JP2006338305A - Monitor and monitoring program - Google Patents
Monitor and monitoring program Download PDFInfo
- Publication number
- JP2006338305A JP2006338305A JP2005161863A JP2005161863A JP2006338305A JP 2006338305 A JP2006338305 A JP 2006338305A JP 2005161863 A JP2005161863 A JP 2005161863A JP 2005161863 A JP2005161863 A JP 2005161863A JP 2006338305 A JP2006338305 A JP 2006338305A
- Authority
- JP
- Japan
- Prior art keywords
- event
- rule
- correlation rule
- correlation
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、監視対象装置から出力されるイベントを監視し、インシデントを出力する監視装置及び監視プログラムに関する。 The present invention relates to a monitoring apparatus and a monitoring program for monitoring an event output from a monitoring target apparatus and outputting an incident.
近年、コンピュータ、通信制御装置などの情報機器発達により、企業活動において、それら情報機器が活用されている。これらの情報機器は、経年変化や環境変化などの様々な要因で、故障や障害のアクシデントが発生する場合がある。アクシデントが発生した場合、情報機器は障害の情報を、エラーメッセージやシステムログなどの形式で出力する。従って、情報機器の管理者は、エラーメッセージやシステムログを監視することにより、情報機器の故障や障害などのアクシデントを把握することができる。 In recent years, with the development of information devices such as computers and communication control devices, such information devices have been utilized in business activities. In these information devices, failures and accidents may occur due to various factors such as aging and environmental changes. When an accident occurs, the information device outputs failure information in the form of an error message or system log. Therefore, the administrator of the information device can grasp the accident such as a failure or failure of the information device by monitoring the error message or the system log.
従来、情報機器から出力されたエラーメッセージやシステムログを収集して情報機器の故障や障害を監視する監視装置がある。この監視装置は、監視対象要素から発生する単一のイベント(エラーメッセージやシステムログなど)を抽出して監視対象要素の故障や障害などを監視している。 2. Description of the Related Art Conventionally, there is a monitoring device that collects error messages and system logs output from information devices and monitors information device failures and failures. This monitoring apparatus extracts a single event (such as an error message or a system log) generated from a monitoring target element and monitors a failure or failure of the monitoring target element.
又、ログデータを分析し、相関させるオートノミック・コンピューティング・ログ・トレース・アナライザーがある(非特許文献1の第15頁第1段落参照)。この非特許文献1に記載の技術では、共通フォーマット、ログを読み込み、時間ベース、フィールド・ベース(URLなど)といった様々な基準に基づいてログを相関させ、関連づけられたログ・レコードを表示することを可能にしている。
しかし、このような従来の技術では、充分なインシデント(通知の必要がある監視対象装置で発生したあらゆる事象)を抽出することは困難である。 However, with such a conventional technique, it is difficult to extract a sufficient incident (any event that has occurred in a monitoring target device that needs to be notified).
例えば、上記監視装置では、単一イベントを監視の対象としている。従って個々の些細なイベントに対してそれぞれインシデントを出力する場合、膨大な量になってしまい充分な障害対策などの処理がなされないおそれがあり、一方インシデントを出力しない場合、監視対象装置が障害対策などの処理対象から完全に外されてしまうので故障や障害の予兆を把握することはできない。 For example, in the above monitoring device, a single event is a monitoring target. Therefore, if an incident is output for each trivial event, there is a risk that the volume of the incident will be enormous and sufficient failure countermeasures may not be performed. Therefore, it is impossible to grasp a sign of failure or failure.
又、非特許文献1に記載の技術では、時間及びフィールドが一致するイベントを関連するものとして抽出しているので、定常的に装置を利用して発生する経年変化などを把握することは困難である。
Further, in the technique described in
従って本発明の目的は、個々のイベントの相関関係を考慮してインシデントを出力する監視装置及び監視プログラムを提供することである。 Accordingly, an object of the present invention is to provide a monitoring apparatus and a monitoring program for outputting an incident in consideration of the correlation between individual events.
上記課題を解決するために、本発明の第1の特徴は、監視対象装置から出力されるイベントを監視し、インシデントを出力する監視装置に関する。即ち本発明の第1の特徴に係る監視装置は、コリレーションルール識別子に、監視対象となるイベントのイベント識別子とイベント識別子に関連づけられたフィルタリングルールと複数のイベント識別子の関連を示すコリレーションルールとが関連づけられたインシデントを出力する条件となるルール定義データを記憶装置に記憶するルール定義データ記憶手段と、監視対象装置からイベントを取得するイベント取得手段と、前記記憶された前記ルール定義データを参照してイベント取得手段によって取得されたイベントを解析し、解析された前記イベントがフィルタリングルールに合致する場合、コリレーションルールに合致するか否かを判定し、コリレーションルールに合致しない場合は状態を保存するイベント処理手段と、イベント処理手段においてコリレーションルールに合致する場合、インシデントを出力するインシデント出力手段を備える。 In order to solve the above problems, a first feature of the present invention relates to a monitoring device that monitors an event output from a monitoring target device and outputs an incident. That is, the monitoring device according to the first aspect of the present invention includes a correlation rule identifier including an event identifier of an event to be monitored, a filtering rule associated with the event identifier, and a correlation rule indicating a relationship between a plurality of event identifiers. A rule definition data storage means for storing rule definition data in a storage device as a condition for outputting an incident associated with the event, an event acquisition means for acquiring an event from a monitored device, and the stored rule definition data Then, the event acquired by the event acquisition means is analyzed, and if the analyzed event matches the filtering rule, it is determined whether or not it matches the correlation rule. Event processing means to save and event processing If it meets the correlation rule in means comprises an incident output means for outputting an incident.
この様な本発明によれば、フィルタリングルールの組み合わせである複数イベントの相関関係を、演算子などで指定されたコリレーションルールを用いて、複数装置から出力される複数イベントを対象とした複雑なルール定義を利用して、インシデントを出力することができる。 According to the present invention as described above, the correlation between a plurality of events, which is a combination of filtering rules, is performed using a correlation rule specified by an operator or the like, and a complex event targeted for a plurality of events output from a plurality of devices. Incident can be output using rule definition.
ここで、フィルタリングルールとして変数を持ち、イベント処理手段は、フィルタリングルールの変数に該当する数値毎に、前記コリレーションルールに合致するか否かを判定し、状態を保存することが好ましい。 Here, it is preferable that the filtering rule has a variable, and the event processing unit determines whether or not the numerical value corresponding to the filtering rule variable matches the correlation rule, and stores the state.
この様な本発明によれば、変数を利用することにより、同一のフィルタリングルール及びコリレーションルールであっても、変数毎に状態を保存するので、変数毎にフィルタリングルール及びコリレーションルールのマッチングを判定しインシデントを出力することができる。具体的には、ディスク番号などを変数として表現されたルールの場合、ディスク番号毎に別のインシデントとして出力することができる。 According to the present invention, by using variables, even if the same filtering rule and correlation rule are stored, the state is saved for each variable. Therefore, the filtering rule and the correlation rule are matched for each variable. Judgment can be made and an incident can be output. Specifically, in the case of a rule that expresses a disk number or the like as a variable, it can be output as a separate incident for each disk number.
ここで、イベント処理手段は、解析されたイベントがフィルタリングルールに合致する場合、前記保存された状態データを参照してコリレーションルールに合致する可否かを判定し、コリレーションルールに合致しない場合はコリレーションルールの合致状態を状態データとして保存することが好ましい。 Here, when the analyzed event matches the filtering rule, the event processing means determines whether or not the correlation event matches the correlation rule with reference to the stored state data. It is preferable to store the matching state of the correlation rule as state data.
この様な本発明によれば、ルールのマッチング状況を、各コリレーションルール及び変数毎に状態データとして記憶するので、監視装置がリブートされてもリブート前に受信したイベントに関する状態を保持したまま、イベントを継続して監視することができる。これにより、マシン状態に依存せずに、監視対象装置を監視することができる。 According to the present invention as described above, the rule matching status is stored as status data for each correlation rule and variable, so even if the monitoring device is rebooted, it retains the status related to the event received before rebooting, Events can be monitored continuously. Thereby, it is possible to monitor the monitoring target device without depending on the machine state.
ここで、コリレーションルールとして、回数又は時間を持ち、イベント処理手段は更に、回数又は時間を考慮してコリレーションルールが合致するか否かを判定することが好ましい。 Here, it is preferable that the correlation rule has a number of times or a time, and the event processing unit further determines whether or not the correlation rule matches in consideration of the number of times or the time.
この様な本発明によれば、指定された条件の回数又は時間にマッチする複数のイベントを抽出することができるので、指定された条件の回数又は時間に適合しないイベントを排除して、余分なインシデントの発生を防ぐことができる。更に、同じ条件の回数間又は時間で発生した同一のイベントを排除して、インシデントの出力の重複を防ぐことができる。 According to the present invention, it is possible to extract a plurality of events that match the number of times or time of a specified condition. Incidents can be prevented. Further, it is possible to eliminate the same event that occurs between the same number of times or in time, and to prevent the duplicate of the output of incidents.
ここで、ルール定義データ記憶手段は更に、コリレーションルール識別子に、コリレーションルールが合致した場合のアクションが関連づけられたルール定義データを記憶装置に記憶し、イベント処理手段がコリレーションルールに合致すると判定した場合、記憶装置からルール定義データに基づいて、アクションの実行を制御する実行アクション制御手段を更に備えることが好ましい。 Here, the rule definition data storage means further stores in the storage device rule definition data associated with the correlation rule identifier and an action when the correlation rule matches, and the event processing means matches the correlation rule. When it is determined, it is preferable to further include an execution action control means for controlling the execution of the action based on the rule definition data from the storage device.
この様な本発明によれば、インシデントが出力された後に処理すべきことを予め設定し実行させることができる。 According to the present invention as described above, it is possible to set and execute in advance what should be processed after an incident is output.
本発明の第2の特徴は、監視対象装置から出力されるイベントを監視し、インシデントを出力する監視プログラムに関する。即ち、本発明の第2の特徴に係る監視プログラムは、コリレーションルール識別子に、監視対象となるイベントのイベント識別子とイベント識別子に関連づけられたフィルタリングルールと複数のイベント識別子の関連を示すコリレーションルールとが関連づけらたインシデントを出力する条件となるルール定義データを記憶装置に記憶するルール定義データ記憶手段と、監視対象装置からイベントを取得するイベント取得手段と、ルール定義データを参照して、イベント取得手段によって取得されたイベントを解析し、解析されたイベントがフィルタリングルールに合致する場合、コリレーションルールに合致するか否かを判定し、コリレーションルールに合致しない場合は状態を保存するイベント処理手段と、イベント処理手段においてコリレーションルールに合致する場合、インシデントを出力するインシデント出力手段とをコンピュータに実行させる。 The second feature of the present invention relates to a monitoring program for monitoring an event output from a monitoring target device and outputting an incident. That is, the monitoring program according to the second aspect of the present invention provides a correlation rule identifier that indicates an association between an event identifier of an event to be monitored, a filtering rule associated with the event identifier, and a plurality of event identifiers. Referring to the rule definition data, a rule definition data storage unit that stores rule definition data that is a condition for outputting an incident associated with the event in the storage device, an event acquisition unit that acquires an event from the monitored device, an event Event processing that analyzes the event acquired by the acquisition means, determines whether it matches the correlation rule if the analyzed event matches the filtering rule, and saves the state if it does not match the correlation rule Means and event processing means If you meet the relations rule, to execute an incident output means for outputting an incident to the computer.
本発明によれば、個々のイベントの相関関係を考慮してインシデントを出力する監視装置及び監視プログラムを提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the monitoring apparatus and monitoring program which output an incident in consideration of the correlation of each event can be provided.
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。 Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.
(最良の実施の形態)
(監視システム)
本発明の最良の実施の形態に係る監視システム10は、監視対象装置群4から出力されるイベントを監視し、インシデントを出力する監視装置1と、監視装置1から情報を収集する管理システム3と、監視装置1の監視対象の装置である監視対象装置群4を備えている。監視装置1と管理システム3は、インターネットなどの通信ネットワーク2aによって接続され、監視装置1と監視対象装置群4は、社内LANなどの通信ネットワーク2bによって接続される。ここでは、通信ネットワーク2aと通信ネットワーク2bとは異なるネットワークとして記載しているが、同一の通信ネットワークであっても良い。ここで、監視装置1が出力するインシデントは、障害に至ることなく自己修正できるような、小さなエラーに基づいて推測され、適切な処理が行われないと事故となる可能性がある事象もしくは管理システム3に通知する必要がある監視対象装置41a、41b、41c上で発生したあらゆる事象である。
(Best Embodiment)
(Monitoring system)
The monitoring system 10 according to the preferred embodiment of the present invention monitors an event output from the monitoring target device group 4 and outputs an incident, and a
管理システム3は、保守ナレッジデータ31と運用ルールデータ32を備える。管理システム3は、監視装置1から入力されるインシデントの情報に基づいて、監視対象装置群4の状況を把握し、保守ナレッジデータ31を参照して、監視対象装置群4の管理者などに対応策などを通知する。
The
監視対象装置群4は、本発明の最良の実施の形態に係る監視装置1が監視し、その結果を管理システム3に通知する装置の集合である。この監視対象装置群4は、コンピュータ、通信制御装置、製造装置などのあらゆる監視対象装置41a、41b、41cが含まれる。監視対象装置41a、41b、41cは、装置に限らず、コンピュータ上で動作するプログラム、アプリケーション、ミドルウェアなども含まれても良い。各監視対象装置41a、41b、41cは、それぞれエージェント42a、42b、42cを備えている。
The monitoring target device group 4 is a set of devices that are monitored by the
エージェント42aは、監視対象装置41aが出力するイベントを通信ネットワーク2bを介して監視装置1に送信する。ここで、監視対象装置41aが出力するイベントは、オペレーションシステムのシステムログやイベントログ、ミドルウェアやアプリケーションのログ、ネットワークやバスを流れるメッセージやパケット、SNMPイベント、CBEイベント、メール、ニュース、システム内の通知イベントであるCIMイベントなど、様々な形態が含まれる。又、エージェント42aに対して設定することにより、所定のイベントや時間のみ抽出するように設定することも可能である。
The
ここでは、監視対象装置41a及びエージェント42aについて説明したが、監視対象装置41b及びエージェント42b、監視対象装置41c及びエージェント42cについても同様である。
Although the
(監視装置)
図2に示すように、本発明の最良の実施の形態に係る監視装置1は、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
(Monitoring device)
As shown in FIG. 2, the
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から監視装置1を起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出したりしてRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
The central
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、監視装置1をインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
The
記憶装置107は半導体記憶装置や磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
The
本発明の最良の実施の形態に係る監視装置1の記憶装置107には、監視プログラムが記憶されるとともに、図1に示すように、ルール定義データ21、パラメータ定義データ22、状態データ23、ログデータ24が記憶される。又、CD−ROMなどの記憶媒体や記憶装置107に記憶された監視プログラムが監視装置1にインストールされ、監視装置1の中央処理制御装置101に読み込まれ実行されることによって、図1に示すように、ルール定義更新手段11、イベント取得手段12、イベント処理手段13、インシデント出力手段14、実行アクション制御手段15が監視装置1に実装される。
The
ルール定義データ21は、コリレーションルール識別子に、監視対象となるイベントのイベント識別子と、イベント識別子に関連づけられたフィルタリングルールと、複数のイベント識別子の関連を示すコリレーションルールとが関連づけられ、インシデントを出力する条件のデータである。ルール定義データ21において、フィルタリングルールに変数が含まれていても良い。ルール定義データ21は更に、コリレーションルールとして、回数又は時間が含まれても良い。ルール定義データ21は更に、コリレーションルール識別子に、コリレーションルールが合致した場合のアクションが関連づけられていても良い。予め管理システム3などで作成されたルール定義データが、監視装置1に取得されて記憶装置107にルール定義データ21として記憶されても良い。
In the rule definition data 21, an event identifier of an event to be monitored, a filtering rule associated with the event identifier, and a correlation rule indicating the association of a plurality of event identifiers are associated with the correlation rule identifier, It is the data of the condition to output. In the rule definition data 21, a variable may be included in the filtering rule. The rule definition data 21 may further include the number of times or time as a correlation rule. The rule definition data 21 may further be associated with an action when the correlation rule matches the correlation rule identifier. Rule definition data created in advance by the
ルール定義データ21は、図3に示すようなデータ構造とデータの一例を備える。ルール定義データ21は、フィルタリングルール及びコリレーションルールを備える。フィルタリングルールは、単一の監視対象から発生するイベントを抽出するためのルールが記述されている。フィルタリングルールとして、適切なイベントを抽出するための文字列パターンが記述されている。この文字列パターンには変数を含むことができ、正規表現として、「.* Memory Error .*」などと記載され、「.」(任意文字)、「*」(直前1文字繰り返し)、「{|}」(文字列選択)などが利用される。更にフィルタリングルールの変数として、「$a>10」や「$m="read"」等の演算子を用いて記述することができる。コリレーションルールは、複数の監視対象装置から出力される複数イベントについて、相関関係のルールが「and」、「or」、「not」、「( 」、「)」などの演算子によって記述されている。例えば、イベント「E1」とイベント「E2」の双方のイベントが出現する演算子を「and」で表した場合、コリレーションルールは「M1 and M2」と記載される。又、コリレーションルールについて、イベントの回数を指定して、同一イベントの複数発生に対するルールを定義することができる。例えば、イベント「E1」が2回発生した場合にマッチするルールは、「E1*2」と記述される。例えばコリレーションルール識別子「R101」のルールは、フィルタリングルールで定義されるイベントE1、E2及びE3について、「E1 and E2 and E3」の条件が同一アドレス及び同一ビットで1ヶ月に2回以上発生した場合に当該条件に合致したとされる。イベントE1のフィルタリング条件は、「Device-A: error issued and corrected」、イベントE2のフィルタリング条件は、「error address $ADDRESS」、イベントE3のフィルタリング条件は、「error bit $BIT」である。ここで「$」で開始される文字列は、変数名を示しており、ここに設定される変数名毎にコリレーションルールが合致するか否かが判定される。コリレーションルール識別子「R101」のルールは、イベントE2の変数「$ADDRESS」及びイベントE3の変数「$BIT」に設定される数値毎にコリレーションルールの合致状況が保持される。 The rule definition data 21 has an example of a data structure and data as shown in FIG. The rule definition data 21 includes a filtering rule and a correlation rule. The filtering rule describes a rule for extracting an event that occurs from a single monitoring target. As a filtering rule, a character string pattern for extracting an appropriate event is described. This string pattern can include variables, and regular expressions such as “. * Memory Error. *” Are described, and “.” (Arbitrary character), “*” (repeat one character immediately before), “{ |} "(Character string selection). Furthermore, it can be described using a variable such as “$ a> 10” or “$ m =“ read ”” as a filtering rule variable. Correlation rules describe the correlation rules for multiple events output from multiple monitored devices using operators such as "and", "or", "not", "(", ")". Yes. For example, when an operator in which both the event “E1” and the event “E2” appear is represented by “and”, the correlation rule is described as “M1 and M2.” As for the correlation rule, it is possible to define a rule for multiple occurrences of the same event by specifying the number of events. For example, a rule that matches when the event “E1” occurs twice is described as “E1 * 2”. For example, in the rule with the correlation rule identifier “R101”, the conditions “E1 and E2 and E3” occur at least twice a month with the same address and the same bit for the events E1, E2, and E3 defined in the filtering rule. In this case, the condition is met. The filtering condition for event E1 is “Device-A: error issued and corrected”, the filtering condition for event E2 is “error address $ ADDRESS”, and the filtering condition for event E3 is “error bit $ BIT”. Here, the character string starting with “$” indicates a variable name, and it is determined whether or not the correlation rule matches for each variable name set here. The rule with the correlation rule identifier “R101” holds the correlation status of the correlation rule for each numerical value set in the variable “$ ADDRESS” of the event E2 and the variable “$ BIT” of the event E3.
具体的には、デバイスAは多数の要素で構成され、各要素はエラーを発生することがある。エラーを発生した要素は、アドレス($ADDRESS)とビット($BIT)で特定される。エラーが発生するとデバイスAにおいて自己訂正される様に設計されている。このとき、図3のコリレーションルール識別子R101のイベント識別子E1、E2及びE3の各フィルタリングルールに記載されているイベントが出力される。これらのイベントの出力は正常なものであるが、デバイスAの同一要素が1ヶ月に2回以上エラーを発生するのは異常の予兆と判断される。このとき、異なるアドレス及びビットでエラーが発生するのは正常であるが、同一アドレス及び同一ビットで1ヶ月に2回以上のエラーが発生する場合、異常のインシデントとして検出され、そのデバイスAを正常なデバイスに交換する様に指示を出力することができる。 Specifically, the device A is composed of a number of elements, and each element may generate an error. The element causing the error is specified by an address ($ ADDRESS) and a bit ($ BIT). The device A is designed to be self-corrected when an error occurs. At this time, an event described in each filtering rule of event identifiers E1, E2, and E3 of the correlation rule identifier R101 in FIG. 3 is output. Although the output of these events is normal, it is determined that the occurrence of an error in the same element of device A at least twice a month is a sign of abnormality. At this time, it is normal for an error to occur at a different address and bit, but if an error occurs twice or more per month at the same address and the same bit, it is detected as an abnormal incident and the device A is normal An instruction can be output to switch to a new device.
コリレーションルール識別子「R102」に関するコリレーションルールは、フィルタリングルールで定義されるイベントE1及びE2について、「E1 and E2」の条件が5分以内に発生した場合に、当該条件に合致したとされる。イベントE1のフィルタリング条件は、「Program-X error」、イベントE2のフィルタリング条件は「Program-Y fail」である。具体的には、コリレーションルール識別子「R102」に関するコリレーションルールは、プログラムXとプログラムYのエラーである。E1のフィルタリングルール「Program-X error」は、プログラムXのエラーであって、E2のフィルタリングルール「Program-Y fail」は、プログラムYのエラーである。プログラムXとプログラムYは基本的には独立したプログラムであるが、ただし、プログラムXのエラーの状況によっては、プログラムYもその影響を受けてエラーとなる。イベント「E1」が発生した5分以内にイベント「E2」が発生した場合、イベント「E2」は、イベント「E1」の影響を受けたものであると考えられる。このコリレーションルールはこの様な場合にインシデントを出力する。 The correlation rule related to the correlation rule identifier “R102” is determined to meet the condition when the conditions “E1 and E2” occur within 5 minutes for the events E1 and E2 defined in the filtering rule. . The filtering condition for event E1 is “Program-X error”, and the filtering condition for event E2 is “Program-Y fail”. Specifically, the correlation rule relating to the correlation rule identifier “R102” is an error of the program X and the program Y. The E1 filtering rule “Program-X error” is a program X error, and the E2 filtering rule “Program-Y fail” is a program Y error. The program X and the program Y are basically independent programs. However, depending on the error status of the program X, the program Y is also affected and an error occurs. If the event “E2” occurs within 5 minutes after the event “E1” occurs, the event “E2” is considered to have been affected by the event “E1”. This correlation rule outputs an incident in such a case.
コリレーションルール識別子「R103」に関するコリレーションルールは、フィルタリングルールで定義されるイベントE1及びE2について、「E1 and E2」の条件が同一要素で24時間以内に発生した場合に、当該条件に合致したとされる。イベントE1のフィルタリング条件は、「Device-B: $ELEMENT type-1 error」、イベントE2のフィルタリング条件は「Device-B: $ELEMENT type-2 error」である。具体的には、コリレーションルール識別子「R103」に関するコリレーションルールは、デバイスBに関するルールである。デバイスBは様々なタイプのエラーを発生するが、デバイスBにおいて自己訂正される様に設計されている。同一要素について、タイプ1とタイプ2のエラーが共に24時間以内に発生する場合は、デバイスBを交換する様に指示を出力することができる。 図3に示す例では、単一の装置からのイベントに基づいてフィルタリングルールが設定されているが、複数の装置にまたがってフィルタリングルールを設定し、それらのフィルタリングルールによって抽出されたイベントについて、コリレーションルールが定義されても良い。
The correlation rule related to the correlation rule identifier “R103” matches the conditions for the events E1 and E2 defined in the filtering rule when the conditions “E1 and E2” occur within the same element within 24 hours. It is said. The filtering condition for event E1 is “Device-B: $ ELEMENT type-1 error”, and the filtering condition for event E2 is “Device-B: $ ELEMENT type-2 error”. Specifically, the correlation rule related to the correlation rule identifier “R103” is a rule related to the device B. Device B generates various types of errors, but is designed to be self-correcting in device B. If both
又、ルール定義データ21は、コリレーションルールに合致するか否かの判定を行う為に、コリレーションルールの優先度が付与されていても良い。この場合、複数のコリレーションルールに関係するイベントが検出されると、優先度の高いコリレーションルールに合致すると、合致したコリレーションルールに関するインシデントを出力し、そのコリレーションルールの状態をクリアする。一方、優先度の低いコリレーションルールについては、イベントが検出される前の状態のまま保持される。 Further, the rule definition data 21 may be given a priority of the correlation rule in order to determine whether or not it matches the correlation rule. In this case, when an event related to a plurality of correlation rules is detected, if the correlation rule matches a high priority correlation rule, an incident related to the matching correlation rule is output, and the state of the correlation rule is cleared. On the other hand, a correlation rule with a low priority is held as it was before the event was detected.
パラメータ定義データ22は、監視装置1のイベント処理手段13の動作仕様を制御するための各種パラメータが記憶されている。予め管理システム3などで作成されたパラメータ定義データが、監視装置1に取得されて記憶装置107にパラメータ定義データ22として記憶されても良い。
The
状態データ23は、ルール定義データ21に記憶されたコリレーションルールの条件の合致状況が保持されている。
The
ログデータ24は、イベント処理手段13において実行された様々な情報、処理結果などが記憶されている。
The log data 24 stores various information, processing results, and the like executed by the
ルール定義更新手段11は、入力装置104から入力されるルールを取得し、ルール定義データ21に挿入し記憶装置107に記憶する手段である。ルール定義更新手段11は、管理システム3から運用ルールデータ32を取得して、ルール定義データ21に挿入されても良い。この運用ルールの取得は、監視装置1からのリクエストに応じて実行されても良いし、予め定められたタイミングで実行されても良い。又、ルール定義更新手段11は、予め管理システム3などで作成されたルール定義データを取得して、記憶装置107にルール定義データ21として記憶しても良い。予めルール定義データを記憶装置107に記憶することによって、監視装置1は、管理者の入力の手間を省いて、自立監視することができる。
The rule definition update unit 11 is a unit that acquires a rule input from the
イベント取得手段12は、監視対象装置群4からイベントを取得する手段である。監視対象装置群4のエージェント42a、42b、42c…から随時イベントが送信されても良いし、イベント取得手段12が予め定められたタイミングでイベントを取得しても良い。
The
イベント処理手段13は、記憶装置107からルール定義データ及びパラメータ定義データ22を読み出すとともに、イベント取得手段12によって取得されたイベントを解析し、解析されたイベントがフィルタリングルールに合致する場合、状態データ23を記憶装置から読み出して、コリレーションルールに合致するか否かを判定し、コリレーションルールに合致しない場合は状態データ23に状態を保存する。ここで、状態の保持の方法は、既存のステートマシンにより実装される。更にイベント処理手段13は、フィルタリングルールの変数に該当する数値毎に、コリレーションルールに合致するか否かを判定し、状態データ23に状態を保存する。更にイベント処理手段は、回数又は時間を考慮してコリレーションルールが合致するか否かを判定する。具体的には、状態データ23において、フィルタリングルールに合致したイベントが発生した時刻が記憶され、記憶された時刻に基づいて回数及び時間が考慮されてコリレーションルールが合致したか否かが判定される。
The
インシデント出力手段14は、イベント処理手段13においてコリレーションルールに合致する場合、インシデントを管理システム3などに出力する。
The
実行アクション制御手段15は、イベント処理手段13によってコリレーションルールに合致すると判定されると、記憶装置からルール定義データ21を読み出し、アクションの実行を制御する。このアクションには、他装置を制御する制御用外部コマンドや、情報収集する情報収集用コマンド等が含まれる。
When the
次に、図4乃至図7を参照して、本発明の最良の実施の形態に係る監視装置1のイベント処理手段13について、具体的例を用いて説明する。
Next, the event processing means 13 of the
図4及び図5に示す例は、図3に示すコリレーションルール識別子「R101」に関するイベントの具体例である。図4においては、アドレス「129」及びビット「7」においてエラーが発生した24日後に、同じくアドレス「129」及びビット「7」においてエラーが発生した場合である。この場合、図3に示すコリレーションルール識別子「R101」のコリレーションルールに合致するので、監視装置1はインシデントを出力する。一方、図5においては、アドレス「129」及びビット「7」においてエラーが発生した24日後に、アドレス「132」及びビット「5」においてエラーが発生した。この場合、図3に示すコリレーションルール識別子「R101」のコリレーションルールに合致しないので、監視装置1はインシデントを出力せず、状態データ23に状態を記憶する。
The examples illustrated in FIGS. 4 and 5 are specific examples of events related to the correlation rule identifier “R101” illustrated in FIG. 3. FIG. 4 shows a case where an error occurs in the address “129” and the bit “7” 24 days after the error occurs in the address “129” and the bit “7”. In this case, the
図6及び図7に示す例は、図3に示すコリレーションルール識別子「R103」に関するイベントの具体例である。図6においては、要素「blue-chip」にタイプ1のエラーが発生した約7時間後に、同じく要素「blue-chip」にタイプ2のエラーが発生していた場合である。この場合、図3に示すコリレーションルール識別子「R103」のコリレーションルールに合致するので、監視装置1はインシデントを出力する。一方、図7においては、要素「blue-chip」にタイプ1のエラーが発生した約9時間後に、要素「red-chip」にタイプ2のエラーが発生している。この場合、図3に示すコリレーションルール識別子「R103」のコリレーションルールに合致しないので、監視装置1はインシデントを出力しない。
The example illustrated in FIGS. 6 and 7 is a specific example of an event related to the correlation rule identifier “R103” illustrated in FIG. FIG. 6 shows a case where a
次に、図8乃至図12を参照して、イベント処理手段13による状態データ23の更新を説明する。コリレーションルール識別子「R301」及び「R302」について説明する。ここでは、イベント「E1」及び「E2」について、同一のフィルタリング条件を備え、コリレーションルール識別子「R301」のコリレーションルールは「E1 and E2 and E3」であって、コリレーションルール識別子「R302」のコリレーションルールは「E1 and E3」である。コリレーションルール識別子「R301」及び「R302」については、変数定義、繰り返し及び時間定義などはないものとして説明する。又、図8乃至図12に示す例において、コリレーションルール識別子「R301」の優先度は、コリレーションルール識別子「R302」の優先度に比べて、高いものとして説明する。
まず、図8では、状態データ23aにおいてコリレーションルール識別子「R301」及び「R302」に含まれるいずれのイベントも受信されていない状態を示す。ここで、イベント「E3」が受信されると、図9に示すように、コリレーションルール識別子「R301」及び「R302」それぞれの状態について、状態データ23bにおいてイベント「E3」が受信されたことが示される。次に、イベント「E2」が受信されると、図10に示すように、状態データ23cにおいてコリレーションルール識別子「R301」の状態について、イベント「E2」が受信されたことが示される。更に、イベント「E1」が受信されると、図11に示すように、コリレーションルール識別子「R301」及び「R302」の状態について、状態データ23dにおいてイベント「E1」が受信されたことが示される。このとき、コリレーションルール識別子「R301」のコリレーションルールが合致したことになるので、コリレーションルールR301に関するインシデントが出力される。インシデントが出力されると、図12に示すように、状態データ23eにおいて、コリレーションルール識別子「R301」の状態がクリアされる一方、優先度の低いコリレーションルール識別子「R302」の状態データは、状態データ32dと同様の状態のまま保持される。
Next, update of the
First, FIG. 8 shows a state in which none of the events included in the correlation rule identifiers “R301” and “R302” is received in the state data 23a. Here, when the event “E3” is received, the event “E3” is received in the state data 23b for each state of the correlation rule identifiers “R301” and “R302” as shown in FIG. Indicated. Next, when the event “E2” is received, as shown in FIG. 10, it is indicated that the event “E2” is received for the state of the correlation rule identifier “R301” in the
更に、コリレーションルールに時間や繰り返しが含まれる場合、状態データ23は、時間や繰り返しの属性を備え、イベントが発生するたびに、それらの属性を考慮して条件に合致するか否かが判定される。
Further, when time and repetition are included in the correlation rule, the
(監視プログラム)
次に、図13を参照して、本発明の最良の実施の形態に係る監視プログラムの処理を説明する。
(Monitoring program)
Next, processing of the monitoring program according to the best embodiment of the present invention will be described with reference to FIG.
まず、ステップS101において、記憶装置107からルール定義データ21が読み出され、ステップS102において、記憶装置107からパラメ−タ定義データ22が読み出される。次に、ステップS103において、イベント取得手段12によって、イベントの入力が待機される。イベントが入力されると、ステップS104に進む。
First, in step S101, the rule definition data 21 is read from the
ステップS104において、全てのコリレーションルールについて、ステップS105乃至ステップS114の処理が行われる。
具体的には、当該コリレーションルールの全てのフィルタリングルールについて、ステップS105乃至ステップS107が繰り返される。ここで、ステップS105において、ステップS103で入力されたイベントが、当該フィルタリングルールに合致するか判定される。合致しない場合は、次のフィルタリングルールについて処理する。一方、合致する場合は、ステップS106においてマッチしたイベント情報を記憶し、ステップS107においてそのルールに関する状態を状態データ23に記憶する。全てのフィルタリングルールに関する判定が終了すると、ステップS108において、当該コリレーションルールにマッチするか否かが判定される。マッチしない場合は、次のコリレーションルールについて処理する。
In step S104, the processing from step S105 to step S114 is performed for all the correlation rules.
Specifically, Steps S105 to S107 are repeated for all the filtering rules of the correlation rule. Here, in step S105, it is determined whether the event input in step S103 matches the filtering rule. If they do not match, the next filtering rule is processed. On the other hand, if they match, the matched event information is stored in step S106, and the state related to the rule is stored in the
一方マッチした場合、ステップS109において、当該コリレーションルールにアクションが指定されているか否かが判定される。指定されている場合、ステップS110において当該アクションが実行し、必要に応じて結果が取得される。一方、アクションが指定されていない場合、ステップS111において、インシデント出力手段14によってインシデントが出力されるとともに、イベント取得手段12によってログデータ24にログが出力される。更に、ステップS113において、イベント取得手段12にいよって、状態データ23において、当該コリレーションルールの状態がクリアされる。当該コリレーションルールに変数が含まれる場合、この変数に関するコリレーションルールの状態のみがクリアされる。コリレーションルールの状態がクリアされると、「全てのコリレーションルール」に関するループを抜けて、ステップS103に戻り、新たなイベントが入力されるまで、処理が待機される。
On the other hand, if there is a match, it is determined in step S109 whether or not an action is specified for the correlation rule. If specified, the action is executed in step S110, and a result is acquired as necessary. On the other hand, if no action is specified, an incident is output by the
次に、図14を参照して、本発明の最良の実施の形態に係る監視装置1において、ルール定義更新手段11において、ルール定義データ21を更新するときに表示装置105に表示するルール定義画面について説明する。このルール定義画面には、コリレーションルール毎にルール番号(コリレーションルール識別子)が設定される。更に、このコリレーションルールで参照されるそれぞれのイベントについて、そのイベントのフィルタリングルールがイベント書式として記憶される。更に、イベント書式に変数名が入力された場合、変数条件として複数の文言を指定することもできる。更に条件として、各イベント毎の相関関係が、and、orなどの演算子を用いて入力される。条件成立間隔として、最初のイベントが検知されてから最後のイベントが検知されるまでの時間間隔が入力される。テキストボックスには数値が入力され、コンボボックスは、「秒」「分」「時」「日」「週」「月」などの数値の単位が選択される。アクションとして、当該コリレーションルールに合致した場合に、実行アクション制御手段15によって実行されるアクションコマンドが入力される。更に、当該ルールの説明や対策も入力される。
Next, referring to FIG. 14, in the
この様に、従来において、主に単一の監視対象から発生する単純なイベント抽出しか扱うことができなかったが、本発明の最良の実施の形態に係る監視装置1によれば、複数の監視対象から発生する複数のイベントを扱うことができる。更に、本発明の最良の実施の形態に係る監視装置1によれば、複数の監視対象から発生する複数のイベントが相関関係を持つ場合でも、複数のイベント間の相関関係を各種演算子や変数などを用いたコリレーションルールを定義することにより、判別することができる。
As described above, in the past, only simple event extraction mainly generated from a single monitoring target could be handled. However, according to the
(変形例)
本発明の最良の実施の形態に示す監視システム10は、簡略すると図15に示すように、監視対象側サイトに監視対象装置41a、41b、監視装置1を備え、管理側サイトに管理装置30を備えている。監視対象装置41a、41bには、それぞれ監視装置1にイベントを送信するエージェント42a、42bを備え、監視装置1に備えられたエージェント1aが受信する。ここで、エージェント1aは、図1に示す監視装置1の各要素に相当する。監視装置1のエージェント1aは、監視対象装置41a、41bから受信したイベントを管理装置30の管理ツール30aに送信する。この場合、監視装置1と管理装置30は例えばTCP/IPなどのプロトコルで相互に通信可能に接続される。
(Modification)
As shown in FIG. 15 in a simplified manner, the monitoring system 10 according to the preferred embodiment of the present invention includes
次に、図16乃至図18を参照して、本発明の最良の実施の形態の変形例に係る監視システム10を説明する。 Next, a monitoring system 10 according to a modification of the best embodiment of the present invention will be described with reference to FIGS.
図16に示す本発明の最良の実施の形態の変形例1に係る監視システム10は、図15に示す監視システム10と比べて、メールサーバを備える点が異なる。監視装置1のエージェント1aは、監視対象側サイトに備えられたメールサーバ6a及び管理側サイトに備えられたメールサーバ6bを介して、管理装置30宛にメールを送信する。この場合、監視装置1と管理装置30は、SMTP及びPOPなどのメールのプロトコルで通信可能に接続される。
The monitoring system 10 according to the first modification of the best mode of the present invention shown in FIG. 16 is different from the monitoring system 10 shown in FIG. The
図17に示す本発明の最良の実施の形態の変形例2に係る監視システム10は、図15に示す監視システム10と比べて、監視装置1を備えていない点が異なる。この場合、監視対象装置41a、41bのそれぞれに備えられたエージェント42a、42bには、図1を参照して説明した監視装置1の各要素が実装されている。監視対象装置41a、41bのエージェント42a、42bは、管理装置30とTCP/IPなどのプロトコルで相互に通信可能に接続される。
The monitoring system 10 according to the second modification of the preferred embodiment of the present invention shown in FIG. 17 is different from the monitoring system 10 shown in FIG. In this case, each element of the
図18に示す本発明の最良の実施の形態の変形例3に係る監視システム10は、図15に示す監視システム10と比べて監視装置1を備えておらず、メールサーバ6a及び6bを備えている点が異なる。この場合、監視対象装置41a、41bのそれぞれに備えられたエージェント42a、42bには、図1を参照して説明した監視装置1の各要素が実装されている。監視対象装置41a、41bのエージェント42a、42bは、監視対象側サイトに備えられたメールサーバ6a及び管理側サイトに備えられたメールサーバ6bを介して、管理装置30宛にメールを送信する。この場合、監視対象装置41a及び41bと管理装置30は、SMTP及びPOPなどのメールのプロトコルで通信可能に接続される。
The monitoring system 10 according to the third modification of the best mode of the present invention illustrated in FIG. 18 does not include the
(その他の実施の形態)
上記のように、本発明の最良の実施の形態及びその変形例によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
(Other embodiments)
Although the present invention has been described with reference to the preferred embodiment and its modifications as described above, it should not be understood that the description and drawings constituting a part of this disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operational techniques will be apparent to those skilled in the art.
例えば、本発明の最良の実施の形態に記載した監視装置は、図1に示すように一つのハードウェア上に構成されても良いし、その機能や処理数に応じて複数のハードウェア上に構成されても良い。又、既存の情報システム上に実現されても良い。 For example, the monitoring device described in the best mode of the present invention may be configured on one piece of hardware as shown in FIG. 1, or on a plurality of pieces of hardware according to the functions and the number of processes. It may be configured. Moreover, you may implement | achieve on the existing information system.
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。 It goes without saying that the present invention includes various embodiments not described herein. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.
1…監視装置
1a…エージェント
2a、2b…通信ネットワーク
3…管理システム
4…監視対象装置群
6a、6b…メールサーバ
10…監視システム
11…ルール定義更新手段
12…イベント取得手段
13…イベント処理手段
14…インシデント出力手段
15…実行アクション制御手段
21…ルール定義データ
22…パラメータ定義データ
23、23a、23b、23c、23d…状態データ
24…ログデータ
30…管理装置
30a…管理ツール
31…保守ナレッジデータ
32…運用ルールデータ
41a、41b、41c…監視対象装置
42a、42b、42c…エージェント
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
DESCRIPTION OF
103 ... RAM
104 ...
Claims (6)
コリレーションルール識別子に、監視対象となるイベントのイベント識別子と前記イベント識別子に関連づけられたフィルタリングルールと複数の前記イベント識別子の関連を示すコリレーションルールとが関連づけられた前記インシデントを出力する条件となるルール定義データを記憶装置に記憶するルール定義データ記憶手段と、
前記監視対象装置から前記イベントを取得するイベント取得手段と、
前記記憶された前記ルール定義データを参照して前記イベント取得手段によって取得されたイベントを解析し、解析された前記イベントが前記フィルタリングルールに合致する場合、前記コリレーションルールに合致するか否かを判定し、前記コリレーションルールに合致しない場合は状態を保存するイベント処理手段と、
前記イベント処理手段において前記コリレーションルールに合致する場合、前記インシデントを出力するインシデント出力手段
を備えることを特徴とする監視装置。 In a monitoring device that monitors events output from monitored devices and outputs incidents,
It becomes a condition for outputting the incident in which the correlation rule identifier is associated with the event identifier of the event to be monitored, the filtering rule associated with the event identifier, and the correlation rule indicating the association of the plurality of event identifiers. Rule definition data storage means for storing rule definition data in a storage device;
Event acquisition means for acquiring the event from the monitored device;
Analyzing the event acquired by the event acquisition means with reference to the stored rule definition data, and if the analyzed event matches the filtering rule, whether or not it matches the correlation rule An event processing means for determining and storing the state if the correlation rule does not match,
A monitoring apparatus comprising: an incident output means for outputting the incident when the event processing means matches the correlation rule.
前記イベント処理手段は、前記フィルタリングルールの変数に該当する数値毎に、前記コリレーションルールに合致するか否かを判定し、状態を保存する
ことを特徴とする請求項1に記載の監視装置。 Has a variable as the filtering rule,
The monitoring apparatus according to claim 1, wherein the event processing unit determines whether or not the numerical value corresponding to the variable of the filtering rule matches the correlation rule, and stores the state.
ことを特徴とする請求項1又は2に記載の監視装置。 If the analyzed event matches the filtering rule, the event processing unit determines whether the correlation rule is met by referring to the stored state data, and does not match the correlation rule. The monitoring apparatus according to claim 1 or 2, wherein a matching state of the correlation rule is stored as the state data.
前記イベント処理手段は更に、前記回数又は時間を考慮して前記コリレーションルールが合致するか否かを判定する
ことを特徴とする請求項1乃至3のいずれか1項に記載の監視装置。 As the correlation rule, it has a number of times or time,
The monitoring apparatus according to any one of claims 1 to 3, wherein the event processing unit further determines whether or not the correlation rule matches in consideration of the number of times or time.
前記イベント処理手段が前記コリレーションルールに合致すると判定した場合、前記ルール定義データに基づいて、前記アクションの実行を制御する実行アクション制御手段
を更に備えることを特徴とする請求項1乃至4のいずれか1項に記載の監視装置。 The rule definition data storage means further stores, in the storage device, the rule definition data associated with an action when the correlation rule matches the correlation rule identifier,
The execution action control means which controls execution of the action based on the rule definition data when the event processing means determines that the correlation rule is matched, further comprising: The monitoring device according to claim 1.
コリレーションルール識別子に、監視対象となるイベントのイベント識別子と前記イベント識別子に関連づけられたフィルタリングルールと複数の前記イベント識別子の関連を示すコリレーションルールとが関連づけられた前記インシデントを出力する条件となるルール定義データを記憶装置に記憶するルール定義データ記憶手段と、
前記監視対象装置から前記イベントを取得するイベント取得手段と、
前記ルール定義データを参照して、前記イベント取得手段によって取得されたイベントを解析し、解析された前記イベントが前記フィルタリングルールに合致する場合、前記コリレーションルールに合致するか否かを判定し、前記コリレーションルールに合致しない場合は状態を保存するイベント処理手段と、
前記イベント処理手段において前記コリレーションルールに合致する場合、前記インシデントを出力するインシデント出力手段
とをコンピュータに実行させることを特徴とする監視プログラム。
In a monitoring program that monitors events output from monitored devices and outputs incidents,
It becomes a condition for outputting the incident in which the correlation rule identifier is associated with the event identifier of the event to be monitored, the filtering rule associated with the event identifier, and the correlation rule indicating the association of the plurality of event identifiers. Rule definition data storage means for storing rule definition data in a storage device;
Event acquisition means for acquiring the event from the monitored device;
Referring to the rule definition data, analyze the event acquired by the event acquisition means, and if the analyzed event matches the filtering rule, determine whether it matches the correlation rule, Event processing means for saving the state if the correlation rule does not match;
A monitoring program that causes a computer to execute an incident output means for outputting the incident when the event processing means matches the correlation rule.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005161863A JP2006338305A (en) | 2005-06-01 | 2005-06-01 | Monitor and monitoring program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005161863A JP2006338305A (en) | 2005-06-01 | 2005-06-01 | Monitor and monitoring program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006338305A true JP2006338305A (en) | 2006-12-14 |
Family
ID=37558815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005161863A Pending JP2006338305A (en) | 2005-06-01 | 2005-06-01 | Monitor and monitoring program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006338305A (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008099657A1 (en) * | 2007-02-14 | 2008-08-21 | Nec Corporation | Semiconductor integrated circuit, debug/trace circuit, and semiconductor integrated circuit operation observing method |
| WO2008111428A1 (en) * | 2007-03-14 | 2008-09-18 | Nec Corporation | Operation management device, operation management method, and operation management program |
| WO2009099045A1 (en) * | 2008-02-04 | 2009-08-13 | Nec Corporation | Trace/failure observation system, trace/failure observation method, and trace/failure observation program |
| JP2009301330A (en) * | 2008-06-13 | 2009-12-24 | Hitachi Ltd | Client terminal management system |
| WO2010038327A1 (en) * | 2008-09-30 | 2010-04-08 | 株式会社 日立製作所 | Root cause analysis method targeting information technology (it) device not to acquire event information, device and program |
| WO2011007394A1 (en) * | 2009-07-16 | 2011-01-20 | 株式会社日立製作所 | Management system for outputting information describing recovery method corresponding to root cause of failure |
| WO2011081126A1 (en) * | 2009-12-28 | 2011-07-07 | 株式会社エスディー | System event logging system |
| JP2014085834A (en) * | 2012-10-23 | 2014-05-12 | Shunji Sugaya | Event analysis server, event analysis method, program for event analysis server |
| JP2015099533A (en) * | 2013-11-20 | 2015-05-28 | 三菱電機株式会社 | Information processing apparatus and program |
| JP2017085220A (en) * | 2015-10-23 | 2017-05-18 | 日本電信電話株式会社 | Network monitoring device and network monitoring method |
-
2005
- 2005-06-01 JP JP2005161863A patent/JP2006338305A/en active Pending
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101090556B1 (en) * | 2007-02-14 | 2011-12-08 | 닛본 덴끼 가부시끼가이샤 | Semiconductor integrated circuit, debug/trace circuit, and semiconductor integrated circuit operation observing method |
| JP5151996B2 (en) * | 2007-02-14 | 2013-02-27 | 日本電気株式会社 | Semiconductor integrated circuit and debug / trace circuit |
| WO2008099657A1 (en) * | 2007-02-14 | 2008-08-21 | Nec Corporation | Semiconductor integrated circuit, debug/trace circuit, and semiconductor integrated circuit operation observing method |
| WO2008111428A1 (en) * | 2007-03-14 | 2008-09-18 | Nec Corporation | Operation management device, operation management method, and operation management program |
| JP5126698B2 (en) * | 2007-03-14 | 2013-01-23 | 日本電気株式会社 | Operation management apparatus, operation management method, and operation management program |
| US8332344B2 (en) | 2007-03-14 | 2012-12-11 | Nec Corporation | Operation management apparatus, operation management method, and operation management program |
| WO2009099045A1 (en) * | 2008-02-04 | 2009-08-13 | Nec Corporation | Trace/failure observation system, trace/failure observation method, and trace/failure observation program |
| JP5505781B2 (en) * | 2008-02-04 | 2014-05-28 | 日本電気株式会社 | Trace / failure observation system, trace / failure observation method, and trace / failure observation program |
| US8799753B2 (en) | 2008-02-04 | 2014-08-05 | Nec Corporation | Trace/failure observation system, trace/failure observation method, and trace/failure observation program |
| JP2009301330A (en) * | 2008-06-13 | 2009-12-24 | Hitachi Ltd | Client terminal management system |
| WO2010038327A1 (en) * | 2008-09-30 | 2010-04-08 | 株式会社 日立製作所 | Root cause analysis method targeting information technology (it) device not to acquire event information, device and program |
| US8020045B2 (en) | 2008-09-30 | 2011-09-13 | Hitachi, Ltd. | Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained |
| CN101981546B (en) * | 2008-09-30 | 2015-04-01 | 株式会社日立制作所 | Root cause analysis method targeting information technology (IT) device not to acquire event information, device and program |
| CN101981546A (en) * | 2008-09-30 | 2011-02-23 | 株式会社日立制作所 | Root cause analysis method targeting information technology (IT) device not to acquire event information, device and program |
| JP2010086115A (en) * | 2008-09-30 | 2010-04-15 | Hitachi Ltd | Root cause analysis method targeting information technology (it) device not to acquire event information, device and program |
| US8479048B2 (en) | 2008-09-30 | 2013-07-02 | Hitachi, Ltd. | Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained |
| WO2011007394A1 (en) * | 2009-07-16 | 2011-01-20 | 株式会社日立製作所 | Management system for outputting information describing recovery method corresponding to root cause of failure |
| JP5385982B2 (en) * | 2009-07-16 | 2014-01-08 | 株式会社日立製作所 | A management system that outputs information indicating the recovery method corresponding to the root cause of the failure |
| US8429453B2 (en) | 2009-07-16 | 2013-04-23 | Hitachi, Ltd. | Management system for outputting information denoting recovery method corresponding to root cause of failure |
| US9189319B2 (en) | 2009-07-16 | 2015-11-17 | Hitachi, Ltd. | Management system for outputting information denoting recovery method corresponding to root cause of failure |
| JP2011138309A (en) * | 2009-12-28 | 2011-07-14 | Sd Co Ltd | System event log system |
| WO2011081126A1 (en) * | 2009-12-28 | 2011-07-07 | 株式会社エスディー | System event logging system |
| JP2014085834A (en) * | 2012-10-23 | 2014-05-12 | Shunji Sugaya | Event analysis server, event analysis method, program for event analysis server |
| JP2015099533A (en) * | 2013-11-20 | 2015-05-28 | 三菱電機株式会社 | Information processing apparatus and program |
| JP2017085220A (en) * | 2015-10-23 | 2017-05-18 | 日本電信電話株式会社 | Network monitoring device and network monitoring method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006338305A (en) | Monitor and monitoring program | |
| US11657309B2 (en) | Behavior analysis and visualization for a computer infrastructure | |
| US10931511B2 (en) | Predicting computer network equipment failure | |
| EP3131234B1 (en) | Core network analytics system | |
| JP4156663B2 (en) | Method and apparatus for monitoring and controlling a program in a network | |
| US20100043004A1 (en) | Method and system for computer system diagnostic scheduling using service level objectives | |
| US20090183030A1 (en) | Episodic cause analysis | |
| CN100549975C (en) | Computer maintenance support system and analysis server | |
| CN107209511B (en) | Monitoring control device | |
| US20140122930A1 (en) | Performing diagnostic tests in a data center | |
| EP2085850B1 (en) | Alarm management apparatus | |
| US20080086295A1 (en) | Monitoring simulating device, method, and program | |
| CN111052087B (en) | Control system, information processing apparatus, and recording medium | |
| US20170024400A1 (en) | Method for automatic processing of a number of protocol files of an automation system | |
| US20160352573A1 (en) | Method and System for Detecting Network Upgrades | |
| WO2018122890A1 (en) | Log analysis method, system, and program | |
| CN112380089A (en) | Data center monitoring and early warning method and system | |
| US20080215601A1 (en) | System monitoring program, system monitoring method, and system monitoring apparatus | |
| CN108353086B (en) | Deployment assurance checks for monitoring industrial control systems | |
| JP5240709B2 (en) | Computer system, method and computer program for evaluating symptom | |
| US10735246B2 (en) | Monitoring an object to prevent an occurrence of an issue | |
| CN114428715A (en) | Log processing method, device and system and storage medium | |
| JP4155208B2 (en) | Access log processing apparatus, access log processing method, and access log processing program | |
| JP2008181432A (en) | Health check device, health check method, and program | |
| WO2023162575A1 (en) | Control system, assistance device, and assistance program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080318 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081021 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081222 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090127 |