JP4944391B2 - メッセージ異常自動判別装置、方法、及びプログラム - Google Patents

メッセージ異常自動判別装置、方法、及びプログラム Download PDF

Info

Publication number
JP4944391B2
JP4944391B2 JP2005137961A JP2005137961A JP4944391B2 JP 4944391 B2 JP4944391 B2 JP 4944391B2 JP 2005137961 A JP2005137961 A JP 2005137961A JP 2005137961 A JP2005137961 A JP 2005137961A JP 4944391 B2 JP4944391 B2 JP 4944391B2
Authority
JP
Japan
Prior art keywords
message
messages
message information
patterns
pattern
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005137961A
Other languages
English (en)
Other versions
JP2006318071A (ja
Inventor
隆一 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005137961A priority Critical patent/JP4944391B2/ja
Priority to US11/205,621 priority patent/US8332503B2/en
Publication of JP2006318071A publication Critical patent/JP2006318071A/ja
Application granted granted Critical
Publication of JP4944391B2 publication Critical patent/JP4944391B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/14Monitoring arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、複数の情報処理装置等からなる分散システムにおいて発生するメッセージの異常を検出するメッセージ異常自動判別装置、方法、及びプログラムに関する。
近年の情報処理システムは、所定の機能を実現するために複数の情報処理装置やソフトウェア等が相互に連携して動作する分散システムの形態を採用することが多い。
分散システムの場合、分散システムを構成する情報処理装置若しくは情報処理装置を構成する各ハードウェアやソフトウェアから様々なメッセージが大量に出力されるため、これらのメッセージを収集して1つのコンソールに表示する機能が提供される。
特開2001−292143号公報
しかし、分散システムから出力されるメッセージは、大量であるためコンソールに表示されたとしても、どのメッセージが本当に重要なのか分かりにくいという問題がある。
特許文献1には、障害メッセージの特徴が予め登録されたパターンファイルを監視手段に備え、運転状況メッセージとパターンファイルの個々のパターンとを比較して障害メッセージか否かを判別する障害検出システムについて開示されている。
しかし、現状の運用管理ツールには、重要でないメッセージをフィルタリングする機能があるが、どのメッセージを出力し、どのメッセージを出力しないかという定義(フィルタリング定義)は、メッセージ毎に手動で行なう必要がある。メッセージの種類が大量にある上、どれが重要かという判断が難しく、実際の定義は困難である。
また、通常、メッセージには、その重要度を示す重要度コード(3段階の場合には、「情報レベル」、「警告レベル」、「重大レベル」など)が付加されるのが一般的であるが、同一のメッセージであっても、システム環境(システム接続形態/運用形態等)によって、その重要性が異なる場合がある。
例えば、「HTTPサービスを停止しました」という「情報レベル」のメッセージは、夜間の業務終了時の意図的な停止時には問題ないが、通常運用時に出力された時には、オペミス(操作ミス)か何らかの障害であり、緊急に対処しなければならない重大メッセージである。
さらに、1つのメッセージのみでは、その本当の重要性が分からず、複数メッセージのパターンで判断する必要がある場合がある。
例えば、以下の3つのメッセージ
(A)「送信要求が異常復帰」、
(B)「再送に成功」、
(C)「ネットワーク通信遅延」、
について、メッセージ(A)−(B)の順に出力された場合は、特に対処の必要がない。しかし、メッセージ(A)−(C)の順で出力され、メッセージ(B)が出力されない場合は、何らかの異常があるとみなし、調査の必要があると考えられる。また、メッセージ(A)−(B)のパターンでも、短時間に大量に出力された場合には、何らかの異常があると考えられ、調査の必要がある。
本発明は、上述した問題に鑑みてなされたものであり、その解決しようとする課題は、フィルタリング定義等の特別な設定をすることなく、大量のメッセージから、通常時と異なる頻度で出現するメッセージのパターンを検出するメッセージ異常自動判別装置、方法、及びプログラムを提供することである。
上記課題を解決するために、本発明に係るメッセージ異常自動判別装置は、分散システムで生成されたメッセージを収集するメッセージ収集部と、前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶部と、該通常パターン記憶部に格納された前記通常パターンを参照し、前記メッセージ収集部で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合部と、を備える。
本発明によると、照合部が、メッセージ収集部が収集したメッセージと、分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせである通常パターンと、を照合し、該当するメッセージの発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断するので、分散システムが正常に運用された場合に生成されるメッセージ及び連続したメッセージの組み合わせと異なるメッセージを、対処が必要な異常を示すメッセージとして検出することが可能となる。
さらに、本発明に係るメッセージ異常自動判別処理は、前記分散システムで生成されたメッセージを収集するメッセージ収集処理と、前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶手段を参照し、前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合処理と、を情報処理装置に行なわせるメッセージ異常自動判別方法、又はメッセージ異常自動判別のためのプログラムによって実現することが可能である。
以上のように、本発明によると、フィルタリング定義等の特別な設定をすることなく、大量のメッセージから、通常時と異なる頻度で出現するメッセージのパターンを検出するメッセージ異常自動判別装置、方法、及びプログラムを提供することが可能となる。
以下、本発明の実施形態について図1〜図12に基づいて説明する。
図1は、本発明に係る実施例の全体の構成例を示す図である。
図1に示すメッセージ異常自動判別装置1は、分散システム8が出力するメッセージを収集するメッセージ収集部2と、メッセージ収集部2で収集したメッセージからパターンを抽出する学習部3と、学習部3で抽出したパターン(以下、「通常パターン」という)を記憶する通常パターン記憶部4と、メッセージ収集部2で収集したメッセージと通常パターン記憶部4に格納されている通常パターンとを照合してメッセージ異常を検出する照合部5と、照合部5で検出した異常をディスプレイ9等に出力する警告部6と、通常パターンに関する定義データが格納されている定義部7と、を備えている。
ここで、分散システム8は、複数のサーバ10やストレージ12をネットワーク11等で接続してなるシステムであり、各サーバ10を構成するハードウェア、OS、ミドルウェア、及びアプリケーション等やストレージ12から直接又はネットワーク11等を介してメッセージ収集部2にメッセージが出力される。
メッセージ収集部2は、分散システム8からのメッセージを収集して、学習モード時には学習部3に出力し、運用モード時には照合部5に出力する。
学習部3は、定義部7を参照して連続メッセージの最大数(以下、「最大メッセージ数」という)を取得する。そして、メッセージ収集部2から送られるメッセージについて、1から最大メッセージ数までの組み合わせパターン(通常パターン)を抽出すると共に、通常パターンを構成する各メッセージの出現回数(この時の出現回数を「合計回数」という)をカウントする。
そして、検出した通常パターンと合計回数を、通常パターン記憶部4の所定のアドレスに記憶する。
一方、照合部5は、通常パターン記憶部4を参照し、メッセージ収集部2から送られるメッセージに該当する通常パターンを検索する。そして、該当する通常パターンがある場合には、当該メッセージの出現回数(この時の出現回数を、「発生回数」という)をカウントする。さらに、当該メッセージの平均回数(合計回数を学習回数で除した値)を参照し、発生回数と定義部7の定義に基づいて当該メッセージが異常であるか否かを判別する。
警告部6は、照合部5からのメッセージ異常を検出した旨の通知に応じて、ディスプレイ9への表示、所定の電話番号への通報、所定のメールアドレスへのメール送信等によって警告を行なう。
以上に説明したように、本実施例に係るメッセージ異常自動判別装置1は、学習モードと運用モードの2つのモードを備える。
また、図1に示した本実施例に係るメッセージ異常自動判別装置1には、分散システム8を構成する各サーバ10(サーバ10を構成するアプリケーション、ミドルウェア、OS、及びハードウェア)から直接メッセージ収集部2がメッセージを収集する場合について示されているが、サーバ10からネットワーク11を介してメッセージを収集してもよいのは当然である。
なお、本実施例に係るメッセージ異常自動判別装置1は、一般的な情報処理装置によって実現することが可能である。
図2は、本実施例に係るメッセージ異常自動判別装置1の構成例を示している。
図2に示すメッセージ異常自動判別装置1は、メッセージ異常自動判別装置1を構成する各構成要素を制御すると同時に、プログラムに記載された命令に従って学習部3や照合部5等の処理を実行するCPU20と、CPU20の処理に必要なデータを一時的に格納するメモリ21と、プログラムや通常パターン等を記憶する外部記憶装置22と、ネットワーク11を介して分散システム8と接続するためのネットワーク接続装置23と、各装置間でデータを送受信するためのバス(データバス)24と、を少なくとも備えている。
また、図2に示すメッセージ異常自動判別装置1は、CPU20に対して学習モードと運用モードとを切換えを指示する等の入力処理や、専用線等を利用してサーバ10から直接メッセージを収集するための入力装置25と、警告部6で出力するメッセージをディスプレイ9に表示するための出力装置26と、フレキシブルディスクやCD−ROM等の可搬記憶媒体27を駆動するための媒体駆動装置28と、を更に備えている。
以上に説明したよう、図1に示した構成するメッセージ収集部2、学習部3、照合部5、及び警告部6は、プログラムに記載された命令をCPU20が実行することによって実現することが可能である。また、通常パターン記憶部4及び定義部7は、メモリ21又は外部記憶装置22によって実現することが可能である。
なお、本実施例に係るメッセージ異常自動判別装置1の処理の主体は、CPU20であるが、以下、説明を簡単にするためにCPU20が実現する処理部(例えば、メッセージ収集部2、学習部3、照合部5等)を処理の主体として説明する。
以下、図3〜図7に基づいて本実施例に係るメッセージ異常自動判別装置1の処理の概要について説明し、図8A〜図12に基づいてより詳細なメッセージ異常自動判別装置1の処理を説明する。
図3は、本実施例に係るメッセージ異常自動判別装置1の学習モード時の処理の概要を示すフローチャートである。
ステップS301において、分散システム8を構成するサーバ10若しくはサーバ10を構成するハードウェア、OS、ミドルウェア、及びアプリケーション、ネットワーク11、ストレージ12(SAN(Storage Area Network)やNAS(Network Attached Storage)等を含む)が、例えば、ネットワーク通信が不能となる等を検出すると、メッセージを生成する。
分散システム8においてメッセージが発生すると、メッセージ異常自動判別装置1のメッセージ収集部2は、メッセージが発生した装置からメッセージを収集する。そして、学習部3に当該メッセージを通知(送信)する(ステップS302)。
学習部3は、メッセージ収集部2から送られたメッセージから通常パターンを抽出すると共に、通常パターンを構成するメッセージの発生回数をカウントし、当該通常パターンを通常パターン記憶部4に格納する(ステップS303)。
図4は、本実施例に係るメッセージ異常自動判別装置1の運用モード時の処理の概要を示すフローチャートである。
ステップS401において、分散システム8からメッセージが発生すると、メッセージ収集部2は、処理をステップS402に移行してメッセージの収集処理を開始する。
そして、分散システム8からのメッセージを収集すると共に、照合部5に収集したメッセージを通知(送信)する。
メッセージ収集部2からメッセージを受信すると、照合部5は、処理をステップS4003に移行する。そして、通常パターン記憶部4に記憶されている通常パターンを参照して、メッセージ収集部2から送られるメッセージに該当するメッセージが存在するか否かのチェックを行なう。
そして、ステップS404において、該当するメッセージが存在し、かつメッセージ異常を検出しない場合には、ステップS409に処理を移行して正常に終了する。
また、ステップS404において、該当するメッセージが存在しない、又は、メッセージ異常を検出した場合には、処理をステップS405に移行して、既に警告済みのメッセージ異常であるか否かをチェックする。警告済みの場合には、処理をステップS409に移行して正常終了し、警告済みでない場合には、処理をステップS406に移行する。
そして、ステップS406において、照合部5は、運用管理者等の設定によって警告抑止されているか否かをチェックする。警告抑止の設定がされている場合には、処理をステップS409に移行して正常終了し、警告抑止の設定がされていない場合には、ステップS403で検出したメッセージ異常の情報を警告部6に通知して処理をステップS407に移行する。
ステップS407において、警告部6は、照合部5から通知されたメッセージ異常を、ディスプレイ9に表示、所定の電話番号に電話で通報、又は、所定のアドレスにメールで通報する。
そして、以後の当該警告を抑止するか否かの問い合せをディスプレイ9に表示して、運用管理者等に警告抑止の設定を促す。運用管理者等によって当該設定が完了すると、処理をステップS409に移行して終了する。
なお、ステップS405において、メッセージ異常を検出したメッセージが警告済みか否かは、例えば、既に警告済みのメッセージを外部記憶装置23に格納しておき、メッセージ異常を検出したメッセージと照合することによって判断すればよい。
また、ステップS406における警告抑止の設定は、例えば、警告抑止をするメッセージ毎のフラグを外部記憶装置23に格納し、メッセージ異常を検出したメッセージと照合することによって判断すればよい。
図5は、本実施例に係るメッセージ異常自動判別装置1の学習部3が生成する通常パターンの構成例を示す図である。
図5に示す通常パターンは、曜日や祝日、月末日等を示す曜日等データ50と、各曜日等データ50の時間帯を示す時間帯データ51と、各時間帯データ51が示す時間帯にメッセージ収集部2が収集したメッセージに関する情報を格納する木構造のメッセージ情報データ52と、で構成されている。
さらに、曜日等データ50、時間帯データ51、及び各階層のメッセージ情報データ52の格納位置(アドレス)を示す曜日等ポインタ53、時間帯ポインタ54、及びメッセージ情報ポインタ55を備えている。
なお、以下の説明において、例えば、メッセージ情報データ52(m)aは、第m階層の特定のメッセージ情報データ52を示す(mは整数)。また、メッセージ情報データ52(m)は、第m階層の任意のメッセージ情報データ52を示す。
また、例えば、メッセージ情報ポインタ55(n)は、第n階層のメッセージ情報ポインタ55を示す(nは整数)。
曜日等データ50は、曜日や日曜祝日、月末(以下、「曜日等」という)を定義する。したがって、各曜日データ50a〜50nには、曜日等を示すデータが格納される(例えば、月曜日を示す曜日等データ50aや日曜祝日を示す曜日等データ50n)。
時間帯データ51は、時間帯を定義すると共に、学習回数を示すデータを備える。
時間帯は、1日又は分散システム8の運用時間を所定の時間で分割した時間帯を定義する。図5に示す時間帯データ51は、1日を30分間隔で分割した時間帯「AM8:00〜8:30」の時間帯データ51aと時間帯「AM8:30〜9:00」の時間帯データ51bを示している。
また、学習回数は、学習モード時に当該時間帯で学習を行なった回数を示している。例えば、曜日等データ50a配下の時間帯データ51aに示す学習回数「2」は、「月曜日のAM8:00〜8:30」の時間帯での学習を2回実施したことを示している。
メッセージ情報データ52は、メッセージから生成する識別子と、学習モード時にメッセージ収集部2が収集したメッセージの合計回数と、合計回数と学習回数から算出する平均回数と、運用モード時におけるメッセージ収集部2が収集したメッセージの発生回数と、を備える。
また、メッセージ情報データ52は、各時間帯データ51で定義された時間帯にメッセージ収集部2が収集したメッセージのパターンに応じた木構造を有し、定義部7で定義される最大連続メッセージ数だけ階層構造が生成される(例えば、定義部7で定義される最大連続メッセージ数が3の場合には、階層構造も3層となる)。
例えば、時間帯データ51a配下のメッセージ情報データ52(1)aは、当該時間帯における2回の学習で、当該メッセージを4回検出したことを示している。また、その平均回数は2回(=合計回数4回/学習回数2回)となる。
また、このメッセージ情報データ52(1)aは、発生回数が3であることから、運用モード時に当該メッセージを3回検出していることを示している。
曜日等ポインタ53及び時間帯ポインタ54には、メッセージ異常自動判別装置1が有するタイマー機能等から取得した現在の曜日等及び時刻に対応する特定の曜日等データ50及び時間帯データ51の格納位置(アドレス)が格納される(以下、この処理を「位置づける」という)。
また、メッセージ情報ポインタ55は、各階層に1つ設けられ、各階層において、最後に検出したメッセージのメッセージ情報データ52を位置づける。
ここで、図5に示した通常パターンは木構造となっているので、曜日等データ50は、各曜日等データ50配下の時間帯データ51へのポインタを備え、時間帯データ51は、各時間帯データ51配下のメッセージ情報データ52(第1階層)へのポインタを備え、メッセージ情報データ52は、各メッセージ情報データ52配下のメッセージ情報データ52へのポインタを備えている。
ただし、図5に示した構造に限定する趣旨ではない。例えば、曜日等データ50及び時間帯データ51を、曜日等と曜日等に対応する時間帯とのデーブル構造にし、メッセージ情報データ52のみ木構造の構成としてもよい。
図6は、本実施例に係るメッセージデータの構成例を示す図である。
図6に示すメッセージデータは、リソース名とメッセージ識別子とからなるヘッダ(以下、単に「識別子」という)と、メッセージデータと、で構成されている。
リソース名は、メッセージを生成する装置、又はプログラムを識別するために予め割り当てた識別名である。例えば、図1に示した各サーバ10又はサーバ10のアプリケーション、ミドルウェア、OS、ハードウェアや、ネットワーク11、ストレージ12ごとに割り当てられる。
したがって、リソース名には、図6の例1に示すようにサーバ10等のホスト名(例えば、SV01)を使用してもよいし、例2に示すようにホスト名+ソフト名(例えば、SV01−Soft01)を使用してもよい。
また、メッセージ識別子は、メッセージの内容を識別するために予め割り当てられる識別子である。
図7は、本実施例に係る定義部7の構成例を示している。
図7に示す定義部7は、最大連続メッセージ数と、下限基準値と、上限基準値と、から構成される。
最大連続メッセージ数は、学習部3及び照合部5が、連続していると認識するメッセージの最大値である。例えば、最大連続メッセージ数が3の場合、学習部3は、メッセージ収集部2から送られるメッセージが、1又は2〜3の連続したメッセージと認識するので、1又は2〜3の連続したメッセージの組み合わせを抽出して通常パターンを生成する。したがって、この時のメッセージ情報データ52は、3階層の構成となる。
下限基準値及び上限基準値は、照合部5が、メッセージ収集部2が収集したメッセージがメッセージ異常か否かを判別する閾値に使用される。
図8A及び8Bは、本実施例に係るメッセージ異常自動判別装置1の学習モード時における処理の詳細を示すフローチャートである。
メッセージ異常自動判別装置1が学習モードに設定されると、学習部3は、学習処理を開始して処理をステップS801に移行する。
ステップS801において、学習部3は、メッセージ異常自動判別装置1が有するタイマー機能等から現在の曜日等を取得する。さらに、ステップS802において、メッセージ異常自動判別装置1が有するタイマー機能等から現在の時刻を取得する。
現在の曜日等及び時刻を取得すると、学習部3は、処理をステップS803に移行する。
ステップS803において、学習部3は、曜日等ポインタ53及び時間帯ポインタ54が位置づけている曜日等データ50及び時間帯データ51が示す曜日等及び時間帯と、ステップS801及びS802で取得した現在の曜日等及び時刻(時間帯)と、が一致するかチェックする。
一致している場合には、処理をステップS806に移行する。また、一致していない場合には、処理をステップS804に移行し、ステップS801及びS802で取得した曜日等及び時刻に該当する曜日等データ50及び時間帯データ51に曜日等ポインタ54及び時間帯ポインタ55を位置づける。
そして、該当する時間帯の時間帯データ51の学習回数に1を加えた値を格納し(ステップS805)、処理をステップS806に移行する。
ステップS806において、学習部3は、収集したメッセージから識別子を生成する。例えば、図6に示したようにリソース名とメッセージ識別子とから識別子(例えば、SV011001)を生成する。
識別子を生成すると、学習部3は、処理をステップS807に移行する。そして、通常パターン記憶部4に格納されている通常パターンを参照し、当該時間帯ポインタ54が位置づけるメッセージ情報データ52群(第1階層に限る)から、当該識別子を検索キーとして同一の識別子を有するメッセージ情報データ52を検索する。
該当するメッセージ情報データ52がない場合には、当該時間帯の時間帯データ51配下に新たなメッセージ情報データ52を生成する。そして、生成したメッセージ情報データ52を初期化し、識別子を格納する。
該当するメッセージ情報データ52を検出、又は新たにメッセージ情報データ52を生成すると、学習部3は、処理をステップS808に移行する。
ステップS808において、学習部3は、ステップS807で検出又は新たに生成したメッセージ情報データ52の合計回数に1を加え、処理をステップS809に移行する。
ステップS809において、学習部3は、仮メッセージ情報ポインタ57(1)を生成し、ステップS807で検出又は新たに生成したメッセージ情報データ52に位置づける。
仮メッセージ情報ポインタ57(1)の位置づけが完了すると、学習部3は、処理をステップS810に移行する。
ステップS810において、学習部3は、第1階層のメッセージ情報ポインタ55(1)が位置づけているメッセージ情報データ52の位置(アドレス)を取得し(以下、この処理を「起点にする」という)、処理をステップS811に移行する。
ステップS811において、学習部3は、ステップS810で取得したメッセージ情報データ52配下であって、第2階層(起点となる階層の次の階層)のメッセージ情報データ52について検索キーと一致するメッセージ情報データ52を検索する。
そして、該当するメッセージ情報データ52がない場合には、新たにメッセージ情報データ52を作成する。そして、生成したメッセージ情報データ52を初期化して識別子を格納する。
該当するメッセージ情報データ52を検出、又は新たにメッセージ情報データ52を生成すると、学習部3は、処理をステップS812に移行する。
ステップS812において、学習部3は、仮メッセージ情報ポインタ57(2)を生成し、ステップS811で検索又は新たに生成したメッセージ情報データ52に位置づける。そして、当該メッセージ情報データ52の合計回数に1を加た値を格納する(ステップS813)。
以上の処理が終了すると、学習部3は、処理をステップS814に移行する。そして、全ての階層のメッセージ情報ポインタ55について、ステップS811〜S813の処理が完了したかチェックする。
処理が完了していない階層のメッセージ情報ポインタ55がある場合には、処理をステップS815に移行して、次の階層のメッセージ情報ポインタ55を起点にする。
また、学習部3は、ステップS815で起点としたメッセージ情報ポインタ55が最下位層のポインタか否かをチェックする。最下位層である場合には、処理をステップS817に移行し、最下位層でない場合には、処理をステップS811に移行して、ステップS811〜S816の処理を繰返し行なう。
ステップS817において、学習部3は、最下位層のメッセージ情報ポインタ55を削除して処理をステップS818に移行する。
ステップS818において、学習部3は、全ての階層について、仮メッセージ情報ポインタ57が位置づけるメッセージ情報データ52にメッセージ情報ポインタ55を位置づける。そして、全ての階層の仮メッセージ情報ポインタ57を削除して処理を終了する。
図9A及び9Bは、学習モード時に生成されるメッセージ情報データ52の具体例を示す図である。
図9A及び9Bに示す具体例(a)〜(e)は、学習モード時にメッセージ収集部2がメッセージを収集して通常パターンを抽出する過程を示している。なお、説明を簡単にするために、メッセージ情報データ52の構成のみを図に示している。
図9A及び9Bに示す具体例(a)〜(e)は、メッセージ収集部2が、識別子「SV011001」を有するメッセージa、識別子「SV011002」を有するメッセージb、及び識別子「SV011003」を有するメッセージcを、以下の順に収集した場合に、学習部3が生成するメッセージ情報データ52(通常パターンの一部)を示している。
具体例(a):最初にメッセージaを収集。
具体例(b):具体例(a)の状態でメッセージbを収集。
具体例(c):具体例(b)の状態でメッセージcを収集。
具体例(d):具体例(c)の状態でメッセージaを収集。
具体例(e):具体例(d)の状態でメッセージcを収集。
以下、各具体例を図8A及び8Bに示したフローチャート(ステップS806〜S818)に基づいて説明する。
具体例(a)において、メッセージ収集部2がメッセージaを収集して学習部3に通知すると、学習部3は、メッセージaのヘッダ部から識別子「SV011001」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する。
学習開始時は、現在の時間帯の時間帯データ51配下にメッセージ情報データ52が存在しないので、新たにメッセージ情報データ52(1)aを生成し、初期化後に識別子「SV011001」を格納する(ステップS807)。
そして、メッセージ情報データ52(1)aの合計回数に1を加えた値を格納する。メッセージ情報データ52(1)aの場合には、0に初期化されているため、合計回数は1となる(ステップS808)。
そして、仮メッセージ情報ポインタ57(1)を生成して当該メッセージ情報データ52(1)aに位置づける(ステップS809)。
具体例(a)では、他にメッセージ情報ポインタ55が存在しないので、仮メッセージ情報ポインタ57(1)をメッセージ情報ポインタ55(1)に変更して処理を終了する(ステップS818)。
具体例(b)において、メッセージ収集部2がメッセージbを収集して学習部3に通知すると、学習部3は、メッセージbのヘッダ部から識別子「SV011002」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する。
第1階層には、識別子「SV011002」を持つメッセージ情報データ52はないので、新たにメッセージ情報データ52(1)bを生成し、初期化して識別子「SV011002」を格納する(ステップS807)。そして、メッセージ情報データ52(1)bの合計回数に1を加えた値を格納する(ステップS808)。
そして、仮メッセージ情報ポインタ57(1)を生成して当該メッセージ情報データ52(1)bに位置づける(ステップS809)。
次に、第1階層のメッセージ情報ポインタ55(1)を検索する。具体例(a)では、メッセージ情報データ52(1)aを位置づけるメッセージ情報ポインタ55(1)が存在するので、メッセージ情報データ52(1)aを起点とする(ステップS810)。
そして、メッセージ情報データ52(1)配下の第2階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する。具体例(b)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(2)aを生成し、初期化して識別子「SV011002」を格納する(ステップS811)。
そして、仮メッセージ情報ポインタ57(2)を生成して当該メッセージ情報データ52(2)aに位置づける(ステップS812)。
そして、メッセージ情報データ52(2)aの合計回数に1を加えた値を格納し(ステップS813)、全ての階層のメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(b)の場合には、全ての階層のメッセージ情報ポインタ55について処理を行なったので、仮メッセージ情報ポインタ57(1)が位置づけるメッセージ情報データ52(1)bにメッセージ情報ポインタ55(1)を位置づけ、仮メッセージ情報ポインタ57(2)が位置づけるメッセージ情報データ52(2)aにメッセージ情報ポインタ55(2)を位置づける。
そして、仮メッセージ情報ポインタ57(1)及び57(2)を削除して処理を終了する。
具体例(c)において、メッセージ収集部2がメッセージcを収集して学習部3に通知すると、学習部3は、メッセージcのヘッダ部から識別子「SV011003」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する。
第1階層には、識別子「SV011003」を持つメッセージ情報データ52はないので、新たにメッセージ情報データ52(1)cを生成し、初期化して識別子「SV011003」を格納する(ステップS807)。そして、メッセージ情報データ52(1)cの合計回数に1を加えた値を格納する(ステップS808)。
そして、仮メッセージ情報ポインタ57を生成して当該メッセージ情報データ52(1)cに位置づける(ステップS809)。
次に、第1階層のメッセージ情報ポインタ55(1)を検索する。具体例(b)では、メッセージ情報データ52(1)bを位置づけるメッセージ情報ポインタ55(1)が存在するので、メッセージ情報データ52(1)bを起点とする(ステップS810)。
そして、メッセージ情報データ52(1)b配下の第2階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する。具体例(b)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(2)bを生成し、初期化して識別子「SV011003」を格納する(ステップS811)。
そして、仮メッセージ情報ポインタ57(2)を生成して当該メッセージ情報データ52(2)bに位置づける(ステップS812)。
そして、メッセージ情報データ52(2)bの合計回数に1を加えた値を格納し(ステップS813)、全てのメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(b)の場合には、第2階層に、メッセージ情報データ52(2)aを位置づけるメッセージ情報ポインタ55(2)があるので、メッセージ情報データ52(2)aを起点とする(ステップS815)。
そして、当該メッセージ情報データ52(2)a配下の第3階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する(ステップS811)。具体例(b)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(3)aを生成し、初期化して識別子「SV011003」を格納する。
そして、仮メッセージ情報ポインタ57(3)を生成して当該メッセージ情報データ52(3)aに位置づけ(ステップS812)、メッセージ情報データ52(3)aの合計回数に1を加えた値を格納する。
最後に、仮メッセージ情報ポインタ57(1)が位置づけるメッセージ情報データ52(1)cにメッセージ情報ポインタ55(1)を位置づけ、仮メッセージ情報ポインタ57(2)が位置づけるメッセージ情報データ52(2)bにメッセージ情報ポインタ55(2)を位置づけ、仮メッセージ情報ポインタ57(3)が位置づけるメッセージ情報データ52(3)aにメッセージ情報ポインタ55(3)を位置づける。
そして、仮メッセージ情報ポインタ57(1)〜57(3)を削除して処理を終了する。
具体例(d)において、メッセージ収集部2がメッセージaを収集して学習部3に通知すると、学習部3は、メッセージaのヘッダ部から識別子「SV011001」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する(ステップS807)。
第1階層には、識別子「SV011001」を持つメッセージ情報データ52(1)aがあるので、当該メッセージ情報データ52(1)aの合計回数に1を加えた値2を格納し(ステップS808)、仮メッセージ情報ポインタ57を生成して当該メッセージ情報データ52(1)aを位置づける(ステップS809)。
次に、第1階層のメッセージ情報ポインタ55(1)を検索する。具体例(c)では、メッセージ情報データ52(1)cを位置づけるメッセージ情報ポインタ55(1)が存在するので、メッセージ情報データ52(1)aを起点とする(ステップS810)。
そして、メッセージ情報データ52(1)a配下の第2階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する。具体例(c)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(2)cを生成し、初期化して識別子「SV011001」を格納する(ステップS811)。
そして、仮メッセージ情報ポインタ57(2)を生成して当該メッセージ情報データ52(2)cに位置づける(ステップS812)。
そして、メッセージ情報データ52(2)cの合計回数に1を加えた値を格納し(ステップS813)、全てのメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(c)の場合には、第2階層に、メッセージ情報データ52(2)bを位置づけるメッセージ情報ポインタ55(2)があるので、メッセージ情報データ52(2)bを起点とする(ステップS815)。
そして、当該メッセージ情報データ52(2)b配下の第3階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する(ステップS811)。具体例(b)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(3)bを生成し、初期化して識別子「SV011001」を格納する。
そして、仮メッセージ情報ポインタ57(3)を生成して当該メッセージ情報データ52(3)bに位置づけ(ステップS809)、当該メッセージ情報データ52(3)bの合計回数に1を加えた値を格納する(ステップS813)。
最後に、仮メッセージ情報ポインタ57(1)が位置づけるメッセージ情報データ52(1)aにメッセージ情報ポインタ55(1)を位置づけ、仮メッセージ情報ポインタ57(2)が位置づけるメッセージ情報データ52(2)cにメッセージ情報ポインタ55(2)を位置づけ、仮メッセージ情報ポインタ57(3)が位置づけるメッセージ情報データ52(3)bにメッセージ情報ポインタ55(3)を位置づける。
そして、仮メッセージ情報ポインタ57(1)〜57(3)を削除して処理を終了する。
具体例(e)において、メッセージ収集部2がメッセージcを収集して学習部3に通知すると、学習部3は、メッセージcのヘッダ部から識別子「SV011003」を生成する(ステップS806)。そして、この識別子を検索キーとして、第1階層のメッセージ情報データ52から該当する識別子を持つメッセージ情報データ52を検索する(ステップS807)。
第1階層には、識別子「SV011003」を持つメッセージ情報データ52(1)cがあるので、当該メッセージ情報データ52(1)cの合計回数に1を加えた値2を格納し(ステップS808)、仮メッセージ情報ポインタ57(1)を生成して当該メッセージ情報データ52(1)cを位置づける(ステップS809)。
次に、第1階層のメッセージ情報ポインタ55(1)を検索する。具体例(d)では、メッセージ情報データ52(1)aを位置づけるメッセージ情報ポインタ55(1)が存在するので、メッセージ情報データ52(1)aを起点とする(ステップS810)。
そして、メッセージ情報データ52(1)a配下の第2階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する。具体例(d)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(2)dを生成し、初期化して識別子「SV011003」を格納する(ステップS811)。
そして、仮メッセージ情報ポインタ57(2)を生成して当該メッセージ情報データ52(2)dに位置づける(ステップS812)。
そして、メッセージ情報データ52(2)dの合計回数に1を加えた値を格納し(ステップS813)、全てのメッセージ情報ポインタ55についてステップS811〜ステップS813の処理を行なったかチェックする(ステップS814)。
具体例(d)の場合には、第2階層に、メッセージ情報データ52(2)cを位置づけるメッセージ情報ポインタ55(2)があるので、メッセージ情報データ52(2)cを起点とする(ステップS815)。
そして、当該メッセージ情報データ52(2)c配下の第3階層について、検索キーと一致する識別子を有するメッセージ情報データ52を検索する(ステップS811)。具体例(d)では、該当するメッセージ情報データ52はないので、新たにメッセージ情報データ52(3)cを生成し、初期化して識別子「SV011003」を格納する。
そして、仮メッセージ情報ポインタ57(3)を生成して当該メッセージ情報データ52(3)cに位置づけ(ステップS812)、当該メッセージ情報データ52(3)cの合計回数に1を加えた値を格納する(ステップS813)。
最後に、仮メッセージ情報ポインタ57(1)が位置づけるメッセージ情報データ52(1)cにメッセージ情報ポインタ55(1)を位置づけ、仮メッセージ情報ポインタ57(2)が位置づけるメッセージ情報データ52(2)dにメッセージ情報ポインタ55(2)を位置づけ、仮メッセージ情報ポインタ57(3)が位置づけるメッセージ情報データ52(3)cにメッセージ情報ポインタ55(3)を位置づける。
そして、仮メッセージ情報ポインタ57(1)〜57(3)を削除して処理を終了する。
図10は、学習モードから運用モードへの切換え処理を示すフローチャートである。
入力装置25から、学習モードから運用モードに切換える指示を行なうと、CPU20は、学習モードから運用モードへの切換え処理を開始する(ステップS1000)。
ステップS1001において、曜日等ポインタ53を月曜日を示す曜日等データ50に位置づける。そして、ステップS1002において、時間帯ポインタ54を時間帯「AM0:00〜0:30」を示す時間帯データ51に位置づける。
さらに、ステップS1003において、第1階層のメッセージ情報ポインタ55(1)を最初のメッセージ情報データ52(1)に位置づける。
そして、ステップS1004において、CPU20は、時間帯ポインタ54が位置づける時間帯データ51の学習回数と、メッセージ情報ポインタ57(1)が位置づけるメッセージ情報データ52(1)の合計回数を読み出し、「合計回数÷学習回数」を計算して平均回数を算出する。そして、算出した平均回数を当該メッセージ情報データ52(1)の平均回数に格納する。
以上の平均回数算出処理を、当該時間帯データ51配下の全階層のメッセージ情報データ52について行なう(ステップS1005)。そして、当該時間帯データ51配下の全てのメッセージ情報データ52について平均回数の算出が完了すると、CPU20は、処理をステップS1006に移行する。
ステップS1006において、CPU20は、当該時間帯ポインタ54を次の時間帯を示す時間帯データ51bに設定する。そして、当該曜日等データ50配下の全ての時間帯データ51について、ステップS1004〜ステップS1005の平均回数算出処理を行なう(ステップS1007)。
さらに、CPU20は、当該曜日等ポインタ53を次の曜日等を示す曜日等データ50に設定し(ステップS1008)、全ての曜日等データ50についてステップS1004〜1008の処理が完了するまでステップS1004〜1008の処理を繰返す(ステップS1009)。
以上の処理によって、通常パターンの全てのメッセージ情報データ52の平均回数の算出が完了すると、CPU20は、曜日等ポインタ53、時間帯ポインタ54をクリアして処理を終了する。
図11A及び11Bは、本実施例に係るメッセージ異常自動判別装置1の運用モード時における処理の詳細を示すフローチャートである。
メッセージ異常自動判別装置1が運用モードに設定されると、照合部5は、照合処理を開始して処理をステップS1101に移行する。
ステップS1101において、照合部5は、メッセージ異常自動判別装置1が有するタイマー機能等から現在の曜日等を取得する。さらに、ステップS1102において、メッセージ異常自動判別装置1が有するタイマー機能等から現在の時刻を取得する。
現在の曜日等及び時刻を取得すると、照合部5は、処理をステップS1103に移行する。そして、曜日等ポインタ53及び時間帯ポインタ54が位置づける曜日等データ50及び時間帯データ51に対応する曜日等及び時間帯(時刻)と、ステップS1101及びS1102で取得した現在の曜日等及び時刻と、が一致しているかチェックする。
一致している場合には、処理をステップS1108に移行する。また、一致していない場合には、処理をステップS1104に移行する。
ステップS1104において、照合部5は、定義部7の所定のアドレスに格納されている下限基準値(%)を参照する。そして、時間帯ポインタ54が位置づける時間帯データ51配下の全てのメッセージ情報データ52について、平均回数に下限基準値を乗じた値(以下、「下限閾値」という)と発生回数とを比較する。
比較の結果、発生回数が下限閾値以下でない場合には、処理をステップS1107に移行する。また、比較の結果、発生回数が下限閾値以下の場合には、当該曜日等データ50及び時間帯データ51が示す曜日等及び時間帯のメッセージに異常があったと判断する。
すなわち、通常パターンを構成する各メッセージの出現回数が、通常より少ないためメッセージに異常があると判断する。
そして、異常検出フラグをONにして、処理をステップS1107に移行する(ステップS1105、S1106)。なお、異常検出フラグは、例えば、メモリ21に専用の領域を確保すればよい。
ステップS1107において、照合部5は、ステップS1101及びS1102で取得した現在の曜日等及び時刻に該当する曜日等データ50及び時間帯データ51に曜日等ポインタ53及び時間帯ポインタ54を位置づける。
曜日等ポインタ53及び時間帯ポインタ54が位置づけられると、照合部5は、以下に示すステップS1108〜S1113の処理で当該時間帯ポインタ54配下における第1階層のメッセージ情報データ52について所定の処理を行なう。
ステップS1108において、照合部5は、収集したメッセージから識別子を生成する。そして、識別子を検索キーとして当該時間帯ポインタ54配下の第1階層のメッセージ情報データ52を検索する(ステップS1109)。
該当するメッセージ情報データ52が見つからない場合には、処理をステップS1125に移行してメッセージ異常を警告する。
また、該当するメッセージ情報データ52が見つかった場合には、処理をステップS1111に移行し、当該メッセージ情報データ52の発生回数に1を加えた値を格納する。
さらに、照合部5は、定義部7の所定のアドレスに格納されている上限基準値(%)を参照する。そして、当該メッセージ情報データ52について、平均回数に上限基準値を乗じた値(以下、「上限閾値」という)と発生回数とを比較する(ステップS1112)。
比較の結果、発生回数が上限閾値以上でない場合には、処理をステップS1113に移行する。また、比較の結果、発生回数が上限閾値以上の場合には、当該曜日等データ50及び時間帯データ51が示す曜日等及び時間帯のメッセージに異常があったと判断する。
すなわち、通常パターンを構成する各メッセージの出現回数が、通常より多いためメッセージに異常があると判断する。そして、処理をステップS1125に移行してメッセージ異常を警告する。
ステップS1113において、照合部5は、仮メッセージ情報ポインタ57(1)を生成し、当該メッセージ情報データ52に位置づける。
以上のステップS1108〜S1113の処理によって、当該時間帯ポインタ54配下における第1階層のメッセージ情報データ52について所定の処理が完了すると、照合部5は、以下に示すステップS1114〜S1123の処理で当該時間帯ポインタ54配下の第2階層以降のメッセージ情報データ52について処理を行なう。
ステップS1114において、照合部5は、第1階層におけるメッセージ情報ポインタ55(1)を検索する。そして、当該メッセージ情報ポインタ55(1)が位置づけるメッセージ情報データ52を起点にする。
そして、当該メッセージ情報データ52配下の階層におけるメッセージ情報データ52について、検索キーと一致するメッセージ情報データ52を検索する(ステップS1115)。
該当するメッセージ情報データ52が見つからない場合には、処理をステップS1125に移行する。また、該当するメッセージ情報データ52が見つかった場合には、処理をステップS1117に移行して、当該メッセージ情報データ52の発生回数に1を加えた値を格納する。
ステップS1118において、照合部5は、当該メッセージ情報データ52について、上限閾値を算出し、算出した上限閾値と平均回数とを比較する。
比較の結果、発生回数が上限閾値以上でない場合には、処理をステップS1119に移行する。また、比較の結果、発生回数が上限閾値以上の場合には、ステップS1112と同様に、当該曜日等データ50及び時間帯データ51が示す曜日等及び時間帯のメッセージに異常があったと判断し、処理をステップS1125に移行する。
ステップS1119において、照合部5は、当該階層(第n階層)における仮メッセージ情報ポインタ57(n)を生成する。そして、当該メッセージ情報データ52を位置づける。
全ての階層のメッセージ情報ポインタ55について、ステップS1115〜S1119の処理が完了した場合には、処理をステップS1125に移行する。また、ステップS1115〜S1119の処理が完了していないメッセージ情報ポインタ55がある場合には、照合部5は、処理をステップS1121に移行する。
ステップS1121において、照合部5は、次の階層におけるメッセージ情報ポインタ55を検索する。そして、当該メッセージ情報ポインタ55が位置づけるメッセージ情報データ52を起点とする。
ステップS1122において、照合部5は、定義部7の所定のアドレスに格納されている最大連続メッセージ数を参照する。そして、当該階層の数が最大連続メッセージ数と同一の場合は、当該メッセージ情報ポインタ55を削除して(ステップS1123)、処理をステップS1125に移行する。
また、当該階層の数が最大連続メッセージ数でない場合には、処理をステップS1115に移行する。そして、全階層のメッセージ情報ポインタ55について、ステップS1115〜S1122の処理を繰返すこととなる。
ステップS1124において、照合部5は、異常検出フラグがONか否かをチェックする。そして、異常検出フラグがONでない場合には、正常に処理を終了する(ステップS1126)。
また、異常検出フラグがONの場合には、処理をステップS1125に移行して警告部6が警告を行なって処理をステップS1206に移行する。
ステップS1126において、照合部5は、各階層に生成した仮メッセージ情報ポインタ57が位置づけるメッセージ情報データ52を、各階層のメッセージ情報ポインタ55に位置づけ、全ての仮メッセージ情報ポインタ57を削除して処理を終了する。
図12は、警告部6がディスプレイ9に警告を行なった場合の表示例を示している。
図12に示す警告は、本実施例に係るメッセージ異常自動判別装置1が、分散システム8から生成される連続したメッセージA「SV01:1001:送信要求が異常復帰」、メッセージB「SV01:1002:再送に成功」を、所定の時間帯に10回出現(検出)した場合の警告画面を示している。
また、通常パターンの当該時間帯における連続したメッセージA、メッセージBの平均回数は3回であることを示している。
なお、図12に示した警告画面はディスプレイ9に表示したものであるが、同様の表示データを所定のメールアドレスに送信してもよい。
また、図12に示した警告画面は例示であって、これに限定する趣旨でないのは当然である。
以上に説明したように、本実施例に係るメッセージ異常自動判別装置1は、自動的に分散システム8から生成されるメッセージの通常パターンを学習するので、例えば、メッセージのフィルタリング定義のように、各メッセージ毎にメッセージを出力するか否かを手動で設定する必要がない。
また、本実施例に係る学習部3は、1つのメッセージだけではなく、複数の連続するメッセージのパターンを学習して通常パターンを生成する。したがって、複数の連続したメッセージで意味を持つメッセージについて、異常か否かを判別することが可能となる。また、その結果、より複雑な分散システム8であっても、より正確な警告が可能となる。
さらに、図5に示したように、本実施例係る通常パターンは、曜日等データ50及び時間帯データ51を備えるので、日付や曜日/時間帯ごとにメッセージパターンを学習することが可能となる。したがって、日付や曜日/時間帯ごとに異なる運用形態を持つ分散システム8にも容易に適用することが可能となる。
また、本実施例に係る照合部5は、通常パターンと比較して、検出したメッセージの数が上限閾値より多い場合と、下限閾値より少ない場合と、をメッセージ異常と判断している。これにより、通常より多くのメッセージが分散システム8から生成された場合の異常だけではなく、通常出力されるべきメッセージが分散システム8から生成されない場合の異常についても検出することが可能となる。
例えば、必要なサービスの起動が正常終了した旨のメッセージは、通常出力されるべきメッセージであり、このようなメッセージが分散システム8から出力されない場合の異常も検出することが可能となる。
また、通常、メッセージIDは、リソース(例えば、サーバやソフトウェア)ごとに決まっている。そして、分散システム8では、異なるリソースから同じメッセージIDを持つメッセージが出力されることもあるので、メッセージの区別ができない場合がある。
一方、本発明に係る識別子は、メッセージIDとリソース名とを備えることによって、分散システム8においても一意にメッセージを区別することができるので、正確な通常パターンの把握が可能となる効果を奏する。
(付記1) 分散システムで生成されたメッセージを収集するメッセージ収集部と、
前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶部と、
該通常パターン記憶部に格納された前記通常パターンを参照し、前記メッセージ収集部で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合部と、
を備えることを特徴とするメッセージ異常自動判別装置。
(付記2) 前記通常パターンは、
所定の規則に応じて分類した日付を示す複数の曜日等データと、
該曜日等データが示す日付若しくは該日付の所定の時間を任意に分割して得る時間帯を示す複数の時間帯データと、
該時間帯データが示す時間帯における前記メッセージ情報データと、
で構成されることを特徴とする付記1に記載のメッセージ異常自動判別装置。
(付記3) 前記メッセージ情報データは、
所定の階層数の階層を有する木構造であり、
前記照合部は、
前記メッセージ収集部で収集したメッセージの識別子と一致する識別子を、前記照合部が前回発生回数をカウントしたメッセージ情報データを起点とし、該起点の直下の階層のメッセージ情報データの識別子から検索する、
ことを特徴とする付記1に記載のメッセージ異常自動判別装置。
(付記4) 前記照合部が異常と判断したメッセージを出力する警告部を更に備えることを特徴とする付記1に記載のメッセージ異常自動判別装置。
(付記5) 前記識別子は、メッセージの内容を識別するメッセージIDと、該メッセージを生成するリソース名と、で構成されることを特徴とする付記1に記載のメッセージ異常自動判別装置。
(付記6) 前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージが出現する合計回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを抽出すると共に、前記合計回数をカウントする学習部、
を更に備えることを特徴とする付記1記載のメッセージ異常自動判別装置。
(付記7) 前記警告部は、前記照合部が異常と判断したメッセージの出力を抑止する抑止手段を更に備えることを特徴とする付記4に記載のメッセージ異常自動判別装置。
(付記8) 分散システムで生成されたメッセージを収集するメッセージ収集処理と、
前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶手段を参照し、前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合処理と、
を情報処理装置に行なわせることを特徴とするメッセージ異常自動判別方法。
(付記9) 前記通常パターンは、
所定の規則に応じて分類した日付を示す複数の曜日等データと、
該曜日等データが示す日付若しくは該日付の所定の時間を任意に分割して得る時間帯を示す複数の時間帯データと、
該時間帯データが示す時間帯における前記メッセージ情報データと、
で構成されることを特徴とする付記8に記載のメッセージ異常自動判別方法。
(付記10) 前記メッセージ情報データは、
所定の階層数の階層を有する木構造であり、
前記照合処理は、
前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を、前記照合処理が前回発生回数をカウントしたメッセージ情報データを起点とし、該起点の直下の階層のメッセージ情報データの識別子から検索する、
ことを特徴とする付記8に記載のメッセージ異常自動判別方法。
(付記11) 前記照合処理が異常と判断したメッセージを出力する警告処理、を更に情報処理装置に行なわせることを特徴とする付記8に記載のメッセージ異常自動判別方法。
(付記12) 前記識別子は、メッセージの内容を識別するメッセージIDと、該メッセージを生成するリソース名と、で構成されることを特徴とする付記8に記載のメッセージ異常自動判別方法。
(付記13) 前記警告処理は、前記照合処理が異常と判断したメッセージの出力を抑止する抑止処理、を更に情報処理装置に行なわせることを特徴とする付記11に記載のメッセージ異常自動判別方法。
(付記14) 分散システムで生成されたメッセージを収集するメッセージ収集処理と、
前記分散システムが正常に運用された場合に生成される1又は2以上の連続したメッセージの組み合わせであって、該メッセージを一意に識別する識別子と該識別子が示す各メッセージの発生回数とを少なくとも有するメッセージ情報データを構成要素とする通常パターンを記憶する通常パターン記憶手段を参照し、前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を検索し、該当する識別子が存在する場合には該識別子が示すメッセージの発生回数をカウントし、該発生回数が所定の値以上若しくは以下の場合、及び該当する識別子が存在しない場合に異常と判断する照合処理と、
を情報処理装置に行なわせることを特徴とするメッセージ異常自動判別のためのプログラム。
(付記15) 前記通常パターンは、
所定の規則に応じて分類した日付を示す複数の曜日等データと、
該曜日等データが示す日付若しくは該日付の所定の時間を任意に分割して得る時間帯を示す複数の時間帯データと、
該時間帯データが示す時間帯における前記メッセージ情報データと、
で構成されることを特徴とする付記14に記載のメッセージ異常自動判別のためのプログラム。
(付記16) 前記メッセージ情報データは、
所定の階層数の階層を有する木構造であり、
前記照合処理は、
前記メッセージ収集処理で収集したメッセージの識別子と一致する識別子を、前記照合処理が前回発生回数をカウントしたメッセージ情報データを起点とし、該起点の直下の階層のメッセージ情報データの識別子から検索する、
ことを特徴とする付記14に記載のメッセージ異常自動判別のためのプログラム。
(付記17) 前記照合処理が異常と判断したメッセージを出力する警告処理、を更に情報処理装置に行なわせることを特徴とする付記14に記載のメッセージ異常自動判別のためのプログラム。
(付記18) 前記識別子は、メッセージの内容を識別するメッセージIDと、該メッセージを生成するリソース名と、で構成されることを特徴とする付記14に記載のメッセージ異常自動判別のためのプログラム。
(付記19) 前記警告処理は、前記照合処理が異常と判断したメッセージの出力を抑止する抑止処理、を更に情報処理装置に行なわせることを特徴とする付記17に記載のメッセージ異常自動判別のためのプログラム。
本発明に係る実施例の全体の構成例を示す図である。 本実施例に係るメッセージ異常自動判別装置の構成例を示している。 本実施例に係るメッセージ異常自動判別装置の学習モード時の処理の概要を示すフローチャートである。 本実施例に係るメッセージ異常自動判別装置の運用モード時の処理の概要を示すフローチャートである。 本実施例に係るメッセージ異常自動判別装置の学習部が生成する通常パターンの構成例を示す図である。 本実施例に係るメッセージデータの構成例を示す図である。 本実施例に係る定義部の構成例を示す図である。 本実施例に係るメッセージ異常自動判別装置の学習モード時における処理の詳細を示すフローチャートである。 本実施例に係るメッセージ異常自動判別装置の学習モード時における処理の詳細を示すフローチャートである。 学習モード時に生成されるメッセージ情報データの具体例を示す図である。 学習モード時に生成されるメッセージ情報データの具体例を示す図である。 学習モードから運用モードへの切換え処理を示すフローチャートである。 本実施例に係るメッセージ異常自動判別装置の運用モード時における処理の詳細を示すフローチャートである。 本実施例に係るメッセージ異常自動判別装置の運用モード時における処理の詳細を示すフローチャートである。 本実施例に係る警告部の表示例を示す図である。
符号の説明
1 メッセージ異常自動判別装置
2 メッセージ収集部
3 学習部
4 通常パターン
5 照合部
6 警告部
7 定義部
8 分散システム
9 ディスプレイ
10 サーバ
11 ネットワーク
12 ストレージ
50 曜日等データ
51 時間帯データ
52 メッセージ情報データ
53 曜日等ポインタ
54 時間帯ポインタ
55 メッセージ情報ポインタ

Claims (5)

  1. 分散システムに含まれる装置から出力されるメッセージを収集するコンピュータに、
    第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出し、
    抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶し、
    前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数し、
    計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも大きい所定の割合以上に大きい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して頻出している旨の通知を出力すること
    を実行させることを特徴とする通知プログラム。
  2. 前記第2のメッセージ群に含まれる第1のメッセージが、前記木構造の根部分に位置するメッセージと同じ内容を示すメッセージである場合に、前記第1のメッセージと同じ内容を示すメッセージに対応付けられた前記第1の数を選択し、
    前記第2のメッセージ群に含まれるメッセージであって、前記第1のメッセージの次に取得した第2のメッセージが、前記木構造において、選択した前記第1の数に対応するメッセージの配下であり、且つ1階層下に位置するいずれかのメッセージと同じ内容を示すメッセージである場合に、前記第2のメッセージと同じ内容を示すメッセージに対応付けられた前記第1の数を選択し、且つ先に選択した前記第1の数の選択を解除し、
    選択された前記第1の数を選択した回数が、選択した前記第1の数に対し、前記所定の割合以上に大きい数を超えた場合に、前記第1のメッセージおよび第2のメッセージを含むメッセージパターンに一致するメッセージ群が頻出している旨の通知を出力すること
    をコンピュータに実行させることを特徴とする請求項記載の通知プログラム。
  3. 分散システムに含まれる装置から出力されるメッセージを収集するコンピュータに、
    第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出し、
    抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶し、
    前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数し、
    計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも小さい所定の割合以下に小さい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して少ない旨の通知を出力すること
    を実行させることを特徴とする通知プログラム。
  4. 分散システムに含まれる装置から出力されるメッセージを収集するコンピュータに、
    第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出し、
    抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶し、
    前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数し、
    計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも大きい所定の割合以上に大きい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して頻出している旨の通知を出力すること
    を実行させることを特徴とする通知方法。
  5. 分散システムに含まれる装置から出力されるメッセージを収集する通知装置において、
    第1の期間において前記分散システムに含まれる装置から収集した第1のメッセージ群のうち、連続的に取得した所定個数以下の複数のメッセージの取得順序を示す複数のメッセージパターンを抽出する抽出手段と、
    抽出した前記複数のメッセージパターンのうち、メッセージパターンの一部分が前方一致する複数のメッセージパターンについて、一致した前記一部分を集約して形成される木構造の前記複数のメッセージパターンについて、前記木構造を形成する前記複数のメッセージパターンに含まれる各メッセージに対応付けて、前記各メッセージを含む木構造において根側から前記各メッセージに至るまでに経由するメッセージを含んで構成されるメッセージパターンが前記第1のメッセージ群にいくつ含まれるかを示す第1の数を記憶手段に記憶するメッセージパターン記憶手段と、
    前記第1のメッセージ群よりも後に、前記第1の期間と異なる週の同じ曜日の同じ時間帯である第2の期間において前記分散システムに含まれる装置から収集した第2のメッセージ群に含まれるメッセージパターンに一致するメッセージパターンを、前記記憶手段に記憶された前記木構造を形成する前記複数のメッセージパターンを前記木構造における根側から探索して抽出し前記複数のメッセージパターンそれぞれについて、一致するメッセージ群が前記第2のメッセージ群にいくつ含まれるかを示す第2の数を計数する計数手段と、
    計数した前記第2の数が、前記記憶手段に記憶された前記第1の数と比較して、1よりも大きい所定の割合以上に大きい数である場合に、前記メッセージパターンに一致するメッセージ群が前記第2の期間において前記第1の期間に比して頻出している旨の通知を出力する通知手段と、
    を備えることを特徴とする通知装置。
JP2005137961A 2005-05-11 2005-05-11 メッセージ異常自動判別装置、方法、及びプログラム Expired - Fee Related JP4944391B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005137961A JP4944391B2 (ja) 2005-05-11 2005-05-11 メッセージ異常自動判別装置、方法、及びプログラム
US11/205,621 US8332503B2 (en) 2005-05-11 2005-08-17 Message abnormality automatic detection device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005137961A JP4944391B2 (ja) 2005-05-11 2005-05-11 メッセージ異常自動判別装置、方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2006318071A JP2006318071A (ja) 2006-11-24
JP4944391B2 true JP4944391B2 (ja) 2012-05-30

Family

ID=37418996

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005137961A Expired - Fee Related JP4944391B2 (ja) 2005-05-11 2005-05-11 メッセージ異常自動判別装置、方法、及びプログラム

Country Status (2)

Country Link
US (1) US8332503B2 (ja)
JP (1) JP4944391B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9612898B2 (en) 2013-06-03 2017-04-04 Nec Corporation Fault analysis apparatus, fault analysis method, and recording medium
US10152366B2 (en) 2013-09-24 2018-12-11 Nec Corporation Log analysis system, fault cause analysis system, log analysis method, and recording medium which stores program

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070294584A1 (en) * 2006-04-28 2007-12-20 Microsoft Corporation Detection and isolation of data items causing computer process crashes
US8332344B2 (en) 2007-03-14 2012-12-11 Nec Corporation Operation management apparatus, operation management method, and operation management program
JP5428934B2 (ja) 2010-02-22 2014-02-26 富士通株式会社 障害パターン生成プログラムおよび障害パターン生成装置
US8868984B2 (en) * 2010-12-07 2014-10-21 International Business Machines Corporation Relevant alert delivery in a distributed processing system with event listeners and alert listeners
JP5541130B2 (ja) * 2010-12-10 2014-07-09 富士通株式会社 管理装置、管理方法および管理用プログラム
WO2012160637A1 (ja) 2011-05-23 2012-11-29 富士通株式会社 メッセージ判定装置およびメッセージ判定プログラム
DE102011107795A1 (de) 2011-07-15 2013-01-17 Fresenius Medical Care Deutschland Gmbh Verfahren und Vorrichtung zur entfernten Überwachung und Steuerung von medizinischen Fluidmanagementgeräten
JP5741418B2 (ja) 2011-12-19 2015-07-01 富士通株式会社 障害検出方法および障害検出システム
JP5711677B2 (ja) * 2012-02-21 2015-05-07 日本電信電話株式会社 監視情報分析装置及び方法
JP5924073B2 (ja) * 2012-03-30 2016-05-25 富士通株式会社 制御プログラム、制御方法および制御装置
EP2940585A4 (en) * 2012-12-28 2016-01-06 Fujitsu Ltd PROGRAM FOR CREATING A RESPONSE PROCESS, METHOD FOR CREATING A RESPONSE PROCESS AND INFORMATION PROCESSING DEVICE
JP6126891B2 (ja) * 2013-03-29 2017-05-10 富士通株式会社 検出方法、検出プログラム、および検出装置
JP6201670B2 (ja) 2013-11-15 2017-09-27 富士通株式会社 判定装置、判定プログラム、及び判定方法
JP6675297B2 (ja) * 2016-12-09 2020-04-01 Dmg森精機株式会社 情報処理方法、情報処理システム、および情報処理装置
US10419268B2 (en) * 2017-01-27 2019-09-17 Bmc Software, Inc. Automated scoring of unstructured events in information technology environments
JP6878984B2 (ja) * 2017-03-23 2021-06-02 富士通株式会社 監視プログラム、監視方法および監視装置
JP6922320B2 (ja) * 2017-03-27 2021-08-18 サクサ株式会社 ログ管理装置及びログ管理用プログラム
JP7006347B2 (ja) * 2018-02-13 2022-01-24 日本電気株式会社 管理装置、管理方法とそのプログラム
JP2019145024A (ja) * 2018-02-23 2019-08-29 富士通株式会社 判定プログラム、判定方法、および情報処理装置
JP7207009B2 (ja) * 2019-02-26 2023-01-18 日本電信電話株式会社 異常検知装置、異常検知方法および異常検知プログラム
US11336683B2 (en) * 2019-10-16 2022-05-17 Citrix Systems, Inc. Systems and methods for preventing replay attacks

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH064318A (ja) * 1992-06-19 1994-01-14 Matsushita Electric Works Ltd エラー検出方式
JPH09114703A (ja) * 1995-10-20 1997-05-02 Hitachi Ltd 分散処理システムの監視方法
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
JP3450264B2 (ja) * 2000-04-05 2003-09-22 Necソフト株式会社 障害検出システム
US6715005B1 (en) * 2000-06-29 2004-03-30 International Business Machines Corporation Method and system for reducing latency in message passing systems
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20020183984A1 (en) * 2001-06-05 2002-12-05 Yining Deng Modular intelligent multimedia analysis system
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
JP2003122599A (ja) 2001-10-11 2003-04-25 Hitachi Ltd 計算機システムおよび計算機システムにおけるプログラム実行監視方法
JP4004825B2 (ja) * 2002-03-14 2007-11-07 株式会社東芝 情報抽出共有装置
FR2840139B1 (fr) * 2002-05-23 2004-12-17 Cit Alcatel Dispositif et procede de classification de messages d'alarme resultant d'une violation d'accord de niveau de service dans un reseau de communications
US20040015601A1 (en) * 2002-07-17 2004-01-22 Whitson John C. Method for tracking encapsulated software over a network of computers
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
AU2003303866A1 (en) * 2003-02-10 2004-08-30 Nokia Corporation Method and device for identifying patterns in a message and generating an action
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
JP2004318552A (ja) 2003-04-17 2004-11-11 Kddi Corp Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
US8065368B2 (en) * 2003-07-31 2011-11-22 Hewlett-Packard Development Company, L.P. Configuring templates for an application and network management system
US20050108384A1 (en) * 2003-10-23 2005-05-19 Lambert John R. Analysis of message sequences
KR100531622B1 (ko) * 2003-12-05 2005-11-28 한국전자통신연구원 고속 패턴 저장 및 매칭 방법
JP2006040222A (ja) * 2004-07-30 2006-02-09 Fujitsu Ltd メッセージ表示方法およびメッセージ表示装置
US7927105B2 (en) * 2004-09-02 2011-04-19 International Business Machines Incorporated Method and system for creating and delivering prescriptive learning
US20060095584A1 (en) * 2004-11-12 2006-05-04 Sonoa Systems, Inc. Semantic-based switch fabric OS

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9612898B2 (en) 2013-06-03 2017-04-04 Nec Corporation Fault analysis apparatus, fault analysis method, and recording medium
US10152366B2 (en) 2013-09-24 2018-12-11 Nec Corporation Log analysis system, fault cause analysis system, log analysis method, and recording medium which stores program

Also Published As

Publication number Publication date
JP2006318071A (ja) 2006-11-24
US8332503B2 (en) 2012-12-11
US20060256714A1 (en) 2006-11-16

Similar Documents

Publication Publication Date Title
JP4944391B2 (ja) メッセージ異常自動判別装置、方法、及びプログラム
JP5468837B2 (ja) 異常検出方法、装置、及びプログラム
US8689241B2 (en) Dynamic evocations for computer event management
US7961087B2 (en) Holistic alarm monitoring
EP3619609B1 (en) Issue detection and signature generation
CN108270618A (zh) 告警判定的方法、装置及告警系统
CN109977089A (zh) 日志管理方法、装置、计算机设备及计算机可读存储介质
EP2541382A1 (en) Monitoring status display device, monitoring status display method, and monitoring status display program
US10073447B2 (en) Abnormality diagnosis method and device therefor
JP4506520B2 (ja) 管理サーバ、メッセージの抽出方法、及び、プログラム
AU2017202818A1 (en) Volumetric event forecasting system
EP2933726B1 (en) Apparatus, system and method for application log data processing
JP2007241872A (ja) ネットワーク上のコンピュータ資源の変更監視プログラム
CN104753712A (zh) 一种告警上报方法、告警上报节点及告警上报系统
CN111026621A (zh) 面向Elasticsearch集群的监控报警方法、装置、设备、介质
CN109101390B (zh) 基于高斯分布的定时任务异常监控方法、电子装置及介质
CN110990245A (zh) 基于调用链数据的微服务运行状态判断方法及装置
JP6665503B2 (ja) データ収集システム、データ収集装置及びデータ収集方法
CN111157245A (zh) 一种轨道交通走行部轴承的监管方法及系统
CN108279993A (zh) 实现业务降级的方法及装置和电子设备
JP6049136B2 (ja) ネットワーク管理システムおよび方法
JP2006331026A (ja) メッセージ分析システム及びメッセージ分析プログラム
JP2003085003A (ja) 障害復旧援助方法、及び、障害復旧援助システム
JP2018173785A (ja) 業務利用ファイル管理システム、業務利用ファイルの管理方法、および、プログラム
CN114168371A (zh) 一种故障智能自动报警系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100511

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101004

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101026

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110126

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110131

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20111227

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20111227

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120203

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120302

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150309

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees