JP2021047536A - 業務支援システム及び方法 - Google Patents

業務支援システム及び方法 Download PDF

Info

Publication number
JP2021047536A
JP2021047536A JP2019168723A JP2019168723A JP2021047536A JP 2021047536 A JP2021047536 A JP 2021047536A JP 2019168723 A JP2019168723 A JP 2019168723A JP 2019168723 A JP2019168723 A JP 2019168723A JP 2021047536 A JP2021047536 A JP 2021047536A
Authority
JP
Japan
Prior art keywords
event
candidate
event type
importance
certainty
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019168723A
Other languages
English (en)
Other versions
JP6840204B1 (ja
Inventor
鈴木 啓太
Keita Suzuki
啓太 鈴木
浦野 明裕
Akihiro Urano
明裕 浦野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019168723A priority Critical patent/JP6840204B1/ja
Priority to US16/812,731 priority patent/US11016828B2/en
Application granted granted Critical
Publication of JP6840204B1 publication Critical patent/JP6840204B1/ja
Publication of JP2021047536A publication Critical patent/JP2021047536A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces
    • G06F9/453Help systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Human Computer Interaction (AREA)
  • User Interface Of Digital Computer (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】未知の新着イベントに対するオペレータの対処業務の安全性を向上させる有用性の高い業務支援システム及び方法を提案する。【解決手段】未知のイベントに関して、当該イベントのイベント種別を1つ以上推定してイベント種別候補とし、推定したイベント種別候補のうち確信度が高い第1のイベント種別候補群を抽出し、第1のイベント種別候補群の各イベント種別候補における各確信度から第1の候補確信度を算出し、第1のイベント種別候補群に属する各イベント種別候補にそれぞれ対応するイベント種別が保持する第1の重要度及び又は当該第1の重要度以外の情報から第1の候補重要度を算出し、各イベントに対応する図形42を第1の候補確信度及び第1の候補重要度を用いて座標空間41上に表現する。【選択図】図19

Description

本発明は業務支援システム及び方法に関し、例えば、アプリケーションが出力するイベント情報に対する対処作業を支援するイベント対処業務支援に適用して好適なものである。
従来、特許文献1に示すようにアプリケーションが出力するイベントを重要度とともに画面に表示するシステムが存在した。このような技術を複数のアプリケーション製品が混在するシステムに応用したとき、アプリケーションごとに重要度の基準が異なるため、アプリケーションが出力した重要度とは別にシステムとしての重要度を定める必要が生じた。「イベント種別リスト」を設けることでそれを実現する次のようなシステムが考えられた。なお「イベント種別」とは、過去のイベントのカテゴリ分けを行い、そのカテゴリ分けされた種別のことを指す。カテゴリ分けの方法としては様々な方法が考えられ、その例を後述する。また、一つ以上のイベント種別を表形式にしたものをイベント種別リストと記載する。
このシステムにおいては、アプリケーションは、エラー等のイベントが発生した場合にそのイベントの内容を表すメッセージを含むイベント情報を出力する。
また、これらのアプリケーションのイベントを管理する管理装置(以下、これをイベント管理装置と呼ぶ)は、管理対象のアプリケーションで発生するイベントに対するイベントマスタ情報が登録された一覧(以下、これをイベント種別リストと呼ぶ)を保持する。ここで、「イベントマスタ情報」とは、イベント種別IDやイベント情報に含まれるメッセージのひな形を示すメッセージテンプレートや、そのイベント種別の重要度などを含む情報をいう。以下においては、イベント種別リストに登録されているイベントを既知イベントと呼ぶ。
そしてイベント管理装置は、新たに発生したイベントのイベント情報を受信した場合、その受信したイベント情報(以下、これを新着イベントと呼ぶ)に含まれるメッセージを読み取り、イベント種別リストに登録されている既知イベントの中からその新着イベントと同じ種別のイベント種別を推定し、そのイベントマスタ情報をオペレータに提示する。以下においては、この推定されたイベント種別のことを「イベント種別候補」と記載する。また、以下において、このイベント種別候補を推定することを「イベント種別候補を割り当てる」と表現する。推定の手法としては、例えばあるイベントに対して、「そのイベントのメッセージ」と「イベント種別のメッセージテンプレート」をそれぞれ形態素解析し、その類似度が高いイベント種別を「イベント種別候補」とする方式がある。ここで、このイベント種別候補のそれぞれが正解のイベント種別である可能性を示す指標を「確信度」と定義する。確信度は、例えば前述の類似度を用いる。
これによりオペレータは、このイベントマスタ情報を参考にしてその新着イベントに対処することができる。
特開2003−186704号公報
かかる装置においては、一つのイベントに対するイベント種別候補を一つのイベント種別に絞ることができるとは限らず、複数のイベント種別がイベント種別候補として存在し得る。その場合はそれらのイベント種別候補をオペレータに提示し、オペレータがイベント種別候補の中から正解のイベント種別を指定する。このオペレータの操作によりイベント管理装置は新着イベントをイベント種別リストに関連付けることができる。このとき関連付けられたイベント種別の重要度を当該イベントに対する「真の重要度」と呼ぶことにする。
新着イベントが複数存在し、よって複数の新着イベントに対する正解をオペレータに指定してもらわなければならない場合、オペレータが正解を指定する順番が重要であるが、その順番を決めることは難しい。それぞれの新着イベントの真の重要度が高い順に正解を決めていくべきであるが、真の重要度はまだ分からないためである。
イベント管理装置が複数のイベント種別候補のうち第1候補のイベント種別の重要度を「仮の重要度」とし、仮の重要度順にリスト表示することで、オペレータに表示順に指定してもらうシステムもあり得るが、イベント管理装置が推定した第1候補が不正解であった場合、重要なイベントの正解の指定が後回しになってしまうという問題がある。つまり本システムにおいては、オペレータに新着イベントのそれぞれの重要度を推測するため情報を提供できていないという課題があった。
さらにオペレータは、新着イベントのそれぞれの重要度を推測することができないため、新着イベントの処理すべき順番を把握できないという課題があった。
また重要度の尺度は複数あり得る。例えば、システム管理者においてはオペレータの操作ミスによる計画外のシステム停止などシステムの運用継続性が失われるイベントは重要なイベントであるが、セキュリティ管理者においてはクラッカーの侵入により顧客情報が流出してしまうことが重要なイベントである。このように一つのイベントに対して複数の重要度の尺度があるとき従来のシステムでは同時に把握することができないという課題があった。
本発明は以上の点を考慮してなされたもので、未知の新着イベントに対して推定した重要度と確信度をオペレータに提示し、未知の新着イベントに対するオペレータの対処業務の安全性を向上させ得る有用性の高い業務支援システム及び方法を提案しようとするものである。
かかる課題を解決するため本発明においては、管理対象に発生したイベントの対処業務を支援する業務支援システムにおいて、未知のイベントに関して、当該イベントのイベント種別を1つ以上推定しイベント種別候補とするイベント種別推定部と、前記推定されたイベント種別候補のうち確信度が高い第1のイベント種別候補群を抽出し、前記第1のイベント種別候補群の各前記イベント種別候補における各確信度から第1の候補確信度を算出し、前記第1のイベント種別候補群に属する各イベント種別候補にそれぞれ対応するイベント種別が保持する第1の重要度及び又は当該第1の重要度以外の情報から第1の候補重要度を算出する第1の算出部と、前記各イベントに対応する図形を前記第1の候補確信度と前記第1の候補重要度とを用いて座標空間上に表現する表現部を設けるようにした。
また本発明においては、管理対象に発生したイベントの対処業務を支援する業務支援システムにより実行される業務支援方法であって、未知のイベントに関して、当該イベントのイベント種別を1つ以上推定しイベント種別候補とする第1のステップと、前記推定されたイベント種別候補のうち確信度が高い第1のイベント種別候補群を抽出し、前記第1のイベント種別候補群の各前記イベント種別候補における各確信度から第1の候補確信度を算出し前記第1のイベント種別候補群に属する各イベント種別候補にそれぞれ対応するイベント種別が保持する第1の重要度及び又は当該第1の重要度以外の情報から第1の候補重要度を算出する第2のステップと、前記各イベントに対応する図形を前記第1の候補確信度と前記第1の候補重要度とを用いて表現する第3のステップとを設けるようにした。
本発明の作業支援システム及び方法によれば、オペレータは、イベント分析装置から提示された分析結果画面に基づいて、確信度と重要度を把握しつつ未知の新着イベントに対処することができる。従って、本作業支援システム及び方法によれば、未知の新着イベントに対するオペレータの対処業務の業務安全性を向上させることができる。
本発明によれば、有用性の高い業務支援システム及び方法を実現できる。
第1及び第2の実施の形態によるイベント対処業務支援システムの全体構成を示すブロック図である。 第1の実施の形態による新着イベント分析結果画面の画面構成例を示す図である。 第1の実施の形態によるイベント種別リストの構成例を示す図表である。 イベントテーブルの構成例を示す図表である。 割当て結果テーブルの構成例を示す図表である。 イベント対処業務支援処理の処理手順を示すフローチャートである。 描画処理の処理手順を示すフローチャートである。 座標決定処理の処理手順を示すフローチャートである。 第1の実施の形態によるノード描画処理の処理手順を示すフローチャートである。 (A)及び(B)は、座標決定処理の説明に供する図表である。 座標決定処理の説明に供する図表である。 レコメンド矢印描画処理の処理手順を示すフローチャートである。 (A)及び(B)は、レコメンド矢印描画処理の説明に供する図表である。 第2の実施の形態による新着イベント分析結果画面の画面構成例を示す図である。 第2の実施の形態によるイベント種別リストの構成例を示す図表である。 第2の実施の形態によるノード描画処理の処理手順を示すフローチャートである。 第1の実施の形態においてパイ状の表現方法を示す図である。 第2の実施の形態によるイベント対処業務支援システムの全体構成を示すブロック図である。 第1の実施の形態による新着イベント分析結果画面の他の画面構成例を示す図である。
以下図面について、本発明の一実施の形態を詳述する。
(1)第1の実施の形態
(1−1)本実施の形態によるイベント対処業務支援システムの構成
図1において、1は全体として本実施の形態によるイベント対処業務支援システムを示す。このイベント対処業務支援システム1は、管理対象のアプリケーションや機器にそれぞれ対応させて設けられた1又は複数のイベント生成サーバ2と、各イベント生成サーバ2と第1のネットワーク3を介して接続されたイベント管理サーバ4と、イベント管理サーバ4と第2のネットワーク5を介して接続された1又は複数のイベント分析サーバ6と、各イベント分析サーバ6と第3のネットワーク7を介して接続された1又は複数のオペレータ端末8と、イベント分析サーバ6と第4のネットワーク9を介して接続されたデータベースサーバ10とを備えて構成される。
イベント生成サーバ2は、対応するアプリケーションに何らかのイベントが発生した場合にそのイベントに応じたイベント情報を生成し、生成したイベント情報を第1のネットワーク3を介してイベント管理サーバ4に送信する機能を有するサーバ装置である。
またイベント管理サーバ4は、各イベント生成サーバ2から送信されてきたイベント情報を第2のネットワーク5を介してイベント分析サーバ6に送信する。
イベント分析サーバ6は、後述するイベント対処業務支援機能が搭載されたサーバ装置であり、CPU(Central Processing Unit)20、記憶装置21及び通信装置22などの情報処理資源を備えて構成される。
CPU20は、イベント分析サーバ6全体の動作制御を司るプロセッサである。また記憶装置21は、例えば、半導体メモリ及びハードディスク装置などから構成され、必要なプログラムやデータを記憶保持するために利用される。後述するイベント受信プログラム23、イベント種別候補割当てプログラム24及びノード描画プログラム25もこの記憶装置21に格納されて保持される。
通信装置22は、例えば、NIC(Network Interface Card)から構成され、第2〜第4のネットワーク5,7,9を介したイベント管理サーバ4、オペレータ端末8又はデータベースサーバ10との通信時におけるプロトコル制御を行う。
オペレータ端末8は、システム管理者及びセキュリティ管理者や、発生した新着イベントのイベント対処を実際に行う作業者などのオペレータがそれぞれ使用するコンピュータ装置であり、後述のようにイベント分析サーバ6から送信される画面データに基づいて、図2について後述する新着イベント分析結果画面40を表示する。
データベースサーバ10は、イベント分析サーバ6が新着イベント分析結果画面40を生成するために必要な各種情報を記憶保持するサーバ装置であり、ハードディスク装置、SSD(Solid State Drive)又はフラッシュメモリ等の大容量の不揮発性の記憶装置30を備えて構成される。データベースサーバ10の記憶装置30には、後述するイベント種別リスト31、イベントテーブル32、割当て結果テーブル33及び学習モデル34などが格納されて保持される。
(1−2)本実施の形態によるイベント対処作業支援機能
次に、本イベント対処作業支援システム1のイベント分析サーバ6に搭載されたイベント対処作業支援機能について説明する。このイベント対処作業支援機能は、イベント管理サーバ4から送信されてきた各イベント情報を分析し、分析結果に基づいて図2のような新着イベント分析結果画面40を生成して、生成した新着イベント分析結果画面40をオペレータ端末8に表示させる機能である。
イベント分析サーバ6は、イベント情報を受信するごとに、そのイベント情報に含まれるテキスト情報に基づくそのとき発生した新着イベントの内容を表すメッセージを、データベースサーバ10内のイベント種別リスト31に登録されている各既知イベントのイベントマスタ情報に含まれるテキスト情報に基づくメッセージテンプレートと順次比較し、これらの既知イベントごとに、そのイベントマスタ情報に含まれるテキスト情報に基づくメッセージテンプレートの内容がその新着イベントのイベント情報に含まれるテキスト情報に基づくメッセージの内容と類似する度合い(これを確信度とする)をそれぞれ算出する。
そしてイベント分析サーバ6は、算出した既知イベントごとの確信度に基づいて、当該確信度が予め設定された所定の閾値(以下、これを確信度閾値と呼ぶ)以上の既知イベントをイベント種別リスト31からすべて抽出し、抽出したこれら既知イベントをイベント種別候補としてその新着イベントに割り当てる。
いずれの既知イベントも確信度閾値未満であった場合は、その旨をオペレータ端末8に表示する。オペレータは既知イベントのいずれかを指定するか、新規イベントである旨を入力するとともにその重要度を入力する。イベント分析サーバ6は、新規イベントである旨を入力されたとき、当該イベントと対応させて図3について後述するイベント種別リスト31に以下の内容の行を1行追加する。追加する行の内容はイベント種別ID(31A)は新たに採番した番号とし、メッセージテンプレート31Bはイベントテーブル32の新着イベントの行のメッセージをコピーし、イベント種別リスト31の重要度31Cの当該行はオペレータから入力された重要度とする。
またイベント分析サーバ6は、このような新着イベントに対するイベント種別候補の割当て結果に基づいて、図2に示すような新着イベント分析結果画面40を生成する。そしてイベント分析サーバ6は、生成した新着イベント分析結果画面40の画面データを第3のネットワーク7を介して必要なオペレータ端末8に送信することにより、この新着イベント分析結果画面40をそのオペレータ端末8に表示させる。
ここで、新着イベント分析結果画面40は、図2に示すように、縦軸に重要度、横軸に確信度をとった平面座標41を備えて構成される。そして平面座標41には、それまでにイベント分析サーバ6が受信した各イベント情報にそれぞれ対応する新着イベントのうち、未だオペレータが対処していない各新着イベントとそれぞれ対応付けられたノード42が表示される。
これらノード42は、それぞれ対応する新着イベントに割り当てられたイベント種別候補のうち、確信度が最も大きいイベント種別候補の当該確信度をx座標、そのイベント種別候補に対して後述のように予めユーザが設定した重要度をy座標とするxy座標を中心座標とする所定大きさの円グラフから構成される。あるいは確信度が閾値以上の1つまたは複数のイベント種別候補の最大の確信度をx座標、最大の重要度をy座標とする実施の形態としてもよい。
そして、この円グラフでは、対応する新着イベントに対して割り当てられたイベント種別候補のうち、重要度が高い値(例えば「80」以上)に設定されたイベント種別候補と、重要度が中程度の値(例えば「30」〜「79」)に設定されたイベント種別候補と、重要度が低い値(例えば「29」以下)に設定されたイベント種別候補との存在割合が、かかる重要度が「高」、「中」及び「低」のそれぞれに対応付けられた領域の中心角の大きさで表される。
また平面座標41内には、当該平面座標41内に存在する各ノード42にそれぞれ対応する新着イベントについて、オペレータが対処すべき順番として推奨(レコメンド)する順番を表す矢印(以下、これをレコメンド矢印と呼ぶ)43が表示される。
レコメンド矢印43は、そのノード42に対応する新着イベントに割り当てられた各イベント種別候補にそれぞれ設定された重要度と、これらのイベント種別候補についてそれぞれ算出された確信度とに基づいて決定されたこれら新着イベントの優先度に基づいて、優先度が高い新着イベントのノード41から優先度が低い新着イベントのノード41へと各ノード41を順番に指し示すように必要なノード42間にそれぞれ表示される。
これによりオペレータは、この新着イベント分析結果画面40に表示されたレコメンド矢印42が指し示す順番で各ノード42にそれぞれ対応する新着イベントに対する対処を行うことで、より優先度が高い新着イベントから順番にこれら新着イベントの対処を行うことができる。
以上のような本実施の形態によるイベント対処業務支援機能を実現するための手段として、イベント分析サーバ6の記憶装置21(図1)には、図1に示すように、イベント受信プログラム23、イベント種別候補割当てプログラム24及びノード描画プログラム25が格納され、データベースサーバ10の記憶装置30には、イベント種別リスト31、イベントテーブル32、割当て結果テーブル33及び学習モデル34が格納されている。
イベント受信プログラム23は、イベント管理サーバ4から送信されてくる各新着イベントのイベント情報を受信し、受信したイベント情報をデータベースサーバ10のイベントテーブル32に順次登録する機能を有するプログラムである。
またイベント種別候補割当てプログラム24は、イベントテーブル32に登録された各新着イベントに対して、イベント種別リスト31に登録された既知イベントの中からメッセージ内容が類似する既知イベントを抽出してイベント種別候補としてそれぞれ割り当て、割当て結果を割当て結果テーブル33に登録する機能を有するプログラムである。本実施の形態においてはメッセージを形態素解析し、類似度を算出することで確信度を算出しているが、機械学習を用いて確信度を計算してもよい。その場合、イベント種別候補割当てプログラム24に、データベースサーバ10に格納された学習モデル34を用いて、新着イベントに割り当てるべきイベント種別候補を機械学習する機能を備える。
ノード描画プログラム25は、イベント種別候補割当てプログラム24により各新着イベントにそれぞれ割り当てられた各イベント種別候補の重要度等に基づいて、新着イベント分析結果画面40の画面データを生成し、生成した新着イベント分析結果画面40の画面データを第3のネットワーク7を介してオペレータ端末8に送信する機能を有するプログラムである。上述のように、この画面データに基づいて、オペレータ端末8にその新着イベント分析結果画面40が表示される。
一方、イベント種別リスト31は、従前に登録された既知イベントのイベントマスタ情報を管理及び保持するために利用されるリストであり、図3に示すように、少なくともイベント種別ID欄31A、メッセージテンプレート欄31B及び重要度欄31Cを備えるテーブル構成を有する。イベント種別リスト31では、1つの行が1つの既知イベントに対応する。
そしてイベント種別ID欄31Aには、対応する既知イベントに対して付与された、イベント種別リスト31内で固有のイベント種別IDが格納される。またメッセージテンプレート欄31Bには、対応する既知イベントが発生したときにイベント管理サーバ4(図1)から送信されてきたイベント情報に含まれていたメッセージのテキスト情報がメッセージテンプレートとして格納され、重要度欄31Cには、対応する既知イベントに対して予めオペレータにより設定されたその既知イベントの重要度が格納される。
従って、図3の例の場合、例えば、「1000」というイベント種別IDが付与された既知イベントについては、その既知イベントが発生したときにイベント分析サーバ6が受信したイベント情報に「アプリケーションサーバ(***)が異常停止しました」という内容のメッセージのテキスト情報が含まれており、その既知イベントの重要度がオペレータにより「90」に設定されていたことが示されている。
イベントテーブル32は、新着イベントのイベント情報を管理するために利用されるテーブルであり、図4に示すように、少なくともイベントID欄32A及びメッセージ欄32Bを備えて構成される。イベントテーブル32では、1つの行がオペレータによるイベント対処が未だ実行されていない1つの新着イベントに対応する。
そしてイベントID欄32Aには、新着イベントが到着するたびにイベントテーブル32内で一意なイベントIDが採番されたうえで格納され、メッセージ欄32Bには、そのイベント情報に含まれていた当該新着イベントの内容を表すメッセージのテキスト情報が格納される。
従って、図4の例の場合、「0001」というイベントIDが付与された新着イベントのイベント情報に含まれるテキスト情報に基づく当該新着イベントの内容を表すメッセージの内容が「アプリケーションサーバ(Nagoya)が異常停止しました。」であったことが示されている。
割当て結果テーブル33は、各新着イベントにそれぞれに割り当てられたイベント種別候補及びその確信度を管理するために利用されるテーブルであり、図5に示すように、イベントID欄33A、イベント種別ID欄33B及び確信度欄33Cを備えて構成される。割当て結果テーブル33では、1つの行がイベントテーブル32(図4)に登録されている1つの新着イベントに対して割り当てられたイベント種別候補の1つに対応する。
そしてイベントID欄33Aには、イベントテーブル32に登録されているイベント対処が未だ実行されていない新着イベントのイベントIDが格納され、イベント種別ID欄33Bには、その新着イベントに割り当てられたイベント種別候補(既知イベント)の1つのイベント種別IDが格納される。また確信度欄33Cには、そのイベントID欄33Aに対応する新着イベントがイベント種別ID欄33Bに対応するイベント種別に割り当てることができる可能性を算出した値である確信度が格納される。
従って、図5の例の場合、例えば、「0001」というイベントIDが付与された新着イベントに対しては、「1000」というイベント種別IDが付与された第1の既知イベントと、「1001」というイベント種別IDが付与された第2の既知イベントと、「1003」というイベント種別IDが付与された第3の既知イベントとの少なくとも3つの既知イベントがイベント種別候補として割り当てられており、第1〜第3の既知イベントの確信度がそれぞれ「90」、「40」及び「30」であることが示されている。
なお本イベント対処作業支援システム1の場合、イベントテーブル32や割当て結果テーブル33における各新着イベントのエントリは、その新着イベントに対するオペレータによる対処が完了するとそのイベントテーブル32及び割当て結果テーブル33から削除される。
オペレータは、新着イベント分析結果画面40にノード42が表示された新着イベントに対する対処が完了したときには、その旨をオペレータ端末8に操作入力する。そしてオペレータ端末8は、かかる操作入力が行われた場合、対処が完了したその新着イベントを特定したコマンドをイベント分析サーバ6に送信する。
そしてこのコマンドを受信したイベント分析サーバ6のノード描画プログラム24は、そのコマンドにおいて特定された新着イベントのエントリをイベントテーブル32や割当て結果テーブル33から消去する。この結果、その新着イベントに対応するノード42が新着イベント分析結果画面40に表示されなくなる。
(1−3)本実施の形態によるイベント対処業務支援機能に関連する各種処理
次に、かかるイベント対処業務支援機能に関連してイベント分析サーバ6において実行される各種処理の具体的な処理内容について説明する。なお、以下の説明では、各種処理の処理主体を「プログラム」として説明するが、実際上は、その「プログラム」に基づいてCPU20(図1)がその処理を実行することは言うまでもない。
(1−3−1)イベント対処業務支援処理の流れ
図6は、かかるイベント対処業務支援機能に関連してイベント分析サーバ6において実行される一連の処理(本発明においてはこれをイベント対処業務支援処理と呼ぶ)の流れを示す。このイベント対処業務支援処理は、イベント分析サーバ6の起動後、オペレータがオペレータ端末8を操作してイベント対処業務支援処理の実行をイベント分析サーバ6に指示すると開始される。
そして、このイベント対処業務支援処理が開始されると、まず、イベント種別候補割当てプログラム24(図1)が、イベントテーブル32(図4)に登録されている新着イベントの中から1つの新着イベントを選択する(S1)。
次にイベント種別候補割当てプログラム24は、ステップS1で選択した新着イベント(以下、これを選択新着イベントと呼ぶ)に対してイベント種別リスト31の中から0個以上の既知イベントをイベント種別候補として割り当て、その確信度を算出する(S2)。
具体的には、イベント種別候補割当てプログラム24は、選択新着イベントのイベント情報に含まれるその選択新着イベントの内容を表すメッセージのテキスト情報に基づいて、そのメッセージを形態素解析により品詞ごとに分解し、分解したこれらの品詞に基づいてN-gram処理やTF-IDF処理などの手法を用いてそのメッセージの特徴量をベクトル化する。
またイベント種別候補割当てプログラム24は、同様の手法によりイベント種別リスト31(図3)に登録されている各既知イベントのイベントマスタ情報に含まれる当該既知イベントの内容を表すメッセージのテキスト情報に基づいて、そのメッセージの特徴量をそれぞれベクトル化する。
そしてイベント種別候補割当てプログラム24は、既知イベントごとに、新着イベントのメッセージの特徴量のベクトルと、その既知イベントのメッセージの特徴量のベクトルとを比較し、これら2つのベクトルの距離をその既知イベントに対する確信度としてそれぞれ算出する。
そしてイベント種別候補割当てプログラム24は、このような処理により算出した既知イベントごとの確信度に基づいて、その確信度が上述した確信度閾値以上の既知イベントをすべて抽出し、これらをその選択新着イベントにイベント種別候補として割り当てる。またイベント種別候補割当てプログラム24は、この割当て結果を割当て結果テーブル33に登録する。
この後、イベント種別候補割当てプログラム24は、ノード描画プログラム25を呼び出し、上述のようにしてその選択新着イベントのイベントIDを引数としてノード描画プログラム25(図1)に引き渡す。
ノード描画プログラム25は、イベント種別候補割当てプログラム24により呼び出されると、イベント種別候補割当てプログラム24から引き渡された選択新着イベントのイベントIDを検索キーとして割り当て結果テーブル32からイベント種別ID及び確信度を検索し、その検索により検出したイベント種別IDを検索キーとしてイベント種別リスト31に登録されている重要度を検索し、それらの情報に基づいて、図2のように選択新着イベントに対応する上述のノード42を上述の新着イベント分析結果画面40の平面座標41上に描画する描画処理を実行する(S3)。この描画処理の詳細については後述する。そしてノード描画プログラム25は、この後、イベント種別候補割当てプログラム24に処理を戻す。
処理を戻されたイベント種別候補割当てプログラム24は、イベントテーブル32に登録されている新着イベントの中に未だイベント種別候補を割り当てていない新着イベントが存在するか否かを判断する(S4)。
ステップS4で未処理のイベントが存在する場合、イベント種別候補割当てプログラム24は、ステップS1に戻る。またステップS4でイベントテーブル32に登録されているすべての新着イベントにイベント種別候補が割り当てられている場合、イベント種別候補割当てプログラム24は、レコメンド矢印描画処理(S5)を呼出す。
レコメンド矢印描画処理から戻ってくると、イベント種別候補割当てプログラム24はオペレータからの入力等待ち状態になる(S6)。具体的にはオペレータからの入力があるか新たな新着イベントが到着するまで待つ。そしてイベント種別候補割当てプログラム24は、オペレータからの入力があったか新着イベントが到着すると処理をステップS7に移す。
またイベント種別候補割当てプログラム24は、この後、ステップS3で新着イベント分析結果画面40の平面座標41上に描画した各ノード42のうち、既にオペレータによる対処済みの新着イベントに対するノード42を平面座標41上から削除する(S7)。
続いて、イベント種別候補割当てプログラム24は、イベント種別候補を割り当てていない新たな新着イベントがイベントテーブル32に登録されたか否かを判断する(S8)。そしてイベント種別候補割当てプログラム24は、この判断で否定結果を得るとステップS5に戻り、この後、ステップS8で肯定結果を得るまでステップS5〜ステップS8の処理を繰り返す。
そして、イベント種別候補割当てプログラム24は、イベント種別候補を割り当てていない新たな新着イベントがイベントテーブル32に登録されることによりステップS8で肯定結果を得ると、ステップS1に戻り、この後、ステップS2以降の処理を上述と同様に実行する。
(1−3−2)描画処理
(1−3−2−1)描画処理の流れ
図7は、図6について上述したメンテナンス対応業務支援処理のステップS3においてノード描画プログラム25(図1)により実行される描画処理の具体的な処理内容を示す。
ノード描画プログラム25は、イベント種別候補割当てプログラム24により呼び出されると、この図7に示す描画処理を開始し、まず、新着イベント分析結果画面40の平面座標41における選択新着イベントに対応するノード42(図2)を描画すべき座標(ここでは、そのノード42の中心座標)を決定する座標決定処理を実行する(S10)。
続いて、ノード描画プログラム25は、ステップS10で決定した座標を中心とした選択新着イベントに対応するノード42を描画するノード描画処理を実行する(S11)。このノード描画処理により、オペレータ端末8に表示された新着イベント分析結果画面40の平面座標41上に選択新着イベントに対応するノード42が描画される。
そしてノード描画プログラム25は、この後、この描画処理を終了してイベント対処業務支援処理のステップS4に戻る。
(1−3−2−2)座標決定処理の流れ
図8は、図7について上述した描画処理のステップS10でノード描画プログラム25により実行される座標決定処理の具体的な処理内容を示す。
ノード描画プログラム25は、描画処理のステップS10に進むと、この図8に示す座標決定処理を開始し、まず、イベント種別候補割当てプログラム24により選択新着イベントに割り当てられた各イベント種別候補のイベントマスタ情報をデータベースサーバ10(図1)に格納されたイベント種別リスト31からそれぞれ読み出す(S20)。このとき、ステップS23で使用する最大確信度イベント種別候補を「候補なし」に初期化しておく。
続いて、ノード描画プログラム25は、ステップS20でイベントマスタ情報を読み出した各イベント種別候補の中からステップS22以降が未処理のイベント種別候補を1つ選択する(S21)。次にノード描画プログラム25は、ステップS21で選択したイベント種別候補の確信度が現在までにステップS21で選択したイベント種別候補の中で最大であるか否かを判断する。具体的には「ステップS23で記載されている最大確信度イベント種別候補が初期化されている状態」か「ステップS21で選択したイベント種別候補の確信度がステップS23で記載されている最大確信度イベント種別候補の確信度より大きい場合」に確信度が最大であると判断する(S22)。そしてノード描画プログラム25は、この判断で否定結果を得るとステップS24に進む。
これに対して、ノード描画プログラム25は、ステップS22の判断で肯定結果を得ると、ステップS21で選択したイベント種別候補のイベント種別ID及び確信度を、確信度が最大のイベント種別候補(本発明ではこれを最大確信度イベント種別候補と呼ぶ)のイベント種別ID及び確信度として記憶する(S23)。
次いで、ノード描画プログラム25は、選択新着イベントに割り当てられたすべてのイベント種別候補についてステップS21〜ステップS23の処理を実行し終えたか否かを判断する(S24)。そしてノード描画プログラム25は、この判断で否定結果を得るとステップS21に戻り、この後、ステップS21で選択するイベント種別候補を、選択新着イベントに割り当てられたイベント種別候補のうちのステップS22以降が未処理の他のイベント種別候補に順次切り替えながら、ステップS21〜ステップS24の処理を繰り返す。
そしてノード描画プログラム25は、選択新着イベントに割当てられたすべてのイベント種別候補についてステップS22〜ステップS23の処理を実行し終えることによりステップS24で肯定結果を得ると、新着イベント分析結果画面40の平面座標41に描画すべきそのときの選択新着イベントに対応するノード42の中心座標を、そのとき最大確信度イベント種別候補の確信度として記憶している値をx座標、その最大確信度イベント種別候補についてイベント種別リスト31の対応する行に格納されている重要度をy座標とする座標位置に決定する(S25)。そしてノード描画プログラム25は、この後、この座標決定処理を終了して図7について上述した描画処理のステップS10に戻る。
(1−3−2−3)ノード描画処理の流れ
図9は、図7について上述した描画処理のステップS11でノード描画プログラム25により実行されるノード描画処理の具体的な処理内容を示す。
ノード描画プログラム25は、描画処理のステップS11に進むと、この図9に示すノード描画処理を開始し、まず、選択新着イベントに割り当てられた各イベント種別候補の重要度をデータベースサーバ10(図1)のイベント種別リスト31(図1)からそれぞれ取得する(S30)。
続いて、ノード描画プログラム25は、取得したこれらの重要度に基づいて、選択新着イベントの各イベント種別候補を重要度を「高」、「中」及び「低」の3つのカテゴリに分類する(S31)。
具体的には、ノード描画プログラム25は、図10(A)に示すように、ユーザにより設定された重要度が既定の第1の閾値(例えば「80」)以上のイベント種別候補については重要度が「高」のカテゴリに分類し、設定された重要度が第1の閾値未満でかつ既定の第2の閾値(例えば「30」)以上のイベント種別候補については重要度が「中」のカテゴリに分類し、設定された重要度が第2の閾値未満のイベント種別候補については重要度が「低」のカテゴリに分類する。
この後、ノード描画プログラム25は、図10(B)に示すように、カテゴリごとのイベント種別候補の含有率を算出する(S32)。具体的には、ノード描画プログラム25は、カテゴリごとに、そのカテゴリにおけるイベント種別候補の含有率を次式
Figure 2021047536
 のように、そのときの選択新着イベントに割り当てられた全イベント種別候補の確信度の合算値に対するそのカテゴリに属する全イベント種別候補の確信度の合算値の割合を100倍するようにして算出する。
続いて、ノード描画プログラム25は、新着イベント分析結果画面40(図2および図19)の平面座標41(図2)上に、図8について上述した座標決定処理により決定した座標を中心座標とする一定半径の円グラフで表現されるノード42(図2)を描画する(S33)。
この際、ノード描画プログラム25は、図11に示すように、重要度が「高」、「中」及び「低」の3つのカテゴリにそれぞれ対応するノード42内の各領域AR1,AR2,AR3の中心角α1,α2,α3が、それぞれ360度にそのカテゴリにおけるイベント種別候補の含有率を乗算し、その乗算結果を100で除算した値となるようにノード42内を分割し、これら領域AR1〜AR3をそのカテゴリに対応する色に着色し又はこれら領域AR1〜AR3内にそのカテゴリに対応する模様を描画する。
そしてノード描画プログラム25は、この後、このノード描画処理を終了して図7について上述した描画処理に戻る。
(1−3−2−4)レコメンド矢印描画処理の流れ
図12は、図6について上述したイベント対処業務支援処理のステップS5でノード描画プログラム25により実行されるレコメンド矢印描画処理の具体的な処理内容を示す。
ノード描画プログラム25は、イベント対処業務支援処理のステップS5に進むと、この図12に示すレコメンド矢印描画処理を開始し、まず、そのとき新着イベント分析結果画面40(図2)の平面座標41(図2)内に表示されているレコメンド矢印43をすべて消去する。そしてイベントテーブル32に存在する新着イベントのそれぞれに関してステップS40〜ステップS43を実施する。
具体的に、ノード描画プログラム25は、イベントテーブル32に存在するすべての新着イベントの中からステップS41以降が未処理の新着イベントを1つ選択する(S40)。
続いて、ノード描画プログラム25は、ステップS40で選択した新着イベントに対して割り当てられたすべてのイベント種別候補の重要度をデータベースサーバ10(図1)のイベント種別リスト31(図3)から読み出すことにより取得する(S41)。
次いで、ノード描画プログラム25は、ステップS41で重要度を取得した各イベント種別候補を、図9のステップS31と同様にして重要度が「高」、「中」及び「低」の3つのカテゴリに分類する(S42)。またノード描画プログラム25は、この後、ステップS40で選択した新着イベントに対するイベント対処の優先度を、次式
Figure 2021047536
 のようにしてそれぞれ算出する(S43)。
具体的には、ノード描画プログラム25は、ステップS40で選択した新着イベントの各イベント種別候補のうち、重要度が「高」のカテゴリに分類された各イベント種別候補について、そのイベント種別候補の重要度及び確信度をそれぞれ乗算する。
またノード描画プログラム25は、これらの乗算結果をすべて合算した値に、図13(A)のように各カテゴリに対して予めそれぞれ設定された係数(以下、これをカテゴリ係数と呼ぶ)のうちのそのカテゴリ(重要度が「高」のカテゴリ)に対して設定されているカテゴリ係数を乗算する。
さらにノード描画プログラム25は、その新着イベントの各イベント種別候補のうち、重要度が「中」や「低」のカテゴリに分類された各イベント種別候補についてもカテゴリごとに同様の演算を行い、図13(B)に示すように、これら3つのカテゴリについての演算結果をすべて合算した値をその新着イベントの優先度として算出する。
続いて、ノード描画プログラム25は、イベントテーブル32に存在するすべての新着イベントについてステップS41〜ステップS43の処理を実行し終えたか否かを判断する(S44)。そしてノード描画プログラム25は、この判断で否定結果を得るとステップS40に戻り、この後ステップS40で選択する新着イベントをステップS41以降の処理が未処理の他の新着イベントに順次切り替えながらステップS40〜ステップS44の処理を繰り返す。
そしてノード描画プログラム25は、イベントテーブル32に存在するすべての新着イベントについてその優先度を算出し終えることによりステップS44で肯定結果を得ると、まず画面上のレコメンド矢印をすべて消去し(S45)、その後上述のようにして算出した各新着イベントの優先度に基づいて、新着イベント分析結果画面40の平面座標41内における対応する各ノード42間に上述のレコメンド矢印43をそれぞれ描画する(S46)。
具体的には、ノード描画プログラム25は、イベントテーブル32に存在する各新着イベントを優先度が大きい順番にソートし、ソートした順番で新着イベントを順に指し示していくように必要なノード42間にレコメンド矢印43をそれぞれ描画する。
そしてノード描画プログラム25は、すべてのレコメンド矢印43を描画し終えると、このレコメンド矢印描画処理を終了して、図7について上述した描画処理に戻る。
なお、本実施の形態においてレコメンド矢印43を描画する処理を行わないこととしてもよい。その場合、表示形態は図19のようになる。図19は、レコメンド矢印43が表示されていない点を除いて図2の新着イベント分析結果画面と同様の構成を有する。
(1−4)本実施の形態の効果
以上のように本実施の形態のイベント対処業務支援システム1では、イベント分析サーバ6がイベント管理サーバ4から与えられる新着イベントのイベント情報を分析し、分析結果に基づいて、新着イベントに対する確信度と重要度をユーザが一見して認識できるように、これら新着イベントにそれぞれ対応するノード42を平面座標41上に配置した新着イベント分析結果画面40を生成してオペレータ端末に表示させる。
従って、オペレータは、この新着イベント分析結果画面40を参照することにより、未知の新着イベントに対する確信度と重要度を直ちに認識することができる。さらにイベント分析サーバ6が対処すべき新着イベントの順番を表示することにより、オペレータは適切な順番で新着イベントに対処することができる。よって本実施の形態によれば、未知の新着イベントに対するオペレータの対処業務の安全性を向上させ得る有用性の高いイベント対処業務支援システムを実現できる。
(2)第2の実施の形態
図18において、イベント対処業務支援システム50は全体として第2の実施の形態によるイベント対処業務支援システムを示す。このイベント対処業務支援システム50では、図2について上述した新着イベント分析結果画面40に代えて、図14に示すような新着イベント分析結果画面60をイベント分析サーバ51が生成し、これをオペレータ端末8に表示させる点を除いて第1の実施の形態のイベント対処業務支援システム1とほぼ同様に構成されている。
具体的には、本実施の形態によるイベント対処業務支援システム50の場合、データベースサーバ10の記憶装置30に格納されたイベント種別リスト52は、図15に示すように、少なくともイベント種別ID欄52A及びメッセージテンプレート欄52Bと、システム重要度欄52C及びセキュリティ重要度欄52Dとを備えて構成されている。
そしてイベント種別ID欄52A及びメッセージテンプレート欄52Bには、図3について上述した第1の実施の形態のイベント種別リスト31のイベント種別ID欄31A又はメッセージ欄31Bに格納される情報と同じ情報がそれぞれ格納される。
またシステム重要度欄52Cには、第1の実施の形態の「重要度」と同様にして予めオペレータにより設定された対応する既知イベントの第1の評価観点であるシステム上の重要度(以下、これをシステム重要度と呼ぶ)が格納され、セキュリティ重要度欄52Dには、同様にオペレータにより予め設定されたその既知イベントの第2の評価観点であるセキュリティ上の重要度(以下、これをセキュリティ重要度と呼ぶ)が格納される。
そしてシステム分析サーバ51は、イベントテーブル32に登録された各新着イベントに対して、それぞれイベント種別リスト52に登録されている既知イベントの中から第1の実施の形態と同様にして算出された確信度が上述の確信度閾値以上のすべての既知イベントをイベント種別候補として割り当てる。
またシステム分析サーバ51は、各新着イベントに割り当てた各イベント種別候補のシステム重要度及びセキュリティ重要度と、確信度とに基づいて図14に示すような新着イベント分析結果画面60を生成する。そしてイベント分析サーバ51は、生成した新着イベント分析結果画面60の画面データを第3のネットワーク7を介して必要なオペレータ端末8に送信することにより、この新着イベント分析結果画面60をそのオペレータ端末8に表示させる。
この図14に示すように、本実施の形態の新着イベント分析結果画面60は、縦軸にセキュリティ重要度、横軸にシステム重要度をとった平面座標61を備えて構成される。そして平面座標61には、それまでにイベント分析サーバ51が受信した各イベント情報にそれぞれ対応する新着イベントのうち、オペレータによる対処が未だ行われていない各新着イベントとそれぞれ対応付けられたノード62が表示される。
これらノード62は、それぞれ対応する新着イベントに割り当てられたイベント種別候補のうち、確信度が最も大きいイベント種別候補についてイベント種別リスト52から取得したシステム重要度をx座標、当該イベント種別候補についてイベント種別リスト52から取得したセキュリティ重要度をy座標とするxy座標を中心座標として表示された円グラフから構成される。
この場合、円グラフは、対応する新着イベントに割り当てられたイベント種別候補のうちの最も確信度が高いイベント種別候補の当該確信度に反比例する大きさ(半径)で描画される。これにより確信度が低い新着イベントに対応するノード62ほどより大きく表示されるために目立ち易く、オペレータがそのノード62に対応する新着イベントに対するイベント対処を優先的に実行することができる。
また円グラフでは、内部の左上の領域(以下、これを単に左上領域と呼ぶ)に、対応する新着イベントに対して割り当てられたイベント種別候補のうちの最もセキュリティ重要度が高いイベント種別候補が対応付けられ、内部の右下の領域(以下、これを単に右下領域と呼ぶ)に、対応する新着イベントに対して割り当てられたイベント種別候補のうち、最もシステム重要度が高いイベント種別候補が対応付けられる。
具体的には円グラフの左上領域は、最もセキュリティ重要度が高いイベント種別候補の当該セキュリティ重要度の値が「高」、「中」及び「低」の3つのカテゴリのうちのいずれのカテゴリに属するかに応じて、その値が属するカテゴリに対応する色に着色され又はそのカテゴリに応じた模様が付けられる。例えば、セキュリティ重要度が「高」のカテゴリに属する場合(例えば、かかる値が「80」以上)には左上領域が赤色に着色され、セキュリティ重要度が「中」のカテゴリに属する場合(例えば、かかる値が「30」〜「79」)の場合には左上領域が橙色に着色され、セキュリティ重要度が「低」のカテゴリに属する場合(例えば、かかる値が「29」以下)には左上領域が緑色に着色される。
これと同様に、円グラフの右下領域も、最もシステム重要度が高いイベント種別候補の当該システム重要度の値が「高」、「中」及び「低」の3つのカテゴリのうちのいずれのカテゴリに属するかに応じて、その値が属するカテゴリに対応する色に着色され又はそのカテゴリに応じた模様が付けられる。
なお図14の例では、新着イベント分析結果画面60の平面座標上にノード62のみが表示されているが、実際には、図2について上述したレコメンド矢印43も第1の実施の形態と同様に表示する形態としてもよい。
次に、本実施の形態によるイベント対処支援機能に関連してイベント分析サーバ50において実行される一連の処理(イベント対処業務支援処理)の具体的な処理内容について説明する。なお、本実施の形態のイベント対処業務支援処理の全体の流れは、図6について上述した第1の実施の形態によるイベント対処業務支援処理と同様であるため、ここでの説明は省略する。
またイベント対処業務支援処理のステップS3(図6)で本実施の形態のノード描画プログラム53(図1)により実行される描画処理の流れも、図7について上述した第1の実施の形態による描画処理の流れと各ステップの処理内容を除いて同様であるため、ここでの説明は省略する。
また、ステップS10の処理内容である座標決定処理(図8)の各ステップの流れも、ステップS25の処理内容を除いて同様であるため、ここでの説明は省略する。
ステップS25の処理内容は本実施の形態においては、次のように置き換える。「中心座標は最大確信度システム種別候補のシステム重要度をx、最大確信度システム種別候補のセキュリティ重要度をyとし、半径をシステムであらかじめ定めてある定数を最大確信度システム種別候補の確信度で割った値とする。」これらの値は後述するステップS57にて使用する。
図16は、図7の描画処理のステップS11において本実施の形態のノード描画プログラム53により実行されるノード描画処理の具体的な処理内容を示す。
本実施の形態のノード描画プログラム53は、描画処理のステップS11に進むと、この図16に示すノード描画処理を開始し、まず、図6のステップS1で選択した新着イベント(選択新着イベント)に割り当てた各イベント種別候補のイベントマスタ情報をデータベースサーバ10のイベント種別リスト52からそれぞれ取得する。さらにステップS53で使用する最大システム重要度イベント種別候補と、ステップS55で使用する最大セキュリティ重要度イベント種別候補とを初期化する(S50)。
続いて、ノード描画プログラム53は、ステップS50でイベントマスタ情報を読み出した各イベント種別候補の中からステップS52以降が未処理のイベント種別候補を1つ選択する(S51)。またノード描画プログラム53は、「最大システム重要度イベント種別候補が初期化状態である、又は、ステップS51で選択したイベント種別候補のシステム重要度がステップS50で最大システム重要度イベント種別候補を初期化してから現在までにステップS51で選択したイベント種別候補の中で最大である」か否かを判断する(S52)。そしてノード描画プログラム53は、この判断で否定結果を得るとステップS54に進む。
これに対して、ノード描画プログラム53は、ステップS52の判断で肯定結果を得ると、そのときステップS51で選択したイベント種別候補のイベント種別ID及びシステム重要度を、システム重要度が最大のイベント種別候補(本発明においては、これを最大システム重要度イベント種別候補と呼ぶ)のシステム重要度として記憶する(S53)。
次いで、ノード描画プログラム53は、「最大セキュリティ重要度イベント種別候補が初期化状態である、又は、ステップS51で選択したイベント種別候補のセキュリティ重要度がステップS50で最大セキュリティ重要度イベント種別候補を初期化してから現在までにステップS51で選択したイベント種別候補の中で最大である」か否かを判断する(S54)。そしてノード描画プログラム53は、この判断で否定結果を得るとステップS56に進む。
これに対して、ノード描画プログラム53は、ステップS54の判断で肯定結果を得ると、そのときステップS51で選択したイベント種別候補のイベント種別ID及びセキュリティ重要度を、セキュリティ重要度が最大のイベント種別候補(以下、これを最大セキュリティ重要度イベント種別候補と呼ぶ)のセキュリティ重要度として記憶する(S55)。
さらにノード描画プログラム53は、選択新着イベントに割り当てられたすべてのイベント種別候補についてステップS52〜ステップS55の処理を実行し終えたか否かを判断する(S56)。そしてノード描画プログラム53は、この判断で否定結果を得るとステップS51に戻り、この後、ステップS51で選択するイベント種別候補を、選択新着イベントに割り当てられたイベント種別候補のうちのステップS52以降が未処理の他のイベント種別候補に順次切り替えながら、ステップS51〜ステップS56の処理を繰り返す。
そしてノード描画プログラム53は、選択新着イベントに割当てられたすべてのイベント種別候補についてステップS52〜ステップS55の処理を実行し終えることによりステップS56で肯定結果を得ると、新着イベント分析結果画面60(図14)の平面座標61(図14)に描画すべきそのときの選択新着イベントに対応するノード62(図14)の中心座標を、ステップS25にて算出した値、即ちそのとき最大システム重要度イベント種別候補のシステム重要度として記憶している値をx座標、そのとき最大セキュリティ重要度イベント種別候補のセキュリティ重要度として記憶しているセキュリティ重要度をy座標とする座標位置に決定し、新着イベント分析結果画面60(図14)の平面座標61(図14)上に、上述した座標決定処理により決定した座標を中心座標とし、上述した座標決定処理により決定した半径の円で表現され、その円の右下半分はステップS53で算出した最大システム重要度イベント種別候補のシステム重要度に対応した色またはパターン、その円の左上半分はステップS55で算出した最大セキュリティ重要度イベント種別候補のセキュリティ重要度に対応した色またはパターンを用いて描画する(S57)。そしてノード描画プログラム53は、この後、このノード描画処理を終了して図7について上述した描画処理のステップS11の次の「リターン」に戻る。
なお、これ以降にイベント分析サーバ51で実行される処理の内容は第1の実施の形態と同様であるため、ここでの説明は省略する。
以上のように本実施の形態のイベント対処業務支援システム50では、イベント分析サーバ51がイベント管理サーバ4から与えられる新着イベントのイベント情報を分析し、分析結果に基づいて、対処すべき新着イベントのシステム観点からの重要度とセキュリティ観点からの重要度をユーザが一見して認識できるように、これら新着イベントにそれぞれ対応するノード62を平面座標61上に配置した新着イベント分析結果画面60を生成してオペレータ端末に表示させる。
従って、ペレータは、この新着イベント分析結果画面60を参照することにより、どの新着イベントがシステム観点から重要でどの新着イベントがセキュリティ観点から重要かを直ちに認識することができ、適切に新着イベントに対処することができる。よって本実施の形態によれば、第1の実施の形態と同様に、未知の新着イベントに対するオペレータの対処業務の安全性を向上させ得る有用性の高いイベント対処業務支援システムを実現できる。
(3)他の実施の形態
なお上述の第1及び第2の実施の形態においては、イベント種別リスト31,52、イベントテーブル32、割当て結果テーブル33及び学習モデルをデータベースサーバに配置するようにした場合について述べたが、本発明はこれに限らず、例えば、これらのデータをイベント分析サーバ6,51に配置するようにしてもよい。
また上述の第1及び第2の実施の形態においては、イベントテーブル32や割当て結果テーブル33における各新着イベントのエントリを、その新着イベントに対するオペレータによる対処が完了した後にそのイベントテーブル32及び割当て結果テーブル33から削除するようにした場合について述べたが、本発明はこれに限らず、対処済みの新着イベントのエントリをイベントテーブル32や割当て結果テーブル33から削除することなく、そのまま残しておくようにしてもよい。このようにすることにより、オペレータが過去の新着イベントを確認することができる。
さらに上述の第1の実施の形態においては、ノード42を図11について上述したように描画するようにした場合について述べたが、本発明はこれに限らず、ノード42を例えば図17のように描画するようにしてもよい。具体的には、重要度「高」「中」「低」のそれぞれに対応するノード42内の各領域を、そのノードに対応するイベント種別候補の数で分割したそれぞれのパイ型領域に、確信度に応じた半径で、重要度毎の色で、重要度が高い順に、確信度が高い順に描画する。
さらに上述の第1及び第2の実施の形態においては、各既知イベントのイベント種別に対して予め設定された重要度(重要度、又はシステム重要度及びセキュリティ重要度)に基づいて新着イベントの重要度(候補重要度)を算出するようにした場合について述べたが、本発明はこれに限らず、これ以外の方法により新着イベントの重要度を算出するようにしてもよい。例えば、次式
Figure 2021047536
 のようにして新着イベントの重要度を算出するようにしてもよい。
本発明は、管理対象に発生した新着イベントの対処業務を支援する業務支援システムに広く適用することができる。
1,50……イベント対処業務支援システム、2……イベント生成サーバ、4……イベント管理サーバ、6,51……イベント分析サーバ、8……オペレータ端末、10……データベースサーバ、20……CPU、21,30……記憶装置、24……イベント種別候補割当てプログラム、25,53……ノード描画プログラム、31,52……イベント種別リスト、32……イベントテーブル、33……割当て結果テーブル、40,60……新着イベント分析結果画面、41,61……平面座標、42,62……ノード、43……レコメンド矢印。

Claims (14)

  1. 管理対象に発生したイベントの対処業務を支援する業務支援システムにおいて、
    未知の前記イベントに関して、当該イベントのイベント種別を1つ以上推定してイベント種別候補とするイベント種別推定部と、
    推定された前記イベント種別候補のうち確信度が高い第1のイベント種別候補群を抽出し、抽出した前記第1のイベント種別候補群の各前記イベント種別候補の確信度から第1の候補確信度を算出し、前記第1のイベント種別候補群に属する各前記イベント種別候補にそれぞれ対応するイベント種別が保持する第1の重要度及び又は当該第1の重要度以外の情報から第1の候補重要度を算出する第1の算出部と、
    各前記イベントに対応する図形を前記第1の候補確信度及び前記第1の候補重要度を用いて座標空間上に表現する表現部と
    を備えることを特徴とする業務支援システム。
  2. 前記表現部は、
    前記第1の候補確信度及び前記第1の候補重要度を平面座標軸の2軸上に表現する
    ことを特徴とする請求項1の記載の業務支援システム。
  3. 推定された前記イベント種別候補のうち確信度が低いものも含めた第2のイベント種別候補群を抽出し、抽出した前記第2のイベント種別候補群に属する各前記イベント種別候補の確信度から第2の候補確信度を算出し、前記第2のイベント種別候補群に属する各前記イベント種別候補にそれぞれ対応するイベント種別の第1の重要度から第2の候補重要度を算出する第2の算出部をさらに備え、
    前記表現部は、
    前記図形を前記第2の候補確信度及び前記第2の候補重要度を用いてグラフ形式で表現する
    ことを特徴とする請求項1に記載の業務支援システム。
  4. 前記表現部は、
    2つ以上の前記イベントにそれぞれ対応する前記図形を描画する際、前記第1の候補確信度及び前記第1の候補重要度に基づいて各前記イベントの優先度をそれぞれ算出し、前記優先度の高い前記イベントに対応する前記図形から前記優先度が低い前記イベントに対応する前記図形へと各前記図形を順番に指し示すように、各前記図形間にそれぞれ矢印を描画する
    ことを特徴とする請求項1に記載の業務支援システム。
  5. 前記表現部は、
    2つ以上の前記イベントにそれぞれ対応する前記図形を描画する際、前記第1の候補確信度及び前記第1の候補重要度と、前記第2の候補確信度及び前記第2の候補重要度とに基づいて各前記イベントの優先度をそれぞれ算出し、前記優先度の高い前記イベントに対応する前記図形から前記優先度が低い前記イベントに対応する前記図形へと各前記図形を順番に指し示すように、各前記図形間にそれぞれ矢印を描画する
    ことを特徴とする請求項3に記載の業務支援システム。
  6. 前記イベント種別候補は第2の評価観点による第2の重要度を持ち、前記第1のイベント種別候補群に属する各イベント種別候補にそれぞれ対応するイベント種別の第2の重要度から第3の候補重要度を算出する第3の算出部をさらに備え、
    前記表現部は、
    前記第1の候補確信度と、前記第1の候補重要度と、前記第3の候補重要度とを用いて座標上に前記図形を表現する
    ことを特徴とする請求項1に記載の業務支援システム。
  7. 前記表現部は、
    前記第1の候補確信度を前記図形の大きさとし、前記第1の候補重要度と前記第3の候補重要度を座標軸の2軸上に表現する
    ことを特徴とした請求項6に記載の業務支援システム。
  8. 管理対象に発生したイベントの対処業務を支援する業務支援システムにより実行される業務支援方法であって、
    未知の前記イベントに関して、当該イベントのイベント種別を1つ以上推定してイベント種別候補とする第1のステップと、
    推定された前記イベント種別候補のうち確信度が高い第1のイベント種別候補群を抽出し、抽出した前記第1のイベント種別候補群の各前記イベント種別候補の確信度から第1の候補確信度を算出し、前記第1のイベント種別候補群に属する各前記イベント種別候補にそれぞれ対応するイベント種別が保持する第1の重要度及び又は当該第1の重要度以外の情報から第1の候補重要度を算出する第2のステップと、
    未知の各前記イベントに対応する図形を前記第1の候補確信度及び前記第1の候補重要度を用いて座標空間上に表現する第3のステップと
    を備えることを特徴とする業務支援方法。
  9. 前記第3のステップでは、
    前記第1の候補確信度及び前記第1の候補重要度を平面座標軸の2軸上に表現する
    ことを特徴とする請求項8に記載の業務支援方法。
  10. 前記第2のステップでは、
    推定された前記イベント種別候補のうち確信度が低いものも含めた第2のイベント種別候補群を抽出し、抽出した前記第2のイベント種別候補群に属する各前記イベント種別候補の確信度から第2の候補確信度を算出し、前記第2のイベント種別候補群に属する各前記イベント種別候補にそれぞれ対応するイベント種別の第1の重要度から第2の候補重要度を算出し、
    前記第3のステップでは、
    前記図形を前記第2の候補確信度及び前記第2の候補重要度を用いてグラフ形式で表現する
    ことを特徴とする請求項8に記載の業務支援方法。
  11. 前記第3のステップでは、
    2つ以上の前記イベントにそれぞれ対応する前記図形を描画する際、前記第1の候補確信度及び前記第1の候補重要度に基づいて各前記イベントの優先度をそれぞれ算出し、前記優先度の高い前記イベントに対応する前記図形から前記優先度が低い前記イベントに対応する前記図形へと各前記図形を順番に指し示すように、各前記図形間にそれぞれ矢印を描画する
    ことを特徴とする請求項8に記載の業務支援方法。
  12. 前記第3のステップでは、
    2つ以上の前記イベントにそれぞれ対応する前記図形を描画する際、前記第1の候補確信度及び前記第1の候補重要度と、前記第2の候補確信度及び前記第2の候補重要度とに基づいて各前記イベントの優先度をそれぞれ算出し、前記優先度の高い前記イベントに対応する前記図形から前記優先度が低い前記イベントに対応する前記図形へと各前記図形を順番に指し示すように、各前記図形間にそれぞれ矢印を描画する
    ことを特徴とする請求項10に記載の業務支援方法。
  13. 前記第2のステップでは、
    前記イベント種別候補は第2の評価観点による第2の重要度を持ち、前記第1のイベント種別候補群に属する各イベント種別候補にそれぞれ対応するイベント種別の第2の重要度から第3の候補重要度を算出し、
    前記第3のステップでは、
    前記第1の候補確信度と、前記第1の候補重要度と、前記第3の候補重要度とを用いて座標上に前記図形を表現する
    ことを特徴とする請求項8に記載の業務支援方法。
  14. 表現部は、
    前記第1の候補確信度を前記図形の大きさとし、前記第1の候補重要度と前記第3の候補重要度を座標軸の2軸上に表現する
    ことを特徴とした請求項13に記載の業務支援方法。
JP2019168723A 2019-09-17 2019-09-17 業務支援システム及び方法 Active JP6840204B1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019168723A JP6840204B1 (ja) 2019-09-17 2019-09-17 業務支援システム及び方法
US16/812,731 US11016828B2 (en) 2019-09-17 2020-03-09 Task support system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019168723A JP6840204B1 (ja) 2019-09-17 2019-09-17 業務支援システム及び方法

Publications (2)

Publication Number Publication Date
JP6840204B1 JP6840204B1 (ja) 2021-03-10
JP2021047536A true JP2021047536A (ja) 2021-03-25

Family

ID=74845236

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019168723A Active JP6840204B1 (ja) 2019-09-17 2019-09-17 業務支援システム及び方法

Country Status (2)

Country Link
US (1) US11016828B2 (ja)
JP (1) JP6840204B1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7393034B2 (ja) 2022-03-16 2023-12-06 Necプラットフォームズ株式会社 情報提供システム、情報提供方法およびプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003186704A (ja) 2001-12-18 2003-07-04 Nec Corp エラーウィンドウ表示制御装置、エラーメッセージ表示方法及びプログラム
US10269450B2 (en) * 2013-05-22 2019-04-23 Quantros, Inc. Probabilistic event classification systems and methods
CN106716402B (zh) * 2014-05-12 2020-08-11 销售力网络公司 以实体为中心的知识发现
US20180053207A1 (en) * 2016-08-16 2018-02-22 Adobe Systems Incorporated Providing personalized alerts and anomaly summarization
JP6860070B2 (ja) * 2017-06-23 2021-04-14 日本電気株式会社 分析装置、ログの分析方法及び分析プログラム
US10587484B2 (en) * 2017-09-12 2020-03-10 Cisco Technology, Inc. Anomaly detection and reporting in a network assurance appliance
US11436074B2 (en) * 2019-04-17 2022-09-06 Microsoft Technology Licensing, Llc Pruning and prioritizing event data for analysis

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7393034B2 (ja) 2022-03-16 2023-12-06 Necプラットフォームズ株式会社 情報提供システム、情報提供方法およびプログラム

Also Published As

Publication number Publication date
US11016828B2 (en) 2021-05-25
JP6840204B1 (ja) 2021-03-10
US20210081262A1 (en) 2021-03-18

Similar Documents

Publication Publication Date Title
JP5773554B2 (ja) タスク管理方法及びタスク管理装置
WO2021027260A1 (zh) 处理交互序列数据的方法及装置
CN111192004A (zh) 用于当前待办任务和后续待办工作流程展示的方法
US20220261591A1 (en) Data processing method and apparatus
CN112070416B (zh) 基于ai的rpa流程的生成方法、装置、设备及介质
KR102195629B1 (ko) 인공지능 학습데이터 생성을 위한 크라우드소싱 기반 프로젝트에서의 작업 능력 지수에 기반한 작업자 선정 방법
US10574765B2 (en) Method, device, and non-transitory computer-readable recording medium
CN115935035A (zh) Rpa流程可视化管理方法、装置、设备及可读存储介质
JP6840204B1 (ja) 業務支援システム及び方法
JPWO2018185899A1 (ja) ライブラリ検索装置、ライブラリ検索システム、及びライブラリ検索方法
CN106779404B (zh) 一种流程预告警方法和装置
JP5206268B2 (ja) ルール作成プログラム、ルール作成方法及びルール作成装置
JPWO2009136529A1 (ja) 業務プロセス管理装置、業務プロセス管理方法、及び業務プロセス管理プログラム
JP6535863B2 (ja) 情報処理装置及びプログラム
CN110262950A (zh) 基于多项指标的异动检测方法和装置
CN113672497B (zh) 无埋点事件的生成方法、装置、设备及存储介质
US20180060787A1 (en) Information processing method, information processing device and client terminal
JP5615245B2 (ja) バグ対策優先度表示システム
CN109491892B (zh) 一种项目环境的配置方法和装置
CN114706610A (zh) 一种业务流程图生成方法、装置、设备及存储介质
JP5401577B2 (ja) 調査依頼人が指定した分析方法により電話番号の現在の使用状況と過去の調査履歴に基づいて電話ユーザーの信用分析をするコンピューティング
JP2011076544A (ja) 作業手順策定支援システム、作業手順策定支援方法、および作業手順策定支援プログラム
JPWO2020085374A1 (ja) 熟練指数提供装置、熟練指数提供方法、及びプログラム
JP2020160686A (ja) 情報処理装置及びプログラム
JPWO2020085379A1 (ja) 熟練指数算出装置、アノテーション提供装置、熟練指数算出方法、アノテーション提供方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210216

R150 Certificate of patent or registration of utility model

Ref document number: 6840204

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150