JP2016177371A - 監視装置、監視プログラムおよび監視方法 - Google Patents
監視装置、監視プログラムおよび監視方法 Download PDFInfo
- Publication number
- JP2016177371A JP2016177371A JP2015055290A JP2015055290A JP2016177371A JP 2016177371 A JP2016177371 A JP 2016177371A JP 2015055290 A JP2015055290 A JP 2015055290A JP 2015055290 A JP2015055290 A JP 2015055290A JP 2016177371 A JP2016177371 A JP 2016177371A
- Authority
- JP
- Japan
- Prior art keywords
- service
- monitoring
- server
- port
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】サービスの稼働状態を監視できる監視装置、監視プログラムおよび監視方法を提供する。
【解決手段】ポートスキャン部31は、ポートスキャナ30を用いて、監視対象のサービスを提供するサーバに対してUDPによりポートスキャンを行う。判定部32は、ログファイル40に記録されたログに基づいて、ポートスキャンに対してサーバからの応答が無い場合、サービスが稼働状態と判定し、サーバからClosedの応答が得られた場合、サービスが停止状態と判定する。
【選択図】図2
【解決手段】ポートスキャン部31は、ポートスキャナ30を用いて、監視対象のサービスを提供するサーバに対してUDPによりポートスキャンを行う。判定部32は、ログファイル40に記録されたログに基づいて、ポートスキャンに対してサーバからの応答が無い場合、サービスが稼働状態と判定し、サーバからClosedの応答が得られた場合、サービスが停止状態と判定する。
【選択図】図2
Description
本発明は、監視装置、監視プログラムおよび監視方法に関する。
従来から、ネットワークを介してサーバから各種のサービスが提供されている。このサービスとは、サーバにより提供される機能である。サービスとしては、例えば、DHCP(Dynamic Host Configuration Protocol)やDNS(Domain Name System)、SNMP(Simple Network Management Protocol)などがある。このようなサービスは、安定稼働が求められており、サービスの稼働状態を監視する技術が提案されている。例えば、サーバに監視エージェントをインストールし、監視エージェントによりサーバのログ等を解析することにより、サービスの稼働状態を監視する。
しかしながら、従来の技術は、サービスを提供するサーバに監視エージェントをインストールしなければ、サービスの稼働状態を監視できない。クラウド環境などでは、サーバが複数の企業で共用される場合があり、サーバに監視エージェントをインストールできない場合がある。このような場合、サービスの稼働状態を監視できない場合がある。
一つの側面では、サービスの稼働状態を監視できる監視装置、監視プログラムおよび監視方法を提供することを目的とする。
本発明の一側面によれば、監視装置は、ポートスキャン部と、判定部とを有する。ポートスキャン部は、監視対象のサービスを提供するサーバに対してUDP(User Datagram Protocol)によりポートスキャンを行う。判定部は、ポートスキャン部によるポートスキャンに対してサーバからの応答が無い場合、サービスが稼働状態と判定し、前記サーバからClosedの応答が得られた場合、サービスが停止状態と判定する。
本発明の一側面によれば、サービスの状態を監視できるという効果を奏する。
以下に、本願の開示する監視装置、監視プログラムおよび監視方法の実施例を図面に基づいて詳細に説明する。なお、本実施例により、開示技術が限定されるものではない。また、以下に示す実施例は、矛盾を起こさない範囲で適宜組み合わせても良い。
[システムの構成]
実施例1に係る監視システムについて説明する。図1は、監視システムの全体の概略構成の一例を示す図である。監視システム10は、サーバが提供するサービスの状態を監視するシステムである。本実施例では、例えば、データセンタに設けられたサーバが提供するサービスの状態を監視装置で監視する場合を例に説明する。
実施例1に係る監視システムについて説明する。図1は、監視システムの全体の概略構成の一例を示す図である。監視システム10は、サーバが提供するサービスの状態を監視するシステムである。本実施例では、例えば、データセンタに設けられたサーバが提供するサービスの状態を監視装置で監視する場合を例に説明する。
図1に示すように、実施例1に係る監視システム10は、データセンタ11を有する。データセンタ11は、複数のサーバ装置12が設けられている。サーバ装置12は、データセンタ11内の内部ネットワーク13に接続され、各種の情報を交換することが可能とされている。内部ネットワーク13としては、LAN(Local Area Network)やVPN(Virtual Private Network)などの有線の通信網が挙げられる。内部ネットワーク13には、ファイアウォール14が設けられており、ファイアウォール14を介して外部ネットワーク15と接続されている。外部ネットワーク15としては、有線または無線を問わず、携帯電話などの移動体通信、インターネット(Internet)、LANやVPNなどの任意の種類の通信網を採用できる。本実施例では、外部ネットワーク15を専用線あるいはVPNにより接続された顧客のネットワークとする。外部ネットワーク15には、端末装置16が通信可能に接続されている。なお、図1の例では、サーバ装置12を3つ図示したが、サーバ装置12は任意の台数とすることができる。また、図1の例では、端末装置16を1つ図示したが、端末装置16は任意の台数とすることができる。
サーバ装置12は、各種のサービスを提供する物理サーバであり、例えば、サーバコンピュータである。サーバ装置12は、顧客に応じたアプリケーションプログラムを動作させることにより、顧客のシステムを動作させる。また、サーバ装置12は、各種のサービスのプログラムを動作させることにより、顧客に対してサービスを提供する。サーバ装置12は、1台で、顧客のシステムおよびサービスの一方または両方が複数動作してもよい。本実施例では、サーバ装置12AがDHCPのサービスを提供する。なお、顧客のシステムやサービスは、コンピュータを仮想化した仮想マシン上で動作してもよい。例えば、サーバ装置12は、サーバ仮想化プログラムを実行することによって、ハイパーバイザー上で複数の仮想マシンを動作させ、仮想マシン上で顧客のシステムやサービスを動作させてもよい。
端末装置16は、顧客側のユーザが使用するコンピュータである。端末装置16は、例えば、スマートフォン、デスクトップ型PC(パーソナルコンピュータ)、タブレット型PC、ノート型PCなどの情報処理装置等である。端末装置16は、外部ネットワーク15および内部ネットワーク13を介してサーバ装置12にアクセスし、顧客のシステムや各種のサービスを利用する。例えば、端末装置16は、外部ネットワーク15に接続した際にサーバ装置12Aが提供するDHCPのサービスにより、IPアドレス(Internet Protocol Address)の割り当てを受け付ける。
ファイアウォール14は、外部ネットワーク15からのアクセスの監視やパケットのフィルタリング等を行って、正当な通信のみを通過させ、不正な通信を遮断することで、不正なアクセスから内部ネットワーク13を保護する。
また、実施例1に係る監視システム10は、監視センタ17を有する。監視センタ17は、監視装置18が設けられている。データセンタ11の内部ネットワーク13は、ネットワーク19と接続されている。ネットワーク19としては、LANやVPN(Virtual Private Network)などの有線の通信網が挙げられる。監視装置18は、ネットワーク19に接続され、ネットワーク19および内部ネットワーク13を介してデータセンタ11内のサーバ装置12にアクセス可能とされている。なお、監視センタ17は、データセンタ11内に設けられ、内部ネットワーク13に監視装置18が接続されていてもよい。
監視装置18は、稼働状態を監視する装置である。監視装置18は、例えば、パーソナルコンピュータやサーバコンピュータなどのコンピュータなどである。監視装置18は、1台のコンピュータとして実装してもよく、また、複数台のコンピュータにより実装してもよい。例えば、監視装置18は、稼働状態を監視するサーバコンピュータと、サーバコンピュータを操作するクライアントコンピュータとにより構成してもよい。なお、本実施例では、監視装置18を1台のコンピュータとした場合を例として説明する。監視装置18は、顧客からの依頼により、サーバ装置12の稼働状態や、サーバ装置12が提供するサービスの稼働状態を監視する。本実施例では、監視装置18は、サーバ装置12Aが提供するDHCPのサービスの稼働状態を監視する。
[監視装置の構成]
次に、実施例1に係る監視装置18について説明する。図2は、監視装置の機能的な構成の一例を示す図である。図2に示すように、監視装置18は、通信I/F(インタフェース)部20と、表示部21と、入力部22と、記憶部23と、制御部24とを有する。
次に、実施例1に係る監視装置18について説明する。図2は、監視装置の機能的な構成の一例を示す図である。図2に示すように、監視装置18は、通信I/F(インタフェース)部20と、表示部21と、入力部22と、記憶部23と、制御部24とを有する。
通信I/F部20は、他の装置との間で通信制御を行うインタフェースである。通信I/F部20は、ネットワーク19に接続され、他の装置と各種情報を送受信する。例えば、通信I/F部20は、監視対象のサービスを提供するサーバ装置12に対して、監視用のパケットを送信する。例えば、通信I/F部20は、DHCPのサービスを提供するサーバ装置12Aに対して、DHCPの監視用のパケットを送信する。また、通信I/F部20は、送信したパケットに対応する応答を受信する。かかる通信I/F部20の一態様としては、LANカードなどのネットワークインタフェースカードを採用できる。
表示部21は、各種情報を表示する表示デバイスである。表示部21としては、LCD(Liquid Crystal Display)やCRT(Cathode Ray Tube)などの表示デバイスが挙げられる。表示部21は、各種情報を表示する。例えば、表示部21は、監視対象のサービスに異常が検出された場合、警告を表示する。
入力部22は、各種の情報を入力する入力デバイスである。入力部22としては、マウスやキーボードなどの操作の入力を受け付ける入力デバイスが挙げられる。入力部22は、各種の情報の入力を受付ける。例えば、入力部22は、稼働状態の監視に関する各種の操作の入力を受け付ける。入力部22は、管理者からの操作入力を受け付け、受け付けた操作内容を示す操作情報を制御部24に入力する。
記憶部23は、ハードディスク、SSD(Solid State Drive)、光ディスクなどの記憶装置である。なお、記憶部23は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)などのデータを書き換え可能な半導体メモリであってもよい。
記憶部23は、制御部24で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部23は、制御部24で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部23は、ログファイル40を有する。ログファイル40は、後述するポートスキャナ30が処理を実行した結果に応じた各種の情報がログとして記録されたデータである。ログファイル40の詳細は、後述する。
制御部24は、監視装置18を制御するデバイスである。例えば、制御部24としては、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路を採用できる。
制御部24は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部24は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部24は、ポートスキャナ30と、ポートスキャン部31と、判定部32と、警告部33と、スケジューリング部34と、受付部35とを有する。
ポートスキャナ30は、ポートスキャンに用いるツールのプログラムである。本実施例では、ポートスキャナ30を用いてポートスキャンを実行する。ポートスキャナ30は、指定されたホストやネットワークに対し、ポートスキャンを実施し、開いているポートやバージョン、OSの種類を調査する。例えば、ポートスキャナ30は、指定されたホストやネットワークに対して、通信I/F部20から監視用のパケットを送信し、応答の状態に応じた結果をログに出力する。このようなポートスキャナ30としては、例えば、nmapが挙げられる。
ポートスキャン部31は、監視対象のサービスの監視を行う。例えば、ポートスキャン部31は、監視対象のサービスを提供するサーバに対してポートスキャンを行う。例えば、ポートスキャン部31は、ポートスキャナ30に対してコマンドを実行してポートスキャナ30を制御し、ポートスキャンを実行させる。例えば、ポートスキャン部31は、監視対象のサービスを提供するサーバに対してUDP(User Datagram Protocol)によりポートスキャンを行う。例えば、サーバ装置12Aが提供するDHCPのサービスの稼働状態を監視する場合、ポートスキャン部31は、ポートスキャナ30を制御して、サーバ装置12Aに対して、ポート番号が67のUDPによりポートスキャンを実施する。これにより、ポートスキャナ30は、UDPによりポート番号が67のICMP(Internet Control Message Protocol)パケットを通信I/F部20からサーバ装置12Aへ送信させる。
また、ポートスキャン部31は、監視対象のサービスを提供するサーバのOSの動作状態をさらに監視する。例えば、ポートスキャン部31は、監視対象のサービスを提供するサーバに対してPing(Packet Internet Groper)を送信する。ポートスキャン部31は、ポートスキャナ30に対してコマンドを実行してポートスキャナ30を制御し、監視対象のサービスを提供するサーバに対してPingを送信させる。
サーバ装置12Aは、パケットを受信した場合、OSおよびDHCPの稼働状況に応じて応答が変化する。
図3は、応答の一例を示す図である。図3の例では、サーバ装置12Aでは、OSと、DHCPが共に稼働状態とする。サーバ装置12AのOSは、Microsoft(登録商標)社のWindows(登録商標)やLinux(登録商標)など何れであってもよい。本実施例では、サーバ装置12AのOSは、Windows(登録商標) Serverとする。
サーバ装置12Aが提供するDHCPのサービスの稼働状態を監視する場合、監視装置18は、サーバ装置12AへユニキャストでBOOTPのパケットを送信する。サーバ装置12Aでは、OSおよびDHCPが稼働している。この場合、サーバ装置12Aでは、DHCPがパケットを受信するが、特に応答しない。すなわち、サーバ装置12Aは、OSおよびDHCPが共に稼働状態の場合、応答しない。
図4は、応答の他の一例を示す図である。図4の例では、サーバ装置12Aでは、OSが稼働状態で、DHCPが停止状態とする。
サーバ装置12Aが提供するDHCPのサービスの稼働状態を監視する場合、監視装置18は、サーバ装置12AへユニキャストでBOOTPのパケットを送信する。サーバ装置12Aは、OSが稼働し、DHCPが停止している。この場合、サーバ装置12Aは、受信したパケットに対応してOSが、ポートがClosedであることを応答する。例えば、サーバ装置12Aは、ユニキャストのICMPでDestination unreachable(Port unreachable)を応答する。
ポートスキャナ30は、パケットの応答を所定の許容期間待ち、応答の状態に応じた結果をログとしてログファイル40に出力する。この許容期間は、例えば、数秒程度など、応答が無いことを判定可能な期間に設定されている。
図5は、ログファイルに記録されるログの一例を示す図である。ログファイル40には、ポート番号が67のICMP(Internet Control Message Protocol)パケットの応答結果のログ41と、Pingの応答結果のログ42が記録されている。
ログ41には、ポート番号が67のICMP(Internet Control Message Protocol)パケットの応答結果に応じた各種の情報が記録されている。例えば、ログ41には、符号41Aに実行日時が記録され、符号41BにPortステータスが記憶される。ログ42には、Pingの応答結果に応じた各種の情報が記録されている。例えば、ログ42には、符号42AにPingステータスが記憶される。この符号41BのPortステータスおよび符号42AのPingステータスからOSおよびDHCPの稼働を判定できる。
図6は、OSおよびDHCPが稼働状態の場合に記録されるログの一例を示す図である。OSおよびDHCPが稼働状態の場合、符号41Bに示すPortステータスには、「open|filtered」が記録されている。また、符号42Aに示すPingステータスには、応答が得られた旨と応答期間を示す「1 IP address (1 host up) scanned in 0.47 seconds」が記録されている。ここで、ポート番号が67のICMP(Internet Control Message Protocol)パケットの応答が得られないケースには、例えば、OSおよびDHCPが稼働状態の場合と、パケットがフィルタリングにより破棄される場合とがある。このため、Portステータスには、DHCPが稼働状態であることを示す「open」と、フィルタリングにより破棄されたことを示す「filtered」を記録している。一般的に、データセンタ11の内部ネットワーク13では、サーバ装置12などの監視のため、監視装置18からの監視用のパケットに対してフィルタリングが行われない。このため、Portステータスが「open|filtered」の場合、DHCPが稼働状態であると判定できる。
図7は、OSが稼働状態かつDHCPが停止状態の場合に記録されるログの一例を示す図である。OSが稼働状態かつDHCPが停止状態の場合、符号41Bに示すPortステータスには、「closed」が記録されている。また、符号42Aに示すPingステータスには、応答が得られた旨と応答期間を示す「1 IP address (1 host up) scanned in 0.22 seconds」が記録されている。このように、Portステータスには、「closed」が記録されている場合、DHCPが停止状態であると判定できる。
図8は、通信が不可の場合に記録されるログの一例を示す図である。監視対象であるサーバ装置12Aとの通信が不可の場合、ログ41には、指定されたホストがダウンしていると思われる旨のメッセージが記録されている。また、符号42Aに示すPingステータスには、応答が得られなかった旨と応答期間を示す「1 IP address (0 host up) scanned in 2.45 seconds」が記録されている。
判定部32は、ログファイル40に記録されたログに基づいて、サーバ装置12Aの状態を判定する。例えば、判定部32は、サーバ装置12AのOSが動作状態とされ、ポートスキャンに対するサーバ装置12Aからの応答が無い場合、サービスが稼働状態と判定する。例えば、1回の監視によりログファイル40に記録されたログに、図6に示すように、Portステータスに「open|filtered」が記録され、Pingステータスには、応答が得られた旨が記録されている場合、判定部32は、DHCPのサービスが稼働状態と判定する。なお、判定部32は、Portステータスに「open|filtered」が記録されていることから、DHCPのサービスが稼働状態と判定してもよい。
また、例えば、判定部32は、サーバ装置12AのOSが動作状態とされ、ポートスキャンに対するサーバ装置12AからClosedの応答が得られた場合、サービスが停止状態と判定する。例えば、1回の監視によりログファイル40に記録されたログに、図7に示すように、Portステータスに「closed」が記録され、Pingステータスには、応答が得られた旨が記録されている場合、判定部32は、DHCPのサービスが停止状態と判定する。なお、判定部32は、Portステータスに「closed」が記録されていることから、DHCPのサービスが停止状態と判定してもよい。
また、例えば、判定部32は、Pingの応答が得られない場合、サーバ装置12AのOSが停止状態と判定する。例えば、1回の監視によりログファイル40に記録されたログに、図8に示すように、Pingステータスには、応答が得られなかった旨のメッセージが記録されている場合、判定部32は、サーバ装置12AのOSが停止状態と判定する。
ここで、ネットワークでは、パケットの遅延やロス等が発生する場合がある。例えば、監視装置18がポートスキャンおよびPingのパケットをサーバ装置12Aに1回送信してサーバ装置12Aの状態を判定した場合、パケットの遅延やロス等の影響により、サーバ装置12Aの状態を精度よく判定できない場合がある。
そこで、ポートスキャン部31は、ポートスキャナ30を制御して、1回の監視で、ポートスキャンおよびPingによる状態の確認を所定回実行させてもよい。例えば、所定回を3回とする。なお、ポートスキャン部31は、ポートスキャンおよびPingを1回行ってサーバ装置12AからClosedの応答が得られた場合、ポートスキャンおよびPingをさらに所定回行うものとしてもよい。
図9は、1回の監視で記録されるログの一例を示す図である。ポートスキャン部31が監視対象のサービスの監視を1回行った場合、ログファイル40には、図9に示すように、ポートスキャンおよびPingのパケットを3回送信した3回分のログが記憶される。
この場合、判定部32は、1回の監視での所定回のポートスキャンおよびPingのログからサーバ装置12Aの状態を判定する。例えば、判定部32は、何れの1回、Portステータスに「open|filtered」が記録されている場合、判定部32は、DHCPのサービスが稼働状態と判定する。また、例えば、判定部32は、所定回の全てでClosedの応答が得られた場合、サービスが停止状態と判定する。また、例えば、判定部32は、所定回の全てでPingの応答が得られない場合、サーバ装置12AのOSが停止状態と判定する。また、例えば、判定部32は、Closedの応答と、Pingの応答が得られない場合とが混在する場合、原因不明の異常が発生している判定する。原因不明の異常が発生したと判定した場合は、監視を再度実行させてもよい。なお、上記の複数回分のログでのサーバ装置12Aの状態の判定基準は、一例であり、他の判定基準を用いてもよい。例えば、所定回の全てで「open|filtered」が記録されている場合、判定部32は、DHCPのサービスが稼働状態と判定してもよい。
警告部33は、判定部32による判定結果、異常が発生したと判定された場合、警告を出力する。例えば、警告部33は、判定部32により、サービスが停止状態およびサーバ装置12AのOSが停止状態が発生したと判定された場合、表示部21に警告を出力する。なお、監視装置18が、スピーカーや警告ランプなど警告機器を備える場合、警告部33は、警告機器により警告を行ってもよい。また、警告部33は、異常が発生した旨のメッセージを管理者等へ送信して警告を行ってもよい。
スケジューリング部34は、所定のスケジュールに従い、ポートスキャン部31に監視対象のサービスの監視を実行させる。例えば、スケジューリング部34は、所定の周期でポートスキャン部31に監視対象のサービスの監視を実行させる。この所定の周期は、顧客からの要望によって定める。例えば、スケジューリング部34は、15分の周期でポートスキャン部31に監視対象のサービスの監視を実行させる。
受付部35は、管理者からの各種の指示を受け付ける。例えば、受付部35は、操作画面を表示部21に表示させ、入力部22から監視の実行指示を受け付ける。受付部35は、監視の実行指示を受け付けると、ポートスキャン部31に監視対象のサービスの監視を実行させる。
[処理の流れ]
最初に、管理者が、監視装置18を用いて、DHCPの状態を監視する全体的な流れを説明する。図10は、DHCPの状態を監視する全体的な流れの一例を示すフローチャートである。
最初に、管理者が、監視装置18を用いて、DHCPの状態を監視する全体的な流れを説明する。図10は、DHCPの状態を監視する全体的な流れの一例を示すフローチャートである。
図10に示すように、監視装置18では、スケジューリング部34が、前回の監視から所定の周期分の期間を経過したか否かを判定する(S10)。所定の周期分の期間を経過していない場合(S10否定)、再度S10へ移行する。所定の周期分の期間を経過した場合(S10肯定)、監視装置18は、監視処理を実行する(S11)。監視処理の詳細は、後述する。異常が発生した場合、監視装置18は、警告を出力する。監視装置18に警告が出力されない場合(S12否定)、上述のS10へ移行して周期的な監視が継続される。
一方、監視装置18に警告が出力された場合(S12肯定)、管理者は、監視装置18を操作して操作画面から監視の実行を指示し、確認のため手動で監視処理を実行させる(S13)。
管理者は、監視装置18のログを確認し、DHCPが停止しているか否かを判定する(S14)。例えば、図7に示すように、Portステータスに「closed」が記録されている場合、管理者は、DHCPが停止していると判定する。DHCPが停止している場合(S14肯定)、管理者は、DHCP停止への対応を行う(S15)。例えば、サーバ装置12Aにリモートアクセスして、システムログ等の情報を収集し、原因を分析する。
一方、DHCPが停止していない場合(S14否定)、管理者は、監視装置18のログからサーバ装置12Aとの通信が不可な状態であるか否かを判定する(S16)。例えば、図8に示すように、指定されたホストがダウンしていると思われる旨のメッセージが記録されている場合、管理者は、サーバ装置12Aとの通信が不可な状態と判定する。サーバ装置12Aとの通信が不可な状態である場合(S16肯定)、管理者は、別な手法により、サーバ装置12Aと疎通確認を行う(S17)。例えば、管理者は、監視装置18からExpingなどの別な監視ツールを用いて、サーバ装置12Aと疎通確認を行う。管理者は、疎通確認によりサーバ装置12Aと通信に異常があるか否かを判定する(S18)。異常がある場合(S18肯定)、管理者は、データセンタ11の担当者に連絡する(S19)。一方、異常がない場合(S18否定)、管理者は、監視装置18の異常として対応する(S20)。
一方、サーバ装置12Aとの通信が可能な状態である場合(S16否定)、管理者は、監視装置18のログからDHCPが稼働状態であるか否かを判定する(S21)。例えば、図6に示すように、Portステータスに「open|filtered」が記録されている場合、管理者は、DHCPが稼働状態と判定する。DHCPが稼働状態である場合(S21肯定)、管理者は、一時的な負荷の増加などによって異常が検出されたものとして記録を残し、対応を完了する。DHCPが稼働状態ではない場合(S21否定)、管理者は、データセンタ11の担当者に連絡する(S19)。
次に、実施例1に係る監視装置18が実行する監視処理について説明する。図11は、監視処理の手順の一例を示すフローチャートである。この監視処理は、所定のタイミング、例えば、スケジューリング部34により所定の周期ごと、あるいは、受付部35により監視の実行指示を受け付けたタイミングで実行される。
図11に示すように、ポートスキャン部31は、ポートスキャナ30を制御し、サーバ装置12AへのUDPによりポート番号が67のICMP(Internet Control Message Protocol)パケットの送信およびPingの送信を所定回実行させる(S50)。
判定部32は、S50の処理の結果、ログファイル40に記録されたログからサーバ装置12AのOSが停止状態であるか否かを判定する(S51)。応答が得られなかった旨のメッセージがログに記録されている場合、判定部32は、サーバ装置12AのOSが停止状態と判定し(S51肯定)、後述のS54へ移行する。
サーバ装置12AのOSが停止状態ではない場合(S51否定)、判定部32は、S50の処理の結果、ログファイル40に記録されたログからDHCPが停止状態であるか否かを判定する(S52)。ログのPortステータスに「closed」が記録されている場合、判定部32は、サーバ装置12Aのサービスが停止状態と判定し(S52肯定)、後述のS54へ移行する。
サーバ装置12AのDHCPが停止状態ではない場合(S52否定)、判定部32は、S50の処理の結果、ログファイル40に記録されたログからDHCPが稼働状態であるか否かを判定する(S53)。ログのPortステータスに「open|filtered」が記録され、Pingステータスには、応答が得られた旨が記録されている場合、判定部32は、サーバ装置12AのDHCPが稼働状態と判定し(S53肯定)、処理を終了する。一方、サーバ装置12AのDHCPが稼働状態ではない場合(S53否定)、ログからサーバ装置12Aの状態を判定できないため、後述のS54へ移行する。
警告部33は、表示部21に警告を出力し(S54)、処理を終了する。
[効果]
上述してきたように、本実施例に係る監視装置18は、サーバ装置12Aに対してUDPによりポートスキャンを行う。監視装置18は、ポートスキャンに対してサーバ装置12Aからの応答が無い場合、サービスが稼働状態と判定し、サーバ装置12AからClosedの応答が得られた場合、サービスが停止状態と判定する。これにより、監視装置18は、サービスの稼働状態を監視できる。また、監視装置18は、監視対象であるサーバ装置12Aに監視エージェントをインストールすることなく、外部からのアクセスにより、サービスの稼働状態を監視できる。このように、監視装置18は、サーバ装置12Aに監視エージェントをインストールすることなくサーバ装置12Aを監視できるため、監視エージェントを導入するコストを削減できる。
上述してきたように、本実施例に係る監視装置18は、サーバ装置12Aに対してUDPによりポートスキャンを行う。監視装置18は、ポートスキャンに対してサーバ装置12Aからの応答が無い場合、サービスが稼働状態と判定し、サーバ装置12AからClosedの応答が得られた場合、サービスが停止状態と判定する。これにより、監視装置18は、サービスの稼働状態を監視できる。また、監視装置18は、監視対象であるサーバ装置12Aに監視エージェントをインストールすることなく、外部からのアクセスにより、サービスの稼働状態を監視できる。このように、監視装置18は、サーバ装置12Aに監視エージェントをインストールすることなくサーバ装置12Aを監視できるため、監視エージェントを導入するコストを削減できる。
また、本実施例に係る監視装置18は、サーバ装置12AのOSの動作状態をさらに監視する。本実施例に係る監視装置18は、サーバ装置12AのOSが動作状態とされ、ポートスキャンに対するサーバ装置12Aからの応答が無い場合、サービスが稼働状態と判定する。これにより、監視装置18は、サーバ装置12AOSがダウンして応答が無いケースと、サービスが稼働していて応答が無いケースを判別できる。
また、本実施例に係る監視装置18は、監視対象のサービスをUDPを用いるサービスとする。これにより、監視装置18は、UDPを用いるサービスの稼働状態を監視できる。
また、本実施例に係る監視装置18は、監視対象のサービスをDHCPのサービスとし、ポート番号が67のポートスキャンを行う。これにより、監視装置18は、DHCPの稼働状態を監視できる。また、監視装置18は、DHCPからIPアドレスの割り当てを受けることなく、DHCPの稼働状態を監視できるため、監視のために無駄なIPアドレスが使用されることを抑制できる。
さて、これまで開示の装置に関する実施例について説明したが、開示の技術は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
例えば、上記実施例では、ポートスキャン部31が、ポートスキャナ30を制御して、ICMPやPingなどの監視用のパケットを生成する場合を例示した。しかしながら、これらに限定されるものではない。ポートスキャン部31が監視用のパケットを生成してもよい。すなわち、ポートスキャン部31がポートスキャナ30の機能を有してもよい。
また、上記実施例では、監視対象のサービスをDHCPとした場合を例示した。しかしながら、これらに限定されるものではない。監視対象のサービスは、UDPを用いるサービスであれば何れであってもよい。例えば、監視装置18は、監視対象のサービスに対応したポート番号にUDPによりパケットを送信し、応答状態から監視対象のサービスの稼働状態を判定できる。例えば、監視装置18は、DNS、SNMPの稼働状態の監視にも適用できる。
また、上記実施例では、監視装置18は、監視用のパケットとして、UDPによりICMPパケットを送信する場合を例示した。しかしながら、これらに限定されるものではない。監視用のパケットは、サービスが稼働状態の場合に応答が無く、サービスが停止状態の場合にOSが応答するものであれば何れの形式でもよい。例えば、サービスが受信可能なパケットの一部を改変して、サービスが稼働状態の場合に応答しないパケットを監視用のパケットとして使用してもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的状態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、上記のポートスキャナ30、ポートスキャン部31、判定部32、警告部33、スケジューリング部34および受付部35の各処理部が適宜統合されても良い。さらに、各処理部にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[監視プログラム]
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。最初に、ドライバに対する注意喚起の制御を行う監視プログラムについて説明する。図12は、監視プログラムを実行するコンピュータの構成の一例を示す説明図である。
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。最初に、ドライバに対する注意喚起の制御を行う監視プログラムについて説明する。図12は、監視プログラムを実行するコンピュータの構成の一例を示す説明図である。
図12に示すように、コンピュータ400は、CPU(Central Processing Unit)410、HDD(Hard Disk Drive)420、RAM(Random Access Memory)440を有する。これら400〜440の各部は、バス500を介して接続される。
HDD420には上記のポートスキャナ30、ポートスキャン部31、判定部32、警告部33、スケジューリング部34および受付部35と同様の機能を発揮する監視プログラム420aが予め記憶される。なお、監視プログラム420aについては、適宜分離しても良い。
また、HDD420は、各種情報を記憶する。例えば、HDD420は、OSや発注量の決定に用いる各種データを記憶する。
そして、CPU410が、監視プログラム420aをHDD420から読み出して実行することで、実施例の各処理部と同様の動作を実行する。すなわち、監視プログラム420aは、ポートスキャナ30、ポートスキャン部31、判定部32、警告部33、スケジューリング部34および受付部35と同様の動作を実行する。
なお、上記した監視プログラム420aについては、必ずしも最初からHDD420に記憶させることを要しない。
また、例えば、監視プログラム420aは、コンピュータ400に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」に記憶させても良い。そして、コンピュータ400がこれらからプログラムを読み出して実行するようにしても良い。
さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ400に接続される「他のコンピュータ(またはサーバ)」などにプログラムを記憶させておく。そして、コンピュータ400がこれらからプログラムを読み出して実行するようにしても良い。
10 監視システム
11 データセンタ
12、12A サーバ装置
17 監視センタ
18 監視装置
20 通信I/F部
21 表示部
22 入力部
23 記憶部
24 制御部
30 ポートスキャナ
31 ポートスキャン部
32 判定部
33 警告部
34 スケジューリング部
35 受付部
40 ログファイル
41 ログ
42 ログ
11 データセンタ
12、12A サーバ装置
17 監視センタ
18 監視装置
20 通信I/F部
21 表示部
22 入力部
23 記憶部
24 制御部
30 ポートスキャナ
31 ポートスキャン部
32 判定部
33 警告部
34 スケジューリング部
35 受付部
40 ログファイル
41 ログ
42 ログ
Claims (7)
- 監視対象のサービスを提供するサーバに対してUDP(User Datagram Protocol)によりポートスキャンを行うポートスキャン部と、
前記ポートスキャン部によるポートスキャンに対して前記サーバからの応答が無い場合、前記サービスが稼働状態と判定し、前記サーバからClosedの応答が得られた場合、前記サービスが停止状態と判定する判定部と
を有することを特徴とする監視装置。 - 前記ポートスキャン部は、前記サーバのOS(Operating System)の動作状態をさらに監視し、
前記判定部は、前記サーバのOSが動作状態とされ、ポートスキャンに対する前記サーバからの応答が無い場合、前記サービスが稼働状態と判定する
ことを特徴とする請求項1に記載の監視装置。 - 前記ポートスキャン部は、前記サーバに対してポートスキャンを所定回行い、
前記判定部は、前記サーバからClosedの応答が前記所定回得られた場合、前記サービスが停止状態と判定する
ことを特徴とする請求項1また2に記載の監視装置。 - 監視対象のサービスは、UDPを用いるサービスとする
ことを特徴とする請求項1〜3の何れか1つに記載の監視装置。 - 監視対象のサービスは、DHCP(Dynamic Host Configuration Protocol)のサービスとし、
前記ポートスキャン部は、ポート番号が67のポートスキャンを行う
ことを特徴とする請求項1〜4の何れか1つに記載の監視装置。 - コンピュータに、
監視対象のサービスを提供するサーバに対してUDPによりポートスキャンを行い、
ポートスキャンに対して前記サーバからの応答が無い場合、前記サービスが稼働状態と判定し、前記サーバからClosedの応答が得られた場合、前記サービスが停止状態と判定する
処理を実行させることを特徴とする監視プログラム。 - コンピュータが、
監視対象のサービスを提供するサーバに対してUDP(User Datagram Protocol)によりポートスキャンを行い、
ポートスキャンに対して前記サーバからの応答が無い場合、前記サービスが稼働状態と判定し、前記サーバからClosedの応答が得られた場合、前記サービスが停止状態と判定する
処理を実行することを特徴とする監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015055290A JP2016177371A (ja) | 2015-03-18 | 2015-03-18 | 監視装置、監視プログラムおよび監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015055290A JP2016177371A (ja) | 2015-03-18 | 2015-03-18 | 監視装置、監視プログラムおよび監視方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016177371A true JP2016177371A (ja) | 2016-10-06 |
Family
ID=57071129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015055290A Ceased JP2016177371A (ja) | 2015-03-18 | 2015-03-18 | 監視装置、監視プログラムおよび監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016177371A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7432982B2 (ja) | 2020-03-26 | 2024-02-19 | 株式会社国際電気通信基礎技術研究所 | ネットワークスキャン装置、コンピュータに実行させるためのプログラムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005515541A (ja) * | 2002-01-15 | 2005-05-26 | ファウンドストーン インコーポレイテッド | ネットワーク脆弱性の検出および報告のためのシステムならびに方法 |
-
2015
- 2015-03-18 JP JP2015055290A patent/JP2016177371A/ja not_active Ceased
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005515541A (ja) * | 2002-01-15 | 2005-05-26 | ファウンドストーン インコーポレイテッド | ネットワーク脆弱性の検出および報告のためのシステムならびに方法 |
Non-Patent Citations (6)
| Title |
|---|
| バウアー マイケル, LINUXサーバセキュリティ, vol. 第1版, JPN6018047678, 22 October 2003 (2003-10-22), pages 81 - 82, ISSN: 0003933252 * |
| 太田 稔: "運用管理・セキュリティ強化に効果的な利用方法を皆伝 オンライソフトを使え!", NETWORKWORLD, JPN6018047670, 1 April 2004 (2004-04-01), pages 144 - 149, ISSN: 0003933248 * |
| 滝沢 隆史: "即実践!セキュリティ対策 第4回 Nmapでポート・スキャン", NIKKEI LINUX, JPN6018047676, 8 December 2009 (2009-12-08), pages 156 - 159, ISSN: 0003933251 * |
| 田端 健二: "先輩管理者が教えるシステム管理の基礎", 日経WINDOWSプロ, JPN6019003436, 1 August 2003 (2003-08-01), pages 114 - 119, ISSN: 0003971489 * |
| 種茂 文之: "ファイアウォール検証に適した高速スキャンツールの研究", マルチメディア通信と分散処理 コンピュータセキュリティ, JPN6018047674, 15 February 2002 (2002-02-15), pages 157 - 162, ISSN: 0003933250 * |
| 齋藤 孝道, マスタリングTCP/IP 情報セキュリティ編, vol. 第1版, JPN6018047671, 1 September 2013 (2013-09-01), pages 189 - 191, ISSN: 0003933249 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7432982B2 (ja) | 2020-03-26 | 2024-02-19 | 株式会社国際電気通信基礎技術研究所 | ネットワークスキャン装置、コンピュータに実行させるためのプログラムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
| US11296960B2 (en) | Monitoring distributed applications | |
| EP3362938B1 (en) | Automated construction of network whitelists using host-based security controls | |
| US8875296B2 (en) | Methods and systems for providing a framework to test the security of computing system over a network | |
| JP6419787B2 (ja) | マルウェアコンテンツ検出システム内の仮想マシンへの最適化されたリソース割当て | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US9253068B1 (en) | Network application classification for network traffic management | |
| US20120317610A1 (en) | Dynamically defining network access rules | |
| US20130268652A1 (en) | Opportunistic system scanning | |
| US11245589B2 (en) | IoT topology analyzer defining an IoT topology and associated methods | |
| US11971994B2 (en) | End-point visibility | |
| US9866466B2 (en) | Simulating real user issues in support environments | |
| US11558352B2 (en) | Cyber security protection system and related proactive suspicious domain alert system | |
| JP2016177371A (ja) | 監視装置、監視プログラムおよび監視方法 | |
| US20210019210A1 (en) | System and method of eliminating operational problem of services in a data transmission network containing virtual machines | |
| TW201843627A (zh) | 評估平台進行稽核方法及系統 | |
| WO2022212050A1 (en) | Route discovery for failure detection in computer networks | |
| AU2017404747A1 (en) | Triggered scanning using provided configuration information | |
| US20170220796A1 (en) | Isolation of Untrusted Code in Operating System Without Isolation Capability | |
| US11487570B1 (en) | Efficient creation of endpoints for accessing services directly within a cloud-based system | |
| US11295011B2 (en) | Event-triggered behavior analysis | |
| Nguyen et al. | SPEChecker: Checking the feasibility of Slow-port-exhaustion attack on various hypervisors | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| US11470099B2 (en) | Cyber security protection system and related proactive suspicious domain alert system | |
| US11316884B2 (en) | Software defined network white box infection detection and isolation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180306 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190122 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
| A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20190625 |