JP2014003353A - Network device, network system, and alert information processing method - Google Patents

Network device, network system, and alert information processing method Download PDF

Info

Publication number
JP2014003353A
JP2014003353A JP2012135475A JP2012135475A JP2014003353A JP 2014003353 A JP2014003353 A JP 2014003353A JP 2012135475 A JP2012135475 A JP 2012135475A JP 2012135475 A JP2012135475 A JP 2012135475A JP 2014003353 A JP2014003353 A JP 2014003353A
Authority
JP
Japan
Prior art keywords
alert
network
processing
output
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012135475A
Other languages
Japanese (ja)
Other versions
JP5793762B2 (en
Inventor
Mei Takada
芽衣 高田
Hiroo Miyamoto
啓生 宮本
Nobuyuki Muranaka
延之 村中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012135475A priority Critical patent/JP5793762B2/en
Publication of JP2014003353A publication Critical patent/JP2014003353A/en
Application granted granted Critical
Publication of JP5793762B2 publication Critical patent/JP5793762B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To detect and record an alert without interfering with data communication.SOLUTION: A network device connected, via a network, to a management device for collecting data comprises a plurality of communication processing processes for controlling communication according to a prescribed communication protocol, and an alert output process for outputting alert information to the management device. The plurality of communication processing processes perform first filtering in which they detect the alert in their respective communication processing processes, apply first statistical processing to the detected alert, and output alert information generated based on the result of the first statistical processing to the alert output process. The alert output process performs second filtering in which it applies second statistical processing to the alert information on the plurality of communication processing processes using the degree of congestion of the network, and outputs alert information selected based on the result of the second statistical processing to the management device.

Description

本発明は、制御系システムのネットワーク装置に関し、特に、ネットワークの状態を利用したアラート情報の処理方法に関する。   The present invention relates to a network apparatus of a control system, and more particularly to a method for processing alert information using a network state.

電力会社が保有する配電制御システム、及び鉄道会社が保有する運行制御システム等の制御系システムにおいては、制御対象機器を有する拠点毎に制御用コントローラが設置されている。例えば、図10に示すように、変電所や線路の切替ポイント等の拠点毎に制御用コントローラ14が設置され、ローカルネットワーク11を介して接続された配下の設備機器12を局所的に制御している。更に、複数拠点の制御用コントローラ14は、広域ネットワークである自営網15を介して管理センタ16に接続され、管理センタ16に設置されたアプリケーションサーバ17が全体を管理している。   In a control system such as a power distribution control system owned by an electric power company and an operation control system owned by a railway company, a control controller is installed for each base having a device to be controlled. For example, as shown in FIG. 10, a control controller 14 is installed for each base such as a substation or a line switching point, and the subordinate equipment 12 connected via the local network 11 is locally controlled. Yes. Further, the control controllers 14 at a plurality of locations are connected to the management center 16 via a private network 15 which is a wide area network, and an application server 17 installed in the management center 16 manages the whole.

近年、システムの高効率化及びコストの低減を目的として、複数拠点に分散設置された制御用コントローラの機能を仮想化して管理センタのアプリケーションサーバに集約する、いわゆるクラウド化が進展している。広域ネットワークについても、自営網より安価な通信キャリア網を利用する需要が高まっている。   In recent years, for the purpose of improving the efficiency of the system and reducing the cost, so-called cloud development is progressing, in which functions of control controllers distributed and installed at a plurality of bases are virtualized and aggregated in an application server of a management center. For wide area networks, there is a growing demand for using communication carrier networks that are cheaper than private networks.

”Cyber SecuritySystems Security Management”,NERC CIP−007−5,2011年"Cyber Security Systems Security Management", NERC CIP-007-5, 2011

このようなシステム構成の変化によって、次の2点の課題が新たに発生する。
1)拠点に設置された制御用コントローラが、従来のサーバ相当のハードウェアから、組み込み機器のように低コストで簡単なネットワーク相互接続装置に置き換えられるので、拠点側の処理能力が低下する。
2)通信キャリア網の種類(例えば、無線ネットワーク)によってはネットワークの通信容量が細い。このため、使用するネットワークが自営網から通信キャリア網に変わることによって、ネットワークのスループット及び遅延が不安定になる。 Due to such changes in the system configuration, the following two new problems arise.
1) Since the controller for control installed at the site is replaced with a simple network interconnection device at a low cost such as a built-in device from hardware equivalent to a conventional server, the processing capability on the site side is lowered.
2) Depending on the type of communication carrier network (for example, wireless network), the communication capacity of the network is small. For this reason, when the network to be used is changed from the private network to the communication carrier network, the throughput and delay of the network become unstable.

一方、制御系システムは、前述のようにシステム構成が変化しても、従来と変わらぬ高信頼性が要求される点が一般的な情報系システムと異なる。例えば、米国の配電制御システムの分野では、NERC(North American Electric Reliability Corporation)が、信頼性を担保するための標準規格としてCIP(Critical Infrastructure Protection)を制定している。CIPでは、制御系システムの各構成要素において異常と定義される事象は常に検知可能とし、事象発生の記録をログとして残すよう規定されている。   On the other hand, the control system is different from a general information system in that high reliability is required as in the conventional system even if the system configuration changes as described above. For example, in the field of power distribution control systems in the United States, NERC (North American Electric Reliability Corporation) has established CIP (Critical Infrastructure Protection) as a standard for ensuring reliability. In CIP, it is stipulated that an event defined as abnormal in each component of a control system can always be detected and a record of the occurrence of the event is left as a log.

前述のようにシステム構成が変化し、制御用コントローラがネットワーク相互接続装置に置き換えられ、ネットワークが自営網から通信キャリア網に変わった場合、ネットワーク相互接続装置には、通信処理の様々な異常事象(アラート)を全て検知、記録することが求められる。   As described above, when the system configuration is changed, the controller for control is replaced with the network interconnection device, and the network is changed from the private network to the communication carrier network, the network interconnection device has various abnormal events ( It is required to detect and record all alerts.

すなわち、このようにシステム構成が変化しても、制御系システムとして求められる高信頼性を担保することが新たな課題となる。   That is, even if the system configuration changes in this way, it becomes a new problem to ensure the high reliability required for the control system.

具体的には、前述した低コストで処理能力が低いネットワーク相互接続装置を用い、装置内で発生する全てのアラートを検知し、検知したアラートを出力する場合、複数プロセスで連鎖的に大量のアラートが発生することがある。この場合、プロセス間通信の負荷が大きくなり、本来の通信機能に支障をきたすおそれがある。   Specifically, when using the network interconnection device with the low cost and low processing capability described above, all alerts generated within the device are detected and the detected alerts are output. May occur. In this case, the load of inter-process communication is increased, and there is a possibility that the original communication function is hindered.

また、ネットワーク相互接続装置で発生した全てのアラートを、通信キャリア網を介して管理センタへ送る場合、ネットワークの回線容量を消費し、本来のデータ通信を妨げるおそれがあり、通信コストも高くなる。   Further, when all alerts generated in the network interconnection device are sent to the management center via the communication carrier network, the network capacity of the network may be consumed, the original data communication may be hindered, and the communication cost will be high.

このため、本発明は、低コストで処理能力が低いネットワーク相互接続装置や不安定な通信キャリア網を用いる場合でも、制御系システムとして本来必要なデータ通信を妨げることなく、装置内で発生する全てのアラートを検知及び記録可能とする方法を提供することを目的とする。   For this reason, the present invention does not interfere with data communication originally required as a control system system, even when using a low-cost and low-performance network interconnection device or an unstable communication carrier network. It is an object of the present invention to provide a method capable of detecting and recording an alert.

本発明の代表的な一例を示せば以下の通りである。すなわち、通信端末からのデータを収集する管理装置とネットワークを介して接続されるネットワーク装置であって、所定の通信プロトコルによる通信を制御する複数の通信処理プロセスと、前記管理装置にアラート情報を出力するアラート出力プロセスとを備え、前記複数の通信処理プロセスは、各通信処理プロセスにおけるアラートを検知し、前記検知されたアラートを第1の統計処理し、前記第1の統計処理の結果に基づいて生成されたアラート情報を前記アラート出力プロセスに出力する第1のフィルタリングをし、前記アラート出力プロセスは、前記複数の通信処理プロセスからアラート情報を受信し、前記受信したアラート情報を第2の統計処理し、前記第2の統計処理の結果に基づいて選択されたアラート情報を前記管理装置に出力する第2のフィルタリングをする。   A typical example of the present invention is as follows. That is, a network device connected via a network to a management device that collects data from a communication terminal, and a plurality of communication processing processes that control communication using a predetermined communication protocol, and output alert information to the management device The plurality of communication processing processes detects an alert in each communication processing process, performs first statistical processing on the detected alert, and based on a result of the first statistical processing First filtering is performed to output the generated alert information to the alert output process, the alert output process receives alert information from the plurality of communication processing processes, and the received alert information is subjected to a second statistical process. And the alert information selected based on the result of the second statistical process is sent to the management device. The second filtering output.

本発明の代表的な一実施形態によれば、制御系システムとして求められる高信頼性を担保することができる。   According to a typical embodiment of the present invention, high reliability required as a control system can be ensured.

本発明の実施例の制御系システムの全体の構成図である。1 is an overall configuration diagram of a control system according to an embodiment of the present invention. 本発明の実施例のネットワーク相互接続装置の機能ブロック図である。It is a functional block diagram of the network interconnection apparatus of the Example of this invention. 本発明の実施例のネットワーク相互接続装置のソフトウェア実行時のプロセス起動状態を示す説明図である。It is explanatory drawing which shows the process starting state at the time of the software execution of the network interconnection apparatus of the Example of this invention. 本発明の実施例のネットワーク相互接続装置のブロック図である。It is a block diagram of the network interconnection apparatus of the Example of this invention. 本発明の実施例のアラート検知機能の詳細を示すブロック図である。It is a block diagram which shows the detail of the alert detection function of the Example of this invention. 本発明の実施例の入力アラートID定義テーブルの構成例を説明する図である。It is a figure explaining the structural example of the input alert ID definition table of the Example of this invention. 本発明の実施例の入力アラートID定義テーブルの構成要素となる項目の定義を説明する図である。It is a figure explaining the definition of the item used as the component of the input alert ID definition table of the Example of this invention. 本発明の実施例のアラート統計処理テーブルの構成例を説明する図である。It is a figure explaining the structural example of the alert statistical process table of the Example of this invention. 本発明の実施例のアラート統計処理テーブルの構成要素となる項目の定義を説明する図である。It is a figure explaining the definition of the item used as the component of the alert statistical processing table of the Example of this invention. 本発明の実施例のアラート出力機能の詳細を示すブロック図である。It is a block diagram which shows the detail of the alert output function of the Example of this invention. 本発明の実施例の統合アラート統計処理テーブルの構成例を説明する図である。It is a figure explaining the structural example of the integrated alert statistical processing table of the Example of this invention. 本発明の実施例の統合アラート統計処理テーブルの構成要素となる項目の定義を説明する図である。It is a figure explaining the definition of the item used as the component of the integrated alert statistical process table of the Example of this invention. 本発明に実施例のフィルタの構成を説明する図である。It is a figure explaining the structure of the filter of an Example to this invention. 従来の制御系システムの全体構成図である。It is a whole block diagram of the conventional control system.

以下、本発明の実施例を図面を用いて説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1は、本発明の実施例の制御系システムの全体の構成図である。   FIG. 1 is an overall configuration diagram of a control system according to an embodiment of the present invention.

図1において、広域ネットワーク(第1ネットワーク)であるWAN(Wide Area Network)25、及びローカルネットワーク(第2ネットワーク)であるLAN(Local Area Network)28は、ネットワーク相互接続装置21によって接続される。   In FIG. 1, a wide area network (first network) WAN (Wide Area Network) 25 and a local network (second network) LAN (Local Area Network) 28 are connected by a network interconnection device 21.

ネットワーク相互接続装置21は、ネットワーク間でデータを転送するための通信処理を行う。ネットワーク相互接続装置21は、暗号化など、ネットワーク相互接続に必要な他の処理を行ってもよい。   The network interconnection device 21 performs communication processing for transferring data between networks. The network interconnection device 21 may perform other processing necessary for network interconnection, such as encryption.

ローカルネットワーク28には、本制御系システムの制御及び監視の対象となる設備装置が接続される。設備装置には、温度センサ、監視カメラ、開閉器等のセンサ及びアクチュエータ等であり、通信端末22を介してネットワーク相互接続装置21と接続される。   The local network 28 is connected to a facility device to be controlled and monitored by the control system. The equipment devices are sensors such as temperature sensors, monitoring cameras, switches, actuators, and the like, and are connected to the network interconnection device 21 via the communication terminal 22.

広域ネットワーク25には、管理用計算機を有する管理センタ26が接続される。広域ネットワーク25には、通信キャリアが提供するネットワークを使用する。   A management center 26 having a management computer is connected to the wide area network 25. As the wide area network 25, a network provided by a communication carrier is used.

図2は、本発明の実施例のネットワーク相互接続装置21の機能ブロック図である。   FIG. 2 is a functional block diagram of the network interconnection device 21 according to the embodiment of this invention.

ネットワーク相互接続装置21内のローカルネットワーク受信機能31は、通信端末22から送出されたデータを受信する。受信したデータは、カプセル化機能32、プロトコル変換機能33などネットワーク相互接続に必要な処理を経て、広域ネットワーク送信機能34から広域ネットワーク25を経由して管理センタ26へ送出される。   The local network reception function 31 in the network interconnection device 21 receives data transmitted from the communication terminal 22. The received data is sent from the wide area network transmission function 34 to the management center 26 via the wide area network 25 through processing necessary for network interconnection such as the encapsulation function 32 and the protocol conversion function 33.

一方、ネットワーク相互接続装置内の広域ネットワーク受信機能35は、管理センタ26から送信された制御コマンドを、広域ネットワーク25を経由して受信する。受信した制御コマンドは、プロトコル変換機能36、デカプセル化機能37などネットワーク相互接続に必要な処理を経て、ローカルネットワーク送信機能38からローカルネットワーク28を経由して、通信端末22に送出される。   On the other hand, the wide area network reception function 35 in the network interconnection apparatus receives the control command transmitted from the management center 26 via the wide area network 25. The received control command is sent to the communication terminal 22 from the local network transmission function 38 via the local network 28 through processing necessary for network interconnection such as the protocol conversion function 36 and the decapsulation function 37.

アラート検知機能39は、通信処理において生じた異常事象を検知する。ログ記録機能310は、検知した異常事象を記録する。広域ネットワーク監視機能311は、広域ネットワーク25の通信状況を監視する。アラート出力機能312は、検知された異常事象に監視された通信状況に応じた処理を行った後、広域ネットワーク25へ出力する。アラート検知機能39、広域ネットワーク監視機能311及びアラート出力機能312の詳細は後述する。本実施形態のネットワーク相互接続装置21では、広域ネットワーク監視機能311が広域ネットワーク25の通信状況を監視することによって、通常のデータの送受信の処理と負荷を分散することができる。   The alert detection function 39 detects an abnormal event that has occurred in the communication process. The log recording function 310 records the detected abnormal event. The wide area network monitoring function 311 monitors the communication status of the wide area network 25. The alert output function 312 performs processing according to the communication status monitored by the detected abnormal event, and then outputs it to the wide area network 25. Details of the alert detection function 39, the wide area network monitoring function 311 and the alert output function 312 will be described later. In the network interconnection device 21 of the present embodiment, the wide area network monitoring function 311 monitors the communication status of the wide area network 25, so that the normal data transmission / reception processing and load can be distributed.

管理センタ26の管理用計算機は、プロセッサ及びメモリを有する計算機で、広域ネットワーク受信機能313、広域ネットワーク送信機能314、アラート表示機能315及び遅延測定機能316を有する。広域ネットワーク受信機能313は、ネットワーク相互接続装置21から送信されたデータを受信することによってネットワークの伝送遅延を算出する。広域ネットワーク送信機能314は、算出した遅延量をネットワーク相互接続装置21に通知する。アラート表示機能315は、ネットワーク相互接続装置21から送信されたアラートを表示するための表示装置である。遅延測定機能316は、広域ネットワーク25の伝送遅延を算出する。   The management computer of the management center 26 is a computer having a processor and a memory, and has a wide area network reception function 313, a wide area network transmission function 314, an alert display function 315, and a delay measurement function 316. The wide area network reception function 313 calculates the transmission delay of the network by receiving the data transmitted from the network interconnection device 21. The wide area network transmission function 314 notifies the network interconnection device 21 of the calculated delay amount. The alert display function 315 is a display device for displaying an alert transmitted from the network interconnection device 21. The delay measurement function 316 calculates the transmission delay of the wide area network 25.

図3は、本発明の実施例のネットワーク相互接続装置21のソフトウェア実行時のプロセス起動状態を示す説明図である。   FIG. 3 is an explanatory diagram showing a process activation state during software execution of the network interconnection device 21 according to the embodiment of this invention.

ネットワーク相互接続装置21のソフトウェア内において、図2で説明した各機能は、ソフトウェアとして実行される場合、概ね独立したプロセスとして動作している。例えばローカルネットワーク受信機能31は、ローカルネットワーク受信プロセス41と対応付けられ、広域ネットワーク送信機能34は、広域ネットワーク送信プロセス42と対応付けられる。カプセル化機能32及びプロトコル変換機能33などと対応付けられるプロセスは、常駐プロセスではなく、必要時のみ起動される。また、個々の機能とは別に、全体の動きを制御するメインプロセス47もある。   In the software of the network interconnection device 21, each function described with reference to FIG. 2 operates as a generally independent process when executed as software. For example, the local network reception function 31 is associated with the local network reception process 41, and the wide area network transmission function 34 is associated with the wide area network transmission process 42. The processes associated with the encapsulation function 32 and the protocol conversion function 33 are not resident processes and are activated only when necessary. In addition to the individual functions, there is also a main process 47 that controls the overall movement.

アラート検知機能39は、各プロセスに分散してアラート検知スレッド43として実装され、各プロセス内部で実行される複数のスレッドにおいて発生した異常事象を検知し、発生状況に応じた処理を行って、アラート出力プロセス44及びログ記録プロセス45に通知する。   The alert detection function 39 is distributed to each process and implemented as an alert detection thread 43. The alert detection function 39 detects an abnormal event that has occurred in a plurality of threads executed within each process, performs processing according to the occurrence state, and generates an alert. The output process 44 and the log recording process 45 are notified.

アラート検知機能39は、第1の統計処理及び第1のフィルタリングとして機能し、各プロセスで一定量以上のアラートが発生した際、プロセス内部の段階で(プロセス間通信を伴わないで)アラートの通知頻度及びデータ量を低減することによって、ネットワーク相互接続装置21の処理負荷を軽減する。   The alert detection function 39 functions as first statistical processing and first filtering. When an alert of a certain amount or more is generated in each process, notification of the alert is performed at a stage inside the process (without inter-process communication). By reducing the frequency and amount of data, the processing load on the network interconnection device 21 is reduced.

アラート出力機能312は、アラート出力プロセス44と対応付けられる。アラート出力プロセス44は、複数プロセスのアラート検知スレッドから出力された信号を、広域ネットワーク監視プロセス46から通知される広域ネットワーク25の通信状況に応じて処理し、広域ネットワーク25へ出力する。ログ記録機能310は、ログ記録プロセス45と対応付けられる。   The alert output function 312 is associated with the alert output process 44. The alert output process 44 processes the signal output from the alert detection thread of a plurality of processes according to the communication status of the wide area network 25 notified from the wide area network monitoring process 46 and outputs the processed signal to the wide area network 25. The log recording function 310 is associated with the log recording process 45.

図4は、本発明の実施例のネットワーク相互接続装置21のブロック図である。   FIG. 4 is a block diagram of the network interconnection device 21 according to the embodiment of this invention.

ネットワーク相互接続装置21は、ローカルネットワーク28と接続されるローカルネットワーク通信インターフェース(I/F)51、及び、広域ネットワーク25と接続される広域ネットワーク通信I/F52とを有する。ローカルネットワーク通信インターフェース(I/F)51及び接続される広域ネットワーク通信I/F52は、内部バス53を介してプロセッサ(CPU)54、ハードウェアアクセラレータ55及び演算用メモリ56と接続される。プロセッサ54には、プロセッサ54で実行されるプログラムを記憶するプログラム格納用メモリ57が接続される。プロセッサ54及びハードウェアアクセラレータ55は、処理部を構成し、演算用メモリ56及びプログラム格納用メモリ57は、記憶部を構成する。   The network interconnection device 21 includes a local network communication interface (I / F) 51 connected to the local network 28 and a wide area network communication I / F 52 connected to the wide area network 25. The local network communication interface (I / F) 51 and the connected wide area network communication I / F 52 are connected to a processor (CPU) 54, a hardware accelerator 55, and a calculation memory 56 via an internal bus 53. The processor 54 is connected to a program storage memory 57 that stores a program executed by the processor 54. The processor 54 and the hardware accelerator 55 constitute a processing unit, and the arithmetic memory 56 and the program storage memory 57 constitute a storage unit.

ハードウェアアクセラレータ55は、プロセッサ54で実行されるソフトウェア演算の一部をハードウェア回路に置換し、演算を高速化するものであって、FPGA(Field Programmable Gate Array)を使用してもよい。例えば、統計処理部61及び92(各々、アラート検知機能39及びアラート出力機能312に含まれる)、カプセル化機能32、デカプセル化機能37を、ハードウェアアクセラレータ55によってハードウェア化して、固定的な演算を高速化できる。   The hardware accelerator 55 replaces a part of software operations executed by the processor 54 with a hardware circuit to speed up the operations, and may use an FPGA (Field Programmable Gate Array). For example, the statistical processing units 61 and 92 (included in the alert detection function 39 and the alert output function 312, respectively), the encapsulation function 32, and the decapsulation function 37 are converted into hardware by the hardware accelerator 55, and fixed calculation is performed. Can be speeded up.

また、プログラム格納用メモリ57には、図3に示した各プロセスに対応するプログラム(例えば、ローカルネットワーク送信プログラム59、広域ネットワーク受信プログラム510、ログ記録プログラム511等)が格納される。図2に示した各機能は、プログラム格納用メモリ57に記憶されたプログラムを、CPU54が実行するソフトウェア処理によって実現することができる。   Further, the program storage memory 57 stores programs (for example, a local network transmission program 59, a wide area network reception program 510, a log recording program 511, etc.) corresponding to each process shown in FIG. Each function shown in FIG. 2 can be realized by software processing executed by the CPU 54 of a program stored in the program storage memory 57.

一方、演算用メモリ56は、各機能に対応するプログラムの実行状況に応じて、後述するアラート検知用統計情報512、広域ネットワーク混雑度情報513等を記憶する領域を有する。なお、後述するテーブルは、記憶部を構成する演算用メモリ56、プログラム格納用メモリ57のどちらに格納されてもよい。   On the other hand, the calculation memory 56 has an area for storing alert detection statistical information 512, wide area network congestion degree information 513, and the like, which will be described later, according to the execution status of programs corresponding to the functions. A table to be described later may be stored in either the calculation memory 56 or the program storage memory 57 constituting the storage unit.

図5は、本発明の実施例のアラート検知機能39の詳細を示すブロック図である。   FIG. 5 is a block diagram showing details of the alert detection function 39 according to the embodiment of the present invention.

前述したように、アラート検知機能39は各プロセスに分散して実装され、アラート検知部61、統計処理部62、アラート発生量計測部63及びフィルタ64を有する。アラート検知部61は、入力アラートID定義テーブル65を有し、統計処理部62は、アラート統計処理テーブル66を有する。   As described above, the alert detection function 39 is distributed and implemented in each process, and includes an alert detection unit 61, a statistical processing unit 62, an alert generation amount measurement unit 63, and a filter 64. The alert detection unit 61 has an input alert ID definition table 65, and the statistical processing unit 62 has an alert statistical processing table 66.

アラート検知部61は、各プロセス・スレッド内で行われる一連の通信関連の処理において、異常とみなされる事象が発生した場合、当該プロセス・スレッドにおける全てのアラートを検知する。統計処理部62は、検知されたアラートの通知頻度やデータ量を可逆的に圧縮する。例えば、不要な”0”データを削除することによって、データ量を圧縮することができる。アラート発生量計測部63は、当該プロセス内のアラート発生量を計測する。フィルタ64は、計測されたアラート発生量に応じて、統計処理後のアラート情報を選択し、アラート出力プロセス44に出力する。   The alert detection unit 61 detects all alerts in the process thread when an event considered abnormal occurs in a series of communication-related processes performed in each process thread. The statistical processing unit 62 reversibly compresses the notification frequency and data amount of the detected alert. For example, the data amount can be compressed by deleting unnecessary “0” data. The alert generation amount measuring unit 63 measures the alert generation amount in the process. The filter 64 selects the alert information after the statistical processing according to the measured alert generation amount, and outputs it to the alert output process 44.

図6Aは、本発明の実施例の入力アラートID定義テーブル65の構成例を説明する図であり、図6Bは、テーブルの構成要素となる項目の定義を示す。   FIG. 6A is a diagram illustrating a configuration example of the input alert ID definition table 65 according to the embodiment of this invention, and FIG. 6B illustrates definitions of items that are components of the table.

図6Aに示すように、入力アラートID定義テーブル65は、プロセスID、入力アラートID及びアラート内容を含む。   As shown in FIG. 6A, the input alert ID definition table 65 includes a process ID, an input alert ID, and alert contents.

入力アラートID定義テーブル65は、表形式ではなく、ソースコードに直接記載される固定値でもよいし、ソフトウェア動作中に特定のファイルを読み込んでパラメータとして設定されるものでもよい。なお、後述するアラート統計処理テーブル66及び統合アラート統計処理テーブル93も、入力アラートID定義テーブル65と同様に実装することができる。   The input alert ID definition table 65 may be a fixed value described directly in the source code instead of a table format, or may be set as a parameter by reading a specific file during software operation. Note that an alert statistical processing table 66 and an integrated alert statistical processing table 93, which will be described later, can also be implemented in the same manner as the input alert ID definition table 65.

図6Bに示すように、プロセスIDは、異常事象が発生したプロセスを識別するための識別子であり、例えば、「0x0」はメインプロセスなど、プロセス毎に定義される。入力アラートIDは、各プロセス内で発生するアラートの種別(異常事象そのもの)を識別するための識別子である。   As illustrated in FIG. 6B, the process ID is an identifier for identifying a process in which an abnormal event has occurred. For example, “0x0” is defined for each process such as a main process. The input alert ID is an identifier for identifying the type of alert (abnormal event itself) that occurs in each process.

図7Aは、本発明の実施例のアラート統計処理テーブル66の構成例を説明する図であり、図7Bは、テーブルの構成要素となる項目の定義を示す。   FIG. 7A is a diagram illustrating a configuration example of the alert statistical processing table 66 according to the embodiment of this invention, and FIG. 7B illustrates definitions of items that are components of the table.

アラート統計処理テーブル66は、フィルタ後アラートID、プロセスID、入力アラートID、フィルタ種別、累積計測時間T、累積アラート回数N、フィルタ有効化レベルを含む。   The alert statistical processing table 66 includes post-filter alert ID, process ID, input alert ID, filter type, cumulative measurement time T, cumulative alert count N, and filter validation level.

図7Bに示すように、プロセスIDは、異常事象が発生したプロセスを識別するための識別子である。入力アラートIDは、各プロセス内で発生するアラートの種別(異常事象そのもの)を識別するための識別子である。   As illustrated in FIG. 7B, the process ID is an identifier for identifying a process in which an abnormal event has occurred. The input alert ID is an identifier for identifying the type of alert (abnormal event itself) that occurs in each process.

フィルタ種別は、入力アラートID定義テーブル65に定義された各入力アラートIDに対して設定されるもので、本実施例では4種類のフィルタを定義する。
0x0:スルー(フィルタ処理をしない。)
0x1:ワンス(最初の1回のみアラートを出力し、フラグをONにする。それ以降は管理センタ26側からフラグをクリアするまで、アラートをマスクする。)
0x2:トグル(異常発生時に、アラートOFFからONへ、また、正常回復時にアラートONからOFFへの変化点のみを出力する。)
0x3:累積(計測時間T以内にN回入力されたら1回アラートを通過する。N回以下ならアラートをマスクする。)
なお、フィルタ種別が0x3(累積)の場合、単位計測時間T及び累積アラート発生回数閾値の定義が必要である。 The filter type is set for each input alert ID defined in the input alert ID definition table 65. In this embodiment, four types of filters are defined.
0x0: Through (no filter processing is performed)
0x1: Once (The alert is output only once and the flag is turned ON. After that, the alert is masked until the flag is cleared from the management center 26 side.)
0x2: Toggle (Only the change point from alert OFF to ON when an abnormality occurs and from alert ON to OFF when normal recovery is output)
0x3: Cumulative (Alert is passed once if N times are input within measurement time T. If N times or less, alert is masked.)
If the filter type is 0x3 (cumulative), it is necessary to define the unit measurement time T and the cumulative alert occurrence frequency threshold.

入力アラートID定義テーブル65でフィルタの種別を定義することによって、アラートの種類に応じた的確な処理をすることができる。   By defining the type of filter in the input alert ID definition table 65, it is possible to perform accurate processing according to the type of alert.

累積計測時間は、アラートの回数を計測する時間(例えば、秒)である。累積アラート発生回数閾値は、発生したアラート(異常事象)の回数を、アラートとして通過させる判定閾値である。   The cumulative measurement time is a time (for example, seconds) for measuring the number of alerts. The cumulative alert occurrence count threshold is a determination threshold that allows the number of generated alerts (abnormal events) to pass as an alert.

アラート統計処理テーブル66のフィルタ有効化レベルは、フィルタの動作を制御するための閾値であり、例えば、単位時間の全てのアラートの発生量と比較することによって、アラートの発生量が多い場合に、出力するアラートを減らすことができる。   The filter activation level of the alert statistical processing table 66 is a threshold value for controlling the operation of the filter. For example, when the amount of alerts generated is large by comparing with the amount of all alerts generated per unit time, Alerts to be output can be reduced.

アラート発生量計測部63は、図6Aに定義された全てのアラートの累積計測時間T毎の発生回数の合計を算出し、その値を予め定義した閾値Nによって判定し、判定されたレベルをフィルタ64に通知する。   The alert generation amount measurement unit 63 calculates the total number of occurrences of all the alerts defined in FIG. 6A for each cumulative measurement time T, determines the value based on a predefined threshold N, and filters the determined level. 64 is notified.

フィルタ64は、アラート統計処理テーブル66で、入力アラートID毎に定義されたフィルタについて、フィルタ有効化レベルを定義し、アラート発生量計測のレベルが所定値を超える場合に当該フィルタ処理を有効とし、所定値以下の場合は全てのアラートをスルー(フィルタ処理を行わず出力)する。   The filter 64 defines a filter activation level for the filter defined for each input alert ID in the alert statistical processing table 66, and enables the filter processing when the alert generation amount measurement level exceeds a predetermined value. If it is less than or equal to the predetermined value, all alerts are passed (output without filtering).

フィルタ後アラートIDは、プロセスID、入力アラートID及びフィルタ種別を連結したものを使用するとよい。フィルタ後アラートIDをこのように定義することによって、管理センタ26が、受信したアラートIDによって、ネットワーク相互接続装置24においてどのような処理を経てきたものか判別可能だからである。管理センタ26は、フィルタ有効化レベルの高いフィルタ処理を経たアラートを受信した場合、ネットワーク相互接続装置21の内部で一定量以上のアラートが発生し、フィルタリングがされたことを検出する。管理センタ26は、アラート発生の要因を解析するため、ネットワーク相互接続装置21のログ情報を要求することも可能である。   The post-filter alert ID may be a concatenation of a process ID, an input alert ID, and a filter type. This is because, by defining the alert ID after filtering in this way, the management center 26 can determine what processing has been performed in the network interconnection device 24 based on the received alert ID. When the management center 26 receives an alert that has been subjected to a filtering process with a high filter activation level, the management center 26 detects that a certain amount of alerts have occurred in the network interconnection device 21 and has been filtered. The management center 26 can also request log information of the network interconnection device 21 in order to analyze the cause of the alert.

広域ネットワーク監視機能311は、広域ネットワーク25の状況を監視する。例えば、ネットワーク相互接続装置21と管理センタ26との間で送受信されるデータパケットを用いて広域ネットワーク25の伝送遅延を計測し、遅延量が一定以上になったら、ネットワークが混雑していると判定することによって、広域ネットワーク25の状況を監視する。   The wide area network monitoring function 311 monitors the status of the wide area network 25. For example, the transmission delay of the wide area network 25 is measured using data packets transmitted and received between the network interconnection device 21 and the management center 26, and when the delay amount becomes a certain amount or more, it is determined that the network is congested. By doing so, the status of the wide area network 25 is monitored.

具体的には、ネットワーク相互接続装置21と管理センタ26とを時刻同期し、広域ネットワーク送信機能34から送信されるデータにタイムスタンプを付与する。管理センタ26の広域ネットワーク受信機能313は、データを受信する際にタイムスタンプを付与する。遅延測定機能316は、両者の時刻差からネットワークの伝送遅延を算出する。そして、広域ネットワーク送信機能314は、算出した遅延量をネットワーク相互接続装置21に通知する。ネットワーク相互接続装置21は、広域ネットワーク受信機能35が遅延量を受信し、広域ネットワーク監視機能311が、受信した遅延値を予め定義した閾値によって判定し、判定後のレベルを混雑度情報(広域ネットワーク25の状況)としてアラート出力機能312に通知する。このように、ネットワーク相互接続装置21と管理センタ26との間で通常に送受信されるデータを用いてネットワークの混雑度を測定することによって、ネットワークの状況を測定するための特別なデータを送受信する必要がなく、ネットワークの帯域を逼迫しない。   Specifically, the network interconnection device 21 and the management center 26 are time-synchronized, and a time stamp is given to data transmitted from the wide area network transmission function 34. The wide area network reception function 313 of the management center 26 gives a time stamp when receiving data. The delay measurement function 316 calculates a network transmission delay from the time difference between the two. Then, the wide area network transmission function 314 notifies the network interconnection device 21 of the calculated delay amount. In the network interconnection device 21, the wide area network reception function 35 receives the delay amount, the wide area network monitoring function 311 determines the received delay value based on a predefined threshold value, and the level after the determination is the congestion degree information (wide area network 25), the alert output function 312 is notified. In this way, special data for measuring the status of the network is transmitted and received by measuring the congestion degree of the network using data normally transmitted and received between the network interconnection device 21 and the management center 26. It is not necessary and does not constrain the network bandwidth.

図8は、本発明の実施例のアラート出力機能312の詳細を示すブロック図である。   FIG. 8 is a block diagram illustrating details of the alert output function 312 according to the embodiment of this invention.

アラート出力機能312は、統計処理部91及びフィルタ92を有する。統計処理部91は、統合アラート統計処理テーブル93を有する。   The alert output function 312 includes a statistical processing unit 91 and a filter 92. The statistical processing unit 91 has an integrated alert statistical processing table 93.

アラート出力機能312は、第2の統計処理及び第2のフィルタリングとして機能し、使用される通信キャリア網の種別や時々刻々と変化するネットワークの通信状況に応じて、ネットワーク相互接続装置21から送出するアラームの種別や量を総合的に制限し、回線容量の圧迫を避ける。また、アラート出力機能312が、複数プロセス間に跨って総合的な判断をすることによって、第1の統計処理及び第1のフィルタリングより更に送出されるデータの量を圧縮することができる。   The alert output function 312 functions as second statistical processing and second filtering, and is transmitted from the network interconnection device 21 in accordance with the type of communication carrier network used and the communication status of the network that changes every moment. Limit the type and amount of alarms comprehensively and avoid overloading the line capacity. In addition, the alert output function 312 can make a comprehensive determination across a plurality of processes, thereby compressing the amount of data transmitted further than the first statistical processing and the first filtering.

統計処理部91は、複数プロセス内部のアラート検知機能39が収集した第一のフィルタ後のアラート情報を受信し、複数プロセス間に跨る第二の統計処理を行う。フィルタ92は、前記広域ネットワーク監視部311から広域ネットワーク25の混雑度情報を受信し、第2の統計処理後のアラート情報を混雑度情報に応じて選択する第2のフィルタであり、フィルタ後のアラート情報を広域ネットワーク25に送出する。   The statistical processing unit 91 receives the first filtered alert information collected by the alert detection function 39 in the plurality of processes, and performs the second statistical processing across the plurality of processes. The filter 92 is a second filter that receives congestion degree information of the wide area network 25 from the wide area network monitoring unit 311 and selects alert information after the second statistical processing according to the congestion degree information. Alert information is sent to the wide area network 25.

図9Aは、本発明の実施例の統合アラート統計処理テーブル93の構成例を説明する図であり、図9Bは、テーブルの構成要素となる項目の定義を示す。   FIG. 9A is a diagram illustrating a configuration example of the integrated alert statistical processing table 93 according to the embodiment of this invention, and FIG. 9B illustrates definitions of items that are components of the table.

統合アラート統計処理テーブル93は、出力アラートID、フィルタ後アラートID、第2のフィルタ種別、累積計測時間T、累積アラート回数N、スクリプトキック、スクリプト名称、フィルタ有効化レベルを含む。   The integrated alert statistical processing table 93 includes an output alert ID, a filtered alert ID, a second filter type, a cumulative measurement time T, a cumulative alert count N, a script kick, a script name, and a filter activation level.

図9Bに示すように、統合アラート統計処理テーブル93の項目の定義は、図7Bに示したアラート統計処理テーブル66で使用される項目の定義とほぼ同じである。   As shown in FIG. 9B, the definition of the items in the integrated alert statistical processing table 93 is almost the same as the definition of the items used in the alert statistical processing table 66 shown in FIG. 7B.

なお、アラート統計処理テーブル66(図7A)では、各入力アラートIDに対し、1:1で出力アラートIDが定義されるが、統合アラート統計処理テーブル93(図9A)では、複数の入力アラートIDから一つの出力アラートIDを定義可能であり、かつ、一つの入力アラートIDから複数の出力アラートIDを定義可能である点が異なる。   In the alert statistical processing table 66 (FIG. 7A), the output alert ID is defined at 1: 1 for each input alert ID. In the integrated alert statistical processing table 93 (FIG. 9A), a plurality of input alert IDs are defined. It is different that one output alert ID can be defined from a plurality of output alert IDs, and a plurality of output alert IDs can be defined from one input alert ID.

例えば、出力アラートIDが0x03F000のアラートは、0x1102、0x2202及び0x2213の3種類のアラートの所定時間内の合計回数が10回を超えた場合に出力される。   For example, an alert with an output alert ID of 0x03F000 is output when the total number of three types of alerts 0x1102, 0x2202, and 0x2213 within a predetermined time exceeds ten.

またフィルタ種別に、0x4:マスク(フィルタが有効な間は全て通さない) が追加される。マスク(0x4)のフィルタを使用することによって、複数プロセスから送信される複数種類のアラートから総合的に判断してフィルタリングすることが可能となる。   In addition, 0x4: mask (not pass through while the filter is valid) is added to the filter type. By using the filter of the mask (0x4), it is possible to comprehensively judge and filter from a plurality of types of alerts transmitted from a plurality of processes.

本実施例では、更に、特定のアラートが発生した場合に所定のプログラム(スクリプト)を実行する機能を持つ。実行されるスクリプトは、アラート情報の出力と共に、又は、アラート情報を出力する代わりに実行される。実行されるスクリプトは、スクリプト名称(パス名を含んでもよい)で定義される。なお、本実施例では、スクリプト実行機能を統合アラート統計処理テーブル93(第2のフィルタ)に実装した例を示したが、アラート統計処理テーブル66(第1のフィルタ)に実装してもよい。フィルタが、スクリプト実行機能を有することによって、単にアラートをフィルタし出力するだけではない、複雑な処理を実行することができる。   The present embodiment further has a function of executing a predetermined program (script) when a specific alert occurs. The script to be executed is executed together with the output of the alert information or instead of outputting the alert information. The script to be executed is defined by a script name (which may include a path name). In this embodiment, the script execution function is implemented in the integrated alert statistical processing table 93 (second filter), but may be implemented in the alert statistical processing table 66 (first filter). Since the filter has a script execution function, it is possible to execute a complicated process that does not simply filter and output an alert.

統合アラート統計処理テーブル93のフィルタ有効化レベルは、広域ネットワーク25の混雑度によってフィルタの動作を制御するための閾値であり、広域ネットワーク25が混雑すると、出力されるアラートが減るようになっている。これは、広域ネットワーク25が混雑している場合に、多数のアラートを送出すると、ネットワークが逼迫し、通常のデータの送信を妨げるからである。また、集約された重要なアラートのみを送出することによって、広域ネットワークの逼迫を抑制することができる。   The filter validation level of the integrated alert statistical processing table 93 is a threshold value for controlling the operation of the filter according to the degree of congestion of the wide area network 25. When the wide area network 25 is congested, the output alerts are reduced. . This is because, when the wide area network 25 is congested, if a large number of alerts are sent, the network becomes tight and prevents normal data transmission. Moreover, it is possible to suppress the tightness of the wide area network by sending only the aggregated important alerts.

図9Cは、図9Aに示した構成例のフィルタの構成を説明する図である。   FIG. 9C is a diagram illustrating the configuration of the filter of the configuration example illustrated in FIG. 9A.

第二のフィルタ92Aは、第1のフィルタから出力されるアラート0x1102を入力とする「累積」タイプのフィルタで、フィルタ有効化レベルが3以上の時に、アラート0x1102を60秒間に5回受信した場合、アラート0x031102を1回出力する。この場合、スクリプトキックフラグが1のため、アラート0x031102が出力された際には、Reset_count.scpを起動する。   The second filter 92A is a “cumulative” type filter that receives the alert 0x1102 output from the first filter. When the filter activation level is 3 or more, the alert 0x1102 is received five times in 60 seconds. , Alert 0x031102 is output once. In this case, since the script kick flag is 1, when the alert 0x031102 is output, Reset_count. Start scp.

別の第2のフィルタ92Bは、第1のフィルタから出力されるアラート0x1111を入力とする「マスク」タイプのフィルタで、フィルタ有効化レベルが2以上の時に、アラート0x1111を全てマスクし、出力しない。   Another second filter 92B is a “mask” type filter that receives the alert 0x1111 output from the first filter. When the filter activation level is 2 or more, all the alert 0x1111 is masked and not output. .

さらに、別の第2のフィルタ92Cは、第1のフィルタから出力されるアラート0x1102、0x2202及び0x2213を入力とする「累積」タイプのフィルタで、フィルタ有効化レベルが3以上の時に、前述した3種類のフィルタから出力されるアラートを、1秒間に合計10回受信した場合、アラート0x03F000を1回出力する。   Further, another second filter 92C is a “cumulative” type filter that receives the alerts 0x1102, 0x2202, and 0x2213 output from the first filter. When the filter activation level is 3 or more, the above-described 3 When alerts output from the types of filters are received a total of 10 times per second, alert 0x03F000 is output once.

本発明の代表的な一実施形態によれば、クラウド化に対応し、コスト低減とシステムの高効率化に対応しながらも、制御系システムとして求められる高信頼性を担保することが可能となる。   According to a typical embodiment of the present invention, it is possible to ensure high reliability required as a control system system while corresponding to cloudization and corresponding to cost reduction and high system efficiency. .

以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更及び同等の構成を含むものである。   Although the present invention has been described in detail with reference to the accompanying drawings, the present invention is not limited to such specific configurations, and various modifications and equivalents within the spirit of the appended claims Includes configuration.

21 ローカルネットワーク
22 通信端末
24 ネットワーク相互接続装置
25 広域ネットワーク(通信キャリア網)
26 管理センタ
27 アプリケーションサーバ
31 ローカルネットワーク受信機能
32 カプセル化機能
33 プロトコル変換機能
34 広域ネットワーク送信機能
35 広域ネットワーク受信機能
36 プロトコル変換機能
37 デカプセル化機能
38 ローカルネットワーク送信機能
39 アラート検知機能
310 ログ記録機能
311 広域ネットワーク監視機能
312 アラート出力機能
313 広域ネットワーク受信機能(センタ側)
314 広域ネットワーク送信機能(センタ側)
41 ローカルネットワーク受信プロセス
42 広域ネットワーク送信プロセス
43 アラート検知スレッド
44 アラート出力プロセス
45 ログ記録プロセス
46 広域ネットワーク監視プロセス
47 メインプロセス
51 ローカルネットワーク通信インターフェース
52 広域ネットワーク通信インターフェース
53 内部バス
54 プロセッサ(CPU)
55 ハードウェアアクセラレータ
56 演算用メモリ
57 プログラム格納用メモリ
59 ローカルネットワーク送信プログラム
510 広域ネットワーク受信プログラム
511 ログ記録プログラム
512 アラート検知用統計情報
513 広域ネットワーク混雑度情報
61 アラート検知部
62、91 統計処理部
63 アラート発生量計測部
64、92 フィルタ
65 入力アラートID定義テーブル
66 アラート統計処理テーブル
93 統合アラート統計処理テーブル 21 Local network 22 Communication terminal 24 Network interconnection device 25 Wide area network (communication carrier network)
26 Management Center 27 Application Server 31 Local Network Reception Function 32 Encapsulation Function 33 Protocol Conversion Function 34 Wide Area Network Transmission Function 35 Wide Area Network Reception Function 36 Protocol Conversion Function 37 Decapsulation Function 38 Local Network Transmission Function 39 Alert Detection Function 310 Log Recording Function 311 Wide area network monitoring function 312 Alert output function 313 Wide area network reception function (center side)
314 Wide area network transmission function (center side)
41 Local network reception process 42 Wide area network transmission process 43 Alert detection thread 44 Alert output process 45 Log recording process 46 Wide area network monitoring process 47 Main process 51 Local network communication interface 52 Wide area network communication interface 53 Internal bus 54 Processor (CPU)
55 Hardware Accelerator 56 Operation Memory 57 Program Storage Memory 59 Local Network Transmission Program 510 Wide Area Network Reception Program 511 Log Recording Program 512 Alert Detection Statistical Information 513 Wide Area Network Congestion Information 61 Alert Detection Units 62 and 91 Statistical Processing Unit 63 Alert generation amount measurement unit 64, 92 Filter 65 Input alert ID definition table 66 Alert statistical processing table 93 Integrated alert statistical processing table

Claims (13)

通信端末からのデータを収集する管理装置とネットワークを介して接続されるネットワーク装置であって、
所定の通信プロトコルによる通信を制御する複数の通信処理プロセスと、前記管理装置にアラート情報を出力するアラート出力プロセスとを備え、
前記複数の通信処理プロセスは、各通信処理プロセスにおけるアラートを検知し、前記検知されたアラートに第1の統計処理をし、前記第1の統計処理の結果に基づいて生成されたアラート情報を前記アラート出力プロセスに出力する第1のフィルタリングをし、
前記アラート出力プロセスは、前記複数の通信処理プロセスからアラート情報を受信し、前記ネットワークの状況を用いて前記受信したアラート情報に第2の統計処理をし、前記第2の統計処理の結果に基づいて選択されたアラート情報を前記管理装置に出力する第2のフィルタリングをすることを特徴とするネットワーク装置。 A network device connected via a network to a management device that collects data from a communication terminal,
A plurality of communication processing processes for controlling communication according to a predetermined communication protocol, and an alert output process for outputting alert information to the management device,
The plurality of communication processing processes detect an alert in each communication processing process, perform first statistical processing on the detected alert, and generate alert information generated based on a result of the first statistical processing. Perform the first filtering to output to the alert output process,
The alert output process receives alert information from the plurality of communication processing processes, performs a second statistical process on the received alert information using a status of the network, and based on a result of the second statistical process And a second filtering for outputting the selected alert information to the management device. 請求項1に記載のネットワーク装置であって、
前記複数の通信処理プロセスは、
前記第1の統計処理において、前記検知されたアラートを圧縮し、
前記第1のフィルタリングにおいて、当該通信処理プロセス内のアラートの発生量に応じて、前記第1の統計処理後のアラートを選択して、前記アラート出力プロセスに出力するアラート情報を生成することを特徴とするネットワーク装置。 The network device according to claim 1,
The plurality of communication processing processes include:
Compressing the detected alert in the first statistical process;
In the first filtering, an alert information to be output to the alert output process is generated by selecting an alert after the first statistical processing in accordance with an amount of alerts generated in the communication processing process. Network device. 請求項1に記載のネットワーク装置であって、
前記ネットワークの状況を判定し、前記アラート出力プロセスに通知するネットワーク監視プロセスを備えることを特徴とするネットワーク装置。 The network device according to claim 1,
A network apparatus comprising: a network monitoring process for determining a status of the network and notifying the alert output process. 請求項1に記載のネットワーク装置であって、
前記アラート出力プロセスは、前記第2の統計処理において、前記複数の通信処理プロセスに跨る統計処理を行うことを特徴とするネットワーク装置。 The network device according to claim 1,
In the second statistical processing, the alert output process performs statistical processing across the plurality of communication processing processes. 請求項1に記載のネットワーク装置であって、
前記アラート出力プロセスは、前記第2のフィルタリングにおいて、アラート情報の出力と共に又はアラート情報を前記管理装置に出力する代わりに、所定のプログラムを実行することを特徴とするネットワーク装置。 The network device according to claim 1,
In the second filtering, the alert output process executes a predetermined program together with the output of alert information or instead of outputting the alert information to the management device. 請求項1に記載のネットワーク装置であって、
前記第1及び第2のフィルタリングは、
(1)フィルタ処理をしないスルーモード、
(2)最初の1回のみアラートを通過し、アラートフラグをONにし、アラートフラグがクリアされるまで、アラートをマスクするワンスモード、
(3)アラート検出時にアラートオンを出力し、アラート回復時にアラートオフを出力するトグルモード、及び、
(4)所定時間内にアラートが所定回数入力されたら、アラートを1回出力する累積モード、の少なくとも二つ以上を切り替え可能であることを特徴とするネットワーク装置。 The network device according to claim 1,
The first and second filtering are:
(1) Through mode without filtering
(2) Once mode that passes the alert only once, turns on the alert flag, masks the alert until the alert flag is cleared,
(3) Toggle mode that outputs alert-on when alert is detected and outputs alert-off when alert is recovered, and
(4) A network device characterized in that at least two or more of an accumulation mode in which an alert is output once can be switched when an alert is input a predetermined number of times within a predetermined time. 請求項1から6のいずれか一つに記載のネットワーク装置と、前記ネットワーク装置とネットワークを介して接続される管理装置と、を備えるネットワークシステムであって、
前記ネットワーク装置は、前記ネットワーク装置から前記管理装置へ送信されるデータの遅延時間に基づいて、前記ネットワークの状況を判定することを特徴とするネットワークシステム。 A network system comprising the network device according to any one of claims 1 to 6, and a management device connected to the network device via a network,
The network system, wherein the network device determines the status of the network based on a delay time of data transmitted from the network device to the management device. アラート情報を出力する通信端末からのデータを収集する管理装置とネットワークを介して接続されるネットワーク装置が前記アラート情報を処理する方法であって、
前記ネットワーク装置は、所定のプログラムを実行するプロセッサと、前記プロセッサが実行するプログラムを格納するメモリと、を有し、
前記プロセッサは、前記プログラムの実行によって、所定の通信プロトコルによる通信を制御する複数の通信処理プロセスと、前記管理装置にアラート情報を出力するアラート出力プロセスとを実装し、
前記方法は、
前記プロセッサが、前記複数の通信処理プロセスにおいて、各通信処理プロセスにおけるアラートを検知し、前記検知されたアラートに第1の統計処理をし、前記第1の統計処理の結果に基づいて生成されたアラート情報を前記アラート出力プロセスに出力する第1のフィルタリングをするステップと、
前記プロセッサが、前記アラート出力プロセスにおいて、前記複数の通信処理プロセスからアラート情報を受信し、前記ネットワークの状況を用いて前記受信したアラート情報に第2の統計処理をし、前記第2の統計処理の結果に基づいて選択されたアラート情報を前記管理装置に出力する第2のフィルタリングをするステップとを含むことを特徴とするアラート情報の処理方法。 A network device connected via a network with a management device that collects data from a communication terminal that outputs alert information is a method for processing the alert information,
The network device includes a processor that executes a predetermined program, and a memory that stores a program executed by the processor,
The processor implements a plurality of communication processing processes for controlling communication by a predetermined communication protocol by executing the program, and an alert output process for outputting alert information to the management device,
The method
The processor detects an alert in each communication processing process in the plurality of communication processing processes, performs first statistical processing on the detected alert, and is generated based on a result of the first statistical processing Performing a first filtering to output alert information to the alert output process;
In the alert output process, the processor receives alert information from the plurality of communication processing processes, performs second statistical processing on the received alert information using the network status, and the second statistical processing And a second filtering step for outputting the alert information selected based on the result to the management device. 請求項8に記載のアラート情報の処理方法であって、
前記第1の統計処理において、前記プロセッサが、前記検知されたアラートを圧縮し、
前記第1のフィルタリングにおいて、前記プロセッサが、当該通信処理プロセス内のアラートの発生量に応じて、前記第1の統計処理後のアラートを選択して、前記アラート出力プロセスに出力するアラート情報を生成することを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
In the first statistical process, the processor compresses the detected alert;
In the first filtering, the processor selects an alert after the first statistical processing according to the amount of alerts generated in the communication processing process, and generates alert information to be output to the alert output process An alert information processing method characterized by: 請求項8に記載のアラート情報の処理方法であって、
前記プロセッサが、前記ネットワークの状況を判定し、前記アラート出力プロセスに通知するステップを含むことを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
A method of processing alert information, comprising: a step of determining the status of the network and notifying the alert output process of the processor. 請求項8に記載のアラート情報の処理方法であって、
前記第2の統計処理において、前記プロセッサが、前記複数の通信処理プロセスに跨る統計処理を行うことを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
In the second statistical processing, the processor performs statistical processing across the plurality of communication processing processes. 請求項8に記載のアラート情報の処理方法であって、
前記アラート出力プロセスにおいて、前記プロセッサが、前記第2のフィルタリングにおいて、アラート情報の出力と共に又はアラート情報を前記管理装置に出力する代わりに、所定のプログラムを実行することを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
In the alert output process, the processor executes a predetermined program in the second filtering together with the output of the alert information or instead of outputting the alert information to the management device. Method. 請求項8から12のいずれか一つに記載のアラート情報の処理方法であって、
前記第1及び第2のフィルタリングにおいて、前記プロセッサが、
(1)フィルタ処理をしないスルーモード、
(2)最初の1回のみアラートを通過し、アラートフラグをONにし、アラートフラグがクリアされるまで、アラートをマスクするワンスモード、
(3)アラート検出時にアラートオンを出力し、アラート回復時にアラートオフを出力するトグルモード、及び、
(4)所定時間内にアラートが所定回数入力されたら、アラートを1回出力する累積モード、の少なくとも二つ以上を切り替え可能であることを特徴とするアラート情報の処理方法。 The alert information processing method according to any one of claims 8 to 12,
In the first and second filtering, the processor
(1) Through mode without filtering
(2) Once mode that passes the alert only once, turns on the alert flag, masks the alert until the alert flag is cleared,
(3) Toggle mode that outputs alert-on when alert is detected and outputs alert-off when alert is recovered, and
(4) A method for processing alert information, characterized in that at least two or more of an accumulation mode in which an alert is output once can be switched when an alert is input a predetermined number of times within a predetermined time.
JP2012135475A 2012-06-15 2012-06-15 Network device, network system, and alert information processing method Expired - Fee Related JP5793762B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012135475A JP5793762B2 (en) 2012-06-15 2012-06-15 Network device, network system, and alert information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012135475A JP5793762B2 (en) 2012-06-15 2012-06-15 Network device, network system, and alert information processing method

Publications (2)

Publication Number Publication Date
JP2014003353A true JP2014003353A (en) 2014-01-09
JP5793762B2 JP5793762B2 (en) 2015-10-14

Family

ID=50036165

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012135475A Expired - Fee Related JP5793762B2 (en) 2012-06-15 2012-06-15 Network device, network system, and alert information processing method

Country Status (1)

Country Link
JP (1) JP5793762B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021018630A (en) * 2019-07-22 2021-02-15 ソフトバンク株式会社 Alarm aggregation sorting device and alarm aggregation sorting method
CN114520766A (en) * 2022-04-21 2022-05-20 博为科技有限公司 Networking control method of router and related equipment

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021018630A (en) * 2019-07-22 2021-02-15 ソフトバンク株式会社 Alarm aggregation sorting device and alarm aggregation sorting method
JP7034989B2 (en) 2019-07-22 2022-03-14 ソフトバンク株式会社 Alarm aggregation sorting device and alarm aggregation sorting method
CN114520766A (en) * 2022-04-21 2022-05-20 博为科技有限公司 Networking control method of router and related equipment
CN114520766B (en) * 2022-04-21 2022-08-30 博为科技有限公司 Networking control method of router and related equipment

Also Published As

Publication number Publication date
JP5793762B2 (en) 2015-10-14

Similar Documents

Publication Publication Date Title
US8560894B2 (en) Apparatus and method for status decision
CN103220173B (en) A kind of alarm monitoring method and supervisory control system
JP6097889B2 (en) Monitoring system, monitoring device, and inspection device
JP5659108B2 (en) Operation monitoring device, operation monitoring program, and recording medium
CN110806921B (en) OVS (optical virtual system) abnormity alarm monitoring system and method
US11856426B2 (en) Network analytics
CN108923422A (en) Internet of Things proxy data processing method, system and electric network terminal equipment monitoring system
WO2014180450A1 (en) Communications provider network management equipment detection method, device, and computer storage medium
JP5793762B2 (en) Network device, network system, and alert information processing method
JP2012080181A (en) Method and program for fault information management
CN111654405A (en) Method, device, equipment and storage medium for fault node of communication link
US8788735B2 (en) Interrupt control apparatus, interrupt control system, interrupt control method, and interrupt control program
CN113612647B (en) Alarm processing method and device
JP2015082131A (en) Monitoring system, monitoring method, monitoring program, and monitoring device
WO2014040470A1 (en) Alarm message processing method and device
CN113064890A (en) Quality evaluation method, device, server and medium for operator data
US9311210B1 (en) Methods and apparatus for fault detection
JP2008171104A (en) Monitoring apparatus, monitoring system, monitoring method and monitoring program for monitoring business service and system performance
US10084671B2 (en) Communication device and packet monitoring method
JP2014010538A (en) Operation management device, operation management system, and operation management method
WO2014183369A1 (en) Monitoring processing method and device, and m2m gateway
EP3815303B1 (en) Automated network monitoring and control
CN106972945B (en) line inspection device for power distribution network in power distribution system
JP2015166956A (en) Information processor, failure detection method in information processor, and failure detection program in information processor
CN104105119B (en) A kind of method and system of PCU traffic monitorings

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150715

R150 Certificate of patent or registration of utility model

Ref document number: 5793762

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees