以下、本発明の実施形態について図面を参照して詳細に説明する。図1は、ネットワークの模式図である。図1において、R1、R2、…R7はルータ、SW1、SW2、…SW4はレイヤ2スイッチである。70、80はパケットを送受信する端末である。1は解析システムである。また、ルータR1、ルータR2、…ルータR8に付されたM1、M2、…M8は、当該ルータがパケットモニタリングポイント(本発明のパケット取得点に相当する)である旨を表している。なお、各パケットモニタリングポイント(ルータR1、ルータR2、…ルータR8)には、パケット取得装置(非図示)が接続されている。解析システム1は、管理装置10(本発明の解析支援装置に相当する)および解析装置20から構成される。管理装置10および解析装置20から構成される解析システム1は、ネットワーク内の複数のパケットモニタリングポイントのなかから指定セッションに係るパケットを取得する複数のパケットモニタリングポイントを決定し、当該複数のパケットモニタリングポイントから受信した情報に基づいて、ネットワークの状態を解析する。
図2は、本発明の一実施形態による解析システム1の構成例である。図3、4は、解析装置20から出力される画面例である。解析システム1の管理装置10は、決定部11および選択部12(本願の受信部および選択部に相当する)を備える。解析システム1の解析装置20は、入出力部21および解析部22を備える。
入出力部21は、管理者からセッションを指定する入力を受け付ける。例えば、入出力部21は、送信元IPアドレスとして図1に示す端末70のIPアドレス、宛先IPアドレスとして図1に示す端末80のIPアドレスの入力を受け付ける。入力受付部21は、セッションを指定する入力を受け付けた場合、指定セッションを示す情報(以下、「セッション指定情報」という)を決定部11に通知する。また、入出力部21は、解析部22から解析結果を取得し管理者に出力する(解析結果の出力に関する詳細は後述)。
決定部11は、入出力部21からセッション指定情報を取得する。決定部11は、セッション指定情報を取得した場合、ネットワーク内の複数のパケットモニタリングポイントのなかから、セッション指定情報によって示される指定セッションに係るパケットを取得する複数のパケットモニタリングポイントを決定する。なお、決定部11によって決定されたパケットモニタリングポイントを特定パケットモニタリングポイント(本願の「特定パケット取得点」に相当)とも称する。
具体的には、決定部11は、まず、指定セッションに係る経路(送信元IPアドレスから宛先IPアドレスに至る往路、宛先IPアドレスから送信元IPアドレスに至る復路)を決定する。例えば、決定部11は、セッション指定情報として送信元IPアドレスとして図1に示す端末70のIPアドレス、宛先IPアドレスとして図1に示す端末80のIPアドレスを取得した場合には、例えば、往路として経路Aを決定し、復路として経路Bを決定する。なお、指定セッションに係る経路は、例えば、ルーチングプロトコルによって自動設定されたルーチング情報をモニタする技術を用いて決定してもよいし、経路探索コマンド(例えばtraceroute)を用いて決定してもよい。
決定部11は、指定セッションに係る経路を決定した場合、ネットワーク内のパケットモニタリングポイントの設置場所に関する情報を参照し、決定した経路上から複数のパケットモニタリングポイントを決定する。例えば、決定部11は、図1に示す経路A、経路Bを決定した場合には、経路A上からパケットモニタリングポイントM1、M2、M3、M5、M8を決定し、経路B上からパケットモニタリングポイントM7、M4、M1を決定する。
決定部11は、複数のパケットモニタリングポイントを決定した場合、当該複数のパケットモニタリングポイントを識別する情報(以下、「パケットモニタリングポイント識別情報」という)を選択部12に通知する。例えば、決定部11は、図1に示す経路A上からパケットモニタリングポイントM1、M2、M3、M5、M8を決定し、経路B上からパケットモニタリングポイントM7、M4、M1を決定した場合には、パケットモニタリングポイントM1、M2、M3、M4、M5、M7、M8の各パケットモニタリングポイント識別情報を選択部12に通知する。
また、複数のパケットモニタリングポイントを決定した決定部11は、決定した経路を識別する情報(以下、「経路識別情報」という)と当該経路上から決定した複数のパケットモニタリングポイントを識別するパケットモニタリングポイント識別情報とを対応付けて解析部22に通知する。例えば、決定部11は、図1に示す経路A上からパケットモニタリングポイントM1、M2、M3、M5、M8を決定し、経路B上からパケットモニタリングポイントM7、M4、M1を決定した場合には、経路Aを識別する経路識別情報に対応付けてパケットモニタリングポイントM1、M2、M3、M5、M8の各パケットモニタリングポイント識別情報を選択部12に通知し、経路Bを識別する経路識別情報に対応付けてパケットモニタリングポイントM7、M4、M1の各パケットモニタリングポイント識別情報を選択部12に通知する。
選択部12は、決定部11からパケットモニタリングポイント識別情報を取得する。選択部12は、パケットモニタリングポイント識別情報を取得した場合、パケットモニタリングポイント識別情報を一時記憶する。
また、選択部12は、一時記憶しているパケットモニタリングポイント識別情報によって識別されるパケットモニタリングポイント(特定パケットモニタリングポイント)において取得されたパケットに係るパケット情報をパケット取得時刻とともに受信した場合には、当該受信情報(パケット情報、パケット取得時刻)を解析部22に供給する。例えば、選択部12は、図1に示すパケットモニタリングポイントMx(x=1、2、3、4、5、7、8)を識別する各パケットモニタリングポイント識別情報を一時記憶している場合に、パケットモニタリングポイント1において取得されたパケットに係るパケット情報をパケットモニタリングポイント1におけるパケット取得時刻とともに受信したときは、当該パケット情報、当該パケット取得時刻を解析部22に供給する。
一方、選択部12は、一時記憶しているパケットモニタリングポイント識別情報によって識別されるパケットモニタリングポイント(特定パケットモニタリングポイント)以外のパケットモニタリングポイントにおいて取得されたパケットに係るパケット情報をパケット取得時刻とともに受信した場合には、当該受信情報を破棄(無視)する。即ち、選択部12は、特定パケットモニタリングポイントからの受信情報のみを解析部22に供給する。
なお、受信情報は、パケット情報とパケット取得時刻とをデータ部(ペイロード)とするパケット(パケット情報とパケット取得時刻とをカプセル化したパケット)であってもよい。
なお、選択部12が、所望のパケットモニタリングポイント(一時記憶しているパケットモニタリングポイント識別情報によって識別されるパケットモニタリングポイント)からの受信情報のみを解析部22に供給する方法は種々の方法が考えられる。例えば、選択部12は、入力ポートのON/OFFを物理的に切り替えるスイッチ (レイヤ1スイッチ) を利用して、所望のパケットモニタリングポイントからの受信情報のみを解析部22に供給してもよい。また、選択部12は、OS(Operating System)やレイヤ3スイッチやレイヤ2スイッチなどに備わるパケットフィルタリング機能を利用して、所望のパケットモニタリングポイントからの受信情報のみを解析部22に供給してもよい。また、選択部12は、これらの方法を組み合わせて、所望のパケットモニタリングポイントからの受信情報のみを解析部22に供給してもよい。
解析部22は、決定部11から経路識別情報とパケットモニタリングポイント識別情報とを対応付けて取得する。解析部22は、経路識別情報とパケットモニタリングポイント識別情報とを対応付けて取得した場合、経路識別情報とパケットモニタリングポイント識別情報とを対応付けて一時記憶する。
また、解析部22は、選択部12から受信情報(パケット情報、パケット取得時刻)を取得する。解析部22は、受信情報を取得した場合、取得した受信情報を記憶部(非図示)に蓄積する。
解析部22は、入出力部21を介してパケットを解析すべき旨の命令の入力を受け付けた場合、記憶部に蓄積した受信情報から、同一のパケットに係る複数のパケット情報を同定する。また、解析部22は、命令の入力を受け付けた場合に変えてまたは加えて、所定の時刻、または、所定の数に蓄積するパケット数が達した時に、パケット情報を同定してもよい。
例えば、記憶部(非図示)が、図1に示す経路Aを通過した4個のパケットに係る各5個のパケットモニタリングポイントMx(x=1、2、3、5、8)において取得された計20個のパケット情報、および、経路Bを通過した3個のパケットに係る各3個のパケットモニタリングポイントMx(x=7、4、1)において取得された計9個のパケット情報を蓄積している場合には、解析部22は、経路Aを通過した1個目のパケット(パケットA1)に係る5個のパケット情報(パケット情報A1−M1、A1−M2、A1−M3、A1−M5、A1−M8)を同定し、経路Aを通過した2個目のパケット(パケットA2)に係る5個のパケット情報(パケット情報A2−M1、A2−M2、A2−M3、A2−M5、A2−M8)を同定し、経路Aを通過した3個目のパケット(パケットA3)に係る5個のパケット情報(パケット情報A3−M1、A3−M2、A3−M3、A3−M5、A3−M8)を同定し、経路Aを通過した4個目のパケット(パケットA4)に係る5個のパケット情報(パケット情報A4−M1、A4−M2、A4−M3、A4−M5、A4−M8)を同定し、経路Bを通過した1個目のパケット(パケットB1)に係る3個のパケット情報(パケット情報B1−M7、B1−M4、B1−M1)を同定し、経路Bを通過した2個目のパケット(パケットB2)に係る3個のパケット情報(パケット情報B2−M7、B2−M4、B2−M1)を同定し、経路Bを通過した3個目のパケット(パケットB3)に係る3個のパケット情報(パケット情報B3−M7、B3−M4、B3−M1)を同定する。
なお、解析部22は、例えば、パケット情報の各データ項目のうち経路内において変化しないデータ項目を比較し、一致した場合に同定する。解析部22は、変化しないデータ項目のハッシュ値を算出し、ハッシュ値が一致した場合に同定してもよい。
解析部22は、同一のパケットに係る複数の解析対象情報を同定した場合、指定セッションにおける複数のパケットのネットワーク内における流れからネットワークの状態を解析する。例えば、解析部22は、同定した複数のパケット情報の情報(例えば、送信元IPアドレス、宛先IPアドレス、生存時間(TTL))と、同定した複数のパケット情報の経路を識別する経路識別情報に対応付けて一時記憶しているパケットモニタリングポイント識別情報を参照し、同定した複数のパケット情報をパケットモニタリングポイント順に並べるとともに、各パケット情報に係るパケット取得時刻から各パケットモニタリングポイントの通過時刻を特定し、ネットワークの状態を解析する。解析部22は、ネットワークの状態を解析した場合、解析結果を入出力部21に供給する。
入出力部21は、解析部22から解析結果を取得する。入出力部21は、解析結果を取得した場合、管理者に解析結果を出力する。例えば、入出力部21は、解析結果として、図3の画面を管理者に出力する。図3の縦方向は時刻、横方向はパケットの流れである。パケットA1、A2、A3、A4は、図1に示す経路Aを通過した4個のパケットの流れを表している。また、P1はパケットモニタリングポイントM1におけるパケットA1のパケット取得時刻(つまり通過時刻、以下、同様)、P2はパケットモニタリングポイントM2におけるパケットA1のパケット取得時刻である(P3、P4…P18についても同様)。また、T1−2は、パケット取得時刻P1とパケット取得時刻P2の時間差(つまり、パケットA1がパケットモニタリングポイントM1からパケットモニタリングポイントM2に送信されるのに要した所要時間)、T2−3は、パケット取得時刻P2とパケット取得時刻P3の時間差(つまり、パケットA1がパケットモニタリングポイントM2からパケットモニタリングポイントM3に送信されるのに要した所要時間)である(T3−4、T4−5…T17−18についても同様)。
なお、管理者は、図3に例示した画面を参照し、問題の所在を確認し原因を究明する。例えば、管理者は、所要時間T9−10が、所要時間T4−5、T17−18に比べて長いことから、パケットモニタリングポイントM5−M8間の遅延を確認し、原因(例えば、ルータ5若しくはルータ8の過負荷、又は、ルータ5−ルータ8間の輻輳)を究明する。また、例えば、管理者は、パケットモニタリングポイントM5におけるパケットA3の通過時刻が無いことから、パケットモニタリングポイントM3−M5間のパケットロスを確認し、原因(例えば、ルータ3若しくはルータ5の一時的異常)を究明する。さらに、管理者は、各パケットモニタリングポイント別に保存されたパケット情報を元に詳細な原因究明を行うことも可能である。
なお、図4は、他の画面例である。図4において、左側のIPアドレス(XXX.XXX.XXX.XXX)は送信元IPアドレス、右側のIPアドレス(YYY.YYY.YYY.YYY)は宛先IPアドレス、M1、3、4は、パケットモニタリングポイント(図1のパケットモニタリングポイントとは無関係)である。また、「17:50:30.246956」「17:50:30.348213」などはパケット取得時刻、「101」「6」などは所要時間である。さらに、図4に例示したように、解析結果はプロトコル(TCP、UDP、ICMP等)や発/着ポート番号の組を単位として、表示してもよい。
続いて、解析システム1の動作を説明する。図5は、本発明の実施形態に係る解析システム1の動作の一例を示すフローチャートである。具体的には、図5(a)のフローチャートは管理装置10の動作、図5(b)フローチャートは解析装置20の動作例を示す。
図5(a)において、入出力部21は、セッションを指定する入力を受け付ける(ステップS100)。セッションを指定する入力を受け付けた入力受付部21は、セッション指定情報を決定部11に通知する。
入出力部21からセッション指定情報を取得した決定部11は、指定セッションに係る経路を決定する(ステップS110)。指定セッションに係る経路を決定した決定部11は、決定した経路上から複数のパケットモニタリングポイントを決定する(ステップS120)。決定部11は、解析装置20の選択部12に、ステップS120において決定した複数のパケットモニタリングポイントを識別する複数のパケットモニタリングポイント識別情報を通知し、解析装置20の解析部22に、ステップS110にて決定した経路を識別する経路識別情報とステップS120において決定した複数のパケットモニタリングポイントを識別する複数のパケットモニタリングポイント識別情報とを対応付けて通知する。そして、図5(a)のフローチャートは終了する。なお、パケットモニタリングポイント識別情報を取得した選択部12は、当該パケットモニタリングポイント識別情報を一時記憶し、経路識別情報とパケットモニタリングポイント識別情報とを対応付けて取得した解析部22は、当該経路識別情報と当該パケットモニタリングポイント識別情報とを対応付けて一時記憶する。
図5(b)において、選択部12は、パケットモニタリングポイント識別情報によって識別されるパケットモニタリングポイントから情報を受信したか否かを判断する(ステップS200)。選択部12は、パケットモニタリングポイント識別情報によって識別されるパケットモニタリングポイントから情報を受信したと判断した場合(ステップS200:Yes)、当該受信情報を解析部22に供給する。
選択部12から受信情報を取得した解析部22は、当該受信情報を記憶部(非図示)に蓄積する(ステップS210)。解析部22は、入出力部21を介して、パケットを解析すべき旨の命令の入力を受け付けたか否かを判断する(ステップS220)。解析部22は、パケットを解析すべき旨の命令の入力を受け付けたと判断した場合(ステップS220:Yes)、記憶部に蓄積した受信情報から、同一のパケットに係る複数のパケット情報を同定し、指定セッションにおける複数のパケットのネットワーク内における流れからネットワークの状態を解析する(ステップS230)。ネットワークの状態を解析した解析部22は、解析結果を入出力部21に供給する。解析部22から解析結果を取得した入出力部21は、管理者に解析結果を出力する(ステップS240)。そして、図5(b)のフローチャートは終了する。
なお、解析システム1では、指定セッションに係る経路を決定した決定部11が、当該経路上の全てのパケットモニタリングポイントを決定した場合に、決定部11が決定するパケットモニタリングポイントの数がモニタリング可能数(解析部22に入力可能な数、入力ポート数)を上回る可能性がある。例えば、指定セッションの数が多い場合、指定セッションに係る経路上に存在するパケットモニタリングポイントの数が多い場合などにおいて、決定部11が、当該経路上の全てのパケットモニタリングポイントを決定した場合に、決定部11が決定するパケットモニタリングポイントの数がモニタリング可能数を上回る可能性が高くなる。
以下、決定部11がパケットモニタリングポイント毎の優先度に基づいて、所定の数(モニタリング可能数)以下のパケットモニタリングポイントを決定する動作について説明する。具体的には、決定部11が、所定の数に至る迄のパケットモニタリングポイントを選択する動作について説明する。
例えば、決定部11は、パケットモニタリングポイント毎に予め設定されている優先度に基づいて、所定の数以下のパケットモニタリングポイントを決定する。即ち、決定部11は、経路を決定した場合、経路上(今回決定した経路上および先に決定した経路上)に存在する複数のパケットモニタリングポイントから優先度が高い順に所定の数に至る迄のパケットモニタリングポイントを選択する。これにより、決定部11が決定するパケットモニタリングポイントの数は、常に、モニタリング可能数以下となる。
また、決定部11は、予め設定されている優先度に代えて動的に設定した優先度に基づいて、所定の数(モニタリング可能数)以下のパケットモニタリングポイントを決定してもよい。例えば、決定部11は、経路を決定した後に、当該経路上の各パケットモニタリングポイントの位置関係(経路上の順序)に基づいて、当該経路上の各パケットモニタリングポイントに優先度を設定し、経路(既に決定した経路も含む)上に存在する複数のパケットモニタリングポイントから優先度が高い順に所定の数に至る迄のパケットモニタリングポイントを選択する。これにより、決定部11が決定するパケットモニタリングポイントの数は、常に、モニタリング可能数以下となる。また、経路毎(指定セッション毎)に柔軟に優先度を設定することができる。
なお、決定部11は、経路に折り返しが存在する場合などにおいて、同一の経路上の同一のパケットモニタリングポイントにそれぞれ異なる優先度を設定した場合には、より高い優先度を当該パケットモニタリングポイントの優先度としてもよい。また、決定部11は、異なる経路に同一のパケットモニタリングポイントが属した場合などにおいて、当該同一のパケットモニタリングポイントにそれぞれ異なる優先度を設定した場合には、より高い優先度を当該パケットモニタリングポイントの優先度としてもよい。
また、決定部11は、同一の経路上の異なるパケットモニタリングポイントに同一の優先度を設定した場合には、送信元に一番近いパケットモニタリングポイントを優先して選択(決定)してもよい。また、決定部11は、異なる経路上の異なるパケットモニタリングポイントに同一の優先度を設定した場合には、当該同一の優先度が高い優先度(例えば、所定の値以上)のときは、先に決定した経路(古い経路)上のパケットモニタリングポイントを優先して選択(決定)し、当該同一の優先度が低い優先度(例えば、所定の値未満)のときは、後に決定した経路(新しい経路)上のパケットモニタリングポイントを優先して選択(決定)してもよい。
さらに、決定部11は、複数指定されたセッション上の経路で同一のパケットモニタリングポイントが選択された場合、そのパケットモニタリングポイントを優先して選択(決定)してもよい。
以下、具体例を用いて補足説明する。図6は、決定部11の動作を説明する為の説明図である。なお、図6に示す経路x(x=a、b、c)、パケットモニタリングポイントmx(x=1、2、3、4、5、7、8)は、図1、図3における経路、パケットモニタリングポイントとは無関係である。
図6に示す例において、決定部11は、指定セッションの追加に伴って、経路a(送信元端末→パケットモニタリングポイントm1→パケットモニタリングポイントm2→パケットモニタリングポイントm3→パケットモニタリングポイントm4→宛先端末)、経路b(送信元端末→パケットモニタリングポイントm5→パケットモニタリングポイントm1→パケットモニタリングポイントm6→パケットモニタリングポイントm1→宛先端末)、経路c(送信元端末→パケットモニタリングポイントm7→パケットモニタリングポイントm8→宛先端末)を順次決定するものとする。なお、経路bには折り返し(パケットモニタリングポイントm1→パケットモニタリングポイントm6→パケットモニタリングポイントm1)が存在する。なお、所定の数(モニタリング可能数)は4とする。
決定部11は、最初の経路(経路a)を決定した場合、経路a上の各パケットモニタリングポイントmx(x=1、2、3、4)の位置関係に基づいて、経路上aの各パケットモニタリングポイントmx(x=1、2、3、4)に優先度を設定する。具体的には、決定部11は、図6(a)に示すように、パケットモニタリングポイントm1に優先度30を設定し、パケットモニタリングポイントm2に優先度20を設定し、パケットモニタリングポイントm3、m4に優先度10を設定する。即ち、決定部11は、運用ポリシ(図6の説明上利用する運用ポリシ)に基づいて、経路上の送信元端末に最も近い位置にあるパケットモニタリングポイント(経路上に存在する唯一のパケットモニタリングポイントも含む)に最も高い優先度を設定し、経路上の宛先端末に最も近い位置にあるパケットモニタリングポイントに次に高い優先度を設定し、経路上の他の位置(中間位置)にあるパケットモニタリングポイントに次に高い優先度(最も低い優先度)を設定する。なお、上記運用ポリシは一例であって、種々の運用ポリシが考えられる。例えば、経路上の宛先端末に最も近い位置にあるパケットモニタリングポイントに最も高い優先度を設定する運用ポリシ、経路上の中間位置にあるパケットモニタリングポイントに最も高い優先度を設定する運用ポリシなども考えられる。
決定部11は、経路a上の各パケットモニタリングポイントmx(x=1、2、3、4)に優先度を設定した場合、今回設定した経路a上の各パケットモニタリングポイントmx(x=1、2、3、4)の優先度に基づいて、図6(b)に示すように、まず、優先度30のパケットモニタリングポイントm1を選択し、続いて、優先度20のパケットモニタリングポイントm4を選択し、続いて、優先度10のパケットモニタリングポイントm2を選択し、続いて、優先度10のパケットモニタリングポイントm3を選択する。
以上から、決定部11は、経路aの決定時には、図6(b)の太枠内に示すように、経路a上のパケットモニタリングポイントx(x=1、2、3、4)を決定する。なお、決定部11は、同一経路aの異なるパケットモニタリングポイントm2、m3に同一の優先度10を設定しているが、送信元に近いパケットモニタリングポイントm2を優先している。
なお、決定部11は、経路上(今回決定した経路a上)に存在するパケットモニタリングポイントの数がモニタリング可能数4を超えないため、経路aを決定した時点では、経路a上の各パケットモニタリングポイントmx(x=1、2、3、4)に優先度を設定せずに、経路a上の全パケットモニタリングポイントmx(x=1、2、3、4)を全て決定してもよい。
決定部11は、2番目の経路(経路b)を決定した場合、経路b上の各パケットモニタリングポイントmx(x=5、1、6、1)の位置関係に基づいて、経路上bの各パケットモニタリングポイントmx(x=5、1、6、1)に優先度を設定する。具体的には、決定部11は、図6(c)に示すように、経路b上の送信元端末に最も近い位置にあるパケットモニタリングポイントm5に優先度30を設定し、経路b上の宛先端末に最も近い位置にあるパケットモニタリングポイントm1に優先度20を設定し、経路b上の他の位置にあるパケットモニタリングポイントm1、m6に優先度10を設定する。但し、決定部は、同一の経路bの同一パケットモニタリングポイントm1に異なる優先度20、10を設定しているが、最終的にはより高い優先度20をパケットモニタリングポイントm1の優先度する。なお、図6(c)のm1(10)の訂正線はパケットモニタリングポイントm1の優先度が20であって10ではない旨を表している。
決定部11は、経路b上の各パケットモニタリングポイントmx(x=5、m1、m6)に優先度を設定した場合、前回設定した経路a上の各パケットモニタリングポイントmx(x=1、2、3、4)の優先度と今回設定した経路b上の各パケットモニタリングポイントmx(x=5、1、6、1)の優先度に基づいて、図6(d)に示すように、まず、優先度30のパケットモニタリングポイントm1を選択し、続いて、優先度30のパケットモニタリングポイントm5を選択し、続いて、優先度20のパケットモニタリングポイントm4を選択し、続いて、優先度10のパケットモニタリングポイントm6を選択する。
以上から、決定部11は、経路bの決定時には、図6(d)の太枠内に示すように、経路a若しくは経路b上の各パケットモニタリングポイントmx(x=1、2、3、4、5、6)のなかからモニタリング可能数4のパケットモニタリングポイントmx(x=1、4、5、6)を決定する。なお、決定部11は、異なる経路a、bの同一パケットモニタリングポイントm1に異なる優先度30、20を設定しているが、優先度30をパケットモニタリングポイントm1の優先度としている。また、決定部11は、異なる経路a、bの異なるパケットモニタリングポイントm1、m5に同一の優先度30を設定しているが、先に決定した経路(経路a)上のパケットモニタリングポイントm1を優先している(但し、優先度30は所定の値(例えば30)以上である高い優先度)。また、決定部11は、異なる経路a、bの異なるパケットモニタリングポイントm2、m3、m6に同一の優先度10を設定しているが、後に決定した経路(経路b)上のパケットモニタリングポイントm6を優先している(但し、優先度10は所定の値(例えば30)未満である低い優先度)。
決定部11は、3番目の経路(経路c)を決定した場合、経路c上の各パケットモニタリングポイントmx(x=7、8)の位置関係に基づいて、経路上cの各パケットモニタリングポイントmx(x=7、8)に優先度を設定する。具体的には、決定部11は、図6(e)に示すように、経路上の送信元端末に最も近い位置にあるパケットモニタリングポイントm7に優先度30を設定し、経路上の宛先端末に最も近い位置にあるパケットモニタリングポイントm8に優先度20を設定する。
決定部11は、経路c上の各パケットモニタリングポイントmx(x=7、m8)に優先度を設定した場合、前々回設定した経路a上の各パケットモニタリングポイントmx(x=1、2、3、4)の優先度と前回設定した経路b上の各パケットモニタリングポイントmx(x=5、1、6、1)の優先度と今回設定した経路c上の各パケットモニタリングポイントmx(x=7、8)の優先度に基づいて、図6(f)に示すように、まず、優先度30のパケットモニタリングポイントm1を選択し、続いて、優先度30のパケットモニタリングポイントm5を選択し、続いて、優先度30のパケットモニタリングポイントm7を選択し、続いて、優先度10のパケットモニタリングポイントm8を選択する。
以上から、決定部11は、経路cの決定時には、図6(f)の太枠内に示すように、経路a、経路b若しくは経路c上の各パケットモニタリングポイントmx(x=1、2、3、4、5、6、7、8)のなかからモニタリング可能数4のパケットモニタリングポイントmx(x=1、5、7、8)を決定する。なお、決定部11は、異なる経路a、b、cの異なるパケットモニタリングポイントm1、m5、m7に同一の優先度30を設定しているが、先に決定した経路順(経路a、b、cの準)にパケットモニタリングポイントm1、m5、m7としている。また、決定部11は、異なる経路a、cの異なるパケットモニタリングポイントm4、m8に同一の優先度20を設定しているが、後に決定した経路(経路c)上のパケットモニタリングポイントm8を優先している。
以上、モニタリング可能数に対応すべく、決定部11によるパケットモニタリングポイントを選択して決定する動作を説明したが、解析部22に供給する受信情報を集約することによってモニタリング可能数に対応してもよい。具体的には、選択部12から供給された受信情報に、当該受信情報の送信元であるパケットモニタリングポイントを識別する識別情報を付加し、識別情報を付加した受信情報を解析部22に供給する識別情報付加部13を更に備えるようにしてもよい。
図7は、識別情報付与部13を備える場合の管理装置10の構成例である。識別情報付与部13を備える場合、選択部12は、図7に示すように、受信情報を識別情報付加部13に供給する。識別情報付加部13は、選択部12から供給された受信情報に、当該受信情報の送信元であるパケットモニタリングポイントを識別する識別情報を付加し、識別情報を付加した受信情報を解析部22に供給する。例えば、識別情報付加部13は、Ethernetスイッチで実現する。但し、多数のポートがあり、入力ポートの選択が可能で、ポート単位にVLAN‐IDを設定(付与)可能な機器であれば、Ethernetスイッチでなくてもよい。なお、選択部12と識別情報付加部13とは同一機器で構成されていてもよい。
図8は、識別情報付加部13の動作を説明する為の説明図である。識別情報付加部13は、Ethernetフレームのデータ部に受信情報を収容して解析部22に供給する場合、図8(b)のテーブルを参照し、図8(a)に示すように、付加すべきパケットモニタリングポイント識別情報(パケットを取得したパケットモニタリングポイントを識別するパケットモニタリングポイント識別情報)に対応するVLAN‐IDを設定する。なお、VLAN‐IDは、パケットモニタリングポイントを識別する識別情報に相当する。図8(b)に示すテーブルに基づいて、VLAN‐IDの値からパケットモニタリングポイントを識別可能だからである。なお、図8(b)に示すテーブルの内容は、例えば、決定部11がパケットモニタリングポイントを決定したときに追加、更新、削除される。
一方、解析部22は、識別情報付加部13からEthernetフレームを取得した場合、図8(b)に示すテーブルを参照し、データ部に収容されている受信情報(パケット情報)が何れのパケットモニタリングポイントにて取得されたものであるかを特定する。以上のように、識別情報付加部13から解析部22に供給する情報を、VLANを活用して集約することによってモニタリング可能数に対応する。なお、識別情報付加部13は、VLAN‐IDの値に付加すべきパケットモニタリングポイント識別情報を直接代入してもよい。
以上、本実施形態によれば、パケット取得点として決定され得るルータ、レイヤ3スイッチ、レイヤ2スイッチなどにパケット取得装置を事前に設置しつつ、指定セッションの状態を解析するために必要な最小限の受信情報を蓄積して解析するため、ネットワークの状態を解析する際の、管理者の負担およびシステム上の負荷を低減させることができるようになる。
また、モニタリング可能数に制限がある場合であっても、パケットモニタリングポイントの選択、受信情報の集約によって、複数のセッションに対して最低限の解析をすることができるようになる。
なお、本発明の一実施形態による解析システム1の各処理を実行するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、当該記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、本発明の一実施形態による解析システム1に係る上述した種々の処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1 解析システム 10 管理装置(解析支援装置) 11 決定部 12 選択部 13 識別情報付加部 20 解析装置 21 入出力部 22 解析部