JP5397192B2 - メッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法 - Google Patents
メッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法 Download PDFInfo
- Publication number
- JP5397192B2 JP5397192B2 JP2009271219A JP2009271219A JP5397192B2 JP 5397192 B2 JP5397192 B2 JP 5397192B2 JP 2009271219 A JP2009271219 A JP 2009271219A JP 2009271219 A JP2009271219 A JP 2009271219A JP 5397192 B2 JP5397192 B2 JP 5397192B2
- Authority
- JP
- Japan
- Prior art keywords
- attribute
- message
- messages
- group
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は,複数の監視対象の情報処理装置が送受信するメッセージを,一連の処理ごとのグループに分類するために用いる属性を求めるメッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法に関するものである。
外部からのリクエストに対して複数の情報処理装置が互いにメッセージをやり取りして処理を行うIT(Information Technology)システム全体の動作を外部から観測し,リアルタイムで可視化するシステム可視化と呼ばれる技術がある。
このようなシステム可視化の技術では,例えば,監視対象のITシステムの情報処理装置が送受信するメッセージがポートミラーリング等の技術により収集され,得られたメッセージ集合がリアルタイムにトランザクションごとにまとめられる。ここでは,外部からのリクエストを処理するための関連する複数の処理を,一つの処理単位としてまとめたものを,トランザクションと呼ぶ。トランザクションごとにまとめられたメッセージに基づいて,メッセージフローや処理時間などの分析を行うことで,監視対象のITシステムにおける障害の予測や,障害の早期検出等が行われる。
収集されたメッセージ集合をトランザクションごとにまとめるときに,トランザクションIDのようなトランザクションごとに共通な識別情報をメッセージが持っていれば,その情報をもとに各メッセージをまとめることができる。しかし,すべてのITシステムで,トランザクションごとの識別情報が用いられているわけではない。
ITシステムでやり取りされるメッセージは,それぞれが様々なパラメータを持っている。例えばネット販売等において,クライアント端末からITシステムに送られるリクエストメッセージは,ユーザIDや商品番号,価格等のパラメータを持っている。以下では,メッセージが持つパラメータを属性と呼び,その値を属性値と呼ぶ。共通の属性値を持つメッセージは,同じトランザクションでやり取りされたメッセージである可能性が高い。そのため,メッセージ間で共通する属性値で,メッセージ集合をトランザクションごとにまとめることができる。
なお,開始リクエストのリクエストコンテキストと関連する情報を,リクエストID(上記のトランザクションIDに相当する)に基いて,開始リクエストと関連付ける技術が知られている。また,複数のサーバより構成されるシステムの性能監視の処理を行う前段階として,対象となるデータの関連が深いものをまとめる名寄せ処理で,入力データに含まれるパラメータとその値の組と,応答時間の関係を結びつけたダイヤグラムを表示する技術が知られている。
上述のように,メッセージ間で共通する属性値でリアルタイムに関連するメッセージ同士をトランザクションごとにまとめる場合には,どの属性を用いてメッセージをまとめるのかを,あらかじめ決めておく必要がある。システム監視の技術者は,例えば,監視対象のITシステムの仕様書を読んだり,監視対象のITシステムを運用する顧客に話を聞いたりしながら,メッセージをトランザクションごとにまとめる処理に使用するのに最適と思われる属性やその組合せを決定する。
例えば上記のトランザクションIDなどのトランザクションごとに一意となる属性があれば,異なるトランザクションでは常に異なる値となるので,メッセージをトランザクションごとにまとめる処理に使用する属性として問題はない。しかし,例えば上記のユーザIDなどの属性は,異なるトランザクションでも同じ値となる場合があり,必ずしもトランザクションごとにメッセージを分類するのに適した属性とはならない。そのような中で,ITシステムでやり取りされる多数のメッセージに含まれる多数の属性から,メッセージをトランザクションごとにまとめる処理に使用する,適切な属性やその組合せを選択することは,非常に困難である。
また,メッセージをトランザクションごとにまとめる処理に適切と思われる属性を決めて,実運用時のITシステムから得られたメッセージ集合に対してその処理を実行したものとする。しかし,トランザクションごとのメッセージの分類結果の正解を知っているわけではないので,決定された属性を用いた処理によって正しくメッセージがまとめられたか否かを評価することは,非常に困難である。
本発明は,上記の問題の解決を図り,ITシステムが有する複数の情報処理装置で送受信されたメッセージをトランザクションごとに分類する処理に適切な属性の集合を,自動的に求めることが可能となる技術を提供することを目的とする。
複数の監視対象の情報処理装置が送受信するメッセージをグループに分類するための属性集合を求めるメッセージ分類用属性選択装置は,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージを記憶するメッセージ集合記憶部と,メッセージ集合記憶部に記憶されたメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する開始メッセージ抽出部と,メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する属性候補抽出部と,メッセージ集合記憶部に記憶されたメッセージを,属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,開始メッセージを複数含むグループ,開始メッセージより時間的に前のメッセージが存在するグループまたは開始メッセージを含まないグループを分類誤りとして,分類誤りを生じさせない属性集合を求める属性集合生成部とを備える。
上記の技術によって,監視対象のITシステムから収集されたメッセージ集合をトランザクションごとにまとめる処理に使用する適切な属性集合を,自動的に求めることができるようになる。このとき得られる属性集合は,トランザクションごとのメッセージの分類結果に対する開始メッセージに基づいた評価が行われたものであるので,その属性集合を用いたメッセージの分類処理の精度は高いものとなる。
以下,本実施の形態について,図を用いて説明する。
図1は,監視対象のITシステムからのメッセージの収集を示す図である。
図1に示すITシステム500は,Web3階層モデルのITシステム500の例である。ITシステム500は,複数のWebサーバ510,AP(Application )サーバ520,DB(Database)サーバ530等の情報処理装置を有する。ITシステム500では,ユーザPC(Personal Computer )などの外部のクライアント端末600からのリクエストに対する一連の業務処理が,分散処理によって行われる。以下では,クライアント端末600からのリクエストに対する一連の処理を,トランザクションと呼ぶ。
トランザクションにおける一連の処理におけるメッセージの送受信は,最もシンプルな例を1つ挙げると,例えば次のような流れになる。
・Webサーバ510が,外部のクライアント端末600からリクエストのメッセージαを受ける。
・外部のクライアント端末600からメッセージαを受けたWebサーバ510が,APサーバ520にメッセージβを送る。
・Webサーバ510からメッセージβを受けたAPサーバ520が,DBサーバ530にメッセージγを送る。
・APサーバ520からメッセージγを受けたDBサーバ530が,APサーバ520に応答のメッセージγ’を返す。
・DBサーバ530からメッセージγ’を受けたAPサーバ520が,Webサーバ510にメッセージβ’を返す。
・APサーバ520からメッセージβ’を受けたWebサーバ510が,クライアント端末600にメッセージα’を返す。
ITシステム500の監視では,ITシステム500が有する監視対象の情報処理装置が送受信するメッセージが,ポートミラーリング等の技術によって,システム監視装置700に収集される。ポートミラーリングでは,各情報処理装置間に配置されたスイッチ(図示省略)のミラーポートから,各情報処理装置が送受信するメッセージのコピーが集められる。システム監視装置700では,収集されたメッセージ集合がリアルタイムでトランザクションごとのメッセージに分けられ,メッセージフローや処理時間を分析することで,監視対象のITシステムにおける障害の予測や,障害の早期検出等が行われる。
収集されたメッセージ集合をトランザクションごとのメッセージにまとめる処理では,メッセージが持つ属性のデータが用いられる。より具体的には,あらかじめ決められた属性の値が共通であるメッセージ同士が,同じトランザクションに属するメッセージとしてまとめられる。
しかし,ITシステム500の規模によっては,ITシステム500内で扱われるメッセージに含まれる属性も多種となり,その中からメッセージをトランザクションごとにまとめる処理に使用する適切な属性やその組合せを選択することは,困難である。また,使用する属性を決めて,実運用時のITシステムから得られたメッセージ集合に対して分類の処理を行っても,トランザクションごとのメッセージ分類の正解を知っているわけではないので,適切な属性を用いて処理を行えたか否かを評価することができない。
以下では,監視対象のITシステム500から収集されたメッセージの集合をトランザクションごとにまとめる処理に用いる適切な属性や属性の組合せを,自動的に求めることが可能な本実施の形態の属性選択装置について説明する。
図2は,本実施の形態による属性選択装置の例を示す図である。
図2において,属性選択装置10は,複数の監視対象の情報処理装置が過去に送受信したメッセージに含まれる属性から,複数の監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合を選択する。属性選択装置10は,入力部11,開始メッセージ抽出部12,属性候補抽出部13,属性集合生成部14,属性評価部15,メッセージ集合分類部16,属性集合出力部17を備える。また,属性選択装置10は,メッセージ集合記憶部110,システム構成情報記憶部120,開始メッセージ情報記憶部130,属性候補情報記憶部140を備える。属性選択装置10および属性選択装置10が備える各機能部は,コンピュータが備えるCPU(Central Processing Unit ),メモリ等のハードウェアとソフトウェアプログラムとにより実現される。
入力部11は,データ記憶部20から,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージの集合であるメッセージ集合と,監視対象の情報処理装置を特定する情報であるシステム構成情報とを取得する。なお,データ記憶部20は,メッセージ集合やシステム構成情報が保持された記憶装置である。
本実施の形態において,データ記憶部20に保持されたメッセージ集合は,例えば,図1に示す監視対象のITシステム500から収集された,各Webサーバ510,APサーバ520,DBサーバ530が過去のある一定期間に送受信した,複数のメッセージの集合である。また,データ記憶部20に保持されたシステム構成情報は,例えば,図1に示す監視対象のITシステム500が備える,監視対象である各サーバのIPアドレスのリスト情報などである。
入力されたメッセージ集合は,メッセージ集合記憶部110に記憶される。メッセージ集合記憶部110は,複数の監視対象の情報処理装置が過去のある期間に送受信した複数のメッセージの集合を記憶する,コンピュータがアクセス可能な記憶装置である。
入力されたシステム構成情報は,システム構成情報記憶部120に記憶される。システム構成情報記憶部120は,監視対象の情報処理装置を特定するシステム構成情報を記憶する,コンピュータがアクセス可能な記憶装置である。
開始メッセージ抽出部12は,システム構成情報記憶部120に記憶されたシステム構成情報に基づいて,メッセージ集合記憶部110に記憶されたメッセージ集合から,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージを,開始メッセージとして抽出する。
開始メッセージは,トランザクションにおける最初のメッセージである。例えば,図1に示すITシステム500において,トランザクションにおける最初のメッセージは,監視対象外であるクライアント端末600からITシステム500に対して送信されたリクエストのメッセージαである。このリクエストのメッセージαにおける送信元アドレスは,クライアント端末600のアドレスとなる。システム構成情報として,ITシステム500が有する監視対象の各サーバのアドレスのリストがあれば,そのリストに含まれていないアドレスが,監視対象外のクライアント端末600のアドレスである。この場合,開始メッセージ抽出部12は,与えられたメッセージ集合から,システム構成情報のリストにないアドレスが送信元アドレスとなっているメッセージを,開始メッセージとして抽出する。
抽出された開始メッセージは,開始メッセージ情報記憶部130に記憶される。開始メッセージ情報記憶部130は,開始メッセージの情報を記憶する,コンピュータがアクセス可能な記憶装置である。
属性候補抽出部13は,メッセージ集合記憶部110に記憶されたメッセージ集合のメッセージに含まれる属性から,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補を抽出する。
例えば,1つのメッセージにしか現れない属性を用いてメッセージ集合の分類処理を行っても,複数のメッセージをグループにまとめることはできない。また,複数のメッセージに現れる属性であっても,そのすべてのメッセージで属性値が異なる場合には,その属性を用いてメッセージ集合の分類処理を行っても,複数のメッセージをグループにまとめることはできない。属性候補抽出部13は,複数のメッセージで同じ属性値を持つ属性を,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補として抽出する。
抽出された属性候補の集合は,属性候補情報記憶部140に記憶される。属性候補情報記憶部140は,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補の情報を記憶する,コンピュータがアクセス可能な記憶装置である。
属性集合生成部14は,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性を,属性候補情報記憶部140に記憶された属性候補の集合から選択し,選択された属性の集合を生成する。
ここで得られる属性集合は,実際に監視対象のITシステム500から収集されたメッセージ集合をリアルタイムで分類する処理で用いるための,1つの属性または複数の属性の組合せとなる。属性集合が1つの属性である場合には,その属性集合を用いてまとめられたメッセージのグループは,その1つの属性の値が互いに共通するメッセージ同士のグループとなる。また,属性集合が複数の属性の組合せである場合には,その属性集合を用いてまとめられたメッセージのグループは,その属性集合に含まれる複数の属性のうちのいずれかの属性の値が互いに共通するメッセージ同士の和集合となる。
属性集合生成部14は,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合を選択する際に,メッセージ集合記憶部110に記憶されたメッセージ集合を,候補である属性の集合を用いて仮に分類したときの評価結果の判断を行う。
メッセージ集合をある属性集合でまとめたときの結果として得られる複数のメッセージグループは,開始メッセージに着目して,次の3つのタイプに分けることができる。
1)開始メッセージが複数含まれる,または開始メッセージよりも時間的に前のメッセージが存在するグループ。
2)開始メッセージが1つも含まれないグループ。
3)開始メッセージを1つだけ含み,その開始メッセージが時間的に先頭のメッセージであるグループ。
これらのグループのうち,1)のタイプと2)のタイプのグループは,トランザクションごとにまとめられたメッセージのグループとしては,明らかに誤ったグループである。1)のタイプについては,1つのトランザクションに開始メッセージが複数含まれることはなく,また,開始メッセージより時間的に前のメッセージが存在するトランザクションはない,という理由である。2)のタイプについては,開始メッセージが存在しないトランザクションはない,という理由である。以下では,1)のタイプを誤りタイプ1と呼び,2)のタイプを誤りタイプ2と呼ぶ。
なお,3)のタイプのグループは,トランザクションごとにまとめられたメッセージのグループとして正しいグループと,誤ったグループとの両方の可能性がある。3)のタイプのグループは,1つのトランザクションが1つの開始メッセージを有する,トランザクションにおける時間的に最初のメッセージは開始メッセージである,という意味においては,トランザクションとして正しいグループであると言える。ただし,3)のタイプのグループには,正しいトランザクションには不要なメッセージが存在するものや,正しいトランザクションに必要なメッセージが欠けているものも含まれる。
このように,開始メッセージに着目したタイプ分けで,属性集合を用いたメッセージ集合の分類結果として得られたグループが,トランザクションとして正しいグループであるかを判断することは難しい。しかし,開始メッセージに着目したタイプ分けで,上記の誤りタイプ1,誤りタイプ2のような,トランザクションとして明らかに誤ったグループの判断は可能である。
属性集合生成部14は,上記の誤りタイプ1,誤りタイプ2の評価結果に基づいて,属性候補情報記憶部140に記憶された属性候補から,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合を選択する。
本実施の形態では,属性集合生成部14は,メッセージ集合記憶部110に記憶されたメッセージ集合を,属性候補情報記憶部140に記憶された属性の候補に含まれる属性の集合を用いて仮に分類したときの評価を,属性評価部15に依頼する。属性集合生成部14は,評価してほしい属性集合を属性評価部15に送る。
属性評価部15は,属性集合生成部14から受けた属性集合を用いた,メッセージ集合記憶部110に記憶されたメッセージ集合の分類を,メッセージ集合分類部16に依頼する。属性評価部15は,属性集合生成部14から受けた属性集合をメッセージ集合分類部16に送る。
メッセージ集合分類部16は,属性評価部15から受けた属性集合を用いてメッセージ集合記憶部110に記憶されたメッセージ集合を分類する。メッセージ集合分類部16は,共通する属性値でまとめられたメッセージのグループの集合を,結果として属性評価部15に返す。
属性評価部15は,メッセージ集合分類部16による分類の結果として得られた各グループに対して,誤りタイプ1,誤りタイプ2の評価を行う。より具体的には,属性評価部15は,分類の結果として得られた各グループに対して,開始メッセージ情報記憶部130に記憶された開始メッセージの探索を行う。属性評価部15は,開始メッセージが複数含まれる,または開始メッセージよりも時間的に前のメッセージが存在するグループを誤りタイプ1のグループと判断し,その評価結果を誤りタイプ1の評価結果として属性集合生成部14に返す。また,属性評価部15は,開始メッセージが1つも含まれないグループを誤りタイプ2のグループと判断し,その評価結果を誤りタイプ2の評価結果として属性集合生成部14に返す。
属性集合生成部14は,属性評価部15から,誤りタイプ1の評価結果と誤りタイプ2の評価結果を受ける。属性集合生成部14は,属性評価部15から得られた誤りタイプ1の評価結果と誤りタイプ2の評価結果に対して所定の基準を用いた判定を行い,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合を選択する。具体的には,属性集合生成部14は,誤りタイプ1となるグループや,誤りタイプ2となるグループなどの分類の誤りの発生を極力抑えられる属性集合を求め,それを監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合とする。
属性集合出力部17は,属性集合生成部14により求められた属性集合を,属性集合記憶部21に出力する。なお,属性集合記憶部21は,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合を保持する記憶装置である。
このようにして求められた属性集合は,実際に監視対象の情報処理装置が送受信するメッセージを,リアルタイムでトランザクションごとにまとめる処理に用いられる。これにより,トランザクションとして明らかに誤っている上記の誤りタイプ1や誤りタイプ2となるグループが生成されることを,極力抑えることができる。そのため,トランザクションごとのメッセージ分類の精度が高くなり,システム可視化の分析精度が向上する。
ここまで説明した本実施の形態の属性選択装置10によって,監視対象の情報処理装置が送受信するメッセージを,より高い精度でトランザクションごとに分類する属性集合を,自動的に求めることができるようになる。
ただし,属性集合生成部14の処理で,単純に用いる属性集合を変えながら,メッセージ集合のグループ化から誤りタイプの評価までの処理を繰り返すことにより,発生する分類の誤りが少ない属性集合を探索すると考えると,膨大な量の処理が必要となる可能性がある。メッセージ集合に現れる属性の数が多い場合には,可能な属性集合の数は組合せ的に増大するので,属性集合として可能なすべての属性の組合せについて調べることは困難である。
本実施の形態では,属性集合生成部14の処理で,誤りタイプ1となるグループや,誤りタイプ2となるグループなどの分類の誤りを生じさせない属性集合を,効率的に求める技術を,さらに提案する。
上述したように,複数の属性の組合せである属性集合を用いてまとめられたメッセージのグループは,その属性集合に含まれる複数の属性のうちのいずれかの属性の値が互いに共通するメッセージ同士の和集合である。例えば,属性集合が属性aと属性bとの組合せである場合に,その属性集合を用いたメッセージ集合の分類処理によりまとめられたグループは,それぞれ属性aの値か属性bの値のいずれかが共通するメッセージ同士のグループとなる。
このことから,メッセージ集合の分類に用いる属性集合と,上記の誤りタイプ1/誤りタイプ2との関係は,次の通りとなる。なお,以下では,誤りタイプ1の全グループに属するメッセージの総計を,略して誤りタイプ1のメッセージ数と呼び,誤りタイプ2の全グループに属するメッセージの総計を,略して誤りタイプ2のメッセージ数と呼ぶ。
・ある属性集合に対してさらに属性を追加してメッセージ集合の分類を行うと,もとの属性集合を用いてメッセージ集合の分類を行う場合と比較して,誤りタイプ2のメッセージ数は,変わらないか減少する。だだし,誤りタイプ1のメッセージ数が増加する可能性もある。
・ある属性集合から属性を削除してメッセージ集合の分類を行うと,もとの属性集合を用いてメッセージ集合の分類を行う場合と比較して,誤りタイプ1のメッセージ数は,変わらないか減少する。だだし,誤りタイプ2のメッセージ数が増加する可能性もある。
これらの関係から,誤りタイプ2のメッセージ数が多すぎる場合には属性を追加し,誤りタイプ1のメッセージ数が多すぎる場合には属性を削除する調整を行えば,調整後の属性集合が,調整前の属性集合と比較してより目的に近い属性集合となることがわかる。
このような,属性集合と誤りタイプ1/誤りタイプ2との関係を利用して,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合を効率的に求める,本実施の形態の属性集合生成部14,属性評価部15の動作は,以下の通りとなる。なお,属性集合生成部14から属性評価部15に対する属性の評価依頼の動作から,属性評価部15が誤りタイプ1,誤りタイプ2の判断を行う動作までは,上述した動作と同様となるので,ここでは説明を省略する。
属性評価部15は,誤りタイプ1と判断された全グループに属するメッセージの総計を求め,得られた誤りタイプ1のメッセージ数を,誤りタイプ1の評価結果として属性集合生成部14に返す。また,属性評価部15は,誤りタイプ2と判断された全グループに属するメッセージの総計を求め,得られた誤りタイプ2のメッセージ数を,誤りタイプ2の評価結果として属性集合生成部14に返す。
属性集合生成部14は,属性評価部15から,誤りタイプ1の評価結果と誤りタイプ2の評価結果を受けると,属性評価部15から得られた誤りタイプ1の評価結果と誤りタイプ2の評価結果とが,それぞれ所定の基準を満たすか否かを判定する。より具体的には,属性集合生成部14は,誤りタイプ1のメッセージ数が所定の閾値TH1 であるか,また誤りタイプ2のメッセージ数が所定の閾値TH2 以下であるかの判定を行う。
属性集合生成部14は,誤りタイプ1のメッセージ数が所定の閾値TH1 より多かった場合に,そのときの評価対象であった属性集合から属性を削除する調整を行い,調整された属性集合の評価を属性評価部15に依頼する。また,属性集合生成部14は,誤りタイプ2のメッセージ数が所定の閾値TH2 より多かった場合に,そのときの評価対象であった属性集合に対してさらに属性候補から属性を追加する調整を行い,調整された属性集合の評価を属性評価部15に依頼する。
属性集合生成部14は,誤りタイプ1の判定基準と誤りタイプ2の判定基準の双方が満たされた属性集合を,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合として選択する。より具体的には,属性集合生成部14は,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合として,誤りタイプ1のメッセージ数が所定の閾値TH1 であり,かつ誤りタイプ2のメッセージ数が所定の閾値TH2 以下である属性集合を求める。
このように,本実施の形態による属性集合生成部14は,誤りタイプのメッセージ数に応じた評価対象の属性集合の調整により,属性集合として可能なすべての属性の組合せについて調べなくても,目的とする属性集合を求めることができる。
ここで,上述の属性集合と誤りタイプ1のメッセージ数との関係から,属性候補抽出部13により抽出する属性候補をさらに減らすことにより,さらなる属性集合生成部14による処理の効率化を図ることができる。
評価対象の属性集合が空集合であるときに,誤りタイプ2のメッセージ数は,最大となる。このとき,誤りタイプ2のメッセージ数を減らすために,空の属性集合に対して,単独でメッセージ集合の分類に用いられたときに,誤りタイプ1のメッセージ数が所定の閾値TH1 を超えてしまう属性を追加するものとする。新たな評価対象の属性集合は,その単独の使用で誤りタイプ1のメッセージ数が所定の閾値TH1 を超えてしまう属性のみの属性集合となる。しかし,新たな評価対象の属性集合は,1つの属性を含んだだけですでに誤りタイプ1の基準を満たさない属性集合となってしまっている。
上述の属性集合と誤りタイプ1のメッセージ数との関係から,誤りタイプ1のメッセージ数は,属性集合に含まれる属性が増えると増加する可能性があり,属性集合に含まれる属性が減ると減少する可能性があり,それらの逆はない。そのため,誤りタイプ1のメッセージ数を減らすためには,属性集合から属性を削除するしかない。しかし,属性集合には1つの属性しか含まれていないので,その属性を削除すると,属性集合はまた空集合に戻ってしまう。
このように,単独でメッセージ集合の分類に用いられたときに,誤りタイプ1のメッセージ数が所定の閾値TH1 を超えてしまう属性は,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合に含める属性としては不適格である。このような属性が,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補である必要はない。
本実施の形態の属性候補抽出部13は,単独でメッセージ集合の分類に用いられたときに,誤りタイプ1のメッセージ数が所定の閾値TH1 を超えてしまう属性を,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補から除外する。
より具体的には,本実施の形態の属性候補抽出部13は,属性集合生成部14と同様に,評価してほしい属性を属性評価部15に送る。属性候補抽出部13は,属性評価部15による誤りタイプ1の評価結果を受けると,誤りタイプ1のメッセージ数が所定の閾値TH1 以下であるかを判定する。属性候補抽出部13は,誤りタイプ1のメッセージ数が所定の閾値TH1 以下であれば,評価対象の属性を,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補とする。また,属性候補抽出部13は,誤りタイプ1のメッセージ数が所定の閾値TH1 を超えていれば,評価対象の属性を,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補外とする。
これにより,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補を減らして,さらなる属性集合生成部14による処理の効率化を図ることができる。
以下,図3〜図6のフローチャートを用いて,本実施の形態の属性選択装置10による処理の流れの例を説明する。
図3は,本実施の形態の属性選択装置による属性選択処理フローチャートである。
属性選択装置10において,入力部11は,データ記憶部20から,メッセージ集合やシステム構成情報等のデータを読み込む(ステップS10)。得られたメッセージ集合は,メッセージ集合記憶部110に記憶される。また,得られたシステム構成情報は,システム構成情報記憶部120に記憶される。
開始メッセージ抽出部12は,メッセージ集合記憶部110に記憶されたメッセージ集合から,監視対象の情報処理装置以外の情報処理装置から送信された開始メッセージを抽出する(ステップS11)。例えば,システム構成情報記憶部120に記憶されたシステム構成情報には,全監視対象の情報処理装置のアドレスが含まれている。このとき,開始メッセージ抽出部12は,メッセージ集合に含まれるメッセージから,その送信元のアドレスがシステム構成情報に含まれたアドレスではないメッセージを,開始メッセージとして抽出する。抽出された開始メッセージの集合は,開始メッセージ情報として開始メッセージ情報記憶部130に記憶される。
属性候補抽出部13は,属性候補抽出処理により,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補を抽出する(ステップS12)。属性候補抽出処理の詳細については,後述する。抽出された属性候補の集合は,属性候補情報記憶部140に記憶される。
属性集合生成部14は,属性集合生成処理により,属性候補情報記憶部140に記憶された属性候補情報に含まれる属性候補から,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性を選択し,その属性集合を生成する(ステップS13)。属性集合生成処理の詳細については,後述する。
属性集合出力部17は,求められた属性集合を,属性集合記憶部21に出力する(ステップS14)。
図4は,本実施の形態の属性候補抽出部による属性候補抽出処理フローチャートである。
属性候補抽出部13は,メッセージ集合記憶部110に記憶されたメッセージ集合に含まれる属性を,一つ選択する(ステップS20)。
属性候補抽出部13は,選択された属性が,メッセージ集合記憶部110に記憶されたメッセージ集合中の複数のメッセージに,同じ値がある属性であるかを判定する(ステップS21)。
複数のメッセージに同じ値がある属性でなければ(ステップS21のNO),属性候補抽出部13は,選択された属性を属性候補外と判定する(ステップS25)。すなわち,メッセージ集合中の1つのメッセージにしか現れない,または現れるすべてのメッセージで値が異なる属性は,属性候補とはならない。
複数のメッセージに同じ値がある属性であれば(ステップS21のYES),属性候補抽出部13は,選択された属性の評価を属性評価部15に依頼する。属性評価部15では,属性評価処理が行われる(ステップS22)。属性評価処理の詳細については,後述する。属性候補抽出部13は,属性評価部15による評価結果を受けると,誤りタイプ1の評価結果,すなわち誤りタイプ1のメッセージ数が,所定の閾値TH1 以下であるかを判定する(ステップS23)。
誤りタイプ1のメッセージ数が閾値TH1 以下であれば(ステップS23のYES),属性候補抽出部13は,選択された属性を,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性の候補と判定する(ステップS24)。誤りタイプ1のメッセージ数が閾値TH1 以下でなければ(ステップS23のNO),すなわち誤りタイプ1のメッセージ数が閾値TH1 を上回っていれば,属性候補抽出部13は,選択された属性を属性候補外と判定する(ステップS25)。
属性候補抽出部13は,メッセージ集合記憶部110に記憶されたメッセージ集合に含まれるすべての属性について,属性候補抽出の処理が終了したかを判定する(ステップS26)。
まだすべての属性について処理が終了していなければ(ステップS26のNO),属性候補抽出部13は,ステップS20の処理に戻って,次の属性の処理に移る。
すべての属性について処理が終了していれば(ステップS26のYES),属性候補抽出部13は,抽出された全属性候補の集合を生成する(ステップS27)。生成された属性候補の集合は,属性候補情報記憶部140に記憶される。
図5は,本実施の形態の属性集合生成部による属性集合生成処理フローチャートである。
属性集合生成部14は,属性集合を空集合に設定する(ステップS30)。属性集合生成部14は,属性集合の評価を属性評価部15に依頼する。属性評価部15では,属性評価処理が行われる(ステップS31)。属性評価処理の詳細については,後述する。
属性集合生成部14は,属性評価部15による評価結果を受けると,誤りタイプ2の評価結果,すなわち誤りタイプ2のメッセージ数が,所定の閾値TH2 以下であるかを判定する(ステップS32)。
誤りタイプ2のメッセージ数が閾値TH2 以下であれば(ステップS32のYES),属性集合生成部14は,処理を終了する。ステップS33〜S38の処理では誤りタイプ1の基準を満たすように制御されているので,この時点での属性集合は,誤りタイプ1と誤りタイプ2の双方の基準を満たす属性集合である。すなわち,この時点での属性集合が,求められた,監視対象の情報処理装置が送受信するメッセージを分類するために用いる属性集合となる。
誤りタイプ2のメッセージ数が閾値TH2 以下でなければ(ステップS32のNO),属性集合生成部14は,属性候補情報記憶部140に記憶された属性候補のうち,属性集合に含まれない属性を,属性集合への追加候補とする(ステップS33)。誤りタイプ2のメッセージ数が閾値TH2 を上回っているということは,本来トランザクションにまとめられるべきメッセージの多くが,まだまだ複数のグループに分かれた状態であるということである。そのため,属性集合に対してさらに属性を追加する必要がある。
属性集合生成部14は,追加候補の属性が存在するかを判定する(ステップS34)。
追加候補の属性が存在しなければ(ステップS34のNO),属性集合生成部14は,処理を終了する。ここでの終了は,誤りタイプ1と誤りタイプ2の双方の基準を満たす属性集合を求めることができなかったことを意味する。
追加候補の属性が存在すれば(ステップS34のYES),属性集合生成部14は,追加候補の属性から1つを選択し,属性候補に追加する(ステップS35)。属性集合生成部14は,属性集合の評価を属性評価部15に依頼する。属性評価部15では,属性評価処理が行われる(ステップS36)。属性評価処理の詳細については,後述する。
属性集合生成部14は,属性評価部15による評価結果を受けると,誤りタイプ1の評価結果,すなわち誤りタイプ1のメッセージ数が,所定の閾値TH1 以下であるかを判定する(ステップS37)。属性集合に属性を追加すると,誤りタイプ2のメッセージ数は減少する可能性があるが,誤りタイプ1のメッセージ数は増加してしまう可能性がある。ここでは,属性集合への属性の追加によって,誤りタイプ1のメッセージ数が基準を超えて増えすぎていないかの確認が行われる。
誤りタイプ1のメッセージ数が閾値TH1 以下であれば(ステップS37のYES),属性集合生成部14は,ステップS32の処理に戻り,誤りタイプ2の評価結果の判定を行う。
誤りタイプ1のメッセージ数が閾値TH1 以下でなければ(ステップS37のNO),属性集合生成部14は,ステップS35で追加した属性を,属性集合と追加候補とから削除する(ステップS38)。ここでは,属性集合への属性の追加で誤りタイプ1のメッセージ数が基準を超えてしまったので,その属性の追加の取り消しが行われる。属性集合生成部14は,別の属性の追加を試みるために,ステップS34の処理に戻り,次の追加候補の処理に移る。
図6は,本実施の形態の属性評価部による属性評価処理フローチャートである。
図6に示す属性評価処理のフローチャートは,属性候補抽出部13と属性集合生成部14の双方から呼び出し可能なサブルーチンをイメージしたフローチャートである。
属性評価部15は,属性候補抽出部13からの評価対象の属性,または属性集合生成部14からの評価対象の属性集合を受け付ける(ステップS40)。
属性評価部15は,受け付けた評価対象の属性または評価対象の属性集合を用いた,メッセージ集合記憶部110に記憶されたメッセージ集合の分類を,メッセージ集合分類部16に依頼する。メッセージ集合分類部16では,受け付けた評価対象の属性または評価対象の属性集合を用いた,メッセージ集合記憶部110に記憶されたメッセージ集合の分類が行われる(ステップS41)。
属性評価部15は,メッセージ集合分類部16から共通する属性値でまとめられたメッセージのグループの集合を受けると,その各グループに対して,開始メッセージ情報記憶部130に記憶された開始メッセージの探索を行う(ステップS42)。
属性評価部15は,誤りタイプ1の全グループに属するメッセージの数を集計し,得られた誤りタイプ1のメッセージ数を,誤りタイプ1の評価結果とする(ステップS43)。誤りタイプ1のグループは,開始メッセージが複数含まれる,または開始メッセージよりも時間的に前のメッセージが存在するグループである。
属性評価部15は,誤りタイプ2の全グループに属するメッセージの数を集計し,得られた誤りタイプ2のメッセージ数を,誤りタイプ2の評価結果とする(ステップS44)。誤りタイプ2のグループは,開始メッセージが1つも含まれないグループである。
属性評価部15は,誤りタイプ1の評価結果,誤りタイプ2の評価結果を,属性候補抽出部13または属性集合生成部14に返す(ステップS45)。
以下,図7〜図13を用いて,本実施の形態の属性選択装置10による属性集合の選択の,具体的な実施例を示す。
本実施例では,図1に示すITシステム500が監視対象であるものとする。ただし,説明を簡単にするために,ITシステム500におけるWebサーバ510,APサーバ520,DBサーバ530は,それぞれ1台ずつしかないものとする。また,本実施例では,説明を簡単にするために,誤りタイプ1のメッセージ数の評価判定を行う閾値TH1 が0であり,誤りタイプ2のメッセージ数の評価判定を行う閾値TH2 が0であるものとする。なお,以下では,説明した処理に該当する,図3〜図5に示すフローチャートにおけるステップを,括弧書きで示す。
図7は,本実施例によるメッセージ集合の例を示す図である。
図7に示すメッセージ集合115は,ITシステム500の各サーバが過去のある一定期間に送受信したメッセージをあらかじめ収集していたものである。本実施例では,属性選択装置10の入力部11が,図7に示すメッセージ集合115を入力し(図3のステップS10),メッセージ集合記憶部110に記憶する。
図7に示すメッセージ集合115において,「ID」は,説明をし易くするために,メッセージに対して割り当てた番号であり,もともとのメッセージが持っている識別情報ではない。
図7に示すメッセージ集合115において,「時刻」は,メッセージが送信された時刻を示す。
図7に示すメッセージ集合115において,「送信元」は,メッセージの送信元の情報処理装置のIPアドレスであり,「送信先」は,メッセージの送信先の情報処理装置のIPアドレスである。送信元の欄,送信先の欄に,“Webサーバ”,“APサーバ”,“DBサーバ”と記載されているのは,それぞれWebサーバ510,APサー520,DBサーバ530のIPアドレスを示している。また,送信元の欄,送信先の欄に,“ユーザPC#a”,“ユーザPC#b”,“ユーザPC#c”と記載されているのは,それぞれがクライアント端末600であるユーザPC#a,ユーザPC#b,ユーザPC#cのIPアドレスを示している。
図7に示すメッセージ集合115において,「属性」は,メッセージが持つ属性を示している。属性の欄では,メッセージが持つ属性が,“属性”=“属性値”の形式で記載されている。
図8は,本実施例によるシステム構成情報の例を示す図である。
図8に示すシステム構成情報125は,監視対象のITシステム500を構成する各サーバのIPアドレスのリスト情報である。本実施例では,属性選択装置10の入力部11が,図8に示すシステム構成情報125を入力し(図3のステップS10),システム構成情報記憶部120に記憶する。
属性選択装置10において,開始メッセージ抽出部12は,図8に示すシステム構成情報125を用いて,図7に示すメッセージ集合115から,トランザクションにおける最初のメッセージである開始メッセージを抽出する。すなわち,開始メッセージ抽出部12は,システム構成情報125にあるWebサーバ510,APサーバ520,DBサーバ530のアドレス以外のアドレスが,送信元のアドレスとなっているメッセージを,メッセージ集合115から抽出する(図3のステップS11)。抽出された開始メッセージの集合は,開始メッセージ情報として開始メッセージ情報記憶部130に記憶される。
図9は,本実施例による開始メッセージ情報の例を示す図である。
図9の開始メッセージ情報135に示すように,抽出された各開始メッセージの送信元のアドレスは,監視対象のサーバ以外の,すなわちクライアント端末600であるユーザPC#a,ユーザPC#b,ユーザPC#cのアドレスとなっている。
属性選択装置10において,属性候補抽出部13は,図7に示すメッセージ集合115に含まれる属性から,監視対象のITシステム500でやり取りされるメッセージをトランザクションごとにまとめる処理で用いる属性の候補を抽出する(図3のステップS12)。
図7に示すメッセージ集合115には,Type,SHUBETU,UID,Date,RID,RESULTという属性が存在する。属性候補抽出部13は,これらの各属性の一つ一つについて,メッセージをトランザクションごとにまとめる処理で用いる属性に成り得るかを確認する。
まず,属性Typeについて確認する。
図7に示すメッセージ集合115において,属性Typeは,IDが1,2,3,4,5,7,13,14のメッセージで現れる。また,属性Typeの属性値は,IDが1,2,3,4,5,7のメッセージで共通の属性値Aであり,IDが13,14のメッセージで共通の属性値Bである。このことから,属性Typeは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
ここで,属性選択装置10は,メッセージ集合分類部16によって,属性Typeを用いて,図7に示すメッセージ集合115を分類し,その分類結果に対して誤りタイプ1の評価を行う(図4のステップS22)。メッセージ集合分類部16は,図7に示すメッセージ集合115を,同じTypeの値を持つメッセージのグループごとに分類する。
図10は,属性Typeを用いてメッセージ集合をグループに分類した結果を示す図である。
図10において,「グループ」は,説明をしやすくするために,メッセージに対して割り当てた番号である。「共通する属性と値」には,メッセージ集合115の分類に用いた属性と分類されたグループで共通する属性値が示されている。「開始メッセージ」の欄では,開始メッセージ抽出部12によって開始メッセージとされたメッセージに○が付いている。
図10に示すように,IDが1,2,3,4,5,7のメッセージが,共通の値Aの属性Typeを持つので,まとめられて1つのグループ1となっている。また,IDが13,14のメッセージが,共通の値Bの属性Typeを持つので,まとめられて1つのグループ2となっている。それ以外のメッセージは,属性Typeを持たないので,それぞれ単独のグループとなる。
属性評価部15は,属性Typeを用いてメッセージ集合115をグループに分類した結果に対して,図9に示す開始メッセージ情報135に含まれる開始メッセージの探索を行う。属性評価部15は,誤りタイプ1のメッセージ数,すなわち開始メッセージを複数含むグループおよび開始メッセージより時間的に前のメッセージが存在するグループに属するメッセージの総計を求める。
図10において,誤りタイプ1のグループは,開始メッセージを2つ持つグループ1のみである。グループ1のメッセージ数は6であるので,属性Typeを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は6となる。
属性Typeを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数6は,誤りタイプ1のメッセージ数の閾値TH1 =0を上回っている(図4のステップS23のNO)。そのため,属性候補抽出部13により,属性Typeは,属性候補外と判定される(図4のステップS25)。
次に,属性SHUBETUについて確認する。図7に示すメッセージ集合において,属性SHUBETUは,IDが15のメッセージにしか現れない。属性SHUBETUは,複数のメッセージに同じ値があるという条件を満たさないので(図4のステップS21のNO),属性候補抽出部13により,属性候補外と判定される(図4のステップS25)。
他の属性UID,Date,RID,RESULTについても,同様に,属性候補抽出部13による属性候補の判定を行うと,次のような結果となる。
<属性UID>
属性UIDの値は,IDが1,2,9,10のメッセージで共通の属性値1234であり,IDが4,5,11,12のメッセージで共通の属性値5678であり,IDが13,14,17,18のメッセージで共通の属性値3456である。このことから,属性UIDは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性UIDの値は,IDが1,2,9,10のメッセージで共通の属性値1234であり,IDが4,5,11,12のメッセージで共通の属性値5678であり,IDが13,14,17,18のメッセージで共通の属性値3456である。このことから,属性UIDは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性UIDを用いてメッセージ集合115をグループに分類しても,誤りタイプ1のグループは生成されないので,属性UIDを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は0となる。属性UIDを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数0は,誤りタイプ1のメッセージ数の閾値TH1 =0以下である(図4のステップS23のYES)。そのため,属性候補抽出部13により,属性UIDは,属性候補と判定される(図4のステップS24)。
<属性Date>
属性Dateの値は,IDが1,4,13のメッセージで共通の属性値0601である。このことから,属性Dateは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性Dateの値は,IDが1,4,13のメッセージで共通の属性値0601である。このことから,属性Dateは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性Dateを用いてメッセージ集合115をグループに分類すると,IDが1,4,13のメッセージが,共通の値0601の属性Dateを持つので,まとめられてグループとなる。しかし,そのグループは,開始メッセージを3つ持つので,誤りタイプ1のグループとなる。誤りタイプ1のグループは,そのグループのみである。そのグループのメッセージ数は3であるので,属性Dateを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は3となる。属性Dateを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数3は,誤りタイプ1のメッセージ数の閾値TH1 =0を上回っている(図4のステップS23のNO)。そのため,属性候補抽出部13により,属性Dateは,属性候補外と判定される(図4のステップS25)。
<属性RID>
属性RIDの値は,IDが2,3,6,9のメッセージで共通の属性値10であり,IDが5,7,8,11のメッセージで共通の属性値11であり,IDが14,15,16,17のメッセージで共通の属性値12である。このことから,属性RIDは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性RIDの値は,IDが2,3,6,9のメッセージで共通の属性値10であり,IDが5,7,8,11のメッセージで共通の属性値11であり,IDが14,15,16,17のメッセージで共通の属性値12である。このことから,属性RIDは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性RIDを用いてメッセージ集合115をグループに分類しても,誤りタイプ1のグループは生成されないので,属性RIDを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は0となる。属性RIDを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数0は,誤りタイプ1のメッセージ数の閾値TH1 =0以下である(図4のステップS23のYES)。そのため,属性候補抽出部13により,属性RIDは,属性候補と判定される(図4のステップS24)。
<属性RESULT>
属性RESULTの値は,IDが6,9,10,16,17,18のメッセージで共通の属性値1であり,IDが8,11,12のメッセージで共通の属性値2である。このことから,属性RESULTは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性RESULTの値は,IDが6,9,10,16,17,18のメッセージで共通の属性値1であり,IDが8,11,12のメッセージで共通の属性値2である。このことから,属性RESULTは,複数のメッセージに同じ値があるという条件を満たす(図4のステップS21のYES)。
属性RESULTを用いてメッセージ集合115をグループに分類しても,誤りタイプ1のグループは生成されないので,属性RESULTを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は0となる。属性RESULTを用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数0は,誤りタイプ1のメッセージ数の閾値TH1 =0以下である(図4のステップS23のYES)。そのため,属性候補抽出部13により,属性RESULTは,属性候補と判定される(図4のステップS24)。
これらの属性候補判定の結果に基づいて,属性候補抽出部13は,属性候補の集合{UID,RID,RESULT}を生成する(図4のステップS27)。属性候補の集合{UID,RID,RESULT}は,属性候補情報記憶部140に記憶される。
属性選択装置10において,属性集合生成部14は,属性候補情報記憶部140に記憶された属性候補の集合から,監視対象のITシステム500でやり取りされるメッセージをトランザクションごとにまとめる処理で用いる属性集合を生成する(図3のステップS13)。
属性集合生成部14は,属性集合を空集合に初期化する(図5のステップS30)。ここで,属性選択装置10は,メッセージ集合分類部16によって,空集合の属性集合を用いて,図7に示すメッセージ集合115を分類し,その分類結果に対して誤りタイプ2の評価を行う(図5のステップS31)。
図11は,空集合の属性集合を用いてメッセージ集合をグループに分類した結果を示す図である。
図11に示すように,空集合の属性集合を用いてメッセージ集合115をグループに分類すると,すべてのメッセージがそれぞれ単独のグループとなる。
属性評価部15は,空集合の属性集合を用いてメッセージ集合115をグループに分類した結果に対して,図9に示す開始メッセージ情報135に含まれる開始メッセージの探索を行う。属性評価部15は,誤りタイプ2のメッセージ数,すなわち開始メッセージを含まないグループに属するメッセージの総計を求める。
図11において,誤りタイプ2のグループは,開始メッセージを持つグループ1,グループ4,グループ13以外の15個のグループである。それら15個の誤りタイプ2のグループは,すべてメッセージ数が1であるので,空集合の属性集合を用いてメッセージ集合115をグループに分類したときの誤りタイプ2のメッセージ数は15となる。
空集合の属性集合を用いてメッセージ集合115をグループに分類したときの誤りタイプ2のメッセージ数15は,誤りタイプ2のメッセージ数の閾値TH2 =0を上回っている(図5のステップS32のNO)。
属性集合生成部14は,属性集合がまだ空集合であるので,属性候補である属性UID,RID,RESULTのすべてを,追加候補とする(図5のステップS33)。
属性集合生成部14は,追加候補の属性からまず属性UIDを選択して属性集合に追加する(図5のステップS35)。ここで,属性選択装置10は,メッセージ集合分類部16によって,属性集合{UID}を用いて,図7に示すメッセージ集合115を分類し,その分類結果に対して誤りタイプ1,誤りタイプ2の評価を行う(図5のステップS36)。メッセージ集合分類部16は,図7に示すメッセージ集合115を,同じUIDの値を持つメッセージのグループごとに分類する。
図12は,属性集合{UID}を用いてメッセージ集合をグループに分類した結果を示す図である。
図12に示すように,IDが1,2,9,10のメッセージが,共通の値1234の属性UIDを持つので,まとめられて1つのグループ1となっている。また,IDが4,5,11,12のメッセージが,共通の値5678の属性UIDを持つので,まとめられて1つのグループ2となっている。また,IDが13,14,17,18のメッセージが,共通の値3456の属性UIDを持つので,まとめられて1つのグループ3となっている。それ以外のメッセージは,属性UIDを持たないので,それぞれ単独のグループとなる。
属性評価部15は,属性集合{UID}を用いてメッセージ集合115をグループに分類した結果に対して,図9に示す開始メッセージ情報135に含まれる開始メッセージの探索を行う。
属性評価部15は,誤りタイプ1のメッセージ数,すなわち開始メッセージを複数含むグループおよび開始メッセージより時間的に前のメッセージが存在するグループに属するメッセージの総計を求める。しかし,図12に示すように,属性集合{UID}を用いてメッセージ集合115をグループに分類しても,誤りタイプ1のグループは生成されない。そのため,属性集合{UID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は0となる。
また,属性評価部15は,誤りタイプ2のメッセージ数,すなわち開始メッセージを含まないグループに属するメッセージの総計を求める。図12において,誤りタイプ2のグループは,開始メッセージを持たないグループ4〜9の6個のグループである。それら6個の誤りタイプ2のグループは,すべてメッセージ数が1であるので,属性集合{UID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ2のメッセージ数は6となる。
属性集合{UID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数0は,誤りタイプ1のメッセージ数の閾値TH1 =0以下である(図5のステップS37のYES)。また,属性集合{UID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ2のメッセージ数6は,誤りタイプ2のメッセージ数の閾値TH2 =0を上回っている(図5のステップS32のNO)。
属性集合生成部14は,属性候補である属性UID,RID,RESULTのうち,属性集合{UID}に含まれない属性RID,RESULTを,追加候補とする(図5のステップS33)。
属性集合生成部14は,追加候補の属性から,属性RIDを選択して属性集合{UID}に追加する(図5のステップS35)。属性集合は,{UID,RID}となる。ここで,属性選択装置10は,メッセージ集合分類部16によって,属性集合{UID,RID}を用いて,図7に示すメッセージ集合115を分類し,その分類結果に対して誤りタイプ1,誤りタイプ2の評価を行う(図5のステップS36)。メッセージ集合分類部16は,図7に示すメッセージ集合115を,同じUIDの値を持つメッセージと同じRIDの値を持つメッセージの和集合であるグループごとに分類する。
図13は,属性集合{UID,RID}を用いてメッセージ集合をグループに分類した結果を示す図である。
図13に示すように,IDが1,2,3,6,9,10のメッセージが,共通の値1234の属性UIDまたは共通の値10の属性RIDを持つので,まとめられて1つのグループ1となっている。また,IDが4,5,7,8,11,12のメッセージが,共通の値5678の属性UIDまたは共通の値11の属性RIDを持つので,まとめられて1つのグループ2となっている。また,IDが13,14,15,16,17,18のメッセージが,共通の値3456の属性UIDまたは共通の値12の属性RIDを持つので,まとめられて1つのグループ3となっている。
属性評価部15は,属性集合{UID,RID}を用いてメッセージ集合115をグループに分類した結果に対して,図9に示す開始メッセージ情報135に含まれる開始メッセージの探索を行う。
属性評価部15は,誤りタイプ1のメッセージ数,すなわち開始メッセージを複数含むグループおよび開始メッセージより時間的に前のメッセージが存在するグループに属するメッセージの総計を求める。しかし,図13に示すように,属性集合{UID,RID}を用いてメッセージ集合115をグループに分類しても,誤りタイプ1のグループは生成されない。そのため,属性集合{UID,RID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数は0となる。
また,属性評価部15は,誤りタイプ2のメッセージ数,すなわち開始メッセージを含まないグループに属するメッセージの総計を求める。しかし,図13に示すように,属性集合{UID,RID}を用いてメッセージ集合115をグループに分類しても,誤りタイプ2のグループは生成されない。そのため,属性集合{UID,RID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ2のメッセージ数は0となる。
属性集合{UID,RID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ1のメッセージ数0は,誤りタイプ1のメッセージ数の閾値TH1 =0以下である(図5のステップS37のYES)。また,属性集合{UID,RID}を用いてメッセージ集合115をグループに分類したときの誤りタイプ2のメッセージ数15は,誤りタイプ2のメッセージ数の閾値TH2 =0以下である(図5のステップS32のYES)。
この時点で,誤りタイプ1のメッセージ数の閾値条件と,誤りタイプ2のメッセージ数の閾値条件とは,満たされている。このときの属性集合{UID,RID}が,属性集合生成部14により求められた,監視対象のITシステム500でやり取りされるメッセージをトランザクションごとにまとめる処理で用いる属性集合となる。
属性集合出力部17は,求められた属性集合{UID,RID}を,監視対象のITシステム500でやり取りされるメッセージをトランザクションごとにまとめる処理で用いる属性集合として出力する(図3のステップS14)。
本実施例に示すように,本実施の形態の属性選択装置10により,監視対象のシステムが有する,複数の監視対象の情報処理装置で送受信されたメッセージをトランザクションごとに分類する処理に適切な属性集合を,自動的に求めることが可能となる。
なお,本実施例では,説明を簡単にするため,属性選択装置10に入力するメッセージ集合115の属性集合を用いた分類結果が,最終的に誤りタイプ1,誤りタイプ2のグループが存在しないようにしている。例えば,属性選択装置10に入力されるメッセージ集合115を,稼動するITシステム500から収集されるメッセージ群からある期間で切り出すような場合には,ほぼ,トランザクションごとのメッセージのグループに切り良くまとめることはできない。実際には,誤りタイプ1のメッセージ数の閾値TH1 や誤りタイプ2のメッセージ数の閾値TH2 が0に設定されるような状況は稀であり,試行錯誤や経験などによって,それなりの値が設定される。
以上説明した本実施の形態の属性選択装置10による処理は,コンピュータが備えるCPU,メモリ等のハードウェアとソフトウェアプログラムとにより実現することができ,そのプログラムをコンピュータ読み取り可能な記録媒体に記録することも,ネットワークを通して提供することも可能である。
以上,本実施の形態について説明したが,本発明はその主旨の範囲において種々の変形が可能であることは当然である。
本実施の形態では,誤りタイプ1の評価を,誤りタイプ1の全グループに属するメッセージの総計で行っているが,誤りタイプ1の評価を,誤りタイプ1の全グループに属する開始メッセージの総計で行うようにしてもよい。
また,本実施の形態では,結果として出力された属性集合を,監視対象の情報処理装置が送受信するメッセージをリアルタイムにトランザクションごとのグループにまとめる処理に適用する例を説明したが,この例に限るものではない。例えば,結果として出力された属性集合を,属性選択装置10に入力されたメッセージ集合をトランザクションごとのグループにまとめる処理に適用することもできる。すなわち,本実施の形態の技術で適切な属性集合を求めつつ,同時に入力されたメッセージ集合をトランザクションごとのグループにまとめることも可能である。
以上説明した本実施の形態の特徴を列挙すると以下のとおりである。
(付記1)
複数の監視対象の情報処理装置が過去に送受信した複数のメッセージを記憶するメッセージ集合記憶部と,
前記メッセージ集合記憶部に記憶されたメッセージから,前記監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する開始メッセージ抽出部と,
前記メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する属性候補抽出部と,
前記メッセージ集合記憶部に記憶されたメッセージを,前記属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める属性集合生成部とを備える
ことを特徴とするメッセージ分類用属性選択装置。
複数の監視対象の情報処理装置が過去に送受信した複数のメッセージを記憶するメッセージ集合記憶部と,
前記メッセージ集合記憶部に記憶されたメッセージから,前記監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する開始メッセージ抽出部と,
前記メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する属性候補抽出部と,
前記メッセージ集合記憶部に記憶されたメッセージを,前記属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める属性集合生成部とを備える
ことを特徴とするメッセージ分類用属性選択装置。
(付記2)
前記属性集合生成部は,前記メッセージ集合記憶部に記憶されたメッセージを,前記属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする付記1に記載されたメッセージ分類用属性選択装置。
前記属性集合生成部は,前記メッセージ集合記憶部に記憶されたメッセージを,前記属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする付記1に記載されたメッセージ分類用属性選択装置。
(付記3)
属性候補抽出部は,前記メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする付記1または付記2に記載されたメッセージ分類用属性選択装置。
属性候補抽出部は,前記メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする付記1または付記2に記載されたメッセージ分類用属性選択装置。
(付記4)
コンピュータに,
前記コンピュータがアクセス可能な記憶装置に記憶された,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する手順と,
前記記憶装置に記憶された前記メッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する手順と,
前記記憶装置に記憶された前記メッセージを,前記属性を抽出する手順で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める手順とを
実行させるためのメッセージ分類用属性選択プログラム。
コンピュータに,
前記コンピュータがアクセス可能な記憶装置に記憶された,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する手順と,
前記記憶装置に記憶された前記メッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する手順と,
前記記憶装置に記憶された前記メッセージを,前記属性を抽出する手順で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める手順とを
実行させるためのメッセージ分類用属性選択プログラム。
(付記5)
前記分類誤りを生じさせない属性集合を求める手順では,前記記憶装置に記憶されたメッセージを,前記属性を抽出する手順で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする付記4に記載されたメッセージ分類用属性選択プログラム。
前記分類誤りを生じさせない属性集合を求める手順では,前記記憶装置に記憶されたメッセージを,前記属性を抽出する手順で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする付記4に記載されたメッセージ分類用属性選択プログラム。
(付記6)
前記属性を抽出する手順では,前記記憶装置に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする付記4または付記5に記載されたメッセージ分類用属性選択プログラム。
前記属性を抽出する手順では,前記記憶装置に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする付記4または付記5に記載されたメッセージ分類用属性選択プログラム。
(付記7)
コンピュータが,
前記コンピュータがアクセス可能な記憶装置に記憶された,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する過程と,
前記記憶装置に記憶された前記メッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する過程と,
前記記憶装置に記憶された前記メッセージを,前記属性を抽出する過程で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める過程とを実行する
ことを特徴とするメッセージ分類用属性選択方法。
コンピュータが,
前記コンピュータがアクセス可能な記憶装置に記憶された,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する過程と,
前記記憶装置に記憶された前記メッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する過程と,
前記記憶装置に記憶された前記メッセージを,前記属性を抽出する過程で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める過程とを実行する
ことを特徴とするメッセージ分類用属性選択方法。
(付記8)
前記分類誤りを生じさせない属性集合を求める過程では,前記記憶装置に記憶されたメッセージを,前記属性を抽出する過程で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする付記7に記載されたメッセージ分類用属性選択方法。
前記分類誤りを生じさせない属性集合を求める過程では,前記記憶装置に記憶されたメッセージを,前記属性を抽出する過程で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする付記7に記載されたメッセージ分類用属性選択方法。
(付記9)
前記属性を抽出する過程では,前記記憶装置に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする付記7または付記8に記載されたメッセージ分類用属性選択方法。
前記属性を抽出する過程では,前記記憶装置に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする付記7または付記8に記載されたメッセージ分類用属性選択方法。
10 属性選択装置
11 入力部
12 開始メッセージ抽出部
13 属性候補抽出部
14 属性集合生成部
15 属性評価部
16 メッセージ集合分類部
17 属性集合出力部
110 メッセージ集合記憶部
120 システム構成情報記憶部
130 開始メッセージ情報記憶部
140 属性候補情報記憶部
20 データ記憶部
21 属性集合記憶部
11 入力部
12 開始メッセージ抽出部
13 属性候補抽出部
14 属性集合生成部
15 属性評価部
16 メッセージ集合分類部
17 属性集合出力部
110 メッセージ集合記憶部
120 システム構成情報記憶部
130 開始メッセージ情報記憶部
140 属性候補情報記憶部
20 データ記憶部
21 属性集合記憶部
Claims (5)
- 複数の監視対象の情報処理装置が過去に送受信した複数のメッセージを記憶するメッセージ集合記憶部と,
前記メッセージ集合記憶部に記憶されたメッセージから,前記監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する開始メッセージ抽出部と,
前記メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する属性候補抽出部と,
前記メッセージ集合記憶部に記憶されたメッセージを,前記属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める属性集合生成部とを備える
ことを特徴とするメッセージ分類用属性選択装置。 - 前記属性集合生成部は,前記メッセージ集合記憶部に記憶されたメッセージを,前記属性候補抽出部で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合から属性を削除する調整を行い,前記開始メッセージを含まないグループに属するメッセージの数が所定の閾値を上回っていれば,分類に用いられた属性集合に対して前記属性候補抽出部で抽出をした属性を新たに追加する調整を行うことにより,前記分類誤りを生じさせない属性集合を求める
ことを特徴とする請求項1に記載されたメッセージ分類用属性選択装置。 - 属性候補抽出部は,前記メッセージ集合記憶部に記憶されたメッセージに含まれる属性から,複数のメッセージに同じ値が存在し,かつ前記メッセージ集合記憶部に記憶されたメッセージを属性を用いてグループに分類したときに,前記開始メッセージを複数含むグループまたは前記開始メッセージより時間的に前のメッセージが存在するグループに属する,メッセージの数または前記開始メッセージの数が所定の閾値以下となるような属性を抽出する
ことを特徴とする請求項1または請求項2に記載されたメッセージ分類用属性選択装置。 - コンピュータに,
前記コンピュータがアクセス可能な記憶装置に記憶された,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する手順と,
前記記憶装置に記憶された前記メッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する手順と,
前記記憶装置に記憶された前記メッセージを,前記属性を抽出する手順で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める手順とを
実行させるためのメッセージ分類用属性選択プログラム。 - コンピュータが,
前記コンピュータがアクセス可能な記憶装置に記憶された,複数の監視対象の情報処理装置が過去に送受信した複数のメッセージから,監視対象の情報処理装置以外の情報処理装置から送信されたメッセージである開始メッセージを抽出する過程と,
前記記憶装置に記憶された前記メッセージに含まれる属性から,複数のメッセージに含まれる属性を抽出する過程と,
前記記憶装置に記憶された前記メッセージを,前記属性を抽出する過程で抽出をした,1つの属性または複数の属性の組合せの属性集合を用いてグループに分類したときに,前記開始メッセージを複数含むグループ,前記開始メッセージより時間的に前のメッセージが存在するグループまたは前記開始メッセージを含まないグループを分類誤りとして,前記分類誤りを生じさせない属性集合を求める過程とを実行する
ことを特徴とするメッセージ分類用属性選択方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009271219A JP5397192B2 (ja) | 2009-11-30 | 2009-11-30 | メッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009271219A JP5397192B2 (ja) | 2009-11-30 | 2009-11-30 | メッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011113441A JP2011113441A (ja) | 2011-06-09 |
JP5397192B2 true JP5397192B2 (ja) | 2014-01-22 |
Family
ID=44235701
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009271219A Expired - Fee Related JP5397192B2 (ja) | 2009-11-30 | 2009-11-30 | メッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5397192B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5533536B2 (ja) * | 2010-10-08 | 2014-06-25 | 富士通株式会社 | 情報処理プログラム、装置及び方法 |
JP6070338B2 (ja) * | 2013-03-26 | 2017-02-01 | 富士通株式会社 | 多階層システムに含まれる処理システムの分類装置及び多階層システムに含まれる処理システムの分類プログラム並びに多階層システムに含まれる処理システムの分類方法 |
US20160283307A1 (en) * | 2014-07-28 | 2016-09-29 | Hitachi, Ltd. | Monitoring system, monitoring device, and test device |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000003282A (ja) * | 1998-06-12 | 2000-01-07 | Fujitsu Ltd | 分類規則学習装置 |
JP4416626B2 (ja) * | 2004-11-02 | 2010-02-17 | 富士通株式会社 | 処理時間算出プログラム |
US7421501B2 (en) * | 2005-02-04 | 2008-09-02 | Microsoft Corporation | Queued sessions for communicating correlated messages over a network |
JP4549231B2 (ja) * | 2005-05-17 | 2010-09-22 | 富士通株式会社 | サービス処理状況分析プログラム、サービス処理状況分析方法、およびサービス処理状況分析装置 |
JP4918805B2 (ja) * | 2006-03-31 | 2012-04-18 | 富士通株式会社 | システム分析プログラム、システム分析方法およびシステム分析装置 |
-
2009
- 2009-11-30 JP JP2009271219A patent/JP5397192B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011113441A (ja) | 2011-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11657309B2 (en) | Behavior analysis and visualization for a computer infrastructure | |
US7873594B2 (en) | System analysis program, system analysis method, and system analysis apparatus | |
US8671097B2 (en) | Method and system for log file analysis based on distributed computing network | |
JP5735969B2 (ja) | コミュニティ内の接続を決定するためのソーシャルグラフデータ解析用システムおよび方法 | |
US20170277727A1 (en) | Identification of distinguishing compound features extracted from real time data streams | |
US20110029657A1 (en) | Tracking high-level network transactions | |
RU2012101682A (ru) | Масштабируемая кластерная база данных | |
WO2016017208A1 (ja) | 監視システム、監視装置、および検査装置 | |
JP4466615B2 (ja) | 運用管理システム、監視装置、被監視装置、運用管理方法及びプログラム | |
CN108228322B (zh) | 一种分布式链路跟踪、分析方法及服务器、全局调度器 | |
JP2007208633A (ja) | ネットワーク設計装置、ネットワーク設計方法およびネットワーク設計プログラム | |
JP5397192B2 (ja) | メッセージ分類用属性選択装置,メッセージ分類用属性選択プログラムおよびメッセージ分類用属性選択方法 | |
CN108228432A (zh) | 一种分布式链路跟踪、分析方法及服务器、全局调度器 | |
JP2012186667A (ja) | ネットワーク障害検出装置、ネットワーク障害検出装置のネットワーク障害検出方法およびネットワーク障害検出プログラム | |
US20150088958A1 (en) | Information Processing System and Distributed Processing Method | |
WO2023010823A1 (zh) | 网络故障根因的确定方法、装置、设备及存储介质 | |
CN110287049A (zh) | 数据处理方法、装置和存储介质 | |
CN116109322A (zh) | 数据采集方法、数据采集设备以及计算机可读存储介质 | |
CN112131180B (zh) | 数据上报方法、装置以及存储介质 | |
CN114185920A (zh) | 日志数据处理方法、装置、计算机设备和存储介质 | |
JP6070338B2 (ja) | 多階層システムに含まれる処理システムの分類装置及び多階層システムに含まれる処理システムの分類プログラム並びに多階層システムに含まれる処理システムの分類方法 | |
JP7510335B2 (ja) | 自動化システム、サーバ、自動化方法及びコンピュータプログラム | |
JP2018156541A (ja) | 管理装置、管理システム、管理装置の制御方法、及びプログラム | |
CN116582462B (zh) | 融合业务监控方法及装置 | |
JP2012063832A (ja) | 分散処理システム、分散処理方法、及びコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120815 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130827 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130924 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131007 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |