JP5435225B2 - Operation management apparatus, operation management method, and program - Google Patents
Operation management apparatus, operation management method, and program Download PDFInfo
- Publication number
- JP5435225B2 JP5435225B2 JP2009258798A JP2009258798A JP5435225B2 JP 5435225 B2 JP5435225 B2 JP 5435225B2 JP 2009258798 A JP2009258798 A JP 2009258798A JP 2009258798 A JP2009258798 A JP 2009258798A JP 5435225 B2 JP5435225 B2 JP 5435225B2
- Authority
- JP
- Japan
- Prior art keywords
- alert
- definition
- rule
- unit
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、コンピュータシステムの運用及び管理を行うための運用管理装置、運用管理方法、及びこれらを実現するためのプログラムに関する。 The present invention relates to an operation management apparatus, an operation management method, and a program for realizing them, for operating and managing a computer system.
近年、企業等では、コンピュータシステムの重要度は益々高まっており、その運用管理は極めて重要なものとなっている。一方、コンピュータシステムは、年々、大規模化及び複雑化しているため、運用管理における管理者の負担は益々増大している。このような状況の下、コンピュータシステムの運用管理を効率良く行えるようにするため、種々の運用管理装置(運用管理サーバ)が提案されている。 In recent years, in companies and the like, the importance of a computer system has been increasing, and its operation management has become extremely important. On the other hand, since computer systems are becoming larger and more complex year by year, the burden on managers in operation management is increasing. Under such circumstances, various operation management apparatuses (operation management servers) have been proposed in order to efficiently perform the operation management of the computer system.
一般に、運用管理装置は、監視対象となるサーバ及びアプリケーションプログラムの異常の発生を監視し、異常を検知すると、コンピュータシステムの管理者に異常の発生を通報する。また、このとき、全ての異常が管理者に通報されるとすると、管理者の負担が増大してしまうため、通常、運用管理装置は、予め定義されたフィルタによって必要なアラートを抽出し、抽出したアラートのみを通報する(例えば、特許文献1参照。)。 In general, the operation management apparatus monitors the occurrence of abnormalities in servers and application programs to be monitored, and when an abnormality is detected, notifies the administrator of the computer system of the occurrence of the abnormality. Also, at this time, if all abnormalities are reported to the administrator, the burden on the administrator will increase. Usually, the operation management device extracts and extracts the necessary alerts using a predefined filter. Only the alert that has been made is reported (for example, see Patent Document 1).
具体的には、特許文献1は、複数のフィルタを所定の順序で使用し、いずれかのフィルタによって抽出されたアラートを管理者に通報する運用管理装置を開示している。また、特許文献1に開示の運用管理装置では、フィルタ毎に、その条件に一致した回数がカウントされ、一致した回数の多い順にフィルタの使用順序が並べ替えられる。このため、特許文献1に開示の運用管理装置によれば、フィルタリングに必要な計算量を出来るだけ少なくできるので、運用管理装置における負荷の軽減を図ることが可能となる。
Specifically,
また、特許文献1に開示の運用管理装置では、フィルタ定義は、管理者によって作成される。更に、管理者は、フィルタで抽出されなかったアラートが発生した場合は、その発生頻度及び発生傾向等を分析し、フィルタ定義が適切となるように更新を行う必要がある。このため、特許文献1に開示の運用管理装置では、管理者における負担の軽減が求められている。
Further, in the operation management apparatus disclosed in
特許文献2は、管理者の負担の軽減を目的とした運用管理装置を開示している。具体的には、特許文献2は、フィルタに定義されていない未登録のアラートが出力された場合に、設定された閾値を超えているかを判定し、超えている場合に、この未登録のアラートを管理者に通報する運用管理装置を開示している。閾値の具体例としては、例えばx秒以内にアラートが出力された件数等が挙げられる。また、特許文献2に開示の運用管理装置は、未登録のアラートの抽出条件をそのままフィルタ条件とすることもできる。
このように、特許文献2に開示の運用管理装置によれば、看過できない未登録のアラートであっても管理者に通知されるため、管理者における負担は軽減されると考えられる。また、未登録のアラートの検知が可能となるため、管理対象のコンピュータシステムにおける予期せぬトラブルの発生が防止される。
As described above, according to the operation management device disclosed in
また、近年の大規模化されたコンピュータシステムでは、アラートは頻繁に発生し、更に、これに合わせて、未登録のアラートの発生も増加しているが、特許文献2に開示の運用管理装置では、未登録のアラートは管理者に通報される。従って、特許文献2に開示の運用管理装置によれば、未登録のアラートが増加しても、管理者は適切にフィルタ定義を更新することができると考えられる。
In recent large-scale computer systems, alerts are frequently generated, and in addition to this, the occurrence of unregistered alerts is increasing. However, in the operation management apparatus disclosed in
しかしながら、大規模化されたコンピュータシステムでは、時間帯によって、アラートの傾向が変化するという事態が生じている。これに対して、特許文献2に開示された運用管理装置では、未登録のアラートを通報するかどうかの判断は一律に行われ、アラートの傾向の変化に応じて判断が変化することはない。よって、管理者に通報すべきアラートが確実に通報されない可能性がある。
However, in a large-scale computer system, there is a situation in which the alert tendency changes depending on the time zone. On the other hand, in the operation management device disclosed in
また、特許文献2に開示された運用管理装置は、未登録のアラートに合わせて新たにフィルタ条件を生成することができるが、フィルタ条件の作成の対象となるかどうかの判断も一律に行われる。よって、未登録のアラートが突発的且つ大量に発生した場合(アラートラッシュ)に対応することは困難である。
Further, the operation management device disclosed in
このように、特許文献2に開示された運用管理装置では、アラートに応じて自動的にフィルタ定義の適切化を行うことは不可能である。従って、管理者は、フィルタ定義を適切なものとするために、別途分析を行う必要があり、このことは、管理者にとって大きな負担となる。
As described above, in the operation management apparatus disclosed in
本発明の目的は、上記問題を解消し、コンピュータシステムで発生したアラートに応じてフィルタ定義を動的に更新でき、且つ、管理者の負担の軽減を図り得る、運用管理装置、運用管理方法、及びプログラムを提供することにある。 An object of the present invention is to solve the above-described problems, dynamically update a filter definition according to an alert generated in a computer system, and reduce the burden on an administrator. And providing a program.
上記目的を達成するため、本発明における運用管理装置は、コンピュータシステムの運用管理を行うための運用管理装置であって、
前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出する、複数のフィルタリング部と、
前記複数のフィルタリング部のいずれによっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ルール適合判定部と、
いずれかの前記ルールが前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、前記複数のフィルタリング部のいずれかの前記定義を更新する、フィルタ定義管理部と、
を備えていることを特徴とする。
In order to achieve the above object, an operation management apparatus according to the present invention is an operation management apparatus for performing operation management of a computer system,
A plurality of filtering units that extract alerts that meet a definition from alerts generated in the computer system;
The alert that has not been extracted by any of the plurality of filtering units is collated with two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. A rule conformity determination unit;
A filter definition management unit that updates the definition of any of the plurality of filtering units based on a rule determined to match when any of the rules is determined to match the alert that has not been extracted. When,
It is characterized by having.
また、上記目的を達成するため、本発明における運用管理方法は、コンピュータシステムの運用管理を行うための方法であって、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの
前記フィルタリング処理における前記定義を更新する、ステップと、
を有していることを特徴とする。
In order to achieve the above object, an operation management method according to the present invention is a method for managing the operation of a computer system,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step, and
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
It is characterized by having.
更に、上記目的を達成するため、本発明におけるプログラムは、コンピュータシステムの運用管理をコンピュータによって行うためのプログラムであって、
前記コンピュータに、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの前記フィルタリング処理における前記定義を更新する、ステップと、
を実行させる、ことを特徴とする。
Furthermore, in order to achieve the above object, a program according to the present invention is a program for performing operation management of a computer system by a computer,
In the computer,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step, and
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
Is executed.
以上の特徴により、本発明における運用管理装置、運用管理方法、及びプログラムによれば、コンピュータシステムで発生したアラートに応じてフィルタ定義を動的に更新でき、且つ、管理者の負担の軽減を図ることができる。 With the above features, according to the operation management apparatus, operation management method, and program of the present invention, the filter definition can be dynamically updated according to the alert generated in the computer system, and the burden on the administrator is reduced. be able to.
(実施の形態)
以下、本発明の実施の形態における、運用管理装置、運用管理方法、及びプログラムについて、図1〜図5を参照しながら説明する。最初に、本実施の形態における運用管理装置1の構成について説明する。図1は、本発明の実施の形態における運用管理装置の概略構成を示すブロック図である。
(Embodiment)
Hereinafter, an operation management apparatus, an operation management method, and a program according to an embodiment of the present invention will be described with reference to FIGS. Initially, the structure of the
図1に示すように、運用管理装置1は、コンピュータシステム10の運用管理を行うための装置である。コンピュータシステム10は、クライアントコンピュータ、サーバコンピュータといった多数のコンピュータをネットワークで接続することによって構築されている。そして、コンピュータシステム10は、一種のアラート発生装置であり、コンピュータシステム10で発生したアラートは、運用管理装置1に入力される。
As shown in FIG. 1, the
また、図1に示すように、運用管理装置1は、コンピュータシステム10で発生したアラートに対してフィルタリング処理を行うフィルタリング処理部2と、フィルタリング処理によって抽出されたアラートの処理を行う処理部4とを備えている。
As shown in FIG. 1, the
このうち、フィルタリング処理部2は、第1のフィルタリング部21と、第2のフィルタリング部22とを備えている。第1のフィルタリング部21及び第2のフィルタリング部22は、それぞれ、コンピュータシステム10で発生したアラートから、定義(フィルタ定義)に合致するアラートを抽出する。なお、第1のフィルタリング部21と、第2のフィルタリング部22とでは、フィルタ定義は異なっている。また、本実施の形態では、フィルタリング処理部2は、3以上のフィルタリング部を備えていても良い。
Among these, the
また、処理部4は、ルール適合判定部42とフィルタ定義管理部43とを備えている。ルール適合判定部42は、フィルタリング部21及び22のいずれによっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかのルールが、抽出されなかったアラートに適合するかどうかを判定する。
The
フィルタ定義管理部43は、いずれかのルールが、抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、第1のフィルタリング部21又は第2のフィルタリング部22のフィルタ定義を更新する。 When it is determined that any one of the rules matches the alert that has not been extracted, the filter definition management unit 43 uses the first filtering unit 21 or the second filtering unit 22 based on the rule that is determined to match. Update filter definition for.
このように、運用管理装置1では、いずれのフィルタリング部によっても抽出されないアラートが発生した場合は、これに対応するためフィルタ定義が更新される。また、フィルタ定義の更新は、予め用意されている複数のルールの中からアラートに適合するルールを選出し、選出されたルールを用いて行われる。つまり、フィルタ定義の更新は、一律ではなく、アラートの内容に応じて行われている。従って、運用管理装置1によれば、アラートに応じてフィルタ定義は動的に更新され、この結果、フィルタ定義の更新時の管理者の負担は軽減される。
In this way, in the
次に、本実施の形態における運用管理装置1の構成について下記の表1〜表4を用いて更に具体的に説明する。本実施の形態では、図1に示すように、第1のフィルタリング部21と、第2のフィルタリング部22とは、カスケード状に接続され、アラートは、先ず、第1のフィルタリング部21に入力される。
Next, the configuration of the
本実施の形態では、第1のフィルタリング部21のフィルタ定義に合致しなかったアラートのみが、第2のフィルタリング部22に入力される。第2のフィルタリング部22は、第1のフィルタリング部21のフィルタ定義に合致しなかったアラートを対象として、フィルタリング処理を行う。 In the present embodiment, only alerts that do not match the filter definition of the first filtering unit 21 are input to the second filtering unit 22. The second filtering unit 22 performs a filtering process on an alert that does not match the filter definition of the first filtering unit 21.
また、本実施の形態では、第1のフィルタリング部21及び第2のフィルタリング部22は、アラートがそれぞれのフィルタ定義に合致した場合は、各フィルタ定義に従った動作を実行する。例えば、フィルタ定義に、アラートが合致した場合に、アラート処理装置11に通報を行う旨が記述されているとする。この場合、第1のフィルタリング部21及び第2のフィルタリング部22は、フィルタ定義に合致したアラートを、外部のアラート処理装置11に送信(通報)する。なお、アラート処理装置11は、コンピュータシステム10で発生したアラートに応じて、障害の復旧処理、ソフトウェアの更新等を行う装置である。
Moreover, in this Embodiment, the 1st filtering part 21 and the 2nd filtering part 22 perform the operation | movement according to each filter definition, when an alert corresponds to each filter definition. For example, it is assumed that a notification is sent to the
また、本実施の形態では、フィルタ定義管理部43は、後述するように、新たなフィルタ定義の追加、及び使用済のフィルタ定義の削除を行う。更に、フィルタ定義管理部43は、第1のフィルタリング部21のフィルタ定義に対してのみ更新を行う。 In this embodiment, the filter definition management unit 43 adds a new filter definition and deletes a used filter definition, as will be described later. Furthermore, the filter definition management unit 43 updates only the filter definition of the first filtering unit 21.
更に、本実施の形態では、図1に示すように、運用管理装置1は、ファイルタリング処理部2及び処理部4に加えて、記憶部3と、分析部5とを備えている。更に、運用管理装置1において、処理部4は、アラート処理部41を備えている。
Further, in the present embodiment, as shown in FIG. 1, the
アラート処理部41は、アラートが、第1のフィルタリング部21によって抽出されず、その後、第2のフィルタリング部22によっても抽出されなかった場合に、このアラートを取得し、これを記憶部3へと出力する。また、アラート処理部41は、アラートを記憶部3に出力する際に、そのことをルール適合判定部42に通知する。
The alert processing unit 41 acquires the alert when the alert is not extracted by the first filtering unit 21 and is not extracted by the second filtering unit 22, and sends the alert to the
記憶部3は、第1のフィルタ定義記憶部31と、第2のフィルタ定義記憶部32と、アラート蓄積部33と、ルール記憶部34とを備えている。このうち、第1のフィルタ定義記憶部31は、第1のフィルタリング部21が使用するフィルタ定義(以下「第1のフィルタ定義」)を記憶している。
The
下記の表1は、第1のフィルタリング部21で使用されるフィルタ定義の一例を示している。表1に示すように、各第1のフィルタ定義は、抽出対象となるアラートのタイプ(種別)と、同アラートのメッセージと、当該フィルタ定義を削除するための条件(フィルタ定義の削除条件)とを含んでいる。本実施の形態では、後述するように、フィルタ定義管理部43は、フィルタ定義の削除条件に従い、使用が見込まれない、例えば、古いフィルタ定義、及び特殊なフィルタ定義等を削除する。これにより、フィルタリング処理部2における負荷の軽減が図られる。
Table 1 below shows an example of the filter definition used in the first filtering unit 21. As shown in Table 1, each first filter definition includes an alert type (type) to be extracted, a message of the alert, a condition for deleting the filter definition (filter definition deletion condition), and Is included. In this embodiment, as will be described later, the filter definition management unit 43 deletes, for example, an old filter definition and a special filter definition that are not expected to be used in accordance with the filter definition deletion condition. Thereby, the load in the
第2のフィルタ定義記憶部32は、第2のフィルタリング部22が使用するフィルタ定義(以下「第2のフィルタ定義」)を記憶している。下記の表2は、第2のフィルタリング部22で使用されるフィルタ定義の一例を示している。表2に示すように、各第2のフィルタ定義も、表1に示した第1のフィルタ定義と同様に、抽出対象となるアラートのタイプ(種別)と、同アラートのメッセージとを含んでいる。但し、第2のフィルタ定義は、フィルタ定義の削除条件(表1参照)の代わりに、外部への通報の実行の有無を指示する識別子を含んでいる。
The second filter
また、表1に示された各第1のフィルタ定義は、後述する分析部5によって作成される
が、本実施の形態はこの態様に限定されるものではない。本実施の形態では、幾つかの第1のフィルタ定義は、管理者によって予め作成されていても良い。また、表2に示された第2のフィルタ定義は、管理者によって予め作成される。
Moreover, although each 1st filter definition shown by Table 1 is produced by the
下記の表3は、本実施の形態においてコンピュータシステム10で発生したアラートの一例(アラート例1)を示している。表3では、各アラートは、「発生日時」、「タイプ(種別)」、及び「メッセージ」とで特定されている。
Table 3 below shows an example (alert example 1) of an alert generated in the
また、記憶部3において、アラート蓄積部33は、アラート処理部41によってアラートが出力されると、この出力されたアラートを蓄積する。更に、ルール記憶部34は、ルール適合判定部42が利用するルールを記憶している。表4は、ルール適合判定部42が利用するルールの一例を示している。
In the
表4に示すように、ルールは、アラートに対する「条件文(適合条件)」と、適合した時に実行される「実行文(更新内容)」とを含んでいる。具体的には、表4の例では、「実行文」には、条件文に合致したときに追加される新たなフィルタ定義と、新たなフィルタ定義の有効期間とが含まれている。 As shown in Table 4, the rule includes a “condition statement (conformance condition)” for the alert and an “execution statement (update content)” executed when the rule is met. Specifically, in the example of Table 4, the “executed statement” includes a new filter definition that is added when the conditional statement is met, and a validity period of the new filter definition.
表4に示されたルールが用いられる場合、ルール適合判定部42は、アラート処理部41からの通知を受けると、アラートが「条件文」と一致するかどうかを判定する。アラートがルールの「条件文」と一致する場合は、ルール適合判定部42は、アラートが適合したルールをフィルタ定義管理部43に送信する。そして、フィルタ定義管理部43は、上述したように、適合したルールに基づいてフィルタ定義を更新する。
When the rules shown in Table 4 are used, the rule
例えば、適合したルールが表4に示されたルールであった場合は、フィルタ定義管理部43は、「実行文」に従って新たなフィルタ定義を作成し、これを第1のフィルタ定義記憶部31に記憶させる。また、フィルタ定義管理部43は、新たなフィルタ定義を追加した場合は、追加時からの時間を計測し、「実行文」に含まれる有効期間の経過時に、新たな定義の削除も実行する。 For example, if the matched rule is the rule shown in Table 4, the filter definition management unit 43 creates a new filter definition according to the “executed statement” and stores it in the first filter definition storage unit 31. Remember. In addition, when a new filter definition is added, the filter definition management unit 43 measures the time from the addition and deletes the new definition when the effective period included in the “executed statement” has elapsed.
分析部5は、蓄積アラート分析部51と、ルールチェック部52とを備えている。このうち、蓄積アラート分析部51は、アラート蓄積部33に蓄積されているアラートを分析する。具体的には、蓄積アラート分析部51は、アラートの発生頻度及び傾向を分析する。更に、蓄積アラート分析部51は、分析結果に基づいて、ルール適合判定部42で用いられるルールの候補(ルール候補)を作成する。なお、蓄積アラート分析部51による分析処理及びルール作成処理の具体例については、図5を用いて後述する。
The
ルールチェック部52は、ルールチェック部52は、作成されたルール候補に基づいて更新されるフィルタ定義(即ち、第1のフィルタリング部21のフィルタ定義)が、当該定義を用いない第2のフィルタリング部22の第2のフィルタ定義と一致するかどうかを判定する。そして、ルールチェック部52は、判定の結果、一致しないと判定した場合は、作成したルール候補を、新たなルールとして、ルール記憶部34に記憶させる。これにより、ルール適合判定部42は、ルールチェック部52によって作成されたルールを用いて、アラートとの照合を行うことになる。
The
次に、本実施の形態における運用管理装置1の動作について、図2〜図5を用いて説明する。また、本実施の形態では、運用管理装置1を動作させることによって、運用管理方法が実施される。よって、本実施の形態における運用管理方法の説明は、以下の運用管理装置1の動作説明に代える。なお、以下の説明では、適宜図1を参酌する。
Next, operation | movement of the
先ず、図2を用いて運用管理装置1におけるフィルタリング処理からルール適合判定処理までについて説明する。図2は、本発明の実施の形態における運用管理装置によるフィルタリング処理からルール適合判定処理までを示すフロー図である。また、図2に示す処理の実行に際して、第1のフィルタ定義記憶部31が、表1に示したフィルタ定義を記憶し、第2のフィルタ定義記憶部32が、表2に示したフィルタ定義を記憶しているとする。また、ルール記憶部34が、表4に示したルールを記憶しているとする。
First, the filtering process to the rule conformity determination process in the
図2に示すように、最初に、第1のフィルタリング部21が、コンピュータシステム10で発生したアラートを受信する(ステップA1)。続いて、第1のフィルタリング部21は、第1のフィルタ定義記憶部31にアクセスして、受信したアラートが第1のフィルタ定義に合致するかどうかを判定する(ステップA2)。 As shown in FIG. 2, first, the first filtering unit 21 receives an alert generated in the computer system 10 (step A1). Subsequently, the first filtering unit 21 accesses the first filter definition storage unit 31 and determines whether or not the received alert matches the first filter definition (step A2).
ステップA2の結果、受信したアラートが第1のフィルタ定義に合致しない場合、第1のフィルタリング部21は、アラートを第2のフィルタリング部22に送信する(ステップA3)。 If the received alert does not match the first filter definition as a result of step A2, the first filtering unit 21 transmits the alert to the second filtering unit 22 (step A3).
一方、ステップA2の結果、受信したアラートが第1のフィルタ定義に合致する場合は、第1のフィルタリング部21は、第1のフィルタ定義に従った動作を実行する(ステップA4)。例えば、ステップA4において、第1のフィルタリング部21は、アラートを外部のアラート処理装置11に送信(通報)することができる。ステップA4が実行されると、運用管理装置1における処理は終了する。
On the other hand, if the received alert matches the first filter definition as a result of step A2, the first filtering unit 21 performs an operation according to the first filter definition (step A4). For example, in Step A4, the first filtering unit 21 can transmit (report) the alert to the external
次に、第2のフィルタリング部22は、ステップA3で送信されたアラートが第2のフィルタ定義に合致するかどうかを判定する(ステップB1)。ステップB1の判定の結果、ステップA3で送信されたアラートが第2のフィルタ定義に合致しない場合は、第2のフィルタリング部22は、デフォルトの動作を実行する(ステップB2)。本実施の形態では、第2のフィルタリング部22は、デフォルトの動作として、アラートをアラート処理部41に送信する。 Next, the second filtering unit 22 determines whether or not the alert transmitted in step A3 matches the second filter definition (step B1). As a result of the determination in step B1, if the alert transmitted in step A3 does not match the second filter definition, the second filtering unit 22 executes a default operation (step B2). In the present embodiment, the second filtering unit 22 transmits an alert to the alert processing unit 41 as a default operation.
一方、ステップB1の判定の結果、ステップA3で入力されたアラートが第2のフィルタ定義に合致する場合は、第2のフィルタリング部22は、第2のフィルタ定義に従った動作を実行する(ステップB3)。例えば、ステップB3において、第2のフィルタリング部22は、アラートを外部のアラート処理装置11に送信(通報)する、又は送信(通報)しない。ステップB3が実行されると、運用管理装置1における処理は終了する。
On the other hand, as a result of the determination in step B1, if the alert input in step A3 matches the second filter definition, the second filtering unit 22 executes an operation according to the second filter definition (step B3). For example, in Step B3, the second filtering unit 22 transmits (reports) or does not transmit (reports) the alert to the external
ここで、コンピュータシステム10において、タイプが「ログ監視」、メッセージが「warning 1」のアラート(表1参照)が発生し、第1のフィルタリング部21がこれを受信した場合(ステップA1)を想定する。この場合、アラートが第1のフィルタ定義に合致するため(ステップA2)、第1のフィルタリング部21は、第1のフィルタ定義に従い、アラートをアラート処理装置11に通報する(ステップA4)。
Here, it is assumed that an alert (see Table 1) of the type “log monitoring” and the message “warning 1” is generated in the
また、コンピュータシステム10において、タイプが「プロセス監視」、メッセージが「info:testmsg」のアラートが発生し、第1のフィルタリング部21がこれを受信した場合(ステップA1)を想定する。この場合、アラートは、第1のフィルタ定義に合致しないため(ステップA2)、第2のフィルタリング部22に送信される(ステップA3)。一方、このアラートは、第2のフィルタ定義(表2参照)に合致するため(ステップB1)、第2のフィルタリング部22は、第2のフィルタ定義に従い、アラートをアラート処理装置11に通報しない(ステップB3)。
Further, it is assumed that an alert having a type of “process monitoring” and a message of “info: testmsg” is generated in the
更に、コンピュータシステム10において、タイプが「プロセス監視」、メッセージが「testmsg」のアラートが発生し、第1のフィルタリング部21がこれを受信した場合(ステップA1)を想定する。この場合、アラートは、第1のフィルタ定義に合致しないため(ステップA2)、第2のフィルタリング部22に送信される(ステップA3)。また、このアラートは、第2のフィルタ定義にも合致しないため(ステップB1)、第2のフィルタリング部22は、デフォルトの動作として、アラートのアラート処理部41への送信を実行する(ステップB2)。
Furthermore, it is assumed that an alert having a type of “process monitoring” and a message of “testmsg” is generated in the
次に、ステップB2が実行されると、アラート処理部41は、受信したアラートをアラート蓄積部33に送信し、このアラートをアラート蓄積部33に記憶させる(ステップC1)。また、ステップC1では、アラート処理部41は、アラートをアラート蓄積部33に出力する際に、そのことをルール適合判定部42に通知する。
Next, when step B2 is executed, the alert processing unit 41 transmits the received alert to the
次に、ルール適合判定部42は、ルール記憶部34にアクセスし、記憶されている複数のルール(表4参照)の中から一つのルールを取り出す(ステップD1)。続いて、ルール適合判定部42は、取り出したルールが、アラート蓄積部33に蓄積されているアラートに適合するかどうかを判定する(ステップD2)。
Next, the rule
ステップD2の判定の結果、取り出したルールがアラートに適合しない場合は、スール適合判定部42は、全てのルールについて適合判定が終了したかどうかを判定する(ステップD5)。ステップD5の判定の結果、全てのルールについて適合判定が終了していない場合は、ルール適合判定部42は、再度ステップD1を実行する。また、ステップD5の判定の結果、全てのルールについて適合判定が終了している場合は、運用管理装置における処理は終了する。
As a result of the determination in step D2, if the extracted rule does not match the alert, the suit matching
一方、ステップD2の判定の結果、取り出したルールがアラートに適合する場合は、ルール適合判定部42、この取り出したルールをフィルタ定義管理部43に通知する(ステップD3)。ステップD3の実行により、フィルタ定義管理部43による定義更新処理が実行される(ステップD4)。定義更新処理については、図3を用いて後述する。
On the other hand, as a result of the determination in step D2, if the extracted rule matches the alert, the rule
次に、図3を用いて運用管理装置1における定義更新処理について説明する。図3は、本発明の実施の形態における運用管理装置による定義更新処理を示すフロー図である。なお、図3に示す処理の実行に際しても、第1のフィルタ定義記憶部31が、表1に示したフィルタ定義を記憶し、第2のフィルタ定義記憶部32が、表2に示したフィルタ定義を記憶しているとする。また、ルール記憶部34が、表4に示したルールを記憶しているとする。
Next, definition update processing in the
図3に示すように、先ず、フィルタ定義管理部43は、先のステップD2において適合すると判定されたルールの「実行文」に従い、新たなフィルタ定義を作成し、これを第1のフィルタ定義記憶部31に記憶させる(ステップE1)。ステップE1により、第1のフィルタ定義記憶部31には、新たな第1のフィルタ定義が追加されることになる。 As shown in FIG. 3, first, the filter definition management unit 43 creates a new filter definition according to the “executed statement” of the rule determined to be suitable in the previous step D2, and stores this in the first filter definition storage. Store in the unit 31 (step E1). By step E1, a new first filter definition is added to the first filter definition storage unit 31.
次に、フィルタ定義管理部43は、ルールの「実行文」に規定されている有効期間が経過するまで、待機する(ステップE2)。フィルタ定義管理部43が待機している間、新たなフィルタ定義を用いてステップA2が実行される。よって、以前のステップA2及びB1でフィルタ定義に合致しないと判定されたアラートは、ステップE1の実行後においては、ステップA2においてフィルタ定義に合致すると判断される。 Next, the filter definition management unit 43 waits until the effective period specified in the “executed statement” of the rule elapses (step E2). While the filter definition management unit 43 is on standby, step A2 is executed using the new filter definition. Therefore, the alert determined to not match the filter definition in the previous steps A2 and B1 is determined to match the filter definition in step A2 after execution of step E1.
その後、フィルタ定義管理部43は、ルールの「実行文」に規定されている有効期間が経過すると、ステップE1で追加した第1のフィルタ定義を、第1のフィルタ定義記憶部31から削除する(ステップE3)。その後、運用管理装置1における処理は終了する。
Thereafter, the filter definition management unit 43 deletes the first filter definition added in step E1 from the first filter definition storage unit 31 when the effective period specified in the “executed statement” of the rule has elapsed ( Step E3). Thereafter, the processing in the
ここで、表5〜表7に示すアラーとの一例を用いて、図2及び図3に示した処理について具体的に説明する。先ず、コンピュータシステム10において、下記の表5(アラート例2)に示すようにアラートラッシュが発生した場合を想定する。表5に示すアラートラッシュは、第1のフィルタ定義及び第2のフィルタ定義のいずれにも合致しないため、第2のフィルタリング部22は、このアラートをアラート処理部41に送信する(B2)。アラート処理部41は、受信したアラートをアラート蓄積部33に記憶させる(ステップC1)。
Here, the processing shown in FIG. 2 and FIG. 3 will be specifically described using an example of the alarms shown in Tables 5 to 7. First, it is assumed that alert rush occurs in the
そして、ルール適合判定部42は、条件文「同一タイプ、且つ、同一メッセージのアラートが3件連続で発生している」のルール(表4参照)を取り出した場合に(ステップD1)、取り出したルールが表5に示すアラートに適合すると判定する(ステップD2)。
ルール適合判定部42は、表5に示すアラートを、フィルタ定義管理部43に送信する(ステップD3)。
Then, the rule
The rule
フィルタ定義管理部43は、ステップD1で取り出されたルールの「実行文」に従い、第1のフィルタ定義部記憶部31に、タイプが「ログ監視」、メッセージが「error
a」となったフィルタ定義を追加する(ステップE1)。これにより、ステップE1の実行から、ルールの「実行文」に規定されている有効期間が経過するまでの間、アラート(表5参照)は、第1のフィルタリング部21でヒットする。よって、第2のフィルタリング部22では、フィルタリング処理は実行されない。
In accordance with the “executed statement” of the rule extracted in step D1, the filter definition management unit 43 stores the type “log monitoring” and the message “error” in the first filter definition unit storage unit 31.
The filter definition that becomes “a” is added (step E1). As a result, the alert (see Table 5) hits in the first filtering unit 21 from the execution of step E1 until the validity period specified in the “executed statement” of the rule elapses. Therefore, the filtering process is not executed in the second filtering unit 22.
更に、フィルタ定義管理部43は、ルールの「実行文」に従い30秒間待機する(ステップE2)。そして、フィルタ定義管理部43は、有効期間(30秒間)の経過後、ステップE1で追加したフィルタ定義(タイプ「ログ監視」、メッセージ「error a」)を削除する(ステップE3)。 Further, the filter definition management unit 43 waits for 30 seconds in accordance with the “executed statement” of the rule (step E2). Then, after the validity period (30 seconds) has elapsed, the filter definition management unit 43 deletes the filter definition (type “log monitoring”, message “error a”) added in step E1 (step E3).
また、コンピュータシステム10において、下記の表6(アラート例3)に示すようにアラートラッシュが発生した場合を想定する。表6に示すアラートラッシュも、表5の場合と同様に、アラート蓄積部33に記憶される(ステップC1)。
Further, it is assumed that alert rush occurs in the
そして、ルール適合判定部42は、条件文「同一タイプ、且つ、同一メッセージのアラートが1秒間に5件発生している」のルール(表4参照)を取り出した場合に(ステップD1)、取り出したルールが表6に示すアラートに適合すると判定する(ステップD2)。ルール適合判定部42は、表6に示すアラートを、フィルタ定義管理部43に送信する(ステップD3)。
Then, the rule
次に、この場合も、ルールの実行文に従って、第1のフィルタ定義が追加される(ステップE1)、有効期間の経過後(ステップE2)、追加された第1のフィルタ定義は削除される(ステップE3)。 Next, also in this case, the first filter definition is added according to the execution statement of the rule (step E1), and after the validity period has passed (step E2), the added first filter definition is deleted (step E2). Step E3).
更に、コンピュータシステム10において、下記の表7(アラート例4)に示すようにアラートラッシュが発生した場合を想定する。表7に示すアラートラッシュも、表5の場合と同様に、アラート蓄積部33に記憶される(ステップC1)。
Furthermore, it is assumed that alert rush occurs in the
そして、ルール適合判定部42は、条件文「タイプ「ログ監視」、且つ、メッセージ「error 数字」のアラートが3件連続で発生している。」のルール(表4参照)を取り出した場合に(ステップD1)、取り出したルールが表7に示すアラートに適合すると判定する(ステップD2)。ルール適合判定部42は、表7に示すアラートを、フィルタ定義管理部43に送信する(ステップD3)。
Then, the rule
次に、この場合も、ルールの実行文に従って、第1のフィルタ定義が追加され(ステップE1)、有効期間の経過後(ステップE2)、追加された第1のフィルタ定義は削除される(ステップE3)。 Next, also in this case, according to the execution statement of the rule, the first filter definition is added (step E1), and after the validity period has passed (step E2), the added first filter definition is deleted (step E3).
次に、図4及び図5を用いて運用管理装置1におけるルール更新処理について説明する。先ず、図4を用いてルール更新処理の全体について説明する。図4は、本発明の実施の形態における運用管理装置によるルール更新処理を示すフロー図である。
Next, rule update processing in the
先ず、図4に示すように、分析部5において、蓄積アラート分析部51が、アラートの発生頻度及び傾向を分析し、分析結果に基づいて、ルール適合判定部42で用いられるルールの候補(ルール候補)を作成する(ステップF1)。
First, as shown in FIG. 4, in the
次に、蓄積アラート分析部51は、ステップF1で作成したルール候補が、既にルール記憶部34に記憶されていないかどうか判定する(ステップF2)。ステップF1での判定の結果、ルール候補が既にルール記憶部34に記憶されている場合は、分析部5における処理は終了する。一方、判定の結果、ルール候補が既にルール記憶部34に記憶されてない場合は、ルールチェック部52によってステップG1が実行される。
Next, the accumulated alert analysis unit 51 determines whether the rule candidate created in Step F1 is already stored in the rule storage unit 34 (Step F2). If the rule candidate is already stored in the
ステップG1では、ルールチェック部52は、ステップF1で作成されたルール候補に基づいて追加される第1のフィルタ定義が、第2のフィルタリング部22が用いる第2のフィルタ定義と一致するかどうかを判定する。
In step G1, the
ステップG1での判定の結果、一致する場合は、分析部5における処理は終了する。一方、ステップG1での判定の結果、一致しない場合は、ルールチェック部52は、作成したルール候補を、新たなルールとして、ルール記憶部34に記憶させる(ステップG2)。これにより、ルール適合判定部42は、追加された新たなルールを用いて、アラートとの照合を実行する。ステップG2の終了後、分析部5における処理は終了する。
If the result of determination in step G1 is a match, the processing in the
ここで、図5を用いて、図4に示したステップF1(分析処理及びルール作成処理)の具体例について説明する。図5は、図4に示されたルール更新処理に含まれる分析処理及びルール作成処理を具体的に示すフロー図である。また、以下の説明では、コンピュータシステム10において、表8に示すアラートが発生し、これがアラート蓄積部33に記憶されていることを想定して説明する。
Here, a specific example of step F1 (analysis processing and rule creation processing) shown in FIG. 4 will be described with reference to FIG. FIG. 5 is a flowchart specifically showing analysis processing and rule creation processing included in the rule update processing shown in FIG. Further, in the following description, it is assumed that the alert shown in Table 8 occurs in the
図5に示すように、先ず、蓄積アラート分析部51は、アラート蓄積部33からアラートを取り出し、取り出したアラートをタイプ別に分類する(ステップI1)。表9は、タイプ別に分類されたアラートを示している。次に、蓄積アラート分析部51は、タイプ別に分類されたアラートを更に単語数に基づいて分類する(ステップI2)。表10は、単語数に基づいて分類されたアラートを示している。
As shown in FIG. 5, first, the accumulated alert analysis unit 51 extracts alerts from the
続いて、蓄積アラート分析部51は、メッセージの単語数が同一となるアラートの組み合わせ毎に、同一単語の個数と、同一単語が出現する確率(ヒット割合)とを算出する(ステップI3)。表11は、ステップI3による算出結果を示している。なお、表11では、単語数が2の場合の算出結果のみが示されている。 Subsequently, the accumulated alert analysis unit 51 calculates the number of the same words and the probability (hit ratio) that the same words appear for each combination of alerts having the same number of words in the message (step I3). Table 11 shows the calculation result of step I3. In Table 11, only the calculation result when the number of words is 2 is shown.
次に、蓄積アラート分析部51は、ヒット割合が上位の組み合わせを特定し、各組み合わせのメッセージにおいて、同一でない単語を「※」とし、得られたメッセージをルール候補とする(ステップI4)。表12は、作成されたルール候補を示している。また、ステップI4では、蓄積アラート分析部51は、ルール候補の形式を表4に準じた形式へと変換することもできる。 Next, the accumulated alert analysis unit 51 identifies combinations having higher hit ratios, sets a non-identical word as “*” in each combination message, and sets the obtained message as a rule candidate (step I4). Table 12 shows the created rule candidates. In step I4, the accumulated alert analyzing unit 51 can also convert the rule candidate format into a format conforming to Table 4.
ステップI4の終了後、図4に示したステップF2が実行される。なお、蓄積アラート分析部51による分析処理及びルール作成処理のアルゴリズムは、図4に示すアルゴリズムに限定されるものではない。本実施の形態では、他のアルゴリズムが用いられていても良い。 After completion of step I4, step F2 shown in FIG. 4 is executed. Note that the algorithm of analysis processing and rule creation processing by the accumulated alert analysis unit 51 is not limited to the algorithm shown in FIG. In this embodiment, other algorithms may be used.
また、本実施の形態におけるプログラムは、コンピュータに、ステップA1〜A4、B1〜B3、C1、D1〜D5、E1〜E3、F1〜F2、G1〜G2、I1〜I4(図2〜図5参照)を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における運用管理装置1と運用管理方法とを実現することができる。この場合、コンピュータのCPU(Central ProcessingUnit)は、フィルタリング処理部2、処理部4、及び分析部5として機能し、処理を行なう。また、コンピュータに備えられたハードディスク等の記憶装置は、記憶部3として機能することができる。
In addition, the program in the present embodiment causes the computer to execute steps A1 to A4, B1 to B3, C1, D1 to D5, E1 to E3, F1 to F2, G1 to G2, I1 to I4 (see FIGS. 2 to 5). ) Can be used. By installing and executing this program on a computer, the
更に、本実施の形態では、運用管理装置1において、フィルタリング処理部2、記憶部3、処理部4、及び分析部5は、それぞれ別のコンピュータによって実現されていても良い。この場合、各コンピュータは、ネットワークによって接続され、一つの運用管理装置1として機能することとなる。
Furthermore, in the present embodiment, in the
また、この場合、各コンピュータには、対応する処理を実行するプログラムがインストールされることになる。例えば、フィルタリング処理部2として機能するコンピュータには、ステップA1〜A4、及びステップB1〜B3を実行させるプログラムがインストールされる。また、処理部4として機能するコンピュータには、ステップC1、ステップD1〜D5、及びステップE1〜E3を実行させるプログラムがインストールされる。更に、分析部5として機能するコンピュータには、ステップG1〜G2、及びステップI1〜I4を実行させるプログラムがインストールされる。
In this case, a program for executing a corresponding process is installed in each computer. For example, a program that executes steps A1 to A4 and steps B1 to B3 is installed in the computer that functions as the
以上のように、本実施の形態では、第2のフィルタリング部22が動作する前に、第1のフィルタリング部21が動作する。このため、第2のフィルタリング部22でヒットしないアラートが大量に発生した場合、この大量のアラートは、第1のフィルタリング部21によってフィルタリングされるので、第2のフィルタリング部22のフィルタリング処理における負荷が高くなり過ぎないようにすることができる。 As described above, in the present embodiment, the first filtering unit 21 operates before the second filtering unit 22 operates. For this reason, when a large number of alerts that do not hit the second filtering unit 22 are generated, the large number of alerts are filtered by the first filtering unit 21, so that the load in the filtering process of the second filtering unit 22 is increased. You can avoid getting too expensive.
また、本実施の形態では、アラートの発生を契機として、ルール適合判定部42は、アラートが複数のルールのいずれに適合するかを判定し、適合するルールに応じて、動的に、第1のフィルタ定義を更新することがきる。このため、本実施の形態によれば、アラートラッシュのような、突発的な変化にも対応でき、管理者の負担が軽減される。
Further, in the present embodiment, triggered by the occurrence of an alert, the rule
更に、本実施の形態では、ルールに適合しないアラートが発生していた場合は、このアラートは蓄積され、分析の対象となる。つまり、分析部5によって、蓄積されているアラートの分析が行われ、これに対応する新たなルールが作成される。この結果、新たなルールに基づいて、フィルタ定義の追加が行われるので、ルールに適合しないアラートが発生しても、このアラートをフィルタリングによって抽出することが可能となる。また、アラートの分析及び新たなルールの作成は、運用管理装置1における余剰処理時間に行うことができ、運用管理装置1に余分な負荷がかかるのを抑制することができる。
Furthermore, in the present embodiment, when an alert that does not conform to the rules has occurred, the alert is accumulated and becomes an analysis target. That is, the
本発明によれば、コンピュータシステムの運用管理において、アラートに応じてフィルタ定義を動的に更新でき、更に、管理者の負担を軽減できる。よって、本発明は、コンピュータシステム、特には大規模なコンピュータシステムの運用及び管理に有用である。 According to the present invention, in the operation management of a computer system, a filter definition can be dynamically updated according to an alert, and the burden on the administrator can be reduced. Therefore, the present invention is useful for the operation and management of computer systems, particularly large-scale computer systems.
1 運用管理装置
2 フィルタリング処理部
3 記憶部
4 処理部
5 分析部
10 コンピュータシステム
11 アラート処理装置
21 第1のフィルタリング部
22 第2のフィルタリング部
31 第1のフィルタ定義記憶部
32 第2のフィルタ定義記憶部
33 アラート蓄積部
34 ルール記憶部
41 アラート処理部
42 ルール適合判定部
43 フィルタ定義管理部
51 蓄積アラート分析部
52 ルールチェック部
DESCRIPTION OF
Claims (15)
前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出する、複数のフィルタリング部と、
前記複数のフィルタリング部のいずれによっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ルール適合判定部と、
いずれかの前記ルールが前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、前記複数のフィルタリング部のいずれかの前記定義を更新する、フィルタ定義管理部と、
を備えていることを特徴とする運用管理装置。 An operation management apparatus for performing operation management of a computer system,
A plurality of filtering units that extract alerts that meet a definition from alerts generated in the computer system;
The alert that has not been extracted by any of the plurality of filtering units is collated with two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. A rule conformity determination unit;
A filter definition management unit that updates the definition of any of the plurality of filtering units based on a rule determined to match when any of the rules is determined to match the alert that has not been extracted. When,
An operation management device comprising:
前記フィルタ定義管理部が、最初に前記アラートの抽出を行うフィルタリング部の前記定義を更新する、請求項1または2に記載の運用管理装置。 The plurality of filtering units are connected in cascade,
The operation management apparatus according to claim 1, wherein the filter definition management unit updates the definition of a filtering unit that first extracts the alert.
前記フィルタ定義管理部が、前記有効期間の経過時に、前記新たな定義を削除する、請求項1〜3のいずれかに記載の運用管理装置。 The rule includes a matching condition, a new definition added when the matching condition is met, and a validity period of the new definition;
The operation management apparatus according to claim 1, wherein the filter definition management unit deletes the new definition when the validity period elapses.
前記ルール適合判定部が、前記分析部によって一致しないと判定された場合に、作成された前記ルールを用いて照合を行う、請求項2に記載の運用管理装置。 The analysis unit determines whether the definition updated based on the created rule matches the definition of the filtering unit that does not use the definition,
The operation management apparatus according to claim 2, wherein when the rule conformity determination unit determines that they do not match by the analysis unit, the operation management device performs verification using the created rule.
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの前記フィルタリング処理における前記定義を更新する、ステップと、
を有していることを特徴とする運用管理方法。 A method for managing the operation of a computer system,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step, and
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
An operation management method characterized by comprising:
前記(c)のステップにおいて、最初に実行されるフィルタリング処理における前記定義を更新する、請求項6または7に記載の運用管理方法。 In the step (a), the filtering process is executed a plurality of times in order,
The operation management method according to claim 6 or 7, wherein in the step (c), the definition in the filtering process executed first is updated.
前記(e)のステップで一致しないと判定された場合に、前記(b)のステップにおいて、前記(d)のステップで作成された前記ルールを用いて照合を行う、請求項7に記載の運用管理方法。 (E) further comprising the step of determining whether the definition updated based on the rule created in step (d) matches the definition of the filtering process that does not use the definition;
The operation according to claim 7, wherein, when it is determined in step (e) that they do not match, in step (b), matching is performed using the rules created in step (d). Management method.
前記コンピュータに、
(a)前記コンピュータシステムで発生したアラートから、定義に合致するアラートを抽出するフィルタリング処理を複数回実行する、ステップと、
(b)いずれの前記フィルタリング処理によっても抽出されなかったアラートを、予め設定されている2以上のルールに照合し、いずれかの前記ルールが、前記抽出されなかったアラートに適合するかどうかを判定する、ステップと、
(c)前記(b)のステップで、いずれかの前記ルールが、前記抽出されなかったアラートに適合すると判定された場合に、適合すると判定されたルールに基づいて、いずれかの前記フィルタリング処理における前記定義を更新する、ステップと、
を実行させる、ことを特徴とするプログラム。 A program for managing the operation of a computer system by a computer,
In the computer,
(A) executing a filtering process for extracting an alert that matches a definition from alerts generated in the computer system a plurality of times; and
(B) The alert that has not been extracted by any of the filtering processes is checked against two or more preset rules, and it is determined whether any of the rules matches the alert that has not been extracted. Step,
(C) If any of the rules is determined to match the alert that has not been extracted in the step of (b), based on the rule determined to match, in any of the filtering processes Updating the definition; and
A program characterized by having executed.
前記(c)のステップにおいて、最初に実行されるフィルタリング処理における前記定義を更新する、請求項11または12に記載のプログラム。 In the step (a), the filtering process is executed a plurality of times in order,
The program according to claim 11 or 12, wherein in the step (c), the definition in the filtering process executed first is updated.
前記(e)のステップで一致しないと判定された場合に、前記(b)のステップにおいて、前記(d)のステップで作成された前記ルールを用いて照合を行う、請求項12に記載のプログラム。 (E) determining whether the definition updated based on the rule created in step (d) matches the definition of the filtering process that does not use the definition; Let it run
13. The program according to claim 12, wherein, when it is determined that they do not match in the step of (e), in the step of (b), matching is performed using the rules created in the step of (d). .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009258798A JP5435225B2 (en) | 2009-11-12 | 2009-11-12 | Operation management apparatus, operation management method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009258798A JP5435225B2 (en) | 2009-11-12 | 2009-11-12 | Operation management apparatus, operation management method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011107742A JP2011107742A (en) | 2011-06-02 |
JP5435225B2 true JP5435225B2 (en) | 2014-03-05 |
Family
ID=44231182
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009258798A Expired - Fee Related JP5435225B2 (en) | 2009-11-12 | 2009-11-12 | Operation management apparatus, operation management method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5435225B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5711677B2 (en) * | 2012-02-21 | 2015-05-07 | 日本電信電話株式会社 | Monitoring information analyzing apparatus and method |
JP2014067354A (en) * | 2012-09-27 | 2014-04-17 | Hitachi Solutions Ltd | Message conversion system |
US10725464B2 (en) * | 2018-03-22 | 2020-07-28 | Fisher-Rosemount Systems, Inc. | Systems and methods for managing alerts associated with devices of a process control system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4458493B2 (en) * | 2006-08-10 | 2010-04-28 | 株式会社日立情報システムズ | Log notification condition definition support apparatus, log monitoring system, program, and log notification condition definition support method |
JP2009064098A (en) * | 2007-09-04 | 2009-03-26 | Nec Corp | Operation management system and analysis method to insufficient definition |
JP4888425B2 (en) * | 2008-03-07 | 2012-02-29 | 日本電気株式会社 | Message monitoring system and message filter optimization support method |
JP5240709B2 (en) * | 2008-03-31 | 2013-07-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Computer system, method and computer program for evaluating symptom |
-
2009
- 2009-11-12 JP JP2009258798A patent/JP5435225B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011107742A (en) | 2011-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8601319B2 (en) | Method and apparatus for cause analysis involving configuration changes | |
JP6643211B2 (en) | Anomaly detection system and anomaly detection method | |
US8543689B2 (en) | Apparatus and method for analysing a computer infrastructure | |
US20160378583A1 (en) | Management computer and method for evaluating performance threshold value | |
US20070168696A1 (en) | System for inventing computer systems and alerting users of faults | |
US10747529B2 (en) | Version management system and version management method | |
JP4506520B2 (en) | Management server, message extraction method, and program | |
US9280741B2 (en) | Automated alerting rules recommendation and selection | |
EP3202091B1 (en) | Operation of data network | |
JP5588295B2 (en) | Information processing apparatus and failure recovery method | |
JP5651381B2 (en) | Failure cause determination rule verification device and program | |
CN110855489B (en) | Fault processing method and device and fault processing device | |
JP5435225B2 (en) | Operation management apparatus, operation management method, and program | |
JP6574533B2 (en) | Risk assessment device, risk assessment system, risk assessment method, and risk assessment program | |
JP5417264B2 (en) | Method of providing analysis information | |
JP5503177B2 (en) | Fault information collection device | |
WO2013111317A1 (en) | Information processing method, device and program | |
JP2009245154A (en) | Computer system, method, and computer program for evaluating symptom | |
US20230336409A1 (en) | Combination rules creation device, method and program | |
JP6504611B2 (en) | Monitoring device, information monitoring system, control method of monitoring device, and program | |
JP7263206B2 (en) | Information processing system, information processing system control method, information processing device, and program | |
US12001271B2 (en) | Network monitoring apparatus, method, and program | |
JP6482742B1 (en) | Risk assessment device, risk assessment system, risk assessment method, and risk assessment program | |
JP2019502969A (en) | Method and system for supporting supercomputer maintenance and optimization | |
JP5978804B2 (en) | Program, method and information processing apparatus for managing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121001 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131022 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131113 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131126 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |