JP2011107742A - Operation management device, operation management method, and program - Google Patents

Operation management device, operation management method, and program Download PDF

Info

Publication number
JP2011107742A
JP2011107742A JP2009258798A JP2009258798A JP2011107742A JP 2011107742 A JP2011107742 A JP 2011107742A JP 2009258798 A JP2009258798 A JP 2009258798A JP 2009258798 A JP2009258798 A JP 2009258798A JP 2011107742 A JP2011107742 A JP 2011107742A
Authority
JP
Japan
Prior art keywords
alert
definition
rule
unit
operation management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009258798A
Other languages
Japanese (ja)
Other versions
JP5435225B2 (en
Inventor
Kazunoshin Shikada
和之進 鹿田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009258798A priority Critical patent/JP5435225B2/en
Publication of JP2011107742A publication Critical patent/JP2011107742A/en
Application granted granted Critical
Publication of JP5435225B2 publication Critical patent/JP5435225B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an operation management device, an operation management method and a program for dynamically updating filter definitions according to an alert generated in a computer system, and for reducing a load on a manager. <P>SOLUTION: The operation management device 1 is provided with: filtering parts 21 and 22 for extracting an alert matched with definitions from an alert generated in a computer system 10; a rule adaptation determination part 42 for collating any alert which has not been extracted by the filtering part 21 or 22 with two or more preliminarily set rules, and for determining whether any rule is adapted to the alert which has not been extracted; and a filter definition management part 43 for, when it is determined that any rule is adapted to the alert, updating the definition of the filtering part 21 or 22 on the basis of the rule determined to be adapted. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、コンピュータシステムの運用及び管理を行うための運用管理装置、運用管理方法、及びこれらを実現するためのプログラムに関する。   The present invention relates to an operation management apparatus, an operation management method, and a program for realizing them, for operating and managing a computer system.

近年、企業等では、コンピュータシステムの重要度は益々高まっており、その運用管理は極めて重要なものとなっている。一方、コンピュータシステムは、年々、大規模化及び複雑化しているため、運用管理における管理者の負担は益々増大している。このような状況の下、コンピュータシステムの運用管理を効率良く行えるようにするため、種々の運用管理装置(運用管理サーバ)が提案されている。   In recent years, in companies and the like, the importance of a computer system has been increasing, and its operation management has become extremely important. On the other hand, since computer systems are becoming larger and more complex year by year, the burden on managers in operation management is increasing. Under such circumstances, various operation management apparatuses (operation management servers) have been proposed in order to efficiently perform the operation management of the computer system.

一般に、運用管理装置は、監視対象となるサーバ及びアプリケーションプログラムの異常の発生を監視し、異常を検知すると、コンピュータシステムの管理者に異常の発生を通報する。また、このとき、全ての異常が管理者に通報されるとすると、管理者の負担が増大してしまうため、通常、運用管理装置は、予め定義されたフィルタによって必要なアラートを抽出し、抽出したアラートのみを通報する(例えば、特許文献1参照。)。   In general, the operation management apparatus monitors the occurrence of abnormalities in servers and application programs to be monitored, and when an abnormality is detected, notifies the administrator of the computer system of the occurrence of the abnormality. Also, at this time, if all abnormalities are reported to the administrator, the burden on the administrator will increase. Usually, the operation management device extracts and extracts the necessary alerts using a predefined filter. Only the alert that has been made is reported (for example, see Patent Document 1).

具体的には、特許文献1は、複数のフィルタを所定の順序で使用し、いずれかのフィルタによって抽出されたアラートを管理者に通報する運用管理装置を開示している。また、特許文献1に開示の運用管理装置では、フィルタ毎に、その条件に一致した回数がカウントされ、一致した回数の多い順にフィルタの使用順序が並べ替えられる。このため、特許文献1に開示の運用管理装置によれば、フィルタリングに必要な計算量を出来るだけ少なくできるので、運用管理装置における負荷の軽減を図ることが可能となる。   Specifically, Patent Document 1 discloses an operation management apparatus that uses a plurality of filters in a predetermined order and reports an alert extracted by any of the filters to an administrator. Further, in the operation management device disclosed in Patent Document 1, the number of times that the condition is matched is counted for each filter, and the use order of the filters is rearranged in descending order of the number of times of matching. For this reason, according to the operation management apparatus disclosed in Patent Document 1, it is possible to reduce the amount of calculation necessary for filtering as much as possible, and thus it is possible to reduce the load on the operation management apparatus.

また、特許文献1に開示の運用管理装置では、フィルタ定義は、管理者によって作成される。更に、管理者は、フィルタで抽出されなかったアラートが発生した場合は、その発生頻度及び発生傾向等を分析し、フィルタ定義が適切となるように更新を行う必要がある。このため、特許文献1に開示の運用管理装置では、管理者における負担の軽減が求められている。   Further, in the operation management apparatus disclosed in Patent Document 1, the filter definition is created by an administrator. Furthermore, when an alert that has not been extracted by the filter occurs, the administrator needs to analyze the occurrence frequency and occurrence tendency and update the filter definition to be appropriate. For this reason, the operation management device disclosed in Patent Document 1 is required to reduce the burden on the administrator.

特許文献2は、管理者の負担の軽減を目的とした運用管理装置を開示している。具体的には、特許文献2は、フィルタに定義されていない未登録のアラートが出力された場合に、設定された閾値を超えているかを判定し、超えている場合に、この未登録のアラートを管理者に通報する運用管理装置を開示している。閾値の具体例としては、例えばx秒以内にアラートが出力された件数等が挙げられる。また、特許文献2に開示の運用管理装置は、未登録のアラートの抽出条件をそのままフィルタ条件とすることもできる。   Patent Document 2 discloses an operation management apparatus for the purpose of reducing the burden on the administrator. Specifically, Patent Document 2 determines whether or not a set threshold is exceeded when an unregistered alert that is not defined in the filter is output. An operation management device that reports to the administrator is disclosed. As a specific example of the threshold value, for example, the number of cases where an alert is output within x seconds can be cited. Further, the operation management apparatus disclosed in Patent Document 2 can also use an unregistered alert extraction condition as a filter condition as it is.

このように、特許文献2に開示の運用管理装置によれば、看過できない未登録のアラートであっても管理者に通知されるため、管理者における負担は軽減されると考えられる。また、未登録のアラートの検知が可能となるため、管理対象のコンピュータシステムにおける予期せぬトラブルの発生が防止される。   As described above, according to the operation management device disclosed in Patent Document 2, even if an unregistered alert that cannot be overlooked is notified to the administrator, it is considered that the burden on the administrator is reduced. In addition, since it is possible to detect unregistered alerts, it is possible to prevent an unexpected trouble from occurring in the managed computer system.

また、近年の大規模化されたコンピュータシステムでは、アラートは頻繁に発生し、更に、これに合わせて、未登録のアラートの発生も増加しているが、特許文献2に開示の運用管理装置では、未登録のアラートは管理者に通報される。従って、特許文献2に開示の運用管理装置によれば、未登録のアラートが増加しても、管理者は適切にフィルタ定義を更新することができると考えられる。   In recent large-scale computer systems, alerts are frequently generated, and in addition to this, the occurrence of unregistered alerts is increasing. However, in the operation management apparatus disclosed in Patent Document 2, Unregistered alerts are reported to the administrator. Therefore, according to the operation management device disclosed in Patent Document 2, it is considered that the administrator can appropriately update the filter definition even if the number of unregistered alerts increases.

特開2006−260056号公報JP 2006-260056 A 特開2009−064098号公報JP 2009-064098 A

しかしながら、大規模化されたコンピュータシステムでは、時間帯によって、アラートの傾向が変化するという事態が生じている。これに対して、特許文献2に開示された運用管理装置では、未登録のアラートを通報するかどうかの判断は一律に行われ、アラートの傾向の変化に応じて判断が変化することはない。よって、管理者に通報すべきアラートが確実に通報されない可能性がある。   However, in a large-scale computer system, there is a situation in which the alert tendency changes depending on the time zone. On the other hand, in the operation management device disclosed in Patent Document 2, the determination as to whether or not to notify an unregistered alert is made uniformly, and the determination does not change according to a change in the tendency of the alert. Therefore, there is a possibility that an alert that should be reported to the administrator is not reported reliably.

また、特許文献2に開示された運用管理装置は、未登録のアラートに合わせて新たにフィルタ条件を生成することができるが、フィルタ条件の作成の対象となるかどうかの判断も一律に行われる。よって、未登録のアラートが突発的且つ大量に発生した場合(アラートラッシュ)に対応することは困難である。   Further, the operation management device disclosed in Patent Document 2 can newly generate a filter condition in accordance with an unregistered alert, but it is also uniformly determined whether or not the filter condition is to be created. . Therefore, it is difficult to deal with a case where an unregistered alert occurs suddenly and in large quantities (alert rush).

このように、特許文献2に開示された運用管理装置では、アラートに応じて自動的にフィルタ定義の適切化を行うことは不可能である。従って、管理者は、フィルタ定義を適切なものとするために、別途分析を行う必要があり、このことは、管理者にとって大きな負担となる。   As described above, in the operation management apparatus disclosed in Patent Document 2, it is impossible to automatically optimize the filter definition according to the alert. Therefore, the administrator needs to perform a separate analysis in order to make the filter definition appropriate, which is a heavy burden on the administrator.

本発明の目的は、上記問題を解消し、コンピュータシステムで発生したアラートに応じてフィルタ定義を動的に更新でき、且つ、管理者の負担の軽減を図り得る、運用管理装置、運用管理方法、及びプログラムを提供することにある。   An object of the present invention is to solve the above-described problems, dynamically update a filter definition according to an alert generated in a computer system, and reduce the burden on an administrator. And providing a program.

上記目的を達成するため、本発明における運用管理装置は、コンピュータシステムの運用管理を行うための運用管理装置であって、
前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出する、複数のフィルタリング部と、
前記複数のフィルタリング部のいずれによっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ルール適合判定部と、
いずれかの前記ルールが前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、前記複数のフィルタリング部のいずれかの前記定義を更新する、フィルタ定義管理部と、
を備えていることを特徴とする。 In order to achieve the above object, an operation management apparatus according to the present invention is an operation management apparatus for performing operation management of a computer system,
A plurality of filtering units that extract alerts that meet a definition from alerts generated in the computer system;
The alert that has not been extracted by any of the plurality of filtering units is collated with two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. A rule conformity determination unit;
A filter definition management unit that updates the definition of any of the plurality of filtering units based on a rule determined to match when any of the rules is determined to match the alert that has not been extracted. When,
It is characterized by having.

また、上記目的を達成するため、本発明における運用管理方法は、コンピュータシステムの運用管理を行うための方法であって、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの
前記フィルタリング処理における前記定義を更新する、ステップと、
を有していることを特徴とする。 In order to achieve the above object, an operation management method according to the present invention is a method for managing the operation of a computer system,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step,
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
It is characterized by having.

更に、上記目的を達成するため、本発明におけるプログラムは、コンピュータシステムの運用管理をコンピュータによって行うためのプログラムであって、
前記コンピュータに、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの前記フィルタリング処理における前記定義を更新する、ステップと、
を実行させる、ことを特徴とする。 Furthermore, in order to achieve the above object, a program according to the present invention is a program for performing operation management of a computer system by a computer,
In the computer,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step,
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
Is executed.

以上の特徴により、本発明における運用管理装置、運用管理方法、及びプログラムによれば、コンピュータシステムで発生したアラートに応じてフィルタ定義を動的に更新でき、且つ、管理者の負担の軽減を図ることができる。   With the above features, according to the operation management apparatus, operation management method, and program of the present invention, the filter definition can be dynamically updated according to the alert generated in the computer system, and the burden on the administrator is reduced. be able to.

図1は、本発明の実施の形態における運用管理装置の概略構成を示すブロック図である。FIG. 1 is a block diagram showing a schematic configuration of an operation management apparatus according to an embodiment of the present invention. 図2は、本発明の実施の形態における運用管理装置によるフィルタリング処理からルール適合判定処理までを示すフロー図である。FIG. 2 is a flowchart showing from filtering processing to rule conformance determination processing by the operation management apparatus in the embodiment of the present invention. 図3は、本発明の実施の形態における運用管理装置による定義更新処理を示すフロー図である。FIG. 3 is a flowchart showing definition update processing by the operation management apparatus according to the embodiment of the present invention. 図4は、本発明の実施の形態における運用管理装置によるルール更新処理を示すフロー図である。FIG. 4 is a flowchart showing rule update processing by the operation management apparatus according to the embodiment of the present invention. 図5は、図4に示されたルール更新処理に含まれる分析処理及びルール作成処理を具体的に示すフロー図である。FIG. 5 is a flowchart specifically showing analysis processing and rule creation processing included in the rule update processing shown in FIG.

(実施の形態)
以下、本発明の実施の形態における、運用管理装置、運用管理方法、及びプログラムについて、図1〜図5を参照しながら説明する。最初に、本実施の形態における運用管理装置1の構成について説明する。図1は、本発明の実施の形態における運用管理装置の概略構成を示すブロック図である。 (Embodiment)
Hereinafter, an operation management apparatus, an operation management method, and a program according to an embodiment of the present invention will be described with reference to FIGS. Initially, the structure of the operation management apparatus 1 in this Embodiment is demonstrated. FIG. 1 is a block diagram showing a schematic configuration of an operation management apparatus according to an embodiment of the present invention.

図1に示すように、運用管理装置1は、コンピュータシステム10の運用管理を行うための装置である。コンピュータシステム10は、クライアントコンピュータ、サーバコンピュータといった多数のコンピュータをネットワークで接続することによって構築されている。そして、コンピュータシステム10は、一種のアラート発生装置であり、コンピュータシステム10で発生したアラートは、運用管理装置1に入力される。   As shown in FIG. 1, the operation management apparatus 1 is an apparatus for performing operation management of the computer system 10. The computer system 10 is constructed by connecting a large number of computers such as client computers and server computers via a network. The computer system 10 is a kind of alert generation device, and the alert generated in the computer system 10 is input to the operation management device 1.

また、図1に示すように、運用管理装置1は、コンピュータシステム10で発生したアラートに対してフィルタリング処理を行うフィルタリング処理部2と、フィルタリング処理によって抽出されたアラートの処理を行う処理部4とを備えている。   As shown in FIG. 1, the operation management apparatus 1 includes a filtering processing unit 2 that performs filtering processing on alerts generated in the computer system 10, and a processing unit 4 that performs processing of alerts extracted by the filtering processing. It has.

このうち、フィルタリング処理部2は、第1のフィルタリング部21と、第2のフィルタリング部22とを備えている。第1のフィルタリング部21及び第2のフィルタリング部22は、それぞれ、コンピュータシステム10で発生したアラートから、定義(フィルタ定義)に合致するアラートを抽出する。なお、第1のフィルタリング部21と、第2のフィルタリング部22とでは、フィルタ定義は異なっている。また、本実施の形態では、フィルタリング処理部2は、3以上のフィルタリング部を備えていても良い。   Among these, the filtering processing unit 2 includes a first filtering unit 21 and a second filtering unit 22. The first filtering unit 21 and the second filtering unit 22 each extract an alert that matches the definition (filter definition) from the alert generated in the computer system 10. Note that the filter definition is different between the first filtering unit 21 and the second filtering unit 22. In the present embodiment, the filtering processing unit 2 may include three or more filtering units.

また、処理部4は、ルール適合判定部42とフィルタ定義管理部43とを備えている。ルール適合判定部42は、フィルタリング部21及び22のいずれによっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかのルールが、抽出されなかったアラートに適合するかどうかを判定する。   The processing unit 4 includes a rule conformity determination unit 42 and a filter definition management unit 43. The rule conformity determination unit 42 collates the alert that has not been extracted by any of the filtering units 21 and 22 with two or more preset rules, and either rule conforms to an alert that has not been extracted. Determine whether or not.

フィルタ定義管理部43は、いずれかのルールが、抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、第1のフィルタリング部21又は第2のフィルタリング部22のフィルタ定義を更新する。   When it is determined that any one of the rules matches the alert that has not been extracted, the filter definition management unit 43 uses the first filtering unit 21 or the second filtering unit 22 based on the rule that is determined to match. Update filter definition for.

このように、運用管理装置1では、いずれのフィルタリング部によっても抽出されないアラートが発生した場合は、これに対応するためフィルタ定義が更新される。また、フィルタ定義の更新は、予め用意されている複数のルールの中からアラートに適合するルールを選出し、選出されたルールを用いて行われる。つまり、フィルタ定義の更新は、一律ではなく、アラートの内容に応じて行われている。従って、運用管理装置1によれば、アラートに応じてフィルタ定義は動的に更新され、この結果、フィルタ定義の更新時の管理者の負担は軽減される。   In this way, in the operation management apparatus 1, when an alert that cannot be extracted by any filtering unit occurs, the filter definition is updated to cope with this. The filter definition is updated by selecting a rule that matches the alert from a plurality of rules prepared in advance and using the selected rule. In other words, the filter definition is not updated uniformly but according to the contents of the alert. Therefore, according to the operation management apparatus 1, the filter definition is dynamically updated according to the alert, and as a result, the burden on the administrator when the filter definition is updated is reduced.

次に、本実施の形態における運用管理装置1の構成について下記の表1〜表4を用いて更に具体的に説明する。本実施の形態では、図1に示すように、第1のフィルタリング部21と、第2のフィルタリング部22とは、カスケード状に接続され、アラートは、先ず、第1のフィルタリング部21に入力される。   Next, the configuration of the operation management apparatus 1 in the present embodiment will be described more specifically using the following Tables 1 to 4. In the present embodiment, as shown in FIG. 1, the first filtering unit 21 and the second filtering unit 22 are connected in cascade, and an alert is first input to the first filtering unit 21. The

本実施の形態では、第1のフィルタリング部21のフィルタ定義に合致しなかったアラートのみが、第2のフィルタリング部22に入力される。第2のフィルタリング部22は、第1のフィルタリング部21のフィルタ定義に合致しなかったアラートを対象として、フィルタリング処理を行う。   In the present embodiment, only alerts that do not match the filter definition of the first filtering unit 21 are input to the second filtering unit 22. The second filtering unit 22 performs a filtering process on an alert that does not match the filter definition of the first filtering unit 21.

また、本実施の形態では、第1のフィルタリング部21及び第2のフィルタリング部22は、アラートがそれぞれのフィルタ定義に合致した場合は、各フィルタ定義に従った動作を実行する。例えば、フィルタ定義に、アラートが合致した場合に、アラート処理装置11に通報を行う旨が記述されているとする。この場合、第1のフィルタリング部21及び第2のフィルタリング部22は、フィルタ定義に合致したアラートを、外部のアラート処理装置11に送信(通報)する。なお、アラート処理装置11は、コンピュータシステム10で発生したアラートに応じて、障害の復旧処理、ソフトウェアの更新等を行う装置である。   Moreover, in this Embodiment, the 1st filtering part 21 and the 2nd filtering part 22 perform the operation | movement according to each filter definition, when an alert corresponds to each filter definition. For example, it is assumed that a notification is sent to the alert processing device 11 when an alert matches the filter definition. In this case, the first filtering unit 21 and the second filtering unit 22 transmit (report) alerts that match the filter definition to the external alert processing device 11. The alert processing device 11 is a device that performs failure recovery processing, software update, and the like in accordance with an alert generated in the computer system 10.

また、本実施の形態では、フィルタ定義管理部43は、後述するように、新たなフィルタ定義の追加、及び使用済のフィルタ定義の削除を行う。更に、フィルタ定義管理部43は、第1のフィルタリング部21のフィルタ定義に対してのみ更新を行う。   In this embodiment, the filter definition management unit 43 adds a new filter definition and deletes a used filter definition, as will be described later. Furthermore, the filter definition management unit 43 updates only the filter definition of the first filtering unit 21.

更に、本実施の形態では、図1に示すように、運用管理装置1は、ファイルタリング処理部2及び処理部4に加えて、記憶部3と、分析部5とを備えている。更に、運用管理装置1において、処理部4は、アラート処理部41を備えている。   Further, in the present embodiment, as shown in FIG. 1, the operation management apparatus 1 includes a storage unit 3 and an analysis unit 5 in addition to the file tally processing unit 2 and the processing unit 4. Further, in the operation management apparatus 1, the processing unit 4 includes an alert processing unit 41.

アラート処理部41は、アラートが、第1のフィルタリング部21によって抽出されず、その後、第2のフィルタリング部22によっても抽出されなかった場合に、このアラートを取得し、これを記憶部3へと出力する。また、アラート処理部41は、アラートを記憶部3に出力する際に、そのことをルール適合判定部42に通知する。   The alert processing unit 41 acquires the alert when the alert is not extracted by the first filtering unit 21 and is not extracted by the second filtering unit 22, and sends the alert to the storage unit 3. Output. Further, when the alert processing unit 41 outputs an alert to the storage unit 3, the alert processing unit 41 notifies the rule conformity determination unit 42 of that fact.

記憶部3は、第1のフィルタ定義記憶部31と、第2のフィルタ定義記憶部32と、アラート蓄積部33と、ルール記憶部34とを備えている。このうち、第1のフィルタ定義記憶部31は、第1のフィルタリング部21が使用するフィルタ定義(以下「第1のフィルタ定義」)を記憶している。   The storage unit 3 includes a first filter definition storage unit 31, a second filter definition storage unit 32, an alert storage unit 33, and a rule storage unit 34. Among these, the first filter definition storage unit 31 stores a filter definition used by the first filtering unit 21 (hereinafter, “first filter definition”).

下記の表1は、第1のフィルタリング部21で使用されるフィルタ定義の一例を示している。表1に示すように、各第1のフィルタ定義は、抽出対象となるアラートのタイプ(種別)と、同アラートのメッセージと、当該フィルタ定義を削除するための条件(フィルタ定義の削除条件)とを含んでいる。本実施の形態では、後述するように、フィルタ定義管理部43は、フィルタ定義の削除条件に従い、使用が見込まれない、例えば、古いフィルタ定義、及び特殊なフィルタ定義等を削除する。これにより、フィルタリング処理部2における負荷の軽減が図られる。   Table 1 below shows an example of the filter definition used in the first filtering unit 21. As shown in Table 1, each first filter definition includes an alert type (type) to be extracted, a message of the alert, a condition for deleting the filter definition (filter definition deletion condition), and Is included. In this embodiment, as will be described later, the filter definition management unit 43 deletes, for example, an old filter definition and a special filter definition that are not expected to be used in accordance with the filter definition deletion condition. Thereby, the load in the filtering processing unit 2 is reduced.

Figure 2011107742
Figure 2011107742

第2のフィルタ定義記憶部32は、第2のフィルタリング部22が使用するフィルタ定義(以下「第2のフィルタ定義」)を記憶している。下記の表2は、第2のフィルタリング部22で使用されるフィルタ定義の一例を示している。表2に示すように、各第2のフィルタ定義も、表1に示した第1のフィルタ定義と同様に、抽出対象となるアラートのタイプ(種別)と、同アラートのメッセージとを含んでいる。但し、第2のフィルタ定義は、フィルタ定義の削除条件(表1参照)の代わりに、外部への通報の実行の有無を指示する識別子を含んでいる。   The second filter definition storage unit 32 stores a filter definition used by the second filtering unit 22 (hereinafter “second filter definition”). Table 2 below shows an example of the filter definition used in the second filtering unit 22. As shown in Table 2, each second filter definition also includes an alert type (classification) to be extracted and a message of the same alert as the first filter definition shown in Table 1. . However, the second filter definition includes an identifier instructing whether or not notification to the outside is executed, instead of the filter definition deletion condition (see Table 1).

Figure 2011107742
Figure 2011107742

また、表1に示された各第1のフィルタ定義は、後述する分析部5によって作成される
が、本実施の形態はこの態様に限定されるものではない。本実施の形態では、幾つかの第1のフィルタ定義は、管理者によって予め作成されていても良い。また、表2に示された第2のフィルタ定義は、管理者によって予め作成される。 Moreover, although each 1st filter definition shown by Table 1 is produced by the analysis part 5 mentioned later, this Embodiment is not limited to this aspect. In the present embodiment, some first filter definitions may be created in advance by an administrator. The second filter definition shown in Table 2 is created in advance by the administrator.

下記の表3は、本実施の形態においてコンピュータシステム10で発生したアラートの一例(アラート例1)を示している。表3では、各アラートは、「発生日時」、「タイプ(種別)」、及び「メッセージ」とで特定されている。   Table 3 below shows an example (alert example 1) of an alert generated in the computer system 10 in the present embodiment. In Table 3, each alert is specified by “occurrence date / time”, “type (class)”, and “message”.

Figure 2011107742
Figure 2011107742

また、記憶部3において、アラート蓄積部33は、アラート処理部41によってアラートが出力されると、この出力されたアラートを蓄積する。更に、ルール記憶部34は、ルール適合判定部42が利用するルールを記憶している。表4は、ルール適合判定部42が利用するルールの一例を示している。   In the storage unit 3, when an alert is output from the alert processing unit 41, the alert storage unit 33 stores the output alert. Further, the rule storage unit 34 stores rules used by the rule conformity determination unit 42. Table 4 shows an example of rules used by the rule conformity determination unit 42.

表4に示すように、ルールは、アラートに対する「条件文(適合条件)」と、適合した時に実行される「実行文(更新内容)」とを含んでいる。具体的には、表4の例では、「実行文」には、条件文に合致したときに追加される新たなフィルタ定義と、新たなフィルタ定義の有効期間とが含まれている。   As shown in Table 4, the rule includes a “condition statement (conformance condition)” for the alert and an “execution statement (update content)” executed when the rule is met. Specifically, in the example of Table 4, the “executed statement” includes a new filter definition that is added when the conditional statement is met, and a validity period of the new filter definition.

表4に示されたルールが用いられる場合、ルール適合判定部42は、アラート処理部41からの通知を受けると、アラートが「条件文」と一致するかどうかを判定する。アラートがルールの「条件文」と一致する場合は、ルール適合判定部42は、アラートが適合したルールをフィルタ定義管理部43に送信する。そして、フィルタ定義管理部43は、上述したように、適合したルールに基づいてフィルタ定義を更新する。   When the rules shown in Table 4 are used, the rule conformity determination unit 42 receives the notification from the alert processing unit 41 and determines whether the alert matches the “conditional sentence”. If the alert matches the “conditional sentence” of the rule, the rule conformity determination unit 42 transmits the rule that the alert conforms to the filter definition management unit 43. Then, as described above, the filter definition management unit 43 updates the filter definition based on the adapted rule.

例えば、適合したルールが表4に示されたルールであった場合は、フィルタ定義管理部43は、「実行文」に従って新たなフィルタ定義を作成し、これを第1のフィルタ定義記憶部31に記憶させる。また、フィルタ定義管理部43は、新たなフィルタ定義を追加した場合は、追加時からの時間を計測し、「実行文」に含まれる有効期間の経過時に、新たな定義の削除も実行する。   For example, if the matched rule is the rule shown in Table 4, the filter definition management unit 43 creates a new filter definition according to the “executed statement” and stores it in the first filter definition storage unit 31. Remember. In addition, when a new filter definition is added, the filter definition management unit 43 measures the time from the addition and deletes the new definition when the effective period included in the “executed statement” has elapsed.

Figure 2011107742
Figure 2011107742

分析部5は、蓄積アラート分析部51と、ルールチェック部52とを備えている。このうち、蓄積アラート分析部51は、アラート蓄積部33に蓄積されているアラートを分析する。具体的には、蓄積アラート分析部51は、アラートの発生頻度及び傾向を分析する。更に、蓄積アラート分析部51は、分析結果に基づいて、ルール適合判定部42で用いられるルールの候補(ルール候補)を作成する。なお、蓄積アラート分析部51による分析処理及びルール作成処理の具体例については、図5を用いて後述する。   The analysis unit 5 includes an accumulated alert analysis unit 51 and a rule check unit 52. Of these, the accumulated alert analysis unit 51 analyzes the alert accumulated in the alert accumulation unit 33. Specifically, the accumulated alert analysis unit 51 analyzes the occurrence frequency and tendency of alerts. Further, the accumulated alert analysis unit 51 creates a rule candidate (rule candidate) used by the rule conformity determination unit 42 based on the analysis result. A specific example of analysis processing and rule creation processing by the accumulated alert analysis unit 51 will be described later with reference to FIG.

ルールチェック部52は、ルールチェック部52は、作成されたルール候補に基づいて更新されるフィルタ定義(即ち、第1のフィルタリング部21のフィルタ定義)が、当該定義を用いない第2のフィルタリング部22の第2のフィルタ定義と一致するかどうかを判定する。そして、ルールチェック部52は、判定の結果、一致しないと判定した場合は、作成したルール候補を、新たなルールとして、ルール記憶部34に記憶させる。これにより、ルール適合判定部42は、ルールチェック部52によって作成されたルールを用いて、アラートとの照合を行うことになる。   The rule check unit 52 is a second filtering unit in which the rule check unit 52 uses a filter definition that is updated based on the created rule candidate (that is, the filter definition of the first filtering unit 21). It is determined whether or not it matches the 22nd second filter definition. If the rule check unit 52 determines that they do not match as a result of the determination, the rule check unit 52 stores the created rule candidate in the rule storage unit 34 as a new rule. Thereby, the rule conformity determination unit 42 uses the rule created by the rule check unit 52 to collate with the alert.

次に、本実施の形態における運用管理装置1の動作について、図2〜図5を用いて説明する。また、本実施の形態では、運用管理装置1を動作させることによって、運用管理方法が実施される。よって、本実施の形態における運用管理方法の説明は、以下の運用管理装置1の動作説明に代える。なお、以下の説明では、適宜図1を参酌する。   Next, operation | movement of the operation management apparatus 1 in this Embodiment is demonstrated using FIGS. In the present embodiment, the operation management method is performed by operating the operation management apparatus 1. Therefore, the description of the operation management method in the present embodiment is replaced with the following operation description of the operation management apparatus 1. In the following description, FIG. 1 is taken into consideration as appropriate.

先ず、図2を用いて運用管理装置1におけるフィルタリング処理からルール適合判定処理までについて説明する。図2は、本発明の実施の形態における運用管理装置によるフィルタリング処理からルール適合判定処理までを示すフロー図である。また、図2に示す処理の実行に際して、第1のフィルタ定義記憶部31が、表1に示したフィルタ定義を記憶し、第2のフィルタ定義記憶部32が、表2に示したフィルタ定義を記憶しているとする。また、ルール記憶部34が、表4に示したルールを記憶しているとする。   First, the filtering process to the rule conformity determination process in the operation management apparatus 1 will be described with reference to FIG. FIG. 2 is a flowchart showing from filtering processing to rule conformance determination processing by the operation management apparatus in the embodiment of the present invention. 2, the first filter definition storage unit 31 stores the filter definition shown in Table 1, and the second filter definition storage unit 32 stores the filter definition shown in Table 2. Suppose you remember. Further, it is assumed that the rule storage unit 34 stores the rules shown in Table 4.

図2に示すように、最初に、第1のフィルタリング部21が、コンピュータシステム10で発生したアラートを受信する(ステップA1)。続いて、第1のフィルタリング部21は、第1のフィルタ定義記憶部31にアクセスして、受信したアラートが第1のフィルタ定義に合致するかどうかを判定する(ステップA2)。   As shown in FIG. 2, first, the first filtering unit 21 receives an alert generated in the computer system 10 (step A1). Subsequently, the first filtering unit 21 accesses the first filter definition storage unit 31 and determines whether or not the received alert matches the first filter definition (step A2).

ステップA2の結果、受信したアラートが第1のフィルタ定義に合致しない場合、第1のフィルタリング部21は、アラートを第2のフィルタリング部22に送信する(ステップA3)。   If the received alert does not match the first filter definition as a result of step A2, the first filtering unit 21 transmits the alert to the second filtering unit 22 (step A3).

一方、ステップA2の結果、受信したアラートが第1のフィルタ定義に合致する場合は、第1のフィルタリング部21は、第1のフィルタ定義に従った動作を実行する(ステップA4)。例えば、ステップA4において、第1のフィルタリング部21は、アラートを外部のアラート処理装置11に送信(通報)することができる。ステップA4が実行されると、運用管理装置1における処理は終了する。   On the other hand, if the received alert matches the first filter definition as a result of step A2, the first filtering unit 21 performs an operation according to the first filter definition (step A4). For example, in Step A4, the first filtering unit 21 can transmit (report) the alert to the external alert processing device 11. When step A4 is executed, the process in the operation management apparatus 1 ends.

次に、第2のフィルタリング部22は、ステップA3で送信されたアラートが第2のフィルタ定義に合致するかどうかを判定する(ステップB1)。ステップB1の判定の結果、ステップA3で送信されたアラートが第2のフィルタ定義に合致しない場合は、第2のフィルタリング部22は、デフォルトの動作を実行する(ステップB2)。本実施の形態では、第2のフィルタリング部22は、デフォルトの動作として、アラートをアラート処理部41に送信する。   Next, the second filtering unit 22 determines whether or not the alert transmitted in step A3 matches the second filter definition (step B1). As a result of the determination in step B1, if the alert transmitted in step A3 does not match the second filter definition, the second filtering unit 22 executes a default operation (step B2). In the present embodiment, the second filtering unit 22 transmits an alert to the alert processing unit 41 as a default operation.

一方、ステップB1の判定の結果、ステップA3で入力されたアラートが第2のフィルタ定義に合致する場合は、第2のフィルタリング部22は、第2のフィルタ定義に従った動作を実行する(ステップB3)。例えば、ステップB3において、第2のフィルタリング部22は、アラートを外部のアラート処理装置11に送信(通報)する、又は送信(通報)しない。ステップB3が実行されると、運用管理装置1における処理は終了する。   On the other hand, as a result of the determination in step B1, if the alert input in step A3 matches the second filter definition, the second filtering unit 22 executes an operation according to the second filter definition (step B3). For example, in Step B3, the second filtering unit 22 transmits (reports) or does not transmit (reports) the alert to the external alert processing device 11. When step B3 is executed, the processing in the operation management apparatus 1 ends.

ここで、コンピュータシステム10において、タイプが「ログ監視」、メッセージが「warning 1」のアラート(表1参照)が発生し、第1のフィルタリング部21がこれを受信した場合(ステップA1)を想定する。この場合、アラートが第1のフィルタ定義に合致するため(ステップA2)、第1のフィルタリング部21は、第1のフィルタ定義に従い、アラートをアラート処理装置11に通報する(ステップA4)。   Here, it is assumed that an alert (see Table 1) of the type “log monitoring” and the message “warning 1” is generated in the computer system 10 and the first filtering unit 21 receives this alert (step A1). To do. In this case, since the alert matches the first filter definition (step A2), the first filtering unit 21 reports the alert to the alert processing device 11 according to the first filter definition (step A4).

また、コンピュータシステム10において、タイプが「プロセス監視」、メッセージが「info:testmsg」のアラートが発生し、第1のフィルタリング部21がこれを受信した場合(ステップA1)を想定する。この場合、アラートは、第1のフィルタ定義に合致しないため(ステップA2)、第2のフィルタリング部22に送信される(ステップA3)。一方、このアラートは、第2のフィルタ定義(表2参照)に合致するため(ステップB1)、第2のフィルタリング部22は、第2のフィルタ定義に従い、アラートをアラート処理装置11に通報しない(ステップB3)。   Further, it is assumed that an alert having a type of “process monitoring” and a message of “info: testmsg” is generated in the computer system 10, and the first filtering unit 21 receives this alert (step A1). In this case, since the alert does not match the first filter definition (step A2), the alert is transmitted to the second filtering unit 22 (step A3). On the other hand, since this alert matches the second filter definition (see Table 2) (step B1), the second filtering unit 22 does not report the alert to the alert processing device 11 according to the second filter definition ( Step B3).

更に、コンピュータシステム10において、タイプが「プロセス監視」、メッセージが「testmsg」のアラートが発生し、第1のフィルタリング部21がこれを受信した場合(ステップA1)を想定する。この場合、アラートは、第1のフィルタ定義に合致しないため(ステップA2)、第2のフィルタリング部22に送信される(ステップA3)。また、このアラートは、第2のフィルタ定義にも合致しないため(ステップB1)、第2のフィルタリング部22は、デフォルトの動作として、アラートのアラート処理部41への送信を実行する(ステップB2)。   Furthermore, it is assumed that an alert having a type of “process monitoring” and a message of “testmsg” is generated in the computer system 10 and is received by the first filtering unit 21 (step A1). In this case, since the alert does not match the first filter definition (step A2), the alert is transmitted to the second filtering unit 22 (step A3). Further, since this alert does not match the second filter definition (step B1), the second filtering unit 22 transmits the alert to the alert processing unit 41 as a default operation (step B2). .

次に、ステップB2が実行されると、アラート処理部41は、受信したアラートをアラート蓄積部33に送信し、このアラートをアラート蓄積部33に記憶させる(ステップC1)。また、ステップC1では、アラート処理部41は、アラートをアラート蓄積部33に出力する際に、そのことをルール適合判定部42に通知する。   Next, when step B2 is executed, the alert processing unit 41 transmits the received alert to the alert accumulating unit 33, and stores the alert in the alert accumulating unit 33 (step C1). In Step C1, the alert processing unit 41 notifies the rule conformity determining unit 42 when an alert is output to the alert accumulating unit 33.

次に、ルール適合判定部42は、ルール記憶部34にアクセスし、記憶されている複数のルール(表4参照)の中から一つのルールを取り出す(ステップD1)。続いて、ルール適合判定部42は、取り出したルールが、アラート蓄積部33に蓄積されているアラートに適合するかどうかを判定する(ステップD2)。   Next, the rule conformity determination unit 42 accesses the rule storage unit 34 and takes out one rule from a plurality of stored rules (see Table 4) (step D1). Subsequently, the rule conformity determination unit 42 determines whether or not the extracted rule conforms to the alert stored in the alert storage unit 33 (step D2).

ステップD2の判定の結果、取り出したルールがアラートに適合しない場合は、スール適合判定部42は、全てのルールについて適合判定が終了したかどうかを判定する(ステップD5)。ステップD5の判定の結果、全てのルールについて適合判定が終了していない場合は、ルール適合判定部42は、再度ステップD1を実行する。また、ステップD5の判定の結果、全てのルールについて適合判定が終了している場合は、運用管理装置における処理は終了する。   As a result of the determination in step D2, if the extracted rule does not match the alert, the suit matching determination unit 42 determines whether the matching determination has been completed for all the rules (step D5). As a result of the determination in step D5, when the conformity determination has not been completed for all the rules, the rule conformity determination unit 42 executes step D1 again. Further, as a result of the determination in step D5, when the conformity determination has been completed for all the rules, the processing in the operation management apparatus ends.

一方、ステップD2の判定の結果、取り出したルールがアラートに適合する場合は、ルール適合判定部42、この取り出したルールをフィルタ定義管理部43に通知する(ステップD3)。ステップD3の実行により、フィルタ定義管理部43による定義更新処理が実行される(ステップD4)。定義更新処理については、図3を用いて後述する。   On the other hand, as a result of the determination in step D2, if the extracted rule matches the alert, the rule conformity determination unit 42 notifies the filter definition management unit 43 of the extracted rule (step D3). By executing step D3, definition update processing by the filter definition management unit 43 is executed (step D4). The definition update process will be described later with reference to FIG.

次に、図3を用いて運用管理装置1における定義更新処理について説明する。図3は、本発明の実施の形態における運用管理装置による定義更新処理を示すフロー図である。なお、図3に示す処理の実行に際しても、第1のフィルタ定義記憶部31が、表1に示したフィルタ定義を記憶し、第2のフィルタ定義記憶部32が、表2に示したフィルタ定義を記憶しているとする。また、ルール記憶部34が、表4に示したルールを記憶しているとする。   Next, definition update processing in the operation management apparatus 1 will be described with reference to FIG. FIG. 3 is a flowchart showing definition update processing by the operation management apparatus according to the embodiment of the present invention. 3, the first filter definition storage unit 31 stores the filter definition shown in Table 1, and the second filter definition storage unit 32 stores the filter definition shown in Table 2. Is remembered. Further, it is assumed that the rule storage unit 34 stores the rules shown in Table 4.

図3に示すように、先ず、フィルタ定義管理部43は、先のステップD2において適合すると判定されたルールの「実行文」に従い、新たなフィルタ定義を作成し、これを第1のフィルタ定義記憶部31に記憶させる(ステップE1)。ステップE1により、第1のフィルタ定義記憶部31には、新たな第1のフィルタ定義が追加されることになる。   As shown in FIG. 3, first, the filter definition management unit 43 creates a new filter definition according to the “executed statement” of the rule determined to be suitable in the previous step D2, and stores this in the first filter definition storage. Store in the unit 31 (step E1). By step E1, a new first filter definition is added to the first filter definition storage unit 31.

次に、フィルタ定義管理部43は、ルールの「実行文」に規定されている有効期間が経過するまで、待機する(ステップE2)。フィルタ定義管理部43が待機している間、新たなフィルタ定義を用いてステップA2が実行される。よって、以前のステップA2及びB1でフィルタ定義に合致しないと判定されたアラートは、ステップE1の実行後においては、ステップA2においてフィルタ定義に合致すると判断される。   Next, the filter definition management unit 43 waits until the effective period specified in the “executed statement” of the rule elapses (step E2). While the filter definition management unit 43 is on standby, step A2 is executed using the new filter definition. Therefore, the alert determined to not match the filter definition in the previous steps A2 and B1 is determined to match the filter definition in step A2 after execution of step E1.

その後、フィルタ定義管理部43は、ルールの「実行文」に規定されている有効期間が経過すると、ステップE1で追加した第1のフィルタ定義を、第1のフィルタ定義記憶部31から削除する(ステップE3)。その後、運用管理装置1における処理は終了する。   Thereafter, the filter definition management unit 43 deletes the first filter definition added in step E1 from the first filter definition storage unit 31 when the effective period specified in the “executed statement” of the rule has elapsed ( Step E3). Thereafter, the processing in the operation management apparatus 1 ends.

ここで、表5〜表7に示すアラーとの一例を用いて、図2及び図3に示した処理について具体的に説明する。先ず、コンピュータシステム10において、下記の表5(アラート例2)に示すようにアラートラッシュが発生した場合を想定する。表5に示すアラートラッシュは、第1のフィルタ定義及び第2のフィルタ定義のいずれにも合致しないため、第2のフィルタリング部22は、このアラートをアラート処理部41に送信する(B2)。アラート処理部41は、受信したアラートをアラート蓄積部33に記憶させる(ステップC1)。   Here, the processing shown in FIG. 2 and FIG. 3 will be specifically described using an example of the alarms shown in Tables 5 to 7. First, it is assumed that alert rush occurs in the computer system 10 as shown in Table 5 below (alert example 2). Since the alert rush shown in Table 5 does not match either the first filter definition or the second filter definition, the second filtering unit 22 transmits this alert to the alert processing unit 41 (B2). The alert processing unit 41 stores the received alert in the alert storage unit 33 (step C1).

そして、ルール適合判定部42は、条件文「同一タイプ、且つ、同一メッセージのアラートが3件連続で発生している」のルール(表4参照)を取り出した場合に(ステップD1)、取り出したルールが表5に示すアラートに適合すると判定する(ステップD2)。
ルール適合判定部42は、表5に示すアラートを、フィルタ定義管理部43に送信する(ステップD3)。 Then, the rule conformity determination unit 42 retrieves the rule (see Table 4) of the conditional statement “3 alerts of the same type and the same message are generated continuously” (step D1). It is determined that the rule matches the alert shown in Table 5 (step D2).
The rule conformity determination unit 42 transmits the alert shown in Table 5 to the filter definition management unit 43 (step D3).

フィルタ定義管理部43は、ステップD1で取り出されたルールの「実行文」に従い、第1のフィルタ定義部記憶部31に、タイプが「ログ監視」、メッセージが「error
a」となったフィルタ定義を追加する(ステップE1)。これにより、ステップE1の実行から、ルールの「実行文」に規定されている有効期間が経過するまでの間、アラート(表5参照)は、第1のフィルタリング部21でヒットする。よって、第2のフィルタリング部22では、フィルタリング処理は実行されない。 In accordance with the “executed statement” of the rule extracted in step D1, the filter definition management unit 43 stores the type “log monitoring” and the message “error” in the first filter definition unit storage unit 31.
The filter definition that becomes “a” is added (step E1). As a result, the alert (see Table 5) hits in the first filtering unit 21 from the execution of step E1 until the validity period specified in the “executed statement” of the rule elapses. Therefore, the filtering process is not executed in the second filtering unit 22.

更に、フィルタ定義管理部43は、ルールの「実行文」に従い30秒間待機する(ステップE2)。そして、フィルタ定義管理部43は、有効期間(30秒間)の経過後、ステップE1で追加したフィルタ定義(タイプ「ログ監視」、メッセージ「error a」)を削除する(ステップE3)。   Further, the filter definition management unit 43 waits for 30 seconds in accordance with the “executed statement” of the rule (step E2). Then, after the validity period (30 seconds) has elapsed, the filter definition management unit 43 deletes the filter definition (type “log monitoring”, message “error a”) added in step E1 (step E3).

Figure 2011107742
Figure 2011107742

また、コンピュータシステム10において、下記の表6(アラート例3)に示すようにアラートラッシュが発生した場合を想定する。表6に示すアラートラッシュも、表5の場合と同様に、アラート蓄積部33に記憶される(ステップC1)。   Further, it is assumed that alert rush occurs in the computer system 10 as shown in Table 6 (alert example 3) below. The alert rush shown in Table 6 is also stored in the alert accumulating unit 33 as in the case of Table 5 (Step C1).

そして、ルール適合判定部42は、条件文「同一タイプ、且つ、同一メッセージのアラートが1秒間に5件発生している」のルール(表4参照)を取り出した場合に(ステップD1)、取り出したルールが表6に示すアラートに適合すると判定する(ステップD2)。ルール適合判定部42は、表6に示すアラートを、フィルタ定義管理部43に送信する(ステップD3)。   Then, the rule conformity determination unit 42 extracts the rule (see Table 4) of the conditional statement “5 alerts of the same type and the same message are generated per second” (step D1). It is determined that the rule matches the alert shown in Table 6 (step D2). The rule conformity determination unit 42 transmits the alert shown in Table 6 to the filter definition management unit 43 (step D3).

次に、この場合も、ルールの実行文に従って、第1のフィルタ定義が追加される(ステップE1)、有効期間の経過後(ステップE2)、追加された第1のフィルタ定義は削除される(ステップE3)。   Next, also in this case, the first filter definition is added according to the execution statement of the rule (step E1), and after the validity period has passed (step E2), the added first filter definition is deleted (step E2). Step E3).

Figure 2011107742
Figure 2011107742

更に、コンピュータシステム10において、下記の表7(アラート例4)に示すようにアラートラッシュが発生した場合を想定する。表7に示すアラートラッシュも、表5の場合と同様に、アラート蓄積部33に記憶される(ステップC1)。   Furthermore, it is assumed that alert rush occurs in the computer system 10 as shown in Table 7 (alert example 4) below. The alert rush shown in Table 7 is also stored in the alert accumulating unit 33 as in the case of Table 5 (Step C1).

そして、ルール適合判定部42は、条件文「タイプ「ログ監視」、且つ、メッセージ「error 数字」のアラートが3件連続で発生している。」のルール(表4参照)を取り出した場合に(ステップD1)、取り出したルールが表7に示すアラートに適合すると判定する(ステップD2)。ルール適合判定部42は、表7に示すアラートを、フィルタ定義管理部43に送信する(ステップD3)。   Then, the rule conformity determination unit 42 generates three consecutive alerts of the conditional statement “type“ log monitoring ”and the message“ error number ”. ”(See Table 4) (step D1), it is determined that the extracted rule matches the alert shown in Table 7 (step D2). The rule conformity determination unit 42 transmits the alert shown in Table 7 to the filter definition management unit 43 (step D3).

次に、この場合も、ルールの実行文に従って、第1のフィルタ定義が追加され(ステップE1)、有効期間の経過後(ステップE2)、追加された第1のフィルタ定義は削除される(ステップE3)。   Next, also in this case, according to the execution statement of the rule, the first filter definition is added (step E1), and after the validity period has passed (step E2), the added first filter definition is deleted (step E3).

Figure 2011107742
Figure 2011107742

次に、図4及び図5を用いて運用管理装置1におけるルール更新処理について説明する。先ず、図4を用いてルール更新処理の全体について説明する。図4は、本発明の実施の形態における運用管理装置によるルール更新処理を示すフロー図である。   Next, rule update processing in the operation management apparatus 1 will be described with reference to FIGS. 4 and 5. First, the entire rule update process will be described with reference to FIG. FIG. 4 is a flowchart showing rule update processing by the operation management apparatus according to the embodiment of the present invention.

先ず、図4に示すように、分析部5において、蓄積アラート分析部51が、アラートの発生頻度及び傾向を分析し、分析結果に基づいて、ルール適合判定部42で用いられるルールの候補(ルール候補)を作成する(ステップF1)。   First, as shown in FIG. 4, in the analysis unit 5, the accumulated alert analysis unit 51 analyzes the occurrence frequency and tendency of alerts, and based on the analysis result, the rule candidates (rules) used by the rule conformity determination unit 42. (Candidate) is created (step F1).

次に、蓄積アラート分析部51は、ステップF1で作成したルール候補が、既にルール記憶部34に記憶されていないかどうか判定する(ステップF2)。ステップF1での判定の結果、ルール候補が既にルール記憶部34に記憶されている場合は、分析部5における処理は終了する。一方、判定の結果、ルール候補が既にルール記憶部34に記憶されてない場合は、ルールチェック部52によってステップG1が実行される。   Next, the accumulated alert analysis unit 51 determines whether the rule candidate created in Step F1 is already stored in the rule storage unit 34 (Step F2). If the rule candidate is already stored in the rule storage unit 34 as a result of the determination in step F1, the processing in the analysis unit 5 ends. On the other hand, if the rule candidate is not already stored in the rule storage unit 34 as a result of the determination, step G1 is executed by the rule check unit 52.

ステップG1では、ルールチェック部52は、ステップF1で作成されたルール候補に基づいて追加される第1のフィルタ定義が、第2のフィルタリング部22が用いる第2のフィルタ定義と一致するかどうかを判定する。   In step G1, the rule check unit 52 determines whether or not the first filter definition added based on the rule candidate created in step F1 matches the second filter definition used by the second filtering unit 22. judge.

ステップG1での判定の結果、一致する場合は、分析部5における処理は終了する。一方、ステップG1での判定の結果、一致しない場合は、ルールチェック部52は、作成したルール候補を、新たなルールとして、ルール記憶部34に記憶させる(ステップG2)。これにより、ルール適合判定部42は、追加された新たなルールを用いて、アラートとの照合を実行する。ステップG2の終了後、分析部5における処理は終了する。   If the result of determination in step G1 is a match, the processing in the analysis unit 5 ends. On the other hand, if the result of determination in step G1 is that they do not match, the rule check unit 52 stores the created rule candidate in the rule storage unit 34 as a new rule (step G2). Thereby, the rule conformity determination part 42 performs collation with an alert using the added new rule. After step G2, the processing in the analysis unit 5 ends.

ここで、図5を用いて、図4に示したステップF1(分析処理及びルール作成処理)の具体例について説明する。図5は、図4に示されたルール更新処理に含まれる分析処理及びルール作成処理を具体的に示すフロー図である。また、以下の説明では、コンピュータシステム10において、表8に示すアラートが発生し、これがアラート蓄積部33に記憶されていることを想定して説明する。   Here, a specific example of step F1 (analysis processing and rule creation processing) shown in FIG. 4 will be described with reference to FIG. FIG. 5 is a flowchart specifically showing analysis processing and rule creation processing included in the rule update processing shown in FIG. Further, in the following description, it is assumed that the alert shown in Table 8 occurs in the computer system 10 and is stored in the alert storage unit 33.

Figure 2011107742
Figure 2011107742

図5に示すように、先ず、蓄積アラート分析部51は、アラート蓄積部33からアラートを取り出し、取り出したアラートをタイプ別に分類する(ステップI1)。表9は、タイプ別に分類されたアラートを示している。次に、蓄積アラート分析部51は、タイプ別に分類されたアラートを更に単語数に基づいて分類する(ステップI2)。表10は、単語数に基づいて分類されたアラートを示している。   As shown in FIG. 5, first, the accumulated alert analysis unit 51 extracts alerts from the alert accumulation unit 33 and classifies the extracted alerts by type (step I1). Table 9 shows alerts classified by type. Next, the accumulated alert analysis unit 51 further classifies the alerts classified by type based on the number of words (step I2). Table 10 shows alerts classified based on the number of words.

Figure 2011107742
Figure 2011107742

Figure 2011107742
Figure 2011107742

続いて、蓄積アラート分析部51は、メッセージの単語数が同一となるアラートの組み合わせ毎に、同一単語の個数と、同一単語が出現する確率(ヒット割合)とを算出する(ステップI3)。表11は、ステップI3による算出結果を示している。なお、表11では、単語数が2の場合の算出結果のみが示されている。   Subsequently, the accumulated alert analysis unit 51 calculates the number of the same words and the probability (hit ratio) that the same words appear for each combination of alerts having the same number of words in the message (step I3). Table 11 shows the calculation result of step I3. In Table 11, only the calculation result when the number of words is 2 is shown.

Figure 2011107742
Figure 2011107742

次に、蓄積アラート分析部51は、ヒット割合が上位の組み合わせを特定し、各組み合わせのメッセージにおいて、同一でない単語を「※」とし、得られたメッセージをルール候補とする(ステップI4)。表12は、作成されたルール候補を示している。また、ステップI4では、蓄積アラート分析部51は、ルール候補の形式を表4に準じた形式へと変換することもできる。   Next, the accumulated alert analysis unit 51 identifies combinations having higher hit ratios, sets a non-identical word as “*” in each combination message, and sets the obtained message as a rule candidate (step I4). Table 12 shows the created rule candidates. In step I4, the accumulated alert analyzing unit 51 can also convert the rule candidate format into a format conforming to Table 4.

ステップI4の終了後、図4に示したステップF2が実行される。なお、蓄積アラート分析部51による分析処理及びルール作成処理のアルゴリズムは、図4に示すアルゴリズムに限定されるものではない。本実施の形態では、他のアルゴリズムが用いられていても良い。   After completion of step I4, step F2 shown in FIG. 4 is executed. Note that the algorithm of analysis processing and rule creation processing by the accumulated alert analysis unit 51 is not limited to the algorithm shown in FIG. In this embodiment, other algorithms may be used.

Figure 2011107742
Figure 2011107742

また、本実施の形態におけるプログラムは、コンピュータに、ステップA1〜A4、B1〜B3、C1、D1〜D5、E1〜E3、F1〜F2、G1〜G2、I1〜I4(図2〜図5参照)を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における運用管理装置1と運用管理方法とを実現することができる。この場合、コンピュータのCPU(Central ProcessingUnit)は、フィルタリング処理部2、処理部4、及び分析部5として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置は、記憶部3として機能することができる。   In addition, the program in the present embodiment causes the computer to execute steps A1 to A4, B1 to B3, C1, D1 to D5, E1 to E3, F1 to F2, G1 to G2, I1 to I4 (see FIGS. 2 to 5). ) Can be used. By installing and executing this program on a computer, the operation management apparatus 1 and the operation management method in the present embodiment can be realized. In this case, the CPU (Central Processing Unit) of the computer functions as the filtering processing unit 2, the processing unit 4, and the analysis unit 5 to perform processing. A storage device such as a hard disk provided in the computer can function as the storage unit 3.

更に、本実施の形態では、運用管理装置1において、フィルタリング処理部2、記憶部3、処理部4、及び分析部5は、それぞれ別のコンピュータによって実現されていても良い。この場合、各コンピュータは、ネットワークによって接続され、一つの運用管理装置1として機能することとなる。   Furthermore, in the present embodiment, in the operation management apparatus 1, the filtering processing unit 2, the storage unit 3, the processing unit 4, and the analysis unit 5 may be realized by separate computers. In this case, each computer is connected by a network and functions as one operation management apparatus 1.

また、この場合、各コンピュータには、対応する処理を実行するプログラムがインストールされることになる。例えば、フィルタリング処理部2として機能するコンピュータには、ステップA1〜A4、及びステップB1〜B3を実行させるプログラムがインストールされる。また、処理部4として機能するコンピュータには、ステップC1、ステップD1〜D5、及びステップE1〜E3を実行させるプログラムがインストールされる。更に、分析部5として機能するコンピュータには、ステップG1〜G2、及びステップI1〜I4を実行させるプログラムがインストールされる。   In this case, a program for executing a corresponding process is installed in each computer. For example, a program that executes steps A1 to A4 and steps B1 to B3 is installed in the computer that functions as the filtering processing unit 2. In addition, a program that executes Step C1, Steps D1 to D5, and Steps E1 to E3 is installed in the computer that functions as the processing unit 4. Furthermore, a program that executes steps G1 to G2 and steps I1 to I4 is installed in the computer functioning as the analysis unit 5.

以上のように、本実施の形態では、第2のフィルタリング部22が動作する前に、第1のフィルタリング部21が動作する。このため、第2のフィルタリング部22でヒットしないアラートが大量に発生した場合、この大量のアラートは、第1のフィルタリング部21によってフィルタリングされるので、第2のフィルタリング部22のフィルタリング処理における負荷が高くなり過ぎないようにすることができる。   As described above, in the present embodiment, the first filtering unit 21 operates before the second filtering unit 22 operates. For this reason, when a large number of alerts that do not hit the second filtering unit 22 are generated, the large number of alerts are filtered by the first filtering unit 21, so that the load in the filtering process of the second filtering unit 22 is increased. You can avoid getting too expensive.

また、本実施の形態では、アラートの発生を契機として、ルール適合判定部42は、アラートが複数のルールのいずれに適合するかを判定し、適合するルールに応じて、動的に、第1のフィルタ定義を更新することがきる。このため、本実施の形態によれば、アラートラッシュのような、突発的な変化にも対応でき、管理者の負担が軽減される。   Further, in the present embodiment, triggered by the occurrence of an alert, the rule conformity determination unit 42 determines which of the plurality of rules the alert conforms to, and dynamically changes the first according to the conforming rule. You can update the filter definition. For this reason, according to this Embodiment, it can respond to sudden change like alert rush, and a manager's burden is eased.

更に、本実施の形態では、ルールに適合しないアラートが発生していた場合は、このアラートは蓄積され、分析の対象となる。つまり、分析部5によって、蓄積されているアラートの分析が行われ、これに対応する新たなルールが作成される。この結果、新たなルールに基づいて、フィルタ定義の追加が行われるので、ルールに適合しないアラートが発生しても、このアラートをフィルタリングによって抽出することが可能となる。また、アラートの分析及び新たなルールの作成は、運用管理装置1における余剰処理時間に行うことができ、運用管理装置1に余分な負荷がかかるのを抑制することができる。   Furthermore, in the present embodiment, when an alert that does not conform to the rules has occurred, the alert is accumulated and becomes an analysis target. That is, the analysis unit 5 analyzes the accumulated alert and creates a new rule corresponding thereto. As a result, the filter definition is added based on the new rule, so that even if an alert that does not match the rule occurs, this alert can be extracted by filtering. Further, the analysis of the alert and the creation of a new rule can be performed during the surplus processing time in the operation management apparatus 1, and an excessive load on the operation management apparatus 1 can be suppressed.

本発明によれば、コンピュータシステムの運用管理において、アラートに応じてフィルタ定義を動的に更新でき、更に、管理者の負担を軽減できる。よって、本発明は、コンピュータシステム、特には大規模なコンピュータシステムの運用及び管理に有用である。   According to the present invention, in the operation management of a computer system, a filter definition can be dynamically updated according to an alert, and the burden on the administrator can be reduced. Therefore, the present invention is useful for the operation and management of computer systems, particularly large-scale computer systems.

1 運用管理装置
2 フィルタリング処理部
3 記憶部
4 処理部
5 分析部
10 コンピュータシステム
11 アラート処理装置
21 第1のフィルタリング部
22 第2のフィルタリング部
31 第1のフィルタ定義記憶部
32 第2のフィルタ定義記憶部
33 アラート蓄積部
34 ルール記憶部
41 アラート処理部
42 ルール適合判定部
43 フィルタ定義管理部
51 蓄積アラート分析部
52 ルールチェック部 DESCRIPTION OF SYMBOLS 1 Operation management apparatus 2 Filtering processing part 3 Storage part 4 Processing part 5 Analysis part 10 Computer system 11 Alert processing apparatus 21 1st filtering part 22 2nd filtering part 31 1st filter definition memory | storage part 32 2nd filter definition Storage unit 33 Alert accumulation unit 34 Rule storage unit 41 Alert processing unit 42 Rule conformity determination unit 43 Filter definition management unit 51 Accumulated alert analysis unit 52 Rule check unit

Claims (15)

コンピュータシステムの運用管理を行うための運用管理装置であって、
前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出する、複数のフィルタリング部と、
前記複数のフィルタリング部のいずれによっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ルール適合判定部と、
いずれかの前記ルールが前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、前記複数のフィルタリング部のいずれかの前記定義を更新する、フィルタ定義管理部と、
を備えていることを特徴とする運用管理装置。 An operation management apparatus for performing operation management of a computer system,
A plurality of filtering units that extract alerts that meet a definition from alerts generated in the computer system;
The alert that has not been extracted by any of the plurality of filtering units is collated with two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. A rule conformity determination unit;
A filter definition management unit that updates the definition of any of the plurality of filtering units based on a rule determined to match when any of the rules is determined to match the alert that has not been extracted. When,
An operation management device comprising: 前記抽出されなかったアラートを分析し、分析結果に基づいて、前記ルール適合判定部で用いられる前記ルールを作成する、分析部を更に備えている、請求項1に記載の運用管理装置。   The operation management apparatus according to claim 1, further comprising an analysis unit that analyzes the alert that has not been extracted and creates the rule used by the rule conformity determination unit based on an analysis result. 前記複数のフィルタリング部が、カスケード状に接続されており、
前記フィルタ定義管理部が、最初に前記アラートの抽出を行うフィルタリング部の前記定義を更新する、請求項1または2に記載の運用管理装置。 The plurality of filtering units are connected in cascade,
The operation management apparatus according to claim 1, wherein the filter definition management unit updates the definition of a filtering unit that first extracts the alert. 前記ルールが、適合条件と、前記適合条件に合致したときに追加される新たな定義と、前記新たな定義の有効期間とを含み、
前記フィルタ定義管理部が、前記有効期間の経過時に、前記新たな定義を削除する、請求項1〜3のいずれかに記載の運用管理装置。 The rule includes a matching condition, a new definition added when the matching condition is met, and a validity period of the new definition;
The operation management apparatus according to claim 1, wherein the filter definition management unit deletes the new definition when the validity period elapses. 前記分析部が、作成した前記ルールに基づいて更新される定義が、当該定義を用いない前記フィルタリング部の定義と一致するかどうかを判定し、
前記ルール適合判定部が、前記分析部によって一致しないと判定された場合に、作成された前記ルールを用いて照合を行う、請求項2に記載の運用管理装置。 The analysis unit determines whether the definition updated based on the created rule matches the definition of the filtering unit that does not use the definition,
The operation management apparatus according to claim 2, wherein when the rule conformity determination unit determines that they do not match by the analysis unit, the operation management device performs verification using the created rule. コンピュータシステムの運用管理を行うための方法であって、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの前記フィルタリング処理における前記定義を更新する、ステップと、
を有していることを特徴とする運用管理方法。 A method for managing the operation of a computer system,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step,
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
An operation management method characterized by comprising: (d)いずれの前記フィルタリング処理によっても抽出されなかったアラートを分析し、分析結果に基づいて、前記(b)のステップで用いられる前記ルールを作成する、ステップを更に有している、請求項6に記載の運用管理方法。 The method further comprises the step of: (d) analyzing an alert that has not been extracted by any of the filtering processes, and creating the rule used in the step (b) based on the analysis result. 6. The operation management method according to 6. 前記(a)のステップにおいて、複数回の前記フィルタリング処理が、順に実行され、
前記(c)のステップにおいて、最初に実行されるフィルタリング処理における前記定義を更新する、請求項6または7に記載の運用管理方法。 In the step (a), the filtering process is executed a plurality of times in order,
The operation management method according to claim 6 or 7, wherein in the step (c), the definition in the filtering process executed first is updated. 前記ルールが、適合条件と、前記適合条件に合致したときに追加される新たな定義と、前記新たな定義の有効期間とを含む場合に、前記(c)のステップにおいて、前記有効期間の経過時に、前記新たな定義を削除する、請求項6〜8のいずれかに記載の運用管理方法。   When the rule includes a conforming condition, a new definition added when the conforming condition is met, and an effective period of the new definition, the elapse of the effective period in the step (c) The operation management method according to claim 6, wherein the new definition is sometimes deleted. (e)前記(d)のステップで作成された前記ルールに基づいて更新される定義が、当該定義を用いない前記フィルタリング処理の定義と一致するかどうかを判定する、ステップを、更に有し、
前記(e)のステップで一致しないと判定された場合に、前記(b)のステップにおいて、前記(d)のステップで作成された前記ルールを用いて照合を行う、請求項7に記載の運用管理方法。 (E) further comprising the step of determining whether the definition updated based on the rule created in step (d) matches the definition of the filtering process that does not use the definition;
The operation according to claim 7, wherein, when it is determined in step (e) that they do not match, in step (b), matching is performed using the rules created in step (d). Management method. コンピュータシステムの運用管理をコンピュータによって行うためのプログラムであって、
前記コンピュータに、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの前記フィルタリング処理における前記定義を更新する、ステップと、
を実行させる、ことを特徴とするプログラム。 A program for managing the operation of a computer system by a computer,
In the computer,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step,
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
A program characterized by having executed. (d)いずれの前記フィルタリング処理によっても抽出されなかったアラートを分析し、分析結果に基づいて、前記(b)のステップで用いられる前記ルールを作成する、ステップを、更に前記コンピュータに実行させる、請求項11に記載のプログラム。 (D) Analyzing an alert that has not been extracted by any of the filtering processes, and creating the rule used in the step (b) based on the analysis result, further causing the computer to execute a step. The program according to claim 11. 前記(a)のステップにおいて、複数回の前記フィルタリング処理が、順に実行され、
前記(c)のステップにおいて、最初に実行されるフィルタリング処理における前記定義を更新する、請求項11または12に記載のプログラム。 In the step (a), the filtering process is executed a plurality of times in order,
The program according to claim 11 or 12, wherein in the step (c), the definition in the filtering process executed first is updated. 前記ルールが、適合条件と、前記適合条件に合致したときに追加される新たな定義と、前記新たな定義の有効期間とを含む場合に、前記(c)のステップにおいて、前記有効期間の経過時に、前記新たな定義を削除する、請求項11〜13のいずれかに記載のプログラム。   When the rule includes a conforming condition, a new definition added when the conforming condition is met, and an effective period of the new definition, the elapse of the effective period in the step (c) 14. A program as claimed in any of claims 11 to 13, which sometimes deletes the new definition. (e)前記(d)のステップで作成された前記ルールに基づいて更新される定義が、当該定義を用いない前記フィルタリング処理の定義と一致するかどうかを判定する、ステップを、更に前記コンピュータに実行させ、
前記(e)のステップで一致しないと判定された場合に、前記(b)のステップにおいて、前記(d)のステップで作成された前記ルールを用いて照合を行う、請求項12に記載のプログラム。 (E) determining whether the definition updated based on the rule created in step (d) matches the definition of the filtering process that does not use the definition; Let it run
13. The program according to claim 12, wherein, when it is determined that they do not match in the step of (e), in the step of (b), matching is performed using the rules created in the step of (d). .
JP2009258798A 2009-11-12 2009-11-12 Operation management apparatus, operation management method, and program Expired - Fee Related JP5435225B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009258798A JP5435225B2 (en) 2009-11-12 2009-11-12 Operation management apparatus, operation management method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009258798A JP5435225B2 (en) 2009-11-12 2009-11-12 Operation management apparatus, operation management method, and program

Publications (2)

Publication Number Publication Date
JP2011107742A true JP2011107742A (en) 2011-06-02
JP5435225B2 JP5435225B2 (en) 2014-03-05

Family

ID=44231182

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009258798A Expired - Fee Related JP5435225B2 (en) 2009-11-12 2009-11-12 Operation management apparatus, operation management method, and program

Country Status (1)

Country Link
JP (1) JP5435225B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013171471A (en) * 2012-02-21 2013-09-02 Nippon Telegr & Teleph Corp <Ntt> Monitoring information analysis device and method
JP2014067354A (en) * 2012-09-27 2014-04-17 Hitachi Solutions Ltd Message conversion system
CN110297468A (en) * 2018-03-22 2019-10-01 费希尔-罗斯蒙特系统公司 System and method for managing alarm associated with the equipment of Process Control System

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008041041A (en) * 2006-08-10 2008-02-21 Hitachi Information Systems Ltd Log notification condition definition support device, log monitoring system, program, and log notification condition definition support method
JP2009064098A (en) * 2007-09-04 2009-03-26 Nec Corp Operation management system and analysis method to insufficient definition
JP2009217392A (en) * 2008-03-07 2009-09-24 Nec Corp Message monitoring system and optimization method for message filter
JP2009245154A (en) * 2008-03-31 2009-10-22 Internatl Business Mach Corp <Ibm> Computer system, method, and computer program for evaluating symptom

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008041041A (en) * 2006-08-10 2008-02-21 Hitachi Information Systems Ltd Log notification condition definition support device, log monitoring system, program, and log notification condition definition support method
JP2009064098A (en) * 2007-09-04 2009-03-26 Nec Corp Operation management system and analysis method to insufficient definition
JP2009217392A (en) * 2008-03-07 2009-09-24 Nec Corp Message monitoring system and optimization method for message filter
JP2009245154A (en) * 2008-03-31 2009-10-22 Internatl Business Mach Corp <Ibm> Computer system, method, and computer program for evaluating symptom

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013171471A (en) * 2012-02-21 2013-09-02 Nippon Telegr & Teleph Corp <Ntt> Monitoring information analysis device and method
JP2014067354A (en) * 2012-09-27 2014-04-17 Hitachi Solutions Ltd Message conversion system
CN110297468A (en) * 2018-03-22 2019-10-01 费希尔-罗斯蒙特系统公司 System and method for managing alarm associated with the equipment of Process Control System
JP2019179548A (en) * 2018-03-22 2019-10-17 フィッシャー−ローズマウント システムズ,インコーポレイテッド System and method for managing alert associated with device of process control system
JP7436148B2 (en) 2018-03-22 2024-02-21 フィッシャー-ローズマウント システムズ,インコーポレイテッド System and method for managing alerts associated with devices in a process control system

Also Published As

Publication number Publication date
JP5435225B2 (en) 2014-03-05

Similar Documents

Publication Publication Date Title
JP6643211B2 (en) Anomaly detection system and anomaly detection method
US8601319B2 (en) Method and apparatus for cause analysis involving configuration changes
US9612898B2 (en) Fault analysis apparatus, fault analysis method, and recording medium
US8543689B2 (en) Apparatus and method for analysing a computer infrastructure
US10747529B2 (en) Version management system and version management method
JP4506520B2 (en) Management server, message extraction method, and program
Tang et al. Optimizing system monitoring configurations for non-actionable alerts
JP5651381B2 (en) Failure cause determination rule verification device and program
US9280741B2 (en) Automated alerting rules recommendation and selection
EP3202091B1 (en) Operation of data network
JP5435225B2 (en) Operation management apparatus, operation management method, and program
JP5588295B2 (en) Information processing apparatus and failure recovery method
WO2013111317A1 (en) Information processing method, device and program
CN110855489B (en) Fault processing method and device and fault processing device
JPWO2019049521A1 (en) Risk assessment device, risk assessment system, risk assessment method, and risk assessment program
JP5417264B2 (en) Method of providing analysis information
JP5503177B2 (en) Fault information collection device
JP2009245154A (en) Computer system, method, and computer program for evaluating symptom
JP2014153736A (en) Fault symptom detection method, program and device
US20230336409A1 (en) Combination rules creation device, method and program
JP2015191327A (en) System monitoring device, system monitoring method, and program
CN114706893A (en) Fault detection method, device, equipment and storage medium
US20220398143A1 (en) Network monitoring apparatus, method, and program
JP6482742B1 (en) Risk assessment device, risk assessment system, risk assessment method, and risk assessment program
JP6504611B2 (en) Monitoring device, information monitoring system, control method of monitoring device, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121001

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131126

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees