JP2005182647A - Abnormality detector for apparatus - Google Patents
Abnormality detector for apparatus Download PDFInfo
- Publication number
- JP2005182647A JP2005182647A JP2003425547A JP2003425547A JP2005182647A JP 2005182647 A JP2005182647 A JP 2005182647A JP 2003425547 A JP2003425547 A JP 2003425547A JP 2003425547 A JP2003425547 A JP 2003425547A JP 2005182647 A JP2005182647 A JP 2005182647A
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- abnormality detection
- information
- learning
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、予め異常を検知するための条件として登録されていない異常パターンに対しても、リアルタイムで学習し、データマイニングの手法を利用して機器の異常を検知する機器の異常検知装置に関する。 The present invention relates to a device abnormality detection apparatus that learns in real time even an abnormality pattern that is not registered as a condition for detecting an abnormality in advance and detects a device abnormality using a data mining technique.
近年、様々な電子機器や、これらを組み合わせたシステムの内部構成は、高度な処理を行うために複雑になっているが、その複雑さ故に、予期せぬトラブル、例えば停電等により、しばしば障害、故障が発生することがある。或いは、処理すべきデータの型がプログラムに適合しない、例えば、数値処理に対して、文字列が混在することにより処理不能になる、などの理由により、システムに障害が発生することもある。
また、ごく一部の障害が、電子機器やシステムの全体に、致命的な障害をもたらすこともある。
そのため、障害はできる限り早く検知しなければならない。そして、このような異常を検知するための装置は、現在の電子機器やシステムにおいては、必要不可欠なものとなっている。
In recent years, various electronic devices and the internal configuration of a system that combines these have become complicated in order to perform advanced processing, but due to its complexity, troubles often occur due to unexpected troubles such as power outages, Failure may occur. Alternatively, the system may fail because the type of data to be processed is not compatible with the program, for example, it becomes impossible to process due to a mixture of character strings for numerical processing.
In addition, a small number of failures may cause fatal failures to the entire electronic device or system.
Therefore, faults must be detected as soon as possible. And an apparatus for detecting such an abnormality is indispensable in current electronic devices and systems.
様々な異常に対する対策を施した従来の技術として、例えば、ログ情報の解析作業に要する時間を減少させ、種々のデータ形式とファイル・システム上の偏在性とを有するログ情報を統合し、既知の異常ではない、新たな異常を示すログ情報を抽出することができ、システム管理者が文字による膨大な量のログ情報の中から注目するべきログ情報を迅速に把握することが可能なログ情報解析装置等に関する発明がある。これにより、管理者は異常が発生した機器に対して、ログ情報を解析する際に、迅速なログ解析を行うことが可能となっている(特許文献1参照)。 As a conventional technique for taking measures against various abnormalities, for example, it reduces the time required for log information analysis work, integrates log information having various data formats and file system uneven distribution, Log information analysis that can extract log information indicating a new abnormality that is not abnormal, and allows the system administrator to quickly grasp the log information to be noticed from a huge amount of log information in characters There are inventions related to devices and the like. Thereby, the administrator can perform a quick log analysis when analyzing log information for a device in which an abnormality has occurred (see Patent Document 1).
また、例えば、消費者により入力されたデータの中から異常なローデータを検出する異常入力検出装置に関する発明がある。これにより、異常なデータを的確に排除することが可能となっている(特許文献2参照)。 Further, for example, there is an invention related to an abnormal input detection device that detects abnormal raw data from data input by a consumer. Thereby, it is possible to exclude abnormal data accurately (see Patent Document 2).
また、数多くの統計的データから外れ値/異常値を検出する技術として、ルール学習やニューラルネットワークを用いた教師(ラベル)付き学習が主流であったが、ラベル付きデータが入手できない場合には、ルール学習やニューロを用いたラベル付き学習は適応できないが、最近では、ラベル無しのデータでも外れ値/異常値を検出する技術が紹介されている(非特許文献1参照)。
従来の機器異常を検知するための装置は、ログなどの機器から得られる情報に対して、検出するための条件を機器毎に登録しておき、機器から得られる情報が異常とする条件と一致することによって、異常の発生を判断していた。
しかしながら従来の技術では、予め異常とするパターンを作成して、機器に登録する必要があり、そのためには、異常となる状態を想定しておく必要がある。異常パターンを作成する作業は、作業者の高い熟練度を要するが、全てのパターンを網羅することが、現実的に困難である。従って、その想定から外れたものは、異常が発生したとしても検出することができなかった。
Conventional devices for detecting device abnormalities register conditions for detection for each device with respect to information obtained from devices such as logs, and the information that is obtained from devices matches the conditions for abnormalities. By doing so, the occurrence of abnormality was judged.
However, in the conventional technique, it is necessary to create a pattern to be abnormal in advance and register it in the device. For that purpose, it is necessary to assume a state in which an abnormality occurs. The operation of creating an abnormal pattern requires a high level of skill of the operator, but it is practically difficult to cover all patterns. Therefore, what deviated from the assumption could not be detected even if an abnormality occurred.
このような問題を回避するためには、異常となるパターンを設計する作業の際に、全ての場合を網羅する必要があるが、設計者にとって非常に負担が大きい作業である。
また機器の利用環境が変わり、機器から得られる情報に影響があるような場合には、パターンを新たに作成する必要があった。
そのため、機器異常を検知するための装置には、予め異常を検知するための条件を登録しなくても、機器で生成されたログを学習する機能を有することが望まれていた。
In order to avoid such a problem, it is necessary to cover all cases when designing an abnormal pattern, but this is a very heavy work for the designer.
In addition, when the usage environment of the device changes and the information obtained from the device is affected, it is necessary to create a new pattern.
Therefore, it has been desired that an apparatus for detecting a device abnormality has a function of learning a log generated by the device without registering conditions for detecting the abnormality in advance.
更に、従来の技術にもあるように、システム管理者は、出力された膨大なログファイルから特徴的な情報、例えば、機器の障害を示す情報を取得するために、データマイニングの手法等を用いてログ解析を行い、機器の異常等を把握していた。
しかしながら、ログファイルに記録されている情報は、正常動作の状態(正常動作の履歴)を示す情報が大部分であり、目的の情報(障害等を示す情報)を効率良く取得することが困難であった。
そのため、システム管理者に対して、全てのログ情報を提供するのではなく、データマイニングの手法を用いることによって特徴的な情報(機器の異常を示す情報等)のみを抽出し、管理者に提供(通知)する機能が望まれていた。
Further, as in the prior art, the system administrator uses a data mining method or the like to acquire characteristic information from the output log file, for example, information indicating a device failure. Log analysis was conducted to understand device abnormalities.
However, the information recorded in the log file is mostly information indicating the state of normal operation (normal operation history), and it is difficult to efficiently acquire the target information (information indicating a failure or the like). there were.
Therefore, not all log information is provided to the system administrator, but only characteristic information (information indicating device malfunction, etc.) is extracted and provided to the administrator by using a data mining technique. A function to (notify) was desired.
本発明は上記事情を鑑みてなされたものであり、予め異常を検知するための条件として登録されていない異常パターンに対しても、リアルタイムで学習し、更に、データマイニングの手法を利用して機器の異常を検知する機器の異常検知装置を提供することを目的とする。 The present invention has been made in view of the above circumstances, and learns in real time even an abnormal pattern that is not registered in advance as a condition for detecting an abnormality, and further uses a data mining technique to provide a device. An object of the present invention is to provide an apparatus for detecting an abnormality of an apparatus for detecting an abnormality of the apparatus.
前記課題を解決するために、請求項1記載の発明は、機器の運用状態を監視し、異常を検知する監視装置と、前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、前記解析結果から前記機器の異常を検知する異常検知手段と、前記機器の異常を検知した旨を出力する出力手段とを有することを特徴とする。
In order to solve the above-mentioned problem, the invention described in
請求項2記載の発明は、前記機器は、自身の動作によって生成される運用状態を示す機器運用情報を採取し、前記監視装置に送信する情報採取送信手段を有することを特徴とする。
The invention described in
請求項3記載の発明は、前記情報採取送信手段は、前記機器運用情報の中から、情報採取用設定ファイルで指定された情報のみを採取する情報採取手段を有することを特徴とする。 The invention described in claim 3 is characterized in that the information collection / transmission means includes information collection means for collecting only the information specified in the information collection setting file from the device operation information.
請求項4記載の発明は、前記監視装置は、前記情報採取用設定ファイルの内容を変更する第1の内容変更手段を有することを特徴とする。 The invention described in claim 4 is characterized in that the monitoring device has a first content changing means for changing the content of the information collection setting file.
請求項5記載の発明は、前記第1の内容変更手段を、外部から指示する第1の指示手段を有することを特徴とする。
The invention described in
請求項6記載の発明は、前記学習手段は、設定ファイルで指定された項目について学習し、学習結果として記憶する第2の学習手段を有することを特徴とする。 The invention according to claim 6 is characterized in that the learning means has second learning means for learning about an item specified in the setting file and storing it as a learning result.
請求項7記載の発明は、前記解析手段は、設定ファイルで指定された項目について解析し、解析結果として記憶する第2の解析手段を有することを特徴とする。 The invention described in claim 7 is characterized in that the analysis means has second analysis means for analyzing items specified in the setting file and storing them as analysis results.
請求項8記載の発明は、前記異常検知手段は、前記解析結果の値と、設定ファイルで指定された閾値とを比較することにより、異常であるか否かを判定する判定手段を有することを特徴とする。 The invention according to claim 8 is characterized in that the abnormality detection means has a determination means for determining whether or not there is an abnormality by comparing the value of the analysis result with a threshold value specified in a setting file. Features.
請求項9記載の発明は、前記監視装置は、前記設定ファイルの内容を変更する第2の内容変更手段を有することを特徴とする。 The invention according to claim 9 is characterized in that the monitoring device has a second content changing means for changing the content of the setting file.
請求項10記載の発明は、前記第2の内容変更手段を、外部から指示する第2の指示手段を有することを特徴とする。 A tenth aspect of the invention is characterized in that the second content changing means includes second instruction means for instructing from the outside.
本発明によれば、機器の運用状態を監視し、異常を検知する監視装置と、前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、前記解析結果から前記機器の異常を検知する異常検知手段と、前記機器の異常を検知した旨を出力する出力手段とを有することにより、予め異常を検知するための条件を登録すること無しに、データマイニングの手法を利用して機器の異常を検知することが可能となる。 According to the present invention, there is provided a device abnormality detection device characterized by including a monitoring device for monitoring an operation state of the device and detecting an abnormality, and a device monitored by the monitoring device, The monitoring device receives device operation information indicating an operation state generated by the operation of the device, learns the device operation information, and stores the contents as a learning result; the device operation information; An analysis unit that compares and analyzes the learning result and stores the content as an analysis result, an abnormality detection unit that detects an abnormality of the device from the analysis result, and an output that indicates that the abnormality of the device is detected By using the data mining technique, it is possible to detect an abnormality of the device without registering a condition for detecting the abnormality in advance.
近年、様々な電子機器や、これらを組み合わせたシステムの内部構成は、高度な処理を行うために複雑になっている。また、システムに用いられる機器も多種に渡るため、以下の実施例で示すように、サーバコンピュータのような汎用的な情報処理装置を監視装置として用いて、更に、システム管理者がサーバにアクセスするためのパーソナルコンピュータ等の情報処理装置を用いて、電子機器を監視するのが最も好ましい実施の形態である。 In recent years, various electronic devices and the internal configuration of a system combining these have become complicated in order to perform advanced processing. In addition, since there are a wide variety of devices used in the system, as shown in the following embodiments, a general-purpose information processing device such as a server computer is used as a monitoring device, and the system administrator accesses the server. It is the most preferred embodiment to monitor an electronic device using an information processing apparatus such as a personal computer.
次に、添付図面を参照しながら、本発明の実施形態を説明する。
図1は、異常検知装置の概要を示す図である。
異常検知装置は、異常検知の対象となる電子機器1と、前記電子機器1の異常を検知する検知部2と、情報を記憶する記憶部3と、検知結果を表示するためのディスプレイなどの出力部4を含み構成される。
異常検知の対象となる電子機器1は、自身の運用結果のログなどの機器運用情報11をファイル等の形式で有する。
記憶部3には、今までの電子機器1の運用情報11を蓄積した学習結果31と、現時点での電子機器1の運用情報11を解析した解析結果32がある。
Next, embodiments of the present invention will be described with reference to the accompanying drawings.
FIG. 1 is a diagram showing an outline of the abnormality detection device.
The abnormality detection device includes an
The
The storage unit 3 has a
検知部2の学習部21では、機器運用情報11を学習結果31に反映させるために、機器運用情報11と学習結果31を読み込んで処理し、その結果を記憶部3の学習結果31に戻す。
解析部22では、機器運用情報11と学習結果31を比較して解析し、その結果を記憶装置3の解析結果32に格納する。
検知・通知部23では、解析結果32を検索し、異常を検知した場合はその旨を出力部4に出力することにより管理者に通知する。
The
In the analysis unit 22, the
The detection /
図2は、異常検知装置の動作の流れについて説明したフローチャートである。
異常検知の監視対象となる電子機器1は、運用中に運用ログやセキュリティログなどの機器運用情報11を出力する。更に、学習部21と解析部22は、予め設定された時間に動作を行う(ステップS1)。
学習部21は、学習結果31から得られる既存の統計モデルA1を基にして、機器運用情報11から得られる解析対象データA2の内容を追加した、新たな確率分布の計算処理を行う。計算した結果である新たな統計モデルA3は、新しい学習結果として学習結果31を置き換える(ステップS2)。
FIG. 2 is a flowchart illustrating the operation flow of the abnormality detection device.
The
Based on the existing statistical model A1 obtained from the
次に解析部22は、学習結果31から得られる新たな統計モデルA3を基にして、情報11から得られる解析対象データA2を構成する各要素について、スコアを計算する。
ここで、スコアとは、基となる統計モデルと、解析対象のデータの中の評価対象の要素を加えて得られる統計モデルとの統計的距離を数値で表したものである(詳しくは、非特許文献1を参照のこと)。
従って、スコアの数値が大きければ大きいほど、その内容は統計モデルA3との統計的外れ度合い(揺らぎ)が大きいということになる。ステップS4で得られた、解析対象データA2を構成する各要素に対するスコアA4を解析結果32として出力する(ステップS4)。
Next, the analysis unit 22 calculates a score for each element constituting the analysis target data A2 obtained from the
Here, the score is a numerical value representing the statistical distance between the statistical model that is the basis and the statistical model that is obtained by adding the elements to be evaluated in the data to be analyzed. (See Patent Document 1).
Therefore, the larger the numerical value of the score, the greater the degree of statistical deviation (fluctuation) of the content from the statistical model A3. The score A4 for each element constituting the analysis target data A2 obtained in step S4 is output as the analysis result 32 (step S4).
検知・通知部は解析結果32に納められたスコアの中で、予め設定された閾値以上の値のものがあるかどうか検索する(ステップS5)。
予め設定された閾値以上のスコアが存在する場合(ステップS5/Yes)は、機器に異常が発生した場合であると判断し、電子メール等予め決められている手順で管理者に通知する(ステップS6)。
The detection / notification unit searches the score stored in the analysis result 32 for a value greater than or equal to a preset threshold value (step S5).
If there is a score equal to or higher than a preset threshold value (step S5 / Yes), it is determined that an abnormality has occurred in the device, and the administrator is notified in accordance with a predetermined procedure such as e-mail (step). S6).
図3は、異常検知装置のより詳細な構成を示した図である。
異常検知装置は、本図に示すように、監視対象となる電子機器1、監視装置200、管理者用端末300から構成される。
監視対象機器1において、情報採取処理部110では、機器で生成されるアクセスログ、SYSLOG、イベントログ等の各種ログを採取して、それらをCSVデータに変換し、それを監視装置200にネットワークを介してFTPで送信し、監視装置200上の抽出済情報ファイルに追加する。
なお、情報採取用設定ファイル120には、情報採取処理部110の動作で必要となるパラメータ等が記述されている。
例えば、送信先の監視装置の情報や、アクセスログ、SYSLOG、イベントログ等の各種ログ情報の中で、どのログ情報を採取するか、或いは、前記電子機器1を構成するどの内部ユニットについてログ情報を採取するか、などの情報採取処理部の動作で必要となる様々なパラメータが記述されている。
FIG. 3 is a diagram showing a more detailed configuration of the abnormality detection device.
As shown in the figure, the abnormality detection device includes an
In the
The information
For example, which log information is collected from various types of log information such as information on a transmission destination monitoring device, access log, SYSLOG, and event log, or log information about which internal unit constituting the
監視装置200において、情報加工処理部210では、監視対象の電子機器1上にある情報採取処理部210から受け取った抽出済情報ファイルのCSVデータの中から、設定ファイル280にて桁位置で指定されている時間属性の項目について、学習解析がしやすいように秒に換算して数値化し、新たにCSVデータを作成し、加工済情報ファイルに追加する。
ここで、「秒換算して数値化する」とは、ある基準時間からどの程度時間が経過したかを、秒で示すことである。例えば、基準時間を平成15年12月1日の0時00分00秒とすれば、平成15年12月1日の0時10分10秒という時間は、610と数値化される。
ただし、「秒換算」に限らず、より短い時間単位、例えば、1/10秒単位、1/100秒単位、ミリ秒(1/1000秒)単位、などで数値化するという方法もある。
In the
Here, “converting to a numerical value in terms of seconds” means indicating how much time has elapsed from a certain reference time in seconds. For example, if the reference time is 00:00:00 on December 1, 2003, the time of 0:10:10 on December 1, 2003 is quantified as 610.
However, the method is not limited to “second conversion”, and there is a method of quantifying in a shorter time unit, for example, 1/10 second unit, 1/100 second unit, millisecond (1/1000 second) unit, or the like.
学習処理部220では、統計ファイルを更新するために参照し、更に、前記加工済情報ファイルのCSVデータの全項目の中から、設定ファイル280で指定された項目について、今までの統計ファイルに情報を追加して、新たな統計ファイルとして出力する。
解析処理部230では、学習結果と、設定ファイル280で指定された分析対象CSVデータの中の項目について、統計ファイルとの統計的距離を計算して、その異常度合いを数値化して解析結果ファイルに出力する。
The
The
ここで、「設定ファイル280で指定された項目」とは、電子機器1の様々な動作に関わる項目を意味する。例えば、電子機器1として、高速データ通信を実現するデータ通信機器であれば、膨大なログ情報の中から、データのトラフィックに関する情報を取得するのが好ましいので、「トラフィック情報について処理する」旨の設定を行えばよい。
より具体的には、データのトラフィックを左右する要因として、回線スピード、データ通信待ちの状態であるデータが一時的に格納されるバッファ領域の状態などの複数の情報についてデータを取得すれば、データマイニングの手法を用いることにより、解析、異常検知することが可能である。
Here, “items specified in the
More specifically, if the data is acquired for multiple information such as the line speed and the buffer area status where data that is waiting for data communication is temporarily stored as factors that influence data traffic, By using a mining technique, analysis and abnormality detection can be performed.
或いは、電子機器の全体を制御するCPUの監視をする場合は、処理能力(1秒あたりの処理スピード)や、発熱による温度上昇及び冷却による温度低下などの温度情報を取得するのが好ましいので、「処理能力について処理する」、或いは「温度情報について処理する」旨の設定を行えばよい。
或いは、「全てのログ情報について処理する」というような設定を行い、総合的に解析、異常検知することも可能である。
Alternatively, when monitoring the CPU that controls the entire electronic device, it is preferable to acquire temperature information such as processing capacity (processing speed per second) and temperature rise due to heat generation and temperature drop due to cooling. It is only necessary to make a setting of “processing for processing capacity” or “processing for temperature information”.
Alternatively, a setting such as “process all log information” can be performed to comprehensively analyze and detect an abnormality.
検知処理部240では、設定ファイル280から閾値を読み込み、解析結果ファイルの中の異常度合いを表した数値が閾値以上になっているものを検索し、検索の結果を検知結果ファイルとして出力する。
通知処理部250では、検知結果ファイルの中のデータをe−MailやSNMP(Simple Network Management Protocol)を使用して、管理者端末300に通知する。
The
The
また、前記情報加工処理部210、学習処理部220、解析処理部230、検知処理部240、通知処理部250を、一連の流れで自動的に実行するようにするために、実行制御部260で管理する。
また、管理機能270は、設定ファイル280を編集する機能をWebサーバ上で動作する機能として提供する。そのため、監視装置200は、サーバコンピュータ等の汎用性の高い情報処理装置を用いるのが一般的である。
In addition, in order to automatically execute the information
The management function 270 also provides a function for editing the
管理者用端末300では、Webブラウザ310から管理機能に接続して、監視装置200上の設定ファイル280と、監視対象の電子機器1上の情報採取用設定ファイル120を編集することが可能である。
メーラ320は、監視装置200の通知処理部250からの通知のメールを受信する。
なお、管理者用端末300としては、パーソナルコンピュータ等の汎用性の高い情報処理装置を用いるのが一般的である。
The
The
As the
また、監視装置からの異常検知を通知する手段、或いは通知された内容を出力する手段は、e−MailやSNMPに限らず、専用のプログラムを用いて、異常を検知する度に監視装置から管理者用端末に対して、画面上でポップアップ通知したり、または、警告音のような音声を発することにより通知するというような手段も考えられる。 The means for notifying the abnormality detection from the monitoring apparatus or the means for outputting the notified contents is not limited to e-Mail or SNMP, and is managed from the monitoring apparatus every time an abnormality is detected using a dedicated program. It is also conceivable to notify the user terminal by giving a pop-up notification on the screen or by issuing a sound such as a warning sound.
また、上記に示した実施形態は、本発明の好適な実施の一例である。しかしながら、本発明の実施形態は、これらに限定されるものではなく、本発明の要旨を逸脱しない範囲内で、様々な変形実施が可能である。
例えば、本実施例では、監視対象の電子機器1上に、機器運用情報11を採取し、監視装置200に送信する手段を設けているが、監視装置200から電子機器1上の機器運用情報11を参照し、取得する(ダウンロードする)ような手段でも構わない。
Moreover, embodiment shown above is an example of suitable implementation of this invention. However, the embodiments of the present invention are not limited to these, and various modifications can be made without departing from the scope of the present invention.
For example, in this embodiment, there is provided means for collecting
(効果)
以上の説明から明らかなように、機器の運用状態を監視し、異常を検知する監視装置と、前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、前記解析結果から前記機器の異常を検知する異常検知手段と、前記機器の異常を検知した旨を出力する出力手段とを有することにより、予め異常を検知するための条件を登録すること無しに、データマイニングの手法を利用して機器の異常を検知し、管理者はモニタ等の出力手段を通じて機器の異常を把握することが可能となる。
(effect)
As is apparent from the above description, an apparatus abnormality detection apparatus comprising: a monitoring apparatus that monitors an operation state of an apparatus and detects an abnormality; and an apparatus monitored by the monitoring apparatus. The monitoring device receives device operation information indicating an operation state generated by the operation of the device, learns the device operation information, and stores the contents as a learning result, and the device operation Information and the learning result are compared and analyzed, an analysis means for storing the contents as an analysis result, an abnormality detection means for detecting an abnormality of the device from the analysis result, and the fact that the abnormality of the device is detected By having an output means for outputting, without registering conditions for detecting an abnormality in advance, an apparatus abnormality is detected using a data mining technique. It is possible to grasp an abnormality of the device through the power unit.
また、機器運用情報を採取し、送信する際に、前記機器運用情報の中から、情報採取用設定ファイルで指定された情報のみを採取する手段を有することにより、必要な情報のみを採取し、効率よく解析し、異常検知をすることが可能となる。 In addition, when collecting and transmitting device operation information, only necessary information is collected from the device operation information by having means for collecting only the information specified in the information collection setting file, It is possible to analyze efficiently and detect anomalies.
また、前記情報採取用設定ファイルの内容を変更する際に、外部から指示することにより、システム管理者が、必要に応じてその設定を変更することが可能となる。 In addition, when changing the contents of the information collection setting file, the system administrator can change the settings as necessary by giving an external instruction.
また、設定ファイルで指定された項目について学習し、学習結果として記憶するので、効率のよい学習が可能となり、更に、効率のよい解析処理、異常検知処理を行うことが可能となる。 Further, since the items specified in the setting file are learned and stored as learning results, efficient learning is possible, and more efficient analysis processing and abnormality detection processing can be performed.
また、設定ファイルで指定された項目について解析し、解析結果として記憶するので、効率のよい解析が可能となり、更に、効率のよい異常検知を行うことが可能となる。 Further, since the items specified in the setting file are analyzed and stored as analysis results, efficient analysis can be performed, and furthermore, efficient abnormality detection can be performed.
また、前記設定ファイルの内容を変更する際に、外部から指示することにより、システム管理者が、必要に応じてその設定を変更することが可能となる。
例えば、閾値を大きくすることにより、異常検知の感度を大きくすることが可能であり、逆に、閾値を小さくすれば、異常検知の感度を小さくすることが可能である。
このように、システム管理者が状況に応じて異常検知装置の動作設定を変更することが可能となる。
In addition, when changing the contents of the setting file, the system administrator can change the settings as necessary by giving an external instruction.
For example, it is possible to increase the sensitivity of abnormality detection by increasing the threshold value. Conversely, if the threshold value is decreased, the sensitivity of abnormality detection can be decreased.
In this way, the system administrator can change the operation setting of the abnormality detection device according to the situation.
また、従来の技術では、電子機器の製造者が異常の状態を想定(エラーの設計)していたが、本発明により、異常の状態を想定する作業(エラーの設計作業)が不要となる。 In the conventional technique, the manufacturer of the electronic device assumes an abnormal state (error design). However, according to the present invention, an operation that assumes an abnormal state (error design work) becomes unnecessary.
1 異常検知対象機器(電子機器)
2 検知部
3 記憶部
4 出力部
11 機器運用情報
21 学習部
22 解析部
23 検知・通知部
31 学習結果
32 解析結果
110 情報採取処理部
120 情報採取用設定ファイル
200 監視装置
210 情報加工処理部
220 学習処理部
230 解析処理部
240 検知処理部
250 通知処理部
260 実行制御部
270 管理機能
280 設定ファイル
300 管理者用端末
310 Webブラウザ
320 メーラ
A1 既存の統計モデル
A2 解析対象データ
A3 新たな統計モデル
A4 スコアデータ
1 Anomaly detection target equipment (electronic equipment)
2 Detection Unit 3 Storage Unit 4
Claims (10)
前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、
前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、
前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、
前記解析結果から前記機器の異常を検知する異常検知手段と、
前記機器の異常を検知した旨を出力する出力手段とを有することを特徴とする機器の異常検知装置。 A monitoring device that monitors the operational status of the device and detects anomalies;
An apparatus for detecting an abnormality of an apparatus, comprising an apparatus monitored by the monitoring apparatus,
The monitoring device receives device operation information indicating an operation state generated by the operation of the device, learns the device operation information, and stores the contents as a learning result;
Analyzing and analyzing the device operation information and the learning result, and storing the contents as an analysis result;
An abnormality detection means for detecting an abnormality of the device from the analysis result;
An apparatus abnormality detection apparatus comprising: output means for outputting a notification that an abnormality of the apparatus has been detected.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003425547A JP2005182647A (en) | 2003-12-22 | 2003-12-22 | Abnormality detector for apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003425547A JP2005182647A (en) | 2003-12-22 | 2003-12-22 | Abnormality detector for apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005182647A true JP2005182647A (en) | 2005-07-07 |
Family
ID=34785400
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003425547A Withdrawn JP2005182647A (en) | 2003-12-22 | 2003-12-22 | Abnormality detector for apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005182647A (en) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007264760A (en) * | 2006-03-27 | 2007-10-11 | Nec Corp | Log analysis system, and method and program for setting log analysis tool |
JP2008015596A (en) * | 2006-07-03 | 2008-01-24 | Nec Fielding Ltd | Management server and repair program transmission method |
WO2008111428A1 (en) * | 2007-03-14 | 2008-09-18 | Nec Corporation | Operation management device, operation management method, and operation management program |
JP2009048291A (en) * | 2007-08-15 | 2009-03-05 | Oki Electric Ind Co Ltd | System analysis device and program |
US7694179B2 (en) | 2006-03-17 | 2010-04-06 | Fujitsu Limited | Suspected place identifying apparatus and processing method |
JP2011034208A (en) * | 2009-07-30 | 2011-02-17 | Hitachi Ltd | Failure detection method, device and program |
JP2011192097A (en) * | 2010-03-16 | 2011-09-29 | Hitachi Ltd | Failure detection method and information processing system using the same |
JP2012069076A (en) * | 2010-09-27 | 2012-04-05 | Toshiba Corp | Evaluation device |
JP2012104148A (en) * | 2012-01-18 | 2012-05-31 | Toshiba Corp | Evaluation unit, evaluation method, evaluation program and recording medium |
JP2014115768A (en) * | 2012-12-07 | 2014-06-26 | Toshiba Corp | Log determination system, log determination standard architecting apparatus, and log determination method |
WO2019103180A1 (en) * | 2017-11-22 | 2019-05-31 | 한화테크윈주식회사 | Data visualization system and method, and computer-readable recording medium |
WO2023228316A1 (en) * | 2022-05-25 | 2023-11-30 | 日本電信電話株式会社 | Detection device, detection method, and detection program |
-
2003
- 2003-12-22 JP JP2003425547A patent/JP2005182647A/en not_active Withdrawn
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7694179B2 (en) | 2006-03-17 | 2010-04-06 | Fujitsu Limited | Suspected place identifying apparatus and processing method |
JP4600327B2 (en) * | 2006-03-27 | 2010-12-15 | 日本電気株式会社 | Log analysis system, log analysis tool setting method and program |
JP2007264760A (en) * | 2006-03-27 | 2007-10-11 | Nec Corp | Log analysis system, and method and program for setting log analysis tool |
JP2008015596A (en) * | 2006-07-03 | 2008-01-24 | Nec Fielding Ltd | Management server and repair program transmission method |
US8332344B2 (en) | 2007-03-14 | 2012-12-11 | Nec Corporation | Operation management apparatus, operation management method, and operation management program |
WO2008111428A1 (en) * | 2007-03-14 | 2008-09-18 | Nec Corporation | Operation management device, operation management method, and operation management program |
JP5126698B2 (en) * | 2007-03-14 | 2013-01-23 | 日本電気株式会社 | Operation management apparatus, operation management method, and operation management program |
JP2009048291A (en) * | 2007-08-15 | 2009-03-05 | Oki Electric Ind Co Ltd | System analysis device and program |
JP2011034208A (en) * | 2009-07-30 | 2011-02-17 | Hitachi Ltd | Failure detection method, device and program |
JP2011192097A (en) * | 2010-03-16 | 2011-09-29 | Hitachi Ltd | Failure detection method and information processing system using the same |
JP2012069076A (en) * | 2010-09-27 | 2012-04-05 | Toshiba Corp | Evaluation device |
JP2012104148A (en) * | 2012-01-18 | 2012-05-31 | Toshiba Corp | Evaluation unit, evaluation method, evaluation program and recording medium |
JP2014115768A (en) * | 2012-12-07 | 2014-06-26 | Toshiba Corp | Log determination system, log determination standard architecting apparatus, and log determination method |
WO2019103180A1 (en) * | 2017-11-22 | 2019-05-31 | 한화테크윈주식회사 | Data visualization system and method, and computer-readable recording medium |
WO2023228316A1 (en) * | 2022-05-25 | 2023-11-30 | 日本電信電話株式会社 | Detection device, detection method, and detection program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10931511B2 (en) | Predicting computer network equipment failure | |
JP5375829B2 (en) | Operation management apparatus, operation management method, and operation management program | |
EP3051421B1 (en) | An application performance analyzer and corresponding method | |
KR101809573B1 (en) | Method, system, and computer readable storage medium for evaluating dataflow graph characteristics | |
JP5736881B2 (en) | Log collection system, apparatus, method and program | |
US8275735B2 (en) | Diagnostic system | |
EP3663919B1 (en) | System and method of automated fault correction in a network environment | |
US20140258187A1 (en) | Generating database cluster health alerts using machine learning | |
US20070016687A1 (en) | System and method for detecting imbalances in dynamic workload scheduling in clustered environments | |
KR20180108446A (en) | System and method for management of ict infra | |
KR102440335B1 (en) | A method and apparatus for detecting and managing a fault | |
US7594014B2 (en) | Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program | |
JP2005182647A (en) | Abnormality detector for apparatus | |
KR20190021560A (en) | Failure prediction system using big data and failure prediction method | |
JP7031743B2 (en) | Anomaly detection device | |
CN113196311A (en) | System and method for identifying and predicting abnormal sensing behavior patterns of a machine | |
JP2015095060A (en) | Log analysis device and method | |
JP6280862B2 (en) | Event analysis system and method | |
CN114996090A (en) | Server abnormity detection method and device, electronic equipment and storage medium | |
KR101281460B1 (en) | Method for anomaly detection using statistical process control | |
JP6574533B2 (en) | Risk assessment device, risk assessment system, risk assessment method, and risk assessment program | |
JP2008234351A (en) | Integrated operation monitoring system and program | |
US20170249285A1 (en) | Calibration technique for rules used with asset monitoring in industrial process control and automation systems | |
CN116755992B (en) | Log analysis method and system based on OpenStack cloud computing | |
CN111555899B (en) | Alarm rule configuration method, equipment state monitoring method, device and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070306 |