JP2018160186A - Monitoring program, monitoring method, and monitoring device - Google Patents
Monitoring program, monitoring method, and monitoring device Download PDFInfo
- Publication number
- JP2018160186A JP2018160186A JP2017058207A JP2017058207A JP2018160186A JP 2018160186 A JP2018160186 A JP 2018160186A JP 2017058207 A JP2017058207 A JP 2017058207A JP 2017058207 A JP2017058207 A JP 2017058207A JP 2018160186 A JP2018160186 A JP 2018160186A
- Authority
- JP
- Japan
- Prior art keywords
- event
- monitoring
- server
- events
- acquired
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、監視プログラム、監視方法および監視装置に関する。 The present invention relates to a monitoring program, a monitoring method, and a monitoring apparatus.
データセンタなどの大規模なIT(Information Technology)システムでは、監視製品を導入し、業務サーバの安定稼動を監視することが行われている。例えば、業務サーバに異常が発生した場合、監視製品によって監視イベントが発行され、オペレータが監視イベントの内容を確認のうえ対処の判断を行っている。また、例えば、サーバ集約によって複数の業務アプリケーションをミドルウェア上に集約して運用している環境においても、監視製品によって各業務アプリケーションの監視が行われる。 In large-scale IT (Information Technology) systems such as data centers, monitoring products are introduced to monitor the stable operation of business servers. For example, when an abnormality occurs in a business server, a monitoring event is issued by the monitoring product, and the operator determines the countermeasure after confirming the contents of the monitoring event. Further, for example, even in an environment where a plurality of business applications are aggregated and operated on middleware by server aggregation, each business application is monitored by a monitoring product.
このようなITシステムなどでは、メンテナンスなどの運用管理操作の対象や回数も増えることもあり、各運用管理操作をワークフローとして自動化している。一方で、メンテナンスのためにサーバの停止などを行った場合、大量の監視イベントが通知されるので、オペレータは、すべての監視イベントを一つ一つ確認することになり、他の障害への対応の遅れや見逃しが発生する可能性が高い。近年では、メンテナンスなどを行う場合、監視製品の機能によって、メンテナンス対象のサーバの監視抑制の設定を行って、監視イベントの通知を抑制することが行われている。 In such an IT system and the like, the number and number of operations management operations such as maintenance may increase, and each operation management operation is automated as a workflow. On the other hand, when a server is shut down for maintenance, a large number of monitoring events are notified, so the operator must check all the monitoring events one by one and respond to other failures. There is a high possibility of delays and oversights. In recent years, when performing maintenance or the like, the monitoring product function has been configured to suppress monitoring event notification by setting monitoring suppression for the maintenance target server.
しかしながら、監視抑制の設定を行うことができないまま、メンテナンスが実行されることにより、運用管理操作による自明な監視イベントと障害による監視イベントとが発生する状況が起こりうる。この結果、他の障害への対応の遅れや見逃しが発生する可能性が高くなる。例えば、緊急メンテナンスで監視担当者による監視抑制の設定が間に合わない場合やメンテナンスの影響範囲を正しく理解できていない場合、自明な監視イベントの通知が実行されてしまう。 However, when maintenance is performed without setting monitoring suppression, a situation may occur in which an obvious monitoring event due to an operation management operation and a monitoring event due to a failure occur. As a result, there is a high possibility that delays in overcoming other failures and oversight will occur. For example, if the monitoring suppression setting by the person in charge of monitoring is not in time for emergency maintenance, or if the affected range of maintenance is not correctly understood, notification of a trivial monitoring event is executed.
また、運用管理操作の自動化は、効果的な部分を優先して行っており、すべて一律で自動化している訳ではないので、ワークフローとして自動化をした範囲と、自動化していない範囲とが混在した状態が増えている。このような状況では、監視抑制の設定をしてしまうと、ワークフローによって発生する自明な監視イベントだけでなく、その間に発生したワークフローとは関係のない監視イベントも抑制してしまう。 Also, automation of operation management operations is performed with priority on the effective part, and not all are automated automatically, so there is a mixture of areas that are automated as workflows and areas that are not automated. The state is increasing. In such a situation, if the monitoring suppression is set, not only the obvious monitoring event generated by the workflow but also the monitoring event not related to the workflow generated during that time is suppressed.
一つの側面では、運用に関する処理に起因して生じるイベントに関する情報の通知を選択的に抑制することができる監視プログラム、監視方法および監視装置を提供することを目的とする。 In one aspect, an object is to provide a monitoring program, a monitoring method, and a monitoring apparatus that can selectively suppress notification of information related to an event caused by processing related to operation.
第1の案では、監視プログラムは、コンピュータに、サーバの監視に関するイベントを取得すると、取得した前記イベントに関する情報を端末に通知する処理を実行させる。監視プログラムは、コンピュータに、前記サーバの運用に関する処理の識別情報と、該サーバの監視に関するイベントのうち該サーバの運用に関する処理の実行中に発生したイベントと、を取得する処理を実行させる。監視プログラムは、コンピュータに、サーバの運用に関する処理に起因して発生したイベントを該処理の識別情報に対応付けて記憶する記憶部を参照して、取得した前記処理の識別情報に対応付けられたイベントを特定する処理を実行させる。監視プログラムは、コンピュータに、取得した前記イベントのうち、特定した前記イベントに関する情報の通知を抑制する処理を実行させる。 In the first proposal, when the monitoring program acquires an event related to server monitoring, the monitoring program causes the terminal to execute processing for notifying the terminal of the acquired information related to the event. The monitoring program causes the computer to execute processing for acquiring the identification information of the processing related to the server operation and the event that occurred during the execution of the processing related to the server operation among the events related to the server monitoring. The monitoring program refers to a storage unit that stores an event generated due to a process related to server operation in association with the identification information of the process, and is associated with the acquired identification information of the process. Causes the event to be identified. The monitoring program causes the computer to execute processing for suppressing notification of information related to the identified event among the acquired events.
一実施形態によれば、運用に関する処理に起因して生じるイベントに関する情報の通知を選択的に抑制することができる。 According to one embodiment, it is possible to selectively suppress notification of information related to an event caused by processing related to operation.
以下に、本願の開示する監視プログラム、監視方法および監視装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。また、各実施例は、矛盾のない範囲内で適宜組み合わせることができる。 Hereinafter, embodiments of a monitoring program, a monitoring method, and a monitoring device disclosed in the present application will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments. In addition, the embodiments can be appropriately combined within a consistent range.
[システム構成]
図1は、実施例1にかかるシステムの全体構成例を示す図である。図1に示すように、このシステムは、業務サーバ群1と監視装置10と運用管理装置50とがネットワークNを介して接続される。なお、ネットワークNは、有線や無線を問わず、インターネットや専用線などの各種ネットワークを採用することができる。また、監視装置10と運用管理装置50とは、別々の筐体で実現することもでき、同じ筐体で実現することもできる。
[System configuration]
FIG. 1 is a diagram illustrating an example of the overall configuration of a system according to the first embodiment. As shown in FIG. 1, in this system, a
業務サーバ群1は、複数の業務サーバから構成される業務システムであり、例えば帳票管理のシステムなどである。図2は、実施例1にかかるシステム構成ツリーを説明する図である。図2に示すように、業務サーバ群1は、Web/APサーバ、WFサーバ、DBサーバを有する帳票管理システムである。なお、Web/APサーバは、Webサービスと業務アプリケーションであるAPサービスとをクライアントに提供し、WFサーバは、帳票管理である帳票サービスをクライアントに提供し、DBサーバは、DBの検索などのDBサービスをクライアントに提供する。
The
監視装置10は、業務サーバ群1を監視するサーバの一例である。具体的には、監視装置10は、監視アプリケーション(監視製品)のマネージャ機能を有し、監視アプリケーションのエージェント機能を業務サーバ群1の各サーバにインストールして、サーバの停止や異常処理などの監視イベントを検出する。そして、監視装置10は、検出した監視イベントをディスプレイ等に表示することで、異常をオペレータに通知する。
The
監視項目の一例としては、例えば、監視装置10は、各サーバの死活監視、各サーバの残ディスク容量の監視、各サーバのイベントログ監視、各サービスの起動状態監視、システム動作の監視を実行する。
As an example of the monitoring item, for example, the
運用管理装置50は、業務サーバ群1の各サーバに対して、メンテナンスなどの運用管理操作(運用製品)を実行するサーバの一例である。具体的には、運用管理装置50は、メンテナンスなどの運用管理操作をワークフローとして自動化し、業務サーバ群1に対して、メンテナンス等を自動で実行する。なお、メンテナンスの一例としては、ハードウェアの交換、パッチ適用、メモリ増設などがある。本実施例では、帳票管理のシステムを構成するWFサーバの帳票サービスを停止後にメンテナンス作業を実施し、その後に帳票サービスを起動するというワークフローを実行する。
The
図3は、実施例1にかかるワークフローを説明する図である。図3に示すように、ワークフローは、運用製品が実行し、STARTノードから開始してENDノードまで1つずつノードを遷移するように制御する。ノードごとに1つの「運用操作部品」を設定し、その運用操作部品の処理が完了すれば次のノードに遷移する。例えば、ノード1の構成情報の収集処理が終了すると、ノード2のサービス停止処理が実行される。ここでは、分岐のないワークフローとなっているが、運用操作部品の実行結果によって処理を分岐させ、異なるノードに遷移させることもできる。
FIG. 3 is a schematic diagram illustrating a workflow according to the first embodiment. As shown in FIG. 3, the workflow is executed by the operation product, and is controlled so that the nodes are shifted one by one from the START node to the END node. One “operation component” is set for each node, and transition to the next node is made when processing of the operation component is completed. For example, when the configuration information collection process of the
[監視装置の機能構成]
図4は、実施例1にかかる監視装置の機能構成を示す機能ブロック図である。図4に示すように、監視装置10は、通信部11、記憶部12、制御部15を有する。
[Functional configuration of monitoring device]
FIG. 4 is a functional block diagram of the functional configuration of the monitoring apparatus according to the first embodiment. As illustrated in FIG. 4, the
通信部11は、他の装置の通信を制御する処理部であり、例えば通信インタフェースなどである。例えば、通信部11は、業務サーバ群1から監視イベントを受信し、運用管理装置50からフィルタを受信する。また、通信部11は、収集した監視イベントを、運用管理装置50へ送信する。
The
記憶部12は、データやプログラムを記憶する記憶装置の一例であり、例えばメモリやハードディスクなどである。この記憶部12は、監視イベントDB13とフィルタリングDB14を記憶する。
The
監視イベントDB13は、業務サーバ群1で検出された監視イベントを記憶するデータベースである。図5は、監視イベントDB13に記憶される監視イベントの例を示す図である。図5に示すように、各監視イベントは、「イベントNo、レベル、ソース、イベント種別、メッセージ、発生日時、対処フラグ」から構成される。
The
ここで記憶される「イベントNo」は、監視イベントを識別する識別子であり、発生順に一意に与えられる。「レベル」は、監視イベントの緊急度を示す情報であり、緊急度が高い順に、ERROR、WARNING、INFOなどが設定される。「ソース」は、監視イベントの発生元のサーバを示す情報であり、WFサーバやDBサーバなどが設定される。なお、ワークフローとは関係がなく、帳票管理システムとは関係のないXXサーバであっても、ノイズが検出された場合を考慮して検出対象の監視イベントに含める。 The “event No.” stored here is an identifier for identifying a monitoring event, and is uniquely given in the order of occurrence. “Level” is information indicating the urgency level of the monitoring event, and ERROR, WARNING, INFO, etc. are set in descending order of urgency level. “Source” is information indicating a server from which a monitoring event is generated, and a WF server, a DB server, or the like is set. Note that even an XX server that is not related to the workflow and not related to the form management system is included in the monitoring event to be detected in consideration of the case where noise is detected.
「イベント種別」は、監視イベントの種別を示す情報であり、例えばイベントログ監視、プロセス監視、シナリオ監視、MIB(Management Information Base)監視などが設定される。「メッセージ」は、監視イベントで検出されるエラーメッセージを示す。「発生日時」は、監視イベントが発生した日時を示す。「対処フラグ」は、監視イベントに対して障害対応等が実行されたか否かを示す情報である。 “Event type” is information indicating the type of monitoring event. For example, event log monitoring, process monitoring, scenario monitoring, MIB (Management Information Base) monitoring, and the like are set. “Message” indicates an error message detected by the monitoring event. “Occurrence date and time” indicates the date and time when the monitoring event occurred. The “handling flag” is information indicating whether or not failure handling has been executed for the monitoring event.
図5の1行目の監視イベントは、「XXサーバ」から出力された「イベントログ監視」の「ERROR」の監視イベントであり、「2016年9月3日、00:04:02」に、対処「不要」である「ログローテーションに失敗しました。」のメッセージが出力されたことを示す。 The monitoring event on the first line in FIG. 5 is a monitoring event of “ERROR” of “event log monitoring” output from “XX server”, and “September 3, 2016, 00:04:02” Action Indicates that the message "Log rotation failed." That is "unnecessary" has been output.
フィルタリングDB14は、監視イベントをフィルタリングするフィルタを記憶するデータベースである。ここで記憶されるフィルタは、運用管理装置50によって生成される。なお、記憶されるフィルタについては、後述するので、詳細な説明は省略する。
The
制御部15は、監視装置10全体を司る処理部であり、例えばプロセッサなどである。制御部15は、監視イベント管理部16、フィルタリング部17、画面出力部18を有する。なお、監視イベント管理部16、フィルタリング部17、画面出力部18は、プロセッサが有する電子回路の一例やプロセッサが実行するプロセスの一例である。
The
監視イベント管理部16は、監視機能を実行して、業務サーバ群1の各サーバを監視する処理部である。例えば、監視イベント管理部16は、各サーバで発生した監視イベントを検出して、監視イベントDB13に登録する。
The monitoring
フィルタリング部17は、検出された監視イベントのフィルタリングを実行する処理部である。具体的には、フィルタリング部17は、フィルタリングDB14に記憶されるフィルタを用いて、検出された監視イベントのフィルタリングを実行して、当該監視イベントが出力対象か否かを判定する。そして、フィルタリング部17は、出力対象である場合は、当該監視イベントに関する情報を画面出力部18に通知し、出力対象ではない場合は、当該監視イベントに関する情報の画面出力部18への通知を抑制する。
The filtering unit 17 is a processing unit that performs filtering of detected monitoring events. Specifically, the filtering unit 17 performs filtering of the detected monitoring event using a filter stored in the
画面出力部18は、監視イベントをディスプレイなどの表示部に表示する処理部である。例えば、画面出力部18は、フィルタリング部17から、出力対象の監視イベントに関する情報として「イベントNo」などを受信すると、該当する監視イベントを監視イベントDB13から読み出して、ディスプレイなどの表示部に表示する。
The
[運用管理装置の機能構成]
図6は、実施例1にかかる運用管理装置の機能構成を示す機能ブロック図である。図6に示すように、運用管理装置50は、通信部51、記憶部52、制御部70を有する。
[Functional configuration of operation management device]
FIG. 6 is a functional block diagram of the functional configuration of the operation management apparatus according to the first embodiment. As illustrated in FIG. 6, the
通信部51は、他の装置の通信を制御する処理部であり、例えば通信インタフェースなどである。例えば、通信部51は、監視装置10から監視イベントを受信し、監視装置10にフィルタを送信する。
The
記憶部52は、データやプログラムを記憶する記憶装置の一例であり、例えばメモリやハードディスクなどである。この記憶部52は、ワークフロー管理DB53、変数管理DB54、インスタンス管理DB55、監視イベント管理DB56、イベントパターン管理DB57、遷移ルート管理DB58、パターンデータ管理DB59、フィルタリング管理DB60を記憶する。
The
ワークフロー管理DB53は、自動化されたワークフローの実行内容を記憶するデータベースである。図7は、ワークフロー管理DBに記憶されるワークフローの例を示す図である。図7に示すように、ワークフロー管理DB53は、ワークフローごとに、「ワークフローNo、部品No、運用操作部品名、操作対象、操作サービス/資源、次の部品No」を記憶する。なお、ここで記憶される情報は、メンテナンス実行者などによって設定される。
The
「ワークフローNo」は、ワークフローを識別する識別子である。「部品No」は、ワークフローを構成する部品の識別子である。「操作対象」は、部品の操作対象を示す情報であり、「操作サービス/資源」は、部品が操作するサービスや資源を示す情報である。「次の部品No」は、次に実行される部品を示す。 “Workflow No.” is an identifier for identifying a workflow. “Part No.” is an identifier of a part constituting the workflow. “Operation target” is information indicating an operation target of a component, and “operation service / resource” is information indicating a service and a resource operated by the component. “Next part number” indicates a part to be executed next.
図7の例では、ワークフローNo.1は、0から99までの部品で構成され、1番目の部品は、部品名が「操作対象/資源の取得」であり、この部品の後に2番目の部品が実行されることを示す。また、部品No.3の部品名「サービス停止確認」は、変数1の変数2に対して実行され、確認結果に応じて、部品No.4と部品No.5に分離することを示す。
In the example of FIG. 1 is composed of parts from 0 to 99, and the first part has a part name “acquisition of operation target / resource”, and indicates that the second part is executed after this part. In addition, part no. The part name “service stop confirmation” of No. 3 is executed for the
変数管理DB54は、ワークフローで読み出される変数を管理するデータベースである。図8は、変数管理DBに記憶される変数の例を示す図である。図8に示すように、変数管理DB54は、「変数No、インスタンスNo、ノードNo、変数名、変数値」を対応付けて記憶する。なお、ここで記憶される情報は、メンテナンス実行者などによって設定される。
The
「変数No」は、変数を識別する識別子であり、「インスタンスNo」は、例えば事象や事例などのインスタンスを識別する識別子である。「ノードNo」は、ワークフローで実行されるノードを識別する識別子である。「変数名」は、ワークフローの各部品で読み出される変数の名称であり、「変数値」は、当該変数名に設定される値である。図8の例では、変数NO.1として、インスタンスNo.1のノードNo.0において、変数値(hostA)の変数1が設定されることを示す。
“Variable No” is an identifier for identifying a variable, and “Instance No.” is an identifier for identifying an instance such as an event or a case. “Node No.” is an identifier for identifying a node executed in the workflow. “Variable name” is a name of a variable read by each component of the workflow, and “Variable value” is a value set to the variable name. In the example of FIG. 1 as an instance number. 1 node no. 0 indicates that the
インスタンス管理DB55は、ワークフローごとに、各ワークフローで実行されたインスタンスを記憶するデータベースである。図9は、インスタンス管理DB55に記憶されるインスタンスの例を示す図である。図9に示すように、インスタンス管理DB55は、「インスタンスNo、ワークフローNo、ノード位置、ノード遷移元、開始日時、終了日時、実行結果(標準出力)、実行結果(復帰値)」などを対応付けて記憶する。ここで記憶される情報は、ワークフローが実行されるたびに、ワークフロー実行部71によって格納される。
The
図9の例では、インスタンスNo.1は、ワークフローNo.1のワークフローで実行されたインスタンスであることを示す。また、図9の1行目は、ノード0から遷移したノード1において、2016年9月3日00:04:00から2016年9月3日00:04:02に実行され、実行結果として「構成情報の取得に成功」が取得され、実行結果が「0(正常)」であることを示す。
In the example of FIG. 1 is a workflow number. Indicates that the instance is executed in one workflow. The first line in FIG. 9 is executed from 00:04:00 on September 3, 2016 to 00:04:02 on September 3, 2016 in
監視イベント管理DB56は、業務サーバ群1で発生した監視イベントを記憶するデータベースである。ここで記憶される情報は、監視装置10から取得した情報であり、監視装置10で管理される情報と同じなので、詳細な説明は省略する。
The monitoring
イベントパターン管理DB57は、ワークフローの実行で発生した監視イベントの集計結果を記憶するデータベースである。図10は、イベントパターン管理DBに記憶されるイベントパターンの例を示す図である。図10に示すように、イベントパターン管理DB57は、「パターンNo、ワークフローNo、ノードNo、操作対象、操作資源、実行回数、データNo、遷移ルート、更新日時」などを対応付けて記憶する。
The event
「パターンNo」は、イベントパターンを識別する識別子であり、「ワークフローNo」は、イベントパターンが発生したワークフローを識別する識別子であり、「ノードNo」は、イベントパターンを発行したノードを識別する識別子である。「操作対象」は、イベントパターンの発生時に操作されたサーバの識別子であり、「操作資源」は、イベントパターンの発生時に操作されたサービスの識別子である。「実行回数」は、イベントパターンの実行回数であり、「データNo」は、詳細内容を特定するときに使用する識別子である。「遷移ルート」は、イベントパターンの順番を示す情報であり、「更新日時」は、最新の更新日時(発生日時)である。 “Pattern No” is an identifier for identifying an event pattern, “Workflow No” is an identifier for identifying a workflow in which the event pattern has occurred, and “Node No” is an identifier for identifying the node that issued the event pattern It is. “Operation target” is an identifier of the server operated when the event pattern is generated, and “Operation resource” is an identifier of the service operated when the event pattern is generated. “Execution count” is the event pattern execution count, and “Data No.” is an identifier used when specifying the detailed contents. The “transition route” is information indicating the order of event patterns, and the “update date / time” is the latest update date / time (occurrence date / time).
図10の例では、パターンNo.2は、ワークフローNo.1のノード2において、APサーバのWebサービスに対して実行されたときに発生した監視イベントである。この監視イベントは、過去に14回発生し、遷移ルート1に該当し、データNo.2−4で特定される詳細なイベント内容に該当し、更新日時が2016年9月3日の00:04:00であることを示す。
In the example of FIG. 2 is a workflow number. This is a monitoring event that occurs when it is executed for the Web service of the AP server in
遷移ルート管理DB58は、ワークフロー実行時のノードの遷移ルートを記憶するデータベースである。図11は、遷移ルート管理DBに記憶される遷移ルートの例を示す図である。図11に示すように、遷移ルート管理DB58は、「遷移ルートNo、ワークフローNo、遷移元ノード、遷移先ノード」を対応付けて記憶する。なお、ここで記憶される情報は、メンテナンス実行者などによって設定される。
The transition
「遷移ルートNo」は、遷移ルートを識別する識別子であり、「ワークフローNo」は、ワークフローを識別する識別子である。「遷移元ノード」は、遷移元のノードを識別する識別子であり、「遷移先ノード」は、遷移先のノードを識別する識別子である。図11の1行目の例は、ワークフローNo.1が有する遷移ルートを示し、ノード0からノード1への遷移を示す情報である。
“Transition route No.” is an identifier for identifying a transition route, and “Workflow No.” is an identifier for identifying a workflow. The “transition source node” is an identifier for identifying the transition source node, and the “transition destination node” is an identifier for identifying the transition destination node. The example of the first line in FIG. 1 is information indicating a transition route of 1 and a transition from
パターンデータ管理DB59は、イベントパターンで発生したパターンの詳細情報を管理するデータベースである。図12は、パターンデータ管理DBに記憶されるパターンデータの例を示す図である。図12に示すように、パターンデータ管理DB59は、「データNo、イベント種類、メッセージ、ソース、レベル、発生時刻、信頼度、マージン」などを対応付けて記憶する。
The pattern
「データNo」は、パターンデータを識別する識別子である。「イベント種類」は、監視イベントの種別を示す情報である。「メッセージ」は、当該監視イベントで出力されるメッセージの内容である。「ソース」は、当該監視イベントの発行元のサーバを示す情報である。「レベル」は、発行された監視イベントの危険度を示す情報である。「発生時刻」は、監視イベントの発生時刻である。「信頼度」は、監視イベントがワークフローを起因とするものか否かを示す情報である。「マージン」は、監視イベントの発生時刻の許容範囲を示す情報である。 “Data No” is an identifier for identifying pattern data. “Event type” is information indicating the type of monitoring event. “Message” is the content of the message output by the monitoring event. “Source” is information indicating the server that issued the monitoring event. “Level” is information indicating the risk level of the issued monitoring event. “Occurrence time” is the occurrence time of the monitoring event. “Reliability” is information indicating whether the monitoring event is caused by a workflow. “Margin” is information indicating an allowable range of the occurrence time of the monitoring event.
図12の例では、データNo.2は、APサーバで発行されたイベントログ監視の監視イベントであり、「〜サービスを停止します」のメッセージが、危険度「INFO」で、「00:00:02」に発行されたことを示す。また、データNo.2のパターンデータには、マージンとして「2」、信頼度として「80」が設定される。つまり、「00:00:02」から前後2秒の間で出力された、データNo.2と同じ内容の監視イベントは、データNo.2として扱うことを示す。
In the example of FIG. 2 is a monitoring event of event log monitoring issued by the AP server. The message “˜Service is stopped” is issued at “00:00:02” with the risk “INFO”. Show. In addition, data No. In the
フィルタリング管理DB60は、監視イベントをフィルタリングするフィルタに関する情報を管理するデータベースである。図13は、フィルタリング管理DBに記憶されるフィルタの例を示す図である。図13に示すように、フィルタリング管理DB60は、「フィルタNo、イベント種類、メッセージ、ソース、レベル、時刻条件、アクション、繰り返し」などを対応付けて記憶する。
The
「フィルタNo」は、フィルタを識別する識別子である。「イベント種類」は、監視イベントの種別を示す情報である。「メッセージ」は、当該監視イベントで出力されるメッセージの内容である。「ソース」は、当該監視イベントの発行元のサーバを示す情報である。「レベル」は、発行された監視イベントの危険度を示す情報である。「時刻条件」は、当該監視イベントが出力されると想定される時間帯である。「アクション」は、当該監視イベントの発行時に対応するアクションの内容である。「繰り返し」は、当該フィルタによる制御の繰り返し回数を示す。 “Filter No.” is an identifier for identifying a filter. “Event type” is information indicating the type of monitoring event. “Message” is the content of the message output by the monitoring event. “Source” is information indicating the server that issued the monitoring event. “Level” is information indicating the risk level of the issued monitoring event. The “time condition” is a time zone in which the monitoring event is expected to be output. “Action” is the content of the action corresponding to the issue of the monitoring event. “Repetition” indicates the number of repetitions of control by the filter.
図13の場合、フィルタNo.1は、2016年9月3日の00:04:01から00:04:05の間に、APサーバから発行された、「〜サービスを停止します」かつ「INFO」に対応するイベントログの表示を抑制することを示す。 In the case of FIG. 1 is an event log corresponding to “˜Service will be stopped” and “INFO” issued from the AP server between 00:04:01 and 00:04:05 on September 3, 2016. Indicates to suppress display.
制御部70は、運用管理装置50全体を司る処理部であり、例えばプロセッサなどである。制御部70は、ワークフロー実行部71とフィルタリング処理部80を有する。なお、ワークフロー実行部71とフィルタリング処理部80は、プロセッサが有する電子回路の一例やプロセッサが実行するプロセスの一例である。
The
(1.ワークフローの実行)
ワークフロー実行部71は、ワークフローを実行する処理部である。具体的には、ワークフロー実行部71は、予め定めた時間に到達した場合やメンテナンス実行者によって開始が指示された場合、図7に示すワークフロー管理DB53に記憶されるワークフローの中から、該当するワークフローをStartノードからENDノードまで順に実行する。
(1. Workflow execution)
The workflow execution unit 71 is a processing unit that executes a workflow. Specifically, the workflow execution unit 71 selects a corresponding workflow from the workflows stored in the
図14は、ワークフローの実行処理の流れを示すフローチャートである。図14に示すように、ワークフロー実行部71は、Startノードから開始し(S101)、ENDノードまでS102からS107のループ処理を実行する。具体的には、ワークフロー実行部71は、ワークフロー管理DB53から操作対象と操作内容を取得し(S103)、運用操作部品に設定される処理を実行する(S104)。そして、ワークフロー実行部71は、ノードの処理完了の通知を受信すると(S105)、次のノードへ遷移して(S106)、次の処理を実行する。 FIG. 14 is a flowchart showing the flow of workflow execution processing. As shown in FIG. 14, the workflow execution unit 71 starts from the Start node (S101), and executes the loop processing from S102 to S107 up to the END node. Specifically, the workflow execution unit 71 acquires the operation target and the operation content from the workflow management DB 53 (S103), and executes the process set in the operation component (S104). When the workflow execution unit 71 receives a notification of the completion of the processing of the node (S105), the workflow execution unit 71 transitions to the next node (S106) and executes the next processing.
(2.フィルタリング制御)
フィルタリング処理部80は、ワークフローの実行を起因とする監視イベントの出力を抑制するフィルタを生成する処理部である。フィルタリング処理部80は、イベントパターン読込部81、イベントパターン生成部82、突合処理部83、信頼度判定部84、一致判定部85、フィルタリング更新部86を、イベントパターン更新部87を有する。
(2. Filtering control)
The
ここでは、全体的な処理の流れを説明した後に、各処理の詳細を説明する。図15は、イベントパターンの更新処理の全体的な流れを示すフローチャートである。図15に示すように、フィルタリング処理部80は、イベントパターン管理DB57から該当するイベントパターンを読み込み(S201)、すでに作成済みである監視イベントのイベントパターンと今回新たに出力された監視イベントとを突合する突合処理を実行する(S202)。
Here, after describing the overall flow of processing, the details of each processing will be described. FIG. 15 is a flowchart showing the overall flow of event pattern update processing. As shown in FIG. 15, the
その後、フィルタリング処理部80は、該当するイベントパターンの信頼度が閾値以上である場合(S203:Yes)、イベントパターンの一致判定を実行する(S204)。そして、フィルタリング処理部80は、類似度が閾値以上である場合(S205:Yes)、フィルタリングを更新し(S206)、イベントパターンを更新する(S207)。なお、フィルタリング処理部80は、信頼度が閾値未満である場合(S203:No)、S204からS206を実行せずに、イベントパターンを更新する(S207)。また、フィルタリング処理部80は、類似度が閾値未満である場合(S205:No)、S206を実行せずに、イベントパターンを更新する(S207)。
Thereafter, when the reliability of the corresponding event pattern is greater than or equal to the threshold (S203: Yes), the
(2−1.イベントパターン読込)
イベントパターン読込部81は、イベントパターン管理DB57からイベントパターンの読み込みを実行する処理部である。具体的には、イベントパターン読込部81は、指定されたワークフローNoとインスタンスNoとノード位置から、インスタンス管理DB55および変数管理DB54を検索して、ノードの遷移ルートや設定された変数(対象サーバや制御対象のリソースなど)を取得する。
(2-1. Event pattern reading)
The event
その後、イベントパターン読込部81は、イベントパターン管理DB57を検索して、取得したインスタンス情報と一致する条件のイベントパターンを取得する。ここで、イベントパターン読込部81は、例えば初回起動時などイベントパターンが存在しない場合、信頼度は0とする。そして、イベントパターン読込部81は、イベントパターンの生成し指示をイベントパターン生成部82に出力する。
Thereafter, the event
一方、イベントパターン読込部81は、イベントパターンが存在する場合、信頼度をパターンデータ管理DB59から取得する。そして、イベントパターン読込部81は、取得した信頼度がユーザ指定の閾値を下回っている場合については一致判定をしないように制御する。
On the other hand, the event
(2−2.イベントパターンの初回生成)
イベントパターン生成部82は、イベントパターン読込部81が読み込む対象のイベントパターンがない場合の初回時に、イベントパターンを生成する処理部である。具体的には、イベントパターン生成部82は、ワークフローの開始から終了までに発生した監視イベントをグループ化するイベントグループの生成と、過去のワークフロー実行時に発生した監視イベントに基づくイベントグループの生成とを実行する。
(2-2. First generation of event pattern)
The event
まず、イベントパターン生成部82は、イベントグループの生成を実行する。例えば、イベントパターン生成部82は、ワークフローの開始から終了までに発生した監視イベントを、図16のようにノードごとに分割する。このとき、各ノードの開始時間はワークフローの経過時間で表現できる。図16は、イベントグループ化の分割を説明する図である。図16に示すように、イベントパターン生成部82は、ノード毎に、ワークフローの経過時間(開始時刻をTf=0)、各ノードの経過時間(開始時間をTnx=0、xはノード)で分割する。
First, the event
図3のワークフローを例に説明すると、イベントパターン生成部82は、ノード1の開始から終了、ノード2の開始から終了、ノード3の開始から終了、ノード4の開始から終了に分割する。そして、イベントパターン生成部82は、分割された各区間において、区間内で発生した監視イベントを時系列に並べる。なお、ワークフローとは関係ない監視イベントが検出された場合を考慮し、帳票管理システムとは関係のない別のXXサーバで発生した監視イベントを含めることとする。
3 will be described as an example. The event
各ノードで発生した監視イベントの収集結果を図17に示す。図17は、イベントグループの生成を説明する図である。図17に示すように、ワークフローの実行時に、ノード1では、Tn1=1.0のときにXXサーバでイベントログが発生し、ノード2では、Tn2=3.0のときにWFサーバでイベントログが発生し、Tn2=5.0のときに監視製品による監視イベントが検出されている。また、ノード3では、Tn3=1.0のときにDBサーバでイベントログが発生し、Tn3=2.0のときにAPサーバでイベントログが発生し、Tn3=10.0、55.5、115.0のときに監視製品による監視イベントが検出され、Tn3=20.0と80.0のときにXXサーバでイベントログが発生し、Tn3=60.0のときにWFサーバでイベントログが発生した。また、ノード4では、Tn4=3.0のときにWFサーバでイベントログが発生した。
FIG. 17 shows a collection result of monitoring events that have occurred in each node. FIG. 17 is a diagram for explaining generation of an event group. As shown in FIG. 17, when a workflow is executed, an event log is generated in the XX server at
次に、イベントパターンの生成について説明する。イベントパターン生成部82は、過去のワークフロー実行時に発生した監視イベントから、実行履歴の数だけイベントグループを生成する(図10参照)。それらイベントグループ群から統計的な発生パターンを求めることで、特定のワークフロー実行時に発生するイベントパターンを作成することができる。なお、イベントパターンはノードごとに作成し、全ノードのイベントパターンの集合がワークフローのイベントパターンとなる。
Next, event pattern generation will be described. The event
なお、図10のイベントパターンにおいて、ワークフローNoとノード位置の情報から、ワークフロー定義を格納したワークフロー管理DB53を参照することで、各ノードに設定された運用操作部品を参照できる。また、図12のパターンデータは、図17の時系列データを配列として格納したものである。また、信頼度の実態は、パターンデータの配列要素、言い換えると監視イベント単位ごとに保持する値である。
In the event pattern of FIG. 10, the operation component set in each node can be referred to by referring to the
続いて、イベントパターンの生成手順を説明する。第1に、イベントパターン生成部82は、指定されたワークフローNoの定義情報を解析し、実行するノードの一覧を取得する。図3の例では、イベントパターン生成部82は、ノード1(構成情報を取得)、ノード2(サービスを停止)、ノード3(Activity)、ノード4(サービスを起動)の4つを取得する。
Next, an event pattern generation procedure will be described. First, the event
第2に、イベントパターン生成部82は、取得したワークフローNoとノード番号からでワークフロー(運用製品)の実行ログを検索し、過去に該当ノードを実行した日時、操作対象、操作資源などを取得する。第3に、イベントパターン生成部82は、取得した実行ログのうち、操作対象や操作資源などの条件が合致する履歴の数だけ、以下の処理1−2を繰り返す。処理1:実行日時の開始から次ノード開始の期間で発生したすべての監視イベントを監視製品のログから検索する処理。処理2:イベントグループの生成処理。
Secondly, the event
最後に、イベントパターン生成部82は、複数のイベントグループから統計的なパターンを求め、ノードごとにイベントパターンを生成する。図18は、イベントグループ群を説明する図である。図18は、横軸を経過時間とし、時系列に発生イベントを示している。また、網掛け等は、イベント種別により区別される。
Finally, the event
図18の(a)は、ワークフローNo.100のノード2のイベントグループを説明する図である。ノード2の「サービスを停止」について、7回分のイベントグループが存在したとしても、呼び出し時のパラメータ(操作対象や操作資源)の違いから、帳票サービスを対象とした5回分のデータを用いる。図18の(a)は、過去にワークフローNo.100を数回実行したときに、インスタンスNo.10、20、30、40、50のそれぞれにおいて出力された監視イベントを表す。
(A) in FIG. It is a figure explaining the event group of 100 nodes2. Even if there are seven event groups for “stop service” of
ノード2の「サービスを停止」について、残りの2回分のデータを用いて作成したイベントパターンを図18の(b)に示す。図18の(b)は、過去にワークフローNo.100を数回実行したときに、インスタンスNo.35、45のそれぞれにおいて出力された監視イベントを表す。
FIG. 18B shows an event pattern created for the “stop service” of
図18に示すイベントパターンを生成した結果、点線枠(×印)で示したような特定のイベントグループにのみ存在する監視イベントは、運用操作部品の処理によって発生したものではないと判定することができる。つまり、ノイズであるとして、イベントパターンに含めない。このノイズについては、回数を重ねることによって全体に与える影響が小さくなる。 As a result of generating the event pattern shown in FIG. 18, it is possible to determine that a monitoring event that exists only in a specific event group as indicated by a dotted frame (×) is not generated by the operation component processing. it can. That is, it is not included in the event pattern as noise. About this noise, the influence which it has on the whole by repeating a frequency | count becomes small.
また、点線枠(矢印)で示したような、ノードの境界に位置する監視イベントについては、イベントパターンによって「サービスを停止」部品側のノードに含まれる場合と、次ノードに含まれる場合が考えられる。これは、運用製品と監視製品それぞれ別のログ情報を用いるために発生する。このような境界付近の監視イベントについては、マージン区間を設けることで、境界で分断されないように判定を行う。なお、図18では次ノードのみを示しているが、実際には前ノードとのマージンについても同様に考慮する。 In addition, monitoring events that are located at node boundaries, as indicated by dotted lines (arrows), may be included in the “stop service” component side node or the next node depending on the event pattern. It is done. This occurs because different log information is used for each of the operation product and the monitoring product. For such a monitoring event in the vicinity of the boundary, a margin section is provided so that determination is made so as not to be divided at the boundary. Although only the next node is shown in FIG. 18, the margin with the previous node is actually considered in the same manner.
そして、イベントパターン生成部82は、ノードごとに、呼び出し元ワークフローや対象サーバを考慮したイベントパターンを作成する。図19は、生成されたイベントパターンを説明する図である。図19は、図18に示したイベントグループに基づいて生成したイベントパターンである。図19に示すように、帳票サービスについては、インスタンスID=10、20、30、40、50で共通する2つの監視イベントがイベントパターンに登録され、Webサービスについては、インスタンスID=35、45で共通する6つの監視イベントがイベントパターンに登録される。つまり、これらのイベントパターンが、表示抑制対象の監視イベントとなる。
Then, the event
(2−3.突合処理)
図6に戻り、突合処理部83は、イベントパターン読込部81によってイベントパターンが読み込まれた場合に、ワークフロー管理DB53に記憶される情報と監視イベント管理DB56に記憶される情報を突き合せ、運用操作実行中に発生した監視イベント一覧を取得する処理部である。具体的には、突合処理部83は、運用操作を行った日時をスタートして、ワークフローと発生した監視イベントとの突合を行い、イベントグループを生成する。
(2-3. Matching process)
Returning to FIG. 6, when the event pattern is read by the event
図20は、突合処理の流れを示すフローチャートである。図20に示すように、突合処理部83は、開始時間を計算する(S301)。例えば、突合処理部83は、指定されたワークフローNoとインスタンスNoとノード位置を用いて、ワークフロー管理DB53を検索し、インスタンス情報に含まれる該当ノードの開始日時を取得する。その後、突合処理部83は、イベントパターン情報に含まれる「最初の監視イベントの発生日時マージン値」を取得し、そのマージンを含めた値を設定する。
FIG. 20 is a flowchart showing the flow of the matching process. As shown in FIG. 20, the matching
続いて、突合処理部83は、終了時間を計算する(S302)。例えば、突合処理部83は、指定されたワークフローNoとインスタンスNoとノード位置を用いて、ワークフロー管理DB53を検索し、インスタンス情報に含まれる該当ノードの終了日時を取得する。その後、突合処理部83は、イベントパターン情報に含まれる「最後の監視イベントの発生日時マージン値」を取得し、そのマージンを含めた値を設定する。
Subsequently, the matching
そして、突合処理部83は、監視イベント管理DB56に記憶される監視イベントを、日時指定で検索する(S303)。例えば、突合処理部83は、S301で取得した開始日時からS302で取得した終了日時との間に発生したすべての監視イベントを取得する。
Then, the matching
その後、突合処理部83は、監視イベントが存在する場合(S304:Yes)、イベントグループを生成し(S305)、監視イベントが存在しない場合(S304:No)、処理を終了する。例えば、突合処理部83は、取得された監視イベントの一覧から、監視イベントをノード開始時からの相対時間で時系列に並べた監視イベントの配列を作成する。なお、イベントグループの生成の詳細は、図16から図18と同様なので、詳細な説明を省略する。
Thereafter, when there is a monitoring event (S304: Yes), the
(2−4.信頼度の判定処理)
信頼度判定部84は、イベントパターン読込部81で読み込まれたイベントパターンの信頼度が閾値以上か否かを判定する処理部である。具体的には、信頼度判定部84は、該当するイベントパターンに設定されるデータNoを特定する。続いて、信頼度判定部84は、特定したデータNoに該当するパターンデータをパターンデータ管理DB59から検索する。そして、信頼度判定部84は、検索されたパターンデータに設定される信頼度が閾値以上か否かを判定する。
(2-4. Reliability determination processing)
The
つまり、読み込まれたイベントパターンが信頼度の高いイベントパターンである場合にのみ、当該監視イベントの抑制判定の可否を判定する。ここで、詳細については後述するが、信頼度は、「過去のワークフロー実行時に発生していた」ことを統計情報として信頼する度合いを示す情報である。つまり、信頼度は、実行回数ごとのイベントパターンに相関がある場合は高く、相関がない場合は低くなる。この値を考慮することで、1度しか発生していないイベントパターンを採用してしまうケースを防ぐことができる。ノイズの影響を受けることで、運用開始時は信頼性が低下するが、同じ環境で実行回数(母数)を増やしていくことで向上する。 That is, only when the read event pattern is a highly reliable event pattern, it is determined whether the monitoring event can be suppressed or not. Here, although details will be described later, the reliability is information indicating a degree of trust as “statistical information” that “occurred during execution of a past workflow”. That is, the reliability is high when the event pattern for each execution count is correlated, and is low when there is no correlation. By considering this value, it is possible to prevent a case where an event pattern that has occurred only once is adopted. Due to the influence of noise, reliability decreases at the start of operation, but it improves by increasing the number of executions (the number of parameters) in the same environment.
(2−5.一致処理)
一致判定部85は、イベントパターン読込部81によって新たに生成されたイベントグループと、イベントパターン読込部81によってイベントパターン管理DB57から読み込まれたイベントパターンとの一致判定を行い、類似度を計算する処理部である。具体的には、一致判定部85は、ワークフローの実行によって発生したイベントグループと、イベントパターン管理DB57に登録されるイベントパターンとを照合し、過去の運用操作によって発生したイベントを検出する。イベントグループはノードごとに分割されているので、一致判定部85は、各ノードの運用操作部品のイベントグループとそれぞれ一致判定をする。一致判定部85は、この判定の確からしさは類似度として計算する。過去のデータと一致しない場合、類似度は低くなる。
(2-5. Matching process)
The
つまり、一致判定部85は、今回のワークフローの実行時に生成されたイベントグループに含まれる各監視イベントが、過去のワークフローの実行時に検出された監視イベントと類似するか否かを判定する。そして、一致判定部85は、類似する場合は、今回のワークフローの実行時に検出された監視イベントの起因を、ワークフローの実行と判定する。すなわち、一致判定部85は、その監視イベントを表示抑制対象と判定することができる。
That is, the
図21は、一致処理の流れを示すフローチャートである。図21に示すように、一致判定部85は、一致フラグを初期化する(S401)。例えば、一致判定部85は、イベントパターンのイベントグループの比較結果を格納する領域を初期化する。
FIG. 21 is a flowchart showing the flow of the matching process. As shown in FIG. 21, the
続いて、一致判定部85は、イベントパターンのすべての監視イベントについてS402からS405のループ処理を実行する。具体的には、一致判定部85は、マージン区間内に同一の監視イベントが存在するか否かを判定する(S403)。そして、一致判定部85は、同一の監視イベントが存在する場合(S403:Yes)、一致フラグをONにし(S404)、同一の監視イベントが存在しない場合(S403:No)、次の監視イベントについて判定を実行する。
Subsequently, the
監視イベントには、運用操作時の環境の変化や監視製品の検出タイミングのズレによって一致と判断されないイベントが存在する。そのため、一致フラグが残存するイベントパターンについて、(1)イベントパターンの時間の長さを正規化する処理、(2)イベントの発生時刻をスライド移動する処理、(3)繰り返し検出されているイベントを1つに統合する処理、(4)ユーザ指定で無視すると定義されているイベントを対象外にする処理の各処理を実行する。なお、このループ処理はイベントパターン中で信頼度の高い監視イベントの順に実施する。 Among monitoring events, there are events that are not determined to be coincident due to a change in the environment during operation or a shift in the detection timing of the monitoring product. Therefore, for event patterns in which the match flag remains, (1) a process for normalizing the time length of the event pattern, (2) a process for sliding the event occurrence time, and (3) an event that is repeatedly detected. Each process of the process integrated into one, (4) the process which excludes the event defined to be ignored by the user designation is executed. This loop processing is performed in the order of monitoring events with high reliability in the event pattern.
そして、ループ処理が終了すると、一致判定部85は、類似度を計算する(S406)。具体的には、一致判定部85は、一致フラグがONの監視イベントを、該当のイベントパターンと一致するように補正する。そして、一致判定部85は、補正後のイベントグループとイベントパターンを比較し、類似度を計算する。
When the loop process ends, the
類似度とは、イベントグループが過去のイベントパターンと共通している度合いを示す値であり、監視イベントの発生源やタイミングに相関がある場合は高く、相関がない場合は低くなる。例えば、一致判定部85は、相関係数を用いた「Si=100×(f(Ai,Ap(i−1))+1)/2」によって、相関係数を算出する。
The similarity is a value indicating the degree to which an event group is in common with past event patterns, and is high when there is a correlation between the generation source and timing of the monitoring event, and low when there is no correlation. For example, the
ここで、Siはi番目のイベントグループとi−1番目のイベントパターンの類似度であり、fは相関関数であり、−1から1の範囲で値を返す。Aiはi番目のイベントグループであり、Apiはi番目のイベントパターンである。なお、i番目のイベントグループについては、実行回数ごとのずれを考慮して、所定の補正を行ったものを用いることができる。所定の補正の一例としては、ノード開始から終了までの時間の正規化(イベントパターンに合わせて縮尺)、監視イベントの発生時間スライド、複数発生している監視イベントの統合、その他ユーザ定義している判定不要イベントの除外などがある。 Here, Si is the similarity between the i-th event group and the i-1th event pattern, f is a correlation function, and returns a value in the range of -1 to 1. Ai is the i-th event group, and Api is the i-th event pattern. For the i-th event group, a group that has been subjected to a predetermined correction in consideration of a deviation for each execution count can be used. As an example of the predetermined correction, normalization of the time from node start to end (scaled to match the event pattern), monitoring event occurrence time slide, integration of a plurality of monitoring events occurring, and other user-defined For example, exclusion of judgment-unnecessary events.
(2−6.フィルタ更新処理)
図6に戻り、フィルタリング更新部86は、一致判定によって運用操作に伴って発生した監視イベントの表示抑制を実行するフィルタリングデータ(フィルタ)を作成または更新する処理部である。具体的には、フィルタリング更新部86は、信頼度判定部84によって信頼度が閾値以上と判定され、一致判定部85によって類似度が閾値以上と判定された監視イベントのイベントパターンの表示を抑制するためのフィルタルールを生成したり、既存のフィルタに当該フィルタルールを追加したりする。
(2-6. Filter update processing)
Returning to FIG. 6, the
図22は、一致判定の結果を説明する図である。図22は、ワークフローを実行したタイミングで表示された12個の監視イベントをしている。このうち、XXサーバのイベントログで検出された3個の監視イベント以外は、過去のワークグループを実行したときに出力されたイベントパターンと一致すると判定されたとする。この場合、フィルタリング更新部86は、XXサーバで検出された3個の監視イベントのみを表示し、それ以外の表示を抑制するフィルタを生成する。つまり、Tn1=1.0、Tn3=20.0、Tn3=80.0の監視イベントのみが表示出力される。
FIG. 22 is a diagram for explaining the result of the coincidence determination. FIG. 22 shows 12 monitoring events displayed at the timing when the workflow is executed. Among these, it is assumed that it is determined that the event patterns other than the three monitoring events detected in the event log of the XX server match the event pattern output when the past work group is executed. In this case, the
すなわち、信頼度と類似度が閾値以上の場合のみ、一致したと判断される。これは、信頼できる過去データから作成したイベントパターンと、発生したイベントグループに高い相関が見られることを意味する。この場合は、フィルタリング更新部86は、過去に行った対処に従い、監視イベントを抑制するなど自動的に対処する。なお、この閾値は利用者が設定することも可能である。
That is, only when the reliability and the similarity are equal to or greater than the threshold value, it is determined that they match. This means that there is a high correlation between the event pattern created from reliable past data and the event group that occurred. In this case, the
なお、抑制するのはイベントパターンにあり、かつ過去に対処不要としている監視イベントのみである。図22の場合では、「サービスの停止」部品によって発生した監視イベントはイベントパターンと一致しているため、正しく抑制される。また、他の運用操作部品についても監視設定から発生する監視イベントであり、イベントパターンに含まれるため、同じく抑制される。図22では、このように抑制する監視イベントを、×マークで記載している。一方で、「構成要素を取得」部品やメンテナンス作業については、それぞれの運用操作部品のイベントパターンに含まれない、言い換えるとこのワークフローの操作以外の要因で発生している。このようなノイズについては意図したとおり抑制しない。 It should be noted that only monitoring events that are in the event pattern and that do not require handling in the past are suppressed. In the case of FIG. 22, since the monitoring event generated by the “service stop” component matches the event pattern, it is correctly suppressed. In addition, other operation components are also monitored events generated from the monitoring settings, and are included in the event pattern, and thus are also suppressed. In FIG. 22, monitoring events to be suppressed in this way are indicated by “x” marks. On the other hand, “acquisition of component” parts and maintenance work are not included in the event patterns of the respective operation parts, in other words, are caused by factors other than this workflow operation. Such noise is not suppressed as intended.
そして、フィルタリング更新部86は、生成したフィルタを監視装置10に送信し、監視装置10は、フィルタによってフィルタリングを実行する。図23は、フィルタリングを説明する図である。図23に示すように、運用管理装置50は、サーバ群にワークフローを実行する。この実行に伴って、監視装置10は、Tn1=1.0、Tn2=3.0、Tn2=5.0、Tn3=1.0、Tn3=2.0、Tn3=10.0、Tn3=20.0などの監視イベントを検出する。
And the
これと並行して、運用管理装置50は、実行結果および検出結果を用いて、イベントパターンとの一致判定をもとに、フィルタリングの生成および更新を実行して、監視装置10に送信する。そして、監視装置10は、更新されたフィルタリングを適用して、検出したTn1=1.0、Tn2=3.0、Tn2=5.0、Tn3=1.0、Tn3=2.0、Tn3=10.0、Tn3=20.0などの監視イベントのうち、Tn1=1.0とTn3=20.0の監視イベントのみを対処要と表示する。もしくは、監視装置10は、Tn1=1.0とTn3=20.0以外の監視イベントを対処不要と表示する。
In parallel with this, the
(2−7.イベントパターンの更新処理)
イベントパターン更新部87は、今回のワークフローの対象としたイベントグループの情報を用いて、イベントパターンを更新する処理部である。イベントパターンは、必ずしもワークフローの開始に伴って再作成しなくてもよい。あらかじめ作成済みのイベントパターンは、イベントパターン管理DB57に登録してあるので、これを更新することで計算量や計算時間を低減することができる。このような差分アップデートの場合、作成済みのイベントパターンと発生したイベントグループの比較または統合によって、イベントパターンを更新する。なお、 通常は登録済みイベントパターンを用いて計算し、これとは別に定期的にイベントパターンを再作成することで、「過去に発生していた監視イベント」を最新に保つことができる。
(2-7. Event pattern update processing)
The event pattern update unit 87 is a processing unit that updates an event pattern using information on an event group that is a target of the current workflow. The event pattern does not necessarily have to be recreated with the start of the workflow. Since the event pattern that has been created in advance is registered in the event
図24は、イベントパターンの更新処理の流れを示すフローチャートである。イベントパターン更新部87は、イベントグループを読み込み(S501)、イベントパターンを読み込む(S502)。例えば、イベントパターン更新部87は、イベントパターン管理DB57から更新元のイベントパターンを読み込み、今回のメンテナンスで検出されたイベントグループを各処理部から取得する。
FIG. 24 is a flowchart showing the flow of event pattern update processing. The event pattern update unit 87 reads an event group (S501) and reads an event pattern (S502). For example, the event pattern update unit 87 reads the update source event pattern from the event
続いて、イベントパターン更新部87は、取得したイベントパターンの各監視イベントについて、S503からS507のループ処理を実行する。具体的には、イベントパターン更新部87は、イベントパターンとイベントグループとの間で、一致する監視イベントがある場合(S504:Yes)、発生時刻およびマージンを更新し(S505)、信頼度を更新する(S506)。なお、イベントパターン更新部87は、イベントパターンとイベントグループとの間で、一致する監視イベントがない場合(S504:No)、S505を実行することなく、S506を実行する。 Subsequently, the event pattern update unit 87 executes a loop process from S503 to S507 for each monitoring event of the acquired event pattern. Specifically, when there is a matching monitoring event between the event pattern and the event group (S504: Yes), the event pattern update unit 87 updates the occurrence time and the margin (S505), and updates the reliability. (S506). If there is no matching monitoring event between the event pattern and the event group (S504: No), the event pattern update unit 87 executes S506 without executing S505.
例えば、発生時刻は、最新の時刻に更新する。マージンの更新値は、実行回数が重みとなり、過去への影響を考慮して、「(実行回数×イベントパターンの値+イベントグループの値)/(実行回数+1)」で更新する。また、イベントパターン更新部87は、すべてのイベントグループの監視イベントについて、イベントパターンの信頼度を更新する。発生時刻、マージンの場合と同じく、更新値は実行回数が重みとなるが、基本的に一致すれば増え、一致しなければ下がる。 For example, the occurrence time is updated to the latest time. The update value of the margin is updated by “(execution count × event pattern value + event group value) / (execution count + 1)” in consideration of the influence on the past, with the execution count as a weight. Further, the event pattern update unit 87 updates the reliability of the event pattern for the monitoring events of all event groups. As in the case of occurrence time and margin, the update value is weighted by the number of executions, but basically increases if they match, and decreases if they do not match.
ここで、信頼度について説明する。イベントパターンは漸化処理で求める。つまり、実行回数がi番目のイベントパターンは、i−1番目のイベントパターンと、i番目に発生したイベントグループから求める。また、イベントパターン全体の信頼度は、イベントパターン中の各監視イベントがもつ信頼度の平均となる。監視イベント単位の信頼度は、出現回数/試行回数で計算できる。例えば、n回中m回のときは、「n/m×100」であり、毎回発生する場合は100となる。ただし、実行回数ごとに信頼度に与える影響が異なることを考慮し、「過去に発生したデータの影響を小さくするように、時間依存で減少させる補正」や「ユーザ対処があったときの影響を大きくするように、対処結果依存で増加または減少させる補正」を実行することもできる。 Here, the reliability will be described. The event pattern is obtained by a recurrence process. That is, the i-th event pattern with the number of executions is obtained from the i-1th event pattern and the i-th event group. Further, the reliability of the entire event pattern is the average of the reliability of each monitoring event in the event pattern. The reliability of each monitoring event can be calculated by the number of appearances / number of trials. For example, when m times out of n times, it is “n / m × 100”, and when it occurs every time, it becomes 100. However, considering that the impact on the reliability varies depending on the number of executions, `` correction to reduce in a time-dependent manner so as to reduce the impact of data that occurred in the past '' and `` the impact when there is a user action '' It is also possible to execute “correction that increases or decreases depending on the countermeasure result so as to increase”.
(2−8.イベントパターンの生成処理)
イベントパターン更新部87は、ワークフローの実行に依存することなく、予め指定した間隔や管理者が指定した間隔で、イベントパターン管理DB57に記憶されるイベントパターンの再作成を実行する処理部である。
(2-8. Event pattern generation processing)
The event pattern update unit 87 is a processing unit that executes recreation of the event pattern stored in the event
例えば、イベントパターン更新部87は、ワークフローの実行と並行して処理を行うこともできる。新規作成と異なる点は、ノード遷移をするたびに通知され、その通知をトリガーとしてノード単位でイベントパターン作成時することである。信頼度の計算方法についての異なる点は、イベントグループ作成時にはそのタイミングまでに発生した監視イベントのみ存在するが、対処不要や対処済みなどのユーザ対処の有無を取得できない点である。 For example, the event pattern update unit 87 can perform processing in parallel with the execution of the workflow. A difference from the new creation is that notification is made every time a node transitions, and an event pattern is created for each node using the notification as a trigger. The difference in the reliability calculation method is that, when an event group is created, only monitoring events that have occurred up to that timing exist, but it is not possible to acquire the presence or absence of user actions such as no action required or already handled.
図25は、イベントパターンの再生成処理の流れを示すフローチャートである。図25に示すように、イベントパターン更新部87は、管理者等によって指定された回数だけ、S601からS606のループ処理を実行する。具体的には、イベントパターン更新部87は、iを変数、初期値を指定値、繰り返し回数を試行回数として、ループ処理を実行する。例えば、イベントパターン更新部87は、i番目のイベントグループを生成し(S602)、i番目とイベントグループとイベントパターンの一致判定を実行し(S603)、補正付き信頼度を計算した後(S604)、イベントパターンを更新する(S605)。 FIG. 25 is a flowchart showing a flow of event pattern regeneration processing. As shown in FIG. 25, the event pattern update unit 87 executes the loop processing from S601 to S606 as many times as specified by the administrator or the like. Specifically, the event pattern update unit 87 executes loop processing with i as a variable, an initial value as a specified value, and the number of repetitions as the number of trials. For example, the event pattern update unit 87 generates the i-th event group (S602), executes a match determination between the i-th event group and the event pattern (S603), and calculates the reliability with correction (S604). The event pattern is updated (S605).
より詳細には、イベントパターンの再作成では、試行回数だけ「イベントグループの作成」と「一致判定」、「イベントパターン更新」を繰り返し行う。上述したイベントパターンの初期生成と異なり、運用管理製品と監視製品のデータ保持期間の関係上、ワークフロー管理DB53のインスタンス情報にあるが監視イベントに存在しない、または、その逆が考えられるので、試行回数の開始タイミングを、何ヶ月前からまたは何回目から指定する。
More specifically, in the event pattern re-creation, “event group creation”, “match determination”, and “event pattern update” are repeated for the number of trials. Unlike the initial generation of the event pattern described above, the number of trials can be considered because it exists in the instance information of the
また、信頼度に過去情報に関する補正を付けることができる。したがって、補正付き信頼度Ri´は、補正無し信頼度Riを計算するときに、所定の係数を乗算することで求めることができる。例えば、時間の係数であり、現在からの過去のデータであるほど減衰する曲線となる「Kt(i)」、ユーザ対処による教示の係数であり、ユーザが対処不要とした回のイベントグループの影響を強く反映するように設定する「Ku(i)」などの係数を用いる。 In addition, corrections regarding past information can be added to the reliability. Therefore, the corrected reliability Ri ′ can be obtained by multiplying a predetermined coefficient when calculating the uncorrected reliability Ri. For example, “Kt (i)”, which is a coefficient of time and becomes a curve that attenuates as the past data from the present, is a coefficient of teaching by the user's handling, and the influence of the event group that the user does not need to deal with A coefficient such as “Ku (i)” that is set so as to reflect strongly is used.
[効果]
運用管理装置50は、メンテナンスなどの運用操作によって発生する監視イベントをパターン化して、イベントパターンとして記録できる。運用管理装置50は、上記イベントパターンの信頼度および、イベントパターンとの相関を示す類似度によって運用管理特有の情報の不確かさを表現することができる。運用管理装置50は、上記イベントパターンに基づいて、事前定義なしに指定のワークフローによって発生する監視イベントを抑制するフィルタリングルールを生成することができる。
[effect]
The
運用管理装置50は、監視製品や運用製品のログからフィルタリングルールを自動生成するため、定義による管理が不要であり大規模環境にも適応ができる。また、監視アプリケーションのエージェントを必要としないため、監視アプリケーションのエージェントを業務サーバにインストールできない環境でも適応できる。運用管理装置50は、ワークフローの動作安定度を「信頼度」として定量的に示すことができる。利用者はこの数値が低ければ、環境もしくはワークフローに問題があると認識することができる。
Since the
運用管理装置50は、ワークフローによって発生する監視イベントのみを抑制することができる。自明かつ大量の監視イベントの確認が不要となり、手動操作や障害によって発生したイベントのみを確認することができる。オペレータの負担は低減され、監視イベントの見逃しや対応への遅れが発生する可能性を低減できる。
The
[比較]
一般的に、ワークフローで運用操作を行った場合、発生する監視イベントは、対象サーバから操作後すぐに発生するものだけでなく、関連するサーバやある程度時間が経ってから発生するものがある。部品の実行によって直接的に発生する監視イベントについては、操作と現象が明らかであることから、オペレータの負担も少なく、監視対象外と判定することができるが、部品の実行によって間接的に発生する監視イベントについては、オペレータで判断することが難しい。運用管理装置50では、イベントグループとして判定することで、監視イベントを統合的に判断するが、それでもまだ、ワークフローを実行するごとに異なるイベントグループが発生する可能性もある。
[Comparison]
In general, when an operation operation is performed in a workflow, a monitoring event that occurs is not only generated immediately after an operation from a target server, but also occurs in relation to a related server or a certain amount of time. For monitoring events that occur directly due to the execution of a component, the operations and phenomena are obvious, so the operator's burden is low and it can be determined that the monitoring is not performed, but it occurs indirectly due to the execution of the component. It is difficult for the operator to determine the monitoring event. Although the
つまり、他のサーバから発生する監視イベントの有無、監視製品のリトライやインターバルの設定による監視イベントの発生タイミングのズレ、対象サーバや関連サーバ上アプリの状態による、発生する監視イベントの有無などのノイズがあるので、同じ対象サーバに、同じ論理構成で、同じワークフローを実行した場合であっても、必ずしも同じイベントパターンなるとは限らない。その結果、実行履歴から正しくイベントパターンを作成することができず、過去のワークフロー実行期間に発生していたかどうかの判定が難しいこともある。つまり、監視イベントを正しく抑制できないこともある。 In other words, noise such as presence or absence of monitoring events that occur from other servers, deviations in the timing of monitoring events due to retry or interval settings of monitored products, presence or absence of monitoring events that occur due to the status of target servers and related server applications Therefore, even if the same workflow is executed on the same target server with the same logical configuration, the same event pattern is not always obtained. As a result, the event pattern cannot be correctly created from the execution history, and it may be difficult to determine whether the event pattern has occurred in the past workflow execution period. In other words, monitoring events may not be correctly suppressed.
ところが、運用管理装置50は、実行履歴におけるイベントグループ間の相関を「信頼度」として、イベントグループとイベントパターン間の相関を「類似度」として示すことで、ノイズの除去を行っている。また、監視製品による監視イベントの検出タイミングの変化など、同じ運用の範囲で発生しうるイベントグループの変動に対しては許容するように信頼度を計算することで対応している。したがって、運用管理装置50は、上記ノイズを正確に特定して、イベントパターンの対象外とすることができるので、監視イベントを正しく抑制できる。
However, the
さらに、運用管理装置50は、「信頼度」が閾値以上でなければフィルタリングによる抑制を行わないので、過剰な抑制を軽減できる。また、運用管理装置50は、イベントグループ間の相関を評価するにあたって、ワークフローで発生する監視イベントのイベントパターンの変化が早く収束するように、実行履歴のうち古いイベントグループほど影響が小さくなるように導出することもできる。
Furthermore, since the
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に異なる実施例を説明する。 Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, different embodiments will be described below.
[判定材料]
上記実施例では、信頼度を用いる例を説明したが、これに限定されるものではなく、例えば過去の実行回数などを用いることもでき、信頼度等の情報を用いずに、イベントパターンだけで判定することもできる。
[Determination material]
In the above embodiment, the example using the reliability has been described. However, the present invention is not limited to this. For example, the number of executions in the past can be used, and only the event pattern can be used without using information such as the reliability. It can also be determined.
[システム]
上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。なお、監視装置10と運用管理装置50は1つの筐体で実現することもできる。
[system]
The processing procedure, control procedure, specific name, information including various data and parameters shown in the document and drawings can be arbitrarily changed unless otherwise specified. Note that the
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られない。つまり、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of each device is not limited to that shown in the figure. That is, all or a part of them can be configured to be functionally or physically distributed / integrated in arbitrary units according to various loads or usage conditions. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
[ハードウェア構成]
運用管理装置50と監視装置10は、同様のハードウェア構成を有するので、ここでは、情報処理装置100として説明する。図26は、ハードウェア構成例を示す図である。図26に示すように、情報処理装置100は、通信インタフェース100a、HDD(Hard Disk Drive)100b、メモリ100c、プロセッサ100dを有する。
[Hardware configuration]
Since the
通信インタフェース100aは、他の装置の通信を制御するネットワークインタフェースカードなどである。HDD100bは、プログラムやデータなどを記憶する記憶装置の一例である。
The
メモリ100cの一例としては、SDRAM(Synchronous Dynamic Random Access Memory)等のRAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ等が挙げられる。プロセッサ100dの一例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)、PLD(Programmable Logic Device)等が挙げられる。
Examples of the
また、情報処理装置100は、プログラムを読み出して実行することでフィルタリング方法を実行する情報処理装置として動作する。つまり、情報処理装置100は、ワークフロー実行部71とフィルタリング処理部80と同様の機能を実行するプログラムを実行する。この結果、情報処理装置100は、ワークフロー実行部71とフィルタリング処理部80と同様の機能を実行するプロセスを実行することができる。なお、この他の実施例でいうプログラムは、情報処理装置100によって実行されることに限定されるものではない。例えば、他のコンピュータまたはサーバがプログラムを実行する場合や、これらが協働してプログラムを実行するような場合にも、本発明を同様に適用することができる。
The
このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO(Magneto−Optical disk)、DVD(Digital Versatile Disc)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することができる。 This program can be distributed via a network such as the Internet. The program is recorded on a computer-readable recording medium such as a hard disk, flexible disk (FD), CD-ROM, MO (Magneto-Optical disk), DVD (Digital Versatile Disc), and the like. It can be executed by being read.
50 運用管理装置
51 通信部
52 記憶部
53 ワークフロー管理DB
54 変数管理DB
55 インスタンス管理DB
56 監視イベント管理DB
57 イベントパターン管理DB
58 遷移ルート管理DB
59 パターンデータ管理DB
60 フィルタリング管理DB
71 ワークフロー実行部
80 フィルタリング処理部
81 イベントパターン読込部
82 イベントパターン生成部
83 突合処理部
84 信頼度判定部
85 一致判定部
86 フィルタリング更新部
87 イベントパターン更新部
50
54 Variable management DB
55 Instance management DB
56 Monitoring event management DB
57 Event pattern management DB
58 Transition route management DB
59 Pattern data management DB
60 Filtering management DB
DESCRIPTION OF SYMBOLS 71
Claims (6)
前記サーバの運用に関する処理の識別情報と、該サーバの監視に関するイベントのうち該サーバの運用に関する処理の実行中に発生したイベントと、を取得し、
サーバの運用に関する処理に起因して発生したイベントを該処理の識別情報に対応付けて記憶する記憶部を参照して、取得した前記処理の識別情報に対応付けられたイベントを特定し、
取得した前記イベントのうち、特定した前記イベントに関する情報の通知を抑制する、
処理をコンピュータに実行させることを特徴とする監視プログラム。 When an event related to server monitoring is acquired, in a monitoring program for notifying the terminal of information related to the acquired event,
Obtaining the identification information of the process related to the operation of the server and the event that occurred during the execution of the process related to the operation of the server among the events related to the monitoring of the server;
With reference to a storage unit that stores an event generated due to a process related to server operation in association with the identification information of the process, the event associated with the acquired identification information of the process is identified,
Among the acquired events, suppress notification of information related to the specified event,
A monitoring program for causing a computer to execute processing.
収集された前記複数のイベントの種別および発生時刻にしたがって、前記運用処理に起因して発生するイベントの出力パターンを生成して前記記憶部に格納する処理を前記コンピュータにさらに実行させ、
前記特定する処理は、取得した前記運用処理の識別情報に対応付けられたイベントのうち、前記出力パターンに含まれるイベントを特定することを特徴とする請求項1に記載の監視プログラム。 Collect a plurality of events that were output when operation processing that is processing related to the operation of the server was executed in the past,
According to the collected event types and occurrence times, the computer further executes a process of generating an output pattern of an event generated due to the operation process and storing the output pattern in the storage unit,
The monitoring program according to claim 1, wherein the specifying process specifies an event included in the output pattern among events associated with the acquired identification information of the operation process.
前記特定する処理は、取得した前記運用処理の識別情報に対応付けられたイベントのうち、前記出力パターンに含まれる閾値以上の信頼度を有するイベントと一致するイベントを特定することを特徴とする請求項2に記載の監視プログラム。 The storing process calculates, for each event included in the output pattern, a reliability based on the number of times the event has been output when the operation process has been executed in the past, and calculates the calculated reliability. Store in the storage unit in association with each event of the output pattern,
The identifying process identifies an event that matches an event having a reliability equal to or higher than a threshold included in the output pattern, among events associated with the acquired identification information of the operation process. Item 3. The monitoring program according to item 2.
生成した前記出力パターンが前記記憶部に記憶されていない場合、前記運用処理を起因とするイベントの新たな出力パターンとして登録する処理を前記コンピュータにさらに実行させることを特徴とする請求項2または3に記載の監視プログラム。 Each time the operation process is newly executed, a plurality of events that occurred during the execution of the operation process are acquired, and the event occurs due to the operation process according to the types and occurrence times of the acquired events. Generate an event output pattern,
4. If the generated output pattern is not stored in the storage unit, the computer is further caused to execute a process of registering as a new output pattern of an event caused by the operation process. The monitoring program described in.
前記サーバの運用に関する処理の識別情報と、該サーバの監視に関するイベントのうち該サーバの運用に関する処理の実行中に発生したイベントと、を取得し、
サーバの運用に関する処理に起因して発生したイベントを該処理の識別情報に対応付けて記憶する記憶部を参照して、取得した前記処理の識別情報に対応付けられたイベントを特定し、
取得した前記イベントのうち、特定した前記イベントに関する情報の通知を抑制する、
処理をコンピュータが実行することを特徴とする監視方法。 In the monitoring method of notifying the terminal of information related to the acquired event when acquiring an event related to server monitoring,
Obtaining the identification information of the process related to the operation of the server and the event that occurred during the execution of the process related to the operation of the server among the events related to the monitoring of the server;
With reference to a storage unit that stores an event generated due to a process related to server operation in association with the identification information of the process, the event associated with the acquired identification information of the process is identified,
Among the acquired events, suppress notification of information related to the specified event,
A monitoring method, wherein a computer executes a process.
前記サーバの運用に関する処理の識別情報と、該サーバの監視に関するイベントのうち該サーバの運用に関する処理の実行中に発生したイベントと、を取得する取得部と、
サーバの運用に関する処理に起因して発生したイベントを該処理の識別情報に対応付けて記憶する記憶部を参照して、取得した前記処理の識別情報に対応付けられたイベントを特定する特定部と、
取得した前記イベントのうち、特定した前記イベントに関する情報の通知を抑制する抑制部と
を有することを特徴とする監視装置。 When an event related to server monitoring is acquired, a monitoring device that notifies the terminal of information related to the acquired event,
An acquisition unit that acquires identification information of processing related to the operation of the server and an event that occurs during execution of processing related to the operation of the server among events related to monitoring of the server;
A specifying unit that identifies an event associated with the acquired identification information of the process with reference to a storage unit that stores the event generated due to the process related to server operation in association with the identification information of the process; ,
A monitoring apparatus comprising: a suppressing unit that suppresses notification of information related to the identified event among the acquired events.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017058207A JP6878984B2 (en) | 2017-03-23 | 2017-03-23 | Monitoring program, monitoring method and monitoring device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017058207A JP6878984B2 (en) | 2017-03-23 | 2017-03-23 | Monitoring program, monitoring method and monitoring device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018160186A true JP2018160186A (en) | 2018-10-11 |
JP6878984B2 JP6878984B2 (en) | 2021-06-02 |
Family
ID=63796736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017058207A Active JP6878984B2 (en) | 2017-03-23 | 2017-03-23 | Monitoring program, monitoring method and monitoring device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6878984B2 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110069378A (en) * | 2019-03-16 | 2019-07-30 | 平安城市建设科技(深圳)有限公司 | Data monitoring method, device, terminal and computer readable storage medium |
JP2020024646A (en) * | 2018-08-09 | 2020-02-13 | 日本電信電話株式会社 | Resource reservation management device, resource reservation management method, and resource reservation management program |
JPWO2021152698A1 (en) * | 2020-01-28 | 2021-08-05 | ||
JP2021179830A (en) * | 2020-05-14 | 2021-11-18 | 株式会社日立製作所 | Monitoring system, monitoring apparatus, and monitoring method |
JP7436002B2 (en) | 2019-12-12 | 2024-02-21 | Necソリューションイノベータ株式会社 | Detection device, detection method, program, and recording medium |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001125808A (en) * | 1999-10-27 | 2001-05-11 | Nec Software Chubu Ltd | Failure identification system |
JP2006318071A (en) * | 2005-05-11 | 2006-11-24 | Fujitsu Ltd | Message abnormality automatic discrimination device and method and program |
WO2010131746A1 (en) * | 2009-05-15 | 2010-11-18 | 日本電気株式会社 | Fault cause estimation system, fault cause estimation method, and fault cause estimation program |
JP2012123694A (en) * | 2010-12-10 | 2012-06-28 | Fujitsu Ltd | Management device, management method and program for management |
JP2012141802A (en) * | 2010-12-28 | 2012-07-26 | Fujitsu Ltd | Program, information processing device and information processing method |
US20120260251A1 (en) * | 2011-04-05 | 2012-10-11 | International Business Machines Corporation | Prevention of event flooding |
JP2014010666A (en) * | 2012-06-29 | 2014-01-20 | Fujitsu Ltd | Information output device, method, and program |
JP2014010756A (en) * | 2012-07-02 | 2014-01-20 | Fujitsu Ltd | Monitoring program, method, and device |
-
2017
- 2017-03-23 JP JP2017058207A patent/JP6878984B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001125808A (en) * | 1999-10-27 | 2001-05-11 | Nec Software Chubu Ltd | Failure identification system |
JP2006318071A (en) * | 2005-05-11 | 2006-11-24 | Fujitsu Ltd | Message abnormality automatic discrimination device and method and program |
WO2010131746A1 (en) * | 2009-05-15 | 2010-11-18 | 日本電気株式会社 | Fault cause estimation system, fault cause estimation method, and fault cause estimation program |
JP2012123694A (en) * | 2010-12-10 | 2012-06-28 | Fujitsu Ltd | Management device, management method and program for management |
JP2012141802A (en) * | 2010-12-28 | 2012-07-26 | Fujitsu Ltd | Program, information processing device and information processing method |
US20120260251A1 (en) * | 2011-04-05 | 2012-10-11 | International Business Machines Corporation | Prevention of event flooding |
JP2014010666A (en) * | 2012-06-29 | 2014-01-20 | Fujitsu Ltd | Information output device, method, and program |
JP2014010756A (en) * | 2012-07-02 | 2014-01-20 | Fujitsu Ltd | Monitoring program, method, and device |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020024646A (en) * | 2018-08-09 | 2020-02-13 | 日本電信電話株式会社 | Resource reservation management device, resource reservation management method, and resource reservation management program |
JP7003874B2 (en) | 2018-08-09 | 2022-01-21 | 日本電信電話株式会社 | Resource reservation management device, resource reservation management method and resource reservation management program |
CN110069378A (en) * | 2019-03-16 | 2019-07-30 | 平安城市建设科技(深圳)有限公司 | Data monitoring method, device, terminal and computer readable storage medium |
JP7436002B2 (en) | 2019-12-12 | 2024-02-21 | Necソリューションイノベータ株式会社 | Detection device, detection method, program, and recording medium |
JPWO2021152698A1 (en) * | 2020-01-28 | 2021-08-05 | ||
WO2021152698A1 (en) * | 2020-01-28 | 2021-08-05 | 三菱電機株式会社 | Incident response efficiency system, incident response efficiency method, and incident response efficiency program |
JP7023433B2 (en) | 2020-01-28 | 2022-02-21 | 三菱電機株式会社 | Incident Response Efficiency System, Incident Response Efficiency Method and Incident Response Efficiency Program |
JP2021179830A (en) * | 2020-05-14 | 2021-11-18 | 株式会社日立製作所 | Monitoring system, monitoring apparatus, and monitoring method |
JP7012778B2 (en) | 2020-05-14 | 2022-01-28 | 株式会社日立製作所 | Monitoring system, monitoring device and monitoring method |
Also Published As
Publication number | Publication date |
---|---|
JP6878984B2 (en) | 2021-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108833184B (en) | Service fault positioning method and device, computer equipment and storage medium | |
JP2018160186A (en) | Monitoring program, monitoring method, and monitoring device | |
AU2016213726B2 (en) | Core network analytics system | |
CN105095056B (en) | A kind of method of data warehouse data monitoring | |
US20170185468A1 (en) | Creating A Correlation Rule Defining A Relationship Between Event Types | |
JP5684946B2 (en) | Method and system for supporting analysis of root cause of event | |
US8943154B1 (en) | Systems and methods for modeling relationships between users, network elements, and events | |
US20160378583A1 (en) | Management computer and method for evaluating performance threshold value | |
CN109614283B (en) | Monitoring system of distributed database cluster | |
JP4598065B2 (en) | Monitoring simulation apparatus, method and program thereof | |
US10331507B2 (en) | Systems and methods for real time computer fault evaluation | |
JP2008041041A (en) | Log notification condition definition support device, log monitoring system, program, and log notification condition definition support method | |
US9860109B2 (en) | Automatic alert generation | |
US10769641B2 (en) | Service request management in cloud computing systems | |
US20210366268A1 (en) | Automatic tuning of incident noise | |
US10360090B2 (en) | Determination method, determination apparatus, and recording medium | |
US9658908B2 (en) | Failure symptom report device and method for detecting failure symptom | |
CN107832446B (en) | Configuration item information searching method and computing device | |
CN113227978B (en) | Automatic anomaly detection in a computer processing pipeline | |
US9455940B2 (en) | Information processing apparatus and information processing method | |
JP2006331026A (en) | Message analysis system and message analysis program | |
CN112966056B (en) | Information processing method, device, equipment, system and readable storage medium | |
US20200391885A1 (en) | Methods and systems for identifying aircraft faults | |
CN114138615A (en) | Service alarm processing method, device, equipment and storage medium | |
CN114500249B (en) | Root cause positioning method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191212 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201125 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210330 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210412 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6878984 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |