JP2017060074A - Network analysis device, network analysis system, and network analysis method - Google Patents
Network analysis device, network analysis system, and network analysis method Download PDFInfo
- Publication number
- JP2017060074A JP2017060074A JP2015184774A JP2015184774A JP2017060074A JP 2017060074 A JP2017060074 A JP 2017060074A JP 2015184774 A JP2015184774 A JP 2015184774A JP 2015184774 A JP2015184774 A JP 2015184774A JP 2017060074 A JP2017060074 A JP 2017060074A
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- log data
- received
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法に関するものである。 The present invention relates to a network analysis device, a network analysis system, and a network analysis method.
スマートフォンやセンサ等、ネットワークに接続する装置の数が増加しており、ネットワークの規模も拡大している。その結果、ネットワークに障害が発生した場合、その影響範囲や経済的損失も大きくなっている。このようなネットワークの障害に備えるため、ネットワークに接続する装置から情報を収集し、障害の原因を推定することが行われている。 The number of devices connected to the network such as smartphones and sensors is increasing, and the scale of the network is also expanding. As a result, when a failure occurs in the network, the range of influence and economic loss are also increasing. In order to prepare for such a network failure, information is collected from devices connected to the network and the cause of the failure is estimated.
特許文献1には「ネットワーク全体を監視するためのセンタ監視装置SVcを設け、……センタ監視装置SVcは、各グループG1〜Gnのリンク関係を各グループの識別番号と各グループ間の接続情報から判定し、障害あるいは処理等が生じたためより詳細な情報を必要とする場合には、適宜、該当グループの監視装置からその詳細情報を収集する」技術が開示されている。
In
また、特許文献2には「電子機器が無線で通信するパケットから、無線のデータリンク層に関するプロトコルで取得された特徴を第1特徴として抽出する第1特徴抽出部と、前記電子機器が無線で通信するパケットから、前記データリンク層より上位の層のプロトコルで取得された特徴を第2特徴として抽出する第2特徴抽出部と、前記第1特徴と前記第2特徴に基づいて、前記電子機器のネットワーク接続障害の原因を推定する」技術が開示されている。
特許文献1や特許文献2に開示された技術を用いれば、決まったネットワーク構成やプロトコルにおいて発生した障害の原因の推定に役立つ。しかしながら、近年のネットワークは、仮想化やカプセル化によるトンネリング等により、その構成は柔軟に変更可能であり、通信の目的等に応じて様々なプロトコルを用いて通信されるが、そのようなネットワークに対応できる技術までは開示されていない。
Use of the techniques disclosed in
そこで、本発明の目的は、柔軟な構成を有し、様々なプロトコルで通信されるネットワークであっても、障害の原因の推定に役立つように情報を提供することである。 Accordingly, an object of the present invention is to provide information so as to be useful for estimating the cause of a failure even in a network having a flexible configuration and communicating with various protocols.
本発明に係る代表的なネットワーク分析装置は、キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、取得した文字列を優先順位付けられたネットワークレイヤに応じて分類するバケット分析部と、ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けるログデータ分析部と、を備えることを特徴とする。 A typical network analysis apparatus according to the present invention receives a captured packet, acquires protocol and identifier information included in the received packet as a character string, and prioritizes the acquired character string. Bucket analysis unit that classifies according to layer, receives log data, detects protocol and identifier character strings included in the message in the received log data, counts the number of detection of each character string, Based on the character string of the message in the received log data including information, the character string classified according to the network layer is searched, the character string of the protocol and identifier related to the failure is extracted, and the extracted character string Prioritize network devices that sent log data based on the counted number of detections, and And classified protocols and identifiers according to the prioritized was network device, and the log data analyzing section prioritizing the received log data, comprising: a response to.
また、本発明は、ネットワーク分析システム、ネットワークの分析方法としても把握される。 The present invention is also understood as a network analysis system and a network analysis method.
本発明によれば、柔軟な構成を有し、様々なプロトコルで通信されるネットワークであっても、障害の原因の推定に役立つように情報を提供することが可能になる。 ADVANTAGE OF THE INVENTION According to this invention, even if it is a network which has a flexible structure and communicates with various protocols, it becomes possible to provide information so that it may be useful for the estimation of the cause of a failure.
以下、本発明の一実施形態を図面に基づいて説明する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
(A1)ネットワーク構成
図1は、ネットワーク分析システムの構成の例を示すブロック図である。ネットワーク50は、複数のネットワーク装置20a、20b、20c、20d、20e、20f(以下、複数のネットワーク装置の中で特定のネットワーク装置を示さず、いずれのネットワーク装置でもよい場合は、代表的にネットワーク装置20とし、また他の符号も同じように表す)を含み、ネットワーク装置20間は接続されている。ここで、全てのネットワーク装置20間は接続されていてもよいし、ネットワーク装置20aとネットワーク装置20dとの間のように直接的には接続されず、ネットワーク装置20b等を介して間接的に接続されていてもよい。
(A1) Network Configuration FIG. 1 is a block diagram showing an example of the configuration of a network analysis system. The
ネットワーク装置20は、図示を省略したスマートフォンやセンサ等の端末から発信されるパケットの宛先を参照し、宛先に近い別のネットワーク装置20へ転送する。また、ネットワーク装置は、有線の通信を中継(ルーティング)する装置であってもよいし、コンピュータであり、コンピュータの生成したデータをパケットにして宛先に近い別のネットワーク装置20へ送信してもよい。そして、ネットワーク装置20は、動作内容をログデータとして出力し、ネットワークログ分析装置10に送信する。
The
また、ネットワーク50は、複数のパケットキャプチャ装置30を含む。パケットキャプチャ装置30は、パケットキャプチャ装置30aのようにネットワーク装置20aとネットワーク装置20bとの接続に設けられてもよいし、ネットワーク装置20の図示を省略したキャプチャ用のパケット送受信ポートに接続されてもよい。そして、全てのネットワーク装置20の接続に設けられてもよいし、ネットワーク装置20eとネットワーク装置20fとの間のように設けられなくてもよい。
The
パケットキャプチャ装置30は、ネットワーク50内を流れるパケットを監視し、監視によりコピーしたパケットをネットワークログ分析装置10に送信する。このパケットの監視は、DPI(Deep Packet Inspection)を用いて行われてもよい。
The packet capture device 30 monitors a packet flowing in the
ネットワークログ分析装置10は、ネットワーク50に接続され、複数のネットワーク装置20から出力されるログデータを受信し、受信したログデータを蓄積する。また、複数のパケットキャプチャ装置30から出力されるパケットデータを受信し、受信したパケットデータを分析する。そして、ネットワークに障害が発生すると、蓄積したログデータ及びパケットデータの分析結果を用いて、障害の原因を推定する。
The network
なお、ネットワークログ分析装置10とネットワーク装置20あるいはパケットキャプチャ装置30とは、図示を省略したスマートフォンやセンサ等の端末から発信されるパケットと同じ通信路により接続されてもよいし、図示を省略した管理専用の通信路により接続されてもよい。また、ネットワーク50の構成や、ネットワーク装置20の種類、数は、図1に示した例に限らず、適宜、他の態様とすることが可能である。
Note that the network
(A2)ネットワーク装置の構成
図2は、ネットワーク装置20の構成の例を示すブロック図である。ネットワーク装置20は、ネットワークインタフェースモジュール21と、スイッチングモジュール22と、制御モジュール23を備える。
(A2) Configuration of Network Device FIG. 2 is a block diagram illustrating an example of the configuration of the
ネットワークインタフェースモジュール21のそれぞれは、複数のパケット送受信ポート24と、コントローラ25と、メモリ26とを備える。パケット送受信ポート24には、Ethernet(登録商標)等が物理的に接続される。ネットワーク装置20は複数のネットワークインタフェースモジュール21を備えてもよいし、1つのネットワークインタフェースモジュールを備え、スイッチングモジュール22を備えなくてもよい。
Each of the network interface modules 21 includes a plurality of packet transmission / reception ports 24, a controller 25, and a memory 26. Ethernet (registered trademark) or the like is physically connected to the packet transmission / reception port 24. The
ネットワークインタフェースモジュール21内のコントローラ25は、パケット送受信ポート24で受信したパケットを参照してパケットの宛先を識別する。識別された宛先が他装置宛てであった場合、コントローラ25が、宛先に送信するための転送先のネットワークインタフェースモジュール21及び転送先のパケット送受信ポート24を特定する。特定されたネットワークインタフェースモジュール21が、パケットを受信したネットワークインタフェースモジュール21と同じであれば、特定されたパケット送受信ポート24から送信するように制御する。 The controller 25 in the network interface module 21 refers to the packet received at the packet transmission / reception port 24 and identifies the destination of the packet. When the identified destination is addressed to another device, the controller 25 specifies the transfer destination network interface module 21 and the transfer destination packet transmission / reception port 24 for transmission to the destination. If the specified network interface module 21 is the same as the network interface module 21 that received the packet, control is performed so that the packet is transmitted from the specified packet transmission / reception port 24.
特定されたネットワークインタフェースモジュール21が、パケットを受信したネットワークインタフェースモジュール21と異なれば、受信したパケットをスイッチングモジュール22へ転送する。スイッチングモジュール22からパケットが転送されたネットワークインタフェースモジュール21は、宛先の他装置へ直接的あるいは間接的に接続されたパケット送受信ポート24からパケットを送信する。ネットワーク装置20宛てのパケットをパケット送受信ポート24で受信すると、スイッチングモジュール22経由で制御モジュール23へ転送し、制御モジュール23からスイッチングモジュール22経由で他装置宛てのパケットを受け取ると、パケット送受信ポート24から送信する。
If the identified network interface module 21 is different from the network interface module 21 that received the packet, the received packet is transferred to the
ネットワークインタフェースモジュール21内のメモリ26は、パケット送受信ポート24を通じて送受信されるパケットが一時的に記憶されるバッファとなる。宛先とネットワークインタフェースモジュール21及びパケット送受信ポート24との関係や、パケットを通過あるいは廃棄する条件等のコントローラ25の使用する情報が記憶されてもよい。 The memory 26 in the network interface module 21 serves as a buffer for temporarily storing packets transmitted and received through the packet transmission / reception port 24. Information used by the controller 25 such as a relationship between the destination, the network interface module 21 and the packet transmission / reception port 24, conditions for passing or discarding the packet, and the like may be stored.
スイッチングモジュール22は、パケットを受信すると、コントローラ25の指示あるいはCPU27aの指示に従い、受信したパケットを転送先のネットワークインタフェースモジュール21あるいは制御モジュール23へ転送する。
When receiving the packet, the switching
制御モジュール23は、メモリ26cとCPU(Central Processing Unit)27aを備える。メモリ26cにはソフトウェア処理部28aとして複数のプログラムが記憶されており、CPU27aは、メモリ26cに記憶された各プログラムを実行することで、各プログラムに応じた動作をする処理部となる。このため、以下で、プログラムを主語とする説明は、プログラムを実行するCPU27aを主語とする説明に置き換えてもよい。
The
メモリ26cはソフトウェア処理部28a以外に図示を省略したOS(Operating System)等のプログラム実行環境を含んでもよいし、CPU27aが一時的に読み書きするデータを含んでもよい。また、CPU27aは複数のCPUから構成されてもよく、各プログラムの一部または全てを実行するCPU27aと同じ動作のハードウェアをプログラムの代わりに備えてもよい。
In addition to the software processing unit 28a, the
ソフトウェア処理部28aは、パケット送受信プログラム29a、ログデータ送信プログラム31、プログラム32を含む。パケット送受信プログラム29aは、自ネットワーク装置20宛てのパケットの受信や、ソフトウェア処理部28aで作成した他装置宛てのパケットの送信を制御するためのプログラムである。パケット送受信プログラム29aはCPU27aで実行されることによりパケット送受信部となり、送受信するパケットをスイッチングモジュール22経由でネットワークインタフェースモジュール21とやりとりする。
The software processing unit 28a includes a packet transmission /
ログデータ送信プログラム31は、プログラム32の実行により出力されるログのメッセージに、ログが出力されたタイミング(タイムスタンプ)等のデータを付与し、これらのデータ(以下、ログデータとする)の送信宛先としてネットワークログ分析装置10を指定し、パケット送受信プログラム29aにログデータを引き渡すプログラムである。また、コントローラ25の実行により出力されるログのメッセージが含まれてもよく、ログデータについては、図3を用いて後で更に説明する。ログデータ送信プログラム31はCPU27aで実行されることによりログデータ送信部となる。
The log
プログラム32は、各ネットワーク装置20がサポートしているネットワークの処理を実現するためのプログラムである。例えば、ネットワーク装置20がパケットフィルタリングをサポートしている場合、パケットを通過あるいは廃棄する条件を、図示を省略した入力装置あるいはネットワーク経由でネットワーク管理者の入力を受け取り、Access Control Listとして作成し、コントローラ25のメモリ26に登録するプログラムであってもよい。
The
また、ネットワーク装置20がルーティングプロトコルをサポートしている場合、そのネットワーク装置が認識している経路情報を他のネットワーク装置20に伝えるプログラムであってもよい。更に、図示を省略したスマートフォンやセンサ等の端末から発信されるパケットを受信し、パケット送受信プログラム29aを用いて他装置へパケットを送信したり、他装置からパケットを受信し、スマートフォンやセンサ等の端末へパケットを送信したりするプログラムであってもよい。
Further, when the
図3は、ログデータの例を示す図である。ログデータには、種類61、プライオリティ62、タイムスタンプ63、装置名64、メッセージ65が含まれる。種類61は、ログデータの種類を示す情報であって、例えばそのログデータが、ネットワーク装置20の動作環境で生じたイベントに関するログデータであるのか、それとも各ネットワーク装置20に固有のプログラムで生じたイベントに関するログデータであるのか等の種類を示す。なお、ネットワーク装置20の動作環境は、複数のネットワーク装置20で共通のプログラムであり、例えばOS等であってもよい。図3の例では、「local0」となっており、自ネットワーク装置20に固有のプログラムで生じたイベントに関するログデータであることを示す。
FIG. 3 is a diagram illustrating an example of log data. The log data includes a type 61, a
プライオリティ62は、ログデータの重要性を示す情報であって、そのログデータが、ネットワーク管理者の注意喚起を必要とするログデータであるのか、単なる記録のためのログデータであるのか等の重要性を示す。図3の例では、「alert」となっており、ネットワーク管理者に何らかの対処を促すログデータであることを示す。ネットワーク装置20で検出された障害の内容に応じて特定の重要性が割り当てられていてもよい。また、重要性と後で説明するメッセージ65の内容とは、ネットワーク管理者等により予め組み合わされて、その組み合わせがネットワーク装置20へ設定さてもよい。タイムスタンプ63は、ログとして記録されるイベントが生じた時間を示す情報である。図3の例では、「Feb. 2 09:59:00」となっており、イベントが2月2日の9時59分に生じたことを示す。
The
装置名64は、イベントが生じたネットワーク装置20の名称である。図3の例では、「ND20a」となっており、「ND20a」という装置名のネットワーク装置20aでイベントが生じたことを示す。装置名64以外にネットワーク装置20のIPアドレス等を含んでもよい。メッセージ65は、イベントの具体的な内容を示す情報である。図3の例では、「SSH session timed out.」となっており、SSH(Secure Shell)セッションがタイムアウトにより切断されたというイベントが生じたことを示す。なお、ログデータは必ずしも図3に示した形式である必要はない。複数のログがまとめられたファイルの形式でネットワーク装置20からネットワークログ分析装置10へ送信されてもよい。
The
(A3)ネットワークログ分析装置の構成
図4は、ネットワークログ分析装置10の構成の例を示すブロック図である。ネットワークログ分析装置10は、パケット送受信ポート24e、ハードディスク32、メモリ26d、CPU27bを備える。ハードディスク32には、ソフトウェア処理部28bの一部または全てが記憶されており、プログラムが記憶されている。メモリ26dには、ネットワークログ分析装置10が動作するときに、少なくともその動作に必要なプログラムが読み込まれる。CPU27bは、メモリ26dへ読み込まれたプログラムに従って、ネットワークログ分析装置10の処理を実行する。
このような動作であるので、説明のために図4の例ではソフトウェア処理部28bの全てがメモリ26dに記憶されている構成を示したが、これに限定されるものではなく、ソフトウェア処理部28bの一部または全てがメモリ26dに記憶されておらず、ハードディスク32に記憶されてもよい。ここで、ハードディスク32はフラッシュメモリや半導体ディスク等の不揮発性のメモリでもよい。
(A3) Configuration of Network Log Analysis Device FIG. 4 is a block diagram illustrating an example of the configuration of the network
Because of this operation, for the sake of explanation, the example of FIG. 4 shows a configuration in which all of the
ソフトウェア処理部28bは、パケット送受信プログラム29b、ログデータ取得プログラム11、ログデータ分析プログラム12、パケットデータ取得プログラム13、パケットデータ分析プログラム14、ユーザインタフェースプログラム15を含む。各プログラムはCPU27bに実行されることにより処理部となる。例えば、ログデータ分析プログラム12とパケットデータ分析プログラム14は、それぞれログデータ分析部とパケットデータ分析部になる。このため、以下で、プログラムを主語とする説明は、プログラムを実行するCPU27bを主語とする説明に置き換えてもよい。
The
CPU27bは複数のCPUから構成されてもよく、ソフトウェア処理部28bのプログラムの一部または全てを実行するCPU27aと同じ動作のハードウェアをプログラムの代わりに備えてもよい。メモリ26dはソフトウェア処理部28b以外に図示を省略したOS等のプログラム実行環境を含んでもよいし、CPU27bが一時的に読み書きするデータを含んでもよい。また、ソフトウェア処理部28bは、ログデータ蓄積領域16、パケットデータ分析結果17、ログデータ分析結果18、ログデータ確認優先度19を含む。
The
パケット送受信プログラム29bは、パケット送受信ポート24eを介して他装置とのパケットの送受信を制御するプログラムである。ログデータ取得プログラム11は、ネットワーク装置20内のログデータ送信プログラム31により送信されたログデータを受信するプログラムである。ログデータ取得プログラム11は、XML(eXtensible Markup Language)形式やJSON(JavaScript(登録商標) Object Notation)形式等、ログデータ分析プログラム12の処理可能な形式にログデータを加工してログデータ分析プログラム12に引き渡す。
The packet transmission /
図5は、JSON形式に加工されたログデータの例を示す図である。JSON形式ログデータ66では、メッセージが「SSH session timed out.」であり、タイムスタンプが「Feb. 2 09:59:00」であり、装置名が「ND20a」であることを表す。加工されたログデータは、図3に示した情報と同じ内容の情報を含んでもよい。
FIG. 5 is a diagram illustrating an example of log data processed in the JSON format. The JSON
ログデータ分析プログラム12は、ログデータ取得プログラム11からログデータを受け取ると、その内容をログデータ蓄積領域16に格納する。また、ログデータ内のプライオリティ62の内容を参照し、ネットワーク50内に障害が起きていないかを判定する。そして、ログデータの内容を表示装置33に出力する。
When the log data analysis program 12 receives the log data from the log
図6は、表示装置33へのログデータの出力の例を示す図である。表示装置33には、ログの通し番号161、ログのプライオリティ162、ログが作成された日付163、ログが作成された時刻164、ログを発行した装置名165、ログのメッセージ166が表示される。プライオリティ162からメッセージ166までのそれぞれの表示内容は、図3に示したログデータのプライオリティ62からメッセージ65までのそれぞれの内容であってもよい。図6の例では、表示の1行が1つのログデータである。ログの通し番号161の番号は、例えばネットワークログ分析装置10が起動されてから通して付与される番号であってもよい。
FIG. 6 is a diagram illustrating an example of log data output to the
ログデータ分析プログラム12は、プライオリティ62に相当する加工されたログデータの情報を参照し、プライオリティ(重要性)が高いログデータを検知すると、管理しているネットワーク50内に障害が発生したと判定する。図6の例では、通し番号161の値が「6」のログデータで、高いプライオリティを検知し、高いプライオリティのアイコンが表示され、ネットワーク50内の障害の発生を判定したことが示されている。この表示を見たネットワーク管理者は、障害を認識することができる。そして、日付163、時刻164、装置名165、メッセージ166により「2月2日」の「9時59分0秒」に、ネットワーク装置20aで、「SSHセッションがタイムアウト」したことがわかる。
When the log data analysis program 12 refers to the information of the processed log data corresponding to the
更にログデータ分析プログラム12は、定期的(例えば予め設定された周期であって5分間隔)にパケットデータ分析結果17を参照し、パケットデータ分析結果17に保存されている文字列を取得する。その後ログデータ分析プログラム12は、ログデータ蓄積領域16に保存されたログデータを参照し、取得した文字列を含むログデータの個数をネットワーク装置20毎にカウントし、そのカウントした結果をログデータ分析結果18に格納する。
Further, the log data analysis program 12 refers to the packet data analysis result 17 periodically (for example, at a preset period of 5 minutes), and acquires a character string stored in the packet data analysis result 17. After that, the log data analysis program 12 refers to the log data stored in the log data storage area 16, counts the number of log data including the acquired character string for each
またログデータ分析プログラム12は、パケットデータ分析結果17から取得した文字列を含むログデータとそれ以外のログデータを峻別する。そして、峻別されたログデータは分けて格納されてもよい。図13を用いて後で説明するように、「推定原因ログ」としては、パケットデータ分析結果17から取得した文字列を含むログデータを表示するため、峻別された、それ以外のログデータは、表示に関する処理の対象外とすることができる。 In addition, the log data analysis program 12 distinguishes log data including a character string acquired from the packet data analysis result 17 from other log data. The distinct log data may be stored separately. As described later with reference to FIG. 13, as the “estimated cause log”, the log data including the character string acquired from the packet data analysis result 17 is displayed. It can be excluded from the processing related to display.
図7は、ログデータ分析結果18の例を示す図である。ログデータ分析結果18は、ログデータの送信元のネットワーク装置20の装置名181と、パケットデータ分析結果17に保存されている文字列毎に、その文字列を含むログデータの個数182を含む。図7の例で文字列は、「TCP」、「VLAN」、「10」、「20」、「VXLAN」、「UDP」である。例えば、エントリ1803は、装置名181が「ND20c」であるネットワーク装置20cから送信されたログデータに、文字列「TCP」を含むログデータが4つ、文字列「UDP」を含むログデータが3つ、周期の1つの期間内(例えば周期が5分であるとすると5分間)に検出されたことを示している。
エントリ1804は、装置名181が「ND20d」であるネットワーク装置20dから送信されたログデータに、文字列「VLAN 20」を含むログデータが1つ、周期の1つ期間内(例えば5分間)に検出されたことを示している。
FIG. 7 is a diagram illustrating an example of the log
The
なお、図7の例では、「VLAN」と「10」と「20」を別の文字列として表現したが、「VLAN 10」と「VLAN 20」としてもよく、図7の「VLAN」の「10」の個数と、ログデータに含まれる文字列「VLAN 10」の個数とは同じである。また、ログデータ分析結果18がどのような文字列を含むかは、キーボード34等から予め設定されていてもよい。
In the example of FIG. 7, “VLAN”, “10”, and “20” are expressed as separate character strings, but “
ログデータ分析プログラム12は、ネットワーク50内に障害が発生したと判定すると、ログデータ分析結果18を参照し、障害の原因推定を短期化するためのログデータ確認優先度19を作成し、ログデータ確認優先度19の情報に基づき表示装置33に出力を制御する。ログデータ確認優先度19の作成については図12等を用いて後で説明する。
When the log data analysis program 12 determines that a failure has occurred in the
図4のソフトウェア処理部28b内のパケットデータ取得プログラム13は、パケット送受信プログラム29bを使用して、パケットキャプチャ装置30が送信するネットワーク50内のパケットのコピーをデータとして取得する。パケットデータ取得プログラム13は、取得したパケットデータをパケットデータ分析プログラム14に引き渡す。
The packet
図8と図9のそれぞれは、ネットワーク50内を流れるパケットの例を示す図である。図8の例は、パケットキャプチャ装置30aから受信したTCPプロトコルのパケットである。パケットは、Etherヘッダ41a、IPヘッダ42a、TCPヘッダ43、SSHデータ44が含まれる。また、Etherヘッダ41aには、宛先MACアドレス45、送信元MACアドレス46、VLAN ID(Virtual Local Area Network 識別子)47の値「10」等が含まれる。
FIG. 8 and FIG. 9 are diagrams illustrating examples of packets flowing in the
パケットデータ分析プログラム14は、図8に示したパケットデータをパケットデータ取得プログラム13より受け取ると、ヘッダ情報の組み合わせ(以下、フローとする)毎に、転送に用いられているプロトコル、識別子を分析する。フローとなるヘッダ情報の組み合わせは、通信分野のいわゆるファイブ・タプル(5-tuple:送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル)であってもよいし、ファイブ・タプルに通信の特定の情報を加えたものであってもよく、VLAN等に関する情報を加えたものであってもよい。
When the packet
図8に示したパケットの例では、ヘッダ情報で特定される送信元と宛先間のSSHプロトコルは、TCPプロトコル、VLAN ID 10を用いて転送されていることが分析される。パケットデータを分析したパケットデータ分析プログラム14は、分析結果を文字列としてパケットデータ分析結果17に格納する。
In the example of the packet shown in FIG. 8, it is analyzed that the SSH protocol between the transmission source and the destination specified by the header information is transferred using the TCP protocol and
図9の例は、パケットキャプチャ装置30bから受信したUDPプロトコルでカプセル化されたパケットである。パケットには、Etherヘッダ41b、IPヘッダ42b、UDPヘッダ48、VXLAN ID(Virtual eXtensible Local Area Network 識別子)49の値「20」等が含まれる。更に、VXLANデータ51として図8に示したパケットと同じパケットが含まれる。これは、ネットワーク装置20bが、図8に示したパケットを図9に示すようにカプセル化したことを意味する。
The example of FIG. 9 is a packet encapsulated by the UDP protocol received from the
パケットデータ分析プログラム14は、図9に示したパケットデータをパケットデータ取得プログラム13より受け取ると、フロー毎に、転送に用いられているプロトコル、識別子を分析する。図9に示したパケットの例では、ヘッダ情報で特定される送信元と宛先間のSSHプロトコルは、TCPプロトコル、VLAN ID 10を用い、更にVXLAN ID 20、UDPプロトコルを用いて転送されていることが分析される。パケットデータを分析したパケットデータ分析プログラム14は、分析結果を文字列としてパケットデータ分析結果17に追加する。
When the packet
図10は、パケットデータ分析結果17の例を示す図である。パケットデータ分析結果17は、アプリケーション171、転送プロトコル172、IPアドレス173、VLAN識別子174等を含み、これらのヘッダ情報の組み合わせのフロー毎にエントリが作成される。アプリケーション171は、例えば、使用されているポート番号から特定できるネットワークアプリケーションの情報であってもよい。
FIG. 10 is a diagram illustrating an example of the packet data analysis result 17. The packet data analysis result 17 includes an
例えばエントリ1702では、IPアドレス173aの情報から特定される送信元と宛先IPアドレス間の、アプリケーション171aの情報から特定されるSNMPプロトコルが、転送プロトコル172aの情報から特定されるUDPプロトコルで転送されることが示されている。エントリ1703では、IPアドレス173aの情報から特定される送信元と宛先IPアドレス間の、アプリケーション171aの情報から特定されるNETCONFプロトコルが、転送プロトコル172aとVLAN識別子174aの情報から特定されるTCPプロトコル、VLAN ID 20で転送されることが示されている。
For example, in the
また、パケットデータ分析結果17は、図9に示したようなカプセル化されたパケットの場合、カプセル化される前のフローのエントリに、カプセル化しているヘッダ情報が追記される。エントリ1701では、IPアドレス173aの情報から特定される送信元と宛先IPアドレス間の、アプリケーション171aの情報から特定されるSSHプロトコルが、転送プロトコル172aとVLAN識別子174aの情報から特定されるTCPプロトコル、VLAN ID 10で転送され、このフローがカプセル化されて、アプリケーション171bと転送プロトコル172bで特定されるVXLAN ID 20、UDPプロトコルで転送されることが示されている。
In the packet data analysis result 17, in the case of an encapsulated packet as shown in FIG. 9, the encapsulated header information is added to the entry of the flow before being encapsulated. In the
なお、パケットデータ分析結果17は、図10に示したテーブルの構成に限定されるものではなく、リスト等の他の構成でもよいが、ネットワークのレイヤの順番に構成されることが望ましい。図10に示したテーブルの例では、テーブルの左方が上位レイヤの転送プロトコル、識別子であり、右方が下位レイヤの転送プロトコル、識別子である。このようなパケットデータ分析結果17における転送プロトコル、識別子の項目の構成は予め設定され、パケットデータ分析プログラム14の分析の結果は各項目に格納される。
The packet data analysis result 17 is not limited to the configuration of the table shown in FIG. 10 and may be other configurations such as a list, but is preferably configured in the order of the network layers. In the example of the table shown in FIG. 10, the left side of the table is the upper layer transfer protocol and identifier, and the right side is the lower layer transfer protocol and identifier. The configuration of the items of the transfer protocol and the identifier in the packet data analysis result 17 is set in advance, and the analysis result of the packet
また、各転送プロトコルと各識別子の情報は文字列であってもよい。すなわち、エントリ1701のSSHプロトコルは、パケットデータ分析結果17において、アプリケーション171aに「SSH」という文字列が格納されてもよい。エントリ1701のVLAN ID 10は、VLAN識別子174aに「VLAN 10」という文字列、あるいは「VLAN」という文字列と「10」という文字列が格納されてもよい。
Each transfer protocol and each identifier information may be a character string. That is, in the SSH protocol of the
図4のソフトウェア処理部28b内のユーザインタフェースプログラム15は、ログデータ分析プログラム12の制御に基づき、図6を用いて説明したログデータを表示装置33に出力したり、ログデータ分析プログラム12がログデータを分析した結果を表示装置33に出力したりするプログラムである。また、ネットワーク管理者がキーボード34やマウス35を操作した内容を、入力として受け付けるプログラムでもある。
The
(A4)障害原因推定短期のためにログデータ確認優先度を作成する手順
図11は、ネットワーク50内の障害を検出して表示装置33へ出力するネットワークログ分析装置10の手順の例を示すフローチャート図である。ネットワークログ分析装置10は、原因推定時間を短縮化するため,ログデータ確認優先度19を作成する。
(A4) Procedure for creating log data confirmation priority for failure cause estimation short-term FIG. 11 is a flowchart showing an example of the procedure of the network
ネットワークログ分析装置10のパケット送受信プログラム29bはネットワーク装置20からログデータを受信し、ログデータ取得プログラム11はログデータを加工してログデータ分析プログラム12に渡すことを繰り返している。ログデータ分析プログラム12は、加工されたログデータ内のプライオリティ62に対応するプライオリティの情報を参照しており、プライオリティの値が、予め設定されたレベルより高いと判定した場合、ネットワーク50内の障害を検出したとして、以下の手順に進む(ステップ101)。
The packet transmission /
ログデータ分析プログラム12は、加工されたログデータ内のメッセージ65に対応するメッセージの文字列内に出現する語を成す文字列を抽出する(ステップ102)。例えば、図6に示したログデータにおいて、通し番号161が「6」のログデータについては、そのプライオリティ162に対応するプライオリティの値が予め設定されたレベルより高いと判定でき、メッセージ166に対応するメッセージの文字列から、語を成す文字列「SSH」、「session」、「timed」、「out」を抽出する。
The log data analysis program 12 extracts a character string that constitutes a word that appears in the character string of the message corresponding to the
次にログデータ分析プログラム12は、ステップ102で抽出した文字列をキーとして、パケットデータ分析結果17内の文字列を検索し、一致する文字列を見つけ出す。この一致する文字列を含むエントリの転送プロトコル、識別子が、障害に関連する転送プロトコル、識別子となる。例えば、パケットデータ分析結果17が図10の例である場合、「SSH」と言う文字列をキーとしてパケットデータ分析結果17を検索すると、エントリ1701で一致する文字列が見つかる。エントリ1701を参照することにより、関連する転送プロトコル、識別子として、「TCP」、「VLAN 10」、「VXLAN 20」、「UDP」を抽出する。
Next, the log data analysis program 12 searches the character string in the packet data analysis result 17 using the character string extracted in
これによりログデータ分析プログラム12は、障害に関連する転送プロトコル、識別子として「SSH」、「TCP」、「VLAN 10」、「VXLAN 20」、「UDP」を特定できる。このときログデータ分析プログラム12は、これらの転送プロトコル、識別子の中で、ログデータを参照する際の優先度も含めて特定する。パケット転送は、下位レイヤの転送プロトコルのヘッダが上位レイヤの転送プロトコルのヘッダの前に付き、下位レイヤの転送プロトコルの影響が上位レイヤの転送プロトコルに影響を及ぼす特徴がある。
Thereby, the log data analysis program 12 can specify “SSH”, “TCP”, “
よって、ログデータ分析プログラム12は、図10の例ではパケットデータ分析結果17の右側にある転送プロトコル、識別子を、ログデータを参照する際、より優先度が高い転送プロトコル、識別子と特定する(ステップ103)。ログデータ分析プログラム12は、転送プロトコル、識別子を優先付けして特定した結果をログデータ確認優先度19に格納する。
Therefore, the log data analysis program 12 specifies the transfer protocol and identifier on the right side of the packet data analysis result 17 in the example of FIG. 10 as the transfer protocol and identifier with higher priority when referring to the log data (step). 103). The log data analysis program 12 stores the result specified by prioritizing the transfer protocol and identifier in the log
図12は、ログデータ確認優先度19の例を示す図である。ログデータ確認優先度19は、優先度191と転送プロトコル、識別子192とを含む。優先度191の値「1」が最も優先度が高く、ステップ103の処理により特定された「UDP」、「VXLAN 20」、「VLAN 10」、「TCP」の順に、転送プロトコル、識別子192へ格納される。
FIG. 12 is a diagram illustrating an example of the log
次にログデータ分析プログラム12は、ステップ103の処理により特定された転送プロトコル、識別子それぞれをキーとしてログデータ分析結果18を検索し、キーと一致する文字列を含むログデータの個数をネットワーク装置20毎に取得する(ステップ104)。例えば、図7に示したログデータ分析結果18の例では、「UDP」と言う文字列をキーとしてログデータ分析結果18を検索すると、エントリ1803とエントリ1805の個数182gに「1」以上の個数がある。
Next, the log data analysis program 12 searches the log data analysis result 18 using each of the transfer protocol and identifier specified by the processing of
エントリ1803を参照すると、「UDP」の文字列を含むログデータが、ある周期内に装置名181が「ND20c」のネットワーク装置20cで「3」回記録されている。また、エントリ1805を参照すると、「UDP」の文字列を含むログデータが、ある周期内に装置名181が「ND20e」のネットワーク装置20eで「1」回記録されている。個数の多いネットワーク装置20は、障害への関与の可能性が高いため、優先度を高くする。
Referring to the
ネットワーク装置20に優先度を付与するため、図12に示したログデータ確認優先度19は、転送プロトコル、識別子192に加え、装置名193を含み、ログデータ分析プログラムは、ステップ104により取得された個数に応じて、例えば転送プロトコル、識別子192が「UDP」に対して、装置名193へ「ND20c」、「ND20e」の順に記録する。
In order to give priority to the
このようにログデータ確認優先度19は、その優先度が高いほど、すなわち図12の例において転送プロトコル、識別子192と装置名193の上方に記録された情報ほど、障害の原因に関係する可能性が高く、その情報に基づいて障害原因を推定するネットワーク管理者の推定時間の短縮に寄与する。
As described above, the higher the priority of log
最後にログデータ分析プログラム12は、ログデータ確認優先度19の優先付けられた結果に従って、ログデータ蓄積領域16内のログデータを検索し、一致する文字列を含むログデータを抽出して表示装置33に出力する(ステップ105)。一致する文字列を含むログデータを抽出する際、峻別されて別に格納されたログデータのみを検索あるいは抽出の対象とすることにより、抽出の処理量を減らしてもよい。
Finally, the log data analysis program 12 searches the log data in the log data storage area 16 according to the prioritized result of the log
図13は、分析して推定した結果の出力の例を示す図である。ログデータ分析プログラム12は、ステップ105により、ユーザインタフェースプログラム15を使用して、分析して推定した結果を表示装置33に出力する。図13において、図12と同じ項目は同じ符号を付けてあり、図12を用いて説明したログデータの表示と同じ項目の表示であるが、ログデータの表示の順番が通し番号161の番号の順ではない。
FIG. 13 is a diagram illustrating an example of an output result of analysis and estimation. In
まず、プライオリティの判定から障害とみなされたログデータは、「イベントログ」として出力される。図13の例では、メッセージ166が「SSH session timed out.」のログデータである。このログデータに対し、「推定原因ログ」として、図11を用いて説明した処理により、図12に示したログデータ確認優先度19では「UDP」の優先度が高く、「UDP」では「ND20c」の優先度が高いため、「UDP packet is filtered.」が出力され、次に「UDP」の「ND20e」の「Received SNMP packet from UDP.」が出力され、次に「TCP」の「TCP packet is filtered.」が出力される。
First, log data regarded as a failure from the priority determination is output as an “event log”. In the example of FIG. 13, the
これによりネットワーク管理者は、表示装置33の出力を参照することにより、ネットワーク装置20cにおいてUDPパケットが廃棄されたことが、SSHセッションのタイムアウトを起こし通信断が発生したのではないかとの推定が可能である。また、UDPパケットの廃棄が原因ではない場合でも、「推定原因ログ」のログデータは優先度の順番で出力されているため、上からログデータを参照して行くことにより、ネットワーク管理者は少ないログデータの参照で原因にたどり着くことができる。
Thereby, the network administrator can estimate that the UDP packet was discarded in the
以上で説明した処理により、パケットを転送しているプロトコル及びパケットヘッダ内の識別子が常時分析されている。また、この分析結果に関連するログデータとそれ以外のログデータが常時峻別されている。更に、パケットを分析した結果に関連するログデータに関しては、プロトコル、識別子毎にログデータの発生回数が一定の周期で整理されている。これにより、ネットワークに障害が発生した場合、確認対象のログデータが絞りこまれていることになる。 Through the processing described above, the protocol that transfers the packet and the identifier in the packet header are constantly analyzed. Further, log data related to the analysis result and other log data are always distinguished. Further, regarding log data related to the result of analyzing a packet, the number of log data occurrences is arranged for each protocol and identifier in a fixed cycle. As a result, when a failure occurs in the network, the log data to be checked is narrowed down.
なお、パケットキャプチャ装置30は、パケットキャプチャ装置30で受信する全てのパケットをキャプチャしてもよいし、予め設定された条件でパケットをサンプリングしてキャプチャしてもよいし、全てのパケットをキャプチャして予め設定された条件でサンプリングしたパケットのみをネットワークログ分析装置10へ送信してもよい。また、ネットワークログ分析装置10は、パケットキャプチャ装置30から受信したパケットデータを全て分析してもよいし、受信したパケットデータの中から予め設定された条件でサンプリングしたパケットデータのみを分析してもよい。
The packet capture device 30 may capture all the packets received by the packet capture device 30, or may sample and capture the packets under preset conditions, or may capture all the packets. Only packets sampled under preset conditions may be transmitted to the
以上で説明したように、障害に関係すると推定されるログデータを優先順位に従ってネットワーク管理者へ提示できるため、ネットワーク管理者の障害原因の推定時間の短縮に寄与できる。また、フローに基づき分析するため、ネットワークの物理的な構成に依存せず、仮想化やカプセル化によりトンネリングされたネットワークにおいても分析ができる。また、転送プロトコルを文字列として扱い、転送プロトコルの内容に依存しないため、様々なプロトコルの混在したネットワークにおいても分析ができる。 As described above, the log data estimated to be related to the failure can be presented to the network administrator according to the priority order, which can contribute to shortening the estimated time of the failure cause of the network administrator. Further, since the analysis is based on the flow, the analysis can be performed in a network tunneled by virtualization or encapsulation without depending on the physical configuration of the network. In addition, since the transfer protocol is handled as a character string and does not depend on the contents of the transfer protocol, it can be analyzed even in a network in which various protocols are mixed.
なお、本発明及び/又は本実施例は、上述したネットワーク装置20、及びネットワークログ分析装置10による構成のほか、ネットワークログ分析方法や、ネットワークログ分析装置で実行されるコンピュータプログラムとしても構成することができる。コンピュータプログラムは、コンピュータが読取可能な記録媒体に記録されていてもよい。記録媒体としては、例えば、フレキシブルディスクやCD−ROM、DVD−ROM、光磁気ディスク、メモリカード、ハードディスク等の種々の媒体を利用することができる。
The present invention and / or the present embodiment may be configured as a network log analysis method or a computer program executed by the network log analysis apparatus in addition to the configuration by the
また、本発明及び本実施例は上述した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施例は本発明のより良い理解のために詳細に説明したのであり、必ずしも説明の全ての構成を備えるものに限定されるものではない。また、実施例の構成の一部を他の構成に置き換えることも可能であり、また、実施例の構成に他の構成を加えることも可能である。更に、実施例の構成の一部について、他の構成の追加・削除・置換をすることも可能である。 Further, the present invention and this embodiment are not limited to the above-described embodiments, and various modifications are included. For example, the above-described embodiments have been described in detail for better understanding of the present invention, and are not necessarily limited to those having all the configurations described. Also, a part of the configuration of the embodiment can be replaced with another configuration, and another configuration can be added to the configuration of the embodiment. Furthermore, it is possible to add, delete, and replace other configurations for a part of the configuration of the embodiment.
加えて、上述した各構成、機能、処理部等は、それらの一部又は全部を実現するプログラムを作成する例を説明したが、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現しても良い。 In addition, each of the above-described configurations, functions, processing units, and the like has been described as an example of creating a program that realizes some or all of them. It may be realized by hardware.
10 ネットワークログ分析装置
11 ログデータ取得プログラム
12 ログデータ分析プログラム
13 パケットデータ取得プログラム
14 パケットデータ分析プログラム
15 ユーザインタフェースプログラム
16 ログデータ蓄積領域
17 パケットデータ分析結果
18 ログデータ分析結果
19 ログデータ確認優先度
20 ネットワーク装置
30 パケットキャプチャ装置
DESCRIPTION OF
Claims (15)
キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、
取得した文字列を優先順位付けられたネットワークレイヤに応じて分類するパケット分析部と、
ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、
障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、
抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けるログデータ分析部と、
を備えることを特徴とするネットワーク分析装置。 A network analyzer,
Receive the captured packet, get the protocol and identifier information contained in the received packet as a string,
A packet analysis unit that classifies the acquired character strings according to the prioritized network layers;
Receive log data, detect protocol and identifier character strings included in messages in the received log data, count the number of detection of each character string,
Based on the character string of the message in the received log data including the failure information, search the character string classified according to the network layer, extract the character string of the protocol and identifier related to the failure,
Prioritize the network device that sent the log data based on the counted number of detections of the extracted character string, and receive the log data according to the protocol and identifier classified according to the network layer and the prioritized network device Log data analysis unit that prioritizes
A network analysis apparatus comprising:
前記パケット分析部は、
受信したパケットのファイブ・タプルを含むフロー毎に、取得した文字列を優先順位付けられたネットワークレイヤに応じて分類すること
と特徴とするネットワーク分析装置。 The network analyzer according to claim 1,
The packet analysis unit
A network analyzer characterized by classifying an acquired character string according to a prioritized network layer for each flow including a five-tuple of received packets.
前記ログデータ分析部は、
ネットワークレイヤに応じて分類されたプロトコル及び識別子の文字列を、受信したログデータ内のメッセージから検出して、予め設定された周期の1つの期間ごとに検出回数をカウントすること
を特徴とするネットワーク分析装置。 The network analyzer according to claim 2,
The log data analysis unit
A network characterized in that character strings of protocols and identifiers classified according to a network layer are detected from messages in received log data, and the number of detections is counted for each period of a preset period. Analysis equipment.
前記ログデータ分析部は、
文字列の検出されたメッセージを含むログデータと、それ以外のログデータとを峻別し、これらのログデータを分けて格納すること
を特徴とするネットワーク分析装置。 The network analyzer according to claim 3,
The log data analysis unit
A network analyzer characterized by distinguishing log data including a message in which a character string has been detected from other log data and separately storing these log data.
前記パケット分析部は、
キャプチャされた第1のパケットであって、第2のパケットをデータとして含みカプセル化した第1のパケットを受信して、受信した第1のパケットと第2のパケットそれぞれに含まれるプロトコル及び識別子の情報を文字列として取得し、
受信した第1のパケット及び第2のパケットのファイブ・タプルを含むフロー毎に、取得した文字列を、カプセル化されたパケットの優先順位付けられたネットワークレイヤと、カプセル化したパケットの優先順位付けられたネットワークレイヤとに応じて分類すること
と特徴とするネットワーク分析装置。 The network analyzer according to claim 4,
The packet analysis unit
The first packet that is captured and includes the second packet as data and encapsulated, and the protocol and identifier included in each of the received first packet and second packet are received. Get the information as a string,
For each flow that includes the five tuples of the received first packet and second packet, the acquired string is prioritized for the encapsulated packet and the prioritized packet layer. And a network analysis device characterized by classification according to the network layer.
前記ログデータ分析部は、
ログデータに付けられた優先順位に従って、ログデータを順番に並べて表示するよう制御すること
を特徴とするネットワーク分析装置。 The network analysis device according to claim 5,
The log data analysis unit
A network analyzer characterized by controlling to display log data in order according to the priority assigned to the log data.
前記複数のネットワーク装置のそれぞれは、
前記複数のネットワーク装置の他のネットワーク装置とパケットを送受信し、
パケットの送受信の関するログデータを前記ネットワーク分析装置へ送信し、
前記パケットキャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャしたパケットを前記ネットワーク分析装置へ送信し、
前記ネットワーク分析装置は、
キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、
取得した文字列を優先順位付けられたネットワークレイヤに応じて分類するバケット分析部と、
ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、
障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、
抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けるログデータ分析部と、
を備えること
を特徴とするネットワーク分析システム。 A network analysis system having a network analysis device, a packet capture device, and a plurality of network devices,
Each of the plurality of network devices is
Sending and receiving packets to and from other network devices of the plurality of network devices;
Send log data related to packet transmission and reception to the network analyzer,
The packet capture device includes:
Capture packets sent and received between the plurality of network devices, and send the captured packets to the network analysis device,
The network analyzer is
Receive the captured packet, get the protocol and identifier information contained in the received packet as a string,
A bucket analysis unit that classifies the acquired strings according to the prioritized network layers;
Receive log data, detect protocol and identifier character strings included in messages in the received log data, count the number of detection of each character string,
Based on the character string of the message in the received log data including the failure information, search the character string classified according to the network layer, extract the character string of the protocol and identifier related to the failure,
Prioritize the network device that sent the log data based on the counted number of detections of the extracted character string, and receive the log data according to the protocol and identifier classified according to the network layer and the prioritized network device Log data analysis unit that prioritizes
A network analysis system comprising:
前記パケット分析部は、
受信したパケットのファイブ・タプルを含むフロー毎に、取得した文字列を優先順位付けられたネットワークレイヤに応じて分類すること
と特徴とするネットワーク分析システム。 The network analysis system according to claim 7,
The packet analysis unit
A network analysis system characterized by classifying an acquired character string according to a prioritized network layer for each flow including a five-tuple of received packets.
前記ログデータ分析部は、
ネットワークレイヤに応じて分類されたプロトコル及び識別子の文字列を、受信したログデータ内のメッセージから検出して、予め設定された周期の1つの期間ごとに検出回数をカウントすること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 8,
The log data analysis unit
A network characterized in that character strings of protocols and identifiers classified according to a network layer are detected from messages in received log data, and the number of detections is counted for each period of a preset period. Analysis system.
前記ログデータ分析部は、
文字列の検出されたメッセージを含むログデータと、それ以外のログデータとを峻別し、これらのログデータを分けて格納すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 9, wherein
The log data analysis unit
A network analysis system characterized by distinguishing log data including a message in which a character string has been detected from other log data and separately storing these log data.
前記キャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャしたパケットをDPI(Deep Packet Inspection)によって前記ネットワーク分析装置へ送信すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 10,
The capture device includes:
A network analysis system, wherein packets transmitted and received between the plurality of network devices are captured, and the captured packets are transmitted to the network analysis device by DPI (Deep Packet Inspection).
前記キャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャした全てのパケットを前記ネットワーク分析装置へ送信すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 11, comprising:
The capture device includes:
A network analysis system that captures packets transmitted and received between the plurality of network devices and transmits all the captured packets to the network analysis device.
前記キャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャしたパケットの一部をサンプリングして前記ネットワーク分析装置へ送信すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 11, comprising:
The capture device includes:
A network analysis system that captures packets transmitted and received between the plurality of network devices, samples a portion of the captured packets, and transmits the sampled packets to the network analysis device.
前記複数のネットワーク装置のそれぞれは、
前記複数のネットワーク装置の他のネットワーク装置と、第2のパケットをデータとして含みカプセル化した第1のパケットを送受信し、
第1のパケット及び第2のパケットの送受信の関するログデータを前記ネットワーク分析装置へ送信し、
前記パケットキャプチャ装置は、
前記複数のネットワーク装置の間で送受信される第1のパケットをキャプチャして、キャプチャした第1のパケットを前記ネットワーク分析装置へ送信し、
前記パケット分析部は、
第1のパケットを受信して、受信した第1のパケットと第2のパケットそれぞれに含まれるプロトコル及び識別子の情報を文字列として取得し、
受信した第1のパケット及び第2のパケットのファイブ・タプルを含むフロー毎に、取得した文字列を、カプセル化されたパケットの優先順位付けられたネットワークレイヤと、カプセル化したパケットの優先順位付けられたネットワークレイヤとに応じて分類すること
と特徴とするネットワーク分析システム。 The network analysis system according to claim 12, wherein
Each of the plurality of network devices is
Sending and receiving a first packet encapsulating a second packet as data with other network devices of the plurality of network devices;
Transmitting log data relating to transmission / reception of the first packet and the second packet to the network analyzer;
The packet capture device includes:
Capturing a first packet transmitted and received between the plurality of network devices, and transmitting the captured first packet to the network analysis device;
The packet analysis unit
Receiving the first packet, obtaining the protocol and identifier information contained in each of the received first packet and second packet as a character string;
For each flow that includes the five tuples of the received first packet and second packet, the acquired string is prioritized for the encapsulated packet and the prioritized packet layer. And a network analysis system characterized by classification according to the determined network layer.
キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、
取得した文字列を優先順位付けられたネットワークレイヤに応じて分類し、
ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、
障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、
抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けること
を特徴とするネットワークの分析方法。 A network analysis method,
Receive the captured packet, get the protocol and identifier information contained in the received packet as a string,
Classify the retrieved strings according to the prioritized network layer,
Receive log data, detect protocol and identifier character strings included in messages in the received log data, count the number of detection of each character string,
Based on the character string of the message in the received log data including the failure information, search the character string classified according to the network layer, extract the character string of the protocol and identifier related to the failure,
Prioritize the network device that sent the log data based on the counted number of detections of the extracted character string, and receive the log data according to the protocol and identifier classified according to the network layer and the prioritized network device A network analysis method characterized by prioritizing the network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015184774A JP2017060074A (en) | 2015-09-18 | 2015-09-18 | Network analysis device, network analysis system, and network analysis method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015184774A JP2017060074A (en) | 2015-09-18 | 2015-09-18 | Network analysis device, network analysis system, and network analysis method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017060074A true JP2017060074A (en) | 2017-03-23 |
Family
ID=58390951
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015184774A Pending JP2017060074A (en) | 2015-09-18 | 2015-09-18 | Network analysis device, network analysis system, and network analysis method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017060074A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018165897A (en) * | 2017-03-28 | 2018-10-25 | 日本電気株式会社 | Display control device, display control method and computer program |
KR101959757B1 (en) * | 2017-12-26 | 2019-03-19 | 아주대학교 산학협력단 | Apparatus and method for visualizing traffic situation of financial network |
JP2020149245A (en) * | 2019-03-12 | 2020-09-17 | 株式会社リコー | Network device, network communication system, and network control program |
CN113950088A (en) * | 2021-09-07 | 2022-01-18 | 浙江三维利普维网络有限公司 | Base station monitoring and analyzing method, device, system, electronic device and storage medium |
KR102393183B1 (en) * | 2021-09-29 | 2022-05-02 | (주)로그스택 | Method, device and system for managing and processing log data of corporate server |
-
2015
- 2015-09-18 JP JP2015184774A patent/JP2017060074A/en active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018165897A (en) * | 2017-03-28 | 2018-10-25 | 日本電気株式会社 | Display control device, display control method and computer program |
KR101959757B1 (en) * | 2017-12-26 | 2019-03-19 | 아주대학교 산학협력단 | Apparatus and method for visualizing traffic situation of financial network |
JP2020149245A (en) * | 2019-03-12 | 2020-09-17 | 株式会社リコー | Network device, network communication system, and network control program |
JP7298207B2 (en) | 2019-03-12 | 2023-06-27 | 株式会社リコー | Network equipment, network communication system and network control program |
CN113950088A (en) * | 2021-09-07 | 2022-01-18 | 浙江三维利普维网络有限公司 | Base station monitoring and analyzing method, device, system, electronic device and storage medium |
CN113950088B (en) * | 2021-09-07 | 2024-01-23 | 浙江三维利普维网络有限公司 | Base station monitoring analysis method, device, system, electronic device and storage medium |
KR102393183B1 (en) * | 2021-09-29 | 2022-05-02 | (주)로그스택 | Method, device and system for managing and processing log data of corporate server |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10397260B2 (en) | Network system | |
JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
JP5660198B2 (en) | Network system and switching method | |
JP2017060074A (en) | Network analysis device, network analysis system, and network analysis method | |
US20160065423A1 (en) | Collecting and Analyzing Selected Network Traffic | |
EP2629457A1 (en) | Method and System For Network Monitoring Using Signature Packets | |
EP3082293B1 (en) | Switching device and packet loss method therefor | |
US9985892B1 (en) | System and method for providing congestion notification in layer 3 networks | |
CN113259143B (en) | Information processing method, device, system and storage medium | |
CN110557342B (en) | Apparatus for analyzing and mitigating dropped packets | |
EP3905599A1 (en) | Statistic information generation device, statistic information generation method, and program | |
US9225650B2 (en) | Network system, gateway, and packet delivery method | |
JP5971405B2 (en) | Network statistical information providing system, network statistical information providing method and program | |
JP6295681B2 (en) | Communication analysis device, communication analysis system, communication analysis method, and program | |
US9094283B2 (en) | Data collection device for monitoring streams in data network | |
JP4643692B2 (en) | Traffic information collecting method and traffic receiving apparatus | |
CN116319468B (en) | Network telemetry method, device, switch, network, electronic equipment and medium | |
JP2012151689A (en) | Traffic information collection device, network control unit, and traffic information collection method | |
EP3474489B1 (en) | A method and a system to enable a (re-)configuration of a telecommunications network | |
WO2021001879A1 (en) | Traffic monitoring device, and traffic monitoring method |