JP5274565B2 - 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム - Google Patents

検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム Download PDF

Info

Publication number
JP5274565B2
JP5274565B2 JP2010526651A JP2010526651A JP5274565B2 JP 5274565 B2 JP5274565 B2 JP 5274565B2 JP 2010526651 A JP2010526651 A JP 2010526651A JP 2010526651 A JP2010526651 A JP 2010526651A JP 5274565 B2 JP5274565 B2 JP 5274565B2
Authority
JP
Japan
Prior art keywords
detection rule
event
candidate
detection
selection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010526651A
Other languages
English (en)
Other versions
JPWO2010024133A1 (ja
Inventor
祐介 兼安
泰久 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2010526651A priority Critical patent/JP5274565B2/ja
Publication of JPWO2010024133A1 publication Critical patent/JPWO2010024133A1/ja
Application granted granted Critical
Publication of JP5274565B2 publication Critical patent/JP5274565B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • G06N5/025Extracting rules from data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Quality & Reliability (AREA)
  • Multimedia (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、作業者の熟練度に依存することなく、障害が発生したイベントをより精度良く検出することが可能な検出ルールを生成することができる検出ルール生成装置、検出ルール生成方法及びコンピュータプログラムに関する。
昨今のコンピュータ技術の急速な発展により、コンピュータシステムは社会インフラを構築する基幹システムに当然のように組み込まれている。社会インフラを定常的に正常に運用するためには、相当の運用コストが発生する。斯かる運用コストを少しでも削減し、しかもシステムの安定度を高める技術としてオートノミック・コンピューティング・システムが注目されている。
オートノミック・コンピューティング・システムは、システム規模の自己管理型環境を構築する技術全体の総称であり、システムに生じた問題、障害等を検出して自律的に解消するシステム全般を意味している。システムに生じた問題、障害等を検出する方法は、多様な方法が開示されている。
例えば特許文献1では、障害発生イベントを常時監視しておき、障害が発生した場合には障害解析に必要な初期解析用データを電子メールで送信する保守管理システムが開示されている。また、特許文献2では、イベントと発生原因との対応関係及び障害の発生原因間の遷移を有限オートマトンでモデル化し、学習を繰り返すことにより障害の発生原因の推定精度を高める障害原因推定システムが開示されている。
さらに特許文献3では、システムを構成する構成機器、リソース等の構成情報を記憶しておき、障害発生時に記憶してある構成情報に基づいて発生原因を解析する障害解析装置が開示されており、特許文献4では、システムに含まれるコンポーネント間の依存関係を記憶しておき、表示されている依存関係に基づいて障害原因の候補となるコンポーネントを容易に特定することができる、障害発生の原因箇所を発見するための支援システムが開示されている。
特開2001−005692号公報 特開2007−257184号公報 特開2005−316728号公報 特開2008−065668号公報
しかし、特許文献1に開示されている保守管理システムでは、障害解析に必要な初期解析用データを入手することができるものの、該初期解析用データにはシステムの構成情報が含まれておらず、システムごとに固有の障害要因を解析するためにはさらなる詳細情報を入手する必要があるという問題点があった。また、特許文献2に開示されている障害原因推定システムでは、障害が発生すればするほど障害原因の推定精度が高まることが期待されるが、そもそも基幹インフラに適用されるシステムにおいては障害の発生を未然に防止することが強く要求されており、実態に即した方法とは言えない。
また、特許文献3では、システムの構成情報を、特許文献4ではコンポーネント間の依存関係を、それぞれ用いることで障害発生の原因箇所の推定精度を高めているが、いずれも事前に障害が生じたイベントを検出するための検出ルール、及び該検出ルールに障害検出時の推奨アクション、コメント等を付加した知識情報(以下、シンプトン:SYMPTOM)を記憶しておくことが前提となる。したがって、検出ルールを含むシンプトン生成時の作業者の熟練度合に大きく依存するとともに、シンプトン生成の作業負担が多大である、生成されたシンプトンの中核をなす障害発生イベントの検出ルールの評価、改善等が困難であるという問題点があった。
本発明は斯かる事情に鑑みてなされたものであり、作業者の熟練度合に左右されることなく適切なシンプトンを生成することができる検出ルール生成装置、検出ルール生成方法及びコンピュータプログラムを提供することを目的とする。
上記目的を達成するために第1発明に係る検出ルール生成装置は、複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置において、前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段と、ログ情報及び/又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段と、取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段と、特定された候補イベントを提示する候補イベント提示手段とを備えることを特徴とする。
また、第2発明に係る検出ルール生成装置は、第1発明において、前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段と、記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段とを備え、前記候補イベント提示手段は、検出された前記候補イベントを提示するようにしてあることを特徴とする。
また、第3発明に係る検出ルール生成装置は、第1又は第2発明において、収集される前記ログ情報及び/又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段を備え、前記履歴情報収集手段は、前記統一データ形式に変換された前記ログ情報及び/又は前記障害情報を収集するようにしてあることを特徴とする。
また、第4発明に係る検出ルール生成装置は、第1乃至第3発明のいずれか1つにおいて、ユーザによるイベントの選択を受け付けるイベント選択受付手段と、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段と、抽出された検出ルールを提示する検出ルール提示手段と、提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段とを備えることを特徴とする。
また、第5発明に係る検出ルール生成装置は、第4発明において、前記イベント選択受付手段で選択を受け付けたイベントが単数であるか否かを判断する単複判断手段を備え、該単複判断手段で単数であると判断した場合、前記検出ルール抽出手段は、イベントを確認するフィルタ・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。
また、第6発明に係る検出ルール生成装置は、第5発明において、前記単複判断手段で複数であると判断した場合、選択を受け付けたイベントを送り出したコンポーネントが単数であるか否かを判断するコンポーネント判断手段と、該コンポーネント判断手段で単数であると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段とを備え、該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、所定の数値を閾値と比較するスレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、イベントの並びの存否を検出するシーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。
