JP2017060074A - Network analysis device, network analysis system, and network analysis method - Google Patents

Network analysis device, network analysis system, and network analysis method Download PDF

Info

Publication number
JP2017060074A
JP2017060074A JP2015184774A JP2015184774A JP2017060074A JP 2017060074 A JP2017060074 A JP 2017060074A JP 2015184774 A JP2015184774 A JP 2015184774A JP 2015184774 A JP2015184774 A JP 2015184774A JP 2017060074 A JP2017060074 A JP 2017060074A
Authority
JP
Japan
Prior art keywords
network
packet
log data
received
character string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015184774A
Other languages
Japanese (ja)
Inventor
智之 飯島
Tomoyuki Iijima
智之 飯島
沖田 英樹
Hideki Okita
英樹 沖田
雄介 正村
Yusuke Shomura
雄介 正村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015184774A priority Critical patent/JP2017060074A/en
Publication of JP2017060074A publication Critical patent/JP2017060074A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide information useful for estimation of a cause of a fault in a network which has a flexible configuration and in which communication is made using a variety of protocols.SOLUTION: A network analysis device includes: a packet analysis unit which receives a captured packet, acquires information of a protocol and an identifier included in the received packet as a character string, and classifies the acquired character string according to a prioritized network layer; and a log data analysis unit which receives log data, counts the number of times of detection of a character string of the protocol and the identifier included in a message in the received log data, and on the basis of the character string of the message in the received log data including fault information, prioritizes a network device which has transmitted the log data to prioritize the received log data according to the protocol and the identifier classified according to the network layer and the prioritized network device.SELECTED DRAWING: Figure 11

Description

本発明は、ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法に関するものである。   The present invention relates to a network analysis device, a network analysis system, and a network analysis method.

スマートフォンやセンサ等、ネットワークに接続する装置の数が増加しており、ネットワークの規模も拡大している。その結果、ネットワークに障害が発生した場合、その影響範囲や経済的損失も大きくなっている。このようなネットワークの障害に備えるため、ネットワークに接続する装置から情報を収集し、障害の原因を推定することが行われている。   The number of devices connected to the network such as smartphones and sensors is increasing, and the scale of the network is also expanding. As a result, when a failure occurs in the network, the range of influence and economic loss are also increasing. In order to prepare for such a network failure, information is collected from devices connected to the network and the cause of the failure is estimated.

特許文献1には「ネットワーク全体を監視するためのセンタ監視装置SVcを設け、……センタ監視装置SVcは、各グループG1〜Gnのリンク関係を各グループの識別番号と各グループ間の接続情報から判定し、障害あるいは処理等が生じたためより詳細な情報を必要とする場合には、適宜、該当グループの監視装置からその詳細情報を収集する」技術が開示されている。   In Patent Document 1, “a center monitoring device SVc for monitoring the entire network is provided. The center monitoring device SVc determines the link relationship between the groups G1 to Gn from the identification number of each group and the connection information between the groups. In the case where more detailed information is required because a determination has occurred and a failure or a process has occurred, a technique of collecting the detailed information from the monitoring device of the corresponding group as appropriate is disclosed.

また、特許文献2には「電子機器が無線で通信するパケットから、無線のデータリンク層に関するプロトコルで取得された特徴を第1特徴として抽出する第1特徴抽出部と、前記電子機器が無線で通信するパケットから、前記データリンク層より上位の層のプロトコルで取得された特徴を第2特徴として抽出する第2特徴抽出部と、前記第1特徴と前記第2特徴に基づいて、前記電子機器のネットワーク接続障害の原因を推定する」技術が開示されている。   Patent Document 2 discloses that “a first feature extraction unit that extracts, as a first feature, a feature acquired by a protocol related to a wireless data link layer from a packet with which the electronic device communicates wirelessly, and the electronic device wirelessly. A second feature extracting unit that extracts, as a second feature, a feature acquired by a protocol in a layer higher than the data link layer from a packet to be communicated; and the electronic device based on the first feature and the second feature A technique for estimating the cause of a network connection failure is disclosed.

特開平6−164583号公報Japanese Patent Laid-Open No. 6-164583 特開2014−239297号公報JP 2014-239297 A

特許文献1や特許文献2に開示された技術を用いれば、決まったネットワーク構成やプロトコルにおいて発生した障害の原因の推定に役立つ。しかしながら、近年のネットワークは、仮想化やカプセル化によるトンネリング等により、その構成は柔軟に変更可能であり、通信の目的等に応じて様々なプロトコルを用いて通信されるが、そのようなネットワークに対応できる技術までは開示されていない。   Use of the techniques disclosed in Patent Document 1 and Patent Document 2 is useful for estimating the cause of a failure that has occurred in a fixed network configuration or protocol. However, the configuration of recent networks can be flexibly changed by tunneling by virtualization or encapsulation, and communication is performed using various protocols according to the purpose of communication. No technology has been disclosed that can be handled.

そこで、本発明の目的は、柔軟な構成を有し、様々なプロトコルで通信されるネットワークであっても、障害の原因の推定に役立つように情報を提供することである。   Accordingly, an object of the present invention is to provide information so as to be useful for estimating the cause of a failure even in a network having a flexible configuration and communicating with various protocols.

本発明に係る代表的なネットワーク分析装置は、キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、取得した文字列を優先順位付けられたネットワークレイヤに応じて分類するバケット分析部と、ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けるログデータ分析部と、を備えることを特徴とする。   A typical network analysis apparatus according to the present invention receives a captured packet, acquires protocol and identifier information included in the received packet as a character string, and prioritizes the acquired character string. Bucket analysis unit that classifies according to layer, receives log data, detects protocol and identifier character strings included in the message in the received log data, counts the number of detection of each character string, Based on the character string of the message in the received log data including information, the character string classified according to the network layer is searched, the character string of the protocol and identifier related to the failure is extracted, and the extracted character string Prioritize network devices that sent log data based on the counted number of detections, and And classified protocols and identifiers according to the prioritized was network device, and the log data analyzing section prioritizing the received log data, comprising: a response to.

また、本発明は、ネットワーク分析システム、ネットワークの分析方法としても把握される。   The present invention is also understood as a network analysis system and a network analysis method.

本発明によれば、柔軟な構成を有し、様々なプロトコルで通信されるネットワークであっても、障害の原因の推定に役立つように情報を提供することが可能になる。   ADVANTAGE OF THE INVENTION According to this invention, even if it is a network which has a flexible structure and communicates with various protocols, it becomes possible to provide information so that it may be useful for the estimation of the cause of a failure.

ネットワーク分析システムの構成の例を示すブロック図である。It is a block diagram which shows the example of a structure of a network analysis system. ネットワーク装置の構成の例を示すブロック図である。It is a block diagram which shows the example of a structure of a network device. ログデータの例を示す図である。It is a figure which shows the example of log data. ネットワークログ分析装置の構成の例を示すブロック図である。It is a block diagram which shows the example of a structure of a network log analyzer. 加工されたログデータの例を示す図である。It is a figure which shows the example of the processed log data. ログデータの出力の例を示す図である。It is a figure which shows the example of the output of log data. ログデータ分析結果の例を示す図である。It is a figure which shows the example of a log data analysis result. パケットの例を示す図である。It is a figure which shows the example of a packet. カプセル化されたパケットの例を示す図である。It is a figure which shows the example of the encapsulated packet. パケットデータ分析結果の例を示す図である。It is a figure which shows the example of a packet data analysis result. 障害を分析する処理の例を示すフローチャート図である。It is a flowchart figure which shows the example of the process which analyzes a failure. ログデータ確認優先度の例を示す図である。It is a figure which shows the example of log data confirmation priority. 障害の原因推定結果の出力の例を示す図である。It is a figure which shows the example of the output of the cause estimation result of a failure.

以下、本発明の一実施形態を図面に基づいて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

(A1)ネットワーク構成
図1は、ネットワーク分析システムの構成の例を示すブロック図である。ネットワーク50は、複数のネットワーク装置20a、20b、20c、20d、20e、20f(以下、複数のネットワーク装置の中で特定のネットワーク装置を示さず、いずれのネットワーク装置でもよい場合は、代表的にネットワーク装置20とし、また他の符号も同じように表す)を含み、ネットワーク装置20間は接続されている。ここで、全てのネットワーク装置20間は接続されていてもよいし、ネットワーク装置20aとネットワーク装置20dとの間のように直接的には接続されず、ネットワーク装置20b等を介して間接的に接続されていてもよい。 (A1) Network Configuration FIG. 1 is a block diagram showing an example of the configuration of a network analysis system. The network 50 is a plurality of network devices 20a, 20b, 20c, 20d, 20e, 20f (hereinafter, a specific network device is not shown among the plurality of network devices, and if any network device may be used, the network 50 is typically a network. The network device 20 is connected, and the network device 20 is also connected. Here, all the network devices 20 may be connected, or not directly as in the network device 20a and the network device 20d, but indirectly through the network device 20b or the like. May be.

ネットワーク装置20は、図示を省略したスマートフォンやセンサ等の端末から発信されるパケットの宛先を参照し、宛先に近い別のネットワーク装置20へ転送する。また、ネットワーク装置は、有線の通信を中継(ルーティング)する装置であってもよいし、コンピュータであり、コンピュータの生成したデータをパケットにして宛先に近い別のネットワーク装置20へ送信してもよい。そして、ネットワーク装置20は、動作内容をログデータとして出力し、ネットワークログ分析装置10に送信する。   The network device 20 refers to a destination of a packet transmitted from a terminal such as a smartphone or a sensor (not shown) and transfers it to another network device 20 close to the destination. Further, the network device may be a device that relays (routes) wired communication, or may be a computer, and data generated by the computer may be transmitted as a packet to another network device 20 close to the destination. . Then, the network device 20 outputs the operation content as log data and transmits it to the network log analysis device 10.

また、ネットワーク50は、複数のパケットキャプチャ装置30を含む。パケットキャプチャ装置30は、パケットキャプチャ装置30aのようにネットワーク装置20aとネットワーク装置20bとの接続に設けられてもよいし、ネットワーク装置20の図示を省略したキャプチャ用のパケット送受信ポートに接続されてもよい。そして、全てのネットワーク装置20の接続に設けられてもよいし、ネットワーク装置20eとネットワーク装置20fとの間のように設けられなくてもよい。   The network 50 includes a plurality of packet capture devices 30. The packet capture device 30 may be provided for connection between the network device 20a and the network device 20b like the packet capture device 30a, or may be connected to a capture packet transmission / reception port (not shown) of the network device 20. Good. And it may be provided in the connection of all the network apparatuses 20, and may not be provided like between the network apparatus 20e and the network apparatus 20f.

パケットキャプチャ装置30は、ネットワーク50内を流れるパケットを監視し、監視によりコピーしたパケットをネットワークログ分析装置10に送信する。このパケットの監視は、DPI(Deep Packet Inspection)を用いて行われてもよい。   The packet capture device 30 monitors a packet flowing in the network 50 and transmits the packet copied by the monitoring to the network log analysis device 10. This packet monitoring may be performed using DPI (Deep Packet Inspection).

ネットワークログ分析装置10は、ネットワーク50に接続され、複数のネットワーク装置20から出力されるログデータを受信し、受信したログデータを蓄積する。また、複数のパケットキャプチャ装置30から出力されるパケットデータを受信し、受信したパケットデータを分析する。そして、ネットワークに障害が発生すると、蓄積したログデータ及びパケットデータの分析結果を用いて、障害の原因を推定する。   The network log analysis device 10 is connected to the network 50, receives log data output from the plurality of network devices 20, and accumulates the received log data. In addition, it receives packet data output from the plurality of packet capture devices 30 and analyzes the received packet data. When a failure occurs in the network, the cause of the failure is estimated using the analysis results of the accumulated log data and packet data.

なお、ネットワークログ分析装置10とネットワーク装置20あるいはパケットキャプチャ装置30とは、図示を省略したスマートフォンやセンサ等の端末から発信されるパケットと同じ通信路により接続されてもよいし、図示を省略した管理専用の通信路により接続されてもよい。また、ネットワーク50の構成や、ネットワーク装置20の種類、数は、図1に示した例に限らず、適宜、他の態様とすることが可能である。   Note that the network log analysis device 10 and the network device 20 or the packet capture device 30 may be connected by the same communication path as a packet transmitted from a terminal such as a smartphone or a sensor that is not shown, and the illustration is omitted. You may connect by the communication path only for management. Further, the configuration of the network 50 and the types and numbers of the network devices 20 are not limited to the example shown in FIG.

(A2)ネットワーク装置の構成
図2は、ネットワーク装置20の構成の例を示すブロック図である。ネットワーク装置20は、ネットワークインタフェースモジュール21と、スイッチングモジュール22と、制御モジュール23を備える。 (A2) Configuration of Network Device FIG. 2 is a block diagram illustrating an example of the configuration of the network device 20. The network device 20 includes a network interface module 21, a switching module 22, and a control module 23.

ネットワークインタフェースモジュール21のそれぞれは、複数のパケット送受信ポート24と、コントローラ25と、メモリ26とを備える。パケット送受信ポート24には、Ethernet(登録商標)等が物理的に接続される。ネットワーク装置20は複数のネットワークインタフェースモジュール21を備えてもよいし、1つのネットワークインタフェースモジュールを備え、スイッチングモジュール22を備えなくてもよい。   Each of the network interface modules 21 includes a plurality of packet transmission / reception ports 24, a controller 25, and a memory 26. Ethernet (registered trademark) or the like is physically connected to the packet transmission / reception port 24. The network device 20 may include a plurality of network interface modules 21, or may include one network interface module and may not include the switching module 22.

ネットワークインタフェースモジュール21内のコントローラ25は、パケット送受信ポート24で受信したパケットを参照してパケットの宛先を識別する。識別された宛先が他装置宛てであった場合、コントローラ25が、宛先に送信するための転送先のネットワークインタフェースモジュール21及び転送先のパケット送受信ポート24を特定する。特定されたネットワークインタフェースモジュール21が、パケットを受信したネットワークインタフェースモジュール21と同じであれば、特定されたパケット送受信ポート24から送信するように制御する。   The controller 25 in the network interface module 21 refers to the packet received at the packet transmission / reception port 24 and identifies the destination of the packet. When the identified destination is addressed to another device, the controller 25 specifies the transfer destination network interface module 21 and the transfer destination packet transmission / reception port 24 for transmission to the destination. If the specified network interface module 21 is the same as the network interface module 21 that received the packet, control is performed so that the packet is transmitted from the specified packet transmission / reception port 24.

特定されたネットワークインタフェースモジュール21が、パケットを受信したネットワークインタフェースモジュール21と異なれば、受信したパケットをスイッチングモジュール22へ転送する。スイッチングモジュール22からパケットが転送されたネットワークインタフェースモジュール21は、宛先の他装置へ直接的あるいは間接的に接続されたパケット送受信ポート24からパケットを送信する。ネットワーク装置20宛てのパケットをパケット送受信ポート24で受信すると、スイッチングモジュール22経由で制御モジュール23へ転送し、制御モジュール23からスイッチングモジュール22経由で他装置宛てのパケットを受け取ると、パケット送受信ポート24から送信する。   If the identified network interface module 21 is different from the network interface module 21 that received the packet, the received packet is transferred to the switching module 22. The network interface module 21 to which the packet is transferred from the switching module 22 transmits the packet from the packet transmission / reception port 24 directly or indirectly connected to the other device of the destination. When a packet addressed to the network device 20 is received at the packet transmission / reception port 24, the packet is transferred to the control module 23 via the switching module 22, and when a packet addressed to another device is received from the control module 23 via the switching module 22, the packet transmission / reception port 24 Send.

ネットワークインタフェースモジュール21内のメモリ26は、パケット送受信ポート24を通じて送受信されるパケットが一時的に記憶されるバッファとなる。宛先とネットワークインタフェースモジュール21及びパケット送受信ポート24との関係や、パケットを通過あるいは廃棄する条件等のコントローラ25の使用する情報が記憶されてもよい。   The memory 26 in the network interface module 21 serves as a buffer for temporarily storing packets transmitted and received through the packet transmission / reception port 24. Information used by the controller 25 such as a relationship between the destination, the network interface module 21 and the packet transmission / reception port 24, conditions for passing or discarding the packet, and the like may be stored.

スイッチングモジュール22は、パケットを受信すると、コントローラ25の指示あるいはCPU27aの指示に従い、受信したパケットを転送先のネットワークインタフェースモジュール21あるいは制御モジュール23へ転送する。   When receiving the packet, the switching module 22 transfers the received packet to the network interface module 21 or the control module 23 as the transfer destination in accordance with an instruction from the controller 25 or an instruction from the CPU 27a.

制御モジュール23は、メモリ26cとCPU(Central Processing Unit)27aを備える。メモリ26cにはソフトウェア処理部28aとして複数のプログラムが記憶されており、CPU27aは、メモリ26cに記憶された各プログラムを実行することで、各プログラムに応じた動作をする処理部となる。このため、以下で、プログラムを主語とする説明は、プログラムを実行するCPU27aを主語とする説明に置き換えてもよい。   The control module 23 includes a memory 26c and a CPU (Central Processing Unit) 27a. The memory 26c stores a plurality of programs as the software processing unit 28a, and the CPU 27a executes each program stored in the memory 26c, thereby becoming a processing unit that operates according to each program. For this reason, in the following description, the description with the program as the subject may be replaced with the description with the CPU 27a executing the program as the subject.

メモリ26cはソフトウェア処理部28a以外に図示を省略したOS(Operating System)等のプログラム実行環境を含んでもよいし、CPU27aが一時的に読み書きするデータを含んでもよい。また、CPU27aは複数のCPUから構成されてもよく、各プログラムの一部または全てを実行するCPU27aと同じ動作のハードウェアをプログラムの代わりに備えてもよい。   In addition to the software processing unit 28a, the memory 26c may include a program execution environment such as an OS (Operating System) (not shown), or may include data that the CPU 27a temporarily reads and writes. The CPU 27a may be composed of a plurality of CPUs, and may be provided with hardware having the same operation as that of the CPU 27a that executes part or all of each program instead of the program.

ソフトウェア処理部28aは、パケット送受信プログラム29a、ログデータ送信プログラム31、プログラム32を含む。パケット送受信プログラム29aは、自ネットワーク装置20宛てのパケットの受信や、ソフトウェア処理部28aで作成した他装置宛てのパケットの送信を制御するためのプログラムである。パケット送受信プログラム29aはCPU27aで実行されることによりパケット送受信部となり、送受信するパケットをスイッチングモジュール22経由でネットワークインタフェースモジュール21とやりとりする。   The software processing unit 28a includes a packet transmission / reception program 29a, a log data transmission program 31, and a program 32. The packet transmission / reception program 29a is a program for controlling reception of a packet addressed to the own network device 20 and transmission of a packet addressed to another device created by the software processing unit 28a. The packet transmission / reception program 29a is executed by the CPU 27a to become a packet transmission / reception unit, and exchanges packets to be transmitted / received with the network interface module 21 via the switching module 22.

ログデータ送信プログラム31は、プログラム32の実行により出力されるログのメッセージに、ログが出力されたタイミング(タイムスタンプ)等のデータを付与し、これらのデータ(以下、ログデータとする)の送信宛先としてネットワークログ分析装置10を指定し、パケット送受信プログラム29aにログデータを引き渡すプログラムである。また、コントローラ25の実行により出力されるログのメッセージが含まれてもよく、ログデータについては、図3を用いて後で更に説明する。ログデータ送信プログラム31はCPU27aで実行されることによりログデータ送信部となる。   The log data transmission program 31 attaches data such as a log output timing (time stamp) to a log message output by the execution of the program 32, and transmits these data (hereinafter referred to as log data). This is a program that designates the network log analyzer 10 as a destination and delivers log data to the packet transmission / reception program 29a. Further, a log message output by the execution of the controller 25 may be included, and the log data will be further described later with reference to FIG. The log data transmission program 31 becomes a log data transmission unit by being executed by the CPU 27a.

プログラム32は、各ネットワーク装置20がサポートしているネットワークの処理を実現するためのプログラムである。例えば、ネットワーク装置20がパケットフィルタリングをサポートしている場合、パケットを通過あるいは廃棄する条件を、図示を省略した入力装置あるいはネットワーク経由でネットワーク管理者の入力を受け取り、Access Control Listとして作成し、コントローラ25のメモリ26に登録するプログラムであってもよい。   The program 32 is a program for realizing network processing supported by each network device 20. For example, when the network device 20 supports packet filtering, a condition for passing or discarding a packet is received as an access control list by receiving an input device (not shown) or a network administrator input via the network, and creating a controller 25 programs may be registered in the memory 26.

また、ネットワーク装置20がルーティングプロトコルをサポートしている場合、そのネットワーク装置が認識している経路情報を他のネットワーク装置20に伝えるプログラムであってもよい。更に、図示を省略したスマートフォンやセンサ等の端末から発信されるパケットを受信し、パケット送受信プログラム29aを用いて他装置へパケットを送信したり、他装置からパケットを受信し、スマートフォンやセンサ等の端末へパケットを送信したりするプログラムであってもよい。   Further, when the network device 20 supports the routing protocol, the program may be a program for transmitting the route information recognized by the network device to the other network device 20. Furthermore, a packet transmitted from a terminal such as a smartphone or a sensor (not shown) is received, a packet is transmitted to another device using the packet transmission / reception program 29a, or a packet is received from another device. It may be a program that transmits a packet to a terminal.

図3は、ログデータの例を示す図である。ログデータには、種類61、プライオリティ62、タイムスタンプ63、装置名64、メッセージ65が含まれる。種類61は、ログデータの種類を示す情報であって、例えばそのログデータが、ネットワーク装置20の動作環境で生じたイベントに関するログデータであるのか、それとも各ネットワーク装置20に固有のプログラムで生じたイベントに関するログデータであるのか等の種類を示す。なお、ネットワーク装置20の動作環境は、複数のネットワーク装置20で共通のプログラムであり、例えばOS等であってもよい。図3の例では、「local0」となっており、自ネットワーク装置20に固有のプログラムで生じたイベントに関するログデータであることを示す。   FIG. 3 is a diagram illustrating an example of log data. The log data includes a type 61, a priority 62, a time stamp 63, a device name 64, and a message 65. The type 61 is information indicating the type of log data. For example, whether the log data is log data related to an event that has occurred in the operating environment of the network device 20, or occurred in a program unique to each network device 20. Indicates the type of log data related to the event. The operating environment of the network device 20 is a program common to a plurality of network devices 20, and may be an OS, for example. In the example of FIG. 3, “local0” is shown, which indicates log data related to an event that has occurred in a program unique to the own network device 20.

プライオリティ62は、ログデータの重要性を示す情報であって、そのログデータが、ネットワーク管理者の注意喚起を必要とするログデータであるのか、単なる記録のためのログデータであるのか等の重要性を示す。図3の例では、「alert」となっており、ネットワーク管理者に何らかの対処を促すログデータであることを示す。ネットワーク装置20で検出された障害の内容に応じて特定の重要性が割り当てられていてもよい。また、重要性と後で説明するメッセージ65の内容とは、ネットワーク管理者等により予め組み合わされて、その組み合わせがネットワーク装置20へ設定さてもよい。タイムスタンプ63は、ログとして記録されるイベントが生じた時間を示す情報である。図3の例では、「Feb. 2 09:59:00」となっており、イベントが2月2日の9時59分に生じたことを示す。   The priority 62 is information indicating the importance of the log data, and is important whether the log data is log data that requires the network administrator's attention or is simply log data for recording. Showing gender. In the example of FIG. 3, “alert” indicates log data that prompts the network administrator to take some measures. Specific importance may be assigned according to the content of the failure detected by the network device 20. The importance and the content of the message 65 described later may be combined in advance by a network administrator or the like, and the combination may be set in the network device 20. The time stamp 63 is information indicating a time when an event recorded as a log occurs. In the example of FIG. 3, it is “Feb. 2 09:59:00”, indicating that the event occurred at 9:59 on February 2.

装置名64は、イベントが生じたネットワーク装置20の名称である。図3の例では、「ND20a」となっており、「ND20a」という装置名のネットワーク装置20aでイベントが生じたことを示す。装置名64以外にネットワーク装置20のIPアドレス等を含んでもよい。メッセージ65は、イベントの具体的な内容を示す情報である。図3の例では、「SSH session timed out.」となっており、SSH(Secure Shell)セッションがタイムアウトにより切断されたというイベントが生じたことを示す。なお、ログデータは必ずしも図3に示した形式である必要はない。複数のログがまとめられたファイルの形式でネットワーク装置20からネットワークログ分析装置10へ送信されてもよい。   The device name 64 is the name of the network device 20 in which the event has occurred. In the example of FIG. 3, it is “ND20a”, which indicates that an event has occurred in the network device 20a having the device name “ND20a”. In addition to the device name 64, the IP address of the network device 20 may be included. The message 65 is information indicating specific contents of the event. In the example of FIG. 3, “SSH session timed out.” Is shown, indicating that an event that an SSH (Secure Shell) session was disconnected due to a timeout occurred. Note that the log data does not necessarily have the format shown in FIG. A plurality of logs may be transmitted from the network device 20 to the network log analysis device 10 in a file format.

(A3)ネットワークログ分析装置の構成
図4は、ネットワークログ分析装置10の構成の例を示すブロック図である。ネットワークログ分析装置10は、パケット送受信ポート24e、ハードディスク32、メモリ26d、CPU27bを備える。ハードディスク32には、ソフトウェア処理部28bの一部または全てが記憶されており、プログラムが記憶されている。メモリ26dには、ネットワークログ分析装置10が動作するときに、少なくともその動作に必要なプログラムが読み込まれる。CPU27bは、メモリ26dへ読み込まれたプログラムに従って、ネットワークログ分析装置10の処理を実行する。
このような動作であるので、説明のために図4の例ではソフトウェア処理部28bの全てがメモリ26dに記憶されている構成を示したが、これに限定されるものではなく、ソフトウェア処理部28bの一部または全てがメモリ26dに記憶されておらず、ハードディスク32に記憶されてもよい。ここで、ハードディスク32はフラッシュメモリや半導体ディスク等の不揮発性のメモリでもよい。 (A3) Configuration of Network Log Analysis Device FIG. 4 is a block diagram illustrating an example of the configuration of the network log analysis device 10. The network log analyzer 10 includes a packet transmission / reception port 24e, a hard disk 32, a memory 26d, and a CPU 27b. The hard disk 32 stores part or all of the software processing unit 28b, and stores a program. When the network log analyzer 10 operates, at least a program necessary for the operation is read into the memory 26d. The CPU 27b executes the process of the network log analysis device 10 according to the program read into the memory 26d.
Because of this operation, for the sake of explanation, the example of FIG. 4 shows a configuration in which all of the software processing unit 28b is stored in the memory 26d. However, the configuration is not limited to this, and the software processing unit 28b May be stored in the hard disk 32 instead of being stored in the memory 26d. Here, the hard disk 32 may be a non-volatile memory such as a flash memory or a semiconductor disk.

ソフトウェア処理部28bは、パケット送受信プログラム29b、ログデータ取得プログラム11、ログデータ分析プログラム12、パケットデータ取得プログラム13、パケットデータ分析プログラム14、ユーザインタフェースプログラム15を含む。各プログラムはCPU27bに実行されることにより処理部となる。例えば、ログデータ分析プログラム12とパケットデータ分析プログラム14は、それぞれログデータ分析部とパケットデータ分析部になる。このため、以下で、プログラムを主語とする説明は、プログラムを実行するCPU27bを主語とする説明に置き換えてもよい。   The software processing unit 28b includes a packet transmission / reception program 29b, a log data acquisition program 11, a log data analysis program 12, a packet data acquisition program 13, a packet data analysis program 14, and a user interface program 15. Each program becomes a processing unit by being executed by the CPU 27b. For example, the log data analysis program 12 and the packet data analysis program 14 become a log data analysis unit and a packet data analysis unit, respectively. For this reason, in the following description, the description with the program as the subject may be replaced with the description with the CPU 27b executing the program as the subject.

CPU27bは複数のCPUから構成されてもよく、ソフトウェア処理部28bのプログラムの一部または全てを実行するCPU27aと同じ動作のハードウェアをプログラムの代わりに備えてもよい。メモリ26dはソフトウェア処理部28b以外に図示を省略したOS等のプログラム実行環境を含んでもよいし、CPU27bが一時的に読み書きするデータを含んでもよい。また、ソフトウェア処理部28bは、ログデータ蓄積領域16、パケットデータ分析結果17、ログデータ分析結果18、ログデータ確認優先度19を含む。   The CPU 27b may be composed of a plurality of CPUs, and may be provided with hardware having the same operation as the CPU 27a that executes part or all of the program of the software processing unit 28b instead of the program. The memory 26d may include a program execution environment such as an OS (not shown) in addition to the software processing unit 28b, or may include data that the CPU 27b temporarily reads and writes. The software processing unit 28b includes a log data storage area 16, a packet data analysis result 17, a log data analysis result 18, and a log data confirmation priority 19.

パケット送受信プログラム29bは、パケット送受信ポート24eを介して他装置とのパケットの送受信を制御するプログラムである。ログデータ取得プログラム11は、ネットワーク装置20内のログデータ送信プログラム31により送信されたログデータを受信するプログラムである。ログデータ取得プログラム11は、XML(eXtensible Markup Language)形式やJSON(JavaScript(登録商標) Object Notation)形式等、ログデータ分析プログラム12の処理可能な形式にログデータを加工してログデータ分析プログラム12に引き渡す。   The packet transmission / reception program 29b is a program that controls transmission / reception of packets with other devices via the packet transmission / reception port 24e. The log data acquisition program 11 is a program that receives log data transmitted by the log data transmission program 31 in the network device 20. The log data acquisition program 11 processes the log data into a format that can be processed by the log data analysis program 12, such as an XML (eXtensible Markup Language) format or a JSON (JavaScript (registered trademark) Object Notation) format. To hand over.

図5は、JSON形式に加工されたログデータの例を示す図である。JSON形式ログデータ66では、メッセージが「SSH session timed out.」であり、タイムスタンプが「Feb. 2 09:59:00」であり、装置名が「ND20a」であることを表す。加工されたログデータは、図3に示した情報と同じ内容の情報を含んでもよい。   FIG. 5 is a diagram illustrating an example of log data processed in the JSON format. The JSON format log data 66 indicates that the message is “SSH session timed out.”, The time stamp is “Feb. 2 09:59:00”, and the device name is “ND20a”. The processed log data may include information having the same contents as the information shown in FIG.

ログデータ分析プログラム12は、ログデータ取得プログラム11からログデータを受け取ると、その内容をログデータ蓄積領域16に格納する。また、ログデータ内のプライオリティ62の内容を参照し、ネットワーク50内に障害が起きていないかを判定する。そして、ログデータの内容を表示装置33に出力する。   When the log data analysis program 12 receives the log data from the log data acquisition program 11, the log data analysis program 12 stores the contents in the log data storage area 16. Further, the contents of the priority 62 in the log data are referred to and it is determined whether or not a failure has occurred in the network 50. Then, the contents of the log data are output to the display device 33.

図6は、表示装置33へのログデータの出力の例を示す図である。表示装置33には、ログの通し番号161、ログのプライオリティ162、ログが作成された日付163、ログが作成された時刻164、ログを発行した装置名165、ログのメッセージ166が表示される。プライオリティ162からメッセージ166までのそれぞれの表示内容は、図3に示したログデータのプライオリティ62からメッセージ65までのそれぞれの内容であってもよい。図6の例では、表示の1行が1つのログデータである。ログの通し番号161の番号は、例えばネットワークログ分析装置10が起動されてから通して付与される番号であってもよい。   FIG. 6 is a diagram illustrating an example of log data output to the display device 33. The display device 33 displays a log serial number 161, a log priority 162, a log creation date 163, a log creation time 164, a device name 165 that issued the log, and a log message 166. The display contents from the priority 162 to the message 166 may be the contents from the priority 62 to the message 65 of the log data shown in FIG. In the example of FIG. 6, one line of display is one log data. The log serial number 161 may be, for example, a number assigned after the network log analyzer 10 is activated.

ログデータ分析プログラム12は、プライオリティ62に相当する加工されたログデータの情報を参照し、プライオリティ(重要性)が高いログデータを検知すると、管理しているネットワーク50内に障害が発生したと判定する。図6の例では、通し番号161の値が「6」のログデータで、高いプライオリティを検知し、高いプライオリティのアイコンが表示され、ネットワーク50内の障害の発生を判定したことが示されている。この表示を見たネットワーク管理者は、障害を認識することができる。そして、日付163、時刻164、装置名165、メッセージ166により「2月2日」の「9時59分0秒」に、ネットワーク装置20aで、「SSHセッションがタイムアウト」したことがわかる。   When the log data analysis program 12 refers to the information of the processed log data corresponding to the priority 62 and detects log data having a high priority (importance), it determines that a failure has occurred in the managed network 50. To do. In the example of FIG. 6, the log data whose serial number 161 has the value “6” detects a high priority, displays a high priority icon, and indicates that a failure in the network 50 has been determined. The network administrator who sees this display can recognize the failure. Then, the date 163, the time 164, the device name 165, and the message 166 show that the network device 20a “SSH session timed out” at “9: 59: 0” on “February 2”.

更にログデータ分析プログラム12は、定期的(例えば予め設定された周期であって5分間隔)にパケットデータ分析結果17を参照し、パケットデータ分析結果17に保存されている文字列を取得する。その後ログデータ分析プログラム12は、ログデータ蓄積領域16に保存されたログデータを参照し、取得した文字列を含むログデータの個数をネットワーク装置20毎にカウントし、そのカウントした結果をログデータ分析結果18に格納する。   Further, the log data analysis program 12 refers to the packet data analysis result 17 periodically (for example, at a preset period of 5 minutes), and acquires a character string stored in the packet data analysis result 17. After that, the log data analysis program 12 refers to the log data stored in the log data storage area 16, counts the number of log data including the acquired character string for each network device 20, and performs the log data analysis on the counted result. Store in result 18.

またログデータ分析プログラム12は、パケットデータ分析結果17から取得した文字列を含むログデータとそれ以外のログデータを峻別する。そして、峻別されたログデータは分けて格納されてもよい。図13を用いて後で説明するように、「推定原因ログ」としては、パケットデータ分析結果17から取得した文字列を含むログデータを表示するため、峻別された、それ以外のログデータは、表示に関する処理の対象外とすることができる。   In addition, the log data analysis program 12 distinguishes log data including a character string acquired from the packet data analysis result 17 from other log data. The distinct log data may be stored separately. As described later with reference to FIG. 13, as the “estimated cause log”, the log data including the character string acquired from the packet data analysis result 17 is displayed. It can be excluded from the processing related to display.

図7は、ログデータ分析結果18の例を示す図である。ログデータ分析結果18は、ログデータの送信元のネットワーク装置20の装置名181と、パケットデータ分析結果17に保存されている文字列毎に、その文字列を含むログデータの個数182を含む。図7の例で文字列は、「TCP」、「VLAN」、「10」、「20」、「VXLAN」、「UDP」である。例えば、エントリ1803は、装置名181が「ND20c」であるネットワーク装置20cから送信されたログデータに、文字列「TCP」を含むログデータが4つ、文字列「UDP」を含むログデータが3つ、周期の1つの期間内(例えば周期が5分であるとすると5分間)に検出されたことを示している。
エントリ1804は、装置名181が「ND20d」であるネットワーク装置20dから送信されたログデータに、文字列「VLAN 20」を含むログデータが1つ、周期の1つ期間内(例えば5分間)に検出されたことを示している。 FIG. 7 is a diagram illustrating an example of the log data analysis result 18. The log data analysis result 18 includes the device name 181 of the network device 20 that is the log data transmission source, and the number 182 of log data including the character string for each character string stored in the packet data analysis result 17. In the example of FIG. 7, the character strings are “TCP”, “VLAN”, “10”, “20”, “VXLAN”, and “UDP”. For example, in the entry 1803, the log data transmitted from the network device 20c whose device name 181 is “ND20c” includes four log data including the character string “TCP” and three log data including the character string “UDP”. In other words, it is detected within one period of the cycle (for example, if the cycle is 5 minutes).
The entry 1804 includes one log data including the character string “VLAN 20” in the log data transmitted from the network device 20d whose device name 181 is “ND20d”, within one period of the cycle (for example, 5 minutes). Indicates that it was detected.

なお、図7の例では、「VLAN」と「10」と「20」を別の文字列として表現したが、「VLAN 10」と「VLAN 20」としてもよく、図7の「VLAN」の「10」の個数と、ログデータに含まれる文字列「VLAN 10」の個数とは同じである。また、ログデータ分析結果18がどのような文字列を含むかは、キーボード34等から予め設定されていてもよい。   In the example of FIG. 7, “VLAN”, “10”, and “20” are expressed as separate character strings, but “VLAN 10” and “VLAN 20” may be used, and “VLAN” in FIG. The number of “10” is the same as the number of character strings “VLAN 10” included in the log data. Further, what character string the log data analysis result 18 includes may be set in advance from the keyboard 34 or the like.

ログデータ分析プログラム12は、ネットワーク50内に障害が発生したと判定すると、ログデータ分析結果18を参照し、障害の原因推定を短期化するためのログデータ確認優先度19を作成し、ログデータ確認優先度19の情報に基づき表示装置33に出力を制御する。ログデータ確認優先度19の作成については図12等を用いて後で説明する。   When the log data analysis program 12 determines that a failure has occurred in the network 50, the log data analysis program 12 refers to the log data analysis result 18 and creates a log data confirmation priority 19 for shortening the cause estimation of the failure. Based on the information of the confirmation priority 19, output is controlled to the display device 33. The creation of the log data confirmation priority 19 will be described later with reference to FIG.

図4のソフトウェア処理部28b内のパケットデータ取得プログラム13は、パケット送受信プログラム29bを使用して、パケットキャプチャ装置30が送信するネットワーク50内のパケットのコピーをデータとして取得する。パケットデータ取得プログラム13は、取得したパケットデータをパケットデータ分析プログラム14に引き渡す。   The packet data acquisition program 13 in the software processing unit 28b in FIG. 4 acquires, as data, a copy of the packet in the network 50 transmitted by the packet capture device 30 using the packet transmission / reception program 29b. The packet data acquisition program 13 delivers the acquired packet data to the packet data analysis program 14.

図8と図9のそれぞれは、ネットワーク50内を流れるパケットの例を示す図である。図8の例は、パケットキャプチャ装置30aから受信したTCPプロトコルのパケットである。パケットは、Etherヘッダ41a、IPヘッダ42a、TCPヘッダ43、SSHデータ44が含まれる。また、Etherヘッダ41aには、宛先MACアドレス45、送信元MACアドレス46、VLAN ID(Virtual Local Area Network 識別子)47の値「10」等が含まれる。   FIG. 8 and FIG. 9 are diagrams illustrating examples of packets flowing in the network 50. The example of FIG. 8 is a TCP protocol packet received from the packet capture device 30a. The packet includes an Ether header 41a, an IP header 42a, a TCP header 43, and SSH data 44. The Ether header 41a includes a destination MAC address 45, a source MAC address 46, a VLAN ID (Virtual Local Area Network identifier) 47 value “10”, and the like.

パケットデータ分析プログラム14は、図8に示したパケットデータをパケットデータ取得プログラム13より受け取ると、ヘッダ情報の組み合わせ(以下、フローとする)毎に、転送に用いられているプロトコル、識別子を分析する。フローとなるヘッダ情報の組み合わせは、通信分野のいわゆるファイブ・タプル(5-tuple:送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル)であってもよいし、ファイブ・タプルに通信の特定の情報を加えたものであってもよく、VLAN等に関する情報を加えたものであってもよい。   When the packet data analysis program 14 receives the packet data shown in FIG. 8 from the packet data acquisition program 13, the packet data analysis program 14 analyzes the protocol and identifier used for transfer for each combination of header information (hereinafter referred to as a flow). . The combination of header information to be a flow may be a so-called five tuple (5-tuple: source IP address, source port number, destination IP address, destination port number, protocol) in the communication field. A tuple may be added with specific information of communication, or may be added with information regarding VLAN or the like.

図8に示したパケットの例では、ヘッダ情報で特定される送信元と宛先間のSSHプロトコルは、TCPプロトコル、VLAN ID 10を用いて転送されていることが分析される。パケットデータを分析したパケットデータ分析プログラム14は、分析結果を文字列としてパケットデータ分析結果17に格納する。   In the example of the packet shown in FIG. 8, it is analyzed that the SSH protocol between the transmission source and the destination specified by the header information is transferred using the TCP protocol and VLAN ID 10. The packet data analysis program 14 that has analyzed the packet data stores the analysis result in the packet data analysis result 17 as a character string.

図9の例は、パケットキャプチャ装置30bから受信したUDPプロトコルでカプセル化されたパケットである。パケットには、Etherヘッダ41b、IPヘッダ42b、UDPヘッダ48、VXLAN ID(Virtual eXtensible Local Area Network 識別子)49の値「20」等が含まれる。更に、VXLANデータ51として図8に示したパケットと同じパケットが含まれる。これは、ネットワーク装置20bが、図8に示したパケットを図9に示すようにカプセル化したことを意味する。   The example of FIG. 9 is a packet encapsulated by the UDP protocol received from the packet capture device 30b. The packet includes an Ether header 41b, an IP header 42b, a UDP header 48, a VXLAN ID (Virtual eXtensible Local Area Network identifier) 49 value “20”, and the like. Further, the VXLAN data 51 includes the same packet as that shown in FIG. This means that the network device 20b encapsulates the packet shown in FIG. 8 as shown in FIG.

パケットデータ分析プログラム14は、図9に示したパケットデータをパケットデータ取得プログラム13より受け取ると、フロー毎に、転送に用いられているプロトコル、識別子を分析する。図9に示したパケットの例では、ヘッダ情報で特定される送信元と宛先間のSSHプロトコルは、TCPプロトコル、VLAN ID 10を用い、更にVXLAN ID 20、UDPプロトコルを用いて転送されていることが分析される。パケットデータを分析したパケットデータ分析プログラム14は、分析結果を文字列としてパケットデータ分析結果17に追加する。   When the packet data analysis program 14 receives the packet data shown in FIG. 9 from the packet data acquisition program 13, the packet data analysis program 14 analyzes the protocol and identifier used for transfer for each flow. In the packet example shown in FIG. 9, the SSH protocol between the transmission source and the destination specified by the header information uses the TCP protocol, VLAN ID 10, and is further transferred using the VXLAN ID 20, UDP protocol. Is analyzed. The packet data analysis program 14 that has analyzed the packet data adds the analysis result to the packet data analysis result 17 as a character string.

図10は、パケットデータ分析結果17の例を示す図である。パケットデータ分析結果17は、アプリケーション171、転送プロトコル172、IPアドレス173、VLAN識別子174等を含み、これらのヘッダ情報の組み合わせのフロー毎にエントリが作成される。アプリケーション171は、例えば、使用されているポート番号から特定できるネットワークアプリケーションの情報であってもよい。   FIG. 10 is a diagram illustrating an example of the packet data analysis result 17. The packet data analysis result 17 includes an application 171, a transfer protocol 172, an IP address 173, a VLAN identifier 174, and the like, and an entry is created for each flow of a combination of these header information. The application 171 may be, for example, network application information that can be identified from the port number being used.

例えばエントリ1702では、IPアドレス173aの情報から特定される送信元と宛先IPアドレス間の、アプリケーション171aの情報から特定されるSNMPプロトコルが、転送プロトコル172aの情報から特定されるUDPプロトコルで転送されることが示されている。エントリ1703では、IPアドレス173aの情報から特定される送信元と宛先IPアドレス間の、アプリケーション171aの情報から特定されるNETCONFプロトコルが、転送プロトコル172aとVLAN識別子174aの情報から特定されるTCPプロトコル、VLAN ID 20で転送されることが示されている。   For example, in the entry 1702, the SNMP protocol specified from the information of the application 171a between the transmission source and the destination IP address specified from the information of the IP address 173a is transferred by the UDP protocol specified from the information of the transfer protocol 172a. It has been shown. In the entry 1703, the NETCONF protocol specified from the information of the application 171a between the source and destination IP addresses specified from the information of the IP address 173a is the TCP protocol specified from the information of the transfer protocol 172a and the VLAN identifier 174a, It is shown to be transferred with VLAN ID 20.

また、パケットデータ分析結果17は、図9に示したようなカプセル化されたパケットの場合、カプセル化される前のフローのエントリに、カプセル化しているヘッダ情報が追記される。エントリ1701では、IPアドレス173aの情報から特定される送信元と宛先IPアドレス間の、アプリケーション171aの情報から特定されるSSHプロトコルが、転送プロトコル172aとVLAN識別子174aの情報から特定されるTCPプロトコル、VLAN ID 10で転送され、このフローがカプセル化されて、アプリケーション171bと転送プロトコル172bで特定されるVXLAN ID 20、UDPプロトコルで転送されることが示されている。   In the packet data analysis result 17, in the case of an encapsulated packet as shown in FIG. 9, the encapsulated header information is added to the entry of the flow before being encapsulated. In the entry 1701, the SSH protocol specified from the information of the application 171a between the source and destination IP addresses specified from the information of the IP address 173a is the TCP protocol specified from the information of the transfer protocol 172a and the VLAN identifier 174a, It is transferred by VLAN ID 10, and this flow is encapsulated, and it is shown that it is transferred by VXLAN ID 20 and UDP protocol specified by application 171b and transfer protocol 172b.

なお、パケットデータ分析結果17は、図10に示したテーブルの構成に限定されるものではなく、リスト等の他の構成でもよいが、ネットワークのレイヤの順番に構成されることが望ましい。図10に示したテーブルの例では、テーブルの左方が上位レイヤの転送プロトコル、識別子であり、右方が下位レイヤの転送プロトコル、識別子である。このようなパケットデータ分析結果17における転送プロトコル、識別子の項目の構成は予め設定され、パケットデータ分析プログラム14の分析の結果は各項目に格納される。   The packet data analysis result 17 is not limited to the configuration of the table shown in FIG. 10 and may be other configurations such as a list, but is preferably configured in the order of the network layers. In the example of the table shown in FIG. 10, the left side of the table is the upper layer transfer protocol and identifier, and the right side is the lower layer transfer protocol and identifier. The configuration of the items of the transfer protocol and the identifier in the packet data analysis result 17 is set in advance, and the analysis result of the packet data analysis program 14 is stored in each item.

また、各転送プロトコルと各識別子の情報は文字列であってもよい。すなわち、エントリ1701のSSHプロトコルは、パケットデータ分析結果17において、アプリケーション171aに「SSH」という文字列が格納されてもよい。エントリ1701のVLAN ID 10は、VLAN識別子174aに「VLAN 10」という文字列、あるいは「VLAN」という文字列と「10」という文字列が格納されてもよい。   Each transfer protocol and each identifier information may be a character string. That is, in the SSH protocol of the entry 1701, in the packet data analysis result 17, the character string “SSH” may be stored in the application 171a. In the VLAN ID 10 of the entry 1701, a character string “VLAN 10” or a character string “VLAN” and a character string “10” may be stored in the VLAN identifier 174a.

図4のソフトウェア処理部28b内のユーザインタフェースプログラム15は、ログデータ分析プログラム12の制御に基づき、図6を用いて説明したログデータを表示装置33に出力したり、ログデータ分析プログラム12がログデータを分析した結果を表示装置33に出力したりするプログラムである。また、ネットワーク管理者がキーボード34やマウス35を操作した内容を、入力として受け付けるプログラムでもある。   The user interface program 15 in the software processing unit 28b of FIG. 4 outputs the log data described with reference to FIG. 6 to the display device 33 based on the control of the log data analysis program 12, or the log data analysis program 12 logs This is a program for outputting the result of analyzing the data to the display device 33. In addition, it is a program that accepts, as an input, the contents of the operation of the keyboard 34 and mouse 35 by the network administrator.

(A4)障害原因推定短期のためにログデータ確認優先度を作成する手順
図11は、ネットワーク50内の障害を検出して表示装置33へ出力するネットワークログ分析装置10の手順の例を示すフローチャート図である。ネットワークログ分析装置10は、原因推定時間を短縮化するため,ログデータ確認優先度19を作成する。 (A4) Procedure for creating log data confirmation priority for failure cause estimation short-term FIG. 11 is a flowchart showing an example of the procedure of the network log analysis device 10 that detects a failure in the network 50 and outputs it to the display device 33. FIG. The network log analysis device 10 creates the log data confirmation priority 19 in order to shorten the cause estimation time.

ネットワークログ分析装置10のパケット送受信プログラム29bはネットワーク装置20からログデータを受信し、ログデータ取得プログラム11はログデータを加工してログデータ分析プログラム12に渡すことを繰り返している。ログデータ分析プログラム12は、加工されたログデータ内のプライオリティ62に対応するプライオリティの情報を参照しており、プライオリティの値が、予め設定されたレベルより高いと判定した場合、ネットワーク50内の障害を検出したとして、以下の手順に進む(ステップ101)。   The packet transmission / reception program 29b of the network log analysis device 10 receives log data from the network device 20, and the log data acquisition program 11 repeatedly processes the log data and passes it to the log data analysis program 12. When the log data analysis program 12 refers to the priority information corresponding to the priority 62 in the processed log data and determines that the priority value is higher than a preset level, a failure in the network 50 Is detected, the process proceeds to the following procedure (step 101).

ログデータ分析プログラム12は、加工されたログデータ内のメッセージ65に対応するメッセージの文字列内に出現する語を成す文字列を抽出する(ステップ102)。例えば、図6に示したログデータにおいて、通し番号161が「6」のログデータについては、そのプライオリティ162に対応するプライオリティの値が予め設定されたレベルより高いと判定でき、メッセージ166に対応するメッセージの文字列から、語を成す文字列「SSH」、「session」、「timed」、「out」を抽出する。   The log data analysis program 12 extracts a character string that constitutes a word that appears in the character string of the message corresponding to the message 65 in the processed log data (step 102). For example, in the log data shown in FIG. 6, for log data whose serial number 161 is “6”, it can be determined that the priority value corresponding to the priority 162 is higher than a preset level, and the message corresponding to the message 166 The character strings “SSH”, “session”, “timed”, and “out” forming the word are extracted from the character string.

次にログデータ分析プログラム12は、ステップ102で抽出した文字列をキーとして、パケットデータ分析結果17内の文字列を検索し、一致する文字列を見つけ出す。この一致する文字列を含むエントリの転送プロトコル、識別子が、障害に関連する転送プロトコル、識別子となる。例えば、パケットデータ分析結果17が図10の例である場合、「SSH」と言う文字列をキーとしてパケットデータ分析結果17を検索すると、エントリ1701で一致する文字列が見つかる。エントリ1701を参照することにより、関連する転送プロトコル、識別子として、「TCP」、「VLAN 10」、「VXLAN 20」、「UDP」を抽出する。   Next, the log data analysis program 12 searches the character string in the packet data analysis result 17 using the character string extracted in step 102 as a key, and finds a matching character string. The transfer protocol and identifier of the entry including the matching character string become the transfer protocol and identifier related to the failure. For example, when the packet data analysis result 17 is the example of FIG. 10, when the packet data analysis result 17 is searched using the character string “SSH” as a key, a matching character string is found in the entry 1701. By referring to the entry 1701, “TCP”, “VLAN 10”, “VXLAN 20”, and “UDP” are extracted as related transfer protocols and identifiers.

これによりログデータ分析プログラム12は、障害に関連する転送プロトコル、識別子として「SSH」、「TCP」、「VLAN 10」、「VXLAN 20」、「UDP」を特定できる。このときログデータ分析プログラム12は、これらの転送プロトコル、識別子の中で、ログデータを参照する際の優先度も含めて特定する。パケット転送は、下位レイヤの転送プロトコルのヘッダが上位レイヤの転送プロトコルのヘッダの前に付き、下位レイヤの転送プロトコルの影響が上位レイヤの転送プロトコルに影響を及ぼす特徴がある。   Thereby, the log data analysis program 12 can specify “SSH”, “TCP”, “VLAN 10”, “VXLAN 20”, and “UDP” as transfer protocols related to the failure and identifiers. At this time, the log data analysis program 12 identifies the transfer protocol and identifier including the priority when referring to the log data. The packet transfer is characterized in that the lower layer transfer protocol header precedes the upper layer transfer protocol header, and the influence of the lower layer transfer protocol affects the upper layer transfer protocol.

よって、ログデータ分析プログラム12は、図10の例ではパケットデータ分析結果17の右側にある転送プロトコル、識別子を、ログデータを参照する際、より優先度が高い転送プロトコル、識別子と特定する(ステップ103)。ログデータ分析プログラム12は、転送プロトコル、識別子を優先付けして特定した結果をログデータ確認優先度19に格納する。   Therefore, the log data analysis program 12 specifies the transfer protocol and identifier on the right side of the packet data analysis result 17 in the example of FIG. 10 as the transfer protocol and identifier with higher priority when referring to the log data (step). 103). The log data analysis program 12 stores the result specified by prioritizing the transfer protocol and identifier in the log data confirmation priority 19.

図12は、ログデータ確認優先度19の例を示す図である。ログデータ確認優先度19は、優先度191と転送プロトコル、識別子192とを含む。優先度191の値「1」が最も優先度が高く、ステップ103の処理により特定された「UDP」、「VXLAN 20」、「VLAN 10」、「TCP」の順に、転送プロトコル、識別子192へ格納される。   FIG. 12 is a diagram illustrating an example of the log data confirmation priority 19. The log data confirmation priority 19 includes a priority 191, a transfer protocol, and an identifier 192. The value “1” of the priority 191 has the highest priority, and is stored in the transfer protocol and the identifier 192 in the order of “UDP”, “VXLAN 20”, “VLAN 10”, and “TCP” specified by the processing in step 103. Is done.

次にログデータ分析プログラム12は、ステップ103の処理により特定された転送プロトコル、識別子それぞれをキーとしてログデータ分析結果18を検索し、キーと一致する文字列を含むログデータの個数をネットワーク装置20毎に取得する(ステップ104)。例えば、図7に示したログデータ分析結果18の例では、「UDP」と言う文字列をキーとしてログデータ分析結果18を検索すると、エントリ1803とエントリ1805の個数182gに「1」以上の個数がある。   Next, the log data analysis program 12 searches the log data analysis result 18 using each of the transfer protocol and identifier specified by the processing of step 103 as a key, and determines the number of log data including a character string matching the key as the network device 20. It is acquired every time (step 104). For example, in the example of the log data analysis result 18 shown in FIG. 7, when the log data analysis result 18 is searched using the character string “UDP” as a key, the number of entries 1803 and 1805 is equal to or greater than “1”. There is.

エントリ1803を参照すると、「UDP」の文字列を含むログデータが、ある周期内に装置名181が「ND20c」のネットワーク装置20cで「3」回記録されている。また、エントリ1805を参照すると、「UDP」の文字列を含むログデータが、ある周期内に装置名181が「ND20e」のネットワーク装置20eで「1」回記録されている。個数の多いネットワーク装置20は、障害への関与の可能性が高いため、優先度を高くする。   Referring to the entry 1803, log data including the character string “UDP” is recorded “3” times in the network device 20c whose device name 181 is “ND20c” within a certain period. Referring to the entry 1805, log data including the character string “UDP” is recorded “1” times in the network device 20e having the device name 181 “ND20e” within a certain period. The network device 20 having a large number is highly likely to be involved in a failure, and therefore has a higher priority.

ネットワーク装置20に優先度を付与するため、図12に示したログデータ確認優先度19は、転送プロトコル、識別子192に加え、装置名193を含み、ログデータ分析プログラムは、ステップ104により取得された個数に応じて、例えば転送プロトコル、識別子192が「UDP」に対して、装置名193へ「ND20c」、「ND20e」の順に記録する。   In order to give priority to the network device 20, the log data confirmation priority 19 shown in FIG. 12 includes the device name 193 in addition to the transfer protocol and identifier 192, and the log data analysis program was acquired in step 104. Depending on the number, for example, when the transfer protocol identifier 192 is “UDP”, “ND20c” and “ND20e” are recorded in the device name 193 in this order.

このようにログデータ確認優先度19は、その優先度が高いほど、すなわち図12の例において転送プロトコル、識別子192と装置名193の上方に記録された情報ほど、障害の原因に関係する可能性が高く、その情報に基づいて障害原因を推定するネットワーク管理者の推定時間の短縮に寄与する。   As described above, the higher the priority of log data confirmation priority 19, that is, the information recorded above the transfer protocol, identifier 192, and device name 193 in the example of FIG. It contributes to shortening the estimated time of the network administrator who estimates the cause of failure based on the information.

最後にログデータ分析プログラム12は、ログデータ確認優先度19の優先付けられた結果に従って、ログデータ蓄積領域16内のログデータを検索し、一致する文字列を含むログデータを抽出して表示装置33に出力する(ステップ105)。一致する文字列を含むログデータを抽出する際、峻別されて別に格納されたログデータのみを検索あるいは抽出の対象とすることにより、抽出の処理量を減らしてもよい。   Finally, the log data analysis program 12 searches the log data in the log data storage area 16 according to the prioritized result of the log data confirmation priority 19, extracts the log data including the matching character string, and displays it. (Step 105). When extracting log data including a matching character string, the amount of extraction processing may be reduced by using only log data that is distinct and stored separately as a search or extraction target.

図13は、分析して推定した結果の出力の例を示す図である。ログデータ分析プログラム12は、ステップ105により、ユーザインタフェースプログラム15を使用して、分析して推定した結果を表示装置33に出力する。図13において、図12と同じ項目は同じ符号を付けてあり、図12を用いて説明したログデータの表示と同じ項目の表示であるが、ログデータの表示の順番が通し番号161の番号の順ではない。   FIG. 13 is a diagram illustrating an example of an output result of analysis and estimation. In step 105, the log data analysis program 12 uses the user interface program 15 to output the analysis and estimation result to the display device 33. In FIG. 13, the same items as those in FIG. 12 are denoted by the same reference numerals, and are the same items as the log data display described with reference to FIG. 12, but the display order of the log data is the order of the serial numbers 161. is not.

まず、プライオリティの判定から障害とみなされたログデータは、「イベントログ」として出力される。図13の例では、メッセージ166が「SSH session timed out.」のログデータである。このログデータに対し、「推定原因ログ」として、図11を用いて説明した処理により、図12に示したログデータ確認優先度19では「UDP」の優先度が高く、「UDP」では「ND20c」の優先度が高いため、「UDP packet is filtered.」が出力され、次に「UDP」の「ND20e」の「Received SNMP packet from UDP.」が出力され、次に「TCP」の「TCP packet is filtered.」が出力される。   First, log data regarded as a failure from the priority determination is output as an “event log”. In the example of FIG. 13, the message 166 is log data of “SSH session timed out.”. With respect to this log data, the processing described with reference to FIG. 11 as the “estimated cause log” has a higher priority of “UDP” in the log data confirmation priority 19 shown in FIG. 12, and “ND20c” in “UDP”. ”Is high, so“ UDP packet is filtered. ”Is output,“ UD20 ”“ ND20e ”“ Received SNMP packet from UDP. ”Is output, and“ TCP ”“ TCP packet ” is filtered. "is output.

これによりネットワーク管理者は、表示装置33の出力を参照することにより、ネットワーク装置20cにおいてUDPパケットが廃棄されたことが、SSHセッションのタイムアウトを起こし通信断が発生したのではないかとの推定が可能である。また、UDPパケットの廃棄が原因ではない場合でも、「推定原因ログ」のログデータは優先度の順番で出力されているため、上からログデータを参照して行くことにより、ネットワーク管理者は少ないログデータの参照で原因にたどり着くことができる。   Thereby, the network administrator can estimate that the UDP packet was discarded in the network device 20c caused the timeout of the SSH session and the communication interruption occurred by referring to the output of the display device 33. It is. Even if UDP packet discard is not the cause, the log data of the "probable cause log" is output in order of priority, so there are few network administrators by referring to the log data from the top. The cause can be reached by referring to the log data.

以上で説明した処理により、パケットを転送しているプロトコル及びパケットヘッダ内の識別子が常時分析されている。また、この分析結果に関連するログデータとそれ以外のログデータが常時峻別されている。更に、パケットを分析した結果に関連するログデータに関しては、プロトコル、識別子毎にログデータの発生回数が一定の周期で整理されている。これにより、ネットワークに障害が発生した場合、確認対象のログデータが絞りこまれていることになる。   Through the processing described above, the protocol that transfers the packet and the identifier in the packet header are constantly analyzed. Further, log data related to the analysis result and other log data are always distinguished. Further, regarding log data related to the result of analyzing a packet, the number of log data occurrences is arranged for each protocol and identifier in a fixed cycle. As a result, when a failure occurs in the network, the log data to be checked is narrowed down.

なお、パケットキャプチャ装置30は、パケットキャプチャ装置30で受信する全てのパケットをキャプチャしてもよいし、予め設定された条件でパケットをサンプリングしてキャプチャしてもよいし、全てのパケットをキャプチャして予め設定された条件でサンプリングしたパケットのみをネットワークログ分析装置10へ送信してもよい。また、ネットワークログ分析装置10は、パケットキャプチャ装置30から受信したパケットデータを全て分析してもよいし、受信したパケットデータの中から予め設定された条件でサンプリングしたパケットデータのみを分析してもよい。   The packet capture device 30 may capture all the packets received by the packet capture device 30, or may sample and capture the packets under preset conditions, or may capture all the packets. Only packets sampled under preset conditions may be transmitted to the network log analyzer 10. Further, the network log analysis device 10 may analyze all the packet data received from the packet capture device 30, or may analyze only the packet data sampled under a preset condition from the received packet data. Good.

以上で説明したように、障害に関係すると推定されるログデータを優先順位に従ってネットワーク管理者へ提示できるため、ネットワーク管理者の障害原因の推定時間の短縮に寄与できる。また、フローに基づき分析するため、ネットワークの物理的な構成に依存せず、仮想化やカプセル化によりトンネリングされたネットワークにおいても分析ができる。また、転送プロトコルを文字列として扱い、転送プロトコルの内容に依存しないため、様々なプロトコルの混在したネットワークにおいても分析ができる。   As described above, the log data estimated to be related to the failure can be presented to the network administrator according to the priority order, which can contribute to shortening the estimated time of the failure cause of the network administrator. Further, since the analysis is based on the flow, the analysis can be performed in a network tunneled by virtualization or encapsulation without depending on the physical configuration of the network. In addition, since the transfer protocol is handled as a character string and does not depend on the contents of the transfer protocol, it can be analyzed even in a network in which various protocols are mixed.

なお、本発明及び/又は本実施例は、上述したネットワーク装置20、及びネットワークログ分析装置10による構成のほか、ネットワークログ分析方法や、ネットワークログ分析装置で実行されるコンピュータプログラムとしても構成することができる。コンピュータプログラムは、コンピュータが読取可能な記録媒体に記録されていてもよい。記録媒体としては、例えば、フレキシブルディスクやCD−ROM、DVD−ROM、光磁気ディスク、メモリカード、ハードディスク等の種々の媒体を利用することができる。   The present invention and / or the present embodiment may be configured as a network log analysis method or a computer program executed by the network log analysis apparatus in addition to the configuration by the network apparatus 20 and the network log analysis apparatus 10 described above. Can do. The computer program may be recorded on a computer-readable recording medium. As the recording medium, for example, various media such as a flexible disk, a CD-ROM, a DVD-ROM, a magneto-optical disk, a memory card, and a hard disk can be used.

また、本発明及び本実施例は上述した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上述した実施例は本発明のより良い理解のために詳細に説明したのであり、必ずしも説明の全ての構成を備えるものに限定されるものではない。また、実施例の構成の一部を他の構成に置き換えることも可能であり、また、実施例の構成に他の構成を加えることも可能である。更に、実施例の構成の一部について、他の構成の追加・削除・置換をすることも可能である。   Further, the present invention and this embodiment are not limited to the above-described embodiments, and various modifications are included. For example, the above-described embodiments have been described in detail for better understanding of the present invention, and are not necessarily limited to those having all the configurations described. Also, a part of the configuration of the embodiment can be replaced with another configuration, and another configuration can be added to the configuration of the embodiment. Furthermore, it is possible to add, delete, and replace other configurations for a part of the configuration of the embodiment.

加えて、上述した各構成、機能、処理部等は、それらの一部又は全部を実現するプログラムを作成する例を説明したが、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現しても良い。   In addition, each of the above-described configurations, functions, processing units, and the like has been described as an example of creating a program that realizes some or all of them. It may be realized by hardware.

10 ネットワークログ分析装置
11 ログデータ取得プログラム
12 ログデータ分析プログラム
13 パケットデータ取得プログラム
14 パケットデータ分析プログラム
15 ユーザインタフェースプログラム
16 ログデータ蓄積領域
17 パケットデータ分析結果
18 ログデータ分析結果
19 ログデータ確認優先度
20 ネットワーク装置
30 パケットキャプチャ装置 DESCRIPTION OF SYMBOLS 10 Network log analyzer 11 Log data acquisition program 12 Log data analysis program 13 Packet data acquisition program 14 Packet data analysis program 15 User interface program 16 Log data storage area 17 Packet data analysis result 18 Log data analysis result 19 Log data confirmation priority 20 Network device 30 Packet capture device

Claims (15)

ネットワーク分析装置であって、
キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、
取得した文字列を優先順位付けられたネットワークレイヤに応じて分類するパケット分析部と、
ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、
障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、
抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けるログデータ分析部と、
を備えることを特徴とするネットワーク分析装置。 A network analyzer,
Receive the captured packet, get the protocol and identifier information contained in the received packet as a string,
A packet analysis unit that classifies the acquired character strings according to the prioritized network layers;
Receive log data, detect protocol and identifier character strings included in messages in the received log data, count the number of detection of each character string,
Based on the character string of the message in the received log data including the failure information, search the character string classified according to the network layer, extract the character string of the protocol and identifier related to the failure,
Prioritize the network device that sent the log data based on the counted number of detections of the extracted character string, and receive the log data according to the protocol and identifier classified according to the network layer and the prioritized network device Log data analysis unit that prioritizes
A network analysis apparatus comprising: 請求項1に記載のネットワーク分析装置であって、
前記パケット分析部は、
受信したパケットのファイブ・タプルを含むフロー毎に、取得した文字列を優先順位付けられたネットワークレイヤに応じて分類すること
と特徴とするネットワーク分析装置。 The network analyzer according to claim 1,
The packet analysis unit
A network analyzer characterized by classifying an acquired character string according to a prioritized network layer for each flow including a five-tuple of received packets. 請求項2に記載のネットワーク分析装置であって、
前記ログデータ分析部は、
ネットワークレイヤに応じて分類されたプロトコル及び識別子の文字列を、受信したログデータ内のメッセージから検出して、予め設定された周期の1つの期間ごとに検出回数をカウントすること
を特徴とするネットワーク分析装置。 The network analyzer according to claim 2,
The log data analysis unit
A network characterized in that character strings of protocols and identifiers classified according to a network layer are detected from messages in received log data, and the number of detections is counted for each period of a preset period. Analysis equipment. 請求項3に記載のネットワーク分析装置であって、
前記ログデータ分析部は、
文字列の検出されたメッセージを含むログデータと、それ以外のログデータとを峻別し、これらのログデータを分けて格納すること
を特徴とするネットワーク分析装置。 The network analyzer according to claim 3,
The log data analysis unit
A network analyzer characterized by distinguishing log data including a message in which a character string has been detected from other log data and separately storing these log data. 請求項4に記載のネットワーク分析装置であって、
前記パケット分析部は、
キャプチャされた第1のパケットであって、第2のパケットをデータとして含みカプセル化した第1のパケットを受信して、受信した第1のパケットと第2のパケットそれぞれに含まれるプロトコル及び識別子の情報を文字列として取得し、
受信した第1のパケット及び第2のパケットのファイブ・タプルを含むフロー毎に、取得した文字列を、カプセル化されたパケットの優先順位付けられたネットワークレイヤと、カプセル化したパケットの優先順位付けられたネットワークレイヤとに応じて分類すること
と特徴とするネットワーク分析装置。 The network analyzer according to claim 4,
The packet analysis unit
The first packet that is captured and includes the second packet as data and encapsulated, and the protocol and identifier included in each of the received first packet and second packet are received. Get the information as a string,
For each flow that includes the five tuples of the received first packet and second packet, the acquired string is prioritized for the encapsulated packet and the prioritized packet layer. And a network analysis device characterized by classification according to the network layer. 請求項5に記載のネットワーク分析装置であって、
前記ログデータ分析部は、
ログデータに付けられた優先順位に従って、ログデータを順番に並べて表示するよう制御すること
を特徴とするネットワーク分析装置。 The network analysis device according to claim 5,
The log data analysis unit
A network analyzer characterized by controlling to display log data in order according to the priority assigned to the log data. ネットワーク分析装置とパケットキャプチャ装置と複数のネットワーク装置とを有するネットワーク分析システムであって、
前記複数のネットワーク装置のそれぞれは、
前記複数のネットワーク装置の他のネットワーク装置とパケットを送受信し、
パケットの送受信の関するログデータを前記ネットワーク分析装置へ送信し、
前記パケットキャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャしたパケットを前記ネットワーク分析装置へ送信し、
前記ネットワーク分析装置は、
キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、
取得した文字列を優先順位付けられたネットワークレイヤに応じて分類するバケット分析部と、
ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、
障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、
抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けるログデータ分析部と、
を備えること
を特徴とするネットワーク分析システム。 A network analysis system having a network analysis device, a packet capture device, and a plurality of network devices,
Each of the plurality of network devices is
Sending and receiving packets to and from other network devices of the plurality of network devices;
Send log data related to packet transmission and reception to the network analyzer,
The packet capture device includes:
Capture packets sent and received between the plurality of network devices, and send the captured packets to the network analysis device,
The network analyzer is
Receive the captured packet, get the protocol and identifier information contained in the received packet as a string,
A bucket analysis unit that classifies the acquired strings according to the prioritized network layers;
Receive log data, detect protocol and identifier character strings included in messages in the received log data, count the number of detection of each character string,
Based on the character string of the message in the received log data including the failure information, search the character string classified according to the network layer, extract the character string of the protocol and identifier related to the failure,
Prioritize the network device that sent the log data based on the counted number of detections of the extracted character string, and receive the log data according to the protocol and identifier classified according to the network layer and the prioritized network device Log data analysis unit that prioritizes
A network analysis system comprising: 請求項7に記載のネットワーク分析システムであって、
前記パケット分析部は、
受信したパケットのファイブ・タプルを含むフロー毎に、取得した文字列を優先順位付けられたネットワークレイヤに応じて分類すること
と特徴とするネットワーク分析システム。 The network analysis system according to claim 7,
The packet analysis unit
A network analysis system characterized by classifying an acquired character string according to a prioritized network layer for each flow including a five-tuple of received packets. 請求項8に記載のネットワーク分析システムであって、
前記ログデータ分析部は、
ネットワークレイヤに応じて分類されたプロトコル及び識別子の文字列を、受信したログデータ内のメッセージから検出して、予め設定された周期の1つの期間ごとに検出回数をカウントすること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 8,
The log data analysis unit
A network characterized in that character strings of protocols and identifiers classified according to a network layer are detected from messages in received log data, and the number of detections is counted for each period of a preset period. Analysis system. 請求項9に記載のネットワーク分析システムであって、
前記ログデータ分析部は、
文字列の検出されたメッセージを含むログデータと、それ以外のログデータとを峻別し、これらのログデータを分けて格納すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 9, wherein
The log data analysis unit
A network analysis system characterized by distinguishing log data including a message in which a character string has been detected from other log data and separately storing these log data. 請求項10に記載のネットワーク分析システムであって、
前記キャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャしたパケットをDPI(Deep Packet Inspection)によって前記ネットワーク分析装置へ送信すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 10,
The capture device includes:
A network analysis system, wherein packets transmitted and received between the plurality of network devices are captured, and the captured packets are transmitted to the network analysis device by DPI (Deep Packet Inspection). 請求項11に記載のネットワーク分析システムであって、
前記キャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャした全てのパケットを前記ネットワーク分析装置へ送信すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 11, comprising:
The capture device includes:
A network analysis system that captures packets transmitted and received between the plurality of network devices and transmits all the captured packets to the network analysis device. 請求項11に記載のネットワーク分析システムであって、
前記キャプチャ装置は、
前記複数のネットワーク装置の間で送受信されるパケットをキャプチャして、キャプチャしたパケットの一部をサンプリングして前記ネットワーク分析装置へ送信すること
を特徴とするネットワーク分析システム。 The network analysis system according to claim 11, comprising:
The capture device includes:
A network analysis system that captures packets transmitted and received between the plurality of network devices, samples a portion of the captured packets, and transmits the sampled packets to the network analysis device. 請求項12に記載のネットワーク分析システムであって、
前記複数のネットワーク装置のそれぞれは、
前記複数のネットワーク装置の他のネットワーク装置と、第2のパケットをデータとして含みカプセル化した第1のパケットを送受信し、
第1のパケット及び第2のパケットの送受信の関するログデータを前記ネットワーク分析装置へ送信し、
前記パケットキャプチャ装置は、
前記複数のネットワーク装置の間で送受信される第1のパケットをキャプチャして、キャプチャした第1のパケットを前記ネットワーク分析装置へ送信し、
前記パケット分析部は、
第1のパケットを受信して、受信した第1のパケットと第2のパケットそれぞれに含まれるプロトコル及び識別子の情報を文字列として取得し、
受信した第1のパケット及び第2のパケットのファイブ・タプルを含むフロー毎に、取得した文字列を、カプセル化されたパケットの優先順位付けられたネットワークレイヤと、カプセル化したパケットの優先順位付けられたネットワークレイヤとに応じて分類すること
と特徴とするネットワーク分析システム。 The network analysis system according to claim 12, wherein
Each of the plurality of network devices is
Sending and receiving a first packet encapsulating a second packet as data with other network devices of the plurality of network devices;
Transmitting log data relating to transmission / reception of the first packet and the second packet to the network analyzer;
The packet capture device includes:
Capturing a first packet transmitted and received between the plurality of network devices, and transmitting the captured first packet to the network analysis device;
The packet analysis unit
Receiving the first packet, obtaining the protocol and identifier information contained in each of the received first packet and second packet as a character string;
For each flow that includes the five tuples of the received first packet and second packet, the acquired string is prioritized for the encapsulated packet and the prioritized packet layer. And a network analysis system characterized by classification according to the determined network layer. ネットワークの分析方法であって、
キャプチャされたパケットを受信して、受信したパケットに含まれるプロトコル及び識別子の情報を文字列として取得し、
取得した文字列を優先順位付けられたネットワークレイヤに応じて分類し、
ログデータを受信して、受信したログデータ内のメッセージに含まれるプロトコル及び識別子の文字列を検出し、文字列それぞれの検出回数をカウントし、
障害の情報を含む受信したログデータ内のメッセージの文字列に基づき、ネットワークレイヤに応じて分類された文字列を検索して、障害に関連するプロトコル及び識別子の文字列を抽出し、
抽出した文字列のカウントした検出回数に基づき、ログデータを送信したネットワーク装置を優先順位付け、ネットワークレイヤに応じて分類されたプロトコル及び識別子と優先順位付けられたネットワーク装置とに従って、受信したログデータを優先順位付けること
を特徴とするネットワークの分析方法。 A network analysis method,
Receive the captured packet, get the protocol and identifier information contained in the received packet as a string,
Classify the retrieved strings according to the prioritized network layer,
Receive log data, detect protocol and identifier character strings included in messages in the received log data, count the number of detection of each character string,
Based on the character string of the message in the received log data including the failure information, search the character string classified according to the network layer, extract the character string of the protocol and identifier related to the failure,
Prioritize the network device that sent the log data based on the counted number of detections of the extracted character string, and receive the log data according to the protocol and identifier classified according to the network layer and the prioritized network device A network analysis method characterized by prioritizing the network.
JP2015184774A 2015-09-18 2015-09-18 Network analysis device, network analysis system, and network analysis method Pending JP2017060074A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015184774A JP2017060074A (en) 2015-09-18 2015-09-18 Network analysis device, network analysis system, and network analysis method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015184774A JP2017060074A (en) 2015-09-18 2015-09-18 Network analysis device, network analysis system, and network analysis method

Publications (1)

Publication Number Publication Date
JP2017060074A true JP2017060074A (en) 2017-03-23

Family

ID=58390951

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015184774A Pending JP2017060074A (en) 2015-09-18 2015-09-18 Network analysis device, network analysis system, and network analysis method

Country Status (1)

Country Link
JP (1) JP2017060074A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018165897A (en) * 2017-03-28 2018-10-25 日本電気株式会社 Display control device, display control method and computer program
KR101959757B1 (en) * 2017-12-26 2019-03-19 아주대학교 산학협력단 Apparatus and method for visualizing traffic situation of financial network
JP2020149245A (en) * 2019-03-12 2020-09-17 株式会社リコー Network device, network communication system, and network control program
CN113950088A (en) * 2021-09-07 2022-01-18 浙江三维利普维网络有限公司 Base station monitoring and analyzing method, device, system, electronic device and storage medium
KR102393183B1 (en) * 2021-09-29 2022-05-02 (주)로그스택 Method, device and system for managing and processing log data of corporate server

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018165897A (en) * 2017-03-28 2018-10-25 日本電気株式会社 Display control device, display control method and computer program
KR101959757B1 (en) * 2017-12-26 2019-03-19 아주대학교 산학협력단 Apparatus and method for visualizing traffic situation of financial network
JP2020149245A (en) * 2019-03-12 2020-09-17 株式会社リコー Network device, network communication system, and network control program
JP7298207B2 (en) 2019-03-12 2023-06-27 株式会社リコー Network equipment, network communication system and network control program
CN113950088A (en) * 2021-09-07 2022-01-18 浙江三维利普维网络有限公司 Base station monitoring and analyzing method, device, system, electronic device and storage medium
CN113950088B (en) * 2021-09-07 2024-01-23 浙江三维利普维网络有限公司 Base station monitoring analysis method, device, system, electronic device and storage medium
KR102393183B1 (en) * 2021-09-29 2022-05-02 (주)로그스택 Method, device and system for managing and processing log data of corporate server

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
JP4774357B2 (en) Statistical information collection system and statistical information collection device
JP5660198B2 (en) Network system and switching method
JP2017060074A (en) Network analysis device, network analysis system, and network analysis method
US20160065423A1 (en) Collecting and Analyzing Selected Network Traffic
EP2629457A1 (en) Method and System For Network Monitoring Using Signature Packets
EP3082293B1 (en) Switching device and packet loss method therefor
US9985892B1 (en) System and method for providing congestion notification in layer 3 networks
CN113259143B (en) Information processing method, device, system and storage medium
CN110557342B (en) Apparatus for analyzing and mitigating dropped packets
EP3905599A1 (en) Statistic information generation device, statistic information generation method, and program
US9225650B2 (en) Network system, gateway, and packet delivery method
JP5971405B2 (en) Network statistical information providing system, network statistical information providing method and program
JP6295681B2 (en) Communication analysis device, communication analysis system, communication analysis method, and program
US9094283B2 (en) Data collection device for monitoring streams in data network
JP4643692B2 (en) Traffic information collecting method and traffic receiving apparatus
CN116319468B (en) Network telemetry method, device, switch, network, electronic equipment and medium
JP2012151689A (en) Traffic information collection device, network control unit, and traffic information collection method
EP3474489B1 (en) A method and a system to enable a (re-)configuration of a telecommunications network
WO2021001879A1 (en) Traffic monitoring device, and traffic monitoring method