JP4944391B2 - メッセージ異常自動判別装置、方法、及びプログラム - Google Patents
メッセージ異常自動判別装置、方法、及びプログラム Download PDFInfo
- Publication number
- JP4944391B2 JP4944391B2 JP2005137961A JP2005137961A JP4944391B2 JP 4944391 B2 JP4944391 B2 JP 4944391B2 JP 2005137961 A JP2005137961 A JP 2005137961A JP 2005137961 A JP2005137961 A JP 2005137961A JP 4944391 B2 JP4944391 B2 JP 4944391B2
- Authority
- JP
- Japan
- Prior art keywords
- message
- messages
- message information
- patterns
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/14—Monitoring arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Debugging And Monitoring (AREA)
Description
分散システムの場合、分散システムを構成する情報処理装置若しくは情報処理装置を構成する各ハードウェアやソフトウェアから様々なメッセージが大量に出力されるため、これらのメッセージを収集して1つのコンソールに表示する機能が提供される。
特許文献1には、障害メッセージの特徴が予め登録されたパターンファイルを監視手段に備え、運転状況メッセージとパターンファイルの個々のパターンとを比較して障害メッセージか否かを判別する障害検出システムについて開示されている。
例えば、以下の3つのメッセージ
(A)「送信要求が異常復帰」、
(B)「再送に成功」、
(C)「ネットワーク通信遅延」、
について、メッセージ(A)−(B)の順に出力された場合は、特に対処の必要がない。しかし、メッセージ(A)−(C)の順で出力され、メッセージ(B)が出力されない場合は、何らかの異常があるとみなし、調査の必要があると考えられる。また、メッセージ(A)−(B)のパターンでも、短時間に大量に出力された場合には、何らかの異常があると考えられ、調査の必要がある。
図1は、本発明に係る実施例の全体の構成例を示す図である。
図1に示すメッセージ異常自動判別装置1は、分散システム8が出力するメッセージを収集するメッセージ収集部2と、メッセージ収集部2で収集したメッセージからパターンを抽出する学習部3と、学習部3で抽出したパターン(以下、「通常パターン」という)を記憶する通常パターン記憶部4と、メッセージ収集部2で収集したメッセージと通常パターン記憶部4に格納されている通常パターンとを照合してメッセージ異常を検出する照合部5と、照合部5で検出した異常をディスプレイ9等に出力する警告部6と、通常パターンに関する定義データが格納されている定義部7と、を備えている。
学習部3は、定義部7を参照して連続メッセージの最大数(以下、「最大メッセージ数」という)を取得する。そして、メッセージ収集部2から送られるメッセージについて、1から最大メッセージ数までの組み合わせパターン(通常パターン)を抽出すると共に、通常パターンを構成する各メッセージの出現回数(この時の出現回数を「合計回数」という)をカウントする。
一方、照合部5は、通常パターン記憶部4を参照し、メッセージ収集部2から送られるメッセージに該当する通常パターンを検索する。そして、該当する通常パターンがある場合には、当該メッセージの出現回数(この時の出現回数を、「発生回数」という)をカウントする。さらに、当該メッセージの平均回数(合計回数を学習回数で除した値)を参照し、発生回数と定義部7の定義に基づいて当該メッセージが異常であるか否かを判別する。
また、図1に示した本実施例に係るメッセージ異常自動判別装置1には、分散システム8を構成する各サーバ10(サーバ10を構成するアプリケーション、ミドルウェア、OS、及びハードウェア)から直接メッセージ収集部2がメッセージを収集する場合について示されているが、サーバ10からネットワーク11を介してメッセージを収集してもよいのは当然である。
図2は、本実施例に係るメッセージ異常自動判別装置1の構成例を示している。
ステップS301において、分散システム8を構成するサーバ10若しくはサーバ10を構成するハードウェア、OS、ミドルウェア、及びアプリケーション、ネットワーク11、ストレージ12(SAN(Storage Area Network)やNAS(Network Attached Storage)等を含む)が、例えば、ネットワーク通信が不能となる等を検出すると、メッセージを生成する。
ステップS401において、分散システム8からメッセージが発生すると、メッセージ収集部2は、処理をステップS402に移行してメッセージの収集処理を開始する。
メッセージ収集部2からメッセージを受信すると、照合部5は、処理をステップS4003に移行する。そして、通常パターン記憶部4に記憶されている通常パターンを参照して、メッセージ収集部2から送られるメッセージに該当するメッセージが存在するか否かのチェックを行なう。
また、ステップS404において、該当するメッセージが存在しない、又は、メッセージ異常を検出した場合には、処理をステップS405に移行して、既に警告済みのメッセージ異常であるか否かをチェックする。警告済みの場合には、処理をステップS409に移行して正常終了し、警告済みでない場合には、処理をステップS406に移行する。
図5に示す通常パターンは、曜日や祝日、月末日等を示す曜日等データ50と、各曜日等データ50の時間帯を示す時間帯データ51と、各時間帯データ51が示す時間帯にメッセージ収集部2が収集したメッセージに関する情報を格納する木構造のメッセージ情報データ52と、で構成されている。
曜日等データ50は、曜日や日曜祝日、月末(以下、「曜日等」という)を定義する。したがって、各曜日データ50a〜50nには、曜日等を示すデータが格納される(例えば、月曜日を示す曜日等データ50aや日曜祝日を示す曜日等データ50n)。
時間帯は、1日又は分散システム8の運用時間を所定の時間で分割した時間帯を定義する。図5に示す時間帯データ51は、1日を30分間隔で分割した時間帯「AM8:00〜8:30」の時間帯データ51aと時間帯「AM8:30〜9:00」の時間帯データ51bを示している。
曜日等ポインタ53及び時間帯ポインタ54には、メッセージ異常自動判別装置1が有するタイマー機能等から取得した現在の曜日等及び時刻に対応する特定の曜日等データ50及び時間帯データ51の格納位置(アドレス)が格納される(以下、この処理を「位置づける」という)。
ここで、図5に示した通常パターンは木構造となっているので、曜日等データ50は、各曜日等データ50配下の時間帯データ51へのポインタを備え、時間帯データ51は、各時間帯データ51配下のメッセージ情報データ52(第1階層)へのポインタを備え、メッセージ情報データ52は、各メッセージ情報データ52配下のメッセージ情報データ52へのポインタを備えている。
図6に示すメッセージデータは、リソース名とメッセージ識別子とからなるヘッダ(以下、単に「識別子」という)と、メッセージデータと、で構成されている。
図7は、本実施例に係る定義部7の構成例を示している。
最大連続メッセージ数は、学習部3及び照合部5が、連続していると認識するメッセージの最大値である。例えば、最大連続メッセージ数が3の場合、学習部3は、メッセージ収集部2から送られるメッセージが、1又は2〜3の連続したメッセージと認識するので、1又は2〜3の連続したメッセージの組み合わせを抽出して通常パターンを生成する。したがって、この時のメッセージ情報データ52は、3階層の構成となる。
図8A及び8Bは、本実施例に係るメッセージ異常自動判別装置1の学習モード時における処理の詳細を示すフローチャートである。
ステップS801において、学習部3は、メッセージ異常自動判別装置1が有するタイマー機能等から現在の曜日等を取得する。さらに、ステップS802において、メッセージ異常自動判別装置1が有するタイマー機能等から現在の時刻を取得する。
ステップS803において、学習部3は、曜日等ポインタ53及び時間帯ポインタ54が位置づけている曜日等データ50及び時間帯データ51が示す曜日等及び時間帯と、ステップS801及びS802で取得した現在の曜日等及び時刻(時間帯)と、が一致するかチェックする。
ステップS806において、学習部3は、収集したメッセージから識別子を生成する。例えば、図6に示したようにリソース名とメッセージ識別子とから識別子(例えば、SV011001)を生成する。
ステップS808において、学習部3は、ステップS807で検出又は新たに生成したメッセージ情報データ52の合計回数に1を加え、処理をステップS809に移行する。
ステップS810において、学習部3は、第1階層のメッセージ情報ポインタ55(1)が位置づけているメッセージ情報データ52の位置(アドレス)を取得し(以下、この処理を「起点にする」という)、処理をステップS811に移行する。
ステップS812において、学習部3は、仮メッセージ情報ポインタ57(2)を生成し、ステップS811で検索又は新たに生成したメッセージ情報データ52に位置づける。そして、当該メッセージ情報データ52の合計回数に1を加た値を格納する(ステップS813)。
また、学習部3は、ステップS815で起点としたメッセージ情報ポインタ55が最下位層のポインタか否かをチェックする。最下位層である場合には、処理をステップS817に移行し、最下位層でない場合には、処理をステップS811に移行して、ステップS811〜S816の処理を繰返し行なう。
ステップS818において、学習部3は、全ての階層について、仮メッセージ情報ポインタ57が位置づけるメッセージ情報データ52にメッセージ情報ポインタ55を位置づける。そして、全ての階層の仮メッセージ情報ポインタ57を削除して処理を終了する。
図9A及び9Bに示す具体例(a)〜(e)は、学習モード時にメッセージ収集部2がメッセージを収集して通常パターンを抽出する過程を示している。なお、説明を簡単にするために、メッセージ情報データ52の構成のみを図に示している。
具体例(b):具体例(a)の状態でメッセージbを収集。
具体例(c):具体例(b)の状態でメッセージcを収集。
具体例(e):具体例(d)の状態でメッセージcを収集。
以下、各具体例を図8A及び8Bに示したフローチャート(ステップS806〜S818)に基づいて説明する。
具体例(a)では、他にメッセージ情報ポインタ55が存在しないので、仮メッセージ情報ポインタ57(1)をメッセージ情報ポインタ55(1)に変更して処理を終了する(ステップS818)。
次に、第1階層のメッセージ情報ポインタ55(1)を検索する。具体例(a)では、メッセージ情報データ52(1)aを位置づけるメッセージ情報ポインタ55(1)が存在するので、メッセージ情報データ52(1)aを起点とする(ステップS810)。
そして、メッセージ情報データ52(2)aの合計回数に1を加えた値を格納し(ステップS813)、全ての階層のメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(c)において、メッセージ収集部2がメッセージcを収集して学習部3に通知すると、学習部3は、メッセージcのヘッダ部から識別子「SV011003」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する。
次に、第1階層のメッセージ情報ポインタ55(1)を検索する。具体例(b)では、メッセージ情報データ52(1)bを位置づけるメッセージ情報ポインタ55(1)が存在するので、メッセージ情報データ52(1)bを起点とする(ステップS810)。
そして、メッセージ情報データ52(2)bの合計回数に1を加えた値を格納し(ステップS813)、全てのメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(d)において、メッセージ収集部2がメッセージaを収集して学習部3に通知すると、学習部3は、メッセージaのヘッダ部から識別子「SV011001」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する(ステップS807)。
そして、メッセージ情報データ52(2)cの合計回数に1を加えた値を格納し(ステップS813)、全てのメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(e)において、メッセージ収集部2がメッセージcを収集して学習部3に通知すると、学習部3は、メッセージcのヘッダ部から識別子「SV011003」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する(ステップS807)。
そして、メッセージ情報データ52(2)dの合計回数に1を加えた値を格納し(ステップS813)、全てのメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
図10は、学習モードから運用モードへの切換え処理を示すフローチャートである。
ステップS1001において、曜日等ポインタ53を月曜日を示す曜日等データ50に位置づける。そして、ステップS1002において、時間帯ポインタ54を時間帯「AM0:00〜0:30」を示す時間帯データ51に位置づける。
そして、ステップS1004において、CPU20は、時間帯ポインタ54が位置づける時間帯データ51の学習回数と、メッセージ情報ポインタ57(1)が位置づけるメッセージ情報データ52(1)の合計回数を読み出し、「合計回数÷学習回数」を計算して平均回数を算出する。そして、算出した平均回数を当該メッセージ情報データ52(1)の平均回数に格納する。
メッセージ異常自動判別装置1が運用モードに設定されると、照合部5は、照合処理を開始して処理をステップS1101に移行する。
ステップS1104において、照合部5は、定義部7の所定のアドレスに格納されている下限基準値(%)を参照する。そして、時間帯ポインタ54が位置づける時間帯データ51配下の全てのメッセージ情報データ52について、平均回数に下限基準値を乗じた値(以下、「下限閾値」という)と発生回数とを比較する。
そして、異常検出フラグをONにして、処理をステップS1107に移行する(ステップS1105、S1106)。なお、異常検出フラグは、例えば、メモリ21に専用の領域を確保すればよい。
また、該当するメッセージ情報データ52が見つかった場合には、処理をステップS1111に移行し、当該メッセージ情報データ52の発生回数に1を加えた値を格納する。
以上のステップS1108〜S1113の処理によって、当該時間帯ポインタ54配下における第1階層のメッセージ情報データ52について所定の処理が完了すると、照合部5は、以下に示すステップS1114〜S1123の処理で当該時間帯ポインタ54配下の第2階層以降のメッセージ情報データ52について処理を行なう。
比較の結果、発生回数が上限閾値以上でない場合には、処理をステップS1119に移行する。また、比較の結果、発生回数が上限閾値以上の場合には、ステップS1112と同様に、当該曜日等データ50及び時間帯データ51が示す曜日等及び時間帯のメッセージに異常があったと判断し、処理をステップS1125に移行する。
ステップS1126において、照合部5は、各階層に生成した仮メッセージ情報ポインタ57が位置づけるメッセージ情報データ52を、各階層のメッセージ情報ポインタ55に位置づけ、全ての仮メッセージ情報ポインタ57を削除して処理を終了する。
図12に示す警告は、本実施例に係るメッセージ異常自動判別装置1が、分散システム8から生成される連続したメッセージA「SV01:1001:送信要求が異常復帰」、メッセージB「SV01:1002:再送に成功」を、所定の時間帯に10回出現(検出)した場合の警告画面を示している。
なお、図12に示した警告画面はディスプレイ9に表示したものであるが、同様の表示データを所定のメールアドレスに送信してもよい。
以上に説明したように、本実施例に係るメッセージ異常自動判別装置1は、自動的に分散システム8から生成されるメッセージの通常パターンを学習するので、例えば、メッセージのフィルタリング定義のように、各メッセージ毎にメッセージを出力するか否かを手動で設定する必要がない。
前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶部と、
該通常パターン記憶部に格納された前記通常パターンを参照し、前記メッセージ収集部で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合部と、
を備えることを特徴とするメッセージ異常自動判別装置。
所定の規則に応じて分類した日付を示す複数の曜日等データと、
該曜日等データが示す日付若しくは該日付の所定の時間を任意に分割して得る時間帯を示す複数の時間帯データと、
該時間帯データが示す時間帯における前記メッセージ情報データと、
で構成されることを特徴とする付記1に記載のメッセージ異常自動判別装置。
所定の階層数の階層を有する木構造であり、
前記照合部は、
前記メッセージ収集部で収集したメッセージの識別子と一致する識別子を、前記照合部が前回発生回数をカウントしたメッセージ情報データを起点とし、該起点の直下の階層のメッセージ情報データの識別子から検索する、
ことを特徴とする付記1に記載のメッセージ異常自動判別装置。
(付記5) 前記識別子は、メッセージの内容を識別するメッセージIDと、該メッセージを生成するリソース名と、で構成されることを特徴とする付記1に記載のメッセージ異常自動判別装置。
を更に備えることを特徴とする付記1記載のメッセージ異常自動判別装置。
(付記8) 分散システムで生成されたメッセージを収集するメッセージ収集処理と、
前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶手段を参照し、前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合処理と、
を情報処理装置に行なわせることを特徴とするメッセージ異常自動判別方法。
所定の規則に応じて分類した日付を示す複数の曜日等データと、
該曜日等データが示す日付若しくは該日付の所定の時間を任意に分割して得る時間帯を示す複数の時間帯データと、
該時間帯データが示す時間帯における前記メッセージ情報データと、
で構成されることを特徴とする付記8に記載のメッセージ異常自動判別方法。
所定の階層数の階層を有する木構造であり、
前記照合処理は、
前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を、前記照合処理が前回発生回数をカウントしたメッセージ情報データを起点とし、該起点の直下の階層のメッセージ情報データの識別子から検索する、
ことを特徴とする付記8に記載のメッセージ異常自動判別方法。
前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶手段を参照し、前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合処理と、
を情報処理装置に行なわせることを特徴とするメッセージ異常自動判別のためのプログラム。
所定の規則に応じて分類した日付を示す複数の曜日等データと、
該曜日等データが示す日付若しくは該日付の所定の時間を任意に分割して得る時間帯を示す複数の時間帯データと、
該時間帯データが示す時間帯における前記メッセージ情報データと、
で構成されることを特徴とする付記14に記載のメッセージ異常自動判別のためのプログラム。
所定の階層数の階層を有する木構造であり、
前記照合処理は、
前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を、前記照合処理が前回発生回数をカウントしたメッセージ情報データを起点とし、該起点の直下の階層のメッセージ情報データの識別子から検索する、
ことを特徴とする付記14に記載のメッセージ異常自動判別のためのプログラム。
2 メッセージ収集部
3 学習部
4 通常パターン
5 照合部
6 警告部
7 定義部
8 分散システム
9 ディスプレイ
10 サーバ
11 ネットワーク
12 ストレージ
50 曜日等データ
51 時間帯データ
52 メッセージ情報データ
53 曜日等ポインタ
54 時間帯ポインタ
55 メッセージ情報ポインタ
Claims (5)
- 分散システムに含まれる装置から出力されるメッセージを収集するコンピュータに、
第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出し、
抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶し、
前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し、前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数し、
計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも大きい所定の割合以上に大きい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して頻出している旨の通知を出力すること
を実行させることを特徴とする通知プログラム。 - 前記第2のメッセージ群に含まれる第1のメッセージが、前記木構造の根部分に位置するメッセージと同じ内容を示すメッセージである場合に、前記第1のメッセージと同じ内容を示すメッセージに対応付けられた前記第1の数を選択し、
前記第2のメッセージ群に含まれるメッセージであって、前記第1のメッセージの次に取得した第2のメッセージが、前記木構造において、選択した前記第1の数に対応するメッセージの配下であり、且つ1階層下に位置するいずれかのメッセージと同じ内容を示すメッセージである場合に、前記第2のメッセージと同じ内容を示すメッセージに対応付けられた前記第1の数を選択し、且つ先に選択した前記第1の数の選択を解除し、
選択された前記第1の数を選択した回数が、選択した前記第1の数に対し、前記所定の割合以上に大きい数を超えた場合に、前記第1のメッセージおよび第2のメッセージを含むメッセージパターンに一致するメッセージ群が頻出している旨の通知を出力すること
をコンピュータに実行させることを特徴とする請求項1記載の通知プログラム。 - 分散システムに含まれる装置から出力されるメッセージを収集するコンピュータに、
第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出し、
抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶し、
前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し、前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数し、
計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも小さい所定の割合以下に小さい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して少ない旨の通知を出力すること
を実行させることを特徴とする通知プログラム。 - 分散システムに含まれる装置から出力されるメッセージを収集するコンピュータに、
第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出し、
抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶し、
前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し、前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数し、
計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも大きい所定の割合以上に大きい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して頻出している旨の通知を出力すること
を実行させることを特徴とする通知方法。 - 分散システムに含まれる装置から出力されるメッセージを収集する通知装置において、
第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出する抽出手段と、
抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶するメッセージパターン記憶手段と、
前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し、前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数する計数手段と、
計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも大きい所定の割合以上に大きい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して頻出している旨の通知を出力する通知手段と、
を備えることを特徴とする通知装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005137961A JP4944391B2 (ja) | 2005-05-11 | 2005-05-11 | メッセージ異常自動判別装置、方法、及びプログラム |
US11/205,621 US8332503B2 (en) | 2005-05-11 | 2005-08-17 | Message abnormality automatic detection device, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005137961A JP4944391B2 (ja) | 2005-05-11 | 2005-05-11 | メッセージ異常自動判別装置、方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006318071A JP2006318071A (ja) | 2006-11-24 |
JP4944391B2 true JP4944391B2 (ja) | 2012-05-30 |
Family
ID=37418996
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005137961A Expired - Fee Related JP4944391B2 (ja) | 2005-05-11 | 2005-05-11 | メッセージ異常自動判別装置、方法、及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8332503B2 (ja) |
JP (1) | JP4944391B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9612898B2 (en) | 2013-06-03 | 2017-04-04 | Nec Corporation | Fault analysis apparatus, fault analysis method, and recording medium |
US10152366B2 (en) | 2013-09-24 | 2018-12-11 | Nec Corporation | Log analysis system, fault cause analysis system, log analysis method, and recording medium which stores program |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070294584A1 (en) * | 2006-04-28 | 2007-12-20 | Microsoft Corporation | Detection and isolation of data items causing computer process crashes |
US8332344B2 (en) | 2007-03-14 | 2012-12-11 | Nec Corporation | Operation management apparatus, operation management method, and operation management program |
JP5428934B2 (ja) | 2010-02-22 | 2014-02-26 | 富士通株式会社 | 障害パターン生成プログラムおよび障害パターン生成装置 |
US8868984B2 (en) * | 2010-12-07 | 2014-10-21 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system with event listeners and alert listeners |
JP5541130B2 (ja) * | 2010-12-10 | 2014-07-09 | 富士通株式会社 | 管理装置、管理方法および管理用プログラム |
WO2012160637A1 (ja) | 2011-05-23 | 2012-11-29 | 富士通株式会社 | メッセージ判定装置およびメッセージ判定プログラム |
DE102011107795A1 (de) | 2011-07-15 | 2013-01-17 | Fresenius Medical Care Deutschland Gmbh | Verfahren und Vorrichtung zur entfernten Überwachung und Steuerung von medizinischen Fluidmanagementgeräten |
JP5741418B2 (ja) | 2011-12-19 | 2015-07-01 | 富士通株式会社 | 障害検出方法および障害検出システム |
JP5711677B2 (ja) * | 2012-02-21 | 2015-05-07 | 日本電信電話株式会社 | 監視情報分析装置及び方法 |
JP5924073B2 (ja) * | 2012-03-30 | 2016-05-25 | 富士通株式会社 | 制御プログラム、制御方法および制御装置 |
EP2940585A4 (en) * | 2012-12-28 | 2016-01-06 | Fujitsu Ltd | PROGRAM FOR CREATING A RESPONSE PROCESS, METHOD FOR CREATING A RESPONSE PROCESS AND INFORMATION PROCESSING DEVICE |
JP6126891B2 (ja) * | 2013-03-29 | 2017-05-10 | 富士通株式会社 | 検出方法、検出プログラム、および検出装置 |
JP6201670B2 (ja) | 2013-11-15 | 2017-09-27 | 富士通株式会社 | 判定装置、判定プログラム、及び判定方法 |
JP6675297B2 (ja) * | 2016-12-09 | 2020-04-01 | Dmg森精機株式会社 | 情報処理方法、情報処理システム、および情報処理装置 |
US10419268B2 (en) * | 2017-01-27 | 2019-09-17 | Bmc Software, Inc. | Automated scoring of unstructured events in information technology environments |
JP6878984B2 (ja) * | 2017-03-23 | 2021-06-02 | 富士通株式会社 | 監視プログラム、監視方法および監視装置 |
JP6922320B2 (ja) * | 2017-03-27 | 2021-08-18 | サクサ株式会社 | ログ管理装置及びログ管理用プログラム |
JP7006347B2 (ja) * | 2018-02-13 | 2022-01-24 | 日本電気株式会社 | 管理装置、管理方法とそのプログラム |
JP2019145024A (ja) * | 2018-02-23 | 2019-08-29 | 富士通株式会社 | 判定プログラム、判定方法、および情報処理装置 |
JP7207009B2 (ja) * | 2019-02-26 | 2023-01-18 | 日本電信電話株式会社 | 異常検知装置、異常検知方法および異常検知プログラム |
US11336683B2 (en) * | 2019-10-16 | 2022-05-17 | Citrix Systems, Inc. | Systems and methods for preventing replay attacks |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH064318A (ja) * | 1992-06-19 | 1994-01-14 | Matsushita Electric Works Ltd | エラー検出方式 |
JPH09114703A (ja) * | 1995-10-20 | 1997-05-02 | Hitachi Ltd | 分散処理システムの監視方法 |
US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
JP3450264B2 (ja) * | 2000-04-05 | 2003-09-22 | Necソフト株式会社 | 障害検出システム |
US6715005B1 (en) * | 2000-06-29 | 2004-03-30 | International Business Machines Corporation | Method and system for reducing latency in message passing systems |
GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
US20020183984A1 (en) * | 2001-06-05 | 2002-12-05 | Yining Deng | Modular intelligent multimedia analysis system |
US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
JP2003122599A (ja) | 2001-10-11 | 2003-04-25 | Hitachi Ltd | 計算機システムおよび計算機システムにおけるプログラム実行監視方法 |
JP4004825B2 (ja) * | 2002-03-14 | 2007-11-07 | 株式会社東芝 | 情報抽出共有装置 |
FR2840139B1 (fr) * | 2002-05-23 | 2004-12-17 | Cit Alcatel | Dispositif et procede de classification de messages d'alarme resultant d'une violation d'accord de niveau de service dans un reseau de communications |
US20040015601A1 (en) * | 2002-07-17 | 2004-01-22 | Whitson John C. | Method for tracking encapsulated software over a network of computers |
US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
AU2003303866A1 (en) * | 2003-02-10 | 2004-08-30 | Nokia Corporation | Method and device for identifying patterns in a message and generating an action |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
JP2004318552A (ja) | 2003-04-17 | 2004-11-11 | Kddi Corp | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム |
US8065368B2 (en) * | 2003-07-31 | 2011-11-22 | Hewlett-Packard Development Company, L.P. | Configuring templates for an application and network management system |
US20050108384A1 (en) * | 2003-10-23 | 2005-05-19 | Lambert John R. | Analysis of message sequences |
KR100531622B1 (ko) * | 2003-12-05 | 2005-11-28 | 한국전자통신연구원 | 고속 패턴 저장 및 매칭 방법 |
JP2006040222A (ja) * | 2004-07-30 | 2006-02-09 | Fujitsu Ltd | メッセージ表示方法およびメッセージ表示装置 |
US7927105B2 (en) * | 2004-09-02 | 2011-04-19 | International Business Machines Incorporated | Method and system for creating and delivering prescriptive learning |
US20060095584A1 (en) * | 2004-11-12 | 2006-05-04 | Sonoa Systems, Inc. | Semantic-based switch fabric OS |
-
2005
- 2005-05-11 JP JP2005137961A patent/JP4944391B2/ja not_active Expired - Fee Related
- 2005-08-17 US US11/205,621 patent/US8332503B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9612898B2 (en) | 2013-06-03 | 2017-04-04 | Nec Corporation | Fault analysis apparatus, fault analysis method, and recording medium |
US10152366B2 (en) | 2013-09-24 | 2018-12-11 | Nec Corporation | Log analysis system, fault cause analysis system, log analysis method, and recording medium which stores program |
Also Published As
Publication number | Publication date |
---|---|
JP2006318071A (ja) | 2006-11-24 |
US8332503B2 (en) | 2012-12-11 |
US20060256714A1 (en) | 2006-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4944391B2 (ja) | メッセージ異常自動判別装置、方法、及びプログラム | |
JP5468837B2 (ja) | 異常検出方法、装置、及びプログラム | |
US8689241B2 (en) | Dynamic evocations for computer event management | |
US7961087B2 (en) | Holistic alarm monitoring | |
EP3619609B1 (en) | Issue detection and signature generation | |
CN108270618A (zh) | 告警判定的方法、装置及告警系统 | |
CN109977089A (zh) | 日志管理方法、装置、计算机设备及计算机可读存储介质 | |
EP2541382A1 (en) | Monitoring status display device, monitoring status display method, and monitoring status display program | |
US10073447B2 (en) | Abnormality diagnosis method and device therefor | |
JP4506520B2 (ja) | 管理サーバ、メッセージの抽出方法、及び、プログラム | |
AU2017202818A1 (en) | Volumetric event forecasting system | |
EP2933726B1 (en) | Apparatus, system and method for application log data processing | |
JP2007241872A (ja) | ネットワーク上のコンピュータ資源の変更監視プログラム | |
CN104753712A (zh) | 一种告警上报方法、告警上报节点及告警上报系统 | |
CN111026621A (zh) | 面向Elasticsearch集群的监控报警方法、装置、设备、介质 | |
CN109101390B (zh) | 基于高斯分布的定时任务异常监控方法、电子装置及介质 | |
CN110990245A (zh) | 基于调用链数据的微服务运行状态判断方法及装置 | |
JP6665503B2 (ja) | データ収集システム、データ収集装置及びデータ収集方法 | |
CN111157245A (zh) | 一种轨道交通走行部轴承的监管方法及系统 | |
CN108279993A (zh) | 实现业务降级的方法及装置和电子设备 | |
JP6049136B2 (ja) | ネットワーク管理システムおよび方法 | |
JP2006331026A (ja) | メッセージ分析システム及びメッセージ分析プログラム | |
JP2003085003A (ja) | 障害復旧援助方法、及び、障害復旧援助システム | |
JP2018173785A (ja) | 業務利用ファイル管理システム、業務利用ファイルの管理方法、および、プログラム | |
CN114168371A (zh) | 一种故障智能自动报警系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091020 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100511 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100707 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100803 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101004 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101026 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110126 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110131 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20111227 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20111227 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120203 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120302 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150309 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |