JP3351318B2 - 計算機システムの監視方法 - Google Patents

計算機システムの監視方法

Info

Publication number
JP3351318B2
JP3351318B2 JP30606897A JP30606897A JP3351318B2 JP 3351318 B2 JP3351318 B2 JP 3351318B2 JP 30606897 A JP30606897 A JP 30606897A JP 30606897 A JP30606897 A JP 30606897A JP 3351318 B2 JP3351318 B2 JP 3351318B2
Authority
JP
Japan
Prior art keywords
computer
log
logs
computers
monitoring method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP30606897A
Other languages
English (en)
Other versions
JPH11143738A (ja
Inventor
明裕 浦野
平田  俊明
修司 藤野
敏夫 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP30606897A priority Critical patent/JP3351318B2/ja
Priority to EP98120429A priority patent/EP0920155A3/en
Priority to US09/186,076 priority patent/US6289379B1/en
Publication of JPH11143738A publication Critical patent/JPH11143738A/ja
Priority to US09/911,386 priority patent/US6434616B2/en
Priority to US10/167,584 priority patent/US7136918B2/en
Application granted granted Critical
Publication of JP3351318B2 publication Critical patent/JP3351318B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、計算機の運用管理
に関し、特に計算機のログの取り扱いの技術に関する。
【0002】
【従来の技術】従来、コンピュータの各種ログをネット
ワークを利用して転送し、別のコンピュータにおいて監
視することは広く行われてきた。それらはログを全て転
送してしまうものがほとんどであった。しかし、全ての
ログを転送することはネットワークの負荷を増加させる
ことになり、特にネットワークの転送能力に比較して出
力されるログの量が多い場合に問題になる。また、ログ
を収集した計算機にとっても大量の収集されたログをす
べて解析するのは解析処理に負荷がかかり、やはり問題
になっている。そのため、オペレーティングシステムの
なかには、ログのメッセージごとに重要度を付加し、そ
の重要度に応じて破棄するのか、ログファイルに記録す
るのか、別の計算機に転送するのかなどの判別を行うも
のがある。このように、従来、ログを転送する際に重要
と思われるログのみを抽出し、転送することが考えられ
ているが、重要なログであるかどうかはログを出力した
側の計算機の基準にしたがって判断しており、本当にネ
ットワークの負荷や収集した計算機の負荷を軽くしてい
るかどうかは一概には言えなかった。また、重要である
かどうかの基準をログを出力した側の計算機の基準で決
めているため、監視を行う計算機においては重要な情報
がログを抽出する計算機では重要でない情報と判断され
転送されないことがあるなどの問題があった。
【0003】また、上記従来例では、複数の計算機から
出力されたログの関連付けや出力されたログに基づきさ
らに詳細な情報を得るという作業は管理者の判断で手作
業で行う必要があった。
【0004】さらに、例えば、「TCP/IPとOSI
ネットワーク管理、SRC」に記載のように、出力され
る情報の重要度に応じて画面上の色を変化させることは
行われているが、それはそのホストの情報の重要度のみ
に応じて変化させているだけであった。
【0005】従来、コンピュータのログ記録方式として
は、ログ情報をそのまま補助記憶装置に書き出す方式が
知られていた。補助記憶装置はローカルな補助記憶装置
を用いることが普通であるが、ネットワークを用いリモ
ートな補助記憶装置に記録することも行われていた。
【0006】しかし、これらは動作記録をそのままの状
態で補助記憶装置に書き出しており、動作記録が出力さ
れてから補助記憶装置に保存されるまでの通信中やコン
ピュータ内部において、あるいは主記憶装置や補助記憶
装置に記録されている間に、情報が変化あるいは改ざん
されたとしても、それを検出することはできず、よっ
て、保存されているログを読み取ったときにその正当性
を検査することはできなかった。また、何らかの手段を
用いてログ情報が変化あるいは改ざんされていることが
わかった場合、もとのログを復元することはできなかっ
た。
【0007】
【発明が解決しようとする課題】本発明はネットワーク
に必要以上の負荷をかけることなく、さらにマネージャ
計算機に必要以上の処理負荷をかけることなく、さら
に、エージェントの状態の把握に必要十分な量のログを
収集する方法及びプログラム、さらにはそれを用いた計
算機又はシステムを提供するものである。
【0008】さらに、本発明は一個所の計算機の状態を
監視するだけではわからない事象を検出する方法及びプ
ログラム、さらにはそれを用いた計算機又はシステムを
提供するものである。
【0009】さらに、本発明は計算機に異常が発生した
場合に、オペレータが監視画面を見た瞬間にどの計算機
のどのあたりがどの程度異常になっているかをわかりや
すく表現する方法及びプログラム、さらにはそれを用い
た計算機又はシステムを提供するものである。
【0010】さらに、本発明は複数の計算機から出力さ
れたログの関連付けや出力されたログに基づきさらに詳
細な情報を得るという作業を自動化することで管理者の
負担を軽減させる方法及びプログラム、さらにはそれを
用いた計算機又はシステムを提供するものである。
【0011】さらに、本発明は計算機から出力されるロ
グが途中で改ざんされたり、盗聴されたり、偽のログを
紛れ込ませたりするのを防ぎ、さらに、一部を改ざんさ
れた場合にでも元の情報を復元できる方法及びプログラ
ム、さらにはそれを用いた計算機又はシステムを提供す
るものである。
【0012】
【課題を解決するための手段】本発明の計算機監視方式
は複数の計算機から収集されたログを同時に監視し、そ
れらを合わせて見ることによって発見できる不信な行為
や、それらのログの矛盾をチェックすることによって不
信な行為を検出する。
【0013】本発明の計算機監視方式はアラームまたは
ログを監視する計算機が監視される側の監視レベルを設
定する。
【0014】さらに、本発明の計算機監視方式はログに
出力された内容から、その原因に関して仮説を立て、そ
れを立証するためにさらに詳細なログを収集し、原因を
絞り込む。
【0015】さらに、本発明の計算機監視方式は不信な
挙動を示す計算機のあやしさの度合いや、あやしい計算
機が存在する可能性がある範囲に応じて監視画面上の色
を変化させたり、警告音を変化させたりする。
【0016】さらに、本発明の計算機監視方式はログを
保存したり、転送する前に電子署名を行う。
【0017】さらに、本発明の計算機監視方式はログに
冗長なデータを付加することにより、ログの一部が紛失
または改ざんされた場合においても元のログデータを復
元できる。
【0018】さらにまた、本発明の計算機監視方式はロ
グを複数の計算機に分割して保存しておくことにより、
分割されたログの一部が紛失または改ざんされた場合に
おいても元のデータを復元できる。
【0019】
【発明の実施の形態】ログを出力し、監視される側の計
算機をエージェントと呼び、ログを解析することにより
エージェントを監視する側の計算機をマネージャと呼
ぶ。また、文章および図の中においてデータベースをD
Bと略して書くことがある。
【0020】図1において、計算機101、102およ
び103は監視対象の計算機、計算機104は監視作業
を行う計算機である。計算機101、102および10
3はそれぞれログ111、112および113を出力
し、それらは全てそれぞれ補助記憶装置121、122
および123に格納される。また、どのようなログを収
集するのかという情報は補助記憶装置124に格納され
ており、必要に応じて計算機101、102、103に
転送され、補助記憶装置121、122、123に記憶
される。なお、この図ではエージェントは101、10
2、103の3台のみが記述されているが、3台に限定
される必要はない。また、マネージャである計算機10
4とエージェントが同一の個体である形体を取ってもよ
い。
【0021】また、図2は図1のエージェントとマネー
ジャを1台ずつ抜き出し、詳細を書いた図である。あら
かじめ補助記憶装置である解析ルール事例データベース
201には図4に示されるようなログから得られた事象
に対する仮定すべき原因、それを立証するためにどのよ
うな調査を行えばよいか、また、立証されたときにどの
ような処置を行えばよいかが記録されている。データ解
析部203はあらかじめ収集項目制御部204を通し
て、解析ルール事例の一部をエージェントに転送してお
く。転送された解析ルールは補助記憶装置221に記憶
される。
【0022】アプリケーションプログラム224から出
力されたログは補助記憶装置であるログデータベース2
23に記憶される。
【0023】図3に計算機101,102,103,104,106のハー
ドウエア構成を示す。
【0024】図3に示すように各計算機は、中央処理装
置(302)と、主記憶装置(301)と、通信回線
(305)やローカルエリアネットワーク(304)等
のネットワークとの間のデータの入出力を制御するネッ
トワーク制御装置(303)と、デイスク装置(30
6)およびその入出力を制御するデイスク制御装置(3
07)と、表示装置(308)およびその入出力を制御
する表示制御装置(309)とを備えて構成されてい
る。
【0025】図4に解析ルール事例データベースの一例
を示す。データベースは表形式になっており、ログから
得られて情報、考えられる原因、仮定を立証するために
必要な調査方法、および立証されたときの対処方法が記
憶されている。
【0026】また、図5にデータ解析部203が収集さ
れたログデータを解析する手順をフローチャートによっ
て示す。
【0027】エージェント225のログフィルタ222
は解析事例データベース221に従ってログデータベー
ス223からデータを取り出し、マネージャ207のロ
グ収集部205へ転送する。転送されたデータはログデ
ータベース206に保存される。データ解析部203は
解析ルール事例データベース201に従って、ログ収集
部205からログデータを得、データを解析する。この
とき必要に応じて収集項目制御部204にさらに詳細な
ログの収集を指示する。また、収集項目制御部204は
マシンの負荷の状況やネットワークの負荷および収集さ
れてきているログの量などを解析ルール事例データベー
スに照らし合わせて、収集するログの項目を制御する。
【0028】また、データ解析部203における解析結
果はコンソール制御部202に送られ、さらにコンソー
ル計算機の中にあるコンソール制御部212に送られ、
画面表示211に表示される。
【0029】オペレータからの指示はキーボード入力2
13およびマウス入力215から行われ、コンソール制
御部212およびコンソール制御部202を通り、デー
タ解析部203に送られる。
【0030】再び図1を用いて説明を行う。補助記憶装
置121,122,123に記憶されたログの要約や重要だと思わ
れるログはネットワークを経由して計算機104に送ら
れる。
【0031】何に関するログが重要で計算機104に送
らなくてはいけないかというルールはあらかじめ計算機
104から計算機101、102、103に指示してお
く。この指示はシステムを構築したときに行われるほ
か、計算機104が必要と判断するたびに行われる。例
えば、ネットワークの負荷が高くなっている時や計算機
104の負荷が高くなっている時などは本当に重要なロ
グだけを転送することにより転送するログの量を少なく
なるよう指示したり、監視を強めたいときはあまり重要
でないと思われるログも転送するように指示をしたりす
る。
【0032】計算機104は転送されたログ131、1
32および133を個別に解析し、監視するほか、それ
らを同時に監視し、それらをあわせて見ることによって
発見できる事象をチェックする。
【0033】またオペレータ105はコンソール計算機
106を操作する。コンソール計算機106は計算機1
04に対し、必要な情報を提供するよう要求し、計算機
104は要求された情報が自分の補助記憶装置124に
記録されていればそれを返答する。リモートにある計算
機101、102、103に問い合わせないとわからな
い情報が要求された場合、コンソール計算機にリモート
計算機に問い合わせる必要があることを通知し、リモー
ト計算機に問い合わせるかどうかオペレータの指示を待
つ。オペレータが取り寄せる旨、指示した場合、計算機
104は計算機101、102、103と通信を行い、
ログを取り寄せ、その結果をコンソール計算機106に
通知する。
【0034】この例では、計算機104が答えられない
場合、オペレータ105に問い合わせる間、指示を待っ
ているが、先行して計算機101、102、103と通
信を行い、情報を取り寄せておくことにより、オペレー
タ105が取り寄せる指示を出してから計算機104が
返答できるまでの時間を短縮することができる。
【0035】また、この例では計算機104が答えられ
ない場合、オペレータ105にリモートの計算機に問い
合わせるべきかどうかの判断を委ねたが、この判断は計
算機104またはコンソール計算機106が行う構成も
考えられる。
【0036】また、この例ではより詳しい情報を収集す
る最初のきっかけをオペレータ105が行っているが、
これはコンソール計算機106、計算機104がそれま
でに収集されているログをチェックすることにより自動
的に判断する構成も考えられるし、計算機101、10
2、103のうちいづれかが自ら判断し、情報の収集の
必要性をアラームという形で計算機104に通知する構
成も考えられる。
【0037】さらに、計算機104は自分の保持する情
報のみでは要求に答えられないと判断した時、やみくも
に計算機101、102、103に情報を要求するので
はなく、計算機101、102、103において何が起
こっているのかを仮定し、それを証明するために計算機
101、102、103に問い合わせる構成が考えられ
る。例えば、計算機101と102は通信を行いながら
計算処理を行っているとする。計算機101で補助記憶
装置があふれたり、機器の故障が起こったりなどして計
算機102と正常な通信が行えなかったとする。計算機
102はその通信が正常に行えなかったことを検知でき
ずに処理を続け、誤った答を出力する。計算機104、
コンソール計算機106、オペレータ105のいづれか
がその異常な答えに気づいた場合、計算機104はさら
なる情報の収集を行うことになるが、この時、「計算機
102が異常な答えを出力したのは計算機101との通
信が正常に行われなかったからではないか」と仮定し、
計算機101か102のいづれかもしくは両方に通信の
記録を提出するよう要求する。その記録から通信が正常
に行われていないことが判明すればそこが原因であった
ことが証明されたことになる。さらに、その通信の異常
は計算機101の補助記憶装置があふれたことが原因で
あると仮定し、計算機101に補助記憶装置に関する情
報を報告させる。補助記憶装置があふれているという報
告があった場合、計算機104の仮定が正しかったこと
が証明される。
【0038】以上の仮定を図6においてフローチャート
にて示す。
【0039】この例においては、原因となる事象を仮定
し、それを検証するためにログを収集するという過程を
経ることにより、最初の段階では計算機101や102
のログのうち一部のみを転送すればよいことや、仮定を
検証するために詳細なログを収集するときにでも仮定を
検証するために必要なログのみを収集するために収集す
るログの量を少なく押さえることができ、そのため計算
機104の解析負荷を低く押さえたり、ネットワークの
トラフィックを低く押さえることができるといった効果
が期待される。
【0040】また、これまでの例においてはリアルタイ
ムに処理する様子を記述したが、計算機104がログを
収集するタイミングは一定期間ごとにおこなってもよ
く、その場合はバッチ的に処理することにより同様の処
理が可能である。
【0041】図9は、コンソール計算機106におい
て、オペレータ105に情報を提示する時に重要度や異
常な範囲によって色を変化させるようすをあらわした画
面(901)である。例えば、上記例において、計算機
102から異常な答が出力されたことを検出した場合、
計算機101と102の通信が異常であったと仮定した
段階でコンソール計算機106の画面上において計算機
101と102を示す部分が黄色の警告表示で囲むよう
に表示される(901)。さらに計算機101が原因と
仮定された段階で表示902の代わりに計算機101の
表示を赤く表示する(903)。この例では仮定された
段階で色を変化させたが、証明された段階において色を
変化させることとするのもよい。
【0042】また、ここまで計算機104は計算機10
1、102、103に関する全般的な事柄を監視するも
のとしてきたが、特にコンピュータセキュリティに特化
した監視システムも考えられる。
【0043】例えば、計算機104がログに示された情
報からその原因を仮定し、それを証明するためにより詳
細な情報を収集するシステムにおいて、以下のようなも
のが考えられる。図7を用いて説明する。
【0044】コンピュータネットワークにおける侵入者
がデータを盗み出す場合、必要なデータのみを盗み出す
のではなく、読み取ることのできるデータを全て侵入者
の手元のコンピュータに転送し、あとからそれらを解析
する方法が取られることがある。そのような場合、ネッ
トワークにおけるファイル転送量が通常を大きく上回
る。そこでネットワーク上におけるファイルの転送量を
監視しておき、通常のトラフィックを大きく上回るファ
イル転送量を検出した場合(702)、データベースか
ら自動バックアップを行っているのではないかと仮定す
る(703)。
【0045】そこで、その仮定を立証するために、自動
バックアップのスケジュールおよび実行状況を調査する
(704)。ファイル転送を行っている計算機が自動バ
ックアップの対象になっていないこと、あるいはスケジ
ュールが組まれていないことを発見すると「自動バック
アップを行っている」という仮定は却下される(70
5)。
【0046】さらに解析ルール事例データベース201
を参照することにより、管理者が手動でバックアップを
行っていると仮定する(706)。その仮定を立証する
ためファイル転送を行っている者がバックアップを行う
権限を持っているか、およびバックアップを行う命令を
発行したかどうかを調査する(707)。
【0047】その結果、ファイル転送を行っている者は
バックアップの権限を持っていないことを発見すると
「手動バックアップを行っている」という仮定は却下さ
れる(708) さらにデータベースを検索すると「侵入者がデータを持
ち出している」と仮定できる(709)。そこでファイ
ル転送を行っている者の使用計算機、ファイル転送先を
チェックする(710)。その結果、侵入者がデータを
不正に持ち出していることを発見し(712)、仮定が
立証される(712)。
【0048】さらに以下、図10を用いてログ改ざん防
止に関する発明の説明を行う。
【0049】計算機1001はプログラムの実行結果などを
ログとして出力する。この出力されたログに付加情報を
持たせながら分割し、さらに電子署名を行った後、暗号
化する。ここで付加情報というのはログがn個に分割さ
れた場合、n個未満の個数のログを見るだけで、元の情
報が取り出せるように工夫した情報のことである。例え
ば元のログに付加情報を加えてa,b,cの3つのログに分
割した場合、いづれか2つを読み出すことにより元の情
報を取り出せるよう工夫した情報である。
【0050】具体的な一例をあげると、出力されたログ
が1行1024文字のログを3台の計算機で分割して記
憶する場合には、前半512文字と、後半512文字と
に分割し、また前半部分と後半部分のXORを取ったもの
を付加情報とする。ここで前半部分と後半部分のXORと
いうのは前半部分の1文字目と後半部分の1文字目のXO
Rをとったものを1文字目とし、以下2文字目、3文字
目と512文字目まで同様に繰り返して生成された文字
列のことをいう。
【0051】ログは通信線1002,1003,1004を通り、それ
ぞれ計算機1005,1006,1007が受け取る。計算機1005,100
6,1007は受け取ったログ情報を復号化したのち、記憶装
置に保存する。
【0052】計算機1011はログを読み出すにあたって、
通常計算機1005,1006,1007の3台にアクセスすることに
より計算機1001が出力したログを読み出すことができる
が、計算機1005,1006,1007のうちいづれかの1台の記憶
装置の内容が変化、改ざんされていた場合でも、他の2
台の情報から計算機1001が出力したログを復元すること
ができる。
【0053】さきほどのXORの例でいえば前半512文
字のデータ、あるいは後半512文字のデータが失われ
てしまったとしても、前半後半のデータのうち、失われ
ていない方のデータとXORしたデータとのXORを計算
することにより、失われてしまったデータを復元するこ
とができる。
【0054】ここでは計算機1001において、ログに付加
情報を加え分割した後、認証情報を加え暗号化を行って
いるが、認証情報を加える作業と付加情報を加え分割す
る作業と、暗号化は、そのいづれかもしくは全部を行わ
ないことも可能である。その場合は計算機1011におい
て、それらに対応した処理を省くこととする。
【0055】また、ここではログを出力する計算機と記
憶する計算機と読み出す計算機を別の個体としたが、こ
れらは一つの個体の内部において実現されてもよい。
【0056】以上に説明したように、本発明によれば、
ネットワークおよびマネージャ計算機に必要以上の処理
負荷をかけることなく、さらに、エージェントの状態の
把握に必要十分な量のログを収集することが可能とな
る。
【0057】さらに、本発明によれば、一個所の計算機
の状態を監視するだけではわからない事象を検出するこ
とが可能となる。
【0058】さらに、本発明によれば、計算機に異常が
発生した場合に、オペレータが監視画面を見た瞬間にど
の計算機システムの異常の範囲と異常の程度が容易に把
握できる。
【0059】さらに、本発明によれば複数の計算機から
出力されたログの関連付けや出力されたログに基づきさ
らに詳細な情報を得るという作業を自動化することで管
理者の負担を軽減させることができる。
【0060】さらに、本発明によれば計算機から出力さ
れるログが途中で改ざんされたり、盗聴されたり、偽の
ログを紛れ込ませたりするのを防ぎ、さらに、一部を改
ざんされた場合にでも元の情報を復元することができ
る。
【0061】
【発明の効果】以上に説明したように、、本発明によれ
ば、システムに発生する事象を正確に検出することが可
能となり、異常が発生した場合でもその範囲と程度を容
易に把握できる。また、データを復元することも可能に
なる。
【図面の簡単な説明】
【図1】本実施例に係る計算機システムの全体構成図。
【図2】マネージャが、各計算機のログを収集/解析す
ることにより各計算機を監視するためのシステム構成を
表す図。
【図3】マネージャおよびエージェントの各計算機のハ
ードウエア構成図。
【図4】解析ルール事例DBの内容の一例を表す図。
【図5】ログに出力された内容から、その原因に関して
仮説を立て、それを立証するために詳細なログを収集
し、要因を絞り込む基本手順を表す図。
【図6】ログに出力された内容から、その原因に関して
仮説を立て、それを立証するためにさらに詳細なログを
収集し、要因を絞り込む手順の一例。
【図7】ログに出力された内容から、その原因に関して
仮説を立て、それを立証するためにさらに詳細なログを
収集し、要因を絞り込む手順の一例。
【図8】ログに出力された内容から、その原因に関して
仮説を立て、それを立証するためにさらに詳細なログを
収集し、要因を絞り込む過程において、コンソールの画
面上に色表示を行うことを含めた手順の一例。
【図9】オペレータの監視画面の一例を表す図。
【図10】ログの改ざん防止および改ざんされた場合の
回復のためのシステム構成を表す図。
【符号の説明】
101〜104:計算機、105:オペレータ、10
6:コンソール、121〜124:補助記憶装置、20
1:解析ルール事例DB、202:コンソール制御部、
203:データ解析部、204:収集項目制御部、20
5:ログ収集部、206:ログDB、207:マネージ
ャ、211:画面表示部、213:キーボード入力部、
212:コンソール制御部、221:解析ルール事例D
B、222:ログフィルタ、223:ログDB、22
4:アプリケーションプログラム、225:エージェン
ト、300:計算機、301:主記憶装置、302:中
央処理装置、303:ネットワーク制御装置、304:
ローカルエリアネットワーク、305:通信回線、30
6:デイスク装置、307:デイスク制御装置、90
1:画面領域、902、903:障害の原因と推定され
る領域、1001:ログ出力マシン、1002〜100
4、1008〜1010:ログデータ、1011:ログ
表示マシン。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 藤野 修司 神奈川県横浜市戸塚区戸塚町5030番地 株式会社日立製作所 ソフトウェア開発 本部内 (72)発明者 佐藤 敏夫 神奈川県横浜市戸塚区戸塚町5030番地 株式会社日立製作所 ソフトウェア開発 本部内 (56)参考文献 特開 平3−225536(JP,A) 特開 平7−200365(JP,A) 特開 平8−221295(JP,A) 特開 平5−191494(JP,A) 特開 平9−212311(JP,A) 特開 平7−110776(JP,A) (58)調査した分野(Int.Cl.7,DB名) G06F 11/30 G06F 13/00 351

Claims (6)

    (57)【特許請求の範囲】
  1. 【請求項1】複数の計算機と該複数の計算機の障害監視
    をする管理マネージャとを有する計算機監視システムに
    よる障害監視方法であって、 上記管理マネージャは、上記複数の計算機から 計算機各々のログを収集し、上記複数の計算機の ログ各々を比較ことによって、上記
    計算機各々の障害発生を検知することを特徴とする障害
    監視方法。
  2. 【請求項2】請求項1に記載の障害監視方法において、 さらに、上記管理マネージャは、 上記ログ各々に対して監視レベルを設定し、 上記計算機各々に対して、上記監視レベルを通知し、 上記計算機は、上記監視レベルに基づいて上記ログ各々
    を上記管理マネージャに送信することを特徴とする障害
    監視方法。
  3. 【請求項3】請求項1に記載の障害監視方法において、 上記管理マネージャは、上記ログの内容から、障害原因
    に関して仮説を立て、 上記仮説を立証するためにさらに詳細なログを収集する
    ことを特徴とする障害監視方法。
  4. 【請求項4】請求項1に記載の障害監視方法において、 上記管理マネージャは、不信な挙動を示す計算機のあや
    しさの度合い又はあやしい計算機が存在する可能性に応
    じて、監視画面上の色又は警告音を変化させることを特
    徴とする障害監視方法。
  5. 【請求項5】請求項1に記載の障害監視方法において、 上記管理マネージャは、上記ログを保存または転送する
    前に電子署名を行い、 上記ログに冗長なデータを付加することにより、該ログ
    の一部が紛失または改ざんされた場合においても該ログ
    を復元することを特徴とする障害監視方法。
  6. 【請求項6】請求項1または5に記載の障害監視方法に
    おいて、 上記管理マネージャは、上記ログを複数の計算機に分割
    して保存しておくことにより、分割されたログの一部が
    紛失または改ざんされた場合においても元のデータを復
    元できる手段を有することを特徴とした計算機システム
    の監視方法。
JP30606897A 1997-11-07 1997-11-07 計算機システムの監視方法 Expired - Fee Related JP3351318B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP30606897A JP3351318B2 (ja) 1997-11-07 1997-11-07 計算機システムの監視方法
EP98120429A EP0920155A3 (en) 1997-11-07 1998-10-28 Method for monitoring a computer system
US09/186,076 US6289379B1 (en) 1997-11-07 1998-11-05 Method for monitoring abnormal behavior in a computer system
US09/911,386 US6434616B2 (en) 1997-11-07 2001-07-25 Method for monitoring abnormal behavior in a computer system
US10/167,584 US7136918B2 (en) 1997-11-07 2002-06-13 Method for monitoring abnormal behavior in a computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP30606897A JP3351318B2 (ja) 1997-11-07 1997-11-07 計算機システムの監視方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2002203454A Division JP2003132019A (ja) 2002-07-12 2002-07-12 計算機システムの障害監視方法

Publications (2)

Publication Number Publication Date
JPH11143738A JPH11143738A (ja) 1999-05-28
JP3351318B2 true JP3351318B2 (ja) 2002-11-25

Family

ID=17952667

Family Applications (1)

Application Number Title Priority Date Filing Date
JP30606897A Expired - Fee Related JP3351318B2 (ja) 1997-11-07 1997-11-07 計算機システムの監視方法

Country Status (3)

Country Link
US (3) US6289379B1 (ja)
EP (1) EP0920155A3 (ja)
JP (1) JP3351318B2 (ja)

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6499114B1 (en) * 1999-02-17 2002-12-24 General Electric Company Remote diagnostic system and method collecting sensor data according to two storage techniques
US6691067B1 (en) * 1999-04-07 2004-02-10 Bmc Software, Inc. Enterprise management system and method which includes statistical recreation of system resource usage for more accurate monitoring, prediction, and performance workload characterization
US6615259B1 (en) * 1999-05-20 2003-09-02 International Business Machines Corporation Method and apparatus for scanning a web site in a distributed data processing system for problem determination
US6628654B1 (en) * 1999-07-01 2003-09-30 Cisco Technology, Inc. Dispatching packets from a forwarding agent using tag switching
US7051066B1 (en) * 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6549516B1 (en) * 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6769022B1 (en) * 1999-07-09 2004-07-27 Lsi Logic Corporation Methods and apparatus for managing heterogeneous storage devices
US6553515B1 (en) * 1999-09-10 2003-04-22 Comdial Corporation System, method and computer program product for diagnostic supervision of internet connections
US6915342B1 (en) * 2000-02-04 2005-07-05 Ricoh Company Limited Method and system for maintaining the business office appliance through log files
US6505245B1 (en) * 2000-04-13 2003-01-07 Tecsys Development, Inc. System and method for managing computing devices within a data communications network from a remotely located console
US6643802B1 (en) * 2000-04-27 2003-11-04 Ncr Corporation Coordinated multinode dump collection in response to a fault
JP2002073954A (ja) * 2000-08-24 2002-03-12 Nec Corp コンピュータ周辺装置の販売促進システムおよび販売促進方法
US6836462B1 (en) 2000-08-30 2004-12-28 Cisco Technology, Inc. Distributed, rule based packet redirection
JP2002082834A (ja) * 2000-09-07 2002-03-22 Toshiba Corp 履歴管理用の記憶媒体及びicカード
KR100379821B1 (ko) * 2000-09-19 2003-04-18 이병길 네트워크 상의 컴퓨터에 연결된 유에스비 주변 장치의분리 감시 방법 및 시스템
US7231391B2 (en) * 2001-02-06 2007-06-12 Quest Software, Inc. Loosely coupled database clusters with client connection fail-over
US20020129146A1 (en) * 2001-02-06 2002-09-12 Eyal Aronoff Highly available database clusters that move client connections between hosts
US6701464B2 (en) * 2001-03-01 2004-03-02 International Business Machines Corporation Method and system for reporting error logs within a logical partition environment
GB2374493A (en) * 2001-04-12 2002-10-16 Mitel Knowledge Corp Mobile interactive logging (MILog) of network devices
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
JP3626458B2 (ja) * 2001-06-04 2005-03-09 株式会社ソニー・コンピュータエンタテインメント ログ収集解析システム、ログ収集方法、コンピュータに実行させるためのログ収集プログラム、ログ解析方法、コンピュータに実行させるためのログ解析プログラム、ログ収集装置、ログ解析装置、ログ収集端末、ログサーバ
US7107589B1 (en) * 2001-09-28 2006-09-12 Siebel Systems, Inc. Infrastructure for the automation of the assembly of schema maintenance scripts
US20030069950A1 (en) * 2001-10-04 2003-04-10 Adc Broadband Access Systems Inc. Configuration server updating
US7120819B1 (en) * 2001-11-15 2006-10-10 3Com Corporation Method and system for fault diagnosis in a data network
US7349961B2 (en) * 2001-12-07 2008-03-25 Hitachi, Ltd. Detecting configuration inconsistency in storage networks
US20030149786A1 (en) * 2002-02-06 2003-08-07 Mark Duffy Efficient counter retrieval
US7155514B1 (en) 2002-09-12 2006-12-26 Dorian Software Creations, Inc. Apparatus for event log management
US7188171B2 (en) * 2003-01-23 2007-03-06 Hewlett-Packard Development Company, L.P. Method and apparatus for software and hardware event monitoring and repair
JP2004264970A (ja) * 2003-02-28 2004-09-24 Hitachi Ltd プログラム、情報処理装置、及び情報処理装置におけるログデータの出力方法
US7008935B2 (en) * 2003-03-03 2006-03-07 L'oreal Amine, amide, sulphonamide and carbamate derivatives of benzalmalonic salts and photoprotective cosmetic compositions comprised thereof
AU2004228342A1 (en) * 2003-04-04 2004-10-21 Computer Associates Think, Inc. Method and system for management and configuration of remote agents
WO2004091141A1 (en) * 2003-04-14 2004-10-21 Bsafe Information Systems (1983) Ltd. Computer system to record, process and analyse information concerning communications transmitted through a telecommunications network managed by at least one computer and a method to implement such computer system
US20050034134A1 (en) * 2003-07-11 2005-02-10 Jason Lieblich Distributed computer monitoring system and methods for autonomous computer management
US7269757B2 (en) * 2003-07-11 2007-09-11 Reflectent Software, Inc. Distributed computer monitoring system and methods for autonomous computer management
US20050071337A1 (en) * 2003-09-25 2005-03-31 International Business Machines Corporation Encryption of query execution details in a database management system
JP4641714B2 (ja) * 2003-11-12 2011-03-02 ソニー株式会社 遠隔監視システム
US20050193270A1 (en) * 2004-02-12 2005-09-01 General Electric Company Mobile remote monitoring and diagnostics and method
US7325170B2 (en) * 2004-03-19 2008-01-29 Hewlett-Packard Development Company, L.P. Method and system for providing information for remote device support
US7346808B2 (en) * 2004-06-09 2008-03-18 Hewlett-Packard Development Company, L.P. Diagnostic method, system, and program that isolates and resolves partnership problems between a portable device and a host computer
US8195952B2 (en) * 2004-12-14 2012-06-05 International Business Machines Corporation System and method of facilitating the identification of a computer on a network
JP4473766B2 (ja) * 2005-04-04 2010-06-02 株式会社日立製作所 計算機システム、ログ収集方法、及びコンピュータプログラム
US7657624B2 (en) * 2005-06-22 2010-02-02 Hewlett-Packard Development Company, L.P. Network usage management system and method
KR100747467B1 (ko) * 2005-10-01 2007-08-09 엘지전자 주식회사 로그 관리 객체를 이용한 장치관리 시스템 및 해당시스템에서의 로깅 데이터 생성 및 제어 방법
US7653633B2 (en) * 2005-11-12 2010-01-26 Logrhythm, Inc. Log collection, structuring and processing
WO2007096959A1 (ja) * 2006-02-22 2007-08-30 Fujitsu Limited イベントログ管理プログラム、イベントログ管理装置、およびイベントログ管理方法
JP2008108120A (ja) * 2006-10-26 2008-05-08 Hitachi Ltd エージェントを使用して性能を監視する計算機システム及びその方法
US8880478B2 (en) * 2006-12-28 2014-11-04 International Business Machines Corporation Scan-free archiving
JP4257364B2 (ja) * 2007-01-24 2009-04-22 富士通株式会社 通信エラー情報出力プログラム、通信エラー情報出力方法および通信エラー情報出力装置
US7716534B2 (en) * 2007-05-04 2010-05-11 Alcatel-Lucent Usa Inc. Methods and apparatus for measuring performance in processing system
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
US8863278B2 (en) * 2008-05-28 2014-10-14 International Business Machines Corporation Grid security intrusion detection configuration mechanism
US9154386B2 (en) * 2008-06-06 2015-10-06 Tdi Technologies, Inc. Using metadata analysis for monitoring, alerting, and remediation
US8260751B2 (en) * 2008-08-12 2012-09-04 Tdi Technologies, Inc. Log file time sequence stamping
US8255997B2 (en) 2008-09-29 2012-08-28 At&T Intellectual Property I, L.P. Contextual alert of an invasion of a computer system
FR2939532B1 (fr) * 2008-12-10 2011-01-21 Airbus France Procede et dispositif de detection de non regression d'un systeme d'entree/sortie dans un environnement de simulation
US8462619B2 (en) 2009-12-10 2013-06-11 At&T Intellectual Property I, L.P. Systems and methods for providing fault detection and management
US9384112B2 (en) 2010-07-01 2016-07-05 Logrhythm, Inc. Log collection, structuring and processing
US9780995B2 (en) 2010-11-24 2017-10-03 Logrhythm, Inc. Advanced intelligence engine
AU2011332881B2 (en) 2010-11-24 2016-06-30 LogRhythm Inc. Advanced intelligence engine
CN102739794B (zh) * 2012-07-04 2016-03-30 深圳市京华科讯科技有限公司 基于多层架构的桌面监控系统
CN103076792B (zh) * 2013-01-23 2016-05-18 中禹环境工程(北京)有限公司 感知传输设备及管理系统
WO2014119255A1 (ja) 2013-01-29 2014-08-07 パナソニック株式会社 情報管理方法、制御システム及び表示機器の制御方法
US11735026B1 (en) 2013-02-04 2023-08-22 C/Hca, Inc. Contextual assessment of current conditions
US10642958B1 (en) 2014-12-22 2020-05-05 C/Hca, Inc. Suggestion engine
US10672251B1 (en) * 2014-12-22 2020-06-02 C/Hca, Inc. Contextual assessment of current conditions
US10665348B1 (en) 2015-05-18 2020-05-26 C/Hca, Inc. Risk assessment and event detection
JP5999254B2 (ja) 2013-03-18 2016-09-28 富士通株式会社 管理装置、方法及びプログラム
US9910883B2 (en) 2014-04-07 2018-03-06 International Business Machines Corporation Enhanced batch updates on records and related records system and method
US10204134B2 (en) 2014-08-14 2019-02-12 International Business Machines Corporation Automatic detection of problems in a large-scale multi-record update system and method
CN109997198B (zh) * 2016-10-12 2023-08-04 英佰达公司 综合疾病管理系统
JP6932779B2 (ja) * 2016-11-23 2021-09-08 Line株式会社 検知結果が有効であるかないかを検証する方法およびシステム
US11190431B2 (en) * 2017-07-18 2021-11-30 Vmware, Inc. Prioritized client-server communications based on server health

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US604476A (en) * 1898-05-24 Adjustable corn-husker
JPS63292248A (ja) * 1987-05-25 1988-11-29 Nec Corp デ−タ処理システム
JP2656643B2 (ja) * 1990-01-31 1997-09-24 日本電気株式会社 ログデータ採取方法とその装置
US5130992A (en) * 1990-04-16 1992-07-14 International Business Machines Corporaiton File-based redundant parity protection in a parallel computing system
US5768552A (en) * 1990-09-28 1998-06-16 Silicon Graphics, Inc. Graphical representation of computer network topology and activity
EP0503784B1 (en) * 1991-03-12 1998-06-10 Hewlett-Packard Company Hypothesis and conclusion method to diagnose data communication network
JP2595833B2 (ja) 1991-05-16 1997-04-02 富士通株式会社 遠隔保守装置
JP3160017B2 (ja) * 1991-08-28 2001-04-23 株式会社日立製作所 網管理表示装置
JPH05191494A (ja) * 1992-01-09 1993-07-30 Toshiba Corp 監視装置
FR2706652B1 (fr) * 1993-06-09 1995-08-18 Alsthom Cge Alcatel Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif.
JPH07200365A (ja) * 1993-12-28 1995-08-04 Nec Corp 端末ログ情報集中管理方式
JPH08221295A (ja) * 1995-02-13 1996-08-30 Mitsubishi Electric Corp 障害支援装置
US5655081A (en) * 1995-03-08 1997-08-05 Bmc Software, Inc. System for monitoring and managing computer resources and applications across a distributed computing environment using an intelligent autonomous agent architecture
TW292365B (en) * 1995-05-31 1996-12-01 Hitachi Ltd Computer management system
JPH09212311A (ja) * 1996-01-31 1997-08-15 Ekushingu:Kk ディスクアレイ装置
JP3472026B2 (ja) * 1996-03-26 2003-12-02 富士通株式会社 ログ情報採取解析装置
US5768501A (en) * 1996-05-28 1998-06-16 Cabletron Systems Method and apparatus for inter-domain alarm correlation
JPH10110817A (ja) * 1996-10-04 1998-04-28 Toyota Motor Corp 車両の制御装置
US6122663A (en) * 1996-12-10 2000-09-19 Intel Corporation Method and apparatus for tracking program execution time in a computer system
US5768555A (en) * 1997-02-20 1998-06-16 Advanced Micro Devices, Inc. Reorder buffer employing last in buffer and last in line bits
JP3507270B2 (ja) * 1997-02-20 2004-03-15 株式会社日立製作所 ネットワーク管理システム、ネットワーク機器、ネットワーク管理方法およびネットワーク管理ツール
US6085244A (en) * 1997-03-17 2000-07-04 Sun Microsystems, Inc. Dynamic test update in a remote computer monitoring system
US6138250A (en) * 1997-05-13 2000-10-24 Micron Electronics, Inc. System for reading system log
US6081893A (en) * 1997-05-28 2000-06-27 Symantec Corporation System for supporting secured log-in of multiple users into a plurality of computers using combined presentation of memorized password and transportable passport record
US6119159A (en) * 1997-09-09 2000-09-12 Ncr Corporation Distributed service subsystem protocol for distributed network management
US20020085571A1 (en) * 1997-11-04 2002-07-04 Branislav N. Meandzija Enhanced simple network management protocol (snmp) for network and systems management
US6138249A (en) * 1997-12-11 2000-10-24 Emc Corporation Method and apparatus for monitoring computer systems during manufacturing, testing and in the field
US6401119B1 (en) * 1998-09-18 2002-06-04 Ics Intellegent Communication Software Gmbh Method and system for monitoring and managing network condition

Also Published As

Publication number Publication date
US20020165959A1 (en) 2002-11-07
EP0920155A2 (en) 1999-06-02
US7136918B2 (en) 2006-11-14
JPH11143738A (ja) 1999-05-28
US6434616B2 (en) 2002-08-13
EP0920155A3 (en) 1999-11-17
US6289379B1 (en) 2001-09-11
US20010042119A1 (en) 2001-11-15

Similar Documents

Publication Publication Date Title
JP3351318B2 (ja) 計算機システムの監視方法
US5475625A (en) Method and arrangement for monitoring computer manipulations
US7975302B2 (en) System for real-time detection of computer system files intrusion
US20020188870A1 (en) Intrusion tolerant server system
US20090125547A1 (en) Storage System for Managing a Log of Access
US20050273673A1 (en) Systems and methods for minimizing security logs
WO2001084270A2 (en) Method and system for intrusion detection in a computer network
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
JP2005526311A (ja) データベースシステムを監視するための方法および装置
Lindqvist et al. eXpert-BSM: A host-based intrusion detection solution for Sun Solaris
CN105721198A (zh) 一种视频监控系统日志安全审计方法
CN115114305A (zh) 分布式数据库的锁管理方法、装置、设备及存储介质
CN105930740B (zh) 软体文件被修改时的来源追溯方法、监测方法、还原方法及系统
JP2003132019A (ja) 計算機システムの障害監視方法
JPH10107795A (ja) ネットワーク管理システム
CN113360568A (zh) 一种联盟链数据屏蔽方法、系统及计算机可读存储介质
KR20000040269A (ko) 실시간 침입 탐지 시스템에서의 에이전트 구조를 이용한 실시간침입 탐지 방법
CN113923036A (zh) 一种持续免疫安全系统的区块链信息管理方法及装置
CN113596402A (zh) 事中监控方法、装置、设备、系统和存储介质
CN116886406B (zh) 一种计算机网络数据安全智能防护系统
JP2004021873A (ja) インターネットシステム監視装置
KR20070094203A (ko) 무정지 자동복구 서버시스템 데이터동기화 방법
JPH07262135A (ja) セキュリティ管理装置
KR102657161B1 (ko) 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체
Reynolds et al. Continual repair for windows using the event log

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070920

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080920

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080920

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090920

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090920

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100920

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100920

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110920

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120920

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120920

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130920

Year of fee payment: 11

LAPS Cancellation because of no payment of annual fees