JP2012069021A - Analysis program, analyzer and analysis method - Google Patents
Analysis program, analyzer and analysis method Download PDFInfo
- Publication number
- JP2012069021A JP2012069021A JP2010214659A JP2010214659A JP2012069021A JP 2012069021 A JP2012069021 A JP 2012069021A JP 2010214659 A JP2010214659 A JP 2010214659A JP 2010214659 A JP2010214659 A JP 2010214659A JP 2012069021 A JP2012069021 A JP 2012069021A
- Authority
- JP
- Japan
- Prior art keywords
- information
- request
- time difference
- pair
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明はネットワークを介して送受信されるデータを解析する解析プログラム、解析装置および解析方法に関する。 The present invention relates to an analysis program, an analysis apparatus, and an analysis method for analyzing data transmitted / received via a network.
従来、複数のコンピュータが階層的に処理を分担する情報処理システム(複数階層システムという)が利用されている。複数階層システムとして、例えばシステム利用のためのインタフェースを提供するWebサーバ、システム上の処理を実行するApp(Application)サーバおよびデータを管理するDB(Database)サーバを有する3階層システムが知られている。各サーバは、ユーザの利用する端末装置からの処理の実行要求に対して連携して処理を実行し、その実行要求に応答する。このように、各コンピュータに処理を分担させることで、システムの信頼性や応答性を向上できる。 Conventionally, an information processing system (referred to as a multi-tier system) in which a plurality of computers share processing hierarchically has been used. As a multi-tier system, for example, a three-tier system having a Web server that provides an interface for using the system, an App (Application) server that executes processing on the system, and a DB (Database) server that manages data is known. . Each server executes a process in cooperation with a process execution request from a terminal device used by the user, and responds to the execution request. In this way, the reliability and responsiveness of the system can be improved by having each computer share the processing.
ここで、情報処理システムでは安定稼働を目的とした運用管理が行われる。例えば、対象のコンピュータでプログラムの稼働/停止の履歴を取得し、当該コンピュータの障害発生を検出する方法がある。 Here, in the information processing system, operation management for stable operation is performed. For example, there is a method of acquiring a program operation / stop history in a target computer and detecting the occurrence of a failure in the computer.
また、多階層システムにおいて、サーバ間で送受信される実行要求および処理応答の組合せを取得し、取得した組合せから階層間を跨って実行されるトランザクションを組み立てることで、システムの稼働を監視する方法がある。 Also, in a multi-tier system, there is a method for monitoring the operation of a system by acquiring a combination of an execution request and a process response transmitted / received between servers and assembling a transaction to be executed across the hierarchies from the acquired combination. is there.
ところで、複数階層システムなどのコンピュータシステムではシステムで実行中の処理が強制的に中断される場合がある。例えば、Webサーバが端末装置から処理の中断指示を受け付けた場合や端末装置のブラウザが閉じられた場合などである。 By the way, in a computer system such as a multi-tier system, a process being executed in the system may be forcibly interrupted. For example, when the Web server receives a process interruption instruction from the terminal device or when the browser of the terminal device is closed.
しかしながら、従来の方法では、各サーバ間において実行要求と処理応答との組合せを抽出することを前提としており、処理が強制的に中断される場合を考慮していない。強制的に中断された処理が監視対象から外されていることは、監視に基づくシステムの稼働状況の解析精度劣化の原因となる。 However, the conventional method is based on the assumption that a combination of an execution request and a processing response is extracted between servers, and does not consider a case where the processing is forcibly interrupted. The fact that the processing that was forcibly interrupted is excluded from the monitoring target causes a deterioration in the analysis accuracy of the operating status of the system based on the monitoring.
1つの側面では、本発明はシステムの稼働状況の解析精度を向上させることができる解析プログラム、解析装置および解析方法を提供することを目的とする。 In one aspect, an object of the present invention is to provide an analysis program, an analysis apparatus, and an analysis method that can improve the analysis accuracy of the operating status of a system.
1つの案では、次の解析プログラムが提供される。この解析プログラムを実行するコンピュータは、複数の端末装置と情報処理装置との間で送受信される通信情報を取得して記憶手段に格納する。そして、取得した通信情報が処理の中断要求である場合、記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して記憶手段に格納する。更に、記憶手段に記憶された中断ペア情報を用いて情報処理装置による処理の実行状況を解析する。 In one scheme, the following analysis program is provided. A computer that executes the analysis program acquires communication information transmitted and received between the plurality of terminal devices and the information processing device, and stores the communication information in the storage unit. If the acquired communication information is a process interruption request, the communication information indicating the execution request of the process interrupted by the interruption request is extracted from the storage unit, and information indicating the combination of the interruption request and the execution request Is generated and stored in the storage means. Furthermore, the execution status of the processing by the information processing apparatus is analyzed using the interrupted pair information stored in the storage means.
また、1つの案では、上記解析プログラムを実行するコンピュータと同様の機能を有する解析装置が提供される。
また、1つの案では、上記解析プログラムを実行するコンピュータと同様の処理を行う解析方法が提供される。
In one proposal, an analysis device having the same function as a computer that executes the analysis program is provided.
In one proposal, an analysis method is provided that performs the same processing as a computer that executes the analysis program.
システムの稼働状況の解析精度が向上する。 The analysis accuracy of the system operation status is improved.
以下、本実施の形態を図面を参照して詳細に説明する。
[第1の実施の形態]
図1は、第1の実施の形態に係る解析装置を示す図である。解析装置1は、複数の情報処理装置が接続された情報処理システムにおいて、各情報処理装置の障害を検出する。当該情報処理システムには、情報処理装置2が含まれるとする。情報処理装置2は、端末装置3、4とネットワークを介して接続されている。
Hereinafter, the present embodiment will be described in detail with reference to the drawings.
[First Embodiment]
FIG. 1 is a diagram illustrating an analysis apparatus according to the first embodiment. The
解析装置1は、記憶手段1a、受信手段1b、抽出手段1cおよび解析手段1dを有する。
記憶手段1aは、情報処理システムにおける各情報処理装置間で送受信された通信情報(メッセージ)の履歴である通信履歴5を記憶する。通信履歴5には情報処理装置2と端末装置3との間で送受信された実行要求5a、処理応答5bが含まれる。また、通信履歴5には情報処理装置2と端末装置4との間で送受信された実行要求5cおよび中断要求5dが含まれる。
The
The
実行要求5aは、端末装置3が情報処理装置2に送信した実行要求である。処理応答5bは、情報処理装置2が実行要求5aに応じた処理を実行した後、端末装置3に送信した処理応答である。実行要求5cは、端末装置4が情報処理装置2に送信した実行要求である。中断要求5dは、端末装置4が情報処理装置2に送信した、処理の中断要求である。
The
ここで、通信履歴5には各メッセージにつき当該メッセージが関わる一連の処理を示す識別情報や各メッセージを取得した日時を示す情報が含まれる。
また、記憶手段1aは、抽出手段1cが抽出した中断ペア情報6,6a,・・・を記憶する。ここで、中断ペア情報とは、端末装置3が情報処理装置2に送信した実行要求と、それに対応する中断要求との組合せを示す情報である。
Here, the
Moreover, the memory | storage means 1a memorize | stores the
受信手段1bは、メッセージを受信し、記憶手段1aに記憶された通信履歴5にメッセージ内容を記録する。また、受信手段1bは、受信したメッセージが中断要求である場合、その旨を抽出手段1cに通知する。
The receiving
抽出手段1cは、取得した通信情報が処理の中断要求である場合、記憶手段1aから中断要求により中断される処理の実行要求を示す通信情報を抽出する。例えば、抽出手段1cは、受信手段1bから中断要求5dを受信した旨の通知があると、記憶手段1aに記憶された通信履歴5を参照して、次の要件を満たす実行要求5cの情報を抽出する。
When the acquired communication information is a process interruption request, the extraction unit 1c extracts communication information indicating a process execution request interrupted by the interruption request from the
(1)中断要求5dよりも前に、中断要求5dを送信した端末装置4が情報処理装置2に送信した実行要求である。
(2)その実行要求に対して情報処理装置2から端末装置4に処理応答が送信されていない。
(1) An execution request transmitted to the
(2) A processing response is not transmitted from the
そして、抽出手段1cは、実行要求5cの情報と中断要求5dの情報との組合せである中断ペア情報6を記憶手段1aに格納する。
解析手段1dは、記憶手段1aに記憶された中断ペア情報6,6a,・・・を用いて情報処理装置2による処理の実行状況を解析する。
Then, the extracting unit 1c stores in the
The
解析装置1によれば、端末装置3,4と情報処理装置2との間で送受信される通信情報が取得されて記憶手段1aに格納される。そして、取得された通信情報が中断要求5dである場合、記憶手段1aから中断要求5dにより中断される処理の実行要求5cを示す通信情報が抽出され、中断要求5dと実行要求5cとの組合せを示す中断ペア情報6が生成されて記憶手段1aに格納される。更に、記憶手段1aに記憶された中断ペア情報6,6a,・・・を用いて情報処理装置2による処理の実行状況が解析される。
According to the
このように、解析装置1は、実行要求5cと中断要求5dとの組合せを中断ペア情報6として記憶手段1aに記録する。このため、当該中断ペア情報6,6a,・・・を利用した情報処理システムの稼働監視が可能となる。
Thus, the
例えば、解析手段1dは、通信履歴5から実行要求と処理応答との組合せを示す情報(正常ペア情報7,7a,・・・)も記憶手段1aに格納しておき、これと中断ペア情報6,6a,・・・とを比較できる。ここで、正常ペア情報7は、例えば実行要求5aと処理応答5bとの組合せである。このような組合せは、端末装置3,4と情報処理装置2との間でなされた各実行要求と各処理応答との時間の包含関係により取得できる。
For example, the
解析手段1dは、中断ペア情報6,6a,・・・と正常ペア情報7,7a,・・・とを用いて、各ペア情報に含まれるメッセージを取得した時間差の分布を比較することができる。例えば、中断ペア情報6に含まれる実行要求5cと中断要求5dとの時間差Taを取得する。他の中断ペア情報についても同様に時間差を取得して、中断系の時間差の頻度分布を算出する。一方、正常ペア情報7についても実行要求5aと処理応答5bとの時間差Tbを取得する。他の正常ペア情報についても同様に時間差を取得して、正常系の時間差の頻度分布を算出する。そして、例えば中断系の時間差分布と、正常系の時間差分布とを比較して、中断系の時間差分布が何れの時間差範囲に現れているかを監視する。これにより、情報処理装置2で発生した異常を検出できる。
The analysis means 1d can compare distributions of time differences obtained from messages included in each pair information by using the interrupted
このような解析により異常検出が行えるのは、情報処理装置2の応答が遅延している場合に、端末装置3,4から中断要求の送信が行われることが多いためである。例えば、端末装置3,4を利用するユーザは、情報処理装置2が提供する画面内容を所定時間内に閲覧できない場合、端末装置3,4に中断要求を送信させることができる。
Abnormality detection can be performed by such analysis because interruption requests are often transmitted from the
また、解析装置1は中断ペア情報6,6a,・・・を情報処理システムに含まれる情報処理装置ごとに取得することができる。そして、情報処理装置ごとに取得した中断ペア情報に含まれるメッセージ間の時間差や中断ペア情報の発生頻度などを比較することで、各情報処理装置の異常検出を行うことができる。
Moreover, the
このように、解析装置1では、従来看過されていた各情報処理装置における処理中断の事象を稼働監視の対象に含める。これにより、情報処理システムの各情報処理装置の稼働状況の解析精度を向上できる。その結果、より正確な異常検知が可能となる。
As described above, the
以下の実施の形態では、Web3階層システムに解析装置1を適用する場合を例に採り、更に具体的に説明する。
[第2の実施の形態]
以下、第2の実施の形態を図面を参照して詳細に説明する。
In the following embodiment, a case where the
[Second Embodiment]
Hereinafter, a second embodiment will be described in detail with reference to the drawings.
図2は、第2の実施の形態の情報処理システムの全体構成を示す図である。この情報処理システムは、負荷分散装置10、スイッチ装置10a、端末装置21,22,23、解析装置100、Webサーバ200,300,400、APサーバ500,600およびDBサーバ700を有する。負荷分散装置10、解析装置100、Webサーバ200,300,400、APサーバ500,600およびDBサーバ700は、スイッチ装置10aを介して相互に接続されている。また、負荷分散装置10は、ネットワーク20を介して端末装置21,22,23に接続されている。
FIG. 2 is a diagram illustrating an overall configuration of an information processing system according to the second embodiment. The information processing system includes a
負荷分散装置10は、Webサーバ200,300,400が提供するサービスのURL(Uniform Resource Locator)を端末装置21,22,23に提供する。負荷分散装置10は、このURLとWebサーバ200,300,400とを関連付ける。負荷分散装置10は、このURLに対するアクセスをWebサーバ200,300,400の各負荷が分散するように振り分ける。負荷分散の方法としては、例えばラウンドロビン、最小保有セッション数および最小処理時間等に応じた方法を適用できる。
The
スイッチ装置10aは、負荷分散装置10、解析装置100、Webサーバ200,300,400、APサーバ500,600およびDBサーバ700の間の通信を中継する。
The
ネットワーク20は、イントラネットやインターネットの通信網である。
端末装置21,22,23は、ネットワーク20および負荷分散装置10を介してWebサーバ200,300,400にアクセス可能である。端末装置21,22,23のユーザは、Webサーバ200,300,400が提供するGUI(Graphical User Interface)を端末装置21,22,23上のブラウザから操作できる。これにより、ユーザは情報処理システムが提供するサービスを利用できる。
The
The
ここで、端末装置21,22,23とWebサーバ200,300,400との間のメッセージ送受信は、HTTP(HyperText Transfer Protocol)によって行われるものとする。ただし、他のプロトコルが用いられてもよい。また、以下では、端末装置21,22,23がWebサーバ200,300,400へ送信する実行要求のメッセージを単にリクエストと称する。また、Webサーバ200,300,400が当該リクエストに対して端末装置21,22,23へ送信する処理応答のメッセージを単にレスポンスと称する。
Here, it is assumed that message transmission / reception between the
解析装置100は、Webサーバ200,300,400の異常を検出する。解析装置100は、そのための情報を負荷分散装置10から取得する。具体的には、スイッチ装置10aは、ポートミラーリング機能を有しており、負荷分散装置10とWebサーバ200,300,400との間で送受信されるパケットを解析装置100にも送信する。解析装置100は、スイッチ装置10aから送信されるパケットを受信して、記憶する。当該パケットで示される情報は、端末装置21,22,23がWebサーバ200,300,400に送信するリクエストおよびWebサーバ200,300,400が端末装置21,22,23に送信するレスポンスを含む。また、当該パケットで示される情報は、端末装置21,22,23がWebサーバ200,300,400に送信するRST(Reset)パケットを含む。
The
ここで、RSTパケットは、端末装置21,22,23がWebサーバ200,300,400とのセッションを切断するために送信するパケットである。具体的には、RSTパケットはTCP(Transmission Control Protocol)ヘッダのRSTフラグがオンに設定されたパケットである。RSTパケットの送出によって、端末装置21,22,23とWebサーバ200,300,400との間のセッションは切断され、当該セッションを介して確立されたトランザクションも強制中断される。
Here, the RST packet is a packet that the
解析装置100は、端末装置21,22,23がWebサーバ200,300,400に送信したRSTパケットをメッセージの1つとして異常検出に用いる。具体的には、リクエストからRSTパケットが送信されるまでの時間に基づいて異常検出を行う。
The
このようにして異常検出が行えるのは、Webサーバ200,300,400の応答が遅延している場合に端末装置21,22,23からRSTパケットの送信が行われることが多いためである。
Abnormality detection can be performed in this way because the
例えば、ユーザは、端末装置21,22,23のブラウザ上でシステムの応答画面の表示が遅延する場合、ブラウザに設けられた所定のボタン(例えば、中止や再読み込み)などを操作して、ブラウザにRSTパケットを送信させることが多い。あるいは、ブラウザの表示が遅延したことでユーザがブラウザを終了させ、RSTパケットが送信される場合もある。このため、リクエストからRSTパケットまでの時間を解析することで、各Webサーバの処理遅延に関する指標を得ることが可能となる。
For example, when the display of the system response screen is delayed on the browsers of the
以下の説明では、このようにRSTパケットを解析して異常検出を行う解析装置100の機能を更に詳細に説明する。
ここで、以下の説明では各Webサーバという場合、Webサーバ200,300,400を示すものとする。また、各端末装置という場合、端末装置21,22,23を示すものとする。
In the following description, the function of the
Here, in the following description, each Web server indicates the
図3は、第2の実施の形態の解析装置のハードウェア構成を示す図である。解析装置100は、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HDD(Hard Disk Drive)104、グラフィック処理装置105、入力インタフェース106、記録媒体読取装置107および通信インタフェース108を有する。
FIG. 3 is a diagram illustrating a hardware configuration of the analysis apparatus according to the second embodiment. The
CPU101は、解析装置100全体を制御する。
ROM102は、解析装置100上のBIOS(Basic Input / Output System)のプログラムなどを記憶する。
The
The
RAM103は、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションのプログラムの少なくとも一部を一時的に記憶する。また、RAM103は、CPU101による処理に必要な各種データを記憶する。
The
HDD104は、OSのプログラム、アプリケーションのプログラムを記憶する。また、HDD104はCPU101による処理に必要な各種データを記憶する。なお、HDD104に代えて(または、HDD104と併せて)、SSD(Solid State Drive)など他の種類の記憶装置を用いてもよい。
The
グラフィック処理装置105は、モニタ11と接続される。グラフィック処理装置105は、CPU101からの命令に従って画像をモニタ11の画面に表示させる。
入力インタフェース106は、キーボード12とマウス13と接続される。入力インタフェース106は、キーボード12やマウス13から送られてくる信号をCPU101に送信する。
The
The
記録媒体読取装置107は、記録媒体14に記憶されたデータを読み取る読取装置である。例えば、解析装置100が有すべき機能は、その機能の処理内容を記述したプログラムをコンピュータに実行させることで実現できる。そのようなプログラムは、コンピュータ読み取り可能な記録媒体14に記録して配布することができる。また、スイッチ装置10aに接続されたプログラム配信サーバ(図示せず)にそのプログラムを格納してもよい。この場合、解析装置100は、プログラム配信サーバからプログラムをダウンロードすることができる。
The recording
記録媒体14としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリを使用できる。磁気記録装置には、HDD、フレキシブルディスク(FD:Flexible Disk)、磁気テープなどがある。光ディスクには、CD(Compact Disc)、CD−R(Recordable)/RW(ReWritable)、DVD(Digital Versatile Disc)、DVD−R/RW/RAMなどがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。半導体メモリには、USB(Universal Serial Bus)メモリなどのフラッシュメモリがある。
As the
通信インタフェース108は、TP(Twisted Pair)ケーブルや光ケーブル等によってスイッチ装置10aと接続される。通信インタフェース108は、スイッチ装置10aを介して他の情報処理装置とデータ通信する。また、通信インタフェース108は、各端末装置と各Webサーバとの間で送受信されるパケットをスイッチ装置10aから受信する。
The
なお、各端末装置、Webサーバ200,300,400、APサーバ500,600およびDBサーバ700も解析装置100と同様のハードウェア構成により実現できる。
図4は、第2の実施の形態の解析装置の機能構成を示す図である。解析装置100は、パケット記憶部110、メッセージログ記憶部120、正常ペア情報記憶部130、中断ペア情報記憶部140、制御情報記憶部150、パケット受信部160、メッセージ復元部170、ペア抽出部180、解析部190および報知部195を有する。これらの機能は、所定のプログラムをCPU101が実行することで実現される。なお、これらの機能の少なくとも一部または全部を専用のハードウェアにより実現してもよい。
Each terminal device,
FIG. 4 is a diagram illustrating a functional configuration of the analysis apparatus according to the second embodiment. The
パケット記憶部110は、パケット受信部160が受信したパケット情報を記憶する。
メッセージログ記憶部120は、メッセージ復元部170が生成したメッセージログを記憶する。ここで、メッセージログとは、パケット情報に基づいて生成されるものであり、各端末装置と各Webサーバとの間の通信履歴を表すものである。
The
The message
正常ペア情報記憶部130は、ペア抽出部180が生成した正常ペアに関する情報を記憶する。ここで、正常ペアとはメッセージログ記憶部120に記憶されたメッセージログに含まれる各メッセージのうち、各Webサーバで正常に終了したと考えられる処理に対応するメッセージの組である。正常ペアには、各端末装置が送信したリクエストと、当該リクエストに応じて各Webサーバが送信したレスポンスと、が含まれる。1つの正常終了処理につき1つの正常ペアが対応する。
The normal pair
中断ペア情報記憶部140は、ペア抽出部180が生成した中断ペアに関する情報を記憶する。ここで、中断ペアとはメッセージログ記憶部120に記憶されたメッセージログに含まれる各メッセージのうち、各Webサーバにおいてセッション切断により途中で中断されたと考えられる処理に対応するメッセージの組である。中断ペアには、各端末装置が送信したリクエストと、各端末装置が送信したRSTパケットと、が含まれる。1つの中断処理につき1つの中断ペアが対応する。
The interrupted pair
制御情報記憶部150は、解析部190が解析処理に用いる制御情報を記憶する。
パケット受信部160は、負荷分散装置10を介して送受信されるパケットを負荷分散装置10から受信する。パケット受信部160は、受信したパケットをパケット情報としてパケット記憶部110に格納する。パケット受信部160は、例えば情報処理システムが稼働している間、パケットを取得し続ける。
The control
The
メッセージ復元部170は、パケット記憶部110に記憶されたパケット情報に基づいて、パケット情報に含まれるメッセージを復元する。そして、メッセージ復元部170は、復元したメッセージによりメッセージログを生成し、メッセージログ記憶部120に格納する。
The
ペア抽出部180は、メッセージログ記憶部120に記憶されたメッセージログを参照して正常ペアを抽出し、当該正常ペアを示す情報を正常ペア情報記憶部130に格納する。更に、ペア抽出部180は、正常ペアを示す情報を参照して正常ペアに含まれる各メッセージの時間差を算出する。ペア抽出部180は、当該時間差の算出結果に基づいて各正常ペアと時間差とを対応付けた正常系時間差情報を生成し、正常ペア情報記憶部130に格納する。
The
また、ペア抽出部180は、メッセージログを参照して中断ペアを抽出し、当該中断ペアを示す情報を中断ペア情報記憶部140に格納する。更に、ペア抽出部180は、中断ペアを示す情報を参照して中断ペアに含まれる各メッセージの時間差を算出する。ペア抽出部180は、当該時間差の算出結果に基づいて各中断ペアと時間差とを対応付けた中断系時間差情報を生成し、中断ペア情報記憶部140に格納する。
Also, the
解析部190は、正常ペア情報記憶部130に記憶された正常系時間差情報に基づいて、正常系時間差分布を算出する。解析部190は、中断ペア情報記憶部140に記憶された中断系時間差情報に基づいて、中断系時間差分布を算出する。解析部190は、正常系時間差分布と中断系時間差分布とを比較して、各Webサーバの異常を検出する。比較に用いる基準の情報は、制御情報記憶部150に予め記憶される。解析部190は、制御情報記憶部150に記憶された基準に基づいて、正常系時間差分布と中断系時間差分布との比較を行い、基準に適合するか否かによって異常の有無を検出できる。
The
解析部190は、異常を検出した場合、該当するWebサーバを示す情報を報知部195に出力する。
報知部195は、解析部190から取得したWebサーバにつき異常が発生している旨を報知する。報知部195は、例えば情報処理システムの管理者に電子メールを送信する、運用管理用ログに当該異常を記録する、アラームランプやスピーカを鳴動させる、などの方法により、異常を報知する。
When the
The
次に、メッセージの時間差について説明する。なお、以下の説明では端末装置21とWebサーバ200との間で送受信されるメッセージに関して説明するが、他の端末装置と他のWebサーバとの間で送受信されるメッセージに関しても同様である。
Next, the time difference between messages will be described. In the following description, a message transmitted / received between the
図5は、メッセージの時間差を示す図である。図5(A)は正常系時間差T1を例示している。図5(B)は中断系時間差T2を例示している。図5(C)は正常系、中断系の何れにも該当しない場合を例示している。 FIG. 5 is a diagram illustrating a time difference between messages. FIG. 5A illustrates the normal system time difference T1. FIG. 5B illustrates an interruption system time difference T2. FIG. 5C illustrates a case where neither the normal system nor the interrupted system is applicable.
図5(A)では、リクエストメッセージR11およびレスポンスメッセージR12が示されている。リクエストメッセージR11は、端末装置21がWebサーバ200へ送信するリクエストである。リクエストメッセージR11は複数のリクエストパケットにより構成される。レスポンスメッセージR12は、Webサーバ200がリクエストメッセージR11に対して端末装置21に応答するレスポンスである。レスポンスメッセージR12は複数のレスポンスパケットにより構成される。
In FIG. 5A, a request message R11 and a response message R12 are shown. The request message R11 is a request that the
ここで、正常系時間差T1は、リクエストメッセージR11とレスポンスメッセージR12との時間差である。具体的には、リクエストメッセージR11を構成する最後のパケットを取得した時刻とレスポンスメッセージR12を構成する最初のパケットを取得した時刻との差である。解析装置100は、リクエストメッセージR11に対応するレスポンスメッセージR12が存在する場合、両メッセージR11,R12の時間差により当該正常ペアに対する正常系時間差T1を算出する。正常系時間差T1は、リクエストメッセージR11によりWebサーバ200で実行された処理の開始から完了までの実行時間に対応付けることができる。
Here, the normal system time difference T1 is a time difference between the request message R11 and the response message R12. Specifically, it is the difference between the time when the last packet constituting the request message R11 is obtained and the time when the first packet constituting the response message R12 is obtained. When there is a response message R12 corresponding to the request message R11, the
図5(B)では、リクエストメッセージR21およびRSTパケットP1が示されている。リクエストメッセージR21はリクエストメッセージR11に対応する。RSTパケットP1は、端末装置21がWebサーバ200へ送信するセッション切断用のパケットである。端末装置21がRSTパケットP1を送信すると、端末装置21とWebサーバ200との間のセッションが強制的に切断される。これにより、Webサーバ200において当該セッションを介して確立されていたトランザクションが中断される。
FIG. 5B shows a request message R21 and an RST packet P1. The request message R21 corresponds to the request message R11. The RST packet P1 is a session disconnection packet that the
ここで、中断系時間差T2は、リクエストメッセージR21とRSTパケットP1との時間差である。具体的には、中断系時間差T2は、リクエストメッセージR21を構成する最後のパケットを取得した時刻とRSTパケットP1を取得した時刻との差である。解析装置100は、リクエストメッセージR21に対応するレスポンスメッセージが存在せず、RSTパケットP1が存在する場合、両メッセージR21,P1の時間差により当該中断ペアに対する中断系時間差T2を算出する。なお、上述の理由から、中断系時間差T2は、リクエストメッセージR21によりWebサーバ200で実行中であった処理の開始から中断までの実行時間に対応付けることができる。
Here, the interruption time difference T2 is a time difference between the request message R21 and the RST packet P1. Specifically, the interruption system time difference T2 is a difference between the time when the last packet constituting the request message R21 is acquired and the time when the RST packet P1 is acquired. When the response message corresponding to the request message R21 does not exist and the RST packet P1 exists, the
図5(C)では、リクエストメッセージR31、レスポンスメッセージR32およびRSTパケットP2が示されている。リクエストメッセージR31はリクエストメッセージR11に対応する。レスポンスメッセージR32は、Webサーバ200がリクエストメッセージR31に対して端末装置21に応答するレスポンスの一部である。RSTパケットP2は、レスポンスメッセージR32の送信中に端末装置21がWebサーバ200へ送信するセッション切断用のパケットである。
FIG. 5C shows a request message R31, a response message R32, and an RST packet P2. The request message R31 corresponds to the request message R11. The response message R32 is a part of a response that the
このように、Webサーバ200は、レスポンスメッセージR32の送信中に端末装置21からRSTパケットP2を受信することもある。この場合、解析装置100はレスポンスメッセージR32を取得できないため、解析処理の対象外とする。なぜなら、解析装置100はレスポンスメッセージR32を組み立てるためのパケットを完全に取得できず、当該メッセージにつきメッセージの復元を行うことはできないからである。従って、この場合には、レスポンスメッセージR32およびRSTパケットP2に関しては、メッセージの復元を行わないこととする。このように不完全な情報を解析対象から除外することで、異常を誤検出する可能性を低減でき、稼働監視の精度を一層向上できる。
Thus, the
次に、解析装置100の処理に用いるデータ構造例を説明する。
図6は、パケットのデータ構造例を示す図である。パケット保存ファイル111は、パケット受信部160により収集されたパケットを格納したファイルである。パケット保存ファイル111には、パケット受信部160がパケットを受信するたびに新たに受信したパケットの情報が追加される。パケット保存ファイル111は、例えばバイナリ形式のファイルである。
Next, an example of a data structure used for processing of the
FIG. 6 is a diagram illustrating an example of a data structure of a packet. The
パケット保存ファイル111は、受信日時格納部111aおよびパケットデータ格納部111bを有する。
受信日時格納部111aは、パケットデータ格納部111bに格納するパケットを受信した日時を設定する領域である。パケット受信部160は、当該パケットを受信したときのタイムスタンプ(例えば、年月日時分秒を示す情報)を受信日時格納部111aに格納する。
The
The reception date and
パケットデータ格納部111bは、パケット受信部160が受信したパケットの本体を格納する領域である。
メッセージ復元部170は、パケット記憶部110に記憶されたパケット保存ファイル111に基づいて、各Webサーバで送受信されたメッセージを復元する。
The packet
The
図7は、復元メッセージの具体例を示す図である。復元メッセージ121は、メッセージ復元部170によりパケット記憶部110に記憶されたパケット保存ファイル111に基づいて生成され、メッセージログ記憶部120に格納される。復元メッセージ121は、後述するメッセージログ管理テーブルを生成するためのデータである。なお、復元メッセージ121では、以降の説明に適合する内容のみを記載しており、それ以外のメッセージに関しては図示を省略している。
FIG. 7 is a diagram illustrating a specific example of the restoration message. The restoration message 121 is generated based on the
復元メッセージ121の各行には、時間フィールド121a、アドレスフィールド121bおよびプロトコルフィールド121cが含まれる。
時間フィールド121aは、当該メッセージに対応するパケットを受信した時間(例えば、年月日時分秒)を示すフィールドである。時間フィールド121aには、例えばマイクロ秒単位で時間が設定される。ここで、時間フィールド121aに設定される時間は、パケット記憶部110に記憶されたパケット保存ファイル111の受信日時格納部111aの領域を参照して取得できる。具体的には、そのメッセージがリクエストの場合、パケット保存ファイル111中、そのメッセージを示す複数のパケットのうちの最後のパケットの受信日時とする。また、そのメッセージがレスポンスの場合、パケット保存ファイル111中、そのメッセージを示す複数のパケットのうちの最初のパケットの受信日時とする。
Each row of the restoration message 121 includes a time field 121a, an
The time field 121a is a field indicating the time (for example, year / month / day / hour / minute / second) when the packet corresponding to the message is received. In the time field 121a, for example, time is set in units of microseconds. Here, the time set in the time field 121 a can be obtained by referring to the area of the reception
アドレスフィールド121bは、当該メッセージの送信元および送信先のコンピュータのIP(Internet Protocol)アドレスおよびポート番号を示すフィールドである。
プロトコルフィールド121cは、メッセージのリクエスト/レスポンス種別やプロトコルなどを示すフィールドである。
The
The
以下、復元メッセージ121に便宜的に付した行番号を示して説明する。
例えば、行番号1では、時間フィールド121aに“2010/05/21 13:00:00.000000”という情報が設定されている。これは、当該時間に行番号1のメッセージを受信したことを示している。
In the following, description will be given by showing the line number attached to the restoration message 121 for convenience.
For example, in
また、例えば行番号1では、アドレスフィールド121bに“1.2.3.4:1234 −> 10.0.0.11:80”という情報が設定されている。これは、端末装置21(IPアドレスを“1.2.3.4”とする)のポート番号“1234”から、Webサーバ200(IPアドレスを“10.0.0.11”とする)のポート番号“80”に対してメッセージ送信が行われたことを示す。なお、“アドレスA−>アドレスB”の記号は、Aで示される装置からBで示される装置へのメッセージ送信、“アドレスA<−アドレスB”の記号はBで示される装置からAで示される装置へのメッセージ送信を示す。
For example, in
また、例えば、行番号1では、プロトコルフィールド121cに“TCP Connect”という情報が設定されている。これは、当該メッセージがTCPのセッション確立用のメッセージであることを示している。
For example, in
ここで、行番号2,3は、図5(A)の場合に対応する。すなわち、行番号2のメッセージはリクエストメッセージR11に対応する。また、行番号3のメッセージはレスポンスメッセージR12に対応する。
Here,
行番号12,13は、図5(B)の場合に対応する。すなわち、行番号12のメッセージはリクエストメッセージR21に対応する。また、行番号13のメッセージはRSTパケットP1に対応する。ここで、IPアドレス“1.2.3.5”は、端末装置22のIPアドレスである。
図8は、メッセージログ管理テーブルのデータ構造例を示す図である。メッセージログ管理テーブル122は、メッセージ復元部170によって生成され、メッセージログ記憶部120に格納される。メッセージログ管理テーブル122には、項番、日時、メッセージID(IDentifier)、クライアント、サーバ、種別、プロトコルおよびメッセージの項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのメッセージに関する情報を示す。
FIG. 8 shows an example of the data structure of the message log management table. The message log management table 122 is generated by the
項番には、レコードを識別するための識別番号が設定される。日時には、当該メッセージを受信した時間が設定される。メッセージIDには、当該メッセージが関連する一連の処理を識別するための識別情報が設定される。 In the item number, an identification number for identifying the record is set. At the time of day, the time when the message is received is set. In the message ID, identification information for identifying a series of processes related to the message is set.
ここで、メッセージIDには、“xxxx”、“xxxx−y”と表記されているものがある。以下では、“xxxx”の部分をセッション識別部と称する。セッション識別部は、TCPにより確立されたセッションを識別する識別情報である。また、“y”の部分をトランザクション識別部と称する。トランザクション識別部は、当該セッションを介して各Webサーバ上で確立されたトランザクションを識別する識別情報である。 Here, some message IDs are described as “xxxx” and “xxxx-y”. Hereinafter, the part “xxxx” is referred to as a session identification unit. The session identification unit is identification information for identifying a session established by TCP. The part “y” is referred to as a transaction identification unit. The transaction identification unit is identification information for identifying a transaction established on each Web server via the session.
クライアントには、各端末装置のIPアドレスおよびポート番号が設定される。サーバには、各WebサーバのIPアドレスおよびポート番号が設定される。種別には、リクエストおよびレスポンスの何れかを示す情報が設定される。プロトコルには、TCPやHTTPなどのプロトコルを示す情報が設定される。メッセージには、当該プロトコルで送信されたメッセージの内容が設定される。 The IP address and port number of each terminal device are set in the client. The server is set with the IP address and port number of each Web server. In the type, information indicating either a request or a response is set. Information indicating a protocol such as TCP or HTTP is set in the protocol. In the message, the content of the message transmitted by the protocol is set.
メッセージログ管理テーブル122には、例えば、項番が“1001”、日時が“2010/5/21 13:00:00.000000”、メッセージIDが“1234”、クライアントが“1.2.3.4:1234”、サーバが“10.0.0.11:80”、種別が“−”、プロトコルが“TCP”、メッセージが“Connect”という情報が設定される。 In the message log management table 122, for example, the item number is “1001”, the date and time is “2010/5/21 13: 00: 00.000000”, the message ID is “1234”, and the client is “1.2.3. 4: 1234 ”, the server is“ 10.0.0.11:80 ”, the type is“ − ”, the protocol is“ TCP ”, and the message is“ Connect ”.
この項番“1001”のレコードは、復元メッセージ121の行番号“1”のメッセージに対応する。メッセージ復元部170は、当該メッセージにメッセージID“1234”を付与してメッセージログ管理テーブル122に登録している。
The record with the item number “1001” corresponds to the message with the row number “1” of the restoration message 121. The
また、メッセージログ管理テーブル122には、例えば、項番が“1002”、日時が“2010/5/21 13:00:00.000001”、メッセージIDが“1234−1”、クライアントが“1.2.3.4:1234”、サーバが“10.0.0.11:80”、種別が“Request”、プロトコルが“HTTP”、メッセージが“GET/index.html”という情報が設定される。 In the message log management table 122, for example, the item number is “1002”, the date and time is “2010/5/21 13: 00: 00.000001”, the message ID is “1234-1”, and the client is “1. 2.3.4: 1234 ", server" 10.0.0.11:80 ", type" Request ", protocol" HTTP ", message" GET / index.html " .
この項番“1002”のレコードは、復元メッセージ121の行番号“2”のメッセージに対応する。メッセージ復元部170は、当該メッセージにメッセージID“1234−1”を付与してメッセージログ管理テーブル122に登録している。ここで、メッセージID“1234−1”のセッション識別部“1234”は、項番“1001”のレコードと同一である。これは、項番“1001”で示されるTCPのパケットによって確立されたセッションを介して、項番“1002”で示されるHTTPのメッセージが送信されていることを示す。
The record with the item number “1002” corresponds to the message with the row number “2” of the restoration message 121. The
なお、同一クライアント・サーバの組においてTCPの“Connect”、“Close”は同一のメッセージID(この場合、セッション識別部のみとなる)を設定する。更に、同一クライアント・サーバの組においてTCPの“Connect”、“Reset”は同一のメッセージID(この場合も、セッション識別部のみとなる)を設定する。 Note that the same message ID (in this case, only the session identification unit is set) is set for the TCP “Connect” and “Close” in the same client-server pair. Further, in the same client / server pair, TCP “Connect” and “Reset” set the same message ID (in this case, only the session identification unit is provided).
また、項番“1003”のレコードは、メッセージIDが“1234−1”であり項番“1002”のレコードのメッセージIDと同一である。これは、当該項番“1003”のレコードが示すレスポンスが、項番“1002”のレコードが示すリクエストに対応するレスポンスであり、同一トランザクションに係るメッセージであることを示している。 The record with the item number “1003” has the message ID “1234-1” and is the same as the message ID of the record with the item number “1002”. This indicates that the response indicated by the record of the item number “1003” is a response corresponding to the request indicated by the record of the item number “1002” and is a message related to the same transaction.
このように、解析装置100は、同一のクライアント・サーバの組につき、リクエスト、レスポンスの順で送受信された各メッセージに同一のメッセージIDを付与する。これにより、Webサーバ200上の処理に対してなされたリクエストとレスポンスとの組合せを明確に管理できる。
As described above, the
なお、項番“1022”〜“1025”のレコードに示されるように、端末装置21からWebサーバ200に対して複数のリクエストが送信されることもある。
解析装置100は、このような場合を想定して次のようにメッセージIDを付与すればよい。すなわち、解析装置100が先に受信したリクエストにメッセージID(“3235−1”)を付与後、次に受信したリクエストにそれとは異なるメッセージID(“3235−2”)を付与する。本例では、トランザクション識別部をインクリメントしている。また、解析装置100が先に受信したレスポンスに先に受信したリクエストに付与したメッセージID(“3235−1”)を付与し、次に受信したレスポンスに次のメッセージID(“3235−2”)を付与する。
Note that a plurality of requests may be transmitted from the
The
このようすれば、端末装置21からWebサーバ200に対して複数のリクエストが送信されてもリクエストとそれに対するレスポンスとの組合せを適正に管理できる。ここで、このようにして、リクエストとレスポンスとの組合せを管理できるのは、Webサーバ200で実行される処理が、一般に、受信したリクエストの順に行われることによる。すなわち、先に送信したリクエストに対するレスポンスが先に応答されるのが一般的だからである。
In this way, even if a plurality of requests are transmitted from the
ここで、メッセージログ管理テーブル122において、項番“1001”〜“1004”のレコードは復元メッセージ121の行番号“1”〜“4”のメッセージにそれぞれ対応する。また、項番“1011”〜“1013”のレコードは復元メッセージ121の行番号“11”〜“13”のメッセージにそれぞれ対応する。また、項番“1021”〜“1026”のレコードは復元メッセージ121の行番号“21”〜“26”のメッセージにそれぞれ対応する。 Here, in the message log management table 122, the records with the item numbers “1001” to “1004” correspond to the messages with the row numbers “1” to “4” of the restoration message 121, respectively. The records with the item numbers “1011” to “1013” correspond to the messages with the row numbers “11” to “13” of the restoration message 121, respectively. The records with the item numbers “1021” to “1026” correspond to the messages with the row numbers “21” to “26” of the restoration message 121, respectively.
図9は、正常ペアテーブルのデータ構造例を示す図である。正常ペアテーブル131は、ペア抽出部180により生成され、正常ペア情報記憶部130に格納される。ペア抽出部180は、メッセージログ管理テーブル122のメッセージID、種別およびプロトコルを参照し、同一メッセージID、プロトコル“HTTP”、種別が“Request”、“Response”の対になっているものを正常ペアとして抽出する。なお、プロトコルが“TCP”であるものは、正常ペアの選択対象に含めないものとする。各Webサーバの処理時間をHTTPの処理単位で解析するためである。
FIG. 9 is a diagram illustrating a data structure example of a normal pair table. The normal pair table 131 is generated by the
正常ペアテーブル131には、項番、リクエスト日時、レスポンス日時、メッセージID、クライアント、サーバ、プロトコル、リクエストおよびレスポンスの項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つの正常ペアに関する情報を示す。 The normal pair table 131 includes items of item number, request date / time, response date / time, message ID, client, server, protocol, request, and response. Information arranged in the horizontal direction of each item is associated with each other to indicate information regarding one normal pair.
項番には、レコードを識別するための識別番号が設定される。リクエスト日時には、正常ペアのうちリクエストに対応するメッセージを受信した時間が設定される。レスポンス日時には、正常ペアのうちレスポンスに対応するメッセージを受信した時間が設定される。メッセージIDには、当該レコードに対応する処理のメッセージIDが設定される。クライアントには、各端末装置のIPアドレスおよびポート番号が設定される。サーバには、各WebサーバのIPアドレスおよびポート番号が設定される。プロトコルには、プロトコルを示す情報が設定される。リクエストには、リクエストの内容を示す情報が設定される。レスポンスには、レスポンスの内容を示す情報が設定される。 In the item number, an identification number for identifying the record is set. In the request date and time, the time when the message corresponding to the request in the normal pair is received is set. In the response date and time, the time when the message corresponding to the response in the normal pair is received is set. In the message ID, the message ID of the process corresponding to the record is set. The IP address and port number of each terminal device are set in the client. The server is set with the IP address and port number of each Web server. Information indicating the protocol is set in the protocol. Information indicating the content of the request is set in the request. Information indicating the content of the response is set in the response.
正常ペアテーブル131には、例えば、項番が“1001”、リクエスト日時が“2010/5/21 13:00:00.000001”、レスポンス日時が“2010/5/21 13:00:00.001001”、メッセージIDが“1234−1”、クライアントが“1.2.3.4:1234”、サーバが“10.0.0.11:80”、プロトコルが“HTTP”、リクエストが“GET/index.html”、レスポンスが“200”という情報が設定される。 In the normal pair table 131, for example, the item number is “1001”, the request date is “2010/5/21 13: 00: 00.000001”, and the response date is “2010/5/21 13: 00: 00.001001”. ”, Message ID“ 1234-1 ”, client“ 1.2.3.4:1234 ”, server“ 10.0.0.11:80 ”, protocol“ HTTP ”, request“ GET / The information “index.html” and the response “200” are set.
この正常ペアテーブル131の項番“1001”のレコードは、メッセージログ管理テーブル122における項番“1002”,“1003”のレコードが示すリクエスト、レスポンスの正常ペアを示す。 The record of item number “1001” in the normal pair table 131 indicates a normal pair of request and response indicated by the records of item numbers “1002” and “1003” in the message log management table 122.
同様に、正常ペアテーブル131の項番“1021”のレコードは、メッセージログ管理テーブル122における項番“1022”,“1023”のレコードが示すリクエスト、レスポンスの正常ペアを示す。また、正常ペアテーブル131の項番“1022”のレコードは、メッセージログ管理テーブル122における項番“1024”,“1025”のレコードが示すリクエスト、レスポンスの正常ペアを示す。 Similarly, the record of item number “1021” in the normal pair table 131 indicates a normal pair of request and response indicated by the records of item numbers “1022” and “1023” in the message log management table 122. The record of item number “1022” in the normal pair table 131 indicates a normal pair of request and response indicated by the records of item numbers “1024” and “1025” in the message log management table 122.
図10は、正常系時間差テーブルのデータ構造例を示す図である。正常系時間差テーブル131aは、ペア抽出部180により生成され正常ペア情報記憶部130に格納される。正常系時間差テーブル131aには、項番、リクエスト日時、レスポンス日時、メッセージID、クライアント、サーバ、プロトコルおよび時間差の項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つの正常ペアに関する情報を示す。
FIG. 10 is a diagram illustrating a data structure example of a normal system time difference table. The normal system time difference table 131 a is generated by the
ここで、項番、リクエスト日時、レスポンス日時、メッセージID、クライアント、サーバおよびプロトコルの項目に設定される情報は、正常ペアテーブル131と同様であるため説明を省略する。 Here, the information set in the items of item number, request date / time, response date / time, message ID, client, server, and protocol are the same as those in the normal pair table 131, and thus description thereof is omitted.
時間差には、リクエスト日時とレスポンス日時との差が設定される。
正常系時間差テーブル131aには、例えば、項番が“1001”、リクエスト日時が“2010/5/21 13:00:00.000001”、レスポンス日時が“2010/5/21 13:00:00.001001”、メッセージIDが“1234−1”、クライアントが“1.2.3.4:1234”、サーバが“10.0.0.11:80”、プロトコルが“HTTP”、時間差が“0.001000”(秒)という情報が設定される。これは、当該項番“1001”のレコードに対応する正常ペアにつき、リクエストとレスポンスとの時間差が“0.001000”秒であることを示している。この時間差は、リクエスト日時に設定された時間とレスポンス日時に設定された時間との差により算出できる。この時間差は、Webサーバ200における処理時間(または、Webサーバ200、APサーバ500,600およびDBサーバ700による一連の処理時間)に対応付けることができる。
In the time difference, a difference between the request date and time and the response date and time is set.
In the normal system time difference table 131a, for example, the item number is “1001”, the request date is “2010/5/21 13: 00: 00.000001”, and the response date is “2010/5/21 13:00:00. 00101 ”, message ID“ 1234-1 ”, client“ 1.2.3.4:1234 ”, server“ 10.0.0.11:80 ”, protocol“ HTTP ”, time difference“ 0 ” .001000 "(seconds) information is set. This indicates that the time difference between the request and the response is “0.001000” seconds for the normal pair corresponding to the record of the item number “1001”. This time difference can be calculated from the difference between the time set for the request date and time and the time set for the response date. This time difference can be associated with the processing time in the Web server 200 (or a series of processing times by the
図11は、中断ペアテーブルのデータ構造例を示す図である。中断ペアテーブル141は、ペア抽出部180により生成され、中断ペア情報記憶部140に格納される。ペア抽出部180は、RSTパケットが受信された場合に、メッセージログ管理テーブル122を参照して、メッセージIDのセッション識別部がRSTパケットと同一で、対になるレスポンスのないリクエストを検出する。そして、そのリクエストと当該RSTパケットとを中断ペアとして抽出する。
FIG. 11 is a diagram illustrating an example of the data structure of the interruption pair table. The suspended pair table 141 is generated by the
中断ペアテーブル141には、項番、リクエスト日時、中断日時、メッセージID、クライアント、サーバ、プロトコル、リクエストおよびメッセージの項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つの中断ペアに関する情報を示す。 The interruption pair table 141 includes items of item number, request date / time, interruption date / time, message ID, client, server, protocol, request, and message. Information arranged in the horizontal direction of each item is associated with each other to indicate information regarding one interrupted pair.
ここで、項番、リクエスト日時、メッセージID、クライアント、サーバ、プロトコル、リクエストの項目に設定されるデータの内容は、正常ペアテーブル131と同様であるため、説明を省略する。 Here, the contents of the data set in the item number, request date / time, message ID, client, server, protocol, and request items are the same as those in the normal pair table 131, and thus description thereof is omitted.
中断日時にはRSTパケットを受信した時間が設定される。メッセージには、当該パケットのRSTフラグがオンであることを示す“Reset”が設定される。
中断ペアテーブル141には、例えば、項番が“1001”、リクエスト日時が“2010/5/21 13:00:01.000001”、レスポンス日時が“2010/5/21 13:00:31.000001”、メッセージIDが“2234−1”、クライアントが“1.2.3.5:1234”、サーバが“10.0.0.11:80”、プロトコルが“HTTP”、リクエストが“GET/index.html”、メッセージが“Reset”という情報が設定される。
The time when the RST packet is received is set as the suspension date and time. In the message, “Reset” indicating that the RST flag of the packet is on is set.
In the suspended pair table 141, for example, the item number is “1001”, the request date and time is “2010/5/21 13: 00: 01.000001”, and the response date and time is “2010/5/21 13: 00: 31.000001”. ”, Message ID“ 2234-1 ”, client“ 1.2.3.5:1234 ”, server“ 10.0.0.11:80 ”, protocol“ HTTP ”, request“ GET / Information indicating “index.html” and a message “Reset” is set.
この中断ペアテーブル141の項番“1001”のレコードは、メッセージログ管理テーブル122における項番“1012”,“1013”のレコードが示すリクエスト、RSTパケットの中断ペアを示す。 The record of the item number “1001” in the interruption pair table 141 indicates an interruption pair of the request and the RST packet indicated by the records of the item numbers “1012” and “1013” in the message log management table 122.
図12は、中断系時間差テーブルのデータ構造例を示す図である。中断系時間差テーブル141aは、ペア抽出部180により生成され中断ペア情報記憶部140に格納される。中断系時間差テーブル141aには、項番、リクエスト日時、中断日時、メッセージID、クライアント、サーバ、プロトコルおよび時間差を示す項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つの中断ペアに関する情報を示す。
FIG. 12 is a diagram illustrating an example of a data structure of the interruption system time difference table. The suspended system time difference table 141 a is generated by the
ここで、項番、リクエスト日時、中断日時、メッセージID、クライアント、サーバ、プロトコルの項目に設定されるデータの内容は、中断ペアテーブル141と同様であるため、説明を省略する。 Here, the contents of the data set in the items of item number, request date / time, interruption date / time, message ID, client, server, and protocol are the same as those in the interruption pair table 141, and thus description thereof is omitted.
時間差には、リクエスト日時と中断日時との差が設定される。
中断系時間差テーブル141aには、例えば、項番が“1001”、リクエスト日時が“2010/5/21 13:00:01.000001”、レスポンス日時が“2010/5/21 13:00:31.000001”、メッセージIDが“2234−1”、クライアントが“1.2.3.5:1234”、サーバが“10.0.0.11:80”、プロトコルが“HTTP”、時間差が“30.000000”(秒)という情報が設定される。これは、当該項番“1001”のレコードに対応する中断ペアにつき、リクエストとRSTパケットとの時間差が“30.000000”秒であることを示している。この時間差は、リクエスト日時に設定された時間と中断日時に設定された時間との差により算出できる。この時間差は、Webサーバ200における中断までの処理時間(または、Webサーバ200、APサーバ500,600およびDBサーバ700による一連の処理時間)に対応付けることができる。
As the time difference, a difference between the request date and time and the suspension date and time is set.
In the suspension system time difference table 141a, for example, the item number is “1001”, the request date is “2010/5/21 13: 00: 01.00001”, and the response date is “2010/5/21 13:00:31. “000001”, message ID “2234-1”, client “1.2.3.5:1234”, server “10.0.0.11:80”, protocol “HTTP”, time difference “30” Information of .000000 "(seconds) is set. This indicates that the time difference between the request and the RST packet is “30.000000” seconds for the interrupted pair corresponding to the record of the item number “1001”. This time difference can be calculated from the difference between the time set for the request date and time and the time set for the interruption date. This time difference can be associated with the processing time until interruption in the Web server 200 (or a series of processing times by the
次に、解析装置100の処理手順を説明する。
図13は、ペア抽出処理を示すフローチャートである。以下、各処理をステップ番号に沿って説明する。
Next, the processing procedure of the
FIG. 13 is a flowchart showing the pair extraction process. Hereinafter, each process is demonstrated along a step number.
[ステップS11]パケット受信部160は、負荷分散装置10からパケットを受信する。パケット受信部160は、受信したパケットに受信日時を付加してパケット保存ファイル111に追加し、パケット記憶部110に格納する。
[Step S11] The
[ステップS12]メッセージ復元部170は、パケット記憶部110を参照して新たに受信したパケットのRSTフラグがオンであるか否か、すなわちRSTパケットであるか否かを判定する。RSTパケットである場合、処理をステップS13に進める。RSTパケットでない場合、処理をステップS16に進める。
[Step S12] The
[ステップS13]メッセージ復元部170は、メッセージログ管理テーブル122を参照して、RSTパケットの送信元の端末装置が過去に送信したリクエストで、対になるレスポンスのないものが存在するか否かを判定する。存在する場合、処理をステップS14に進める。存在しない場合、処理をステップS16に進める。
[Step S13] The
例えば、復元メッセージ121の行番号13に対応するRSTパケットを端末装置21から受信したとする。この場合、当該RSTパケットよりも以前に端末装置21が送信したリクエストで、レスポンスの存在しないものとして行番号12のリクエストが存在する。この場合、メッセージ復元部170は、対になるレスポンスがないリクエストが存在すると判定する。
For example, it is assumed that an RST packet corresponding to the
なお、対になるレスポンスが現在パケットを蓄積して組み立て中である場合、そのレスポンスも含めてリクエスト・レスポンスの組の存在を判定するものとする。例えば、図5(C)のように組み立て中のレスポンスメッセージR32を考慮して、対になるレスポンスのないリクエストが存在しない場合、処理をステップS16に進める。 Note that if the response to be paired is currently being assembled by accumulating packets, the existence of the request / response pair including the response is determined. For example, in consideration of the response message R32 being assembled as shown in FIG. 5C, if there is no request without a response to be paired, the process proceeds to step S16.
[ステップS14]メッセージ復元部170は、受信パケットがRSTパケットである旨を示すメッセージを生成し、メッセージログ記憶部120に記憶されたメッセージログ管理テーブル122に登録する。例えば、メッセージログ管理テーブル122の項番“1013”のレコードが対応する。
[Step S14] The
[ステップS15]ペア抽出部180は、RSTパケットを示すメッセージと、ステップS13で検出した対になるレスポンスのないリクエストと、を中断ペアとして抽出し、中断ペア情報記憶部140に記憶された中断ペアテーブル141に登録する。例えば、メッセージログ管理テーブル122の項番“1012”のリクエストおよび項番“1013”のRSTパケットを中断ペアとして抽出する。これは、中断ペアテーブル141の項番“1001”のレコードに対応する。そして、処理をステップS21に進める。
[Step S15] The
[ステップS16]メッセージ復元部170は、新たに受信したパケットと受信済みのパケットによりメッセージの組み立てを試みる。
なお、メッセージ復元部170は、各端末装置と各Webサーバとの間のレスポンスの組み立て途中にRSTパケットが受信されて組み立てが中断された場合には、当該組み立て中のレスポンスと受信したRSTパケットとを破棄する。
[Step S16] The
When the RST packet is received during the assembly of the response between each terminal device and each Web server and the assembly is interrupted, the
[ステップS17]メッセージ復元部170は、受信したパケットによりメッセージを復元できたか否かを判定する。メッセージを復元できた場合、処理をステップS18に進める。メッセージを復元していない場合、次のパケット受信を待機して処理を完了する。
[Step S17] The
[ステップS18]メッセージ復元部170は、新たに復元したメッセージをメッセージログ管理テーブル122に登録する。
[ステップS19]ペア抽出部180は、メッセージログ管理テーブル122を参照して、登録されたメッセージがレスポンスであるか否かを判定する。レスポンスである場合、処理をステップS20に進める。レスポンスでない場合、処理を完了する。
[Step S18] The
[Step S19] The
[ステップS20]ペア抽出部180は、当該レスポンスと同一のメッセージIDであるリクエストとを正常ペアとして抽出し、正常ペア情報記憶部130に記憶された正常ペアテーブル131に登録する。例えば、メッセージログ管理テーブル122の項番“1002”のリクエストおよび項番“1003”のレスポンスを正常ペアとして抽出する。これは、正常ペアテーブル131の項番“1001”のレコードに対応する。
[Step S20] The
[ステップS21]ペア抽出部180は、新たに抽出した正常ペアまたは中断ペアについて、時間差を算出する。ペア抽出部180は、算出した時間差を正常系時間差テーブル131aまたは中断系時間差テーブル141aに登録する。
[Step S21] The
このようにして、ペア抽出部180は、メッセージログ管理テーブル122に基づいて正常ペアおよび中断ペアを抽出する。更に、正常ペアの各メッセージについて、リクエストとレスポンスとの時間差T1を算出し、正常系時間差テーブル131aを生成する。また、中断ペアの各メッセージについて、リクエストとRSTパケットとの時間差T2を算出し、中断系時間差テーブル141aを生成する。
In this way, the
解析部190は、これらの情報に基づいて、各Webサーバの異常を検出することができる。次に、そのための解析処理について説明する。なお、以下の処理は所定の周期で開始される。あるいは、例えばシステム管理者の所定の操作を受け付けた際に実行してもよい。
The
図14は、第2の実施の形態の解析処理を示すフローチャートである。以下、各処理をステップ番号に沿って説明する。
[ステップS31]解析部190は、正常ペア情報記憶部130に記憶された正常系時間差テーブル131aを取得する。
FIG. 14 is a flowchart illustrating analysis processing according to the second embodiment. Hereinafter, each process is demonstrated along a step number.
[Step S31] The
[ステップS32]解析部190は、中断ペア情報記憶部140に記憶された中断系時間差テーブル141aを取得する。
[ステップS33]解析部190は、解析対象とするWebサーバを選択する。例えば、RSTパケットを送信されたWebサーバを解析対象とする。また、例えば、受け付けたURLに対応付けられた各Webサーバのうちの1つを順次選択して解析対象としてもよい。
[Step S <b> 32] The
[Step S33] The
[ステップS34]解析部190は、正常系時間差テーブル131aに基づいて、選択したWebサーバにつき時間差T1の頻度分布(正常系時間差分布)を算出する。また、解析部190は、中断系時間差テーブル141aに基づいて、選択したWebサーバにつき時間差T2の頻度分布(中断系時間差分布)を算出する。なお、解析部190は、正常系時間差テーブル131aおよび中断系時間差テーブル141aのサーバの項目に設定されたIPアドレスにより、対象のWebサーバの時間差情報を適切に参照できる。
[Step S34] The
[ステップS35]解析部190は、正常系時間差分布について、時間差0から所定パーセンタイル(Xパーセンタイルとする)となる時間差の値S1を取得する。ここで、Xはシステムの運用状況によって適宜決定できる。例えば、X=90とする。Xの値は、制御情報記憶部150に予め格納されており、解析部190はこれを参照できる。
[Step S <b> 35] The
[ステップS36]解析部190は、中断系時間差分布について次の判定値S2を求める。
S2=(中断系時間差分布の平均値)+定数P
ここで、定数Pは、システムの運用状況によって適宜決定できる。例えば、P=α×(中断系時間差分布の標準偏差)とすることができる。ただし、係数αは、−1以上1以下の実数である。αの値は、例えば制御情報記憶部150に予め格納されており、解析部190はこれを参照できる。また、中断系時間差分布の平均値に代えて、当該分布について定まる他の基準値を用いても構わない。例えば、中央値、最頻値などを用いてもよい。
[Step S36] The
S2 = (Average value of interrupted time difference distribution) + Constant P
Here, the constant P can be appropriately determined according to the operation status of the system. For example, P = α × (standard deviation of interruption system time difference distribution). However, the coefficient α is a real number of −1 or more and 1 or less. The value of α is stored in advance in the control
[ステップS37]解析部190は、S1≦S2であるか否かを判定する。S1≦S2である場合、処理をステップS38に進める。S1>S2である場合、処理を完了する。ここで、S1≦S2は正常系時間差分布に比して、中断系時間差分布に含まれる時間差の値が同じ、または、大きいことを示している。一方、S1>S2は正常系時間差分布に比して、中断系時間差分布に含まれる時間差の値が許容範囲であることを示している。
[Step S37] The
[ステップS38]解析部190は、報知部195に解析対象としたWebサーバについて異常が発生した旨を通知する。報知部195は、この通知に基づいて、当該Webサーバの異常を報知する。報知部195は、例えば情報処理システムの管理者に電子メールを送信する、運用管理用ログに当該異常を記録する、アラームランプやスピーカを鳴動させる、などの方法により、異常を報知する。
[Step S38] The
[ステップS39]解析部190は、他に解析対象とするWebサーバが存在するか否かを判定する。存在する場合、処理をステップS33に進める。存在しない場合、処理を完了する。
[Step S39] The
このようにして、解析部190は、正常系時間差分布および中断系時間差分布により、各Webサーバの異常を検出できる。次に上記解析処理の具体例を説明する。
図15は、第2の実施の形態の解析処理の具体例を示す図である。図15(A)に示すグラフ810は正常時の時間差分布を例示している。図15(B)に示すグラフ820は異常時の時間差分布を例示している。なお、以下の説明において、X=90(パーセンタイル)、P=α×(中断系時間差分布の標準偏差)、α=+1である旨が制御情報記憶部150に予め格納されているものとする。
In this way, the
FIG. 15 is a diagram illustrating a specific example of analysis processing according to the second embodiment. A
図15(A)のグラフ810には、正常系時間差分布811および中断系時間差分布812が示されている。正常系時間差分布811では、90パーセンタイルとなる時間差S1は、9.4秒であるとする。また、中断系時間差分布812では、S2値が4.8秒であるとする。すると、S1>S2であるので、解析部190はこの状態を異常と判定しない。
A
この場合を異常と判定しないのは、RSTパケットの送信にWebサーバ側の遅延が反映されないことが多いためである。具体的には、ユーザがリンク選択を誤った、データの選択を誤った、などの場合が考えられる。すなわち、このような場合にはユーザが自己の誤操作を認識でき、即座にブラウザにRSTパケットの送信を行わせて、誤操作をキャンセルすることが多いためである。 The reason why this case is not determined to be abnormal is that the delay on the Web server side is often not reflected in the transmission of the RST packet. More specifically, there may be cases where the user selects the wrong link, selects the wrong data, or the like. That is, in such a case, the user can recognize his / her erroneous operation and often causes the browser to immediately transmit an RST packet to cancel the erroneous operation.
図15(B)のグラフ820には、正常系時間差分布821および中断系時間差分布822が示されている。正常系時間差分布821では、90パーセンタイルとなる時間差S1は、9.4秒であるとする。また、中断系時間差分布822では、S2値が9.8秒であるとする。すると、S1≦S2であるので、解析部190はこの状態を異常と判定する。そして、報知部195に異常を報知させる。
A
このように、解析装置100は、負荷分散装置10から受信したパケットに基づいて各Webサーバの異常を検出する。
このように、解析装置100は、従来看過されていた各Webサーバにおける処理中断の事象を稼働監視の対象に含める。これにより、各Webサーバの稼働監視の精度を向上できる。その結果、より正確な異常検知が可能となる。
As described above, the
As described above, the
また、解析装置100は、各Webサーバがレスポンスを送信している途中にRSTパケットを受信した場合、当該レスポンスおよびRSTパケットを解析対象から除外する。このように、不完全なメッセージを解析対象から除外することで、稼働監視の精度をより向上できる。
Further, when the Web server receives an RST packet while each Web server is transmitting a response, the
なお、各Webサーバがレスポンスを送信している途中にRSTパケットを受信した場合、Webサーバ200の処理遅延によるものである可能性は低いと考えられる。例えば、ユーザがブラウザ上で誤ったリンクを選択した、誤ったファイルを開こうとしたなど、ユーザの誤操作による処理を停止させる目的である可能性がある。このため、各Webサーバがレスポンスを送信している途中にRSTパケットを受信した場合を正常系として扱って、解析処理を行ってもよい。
Note that if an RST packet is received while each Web server is transmitting a response, it is unlikely that this is due to a processing delay of the
[第3の実施の形態]
以下、第3の実施の形態を図面を参照して詳細に説明する。前述の第2の実施の形態との相違点について主に説明し、同様の事項に関しては説明を省略する。
[Third Embodiment]
Hereinafter, the third embodiment will be described in detail with reference to the drawings. Differences from the second embodiment will be mainly described, and description of similar matters will be omitted.
第3の実施の形態は、同一URLに対応する処理を複数のサーバの何れかで実行する場合を想定している。例えば、同一URLに対応するコンテンツがWebサーバ200,300,400に格納されており、負荷分散装置10により、該当URLを指定したコンテンツの取得要求がWebサーバ200,300,400の何れかに振り分けられるような場合である。このような場合、1つのURLに対して、そのURLの処理を実行するサーバが複数存在する。そこで第3の実施の形態では、URL単位での中断系時間差分布を求める。そして、その中断系時間差分布とURLに対応付けられた実サーバ単位での中断系時間差分布との比較により、異常を検出する機能を提供する。
The third embodiment assumes a case where processing corresponding to the same URL is executed by any of a plurality of servers. For example, content corresponding to the same URL is stored in the
ここで、第3の実施の形態の情報処理システムの全体構成、解析装置のハードウェア構成は、図2,3で説明した第2の実施の形態の情報処理システムの全体構成、解析装置100のハードウェア構成と同一であるため、その説明を省略する。 Here, the overall configuration of the information processing system according to the third embodiment and the hardware configuration of the analysis apparatus are the same as the overall configuration of the information processing system according to the second embodiment described with reference to FIGS. Since the hardware configuration is the same, the description thereof is omitted.
また、第3の実施の形態の解析装置の機能構成は図4で説明した第2の実施の形態の解析装置100の機能構成と同様である。このため、第3の実施の形態の解析装置を解析装置100の各構成に用いた符号と同一の符号を用いて説明する。ただし、解析部190の機能が異なる。第3の実施の形態の解析部190の処理機能は図17で詳述する。
The functional configuration of the analysis apparatus according to the third embodiment is the same as the functional configuration of the
図16は、第3の実施の形態のURL管理テーブルのデータ構造例を示す図である。URL管理テーブル151は、制御情報記憶部150に予め格納される。URL管理テーブル151には、サービス提供URL、サーバ名およびサーバアドレスを示す項目が設けられている。各項目の横方向に並べられた情報同士が、1つのサーバに関する情報を示す。
FIG. 16 is a diagram illustrating an example of a data structure of the URL management table according to the third embodiment. The URL management table 151 is stored in advance in the control
サービス提供URLには、サービスにアクセスするためのURLが設定される。サーバ名には、各Webサーバの名称が設定される。サーバアドレスには、各WebサーバのIPアドレスが設定される。 In the service provision URL, a URL for accessing the service is set. In the server name, the name of each Web server is set. As the server address, the IP address of each Web server is set.
URL管理テーブル151には、例えば、サービス提供URLが“(ドメイン名)/service”という情報が設定されている。「ドメイン名」には、複数のWebサーバ200,300,400によって提供されるコンテンツ配信などのサービス機能に割り当てられたドメイン名が設定される。URL管理テーブル151に設定されている情報は、Webサーバ200,300,400が提供するサービスにアクセスするための共通のURLおよびIPアドレスを示している。なお、以下の説明では、このURLを“URL−A”と略記する。更に、URL管理テーブル151には、例えば、サーバ名が“サーバA1”、サーバアドレスが“10.0.0.11:80”という情報が設定される。これは、“URL−A”に対応付けられたWebサーバ200のサーバ名およびサーバアドレスを示している。
In the URL management table 151, for example, information that the service providing URL is “(domain name) / service” is set. In the “domain name”, a domain name assigned to a service function such as content distribution provided by the plurality of
また、“サーバA2”はWebサーバ300に対応する。“サーバA3”はWebサーバ400に対応する。
このように、情報処理システムが提供するサービスごとに、そのURLと対応するWebサーバとがURL管理テーブル151に定義される。
“Server A2” corresponds to the
Thus, for each service provided by the information processing system, the URL and the corresponding Web server are defined in the URL management table 151.
次に、第3の実施の形態の解析装置100の処理手順を説明する。ここで、ペア抽出処理については、図13に示した第2の実施の形態のペア抽出処理と同様であるため、説明を省略する。解析装置100は、ペア抽出処理によって得られた中断ペアにより以下の解析処理を行う。
Next, a processing procedure of the
図17は、第3の実施の形態の解析処理を示すフローチャートである。以下、各処理をステップ番号に沿って説明する。
[ステップS41]解析部190は、解析対象とするURLを特定する。解析部190は、例えば、システム管理者によるURLの選択入力を受け付けて、解析対象のURLを特定する。
FIG. 17 is a flowchart illustrating analysis processing according to the third embodiment. Hereinafter, each process is demonstrated along a step number.
[Step S41] The
[ステップS42]解析部190は、制御情報記憶部150に記憶されたURL管理テーブル151を参照して、URLに対応する各Webサーバおよび、そのIPアドレスを特定する。解析部190は、例えば、“URL−A”が選択されている場合、URL管理テーブル151から“サーバA1”、“サーバA2”、“サーバA3”に対応するWebサーバ200,300,400のIPアドレスを特定する。
[Step S42] The
[ステップS43]解析部190は、中断ペア情報記憶部140に記憶された中断系時間差テーブル141aを参照して、特定したIPアドレスにより各Webサーバの時間差を取得する。そして、解析部190は、URL単位で中断系時間差分布を算出する。
[Step S43] The
[ステップS44]解析部190は、URL単位の中断系時間差分布の平均値Mを取得する。
[ステップS45]解析部190は、URLに対応する各Webサーバのうちの1つを処理対象として選択する。
[Step S44] The
[Step S45] The
[ステップS46]解析部190は、URLを構成する選択したWebサーバの中断系時間差分布を算出する。そして、解析部190は、そのWebサーバの中断系時間差分布の各平均値mおよび各標準偏差dを取得する。なお、中断系時間差分布の各平均値mに代えて、当該各分布について定まる他の基準値を用いても構わない。例えば、中央値、最頻値などを用いてもよい。
[Step S46] The
[ステップS47]解析部190は、判定値m−dがm−d<M+Qであるか否かを判定する。ここで、Qは定数であり、0以上の整数値をとることができる。例えば、QをURL単位の中断系時間差分布の標準偏差とする。また、Qは、例えば当該標準偏差に所定の係数を乗じた値でもよい。m−d<M+Qである場合、解析部190は処理をステップS49に進める。m−d<M+Qでない場合、解析部190は処理をステップS48に進める。
[Step S47] The
[ステップS48]解析部190は、ステップS45で選択したWebサーバにつき異常を検出した旨を報知部195に通知する。報知部195は、その異常を報知する。
[ステップS49]解析部190は、Webサーバの全てについて異常検出処理を行ったか否か判定する。全てについて処理済の場合、処理を完了する。未処理のWebサーバが存在する場合、処理をステップS45に進める。
[Step S48] The
[Step S49] The
このようにして、解析装置100は、URL単位の中断系時間差分布と、そのURLを構成するWebサーバ単位の中断系時間差分布と、を比較する。そして、URL単位の中断系時間差分布に対して、Webサーバ単位の中断系時間差分布が許容できる範囲内に存在しない場合に、当該Webサーバで異常ありと判断する。次に上記解析処理の具体例を説明する。
In this way, the
図18は、第3の実施の形態の解析処理の具体例を示す図である。図18(A)は“URL−A”単位の中断系時間差分布830を例示している。図18(B)はWebサーバ200(サーバA1)の中断系時間差分布831を例示している。図18(C)はWebサーバ300(サーバA2)の中断系時間差分布832を例示している。なお、図18では、Webサーバ400の中断系時間差分布の図示を省略している。
FIG. 18 is a diagram illustrating a specific example of the analysis processing according to the third embodiment. FIG. 18A illustrates an interruption system
図18(A)において、中断系時間差分布830は、Webサーバ200,300,400で取得された中断ペアの時間差を総合して得られた頻度分布である。中断系時間差分布830には、その平均値Mと当該分布の所定の幅Qが示されている。
In FIG. 18A, the interruption system
図18(B)において、中断系時間差分布831は、その平均値がm1、標準偏差がd1である。そして、m1,d1は、m1−d1<M+Qの条件を満たすとする。この場合、解析部190は、Webサーバ200を正常に稼働中であると判断する。
In FIG. 18B, the interruption system
図18(C)において、中断系時間差分布832は、その平均値がm2、標準偏差がd2である。そして、m2,d2は、m2−d2≧M+Qであるとする。すなわち、m−d<M+Qの条件を満たしていない。この場合、解析部190は、中断系時間差分布832が許容できる範囲の時間差を超過しており、Webサーバ300で異常が発生していると判断する。そして、解析部190は報知部195にWebサーバ300の異常を報知させる。
In FIG. 18C, the interruption system
このように、各Webサーバで取得した中断ペアを総合して、これをURL単位で解析することで、当該URLに対応する各Webサーバの異常を容易に検出できる。
また、第2の実施の形態の解析処理に加えて、第3の実施の形態の解析処理を行うこともできる。例えば、解析部190は、第2の実施の形態の解析結果と第3の実施の形態の解析結果とを照合して、両方の解析結果で異常ありとされたWebサーバについて、報知部195にアラートの出力を指示することができる。これにより、何れか一方の解析結果で判断するよりも、異常検出の精度を一層向上できる。
As described above, the interruption pairs acquired by the respective Web servers are combined and analyzed in units of URLs, so that an abnormality of each Web server corresponding to the URL can be easily detected.
In addition to the analysis processing of the second embodiment, the analysis processing of the third embodiment can also be performed. For example, the
[第4の実施の形態]
以下、第4の実施の形態を図面を参照して詳細に説明する。前述の第2,第3の実施の形態との相違点について主に説明し、同様の事項に関しては説明を省略する。
[Fourth Embodiment]
Hereinafter, the fourth embodiment will be described in detail with reference to the drawings. Differences from the second and third embodiments will be mainly described, and description of similar matters will be omitted.
第4の実施の形態では、URL単位に中断ペアの発生回数(中断回数)の頻度分布を取得する。また、そのURLを構成するWebサーバ単位に中断回数の頻度分布を取得する。そして、両頻度分布を比較することで、各Webサーバの異常を検出する機能を提供する。 In the fourth embodiment, the frequency distribution of the number of occurrences of interrupted pairs (interrupt times) is acquired for each URL. Also, the frequency distribution of the number of interruptions is acquired for each Web server constituting the URL. And the function which detects abnormality of each Web server by comparing both frequency distribution is provided.
ここで、第4の実施の形態の情報処理システムの全体構成、解析装置のハードウェア構成は、図2,3で説明した第2の実施の形態の情報処理システムの全体構成、解析装置100のハードウェア構成と同一であるため、その説明を省略する。 Here, the overall configuration of the information processing system according to the fourth embodiment and the hardware configuration of the analysis apparatus are the same as the overall configuration of the information processing system according to the second embodiment described with reference to FIGS. Since the hardware configuration is the same, the description thereof is omitted.
また、第4の実施の形態の解析装置の機能構成は図4で説明した第2の実施の形態の解析装置100の機能構成と同様である。このため、第4の実施の形態の解析装置を解析装置100の各構成に用いた符号と同一の符号を用いて説明する。ただし、解析部190の機能が異なる。第4の実施の形態の解析部190の処理機能は図20で詳述する。
The functional configuration of the analysis apparatus according to the fourth embodiment is the same as the functional configuration of the
更に、制御情報記憶部150には図16で説明したURL管理テーブル151が格納されているものとする。
図19は、第4の実施の形態の中断回数テーブルのデータ構造例を示す図である。中断回数テーブル142,142a,142bは、解析部190により生成され、中断ペア情報記憶部140に格納される。解析部190は、中断ペア情報記憶部140に記憶された中断ペアテーブル141を参照して、単位時間当たりの中断ペアの個数を集計することで、中断回数テーブル142,142a,142bを生成することができる。
Furthermore, it is assumed that the URL management table 151 described with reference to FIG.
FIG. 19 is a diagram illustrating an example of a data structure of the interruption count table according to the fourth embodiment. The interruption count tables 142, 142 a and 142 b are generated by the
中断回数テーブル142は、Webサーバ200の中断回数を示すテーブルである。中断回数テーブル142aは、Webサーバ300の中断回数を示すテーブルである。中断回数テーブル142bは、Webサーバ400の中断回数を示すテーブルである。
The interruption count table 142 is a table indicating the interruption count of the
以下、中断回数テーブル142について説明するが、中断回数テーブル142a,142bに関しても中断回数テーブル142と同様である。
中断回数テーブル142には、項番、時間帯、サーバおよび回数を示す項目が設けられている。各項目の横方向に並べられた情報同士が互いに関連付けられて、1つのWebサーバの単位時間当たりの中断回数を示す。
Hereinafter, the interruption number table 142 will be described, but the interruption number tables 142a and 142b are the same as the interruption number table 142.
The interruption count table 142 is provided with items indicating the item number, time zone, server, and frequency. Information arranged in the horizontal direction of each item is associated with each other to indicate the number of interruptions per unit time of one Web server.
項番には、レコードを識別するための番号が設定される。時間帯には、中断回数を集計した期間が設定される。サーバには、該当のWebサーバのIPアドレスが設定される。回数には、時間帯当たりの中断回数が設定される。 In the item number, a number for identifying the record is set. In the time zone, a period in which the number of interruptions is counted is set. In the server, the IP address of the corresponding Web server is set. The number of interruptions is set to the number of interruptions per time slot.
中断回数テーブル142には、例えば、項番が“101”、時間帯が“2010/5/21 13:00:00.000000〜13:00:59.999999”、サーバが“10.0.0.11:80”、回数が“10”(回)という情報が設定される。 In the interruption count table 142, for example, the item number is “101”, the time zone is “2010/5/21 13: 00: 00.000000 to 13: 00: 59.99999999”, and the server is “10.0.0”. .11: 80 ”and information“ 10 ”(times) are set.
これは、上記時間帯において、各端末装置からWebサーバ200に対して処理中断を伴うRSTパケットが“10”回、送信されたことを示している。
次に、第4の実施の形態の解析装置100の処理手順を説明する。ここで、ペア抽出処理については、図13に示した第2の実施の形態のペア抽出処理と同様であるため、説明を省略する。
This indicates that the RST packet accompanied by the processing interruption is transmitted “10” times from each terminal device to the
Next, a processing procedure of the
なお、解析部190は、ペア抽出処理によって得られた中断ペアテーブル141を参照して、中断回数テーブル142,142a,142bを生成し、中断ペア情報記憶部140に予め格納している。
The
図20は、第4の実施の形態の解析処理を示すフローチャートである。以下、各処理をステップ番号に沿って説明する。
[ステップS51]解析部190は、解析対象とするURLを特定する。解析部190は、例えば、システム管理者によるURLの選択入力を受け付けて、解析対象のURLを特定する。
FIG. 20 is a flowchart illustrating analysis processing according to the fourth embodiment. Hereinafter, each process is demonstrated along a step number.
[Step S51] The
[ステップS52]解析部190は、制御情報記憶部150に記憶されたURL管理テーブル151を参照して、解析対象のURLに対応する各Webサーバおよび、そのIPアドレスを特定する。解析部190は、例えば、“URL−A”が選択されている場合、URL管理テーブル151から“サーバA1”、“サーバA2”、“サーバA3”に対応するWebサーバ200,300,400のIPアドレスを特定する。
[Step S52] The
[ステップS53]解析部190は、中断ペア情報記憶部140に記憶された中断回数テーブル142,142a,142bを参照して、各Webサーバの中断回数を取得する。解析対象とする期間(例えば、過去1時間分、過去1日分など)は制御情報記憶部150に予め設定される。解析部190は、当該解析対象期間内で得た中断回数を取得すればよい。そして、解析部190は、URL単位で単位時間当たりの中断回数の頻度分布を算出する。
[Step S53] The
[ステップS54]解析部190は、URL単位に求めた中断回数の頻度分布について、平均値Mと標準偏差Dを取得する。
[ステップS55]解析部190は、各Webサーバで単位時間当たりの中断回数の頻度分布を算出する。なお、各Webサーバでの中断回数の頻度分布は、URL単位の中断回数の頻度分布と同じ解析対象期間について求めてもよいし、それより短くてもよい。例えば、過去1分間〜5分間などの期間について、各Webサーバにつき中断回数の頻度分布を取得すれば、各Webサーバの直近の異常の有無をリアルタイムに解析できる。
[Step S54] The
[Step S55] The
[ステップS56]解析部190は、各WebサーバについてステップS55で算出した頻度分布に基づき、中断回数がM+K(Kは定数)以上であるWebサーバが存在するか否かを判定する。存在する場合、処理をステップS58に進める。存在しない場合、処理をステップS57に進める。ここで、Kは、システムの稼働状況に応じて予め定義される。例えば、K=2×Dである。
[Step S56] Based on the frequency distribution calculated in step S55 for each Web server, the
[ステップS57]解析部190は、各WebサーバについてステップS55で算出した頻度分布に基づき、中断回数がM+L(LはL<Kの定数)以上であるWebサーバがURLに対応するWebサーバの半数以上存在するか否かを判定する。半数以上存在する場合、処理をステップS58に進める。半数以上存在しない場合、処理を完了する。ここで、Lは、システムの稼働状況に応じて予め定義される。例えば、L=Dである。
[Step S57] Based on the frequency distribution calculated in step S55 for each Web server, the
[ステップS58]解析部190は、ステップS56またはステップS57の各条件を満たすWebサーバについて異常が発生している旨を報知部195に通知する。報知部195は、通知を受けたWebサーバで異常が発生している旨を報知する。
[Step S58] The
このようにして、解析装置100は、URL単位の中断回数の頻度分布と、そのURLに対応するWebサーバ単位の中断回数の頻度分布と、を比較する。そして、URL単位の中断回数の頻度分布から求めた閾値を超えて中断ペアの発生したWebサーバで異常が発生していると判断する。
In this way, the
次に上記解析処理の具体例を説明する。
図21は、第4の実施の形態の解析処理の具体例を示す第1の図である。図21(A)は“URL−A”単位の中断回数の頻度分布840を例示している。図21(B)はWebサーバ200(サーバA1)の中断回数の頻度分布841を例示している。なお、図21では、Webサーバ300,400の中断回数の頻度分布は図示を省略している。
Next, a specific example of the analysis process will be described.
FIG. 21 is a first diagram illustrating a specific example of analysis processing according to the fourth embodiment. FIG. 21A illustrates the
ここで、閾値K=M+2×標準偏差D、閾値L=M+標準偏差Dとする。
図21(A)において、頻度分布840は、Webサーバ200,300,400で取得された単位時間当たりの中断ペアの発生回数を総合して得られた頻度分布である。頻度分布840には、その平均値Mと標準偏差Dが示されている。また、閾値K=M+2×D、閾値L=M+Dが示されている。
Here, it is assumed that the threshold value K = M + 2 × standard deviation D and the threshold value L = M + standard deviation D.
In FIG. 21A, a
図21(B)において、頻度分布841では、閾値K以上の中断回数が発生していることが分かる。この場合、解析部190は、Webサーバ200で異常が発生していると判断する。そして、解析部190は報知部195にWebサーバ200の異常を報知させる。
In FIG. 21B, it can be seen that in the
図22は、第4の実施の形態の解析処理の具体例を示す第2の図である。図22(A)は“URL−A”の中断回数の頻度分布850を例示している。図22(B)はWebサーバ200(サーバA1)の中断回数の頻度分布851を例示している。図22(C)はWebサーバ300(サーバA2)の中断回数の頻度分布852を例示している。なお、図22では、Webサーバ400の中断回数の頻度分布は図示を省略している。
FIG. 22 is a second diagram illustrating a specific example of analysis processing according to the fourth embodiment. FIG. 22A illustrates the
ここで、図21と同様、閾値K=M+2×標準偏差D、閾値L=M+標準偏差Dとする。
図22(A)において、頻度分布850は、Webサーバ200,300,400で取得された単位時間当たりの中断ペアの発生回数を総合して得られた頻度分布である。頻度分布850には、その平均値Mと標準偏差Dが示されている。また、閾値K=2×D、閾値L=Dが示されている。
Here, as in FIG. 21, the threshold value K = M + 2 × standard deviation D and the threshold value L = M + standard deviation D are set.
In FIG. 22A, the
図22(B)において、頻度分布851では、閾値K以上の中断回数が発生していないことが分かる。更に、閾値L以上の中断回数が発生していることが分かる。
図22(C)において、頻度分布852では、閾値K以上の中断回数が発生していないことが分かる。更に、閾値L以上の中断回数が発生していることが分かる。
In FIG. 22B, it can be seen that the number of interruptions equal to or greater than the threshold value K does not occur in the
In FIG. 22C, it can be seen that in the
この場合、解析部190は、閾値L以上の中断回数の発生しているWebサーバが、“URL−A”を構成する3台のうちの2台、すなわち、全Webサーバの半数以上存在することを検知する。すると、解析部190は、該当するWebサーバ200,300で異常が発生していると判断する。そして、解析部190は、報知部195にWebサーバ200,300の異常を報知させる。
In this case, the
次に、各Webサーバの直近の時間帯の中断回数を取得して、異常を検出する場合の具体例を説明する。
図23は、第4の実施の形態の解析処理の具体例を示す第3の図である。図23(A)のグラフ860は、“2010/5/21 13:00:00〜13:00:59”の過去1分間にWebサーバ200,300,400で発生した中断回数を示す。図23(B)のグラフ870は、“2010/5/21 14:00:00〜14:00:59”の過去1分間にWebサーバ200,300,400で発生した中断回数を示す。
Next, a specific example in which an abnormality is detected by acquiring the number of interruptions in the latest time zone of each Web server will be described.
FIG. 23 is a third diagram illustrating a specific example of analysis processing according to the fourth embodiment. A
なお、“URL−A”を単位として、過去の解析対象期間につき中断回数の頻度分布が求められており、平均値Mおよび標準偏差Dが取得されているとする。更に、閾値K=M+2D、閾値L=M+Dとする。 It is assumed that the frequency distribution of the number of interruptions is obtained for the past analysis target period in units of “URL-A”, and the average value M and the standard deviation D are acquired. Further, it is assumed that the threshold value K = M + 2D and the threshold value L = M + D.
図23(A)において、グラフ860の例では、Webサーバ400が当該時間帯において中断回数が閾値Kを上回っている。このため、解析部190は、Webサーバ400で異常が発生していると判断する。そして、解析部190は、報知部195にWebサーバ400の異常を報知させる。
In FIG. 23A, in the example of the
図23(B)において、グラフ870の例では、Webサーバ200,300,400の何れの中断回数も閾値Kを上回っていない。一方、Webサーバ200,300が当該時間帯において中断回数が閾値Lを上回っている。この場合、解析部190は、閾値L以上の中断回数の発生しているWebサーバが“URL−A”を構成する3台のうちの2台、すなわち、全Webサーバの半数以上存在することを検知する。すると、解析部190は、該当するWebサーバ200,300で異常が発生していると判断する。そして、解析部190は、報知部195にWebサーバ200,300の異常を報知させる。
23B, in the example of the
このように、各Webサーバについて、直近の時間帯の中断回数を取得して、閾値K,Lと比較することで、各Webサーバにつきリアルタイムに異常検出を行うことができる。 As described above, for each Web server, the number of interruptions in the most recent time zone is acquired and compared with the threshold values K and L, whereby abnormality detection can be performed in real time for each Web server.
なお、グラフ860において、閾値K以上の中断回数が1度でも発生している場合には異常を検知するものとしたが、更に条件を設けて異常検出の精度を向上してもよい。例えば、グラフ860を所定期間継続的に取得し続けて、複数回連続で閾値Kを上回ったWebサーバを異常と判断してもよい。
In the
また、所定の周期でグラフ860を取得し、中断回数が閾値を上回った回数が一定期間内に一定回数以上あったWebサーバを異常と判断してもよい。例えば、10分間に3回、閾値Kを超える回数の中断が発生している場合に、異常と判断してもよい。
Alternatively, the
このように、各Webサーバで取得した中断ペアを総合して、これをURL単位で解析することで、当該URLに対応する各Webサーバの異常を容易に検出できる。
また、第2,第3の実施の形態の解析処理に加えて、第4の実施の形態の解析処理を行うこともできる。例えば、解析部190は、第2の実施の形態の解析結果と第3の実施の形態の解析結果と第4の実施の形態の解析結果とを照合して、全ての解析結果で異常ありとされたWebサーバについて、報知部195にアラートの出力を指示することができる。これにより、何れか一つの解析結果で判断するよりも、異常検出の精度を一層向上できる。
As described above, the interruption pairs acquired by the respective Web servers are combined and analyzed in units of URLs, so that an abnormality of each Web server corresponding to the URL can be easily detected.
In addition to the analysis processing of the second and third embodiments, the analysis processing of the fourth embodiment can also be performed. For example, the
なお、第2〜第4の実施の形態で示した解析装置100により稼働監視を行うことで、各Webサーバで個別に異常を検出するための機能を組み込む必要がなくなる。よって、監視機能の導入コストを軽減できる。また、各Webサーバで検出処理を実行する必要がない。よって、各Webサーバの本来の処理に与える影響を軽減できる。このため、従来のように個々のサーバで異常検出を行う場合に比べて、情報処理システム全体の統合管理を効率的に行えるという利点もある。
Note that by performing operation monitoring using the
以上の実施の形態に関し、更に以下の付記を開示する。
(付記1) 複数の端末装置と情報処理装置との間で送受信される通信情報を取得して記憶手段に格納し、
取得した通信情報が処理の中断要求である場合、前記記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して前記記憶手段に格納し、
前記記憶手段に記憶された中断ペア情報を用いて前記情報処理装置による処理の実行状況を解析する、
処理をコンピュータに実行させることを特徴とする解析プログラム。
Regarding the above embodiment, the following additional notes are disclosed.
(Supplementary Note 1) Acquire communication information transmitted and received between a plurality of terminal devices and an information processing device, store the communication information in a storage unit,
When the acquired communication information is a process interruption request, communication information indicating an execution request for the process interrupted by the interruption request is extracted from the storage unit, and information indicating a combination of the interruption request and the execution request Generate some interrupted pair information and store it in the storage means,
Analyzing the execution status of the processing by the information processing apparatus using the interrupted pair information stored in the storage means;
An analysis program characterized by causing a computer to execute processing.
(付記2) 前記記憶手段に記憶された通信履歴を参照して、当該中断要求よりも前に、当該中断要求を送信した端末装置が前記情報処理装置に送信した実行要求であって、当該実行要求に対して前記情報処理装置から当該中断要求を送信した端末装置に処理応答が送信されていない実行要求を抽出することで前記中断ペア情報を生成する、
処理をコンピュータに実行させることを特徴とする付記1記載の解析プログラム。
(Additional remark 2) It is the execution request which the terminal device which transmitted the said interruption request | requirement transmitted to the said information processing apparatus before the said interruption request with reference to the communication history memorize | stored in the said memory | storage means, Comprising: The interrupt pair information is generated by extracting an execution request in which a processing response has not been transmitted from the information processing apparatus to the terminal apparatus that has transmitted the interrupt request in response to the request.
The analysis program according to
(付記3) 取得した通信情報が処理応答である場合、前記記憶手段から当該処理応答に対応する処理の実行要求を示す通信情報を抽出し、当該処理応答と当該実行要求との組合せを示す情報である正常ペア情報を生成して前記記憶手段に格納し、
前記記憶手段に記憶された中断ペア情報と前記記憶手段に記憶された正常ペア情報とを用いて、前記情報処理装置による処理の異常を検出する、
処理をコンピュータに実行させることを特徴とする付記1または2の何れか一項に記載の解析プログラム。
(Additional remark 3) When the acquired communication information is a process response, the communication information which shows the execution request of the process corresponding to the said process response is extracted from the said memory | storage means, and the information which shows the combination of the said process response and the said execution request Normal pair information is generated and stored in the storage means,
Using the interrupted pair information stored in the storage unit and the normal pair information stored in the storage unit, an abnormality in processing by the information processing apparatus is detected.
The analysis program according to any one of
(付記4) 前記記憶手段に記憶された複数の正常ペア情報それぞれに含まれる実行要求と処理応答との時間差の分布を示す第1の時間差分布に基づいて所定の時間差閾値を算出し、
前記記憶手段に記憶された複数の中断ペア情報それぞれに含まれる実行要求と中断要求との時間差の分布を示す第2の時間差分布に基づいて所定の判定値を算出し、
前記判定値が前記時間差閾値以上である場合に、前記情報処理装置を異常として検出する、
処理をコンピュータに実行させることを特徴とする付記3記載の解析プログラム。
(Supplementary Note 4) A predetermined time difference threshold value is calculated based on a first time difference distribution indicating a time difference distribution between an execution request and a processing response included in each of the plurality of normal pair information stored in the storage unit,
A predetermined determination value is calculated based on a second time difference distribution indicating a time difference distribution between the execution request and the interruption request included in each of the plurality of interruption pair information stored in the storage unit;
Detecting the information processing apparatus as abnormal when the determination value is equal to or greater than the time difference threshold;
The analysis program according to
(付記5) 前記判定値は、前記第2の時間差分布の所定の基準値に基づいて算出される値であることを特徴とする付記4記載の解析プログラム。
(付記6) 前記中断ペア情報は、所定のサービスを提供する複数の前記情報処理装置それぞれに対応付けて前記記憶手段に格納されており、
複数の前記情報処理装置に関する中断ペア情報それぞれに含まれる実行要求と中断要求との時間差の分布を示す第3の時間差分布と、複数の前記情報処理装置の何れか1つである解析対象の情報処理装置に関する中断ペア情報それぞれに含まれる実行要求と中断要求との時間差の分布を示す第4の時間差分布と、を比較することで、当該解析対象の情報処理装置の異常を検出する、
処理をコンピュータに実行させることを特徴とする付記1または2の何れか一項に記載の解析プログラム。
(Supplementary Note 5) The analysis program according to
(Additional remark 6) The said interruption pair information is matched with each of several said information processing apparatus which provides a predetermined | prescribed service, and is stored in the said memory | storage means,
A third time difference distribution indicating a time difference distribution between the execution request and the interruption request included in each of the interruption pair information regarding the plurality of information processing apparatuses, and information on an analysis target that is any one of the plurality of information processing apparatuses Detecting an abnormality in the information processing apparatus to be analyzed by comparing the execution request included in each of the interrupt pair information related to the processing device and a fourth time difference distribution indicating the distribution of the time difference between the interrupt requests;
The analysis program according to any one of
(付記7) 前記第3の時間差分布に基づいて、所定の時間差閾値を算出し、
前記第4の時間差分布に基づいて、所定の判定値を算出し、
前記判定値が前記時間差閾値以上である場合に、前記解析対象の情報処理装置を異常として検出する、
処理をコンピュータに実行させることを特徴とする付記6記載の解析プログラム。
(Supplementary note 7) Based on the third time difference distribution, a predetermined time difference threshold is calculated,
Based on the fourth time difference distribution, a predetermined determination value is calculated,
When the determination value is equal to or greater than the time difference threshold, the information processing apparatus to be analyzed is detected as abnormal.
The analysis program according to
(付記8) 前記判定値は、前記第4の時間差分布の所定の基準値に基づいて算出される値であることを特徴とする付記7記載の解析プログラム。
(付記9) 前記中断ペア情報は、所定のサービスを提供する複数の前記情報処理装置それぞれに対応付けて前記記憶手段に格納されており、
複数の前記情報処理装置に関する中断ペア情報の単位時間あたりの取得頻度を示す頻度分布を算出し、当該頻度分布に基づいて所定の中断回数閾値を算出し、
複数の前記情報処理装置それぞれに関する中断ペア情報の所定期間の取得回数と前記中断回数閾値とに基づいて、複数の前記情報処理装置それぞれの異常を検出する、
処理をコンピュータに実行させることを特徴とする付記1または2の何れか一項に記載の解析プログラム。
(Supplementary note 8) The analysis program according to
(Additional remark 9) The said interruption pair information is matched with each of several said information processing apparatus which provides a predetermined | prescribed service, and is stored in the said memory | storage means,
Calculating a frequency distribution indicating an acquisition frequency per unit time of interrupted pair information related to a plurality of the information processing devices, calculating a predetermined interrupt frequency threshold based on the frequency distribution,
Detecting an abnormality of each of the plurality of information processing devices based on the number of acquisitions of the interrupted pair information for each of the plurality of information processing devices in a predetermined period and the threshold for the number of interruptions.
The analysis program according to any one of
(付記10) 複数の端末装置と情報処理装置との間で送受信される通信情報を取得して記憶手段に格納する受信手段と、
取得した通信情報が処理の中断要求である場合、前記記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して前記記憶手段に格納する抽出手段と、
前記記憶手段に記憶された中断ペア情報を用いて前記情報処理装置による処理の実行状況を解析する解析手段と、
を有することを特徴とする解析装置。
(Additional remark 10) The receiving means which acquires the communication information transmitted / received between several terminal devices and information processing apparatus, and stores it in a memory | storage means,
When the acquired communication information is a process interruption request, communication information indicating an execution request for the process interrupted by the interruption request is extracted from the storage unit, and information indicating a combination of the interruption request and the execution request Extraction means for generating certain interrupted pair information and storing it in the storage means;
Analyzing means for analyzing the execution status of the processing by the information processing apparatus using the interrupted pair information stored in the storage means;
The analysis apparatus characterized by having.
(付記11) 解析装置が、
複数の端末装置と情報処理装置との間で送受信される通信情報を取得して記憶手段に格納し、
取得した通信情報が処理の中断要求である場合、前記記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して前記記憶手段に格納し、
前記記憶手段に記憶された中断ペア情報を用いて前記情報処理装置による処理の実行状況を解析する、
ことを特徴とする解析方法。
(Appendix 11) The analysis device is
Acquire communication information transmitted and received between the plurality of terminal devices and the information processing device, and store in the storage means,
When the acquired communication information is a process interruption request, communication information indicating an execution request for the process interrupted by the interruption request is extracted from the storage unit, and information indicating a combination of the interruption request and the execution request Generate some interrupted pair information and store it in the storage means,
Analyzing the execution status of the processing by the information processing apparatus using the interrupted pair information stored in the storage means;
An analysis method characterized by that.
1 解析装置
1a 記憶手段
1b 受信手段
1c 抽出手段
1d 解析手段
2 情報処理装置
3,4 端末装置
5 通信履歴
5a,5c 実行要求
5b 処理応答
5d 中断要求
6,6a 中断ペア情報
7,7a 正常ペア情報
Ta,Tb 時間差
DESCRIPTION OF
Claims (7)
取得した通信情報が処理の中断要求である場合、前記記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して前記記憶手段に格納し、
前記記憶手段に記憶された中断ペア情報を用いて前記情報処理装置による処理の実行状況を解析する、
処理をコンピュータに実行させることを特徴とする解析プログラム。 Acquire communication information transmitted and received between the plurality of terminal devices and the information processing device, and store in the storage means,
When the acquired communication information is a process interruption request, communication information indicating an execution request for the process interrupted by the interruption request is extracted from the storage unit, and information indicating a combination of the interruption request and the execution request Generate some interrupted pair information and store it in the storage means,
Analyzing the execution status of the processing by the information processing apparatus using the interrupted pair information stored in the storage means;
An analysis program characterized by causing a computer to execute processing.
前記記憶手段に記憶された中断ペア情報と前記記憶手段に記憶された正常ペア情報とを用いて、前記情報処理装置による処理の異常を検出する、
処理を前記コンピュータに実行させることを特徴とする請求項1記載の解析プログラム。 When the acquired communication information is a process response, communication information indicating an execution request for the process corresponding to the process response is extracted from the storage unit, and a normal pair that is information indicating a combination of the process response and the execution request Information is generated and stored in the storage means;
Using the interrupted pair information stored in the storage unit and the normal pair information stored in the storage unit, an abnormality in processing by the information processing apparatus is detected.
The analysis program according to claim 1, which causes the computer to execute processing.
前記記憶手段に記憶された複数の中断ペア情報それぞれに含まれる実行要求と中断要求との時間差の分布を示す第2の時間差分布に基づいて所定の判定値を算出し、
前記判定値が前記時間差閾値以上である場合に、前記情報処理装置を異常として検出する、
処理を前記コンピュータに実行させることを特徴とする請求項2記載の解析プログラム。 A predetermined time difference threshold is calculated based on a first time difference distribution indicating a time difference distribution between an execution request and a processing response included in each of the plurality of normal pair information stored in the storage unit;
A predetermined determination value is calculated based on a second time difference distribution indicating a time difference distribution between the execution request and the interruption request included in each of the plurality of interruption pair information stored in the storage unit;
Detecting the information processing apparatus as abnormal when the determination value is equal to or greater than the time difference threshold;
The analysis program according to claim 2, which causes the computer to execute processing.
複数の前記情報処理装置に関する中断ペア情報それぞれに含まれる実行要求と中断要求との時間差の分布を示す第3の時間差分布と、複数の前記情報処理装置の何れか1つである解析対象の情報処理装置に関する中断ペア情報それぞれに含まれる実行要求と中断要求との時間差の分布を示す第4の時間差分布と、を比較することで、当該解析対象の情報処理装置の異常を検出する、
処理を前記コンピュータに実行させることを特徴とする請求項1記載の解析プログラム。 The suspended pair information is stored in the storage means in association with each of the plurality of information processing devices that provide a predetermined service,
A third time difference distribution indicating a time difference distribution between the execution request and the interruption request included in each of the interruption pair information regarding the plurality of information processing apparatuses, and information on an analysis target that is any one of the plurality of information processing apparatuses Detecting an abnormality in the information processing apparatus to be analyzed by comparing the execution request included in each of the interrupt pair information related to the processing device and a fourth time difference distribution indicating the distribution of the time difference between the interrupt requests;
The analysis program according to claim 1, which causes the computer to execute processing.
複数の前記情報処理装置に関する中断ペア情報の単位時間あたりの取得頻度を示す頻度分布を算出し、当該頻度分布に基づいて所定の中断回数閾値を算出し、
複数の前記情報処理装置それぞれに関する中断ペア情報の所定期間の取得回数と前記中断回数閾値とに基づいて、複数の前記情報処理装置それぞれの異常を検出する、
処理を前記コンピュータに実行させることを特徴とする請求項1記載の解析プログラム。 The suspended pair information is stored in the storage means in association with each of the plurality of information processing devices that provide a predetermined service,
Calculating a frequency distribution indicating an acquisition frequency per unit time of interrupted pair information related to a plurality of the information processing devices, calculating a predetermined interrupt frequency threshold based on the frequency distribution,
Detecting an abnormality of each of the plurality of information processing devices based on the number of acquisitions of the interrupted pair information for each of the plurality of information processing devices in a predetermined period and the threshold for the number of interruptions.
The analysis program according to claim 1, which causes the computer to execute processing.
取得した通信情報が処理の中断要求である場合、前記記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して前記記憶手段に格納する抽出手段と、
前記記憶手段に記憶された中断ペア情報を用いて前記情報処理装置による処理の実行状況を解析する解析手段と、
を有することを特徴とする解析装置。 Receiving means for acquiring communication information transmitted and received between the plurality of terminal devices and the information processing apparatus and storing it in the storage means;
When the acquired communication information is a process interruption request, communication information indicating an execution request for the process interrupted by the interruption request is extracted from the storage unit, and information indicating a combination of the interruption request and the execution request Extraction means for generating certain interrupted pair information and storing it in the storage means;
Analyzing means for analyzing the execution status of the processing by the information processing apparatus using the interrupted pair information stored in the storage means;
The analysis apparatus characterized by having.
複数の端末装置と情報処理装置との間で送受信される通信情報を取得して記憶手段に格納し、
取得した通信情報が処理の中断要求である場合、前記記憶手段から当該中断要求により中断される処理の実行要求を示す通信情報を抽出し、当該中断要求と当該実行要求との組合せを示す情報である中断ペア情報を生成して前記記憶手段に格納し、
前記記憶手段に記憶された中断ペア情報を用いて前記情報処理装置による処理の実行状況を解析する、
ことを特徴とする解析方法。 Analysis device
Acquire communication information transmitted and received between the plurality of terminal devices and the information processing device, and store in the storage means,
When the acquired communication information is a process interruption request, communication information indicating an execution request for the process interrupted by the interruption request is extracted from the storage unit, and information indicating a combination of the interruption request and the execution request Generate some interrupted pair information and store it in the storage means,
Analyzing the execution status of the processing by the information processing apparatus using the interrupted pair information stored in the storage means;
An analysis method characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010214659A JP2012069021A (en) | 2010-09-27 | 2010-09-27 | Analysis program, analyzer and analysis method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010214659A JP2012069021A (en) | 2010-09-27 | 2010-09-27 | Analysis program, analyzer and analysis method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012069021A true JP2012069021A (en) | 2012-04-05 |
Family
ID=46166189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010214659A Withdrawn JP2012069021A (en) | 2010-09-27 | 2010-09-27 | Analysis program, analyzer and analysis method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012069021A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017004544A (en) * | 2012-12-19 | 2017-01-05 | アマゾン テクノロジーズ インコーポレイテッド | Interactivity analyses of web resources based on reload events |
JPWO2017145372A1 (en) * | 2016-02-26 | 2018-11-22 | 三菱重工機械システム株式会社 | Toll collection system and soundness judgment method |
-
2010
- 2010-09-27 JP JP2010214659A patent/JP2012069021A/en not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017004544A (en) * | 2012-12-19 | 2017-01-05 | アマゾン テクノロジーズ インコーポレイテッド | Interactivity analyses of web resources based on reload events |
JPWO2017145372A1 (en) * | 2016-02-26 | 2018-11-22 | 三菱重工機械システム株式会社 | Toll collection system and soundness judgment method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5732767B2 (en) | PROCESSING DEVICE, PROCESSING METHOD, PROCESSING PROGRAM, COMPUTER-READABLE RECORDING MEDIUM CONTAINING THE PROGRAM | |
US9112808B2 (en) | Devices, systems, and methods for providing data | |
JP2022500963A (en) | Network security monitoring methods, network security monitoring devices and systems | |
US9369521B2 (en) | Naming of distributed business transactions | |
US7281172B2 (en) | Fault information collection program and apparatus | |
CN105144137B (en) | The Interaction Analysis that Internet resources are carried out based on event of reloading | |
KR102076862B1 (en) | Network performance indicator visualization method and apparatus, and system | |
KR102076861B1 (en) | Network performance diagnosis method and apparatus, and system | |
CN106953758A (en) | A kind of dynamic allocation management method and system based on Nginx servers | |
JP5471859B2 (en) | Analysis program, analysis method, and analysis apparatus | |
US20070130330A1 (en) | System for inventing computer systems and alerting users of faults to systems for monitoring | |
WO2020248658A1 (en) | Abnormal account detection method and apparatus | |
US20140189431A1 (en) | Method and system for monitoring transaction execution on a computer network and computer storage medium | |
JP5434562B2 (en) | Operation management program, operation management apparatus, and operation management method | |
JP5454363B2 (en) | Analysis program, analysis apparatus, and analysis method | |
WO2015136624A1 (en) | Application performance monitoring method and device | |
JP2014102661A (en) | Application determination program, fault detection device, and application determination method | |
US7711518B2 (en) | Methods, systems and computer program products for providing system operational status information | |
US9760874B2 (en) | Transaction tracing in a network environment | |
US20150113337A1 (en) | Failure symptom report device and method for detecting failure symptom | |
US20170012837A1 (en) | Transaction Identification in a Network Environment | |
US20130060835A1 (en) | Techniques for gauging performance of services | |
CN112954372B (en) | Streaming media fault monitoring method and device | |
JP2012069021A (en) | Analysis program, analyzer and analysis method | |
US20090158108A1 (en) | Error detection and recovery using an asynchronous transaction journal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20131203 |