容。在图20以及图21中,在步骤2001中,如果识别出分支节点,则在栈(图17)中储存向举动ID = 1的举动构造体的指针。在该时刻,针对该分支节点成为检索对象的接下来的举动ID2011是ID = 2以及 3。在步骤2002中,接下来的举动ID = 2被删除,但还剩下举动ID = 3,所以不从栈删除向分支节点的举动构造体的指针。如果直到步骤2002的处理完成,则参照栈(图17),取得作为分支节点的举动ID =1。由于举动ID = 1中储存的接下来的举动ID2011仅为ID = 3,所以进入到步骤 2003。此时,接下来的举动ID = 3被删除,在该时刻不存在接下来的举动ID2011,所以从栈删除向举动ID = 1的分支节点的举动构造体的指针。如果处理进行至步骤2004,则再次检测分支节点,将举动ID = 4作为分支节点,储存向该分支节点的举动构造体的指针到栈中,作为该分支节点的接下来的举动ID2011储存ID = 5以及7。在进入到步骤2005时,分支节点的接下来的举动ID = 5被删除,但7残存,所以不从栈删除向分支节点的共同构造体的指针,而执行检索。如果结束了终端步骤2006的处理,则参照栈,取得作为分支节点的举动ID = 4。由于接下来的举动2011是ID = 7,所以进入到步骤2007。此时,举动ID = 4的接下来的举动ID不存在,所以从栈删除举动ID = 4。
如果结束了终端步骤2008的处理,则参照栈,但在此时,不存在分支节点,所以结束所有处理。这样,根据本实施方式,即使在举动索引中包括分支节点的情况下,由于抽取所有分支路径的节点来进行节点的解析,所以也可以网罗举动索引中包含的事件发生顺序的所有模式,可以高效地抽取与检索条件式一致的模式。实施方式3.在本实施方式中,说明应用于具有合并节点的举动索引103的检索的例子。检索装置100的结构图与实施方式1相同,是图1。在制造工序日志中,与在实施方式2中说明的分支一起观察到原料的配合工序等引起的举动的合并。图22示出以制造工序日志为例子的检索条件式2101、状态转移图2102以及举动索引2103。举动2105是多个举动合并的合并节点。另外,路线举动2104是各个追踪路径中的开头举动。在该例子中,存在与所指定的检索条件式2101 —致的事件发生顺序的模式的原材料事例是原料B。图23是针对包括合并节点的举动索引的检索方式的流程图。另外,针对合并节点以外的节点的检索处理与实施方式1以及实施方式2相同,所以此处仅说明与合并节点相关的处理。在步骤2201中,节点类别判定部108判定是否为合并节点。在是否为合并节点的判定中,在举动构造体中的1个之前的举动数1006是2以上的情况下判断为合并节点。在是合并节点的情况下,在步骤2202中,合并分支节点处理部109在合并节点的举动构造体1000的暂时变量中存储合并节点的状态,在步骤2203中在合并节点用栈中储存向作为合并节点的举动构造体的指针。暂时变量如图16所示,栈也如图17所示。在步骤2204中,举动信息抽取部107取得与到此为止追寻的路线不同的路线的举动。例如,在图22的举动索引2103中,在按照ID = 5的举动、ID = 6的举动的顺序处理之后,在节点类别判定部108将ID = 9的举动2105判定为合并节点的情况下,举动信息抽取部107取得作为不同的路线的举动的ID = 7的举动2104。接下来,在步骤2205中,举动信息抽取部107从各个父举动扫描至合并节点,状态评价部111取得直至合并节点的各举动的状态,并且取得合并节点处的状态,并且,如果由状态评价部111取得的合并节点的状态是与到此为止取得的状态不同的状态,则合并分支节点处理部109储存到合并节点的暂时变量中。例如,在图22的举动索引2103中,在经由ID = 7的举动、ID = 8的举动而到达了 ID = 9的举动时,在此时由状态评价部111取得的ID = 9的举动的状态(第2次的状态)与经由ID = 5的举动、ID = 6的举动取得的ID = 9的举动(第1次的状态)不同的情况下,合并分支节点处理部109将第2次的状态储存到暂时变量中。另外,第1次的状态在步骤2202中储存到暂时变量中。
接下来,举动信息抽取部107在步骤2206中,判断是否还有另外的路线,在还有另外的路线的情况下,进一步执行该路线中的直到合并节点的检索,在不存在的情况下,执行合并节点以后(合并节点的后方的节点)的检索。在合并节点以后的检索中,状态评价部111以与合并节点在暂时变量中储存的状态的个数相同的次数,将各节点的状态解析至终端,判断是否与检索条件式相当。图M示出制造日志的举动索引2300的例子,图25示出检索了制造日志的举动索引2300的情况下的暂时变量中储存的状态和合并节点栈的变化。本例子是从原料A、B、C、D、E制造产品的工序,检索条件式与图22的2101相同。举动2301以及举动2302是该举动索引中的合并节点。另外,节点内的数值是识别举动的举动ID。通过用图M的原料A沿着路径2306检索,检测合并节点2301,将向合并节点2301 的举动构造体的指针储存到合并节点栈中。另外,进行检索的结果,在合并节点处得到的状态p0被储存到合并节点的暂时变量中。针对合并节点2301,作为与举动ID = 1不同的路线的举动取得举动ID = 3,沿着路径2307检索至合并节点而取得状态p0。该状态与沿着路径2306检索而取得的状态相同,所以不储存到状态变量中。接下来,沿着合并节点2301以后的路径2308,检索至接下来的合并节点2302。此时,由于合并节点的暂时变量中储存的状态仅为p0,所以从合并节点的暂时变量删除状态P0,并且从合并节点栈删除作为合并节点的举动ID = 5。沿着路径2308检索至合并节点2302的结果,所取得的状态是pl,所以在合并栈中储存作为合并节点2302的举动ID = 9,同时在合并节点2302的暂时变量中储存所取得的状态pl。针对合并节点2302取得路线举动2305。接下来,从举动2305沿着路径2309检索至合并节点2302,将在合并节点2302处取得的状态P2储存到合并节点的暂时变量中。此处,示出合并节点M02的第2次的状态 P2与第1次的状态pl不同的例子。在该时刻,在合并节点2302的暂时变量中,储存有2个状态pl、p2。由于直到合并节点的检索结束,所以沿着合并节点2302以后的路径2310执行检
索至终端。合并节点2302的状态变量中储存的状态是pl、p2这2种,所以路径2310必需以合并节点2302为始点而检索2次相同的路径。在第1次的检索中执行基于状态pl的检索并且从暂时变量删除Pl。在第2次的检索中执行从状态p2的检索,并且删除状态变量p2。合并节点2302的状态变量全部被删除,所以将合并节点从栈删除。参照栈来确认不存在合并节点,结束检索。这样,根据本实施方式,即使在举动索引中包括合并节点的情况下,由于抽取所有上游路径的节点来进行节点的解析,所以也可以网罗举动索引中包含的事件发生顺序的所有模式,可以高效地抽取与检索条件式一致的模式。
另外,根据本实施方式,例如由于在制造工序的过程中将部件嵌入到产品中而需要以其他着眼点追踪的情况下,对不同的着眼点下的关系进行管理,从而可以实现切换了着眼点的追踪。实施方式4.在本实施方式中,说明将属于特定的类(范畴)中的举动索引(事件履历信息) 与其他类的举动索引对应起来,在对某类的举动索引的节点进行解析时,解析中的举动索引与其他类的举动索引对应起来了的情况下,抽取对应起来的其他类的举动索引,对所抽取的其他类的举动索引的节点进行解析,根据属于2个以上的类的2个以上的举动索引的节点的组合,抽取1个以上的事件发生顺序的模式,进行与检索条件式的对照的例子。图沈示出本实施方式的检索装置100的结构例。在图沈中,追加了类间关系定义文件116这一点与图1不同。另外,在本实施方式中,加上了关系解析部112的动作。关系解析部112按照指定为检索条件式的行动模式,在需要跨越人、设备、文件等来检索的情况下,可以根据类间关系定义文件116的信息一边切换检索的范围一边进行检索。S卩,在实施方式1 3中仅以同一类内的检索为对象,但在实施方式4中说明使用了不同的类之间的关系构造的检索方式。图27是实施方式4的检索条件式M01、状态转移图M02、举动索引M03。在图27中,检索条件式MOl是用于检索属于在拷贝之后被印刷并通过复印机1 进行了复印的文件类的事例的检索条件式。举动索引M03具有文件类M04、用户类M05、设备类M06。在文件类M04中存在3个文件事例、在用户类M05中存在2个用户事例、在设备类对06中存在2个设备事例。另外,矩形内数字1 M表示举动ID。检索条件式MOl的追踪对象类是文件类对04,所以举动信息抽取部107从属于文件类的事例的始点举动按照发生顺序取得举动,节点类别判定部108判定节点类别,对状态评价部111依次输入各节点的信息。在文件类的事例的举动中记录有拷贝事件和印刷事件,但没有记录复印事件。因此,在文件类的范围内的检索中无法取得与检索条件式MOl相当的事例。因此,对于印刷事件发生后的复印事件,关系解析部112使用类间关系定义文件 116的类间关系定义,将成为检索对象的类从文件类M04切换为用户类M05而检索。根据图27,叙述使用了类间关系的检索中的向状态评价部111的输入信息抽取步马聚ο首先,客户机200在类间关系定义文件116中针对每个检索条件式ID定义检索范围类的切换。图观所示的类间关系定义文件116的定义例2501是与图27的检索条件式MOl 对应起来定义的,定义了对于印刷事件将检索范围从文件类切换为用户类。关系解析部112根据定义例2501,判断了举动的印刷事件时,在当前检索中的类是文件类的情况下,将着眼点切换到用户类,举动信息抽取部107从举动索引抽取切换后的用户类的举动。另外,在利用关系解析部112的检索范围的切换时,文件类的举动构造体存储到类间关系栈中,如果切换后的检索直至终端而结束,则再次从栈读入切换了检索类的时刻的举动,不切换类而继续执行检索。例如在图27中,如果状态评价部111在以文件类M04为对象的检索中识别出印刷事件2407,则在该时刻,关系解析部112根据类间关系定义文件116的定义,将检索对象类切换为用户类M05,举动信息抽取部107按照节点的连结顺序抽取用户类的用户A事例的举动、用户B事例的举动,状态评价部111在得到了用户A的ID = 11的举动时、或者得到了用户B的ID = 15的举动时,可以使用户类M05的举动连结到文件类M04的举动。另外,如果在事例构造体900中,设置管理在其他类中关联的事例的ID的项目 (以下,记载为“其他类关联事例ID”),则可以将检索范围从特定的事例切换为其他类的特定的事例。例如,在图27的举动索引M03中,如果在文件III事例的事例构造体的其他类关联事例ID中储存有用户B事例的事例ID,则可以将检索范围从文件III切换为用户B。进而,如果在举动构造体1000中,设置管理在其他类中关联的举动的ID的项目 (以下,记载为“其他类关联举动ID”),则可以将检索范围从特定的举动切换为其他类的特定的举动。例如,在图27的举动索引M03中,如果在文件III事例的ID = 7的举动的举动构造体的其他类关联举动ID中储存有用户B事例的举动ID = 15,则如箭头M08所示,可以将检索范围从文件III的ID = 7的举动切换为用户B的ID = 15的举动。如果在用户B中在举动15之后发生的事件是复印事件,且该复印事件是通过复印机1被处理的,则检索条件式MOI成为受理状态。假设在将检索对象类切换为用户类而检索了之后,直至终端没有成为受理状态的情况下,举动信息抽取部107从类间关系栈取得所存储的举动8,再次从8开始执行文件类 2404内的检索。此时,从类间关系栈删除举动ID = 8。在本例子中,说明了切换2个类的例子,但在可切换的类数中没有限制,只要在类间关系定义文件116中进行了定义,就可以是任意的类数。因此,还可以在3个以上的类之间切换检索范围。S卩,还可以将检索范围从文件类切换为用户类,进而,从用户类切换为设备类。另外,在切换检索的类范围的情况下,检索范围变得庞大,所以通过加上从切换起一定时间内、或者一定举动数内等限制,可以缩小范围。此处,当集中在以上的实施方式1 4中说明的内容时,如下所述。在实施方式1 4中,说明了根据事件的发生模式,检索具有用于管理履历数据 (日志)的前后关系而按照发生顺序追踪每个对象的动作(事件)的数据构造的履历追踪型数据的部分一致检索系统。更具体而言,说明了部分一致检索系统包括节点类别判定部、分支节点处理部、合并节点处理部、评价判定部、关系解析部。这些部分用于存储由动作和对象的ID构成的检索条件式而进行语法解析,作为与所输入的检索条件式等价的检索自动机,根据检索条件式生成状态转移表,根据所输入的状态和ID使用转移状态表来取得接下来转移的节点的状态,在结束了与所有节点相关的状态取得的情况下,输出表示所述状态转移适合于所述检索条件式的对象的ID。另外,在实施方式1 4中说明的部分一致检索系统中,说明了使用状态转移表, 针对输入,根据所得到的状态判断其是否为受理状态,在受理状态的情况下,将该节点的ID 存储在存储区域中,在结束了所有节点的检索的时刻,返回识别了受理状态的数量和命中位置。另外,在实施方式1 4中说明的部分一致检索系统对于所扫描的节点的类别,在 1个之前的节点数以及1个之后的节点数分别是1的情况下分类为“通常节点”、在1个之前是1、1个之后是2以上的情况下分类为“分支节点”、在1个之前是2以上、1个之后是1 的情况下分类为“合并节点”来判断。另外,在实施方式1 4中说明的部分一致检索系统中,说明了在节点类别判定部将解析中的节点判定为“分支节点”的情况下,与节点信息数相应地将分支节点中的1个之后的所有节点的信息和所述分支节点处的状态存储到存储区域中,针对比分支节点处于后方的处理,从存储区域取出最靠近的最近保存的分支节点信息和状态,从该节点取得状态转移。另外,在实施方式1 4中说明的部分一致检索系统中,说明了在节点类别判定部将解析中的节点判定为“合并节点”的情况下,取得合并节点的所有父节点,针对从所述父节点至合并节点,从所述状态转移表取得转移状态,与父节点个数相应地进行存储,关于不同的状态数进行合并节点以后的判定。另外,在实施方式1 4中说明的部分一致检索系统中,说明了关系解析部读入事前定义的类间的关系定义,一边在检索中切换检索对象类一边进行检索。最后,说明实施方式1 4所示的检索装置100的硬件结构例。图四是示出实施方式1 4所示的检索装置100的硬件资源的一个例子的图。另外,图四的结构终究是表示检索装置100的硬件结构的一个例子,检索装置100 的硬件结构不限于图四记载的结构,而也可以是其他结构。在图四中,检索装置100具备执行程序的CPU911 (Central Processing Unit,还称为中央处理装置、处理装置、运算装置、微处理器、微型机算计、处理器)。CPU911 经由总线 912,例如,与 ROM (Read Only Memory,只读存储器)913、 RAM (Random Access Memory,随机访问存储器)914、通信板915、显示装置901、键盘902、鼠标903、磁盘装置920连接,控制这些硬件设备。进而,CPU911也可以与FDD904 (Flexible Disk Drive,软盘驱动器)、高密度盘装置905 (OTD)、打印机装置906、扫描仪装置907连接。另外,代替磁盘装置920,而也可以是
光盘装置、存储卡(注册商标)读写装置等存储装置。RAM914是易失性存储器的一个例子。R0M913、FDD904、⑶D905、磁盘装置920的存储介质是非易失性存储器的一个例子。这些是存储装置的一个例子。通信板915、键盘902、鼠标903、扫描仪装置907、FDD904等是输入装置的一个例子。另外,通信板915、显示装置901、打印机装置906等是输出装置的一个例子。
通信板915与网络连接。例如,通信板915也可以与LAN (局域网)、因特网、WAN (广域网)、SAN(存储区域网)等连接。在磁盘装置920中,存储有操作系统921 (OS)、视窗系统922、程序群923、文件群924。CPU911 一边利用操作系统921、视窗系统922 —边执行程序群923的程序。另外,在RAM914中,暂时储存使CPU911执行的操作系统921的程序、应用程序中的至少一部分。另外,在RAM914中,存储由CPU911执行的处理所需的各种数据。另外,在R0M913中,存储有BIOS (Basic Input Output System,基础输入输出系统)程序,在磁盘装置920中存储有引导程序。在检索装置100起动时,执行R0M913的BIOS程序以及磁盘装置920的引导程序, 通过BIOS程序以及引导程序起动操作系统921。在上述程序群923中,存储有执行在实施方式1 4的说明中说明为“ 部”的功能的程序。程序由CPU911读出并执行。在文件群拟4中,存储有表示在实施方式1 4的说明中说明为“ 的解析”、“ 的判断”、“ 的判别”、“ 的比较”、“ 的评价”、“ 的抽取”、“ 的更新”、“ 的设定”、“ 的
登记”、“ 的选择”等的处理的结果的信息、数据、信号值、变量值、参数,而作为“ 文件”、 “ 数据库”的各项目。“ 文件”、“ 数据库”存储在盘、存储器等记录介质中。盘、存储器等存储介质中存储的信息、数据、信号值、变量值、参数经由读写电路通过CPU911读出到主存储器、高速缓存存储器中,用于抽取·检索·参照·比较·运算·计算·处理·编辑·输出·印刷·显示等CPU的动作。在抽取·检索·参照·比较·运算·计算·处理·编辑·输出·印刷·显示的CPU 的动作的期间,信息、数据、信号值、变量值、参数暂时存储在主存储器、寄存器、高速缓存存储器、缓冲存储器等中。另外,在实施方式1 4中说明的流程图的箭头的部分主要表示数据、信号的输入输出,数据、信号值记录在RAM914的存储器、FDD904的软盘、⑶D905的高密度盘、磁盘装置 920的磁盘、其他光盘、迷你盘、DVD等记录介质中。另外,数据、信号通过总线912、信号线、 电缆、其他传送介质,在线传送。另外,在实施方式1 4的说明中说明为“ 部”的部分既可以是“ 电路”、“ 装置”、“ 设备”,另外也可以是“ 步骤”、“ 阶段”、“ 处理”。即,说明为“ 部”的部分也可以通过R0M913中存储的固件实现。或者,也可以仅通过软件、或者、仅通过元件 设备 基板 布线等硬件、或者通过软件和硬件的组合、进而通过与固件的组合来实施。固件和软件作为程序,存储在磁盘、软盘、光盘、高密度盘、迷你盘、DVD等记录介质中。程序由CPU911读出,并由CPU911执行。即,程序使计算机作为实施方式1 4的“ 部”发挥功能。或者, 使计算机执行实施方式1 4的“ 部”的步骤、方法。这样,实施方式1 4示出的检索装置100是具备作为处理装置的CPU、作为存储装置的存储器、磁盘等、作为输入装置的键盘、鼠标、通信板等、作为输出装置的显示装置、 通信板等的计算机,使用这些处理装置、存储装置、输入装置、输出装置来实现如上所述示出为“ 部”的功能。
权利要求
1.一种信息处理装置,其特征在于,具有信息存储部,存储事件履历信息,该事件履历信息是用多个节点的连结来表示事件的发生原委的履历的信息,并且该事件履历信息包括与2个以上的后方节点连结的分支节点以及与2个以上的前方节点连结的合并节点中的至少某一个;以及信息解析部,针对所述事件履历信息的各节点,从前方的节点起依次按照节点的连结顺序进行解析,识别各节点表示的事件,判定解析对象的节点是否与分支节点以及合并节点中的某一个相当,在解析对象的节点是分支节点的情况下,针对从分支节点分支的每个分支路径,按照连结顺序解析分支路径中包含的各节点,识别各节点表示的事件,在解析对象的节点是合并节点的情况下,针对合流到合并节点的每个上游路径,按照连结顺序解析上游路径中包含的各节点,识别各节点表示的事件,从所述事件履历信息抽取1个以上的事件发生顺序的模式。
2.根据权利要求1所述的信息处理装置,其特征在于,所述信息处理装置还具有抽取条件输入部,该抽取条件输入部输入表示抽取对象事件和抽取对象事件的出现顺序的抽取条件,所述信息解析部判定所抽取的事件发生顺序的模式是否与所述抽取条件中示出的抽取对象事件的出现顺序一致。
3.根据权利要求2所述的信息处理装置,其特征在于,所述信息存储部存储有多个事件履历信息,所述信息解析部针对每个事件履历信息,抽取事件发生顺序的模式,并抽取如下事件履历信息该事件履历信息包括与所述抽取条件中示出的抽取对象事件的出现顺序一致的事件发生顺序的模式。
4.根据权利要求1所述的信息处理装置,其特征在于,所述信息存储部将多个事件履历信息分类为多个范畴而存储,进而,将属于不同的范畴的关联的2个以上的事件履历信息彼此对应起来存储,所述信息解析部对属于特定的范畴的事件履历信息的各节点进行解析,在解析中的所述特定的范畴的事件履历信息与其他范畴的事件履历信息相对应的情况下,抽取与所述特定的范畴的事件履历信息相对应的其他范畴的事件履历信息,对所抽取的其他范畴的事件履历信息的节点进行解析,根据属于2个以上的范畴的2个以上的事件履历信息的节点的组合,抽取1个以上的事件发生顺序的模式。
5.根据权利要求4所述的信息处理装置,其特征在于,所述信息存储部以节点为单位彼此相对应地存储属于不同的范畴的关联的2个以上的事件履历信息,所述信息解析部对属于所述特定的范畴的事件履历信息的各节点进行解析,在解析中的节点与其他范畴的事件履历信息内的节点相对应的情况下,抽取与解析中的节点相对应的节点,解析所抽取的节点。
6.根据权利要求4所述的信息处理装置,其特征在于,所述信息解析部在所抽取的其他范畴的事件履历信息还与另外的范畴的事件履历信息相对应的情况下,抽取该另外的范畴的事件履历信息,对所抽取的另外的范畴的事件履历信息的节点进行解析,根据属于3个以上的范畴的3个以上的事件履历信息的节点的组合,抽取1个以上的事件发生顺序的模式。
7.根据权利要求6所述的信息处理装置,其特征在于,所述信息存储部以节点为单位彼此相对应地存储属于不同的范畴的关联的2个以上的事件履历信息,所述信息解析部对所抽取的其他范畴的事件履历信息的节点进行解析,在解析中的节点与另外的范畴的事件履历信息内的节点相对应的情况下,抽取与解析中的节点相对应的节点,解析所抽取的节点。
8.根据权利要求1所述的信息处理装置,其特征在于,所述信息解析部在所述事件履历信息中包括分支节点的情况下,从未解析的分支路径中选择作为解析对象的分支路径,针对所选择出的分支路径中包含的各节点,从前方的节点起依次按照连结顺序进行解析,在所选择出的分支路径中包含的各节点的解析结束之后,选择新的解析对象的分支路径。
9.根据权利要求1所述的信息处理装置,其特征在于,所述信息解析部在所述事件履历信息中包括合并节点的情况下,从未解析的上游路径中选择作为解析对象的上游路径,针对所选择出的上游路径中包含的各节点,从前方的节点起依次按照连结顺序进行解析,在所选择出的上游路径中包含的各节点的解析结束之后,选择新的解析对象的上游路径。
10.根据权利要求8所述的信息处理装置,其特征在于,所述信息解析部在合并节点的所有上游路径的解析完成之后,开始合并节点的后方的各节点的解析。
11.根据权利要求9所述的信息处理装置,其特征在于,所述信息解析部在进行了合并节点的所有上游路径的解析的结果,判明了合并节点表示多个种类的事件时,反复进行如下次数的合并节点的后方各节点的解析相当于合并节点所表示的事件的种类数的次数。
12.一种信息处理方法,其特征在于,使计算机从规定的存储装置取得事件履历信息,该事件履历信息是用多个节点的连结来表示事件的发生原委的履历的信息,并且该事件履历信息包括与2个以上的后方节点连结的分支节点以及与2个以上的前方节点连结的合并节点中的至少某一个,使所述计算机针对所述事件履历信息的各节点,从前方的节点起依次按照节点的连结顺序进行解析,识别各节点表示的事件,判定解析对象的节点是否与分支节点以及合并节点中的某一个相当,在解析对象的节点是分支节点的情况下,针对从分支节点分支的每个分支路径,按照连结顺序对分支路径中包含的各节点进行解析,识别各节点表示的事件,在解析对象的节点是合并节点的情况下,针对合流到合并节点的每个上游路径,按照连结顺序解析上游路径中包含的各节点,识别各节点表示的事件,从所述事件履历信息抽取1个以上的事件发生顺序的模式。
13.一种程序,其特征在于,用于使计算机执行如下处理信息取得处理,从规定的存储装置取得事件履历信息,该事件履历信息是用多个节点的连结来表示事件的发生原委的履历的信息,并且该事件履历信息包括与2个以上的后方节点连结的分支节点以及与2个以上的前方节点连结的合并节点中的至少某一个;以及信息解析处理,针对所述事件履历信息的各节点,从前方的节点起依次按照节点的连结顺序进行解析,识别各节点表示的事件,判定解析对象的节点是否与分支节点以及合并节点中的某一个相当,在解析对象的节点是分支节点的情况下,针对从分支节点分支的每个分支路径,按照连结顺序对分支路径中包含的各节点进行解析,识别各节点表示的事件, 在解析对象的节点是合并节点的情况下,针对合流到合并节点的每个上游路径,按照连结顺序解析上游路径中包含的各节点,识别各节点表示的事件,从所述事件履历信息抽取1 个以上的事件发生顺序的模式。
全文摘要
举动索引(103)用多个节点的连结来表示日志数据中包含的事件的发生原委,包括与2个以上的后方的节点连结的分支节点、从2个以上的前方的节点连结的合并节点,在正规表现变换部(104)从客户机(200)输入了表示事件的出现顺序的检索条件时,检索自动机保持部(105)按照检索条件生成状态转移表(106),节点类别判定部(108)判定举动索引(103)的各节点的节点类别,同时状态评价部(111)解析各节点而判断各节点的状态,判定状态的转移模式是否与状态转移表(106)一致,对于分支节点,针对从分支节点分支的每个分支路径,解析各节点,对于合并节点,针对合流到合并节点的每个上游路径,解析各节点。
文档编号G06F17/30GK102317940SQ20098015699
公开日2012年1月11日 申请日期2009年2月27日 优先权日2009年2月27日
发明者平井规郎, 郡光则 申请人:三菱电机株式会社