また、第7発明に係る検出ルール生成装置は、第6発明において、前記コンポーネント判断手段で複数であると判断した場合、複数のコンポーネント間がトポロジー上で接続されているか否かを判断する接続判断手段と、該接続判断手段で接続されていないと判断した場合、複数のコンポーネントが並列関係にあるか否かを判断する並列関係判断手段とを備え、該並列関係判断手段で並列関係にないと判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。
また、第8発明に係る検出ルール生成装置は、第7発明において、前記並列関係判断手段で並列関係にあると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段を備え、該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、前記スレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。
また、第9発明に係る検出ルール生成装置は、第7発明において、前記接続判断手段で接続されていると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。
また、第10発明に係る検出ルール生成装置は、第7発明において、前記接続判断手段で接続されていると判断した場合、複数のコンポーネントが直列関係にあるか否かを判断する直列関係判断手段と、該直列関係判断手段で直列関係にないと判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段とを備え、該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、順序が特定されていないアンオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、前記直列関係判断手段で直列関係にあると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする。
次に、上記目的を達成するために第11発明に係る検出ルール生成方法は、複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能な検出ルール生成方法において、前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得し、ログ情報及び/又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集し、取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定し、特定された候補イベントを提示することを特徴とする。
また、第12発明に係る検出ルール生成方法は、第11発明において、前記検出ルールを生成してデータベースに記憶し、記憶されている検出ルールに基づいて候補イベントを検出し、検出された前記候補イベントを提示することを特徴とする。
また、第13発明に係る検出ルール生成方法は、第11又は第12発明において、収集される前記ログ情報及び/又は前記障害情報を事前に統一データ形式に変換し、前記統一データ形式に変換された前記ログ情報及び/又は前記障害情報を収集することを特徴とする。
また、第14発明に係る検出ルール生成方法は、第11乃至第13発明のいずれか1つにおいて、ユーザによるイベントの選択を受け付け、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出し、抽出された検出ルールを提示し、提示された検出ルールの更新を受け付けて前記データベースを更新することを特徴とする。
次に、上記目的を達成するために第15発明に係るコンピュータプログラムは、複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能なコンピュータプログラムにおいて、前記検出ルール生成装置を、前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段、ログ情報及び/又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段、取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段、及び特定された候補イベントを提示する候補イベント提示手段として機能させることを特徴とする。
また、第16発明に係るコンピュータプログラムは、第15発明において、前記検出ルール生成装置を、前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段、記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段として機能させ、前記候補イベント提示手段を、検出された前記候補イベントを提示する手段として機能させることを特徴とする。
また、第17発明に係るコンピュータプログラムは、第15又は第16発明において、前記検出ルール生成装置を、収集される前記ログ情報及び/又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段として機能させ、前記履歴情報収集手段を、前記統一データ形式に変換された前記ログ情報及び/又は前記障害情報を収集する手段として機能させることを特徴とする。
また、第18発明に係るコンピュータプログラムは、第15乃至第17発明のいずれか1つにおいて、前記検出ルール生成装置を、ユーザによるイベントの選択を受け付けるイベント選択受付手段、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段、抽出された検出ルールを提示する検出ルール提示手段、及び提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段として機能させることを特徴とする。
本発明によれば、システム構成情報にコンポーネント間の関連情報を含むことにより、コンポーネント間の依存関係だけではなく関連情報も含めて障害発生イベントの検出ルールを生成することができる。また、検出ルールに基づいて候補イベントを提示することにより、ユーザによる検出ルール生成作業を効果的に支援することができ、検出ルール生成の熟練度合を問うことなく一定レベル以上の検出ルールを確実に生成することができる。
本発明の実施の形態に係る検出ルール生成装置の構成例を示すブロック図である。 本発明の実施の形態に係る検出ルール生成装置の検出ルール生成時の機能ブロック図である。 本発明の実施の形態に係る検出ルール生成装置の検出ルール更新時の機能ブロック図である。 表示装置に表示される画面の例示図である。 生成される検出ルールの典型的なルール・パターンの例示図である。 本発明の実施の形態に係る検出ルール生成装置のCPUの検出ルール生成処理の手順を示すフローチャートである。 検出ルールのうちフィルタ・パターンが選択された場合の候補イベントの例示図である。 検出ルールのうちオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。 検出ルールのうちアンオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。 検出ルールのうちスレッシュホールド・パターンが選択された場合の候補イベントの例示図である。 本発明の実施の形態に係る検出ルール生成装置のCPUの検出ルール更新処理の手順を示すフローチャートである。 本発明の実施の形態に係る検出ルール生成装置のCPUの検出ルール抽出処理の手順を示すフローチャートである。 本発明の実施の形態に係る検出ルール生成装置のCPUの検出ルール抽出処理の手順を示すフローチャートである。 選択イベントが単数である場合のトポロジーの例示図である。 選択イベントが複数であり、選択イベントが同種である場合のトポロジーの例示図である。 選択イベントが複数であり、選択イベントが複数種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが同種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが複数種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが同種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが同種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが複数種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが同種である場合のトポロジーの例示図である。 選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。
以下、本発明の実施の形態に係る検出ルール生成装置について、図面に基づいて具体的に説明する。以下の実施の形態は、特許請求の範囲に記載された発明を限定するものではなく、実施の形態の中で説明されている特徴的事項の組み合わせの全てが解決手段の必須事項であるとは限らないことは言うまでもない。
また、本発明は多くの異なる態様にて実施することが可能であり、実施の形態の記載内容に限定して解釈されるべきものではない。実施の形態を通じて同じ要素には同一の符号を付している。
以下の実施の形態では、コンピュータシステムにコンピュータプログラムを導入した検出ルール生成装置について説明するが、当業者であれば明らかな通り、本発明はその一部をコンピュータで実行することが可能なコンピュータプログラムとして実施することができる。したがって、本発明は、検出ルール生成装置というハードウェアとしての実施の形態、ソフトウェアとしての実施の形態、又はソフトウェアとハードウェアとの組み合わせの実施の形態をとることができる。コンピュータプログラムは、ハードディスク、DVD、CD、光記憶装置、磁気記憶装置等の任意のコンピュータで読み取ることが可能な記録媒体に記録することができる。
本発明の実施の形態では、システム構成情報にコンポーネント間の関連情報を含むことにより、コンポーネント間の依存関係だけではなく関連情報も含めて障害発生イベントの検出ルールを生成することができる。また、検出ルールに基づいて候補イベントを提示することにより、ユーザによる検出ルール生成作業を効果的に支援することができ、検出ルール生成の熟練度合を問うことなく一定レベル以上の検出ルールを確実に生成することができる。ここで、「コンポーネント」とは、サービス、アプリケーション、ミドルウェア、ハードウェア、デバイスドライバ、オペレーティングシステム等のコンピューティング環境におけるコンポーネント全般を意味している。また、「システム構成情報」とは、システムを構成している複数のコンポーネント間の依存関係に関する情報だけではなく、障害解析に有用な関連を導出することが可能な情報、例えば通信における接続関係、命令、指示等による操作主体、客体の関係等の情報を含む広い概念である。したがって、コンポーネントのトポロジー図を容易に作成することができる。
また、ログ情報及び/又は障害情報を統一データ形式にて収集することにより、ログ情報及び/又は障害情報に含まれるイベントの表示、解析が容易となり、候補イベントをより容易に特定することができる。
さらに、選択を受け付けたイベントに対応した検出ルールを容易に更新することができ、より実際のシステム構成に即した検出ルールを生成することが可能となる。ここで「トポロジー」とは、コンポーネント間の接続関係、依存関係を示す概念である。
図1は、本発明の実施の形態に係る検出ルール生成装置の構成例を示すブロック図である。本発明の実施の形態に係る検出ルール生成装置1は、少なくともCPU(中央演算装置)11、メモリ12、記憶装置13、I/Oインタフェース14、通信インタフェース15、ビデオインタフェース16、可搬型ディスクドライブ17及び上述したハードウェアを接続する内部バス18で構成されている。
CPU11は、内部バス18を介して検出ルール生成装置1の上述したようなハードウェア各部と接続されており、上述したハードウェア各部の動作を制御するとともに、記憶装置13に記憶されているコンピュータプログラム100に従って、種々のソフトウェア的機能を実行する。メモリ12は、SRAM、SDRAM等の揮発性メモリで構成され、コンピュータプログラム100の実行時にロードモジュールが展開され、コンピュータプログラム100の実行時に発生する一時的なデータ等を記憶する。
記憶装置13は、内蔵される固定型記憶装置(ハードディスク)、ROM等で構成されている。記憶装置13に記憶されているコンピュータプログラム100は、プログラム及びデータ等の情報を記録したDVD、CD−ROM等の可搬型記録媒体90から、可搬型ディスクドライブ17によりダウンロードされ、実行時には記憶装置13からメモリ12へ展開して実行される。もちろん、通信インタフェース15を介してネットワーク2に接続されている外部のコンピュータからダウンロードされたコンピュータプログラムであっても良い。
また記憶装置13は、シンプトンデータベース131を備えている。シンプトンデータベース131には、障害が発生したイベントを検出するための検出ルールに加えて、検出ルールごとに障害検出時の推奨アクション、コメント等を付加してある。ユーザが、障害が発生したイベントを選択した場合、選択されたイベントに応じて検出ルールが抽出され、コンポーネントのトポロジー図とともに表示装置23に表示される。
また記憶装置13は、障害が発生したか否かの監視対象となるシステムのシステム構成情報を記憶する構成情報記憶部132と、監視対象となるシステムのログ情報、該システムで障害が発生した場合に出力されるイベント情報等の履歴情報を記憶する履歴情報記憶部133とを備えている。構成情報記憶部132は、監視対象となる監視対象システム200のコンポーネント間の依存関係情報、各コンポーネントの関連情報等を含むCCMDB(Change and Configuration Management DB)で構成されている。構成情報記憶部132に記憶されているシステム構成情報に基づいてコンポーネントのトポロジー図を表示することができる。なお、構成情報記憶部132は、記憶装置13内に備わっていても良いが、通常は本実施の形態に係る検出ルール生成装置1とは別個に設けてあり、例えばネットワーク2を介して接続されている外部コンピュータ等に備わっている。
通信インタフェース15は内部バス18に接続されており、インターネット、LAN、WAN等の外部のネットワーク2に接続されることにより、外部のコンピュータ等とデータ送受信を行うことが可能となっている。また、監視対象システム200ともネットワーク2を介して接続されており、システム構成情報、障害発生時の履歴情報等を取得することが可能となっている。
I/Oインタフェース14は、キーボード21、マウス22等のデータ入力媒体と接続され、データの入力を受け付ける。また、ビデオインタフェース16は、CRTモニタ、LCD等の表示装置23と接続され、所定の画像を表示する。
図2は、本発明の実施の形態に係る検出ルール生成装置1の検出ルール生成時の機能ブロック図である。構成情報抽出部201は、監視対象システム200に含まれるコンポーネント間の関連情報を含むシステム構成情報を抽出して、構成情報記憶部132に記憶する。コンポーネント間の関連情報を含むシステム構成情報とは、例えばコンポーネント間の通信における接続関係情報、操作・非操作の関係に関するリンク関係情報等である。なお、構成情報抽出部201は本発明に必須の構成要件ではなく、事前に構成情報記憶部132にシステム構成情報を生成しておいても良く、検出ルール生成装置1内に内蔵していてもいなくても良い。すなわち、構成情報抽出部201及び構成情報記憶部132は、本発明の実施の形態に係る検出ルール生成装置1の必須の構成要件ではない。
構成情報取得部202は、構成情報記憶部132に記憶されているシステム構成情報を取得する。システム構成情報は監視対象システム200ごとに対応付けて構成情報記憶部132に記憶してあり、監視対象システム200に応じて対応するシステム構成情報を取得する。
履歴情報収集部203は、監視対象システム200を常時監視し、監視対象システム200に含まれる各コンポーネントから出力されたログ情報及び/又は障害発生時に出力されるイベント情報等の障害情報を含む履歴情報を収集して、履歴情報記憶部133に記憶する。ログ情報は、常時出力されるシステムログ等に限定されるものではなく、障害発生時に割り込み処理等により出力されるメッセージ情報等を含んでも良い。
なお、履歴情報収集部203で収集した履歴情報は、それぞれデータ形式が相違することが多く、そのままでは候補イベントを特定する基本情報として用いることができない場合も生じうる。そこで、データ形式変換部209を備え、標準的な統一データ形式に変換して履歴情報記憶部133へ記憶しておくことが望ましい。
候補イベント特定部204は、構成情報取得部202で取得されたシステム構成情報及び履歴情報記憶部133に記憶されている履歴情報に基づいて、障害が発生しているイベントを検出するための検出ルールを生成するために選択されるべき候補となる候補イベントを特定する。
候補イベント提示部205は、特定された候補イベントを表示装置23に提示する。これにより、ユーザは提示された候補イベント群の中から最適なイベントを選択することにより、精度良く検出ルールを生成することができる。
一方、検出ルール生成・記憶部206は、選択されたイベントを送出したコンポーネントを含むシステム構成情報に基づいて検出ルールを生成し、シンプトンデータベース131に記憶する。候補イベント検出部207は、生成された検出ルール及び記憶してある履歴情報に基づいて、次に選択対象となる候補イベントを表示装置23に提示する。これにより、ユーザはより最適なイベントを選択することができ、より精度良く検出ルールを生成することができる。検出ルール提示部208は、候補イベントを選択することにより更新する対象となる検出ルールを表示装置23に提示する。
図3は、本発明の実施の形態に係る検出ルール生成装置1の検出ルール更新時の機能ブロック図である。イベント選択受付部301は、表示装置23に表示されているイベントリストの中から、ユーザによるイベントの選択を受け付ける。イベントの選択は、マウス22等のポインティングデバイスによる選択でも良いし、キーボード21によるキー入力による選択であっても良い。
検出ルール抽出部302は、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する。抽出された検出ルールは、検出ルール提示部208により、表示装置23に画面40の一部として提示される。表示画面の詳細は後述する。更新部303は、表示装置23に提示された検出ルールの更新を受け付け、シンプトンデータベース131を更新する。
図4は、表示装置23に表示される画面40の例示図である。トポロジー図表示領域41には、監視対象システム200に含まれるコンポーネントの依存関係を示すトポロジー図を表示する。推奨情報表示領域42には、推奨される検出ルール及び追加イベントとして推奨される追加イベントが表示される。
イベントリスト表示領域43には、監視対象システム200に含まれるイベントが一覧表示される。イベント選択受付部301により、イベントリスト表示領域43に表示されているイベントから候補イベントの選択を受け付けた場合、選択を受け付けた候補イベント及び依存関係を有するイベントが強調表示される。図4では、選択を受け付けた候補イベント及び依存関係を有するイベントの表示色を変更して表示している。強調表示の方法は特に限定されるものではなく、輝度を変更しても良い。
検出ルール抽出部302により抽出された検出ルールは、優先順位に応じて推奨情報表示領域42に表示される。表示された検出ルールをマウス22等のポインティングデバイスにより選択することにより、トポロジー図表示領域41に表示されるトポロジー図が変動する。
また、推奨情報表示領域42には、推奨される追加イベントも表示されており、更新部303にてマウス22等のポインティングデバイスにより追加イベントを選択等することにより、トポロジー図表示領域41に表示されているトポロジー図に追加表示される。これによりシンプトンデータベース131を更新することができる。
図5は、生成される検出ルールの典型的なルール・パターンの例示図である。図5(a)はフィルタ・パターンの例示図を、図5(b)はシーケンス・パターンの例示図を、図5(c)はスレッシュホールド・パターンの例示図を、それぞれ示している。
図5(a)に示すように、フィルタ・パターンは、個々のイベントが選択を受け付けたイベントと一致しているか否かを確認する検出ルールであり、選択を受け付けたイベントが1つである場合に有効な検出ルールである。図5(a)では、イベントaからiまでの中でイベントfが選択イベント‘1’であることを確認している。
図5(b)に示すように、シーケンス・パターンは、イベントの並びの存否を検出する検出ルールであり、選択を受け付けたイベントが複数である場合に有効な検出ルールである。図5(b)では、イベントaからiまでの中での一定期間T内に存在するイベントの中に、選択イベント‘1’に相当するイベントc、選択イベント‘2’に相当するイベントeがこの順序で存在することを確認している。
図5(c)に示すように、スレッシュホールド・パターンは、所定の数値を閾値と比較する検出ルールであり、選択を受け付けたイベントが複数である場合に有効な検出ルールである。図5(c)では、イベントaからiまでの中で選択イベント‘1’に相当するイベントb、d、f、gを計数している。図5(c)でハッチング表示されているイベントは、一定期間T内に存在する選択イベント‘1’に相当するイベントであり、閾値(スレッシュホールド)を‘4’イベントと設定していることから、閾値の範囲内で選択されていることを確認することができる。
図6は、本発明の実施の形態に係る検出ルール生成装置1のCPU11の検出ルール生成処理の手順を示すフローチャートである。まず検出ルール生成装置1は、監視対象システム200に含まれるコンポーネント間の関連情報を含むシステム構成情報を取得する(ステップS601)。もちろん、事前にシステム構成情報を取得して、構成情報記憶部132に記憶しておいても良い。
検出ルール生成装置1のCPU11は、監視対象システム200を常時監視し、監視対象システム200に含まれる各コンポーネントから出力されたログ情報及び/又は障害発生時に出力されるイベント情報等の障害情報を含む履歴情報を収集し(ステップS602)、データ形式を標準的な統一データ形式に変換して(ステップS603)、記憶装置13の履歴情報記憶部133に記憶する(ステップS604)。ログ情報は、常時出力されるシステムログ等に限定されるものではなく、障害発生時に割り込み処理等により出力されるメッセージ情報等を含んでも良い。
CPU11は、記憶装置13の構成情報記憶部132に記憶されているシステム構成情報及び履歴情報記憶部133に記憶されている履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する(ステップS605)。CPU11は、特定された候補イベントを表示装置23に表示出力する(ステップS606)。
記憶装置13の構成情報記憶部132に記憶されているシステム構成情報及び履歴情報記憶部133に記憶されている履歴情報に基づいて、候補イベントを特定する方法は、特に限定されるものではない。ここでは、検出ルールが図5に示すルール・パターンである場合の候補イベントの特定処理手順について、図面を参照しながら具体的に説明する。
なお、検出ルールのルール・パターンのうち、シーケンス・パターンについては、さらに2種類のルール・パターンに分類する。すなわち、オーダード・シーケンス・パターンは、順序が特定されているシーケンス・パターンを意味しており、アンオーダード・シーケンス・パターンとは、順序が特定されていないシーケンス・パターンを意味している。
図7は、検出ルールのうちフィルタ・パターンが選択された場合の候補イベントの例示図である。図7(a)は、トポロジー図表示領域41に表示されるトポロジー図の例示図であり、図7(b)は、イベントリスト表示領域43に表示されているイベントの例示図である。
図7(a)に示すように、ユーザによる選択を受け付けたイベントが、矢印73で示されたコンポーネントB2である場合、イベントリスト表示領域43に表示されているコンポーネントB2にて選択を受け付けたイベントBが強調表示される。図7(b)では、コンポーネントB2にて選択を受け付けたイベントBがハッチング表示されている。
そして、図7(a)のトポロジー図から、コンポーネントB2に近接する依存関係を有する近接コンポーネント71として、コンポーネントA、C2が選択される。選択されたコンポーネントA、C2に対応し、一定期間T内に存在するイベントが候補イベントとなる。また、コンポーネントB2と並列関係にある同種コンポーネント72として、コンポーネントB1、B2、B3が選択される。選択されたコンポーネントB1、B2、B3に対応し、一定期間T内に存在するイベントが候補イベントとなる。したがって、図7(b)に示す送出コンポーネント群74、75に対応する候補イベントであるイベントC、D、E、D’、I、C’が候補イベントとして特定される。
図8は、検出ルールのうちオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。図8(a)は、トポロジー図表示領域41に表示されるトポロジー図の例示図であり、図8(b)は、イベントリスト表示領域43に表示されているイベントの例示図である。
図8(a)に示すように、ユーザによる選択を受け付けたイベントが、矢印82、82で示されたコンポーネントA、B1である場合、イベントリスト表示領域43に表示されているコンポーネントAにて選択を受け付けたイベントC’、コンポーネントB1にて選択を受け付けたイベントD’が強調表示される。図8(b)では、選択を受け付けた両イベントがハッチング表示されている。
そして、図8(a)のトポロジー図から、コンポーネントA、B1と直列関係にあるコンポーネント81として、コンポーネントA、B1、C1が選択される。選択されたコンポーネントA、B1、C1に対応し、一定期間T内に存在するイベントが候補イベントとなる。したがって、図8(b)に示す送出コンポーネント群83、84に対応する候補イベントであるイベントE、A’、K、Eが候補イベントとして特定される。
図9は、検出ルールのうちアンオーダード・シーケンス・パターンが選択された場合の候補イベントの例示図である。図9(a)は、トポロジー図表示領域41に表示されるトポロジー図の例示図であり、図9(b)は、イベントリスト表示領域43に表示されているイベントの例示図である。
図9(a)に示すように、ユーザによる選択を受け付けたイベントが、矢印92、92、・・・で示されたコンポーネントA、B1、B2、C2である場合、イベントリスト表示領域43に表示されているコンポーネントAにて選択を受け付けたイベントA’、コンポーネントB1にて選択を受け付けたイベントD’、コンポーネントB2にて選択を受け付けたイベントB、コンポーネントC2にて選択を受け付けたイベントC’が強調表示される。図9(b)では、選択を受け付けたイベント群がハッチング表示されている。
そして、図9(a)のトポロジー図から、コンポーネントA、B1、B2、C2と直列関係又は部分的直列関係にあるコンポーネント91として、コンポーネントA、B1、B2、B3、C1、C2が選択される。選択されたコンポーネントA、B1、B2、B3、C1、C2に対応し、一定期間T内に存在するイベントが候補イベントとなる。したがって、図9(b)に示す送出コンポーネント93、94、95に対応する候補イベントであるイベントD、I、Kが候補イベントとして特定される。
図10は、検出ルールのうちスレッシュホールド・パターンが選択された場合の候補イベントの例示図である。図10(a)は、トポロジー図表示領域41に表示されるトポロジー図の例示図であり、図10(b)は、イベントリスト表示領域43に表示されているイベントの例示図である。
図10(a)に示すように、ユーザによる選択を受け付けたイベントが、矢印102、102で示されたコンポーネントC2、C3である場合、イベントリスト表示領域43に表示されているコンポーネントC2にて選択を受け付けたイベントB、コンポーネントC3にて選択を受け付けたイベントIが強調表示される。図10(b)では、選択を受け付けた両イベントがハッチング表示されている。
そして、図10(a)のトポロジー図から、コンポーネントC2、C3と並列関係にあるコンポーネント101として、コンポーネントC1、C2、C3が選択される。選択されたコンポーネントC1、C2、C3に対応し、一定期間T内に存在するイベントが候補イベントとなる。したがって、図10(b)に示す送出コンポーネント103、104、105に対応する候補イベントであるイベントE、K、Eが候補イベントとして特定される。
次に図11は、本発明の実施の形態に係る検出ルール生成装置1のCPU11の検出ルール更新処理の手順を示すフローチャートである。検出ルール生成装置1のCPU11は、ユーザによるイベントの選択を受け付ける(ステップS1101)。ユーザによるイベントの選択は、マウス22等のポインティングデバイスによる選択でも良いし、キーボード21によるキー入力による選択であっても良い。
CPU11は、選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する(ステップS1102)。CPU11は、抽出された検出ルールを表示装置23へ表示し(ステップS1103)、検出ルールの更新を受け付け(ステップS1104)、シンプトンデータベース131を更新する(ステップS1105)。
検出ルールの抽出方法は特に限定されるものではないが、選択されたイベント及びトポロジーに応じて推奨されるルール・パターンがある程度まで特定される。図12及び図13は、本発明の実施の形態に係る検出ルール生成装置1のCPU11の検出ルール抽出処理の手順を示すフローチャートである。
図12において、検出ルール生成装置1のCPU11は、ユーザによる選択を受け付けた選択イベントが複数であるか否かを判断する(ステップS1201)。CPU11が、選択イベントが単数であると判断した場合(ステップS1201:NO)、CPU11は、検出ルールとしてフィルタ・パターンを優先して抽出する(ステップS1202)。もちろん、例外的ではあるが、スレッシュホールド・パターンを抽出しても良いことは言うまでもない。
図14は、選択イベントが単数である場合のトポロジーの例示図である。図14(a)は、イベント発生時刻を含むイベントの例示図であり、図14(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図14では、コンポーネントAから送出されたイベントAが単独で10時10分に発生しており、イベントの存在を確認するか、イベント数を計数するか以外の検出ルールの抽出は考えられない。したがって、検出ルールとしてフィルタ・パターンを優先して抽出し、例外的にスレッシュホールド・パターンを抽出する。
図12に戻って、検出ルール生成装置1のCPU11が、選択イベントが複数であると判断した場合(ステップS1201:YES)、CPU11は、複数の選択イベントを送出したコンポーネントが複数であるか否かを判断する(ステップS1203)。CPU11が、送出したコンポーネントが単数であると判断した場合(ステップS1203:NO)、CPU11は、選択イベントの種類が同種であるか否かを判断する(ステップS1204)。
CPU11が、選択イベントの種類が同種であると判断した場合(ステップS1204:YES)、CPU11は、検出ルールとしてスレッシュホールド・パターンを優先して抽出する(ステップS1205)。もちろん、例外的では有るが、フィルタ・パターンを抽出しても良いことは言うまでもない。
図15は、選択イベントが複数であり、選択イベントが同種である場合のトポロジーの例示図である。図15(a)は、イベント発生時刻を含むイベントの例示図であり、図15(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図15では、コンポーネントAから送出された3つのイベントAが、それぞれ10時10分、20分、30分に発生しており、イベント数を計数するか、イベントの存在を確認するか以外の検出ルールの抽出は考えられない。したがって、検出ルールとしてスレッシュホールド・パターンを優先して抽出し、例外的にフィルタ・パターンを抽出する。
図12に戻って、検出ルール生成装置1のCPU11が、選択イベントの種類が複数種であると判断した場合(ステップS1204:NO)、CPU11は、検出ルールとしてシーケンス・パターンを抽出する(ステップS1206)。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、選択イベントが互いに相違していることから、オーダード・シーケンス・パターンを優先して抽出することが好ましい。
図16は、選択イベントが複数であり、選択イベントが複数種である場合のトポロジーの例示図である。図16(a)は、イベント発生時刻を含むイベントの例示図であり、図16(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図16では、コンポーネントAから送出された3種類のイベントA、B、Cが、それぞれ10時10分、20分、30分に発生しており、イベントの発生順序を考慮した検出ルールしか抽出できない。したがって、検出ルールとしてシーケンス・パターンを抽出する。
図12に戻って、検出ルール生成装置1のCPU11が、送出したコンポーネントが複数であると判断した場合(ステップS1203:YES)、CPU11は、複数のコンポーネント間がトポロジー上で接続されているか否かを判断する(ステップS1207)。CPU11が、トポロジー上で接続されていないと判断した場合(ステップS1207:NO)、CPU11は、コンポーネント間の接続関係が並列関係であるか否かを判断する(ステップS1208)。
CPU11が、コンポーネント間の接続関係が並列関係ではないと判断した場合(ステップS1208:NO)、CPU11は、選択イベントの種類が同種であるか否かを判断する(ステップS1209)。CPU11が、選択イベントの種類が同種であると判断した場合(ステップS1209:YES)、CPU11は、検出ルールとしてアンオーダード・シーケンス・パターンを抽出する(ステップS1210)。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはオーダード・シーケンス・パターンを抽出しても良い。
図17は、選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが同種である場合のトポロジーの例示図である。図17(a)は、イベント発生時刻を含むイベントの例示図であり、図17(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図17では、3つのコンポーネントA、B、Cから、それぞれ10時10分、20分、30分に同じイベントAが発生しており、順不同ではあるもののイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図12に戻って、検出ルール生成装置1のCPU11が、選択イベントの種類が複数種であると判断した場合(ステップS1209:NO)、CPU11は、検出ルールとしてシーケンス・パターンを抽出する(ステップS1211)。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、コンポーネント間が直列関係でも並列関係でもないことから、アンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図18は、選択イベントが複数であり、コンポーネント間の関係が無相関であり、選択イベントが複数種である場合のトポロジーの例示図である。図18(a)は、イベント発生時刻を含むイベントの例示図であり、図18(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図18では、3つのコンポーネントA、B、Cから、それぞれ10時10分、20分、30分に異なるイベントA、B、Cが発生しており、順不同ではあるもののイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図12に戻って、検出ルール生成装置1のCPU11が、コンポーネント間の接続関係が並列関係であると判断した場合(ステップS1208:YES)、CPU11は、選択イベントの種類が同種であるか否かを判断する(ステップS1212)。CPU11が、選択イベントの種類が同種であると判断した場合(ステップS1212:YES)、CPU11は、検出ルールとしてスレッシュホールド・パターンを抽出する(ステップS1213)。もちろん、例外的では有るが、アンオーダード・シーケンス・パターンを抽出しても良いし、状況によってはオーダード・シーケンス・パターンを抽出しても良い。
図19は、選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが同種である場合のトポロジーの例示図である。図19(a)は、イベント発生時刻を含むイベントの例示図であり、図19(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図19では、コンポーネントPに接続されて並列関係にある3つのコンポーネントA、B、Cから、それぞれ10時10分、20分、30分にイベントAが発生しており、順不同ではあるもののイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図12に戻って、検出ルール生成装置1のCPU11が、選択イベントの種類が複数種であると判断した場合(ステップS1212:NO)、CPU11は、検出ルールとしてアンオーダード・シーケンス・パターンを抽出する(ステップS1214)。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはオーダード・シーケンス・パターンを抽出しても良い。
図20は、選択イベントが複数であり、コンポーネント間の関係が並列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。図20(a)は、イベント発生時刻を含むイベントの例示図であり、図20(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図20では、コンポーネントPに接続されて並列関係にある3つのコンポーネントA、B、Cから、それぞれ10時10分、20分、30分に異なるイベントA、B、Cが発生しており、イベントの並びよりはむしろイベントの発生数を計数することが好ましい。したがって、検出ルールとしてスレッシュホールド・パターンを優先して抽出することが好ましい。
図12に戻って、検出ルール生成装置1のCPU11が、トポロジー上で接続されていると判断した場合(ステップS1207:YES)、CPU11は、図13に示すように、コンポーネント間が完全な直列関係にあるか否かを判断する(ステップS1301)。CPU11が、コンポーネント間が完全な直列関係にないと判断した場合(ステップS1301:NO)、CPU11は、選択イベントの種類が同種であるか否かを判断する(ステップS1302)。
CPU11が、選択イベントの種類が同種であると判断した場合(ステップS1302:YES)、CPU11は、検出ルールとしてオーダード・シーケンス・パターンを抽出する(ステップS1303)。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはアンオーダード・シーケンス・パターンを抽出しても良い。
図21は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが同種である場合のトポロジーの例示図である。図21(a)は、イベント発生時刻を含むイベントの例示図であり、図21(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図21では、コンポーネントA、コンポーネントAに接続されて並列関係にある2つのコンポーネントB、Cから、それぞれ10時10分、20分、30分にイベントAが発生しており、イベントの発生数を計数するよりはむしろ順不同であってもイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図13に戻って、検出ルール生成装置1のCPU11が、選択イベントの種類が複数種であると判断した場合(ステップS1302:NO)、CPU11は、検出ルールとしてシーケンス・パターンを抽出する(ステップS1304)。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、コンポーネント間が完全な直列関係にないことから、アンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図22は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係ではなく、選択イベントが複数種である場合のトポロジーの例示図である。図22(a)は、イベント発生時刻を含むイベントの例示図であり、図22(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図22では、コンポーネントA、コンポーネントAに接続されて並列関係にある2つのコンポーネントB、Cから、それぞれ10時10分、20分、30分に異なるイベントA、B、Cが発生しており、順不同であってもイベントの並びを検出することが好ましい。したがって、検出ルールとしてアンオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図13に戻って、検出ルール生成装置1のCPU11が、コンポーネント間が完全な直列関係にあると判断した場合(ステップS1301:YES)、CPU11は、選択イベントの種類が同種であるか否かを判断する(ステップS1305)。CPU11が、選択イベントの種類が同種であると判断した場合(ステップS1305:YES)、CPU11は、検出ルールとしてオーダード・シーケンス・パターンを抽出する(ステップS1306)。もちろん、例外的では有るが、スレッシュホールド・パターンを抽出しても良いし、状況によってはアンオーダード・シーケンス・パターンを抽出しても良い。
図23は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが同種である場合のトポロジーの例示図である。図23(a)は、イベント発生時刻を含むイベントの例示図であり、図23(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図23では、直列関係にあるコンポーネントA、B、Cから、それぞれ10時10分、20分、30分にイベントAが発生しており、一定順序のイベントの並びを検出することが好ましい。したがって、検出ルールとしてオーダード・シーケンス・パターンを優先して抽出することが好ましい。
図13に戻って、検出ルール生成装置1のCPU11が、選択イベントの種類が複数種であると判断した場合(ステップS1305:NO)、CPU11は、検出ルールとしてシーケンス・パターンを抽出する(ステップS1307)。選択イベントの順序付けの有無に応じて、オーダード・シーケンス・パターンかアンオーダード・シーケンス・パターンかのいずれかを優先して抽出すれば良いが、コンポーネント間が完全な直列関係であることから、オーダード・シーケンス・パターンを優先して抽出することが好ましい。
図24は、選択イベントが複数であり、コンポーネント間の関係が完全な直列関係であり、選択イベントが複数種である場合のトポロジーの例示図である。図24(a)は、イベント発生時刻を含むイベントの例示図であり、図24(b)は、イベント発生時刻を含むトポロジー図の例示図である。
図24では、直列関係にあるコンポーネントA、B、Cから、それぞれ10時10分、20分、30分に異なるイベントA、B、Cが発生しており、一定順序のイベントの並びを検出することが好ましい。したがって、検出ルールとしてオーダード・シーケンス・パターンを優先して抽出することが好ましい。
以上のように本実施の形態によれば、システム構成情報にコンポーネント間の関連情報を含むことにより、コンポーネント間の依存関係だけではなく関連情報も含めて障害発生イベントの検出ルールを生成することができる。また、検出ルールに基づいて候補イベントを提示することにより、ユーザによる検出ルール生成作業を効果的に支援することができ、検出ルール生成の熟練度合を問うことなく一定レベル以上の検出ルールを確実に生成することができる。
なお、本発明は上記実施例に限定されるものではなく、本発明の趣旨の範囲内であれば多種の変更、改良等が可能である。例えばネットワークを介して本実施の形態に係る検出ルール生成装置に接続されている外部のコンピュータの記憶装置に、トポロジーデータベース、構成情報記憶部、履歴情報記憶部を備え、必要に応じて読み出すようにしても良い。
1 検出ルール生成装置
11 CPU
12 メモリ(共有メモリ)
13 記憶装置
14 I/Oインタフェース
15 通信インタフェース
16 ビデオインタフェース
17 可搬型ディスクドライブ
18 内部バス
23 表示装置
90 可搬型記録媒体
100 コンピュータプログラム
131 シンプトンデータベース
132 構成情報記憶部
133 履歴情報記憶部

Claims (18)

  1. 複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置において、
    前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段と、
    ログ情報及び/又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段と、
    取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段と、
    特定された候補イベントを提示する候補イベント提示手段と
    を備えることを特徴とする検出ルール生成装置。
  2. 前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段と、
    記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段と を備え、
    前記候補イベント提示手段は、検出された前記候補イベントを提示するようにしてあることを特徴とする請求項1記載の検出ルール生成装置。
  3. 収集される前記ログ情報及び/又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段を備え、
    前記履歴情報収集手段は、前記統一データ形式に変換された前記ログ情報及び/又は前記障害情報を収集するようにしてあることを特徴とする請求項1又は2記載の検出ルール生成装置。
  4. ユーザによるイベントの選択を受け付けるイベント選択受付手段と、
    選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段と、
    抽出された検出ルールを提示する検出ルール提示手段と、
    提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段と
    を備えることを特徴とする請求項に記載の検出ルール生成装置。
  5. 前記イベント選択受付手段で選択を受け付けたイベントが単数であるか否かを判断する単複判断手段を備え、
    該単複判断手段で単数であると判断した場合、前記検出ルール抽出手段は、イベントを確認するフィルタ・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項4記載の検出ルール生成装置。
  6. 前記単複判断手段で複数であると判断した場合、選択を受け付けたイベントを送り出したコンポーネントが単数であるか否かを判断するコンポーネント判断手段と、
    該コンポーネント判断手段で単数であると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段と
    を備え、
    該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、所定の数値を閾値と比較するスレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、
    前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、イベントの並びの存否を検出するシーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項5記載の検出ルール生成装置。
  7. 前記コンポーネント判断手段で複数であると判断した場合、複数のコンポーネント間がトポロジー上で接続されているか否かを判断する接続判断手段と、
    該接続判断手段で接続されていないと判断した場合、複数のコンポーネントが並列関係にあるか否かを判断する並列関係判断手段と
    を備え、
    該並列関係判断手段で並列関係にないと判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項6記載の検出ルール生成装置。
  8. 前記並列関係判断手段で並列関係にあると判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段を備え、
    該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、前記スレッシュホールド・パターンとして前記検出ルールを抽出するようにしてあり、
    前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項7記載の検出ルール生成装置。
  9. 前記接続判断手段で接続されていると判断した場合、前記検出ルール抽出手段は、前記シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項7記載の検出ルール生成装置。
  10. 前記接続判断手段で接続されていると判断した場合、複数のコンポーネントが直列関係にあるか否かを判断する直列関係判断手段と、
    該直列関係判断手段で直列関係にないと判断した場合、選択を受け付けたイベントが同種であるか否かを判断するイベント判断手段と
    を備え、
    該イベント判断手段で同種であると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、
    前記イベント判断手段で複数種であると判断した場合、前記検出ルール抽出手段は、順序が特定されていないアンオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあり、
    前記直列関係判断手段で直列関係にあると判断した場合、前記検出ルール抽出手段は、順序が特定されているオーダード・シーケンス・パターンとして前記検出ルールを抽出するようにしてあることを特徴とする請求項7記載の検出ルール生成装置。
  11. 複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能な検出ルール生成方法において、
    前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得し、
    ログ情報及び/又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集し、
    取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定し、
    特定された候補イベントを提示することを特徴とする検出ルール生成方法。
  12. 前記検出ルールを生成してデータベースに記憶し、
    記憶されている検出ルールに基づいて候補イベントを検出し、
    検出された前記候補イベントを提示することを特徴とする請求項11記載の検出ルール生成方法。
  13. 収集される前記ログ情報及び/又は前記障害情報を事前に統一データ形式に変換し、
    前記統一データ形式に変換された前記ログ情報及び/又は前記障害情報を収集することを特徴とする請求項11又は12記載の検出ルール生成方法。
  14. ユーザによるイベントの選択を受け付け、
    選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出し、
    抽出された検出ルールを提示し、
    提示された検出ルールの更新を受け付けて前記データベースを更新することを特徴とする請求項12に記載の検出ルール生成方法。
  15. 複数のコンポーネントを含むシステムでのイベントの検出ルールを生成する検出ルール生成装置で実行することが可能なコンピュータプログラムにおいて、
    前記検出ルール生成装置を、
    前記コンポーネント間の関連情報を含む前記システムのシステム構成情報を取得する構成情報取得手段、
    ログ情報及び/又は前記システムでの障害発生時の各コンポーネントから出力される障害情報を含む前記システムの履歴情報を収集する履歴情報収集手段、
    取得した前記システム構成情報及び収集した前記履歴情報に基づいて、検出ルールを生成するために選択されるべき候補となる候補イベントを特定する候補イベント特定手段、及び
    特定された候補イベントを提示する候補イベント提示手段
    として機能させることを特徴とするコンピュータプログラム。
  16. 前記検出ルール生成装置を、
    前記検出ルールを生成してデータベースに記憶する検出ルール生成・記憶手段、
    記憶されている検出ルールに基づいて候補イベントを検出する候補イベント検出手段
    として機能させ、
    前記候補イベント提示手段を、検出された前記候補イベントを提示する手段として機能させることを特徴とする請求項15記載のコンピュータプログラム。
  17. 前記検出ルール生成装置を、
    収集される前記ログ情報及び/又は前記障害情報を事前に統一データ形式に変換するデータ形式変換手段として機能させ、
    前記履歴情報収集手段を、前記統一データ形式に変換された前記ログ情報及び/又は前記障害情報を収集する手段として機能させることを特徴とする請求項15又は16記載のコンピュータプログラム。
  18. 前記検出ルール生成装置を、
    ユーザによるイベントの選択を受け付けるイベント選択受付手段、
    選択を受け付けたイベントに対応するコンポーネントのトポロジーに応じた検出ルールを抽出する検出ルール抽出手段、
    抽出された検出ルールを提示する検出ルール提示手段、及び
    提示された検出ルールの更新を受け付けて前記データベースを更新するデータベース更新手段
    として機能させることを特徴とする請求項16に記載のコンピュータプログラム。
JP2010526651A 2008-08-29 2009-08-13 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム Expired - Fee Related JP5274565B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010526651A JP5274565B2 (ja) 2008-08-29 2009-08-13 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2008221142 2008-08-29
JP2008221142 2008-08-29
JP2010526651A JP5274565B2 (ja) 2008-08-29 2009-08-13 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム
PCT/JP2009/064308 WO2010024133A1 (ja) 2008-08-29 2009-08-13 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JPWO2010024133A1 JPWO2010024133A1 (ja) 2012-01-26
JP5274565B2 true JP5274565B2 (ja) 2013-08-28

Family

ID=41721302

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010526651A Expired - Fee Related JP5274565B2 (ja) 2008-08-29 2009-08-13 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム

Country Status (6)

Country Link
US (1) US8612372B2 (ja)
EP (1) EP2336889A4 (ja)
JP (1) JP5274565B2 (ja)
KR (1) KR20110048522A (ja)
CN (1) CN102138130A (ja)
WO (1) WO2010024133A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5258040B2 (ja) * 2008-10-30 2013-08-07 インターナショナル・ビジネス・マシーンズ・コーポレーション 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
JP5220555B2 (ja) * 2008-10-30 2013-06-26 インターナショナル・ビジネス・マシーンズ・コーポレーション 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
JP5220556B2 (ja) * 2008-10-30 2013-06-26 インターナショナル・ビジネス・マシーンズ・コーポレーション 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
US9146827B2 (en) * 2010-12-13 2015-09-29 Hitachi, Ltd. Support system
US9142965B2 (en) 2011-07-28 2015-09-22 Tigo Energy, Inc. Systems and methods to combine strings of solar panels
US8793538B2 (en) 2012-01-30 2014-07-29 Hewlett-Packard Development Company, L.P. System error response
JP6048038B2 (ja) * 2012-09-27 2016-12-21 富士通株式会社 情報処理装置,プログラム,情報処理方法
CN103888304B (zh) * 2012-12-19 2017-08-04 华为技术有限公司 一种多节点应用的异常检测方法及相关装置
US9088541B2 (en) 2013-05-31 2015-07-21 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration
US9912549B2 (en) 2013-06-14 2018-03-06 Catbird Networks, Inc. Systems and methods for network analysis and reporting
US11196636B2 (en) 2013-06-14 2021-12-07 Catbird Networks, Inc. Systems and methods for network data flow aggregation
CN105683987B (zh) * 2013-10-24 2018-11-16 三菱电机株式会社 信息处理装置和信息处理方法
JP6244992B2 (ja) 2014-03-07 2017-12-13 富士通株式会社 構成情報管理プログラム、構成情報管理方法、及び構成情報管理装置
US10565533B2 (en) 2014-05-09 2020-02-18 Camelot Uk Bidco Limited Systems and methods for similarity and context measures for trademark and service mark analysis and repository searches
US11100124B2 (en) 2014-05-09 2021-08-24 Camelot Uk Bidco Limited Systems and methods for similarity and context measures for trademark and service mark analysis and repository searches
US9965547B2 (en) 2014-05-09 2018-05-08 Camelot Uk Bidco Limited System and methods for automating trademark and service mark searches
EP3238407A4 (en) 2014-09-05 2018-08-15 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
JP6564305B2 (ja) * 2015-10-30 2019-08-21 株式会社日立システムズ 管理サーバ及びこれを用いた管理方法
US10205736B2 (en) * 2017-02-27 2019-02-12 Catbird Networks, Inc. Behavioral baselining of network systems
US10572332B1 (en) * 2017-10-30 2020-02-25 Wells Fargo Bank, N.A. Failure prediction system
US11681710B2 (en) * 2018-12-23 2023-06-20 Microsoft Technology Licensing, Llc Entity extraction rules harvesting and performance

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008041041A (ja) * 2006-08-10 2008-02-21 Hitachi Information Systems Ltd ログ通知条件定義支援装置とログ監視システムおよびプログラムとログ通知条件定義支援方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0877010A (ja) * 1994-09-07 1996-03-22 Hitachi Ltd データ分析方法および装置
JPH08292902A (ja) * 1995-04-20 1996-11-05 Fuji Xerox Co Ltd 情報処理装置
US6601048B1 (en) * 1997-09-12 2003-07-29 Mci Communications Corporation System and method for detecting and managing fraud
JP2001005692A (ja) 1999-06-25 2001-01-12 Toshiba Corp 計算機システムおよびその保守管理システム並びに障害通知方法
WO2003100619A1 (fr) * 2002-05-28 2003-12-04 Fujitsu Limited Dispositif, programme et procede de detection d'acces non autorise
JP4575020B2 (ja) 2004-04-28 2010-11-04 三菱電機株式会社 障害解析装置
JP4746850B2 (ja) * 2004-06-21 2011-08-10 富士通株式会社 パターン生成プログラム
JP2006031109A (ja) * 2004-07-12 2006-02-02 Ntt Docomo Inc 管理システム及び管理方法
JP2007172131A (ja) * 2005-12-20 2007-07-05 Nec Fielding Ltd 障害予測システム、障害予測方法、障害予測プログラム
JP4862446B2 (ja) 2006-03-22 2012-01-25 日本電気株式会社 障害原因推定システム、方法、及び、プログラム
JP4661722B2 (ja) 2006-07-31 2011-03-30 日本電気株式会社 運用管理システム、監視装置、監視設定情報生成方法及びプログラム
JP2008065688A (ja) 2006-09-08 2008-03-21 Toshiba Corp 医療検査情報統合システム
JP2008292902A (ja) 2007-05-28 2008-12-04 Canon Inc 像振れ補正装置および撮像装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008041041A (ja) * 2006-08-10 2008-02-21 Hitachi Information Systems Ltd ログ通知条件定義支援装置とログ監視システムおよびプログラムとログ通知条件定義支援方法

Also Published As

Publication number Publication date
KR20110048522A (ko) 2011-05-11
EP2336889A1 (en) 2011-06-22
JPWO2010024133A1 (ja) 2012-01-26
CN102138130A (zh) 2011-07-27
US20100057667A1 (en) 2010-03-04
US8612372B2 (en) 2013-12-17
WO2010024133A1 (ja) 2010-03-04
EP2336889A4 (en) 2016-07-27

Similar Documents

Publication Publication Date Title
JP5274565B2 (ja) 検出ルール生成装置、検出ルール生成方法及びコンピュータプログラム
JP5285084B2 (ja) 検出イベントに応じたアクション実行を支援するシステム、検出イベントに応じたアクション実行を支援する方法、支援装置及びコンピュータプログラム
JP5132779B2 (ja) 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
CN110928772B (zh) 一种测试方法及装置
JP5468837B2 (ja) 異常検出方法、装置、及びプログラム
US20160315823A1 (en) Enabling real-time operational environment conformity within an enterprise architecture model dashboard
JP6233411B2 (ja) 障害分析装置、障害分析方法、および、コンピュータ・プログラム
JPWO2011132730A1 (ja) ランタイムシステムの故障の木解析の方法、システム及びプログラム
JP2019057139A (ja) 運用管理システム、監視サーバ、方法およびプログラム
JP4928848B2 (ja) 計算機システム統合管理環境におけるメッセージ変換装置
JP5220555B2 (ja) 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
US10083106B2 (en) Computer aided bug reporting system for GUI applications
JP4810113B2 (ja) データベースチューニング装置及びデータベースチューニング方法並びにプログラム
US8538995B2 (en) Device and method for automatically detecting an unclear description
JP2009134535A (ja) ソフトウェア開発支援装置、ソフトウェア開発支援方法及びソフトウェア開発支援プログラム
JP5220556B2 (ja) 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
JP2013003681A (ja) サービス運用管理装置
JP5258040B2 (ja) 障害イベントの検出を支援する装置、障害イベントの検出を支援する方法及びコンピュータプログラム
JP4663526B2 (ja) 帳票作成支援装置、帳票作成支援方法、および帳票作成支援プログラム
JP2010128894A (ja) データベース生成装置、データベース生成方法及びコンピュータプログラム
KR20170032608A (ko) 엔터프라이즈 비즈니스 서비스 레벨의 통합 모니터링 방법 및 시스템

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121009

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130514

R150 Certificate of patent or registration of utility model

Ref document number: 5274565

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees