JP2005182647A - Abnormality detector for apparatus - Google Patents

Abnormality detector for apparatus Download PDF

Info

Publication number
JP2005182647A
JP2005182647A JP2003425547A JP2003425547A JP2005182647A JP 2005182647 A JP2005182647 A JP 2005182647A JP 2003425547 A JP2003425547 A JP 2003425547A JP 2003425547 A JP2003425547 A JP 2003425547A JP 2005182647 A JP2005182647 A JP 2005182647A
Authority
JP
Japan
Prior art keywords
abnormality
abnormality detection
information
learning
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003425547A
Other languages
Japanese (ja)
Inventor
Ikuo Terasawa
生郎 寺澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003425547A priority Critical patent/JP2005182647A/en
Publication of JP2005182647A publication Critical patent/JP2005182647A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an abnormality detector for an apparatus which learns even abnormality patterns which are not preliminarily registered as abnormality detection conditions in real time and utilizes a data mining method to detect the abnormalities of the apparatus. <P>SOLUTION: In a learning part 21, new learning results are generated from apparatus operation information 11 received from an electronic apparatus 1 and past learning results 31, which are stored in a storage part 3. During operation, operation information 11 of the electronic apparatus 1 being an abnormality detection object and the learning results 31 are compared in an analysis section 22 to represent the degree of difference as a numerical value, and the numerical value is stored as analysis results 32 in the storage part 3. A detecting/informing part 23 refers to the analysis results 32 to perform comparison with a threshold. When data showing an abnormality of the electronic apparatus 1 are found as comparison results, an output part 4 is informed that the abnormality occurs in the electronic apparatus 1. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、予め異常を検知するための条件として登録されていない異常パターンに対しても、リアルタイムで学習し、データマイニングの手法を利用して機器の異常を検知する機器の異常検知装置に関する。   The present invention relates to a device abnormality detection apparatus that learns in real time even an abnormality pattern that is not registered as a condition for detecting an abnormality in advance and detects a device abnormality using a data mining technique.

近年、様々な電子機器や、これらを組み合わせたシステムの内部構成は、高度な処理を行うために複雑になっているが、その複雑さ故に、予期せぬトラブル、例えば停電等により、しばしば障害、故障が発生することがある。或いは、処理すべきデータの型がプログラムに適合しない、例えば、数値処理に対して、文字列が混在することにより処理不能になる、などの理由により、システムに障害が発生することもある。
また、ごく一部の障害が、電子機器やシステムの全体に、致命的な障害をもたらすこともある。
そのため、障害はできる限り早く検知しなければならない。そして、このような異常を検知するための装置は、現在の電子機器やシステムにおいては、必要不可欠なものとなっている。 In recent years, various electronic devices and the internal configuration of a system that combines these have become complicated in order to perform advanced processing, but due to its complexity, troubles often occur due to unexpected troubles such as power outages, Failure may occur. Alternatively, the system may fail because the type of data to be processed is not compatible with the program, for example, it becomes impossible to process due to a mixture of character strings for numerical processing.
In addition, a small number of failures may cause fatal failures to the entire electronic device or system.
Therefore, faults must be detected as soon as possible. And an apparatus for detecting such an abnormality is indispensable in current electronic devices and systems.

様々な異常に対する対策を施した従来の技術として、例えば、ログ情報の解析作業に要する時間を減少させ、種々のデータ形式とファイル・システム上の偏在性とを有するログ情報を統合し、既知の異常ではない、新たな異常を示すログ情報を抽出することができ、システム管理者が文字による膨大な量のログ情報の中から注目するべきログ情報を迅速に把握することが可能なログ情報解析装置等に関する発明がある。これにより、管理者は異常が発生した機器に対して、ログ情報を解析する際に、迅速なログ解析を行うことが可能となっている(特許文献1参照)。   As a conventional technique for taking measures against various abnormalities, for example, it reduces the time required for log information analysis work, integrates log information having various data formats and file system uneven distribution, Log information analysis that can extract log information indicating a new abnormality that is not abnormal, and allows the system administrator to quickly grasp the log information to be noticed from a huge amount of log information in characters There are inventions related to devices and the like. Thereby, the administrator can perform a quick log analysis when analyzing log information for a device in which an abnormality has occurred (see Patent Document 1).

また、例えば、消費者により入力されたデータの中から異常なローデータを検出する異常入力検出装置に関する発明がある。これにより、異常なデータを的確に排除することが可能となっている(特許文献2参照)。   Further, for example, there is an invention related to an abnormal input detection device that detects abnormal raw data from data input by a consumer. Thereby, it is possible to exclude abnormal data accurately (see Patent Document 2).

また、数多くの統計的データから外れ値/異常値を検出する技術として、ルール学習やニューラルネットワークを用いた教師(ラベル)付き学習が主流であったが、ラベル付きデータが入手できない場合には、ルール学習やニューロを用いたラベル付き学習は適応できないが、最近では、ラベル無しのデータでも外れ値/異常値を検出する技術が紹介されている(非特許文献1参照)。
特開2001−356939号公報 特開2003−132075号公報 山西 健司,竹内 純一,教師無しデータからの外れ値フィルタリングルールの発見,2001年情報論的学習理論ワークショップ(2001) Moreover, as a technique for detecting outliers / abnormal values from a large number of statistical data, rule learning or learning with a label using a neural network has been the mainstream, but if labeled data is not available, Although rule learning and labeled learning using a neuron cannot be applied, recently, a technique for detecting an outlier / abnormal value even with unlabeled data has been introduced (see Non-Patent Document 1).
JP 2001-356939 A JP 2003-132075 A Kenji Yamanishi, Junichi Takeuchi, Discovery of outlier filtering rules from unsupervised data, 2001 Information theory learning theory workshop (2001)

