JP2017107330A - Assistance device, assistance method, and program - Google Patents
Assistance device, assistance method, and program Download PDFInfo
- Publication number
- JP2017107330A JP2017107330A JP2015239509A JP2015239509A JP2017107330A JP 2017107330 A JP2017107330 A JP 2017107330A JP 2015239509 A JP2015239509 A JP 2015239509A JP 2015239509 A JP2015239509 A JP 2015239509A JP 2017107330 A JP2017107330 A JP 2017107330A
- Authority
- JP
- Japan
- Prior art keywords
- abnormal event
- host
- elements
- event
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、支援装置、支援方法およびプログラムに関する。 The present invention relates to a support device, a support method, and a program.
システムを監視して、異常を検出して表示する技術が開示されている。例えば、特許文献1には、障害原因の原因候補に含まれるイベントと、このイベントを含む他の原因候補とを、グループにまとめ、該グループごとに原因候補を表示することが記載されている。
A technique for monitoring a system to detect and display an abnormality is disclosed. For example,
また、特許文献2には、対象システムの構成部位間の依存関係性を示すリンクを表示画面に表示することが記載されている。 Further, Patent Document 2 describes that a link indicating a dependency relationship between components of the target system is displayed on a display screen.
また、特許文献3には、ユーザへ通知すべき主事象情報と、設定された抽出条件を満たす副事象情報とをユーザへ通知する監視装置が記載されている。 Patent Document 3 describes a monitoring device that notifies a user of main event information to be notified to the user and sub-event information that satisfies a set extraction condition.
また、特許文献4には、ノードおよびノード間の異常識別情報を表示する運用監視装置が記載されている。 Patent Document 4 describes an operation monitoring apparatus that displays nodes and abnormality identification information between nodes.
また、イベント間の依存関係を抽出して、障害原因を特定する技術が特許文献5に記載されている。 Japanese Patent Application Laid-Open No. 2005-228561 describes a technique for extracting a dependency relationship between events and specifying a cause of a failure.
システムを監視することによって、様々な種類の異常イベントが検出される。このような異常イベントの関連性を、システムの管理者がログから把握することは、困難である。 By monitoring the system, various types of abnormal events are detected. It is difficult for the system administrator to grasp the relevance of such an abnormal event from the log.
特許文献1に記載の技術では、関連する障害の原因候補をグループにまとめて、グループ単位で、原因候補の対応優先度が高いものから順に表示している。したがって、特許文献1の技術では、例えば、同じホストで発生している障害であっても、解決する障害が異なる場合、異なるグループに分けられる。したがって、特許文献1の技術では、発生した異常イベントの関連性を管理者が把握できない。
In the technique described in
また、異常イベントの実行元および実行先として、例えば、プロセス、ファイル、アカウント等、様々な要素がある。しかしながら、特許文献2に記載の技術では、対象システムの構成部位間の依存関係性を示すにとどまり、プロセス、ファイル、アカウント等、の要素については、開示されていない。 In addition, there are various elements such as a process, a file, and an account as the execution source and execution destination of the abnormal event. However, in the technique described in Patent Document 2, only the dependency relationship between the components of the target system is shown, and elements such as a process, a file, and an account are not disclosed.
また、特許文献3から5の夫々に記載の技術でも、上記様々な要素に関連する異常イベントの関連性を、管理者が把握することについては開示されていない。 Further, the techniques described in Patent Documents 3 to 5 do not disclose that the administrator grasps the relevance of the abnormal event related to the various elements.
本発明は、上記課題に鑑みてなされたものであり、その目的は、複数の要素間の異常イベントの関連性を、確認者(例えば、監視対象システムを管理する管理者)が容易に把握することを支援する技術を提供することにある。 The present invention has been made in view of the above problems, and its purpose is to make it easy for a confirmer (for example, an administrator who manages a monitored system) to know the relationship of an abnormal event between a plurality of elements. It is to provide technology that supports this.
本発明の一態様に係る支援装置は、複数の要素間のイベントのうち、異常イベントとして検出されたイベントを、該異常イベントに関連する要素ごとに分類する分類手段と、分類の結果に基づいて、前記要素を頂点とし前記要素間の関係を辺として該異常イベントを表し、表示画面上において前記要素が種別ごとに配置され、且つ、前記表示画面に表示される関係グラフを生成する生成手段と、を備える。 The support device according to one aspect of the present invention includes a classification unit that classifies an event detected as an abnormal event among events between a plurality of elements for each element related to the abnormal event, and a classification result. Generating means for generating a relationship graph that represents the abnormal event with the element as a vertex and the relationship between the elements as an edge, the element is arranged for each type on the display screen, and displayed on the display screen; .
本発明の一態様に係る支援方法は、複数の要素間のイベントのうち、異常イベントとして検出されたイベントを、該異常イベントに関連する要素ごとに分類し、分類の結果に基づいて、前記要素を頂点とし前記要素間の関係を辺として該異常イベントを表し、表示画面上において前記要素が種別ごとに配置され、且つ、前記表示画面に表示される関係グラフを生成する。 The support method according to an aspect of the present invention classifies an event detected as an abnormal event among events between a plurality of elements for each element related to the abnormal event, and the element is based on a classification result. The abnormal event is expressed with the relationship between the elements as a vertex, and the element is arranged for each type on the display screen, and a relation graph displayed on the display screen is generated.
なお、上記各装置または方法を、コンピュータによって実現するコンピュータプログラム、およびそのコンピュータプログラムが格納されている、コンピュータ読み取り可能な非一時的記録媒体も、本発明の範疇に含まれる。 Note that a computer program that realizes each of the above apparatuses or methods by a computer and a computer-readable non-transitory recording medium in which the computer program is stored are also included in the scope of the present invention.
本発明によれば、複数の要素間の異常イベントの関連性を、確認者が容易に把握することを支援することができる。 ADVANTAGE OF THE INVENTION According to this invention, it can assist that a confirmer grasps | ascertains easily the relationship of the abnormal event between several elements.
<第1の実施の形態>
本発明の第1の実施の形態について、図面を参照して詳細に説明する。図1は、本発明の第1の実施の形態に係る支援装置10の機能構成の一例を示す機能ブロック図である。なお、図1に示す支援装置10は、本発明に特有な構成について示したものであり、図1に示す支援装置10が図1に示されていない構成を有していてもよいことは言うまでもない。
<First Embodiment>
A first embodiment of the present invention will be described in detail with reference to the drawings. FIG. 1 is a functional block diagram showing an example of a functional configuration of the
図1に示す通り、本実施の形態に係る支援装置10は、分類部11と、生成部12とを備える。
As illustrated in FIG. 1, the
分類部11は、異常イベントを示す異常イベント情報を受信する。この受信した異常イベント情報によって示される異常イベントは、監視対象システムを監視した結果であるログから検出された、異常の可能性が高いイベントである。ログには、監視対象システムに含まれるホストごとに、要素間のイベントを示す情報が含まれる。このログは、図示しない記憶部に格納される。
The
分類部11は、受信した異常イベントを、該異常イベントに関連する要素ごとに分類する。そして、分類部11は、分類した結果を生成部12に供給する。
The
生成部12は、分類部11から分類した結果を受け取る。生成部12は、受け取った分類の結果に基づいて、該異常イベントを表す関係グラフを生成する。この関係グラフは、要素を頂点とし要素間の関係を辺とするグラフである。生成部12が生成する関係グラフは、表示装置の表示画面に表示される。生成部12は、この表示画面上において、要素が種別ごとに配置されるような関係グラフを生成する。
The
これにより、例えば、図示しない表示装置の表示画面に表示された関係グラフは、要素が種別ごとに配置されており、要素ごとに分類された異常イベントを表す。 Thereby, for example, in the relation graph displayed on the display screen of a display device (not shown), the elements are arranged for each type, and represent abnormal events classified for each element.
したがって、この表示画面を確認する確認者(例えば、監視対象システムの管理者。以降、管理者とも呼ぶ。)は、異常イベント間の関連性を、該表示画面上で確認することができる。これにより、この確認者は、要素ごとに、該要素に関連する複数の異常イベント間の関連性を確認することができる。また、確認者は、要素に関連する異常イベントと他の要素に関連する異常イベントとを比較することができる。 Therefore, a confirmer (for example, an administrator of the monitoring target system, hereinafter also referred to as an administrator) confirming this display screen can confirm the relationship between abnormal events on the display screen. Thereby, this confirmer can confirm the relationship between the some abnormal event relevant to this element for every element. Further, the confirmer can compare the abnormal event related to the element with the abnormal event related to another element.
以上のように、本実施の形態に係る支援装置10は、複数の要素間の異常イベントの関連性を、確認者が把握することを支援することができる。これにより、支援装置10は、確認者が異常イベントの共通箇所(要素)を、容易に把握することを支援することができる。したがって、支援装置10は、確認者が異常の原因や経緯の発見を行うことを支援することができる。
As described above, the
<第2の実施の形態>
次に、上述した第1の実施の形態を基本とする第2の実施の形態について説明する。まず、本実施の形態に係る支援装置100の構成について説明する。図2は、本実施の形態に係る支援装置100の機能構成の一例を示す図である。図2に示す通り、本実施の形態に係る支援装置100は、分類部110と、生成部120と、記憶部130と、検出部140とを含む。
<Second Embodiment>
Next, a second embodiment based on the above-described first embodiment will be described. First, the configuration of the
分類部110および生成部120は、夫々、上述した第1の実施の形態における分類部11および生成部12に相当する。つまり、図2において、破線の枠で囲った部分は、上述した第1の実施の形態における支援装置10に相当する。
The
また、図2に示す通り、支援装置100は、表示装置200と接続している。なお、本実施の形態では、支援装置100が表示装置200とは別個の構成であることを例に説明を行うが、支援装置100は、表示装置200を表示部として内部に設ける構成であってもよい。
In addition, as illustrated in FIG. 2, the
記憶部130には、図示しない監視対象システムを監視した結果(ログ)が、格納されている。図2では、記憶部130が支援装置100内に内蔵されることを例に説明を行うが、記憶部130は、支援装置100とは別個の記憶装置にて実現されるものであってもよい。
The
この監視対象システムは、ネットワークで接続された複数の装置(ホスト)を含む。ログには、監視対象システム上において発生した、複数の要素間のイベントを検出した結果(イベントを示す情報)が、ホストごとに含まれる。要素は、あるホストに対するイベントの場合、種別がプロセス、ファイル、外部ホストの何れであってもよい。 This monitored system includes a plurality of devices (hosts) connected via a network. The log includes a result (information indicating an event) of detecting an event between a plurality of elements that has occurred on the monitoring target system for each host. In the case of an event for a certain host, the element may be any of process, file, and external host.
要素間のイベントとは、例えば、要素の一方がプロセスであり他方がファイルである場合、上記プロセスが上記ファイルにアクセスしたこと、である。また、要素間のイベントとは、例えば、要素の一方がプロセスであり他方が外部ホストの場合は、上記プロセスが上記外部ホストに接続したこと、である。なお、要素間のイベントは、これに限定されるものではない。 An event between elements is, for example, that the process has accessed the file when one of the elements is a process and the other is a file. Further, the event between elements is, for example, that one of the elements is a process and the other is an external host, the process is connected to the external host. The event between elements is not limited to this.
なお、本実施の形態では、1つのイベントが2つの要素間におけるイベントであるとして説明を行うが、1つのイベントは複数の要素間で発生するイベントであってもよい。 In the present embodiment, description will be made assuming that one event is an event between two elements, but one event may be an event that occurs between a plurality of elements.
検出部140は、記憶部130に格納されたログから、異常の可能性が高いイベントを検出する。この異常イベントの一例を、図3に示す。図3は、検出部140によって検出された異常イベントのリスト(異常イベントリスト)の一例を示す図である。なお、図3に示す異常イベントリストには、ログから検出された、あるホストに対する異常イベントが含まれる。
The
図3に示す通り、異常イベントリストには、複数の異常イベントが含まれる。異常イベントリストには、異常イベントの内容と、該異常イベントが発生した時刻と、が含まれる。また、異常イベントリストには、図3に示す通り、各異常イベントを識別する識別子(イベントID(Identifier))が含まれていてもよい。なお、異常イベントリストに含まれる情報は、これに限定されず、例えば、異常イベントの異常度合いが含まれていてもよい。異常度合いとは、異常の可能性が高いと検出された異常イベントが、異常である可能性の高さを表したものである。本実施の形態では、この異常度合いが数値で表されており、数値が高いほど、異常である可能性が高いとする。 As shown in FIG. 3, the abnormal event list includes a plurality of abnormal events. The abnormal event list includes the contents of the abnormal event and the time when the abnormal event occurred. Further, as shown in FIG. 3, the abnormal event list may include an identifier (event ID (Identifier)) for identifying each abnormal event. The information included in the abnormal event list is not limited to this, and may include, for example, the degree of abnormality of the abnormal event. The degree of abnormality represents a high possibility that an abnormal event detected as having a high possibility of abnormality is abnormal. In the present embodiment, the degree of abnormality is represented by a numerical value, and it is assumed that the higher the numerical value, the higher the possibility of abnormality.
異常イベントの内容について、説明する。例えば、図3の一行目に示す、イベントIDが「ID01」の異常イベントの内容は「‘Process1’ opened ‘File1’」である。これは、要素の一方が、プロセス名が「Process1」のプロセスであり、他方が、ファイル名が「File1」のファイルであることを示している。そして、この異常イベントは、「Process1」が「File1」を開いたことを示している。また、例えば、図3の九行目に示す、イベントIDが「ID09」の異常イベントの内容は「‘Process1’ connect with ‘ExHost1’」である。これは、要素の一方が、プロセス名が「Process1」のプロセスであり、他方が、外部ホスト名が「ExHost1」の外部ホストであることを示している。そして、この異常イベントは、「Process1」が「ExHost1」に接続したことを示している。 The contents of the abnormal event will be described. For example, the content of the abnormal event with the event ID “ID01” shown in the first line of FIG. 3 is “‘ Process1 ’opened‘ File1 ’. This indicates that one of the elements is a process whose process name is “Process1” and the other is a file whose file name is “File1”. This abnormal event indicates that “Process1” has opened “File1”. Further, for example, the content of the abnormal event with the event ID “ID09” shown in the ninth line of FIG. 3 is “‘ Process1 ’connect with‘ ExHost1 ’. This indicates that one of the elements is a process whose process name is “Process1” and the other is an external host whose external host name is “ExHost1”. This abnormal event indicates that “Process1” is connected to “ExHost1”.
検出部140は、異常イベントを検出すると、異常イベントリストに、検出した異常イベントを、追記していく構成であってもよい。なお、図3では、説明の便宜上、1つのホストに対する異常イベントを示す異常イベントリストを示したが、異常イベントリストは、複数のホストの夫々に対する異常イベントを含んでいてもよい。
The
検出部140は、異常イベントリストを、分類部110に供給してもよいし、記憶部130または検出部140内の記憶部に格納してもよい。
The
分類部110は、検出部140から異常イベントリストを受け取る。または、分類部110は、記憶部130または検出部140の記憶部から異常イベントリストを取得してもよい。
The
分類部110は、異常イベントリストに含まれる異常イベントを、該異常イベントに関連する要素ごとに分類する。異常イベントに関連する要素は、例えば、図3に示すイベントIDが「ID01」の異常イベントの場合、「Process1」および「File1」である。
The
分類部110の分類処理について、図4を用いて説明する。図4は、本実施の形態に係る支援装置100の分類部110が行う分類処理の結果を示す図である。以下では、分類する異常イベントを、イベントIDを用いて説明する。
The classification process of the
分類部110は、図3に示す異常イベントリストに含まれる、イベントIDが「ID01」から「ID10」までの異常イベントを、要素ごとに分類する。要素ごとに分類した結果、図4に示すように、要素「Process1」に分類された異常イベントは、イベントIDが、「ID01」、「ID03」、「ID04」、「ID06」および「ID09」となる。分類部110は、他の要素ごとに、異常イベントを分類し、図4に示すような分類結果が得られる。このとき、分類部110は、分類した要素の種別を、要素ごとに特定する。そして、分類部110は、特定した要素の種別を、分類結果に含まれる要素に関連付ける。
The
以上のようにして、分類部110は、ホストごとに、異常イベントを要素ごとに分類する。そして、分類部110は、分類処理の結果を、生成部120に供給する。
As described above, the
なお、分類部110が分類する異常イベントの数は特に限定されない。分類部110は、現時点から所定の期間の異常イベントを分類してもよいし、管理者等によって指定された期間の異常イベントを分類してもよい。
Note that the number of abnormal events classified by the
生成部120は、分類部110から分類処理の結果を受け取る。生成部120は、受け取った分類の結果に基づいて、該異常イベントを表す関係グラフを生成する。関係グラフは、要素を頂点(節点とも呼ぶ)とし、要素間を結ぶ線を辺(リンク、エッジまたは枝とも呼ぶ)として含む。生成部120が生成する関係グラフは、表示装置200の表示画面に表示される。生成部120は、この表示画面上において、分類結果に含まれる、要素に関連付けられた種別を用いて、要素が種別ごとに配置されるような関係グラフを生成する。
The
生成部120が生成し、表示画面に表示させる関係グラフの一例を図5に示す。図5は、本実施の形態の表示装置200が表示する関係グラフの一例を示す図である。本実施の形態では、要素の種別は、ファイル、プロセス、外部ホストであるとする。
An example of a relationship graph generated by the
本実施の形態では、生成部120は、要素を円で表し、要素間を実線でつないだ関係グラフを生成する。なお、要素の形状、要素間を結ぶ線の形状は、図5に示すものに限定されるものではなく、要素と、要素間の関係とが表現できるものであればよい。また、各要素には、要素名が、関連付けて表示されている。
In the present embodiment, the
図5に示す通り、生成部120は、要素の種別を、左から右に(第2の方向に)向かって、ホスト内のファイル、ホスト内のプロセス、外部ホストの順に並べて表示している。そして、各種別を表す棒状の領域(種別領域)には、要素が、上から下に(第1の方向に)配置されている。この種別領域に配置される要素は、図4に示した分類部110によって分類された要素になる。したがって、例えば、種別が「プロセス」の種別領域(図5の中央の棒状領域)には、「Process1」と「Process2」とが配置される。
As shown in FIG. 5, the
各種別領域における要素の表示順は、特に限定されない。例えば、要素名順であってもよいし、関連する異常イベントの数が多い順であってもよい。 The display order of elements in each type area is not particularly limited. For example, it may be in the order of element names or in the order of the number of related abnormal events.
生成部120は、分類した結果に基づいて、同じ異常イベントに関連する要素同士を、線で接続した、図5に示すような関係グラフを生成する。図4に示す分類結果に基づくと、イベントIDが「ID01」の異常イベントに関連する要素は、「Process1」と「File1」とである。したがって、生成部120は、これらの要素間を線で結ぶことにより、「Process1」と「File1」との間の関係グラフを生成する。
The
なお、生成部120は、図5に示す通り、関連する要素が多い要素を、関連する要素が少ない要素よりも大きく表示させてもよい。例えば、「Process1」は、5つの他の要素に関連しており、「File1」は1つの他の要素に関連しているため、生成部120は、「Process1」を「File1」よりも大きくした関係グラフを生成してもよい。
Note that, as illustrated in FIG. 5, the
また、図4では、要素間のイベントが1つずつであったが、要素間のイベントは複数であってもよい。例えば、「Process1」と「File1」との間で複数回の異常イベントが発生していてもよい。この場合、分類部110が分類をする際に、異常イベントの回数をカウントし、生成部120が、要素間をつなぐ線を、異常イベントの回数に応じて、変化させた関係グラフを生成してもよい。生成部120は、例えば、上記異常イベントの回数が多い要素間をつなぐ線を、他の線より大きく表示した関係グラフを生成してもよいし、他の線とは異なる色や様態で表示した関係グラフを生成してもよい。これにより、支援装置100は、同じ異常イベントが他の異常イベントよりも多く発生していることを、管理者等が容易に把握することを支援することができる。
In FIG. 4, there is one event between elements, but there may be a plurality of events between elements. For example, a plurality of abnormal events may occur between “Process1” and “File1”. In this case, when the
なお、種別領域の形状は、特に限定されない。図5に示すように、種別領域が棒状の領域の場合、生成部120は、要素を種別ごとに並べて表示させることができるため、管理者等が種別ごとに要素間の関係を容易に把握することを支援することができる。
The shape of the type area is not particularly limited. As shown in FIG. 5, when the type area is a bar-shaped area, the
また、図5では、関係グラフが無向グラフであることを例に説明を行ったが、関係グラフは有向グラフであってもよいし、無向辺と有向辺とを含むグラフであってもよい。 In FIG. 5, the relationship graph is described as an example of an undirected graph. However, the relationship graph may be a directed graph or a graph including an undirected edge and a directed edge. Good.
(支援装置100および表示装置200の処理)
次に、図6を参照して、本実施の形態に係る支援装置100および表示装置200の処理の流れについて説明する。図6は、本実施の形態に係る支援装置100の処理の流れの一例を示すフローチャートである。
(Processing of
Next, with reference to FIG. 6, the flow of processing of the
図6に示す通り、検出部140が異常イベントを検出する(ステップS61)。そして、分類部110が、異常イベントを、該異常イベントに関連する要素ごとに分類する(ステップS62)。
As shown in FIG. 6, the
そして、生成部120が、異常イベントを表す関係グラフを生成する(ステップS63)。この関係グラフは、上述したとおり、要素が種別ごとに配置された関係グラフである。その後、表示装置200が、表示画面上に関係グラフを表示する(ステップS64)。
And the production |
以上により、支援装置100および表示装置200の処理を終了する。
Thus, the processes of the
(効果)
本実施の形態に係る支援装置100によれば、分類部110が、複数の要素間のイベントのうち、異常イベントとして検出されたイベントを、該異常イベントに関連する要素ごとに分類する。そして、生成部120が分類の結果に基づいて、該異常イベントを表し、表示画面上において要素が種別ごとに配置される関係グラフを生成する。
(effect)
According to the
したがって、この表示画面を確認する確認者は、異常イベント間の関連性を、該表示画面上で確認することができる。これにより、この確認者は、要素ごとに、該要素に関連する複数の異常イベント間の関連性を確認することができる。また、確認者は、要素に関連する異常イベントと他の要素に関連する異常イベントとを比較することができる。 Therefore, the confirmer who confirms the display screen can confirm the relationship between the abnormal events on the display screen. Thereby, this confirmer can confirm the relationship between the some abnormal event relevant to this element for every element. Further, the confirmer can compare the abnormal event related to the element with the abnormal event related to another element.
以上のように、本実施の形態に係る支援装置100は、上述した第1の実施の形態に係る支援装置10と同様に、複数の要素間の異常イベントの関連性を、確認者が容易に把握することを支援することができる。したがって、支援装置100は、確認者が異常の原因や経緯の発見を行うことを支援することができる。
As described above, the
(変形例1)
次に、第2の実施の形態に係る支援装置100の変形例1について説明する。上述した第2の実施の形態では、要素の種別が、ファイル、プロセスおよび外部ホストの何れかであることを例に説明を行ったが、要素の種別はアカウントであってもよい。本変形例では、要素の種別が、アカウント、プロセスおよび外部ホストの何れかであることを例に説明を行う。
(Modification 1)
Next,
本変形例において、生成部120が生成し、表示画面に表示させる関係グラフの一例を図7に示す。図7は、本変形例において表示装置200が表示する関係グラフの一例を示す図である。
FIG. 7 shows an example of a relationship graph generated by the
図7に示す通り、生成部120は、要素の種別を、左から右に(第2の方向に)向かって、ホスト内のアカウント、ホスト内のプロセス、外部ホストの順に並べて表示している。そして、各種別を表す種別領域には、要素が、上から下に(第1の方向に)配置されている。
As illustrated in FIG. 7, the
図7に示す関係グラフによれば、アカウント名が「User1」のアカウントが、プロセス名が「Process1」のプロセスを起動したことがわかる。図7に示す関係グラフに示されるイベントは、異常イベントであるため、「User1」から「Process1」を起動することが、異常と判断されていることがわかる。これにより、管理者等は、複数のアカウントから起動したプロセスであって、異常イベントと関連しているプロセスを、容易に把握することができる。また、管理者等は、複数のアカウントから起動したプロセスであって、異常イベントに関連しているプロセスが、外部ホストに対して接続したという異常イベントを容易に発見することができる。 According to the relationship graph shown in FIG. 7, it can be seen that the account with the account name “User1” started the process with the process name “Process1”. Since the event shown in the relationship graph shown in FIG. 7 is an abnormal event, it is understood that starting “Process1” from “User1” is determined to be abnormal. As a result, the administrator or the like can easily grasp the processes started from a plurality of accounts and related to the abnormal event. In addition, an administrator or the like can easily find an abnormal event that is a process started from a plurality of accounts and that is related to an abnormal event and connected to an external host.
(変形例2)
次に、第2の実施の形態に係る支援装置100の変形例2について説明する。上述した変形例1では、要素の種別が、アカウント、プロセスおよび外部ホストの何れかであることを例に説明を行ったが、本変形例では、要素の種別が、アカウント、プロセスおよびファイルの何れかであることを例に説明を行う。
(Modification 2)
Next, a second modification of the
本変形例において、生成部120が生成し、表示画面に表示させる関係グラフの一例を図8に示す。図8は、本変形例において表示装置200が表示する関係グラフの一例を示す図である。
FIG. 8 shows an example of a relationship graph generated by the
図8に示す通り、生成部120は、要素の種別を、左から右に(第2の方向に)向かって、ホスト内のアカウント、ホスト内のプロセス、ホスト内のファイルの順に並べて表示している。なお、アカウントとファイルとは逆であってもよい。そして、各種別を表す種別領域には、要素が、上から下に(第1の方向に)配置されている。
As shown in FIG. 8, the
図8に示す関係グラフによれば、図7と同様に、アカウント名が「User1」のアカウントが、プロセス名が「Process1」のプロセスを起動したことがわかる。そして、この「Process1」が「File1」、「File2」、「File3」および「File4」を開いたことがわかる。これにより、管理者等は、複数のアカウントから起動したプロセスであって、異常イベントと関連しているプロセスを、容易に把握することができる。また、管理者等は、複数のアカウントから起動したプロセスであって、異常イベントに関連しているプロセスが、ファイルを開いたという異常イベントを容易に発見することができる。 According to the relationship graph shown in FIG. 8, it can be seen that the account with the account name “User1” started the process with the process name “Process1” as in FIG. 7. Then, it can be seen that “Process1” opened “File1”, “File2”, “File3”, and “File4”. As a result, the administrator or the like can easily grasp the processes started from a plurality of accounts and related to the abnormal event. Further, an administrator or the like can easily find an abnormal event that is a process started from a plurality of accounts and that is associated with an abnormal event, and that a file has been opened.
(変形例3)
次に、第2の実施の形態に係る支援装置100の変形例3について説明する。本変形例では、1つの種別領域に2つの要素を含めて表示した関係グラフについて説明を行う。
(Modification 3)
Next, Modification 3 of the
例えば、あるアカウントが、あるプロセスを起動した場合、該プロセスは、図7に示した通り、外部ホストに接続する、または、図8に示した通り、ファイルを開く、を行うことが多い。本変形例では、生成部120が生成する関係グラフに含まれる要素の種別が、ホスト内のアカウント、該ホスト内のプロセス、該ホスト内のファイルおよび外部ホストの順に並ぶ、ことについて説明を行う。
For example, when a certain account starts a certain process, the process often connects to an external host as shown in FIG. 7 or opens a file as shown in FIG. In this modification, it will be described that the types of elements included in the relationship graph generated by the
本変形例において、生成部120が生成し、表示画面に表示させる関係グラフの一例を図9に示す。図9は、本変形例において表示装置200が表示する関係グラフの一例を示す図である。
FIG. 9 shows an example of a relationship graph generated by the
図9に示す通り、生成部120は、要素の種別を、左から右に(第2の方向に)向かって、ホスト内のアカウント、ホスト内のプロセス、ホスト内のファイルおよび外部ホストの順に並べて表示している。そして、各種別を表す種別領域には、要素が、上から下に(第1の方向に)配置されている。
As illustrated in FIG. 9, the
図9に示す関係グラフによれば、図7と同様に、アカウント名が「User1」のアカウントが、プロセス名が「Process1」のプロセスを起動したことがわかる。そして、この「Process1」が「File1」、「File2」、「File3」および「File4」を開いたこと、および「ExHost1」に接続したことがわかる。これにより、管理者等は、複数のアカウントから起動したプロセスであって、異常イベントと関連しているプロセスを、容易に把握することができる。また、管理者等は、複数のアカウントから起動したプロセスであって、異常イベントに関連しているプロセスが、外部ホストに対して接続した、および、ファイルを開いた、という異常イベントを容易に発見することができる。 According to the relationship graph shown in FIG. 9, it can be seen that the account with the account name “User1” started the process with the process name “Process1” as in FIG. 7. Then, it is understood that “Process1” has opened “File1”, “File2”, “File3”, and “File4” and connected to “ExHost1”. As a result, the administrator or the like can easily grasp the processes started from a plurality of accounts and related to the abnormal event. Administrators can easily find abnormal events that are started from multiple accounts and related to abnormal events, such as processes connected to external hosts and files opened. can do.
なお、図9に示す、右側の種別領域は、外部ホストとファイルといった2つの種別の要素を含む。そのため、生成部120は、図9に示す通り、異なる種別の要素が異なる様態で表示されるような関係グラフを生成してもよい。
Note that the type area on the right side shown in FIG. 9 includes two types of elements such as an external host and a file. Therefore, the
(変形例4)
次に、第2の実施の形態に係る支援装置100の変形例4について説明する。図5および図7に示す関係グラフでは、ホスト内のファイル、プロセスおよびアカウントと、外部ホストとが同じ様態で表現されている。本変形例では、ホスト内部に含まれる要素と、ホストの外部の要素(外部ホスト)とが区別可能な状態で表示される関係グラフについて説明する。
(Modification 4)
Next, Modification 4 of the
図10は、本変形例において表示装置200が表示する関係グラフの一例を示す図である。図10は、図5に示す関係グラフを変形したものである。支援装置100の生成部120は、例えば、図10に示すように、ホスト内部に含まれる要素を1つの集合として枠で囲み、それ以外の要素(外部ホスト)を該枠の外側に配置した関係グラフを生成してもよい。また、生成部120が生成する関係グラフはこれに限定されない。生成部120は、例えば、種別領域の色や様態を、ホスト内部の要素が含まれる種別領域と、外部ホストの種別領域とで異なるような関係グラフを生成してもよい。
FIG. 10 is a diagram illustrating an example of a relationship graph displayed by the
このように、ホスト内部に含まれる要素と、ホストの外部の要素とを区別可能な状態で表示させることにより、管理者等は、外部ホストに対して、例えば、情報漏えいの可能性が高い異常イベントを容易に見つけることができる。 In this way, by displaying the elements included inside the host and the elements outside the host in a distinguishable state, the administrator can, for example, detect abnormalities with high possibility of information leakage to the external host. Events can be easily found.
なお、図5、図7から図10に示す通り、生成部120は、表示画面上において、種別がプロセスの要素の列が、他の種別(外部ホスト、アカウントおよびファイル)の要素の列に挟まれるような関係グラフを生成することが好ましい。アカウントが行う処理、ファイルにアクセスされる処理、外部ホストに対して行われる処理は、全て、プロセスの起動により行われるからである。したがって、生成部120が、プロセスの要素を中心に配置して表示することにより、一方の要素が、あるプロセスを起動して、他の要素に対して、ある異常イベントを行うという一連の振る舞いを、管理者が容易に確認することができる。
As shown in FIGS. 5 and 7 to 10, the
<第3の実施の形態>
次に、本発明の第3の実施の形態について説明する。図11は、本実施の形態に係る支援装置101の機能構成の一例を示す機能ブロック図である。なお、説明の便宜上、前述した各実施の形態で説明した図面に含まれるブロックと同じ機能を有するブロックについては、同じ符号を付し、その詳細な説明を省略する。
<Third Embodiment>
Next, a third embodiment of the present invention will be described. FIG. 11 is a functional block diagram illustrating an example of a functional configuration of the
図11に示す通り、本実施の形態に係る支援装置101は、分類部111と、生成部120と、記憶部130と、検出部141と、受付部150と、を備える。
As illustrated in FIG. 11, the
本実施の形態における検出部141は、上述した検出部140の機能に加え、検出した異常イベントを含む異常イベントリストを、表示装置200に表示させる機能を有する。
In addition to the function of the
入力装置300は、例えば、マウス、キーボード等によって実現される。なお、本実施の形態では、表示装置200および入力装置300は、支援装置101とは別個の装置で実現されることを例に説明を行うが、表示装置200および入力装置300は夫々表示部および入力部として、支援装置101内に内蔵される構成であってもよい。この場合、表示部および入力部は、例えば、タッチパネルとして実現されるものであってもよい。
The
受付部150は、入力装置300を介して、管理者等からの入力を受け付ける。例えば、管理者が、表示装置200に表示された異常イベントリストから、ある異常イベントを、入力装置300を介して選択すると、受付部150は、該異常イベントの選択を受け付ける。そして、受付部150は、選択された異常イベントの時刻を示す時刻情報を、分類部111に供給する。なお、受付部150は、選択された異常イベントを示す情報を、検出部141に供給してもよい。この場合、検出部141が上記異常イベントの時刻を特定して、特定した時刻情報を、分類部111に供給すればよい。
The accepting
分類部111は、受付部150または検出部141から時刻情報を受信する。分類部111は、受信した時刻情報によって示される時刻以降の異常イベントに基づいて、上述した分類部110と同様に、異常イベントを要素ごとに分類する。
The
例えば、表示装置200の表示画面上に、図3に示す異常イベントリストが表示されているとする。管理者が、イベントIDが「ID04」を選択すると、受付部150は、この選択を受け付ける。そして、イベントIDが「ID04」の異常イベントの時刻が「2015−11−02 12:21:00」であるため、分類部111は、この時刻以降の異常イベントを分類する。図3に示す異常イベントに含まれる異常イベントであって、上記時刻以降の異常イベントは、イベントIDが「ID04」〜「ID10」の異常イベントである。したがって、分類部111は、イベントIDが「ID04」〜「ID10」の異常イベントを、要素ごとに分類する。
For example, it is assumed that the abnormal event list shown in FIG. 3 is displayed on the display screen of the
そして、生成部120は、分類結果に基づいて、関係グラフを生成する。生成部120が生成した関係グラフの一例を図12に示す。図12は、本実施の形態において表示装置200が表示する関係グラフの一例を示す図である。
Then, the
図12に示す関係グラフは、図5に示した関係グラフと比べると、イベントIDが「ID01」、「ID02」および「ID03」の異常イベントが含まれていないことがわかる。 Compared with the relationship graph shown in FIG. 5, the relationship graph shown in FIG. 12 does not include abnormal events whose event IDs are “ID01”, “ID02”, and “ID03”.
(支援装置101および表示装置200の処理)
次に、図13を参照して、本実施の形態に係る支援装置101および表示装置200の処理の流れについて説明する。図13は、本実施の形態に係る支援装置101の処理の流れの一例を示すフローチャートである。
(Processing of
Next, with reference to FIG. 13, the flow of processing of the
図13に示す通り、検出部140が異常イベントを検出する(ステップS131)。その後、受付部150が管理者からの入力を受け付ける(ステップS132)。そして、分類部111が、受付部150が受け付けた入力に基づいて特定される時刻以降の異常イベントを、該異常イベントに関連する要素ごとに分類する(ステップS133)。
As shown in FIG. 13, the
そして、生成部120が、異常イベントを表す関係グラフを生成する(ステップS134)。この関係グラフは、上述したとおり、要素が種別ごとに配置された関係グラフである。その後、表示装置200が、表示画面上に関係グラフを表示する(ステップS135)。
And the production |
以上により、支援装置101および表示装置200の処理を終了する。
Thus, the processes of the
(効果)
本実施の形態に係る支援装置101によれば、上述した第1および第2の実施の形態と同様の効果を奏することができる。また、本実施の形態に係る支援装置101によれば、分類部111は、受付部150が受け付けた異常イベントに基づいて特定される時刻以降に発生した異常イベントを、該異常イベントに関連する要素ごとに分類する。そして、生成部120は、分類部111が要素ごとに分類した異常イベントに基づいて、関係グラフを生成する。
(effect)
According to the
これにより、例えば、管理者によって選択された異常イベント以降に発生した異常イベントを、管理者が容易に把握することができる。 Thereby, for example, the administrator can easily grasp the abnormal event that has occurred after the abnormal event selected by the administrator.
例えば、管理者が、あるプロセスがあるファイルを開いた、という異常イベントを選択した場合、支援装置101は、表示装置200に、選択された異常イベント以降に発生した異常イベントを、要素ごとに表示することができる。これにより、管理者は選択した異常イベントに関連するプロセスが、その後、どのような振る舞いを行ったかを容易に把握することができる。例えば、管理者は、上記選択した異常イベントに関連するプロセスが、この選択した異常イベントの後に、外部ホストと通信を行った、などを、確認することができる。これにより、管理者は、例えば、ファイルの漏洩などが起こった可能性を容易に確認することができる。
For example, when the administrator selects an abnormal event that a certain process has opened a file, the
なお、本実施の形態では、受付部150が異常イベントリストから、異常イベントを選択することを例に説明を行ったが、受付部150は、表示装置200に表示された関係グラフから、異常イベントを選択してもよい。この場合であっても、分類部111は、選択された異常イベントの時刻以降の異常イベントを、要素ごとに分類することができる。したがって、生成部120がその後に生成する関係グラフは、選択された異常イベント以降に発生した異常イベントを表すものとなる。
In the present embodiment, the case where the
<第4の実施の形態>
次に、本発明の第4の実施の形態について説明する。図14は、本実施の形態に係る支援装置101の機能構成の一例を示す機能ブロック図である。なお、説明の便宜上、前述した各実施の形態で説明した図面に含まれるブロックと同じ機能を有するブロックについては、同じ符号を付し、その詳細な説明を省略する。
<Fourth embodiment>
Next, a fourth embodiment of the present invention will be described. FIG. 14 is a functional block diagram illustrating an example of a functional configuration of the
図14に示す通り、本実施の形態に係る支援装置102は、分類部110と、生成部121と、記憶部130と、検出部140と、受付部151と、を備える。本実施の形態では、管理者が、入力装置300を用いて、表示装置200に表示された関係グラフに含まれる、頂点または辺の何れかに対して、マウスポインタ等を重ねる操作(以降、マウスオーバーと呼ぶ)を行った場合について説明する。
As illustrated in FIG. 14, the
本実施の形態において、受付部151は、例えば、表示画面上におけるマウスポインタ等の位置を示す位置情報を受け付ける。受付部151は、受け付けた位置情報を、生成部121に供給する。
In the present embodiment, the accepting
生成部121は、受付部151から位置情報を受信する。生成部121は、表示装置200に表示させた関係グラフの中から、位置情報によって表される位置に表示させている頂点(要素)または辺を特定する。
The
管理者がマウスオーバーしたものが要素の場合、生成部121は、マウスオーバーした要素を他の要素よりも強調した状態で、表示画面に表示させる。このとき、生成部121は、強調表示した要素のフルパスを、該要素と共に、表示画面に表示させる。
When the administrator mouseovers the element, the
また、管理者がマウスオーバーしたものが辺の場合、生成部121は、この辺の両端の要素と、辺とを強調した状態で、表示画面に表示させる。このとき、生成部121は、強調表示した要素のフルパスを、該要素と共に、表示画面に表示させる。このとき、表示装置200に表示される画面の一例を図15に示す。
In addition, when the administrator mouse-overs the side, the
管理者が、マウスポインタを、図12に示す関係グラフのうち、「File6」と「Process2」とをつなぐ辺(つまり、「File6」と「Process2」との間の異常イベントの関係を示す辺)上に、重ねたとする。このとき、図15に示す通り、生成部121は、「File6」と「Process2」とこれらをつなぐ辺とを強調して、表示装置200の表示画面上に表示させる。このとき、生成部121は、「File6」と「Process2」とのホスト内での場所をフルパスで表示画面上に表示させる。
The administrator connects the mouse pointer to “File6” and “Process2” in the relationship graph shown in FIG. 12 (that is, the side indicating the relationship of the abnormal event between “File6” and “Process2”). Suppose that they are stacked on top. At this time, as illustrated in FIG. 15, the
これにより、管理者は、異常イベントとして挙げられた要素の名前が、既知の名前であっても、この要素が通常とは異なる位置に存在しているか否かを容易に確認することができる。例えば、「Process2」という名前のプロセスが、ホスト内で既に存在している名前のプロセスであった場合、生成部121がフルパスを表示することにより、管理者は「Process2」が通常存在する場所のプロセスか否かを確認することができる。これにより、支援装置102は、異常イベントとして挙げられたイベントの詳細を、管理者が把握することを支援することができる。
As a result, the administrator can easily confirm whether or not this element exists at a position different from the normal even if the name of the element listed as the abnormal event is a known name. For example, if the process named “Process2” is a process that already exists in the host, the
なお、受付部151は、第3の実施の形態において説明した受付部150と一体となって形成されたものであってもよいし、異なっていてもよい。
The
また、管理者がマウスオーバーしたものが要素の場合、生成部121は、マウスオーバーした要素に関連する異常イベントを表す関係グラフ(該要素に接続された辺および要素)の全てを強調した状態で、表示画面に表示させてもよい。
In addition, when an element that the mouse is over is an element, the
<第5の実施の形態>
次に、本発明の第5の実施の形態について説明する。本実施の形態では、異常イベントリストに、異常イベントの異常度合いが含まれている場合について説明を行う。図16は、本実施の形態に係る支援装置103の機能構成の一例を示す機能ブロック図である。なお、説明の便宜上、前述した各実施の形態で説明した図面に含まれるブロックと同じ機能を有するブロックについては、同じ符号を付し、その詳細な説明を省略する。
<Fifth embodiment>
Next, a fifth embodiment of the present invention will be described. In the present embodiment, a case where the abnormal event list includes the abnormal degree of the abnormal event will be described. FIG. 16 is a functional block diagram illustrating an example of a functional configuration of the
図16に示す通り、本実施の形態に係る支援装置103は、分類部110と、生成部122と、記憶部130と、検出部140と、を備える。本実施の形態に係る支援装置103は、上述した第3または第4の実施の形態と同様に受付部150または受付部151を備える構成であってもよい。
As illustrated in FIG. 16, the
本実施の形態における検出部140が検出した異常イベントのリスト(異常イベントリスト)の一例を図17に示す。図17に示す通り、本実施の形態における異常イベントリストには、図3に示す異常イベントリストに加え、各異常イベントの異常度合いが含まれる。本実施の形態では、この異常度合いは、図17に示す通り、0から1までの数値で表されており、数値が高いほど、異常である可能性が高いとする。
An example of a list of abnormal events (abnormal event list) detected by the
分類部110は、例えば、図17に示すような異常イベントを要素ごとに分類する。上述したとおり、異常イベントには異常度合いが含まれるため、分類部110が分類した結果に含まれる異常イベントにも異常度合いが含まれる。
For example, the
生成部122は、分類部110から分類処理の結果を受け付ける。生成部122は、分類処理の結果に基づいて、関係グラフを生成する。このとき、生成部122は、要素を、異常度合いに応じて並べる。例えば、生成部122は、分類した要素に関連する異常イベントの異常度合いが最も高いものを、要素ごとに特定する。そして、生成部122は、特定した異常度合いが高いものから順に、要素を並べる。
The
図17を参照すると、異常度合いが最も高いプロセスは、イベントIDが「ID11」の異常イベントに関連する要素である「Process1」であることがわかる。したがって、生成部122は、種別がプロセスの要素「Process1」および「Process2」を、「Process1」、「Process2」の順に並べる。
Referring to FIG. 17, it can be seen that the process having the highest degree of abnormality is “
同様に、生成部122は、種別がファイルの要素を、「File1」、「File6」、「File5」、「File3」、「File2」、「File4」の順に並べる。
Similarly, the
そして、生成部122は、分類処理の結果に基づいて、並べた要素間を線でつないだ関係グラフを生成する。本実施の形態における生成部122が生成した関係グラフの一例を図18に示す。図18は、本実施の形態において表示装置200が表示する関係グラフの一例を示す図である。
Then, the
図18に示す通り、種別領域に配置された要素は、上述した順に上から下に(第1の方向に)並んでいることがわかる。そして、図18に示す関係グラフは、図17に示す異常イベントを表現していることがわかる。 As shown in FIG. 18, it can be seen that the elements arranged in the type area are arranged from top to bottom (in the first direction) in the order described above. The relationship graph shown in FIG. 18 represents the abnormal event shown in FIG.
なお、生成部122は、要素に関連する異常イベントの異常度合いの平均を、要素ごとに求めて、求めた平均を用いて、要素を並べてもよい。また、生成部122は、要素に関連する異常イベントの異常度合いの合計を要素ごとに求めて、求めた合計を用いて、要素を並べてもよい。また、生成部122は、求めた合計に応じて、要素の大きさや様態を他の要素とは異なる様態で表示させてもよい。例えば、ある要素に対して求めた異常度合いの合計が、他の要素の異常度合いの合計より大きい場合、生成部122は、この要素を他の要素より、強調された状態で表示させてもよい。
Note that the
(効果)
本実施の形態に係る支援装置103によれば、上述した第1および第2の実施の形態と同様の効果を奏することができる。また、本実施の形態に係る支援装置103によれば、生成部122が、異常の度合いに基づいて、種別ごとに、要素を第1の方向に並べた関係グラフを生成する。このように生成された関係グラフを、表示装置200が表示することにより、管理者は、異常である可能性が高い異常イベントを、容易に特定することができる。
(effect)
According to the
<第6の実施の形態>
次に、本発明の第6の実施の形態について説明する。図19は、本実施の形態に係る支援装置104の機能構成の一例を示す機能ブロック図である。なお、説明の便宜上、前述した各実施の形態で説明した図面に含まれるブロックと同じ機能を有するブロックについては、同じ符号を付し、その詳細な説明を省略する。
<Sixth Embodiment>
Next, a sixth embodiment of the present invention will be described. FIG. 19 is a functional block diagram illustrating an example of a functional configuration of the
図19に示す通り、本実施の形態に係る支援装置104は、分類部110と、生成部120と、記憶部130と、検出部140と、受付部152と、表示制御部160とを備える。
As illustrated in FIG. 19, the
本実施の形態では、検出部140は、異常イベントリストを表示制御部160に供給するとする。また、本実施の形態では、生成部120は、生成した関係グラフを、表示制御部160に供給するとする。このとき、生成部120が表示制御部160に供給する関係グラフに含まれる異常イベントは、異常イベントリストに含まれる異常イベントに関連付けられているとする。例えば、関係グラフに含まれる各辺に対し、異常イベントを表すイベントIDが関連付けられているとする。
In the present embodiment, it is assumed that the
受付部152は、表示画面上におけるマウスポインタ等の位置を示す位置情報を受け付ける。受付部152は、受け付けた位置情報を、表示制御部160に供給する。
The accepting
表示制御部160は、検出部140から受信した異常イベントリストと、生成部120から受信した関係グラフとを、表示装置200に表示させる画面を生成する。そして、表示制御部160は、生成した画面(生成画面)を表示装置200の表示画面に表示させるよう制御する。これにより、表示装置200は、表示制御部160からの制御に基づいて、表示画面に、表示制御部160が生成した生成画面を表示する。
The
また、表示制御部160は、受付部152から位置情報を受信する。表示制御部160は、位置情報から、マウスポインタの位置を特定し、この特定した位置に表示している異常イベントを特定する。そして、表示制御部160は、特定した異常イベントに関連する、関係グラフ内の異常イベントおよび/または異常イベントリスト内の異常イベントを、他の異常イベントとは異なる様態で表示装置200に表示させる。
Further, the
表示制御部160が生成し、表示画面に表示させる生成画面の一例を図20に示す。図20は、本実施の形態において表示装置200の表示画面に表示される生成画面の一例を示す図である。
An example of a generation screen generated by the
図20に示す通り、生成画面には、関係グラフと、異常イベントリストとが含まれる。表示画面に表示された関係グラフに含まれる異常イベントと、異常イベントリストに含まれる異常イベントとは関連付けられている。 As shown in FIG. 20, the generation screen includes a relationship graph and an abnormal event list. The abnormal event included in the relation graph displayed on the display screen is associated with the abnormal event included in the abnormal event list.
図20に示した表示画面に表示された関係グラフまたは異常イベントリストに対し、管理者がマウスポインタ等を重ねる操作を行った場合における、表示画面の一例を図21に示す。 FIG. 21 shows an example of the display screen when the administrator performs an operation of overlaying the mouse pointer or the like on the relation graph or abnormal event list displayed on the display screen shown in FIG.
図21に示す通り、管理者が、例えば、異常イベントリスト上において、イベントIDが「ID25」の異常イベントに対して、マウスオーバーしたとする。このとき、表示制御部160は、マウスオーバーされた位置から異常イベントを特定し、特定した異常イベントに関連する、関係グラフ上の辺および要素を、他の辺および要素とは異なる様態で表示させる。イベントIDが「ID25」の異常イベントは、「Process2」と「File5」との間における異常イベントであるため、表示制御部160は、「Process2」および「File5」の要素と、この要素間をつなぐ線とを、例えば、強調して表示画面に表示させる。
As shown in FIG. 21, it is assumed that the administrator mouses over an abnormal event whose event ID is “ID25” on the abnormal event list, for example. At this time, the
このとき、表示制御部160は、マウスオーバーされた異常イベントも強調して、表示させてもよい。
At this time, the
(効果)
本実施の形態に係る支援装置104によれば、上述した第1および第2の実施の形態と同様の効果を奏することができる。また、本実施の形態に係る支援装置104によれば、表示制御部160が、異常イベントを含むリストと、該リストに関連付けられた関係グラフとを、含む画面を生成し、生成した画面を、前記表示画面に表示させる。この表示制御部160は、表示画面上に表示された複数の異常イベントのうち何れかの異常イベントに、表示画面上に表示されたポインタが重畳している場合、ポインタが重畳している異常イベントに関連する異常イベントを、他の異常イベントとは異なる様態で表示させる。
(effect)
According to the
これにより、例えば、異常イベントリストの中から、管理者が関係性を確認したいと考えた異常イベントに対して、マウスオーバーするだけで、管理者は、マウスオーバーされた異常イベントに関連する要素や他の異常イベントを、グラフ上で確認することができる。したがって、管理者は、表示画面に表示された関係グラフおよび異常イベントリストから、異常イベントの追跡などの異常に対する対応を容易に行うことができる。例えば、記憶部130に格納されているログは、一般的に、時系列に並んでいる。したがって、異常イベントリストに含まれる異常イベントも時系列に並んでいる。したがって、管理者は、時系列に並んだ異常イベントを、順番にマウスオーバーすることで、対応する関係グラフの異常イベントを確認することができるため、異常イベントの時間的な前後関係を容易に把握することができる。例えば、以下の(1)、(2)のような、同じ要素における振る舞いであるが、時系列が違うことにより、対応方法が変わる。
(1)あるプロセスがファイルを開いた後に外部ホストと通信を行った、
(2)あるプロセスが外部ホストと通信を行った後にファイルを開いた。
本実施の形態によれば、管理者はこの違いを容易に確認することができるため、支援装置104は、管理者が異常イベントに対して、最適な対応を取ることを支援することができる。なお、異常イベントリストにおける異常イベントの並び順は時系列に限定されるものではなく、どのような順番でもよい。
As a result, for example, from the abnormal event list, the administrator can simply move the mouse over an abnormal event that the administrator wants to confirm the relationship, and the administrator Other abnormal events can be confirmed on the graph. Therefore, the administrator can easily deal with abnormalities such as tracking abnormal events from the relationship graph and abnormal event list displayed on the display screen. For example, the logs stored in the
(1) A process communicated with an external host after opening a file.
(2) A process opened a file after communicating with an external host.
According to the present embodiment, since the administrator can easily confirm this difference, the
(ハードウェア構成について)
本発明の各実施の形態において、各装置の各構成要素は、機能単位のブロックを示している。各装置の各構成要素の一部又は全部は、例えば図22に示すような情報処理装置500とプログラムとの任意の組み合わせにより実現される。情報処理装置500は、一例として、以下のような構成を含む。
(About hardware configuration)
In each embodiment of the present invention, each component of each device represents a functional unit block. Part or all of each component of each device is realized by an arbitrary combination of an
・CPU(Central Processing Unit)501
・ROM(Read Only Memory)502
・RAM(Random Access Memory)503
・RAM503にロードされるプログラム504
・プログラム504を格納する記憶装置505
・記録媒体506の読み書きを行うドライブ装置507
・通信ネットワーク509と接続する通信インターフェース508
・データの入出力を行う入出力インターフェース510
・各構成要素を接続するバス511
各実施の形態における各装置の各構成要素は、これらの機能を実現するプログラム504をCPU501が取得して実行することで実現される。各装置の各構成要素の機能を実現するプログラム504は、例えば、予め記憶装置505やRAM503に格納されており、必要に応じてCPU501が読み出す。なお、プログラム504は、通信ネットワーク509を介してCPU501に供給されてもよいし、予め記録媒体506に格納されており、ドライブ装置507が当該プログラムを読み出してCPU501に供給してもよい。
CPU (Central Processing Unit) 501
ROM (Read Only Memory) 502
-RAM (Random Access Memory) 503
A
A
A
An input /
-
Each component of each device in each embodiment is realized by the
各装置の実現方法には、様々な変形例がある。例えば、各装置は、構成要素毎にそれぞれ別個の情報処理装置500とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置が備える複数の構成要素が、一つの情報処理装置500とプログラムとの任意の組み合わせにより実現されてもよい。
There are various modifications to the method of realizing each device. For example, each device may be realized by an arbitrary combination of the
また、各装置の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。 In addition, some or all of the components of each device are realized by other general-purpose or dedicated circuits, processors, or combinations thereof. These may be configured by a single chip or may be configured by a plurality of chips connected via a bus.
各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。 Part or all of each component of each device may be realized by a combination of the above-described circuit and the like and a program.
各装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。 When some or all of the constituent elements of each device are realized by a plurality of information processing devices and circuits, the plurality of information processing devices and circuits may be centrally arranged or distributedly arranged. Also good. For example, the information processing apparatus, the circuit, and the like may be realized as a form in which each is connected via a communication network, such as a client and server system and a cloud computing system.
なお、上述した各実施の形態は、本発明の好適な実施の形態であり、上記各実施の形態にのみ本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において当業者が上記各実施の形態の修正や代用を行い、種々の変更を施した形態を構築することが可能である。 Each of the above-described embodiments is a preferred embodiment of the present invention, and the scope of the present invention is not limited only to the above-described embodiments, and those skilled in the art do not depart from the gist of the present invention. However, it is possible to construct a form in which various modifications are made by correcting or substituting the above-described embodiments.
10 支援装置
11 分類部
12 生成部
100 支援装置
101 支援装置
102 支援装置
103 支援装置
104 支援装置
110 分類部
111 分類部
120 生成部
121 生成部
122 生成部
130 記憶部
140 検出部
141 検出部
150 受付部
151 受付部
152 受付部
160 表示制御部
200 表示装置
300 入力装置
DESCRIPTION OF
Claims (16)
分類の結果に基づいて、前記要素を頂点とし前記要素間の関係を辺として該異常イベントを表し、表示画面上において前記要素が種別ごとに配置され、且つ、前記表示画面に表示される関係グラフを生成する生成手段と、を備える支援装置。 Classifying means for classifying an event detected as an abnormal event among events between a plurality of elements for each element related to the abnormal event;
Based on the result of the classification, the abnormal event is represented by using the element as a vertex and the relationship between the elements as an edge, the element is arranged for each type on the display screen, and the relation graph is displayed on the display screen Generating means for generating the support device.
前記分類手段は、ホストごとに、前記異常イベントを前記要素ごとに分類し、
前記生成手段は、前記要素を前記種別ごとに第1の方向に配置し、前記種別が前記第1の方向とは異なる第2の方向に並ぶ前記関係グラフを、前記ホストごとに生成する、請求項1に記載の支援装置。 The event is an event that occurs on a system including a plurality of hosts,
The classification means classifies the abnormal event for each element for each host,
The generating unit arranges the elements in a first direction for each type, and generates the relation graph in which the type is arranged in a second direction different from the first direction for each host. Item 4. The support device according to Item 1.
前記生成手段は、前記異常の度合いに基づいて、前記種別ごとに、前記要素を前記第1の方向に並べた前記関係グラフを生成する、請求項2に記載の支援装置。 The abnormal event is associated with a value indicating the degree of abnormality,
The support device according to claim 2, wherein the generation unit generates the relation graph in which the elements are arranged in the first direction for each type based on the degree of abnormality.
前記分類手段は、受け付けた異常イベントに基づいて特定される時刻以降に発生した異常イベントを、該異常イベントに関連する要素ごとに分類する、請求項1から7の何れか1項に記載の支援装置。 Further comprising accepting means for accepting selection of the abnormal event;
The support according to any one of claims 1 to 7, wherein the classifying unit classifies abnormal events that have occurred after a time specified based on the received abnormal event for each element related to the abnormal event. apparatus.
前記表示画面上に表示された複数の前記異常イベントのうち何れかの異常イベントに、前記表示画面上に表示されたポインタが重畳している場合、前記表示制御手段は、前記ポインタが重畳している異常イベントに関連する異常イベントを、他の異常イベントとは異なる様態で表示させる、請求項1から9の何れか1項に記載の支援装置。 A display control means for generating a screen including the list including the abnormal event and the relationship graph associated with the list, and causing the generated screen to be displayed on the display screen;
When the pointer displayed on the display screen is superimposed on any one of the abnormal events displayed on the display screen, the display control means The support apparatus according to any one of claims 1 to 9, wherein an abnormal event related to an abnormal event is displayed in a manner different from other abnormal events.
分類の結果に基づいて、前記要素を頂点とし前記要素間の関係を辺として該異常イベントを表し、表示画面上において前記要素が種別ごとに配置され、且つ、前記表示画面に表示される関係グラフを生成する、支援方法。 Of events between multiple elements, classify the events detected as abnormal events for each element related to the abnormal event,
Based on the result of the classification, the abnormal event is represented by using the element as a vertex and the relationship between the elements as an edge, the element is arranged for each type on the display screen, and the relation graph is displayed on the display screen A support method to generate.
前記異常イベントを前記要素ごとに分類する際、ホストごとに、該異常イベントを分類し、
前記関係グラフを生成する際、前記要素を前記種別ごとに第1の方向に配置し、前記種別が前記第1の方向とは異なる第2の方向に並ぶ前記関係グラフを、前記ホストごとに生成する、請求項13に記載の支援方法。 The event is an event that occurs on a system including a plurality of hosts,
When classifying the abnormal event for each element, for each host, classify the abnormal event,
When generating the relationship graph, the elements are arranged in a first direction for each type, and the relationship graph is generated for each host in which the type is arranged in a second direction different from the first direction. The support method according to claim 13.
分類の結果に基づいて、前記要素を頂点とし前記要素間の関係を辺として該異常イベントを表し、表示画面上において前記要素が種別ごとに配置され、且つ、前記表示画面に表示される関係グラフを生成する処理と、をコンピュータに実行させるプログラム。 A process of classifying an event detected as an abnormal event among events between a plurality of elements for each element related to the abnormal event;
Based on the result of the classification, the abnormal event is represented by using the element as a vertex and the relationship between the elements as an edge, the element is arranged for each type on the display screen, and the relation graph is displayed on the display screen A program for causing a computer to execute a process for generating
前記分類する処理は、ホストごとに、前記異常イベントを前記要素ごとに分類する処理であり、
前記生成する処理は、前記要素を前記種別ごとに第1の方向に配置し、前記種別が前記第1の方向とは異なる第2の方向に並ぶ前記関係グラフを、前記ホストごとに生成する、請求項15に記載のプログラム。 The event is an event that occurs on a system including a plurality of hosts,
The process of classifying is a process of classifying the abnormal event for each element for each host,
The generating process arranges the elements in a first direction for each type, and generates the relationship graph arranged in a second direction different from the first direction for each host. The program according to claim 15.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015239509A JP6648511B2 (en) | 2015-12-08 | 2015-12-08 | Support device, support method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015239509A JP6648511B2 (en) | 2015-12-08 | 2015-12-08 | Support device, support method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017107330A true JP2017107330A (en) | 2017-06-15 |
JP6648511B2 JP6648511B2 (en) | 2020-02-14 |
Family
ID=59060753
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015239509A Active JP6648511B2 (en) | 2015-12-08 | 2015-12-08 | Support device, support method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6648511B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019031473A1 (en) * | 2017-08-09 | 2019-02-14 | 日本電気株式会社 | Information selection device, information selection method, and recording medium storing information selection program |
WO2019186777A1 (en) * | 2018-03-28 | 2019-10-03 | 日本電気株式会社 | Information processing device, control method, and program |
WO2020075808A1 (en) * | 2018-10-11 | 2020-04-16 | 日本電信電話株式会社 | Information processing device, log analysis method, and program |
WO2020100186A1 (en) * | 2018-11-12 | 2020-05-22 | 日本電気株式会社 | Information processing device, control method, and program |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006031109A (en) * | 2004-07-12 | 2006-02-02 | Ntt Docomo Inc | Management system and management method |
JP2009199533A (en) * | 2008-02-25 | 2009-09-03 | Nec Corp | Operation management device, operation management system, information processing method, and operation management program |
US20090327195A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Root cause analysis optimization |
JP2014191422A (en) * | 2013-03-26 | 2014-10-06 | Nec Corp | Log relevancy presentation system, log relevancy presentation method and computer program |
-
2015
- 2015-12-08 JP JP2015239509A patent/JP6648511B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006031109A (en) * | 2004-07-12 | 2006-02-02 | Ntt Docomo Inc | Management system and management method |
JP2009199533A (en) * | 2008-02-25 | 2009-09-03 | Nec Corp | Operation management device, operation management system, information processing method, and operation management program |
US20090327195A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Root cause analysis optimization |
JP2014191422A (en) * | 2013-03-26 | 2014-10-06 | Nec Corp | Log relevancy presentation system, log relevancy presentation method and computer program |
Non-Patent Citations (1)
Title |
---|
瀬川 修、村上一彦、古里宗寛: "障害対応記録からの関連キーワード抽出と可視化手法の検討", 電子情報通信学会技術研究報告, vol. 112, no. 196, JPN6019042482, 23 August 2012 (2012-08-23), JP, pages 41 - 44, ISSN: 0004146829 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019031473A1 (en) * | 2017-08-09 | 2019-02-14 | 日本電気株式会社 | Information selection device, information selection method, and recording medium storing information selection program |
JPWO2019031473A1 (en) * | 2017-08-09 | 2020-07-16 | 日本電気株式会社 | INFORMATION SELECTION DEVICE, INFORMATION SELECTION METHOD, AND INFORMATION SELECTION PROGRAM |
US20200244688A1 (en) * | 2017-08-09 | 2020-07-30 | Nec Corporation | Information selection device, information selection method, and non-transitory recording medium |
WO2019186777A1 (en) * | 2018-03-28 | 2019-10-03 | 日本電気株式会社 | Information processing device, control method, and program |
JPWO2019186777A1 (en) * | 2018-03-28 | 2021-03-18 | 日本電気株式会社 | Information processing equipment, control methods, and programs |
JP7031735B2 (en) | 2018-03-28 | 2022-03-08 | 日本電気株式会社 | Information processing equipment, control methods, and programs |
US11449405B2 (en) | 2018-03-28 | 2022-09-20 | Nec Corporation | Information processing apparatus, control method, and program |
WO2020075808A1 (en) * | 2018-10-11 | 2020-04-16 | 日本電信電話株式会社 | Information processing device, log analysis method, and program |
WO2020100186A1 (en) * | 2018-11-12 | 2020-05-22 | 日本電気株式会社 | Information processing device, control method, and program |
JPWO2020100186A1 (en) * | 2018-11-12 | 2021-09-24 | 日本電気株式会社 | Information processing equipment, control methods, and programs |
JP7211427B2 (en) | 2018-11-12 | 2023-01-24 | 日本電気株式会社 | Information processing device, control method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP6648511B2 (en) | 2020-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11789961B2 (en) | Interaction with particular event for field selection | |
US10423647B2 (en) | Descriptive datacenter state comparison | |
US10884891B2 (en) | Interactive detection of system anomalies | |
JP6919569B2 (en) | Log analysis systems, methods, and recording media | |
US7765505B2 (en) | Design rule management method, design rule management program, rule management apparatus and rule verification apparatus | |
US20190179824A1 (en) | Triggering alerts from searches on events | |
JP6648511B2 (en) | Support device, support method, and program | |
JP6866930B2 (en) | Production equipment monitoring equipment, production equipment monitoring method and production equipment monitoring program | |
US20200336532A1 (en) | Identifying un-deployed features of an application | |
EP3616066A1 (en) | Human-readable, language-independent stack trace summary generation | |
JP5689919B2 (en) | Information processing apparatus, information processing method, computer program, and computer-readable memory medium | |
JPWO2012032705A1 (en) | Display processing apparatus, display processing method, and program | |
US12112010B1 (en) | Data visualization in an extended reality environment | |
JP4383484B2 (en) | Message analysis apparatus, control method, and control program | |
JP5962736B2 (en) | Information processing system, classification method, and program therefor | |
US10388043B2 (en) | Display of manufacturing process and facility used therefore | |
US10152039B2 (en) | Method and apparatus for the display of multiple errors on a human-machine interface | |
WO2020050355A1 (en) | Vulnerability information management device, vulnerability information management method, and program | |
JP2009064399A (en) | Retrieval result display method, retrieval result display program and retrieval result display device | |
CN110321540A (en) | A kind of method, apparatus, electronic equipment and medium generating list | |
TWI421718B (en) | A checking method of the component of the circuit board | |
JP2021196905A (en) | Information processing apparatus, control method, and program | |
US20140033172A1 (en) | Configuration of widgets in a mashup environment | |
Sarma et al. | The coordination pyramid: A perspective on the state of the art in coordination technology | |
JP2015162200A (en) | File management device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191209 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191217 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191230 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6648511 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |