JP2008293157A - Rule activation device and program - Google Patents

Rule activation device and program Download PDF

Info

Publication number
JP2008293157A
JP2008293157A JP2007136196A JP2007136196A JP2008293157A JP 2008293157 A JP2008293157 A JP 2008293157A JP 2007136196 A JP2007136196 A JP 2007136196A JP 2007136196 A JP2007136196 A JP 2007136196A JP 2008293157 A JP2008293157 A JP 2008293157A
Authority
JP
Japan
Prior art keywords
data
rule
storage unit
correspondence table
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007136196A
Other languages
Japanese (ja)
Inventor
Koichi Yamada
耕一 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2007136196A priority Critical patent/JP2008293157A/en
Publication of JP2008293157A publication Critical patent/JP2008293157A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a rule activation device for activating and executing rules when driven by events. <P>SOLUTION: The rule activation device 100 includes a correspondence table storage part 140 for storing a data/rule activation table 141; a working memory 120 for storing data; a rule storage part 130 for storing rules described in the data/rule activation table 141; a data change detecting part 111 for detecting the data changes of data if the data is stored in the working memory 120 or if the data stored in the working memory 120 is updated, then searching for rules corresponding to the data whose data changes have been detected, by referring to the data/rule activation table 141, and, if the rules are found by the search, obtaining the rules found from the rule storage part 130; and a rule engine 110 for activating the rules obtained by the data change detecting part 111. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

この発明は、ルールを起動するルール起動装置及びルール起動プログラムに関する。   The present invention relates to a rule activation device and a rule activation program for activating rules.

従来の監視システムでは、監視のルールがプログラムで書かれており、運用規則の変更などによってルールを変更する必要がある場合に、柔軟な対応が困難であった。これに対し、監視システムへのルールベース技術適用が増えている。ルールベース技術を用いることにより、監視ルールの変更に対応しやすくなる。   In the conventional monitoring system, the monitoring rule is written in a program, and it is difficult to flexibly cope with the case where the rule needs to be changed due to a change in operation rule or the like. In contrast, the application of rule-based technology to monitoring systems is increasing. By using rule-based technology, it becomes easier to respond to changes in monitoring rules.

ルールはif<LHS>then<RHS>や、when <LHS>then<RHS>、といった形式で表現される(LHS:Left Hand Side,RHS:Right Hand Side)。   A rule is expressed in a format such as if <LHS> then <RHS> or when <LHS> then <RHS> (LHS: Left Hand Side, RHS: Right Hand Side).

<LHS>が「条件部」であり、ルールベースシステムが持つデータと照合を行った結果、<LHS>の条件部が成立した場合、「実行部」である<RHS>が実行される。ルールエンジンは、ワーキングメモリ内のデータに対し、そのデータとマッチする<LHS>を持ったルールを探し出し、そのマッチしたルールの<RHS>を実行することにより、ルールを実行していく(図12)。   If <LHS> is a “condition part” and the condition part of <LHS> is satisfied as a result of collation with the data of the rule base system, the “execution part” <RHS> is executed. The rule engine searches the data in the working memory for a rule having <LHS> that matches the data, and executes the rule by executing <RHS> of the matched rule (FIG. 12). ).

ルールベースの監視システムでは、以下の点が課題となっていた。監視対象でイベントが発生する毎に監視のアクションを実行する場合、送られるデータがワーキングメモリへ投入される(図13)と、ワーキングメモリ内のデータとルールの照合を行う必要がある(図14)。ルールの実行時には、全ルールと、ワーキングメモリ内の全データの照合が行われる。新たなデータが追加された場合は、既存のデータも含め、全ルールと、ワーキングメモリ内の全データの照合が行われる。なお、図13、図14ではルールエンジンは省略しているが、ワーキングメモリ内のデータとルールの照合は、ルールエンジンが行う。これに対しては、特開2000−305783号公報(特許文献1)では、ワーキングメモリとルールを階層化することにより、データとルールの照合を行う範囲を狭めてはいるが、データとルールとの照合が行われていることには変わりは無い。
特開2000−305783号公報、「ルールベースシステム分割・再利用装置および方法」 The following points have been issues in the rule-based monitoring system. When the monitoring action is executed every time an event occurs in the monitoring target, when the data to be sent is input to the working memory (FIG. 13), it is necessary to collate the data in the working memory with the rules (FIG. 14). ). When a rule is executed, all rules and all data in the working memory are collated. When new data is added, all rules including existing data are checked against all data in the working memory. Although the rule engine is omitted in FIGS. 13 and 14, the rule engine collates the data in the working memory with the rule. On the other hand, in Japanese Patent Laid-Open No. 2000-305783 (Patent Document 1), the working memory and rules are hierarchized to narrow the range in which data and rules are collated. There is no change in the collation of.
Japanese Patent Laid-Open No. 2000-305783, “Rule-Based System Division / Reuse Device and Method”

従来のルールの実行方式には、データとルールとの照合を行うため、ルール実行に時間がかかるという課題があった。また、監視システムにルールベースシステムを適用する場合、監視対象から得たイベントデータやログデータをルールに適用するが、イベントで発生したデータはそれを処理する特定のルールに渡せばよく、定期的に状況を監査する場合は、ワーキングメモリにあるデータの中から、監査期間に発生したデータを使用することになるので、データとメモリの照合処理は無駄が多い。また、監視システムにおいては、監視対象で発生したデータは、リアルタイムにルールで処理を行う必要があるため、データ発生のイベントによってルールを起動する必要がある。   The conventional rule execution method has a problem that it takes time to execute a rule because data and a rule are collated. In addition, when applying a rule-based system to a monitoring system, event data and log data obtained from the monitoring target are applied to the rule, but the data generated by the event may be passed to a specific rule that processes it, and periodically When the situation is audited, the data generated during the audit period is used from the data in the working memory, so that the data and memory verification processing is wasteful. In the monitoring system, since data generated in the monitoring target needs to be processed by a rule in real time, the rule needs to be activated by a data generation event.

この発明は、イベント駆動によりルールを起動して実行するルール起動装置及びルール起動プログラムを提供することを目的とする。   An object of the present invention is to provide a rule starting device and a rule starting program for starting and executing a rule by event driving.

この発明のルール起動装置は、
少なくともデータとルールとを一組とする対応関係が1以上記載された対応テーブルを格納する対応テーブル格納部と、
データを格納するデータ格納部と、
前記対応テーブルに記載されたルールを格納するルール格納部と、
前記データ格納部にデータが格納された場合を格納されたデータのデータ変化として検出するとともに前記データ格納部に格納されているデータが更新された場合を更新されたデータのデータ変化として検出し、データ変化を検出したデータに対応するルールを前記対応テーブル格納部に格納されている前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得するデータ変化検出部と、
前記データ変化検出部が取得したルールを起動するルール起動部と
を備えたことを特徴とする。 The rule starting device of the present invention is:
A correspondence table storage unit that stores a correspondence table in which at least one correspondence relation including at least data and a rule is described;
A data storage unit for storing data;
A rule storage for storing the rules described in the correspondence table;
Detecting when data is stored in the data storage unit as a data change in stored data and detecting when data stored in the data storage unit is updated as a data change in updated data; The rule corresponding to the data in which the data change is detected is searched by referring to the correspondence table stored in the correspondence table storage unit, and when the rule is hit by the search, the rule that has been hit is acquired from the rule storage unit A data change detecting unit,
The data change detection unit includes a rule activation unit that activates the acquired rule.

この発明により、イベント駆動によりルールを起動して実行するルール起動装置を提供することができる。   According to the present invention, it is possible to provide a rule activation device that activates and executes a rule by event driving.

実施の形態1.
図1〜図5を参照して実施の形態1を説明する。 Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS.

図1は、コンピュータであるルール起動装置100の外観の一例を示す図である。図1において、ルール起動装置100は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。   FIG. 1 is a diagram illustrating an example of an appearance of a rule activation device 100 that is a computer. In FIG. 1, a rule activation device 100 includes a system unit 830, a display device 813 having a CRT (Cathode / Ray / Tube) or LCD (liquid crystal) display screen, a keyboard 814 (Key / Board: K / B), and a mouse 815. , FDD817 (Flexible Disk Drive), compact disk device 818 (CDD: Compact Disk Drive), printer device 819, and other hardware resources, which are connected by cables and signal lines.

システムユニット830は、コンピュータであり、また、ネットワークに接続されている。ネットワークには、監視対象システム200、ログファイル300が接続され、ルール起動装置100は、これらと通信可能である。   The system unit 830 is a computer and is connected to a network. A monitoring target system 200 and a log file 300 are connected to the network, and the rule activation device 100 can communicate with them.

図2は、実施の形態1におけるルール起動装置100のハードウェア資源の一例を示す図である。図2において、ルール起動装置100は、プログラムを実行するCPU810(中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。磁気ディスク装置820は、ワーキングメモリ120あるいはルール格納部130あるいは対応テーブル格納部140の一例である。   FIG. 2 is a diagram illustrating an example of hardware resources of the rule activation device 100 according to the first embodiment. In FIG. 2, the rule activation device 100 includes a CPU 810 (also referred to as a central processing unit, a processing unit, an arithmetic unit, a microprocessor, a microcomputer, or a processor) that executes a program. The CPU 810 includes a ROM (Read Only Memory) 811, a RAM (Random Access Memory) 812, a display device 813, a keyboard 814, a mouse 815, a communication board 816, an FDD 817, a CDD 818, a printer device 819, and a magnetic disk device 820 via a bus 825. And control these hardware devices. Instead of the magnetic disk device 820, a storage device such as an optical disk device or a flash memory may be used. The magnetic disk device 820 is an example of the working memory 120, the rule storage unit 130, or the correspondence table storage unit 140.

RAM812は、揮発性メモリの一例である。RAM812は後述するワーキングメモリ120の一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、メモリの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。   The RAM 812 is an example of a volatile memory. The RAM 812 is an example of a working memory 120 described later. Storage media such as the ROM 811, the FDD 817, the CDD 818, and the magnetic disk device 820 are examples of nonvolatile memories. These are examples of a storage device or a storage unit, a storage unit, and a memory. The communication board 816, the keyboard 814, the FDD 817, and the like are examples of an input unit and an input device. The communication board 816, the display device 813, the printer device 819, and the like are examples of an output unit and an output device.

通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。   The communication board 816 is connected to a network (such as a LAN). The communication board 816 may be connected not only to the LAN but also to a WAN (wide area network) such as the Internet or ISDN.

磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。   The magnetic disk device 820 stores an operating system 821 (OS), a window system 822, a program group 823, and a file group 824. The programs in the program group 823 are executed by the CPU 810, the operating system 821, and the window system 822.

上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。   The program group 823 stores a program that executes a function described as “˜unit” in the description of the embodiment described below. The program is read and executed by the CPU 810.

ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、後述するデータやデータ/ルール起動テーブル141やルール、あるいは信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。   The file group 824 includes “determination result”, “calculation result”, “extraction result”, “generation result”, and “processing result” in the description of the embodiment described below. , Data / data / rule activation table 141 and rules described later, signal values, variable values, parameters, and the like are stored as items of “˜file” and “˜database”. The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 810 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. Used for CPU operations such as calculation, processing, output, printing, and display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the CPU operations of extraction, search, reference, comparison, operation, calculation, processing, output, printing, and display. Is remembered.

また、以下に述べる実施の形態の説明においては、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。   In the description of the embodiments described below, data and signal values are stored in the memory of RAM 812, the flexible disk of FDD 817, the compact disk of CDD 818, the magnetic disk of magnetic disk device 820, other optical disks, mini disks, DVDs (Digital). -It records on recording media, such as Versatile and Disk. Data and signals are transmitted on-line via the bus 825, signal lines, cables, and other transmission media.

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。   In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, “means”, and “to step”. ”,“ ˜procedure ”, or“ ˜processing ”. That is, what is described as “˜unit” may be realized by firmware stored in the ROM 811. Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware. Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. The program is read by the CPU 810 and executed by the CPU 810. That is, the program causes the computer to function as “to part” described below. Alternatively, the procedure or method of “to part” described below is executed by a computer.

図3は、実施の形態1のルール起動装置100のブロック図である。ルール起動装置100は、ルールエンジン110、ワーキングメモリ120、ルール格納部130、対応テーブル格納部140とを備える。ルールエンジン110はデータ変化検出部111を備える。   FIG. 3 is a block diagram of the rule activation device 100 according to the first embodiment. The rule activation device 100 includes a rule engine 110, a working memory 120, a rule storage unit 130, and a correspondence table storage unit 140. The rule engine 110 includes a data change detection unit 111.

図3において、データ/ルール起動テーブル141は、データ種別毎にデータが変化した場合に起動するルールの一覧を持つ。図3の例では、「name1」という名前を持つデータが変化した場合は、Rule1を起動し、「name2」という名前を持つデータが変化した場合は、Rule2を起動する。データ/ルール起動テーブル141は、あらかじめシステム管理者が用意するものとする。   In FIG. 3, the data / rule activation table 141 has a list of rules that are activated when data changes for each data type. In the example of FIG. 3, when data having the name “name1” changes, Rule1 is activated, and when data having the name “name2” changes, Rule2 is activated. The data / rule activation table 141 is prepared in advance by the system administrator.

ルールエンジン110は、所定のルールを起動し、実行する。   The rule engine 110 activates and executes a predetermined rule.

データ変化検出部111は、ワーキングメモリ120内へ新たなデータが追加された場合や、ワーキングメモリ120内のデータの書き換えが発生した場合をそのデータのデータ変化として検出する。   The data change detection unit 111 detects when new data is added to the working memory 120 or when data in the working memory 120 is rewritten, as data change of the data.

ワーキングメモリ120に収められるデータは、データの「名前」と「属性」とを持つ。データの「名前」は、データの定義を示すものであり、「名前」ごとにデータの「属性」の数、「属性」の名前が設定される。同一の「名前」を持つデータは複数あっても良い。図3の例では、「name1」という「名前」のデータは2つの属性、属性1と属性2を持ち、ワーキングメモリ120内には、「名前」が「name1」のデータは2つ存在する。片方は属性1の値が「aaa」、属性2の値が「bbb」であり、もう片方は属性1の値が「xxx」、属性2の値が「yyy」となっている。   The data stored in the working memory 120 has the “name” and “attribute” of the data. The “name” of data indicates the definition of data, and the number of “attributes” of data and the name of “attributes” are set for each “name”. There may be a plurality of data having the same “name”. In the example of FIG. 3, the “name” data “name1” has two attributes, attribute 1 and attribute 2, and there are two data with “name1” “name1” in the working memory 120. One has the value of attribute 1 “aaa” and the value of attribute 2 is “bbb”, and the other has the value of attribute 1 “xxx” and the value of attribute 2 “yyy”.

次に図4、図5を参照してルール起動装置100の動作を説明する。図4は、監視対象のシステムを含めた構成図を示す。図4では、ルール起動装置100に、監視対象システム200からの入力手段101、ログファイル300から入力手段102をさらに加えた。図5は、ルール起動装置100の動作を示すフローチャートである。   Next, the operation of the rule activation device 100 will be described with reference to FIGS. FIG. 4 shows a configuration diagram including the system to be monitored. In FIG. 4, an input unit 101 from the monitoring target system 200 and an input unit 102 from the log file 300 are further added to the rule activation device 100. FIG. 5 is a flowchart showing the operation of the rule activation device 100.

監視対象システム200でイベントが発生し、またはログファイル300が生成されると、監視イベントデータまたはログデータが、監視対象システム200からの入力手段101またはログファイル300からの入力手段102により、ワーキングメモリ120へ取り込まれる(S11)。   When an event occurs in the monitoring target system 200 or the log file 300 is generated, the monitoring event data or log data is stored in the working memory by the input unit 101 from the monitoring target system 200 or the input unit 102 from the log file 300. 120 is taken in (S11).

このとき、データ変化検出部111は、取り込まれたデータに対し、図3に示すように、変化があったことを示す印を付ける(S12)。   At this time, the data change detection unit 111 marks the fetched data as having changed as shown in FIG. 3 (S12).

印を付けると、データ変化検出部111は、図3に示したデータ/ルール起動テーブル141を参照して該当するルールを検索し(S13)、該当するルールがヒットすると、ヒットしたルールをルール格納部130から取得する(S14)。図3の場合では、データ変化検出部111は、ルール格納部130から「ルール1」を取得する。   When the mark is added, the data change detection unit 111 searches the corresponding rule with reference to the data / rule activation table 141 shown in FIG. 3 (S13), and when the corresponding rule is hit, the hit rule is stored in the rule. Obtained from the unit 130 (S14). In the case of FIG. 3, the data change detection unit 111 acquires “rule 1” from the rule storage unit 130.

データ変化検出部111がルール格納部130から取得した「ルール1」は、ルールエンジン110によって実行される(S15)。   “Rule 1” acquired by the data change detection unit 111 from the rule storage unit 130 is executed by the rule engine 110 (S15).

また、「ルール1」の実行によってワーキングメモリ120内に新たなデータが生成されたり、ワーキングメモリ120内のデータが変更された場合も、監視対象でイベントデータが発生した場合と同様に、データ変化検出部111により変化があったことを示す印が付けられ、データ変化検出部111は、データ/ルール起動テーブル141を参照して実行すべきルールを取得する。   In addition, when new data is generated in the working memory 120 or the data in the working memory 120 is changed by executing “Rule 1”, the data change is the same as when event data is generated in the monitoring target. The detection unit 111 marks that there has been a change, and the data change detection unit 111 refers to the data / rule activation table 141 to obtain a rule to be executed.

以上のように、実施の形態1のルール起動装置100はデータ変化検出部111を備えたので、変化があったデータのみを参照し、データ/ルール起動テーブル141を用いることにより、実行すべきルールを選択することができる。また、データの変化(新規登録または書き換え)をきっかけとして起動するルールを選択し、ルールエンジン110で実行する仕組みになっており、データの変化というイベント駆動によりルールを起動することができる。   As described above, the rule activation device 100 according to the first embodiment includes the data change detection unit 111. Therefore, the rules to be executed are referred to by using only the data that has changed and using the data / rule activation table 141. Can be selected. In addition, a rule to be activated is triggered by a data change (new registration or rewriting) and executed by the rule engine 110, and the rule can be activated by event driving of data change.

以上の実施の形態1では、装置としてのルール起動装置100を説明したが、ルール起動装置100の動作をコンピュータに実行させるプログラムとしての把握も可能である。   In the first embodiment described above, the rule activation device 100 as an apparatus has been described. However, it is also possible to grasp as a program for causing a computer to execute the operation of the rule activation device 100.

実施の形態2.
図6〜図8を用いて実施の形態2を説明する。以上の実施の形態1では、データが変化した場合にデータ/ルール起動テーブル141を参照してルールを実行するようにしたものであるが、この実施の形態2は、データの属性別に起動するルールを設定する実施形態である。 Embodiment 2. FIG.
The second embodiment will be described with reference to FIGS. In the first embodiment described above, the rule is executed by referring to the data / rule activation table 141 when the data changes. However, in the second embodiment, the rule is activated according to the data attribute. Is an embodiment for setting

図6は、実施の形態2の場合の、データ/ルール起動テーブル141である。図3に示したデータ/ルール起動テーブル141に対し、属性の列が追加された構成である。図7は、図6のデータ/ルール起動テーブル141を保有する実施の形態2のルール起動装置100のブロック図である。図8は、実施の形態2のルール起動装置100を説明するフローチャートである。   FIG. 6 shows the data / rule activation table 141 in the second embodiment. An attribute column is added to the data / rule activation table 141 shown in FIG. FIG. 7 is a block diagram of the rule activation device 100 of the second embodiment having the data / rule activation table 141 of FIG. FIG. 8 is a flowchart for explaining the rule activation device 100 according to the second embodiment.

次に、図7、図8を参照して動作について説明する。   Next, the operation will be described with reference to FIGS.

ルール起動装置100は、所定のルールの実行によって、データ名で示されるデータ中の属性の値が変更された場合に、該当するルールを実行する。   The rule activation device 100 executes the corresponding rule when the value of the attribute in the data indicated by the data name is changed by executing the predetermined rule.

例えば、図7において、例えばルールエンジン110による所定のルールの実行によって、属性1が「xxx」である「name1」のデータの属性1「xxx」が変更されたとする(S21)。   For example, in FIG. 7, it is assumed that the attribute 1 “xxx” of the data “name1” whose attribute 1 is “xxx” is changed by the execution of a predetermined rule by the rule engine 110 (S21).

その場合、データ変化検出部111は、属性1の属性値「xxx」が変更されたことを検出する(S22)。   In this case, the data change detection unit 111 detects that the attribute value “xxx” of attribute 1 has been changed (S22).

データ変化検出部111は、データ「name1」の属性1の変更を検出すると、データ/ルール起動テーブル141を参照して該当するルールを検索する(S23)。この場合、データ変化検出部111の検索により、データが「name1」であり属性が属性1である列に書かれている「ルール1」がヒットする。データ変化検出部111は、ヒットした「ルール1」をルール格納部130から取得し、起動対象としてルールエンジン110に渡す(S24)。ルールエンジン110はデータ変化検出部111から渡された「ルール1」を起動して実行する(S25)。   When detecting the change of the attribute 1 of the data “name1”, the data change detection unit 111 refers to the data / rule activation table 141 and searches for a corresponding rule (S23). In this case, as a result of the search by the data change detection unit 111, “rule 1” written in a column whose data is “name1” and whose attribute is attribute 1 is hit. The data change detecting unit 111 acquires the hit “rule 1” from the rule storing unit 130 and passes it to the rule engine 110 as an activation target (S24). The rule engine 110 activates and executes “rule 1” passed from the data change detection unit 111 (S25).

また、図6に示す「name3」のようにデータ/ルール起動テーブル141において属性が指定されていない場合は、どの属性が変更された場合も、ルールの欄にあるルールが実行されるものとする。すなわち、データ変化検出部111が「name3」のいずれかの属性の変更を検出した場合は、データ変化検出部111によるデータ/ルール起動テーブル141の検索により、「ルール3」がヒットすることとなる。そして、データ変化検出部111は、ルール格納部130から「ルール3」を取得してルールエンジン110に渡す。   If no attribute is specified in the data / rule activation table 141 as “name3” shown in FIG. 6, the rule in the rule column is executed regardless of which attribute is changed. . That is, when the data change detection unit 111 detects a change in any attribute of “name3”, the search of the data / rule activation table 141 by the data change detection unit 111 results in a hit of “rule 3”. . Then, the data change detection unit 111 acquires “Rule 3” from the rule storage unit 130 and passes it to the rule engine 110.

本実施の形態2のルール起動装置100により、データより単位の小さい属性値の変化の有無により、どのルールを起動するかを決定することが出来る。監視対象システムによっては、監視イベントデータ中の特定の属性値だけを監視するケースもあり、そのような場合に有効である。   The rule activation device 100 according to the second embodiment can determine which rule is activated depending on whether or not an attribute value whose unit is smaller than that of data is changed. Depending on the monitored system, there are cases where only specific attribute values in the monitored event data are monitored, which is effective in such a case.

実施の形態3.
図9〜図11を用いて実施の形態3を説明する。図9は実施の形態3においてワーキングメモリ120に格納されるデータを示す。また図10は実施の形態3のルール起動装置100のブロック図を示す。図11は実施の形態3のルール起動装置100の動作を示すフローチャートである。 Embodiment 3 FIG.
The third embodiment will be described with reference to FIGS. FIG. 9 shows data stored in the working memory 120 in the third embodiment. FIG. 10 is a block diagram of the rule activation device 100 according to the third embodiment. FIG. 11 is a flowchart showing the operation of the rule activation device 100 according to the third embodiment.

前述の実施の形態2では、ワーキングメモリ120のデータは、図6に示したように名前と属性を持っていた。これに対して、本実施の形態3では、図9に示すように、ワーキングメモリ120のデータがさらにデータの発生時刻を持つものとする。   In the second embodiment described above, the data in the working memory 120 has a name and an attribute as shown in FIG. On the other hand, in the third embodiment, as shown in FIG. 9, it is assumed that the data in the working memory 120 further has a data generation time.

実施の形態3のルール起動装置100は、図10に示すように、さらに「履歴情報管理部150」を備える。履歴情報管理部150は、ワーキングメモリ120に格納されるデータの履歴を管理する。   As shown in FIG. 10, the rule activation device 100 according to the third embodiment further includes a “history information management unit 150”. The history information management unit 150 manages the history of data stored in the working memory 120.

データの発生時刻は、監視対象システム200から送られたイベントデータ中の時刻か、あるいはログファイル300からデータを得た場合はログに書かれた時刻を使用する。そのような時刻が得られない場合は、履歴情報管理部150は、入力手段101、あるいは入力手段102がイベントログまたはログファイルを取得した時刻を発生時刻とする。   As the data generation time, the time in the event data sent from the monitoring target system 200 or the time written in the log when data is obtained from the log file 300 is used. When such time cannot be obtained, the history information management unit 150 sets the time when the input unit 101 or the input unit 102 acquires the event log or the log file as the generation time.

また、履歴情報管理部150は、ワーキングメモリ120内のデータの履歴管理を行い、データへアクセスする際に、データの名前ごとに最新の値と、ひとつ前、時刻指定などによる過去の値の参照が出来るようにする。ワーキングメモリ120へのアクセスは、履歴管理を行う履歴情報管理部150を経由して行う。すなわち履歴情報管理部150は、ワーキングメモリ120に格納されたデータが更新された場合には更新前のデータと更新後のデータとをワーキングメモリ120に保存するとともに、データの更新履歴を履歴情報として管理する。   In addition, the history information management unit 150 manages the history of data in the working memory 120, and when accessing the data, refers to the latest value for each data name and the previous value by specifying the previous time, etc. To be able to Access to the working memory 120 is performed via the history information management unit 150 that performs history management. In other words, when the data stored in the working memory 120 is updated, the history information management unit 150 saves the data before update and the data after update in the working memory 120 and uses the data update history as history information. to manage.

次に、図11を参照して、ルール起動装置100の動作を説明する。   Next, the operation of the rule activation device 100 will be described with reference to FIG.

監視システムにおいては、ルールを実行すべきイベントが発生したときに、過去のイベントデータを参照することにより、発生したイベントの原因を分析することがある。イベントデータまたはログデータからの入力によりデータが追加、変更されると、実施の形態1と同様にして、データ変化検出部111により起動するルールが選択される(S31)。   In the monitoring system, when an event for executing a rule occurs, the cause of the occurred event may be analyzed by referring to past event data. When data is added or changed by input from event data or log data, a rule to be activated by the data change detection unit 111 is selected as in the first embodiment (S31).

履歴情報管理部150は、更新後のデータと更新前のデータの両者をワーキングメモリ120に保存する。ここでルールエンジン110は、ルールの「条件部」に過去データ(あるいはいずれかのデータの現在の値)の参照があると、履歴情報管理部150にそのデータを要求する。この要求があると、履歴情報管理部150は一つ前、時刻指定などで示される指定されたデータの過去の値をワーキングメモリ120から取得し、ルールエンジン110へそのデータを渡す(S32)。ルールエンジン110は「条件部」を評価し(S33)、成立した場合にはルールの「実行部」を実行する(S34)。   The history information management unit 150 stores both the updated data and the pre-update data in the working memory 120. Here, when there is a reference to past data (or the current value of any data) in the “condition section” of the rule, the rule engine 110 requests the history information management section 150 for the data. When this request is made, the history information management unit 150 obtains the past value of the designated data indicated by time designation or the like one time ago from the working memory 120 and passes the data to the rule engine 110 (S32). The rule engine 110 evaluates the “condition part” (S33), and executes the “execution part” of the rule if it is satisfied (S34).

ルールの「実行部」内でワーキングメモリ120内のデータを参照する場合も同様に、ルールエンジン110は履歴情報管理部150を経由し、データの現在の値や過去の値を取得することが出来る。   Similarly, when referring to the data in the working memory 120 in the “execution part” of the rule, the rule engine 110 can acquire the current value or past value of the data via the history information management part 150. .

ルールの「条件部」で参照するデータ全てに対して、データ変化時にルールを起動すると、イベントまたはログファイル読み込みによりワーキングメモリ120内にデータが生成、更新されたときに、過去のデータは世代が1つ古くなるため、更新されたとみなされる。そのため、ルール起動の必要がない場合でもルールの条件部を評価することになり、無駄に条件部を評価することとなる。   For all the data referenced in the “condition part” of the rule, when the rule is activated at the time of data change, when the data is generated and updated in the working memory 120 by reading the event or log file, the past data has the generation Since one is older, it is considered updated. Therefore, even when rule activation is not necessary, the condition part of the rule is evaluated, and the condition part is evaluated uselessly.

以上により、過去のデータを参照するルールの条件部がある場合に、変化があったデータのみを参照し、データ/ルール起動テーブル141を用いることにより、実行すべきルールを選択することができる。   As described above, when there is a condition part of a rule that refers to past data, a rule to be executed can be selected by referring to only the data that has changed and using the data / rule activation table 141.

以上の実施の形態では、データ種別毎にデータが変化した場合に起動するルールの一覧を持つデータ/ルール起動テーブルと、ワーキングメモリ内へ新たなデータが追加されたりデータの書き換えが発生した場合のデータ変化を検出するデータ変化検出部を持ち、ワーキングメモリ内にデータが追加されるか、データが更新されたイベントによってルールを起動するルール起動装置を説明した。   In the above embodiment, a data / rule activation table having a list of rules to be activated when data changes for each data type, and when new data is added to the working memory or data is rewritten. A rule activation device has been described that has a data change detection unit that detects a data change and activates a rule according to an event in which data is added to the working memory or data is updated.

以上の実施の形態では、データの属性別に起動するルールの一覧を持つデータ/ルール起動テーブルを持ち、ワーキングメモリ内にデータが追加されるか、データが更新されたイベントによってルールを起動するルール起動装置を説明した。   In the above embodiment, there is a data / rule activation table having a list of rules to be activated for each data attribute, and rule activation that activates a rule by an event in which data is added to the working memory or data is updated The apparatus has been described.

以上の実施の形態では、ワーキングメモリ内のデータが発生時刻を持ち、ワーキングメモリ内のデータの履歴管理とアクセスを行うための履歴情報管理部を持ち、ワーキングメモリ内にデータが追加されるか、データが更新されたイベントによってルールを起動するルール起動装置を説明した。   In the above embodiment, the data in the working memory has an occurrence time, has a history information management unit for performing history management and access to the data in the working memory, and whether the data is added to the working memory, A rule activation device that activates a rule according to an event whose data has been updated has been described.

実施の形態1におけるルール起動装置100の外観を示す図。FIG. 3 is a diagram illustrating an appearance of the rule activation device 100 according to the first embodiment. 実施の形態1におけるルール起動装置100のハードウェア構成。2 is a hardware configuration of the rule activation device 100 according to the first embodiment. 実施の形態1におけるルール起動装置100のブロック図。FIG. 2 is a block diagram of rule activation device 100 in the first embodiment. 実施の形態1におけるシステム構成。1 is a system configuration according to a first embodiment. 実施の形態1におけるルール起動装置100の動作のフローチャート。5 is a flowchart of the operation of the rule activation device 100 according to the first embodiment. 実施の形態2におけるデータ/ルール起動テーブル141。Data / rule activation table 141 in the second embodiment. 実施の形態2におけるルール起動装置100のブロック図。FIG. 4 is a block diagram of a rule activation device 100 according to Embodiment 2. 実施の形態2におけるルール起動装置100の動作のフローチャート。10 is a flowchart of the operation of the rule activation device 100 according to the second embodiment. 実施の形態3におけるワーキングメモリ120に格納されるデータ。Data stored in working memory 120 in the third embodiment. 実施の形態3におけるルール起動装置100のブロック図。FIG. 5 is a block diagram of a rule activation device 100 according to Embodiment 3. 実施の形態3におけるルール起動装置100の動作のフローチャート。10 is a flowchart of the operation of the rule activation device 100 according to Embodiment 3. 従来技術を示す図。The figure which shows a prior art. 従来技術を示す別の図。Another figure which shows a prior art. 従来技術を示すさらに別の図。Another figure which shows a prior art.

符号の説明Explanation of symbols

1,2 ルール、100 ルール起動装置、101,102 入力手段、110 ルールエンジン、111 データ変化検出部、120 ワーキングメモリ、130 ルール格納部、140 テーブル格納部、141 データ/ルール起動テーブル、150 履歴情報管理部、200 監視対象システム、300 ログファイル。   1, 2 rule, 100 rule activation device, 101, 102 input means, 110 rule engine, 111 data change detection unit, 120 working memory, 130 rule storage unit, 140 table storage unit, 141 data / rule activation table, 150 history information Management unit, 200 monitored system, 300 log file.

Claims (4)

少なくともデータとルールとを一組とする対応関係が1以上記載された対応テーブルを格納する対応テーブル格納部と、
データを格納するデータ格納部と、
前記対応テーブルに記載されたルールを格納するルール格納部と、
前記データ格納部にデータが格納された場合を格納されたデータのデータ変化として検出するとともに前記データ格納部に格納されているデータが更新された場合を更新されたデータのデータ変化として検出し、データ変化を検出したデータに対応するルールを前記対応テーブル格納部に格納されている前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得するデータ変化検出部と、
前記データ変化検出部が取得したルールを起動するルール起動部と
を備えたことを特徴とするルール起動装置。 A correspondence table storage unit that stores a correspondence table in which at least one correspondence relation including at least data and a rule is described;
A data storage unit for storing data;
A rule storage for storing the rules described in the correspondence table;
Detecting when data is stored in the data storage unit as a data change in stored data and detecting when data stored in the data storage unit is updated as a data change in updated data; The rule corresponding to the data in which the data change is detected is searched by referring to the correspondence table stored in the correspondence table storage unit, and when the rule is hit by the search, the rule that has been hit is acquired from the rule storage unit A data change detecting unit,
A rule activation device comprising: a rule activation unit that activates a rule acquired by the data change detection unit. 前記対応テーブル格納部が格納する前記対応テーブルは、
データとこのデータの所定の属性とルールとを一組とする対応関係が1以上記載ており、
前記データ変化検出部は、
前記データ格納部に格納されているデータに対して属性の更新が発生した場合を属性が更新されたデータのデータ変化として検出し、データ変化を検出したデータと更新された属性とに対応するルールを前記対応テーブル格納部に格納されている前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得することを特徴とする請求項1記載のルール起動装置。 The correspondence table stored in the correspondence table storage unit is:
There is at least one correspondence between data, a predetermined attribute of this data, and a rule,
The data change detector is
A rule that detects when an attribute update has occurred with respect to data stored in the data storage unit as a data change in the data with the updated attribute, and corresponds to the data that has detected the data change and the updated attribute 2. The search is performed by referring to the correspondence table stored in the correspondence table storage unit, and when a rule is hit by the search, the hit rule is acquired from the rule storage unit. Rule activation device. 前記ルール起動装置は、さらに、
前記データ格納部に格納されたデータが更新された場合には更新前のデータと更新後のデータとを前記データ格納部に保存するとともに、データの更新履歴を履歴情報として管理する履歴情報管理部を備え、
前記ルール起動部は、
所定のルールを実行している場合に、実行しているルールに応じて所定のデータの現在から過去の何れかの値を前記履歴情報管理部に要求し、
前記履歴情報管理部は、
前記ルール起動部から要求を受けると、履歴情報を参照して要求に合致するデータの値を前記データ格納部から取得して前記ルール起動部に送付し、
前記ルール起動部は、
前記履歴情報管理部から送付されたデータの値を受け取り、受け取ったデータの値を用いて前記所定のルールを実行することを特徴とする請求項1または2の何れかに記載のルール起動装置。 The rule activation device further includes:
When the data stored in the data storage unit is updated, the history information management unit stores the data before update and the data after update in the data storage unit, and manages the update history of the data as history information With
The rule activation unit
If the predetermined rule is being executed, the history information management unit is requested for any value from the present to the past of the predetermined data according to the rule being executed,
The history information management unit
Upon receiving a request from the rule activation unit, referring to history information, the value of data that matches the request is acquired from the data storage unit and sent to the rule activation unit,
The rule activation unit
3. The rule activation device according to claim 1, wherein a value of data sent from the history information management unit is received, and the predetermined rule is executed using the value of the received data. 4. 対応テーブル格納部と、ルール格納部と、データを格納するデータ格納部とを備えたコンピュータに以下の処理を実行させることを特徴とするルール起動プログラム
(1)少なくともデータとルールとを一組とする対応関係が1以上記載された対応テーブルを前記対応テーブル格納部に格納する処理
(2)前記対応テーブルに記載されたルールを前記ルール格納部に格納する処理
(3)前記データ格納部にデータが格納された場合を格納されたデータのデータ変化として検出するとともに前記データ格納部に格納されているデータが更新された場合を更新されたデータのデータ変化として検出し、データ変化を検出したデータに対応するルールを前記対応テーブル格納部に格納された前記対応テーブルを参照することにより検索し、検索によりルールがヒットした場合、ヒットしたルールを前記ルール格納部から取得する処理
(4)取得したルールを起動する処理。 A rule activation program that causes a computer including a correspondence table storage unit, a rule storage unit, and a data storage unit to store data to execute the following processing: (1) a set of at least data and rules (2) Processing to store a correspondence table in which one or more correspondences are described in the correspondence table storage unit (2) Processing to store rules described in the correspondence table in the rule storage unit (3) Data in the data storage unit Is detected as a data change of the stored data, and the data stored in the data storage unit is detected as a data change of the updated data. Is retrieved by referring to the correspondence table stored in the correspondence table storage unit. If the rule is hit, the process of obtaining a hit rules from said rule storage portion (4) a process of starting the acquisition rule.
JP2007136196A 2007-05-23 2007-05-23 Rule activation device and program Pending JP2008293157A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007136196A JP2008293157A (en) 2007-05-23 2007-05-23 Rule activation device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007136196A JP2008293157A (en) 2007-05-23 2007-05-23 Rule activation device and program

Publications (1)

Publication Number Publication Date
JP2008293157A true JP2008293157A (en) 2008-12-04

Family

ID=40167834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007136196A Pending JP2008293157A (en) 2007-05-23 2007-05-23 Rule activation device and program

Country Status (1)

Country Link
JP (1) JP2008293157A (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62297942A (en) * 1986-06-18 1987-12-25 Hitachi Ltd Rule processing system
JPH07210387A (en) * 1994-01-20 1995-08-11 Fujitsu Ltd Production system
JPH07262014A (en) * 1994-03-23 1995-10-13 Hitachi Software Eng Co Ltd Diagnostic type expert system
JPH07295818A (en) * 1994-04-26 1995-11-10 Nec Corp Rule processor
JPH08286917A (en) * 1994-10-21 1996-11-01 At & T Corp Generation device of executable code
JP2000305783A (en) * 1999-04-26 2000-11-02 Fujitsu Ltd Rule base system driving, reusing device and its method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS62297942A (en) * 1986-06-18 1987-12-25 Hitachi Ltd Rule processing system
JPH07210387A (en) * 1994-01-20 1995-08-11 Fujitsu Ltd Production system
JPH07262014A (en) * 1994-03-23 1995-10-13 Hitachi Software Eng Co Ltd Diagnostic type expert system
JPH07295818A (en) * 1994-04-26 1995-11-10 Nec Corp Rule processor
JPH08286917A (en) * 1994-10-21 1996-11-01 At & T Corp Generation device of executable code
JP2000305783A (en) * 1999-04-26 2000-11-02 Fujitsu Ltd Rule base system driving, reusing device and its method

Similar Documents

Publication Publication Date Title
US20220138333A1 (en) System and method for enabling and verifying the trustworthiness of a hardware system
US8930915B2 (en) System and method for mitigating repeated crashes of an application resulting from supplemental code
NO20101528A1 (en) Incremental implementation of undo / redo in inheritance applications
KR20130114677A (en) Networked recovery system
JP2006031109A (en) Management system and management method
JP5335622B2 (en) Computer program that manages the configuration information database
US20170364679A1 (en) Instrumented versions of executable files
US8607197B2 (en) Displaying HTTP session entry and exit points
US11601443B2 (en) System and method for generating and storing forensics-specific metadata
JP6282217B2 (en) Anti-malware system and anti-malware method
US8799716B2 (en) Heap dump occurrence detection
US7127675B1 (en) Method and system for automatically revising software help documentation
KR20190020363A (en) Method and apparatus for analyzing program by associating dynamic analysis with static analysis
US7500145B2 (en) Anomaly-driven software switch to capture event responses and automate recovery
CN108197041B (en) Method, device and storage medium for determining parent process of child process
JP2008293157A (en) Rule activation device and program
JP2002123516A (en) System and method for evaluating web site and recording medium
JP4955752B2 (en) Extending secure management of file attribute information to virtual hard disks
JP2008015596A (en) Management server and repair program transmission method
JP2009122985A (en) System and program for sub-process execution
JP2010237836A (en) Security audit period derivation device, security audit period derivation program, and recording medium
KR101653741B1 (en) Monitoring method and monitoring device of executable program&#39;s action, Computer program for the same, Recording medium storing computer program for the same
JP2011227789A (en) Information processor and program
CN114356441B (en) Plug-in preloading method and device, electronic equipment and storage medium
US20140297767A1 (en) Information processing apparatus and verification control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120515

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120605