従来の機器異常を検知するための装置は、ログなどの機器から得られる情報に対して、検出するための条件を機器毎に登録しておき、機器から得られる情報が異常とする条件と一致することによって、異常の発生を判断していた。
しかしながら従来の技術では、予め異常とするパターンを作成して、機器に登録する必要があり、そのためには、異常となる状態を想定しておく必要がある。異常パターンを作成する作業は、作業者の高い熟練度を要するが、全てのパターンを網羅することが、現実的に困難である。従って、その想定から外れたものは、異常が発生したとしても検出することができなかった。 Conventional devices for detecting device abnormalities register conditions for detection for each device with respect to information obtained from devices such as logs, and the information that is obtained from devices matches the conditions for abnormalities. By doing so, the occurrence of abnormality was judged.
However, in the conventional technique, it is necessary to create a pattern to be abnormal in advance and register it in the device. For that purpose, it is necessary to assume a state in which an abnormality occurs. The operation of creating an abnormal pattern requires a high level of skill of the operator, but it is practically difficult to cover all patterns. Therefore, what deviated from the assumption could not be detected even if an abnormality occurred.

このような問題を回避するためには、異常となるパターンを設計する作業の際に、全ての場合を網羅する必要があるが、設計者にとって非常に負担が大きい作業である。
また機器の利用環境が変わり、機器から得られる情報に影響があるような場合には、パターンを新たに作成する必要があった。
そのため、機器異常を検知するための装置には、予め異常を検知するための条件を登録しなくても、機器で生成されたログを学習する機能を有することが望まれていた。 In order to avoid such a problem, it is necessary to cover all cases when designing an abnormal pattern, but this is a very heavy work for the designer.
In addition, when the usage environment of the device changes and the information obtained from the device is affected, it is necessary to create a new pattern.
Therefore, it has been desired that an apparatus for detecting a device abnormality has a function of learning a log generated by the device without registering conditions for detecting the abnormality in advance.

更に、従来の技術にもあるように、システム管理者は、出力された膨大なログファイルから特徴的な情報、例えば、機器の障害を示す情報を取得するために、データマイニングの手法等を用いてログ解析を行い、機器の異常等を把握していた。
しかしながら、ログファイルに記録されている情報は、正常動作の状態(正常動作の履歴)を示す情報が大部分であり、目的の情報(障害等を示す情報)を効率良く取得することが困難であった。
そのため、システム管理者に対して、全てのログ情報を提供するのではなく、データマイニングの手法を用いることによって特徴的な情報(機器の異常を示す情報等)のみを抽出し、管理者に提供(通知)する機能が望まれていた。 Further, as in the prior art, the system administrator uses a data mining method or the like to acquire characteristic information from the output log file, for example, information indicating a device failure. Log analysis was conducted to understand device abnormalities.
However, the information recorded in the log file is mostly information indicating the state of normal operation (normal operation history), and it is difficult to efficiently acquire the target information (information indicating a failure or the like). there were.
Therefore, not all log information is provided to the system administrator, but only characteristic information (information indicating device malfunction, etc.) is extracted and provided to the administrator by using a data mining technique. A function to (notify) was desired.

本発明は上記事情を鑑みてなされたものであり、予め異常を検知するための条件として登録されていない異常パターンに対しても、リアルタイムで学習し、更に、データマイニングの手法を利用して機器の異常を検知する機器の異常検知装置を提供することを目的とする。   The present invention has been made in view of the above circumstances, and learns in real time even an abnormal pattern that is not registered in advance as a condition for detecting an abnormality, and further uses a data mining technique to provide a device. An object of the present invention is to provide an apparatus for detecting an abnormality of an apparatus for detecting an abnormality of the apparatus.

前記課題を解決するために、請求項1記載の発明は、機器の運用状態を監視し、異常を検知する監視装置と、前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、前記解析結果から前記機器の異常を検知する異常検知手段と、前記機器の異常を検知した旨を出力する出力手段とを有することを特徴とする。   In order to solve the above-mentioned problem, the invention described in claim 1 includes a monitoring device that monitors an operation state of a device and detects an abnormality, and a device monitored by the monitoring device. An apparatus for detecting an abnormality of a device, wherein the monitoring device receives device operation information indicating an operation state generated by operation of the device, learns the device operation information, and stores the contents as a learning result A learning means; an analysis means for comparing and analyzing the device operation information and the learning result; storing the contents as an analysis result; an abnormality detecting means for detecting an abnormality of the device from the analysis result; Output means for outputting the fact that the abnormality is detected.

請求項2記載の発明は、前記機器は、自身の動作によって生成される運用状態を示す機器運用情報を採取し、前記監視装置に送信する情報採取送信手段を有することを特徴とする。   The invention described in claim 2 is characterized in that the device has information collection and transmission means for collecting device operation information indicating an operation state generated by its own operation and transmitting the device operation information to the monitoring device.

請求項3記載の発明は、前記情報採取送信手段は、前記機器運用情報の中から、情報採取用設定ファイルで指定された情報のみを採取する情報採取手段を有することを特徴とする。   The invention described in claim 3 is characterized in that the information collection / transmission means includes information collection means for collecting only the information specified in the information collection setting file from the device operation information.

請求項4記載の発明は、前記監視装置は、前記情報採取用設定ファイルの内容を変更する第1の内容変更手段を有することを特徴とする。   The invention described in claim 4 is characterized in that the monitoring device has a first content changing means for changing the content of the information collection setting file.

請求項5記載の発明は、前記第1の内容変更手段を、外部から指示する第1の指示手段を有することを特徴とする。   The invention described in claim 5 is characterized in that the first content changing means has first instruction means for instructing from the outside.

請求項6記載の発明は、前記学習手段は、設定ファイルで指定された項目について学習し、学習結果として記憶する第2の学習手段を有することを特徴とする。   The invention according to claim 6 is characterized in that the learning means has second learning means for learning about an item specified in the setting file and storing it as a learning result.

請求項7記載の発明は、前記解析手段は、設定ファイルで指定された項目について解析し、解析結果として記憶する第2の解析手段を有することを特徴とする。   The invention described in claim 7 is characterized in that the analysis means has second analysis means for analyzing items specified in the setting file and storing them as analysis results.

請求項8記載の発明は、前記異常検知手段は、前記解析結果の値と、設定ファイルで指定された閾値とを比較することにより、異常であるか否かを判定する判定手段を有することを特徴とする。   The invention according to claim 8 is characterized in that the abnormality detection means has a determination means for determining whether or not there is an abnormality by comparing the value of the analysis result with a threshold value specified in a setting file. Features.

請求項9記載の発明は、前記監視装置は、前記設定ファイルの内容を変更する第2の内容変更手段を有することを特徴とする。   The invention according to claim 9 is characterized in that the monitoring device has a second content changing means for changing the content of the setting file.

請求項10記載の発明は、前記第2の内容変更手段を、外部から指示する第2の指示手段を有することを特徴とする。   A tenth aspect of the invention is characterized in that the second content changing means includes second instruction means for instructing from the outside.

本発明によれば、機器の運用状態を監視し、異常を検知する監視装置と、前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、前記解析結果から前記機器の異常を検知する異常検知手段と、前記機器の異常を検知した旨を出力する出力手段とを有することにより、予め異常を検知するための条件を登録すること無しに、データマイニングの手法を利用して機器の異常を検知することが可能となる。   According to the present invention, there is provided a device abnormality detection device characterized by including a monitoring device for monitoring an operation state of the device and detecting an abnormality, and a device monitored by the monitoring device, The monitoring device receives device operation information indicating an operation state generated by the operation of the device, learns the device operation information, and stores the contents as a learning result; the device operation information; An analysis unit that compares and analyzes the learning result and stores the content as an analysis result, an abnormality detection unit that detects an abnormality of the device from the analysis result, and an output that indicates that the abnormality of the device is detected By using the data mining technique, it is possible to detect an abnormality of the device without registering a condition for detecting the abnormality in advance.

近年、様々な電子機器や、これらを組み合わせたシステムの内部構成は、高度な処理を行うために複雑になっている。また、システムに用いられる機器も多種に渡るため、以下の実施例で示すように、サーバコンピュータのような汎用的な情報処理装置を監視装置として用いて、更に、システム管理者がサーバにアクセスするためのパーソナルコンピュータ等の情報処理装置を用いて、電子機器を監視するのが最も好ましい実施の形態である。   In recent years, various electronic devices and the internal configuration of a system combining these have become complicated in order to perform advanced processing. In addition, since there are a wide variety of devices used in the system, as shown in the following embodiments, a general-purpose information processing device such as a server computer is used as a monitoring device, and the system administrator accesses the server. It is the most preferred embodiment to monitor an electronic device using an information processing apparatus such as a personal computer.

次に、添付図面を参照しながら、本発明の実施形態を説明する。
図1は、異常検知装置の概要を示す図である。
異常検知装置は、異常検知の対象となる電子機器1と、前記電子機器1の異常を検知する検知部2と、情報を記憶する記憶部3と、検知結果を表示するためのディスプレイなどの出力部4を含み構成される。
異常検知の対象となる電子機器1は、自身の運用結果のログなどの機器運用情報11をファイル等の形式で有する。
記憶部3には、今までの電子機器1の運用情報11を蓄積した学習結果31と、現時点での電子機器1の運用情報11を解析した解析結果32がある。 Next, embodiments of the present invention will be described with reference to the accompanying drawings.
FIG. 1 is a diagram showing an outline of the abnormality detection device.
The abnormality detection device includes an electronic device 1 that is an abnormality detection target, a detection unit 2 that detects an abnormality of the electronic device 1, a storage unit 3 that stores information, and an output such as a display for displaying a detection result. The unit 4 is configured.
The electronic device 1 that is the target of abnormality detection has device operation information 11 such as a log of its operation results in the form of a file or the like.
The storage unit 3 has a learning result 31 in which the operation information 11 of the electronic device 1 so far is accumulated and an analysis result 32 in which the operation information 11 of the electronic device 1 at the present time is analyzed.

検知部2の学習部21では、機器運用情報11を学習結果31に反映させるために、機器運用情報11と学習結果31を読み込んで処理し、その結果を記憶部3の学習結果31に戻す。
解析部22では、機器運用情報11と学習結果31を比較して解析し、その結果を記憶装置3の解析結果32に格納する。
検知・通知部23では、解析結果32を検索し、異常を検知した場合はその旨を出力部4に出力することにより管理者に通知する。 The learning unit 21 of the detection unit 2 reads and processes the device operation information 11 and the learning result 31 in order to reflect the device operation information 11 in the learning result 31, and returns the result to the learning result 31 of the storage unit 3.
In the analysis unit 22, the device operation information 11 and the learning result 31 are compared and analyzed, and the result is stored in the analysis result 32 of the storage device 3.
The detection / notification unit 23 searches the analysis result 32 and, when an abnormality is detected, notifies the administrator by outputting the fact to the output unit 4.

図2は、異常検知装置の動作の流れについて説明したフローチャートである。
異常検知の監視対象となる電子機器1は、運用中に運用ログやセキュリティログなどの機器運用情報11を出力する。更に、学習部21と解析部22は、予め設定された時間に動作を行う(ステップS1)。
学習部21は、学習結果31から得られる既存の統計モデルA1を基にして、機器運用情報11から得られる解析対象データA2の内容を追加した、新たな確率分布の計算処理を行う。計算した結果である新たな統計モデルA3は、新しい学習結果として学習結果31を置き換える(ステップS2)。 FIG. 2 is a flowchart illustrating the operation flow of the abnormality detection device.
The electronic device 1 to be monitored for abnormality detection outputs device operation information 11 such as an operation log and a security log during operation. Furthermore, the learning unit 21 and the analysis unit 22 operate at a preset time (step S1).
Based on the existing statistical model A1 obtained from the learning result 31, the learning unit 21 performs a new probability distribution calculation process to which the content of the analysis target data A2 obtained from the device operation information 11 is added. The new statistical model A3, which is the calculated result, replaces the learning result 31 as a new learning result (step S2).

次に解析部22は、学習結果31から得られる新たな統計モデルA3を基にして、情報11から得られる解析対象データA2を構成する各要素について、スコアを計算する。
ここで、スコアとは、基となる統計モデルと、解析対象のデータの中の評価対象の要素を加えて得られる統計モデルとの統計的距離を数値で表したものである(詳しくは、非特許文献1を参照のこと)。
従って、スコアの数値が大きければ大きいほど、その内容は統計モデルA3との統計的外れ度合い(揺らぎ)が大きいということになる。ステップS4で得られた、解析対象データA2を構成する各要素に対するスコアA4を解析結果32として出力する(ステップS4)。 Next, the analysis unit 22 calculates a score for each element constituting the analysis target data A2 obtained from the information 11, based on the new statistical model A3 obtained from the learning result 31.
Here, the score is a numerical value representing the statistical distance between the statistical model that is the basis and the statistical model that is obtained by adding the elements to be evaluated in the data to be analyzed. (See Patent Document 1).
Therefore, the larger the numerical value of the score, the greater the degree of statistical deviation (fluctuation) of the content from the statistical model A3. The score A4 for each element constituting the analysis target data A2 obtained in step S4 is output as the analysis result 32 (step S4).

検知・通知部は解析結果32に納められたスコアの中で、予め設定された閾値以上の値のものがあるかどうか検索する(ステップS5)。
予め設定された閾値以上のスコアが存在する場合(ステップS5/Yes)は、機器に異常が発生した場合であると判断し、電子メール等予め決められている手順で管理者に通知する(ステップS6)。 The detection / notification unit searches the score stored in the analysis result 32 for a value greater than or equal to a preset threshold value (step S5).
If there is a score equal to or higher than a preset threshold value (step S5 / Yes), it is determined that an abnormality has occurred in the device, and the administrator is notified in accordance with a predetermined procedure such as e-mail (step). S6).

図3は、異常検知装置のより詳細な構成を示した図である。
異常検知装置は、本図に示すように、監視対象となる電子機器1、監視装置200、管理者用端末300から構成される。
監視対象機器1において、情報採取処理部110では、機器で生成されるアクセスログ、SYSLOG、イベントログ等の各種ログを採取して、それらをCSVデータに変換し、それを監視装置200にネットワークを介してFTPで送信し、監視装置200上の抽出済情報ファイルに追加する。
なお、情報採取用設定ファイル120には、情報採取処理部110の動作で必要となるパラメータ等が記述されている。
例えば、送信先の監視装置の情報や、アクセスログ、SYSLOG、イベントログ等の各種ログ情報の中で、どのログ情報を採取するか、或いは、前記電子機器1を構成するどの内部ユニットについてログ情報を採取するか、などの情報採取処理部の動作で必要となる様々なパラメータが記述されている。 FIG. 3 is a diagram showing a more detailed configuration of the abnormality detection device.
As shown in the figure, the abnormality detection device includes an electronic device 1 to be monitored, a monitoring device 200, and an administrator terminal 300.
In the monitoring target device 1, the information collection processing unit 110 collects various logs such as an access log, SYSLOG, and event log generated by the device, converts them into CSV data, and connects the network to the monitoring device 200. And is added to the extracted information file on the monitoring apparatus 200.
The information collection setting file 120 describes parameters and the like necessary for the operation of the information collection processing unit 110.
For example, which log information is collected from various types of log information such as information on a transmission destination monitoring device, access log, SYSLOG, and event log, or log information about which internal unit constituting the electronic device 1 Various parameters necessary for the operation of the information collection processing unit, such as whether to collect data, are described.

監視装置200において、情報加工処理部210では、監視対象の電子機器1上にある情報採取処理部210から受け取った抽出済情報ファイルのCSVデータの中から、設定ファイル280にて桁位置で指定されている時間属性の項目について、学習解析がしやすいように秒に換算して数値化し、新たにCSVデータを作成し、加工済情報ファイルに追加する。
ここで、「秒換算して数値化する」とは、ある基準時間からどの程度時間が経過したかを、秒で示すことである。例えば、基準時間を平成15年12月1日の0時00分00秒とすれば、平成15年12月1日の0時10分10秒という時間は、610と数値化される。
ただし、「秒換算」に限らず、より短い時間単位、例えば、1/10秒単位、1/100秒単位、ミリ秒(1/1000秒)単位、などで数値化するという方法もある。 In the monitoring device 200, the information processing unit 210 is designated at the digit position in the setting file 280 from the CSV data of the extracted information file received from the information collection processing unit 210 on the electronic device 1 to be monitored. The time attribute item is converted into seconds for easy learning analysis, digitized, newly created CSV data, and added to the processed information file.
Here, “converting to a numerical value in terms of seconds” means indicating how much time has elapsed from a certain reference time in seconds. For example, if the reference time is 00:00:00 on December 1, 2003, the time of 0:10:10 on December 1, 2003 is quantified as 610.
However, the method is not limited to “second conversion”, and there is a method of quantifying in a shorter time unit, for example, 1/10 second unit, 1/100 second unit, millisecond (1/1000 second) unit, or the like.

学習処理部220では、統計ファイルを更新するために参照し、更に、前記加工済情報ファイルのCSVデータの全項目の中から、設定ファイル280で指定された項目について、今までの統計ファイルに情報を追加して、新たな統計ファイルとして出力する。
解析処理部230では、学習結果と、設定ファイル280で指定された分析対象CSVデータの中の項目について、統計ファイルとの統計的距離を計算して、その異常度合いを数値化して解析結果ファイルに出力する。 The learning processing unit 220 refers to update the statistical file, and further, information on the items specified in the setting file 280 from all items of the CSV data of the processed information file is stored in the statistical file so far. And output as a new statistics file.
The analysis processing unit 230 calculates the statistical distance between the learning result and the items in the analysis target CSV data specified in the setting file 280 from the statistical file, quantifies the degree of abnormality, and generates the analysis result file. Output.

ここで、「設定ファイル280で指定された項目」とは、電子機器1の様々な動作に関わる項目を意味する。例えば、電子機器1として、高速データ通信を実現するデータ通信機器であれば、膨大なログ情報の中から、データのトラフィックに関する情報を取得するのが好ましいので、「トラフィック情報について処理する」旨の設定を行えばよい。
より具体的には、データのトラフィックを左右する要因として、回線スピード、データ通信待ちの状態であるデータが一時的に格納されるバッファ領域の状態などの複数の情報についてデータを取得すれば、データマイニングの手法を用いることにより、解析、異常検知することが可能である。 Here, “items specified in the setting file 280” mean items related to various operations of the electronic device 1. For example, if the electronic device 1 is a data communication device that realizes high-speed data communication, it is preferable to acquire information relating to data traffic from a large amount of log information. You only have to set it.
More specifically, if the data is acquired for multiple information such as the line speed and the buffer area status where data that is waiting for data communication is temporarily stored as factors that influence data traffic, By using a mining technique, analysis and abnormality detection can be performed.

或いは、電子機器の全体を制御するCPUの監視をする場合は、処理能力(1秒あたりの処理スピード)や、発熱による温度上昇及び冷却による温度低下などの温度情報を取得するのが好ましいので、「処理能力について処理する」、或いは「温度情報について処理する」旨の設定を行えばよい。
或いは、「全てのログ情報について処理する」というような設定を行い、総合的に解析、異常検知することも可能である。 Alternatively, when monitoring the CPU that controls the entire electronic device, it is preferable to acquire temperature information such as processing capacity (processing speed per second) and temperature rise due to heat generation and temperature drop due to cooling. It is only necessary to make a setting of “processing for processing capacity” or “processing for temperature information”.
Alternatively, a setting such as “process all log information” can be performed to comprehensively analyze and detect an abnormality.

検知処理部240では、設定ファイル280から閾値を読み込み、解析結果ファイルの中の異常度合いを表した数値が閾値以上になっているものを検索し、検索の結果を検知結果ファイルとして出力する。
通知処理部250では、検知結果ファイルの中のデータをe−MailやSNMP(Simple Network Management Protocol)を使用して、管理者端末300に通知する。 The detection processing unit 240 reads a threshold value from the setting file 280, searches the analysis result file for a numerical value representing the degree of abnormality being equal to or greater than the threshold value, and outputs the search result as a detection result file.
The notification processing unit 250 notifies the administrator terminal 300 of data in the detection result file using e-Mail or SNMP (Simple Network Management Protocol).

また、前記情報加工処理部210、学習処理部220、解析処理部230、検知処理部240、通知処理部250を、一連の流れで自動的に実行するようにするために、実行制御部260で管理する。
また、管理機能270は、設定ファイル280を編集する機能をWebサーバ上で動作する機能として提供する。そのため、監視装置200は、サーバコンピュータ等の汎用性の高い情報処理装置を用いるのが一般的である。 In addition, in order to automatically execute the information processing processing unit 210, the learning processing unit 220, the analysis processing unit 230, the detection processing unit 240, and the notification processing unit 250 in a series of flows, the execution control unit 260 to manage.
The management function 270 also provides a function for editing the setting file 280 as a function that operates on the Web server. Therefore, the monitoring device 200 generally uses a highly versatile information processing device such as a server computer.

管理者用端末300では、Webブラウザ310から管理機能に接続して、監視装置200上の設定ファイル280と、監視対象の電子機器1上の情報採取用設定ファイル120を編集することが可能である。
メーラ320は、監視装置200の通知処理部250からの通知のメールを受信する。
なお、管理者用端末300としては、パーソナルコンピュータ等の汎用性の高い情報処理装置を用いるのが一般的である。 The administrator terminal 300 can connect to the management function from the Web browser 310 and edit the setting file 280 on the monitoring device 200 and the information collection setting file 120 on the electronic device 1 to be monitored. .
The mailer 320 receives the notification mail from the notification processing unit 250 of the monitoring device 200.
As the administrator terminal 300, a highly versatile information processing apparatus such as a personal computer is generally used.

また、監視装置からの異常検知を通知する手段、或いは通知された内容を出力する手段は、e−MailやSNMPに限らず、専用のプログラムを用いて、異常を検知する度に監視装置から管理者用端末に対して、画面上でポップアップ通知したり、または、警告音のような音声を発することにより通知するというような手段も考えられる。   The means for notifying the abnormality detection from the monitoring apparatus or the means for outputting the notified contents is not limited to e-Mail or SNMP, and is managed from the monitoring apparatus every time an abnormality is detected using a dedicated program. It is also conceivable to notify the user terminal by giving a pop-up notification on the screen or by issuing a sound such as a warning sound.

また、上記に示した実施形態は、本発明の好適な実施の一例である。しかしながら、本発明の実施形態は、これらに限定されるものではなく、本発明の要旨を逸脱しない範囲内で、様々な変形実施が可能である。
例えば、本実施例では、監視対象の電子機器1上に、機器運用情報11を採取し、監視装置200に送信する手段を設けているが、監視装置200から電子機器1上の機器運用情報11を参照し、取得する(ダウンロードする)ような手段でも構わない。 Moreover, embodiment shown above is an example of suitable implementation of this invention. However, the embodiments of the present invention are not limited to these, and various modifications can be made without departing from the scope of the present invention.
For example, in this embodiment, there is provided means for collecting device operation information 11 on the electronic device 1 to be monitored and transmitting it to the monitoring device 200. However, the device operation information 11 on the electronic device 1 from the monitoring device 200 is provided. It is possible to refer to and acquire (download).

(効果)
以上の説明から明らかなように、機器の運用状態を監視し、異常を検知する監視装置と、前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、前記解析結果から前記機器の異常を検知する異常検知手段と、前記機器の異常を検知した旨を出力する出力手段とを有することにより、予め異常を検知するための条件を登録すること無しに、データマイニングの手法を利用して機器の異常を検知し、管理者はモニタ等の出力手段を通じて機器の異常を把握することが可能となる。 (effect)
As is apparent from the above description, an apparatus abnormality detection apparatus comprising: a monitoring apparatus that monitors an operation state of an apparatus and detects an abnormality; and an apparatus monitored by the monitoring apparatus. The monitoring device receives device operation information indicating an operation state generated by the operation of the device, learns the device operation information, and stores the contents as a learning result, and the device operation Information and the learning result are compared and analyzed, an analysis means for storing the contents as an analysis result, an abnormality detection means for detecting an abnormality of the device from the analysis result, and the fact that the abnormality of the device is detected By having an output means for outputting, without registering conditions for detecting an abnormality in advance, an apparatus abnormality is detected using a data mining technique. It is possible to grasp an abnormality of the device through the power unit.

また、機器運用情報を採取し、送信する際に、前記機器運用情報の中から、情報採取用設定ファイルで指定された情報のみを採取する手段を有することにより、必要な情報のみを採取し、効率よく解析し、異常検知をすることが可能となる。   In addition, when collecting and transmitting device operation information, only necessary information is collected from the device operation information by having means for collecting only the information specified in the information collection setting file, It is possible to analyze efficiently and detect anomalies.

また、前記情報採取用設定ファイルの内容を変更する際に、外部から指示することにより、システム管理者が、必要に応じてその設定を変更することが可能となる。   In addition, when changing the contents of the information collection setting file, the system administrator can change the settings as necessary by giving an external instruction.

また、設定ファイルで指定された項目について学習し、学習結果として記憶するので、効率のよい学習が可能となり、更に、効率のよい解析処理、異常検知処理を行うことが可能となる。   Further, since the items specified in the setting file are learned and stored as learning results, efficient learning is possible, and more efficient analysis processing and abnormality detection processing can be performed.

また、設定ファイルで指定された項目について解析し、解析結果として記憶するので、効率のよい解析が可能となり、更に、効率のよい異常検知を行うことが可能となる。   Further, since the items specified in the setting file are analyzed and stored as analysis results, efficient analysis can be performed, and furthermore, efficient abnormality detection can be performed.

また、前記設定ファイルの内容を変更する際に、外部から指示することにより、システム管理者が、必要に応じてその設定を変更することが可能となる。
例えば、閾値を大きくすることにより、異常検知の感度を大きくすることが可能であり、逆に、閾値を小さくすれば、異常検知の感度を小さくすることが可能である。
このように、システム管理者が状況に応じて異常検知装置の動作設定を変更することが可能となる。 In addition, when changing the contents of the setting file, the system administrator can change the settings as necessary by giving an external instruction.
For example, it is possible to increase the sensitivity of abnormality detection by increasing the threshold value. Conversely, if the threshold value is decreased, the sensitivity of abnormality detection can be decreased.
In this way, the system administrator can change the operation setting of the abnormality detection device according to the situation.

また、従来の技術では、電子機器の製造者が異常の状態を想定(エラーの設計)していたが、本発明により、異常の状態を想定する作業(エラーの設計作業)が不要となる。   In the conventional technique, the manufacturer of the electronic device assumes an abnormal state (error design). However, according to the present invention, an operation that assumes an abnormal state (error design work) becomes unnecessary.

異常検知装置の概要を示す図である。It is a figure which shows the outline | summary of an abnormality detection apparatus. 異常検知装置の動作の流れについて説明したフローチャートである。It is the flowchart explaining the flow of operation | movement of the abnormality detection apparatus. 図3は、異常検知装置の詳細な構成を示した図である。FIG. 3 is a diagram showing a detailed configuration of the abnormality detection device.

符号の説明Explanation of symbols

1 異常検知対象機器(電子機器)
2 検知部
3 記憶部
4 出力部
11 機器運用情報
21 学習部
22 解析部
23 検知・通知部
31 学習結果
32 解析結果
110 情報採取処理部
120 情報採取用設定ファイル
200 監視装置
210 情報加工処理部
220 学習処理部
230 解析処理部
240 検知処理部
250 通知処理部
260 実行制御部
270 管理機能
280 設定ファイル
300 管理者用端末
310 Webブラウザ
320 メーラ
A1 既存の統計モデル
A2 解析対象データ
A3 新たな統計モデル
A4 スコアデータ 1 Anomaly detection target equipment (electronic equipment)
2 Detection Unit 3 Storage Unit 4 Output Unit 11 Device Operation Information 21 Learning Unit 22 Analysis Unit 23 Detection / Notification Unit 31 Learning Result 32 Analysis Result 110 Information Collection Processing Unit 120 Information Collection Setting File 200 Monitoring Device 210 Information Processing Processing Unit 220 Learning processing unit 230 Analysis processing unit 240 Detection processing unit 250 Notification processing unit 260 Execution control unit 270 Management function 280 Setting file 300 Administrator terminal 310 Web browser 320 Mailer A1 Existing statistical model A2 Analysis target data A3 New statistical model A4 Score data

Claims (10)

機器の運用状態を監視し、異常を検知する監視装置と、
前記監視装置によって監視される機器とを含み構成されることを特徴とする機器の異常検知装置であって、
前記監視装置は、前記機器の動作によって生成される運用状態を示す機器運用情報を受信し、前記機器運用情報を学習し、その内容を学習結果として記憶する学習手段と、
前記機器運用情報と前記学習結果とを比較して解析し、その内容を解析結果として記憶する解析手段と、
前記解析結果から前記機器の異常を検知する異常検知手段と、
前記機器の異常を検知した旨を出力する出力手段とを有することを特徴とする機器の異常検知装置。 A monitoring device that monitors the operational status of the device and detects anomalies;
An apparatus for detecting an abnormality of an apparatus, comprising an apparatus monitored by the monitoring apparatus,
The monitoring device receives device operation information indicating an operation state generated by the operation of the device, learns the device operation information, and stores the contents as a learning result;
Analyzing and analyzing the device operation information and the learning result, and storing the contents as an analysis result;
An abnormality detection means for detecting an abnormality of the device from the analysis result;
An apparatus abnormality detection apparatus comprising: output means for outputting a notification that an abnormality of the apparatus has been detected. 前記機器は、自身の動作によって生成される運用状態を示す機器運用情報を採取し、前記監視装置に送信する情報採取送信手段を有することを特徴とする請求項1記載の機器の異常検知装置。   2. The apparatus abnormality detection device according to claim 1, further comprising information collection and transmission means for collecting device operation information indicating an operation state generated by its own operation and transmitting the device operation information to the monitoring device. 前記情報採取送信手段は、前記機器運用情報の中から、情報採取用設定ファイルで指定された情報のみを採取する情報採取手段を有することを特徴とする請求項2記載の機器の異常検知装置。   3. The apparatus abnormality detection device according to claim 2, wherein the information collection and transmission unit includes an information collection unit that collects only the information specified in the information collection setting file from the device operation information. 前記監視装置は、前記情報採取用設定ファイルの内容を変更する第1の内容変更手段を有することを特徴とする請求項3記載の機器の異常検知装置。   4. The apparatus abnormality detection device according to claim 3, wherein the monitoring device includes first content changing means for changing the content of the information collection setting file. 前記第1の内容変更手段を、外部から指示する第1の指示手段を有することを特徴とする請求項4に記載の機器の異常検知装置。   The apparatus according to claim 4, further comprising a first instruction unit that instructs the first content changing unit from outside. 前記学習手段は、設定ファイルで指定された項目について学習し、学習結果として記憶する第2の学習手段を有することを特徴とする請求項1〜5のいずれか1項に記載の機器の異常検知装置。   6. The device abnormality detection according to claim 1, wherein the learning unit includes a second learning unit that learns about an item specified in a setting file and stores the learning result as a learning result. apparatus. 前記解析手段は、設定ファイルで指定された項目について解析し、解析結果として記憶する第2の解析手段を有することを特徴とする請求項1〜6のいずれか1項に記載の機器の異常検知装置。   The apparatus according to claim 1, wherein the analysis unit includes a second analysis unit that analyzes an item specified in a setting file and stores the result as an analysis result. apparatus. 前記異常検知手段は、前記解析結果の値と、設定ファイルで指定された閾値とを比較することにより、異常であるか否かを判定する判定手段を有することを特徴とする請求項1〜7のいずれか1項に記載の機器の異常検知装置。   The abnormality detection unit includes a determination unit that determines whether or not there is an abnormality by comparing the value of the analysis result with a threshold value specified in a setting file. The apparatus abnormality detection device according to any one of the above. 前記監視装置は、前記設定ファイルの内容を変更する第2の内容変更手段を有することを特徴とする請求項6〜8のいずれか1項に記載の機器の異常検知装置。   9. The apparatus abnormality detection device according to claim 6, wherein the monitoring device includes a second content changing unit that changes the content of the setting file. 前記第2の内容変更手段を、外部から指示する第2の指示手段を有することを特徴とする請求項9記載の機器の異常検知装置。   10. The apparatus abnormality detection device according to claim 9, further comprising second instruction means for instructing the second content changing means from outside.
JP2003425547A 2003-12-22 2003-12-22 Abnormality detector for apparatus Withdrawn JP2005182647A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003425547A JP2005182647A (en) 2003-12-22 2003-12-22 Abnormality detector for apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003425547A JP2005182647A (en) 2003-12-22 2003-12-22 Abnormality detector for apparatus

Publications (1)

Publication Number Publication Date
JP2005182647A true JP2005182647A (en) 2005-07-07

Family

ID=34785400

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003425547A Withdrawn JP2005182647A (en) 2003-12-22 2003-12-22 Abnormality detector for apparatus

Country Status (1)

Country Link
JP (1) JP2005182647A (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007264760A (en) * 2006-03-27 2007-10-11 Nec Corp Log analysis system, and method and program for setting log analysis tool
JP2008015596A (en) * 2006-07-03 2008-01-24 Nec Fielding Ltd Management server and repair program transmission method
WO2008111428A1 (en) * 2007-03-14 2008-09-18 Nec Corporation Operation management device, operation management method, and operation management program
JP2009048291A (en) * 2007-08-15 2009-03-05 Oki Electric Ind Co Ltd System analysis device and program
US7694179B2 (en) 2006-03-17 2010-04-06 Fujitsu Limited Suspected place identifying apparatus and processing method
JP2011034208A (en) * 2009-07-30 2011-02-17 Hitachi Ltd Failure detection method, device and program
JP2011192097A (en) * 2010-03-16 2011-09-29 Hitachi Ltd Failure detection method and information processing system using the same
JP2012069076A (en) * 2010-09-27 2012-04-05 Toshiba Corp Evaluation device
JP2012104148A (en) * 2012-01-18 2012-05-31 Toshiba Corp Evaluation unit, evaluation method, evaluation program and recording medium
JP2014115768A (en) * 2012-12-07 2014-06-26 Toshiba Corp Log determination system, log determination standard architecting apparatus, and log determination method
WO2019103180A1 (en) * 2017-11-22 2019-05-31 한화테크윈주식회사 Data visualization system and method, and computer-readable recording medium
WO2023228316A1 (en) * 2022-05-25 2023-11-30 日本電信電話株式会社 Detection device, detection method, and detection program

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7694179B2 (en) 2006-03-17 2010-04-06 Fujitsu Limited Suspected place identifying apparatus and processing method
JP4600327B2 (en) * 2006-03-27 2010-12-15 日本電気株式会社 Log analysis system, log analysis tool setting method and program
JP2007264760A (en) * 2006-03-27 2007-10-11 Nec Corp Log analysis system, and method and program for setting log analysis tool
JP2008015596A (en) * 2006-07-03 2008-01-24 Nec Fielding Ltd Management server and repair program transmission method
US8332344B2 (en) 2007-03-14 2012-12-11 Nec Corporation Operation management apparatus, operation management method, and operation management program
WO2008111428A1 (en) * 2007-03-14 2008-09-18 Nec Corporation Operation management device, operation management method, and operation management program
JP5126698B2 (en) * 2007-03-14 2013-01-23 日本電気株式会社 Operation management apparatus, operation management method, and operation management program
JP2009048291A (en) * 2007-08-15 2009-03-05 Oki Electric Ind Co Ltd System analysis device and program
JP2011034208A (en) * 2009-07-30 2011-02-17 Hitachi Ltd Failure detection method, device and program
JP2011192097A (en) * 2010-03-16 2011-09-29 Hitachi Ltd Failure detection method and information processing system using the same
JP2012069076A (en) * 2010-09-27 2012-04-05 Toshiba Corp Evaluation device
JP2012104148A (en) * 2012-01-18 2012-05-31 Toshiba Corp Evaluation unit, evaluation method, evaluation program and recording medium
JP2014115768A (en) * 2012-12-07 2014-06-26 Toshiba Corp Log determination system, log determination standard architecting apparatus, and log determination method
WO2019103180A1 (en) * 2017-11-22 2019-05-31 한화테크윈주식회사 Data visualization system and method, and computer-readable recording medium
WO2023228316A1 (en) * 2022-05-25 2023-11-30 日本電信電話株式会社 Detection device, detection method, and detection program

Similar Documents

Publication Publication Date Title
US10931511B2 (en) Predicting computer network equipment failure
JP5375829B2 (en) Operation management apparatus, operation management method, and operation management program
EP3051421B1 (en) An application performance analyzer and corresponding method
KR101809573B1 (en) Method, system, and computer readable storage medium for evaluating dataflow graph characteristics
JP5736881B2 (en) Log collection system, apparatus, method and program
US8275735B2 (en) Diagnostic system
EP3663919B1 (en) System and method of automated fault correction in a network environment
US20140258187A1 (en) Generating database cluster health alerts using machine learning
US20070016687A1 (en) System and method for detecting imbalances in dynamic workload scheduling in clustered environments
KR20180108446A (en) System and method for management of ict infra
KR102440335B1 (en) A method and apparatus for detecting and managing a fault
US7594014B2 (en) Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program
JP2005182647A (en) Abnormality detector for apparatus
KR20190021560A (en) Failure prediction system using big data and failure prediction method
JP7031743B2 (en) Anomaly detection device
CN113196311A (en) System and method for identifying and predicting abnormal sensing behavior patterns of a machine
JP2015095060A (en) Log analysis device and method
JP6280862B2 (en) Event analysis system and method
CN114996090A (en) Server abnormity detection method and device, electronic equipment and storage medium
KR101281460B1 (en) Method for anomaly detection using statistical process control
JP6574533B2 (en) Risk assessment device, risk assessment system, risk assessment method, and risk assessment program
JP2008234351A (en) Integrated operation monitoring system and program
US20170249285A1 (en) Calibration technique for rules used with asset monitoring in industrial process control and automation systems
CN116755992B (en) Log analysis method and system based on OpenStack cloud computing
CN111555899B (en) Alarm rule configuration method, equipment state monitoring method, device and storage medium

Legal Events

Date Code Title Description
A300 Withdrawal of application because of no request for examination

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20070306