JP2008293157A - Rule activation device and program - Google Patents
Rule activation device and program Download PDFInfo
- Publication number
- JP2008293157A JP2008293157A JP2007136196A JP2007136196A JP2008293157A JP 2008293157 A JP2008293157 A JP 2008293157A JP 2007136196 A JP2007136196 A JP 2007136196A JP 2007136196 A JP2007136196 A JP 2007136196A JP 2008293157 A JP2008293157 A JP 2008293157A
- Authority
- JP
- Japan
- Prior art keywords
- data
- rule
- storage unit
- correspondence table
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は、ルールを起動するルール起動装置及びルール起動プログラムに関する。 The present invention relates to a rule activation device and a rule activation program for activating rules.
従来の監視システムでは、監視のルールがプログラムで書かれており、運用規則の変更などによってルールを変更する必要がある場合に、柔軟な対応が困難であった。これに対し、監視システムへのルールベース技術適用が増えている。ルールベース技術を用いることにより、監視ルールの変更に対応しやすくなる。 In the conventional monitoring system, the monitoring rule is written in a program, and it is difficult to flexibly cope with the case where the rule needs to be changed due to a change in operation rule or the like. In contrast, the application of rule-based technology to monitoring systems is increasing. By using rule-based technology, it becomes easier to respond to changes in monitoring rules.
ルールはif<LHS>then<RHS>や、when <LHS>then<RHS>、といった形式で表現される(LHS:Left Hand Side,RHS:Right Hand Side)。 A rule is expressed in a format such as if <LHS> then <RHS> or when <LHS> then <RHS> (LHS: Left Hand Side, RHS: Right Hand Side).
<LHS>が「条件部」であり、ルールベースシステムが持つデータと照合を行った結果、<LHS>の条件部が成立した場合、「実行部」である<RHS>が実行される。ルールエンジンは、ワーキングメモリ内のデータに対し、そのデータとマッチする<LHS>を持ったルールを探し出し、そのマッチしたルールの<RHS>を実行することにより、ルールを実行していく(図12)。 If <LHS> is a “condition part” and the condition part of <LHS> is satisfied as a result of collation with the data of the rule base system, the “execution part” <RHS> is executed. The rule engine searches the data in the working memory for a rule having <LHS> that matches the data, and executes the rule by executing <RHS> of the matched rule (FIG. 12). ).
ルールベースの監視システムでは、以下の点が課題となっていた。監視対象でイベントが発生する毎に監視のアクションを実行する場合、送られるデータがワーキングメモリへ投入される(図13)と、ワーキングメモリ内のデータとルールの照合を行う必要がある(図14)。ルールの実行時には、全ルールと、ワーキングメモリ内の全データの照合が行われる。新たなデータが追加された場合は、既存のデータも含め、全ルールと、ワーキングメモリ内の全データの照合が行われる。なお、図13、図14ではルールエンジンは省略しているが、ワーキングメモリ内のデータとルールの照合は、ルールエンジンが行う。これに対しては、特開2000−305783号公報(特許文献1)では、ワーキングメモリとルールを階層化することにより、データとルールの照合を行う範囲を狭めてはいるが、データとルールとの照合が行われていることには変わりは無い。
従来のルールの実行方式には、データとルールとの照合を行うため、ルール実行に時間がかかるという課題があった。また、監視システムにルールベースシステムを適用する場合、監視対象から得たイベントデータやログデータをルールに適用するが、イベントで発生したデータはそれを処理する特定のルールに渡せばよく、定期的に状況を監査する場合は、ワーキングメモリにあるデータの中から、監査期間に発生したデータを使用することになるので、データとメモリの照合処理は無駄が多い。また、監視システムにおいては、監視対象で発生したデータは、リアルタイムにルールで処理を行う必要があるため、データ発生のイベントによってルールを起動する必要がある。 The conventional rule execution method has a problem that it takes time to execute a rule because data and a rule are collated. In addition, when applying a rule-based system to a monitoring system, event data and log data obtained from the monitoring target are applied to the rule, but the data generated by the event may be passed to a specific rule that processes it, and periodically When the situation is audited, the data generated during the audit period is used from the data in the working memory, so that the data and memory verification processing is wasteful. In the monitoring system, since data generated in the monitoring target needs to be processed by a rule in real time, the rule needs to be activated by a data generation event.
この発明は、イベント駆動によりルールを起動して実行するルール起動装置及びルール起動プログラムを提供することを目的とする。 An object of the present invention is to provide a rule starting device and a rule starting program for starting and executing a rule by event driving.
この発明のルール起動装置は、
少なくともデータとルールとを一組とする対応関係が1以上記載された対応テーブルを格納する対応テーブル格納部と、
データを格納するデータ格納部と、
前記対応テーブルに記載されたルールを格納するルール格納部と、
前記データ格納部にデータが格納された場合を格納されたデータのデータ変化として検出するとともに前記データ格納部に格納されているデータが更新された場合を更新されたデータのデータ変化として検出し、データ変化を検出したデータに対応するルールを前記対応テーブル格納部に格納されている前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得するデータ変化検出部と、
前記データ変化検出部が取得したルールを起動するルール起動部と
を備えたことを特徴とする。
The rule starting device of the present invention is:
A correspondence table storage unit that stores a correspondence table in which at least one correspondence relation including at least data and a rule is described;
A data storage unit for storing data;
A rule storage for storing the rules described in the correspondence table;
Detecting when data is stored in the data storage unit as a data change in stored data and detecting when data stored in the data storage unit is updated as a data change in updated data; The rule corresponding to the data in which the data change is detected is searched by referring to the correspondence table stored in the correspondence table storage unit, and when the rule is hit by the search, the rule that has been hit is acquired from the rule storage unit A data change detecting unit,
The data change detection unit includes a rule activation unit that activates the acquired rule.
この発明により、イベント駆動によりルールを起動して実行するルール起動装置を提供することができる。 According to the present invention, it is possible to provide a rule activation device that activates and executes a rule by event driving.
実施の形態1.
図1〜図5を参照して実施の形態1を説明する。
Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS.
図1は、コンピュータであるルール起動装置100の外観の一例を示す図である。図1において、ルール起動装置100は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
FIG. 1 is a diagram illustrating an example of an appearance of a
システムユニット830は、コンピュータであり、また、ネットワークに接続されている。ネットワークには、監視対象システム200、ログファイル300が接続され、ルール起動装置100は、これらと通信可能である。
The system unit 830 is a computer and is connected to a network. A
図2は、実施の形態1におけるルール起動装置100のハードウェア資源の一例を示す図である。図2において、ルール起動装置100は、プログラムを実行するCPU810(中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。磁気ディスク装置820は、ワーキングメモリ120あるいはルール格納部130あるいは対応テーブル格納部140の一例である。
FIG. 2 is a diagram illustrating an example of hardware resources of the
RAM812は、揮発性メモリの一例である。RAM812は後述するワーキングメモリ120の一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、メモリの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。
The
通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。
The
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
The
上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
The
ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、後述するデータやデータ/ルール起動テーブル141やルール、あるいは信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
The
また、以下に述べる実施の形態の説明においては、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the description of the embodiments described below, data and signal values are stored in the memory of
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, “means”, and “to step”. ”,“ ˜procedure ”, or“ ˜processing ”. That is, what is described as “˜unit” may be realized by firmware stored in the
図3は、実施の形態1のルール起動装置100のブロック図である。ルール起動装置100は、ルールエンジン110、ワーキングメモリ120、ルール格納部130、対応テーブル格納部140とを備える。ルールエンジン110はデータ変化検出部111を備える。
FIG. 3 is a block diagram of the
図3において、データ/ルール起動テーブル141は、データ種別毎にデータが変化した場合に起動するルールの一覧を持つ。図3の例では、「name1」という名前を持つデータが変化した場合は、Rule1を起動し、「name2」という名前を持つデータが変化した場合は、Rule2を起動する。データ/ルール起動テーブル141は、あらかじめシステム管理者が用意するものとする。 In FIG. 3, the data / rule activation table 141 has a list of rules that are activated when data changes for each data type. In the example of FIG. 3, when data having the name “name1” changes, Rule1 is activated, and when data having the name “name2” changes, Rule2 is activated. The data / rule activation table 141 is prepared in advance by the system administrator.
ルールエンジン110は、所定のルールを起動し、実行する。
The
データ変化検出部111は、ワーキングメモリ120内へ新たなデータが追加された場合や、ワーキングメモリ120内のデータの書き換えが発生した場合をそのデータのデータ変化として検出する。
The data change
ワーキングメモリ120に収められるデータは、データの「名前」と「属性」とを持つ。データの「名前」は、データの定義を示すものであり、「名前」ごとにデータの「属性」の数、「属性」の名前が設定される。同一の「名前」を持つデータは複数あっても良い。図3の例では、「name1」という「名前」のデータは2つの属性、属性1と属性2を持ち、ワーキングメモリ120内には、「名前」が「name1」のデータは2つ存在する。片方は属性1の値が「aaa」、属性2の値が「bbb」であり、もう片方は属性1の値が「xxx」、属性2の値が「yyy」となっている。
The data stored in the working
次に図4、図5を参照してルール起動装置100の動作を説明する。図4は、監視対象のシステムを含めた構成図を示す。図4では、ルール起動装置100に、監視対象システム200からの入力手段101、ログファイル300から入力手段102をさらに加えた。図5は、ルール起動装置100の動作を示すフローチャートである。
Next, the operation of the
監視対象システム200でイベントが発生し、またはログファイル300が生成されると、監視イベントデータまたはログデータが、監視対象システム200からの入力手段101またはログファイル300からの入力手段102により、ワーキングメモリ120へ取り込まれる(S11)。
When an event occurs in the
このとき、データ変化検出部111は、取り込まれたデータに対し、図3に示すように、変化があったことを示す印を付ける(S12)。
At this time, the data
印を付けると、データ変化検出部111は、図3に示したデータ/ルール起動テーブル141を参照して該当するルールを検索し(S13)、該当するルールがヒットすると、ヒットしたルールをルール格納部130から取得する(S14)。図3の場合では、データ変化検出部111は、ルール格納部130から「ルール1」を取得する。
When the mark is added, the data
データ変化検出部111がルール格納部130から取得した「ルール1」は、ルールエンジン110によって実行される(S15)。
“Rule 1” acquired by the data
また、「ルール1」の実行によってワーキングメモリ120内に新たなデータが生成されたり、ワーキングメモリ120内のデータが変更された場合も、監視対象でイベントデータが発生した場合と同様に、データ変化検出部111により変化があったことを示す印が付けられ、データ変化検出部111は、データ/ルール起動テーブル141を参照して実行すべきルールを取得する。
In addition, when new data is generated in the working
以上のように、実施の形態1のルール起動装置100はデータ変化検出部111を備えたので、変化があったデータのみを参照し、データ/ルール起動テーブル141を用いることにより、実行すべきルールを選択することができる。また、データの変化(新規登録または書き換え)をきっかけとして起動するルールを選択し、ルールエンジン110で実行する仕組みになっており、データの変化というイベント駆動によりルールを起動することができる。
As described above, the
以上の実施の形態1では、装置としてのルール起動装置100を説明したが、ルール起動装置100の動作をコンピュータに実行させるプログラムとしての把握も可能である。
In the first embodiment described above, the
実施の形態2.
図6〜図8を用いて実施の形態2を説明する。以上の実施の形態1では、データが変化した場合にデータ/ルール起動テーブル141を参照してルールを実行するようにしたものであるが、この実施の形態2は、データの属性別に起動するルールを設定する実施形態である。
The second embodiment will be described with reference to FIGS. In the first embodiment described above, the rule is executed by referring to the data / rule activation table 141 when the data changes. However, in the second embodiment, the rule is activated according to the data attribute. Is an embodiment for setting
図6は、実施の形態2の場合の、データ/ルール起動テーブル141である。図3に示したデータ/ルール起動テーブル141に対し、属性の列が追加された構成である。図7は、図6のデータ/ルール起動テーブル141を保有する実施の形態2のルール起動装置100のブロック図である。図8は、実施の形態2のルール起動装置100を説明するフローチャートである。
FIG. 6 shows the data / rule activation table 141 in the second embodiment. An attribute column is added to the data / rule activation table 141 shown in FIG. FIG. 7 is a block diagram of the
次に、図7、図8を参照して動作について説明する。 Next, the operation will be described with reference to FIGS.
ルール起動装置100は、所定のルールの実行によって、データ名で示されるデータ中の属性の値が変更された場合に、該当するルールを実行する。
The
例えば、図7において、例えばルールエンジン110による所定のルールの実行によって、属性1が「xxx」である「name1」のデータの属性1「xxx」が変更されたとする(S21)。 For example, in FIG. 7, it is assumed that the attribute 1 “xxx” of the data “name1” whose attribute 1 is “xxx” is changed by the execution of a predetermined rule by the rule engine 110 (S21).
その場合、データ変化検出部111は、属性1の属性値「xxx」が変更されたことを検出する(S22)。
In this case, the data
データ変化検出部111は、データ「name1」の属性1の変更を検出すると、データ/ルール起動テーブル141を参照して該当するルールを検索する(S23)。この場合、データ変化検出部111の検索により、データが「name1」であり属性が属性1である列に書かれている「ルール1」がヒットする。データ変化検出部111は、ヒットした「ルール1」をルール格納部130から取得し、起動対象としてルールエンジン110に渡す(S24)。ルールエンジン110はデータ変化検出部111から渡された「ルール1」を起動して実行する(S25)。
When detecting the change of the attribute 1 of the data “name1”, the data
また、図6に示す「name3」のようにデータ/ルール起動テーブル141において属性が指定されていない場合は、どの属性が変更された場合も、ルールの欄にあるルールが実行されるものとする。すなわち、データ変化検出部111が「name3」のいずれかの属性の変更を検出した場合は、データ変化検出部111によるデータ/ルール起動テーブル141の検索により、「ルール3」がヒットすることとなる。そして、データ変化検出部111は、ルール格納部130から「ルール3」を取得してルールエンジン110に渡す。
If no attribute is specified in the data / rule activation table 141 as “name3” shown in FIG. 6, the rule in the rule column is executed regardless of which attribute is changed. . That is, when the data
本実施の形態2のルール起動装置100により、データより単位の小さい属性値の変化の有無により、どのルールを起動するかを決定することが出来る。監視対象システムによっては、監視イベントデータ中の特定の属性値だけを監視するケースもあり、そのような場合に有効である。
The
実施の形態3.
図9〜図11を用いて実施の形態3を説明する。図9は実施の形態3においてワーキングメモリ120に格納されるデータを示す。また図10は実施の形態3のルール起動装置100のブロック図を示す。図11は実施の形態3のルール起動装置100の動作を示すフローチャートである。
Embodiment 3 FIG.
The third embodiment will be described with reference to FIGS. FIG. 9 shows data stored in the working
前述の実施の形態2では、ワーキングメモリ120のデータは、図6に示したように名前と属性を持っていた。これに対して、本実施の形態3では、図9に示すように、ワーキングメモリ120のデータがさらにデータの発生時刻を持つものとする。
In the second embodiment described above, the data in the working
実施の形態3のルール起動装置100は、図10に示すように、さらに「履歴情報管理部150」を備える。履歴情報管理部150は、ワーキングメモリ120に格納されるデータの履歴を管理する。
As shown in FIG. 10, the
データの発生時刻は、監視対象システム200から送られたイベントデータ中の時刻か、あるいはログファイル300からデータを得た場合はログに書かれた時刻を使用する。そのような時刻が得られない場合は、履歴情報管理部150は、入力手段101、あるいは入力手段102がイベントログまたはログファイルを取得した時刻を発生時刻とする。
As the data generation time, the time in the event data sent from the
また、履歴情報管理部150は、ワーキングメモリ120内のデータの履歴管理を行い、データへアクセスする際に、データの名前ごとに最新の値と、ひとつ前、時刻指定などによる過去の値の参照が出来るようにする。ワーキングメモリ120へのアクセスは、履歴管理を行う履歴情報管理部150を経由して行う。すなわち履歴情報管理部150は、ワーキングメモリ120に格納されたデータが更新された場合には更新前のデータと更新後のデータとをワーキングメモリ120に保存するとともに、データの更新履歴を履歴情報として管理する。
In addition, the history
次に、図11を参照して、ルール起動装置100の動作を説明する。
Next, the operation of the
監視システムにおいては、ルールを実行すべきイベントが発生したときに、過去のイベントデータを参照することにより、発生したイベントの原因を分析することがある。イベントデータまたはログデータからの入力によりデータが追加、変更されると、実施の形態1と同様にして、データ変化検出部111により起動するルールが選択される(S31)。
In the monitoring system, when an event for executing a rule occurs, the cause of the occurred event may be analyzed by referring to past event data. When data is added or changed by input from event data or log data, a rule to be activated by the data
履歴情報管理部150は、更新後のデータと更新前のデータの両者をワーキングメモリ120に保存する。ここでルールエンジン110は、ルールの「条件部」に過去データ(あるいはいずれかのデータの現在の値)の参照があると、履歴情報管理部150にそのデータを要求する。この要求があると、履歴情報管理部150は一つ前、時刻指定などで示される指定されたデータの過去の値をワーキングメモリ120から取得し、ルールエンジン110へそのデータを渡す(S32)。ルールエンジン110は「条件部」を評価し(S33)、成立した場合にはルールの「実行部」を実行する(S34)。
The history
ルールの「実行部」内でワーキングメモリ120内のデータを参照する場合も同様に、ルールエンジン110は履歴情報管理部150を経由し、データの現在の値や過去の値を取得することが出来る。
Similarly, when referring to the data in the working
ルールの「条件部」で参照するデータ全てに対して、データ変化時にルールを起動すると、イベントまたはログファイル読み込みによりワーキングメモリ120内にデータが生成、更新されたときに、過去のデータは世代が1つ古くなるため、更新されたとみなされる。そのため、ルール起動の必要がない場合でもルールの条件部を評価することになり、無駄に条件部を評価することとなる。
For all the data referenced in the “condition part” of the rule, when the rule is activated at the time of data change, when the data is generated and updated in the working
以上により、過去のデータを参照するルールの条件部がある場合に、変化があったデータのみを参照し、データ/ルール起動テーブル141を用いることにより、実行すべきルールを選択することができる。 As described above, when there is a condition part of a rule that refers to past data, a rule to be executed can be selected by referring to only the data that has changed and using the data / rule activation table 141.
以上の実施の形態では、データ種別毎にデータが変化した場合に起動するルールの一覧を持つデータ/ルール起動テーブルと、ワーキングメモリ内へ新たなデータが追加されたりデータの書き換えが発生した場合のデータ変化を検出するデータ変化検出部を持ち、ワーキングメモリ内にデータが追加されるか、データが更新されたイベントによってルールを起動するルール起動装置を説明した。 In the above embodiment, a data / rule activation table having a list of rules to be activated when data changes for each data type, and when new data is added to the working memory or data is rewritten. A rule activation device has been described that has a data change detection unit that detects a data change and activates a rule according to an event in which data is added to the working memory or data is updated.
以上の実施の形態では、データの属性別に起動するルールの一覧を持つデータ/ルール起動テーブルを持ち、ワーキングメモリ内にデータが追加されるか、データが更新されたイベントによってルールを起動するルール起動装置を説明した。 In the above embodiment, there is a data / rule activation table having a list of rules to be activated for each data attribute, and rule activation that activates a rule by an event in which data is added to the working memory or data is updated The apparatus has been described.
以上の実施の形態では、ワーキングメモリ内のデータが発生時刻を持ち、ワーキングメモリ内のデータの履歴管理とアクセスを行うための履歴情報管理部を持ち、ワーキングメモリ内にデータが追加されるか、データが更新されたイベントによってルールを起動するルール起動装置を説明した。 In the above embodiment, the data in the working memory has an occurrence time, has a history information management unit for performing history management and access to the data in the working memory, and whether the data is added to the working memory, A rule activation device that activates a rule according to an event whose data has been updated has been described.
1,2 ルール、100 ルール起動装置、101,102 入力手段、110 ルールエンジン、111 データ変化検出部、120 ワーキングメモリ、130 ルール格納部、140 テーブル格納部、141 データ/ルール起動テーブル、150 履歴情報管理部、200 監視対象システム、300 ログファイル。 1, 2 rule, 100 rule activation device, 101, 102 input means, 110 rule engine, 111 data change detection unit, 120 working memory, 130 rule storage unit, 140 table storage unit, 141 data / rule activation table, 150 history information Management unit, 200 monitored system, 300 log file.
Claims (4)
データを格納するデータ格納部と、
前記対応テーブルに記載されたルールを格納するルール格納部と、
前記データ格納部にデータが格納された場合を格納されたデータのデータ変化として検出するとともに前記データ格納部に格納されているデータが更新された場合を更新されたデータのデータ変化として検出し、データ変化を検出したデータに対応するルールを前記対応テーブル格納部に格納されている前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得するデータ変化検出部と、
前記データ変化検出部が取得したルールを起動するルール起動部と
を備えたことを特徴とするルール起動装置。 A correspondence table storage unit that stores a correspondence table in which at least one correspondence relation including at least data and a rule is described;
A data storage unit for storing data;
A rule storage for storing the rules described in the correspondence table;
Detecting when data is stored in the data storage unit as a data change in stored data and detecting when data stored in the data storage unit is updated as a data change in updated data; The rule corresponding to the data in which the data change is detected is searched by referring to the correspondence table stored in the correspondence table storage unit, and when the rule is hit by the search, the rule that has been hit is acquired from the rule storage unit A data change detecting unit,
A rule activation device comprising: a rule activation unit that activates a rule acquired by the data change detection unit.
データとこのデータの所定の属性とルールとを一組とする対応関係が1以上記載ており、
前記データ変化検出部は、
前記データ格納部に格納されているデータに対して属性の更新が発生した場合を属性が更新されたデータのデータ変化として検出し、データ変化を検出したデータと更新された属性とに対応するルールを前記対応テーブル格納部に格納されている前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得することを特徴とする請求項1記載のルール起動装置。 The correspondence table stored in the correspondence table storage unit is:
There is at least one correspondence between data, a predetermined attribute of this data, and a rule,
The data change detector is
A rule that detects when an attribute update has occurred with respect to data stored in the data storage unit as a data change in the data with the updated attribute, and corresponds to the data that has detected the data change and the updated attribute 2. The search is performed by referring to the correspondence table stored in the correspondence table storage unit, and when a rule is hit by the search, the hit rule is acquired from the rule storage unit. Rule activation device.
前記データ格納部に格納されたデータが更新された場合には更新前のデータと更新後のデータとを前記データ格納部に保存するとともに、データの更新履歴を履歴情報として管理する履歴情報管理部を備え、
前記ルール起動部は、
所定のルールを実行している場合に、実行しているルールに応じて所定のデータの現在から過去の何れかの値を前記履歴情報管理部に要求し、
前記履歴情報管理部は、
前記ルール起動部から要求を受けると、履歴情報を参照して要求に合致するデータの値を前記データ格納部から取得して前記ルール起動部に送付し、
前記ルール起動部は、
前記履歴情報管理部から送付されたデータの値を受け取り、受け取ったデータの値を用いて前記所定のルールを実行することを特徴とする請求項1または2の何れかに記載のルール起動装置。 The rule activation device further includes:
When the data stored in the data storage unit is updated, the history information management unit stores the data before update and the data after update in the data storage unit, and manages the update history of the data as history information With
The rule activation unit
If the predetermined rule is being executed, the history information management unit is requested for any value from the present to the past of the predetermined data according to the rule being executed,
The history information management unit
Upon receiving a request from the rule activation unit, referring to history information, the value of data that matches the request is acquired from the data storage unit and sent to the rule activation unit,
The rule activation unit
3. The rule activation device according to claim 1, wherein a value of data sent from the history information management unit is received, and the predetermined rule is executed using the value of the received data. 4.
(1)少なくともデータとルールとを一組とする対応関係が1以上記載された対応テーブルを前記対応テーブル格納部に格納する処理
(2)前記対応テーブルに記載されたルールを前記ルール格納部に格納する処理
(3)前記データ格納部にデータが格納された場合を格納されたデータのデータ変化として検出するとともに前記データ格納部に格納されているデータが更新された場合を更新されたデータのデータ変化として検出し、データ変化を検出したデータに対応するルールを前記対応テーブル格納部に格納された前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得する処理
(4)取得したルールを起動する処理。 A rule activation program that causes a computer including a correspondence table storage unit, a rule storage unit, and a data storage unit to store data to execute the following processing: (1) a set of at least data and rules (2) Processing to store a correspondence table in which one or more correspondences are described in the correspondence table storage unit (2) Processing to store rules described in the correspondence table in the rule storage unit (3) Data in the data storage unit Is detected as a data change of the stored data, and the data stored in the data storage unit is detected as a data change of the updated data. Is retrieved by referring to the correspondence table stored in the correspondence table storage unit. If the rule is hit, the process of obtaining a hit rules from said rule storage portion (4) a process of starting the acquisition rule.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007136196A JP2008293157A (en) | 2007-05-23 | 2007-05-23 | Rule activation device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007136196A JP2008293157A (en) | 2007-05-23 | 2007-05-23 | Rule activation device and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008293157A true JP2008293157A (en) | 2008-12-04 |
Family
ID=40167834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007136196A Pending JP2008293157A (en) | 2007-05-23 | 2007-05-23 | Rule activation device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008293157A (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62297942A (en) * | 1986-06-18 | 1987-12-25 | Hitachi Ltd | Rule processing system |
JPH07210387A (en) * | 1994-01-20 | 1995-08-11 | Fujitsu Ltd | Production system |
JPH07262014A (en) * | 1994-03-23 | 1995-10-13 | Hitachi Software Eng Co Ltd | Diagnostic type expert system |
JPH07295818A (en) * | 1994-04-26 | 1995-11-10 | Nec Corp | Rule processor |
JPH08286917A (en) * | 1994-10-21 | 1996-11-01 | At & T Corp | Generation device of executable code |
JP2000305783A (en) * | 1999-04-26 | 2000-11-02 | Fujitsu Ltd | Rule base system driving, reusing device and its method |
-
2007
- 2007-05-23 JP JP2007136196A patent/JP2008293157A/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62297942A (en) * | 1986-06-18 | 1987-12-25 | Hitachi Ltd | Rule processing system |
JPH07210387A (en) * | 1994-01-20 | 1995-08-11 | Fujitsu Ltd | Production system |
JPH07262014A (en) * | 1994-03-23 | 1995-10-13 | Hitachi Software Eng Co Ltd | Diagnostic type expert system |
JPH07295818A (en) * | 1994-04-26 | 1995-11-10 | Nec Corp | Rule processor |
JPH08286917A (en) * | 1994-10-21 | 1996-11-01 | At & T Corp | Generation device of executable code |
JP2000305783A (en) * | 1999-04-26 | 2000-11-02 | Fujitsu Ltd | Rule base system driving, reusing device and its method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220138333A1 (en) | System and method for enabling and verifying the trustworthiness of a hardware system | |
US8930915B2 (en) | System and method for mitigating repeated crashes of an application resulting from supplemental code | |
NO20101528A1 (en) | Incremental implementation of undo / redo in inheritance applications | |
KR20130114677A (en) | Networked recovery system | |
JP2006031109A (en) | Management system and management method | |
JP5335622B2 (en) | Computer program that manages the configuration information database | |
US20170364679A1 (en) | Instrumented versions of executable files | |
US8607197B2 (en) | Displaying HTTP session entry and exit points | |
US11601443B2 (en) | System and method for generating and storing forensics-specific metadata | |
JP6282217B2 (en) | Anti-malware system and anti-malware method | |
US8799716B2 (en) | Heap dump occurrence detection | |
US7127675B1 (en) | Method and system for automatically revising software help documentation | |
KR20190020363A (en) | Method and apparatus for analyzing program by associating dynamic analysis with static analysis | |
US7500145B2 (en) | Anomaly-driven software switch to capture event responses and automate recovery | |
CN108197041B (en) | Method, device and storage medium for determining parent process of child process | |
JP2008293157A (en) | Rule activation device and program | |
JP2002123516A (en) | System and method for evaluating web site and recording medium | |
JP4955752B2 (en) | Extending secure management of file attribute information to virtual hard disks | |
JP2008015596A (en) | Management server and repair program transmission method | |
JP2009122985A (en) | System and program for sub-process execution | |
JP2010237836A (en) | Security audit period derivation device, security audit period derivation program, and recording medium | |
KR101653741B1 (en) | Monitoring method and monitoring device of executable program's action, Computer program for the same, Recording medium storing computer program for the same | |
JP2011227789A (en) | Information processor and program | |
CN114356441B (en) | Plug-in preloading method and device, electronic equipment and storage medium | |
US20140297767A1 (en) | Information processing apparatus and verification control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100225 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120312 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120321 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120515 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120605 |