JP5371095B2 - Patch application system - Google Patents

Patch application system Download PDF

Info

Publication number
JP5371095B2
JP5371095B2 JP2009102149A JP2009102149A JP5371095B2 JP 5371095 B2 JP5371095 B2 JP 5371095B2 JP 2009102149 A JP2009102149 A JP 2009102149A JP 2009102149 A JP2009102149 A JP 2009102149A JP 5371095 B2 JP5371095 B2 JP 5371095B2
Authority
JP
Japan
Prior art keywords
patch
application
machine
job
target machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009102149A
Other languages
Japanese (ja)
Other versions
JP2010250749A (en
Inventor
崇 阿久津
昭生 橋村
泰行 藤原
隆 元川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2009102149A priority Critical patent/JP5371095B2/en
Publication of JP2010250749A publication Critical patent/JP2010250749A/en
Application granted granted Critical
Publication of JP5371095B2 publication Critical patent/JP5371095B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To flexibly change an application method and an application period of a patch according to a state of a machine to also automatically apply a patch such as an interactive form. <P>SOLUTION: A patch application system is provided with a patch application target machine and a patch management server, and an operation management system, which controls execution of jobs by the patch application target machine according to a job network created and executed by the patch management server, is constructed in the patch management server and the patch application target machine. The operation management system is used to acquire a load state of the patch application target machine, the application period and the application method of the patch is determined based on urgency of the patch and the load state of the patch application target machine, and a patch application job network, to which the patch is applied by the determined application method and by a schedule that the patch is applied in the determined application period, is created and executed. <P>COPYRIGHT: (C)2011,JPO&amp;INPIT

Description

本発明は、パッチ適用対象マシンの状況に応じて適用方法や適用時期を柔軟に変化させてパッチを適用するシステムに関するものである。   The present invention relates to a system that applies a patch by flexibly changing an application method and an application time according to the situation of a patch application target machine.

近年、ネットワークの技術も進歩し、それに伴いインターネットが普及した。これにより、様々なウィルスやワーム、スパイウェアなどが出現している。また、ネットワーク機能の一般化も進み、もはやネットワーク機能をまったく持たないコンピューターはほとんどない状況と言える。   In recent years, network technology has advanced, and the Internet has become popular. As a result, various viruses, worms, spyware, etc. have appeared. In addition, generalization of network functions has progressed, and it can be said that there are almost no computers that have no network functions at all.

ここで、コンピューターを保護し、外部にデータを漏洩することを防ぐには、OSやドライバ、またOS上で動くアプリケーションに対して、各ベンダから配布されているセキュリティパッチを適用し、常に最新のセキュリティ状態を保つことが効果的な手段と言える。そのためには、新しいセキュリティパッチが配布されたら、管理している全てのコンピューターに即座にパッチを適用することが要求される。   Here, in order to protect the computer and prevent leakage of data to the outside, apply the security patches distributed by each vendor to the OS, drivers, and applications running on the OS, and always keep the latest It can be said that maintaining security is an effective means. To do this, when a new security patch is distributed, it is required to immediately apply the patch to all managed computers.

また、上記のようなセキュリティ保護を目的とする場合以外にも、パッチ適用が要求される場面がある。例えば、組織内で頻繁に使われるツールがあり、導入必須となっているツールを強制的に導入させる場合である。その場合も、管理している全てのコンピューターにパッチとしてツールのインストーラを転送し、適用することによりツールを導入させることが要求される。   In addition to the above-described case of security protection, there are situations where patch application is required. For example, there is a tool that is frequently used in an organization, and a tool that is mandatory to be introduced is forcibly introduced. Even in that case, it is required to install the tool by transferring and applying the tool installer as a patch to all managed computers.

図8は、従来のパッチ適用方法を示す概要図である。従来方法では、適用するべきパッチが各ベンダや社内サーバなどから配信されると、組織内でメールなどを使ってその旨が通知され(801)、パッチ適用対象マシン(802)に手動でパッチを適用していた。パッチは、LANや公衆回線網など(803)を通して、各ベンダや社内サーバなどのパッチ配布サーバ(804)からダウンロードしていた。   FIG. 8 is a schematic diagram showing a conventional patch application method. In the conventional method, when a patch to be applied is distributed from each vendor or in-house server, the fact is notified by e-mail within the organization (801), and the patch application machine (802) is manually patched. It was applied. Patches were downloaded from a patch distribution server (804) such as each vendor or in-house server via a LAN, public network, etc. (803).

図9は、従来の自動アップデートシステムの例を表す図である。従来の自動アップデートシステムでは、パッチ適用対象マシン(901)内で稼動しているプロセスが、LANや公衆回線網など(902)を介して定期的もしくは決まった時刻にパッチサーバ(903)に最新のパッチが存在するかどうかをチェックし、存在すればそのパッチを適用していた。しかしこれは、ある特定の製品のみを自動でアップデートする方法であり、コンピューターの状況を見ながら適用方法を変えることなどはできなかった。また、対象製品ごとに適用手順などが違うため、専用のクライアントプログラムが必要となり、汎用的に自動でパッチを適用することはできなかった。   FIG. 9 is a diagram illustrating an example of a conventional automatic update system. In the conventional automatic update system, the process running in the patch application target machine (901) is updated to the patch server (903) periodically or at a fixed time via a LAN or public network (902). I checked if a patch existed, and if so, applied that patch. However, this is a method of automatically updating only a specific product, and it was not possible to change the application method while looking at the state of the computer. In addition, since the application procedure is different for each target product, a dedicated client program is required, and it was not possible to apply patches automatically for general purposes.

なお、本発明に関連する公知技術文献としては、下記特許文献1があげられる。該文献には、最近のセキュリティアップグレード、ホットフィックス、およびサービスパックについて、様々な報告サービスおよびアプリケーションメーカーのWebサイトを走査してパッチを取り出し、企業ネットワーク内のすべてのコンピュータにこれらのパッチを自動的に適用するシステムが開示されている。   In addition, the following patent document 1 is mention | raise | lifted as a well-known technical document relevant to this invention. The document scans various reporting service and application manufacturer websites for recent security upgrades, hot fixes, and service packs for patches and automatically deploys these patches to all computers in the corporate network. A system to be applied is disclosed.

特表2007−520819Special table 2007-520819

従来のパッチ適用方法では、各人が業務を一時中断し、手動で1台1台のパッチ適用対象マシンにセキュリティパッチなどのパッチを適用していた。結果として、業務の時間をパッチ適用作業に割かなければならず、業務効率の低下を招くことになっていた。また、従来の自動アップデートシステムでは、パッチ適用処理と業務の処理とが同じ時間帯に起こることがあり、これを回避するために、深夜帯にパッチ適用処理をスケジューリングしたり、マシンのアイドル時にパッチ適用処理をしたりしていた。以上のように、従来技術では、パッチを適用する時期をマシンの状況に応じて柔軟に変更する、といったことができなかった。   In the conventional patch application method, each person temporarily suspends work and manually applies a patch such as a security patch to each patch application target machine. As a result, the work time has to be devoted to patch application work, resulting in a decrease in work efficiency. Also, in conventional automatic update systems, patch application processing and business processing may occur at the same time, and to avoid this, patch application processing can be scheduled at midnight or patched when the machine is idle. And applied processing. As described above, in the prior art, it has not been possible to flexibly change the patch application time according to the machine status.

また、従来の自動アップデートシステムは、特定の個々の製品のみをアップデートの対象とするものであるという不都合があった。この点については、マシン上にあるすべての製品に対して、自動アップデートシステムを導入すれば解決されるが、必ずしもすべての製品に自動アップデートシステムがあるとは限らないし、製品が増えるたびに自動アップデートシステムを導入するのは現実的ではない。また、違う製品間でのパッチの依存関係があった場合、従来の自動アップデートシステムでは対応できず、パッチの適用に失敗した場合などは自動アップデートシステムの次回の適用時にスケジューリングされることが多く、組織内で一括してある期限までに適用するなどの対応ができなかった。さらに、自動アップデートシステムを利用しても、対話形式のアップデータであった場合には手動で操作する必要があり、結局は人手で行うことが多かった。以上のように、従来技術では、パッチの適用方法をマシンの状況に応じて柔軟に変更する、といったことができなかった。   In addition, the conventional automatic update system has a disadvantage that only specific individual products are to be updated. This issue can be solved by installing an automatic update system for all products on the machine, but not all products have an automatic update system. It is not realistic to introduce a system. Also, if there is a patch dependency between different products, the conventional automatic update system can not cope, and when application of the patch fails, it is often scheduled at the next application of the automatic update system, It was not possible to apply such as applying by a certain deadline within the organization. Furthermore, even if the automatic update system is used, if it is an interactive updater, it has to be operated manually, and in the end, it is often done manually. As described above, in the prior art, the patch application method cannot be flexibly changed according to the machine status.

上記特許文献1に記載の発明では、管理しているマシンにパッチを適用することは可能である。しかし、適用するマシンの業務状況を見て自動的に再スケジューリングをするなどの柔軟性がなく、また、サーバからパッチを選択して適用する部分は手動で行うようになっていた。また、上記特許文献1に記載の発明では、クライアントがサーバにポーリング処理を行い、パッチの有無を確認したりするので、ネットワークやクライアントマシンに定期的な処理が必要になっている。   In the invention described in Patent Document 1, it is possible to apply a patch to a managed machine. However, there is no flexibility such as automatically rescheduling according to the business situation of the machine to be applied, and the part to select and apply the patch from the server is manually performed. Further, in the invention described in Patent Document 1, since the client performs polling processing to the server and confirms whether or not there is a patch, periodic processing is required for the network and the client machine.

上記のことから、本発明の目的は、マシンの状況に応じてパッチの適用方法や適用時期を柔軟に変化させ、対話形式などのパッチも自動で適用することである。   In view of the above, an object of the present invention is to flexibly change the patch application method and application time according to the state of the machine, and to automatically apply a patch such as an interactive format.

上記目的を達成するために、本発明のパッチ適用システムは、設定されたジョブネットワークに従ってジョブの実行を制御する運用管理システムが構築されているパッチ管理サーバにおいて、運用管理システムを使用してパッチ適用対象のマシンの負荷状況を取得し、マシンの負荷状況およびパッチの緊急度に基づいてパッチ適用時期を決定し、該決定した適用時期にパッチが適用されるようにスケジューリングしたパッチ適用ジョブネットワークを作成し、作成したパッチ適用ジョブネットワークを実行してパッチを適用する場合に、パッチの適用が失敗したときには当該パッチ適用対象マシンのマシンタイプに応じたリトライ回数および/またはリトライ間隔で当該パッチの適用のリトライを行うようにパッチ適用ジョブネットワークを作成することを特徴とする。 In order to achieve the above object, the patch application system of the present invention uses the operation management system to apply the patch in the patch management server in which the operation management system that controls the execution of jobs according to the set job network is constructed. get the load status of the target machine, the patching time period determined based on the urgency of the load situation and patches machines, patching job network schedules a patch at a time applications and the decisions are applied When applying a patch by executing the created patch application job network and applying the patch, if the patch application fails, apply the patch at the retry count and / or retry interval according to the machine type of the target machine The patch application job network to retry Characterized in that it formed.

本発明によれば、以下の効果が得られる。
・パッチ適用対象マシンに一括してパッチを当てることができる。
・電源がOFFのマシンであっても強制的にパッチを適用できる。
・運用管理システムからパッチ適用処理が実行できるので、業務の処理とパッチ適用処理のタイミングをずらして業務を妨げずにパッチを適用したり、逆に、緊急のパッチを、業務に優先させて強制的に適用したりすることができ、パッチの緊急度やパッチ適用対象マシンの負荷状況に応じて適用時期・適用方法を柔軟に変化させて運用することが可能になる。
・システムの負荷情報を収集することにより、パッチ適用時に負荷状況が高い場合には適用を延期したり、負荷状態が低い時間帯に処理を実行することが可能になる。
・対話操作を含むあらゆる形態のパッチを自動で適用できるようになる。
・人手の作業を減らすことができ、工数削減につながる。
・パッチを適用するマシン側が特に意識しなくても、常に適切なセキュリティ状態を保つことができる。
・運用管理システムを利用してパッチ管理サーバから配信的にパッチを適用することができるので、パッチを適用するマシンの側からパッチ管理サーバにパッチ適用の要否を確認する必要がなく、クライアントマシンのシステム資源やネットワークなどのシステム資源への負荷を低減し、業務を円滑に行うことの利点を得ることができる。 According to the present invention, the following effects can be obtained.
・ Patches can be applied to the target machines at once.
-Patches can be applied forcibly even if the machine is turned off.
-Since patch application processing can be executed from the operation management system, patches can be applied without interfering with the business by shifting the timing of business processing and patch application processing, or conversely, urgent patches can be given priority over business. It is possible to operate the system by changing the application time and application method flexibly according to the urgency of the patch and the load status of the patch application target machine.
-By collecting system load information, it is possible to postpone the application if the load is high at the time of patch application, or to execute processing in a time zone when the load is low.
-Patches of all forms including interactive operations can be automatically applied.
・ Work can be reduced and man-hours can be reduced.
-Even if the machine to which the patch is applied is not particularly conscious, it can always maintain an appropriate security state.
-Since patches can be distributed from the patch management server using the operation management system, there is no need to confirm whether the patch application server needs to apply the patch from the machine to which the patch is applied. It is possible to reduce the load on the system resources such as the system resources and the network, and to obtain the advantages of performing business smoothly.

本発明の一実施形態のパッチ適用システムの構成図1 is a configuration diagram of a patch application system according to an embodiment of the present invention. 管理しているマシンの情報を取得して記憶するマシン情報管理DBのデータ構造図Data structure diagram of the machine information management database that acquires and stores information about managed machines 各マシンと適用するパッチの対応関係を記憶するマシン・パッチ対応表管理DBのデータ構造図Data structure diagram of the machine / patch correspondence table management database that stores the correspondence between each machine and the patch to be applied 本実施形態のパッチ適用システムにおけるパッチ適用方法の例を示す図The figure which shows the example of the patch application method in the patch application system of this embodiment パッチの依存関係を記憶するパッチ依存関係DBのデータ構造図Data structure diagram of the patch dependency DB that stores patch dependencies マシンタイプ別にパラメータを記憶するパッチ管理サーバパラメータDBのデータ構造図Data structure diagram of the patch management server parameter DB that stores parameters by machine type 本実施形態のパッチ適用システムの処理の概要を示すフローチャート(その1)The flowchart which shows the outline | summary of the process of the patch application system of this embodiment (the 1) 本実施形態のパッチ適用システムの処理の概要を示すフローチャート(その2)The flowchart which shows the outline | summary of the process of the patch application system of this embodiment (the 2) 従来のパッチ適用の図Figure of conventional patch application 従来の自動アップデートシステムの図Figure of conventional automatic update system

以下、図面を用いて、本発明の実施の形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明の一実施形態であるパッチ適用システムの構成図である。パッチ管理サーバ(101)は、今回のパッチ適用システムの中核を成す部分であり、パッチを適用する対象のマシン群(102)を管理している。パッチ管理サーバ(101)は、自動もしくは人が運用をし、各ベンダなどのパッチサーバ(103)に対して定期的に新しいパッチの有無を確認してダウンロードしたり、収集した情報からどのようにパッチを適用するかを決めたりする。パッチ管理サーバ(101)とパッチを適用するマシン群(102)には、運用管理システムが構築されている。運用管理システムの実体は、パッチ管理サーバ(101)で稼働するジョブ管理マネージャーと、各パッチ適用対象マシン(102)で稼働するジョブ実行エージェントである。運用管理システムにより、パッチ管理サーバ(101)(ジョブ管理マネージャー)の命令で、パッチ適用対象マシン(102)(ジョブ実行エージェント)にデータを転送したり、転送したプログラムを実行させて情報の取得やパッチ適用を行わせることができる。   FIG. 1 is a configuration diagram of a patch application system according to an embodiment of the present invention. The patch management server (101) is a core part of the current patch application system, and manages a group of machines (102) to which patches are applied. The patch management server (101) is automatically or manually operated by the patch server (103) of each vendor, periodically checking for the presence or absence of new patches, and how to use the collected information. Decide whether to apply a patch. An operation management system is constructed in the patch management server (101) and the machine group (102) to which the patch is applied. The entity of the operation management system is a job management manager that runs on the patch management server (101) and a job execution agent that runs on each patch application target machine (102). The operation management system uses the command of the patch management server (101) (job management manager) to transfer data to the patch application target machine (102) (job execution agent), execute the transferred program, Patch application can be performed.

パッチ管理サーバ(101)は、送受信部(107)によって、LANや公衆回線網など(104)を介して各ベンダや社内サーバなどのパッチサーバ(103)に接続して、パッチを取得する。マシン情報収集部(110)は、情報収集用のプログラムを各パッチ適用対象マシン(102)に転送し実行させる。そのプログラムの出力は、パッチ管理サーバ(101)が受け取る。受け取ったデータは、マシン情報管理DB(105)に保存される。   The patch management server (101) is connected to the patch server (103) such as each vendor or in-house server via the LAN or public line network (104) by the transmission / reception unit (107) to acquire the patch. The machine information collection unit (110) transfers the information collection program to each patch application target machine (102) to be executed. The output of the program is received by the patch management server (101). The received data is stored in the machine information management DB (105).

図2は、マシン情報管理DB(105)のデータ構造(201)を示す。マシン情報管理DB(105)には、各パッチ適用対象マシン(102)から収集した情報を、各マシン毎に格納する。具体的には、当該マシン情報の送信元のパッチ適用対象マシンのホスト名、該パッチ適用対象マシンで稼働しているOSの種類やインストールされているソフト一覧、それらのソフトのバージョン、マウス/キーボードなどの使用率、一定の間隔で採取したマシンの負荷情報などが格納される。   FIG. 2 shows the data structure (201) of the machine information management DB (105). In the machine information management DB (105), information collected from each patch application target machine (102) is stored for each machine. Specifically, the host name of the patch application machine that is the source of the machine information, the type of OS running on the patch application machine, the list of installed software, the version of those software, and the mouse / keyboard Such as usage rate and machine load information collected at regular intervals.

図1のパッチ管理サーバ(101)のジョブ作成部(109)は、上記マシン情報管理DB(105)の情報とパッチの緊急度をもとに、どのマシンに何のパッチを当てるかを決め、それをマシン・パッチ対応表管理DB(106)に格納する。   The job creation unit (109) of the patch management server (101) in FIG. 1 determines which patch is applied to which machine based on the information in the machine information management DB (105) and the urgency level of the patch. It is stored in the machine / patch correspondence table management DB (106).

図3は、マシン・パッチ対応表管理DB(106)のデータ構造(301)を示す。ジョブ作成部(109)における決定に基づいて、マシン・パッチ対応表管理DB(106)には、パッチ適用対象マシンのホスト名と、そのホストに適用すべきパッチのパッチ名を格納する。   FIG. 3 shows the data structure (301) of the machine / patch correspondence table management DB (106). Based on the determination in the job creation unit (109), the machine / patch correspondence table management DB (106) stores the host name of the patch application target machine and the patch name of the patch to be applied to the host.

パッチ管理サーバ(101)から各パッチ適用対象マシン(102)に対するパッチの適用は、運用管理システムを使用して行う。ユーザがジョブネットというジョブの集まりを作成し、運用管理システムにそれを定義し、実行させることによって、やらせたい処理、ここではパッチ適用対象マシン(102)にパッチを適用する処理を行うことができる。実際にジョブネットを実行するタイミングは、マシン情報管理DB(105)に収集されているマシンの負荷情報やパッチの緊急度により決定し、運用管理システムにスケジューリングされる。例えば、緊急でないパッチの適用で、マウス/キーボードの使用率およびCPU使用率が高い(負荷が高い)場合には、そのパッチ適用対象マシンは現在使用されていると判断し、運用管理システムのスケジューリング機能を使い、一定時間後にパッチの適用を試みるようにスケジューリングする。逆に、マウス/キーボードの使用率が高くても、緊急のパッチの場合は、すぐにパッチをパッチ適用対象マシンに適用する。このようにして、パッチ適用対象マシンの負荷状況やパッチの緊急度に応じて、パッチの適用時期を柔軟に変化させることができる。   Patch application from the patch management server (101) to each patch application target machine (102) is performed using an operation management system. When a user creates a collection of jobs called job nets, defines them in the operation management system, and executes them, the user can perform the processing he wants to do, in this case the processing to apply patches to the patch application target machine (102). . The actual execution timing of the job net is determined by the machine load information collected in the machine information management DB (105) and the urgency level of the patch, and is scheduled in the operation management system. For example, when a non-emergency patch is applied and the mouse / keyboard usage rate and CPU usage rate are high (the load is high), it is determined that the patch application target machine is currently in use, and the operation management system scheduling is performed. Use the function to schedule a patch attempt after a certain time. Conversely, even if the usage rate of the mouse / keyboard is high, in the case of an urgent patch, the patch is immediately applied to the patch application target machine. In this manner, the patch application time can be flexibly changed according to the load status of the patch application target machine and the urgency level of the patch.

図4は、パッチ管理サーバ(101)がパッチ適用対象マシン(102)にパッチ適用を行うためのパッチ適用ジョブネットを実行させる様子を示す概念図である。パッチ管理サーバ(101)の命令で、パッチ適用対象マシン(102)上の運用管理システムで処理している業務用ジョブネット(401)を一時的に中断させ、パッチ適用ジョブネット(402)を実行し終えたあと、業務用ジョブネット(401)を再開させるなど、柔軟な方法でパッチを適用させることができる。   FIG. 4 is a conceptual diagram showing how the patch management server (101) executes a patch application job net for applying a patch to the patch application target machine (102). The job management job net (401) processed by the operation management system on the patch application target machine (102) is temporarily suspended by the command of the patch management server (101), and the patch application job net (402) is executed. After finishing, you can apply the patch in a flexible way, such as restarting the business job net (401).

このようなパッチ適用ジョブネットは、ジョブ作成部(109)が、マシン・パッチ対応表管理DB(106)、パッチ管理サーバパラメータDB(111)、パッチ依存関係DB(112)、およびパッチのアップデータの形式に基づいて、柔軟に適用時期や適用方法を決定して、作成する。作成したパッチ適用ジョブネットは、ジョブ管理部(108)が保持する。ジョブ管理部(108)は、保持しているパッチ適用ジョブネットを、スケジューリングされたタイミングで実行する。パッチ適用ジョブネットが実行されることにより、パッチ適用対象マシン(102)にパッチのアップデータが転送・実行され、上述したように決定された適用時期や適用方法でパッチが適用される。これが終わると、パッチ適用が完了したことになる。   In such a patch application job net, the job creation unit (109) has a machine / patch correspondence table management DB (106), a patch management server parameter DB (111), a patch dependency DB (112), and a patch updater. Based on the format, the application time and application method are determined flexibly and created. The created patch application job net is held by the job management unit (108). The job management unit (108) executes the held patch application job net at the scheduled timing. By executing the patch application job net, the patch updater is transferred and executed to the patch application target machine (102), and the patch is applied at the application time and application method determined as described above. When this is done, patching is complete.

ここで、本パッチ適用システムが、柔軟に適用方法を変化させることができる例を説明する。まず、パッチの依存関係を考慮し、パッチ適用失敗時にはリトライを行う例を説明する。   Here, an example will be described in which the patch application system can change the application method flexibly. First, an example of performing a retry when patch application has failed in consideration of patch dependency will be described.

パッチ適用のためのジョブネットを作成する際には、パッチの依存関係を考慮する必要がある。例えば、Bというパッチは、事前にAというパッチを適用した後にのみ適用できるというものである。AとBのパッチを同時に適用すると判断した場合、必ずパッチA→パッチBの順番で適用するように、ジョブネットを作成しなければならない。パッチの依存関係の確認は、手動または自動でパッチ管理サーバ(101)が行い、得られた依存関係はパッチ依存関係DB(112)に格納する。   When creating a job net for patch application, it is necessary to consider patch dependencies. For example, the patch B can be applied only after applying the patch A in advance. If it is determined that the A and B patches are applied at the same time, the job net must be created so that the patches are applied in the order of patch A → patch B. The patch management server (101) manually or automatically confirms the dependency of the patch, and the obtained dependency is stored in the patch dependency DB (112).

図5に、パッチ依存関係DB(112)のデータ構造(501)を示す。各パッチのパッチ名に対応して依存関係が格納されている。例えば、MudOS 2008 Service Pack 2は、MudOS 2008 Service Pack 1を適用した後に適用しなければならないことが分る。   FIG. 5 shows the data structure (501) of the patch dependency DB (112). Dependencies are stored corresponding to the patch names of the patches. For example, it can be seen that MudOS 2008 Service Pack 2 must be applied after applying MudOS 2008 Service Pack 1.

ジョブ作成部(109)は、パッチ適用ジョブネットを、このパッチ依存関係DB(112)の内容を見ながら、作成する。すなわち、ジョブ作成部(109)は、あるパッチAを適用するジョブネットを作成するとき、まず図5のパッチ依存関係DB(112)から当該パッチAを探す。1つ以上の依存関係が見つかった場合、いったんパッチAを適用するためのジョブネットの作成を中断する。見つかった依存パッチをパッチBとすると、パッチBを適用するジョブネットを作成するために、今度はパッチBの依存関係を図5のパッチ依存関係DB(112)から探し、依存関係が見つかった場合は、再び見つかったパッチがパッチ依存関係DB(112)にあるかどうかを探す。このように再帰的に依存関係を探していき、最終的に依存関係が見つからなくなったら、そのパッチを適用するジョブネットを作る。ジョブネットの作成が完了したら、前に中断していたジョブネットを作成し、順番に実行されるように関連線を設定する。一つずつ前に作成を中断していたジョブネットを作成していき、意図した順番にパッチが当たるように関連線を設定し、作成を中断していたジョブネットがなくなったら、正しい順番でパッチを適用するジョブネットが完成したことになる。   The job creation unit (109) creates a patch application job net while looking at the contents of the patch dependency DB (112). That is, when creating a job net to which a certain patch A is applied, the job creation unit (109) first searches for the patch A from the patch dependency DB (112) in FIG. If one or more dependencies are found, the creation of the job net for applying patch A is suspended. When the found dependency patch is patch B, in order to create a job net to apply patch B, the dependency relationship of patch B is searched from the patch dependency DB (112) in FIG. 5 and the dependency relationship is found. Searches for the patch found again in the patch dependency DB (112). In this way, the dependency relationship is searched recursively, and if the dependency relationship is finally not found, a job net to which the patch is applied is created. When the job net creation is completed, create the job net that was interrupted before and set the relation lines so that they are executed in order. Create job nets that were interrupted one by one before, set the relation lines so that the patches are applied in the intended order, and when there are no job nets that were interrupted, patch them in the correct order. The job net to apply is completed.

また、パッチ適用ジョブネットによるパッチ適用に失敗した場合は、運用管理システムが自動的にリトライを行う。パッチ適用の失敗にはネットワーク障害や、パッチ適用対象マシンの電源がダウンするなど様々な症状があるので、リトライ回数の上限や、リトライ間隔などを設定しておくべきである。リトライ回数の上限などの情報は、パッチ管理サーバ(101)で適切に決定し、その内容はパッチ管理サーバパラメータDB(111)に格納しておく。   In addition, when patch application by the patch application job net fails, the operation management system automatically retries. There are various symptoms such as a network failure and the power supply of the patch application machine going down in the failure of patch application, so you should set the upper limit of retry times, retry interval, etc. Information such as the upper limit of the number of retries is appropriately determined by the patch management server (101), and the contents are stored in the patch management server parameter DB (111).

図6に、パッチ管理サーバパラメータDB(111)のデータ構造(601)を示す。パッチ適用対象マシン(102)のマシンタイプ別に、リトライ回数を格納しておく。これにより、パッチ適用を重視すべきマシンはリトライ回数を多くして例えば10回とし、普通のマシンは例えば5回とする、などの設定が可能である。   FIG. 6 shows the data structure (601) of the patch management server parameter DB (111). The number of retries is stored for each machine type of the patch application target machine (102). As a result, it is possible to set such that the number of retries is increased to, for example, 10 for machines that should focus on patch application, and that for ordinary machines, for example, 5 times.

パッチを適用できなかったマシン名とパッチ名は、パッチ管理サーバ(101)のエラーログに記録される。リトライは、指定された回数リトライを行うような構造のパッチ適用ジョブネットを作成することで実現する。具体的にパッチ適用ジョブネットの構造を説明する。まず、パッチを適用するジョブが失敗した場合でも、そこで処理を終了させずに失敗時のフローを実行させるようにする。失敗時のフローの内容は、パッチを適用する予定だったマシン名、パッチ名、その他失敗した原因などをエラーログに出力したり、適当な時間待った後、該当マシンのパッチのリトライカウントを増やし、リトライ上限数を超えていなければ再びパッチ適用のジョブネットを実行する、というような内容である。リトライ上限数を超えていた場合、エラーログにパッチを適用できなかった内容を出力するなどの処理を行う。   The machine name and patch name to which the patch could not be applied are recorded in the error log of the patch management server (101). Retries are realized by creating a patch application job net structured to retry the specified number of times. Specifically, the structure of the patch application job net will be described. First, even when a job to apply a patch fails, the flow at the time of failure is executed without ending the process. The contents of the flow at the time of failure are output to the error log, such as the name of the machine to which the patch was scheduled to be applied, the patch name, and the cause of the failure, etc. If the upper limit number of retries is not exceeded, the patch application job net is executed again. If the maximum number of retries has been exceeded, perform processing such as outputting the contents that could not be applied to the error log.

また、各ベンダなどのパッチサーバ(103)から取得したパッチのアップデータによっては、そのパッチを適用する際に、ユーザによるオプションなどの選択が必要だったり、対話形式だったりする場合がある。この場合は、パッチ管理サーバ(101)のジョブ作成部(109)が、がパッチのアップデータから聞かれていることに自動的に適切に答えるようなプログラムを作り、それをジョブネットに組み込むことによって、あらゆる形態のパッチを自動で当てることが実現できる。例えば、パッチのアップデータがGUIプログラムであり、起動すると、ユーザが複数の項目からいくつかを選択した後、適用のボタンを押すことが必要であるとする。この場合は、あらかじめどの項目を選択するかを決め、プログラムからアップデータのハンドルを取得するなどの処理を行いチェックボックスやボタンを操作するプログラムを作っておく。そして、ジョブ作成部(109)は、このプログラムを利用するパッチ適用ジョブネットを作成する。これにより、当該パッチ適用ジョブネットを実行すれば、前記プログラムが自動的にチェックボックスやボタンなどの操作を行うので、結果としてどんな形式のパッチでも適用できる。   In addition, depending on the patch updater acquired from the patch server (103) of each vendor or the like, the user may need to select an option or the like when applying the patch, or may be interactive. In this case, the job creation unit (109) of the patch management server (101) creates a program that automatically responds appropriately to what is heard from the patch updater, and incorporates it into the job net. All forms of patches can be applied automatically. For example, it is assumed that the patch updater is a GUI program, and when activated, the user needs to select some of a plurality of items and then press an application button. In this case, the idea to make a program in advance which decide whether to select an item, to operate the check box or button performs the processing, such as to get the handle of the updater from the program. Then, the job creation unit (109) creates a patch application job net that uses this program. As a result, when the patch application job net is executed, the program automatically performs operations such as check boxes and buttons, and as a result, any type of patch can be applied.

図7aおよび図7bは、本実施形態のパッチ適用システムにおけるパッチ適用の処理手順を示すフローチャートである。パッチ管理サーバ(101)は、ベンダや社内などのパッチサーバ(103)上に新しいパッチを確認したら(ステップ701)、そのパッチについて自動または手動で適用が必要かどうかを判断し、必要な場合は当該パッチサーバ(103)からパッチをダウンロードする(ステップ702)。パッチ適用対象マシン(102)に当該パッチを当てるかどうかを決めるため、パッチ管理サーバ(101)は、マシン情報収集部(110)を使用して情報収集ツールを各パッチ適用対象マシン(102)に転送し実行させて(ステップ703)、その実行結果を受け取り、図2のマシン情報管理DB(105)に登録する(ステップ704)。ジョブ作成部(109)は、マシン情報管理DB(105)の内容と当該パッチの緊急度から、どのマシンに何のパッチを適用するかを決めて(ステップ705)、図3のマシン・パッチ対応表管理DB(106)に登録する(ステップ706)。また、ジョブ作成部(109)は、マシン・パッチ対応表管理DB(106)の内容、図6のパッチ管理サーバパラメータDB(111)のリトライ回数などの情報、図5のパッチ依存関係DB(112)の内容、マシン情報管理DB(105)に格納されているマシンの負荷情報、およびパッチのアップデータの形式などをもとに、パッチ適用ジョブネットとその実行スケジュールを作成し、運用管理システムにスケジューリングする(ステップ707)。スケジューリングされたパッチ適用ジョブネットが実行されると、パッチの適用が開始する(ステップ708)。最後に、必要に応じて後始末処理を行う(ステップ709)。   7a and 7b are flowcharts showing a patch application processing procedure in the patch application system of this embodiment. When the patch management server (101) confirms a new patch on the patch server (103) such as a vendor or in-house (step 701), the patch management server (101) determines whether the patch needs to be applied automatically or manually. A patch is downloaded from the patch server (103) (step 702). In order to determine whether to apply the patch to the patch application target machine (102), the patch management server (101) uses the machine information collection unit (110) to install the information collection tool to each patch application target machine (102). The data is transferred and executed (step 703), and the execution result is received and registered in the machine information management DB (105) of FIG. 2 (step 704). The job creation unit (109) determines which patch to apply to which machine based on the contents of the machine information management DB (105) and the urgency level of the patch (step 705), and supports the machine patch shown in FIG. Register in the table management DB (106) (step 706). The job creation unit (109) also includes information such as the contents of the machine / patch correspondence table management DB (106), the number of retries in the patch management server parameter DB (111) in FIG. 6, and the patch dependency DB (112) in FIG. ), Machine load information stored in the machine information management DB (105), patch updater format, etc., create a patch application job net and its execution schedule, and schedule it in the operation management system (Step 707). When the scheduled patch application job net is executed, patch application starts (step 708). Finally, cleanup processing is performed as necessary (step 709).

101:パッチ管理サーバ、102:パッチ適用対象マシン、103:ベンダのパッチサーバや社内のパッチサーバなど、104:LANや公衆回線網など、105:マシン情報管理DB、106:マシン・パッチ対応表管理DB、107:通信を行う送受信部、108:ジョブ管理部、109:ジョブ作成部、110:マシン情報収集部、111:パッチ管理サーバパラメータDB、112:パッチ依存関係DB、201:マシン情報管理DBのデータ構成例、301:マシン・パッチ対応表管理DBのデータ構成例、401:パッチ適用対象マシン上で実行している業務処理を行うジョブネット、402:パッチ適用対象マシン上で実行するパッチ適用を行うジョブネット、501:パッチ依存関係DB、601:パッチ管理サーバパラメータDBのデータ構成例、701〜709:本システムによるパッチ適用の流れ、801:従来のパッチ適用依頼、802:パッチ適用対象マシン、803:LANや公衆回線網など、804:ベンダのパッチサーバ、901:パッチ適用対象マシン内の特定の製品を表す図、902:LANや公衆回線網など、903:特定のベンダのパッチサーバ。   101: Patch management server, 102: Patch application machine, 103: Vendor patch server and in-house patch server, 104: LAN and public network, 105: Machine information management DB, 106: Machine / patch correspondence table management DB, 107: Transmission / reception unit for communication, 108: Job management unit, 109: Job creation unit, 110: Machine information collection unit, 111: Patch management server parameter DB, 112: Patch dependency DB, 201: Machine information management DB Data configuration example, 301: Data configuration example of machine / patch correspondence table management database, 401: Job net for performing business processing executed on the patch application target machine, 402: Patch application executed on the patch application target machine 501: Patch dependency DB, 601: Patch management server parameter DB data configuration example, 701 to 709: Flow of patch application by this system, 801: Conventional patch application request, 802: Patch target machine, 803: LAN or public line network, etc., 804: Vendor patch server, 901: Diagram showing specific products in the patch application machine, 902: LAN, public line network, etc., 903: Specific vendor Patch server.

Claims (1)

ネットワークに接続された、パッチを格納するパッチサーバと、パッチを適用する対象であるパッチ適用対象マシンと、該パッチ適用対象マシンに対するパッチの適用を管理するパッチ管理サーバとを備えるパッチ適用システムであって、
前記パッチ管理サーバと前記パッチ適用対象マシンには、前記パッチ管理サーバで作成され実行されたジョブネットワークに従って前記パッチ適用対象マシンによるジョブの実行を制御する運用管理システムが構築されており、
前記パッチ管理サーバは、
前記パッチサーバに新規のパッチが登録されたことを検出し、該検出した新規のパッチをダウンロードする手段と、
前記運用管理システムを用いて、前記パッチ適用対象マシンの負荷状況を取得するマシン情報収集手段と、
前記ダウンロードしたパッチの緊急度と前記パッチ適用対象マシンの負荷状況に基づいて、当該パッチの適用時期を決定し、該決定した適用時期にパッチが適用されるようにスケジューリングしたパッチ適用ジョブネットワークを作成するジョブ作成手段と、
作成したパッチ適用ジョブネットワークを実行して、前記パッチ適用対象マシンに対してパッチを適用するジョブ管理手段と
前記パッチ適用対象マシンのマシンタイプ別にリトライ回数および/またはリトライ間隔に関するパラメータを記憶するパラメータ記憶手段と
を備え、
前記ジョブ作成手段は、前記パッチの適用が失敗した場合に前記パラメータ記憶手段に記憶されている当該パッチ適用対象マシンのマシンタイプに応じたリトライ回数および/またはリトライ間隔で当該パッチの適用のリトライを行うようなパッチ適用ジョブネットワークを、作成するものであることを特徴とするパッチ適用システム。 A patch application system including a patch server that stores patches, a patch application target machine to which a patch is applied, and a patch management server that manages the application of patches to the patch application machine connected to a network. And
In the patch management server and the patch application target machine, an operation management system that controls execution of jobs by the patch application target machine according to a job network created and executed by the patch management server is constructed,
The patch management server
Means for detecting that a new patch is registered in the patch server, and downloading the detected new patch;
Using the operation management system, machine information collection means for acquiring the load status of the patch application target machine,
Based on the load status of urgency and the patched machine downloaded patches above, determine the application time period of the patch, the patch job network schedules a patch at a time applications and the decisions are applied Job creation means to create,
Job management means for executing the created patch application job network and applying a patch to the patch application target machine ;
Parameter storage means for storing parameters relating to the number of retries and / or retry intervals for each machine type of the patch application target machine;
With
When the application of the patch fails, the job creation unit retries application of the patch at a retry count and / or retry interval corresponding to the machine type of the patch application target machine stored in the parameter storage unit. A patch application system for creating a patch application job network to be performed .
JP2009102149A 2009-04-20 2009-04-20 Patch application system Expired - Fee Related JP5371095B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009102149A JP5371095B2 (en) 2009-04-20 2009-04-20 Patch application system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009102149A JP5371095B2 (en) 2009-04-20 2009-04-20 Patch application system

Publications (2)

Publication Number Publication Date
JP2010250749A JP2010250749A (en) 2010-11-04
JP5371095B2 true JP5371095B2 (en) 2013-12-18

Family

ID=43312973

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009102149A Expired - Fee Related JP5371095B2 (en) 2009-04-20 2009-04-20 Patch application system

Country Status (1)

Country Link
JP (1) JP5371095B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012070081A1 (en) * 2010-11-24 2012-05-31 株式会社日立製作所 Computer system, computer system program replacement method, and program replacement processing program
WO2012169058A1 (en) * 2011-06-10 2012-12-13 株式会社 日立製作所 Data distribution system, data distribution method, and data distribution program
JP5586551B2 (en) * 2011-09-21 2014-09-10 東芝テック株式会社 Computer system and job control method
JP5928707B2 (en) * 2012-05-01 2016-06-01 株式会社日立製作所 Security policy distribution execution system and security policy execution method
JP6213053B2 (en) 2012-09-04 2017-10-18 富士通株式会社 Program, information processing apparatus, and schedule determination method
JP5768870B2 (en) 2013-12-25 2015-08-26 日本電気株式会社 PROGRAM DISTRIBUTION DEVICE, PROGRAM DISTRIBUTION METHOD, PROGRAM DISTRIBUTION SYSTEM, AND COMPUTER PROGRAM
JP2016053845A (en) * 2014-09-03 2016-04-14 東芝テック株式会社 Information processor and program
JP6716995B2 (en) * 2016-03-29 2020-07-01 日本電気株式会社 Information processing apparatus, information processing method, and program
JP6795389B2 (en) * 2016-12-16 2020-12-02 株式会社Subaru In-vehicle data updater
JP7453933B2 (en) 2021-03-19 2024-03-21 Kddi株式会社 Message delivery device, message delivery method, and message delivery program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3058081B2 (en) * 1996-03-30 2000-07-04 日本電気株式会社 Online transaction processing system
JPH11143613A (en) * 1997-11-11 1999-05-28 Nec Mobile Commun Ltd System for automatically setting application constitution
JP2006178892A (en) * 2004-12-24 2006-07-06 Fuji Xerox Co Ltd Software update device and method
JP2007004412A (en) * 2005-06-23 2007-01-11 Hitachi Ltd Branch office system
JP2007219571A (en) * 2006-02-14 2007-08-30 Hitachi Ltd Storage controller and storage system
JP2008204208A (en) * 2007-02-21 2008-09-04 Nec Corp Automatic generation system of patch application procedure, automatic generation method of patch application procedure and program

Also Published As

Publication number Publication date
JP2010250749A (en) 2010-11-04

Similar Documents

Publication Publication Date Title
JP5371095B2 (en) Patch application system
US10540159B2 (en) Model-based virtual system provisioning
JP5367074B2 (en) Virtual machine and application life cycle synchronization
US9851989B2 (en) Methods and apparatus to manage virtual machines
US7937697B2 (en) Method, system and computer program for distributing software patches
US9383993B2 (en) Enterprise wide software version recommendation
JP5691390B2 (en) Power supply and program
JP5657475B2 (en) Operation management apparatus and method
KR20110082147A (en) Computer system, method, and computer program for managing batch job
CN1992723A (en) Apparatus, system, and method for autonomously preserving high-availability network boot services
JP2011123881A (en) Performing workflow having a set of dependency-related predefined activities on a plurality of task servers
JP2011060237A (en) Device and system for supporting program introduction, method and program for controlling display, and recording medium with the program recorded
JP2010009552A (en) Computer system for backing up software constituent elements, method therefor, and computer program
US9921882B2 (en) Information processing system, deployment method, processing device, and deployment device
CN111831424B (en) Task processing method, system and device
JP2001356912A (en) Install/update/uninstall system of software
JP7027809B2 (en) Update system
JP2007140791A (en) Job execution management method, job execution management system and job execution management program
JP2013145504A (en) Distribution server, monitoring device, image processing apparatus, control method of distribution server and program
US20090089772A1 (en) Arrangement for scheduling jobs with rules and events
JP5380895B2 (en) Management program, management method and management apparatus
JP2009020609A (en) Image forming apparatus, program control method, and program
US20150089490A1 (en) Information processing system, information processing apparatus, device, software installation method, and storage medium
JP2011060142A (en) Integrated management device, integrated management system, integrated management method, integrated management program, and recording medium with the program recorded thereon
JP2005301379A (en) Software resources management method and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130131

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130816

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130913

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees