Graph Neural Networks based Log Anomaly Detection and Explanation

要約

イベント ログはハイテク システムのステータスを記録するために広く使用されており、ログの異常検出はこれらのシステムを監視する上で重要になります。
既存のログ異常検出方法のほとんどは、ログ イベント カウント マトリックスまたはログ イベント シーケンスを入力として受け取り、ログ イベント間の定量的および/または連続的な関係を利用して異常を検出します。
残念ながら、定量的または連続的な関係を考慮するだけでは、検出精度が低くなる可能性があります。
この問題を軽減するために、Logs2Graphs と呼ばれる教師なしログ異常検出のためのグラフベースの方法を提案します。これは、まずイベント ログを属性付き、有向グラフ、重み付きグラフに変換し、次にグラフ ニューラル ネットワークを利用してグラフレベルの異常検出を実行します。
具体的には、属性付きグラフ、有向グラフ、および重み付きグラフのコレクション内のグラフレベルの異常を検出するための新しいグラフ ニューラル ネットワーク モデルである One-Class Digraph Inception Convolutional Networks (OCDiGCN と略称) を紹介します。
グラフ表現と異常検出ステップを組み合わせることで、OCDiGCN は異常検出に特に適した表現を学習でき、その結果、高い検出精度が得られます。
重要なのは、特定された異常ごとに、OCDiGCN の予測で重要な役割を果たすノードの小さなサブセットを説明として追加して提供し、その後の根本原因診断に貴重な手がかりを提供できることです。
5 つのベンチマーク データセットでの実験では、Logs2Graphs が単純なデータセットでは最先端のログ異常検出方法と少なくとも同等のパフォーマンスを示し、複雑なデータセットでは最先端のログ異常検出方法を大幅に上回っていることが示されています。

要約(オリジナル)

Event logs are widely used to record the status of high-tech systems, making log anomaly detection important for monitoring those systems. Most existing log anomaly detection methods take a log event count matrix or log event sequences as input, exploiting quantitative and/or sequential relationships between log events to detect anomalies. Unfortunately, only considering quantitative or sequential relationships may result in low detection accuracy. To alleviate this problem, we propose a graph-based method for unsupervised log anomaly detection, dubbed Logs2Graphs, which first converts event logs into attributed, directed, and weighted graphs, and then leverages graph neural networks to perform graph-level anomaly detection. Specifically, we introduce One-Class Digraph Inception Convolutional Networks, abbreviated as OCDiGCN, a novel graph neural network model for detecting graph-level anomalies in a collection of attributed, directed, and weighted graphs. By coupling the graph representation and anomaly detection steps, OCDiGCN can learn a representation that is especially suited for anomaly detection, resulting in a high detection accuracy. Importantly, for each identified anomaly, we additionally provide a small subset of nodes that play a crucial role in OCDiGCN’s prediction as explanations, which can offer valuable cues for subsequent root cause diagnosis. Experiments on five benchmark datasets show that Logs2Graphs performs at least on par with state-of-the-art log anomaly detection methods on simple datasets while largely outperforming state-of-the-art log anomaly detection methods on complicated datasets.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google