JP4464655B2 - Computer monitoring apparatus and message processing method related to monitored computer - Google Patents

Computer monitoring apparatus and message processing method related to monitored computer Download PDF

Info

Publication number
JP4464655B2
JP4464655B2 JP2003376817A JP2003376817A JP4464655B2 JP 4464655 B2 JP4464655 B2 JP 4464655B2 JP 2003376817 A JP2003376817 A JP 2003376817A JP 2003376817 A JP2003376817 A JP 2003376817A JP 4464655 B2 JP4464655 B2 JP 4464655B2
Authority
JP
Japan
Prior art keywords
conditions
message
order
computer
met
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003376817A
Other languages
Japanese (ja)
Other versions
JP2005141466A (en
Inventor
政行 島田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2003376817A priority Critical patent/JP4464655B2/en
Publication of JP2005141466A publication Critical patent/JP2005141466A/en
Application granted granted Critical
Publication of JP4464655B2 publication Critical patent/JP4464655B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、コンピュータシステムの監視を行う監視装置に関し、特に、監視装置が受信するメッセージのフィルタリング処理に関する。   The present invention relates to a monitoring apparatus that monitors a computer system, and more particularly to filtering processing of messages received by the monitoring apparatus.

近年、コンピュータのソフトウェアの多様化及びハードウェアの性能向上に伴い、システムの運用要件が複雑化してきている。このため、コンピュータシステムの運用監視を行う監視装置は、各ソフトウェアおよびハードウェアからより多くの情報、例えば情報メッセージおよび障害メッセージなどを取得しなければならなくなっている。この結果、処理しなければならないメッセージ数が膨大になり、監視装置の処理速度の低下、あるいは、運用オペレータの負担が増大することによるメッセージ見落としなどの問題が生じるおそれがある。このことは、ソフトウェア及びハードウェアごとに個別の運用管理ツールを導入し、それらのツールをさらに統合的に監視するツール(統合監視システム)を導入するようなときには、さらに顕著となる。   In recent years, with the diversification of computer software and the improvement of hardware performance, system operation requirements have become more complex. For this reason, a monitoring apparatus that monitors the operation of a computer system has to acquire more information, such as information messages and failure messages, from each software and hardware. As a result, the number of messages that need to be processed becomes enormous, which may cause problems such as a decrease in the processing speed of the monitoring apparatus or an oversight of messages due to an increase in the burden on the operation operator. This becomes even more prominent when individual operation management tools are introduced for each software and hardware, and tools (integrated monitoring system) for monitoring these tools in an integrated manner are introduced.

そこで、このような事態を回避するために、一部の監視装置には、不要なメッセージを破棄し、必要なメッセージのみを抽出するメッセージフィルタリング機能を搭載しているものがある(例えば非特許文献1)。   Therefore, in order to avoid such a situation, some monitoring apparatuses have a message filtering function that discards unnecessary messages and extracts only necessary messages (for example, non-patent literature). 1).

http://www-6.ibm.com/jp/software/tivoli/products/systems_mgr.htmlhttp://www-6.ibm.com/jp/software/tivoli/products/systems_mgr.html

しかし、より詳細に対象システムを監視すればするほど、一つの監視装置に集まるメッセージ数が増え、それに連れてフィルタリング処理の負荷が増大する。この結果、フィルタリングの負荷が増大すれば、フィルタリングを行ってもなお、監視装置全体の処理性能を向上させることは難しい。   However, as the target system is monitored in more detail, the number of messages gathered in one monitoring apparatus increases, and the filtering processing load increases accordingly. As a result, if the filtering load increases, it is difficult to improve the processing performance of the entire monitoring apparatus even if filtering is performed.

そこで、本発明の目的は、監視装置のフィルタリング処理の性能を向上させることである。   Therefore, an object of the present invention is to improve the performance of the filtering process of the monitoring device.

本発明の一つの実施態様に従うコンピュータの監視装置は、監視対象のコンピュータに関するメッセージを受信する受信部と、前記受信部が受信した前記メッセージに対して、複数の条件を定められた順序に従って適用し、いずれか一つの条件が合致すると、それ以降の条件の適用を行わないメッセージ判定処理部と、前記合致した条件の識別情報に基づいて、前記識別情報別に前記合致の実績を蓄積し、前記実績に基づいて前記複数の条件を適用する前記順序を定める順序決定部と、前記メッセージ判定処理部で前記複数の条件のいずれにも合致しなかった前記メッセージを記憶する記憶部と、を備える。   According to one embodiment of the present invention, a computer monitoring apparatus applies a plurality of conditions to a receiving unit that receives a message about a computer to be monitored, and the message received by the receiving unit in a predetermined order. , If any one of the conditions is met, a message determination processing unit that does not apply the subsequent conditions, and based on the identification information of the matched conditions, accumulates the results of the match by the identification information, and the results And an order determining unit that determines the order in which the plurality of conditions are applied, and a storage unit that stores the message that does not match any of the plurality of conditions in the message determination processing unit.

好適な実施形態では、前記順序決定部は、前記識別情報別に前記合致した合致回数を計数し、前記合致回数に基づいて前記順序を定めるようにしてもよい。   In a preferred embodiment, the order determination unit may count the number of matched matches for each identification information, and determine the order based on the number of matches.

好適な実施形態では、前記順序決定部は、前記識別情報別、かつ、時間帯別に前記合致した時間帯別合致回数を計数する。そして、所定の時間帯以降の前記時間帯別合致回数に基づいて前記順序を定めることもできる。   In a preferred embodiment, the order determination unit counts the number of matches for each matching time zone for each identification information and for each time zone. Then, the order can be determined based on the number of matches by time zone after a predetermined time zone.

好適な実施形態では、前記時間帯別合致回数に対して、現在時刻に近い時間帯ほど大きな計数を掛けて重み付けを行う。そして、重み付けされた回数に基づいて前記順序を定めるようにしてもよい。   In a preferred embodiment, the number of matches by time zone is weighted by multiplying a larger count in the time zone closer to the current time. The order may be determined based on the weighted number of times.

好適な実施形態では、前記合致回数に対して、メッセージ判定処理部がそれぞれの条件を処理するのに要する時間に応じた重み付けを行う。そして、重み付けされた回数に基づいて前記順序を定めることもできる。   In a preferred embodiment, the number of matches is weighted according to the time required for the message determination processing unit to process each condition. The order may be determined based on the weighted number of times.

好適な実施形態では、前記順序決定部は、前記複数の条件のうち、所定期間内の前記合致回数が所定回数以下である条件を、前記メッセージ判定処理部が適用する前記複数の条件から削除するようにしてもよい。   In a preferred embodiment, the order determination unit deletes, from the plurality of conditions applied by the message determination processing unit, a condition in which the number of matches within a predetermined period is equal to or less than a predetermined number among the plurality of conditions. You may do it.

好適な実施形態では、前記受信部は、複数の他のコンピュータ監視装置から送信された、前記監視対象のコンピュータに関するメッセージを受信することもできる。   In a preferred embodiment, the receiving unit may receive a message regarding the monitored computer transmitted from a plurality of other computer monitoring devices.

以下、本発明の一実施形態に係るコンピュータの統合監視システムついて、図面を用いて説明する。   Hereinafter, a computer integrated monitoring system according to an embodiment of the present invention will be described with reference to the drawings.

本システムの全体構成を図1に示す。本システムは、統合監視装置1と、記憶装置2と、外部運用管理装置3と、CRT(Cathode Ray Tube)または液晶表示装置などの表示装置4とを備える。統合監視装置1と外部運用管理装置3とは、LAN(Local Area Network)またはインターネットなどのネットワーク9で接続されている。   The overall structure of this system is shown in FIG. This system includes an integrated monitoring device 1, a storage device 2, an external operation management device 3, and a display device 4 such as a CRT (Cathode Ray Tube) or a liquid crystal display device. The integrated monitoring device 1 and the external operation management device 3 are connected by a network 9 such as a LAN (Local Area Network) or the Internet.

統合監視装置1および外部運用管理装置3は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する各装置1,3内の個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。   The integrated monitoring device 1 and the external operation management device 3 are both configured by, for example, a general-purpose computer system, and individual components or functions in the devices 1 and 3 described below execute, for example, a computer program Is realized.

統合監視装置1は、監視対象となるコンピュータ(図示しない)を監視する。その際、本実施形態では、統合監視装置1は外部運用監視装置3を介して監視する。つまり、各外部運用監視装置3がそれぞれ監視対象としているコンピュータを監視する。   The integrated monitoring apparatus 1 monitors a computer (not shown) to be monitored. At this time, in the present embodiment, the integrated monitoring device 1 monitors via the external operation monitoring device 3. That is, each external operation monitoring device 3 monitors a computer that is a monitoring target.

外部運用管理装置3は、例えば、個別にそれぞれの監視対象コンピュータのソフトウェア及びハードウェアを監視する。そして、外部運用管理装置3は、それぞれの監視対象コンピュータの動作状態、例えばアプリケーションプログラムの動作状況(正常終了したかまたは異常終了したか)、ネットワークの通信状態、データベースの更新状況などを示す情報を取得する。従って、外部運用管理装置3は、例えば、市販されているジョブの運用管理を行うジョブスケジュールツール、ネットワーク障害を監視するネットワーク監視ツール、またはデータベースの稼働状況を監視するデータベース監視ツール等を用いることができる。   For example, the external operation management apparatus 3 individually monitors the software and hardware of each monitored computer. The external operation management apparatus 3 then displays information indicating the operating status of each monitored computer, for example, the operating status of the application program (whether it has been normally or abnormally terminated), the network communication status, the database update status, etc. get. Therefore, the external operation management apparatus 3 uses, for example, a job schedule tool that manages the operation of commercially available jobs, a network monitoring tool that monitors network failures, or a database monitoring tool that monitors the operating status of a database. it can.

それぞれの外部運用監視装置3は、監視対象コンピュータの動作状態を示す情報に基づいて、監視対象のコンピュータに関するメッセージ50を統合監視装置1へ送信する。   Each external operation monitoring device 3 transmits a message 50 relating to the monitoring target computer to the integrated monitoring device 1 based on the information indicating the operating state of the monitoring target computer.

統合監視装置1は、外部運用監視装置3から送られるメッセージ50を受信し、このメッセージ50を所定のルールに従ってフィルタリングを行って、メッセージ数を削減する。そして、統合監視装置1は、フィルタリングを通過して残ったメッセージ50を表示装置4に表示させる。フィルタリング処理の詳細については、以下に説明する。   The integrated monitoring apparatus 1 receives the message 50 sent from the external operation monitoring apparatus 3, filters the message 50 according to a predetermined rule, and reduces the number of messages. Then, the integrated monitoring device 1 causes the display device 4 to display the message 50 remaining after filtering. Details of the filtering process will be described below.

記憶装置2は、メッセージ50のフィルタリングをするための判定条件が記憶されている。記憶装置2としては、例えば、ハードディスクまたはCD−ROMなどを用いることができる。また、記憶装置2は、ネットワークを介して接続された他のコンピュータの記憶装置であってもよい。   The storage device 2 stores a determination condition for filtering the message 50. As the storage device 2, for example, a hard disk or a CD-ROM can be used. The storage device 2 may be a storage device of another computer connected via a network.

統合監視装置1は、図1に示すように、判定条件取得部11と、判定条件記憶部12と、メッセージ受信部13と、フィルタリング処理部14と、表示制御部15と、バッファ16と、メッセージ記憶部17と、判定順位更新部18とを備える。判定順位更新部18は、カウンタ19を備え、これを管理する。   As shown in FIG. 1, the integrated monitoring apparatus 1 includes a determination condition acquisition unit 11, a determination condition storage unit 12, a message reception unit 13, a filtering processing unit 14, a display control unit 15, a buffer 16, and a message. A storage unit 17 and a determination order update unit 18 are provided. The determination rank update unit 18 includes a counter 19 and manages it.

判定条件取得部11は、記憶装置2に格納されているメッセージフィルタリングのための判定条件を取得する。ここで取得した判定条件は、判定条件記憶部12に格納される。以下に説明するフィルタリング処理を行うために、判定条件記憶部12にあらかじめ判定条件を格納しておく。   The determination condition acquisition unit 11 acquires a determination condition for message filtering stored in the storage device 2. The determination condition acquired here is stored in the determination condition storage unit 12. In order to perform the filtering process described below, the determination condition is stored in the determination condition storage unit 12 in advance.

判定条件記憶部12は、例えば、図2に示すようなデータ構造を有する。すなわち、判定順位121と、判定ID122と、判定条件123とをデータ項目として有する。そして、判定条件記憶部12には、各項目のデータがセットされた複数の判定条件レコードが格納可能である。複数の判定条件レコードは、以下に説明する判定順位121の順にソートされていてもよい。   The determination condition storage unit 12 has, for example, a data structure as shown in FIG. That is, the determination item 121, the determination ID 122, and the determination condition 123 are included as data items. The determination condition storage unit 12 can store a plurality of determination condition records in which data of each item is set. The plurality of determination condition records may be sorted in the order of determination order 121 described below.

判定順位121は、後述するフィルタリング処理部14が複数の判定条件を適用する順番を示している。つまり、フィルタリング処理部14は、判定順位121が「1」の判定条件123から順に、受信したメッセージ50がその条件に合致するかを判定する。判定順位121は、後述するように、判定順位更新部18によって更新される。判定ID122は、判定条件123を一意に識別するための情報である。判定条件123は、フィルタリング処理部14がメッセージを破棄する条件を示す。つまり、判定条件123に示す条件に合致するメッセージは破棄される。   The determination order 121 indicates the order in which the filtering processing unit 14 described later applies a plurality of determination conditions. That is, the filtering processing unit 14 determines whether or not the received message 50 matches the condition in order from the determination condition 123 whose determination order 121 is “1”. The determination order 121 is updated by the determination order update unit 18 as described later. The determination ID 122 is information for uniquely identifying the determination condition 123. The determination condition 123 indicates a condition in which the filtering processing unit 14 discards the message. That is, a message that matches the condition indicated by the determination condition 123 is discarded.

図1を参照すると、メッセージ受信部13は、ネットワーク9を介して外部運用監視装置3から送られてくるメッセージ50を受信する。メッセージ受信部13が受信したメッセージ50は、バッファ16に一時的に蓄積される。   Referring to FIG. 1, the message receiving unit 13 receives a message 50 sent from the external operation monitoring device 3 via the network 9. The message 50 received by the message receiving unit 13 is temporarily stored in the buffer 16.

メッセージ受信部13が受信するメッセージ50のフォーマットの一例を図3に示す。メッセージ50は、同図に示すように、メッセージID51と、システム名52と、発生元ノードID53と、発生元AP名54と、重大度55と、発生日時56と、メッセージ種別57と、メッセージテキスト58とをデータ項目として含む。   An example of the format of the message 50 received by the message receiving unit 13 is shown in FIG. The message 50 includes a message ID 51, a system name 52, a source node ID 53, a source AP name 54, a severity 55, a date and time 56, a message type 57, and a message text, as shown in FIG. 58 as data items.

メッセージID51は、メッセージを一意に識別するための情報である。システム名52は、監視対象となっているシステムの名称である。発生元ノードID53は、このメッセージで通知されるイベントが発生したノードコンピュータを識別する情報である。発生元AP名54は、このメッセージで通知されるイベントが発生したAP(アプリケーションプログラム)を識別する情報である。重大度55は、このメッセージで通知されるイベントの重大性を示す。重大度55は、例えば、重大性の大きさに応じた数値で示される。発生日時56は、このメッセージで通知されるイベントの発生日時を示す。メッセージ種別57は、例えば、エラー(E)、警告(W)、情報(I)などのメッセージの種類を示す。メッセージテキスト58は、文字列を格納するための領域である。各外部運用監視装置3が自由に設定可能である。   The message ID 51 is information for uniquely identifying a message. The system name 52 is the name of the system being monitored. The source node ID 53 is information for identifying the node computer in which the event notified by this message has occurred. The source AP name 54 is information for identifying an AP (application program) in which an event notified by this message has occurred. The severity 55 indicates the severity of the event notified by this message. The severity 55 is indicated by a numerical value corresponding to the magnitude of the severity, for example. Occurrence date and time 56 indicates the occurrence date and time of the event notified by this message. The message type 57 indicates the type of message such as error (E), warning (W), information (I), and the like. The message text 58 is an area for storing a character string. Each external operation monitoring device 3 can be set freely.

図1を参照すると、フィルタリング処理部14は、バッファ16に記憶されているメッセージ50に対して、フィルタリング処理を行う。例えば、フィルタリング処理部14は、バッファ16から先入れ先出しでメッセージ50を一つ取得する。そして、取得したメッセージに対して、判定条件記憶部12に格納されている判定条件123を適用し、そのメッセージ50がその判定条件に合致するかどうかを判定する。判定条件記憶部12に複数の判定条件123が格納されているときは、判定順位121に従って、順次適用する。そして、いずれか一つの判定条件123に合致したときは、その判定条件の判定ID122を判定順位更新部18へ通知する。また、いずれか一つの判定条件123に合致すると、フィルタリング処理部14は、判定順位121がそれ以降の判定条件123は適用せずに、次のメッセージ50をバッファ16から取得し、それに対するフィルタリング処理へ移行する。   Referring to FIG. 1, the filtering processing unit 14 performs a filtering process on the message 50 stored in the buffer 16. For example, the filtering processing unit 14 acquires one message 50 from the buffer 16 by first-in first-out. Then, the determination condition 123 stored in the determination condition storage unit 12 is applied to the acquired message, and it is determined whether or not the message 50 matches the determination condition. When a plurality of determination conditions 123 are stored in the determination condition storage unit 12, they are sequentially applied according to the determination order 121. When any one of the determination conditions 123 is met, the determination rank update unit 18 is notified of the determination ID 122 of the determination condition. If any one of the determination conditions 123 is met, the filtering processing unit 14 acquires the next message 50 from the buffer 16 without applying the determination condition 123 with the determination order 121 and thereafter, and performs a filtering process for the next message 50. Migrate to

上記フィルタリング処理を行った結果、判定条件記憶部12に格納されている判定条件123のいずれにも合致しないメッセージ50は、メッセージ記憶部17へ格納される。一方、いずれかの判定条件123に合致したメッセージ50は、メッセージ記憶部17へは格納されない。この結果、フィルタリング処理部14によりメッセージ記憶部17へ格納すべきメッセージ50が選択される。すなわち、受信したメッセージ50のうち、判定条件に合致するものを不要なメッセージとして破棄することにより、メッセージ記憶部17に格納されるメッセージ数が削減される。   As a result of performing the filtering process, a message 50 that does not match any of the determination conditions 123 stored in the determination condition storage unit 12 is stored in the message storage unit 17. On the other hand, the message 50 that matches any of the determination conditions 123 is not stored in the message storage unit 17. As a result, the message 50 to be stored in the message storage unit 17 is selected by the filtering processing unit 14. That is, the number of messages stored in the message storage unit 17 is reduced by discarding the received messages 50 that match the determination condition as unnecessary messages.

表示制御部15は、表示装置4を制御して、種々の情報を表示させる。例えば、表示制御部15は、メッセージ記憶部17に蓄積されているメッセージ50を取得し、表示装置4に表示させる。表示させる順序は、例えば、受信した順(時系列)とすることができる。また、表示制御部15は、メッセージ記憶部17へ新たなメッセージ50が格納されると、それをリアルタイムで表示装置4に表示させてもよい。   The display control unit 15 controls the display device 4 to display various information. For example, the display control unit 15 acquires the message 50 accumulated in the message storage unit 17 and causes the display device 4 to display it. The display order can be, for example, the order received (time series). Further, when a new message 50 is stored in the message storage unit 17, the display control unit 15 may display it on the display device 4 in real time.

バッファ16は、メッセージ受信部13が受信したメッセージ50を一時的に記憶するための記憶装置である。   The buffer 16 is a storage device for temporarily storing the message 50 received by the message receiving unit 13.

メッセージ記憶部17は、フィルタリング処理部14でのフィルタリングを通過したメッセージ50を格納するための記憶部である。   The message storage unit 17 is a storage unit for storing the message 50 that has passed the filtering in the filtering processing unit 14.

ここで、統合監視装置1が、メッセージを受信してから、フィルタリングを行って表示装置4に表示するまでの処理手順を図4に示すフローチャートに従って説明する。   Here, the processing procedure from when the integrated monitoring apparatus 1 receives a message to when it is filtered and displayed on the display apparatus 4 will be described with reference to the flowchart shown in FIG.

まず、メッセージ受信部13が外部運用監視装置3からメッセージを受信し、受信したメッセージをバッファ16に格納する(S11)。   First, the message receiving unit 13 receives a message from the external operation monitoring device 3, and stores the received message in the buffer 16 (S11).

フィルタリング処理部14が、バッファ16からメッセージを取り出し、判定条件記憶部12に格納されている判定順位121が「1」の判定条件123に合致するかどうかを判定する(S12)。   The filtering processing unit 14 extracts the message from the buffer 16 and determines whether or not the determination order 121 stored in the determination condition storage unit 12 matches the determination condition 123 of “1” (S12).

この判定条件123に合致すると(S12:Yes)、このメッセージ50に対する処理を終了する。この判定条件123に合致しないときは(S12:No)、判定条件記憶部12に次の判定順位121の判定条件123があるときはこれを取得して、ステップS12へ戻る(S13:Yes)。   If this determination condition 123 is met (S12: Yes), the processing for this message 50 is terminated. When the determination condition 123 is not met (S12: No), if the determination condition storage unit 12 has the determination condition 123 of the next determination order 121, it is acquired and the process returns to step S12 (S13: Yes).

そして、判定順位121が最下位の判定条件123まで適用しても合致するものがないときは(S13:No)、そのメッセージをメッセージ記憶部17へ格納し、表示制御部15が表示装置4に表示させる(S14)。   If there is no match even when the determination order 121 is applied up to the lowest determination condition 123 (S13: No), the message is stored in the message storage unit 17, and the display control unit 15 stores the message in the display device 4. It is displayed (S14).

なお、図4のフローチャートでは、1つのメッセージについて行われる処理の手順を示している。しかし、本実施形態では、バッファ16およびメッセージ記憶部17を備えているので、メッセージ受信部13、フィルタリング処理部14、および表示制御部15は、それぞれ独立して処理を行うこともできる。   Note that the flowchart of FIG. 4 shows the procedure of processing performed for one message. However, since the buffer 16 and the message storage unit 17 are provided in the present embodiment, the message receiving unit 13, the filtering processing unit 14, and the display control unit 15 can also perform processing independently.

再び図1を参照して、統合監視装置1の説明を続ける。カウンタ19は、フィルタリング処理部14での処理の実績を記憶している。判定順位更新部18は、フィルタリング処理部14での処理の実績に基づき、判定条件記憶部12の判定順位121を更新する。判定順位更新部18が更新を行うタイミングは任意である。例えば、所定の時間間隔で自動的に更新するようにしてもよいし、オペレータからの指示を受けると更新するようにしてもよい。   With reference to FIG. 1 again, the description of the integrated monitoring apparatus 1 will be continued. The counter 19 stores the results of processing in the filtering processing unit 14. The determination order update unit 18 updates the determination order 121 of the determination condition storage unit 12 based on the processing results in the filtering processing unit 14. The timing at which the determination order update unit 18 performs update is arbitrary. For example, it may be updated automatically at predetermined time intervals, or may be updated upon receiving an instruction from the operator.

本実施形態では、カウンタ19の構成および判定順位更新部18の機能は、以下に説明するように複数の態様がある。以下の説明において、特に断りがないときは、判定順位更新部18がカウンタ19の設定および更新を行う。   In the present embodiment, the configuration of the counter 19 and the function of the determination order update unit 18 have a plurality of modes as described below. In the following description, unless otherwise specified, the determination order update unit 18 sets and updates the counter 19.

第1の態様に係るカウンタ19の構成を図5に示す。すなわち、カウンタ19は、判定ID191別にフィルタリング処理部14でのフィルタリング処理で合致した回数192を記憶している。回数192は、フィルタリング処理部14から判定IDの通知を受けるごとにカウントアップされる。つまり、回数192は、フィルタリング処理部14で判定条件123が合致した回数を示す。回数192は、任意のタイミングで初期化することが可能である。   The configuration of the counter 19 according to the first aspect is shown in FIG. That is, the counter 19 stores the number of times 192 matched in the filtering process in the filtering processing unit 14 for each determination ID 191. The number of times 192 is counted up every time a notification of the determination ID is received from the filtering processing unit 14. That is, the number of times 192 indicates the number of times that the determination condition 123 is matched in the filtering processing unit 14. The number of times 192 can be initialized at an arbitrary timing.

この場合、判定順位更新部18は、判定条件記憶部12の判定順位121を、回数192の大きい順に更新する。   In this case, the determination order update unit 18 updates the determination order 121 of the determination condition storage unit 12 in descending order of the number of times 192.

これにより、フィルタリング処理部14が合致する可能性が高い判定条件から順に適用することになるので、フィルタリング処理の高速化を図ることができる。   Accordingly, since the filtering processing unit 14 is applied in order from the determination condition that is highly likely to match, the filtering process can be speeded up.

第2の態様に係るカウンタ19の構成を図6に示す。すなわちカウンタ19は、判定ID191ごとに時間帯別に回数を記憶する(時間帯別回数193)。図6の例では、1時間ごとに判定IDの通知を受けた回数をカウントして記録している。そして、所定の時間帯以降、ここでは直近の3時間分の時間帯別回数193が保持されている。この3時間分の時間帯別回数193の合計が合計回数194である。   The configuration of the counter 19 according to the second aspect is shown in FIG. That is, the counter 19 stores the number of times for each time zone for each judgment ID 191 (number of times by time zone 193). In the example of FIG. 6, the number of times the notification of the determination ID is received every hour is counted and recorded. Then, after the predetermined time zone, the number of times 193 by time zone for the latest three hours is held here. The total number of times 193 according to the time period for 3 hours is the total number 194.

この場合、判定順位更新部18は、合計回数194の大きい順に、判定条件記憶部12の判定順位121を更新する。   In this case, the determination order update unit 18 updates the determination order 121 of the determination condition storage unit 12 in descending order of the total number of times 194.

これにより、直前に多く合致した判定条件の判定順位が上位になり、フィルタリングを行うときに、これらの判定条件から優先的に適用される。この結果、さらにフィルタリングの高速化を図ることができる。   As a result, the determination order of the determination conditions that have been matched a lot immediately before is higher, and is applied preferentially from these determination conditions when filtering is performed. As a result, the filtering can be further speeded up.

第3の態様では、カウンタ19は、図7に示すような構成を有する。すなわち、カウンタ19には第2の態様と同様に時間帯別回数193が保持されている。図7の例では、カウンタ19は、さらに、時間帯別回数193に適当な重み付けを行った後に合計した重み付け回数195を有する。重み付けは、現在時刻に近い時間帯ほど大きな係数を掛けて行う。例えば、直前の1時間(3:00〜4:00)、その前の1時間(2:00〜3:00)、さらに前の1時間(1:00〜2:00)のそれぞれの時間帯別回数193に対して、1、0.5、0.25を係数として掛けて重み付け回数195を求めてもよい。   In the third aspect, the counter 19 has a configuration as shown in FIG. That is, the counter 19 holds the number of times 193 for each time zone as in the second mode. In the example of FIG. 7, the counter 19 further has a weighting count 195 that is summed after appropriate weighting is performed on the timetable count 193. Weighting is performed by multiplying the time zone closer to the current time by a larger coefficient. For example, the previous hour (3: 00 to 4:00), the previous hour (2: 00 to 3:00), and the previous hour (1: 00 to 2:00) The weighting count 195 may be obtained by multiplying the different count 193 by 1, 0.5, or 0.25 as a coefficient.

この場合、判定順位更新部18は、重み付け回数195の大きい順に、判定条件記憶部12の判定順位121を更新する。   In this case, the determination order update unit 18 updates the determination order 121 of the determination condition storage unit 12 in descending order of the weighting count 195.

これにより、フィルタリングで破棄される、同種類のメッセージを比較的短時間に集中して受信するような場合に、さらにフィルタリングを高速化することができる。   This makes it possible to further speed up filtering when the same type of messages discarded by filtering are received in a relatively short time.

第4の態様では、カウンタ19は、図8に示すように、計算コスト196と、計算コストを反映させた回数197とを有する。計算コスト196は、フィルタリング処理部14がそれぞれの判定ID191が示す判定条件を適用して、それに合致するかを判断するのに要する時間を指標化したものである。例えば、自由に文字列を格納できる項目(文字列型項目)に特定の文字列が含まれているかを判定する処理と、整数しかセットされない項目(整数型項目)に“1”がセットされているかを判定する処理とでは、その処理時間は異なる。このような点に着目し、各判定ID191についてあらかじめ処理時間(または予想される処理時間)に応じた計算コスト196を設定しておく。ここでは、処理時間が短いものほど優先順位が高くなる用に設定する。   In the fourth mode, the counter 19 has a calculation cost 196 and a number of times 197 reflecting the calculation cost, as shown in FIG. The calculation cost 196 is obtained by indexing the time required for the filtering processing unit 14 to apply the determination condition indicated by each determination ID 191 and determine whether or not the filtering condition is met. For example, a process for determining whether a specific character string is included in an item (character string type item) in which a character string can be freely stored, and an item in which only an integer is set (integer type item) is set to “1” The processing time is different from the processing for determining whether or not. Focusing on this point, a calculation cost 196 corresponding to the processing time (or expected processing time) is set in advance for each determination ID 191. Here, the shorter the processing time, the higher the priority is set.

計算コストを反映させた回数197は、実際にフィルタリング処理部14で合致した実績の回数192に計算コスト196に基づいた重み付けを行って算出される。図8の例では、計算コスト196には、処理時間が短いものから順に、1,2,3が割り当てられている。そして、計算コストを反映させた回数197は、回数192に、それぞれ、{(1+2+3)/計算コスト}を掛けて算出される。従って、計算コストを反映させた回数197は、処理時間が短い方が大きな値となる。   The number of times 197 reflecting the calculation cost is calculated by performing weighting based on the calculation cost 196 to the actual number of times 192 that has been matched by the filtering processing unit 14. In the example of FIG. 8, 1, 2, and 3 are assigned to the calculation cost 196 in order from the shortest processing time. The number of times 197 reflecting the calculation cost is calculated by multiplying the number of times 192 by {(1 + 2 + 3) / calculation cost}. Accordingly, the number of times 197 reflecting the calculation cost becomes larger as the processing time is shorter.

この場合、判定順位更新部18は、計算コストを反映させた回数197の大きい順に、判定条件記憶部12の判定順位121を更新する。   In this case, the determination order update unit 18 updates the determination order 121 of the determination condition storage unit 12 in descending order of the number of times 197 reflecting the calculation cost.

これにより、フィルタリングで合致した過去の実績に、各判定条件の計算に要する時間を加味した順序に従って、フィルタリングが行われることになり、全体での処理時間の短縮が期待される。   As a result, filtering is performed in accordance with the order in which the time required for calculation of each determination condition is added to the past results matched by the filtering, and a reduction in the overall processing time is expected.

なお、判定順位更新部18は、一定の条件を満たす判定条件のレコードは、判定条件記憶部12から削除するようにしてもよい。ここで、削除するための条件としては、例えば、所定時間内の合致回数が所定値以下であるときとしてもよい。所定時間および所定値は、いずれも任意に設定できる。なお、所定値には「0」、つまりまったく合致しない(フィルタリング処理部14から判定IDの通知がない)場合を含む。さらに、所定時間および所定値は、全判定条件のレコードに共通でもよいし、判定条件レコードごとに異なってもよい。また、この判定条件の削除機能は、上記いずれの態様においても適用可能である。   Note that the determination rank update unit 18 may delete records of determination conditions that satisfy certain conditions from the determination condition storage unit 12. Here, as a condition for deletion, for example, the number of matches within a predetermined time may be a predetermined value or less. Both the predetermined time and the predetermined value can be set arbitrarily. The predetermined value includes “0”, that is, a case where the predetermined value does not match at all (the determination processing ID is not notified from the filtering processing unit 14). Further, the predetermined time and the predetermined value may be common to all determination condition records, or may be different for each determination condition record. In addition, the determination condition deletion function can be applied to any of the above-described aspects.

上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。   The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.

本発明の一実施形態に係る統合監視システムの全体構成を示す図である。1 is a diagram illustrating an overall configuration of an integrated monitoring system according to an embodiment of the present invention. 判定条件記憶部12の一例を示す図である。3 is a diagram illustrating an example of a determination condition storage unit 12. FIG. メッセージ50のフォーマットの一例を示す図である。It is a figure which shows an example of the format of the message 50. FIG. フィルタリング処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of a filtering process. カウンタ19の第1の態様を示す図である。It is a figure which shows the 1st aspect of the counter. カウンタ19の第2の態様を示す図である。It is a figure which shows the 2nd aspect of the counter. カウンタ19の第3の態様を示す図である。It is a figure which shows the 3rd aspect of the counter. カウンタ19の第4の態様を示す図である。It is a figure which shows the 4th aspect of the counter.

符号の説明Explanation of symbols

1…統合監視装置、2…記憶装置、3…外部運用監視装置、4…表示装置、9…ネットワーク、12…判定条件記憶部、14…フィルタリング処理部、18…判定順位更新部、19…カウンタ、50…メッセージ。

DESCRIPTION OF SYMBOLS 1 ... Integrated monitoring apparatus, 2 ... Memory | storage device, 3 ... External operation monitoring apparatus, 4 ... Display apparatus, 9 ... Network, 12 ... Judgment condition memory | storage part, 14 ... Filtering process part, 18 ... Judgment order update part, 19 ... Counter 50 ... Message.

Claims (8)

監視対象のコンピュータに関するメッセージを受信する受信部と、
前記受信部が受信した前記メッセージに対して、複数の条件を定められた順序に従って適用し、いずれか一つの条件が合致すると、それ以降の条件の適用を行わないメッセージ判定処理部と、
前記合致した条件の識別情報に基づいて、前記識別情報別に前記合致の実績を蓄積し、前記実績に基づいて前記複数の条件を適用する前記順序を定める順序決定部と、
前記メッセージ判定処理部で前記複数の条件のいずれにも合致しなかった前記メッセージを記憶する記憶部と、を備え
前記順序決定部は、前記識別情報別、かつ、時間帯別に前記合致した時間帯別合致回数を計数し、
前記時間帯別合致回数に対して、現在時刻に近い時間帯ほど大きな係数を掛けて重み付けを行い、
重み付けされた回数に基づいて前記順序を定めるコンピュータの監視装置。 A receiver for receiving messages about the monitored computer;
Applying a plurality of conditions to the message received by the receiving unit according to a predetermined order, if any one of the conditions is met, a message determination processing unit that does not apply the subsequent conditions;
Based on the identification information of the matched condition, an order determination unit that accumulates the results of the match for each identification information, and determines the order of applying the plurality of conditions based on the results;
A storage unit that stores the message that did not match any of the plurality of conditions in the message determination processing unit ,
The order determination unit counts the number of times of matching by the time zone, which is matched by the identification information and by time zone,
Multiplying the number of matches by time zone by a larger coefficient in the time zone closer to the current time,
Monitoring device for a computer as stipulated the order based on the weighted number. 監視対象のコンピュータに関するメッセージを受信する受信部と、
前記受信部が受信した前記メッセージに対して、複数の条件を定められた順序に従って適用し、いずれか一つの条件が合致すると、それ以降の条件の適用を行わないメッセージ判定処理部と、
前記合致した条件の識別情報に基づいて、前記識別情報別に前記合致の実績を蓄積し、前記実績に基づいて前記複数の条件を適用する前記順序を定める順序決定部と、
前記メッセージ判定処理部で前記複数の条件のいずれにも合致しなかった前記メッセージを記憶する記憶部と、を備え
前記順序決定部は、前記識別情報別に前記合致した合致回数を計数し、
前記合致回数に対して、メッセージ判定処理部がそれぞれの条件を処理するのに要する時間に応じた重み付けを行い、
重み付けされた回数に基づいて前記順序を定めるコンピュータの監視装置。 A receiver for receiving messages about the monitored computer;
Applying a plurality of conditions to the message received by the receiving unit according to a predetermined order, if any one of the conditions is met, a message determination processing unit that does not apply the subsequent conditions;
Based on the identification information of the matched condition, an order determination unit that accumulates the results of the match for each identification information, and determines the order of applying the plurality of conditions based on the results;
A storage unit that stores the message that did not match any of the plurality of conditions in the message determination processing unit ,
The order determination unit counts the number of matching times for each identification information,
A weighting according to the time required for the message determination processing unit to process each condition is performed on the number of matches,
Monitoring device for a computer as stipulated the order based on the weighted number. 前記順序決定部は、前記複数の条件のうち、所定期間内の前記合致回数が所定回数以下である条件を、前記メッセージ判定処理部が適用する前記複数の条件から削除する請求項1または2記載のコンピュータの監視装置。 The order determining unit, among the plurality of conditions, conditions, according to claim 1 or 2 wherein said message determination processor is removed from the plurality of conditions to be applied the match count in a given time period is equal to or less than a predetermined number of times Computer monitoring device. 前記受信部は、複数の他のコンピュータ監視装置から送信された、前記監視対象のコンピュータに関するメッセージを受信する請求項1または2記載のコンピュータの監視装置。 The reception unit has been transmitted from a plurality of other computer monitoring device, the monitoring device according to claim 1 or 2, wherein the computer receives a message related to the monitored computer. 監視対象のコンピュータに関するメッセージを受信し、
受信した前記メッセージに対して、複数の条件を定められた順序に従って、それぞれの条件が合致するかを判定し、
いずれか一つの条件が合致すると、合致した条件の識別情報別、かつ、時間帯別に該合致した時間帯別合致回数を計数し、
前記時間帯別合致回数に対して、現在時刻に近い時間帯ほど大きな係数を掛けて重み付けを行い、
重み付けされた回数に基づいて、前記複数の条件を適用する前記順序を変更し、
前記複数の条件のいずれにも合致しなかったときは、前記メッセージを記憶部へ格納する、監視対象のコンピュータに関するメッセージの処理方法。 Receive messages about monitored computers,
In accordance with the order in which a plurality of conditions are determined for the received message, it is determined whether each condition is met,
If any one condition is met, another identification information of the conditions the match, and counts the time zone separately該合time zone matches the number of times of match,
Multiplying the number of matches by time zone by a larger coefficient in the time zone closer to the current time,
Changing the order of applying the plurality of conditions based on weighted times ;
A message processing method relating to a monitored computer, wherein the message is stored in a storage unit when none of the plurality of conditions is met. 監視対象のコンピュータに関するメッセージを受信し、Receive messages about monitored computers,
受信した前記メッセージに対して、複数の条件を定められた順序に従って、それぞれの条件が合致するかを判定し、In accordance with the order in which a plurality of conditions are determined for the received message, it is determined whether each condition is met,
いずれか一つの条件が合致すると、該合致した条件の識別情報別に該合致した合致回数を計数し、If any one of the conditions is met, the number of matched times is counted according to the identification information of the matched conditions,
前記合致回数に対して、それぞれの条件を処理するのに要する時間に応じた重み付けを行い、Weighting according to the time required to process each condition for the number of matches,
重み付けされた回数に基づいて、前記複数の条件を適用する前記順序を変更し、Changing the order of applying the plurality of conditions based on weighted times;
前記複数の条件のいずれにも合致しなかったときは、前記メッセージを記憶部へ格納する、監視対象のコンピュータに関するメッセージの処理方法。A message processing method relating to a monitored computer, wherein the message is stored in a storage unit when none of the plurality of conditions is met. コンピュータに実行されると、
監視対象のコンピュータに関するメッセージを受信し、
受信した前記メッセージに対して、複数の条件を定められた順序に従って、それぞれの条件が合致するかを判定し、
いずれか一つの条件が合致すると、合致した条件の識別情報別、かつ、時間帯別に該合致した時間帯別合致回数を計数し、
前記時間帯別合致回数に対して、現在時刻に近い時間帯ほど大きな係数を掛けて重み付けを行い、
重み付けされた回数に基づいて、前記複数の条件を適用する前記順序を変更し、
前記複数の条件のいずれにも合致しなかったときは、前記メッセージを記憶部へ格納する、監視対象のコンピュータに関するメッセージ処理のためのコンピュータプログラム。 When executed on a computer,
Receive messages about monitored computers,
In accordance with the order in which a plurality of conditions are determined for the received message, it is determined whether each condition is met,
If any one condition is met, another identification information of the conditions the match, and counts the time zone separately該合time zone matches the number of times of match,
Multiplying the number of matches by time zone by a larger coefficient in the time zone closer to the current time,
Changing the order of applying the plurality of conditions based on weighted times ;
A computer program for message processing relating to a computer to be monitored, which stores the message in a storage unit when none of the plurality of conditions is met. コンピュータに実行されると、When executed on a computer,
監視対象のコンピュータに関するメッセージを受信し、Receive messages about monitored computers,
受信した前記メッセージに対して、複数の条件を定められた順序に従って、それぞれの条件が合致するかを判定し、In accordance with the order in which a plurality of conditions are determined for the received message, it is determined whether each condition is met,
いずれか一つの条件が合致すると、該合致した条件の識別情報別に該合致した合致回数を計数し、If any one of the conditions is met, the number of matched times is counted according to the identification information of the matched conditions,
前記合致回数に対して、それぞれの条件を処理するのに要する時間に応じた重み付けを行い、Weighting according to the time required to process each condition for the number of matches,
重み付けされた回数に基づいて、前記複数の条件を適用する前記順序を変更し、Changing the order of applying the plurality of conditions based on weighted times;
前記複数の条件のいずれにも合致しなかったときは、前記メッセージを記憶部へ格納する、監視対象のコンピュータに関するメッセージ処理のためのコンピュータプログラム。A computer program for message processing relating to a computer to be monitored, which stores the message in a storage unit when none of the plurality of conditions is met.
JP2003376817A 2003-11-06 2003-11-06 Computer monitoring apparatus and message processing method related to monitored computer Expired - Fee Related JP4464655B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003376817A JP4464655B2 (en) 2003-11-06 2003-11-06 Computer monitoring apparatus and message processing method related to monitored computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003376817A JP4464655B2 (en) 2003-11-06 2003-11-06 Computer monitoring apparatus and message processing method related to monitored computer

Publications (2)

Publication Number Publication Date
JP2005141466A JP2005141466A (en) 2005-06-02
JP4464655B2 true JP4464655B2 (en) 2010-05-19

Family

ID=34687746

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003376817A Expired - Fee Related JP4464655B2 (en) 2003-11-06 2003-11-06 Computer monitoring apparatus and message processing method related to monitored computer

Country Status (1)

Country Link
JP (1) JP4464655B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4848796B2 (en) * 2006-02-28 2011-12-28 株式会社日立製作所 Form output device and form output method
US7340378B1 (en) * 2006-11-30 2008-03-04 International Business Machines Corporation Weighted event counting system and method for processor performance measurements
US8332344B2 (en) 2007-03-14 2012-12-11 Nec Corporation Operation management apparatus, operation management method, and operation management program
JP5710867B2 (en) * 2009-03-25 2015-04-30 日本電気株式会社 File transmission method, file transmission apparatus, and computer program
JP5258676B2 (en) * 2009-06-12 2013-08-07 Kddi株式会社 Rule information changing method, management apparatus and program in firewall
JP5549534B2 (en) * 2010-10-22 2014-07-16 日本電気株式会社 Message monitoring system, message monitoring apparatus, message filter category classification method and program
JP6186767B2 (en) * 2013-03-13 2017-08-30 日本電気株式会社 Message filter prediction apparatus, message filter prediction method, and message filter prediction program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2287689C (en) * 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules

Also Published As

Publication number Publication date
JP2005141466A (en) 2005-06-02

Similar Documents

Publication Publication Date Title
US8332503B2 (en) Message abnormality automatic detection device, method and program
US7487407B2 (en) Identification of root cause for a transaction response time problem in a distributed environment
US7412509B2 (en) Control system computer, method, and program for monitoring the operational state of a system
JP4255317B2 (en) Operation monitoring method, execution system, and processing program
EP2685380B1 (en) Operations management unit, operations management method, and program
JP5731334B2 (en) Incident pool management method, system, and computer program
US8868986B2 (en) Relevant alert delivery in a distributed processing system with event listeners and alert listeners
US7721290B2 (en) Job scheduling management method using system resources, and a system and recording medium for implementing the method
US6418469B1 (en) Managing conditions in a network
US6684180B2 (en) Apparatus, system and method for reporting field replaceable unit replacement
US8943366B2 (en) Administering checkpoints for incident analysis
US20120144021A1 (en) Administering Event Reporting Rules In A Distributed Processing System
JP4464655B2 (en) Computer monitoring apparatus and message processing method related to monitored computer
US20060212866A1 (en) System and method for graphically displaying scheduling information
JP3508513B2 (en) Operation management method of computer system
CN113342608A (en) Method and device for monitoring streaming computing engine task
US20050198640A1 (en) Methods, systems and computer program products for selecting among alert conditions for resource management systems
JP2004178336A (en) System and method for managing operation, management computer, computer to be monitored, and program
CN113485891A (en) Service log monitoring method and device, storage medium and electronic equipment
JP4530645B2 (en) Computer system monitoring apparatus and monitoring method
JP2002123657A (en) System and method for managing work
JP5378847B2 (en) Monitoring device
JP3984948B2 (en) Computer system operation management method
JP5444072B2 (en) Plant monitoring and control device
US20040177140A1 (en) Network management system with network management software installed to network interface card

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061031

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100219

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130226

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130226

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140226

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees