AIBR プレミアム
拓海さん、最近うちの現場で「ログの異常検知を自動化しろ」と言われましてね。ログはいっぱいあるけど、同じ文言ばかりで困っていると部長が。こういうの、本当にAIで拾えるものなんですか?
素晴らしい着眼点ですね!大丈夫、できますよ。今回の論文は「似た文面ばかりで学習データが少ない」場合でも、順序の乱れや文脈の外れを検出する手法を示しています。要点を3つで言うと、事前処理でノイズを減らす、ログを数値ベクトルに変える、そして順序をモデル化して確率で評価する、です。
これって要するに、ログの中身だけじゃなくて「出た順番」を見ておけばおかしな挙動を見つけられる、ということですか?
そうなんですよ。ログの文面が限られている環境では、単発の文言だけを評価しても見落としが出ます。順序のパターンを学ぶことで、普段の流れと違う箇所や珍しい組み合わせが確率的に低くなるため、そこをアラート化できるんです。
投資対効果の観点では、学習に大量のラベル付けが要らない点が魅力に思えますが、本当に現場で使えるレベルの誤検知率になるんでしょうか。人手の確認は減りますか?
良い質問ですね。結論から言うと、誤検知はゼロにはならないが、人手による全面監視よりは現実的だと言えるんです。理由は三つあります。まず、手作業のラベル付けコストが不要で即時導入できること。次に、モデルが順序を見ているため通常のノイズに鈍感な点。そして最後に、確率的スコアで閾値調整ができ、運用側のリスク許容に合わせやすい点です。
導入はどの程度技術的に難しいですか。うちの現場担当はクラウドも苦手でして。オンプレで動かせますか?
心配いりません。一緒に整備すればオンプレでも十分です。実装は概ね四工程で、前処理、埋め込み生成、順序モデル学習、スコアリングです。前処理は正規表現程度、埋め込みは既成のWord2Vec(Word2Vec)や類似手法で平均ベクトルを取るだけ、順序モデルはHidden Markov Model(HMM:隠れマルコフモデル)と呼ばれる確率モデルを用います。これらは比較的軽量で、現場のサーバでも動きますよ。
なるほど。特に前処理で「ユニークすぎるトークン」をどう扱うかが鍵のようですね。監視する対象ノードごとに学習させるんですか、それとも汎用で使えるんですか。
基本はノードごとに学習させるのが現実的です。ノードごとにログの表現や順序が違うため、各ソースを個別に扱うと精度が上がります。とはいえ、似たタイプのノード群をまとめて学習する工夫も可能ですし、運用コストとのバランスで決めれば良いですよ。
わかりました。では最後に、要点を私の言葉でまとめますと、ログの中身だけでなく出現の順番を低コストで学ばせて、順序が外れた箇所を確率であぶり出す、ということですね。これなら現場でも使えそうです。
