統合ログ管理に必要な相関分析


統合ログ管理をする主たる目的のひとつは、複数の種類のログを一元管理することにあります。
一元管理の狙いは、運用の効率化だけではありません。複数のログを分析できる仕組みがあれば、異なるログの相関関係を分析することで、インシデントの原因究明の助けになったり、脅威に対する予兆が検知できるようになったりすることが期待できます。
異なるログデータに何らかの関係性がある場合、相関分析によって、そのログ同士の関係の強さが明確になります。相関分析をすることによって、通常のケースとは違った相関関係がある場合など、異常値の存在がに明白になり、その理由が何かの問題があった場合の原因となっていたり、これから発生しそうな問題の前兆を表している場合があったりします。 そうなると、統合ログ管理システムとして、相関分析ができる機能は、ほぼ必須条件として必要なものになってきます。

どのログと、どのログの関係を分析すべきかは、もちろん環境によって異なりますが、同じ業務によって作成された機器やアプリケーションのログは、少なからず関係があります。それぞれのログは、内容もレコード長も、ログ量もバラバラなので、相関分析をするには、何か同一の項目で合わせるスケールとなれるものが必要です。その際、ログ管理でよく利用するのが時間軸です。そのためにも、タイムサーバなどで時刻を同期させ、同じ時刻でログを取得できるようにする必要があります。

相関分析の一般的なやり方は、散布図を描画し、相関係数を算出します。 たとえば、1時間ごとにトランザクション数や通信エラーの数など任意の数値化できる値で散布図を作成すれば、それをもとに、それぞれの相関係数を求めることができます。相関係数は、−1以上1以下の実数で表せられ、相関係数が1に近い正の相関があるときには、トランザクションの値が増加すれば、通信エラーも増えるという右肩上がりの分布になり、もしも、-1に近い負の相関があれば、その逆でトランザクションの増加に対し、エラーは減少していく右肩下がりの分布になります。これらは、2つの要素がどの程度同じ動きをするかという関係性がわかる指標となりますが、お互いがランダムな配置の散布図となり無相関のケースもあります。

どのログのどんな要素で相関分析するかによって、エラーの数など改善したい指標にどの要素が強く関係しているのかがわかります。また、散布図のグラフだけでなく、相関係数を算出することによって、異なった要素の関連性がどの程度なのか数値的に可視化できます。これにより、客観的な分析評価ができます。そして、異常値があった場合の発見にも役立ちます。


相関分析の仕組みは、傾向や予兆を掴むために重要


相関分析, 予兆