JP4888425B2 - Message monitoring system and message filter optimization support method - Google Patents
Message monitoring system and message filter optimization support method Download PDFInfo
- Publication number
- JP4888425B2 JP4888425B2 JP2008058558A JP2008058558A JP4888425B2 JP 4888425 B2 JP4888425 B2 JP 4888425B2 JP 2008058558 A JP2008058558 A JP 2008058558A JP 2008058558 A JP2008058558 A JP 2008058558A JP 4888425 B2 JP4888425 B2 JP 4888425B2
- Authority
- JP
- Japan
- Prior art keywords
- filter
- message
- similar
- unit
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、メッセージ監視システムおよびメッセージフィルタの最適化方法に関し、特に、運用管理システムにおいて設定されたメッセージフィルタ(以下、単に「フィルタ」と称す。)の不適切な定義や他のフィルタで検知できているメッセージしか検知しない冗長なフィルタを検出し、是正しうるようにしたシステムおよび方法に関する。 The present invention relates to a message monitoring system and a message filter optimization method, and in particular, can be detected by an inappropriate definition of a message filter (hereinafter simply referred to as a “filter”) set in an operation management system or another filter. The present invention relates to a system and method capable of detecting and correcting a redundant filter that detects only a certain message.
運用管理システムは通常、監視サーバが通常複数台の被監視サーバからメッセージを収集し、ここで予め設定された1以上のフィルタと比較するよう構成される。総てのメッセージは各被監視サーバが持つメッセージ用のログファイルに格納されるとともに監視サーバに送られてフィルタと比較され、フィルタの全条件にメッセージが合致した場合は検知され監視画面に出力され、そうでないメッセージは監視画面に出力されない。 The operation management system is usually configured such that the monitoring server normally collects messages from a plurality of monitored servers and compares them with one or more preset filters. All messages are stored in the message log file of each monitored server and sent to the monitoring server for comparison with the filter. If the message matches all the filter conditions, it is detected and output to the monitoring screen. Otherwise, messages are not output to the monitoring screen.
複数台の被監視サーバが存在するシステムの場合、各サーバの機能や構成は異なり、また各サーバで異なるアプリケーションが動作している状況が一般的である。このような場合、メッセージフィルタは各被監視サーバの機能、構成、アプリケーションに対応するように管理者によって設定される。したがって、システムが大きくなればなるほど、様々な機能、構成、アプリケーションがシステム上に存在することになり、フィルタの数も膨大なものになる。しかしながら、フィルタの設定は管理者が手入力で行うため、設定ミスによりまったくメッセージを検知しないフィルタや、既に設定してあるフィルタとまったく同じメッセージのみ検知するフィルタが設定されてしまうことがある。従来、このようなフィルタを発見し修正するためには総てのフィルタの内容のみならず各サーバの機能、構成、アプリケーション等を確認しなければならず、非常に手間がかかっていた。 In a system including a plurality of monitored servers, the function and configuration of each server are different, and a situation where different applications are operating on each server is common. In such a case, the message filter is set by the administrator so as to correspond to the function, configuration, and application of each monitored server. Therefore, as the system becomes larger, various functions, configurations, and applications exist on the system, and the number of filters becomes enormous. However, since the administrator manually sets the filter, a filter that does not detect a message at all due to a setting error or a filter that detects only the same message as a filter that has already been set may be set. Conventionally, in order to find and modify such a filter, it is necessary to check not only the contents of all filters but also the functions, configurations, applications, and the like of each server, which is very troublesome.
このような事態に対処すべく、類似する複数のフィルタや古くなったフィルタの存在を検知してユーザに知らせることにより、ユーザの対処を提起する方法が提案されている(例えば、特許文献1)。従来の方法は、まったくメッセージを検知しないフィルタを条件設定に誤りがあるフィルタあるいは不要なフィルタとして削除するか管理者に修正を促したり、2つのフィルタの各条件を比較して一方のフィルタの条件の総てが他方のフィルタに含まれるようなフィルタを冗長フィルタ(不要なフィルタ)として管理者に提示するようにしている。なお、図2は従来のシステム構成例を示す図である。
しかしながら、従来技術ではフィルタの修正は提起できてもどのように修正すべきかの情報を提示するものはなく、管理者がそのフィルタをどのように修正すればメッセージを検知するフィルタになるのかが即座に分からず、結局管理者が各サーバの機能や構成などを確認しながら行い負担が大きかった。また、条件のみを比較して冗長フィルタを検出する方法では、例えばフィルタ条件自体は重複しないが、実際の運用環境において1のフィルタが他のフィルタが検知できているメッセージしか検知しないような場合が生じうる。このような冗長フィルタは2つのフィルタの条件を比較しただけでは見つけることができず、検知された総てのメッセージと各フィルタの設定条件を照らし合わせる必要があるため、膨大な作業量が必要となり管理者が簡単に発見できるものではなかった。 However, there is no information on how to modify the filter even if it can be proposed in the prior art, but it is immediately possible to see how the administrator can modify the filter to detect the message. In the end, the administrator had to check the functions and configurations of each server, and the burden was great. Further, in the method of detecting the redundant filter by comparing only the conditions, for example, the filter conditions themselves do not overlap, but in the actual operation environment, there are cases where one filter detects only a message that other filters can detect. Can occur. Such a redundant filter cannot be found by simply comparing the conditions of two filters, and it is necessary to compare all detected messages with the setting conditions of each filter, which requires a huge amount of work. It was not easy for administrators to find.
したがって、メッセージフィルタの修正を促す場合にどのように修正すればいいかの目安を提示するシステムがあれば便宜である。また、フィルタ条件は他のフィルタと同じではないが当該他のフィルタで検知できているメッセージしか検知しないような冗長なフィルタを簡単に抽出できれば便宜となる。 Therefore, it is convenient if there is a system that provides an indication of how to correct a message filter. Also, it is convenient if a redundant filter that can detect only a message that is not the same as other filters but can be detected by the other filters can be easily extracted.
上記課題を解決するために、本発明は、1以上の条件を含むメッセージフィルタ(以下、単に「フィルタ」と称す。)が格納されるフィルタ蓄積部と、検査対象メッセージの内容を前記フィルタと照合して前記フィルタ条件をすべて満たすメッセージを検出する分析手段とを具えるメッセージ監視システムにおいて、前記分析手段が検出したメッセージとこれを検出した総てのフィルタの情報を格納するメッセージログ蓄積部と、前記メッセージログ蓄積部を参照して他のフィルタによって検知できているメッセージしか検知しないフィルタを抽出する冗長フィルタ分析手段とを具えることを特徴とする。 In order to solve the above-described problems, the present invention relates to a filter storage unit in which a message filter including one or more conditions (hereinafter simply referred to as a “filter”) is stored, and the contents of a check target message are collated with the filter. And a message log accumulating unit for storing information detected by the analyzing unit and information of all filters detecting the message in a message monitoring system including an analyzing unit that detects a message that satisfies all the filter conditions; Redundant filter analysis means for extracting a filter that detects only messages that can be detected by other filters with reference to the message log storage unit.
また、このメッセージ監視システムは、前記フィルタ条件の全部ではないが一部を満たすメッセージを検出する類似メッセージ検知手段と、前記類似メッセージ検出手段が検出した類似メッセージを前記フィルタに関連づけて格納する類似メッセージ蓄積部と、前記フィルタの条件の設定や変更を受け付けるフィルタ更新手段とを具え、前記冗長フィルタ分析手段が、当該冗長フィルタ分析手段が抽出したフィルタに関連する類似メッセージを前記類似メッセージ蓄積部から取得して前記フィルタの情報とともに出力するとともに、前記フィルタ更新手段が前記フィルタの条件変更を受け付けることが望ましい。 Further, the message monitoring system includes a similar message detection unit that detects a message that satisfies a part of the filter condition but not all of the filter conditions, and a similar message that stores the similar message detected by the similar message detection unit in association with the filter. An accumulation unit; and a filter update unit that accepts setting and change of the filter condition, wherein the redundant filter analysis unit obtains a similar message related to the filter extracted by the redundant filter analysis unit from the similar message accumulation unit It is desirable that the filter update means accepts a change in the filter condition while outputting the information together with the filter information.
また、本発明の別の態様は、1以上の条件を含むメッセージフィルタ(以下、単に「フィルタ」と称す。)が格納されるフィルタ蓄積部と、検査対象メッセージの内容を前記フィルタと照合して前記フィルタ条件をすべて満たすメッセージを検出する分析手段とを具えるメッセージ監視システムにおいて、前記フィルタ条件の全部ではないが一部を満たすメッセージを検出する類似メッセージ検知手段と、前記類似メッセージ検出手段が検出した類似メッセージを前記フィルタに関連づけて格納する類似メッセージ蓄積部と、前記フィルタ蓄積部からメッセージを検知していないフィルタを抽出し当該フィルタに関連する類似メッセージを前記類似メッセージ蓄積部から取得して前記フィルタの情報とともに出力する類似メッセージ出力手段と、前記フィルタの条件の設定や変更を受け付けるフィルタ更新手段とを具えることを特徴とする。 In another aspect of the present invention, a filter storage unit in which a message filter including one or more conditions (hereinafter simply referred to as “filter”) is stored, and the content of the message to be inspected is collated with the filter. A message monitoring system comprising: an analysis unit that detects a message that satisfies all of the filter conditions; and a similar message detection unit that detects a message that satisfies some but not all of the filter conditions, and the similar message detection unit detects A similar message storage unit that stores the similar message in association with the filter, and extracts a filter that does not detect a message from the filter storage unit, acquires a similar message related to the filter from the similar message storage unit, and Similar message output means for outputting together with filter information , Characterized in that it comprises a filter update unit for accepting setting or change of condition of the filter.
本発明では、分析手段が検出したメッセージとこれを検出した総てのフィルタの情報を蓄積し、例えば単独でメッセージを検知していないような、他のフィルタによって検知できているメッセージしか検知しない冗長フィルタを検出できるようにした。これにより、フィルタの条件だけをみると一致しないものの他のフィルタで検知できているメッセージしか検知しない冗長なフィルタを抽出することができ、不要なフィルタを削除したり修正を促したりすることが可能となる。 In the present invention, the information detected by the analysis means and the information of all the filters that detected the message are accumulated, and for example, only the message that can be detected by another filter, such as a message that is not detected alone, is detected. Added filter detection. This makes it possible to extract redundant filters that can detect only messages that are not detected by other filters but can be detected only by filter conditions, and can delete unnecessary filters or prompt corrections. It becomes.
また、本発明では、フィルタの条件全部ではないが一部に合致するメッセージを当該フィルタと類似するメッセージとして両者を関連づけて蓄積し、任意のフィルタの修正時に、当該フィルタの類似メッセージをともに管理者に提示する。これにより、管理者がフィルタの修正時にフィルタとその類似メッセージを比較することができ、どのようにフィルタを修正したら例えばこの類似メッセージを検知するようになるかを把握することができる。 Further, according to the present invention, messages that match some but not all of the filter conditions are stored in association with each other as messages that are similar to the filter. To present. As a result, the administrator can compare the filter and its similar message when the filter is corrected, and can know how the similar message is detected when the filter is corrected.
また、これらを組み合わせて運用することにより、例えばまったくメッセージを検知しないフィルタや、他のフィルタによって検知されるメッセージしか検知しない冗長フィルタを発見し削除を提示するだけでなく、どのように修正すればそのフィルタがメッセージを検知できるようになるかを提示することが可能となり、管理者が条件の不備等を容易に理解し、より最適な条件に修正する支援となる。また、不要または冗長なフィルタを整理することが可能となり、システムの運用管理におけるフィルタの信頼性の向上およびフィルタ被アック処理の負荷低減、および管理負荷の大幅低減を実現することができる。 In addition, by combining these operations, for example, not only discovering filters that do not detect messages at all, but redundant filters that detect only messages detected by other filters and presenting deletions, how to correct them It is possible to present whether the filter can detect the message, and it helps the administrator to easily understand deficiencies in conditions and correct them to more optimal conditions. Further, unnecessary or redundant filters can be arranged, and it is possible to improve the reliability of the filter in the operation management of the system, reduce the load of the ACK processing, and greatly reduce the management load.
本発明を実施するための最良の形態について、添付の図面を参照しながら以下に詳細に説明する。図1は、本発明の一実施例にかかるメッセージ監視システムの機能概略図である。図1を参照すると、本発明の実施例は大きく分けて、メッセージの分析・検知を行う監視サーバ100と、当該監視サーバ100に監視される1またはそれ以上の被監視サーバ200と、管理者が操作する監視端末300で構成されている。これらは例えばLANなどの通信ネットワークか専用線で接続されおり、リアルタイムでの情報送受信が可能である。
Best modes for carrying out the present invention will be described below in detail with reference to the accompanying drawings. FIG. 1 is a functional schematic diagram of a message monitoring system according to an embodiment of the present invention. Referring to FIG. 1, the embodiment of the present invention is roughly divided into a
監視サーバ100は、監視手段101と、運席手段102と、フィルタ蓄積部103と、メッセージログ蓄積部104と、フィルタ更新手段105と、類似メッセージ蓄積部107と、ヒット数設定手段108と、類似メッセージ表示手段109と、検知フィルタ付与手段110と、冗長フィルタ分析手段111とを具えている。このうち分析手段102は、類似メッセージ検知手段106を含む。実際には、フィルタ蓄積部103、メッセージログ蓄積部104、および類似メッセージ蓄積部107はそれぞれ監視サーバ100の記憶領域の一部をなし、それ以外の手段は監視サーバ100の記憶装置に格納されたプログラムまたはプログラムモジュールがCPUやメモリに展開されて初めて具現化する機能要素であるが、説明の便宜のためにそれぞれ1つの手段として記載するものとする。
The
1以上の被監視サーバ200はそれぞれ、メッセージログファイル蓄積部211を具えている。この監視サーバ200は実施例によって1台でもよいし、複数台のエージェント装置があってもよい。
Each of the one or more monitored
監視端末300は、メッセージ確認手段301と、フィルタ設定手段302と、類似メッセージ確認手段303と、冗長フィルタ確認手段304とを具える。これらも監視サーバ100の各手段と同様に、ソフトウェアとハードウェアが協働することにより具現化する手段である。また、特に図示しないが、この監視端末300は少なくとも管理者にメッセージやフィルタ構成を提示する表示画面と、管理者からフィルタの設定、修正、削除などの支持を受ける入力手段を具える。
The
これらの要素はそれぞれ概略以下のように動作する。被監視サーバ200は、当該サーバ200で生じたメッセージをメッセージログファイル蓄積部201に登録する。
Each of these elements generally operates as follows. The monitored
監視サーバ100の監視手段101は、被監視サーバ200を監視してメッセージログファイル蓄積部201からメッセージを受け取り、分析手段102にそのメッセージを渡す。フィルタ蓄積部103には、管理者によって予め設定されたメッセージフィルタ(以下、単に「フィルタ」と称す。)が蓄積されている。フィルタ更新手段105は、監視端末300のフィルタ設定手段302からフィルタの修正、削除、追加のリクエストを受け取り、フィルタ蓄積部103に格納されているフィルタの修正、削除、またはフィルタの追加を行う。分析手段102はフィルタ蓄積部201からフィルタを呼び出し、監視手段101から受け取ったメッセージと照合する。フィルタには1以上の条件が設定されており、メッセージが総ての条件を満たす場合にフィルタに合致するとして当該メッセージが検知され、分析手段102は検知フィルタ付与手段110にそのメッセージおよびこれを検知したフィルタ名を渡す。このとき、複数のフィルタがそのメッセージを検知した場合、そのうちの1つではなく総てのフィルタ名のリストを渡す。また、分析手段102はヒット数設定手段108に検知したフィルタ名(複数の場合はフィルタ名のリスト)を渡す。ヒット数設定手段108は、受け取ったフィルタ名からフィルタ蓄積部103に格納されている該当フィルタのヒット数を1だけ加算する。一方、検知フィルタ付与手段110は、分析手段102から受け取ったメッセージに受け取ったフィルタ名を付与してメッセージログ蓄積部104に格納する(図12参照)。
The
監視サーバ100の冗長フィルタ分析手段111は、監視端末300の冗長フィルタ確認手段304からリクエストを受けた場合に、メッセージログ蓄積部104からメッセージを検知したフィルタ名のリストを得て、後述するような処理によって冗長フィルタ、すなわち他のフィルタで検知されるメッセージしか検知しないフィルタを求め、その後、類似メッセージ蓄積部107から冗長フィルタの類似メッセージ(後述)を得て、冗長フィルタの情報とともに監視端末300の冗長フィルタ確認手段304に渡す。分析手段102の類似メッセージ検知手段106は、分析手段102によって検知されなかったメッセージ、すなわちフィルタ条件の全部が一致しなかったメッセージについて、例えば条件の一部が一致したフィルタのうち最も多くの条件が一致したフィルタの類似メッセージとして、そのフィルタ名とともに類似メッセージ蓄積部107に格納する。類似メッセージ表示手段109は、監視端末300の類似メッセージ確認手段303からリクエストを受けた場合に、フィルタ蓄積部103からヒット数が0であるフィルタ名を取得するとともに、当該フィルタの類似メッセージを類似メッセージ蓄積部107から取得して、類似メッセージ確認手段303に渡す。
When receiving a request from the redundant filter confirmation unit 304 of the
監視端末300のメッセージ確認手段301は、監視サーバ100のメッセージログ蓄積部104から各フィルタが検知したメッセージを得て、管理者に提示する。フィルタ設定手段302は、管理者の入力操作を受け、フィルタの追加、更新、削除を監視サーバ100のフィルタ更新手段105に行わせる。類似メッセージ確認手段303は、定期的あるいは管理者の要求を受けて、監視サーバ100の類似メッセージ表示手段109にリクエストを投げ、ヒット数が0であるフィルタの情報とそのフィルタの類似メッセージを取得して管理者に提示する。冗長フィルタ確認手段304は、定期的あるいは管理者の要求を受けて、監視サーバ100の冗長フィルタ分析手段111にリクエストを投げ、冗長フィルタの情報とそのフィルタの類似メッセージを取得して管理者に提示する。
The message confirmation unit 301 of the
なお、本実施例では管理者が操作する監視端末300を監視サーバ100と別に設けているが、監視端末300の各機能を監視サーバ100に設けて監視端末300を省略してもよい。
In this embodiment, the
このように構成された本実施例のシステムの動作について、以下に詳細に説明する。前提として、監視サーバ100のフィルタ蓄積部103には管理者が予め設定した複数のメッセージフィルタが登録されている。これは監視端末300のフィルタ設定手段302から設定されたものである。フィルタ群の一例を図4に示す。本図に示すように、フィルタ毎にフィルタ名の他、フィルタ条件として重要度、アプリケーション、サーバ、本文などが設定されている。
The operation of the system of the present embodiment configured as described above will be described in detail below. As a premise, a plurality of message filters preset by the administrator are registered in the
まず、図3を参照して、メッセージの検知動作および類似メッセージの抽出動作について説明する。監視サーバ100の分析手段102(および類似メッセージ検知手段106)が監視手段101からメッセージを受け取ると、フィルタ蓄積部103からフィルタのリスト(図4参照)を得て、メッセージとフィルタの照合を行う。この処理は、分析手段102がメッセージ内容のうち1の項目に関して総てのフィルタをチェックし、一致しないフィルタを除外する(ステップS01)。例えば図5に示すように、図4のフィルタ群から示すメッセージ「重要度:ERROR、アプリケーション:Web Server、サーバ:Sv3、本文:Shutdown now.」の「重要度」をキーに抽出し、図5のように「重要度:ERROR」の条件を持つフィルタが抽出される。このように条件を絞ったフィルタのリストが空でない場合(ステップS02)、このフィルタリストを一時的に記憶する(ステップS03)。
First, a message detection operation and a similar message extraction operation will be described with reference to FIG. When the analysis unit 102 (and similar message detection unit 106) of the
フィルタのリストが空でない場合で、且つメッセージで比較していない項目がある場合(ステップS04)、メッセージの次の項目に注目して、現在一時保存しているフィルタリストに含まれる総てのフィルタのチェックを行い、さらに条件を絞ったフィルタのリストを作成する(ステップS05からステップS01へ戻る)。これを具体的に説明すると、図5にリストアップされたフィルタについて、メッセージの次の項目「アプリケーション:Web Server」の条件で絞ると図6のリストとなり、さらに次の項目「サーバ:Sv3」の条件で絞ると図7のリストとなり、さらに次の項目「本文:Shutdown now.」の条件で絞ると図8のようにリストが空となる。 If the filter list is not empty and there are items not compared in the message (step S04), paying attention to the next item in the message, all the filters included in the currently temporarily saved filter list And a list of filters with further narrowed down conditions is created (return from step S05 to step S01). More specifically, the filter listed in FIG. 5 becomes the list of FIG. 6 when narrowed down by the condition of the next item “Application: Web Server” of the message, and further the next item “Server: Sv3”. If the condition is narrowed down, the list shown in FIG. 7 is obtained, and if the next item “text: Shutdown now.” Is narrowed down, the list becomes empty as shown in FIG.
ステップS04で次の項目がなくなった場合、現在一時保存しているフィルタリストに含まれるフィルタはそのメッセージに対して総ての条件が合致しているため、それらのフィルタにメッセージが検知された倒して、メッセージを検知フィルタ付与手段110からメッセージログ蓄積部104に格納する(ステップS06)。これが監視端末300のメッセージ確認手段301により管理者に提示される。また、分析手段102は現在一時記憶しているフィルタのリストをヒット数設定手段108に渡す。ヒット数設定手段108はフィルタ蓄積部103にアクセスし、メッセージを検知した各フィルタのヒット数に1を加算する(ステップS07)。
If there is no next item in step S04, the filters included in the currently temporarily saved filter list match all the conditions for the message, so that the message is detected in those filters. Then, the message is stored in the message
一方、条件比較中にフィルタリストが空となった場合(ステップS02:N)、すなわち図8に示すように条件に一致するフィルタがなくなった場合、メッセージは現在一時的に記憶しているフィルタのリストに類似しているメッセージとして、一時記憶しているフィルタリストとともに類似メッセージ蓄積部107に格納する(ステップS08)。ただし、メッセージとフィルタの比較において最初の項目が一致しないため該当フィルタがない場合には、類似メッセージと判断することなく処理を終了する。 On the other hand, if the filter list becomes empty during the condition comparison (step S02: N), that is, if there is no filter that matches the condition as shown in FIG. 8, the message is stored in the currently stored filter. The message similar to the list is stored in the similar message storage unit 107 together with the temporarily stored filter list (step S08). However, since the first item does not match in the comparison between the message and the filter, if there is no corresponding filter, the process ends without determining that the message is similar.
このようにして、メッセージを検知したフィルタのヒット数に1が加算されるとともに、検知しないが条件の多くが一致するメッセージがそのフィルタに類似するメッセージとして把握され、類似メッセージ蓄積部107に蓄積される。なお、本実施例では最も多くの条件が合致するメッセージを類似するメッセージとして蓄積するようにしているが、これは他の基準で類似か否かを定めるようにしてもよい。例えば、所定数以上の条件が一致したら類似とするなどが考えられる。 In this way, 1 is added to the number of hits of the filter that detected the message, and a message that is not detected but matches many of the conditions is recognized as a message that is similar to the filter, and is stored in the similar message storage unit 107. The In this embodiment, a message that satisfies the most conditions is stored as a similar message. However, this may be determined by other criteria. For example, if a predetermined number of conditions or more match, it can be considered similar.
次に、まったくメッセージを検知していないフィルタを確認し、修正する処理について説明する。例えば管理者が監視端末300の類似メッセージ確認手段303を操作すると、当該手段303が監視サーバ100の類似メッセージ表示手段109にリクエストを送る。リクエストを受け取った類似メッセージ表示手段109は、フィルタ蓄積部103を参照してヒット数が「0」であるフィルタを抽出し、その情報から類似メッセージ蓄積部107を参照して当該フィルタに類似するメッセージを抽出する。ヒット数が0であるフィルタと類似メッセージは監視端末300の類似メッセージ確認手段303に送られて管理者に提示される。図10は、ヒット数が0であるフィルタの情報を示す画面例である。いずれかのフィルタを指定すると、図11に示すように、ヒット数が0であるフィルタと、その類似メッセージが同時に表示される。これを見て管理者はメッセージを検知しないフィルタの条件と、このフィルタに近い条件の類似メッセージを比較することができ、この類似メッセージを検知するようにフィルタを修正することが可能となる。図11に示すように、画面下側には「フィルタの修正」ボタンが設けられており、これを押下することによりフィルタ設定手段302からフィルタを修正することができる。なお、類似メッセージ確認手段303のリクエストは管理者の入力操作時以外にも、所定の期間毎にヒット数が0のフィルタをチェックして管理者に是正を促すように構成してもよい。また、上記実施例はヒット数が「0」のフィルタを抽出するが、これはヒット数が0でなく所定値以下のフィルタを抽出するようにしてもよい。
Next, a process for confirming and correcting a filter that does not detect any message will be described. For example, when the administrator operates the similar
次に、図13のフローチャートを参照して、条件自体は一致しないが他のフィルタで検知できているメッセージしか検知しないフィルタ(冗長フィルタ)を検知する処理について説明する。監視サーバ100の分析手段102がメッセージとフィルタの比較を行い、メッセージが検知された場合、分析手段102は検知したフィルタ名のリストをメッセージとともに検知フィルタ付与手段110に渡す。検知フィルタ付与手段110は、受け取ったメッセージにこれを検知したフィルタ名のリストを付与してメッセージログ蓄積部104に登録する。図12は、メッセージログ蓄積部104に格納されるデータ例である。本図に示すように、メッセージごとに内容とこれを検知したフィルタ名が登録されている。
Next, processing for detecting a filter (redundant filter) that detects only a message that does not match the condition itself but can be detected by another filter will be described with reference to the flowchart of FIG. When the
例えば管理者が監視端末300の冗長フィルタ確認手段304を操作すると、冗長フィルタ確認手段304から監視サーバ100の冗長フィルタ分析手段111にリクエストを送る。冗長フィルタ分析手段111は、メッセージログ蓄積部104からメッセージを検知したフィルタ名のリストを取得し、他のフィルタが検知しているメッセージのみを検知しているような冗長フィルタを抽出する。この方法を、図13のフローチャートを用いて説明する。なお、以下の説明において2つのフィルタAとBがある場合に、フィルタBがフィルタAの検知できるメッセージしか検知しない場合、フィルタAはフィルタBを包含するといい、またフィルタBはフィルタAに被包含されていると呼ぶ。
For example, when the administrator operates the redundant filter confirmation unit 304 of the
図13に示すように、冗長フィルタ分析手段111は、まずフィルタ蓄積部103にある1つのフィルタに注目し(ステップS10)、メッセージログ蓄積部104からそのフィルタを含む組を抽出し(ステップS11)、この組に含まれる他のフィルタを被包含フィルタリストに追加する(ステップS12〜S13)。これを具体的に説明すると、図12のメッセージログ蓄積部104の内容があるとして、まずフィルタF_1に注目し、上から1,3,4番目のメッセージの値(F_1,F_3)、(F_1)、(F_1,F_3)を抽出し、この組に含まれる他のフィルタF_3を、F_1を包含する可能性のあるフィルタとして、図14に示す被包含フィルタリストに追加する。図14に示すように、フィルタF_1の被包含の可能性があるフィルタとしてF_3が登録される。この処理において、注目しているフィルタを含む組がなければステップS14に進む。まだ注目していないフィルタがある場合には次のフィルタに注目し、同様に被包含の可能性があるフィルタのリストを作成していく(ステップS14,S15からステップS11へ)。このようにして図12のメッセージリストから図14の被包含リストを作成する。
As shown in FIG. 13, the redundant
フィルタ蓄積部103に登録された総てのフィルタについて被包含の可能性があるフィルタのリストを取得したら、また1つずつフィルタに着目し(ステップS16)、図14のリストからそのフィルタを含む組を抽出する(ステップS17)。現在注目しているフィルタを包含している可能性のあるフィルタ(図14でF_1に注目した場合のF_3)がそれらの総ての組に含まれているならば、そのフィルタを、現在注目しているフィルタを包含するフィルタとして確定され、逆に含まれていない組があればそのフィルタは現在注目しているフィルタを包含していないとしてリストから除外する(ステップS18〜S19)。この処理を総てのフィルタに対して行い(ステップS20、S21)、フィルタの被包含関係のリストを完成させて、冗長フィルタを抽出する。図15は、図12のリストから上記処理により得られるフィルタの被包含関係のリストであり、本図に示すようにフィルタF_3はF_1に包含されている、すなわちF_3はF_1に対し冗長であるということが判明する。
After obtaining a list of filters that may be included for all the filters registered in the
なお、冗長フィルタを抽出する処理は少し簡単にして、例えば図12のリストにおいて、メッセージを単独で検知していないフィルタを抽出することにより行ってもよい。すなわち、あるフィルタが検知したメッセージが常に他のフィルタにも検知されている場合をいずれかのフィルタに包含されているとして扱い、単独でメッセージを検知している場合は除外する。これは検出精度は確実でないが簡単かつ負荷を少なく実行することができる。 It should be noted that the process of extracting the redundant filter may be a little simpler, for example, by extracting a filter that does not detect a message alone in the list of FIG. That is, a case where a message detected by a certain filter is always detected by another filter is treated as being included in any filter, and a case where a message is detected alone is excluded. This is simple but can be executed with low load, although the detection accuracy is not certain.
次に、このようにして抽出された冗長フィルタの確認、削除、および修正処理について説明する。例えば管理者が監視端末300の冗長フィルタ確認手段304を操作すると、当該手段304が監視サーバ100の冗長フィルタ分析手段111にリクエストを送る。リクエストを受け取った冗長フィルタ分析手段111は、上記の処理により冗長フィルタを抽出するとともに、類似メッセージ蓄積部107から冗長フィルタに類似したメッセージを取得し、監視端末300に送る。監視端末300の冗長フィルタ確認手段304は受け取った情報を画面表示して管理者に提示する。図16および図17は冗長フィルタを提示する画面例である。図16の画面に検出された冗長フィルタがリスト表示され、いずれかのフィルタを指定すると図17の詳細情報が表示される。この画面上で管理者は冗長フィルタの存在を確認し、提示された類似メッセージを見て冗長フィルタをどのように修正すればこの類似メッセージを検知するかを把握して、冗長フィルタを修正することができる。このフィルタの削除または修正は、監視端末300のフィルタ設定手段302が実行する。
Next, confirmation, deletion, and correction processing of the redundant filter extracted in this way will be described. For example, when the administrator operates the redundant filter confirmation unit 304 of the
以上、詳細に説明したように、本発明によれば、すでに設定してあるフィルタに類似するメッセージを蓄積し、あるフィルタ修正の必要が生じたときに当該フィルタの類似メッセージを提示することにより、例えばまったくメッセージを検知しないフィルタを管理者が認識し、どのように修正すればそのフィルタがメッセージを検知するようになるかを簡単に把握することができる。 As described above in detail, according to the present invention, by accumulating messages similar to filters that have already been set, and presenting similar messages of the filter when a certain filter needs to be corrected, For example, an administrator can recognize a filter that does not detect a message at all, and can easily grasp how the filter will detect a message if it is corrected.
また、メッセージを検知したフィルタのリストをメッセージとともに蓄積し、このリストを分析することで冗長なフィルタを抽出できるようにしたため、他のフィルタによって検知されるメッセージしか検知しないような冗長なフィルタを発見し、管理者に削除または修正を促すことができるため、無駄なフィルタを減らすことができ、メッセージとフィルタの比較回数を減らして処理負担を軽減させることができる。 In addition, a list of filters that have detected a message is stored together with the message, and by analyzing this list, redundant filters can be extracted, so a redundant filter that only detects messages detected by other filters can be found. In addition, since it is possible to prompt the administrator to delete or modify, it is possible to reduce unnecessary filters, and it is possible to reduce the processing load by reducing the number of comparisons between messages and filters.
本発明は、運用管理システムを含む情報処理産業に好適に利用することができる。 The present invention can be suitably used in the information processing industry including an operation management system.
100 監視サーバ
101 監視手段
102 分析手段
103 フィルタ蓄積部
104 メッセージログ蓄積部
105 フィルタ更新手段
107 類似メッセージ蓄積部
108 ヒット数設定手段
109 類似メッセージ表示手段
110 検知フィルタ付与手段
111 冗長フィルタ分析手段
200 被監視サーバ
201 メッセージログファイル蓄積部
300 監視端末
301 メッセージ確認手段
302 フィルタ設定手段
303 類似メッセージ確認手段
304 冗長フィルタ確認手段
DESCRIPTION OF
Claims (6)
前記分析手段が検出したメッセージとこれを検出した総てのフィルタの情報を格納するメッセージログ蓄積部と、前記メッセージログ蓄積部を参照して他のフィルタによって検知できているメッセージしか検知しないフィルタを抽出する冗長フィルタ分析手段とを具えることを特徴とするメッセージ監視システム。 A filter storage unit that stores a message filter including one or more conditions (hereinafter simply referred to as a “filter”), and a message that satisfies all the filter conditions is detected by comparing the content of the message to be inspected with the filter. In a message monitoring system comprising an analysis means,
A message log accumulating unit for storing information of the message detected by the analyzing means and all filters for detecting the message, and a filter for detecting only messages that can be detected by other filters with reference to the message log accumulating unit A message monitoring system comprising: redundant filter analysis means for extracting.
前記冗長フィルタ分析手段は、当該冗長フィルタ分析手段が抽出したフィルタに関連する類似メッセージを前記類似メッセージ蓄積部から取得して前記フィルタの情報とともに出力するとともに、前記フィルタ更新手段が前記フィルタの条件変更を受け付けることを特徴とするメッセージ監視システム。 The message monitoring system according to claim 1, further comprising a similar message detection unit that detects a message that satisfies a part of the filter condition but not all of the filter conditions, and associates the similar message detected by the similar message detection unit with the filter. A similar message accumulating unit for storing, and a filter updating means for accepting setting and changing of the filter condition,
The redundant filter analysis unit acquires a similar message related to the filter extracted by the redundant filter analysis unit from the similar message storage unit and outputs the similar message together with the filter information, and the filter update unit changes the condition of the filter A message monitoring system characterized by accepting messages.
前記フィルタ条件の全部ではないが一部を満たすメッセージを検出する類似メッセージ検知手段と、前記類似メッセージ検出手段が検出した類似メッセージを前記フィルタに関連づけて格納する類似メッセージ蓄積部と、前記フィルタ蓄積部からメッセージを検知していないフィルタを抽出し当該フィルタに関連する類似メッセージを前記類似メッセージ蓄積部から取得して前記フィルタの情報とともに出力する類似メッセージ出力手段と、前記フィルタの条件の設定や変更を受け付けるフィルタ更新手段とを具えることを特徴とするメッセージ監視システム。 A filter storage unit that stores a message filter including one or more conditions (hereinafter simply referred to as a “filter”), and a message that satisfies all the filter conditions is detected by comparing the content of the message to be inspected with the filter. In a message monitoring system comprising an analysis means,
Similar message detection means for detecting a message that satisfies some but not all of the filter conditions, a similar message storage section that stores the similar message detected by the similar message detection means in association with the filter, and the filter storage section A similar message output means for extracting a filter that has not detected a message from the message, obtaining a similar message related to the filter from the similar message storage unit, and outputting the similar message together with the filter information, and setting or changing the filter condition. A message monitoring system comprising: a filter update means for receiving.
前記分析手段が検出したメッセージとこれを検出した総てのフィルタの情報をメッセージログ蓄積部に登録するステップと、冗長フィルタ分析手段が、前記メッセージログ蓄積部を参照して他のフィルタによって検知できているメッセージしか検知しない冗長フィルタを抽出するステップとを具えることを特徴とするフィルタ最適化支援方法。 A filter storage unit that stores a message filter including one or more filter conditions (hereinafter simply referred to as a “filter”), and a message that satisfies all the filter conditions by checking the content of the message to be inspected against the filter. In a filter optimization support method in a system comprising an analyzing means for detecting,
The step of registering the message detected by the analysis means and the information of all the filters that have detected it in the message log storage section, and the redundant filter analysis means can be detected by other filters with reference to the message log storage section. A filter optimization support method comprising: extracting a redundant filter that detects only a certain message.
類似メッセージ検出手段が、前記フィルタ条件の全部ではないが一部を満たすメッセージを検出して類似メッセージ蓄積部に格納するステップと、類似メッセージ出力種だが、前記フィルタ蓄積部からメッセージを検知していないフィルタを抽出し当該フィルタに関連する類似メッセージを前記類似メッセージ蓄積部から取得して前記フィルタの情報とともに出力するステップと、フィルタ更新手段が、前記フィルタの条件の設定や変更を受け付けるステップとを具えることを特徴とするフィルタ最適化支援方法。 A filter storage unit that stores a message filter including one or more filter conditions (hereinafter simply referred to as a “filter”), and a message that satisfies all the filter conditions by checking the content of the message to be inspected against the filter. In a filter optimization support method in a system comprising an analyzing means for detecting,
A step in which a similar message detection means detects a message that satisfies a part but not all of the filter condition and stores it in a similar message storage unit; and a similar message output type, but no message is detected from the filter storage unit Extracting a filter, obtaining a similar message related to the filter from the similar message storage unit and outputting the same together with the filter information, and a step of receiving a setting or change of the filter condition by the filter updating means. A filter optimization support method characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008058558A JP4888425B2 (en) | 2008-03-07 | 2008-03-07 | Message monitoring system and message filter optimization support method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008058558A JP4888425B2 (en) | 2008-03-07 | 2008-03-07 | Message monitoring system and message filter optimization support method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009217392A JP2009217392A (en) | 2009-09-24 |
JP4888425B2 true JP4888425B2 (en) | 2012-02-29 |
Family
ID=41189199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008058558A Expired - Fee Related JP4888425B2 (en) | 2008-03-07 | 2008-03-07 | Message monitoring system and message filter optimization support method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4888425B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5435225B2 (en) * | 2009-11-12 | 2014-03-05 | 日本電気株式会社 | Operation management apparatus, operation management method, and program |
JP5487914B2 (en) * | 2009-11-30 | 2014-05-14 | 日本電気株式会社 | Operation information management system, operation information management method, operation information management program |
JP5549534B2 (en) * | 2010-10-22 | 2014-07-16 | 日本電気株式会社 | Message monitoring system, message monitoring apparatus, message filter category classification method and program |
WO2012066650A1 (en) | 2010-11-17 | 2012-05-24 | 富士通株式会社 | Information processing device, message extracting method and message extracting program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7792775B2 (en) * | 2005-02-24 | 2010-09-07 | Nec Corporation | Filtering rule analysis method and system |
-
2008
- 2008-03-07 JP JP2008058558A patent/JP4888425B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009217392A (en) | 2009-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7975047B2 (en) | Reliable processing of HTTP requests | |
US8601319B2 (en) | Method and apparatus for cause analysis involving configuration changes | |
US11704191B2 (en) | Error remediation systems and methods | |
US7418461B2 (en) | Schema conformance for database servers | |
US7689688B2 (en) | Multiple-application transaction monitoring facility for debugging and performance tuning | |
US8214508B2 (en) | Support apparatus, program, information processing system and support method | |
CN109684155B (en) | Monitoring configuration method, device, equipment and readable storage medium | |
US8683263B2 (en) | Cooperative client and server logging | |
JP4888425B2 (en) | Message monitoring system and message filter optimization support method | |
CN113687974B (en) | Client log processing method and device and computer equipment | |
US20140310560A1 (en) | Method and apparatus for module repair in software | |
CN116107846B (en) | Linux system event monitoring method and device based on EBPF | |
JP2009199321A (en) | Relevancy inspection apparatus, relevancy inspection method, and relevancy inspection program | |
US10915510B2 (en) | Method and apparatus of collecting and reporting database application incompatibilities | |
US8090994B2 (en) | System, method, and computer readable media for identifying a log file record in a log file | |
CN109559121B (en) | Transaction path call exception analysis method, device, equipment and readable storage medium | |
US20150326677A1 (en) | Screen information collecting computer, screen information collecting method, and computer-readable storage medium | |
JP2007304837A (en) | Information processor, monitoring method, and program | |
JP6855364B2 (en) | Log collection system and program | |
CN107861842B (en) | Metadata damage detection method, system, equipment and storage medium | |
JP2008305289A (en) | Application finding method | |
JP5435351B2 (en) | Screen sequence confirmation device, screen sequence confirmation method and screen sequence confirmation program | |
WO2024078062A1 (en) | Static code analysis result management method, device, and readable storage medium | |
CN111475783A (en) | Data detection method, system and equipment | |
CN113986603B (en) | Method and device for determining page loading abnormity reason and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110830 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111115 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111128 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4888425 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141222 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |