JP5578445B2 - 分散監視システム、分散監視方法、及びプログラム - Google Patents

分散監視システム、分散監視方法、及びプログラム Download PDF

Info

Publication number
JP5578445B2
JP5578445B2 JP2011500595A JP2011500595A JP5578445B2 JP 5578445 B2 JP5578445 B2 JP 5578445B2 JP 2011500595 A JP2011500595 A JP 2011500595A JP 2011500595 A JP2011500595 A JP 2011500595A JP 5578445 B2 JP5578445 B2 JP 5578445B2
Authority
JP
Japan
Prior art keywords
node
network
distributed monitoring
mediation
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011500595A
Other languages
English (en)
Other versions
JPWO2010095588A1 (ja
Inventor
貴英 杉田
サベーリオ・ニッコリーニ
フェリィッペ・フィチ
ヤン・ゼードルフ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011500595A priority Critical patent/JP5578445B2/ja
Publication of JPWO2010095588A1 publication Critical patent/JPWO2010095588A1/ja
Application granted granted Critical
Publication of JP5578445B2 publication Critical patent/JP5578445B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5025Ensuring fulfilment of SLA by proactively reacting to service quality change, e.g. by reconfiguration after service quality degradation or upgrade
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、分散監視システム、分散監視方法、及びプログラムに関する。
トラヒック量や回線帯域が増加するにつれて、大規模なネットワークの監視は容易ではなくなる。監視対象のネットワーク全体を把握するには、複数の監視場所においてトラヒックを監視し、発生した複数のイベントの相互関係を比較したり、同種の複数イベントを集約したり、異なる種類の複数イベントを1つのイベントにまとめる(調停)ことが必要となる。特に大量のトラヒックは、スケーラビリティの問題をもたらす。例えば、ユーザに高信頼サービスを提供するために、大規模なISP(Internet Services Provider)は、重要なイベント(障害、コンフィギュレーションの誤り、攻撃、シグナリング設定(課金を想定))を監視している。イベントを検知したとき、イベントに応じた対応をいかに迅速に行うかは、ISPにとって大変重要である。従って、大規模ネットワークの大量のトラフィックを監視可能な高スケーラビリティで高効率な分散監視方式が求められている。
大規模なネットワークの分散監視の方式として、集中型、または階層化した集中型が提案されている。これらの方式は、監視ノードで得られた監視データを全て中央ノードに直接送信するか、中央ノードに送信される前に中間ノードで一旦、集約し調停する。しかし、集中型または階層化した集中型監視方式は、スケーラビリティや信頼性の問題があり、多くの監視アプリケーションには向いていない。
これらの問題を解決するために、“WormShield: Fast Worm Signature Generation with Distributed Fingerprint Aggregation” (IEEE Transactions on Dependable and Secure Computing, Vol. 4, No. 2, pp.88−104, Apr−Jun, 2007) by Min Cai, Kai Hwang, Jianping Pan, Christos Papadopoulos (非特許文献1)が提案されている。
また、“Distributed Aggregation Algorithms with Load−Balancing for Scalable Grid Resource monitoring” (Parallel and Distributed Processing Symposium, 2007. IPDPS2007. IEEE International Volume, Issue, 26−30, March 2007 pp.1−10) by Cai, M., Hwang, K. (非特許文献2)が提案されている。
非特許文献1では、監視アプリケーションは、ワームのシグナチャ生成のためにイベントの合計を計算する処理を行っている。非特許文献2では、監視アプリケーションは、多数ノードの平均のCPU使用率を監視する処理を行っている。非特許文献1、非特許文献2では、P2P(Peer to Peer)ネットワーク技術を用いて処理の負荷分散とスケーラビリティやフォールトトレランスを考慮し、監視情報を受け渡し、集約する方式であるDAT(Distributed Aggregation Tree)を提案している。
DATは、ツリー構造であり、DHT(Distributed Hash Table)のアルゴリズムの1つであるChord上で動作する。ノードからノードへ情報を集約しながら、集約結果は最終的にはDAT上に存在するルートノードに渡される。なお、DHTは、構造化P2Pネットワークの一つである。構造化P2Pネットワークとは、ネットワーク構成(検索要求、経路)を数式で記述できるものである。DHTのアルゴリズムとして良く知られているのは、Chord、Pastry、CAN(Content Addressable Network)などである。これらのDHTのアルゴリズムを用いると、高スケーラビリティやフォールトトレランスが考慮されるので、高信頼でデータを保存したり、データ検索を行うことが可能になる。
各ノードからルートノードに直接情報を送信するのではなく、ノードからノードへ情報を送信することを繰り返した後にルートノードへ情報を送信することで、各ノードから直接ルートノードへ情報を送信するよりも、ルートノードの処理負荷とネットワーク帯域を削減することができる。更に、ツリーの深さができるだけ均一になるようにノードを配置することで、負荷分散を実現している。
しかしながら、非特許文献1、非特許文献2に示される方法は、イベントをカウントするような単純な監視機能であり、非特許文献1、非特許文献2に記載の方式を適用可能な監視対象は限られており、柔軟性がない。
例えば、VoIP(Voice over IP)、IPTV、VOD(Video On Demand)のようなインターネットのアプリケーションは、制御プレーン(シグナリングプレーン)とデータプレーン(ユーザプレーン)で構成されている。そのため、VoIPは、シグナリングを行うプロトコルとしてSIP(Session Initiation Protocol)を、音声信号を送信するプロトコルとしてRTP(Real−time Transport Protocol)を使用し、SIPとRTPはネットワーク上の異なる経路を通過する場合がある。このため、非特許文献1、非特許文献2に提案されている技術では、イベントを効率良く関連付けることができない。
従って、制御プレーンとデータプレーンで発生するイベントを効率良く相互に関連付ける技術が求められている。
上記の説明と関連して、特開2003−158549号公報(特許文献1)には、トラヒック情報収集装置が開示されている。この技術の要求受付ノードでは、IP通信網における特定の2点間のトラヒック情報収集の要求を行うユーザ端末もしくはネットワーク管理端末からのトラヒック情報収集の要求が受信され、受信された要求にしたがって隣接する他通信装置へ該要求を含む情報要求パケットが送信される。隣接する他通信装置から自装置以外の複数の通信装置のトラヒック情報が書込まれた情報回答パケットが受信され、自装置内のトラヒック情報及び受信した情報回答パケットに書込まれたトラヒック情報はとりまとめられる。トラヒック情報収集を要求した端末に、とりまとめられた統括的なトラヒック情報を含む情報回答パケットが送信される。要求中継ノードでは、情報要求パケットが受信され、受信された情報要求パケットに含まれる要求にしたがって自装置内のトラヒック情報により情報回答パケットを作成して要求受付ノードへこの作成された情報回答パケットが送信される。情報要求パケットの送信元以外の隣接する他通信装置へ要求を含む情報要求パケットが転送される。要求終端ノードでは、情報要求パケットが受信され、受信された情報要求パケットに含まれる要求にしたがって自装置内のトラヒック情報により情報回答パケットが作成されて要求受付ノードへこの作成された情報回答パケットが送信される。受信された情報要求パケットは廃棄される。
特開2007−013590号公報(特許文献2)には、ネットワーク監視システムが開示されている。この技術では、それぞれの監視回線を流れる通信信号の通信情報が常時収集され、通信信号が有するヘッダ情報に基づいて、パケット情報と、送信元及び又は送信先を関連付けたフロー統計情報とが求められ、予め設定された物理的な集約対象でグループ化してトラフィック情報が集計される。
また、収集するイベント属性を指定して監視機能を提供する仕組みとして、“A Scalable Distributed Information Management System” Praveen Yalagandula,Mike Dahlin (ACM SIGCOMM Computer Communication Review Volume34, Issue4 (October2004)Pages:379−390 Year of Publication:2004) (非特許文献3)が提案されている。
しかしながら、非特許文献3に示される方法は、ノードが構成するツリー自体で負荷分散を考慮することはしていない。
ネットワークの広域監視において、管理者はネットワークから情報を収集するが、収集した情報の内容によっては、更に詳細な情報を得たい場合がある。例えば、ワームが発生したというイベントが発生した場合に、実パケットの情報を参照することがある。
このようなオペレーションを実現するためには、ネットワーク全体からイベントを収集するだけではなく、イベントに関連した情報の詳細を把握する機能(以下、バックトラッキング機能と呼ぶ)が広域監視の仕組みとして必要である。
しかしながら、非特許文献1、2、3では、バックトラッキング機能はもたないため、収集した情報の詳細を後から管理者が参照することは困難である。
特開2003−158549号公報 特開2007−013590号公報
"WormShield: Fast Worm Signature Generation with Distributed Fingerprint Aggregation," by Min Cai, Kai Hwang, Jianping Pan, Christos Papadopoulos (IEEE Transactions on Dependable and Secure Computing, Vol. 4, No. 2, pp.88−104, Apr−Jun, 2007) "Distributed Aggregation Algorithms with Load−Balancing for Scalable Grid Resource monitoring" by Cai, M., Hwang, K., (Parallel and Distributed Processing Symposium, 2007. IPDPS2007. IEEE International Volume, Issue, 26−30 March 2007 Page(s):1−10) "A Scalable Distributed Information Management System" Praveen Yalagandula,Mike Dahlin (ACM SIGCOMM Computer Communication Review Volume34, Issue4 (October2004)Pages:379−390 Year of Publication:2004)
本発明は、スケーラビリティとフォールトレランスを考慮し、負荷分散しながら、制御プレーンとデータプレーンを使用するアプリケーションの監視のような、高度な機能の監視も可能な分散監視システムを提供する。
更に、本発明では、必要に応じて、上記の分散監視システムにバックトラッキング機能を追加する。
本発明の第1の観点では、ネットワーク分散監視方法は、管理ネットワークに接続された複数のノードを含むネットワークにおいて、複数のノードのうちの第1プローブノードの各々において、複数の第1の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上の第1トラヒックを検出して第1検出メッセージを生成するステップと、対応する第1アプリケーションの種類を示す第1機能識別子だけ、あるいはそれと第1トラヒックのアドレス情報との第1ハッシュ値と管理ネットワークの第1トラヒックのDATとから決定されるノードに第1検出メッセージを送信するステップと、複数のノードのうちの第1メディエーションノードにおいて複数の第1の予め決められたアプリケーションに対する検出メッセージに第1メディエーション処理をして第1メディエーション処理結果を生成するステップと、複数のノードのうちの第1コレクタノードにおいて第1メディエーション処理結果を格納するステップとを備える。
本発明の第2の観点では、計算機読み取り可能なプログラムは、管理ネットワークに接続された複数のノードを含むネットワークにおいて、複数の予め決められたアプリケーションのうちの対応するアプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成するステップと、対応するアプリケーションの種類を示す機能識別子だけ、あるいはそれとトラヒックのアドレス情報とハッシュ値と管理ネットワークのトラヒックのDATとから決定されるノードに検出メッセージを送信するステップとを実行するプローブノードとして計算機を機能させるためのものである。なお、このプログラムは、記憶媒体(メディア)に記憶することができる。
本発明の第3の観点では、ネットワーク分散監視システムは、管理ネットワークと、管理ネットワークに接続された複数のノードとを備え、複数のノードのうちのプローブノードの各々は、複数の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成し、対応するアプリケーションの種類を示す機能識別子だけの、あるいはそれとトラヒックのアドレス情報とのハッシュ値と管理ネットワークのトラヒックのDATとから決定されるノードに検出メッセージを送信し、複数のノードのうちのメディエーションノードは、複数の予め決められたアプリケーションに対する検出メッセージにメディエーション処理をしてメディエーション処理結果を生成し、複数のノードのうちのコレクタノードは、メディエーション処理結果を格納する。
本発明の他の観点では、ネットワーク分散監視システムにおいて使用されるノードが提供される。
上記の各観点において、複数のノードのうちのコレクタノードは、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせする機能を持つ場合がある。また、あるイベントに関係するパケットをキャプチャした全てのプローブノードは、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信する機能を持つ。更に、バックトラッキングするために、各ノードは、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持つようにしても良い。
本発明によれば、イベントを計数するような単純な監視アプリケーションだけではなく、制御プレーンとデータプレーンのイベントの関連付けが必要なアプリケーションの監視など、高度な監視を実現できる柔軟な監視システムが提供される。
また、本発明によれば、異なる監視対象アプリケーションが共存することができる。監視対象アプリケーションは異なっていても、監視に使用される機能がそれらに共通である場合、同じ監視機能を用意し、あるいは開発(二重開発)する必要がない。
更に、本発明によれば、バックトラッキング機能を追加することで、管理者がパケットの詳細情報を参照できるようになる。
図1は、本発明の第1実施形態による分散監視システムを示す図である。 図2は、本発明の第1実施形態による分散監視システムにおける管理ノードネットワークの構成例を示す図である。 図3は、本発明の第1実施形態による分散監視システムにおける監視ノードの構成を示すブロック図である。 図4は、本発明の第1実施形態による分散監視システムにおけるルールテーブルの例を示す図である。 図5は、本発明の第1実施形態による分散監視システムにおける監視テーブルの例を示す図である。 図6は、本発明の第1実施形態による分散監視システムにおけるノードテーブルを示す図である。 図7Aは、本発明の第1実施形態による分散監視システムにおける監視ノードの動作を示すフローチャートである。 図7Bは、本発明の第1実施形態による分散監視システムにおける監視ノードの動作を示すフローチャートである。 図8は、本発明の第2実施形態による分散監視システムを示す図である。 図9は、本発明の第2実施形態における構成を示すブロック図である。 図10Aは、本発明による分散監視システムにおける管理ノードネットワークの例を示す図である。 図10Bは、本発明による分散監視システムにおける管理ノードネットワークに対応するDAT構成を示す図である。 図11は、本発明の第3実施形態による分散監視システムにおけるバックトラッキング機能を搭載した監視ノードの構成を示すブロック図である。 図12は、本発明の第3実施形態による分散監視システムにおけるバックトラックテーブルの例を示した図である。 図13は、本発明の第3実施形態による分散監視システムにおけるバックトラッキング機能を搭載した監視ノードの動作を示すフローチャートである。 図14は、本発明の各実施形態による分散監視システムを実現するためのハードウェア構成の一例を示すブロック図である。
以下に添付図面を参照して、本発明の分散監視システムが適用される通信システムをVoIPを例に取って詳細に説明する。
ここでは、プローブまたはプローブノードとは、ネットワークインタフェース(Network Interface)からパケットをキャプチャしパケットに関する情報を提供する役割をするものである。メディエーションは、ノードから得た情報を組み合わせたり、削減したりする機能である。メディエーション機能を持つノードをメディエータと呼ぶ。コレクタは、メディエーションされた全情報を収集するノードである。ノードは、ネットワーク上に存在する装置である。プローブ、メディエータ、コレクタは、ノードの一種である。プローブの機能とメディエータの機能を持つ装置もノードと呼ぶ。
<第1実施形態>
図1は、本発明の第1実施形態による分散監視システムを示す図である。図1に示すように、分散監視システムは、管理系ネットワーク50を備える。管理系ネットワーク50には、複数の監視ノード51−i(i=1,2,・・・,n)とサーバ53が接続されている。また、複数の監視ノード51−iは、それぞれ監視対象ネットワーク内の所定の位置に配置されており、監視対象ネットワーク内の配置位置を流れるトラヒックを監視している。各監視ノード51−iは、ノードIDを有している。各ノード51−iは、トラヒックの監視結果について、管理系ネットワーク50を介して他のノード51−j(i≠j)に送信する。この例では本発明の内容を理解し易くするために、サーバ53を1台としているが、実サービスではサーバは複数台になっても良い。
図2は、本発明の分散監視システムのメッセージの転送例を示している。図10Aは、本発明の転送例を詳細に示し、図10Bは、DAT構造を示している。管理系ネットワーク50は、16個の監視ノードN2,N4,・・・,N30と、サーバ53を有している。サーバ53は、上記の監視ノードのうち、少なくとも監視ノードN2,N6,N16,N18,N22,N24に、ルールテーブルと、監視テーブル(後述する)を配信する。サーバ53は、ノードテーブル(後述する)を全監視ノードに配信する。
監視ノードN2は、それを通るトラヒックを監視してSIPアプリケーションの通話Aと通話BのSIPパケットを検出して、監視ノードN18に送信する。監視ノードN6は、それを通るトラヒックを監視して通話BのRTPパケットを検出して、監視ノードN22に送信する。監視ノードN16は、それを通るトラヒックを監視して通話AのRTPパケットを検出し、監視ノードN24に送信する。監視ノードN18は、監視ノードN2からの通話A,BのSIPパケットの検出結果を監視ノードN22に転送する。監視ノードN22は、監視ノードN6から通話BのRTPパケットの検出結果を受信し、監視ノードN18から通話BのSIPパケットの検出結果を受信して、それらの検出結果の相関を求めて、その結果を監視ノードN24に送信する。監視ノードN24は、監視ノードN22から通話Bの相関処理結果を受信して、格納する。また、監視ノードN24は、監視ノードN22から通話AのSIPパケットの検出結果を受信し、監視ノードN16から通話AのRTPパケットの検出結果を受信し、それらの検出結果の相関を求めて、その結果を格納する。
この例では、2つの相関の結果が共に監視ノードN24に格納されているが、本発明はこれに限られず、別の監視ノードにそれぞれ格納されても良い。
図3は、本発明における第1実施形態による分散監視システム内の各監視ノード内の構成を示すブロック図である。図3を参照して、第1実施形態による各監視ノード51−iは、主信号系ネットワークインタフェース部101、受信部102、検知部103、管理系ネットワークインタフェース部201、受信部202、DHT/DAT部203、監視部204、送信部205、格納部110を備えている。格納部110には、ルールテーブル111、監視テーブル211、ノードテーブル212、監視結果データバッファ213、DATバッファ214が格納されている。監視ノードの格納部110以外の各部は、ハードウェアとして、ソフトウェアとして、あるいは混合型として実現されても良い。ソフトウェアとして実現されるときには、監視ノード内の記憶装置にプログラムが固定的に格納され、あるいは外部の記憶媒体(メディア)からロードされ、CPUまたはプロセッサがそのプログラムを実行することにより実現される。
受信部102は、主信号系ネットワークインタフェース部101を介して、監視対象ネットワーク52からトラヒックデータを受信する。受信部102は、トラヒックデータに対して、トラヒック監視のために必要なセッション管理や、ストリーム再構築等を必要に応じて行うことができる。受信部102は、トラヒックデータ中に含まれるメッセージを検知部103に送る。
検知部103は、受信部102からメッセージを受け取ると、ルールテーブル111に登録されているルールを参照し、メッセージがルールに該当するか否かを確認する。検知部103は、メッセージがルールに該当することを検知すると、監視部204へ通知メッセージを送る。
図4は、ルールテーブル111を示す。ルールテーブル111は、複数のエントリを有し、各エントリには、検知されるべきメッセージを特定するためのルールが登録されている。これらのルールは、サーバ53から、監視ノードに送信され、ルールテーブル111に格納される。すなわち、サーバ53は、これらのルールを監視ノードに送信する。監視ノードは、これらのルールを受信してルールテーブル111に格納する。例えば、あるルールでは、プロトコルはSIPである。送信元IPアドレスは192.168.0.1である。送信先IPアドレスは192.168.0.11である。送信元SIP−URI(Uniform Resource Identifier)はsender1@sip.comである。送信先SIP−URIはreceiver1@sip.comである。SIPメソッドはINVITEである。このルールは、そのようなメッセージが、1秒間に1個流れたことを確認するためのものである。
監視部204は、検知部103から受け取った通知メッセージを、監視テーブルに格納されているデータに従って処理する。
図5は、監視テーブル211の一例を示している。監視テーブル211は、複数のエントリを示している。監視テーブル211の各エントリは、連続番号、監視されるべき機能を示す機能名、監視されるべき機能を特定するための機能識別子(監視されるべきアプリケーションの種類を示す識別子)、ハッシュ関数の引数、メディエーションタイプのデータを有している。これらのエントリは、サーバ53から、監視ノードに送信され、監視テーブル211に格納される。すなわち、サーバ53は、これらのエントリを監視ノードに送信する。監視ノードは、これらのエントリを受信して監視テーブル211に格納する。例えば、番号7のエントリでは、機能名は、VoIP監視である。機能識別子は7である。ハッシュ関数の引数は、機能識別子である。メディエーションタイプはSIPとRTPの相関(IPアドレス、ポート番号)である。また、番号8のエントリでは、機能名は、IPTV監視である。機能識別子は8である。ハッシュ関数の引数は、機能識別子、送信元IPアドレスである。メディエーションタイプはSIPとRTPの相関(IPアドレス、ポート番号)である。この例では、機能識別子と送信元IPアドレスを用いているが、送信先IPアドレスでも良く、あるいは両方のIPアドレスを用いても良い。更に、送信元のURIと送信先URIの両方あるいは一方を用いても良い。ハッシュ関数の入力を選択することにより、動的にスケーラビリティを制御できる。
監視部204は、検知部103から受け取った通知メッセージ内の機能識別子を抽出し、抽出された機能識別子に対応するエントリがあるか否かを確認する。監視部204は、エントリが存在するときは、監視結果データバッファ213を参照して、監視結果データが格納されているか否かを判断する。また、監視部204は、そのエントリのメディエーションタイプのフィールドを参照して、通知メッセージ内の監視結果データと監視結果データバッファ213内の監視結果データとを用いてメディエーション処理を行う。この例では、監視部204は、抽出された機能識別子が7であるとき、IPアドレスとポート番号を参照し、あるSIPセッションに属するRTPの情報があれば、それらをまとめて、VoIPアプリケーションと同じセッションとして関連付けする。監視部204は、あるSIPセッションに属するRTPのデータが監視結果データバッファ213になければ、何もしない。更に、監視部204は、RTPのデータを含む通知メッセージを他の監視ノードから受信したときは、そのRTPのデータを監視結果データバッファ213に格納する。
ハッシュ関数の引数は、機能識別子であるので、監視部204は、ハッシュ関数hash(7)を計算すると24が得られる。こうして、メッセージが最終的に送り届けられるべき監視ノード(ルート監視ノードまたはコレクタ監視ノード)は、ノードIDが24の監視ノードN24であることがわかる。監視部204は、このノードIDと、メディエーション処理した結果をイベントとしてDHT/DAT部203へ渡す。
なお、ハッシュ関数が出力する値により、どのノードがコレクタノードになるかが決まる。そのため、あるノードがあるときはコレクタノードになり、メディエーションノードになる場合がある。更に、ある監視アプリケーションでコレクタになっているノードが別の監視アプリケーションのコレクタになる場合や、ある監視アプリケーションでメディエータになっているノードが別の監視アプリケーションのメディエータになる場合がある。つまり、複数の監視アプリケーションがネットワークを共有する。
DHT/DAT部203は、図2に示される、予め決められたDATを格納するDATバッファ214を参照し、監視部204から受け取った処理結果をDHT/DAT上の次の監視ノードへの送信準備を行う。DHT/DAT部203は、コレクタ監視ノードのノードIDと、自ノードIDに基づいてDATバッファ214のDATを参照し、次の送信先ノードを決定する。図2は、DATの例を示した図である。例えば、DHT/DAT部203は、自ノードのIDが18の場合、ノードID22の監視ノードN22へ、処理結果を含むメッセージを送れば良いことがわかる。次に、DHT/DAT部203は、送信先監視ノードのノードID22に基づいてノードテーブル212を参照し、ノードIDにより特定されるノードのIPアドレスを取得する。図6は、ノードテーブル212の例であり、DHT/DAT部203は、ID22に該当するIPアドレス192.168.0.22へデータを送信すれば良いことがわかる。DHT/DAT部203は、メッセージと取得した送信先IPアドレスを送信部205へ渡す。この例では、予め決められたDATに基づいて送信先が決定されているが、他の方法により送信先が決定されても良い。そのとき、送信先はその都度動的に決定されても良いし、予め決定されていても良い。
送信部205は、DHT/DAT部203からのメッセージを、管理系ネットワークインタフェース部201を介して、送信先IPアドレス宛に送信する。
また、受信部202は、管理系ネットワークインタフェース部201を介して他の監視ノードからメッセージを受信すると、メッセージをDHT/DAT部203を介して監視部204に渡す。監視部204は、上記と同様の処理を実行して、最終的な宛先監視ノードのノードIDを決定し、このノードIDと、メディエーション処理した結果をイベントとしてDHT/DAT部203へ渡す。DHT/DAT部203は、DATバッファ214のDATを参照して、監視部204から受け取った処理結果をDHT/DAT上の次の監視ノードへの送信する準備を行う。
次に、本発明の第1実施形態による分散監視システムの全体動作を説明する。ここでは、監視ノードN2,N6,N16は、プローブノードであり、監視ノードN16と、N22はメディエータノードである。管理ノードN24は、コレクタノードである。
今、監視ネットワーク上に、通話A,通話Bの2つのVoIPの通話が発生したとする。更に、通話A、通話BのSIPトラヒックがプローブN2を通過し、通話AのRTPトラヒックがN16を、通話BのRTPトラヒックがN6を通過したとする。
まず、通話Aについて考える。監視ノードN2が、図4のルールテーブル111を用いて、SIPパケットを検知する。また、図5の監視テーブル211より、VoIP監視の機能識別子は7であることがわかる。ここで、ハッシュ関数hash(7)=24より、コレクタ監視ノードのノードIDが24であることがわかるので、図2のDATより、監視ノードN2は、監視ノードN18に監視結果データと機能識別子を含むメッセージを送信する(store(hash(7))=<7,DATA>と表現する)。
同様に、監視ノードN16は、RTPパケットの検知を行い、コレクタ監視ノードN24へ監視結果データと機能識別子を含むメッセージを送信する。
監視ノードN2からメッセージを受け取った監視ノードN18は、メッセージ内の機能識別子が、監視ノードN18が持つ監視テーブル211に一致する機能識別子が存在するか否かを判定する。監視ノードN18は、一致する機能識別子が存在する場合には、該当する機能識別子のメディエーションタイプに従って処理を行う。また、監視ノードN18は、一致する機能識別子が存在しない場合には、DATを参照して、受信されたメッセージを監視ノードN22に転送する。監視ノードN18からメッセージを受け取った監視ノードN22も、監視ノード18と同様の動作を行い、メッセージをコレクタ監視ノードN24に転送する。このように処理することにより、コレクタである監視ノードN24にメッセージが届く。監視ノードN24は、SIPとRTPの相関処理を行い、結果を保存する。これにより、ストリームの相関処理が可能になる。
通話Bについても同様な処理を行う。監視ノードN2が、図4のルールテーブル111を用いて、通話BのSIPパケットを検知する。また、図5の監視テーブル211より、VoIP監視の機能識別子は7であることがわかる。ここで、ハッシュ関数hash(7)=24より、コレクタ監視ノードのノードIDが24であることがわかるので、図2のDATより、監視ノードN2は監視ノードN18に監視結果データと機能識別子を含むメッセージを送信する(store(hash(7))=<7,DATA>と表現する)。
同様に、監視ノードN6は、RTPパケットの検知を行い、監視結果ノードN22へ監視結果データと機能識別子を含むメッセージを送信する。
監視ノードN2からメッセージを受け取った監視ノードN18は、メッセージ内の機能識別子が、監視ノードN18が持つ監視テーブル211に一致する機能識別子が存在するか否かを判定する。監視ノードN18は、一致する機能識別子が存在する場合には、該当する機能識別子のメディエーションタイプに従って処理を行う。また、監視ノードN18は、一致する機能識別子が存在しない場合には、DATを参照して、受信されたメッセージを監視ノードN22に転送する。
監視ノードN22は、監視ノードN18からメッセージと、監視ノードN6から受信されるメッセージとに基づいて定まるメディエーションタイプに規定されたメディエーション処理(相関処理)を行い、その処理結果をコレクタ監視ノードN24に送信する。コレクタ監視ノードN24は、処理結果を受信して、格納する。これにより、ストリームの相関処理が可能になる。
ここで、監視ノードN22でSIPの監視結果データとRTPの監視結果データがそろうと、監視ノードN22は、相関処理を行う。全ての監視結果データの相関がとれると、監視ノードN24は処理結果を保存する。なお、DAT上のどのノードでも(get(hash(7))=7)を実行することができる。このget()要求は、コレクタ監視ノードN24に転送され、監視機能に関する全ての監視結果データをget()要求元に送り返す。また、ハッシュ関数の引数に例えばSIPユーザ名を指定することで、該当する監視データのみを取り出すことも可能である。
なお、ハッシュにかける対象は、機能識別子だけでなく、機能識別子とアドレス情報でも良い。例えば、機能識別子と送信元IPアドレス、あるいは送信元IPアドレスと送信先IPアドレスである。更に、送信元URIと送信先URIの両方あるいは一方を用いても良い。ハッシュ関数の入力を選択することにより、動的にスケーラビリティを制御できる。
次に、本発明の第1実施形態による分散監視システムで使用される各監視ノードの動作を図7A、図7Bを参照して説明する。
まず、図7Aを参照して、他のノードから受信したメッセージを他の監視ノードへ送信する動作について説明する。
(1)ステップS1
監視ノードN2が主信号系ネットワークインタフェース部101を介してネットワーク上を流れるパケットを受信すると、受信部102は、レイヤーL2、L3、L4の終端処理を行う。
(2)ステップS2
続いて、受信部102は、IPアドレスやポート番号をもとにしたセッション管理を行い、TCPやSCTPパケットの場合はストリーム再構築を行い、パケットを検知部103に転送する。
(3)ステップS3
検知部103は、ルールテーブル111に登録されているルールに、受信パケットがマッチするか否かを確認する。図4の例では、検知部103は、パケットにIPアドレスやSIP−URIなどが含まれているか否かを検査する。検知部103は、検査した結果としてルール(フィルタリング条件)に該当する場合は、監視部204へイベントを通知する。ルールテーブル111にルール(フィルタリング条件)を登録することで、監視アプリケーションはフィルタリング条件のデータにより予め決められる。
(4)ステップS4
監視部204は、検知部103から受け取ったイベントに関連するイベントを他ノードから受信しているか否かを確認する。
(5)ステップS5
監視部204は、他ノードからメッセージを受信している場合には、イベントを集約する。
(6)ステップS6
その後、監視部204は、監視テーブル211(図5)のメディエーションタイプに従って処理を行う。この例では、監視ノードN2は、他ノードからイベントを受け取っていないので、監視部204は、ノードID2を持つノードが検知したイベントのみをメディエーションタイプに従って処理する。監視部204は、コレクタ監視ノードN24のノードIDとメディエーション処理した結果をDHT/DAT部203へ渡す。
(7)ステップS7
続いて、DHT/DAT部203は、DATバッファ214のDATを参照して、DHT/DAT上の次のノードへイベントを送信する準備を行う。DHT/DAT部203は、DATバッファ214のDATを参照し、コレクタ監視ノードのノードIDから、メッセージの送信先のノードを決定する。図2の例では、ノードIDが18の監視ノードN18に送信することになる。DHT/DAT部203は、ノードテーブル212を参照してノードID18のIPアドレスを取得し、送信部205へ渡す。
(8)ステップS8
送信部205は、管理系ネットワークインタフェース部201を介して、DHT/DAT部203より受け取ったイベントを次ノードのIPアドレス宛に送信する。
次に、図7Bを参照して、他の監視ノードから送信されたメッセージを受信する動作について説明する。
(1)ステップS11
他の監視ノードから送信されたメッセージは、管理系ネットワークインタフェース部201を介して受信部202により受信される。受信部202は、受信したメッセージをDHT/DAT部203を介して監視部204に転送する。
(2)ステップS12
監視部204は、DHT/DAT部203からメッセージを受け取ると、そのメッセージに監視結果データを含んでいるか否かを調べる。このとき、監視部204は、メッセージ内の機能識別子が監視テーブル211に登録されていれば、その機能識別子に基づいて、監視結果データ(例えば、RTPデータ)を、コレクタ監視ノードに転送するために必要なデータとともに、監視結果データバッファ213に格納する。
(3)ステップS13
DHT/DAT部203から受信されるメッセージが監視結果データ(SIPデータ)を含んでいるとき、監視部204は、機能識別子に基づいて、監視結果データバッファ213に格納されているRTPデータとSIPデータの相関を取るメディエーション処理を実行する。その後、監視部204は、コレクタ監視ノードN24のノードIDとメディエーション処理した結果をDHT/DAT部203へ渡す。
(4)ステップS14
続いて、DHT/DAT部203は、DATバッファ214のDATを参照して、DHT/DAT上の次のノードへメッセージを送信する準備を行う。DHT/DAT部203は、DATバッファ214のDATを参照し、コレクタ監視ノードのノードIDから、メッセージの送信先のノードを決定する。図2の例では、ノードIDが18の監視ノードN18に送信することになる。DHT/DAT部203は、ノードテーブル212を参照してノードID18のIPアドレスを取得し、送信部205へ渡す。
(5)ステップS15
送信部205は、管理系ネットワークインタフェース部201を介して、DHT/DAT部203より受け取ったイベントを次ノードのIPアドレス宛に送信する。
<第2実施形態>
次に、本発明の第2実施形態による分散監視システムについて説明する。
図1は、各監視ノードが全機能を持っているが、図8に示される第2実施形態による分散監視システムにおけるノードは、検知を行う検知ノード120と監視を行う処理ノード220の2種類に分けられている。1つのノードに全機能を持つ場合と機能は変わらない。図3に示す各監視ノード51−iを、検知ノード120と処理ノード220に分けた場合、図8のように1台の処理ノード220に1台または複数台の検知ノード120を接続することができる。
図9は、検知ノード120と処理ノード220を示している。第2実施形態の検知ノード120において、主信号系ネットワークインタフェース部101、受信部102、検知部103、ルールテーブル111は、第1実施形態のそれらと同じである。従って、その構成と動作の説明は省略する。インタフェース部104は、送信機能を有し、受信パケットがルールテーブル111に登録されているルールにマッチするとき、監視ノードとなる処理ノード220にイベントメッセージを送信する。
第1実施形態と同じく、検知部103は、ルールテーブル111に登録されているルール(フィルタリング条件)にマッチするか否かを確認する。監視対象にするアプリケーションは、フィルタリング条件に基づいて予め決められている。
第2実施形態の処理ノード220は、管理系ネットワークインタフェース部201、受信部202、DHT/DAT部203、監視部204、送信部205、インタフェース部206、監視テーブル211、ノードテーブル212、監視結果データバッファ213、DATバッファ214を有している。これらの構成要素のうち、インタフェース部206とDATバッファ214以外のものは、第1実施形態における対応するものと同じである。従って、それらの構成と動作の説明は省略する。インタフェース部206は、受信機能を有し、検知ノード120から送信されるイベントメッセージを受信し、監視部204に転送する。
第1実施形態と同様に、ハッシュにかける対象は、機能識別子だけでなく、機能識別子とアドレス情報でも良い。例えば、機能識別子と送信元IPアドレス、あるいは送信元IPアドレスと送信先IPアドレスである。更に、送信元URIと送信先URIの両方あるいは一方を用いても良い。ハッシュ関数の入力を選択することにより、動的にスケーラビリティを制御できる。
第2実施形態による分散監視システムでも、メディエーション結果は、コレクタ監視ノードN24に集められ、格納されている。
第1実施形態と同様に、ハッシュ関数が出力する値により、どのノードがコレクタノードになるかが決まる。そのため、あるノードがあるときはコレクタノードになり、メディエーションノードになる場合がある。更に、ある監視アプリケーションでコレクタになっているノードが別の監視アプリケーションのコレクタになる場合や、ある監視アプリケーションでメディエータになっているノードが別の監視アプリケーションのメディエータになる場合がある。つまり、複数の監視アプリケーションがネットワークを共有する。
上記の実施形態では、例えば、監視ノードN22では、SIPトラヒックとRTPトラヒックの2つの検出結果を関連付けて、その結果を監視ノードN24に送信している。しかしながら、関連付けられるべきトラヒックの種類は2には限られない。例えば、トラヒックの種類は3以上であっても良い。その場合、1つの監視ノードで全ての種類のトラヒックの検出結果を関連付けているが、例えば第1ノードで、2つの種類のトラヒックの検出結果を関連付け、その結果と残りの種類のトラヒックの検出結果を関連付けても良い。このように、順番に関連付けを行いながら、メッセージが転送されても良い。
また、DATの階層の深さが一定になるように、ノードを配置すれば、より一層負荷分散を行うことができる。DATに限定されず、他のデータアグリゲーションアルゴリズムを適用しても良い。
また、本発明では、VoIP用通信システムの分散監視システムについて説明したが、この分散監視システムの異なる監視アプリケーションが、例えば通信システムのQoS(Quality of Service)の監視とセキュリティの監視を同時に行なっても良い。
また、各テーブルの各フィールドのデータを制限することにより、フィルター機能を実現し、望まれるトラヒックを監視することができる。
また、本発明では、監視ノードがプローブノードとしてどのアプリケーションのトラヒックを監視して検出すべきかは、サーバ53から配布されるルールテーブルで決まり、その検出結果についてのデータが、最終的に送られるべきかコレクタノードは、監視テーブルで決まり、具体的には監視テーブルに規定されたハッシュ関数値を計算してコレクタノードのノードIDが決定されている。そのノードIDとDATとから検出結果が次に送信されるべき監視ノードが決定されている。送信先の監視ノードが関連付けノードであれば、そのノードにより受信された複数の検出結果データが関連付けられ、上述と同様にして、次のノードが決定される。
このように、関連付けられるべきアプリケーションごとに動的にサーバ53から種々のテーブルを監視ノードに配布すれば、ノードに関してばかりでなく、時間的にも負荷を分散することができる。
ルールテーブルや監視テーブルは、管理系ネットワークを介してノードに送付されているとして説明したが、サーバ53からサーバ用ネットワーク(図示せず)を介して送付しても良い。この場合、監視ノードは、サーバとのインターフェースを、上記構成とは別個に有していることが望ましい。また、第2実施形態のように、監視ノードが検知ノードと処理ノードに分けられるときは、サーバ53から検知ノードに対してルールテーブルや監視テーブルを送付し、更に、検知ノードのインターフェース部と処理ノードのインターフェース部とを介して、検知ノードから処理ノードに対して監視テーブルを送付するようにしても良い。
第1、2の実施形態は、DHT/DATでネットワークを構成し、更にハッシュ値でコレクタを決定することにより、スケーラブル、フォールトトレラントでありながら異なる監視アプリケーションをサポートすることができる。
こうして、本発明の監視システムでは、スケーラビリティとフォールトレランスを考慮し、制御プレーンとデータプレーンを使用するアプリケーションの監視のような、高度な機能の監視も可能となる。
<第3実施形態>
次に、本発明の第3実施形態による分散監視システムについて説明する。
本実施形態では、更に、上記の各実施形態による分散監視システムにバックトラッキング機能を追加する事例について説明する。
以下、ワーム検知を例に、バックトラッキング機能の構成、及び動作を説明する。
ワーム検知の場合は、プローブがワームが発生するパケットを検知するフィルタを保持しているとする。プローブがワームが発生させたパケットを検知すると、DATの仕組みを活用して、パケットの情報をメディエータ、コレクタにわたす。コレクタに、ワームのパケットを検知したというイベントが大量に集まった場合、オペレータは、バックトラッキング機能を使うことで、イベントに関するパケットの情報を確認することができる。
図3の第1実施形態に、バックトラッキング機能のために、バックトラックテーブル501が追加した図11を用いて構成の説明をする。
なお、第2実施形態においても、同様にバックトラックテーブル501を図9の処理ノード220に追加することでバックトラッキング機能を提供できる。
バックトラックテーブル501の例を図12に示す。バックトラックテーブル501には、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻が格納されている。コレクタにイベントが収集されるたびに、各ノードがそれぞれに持つバックトラックテーブル501に情報を格納していく。
オペレータがコレクタにバックトラッキングの指示を出すと、コレクタは、該当イベントが経由したDAT上の下位ノードを確認し、コレクタが該当するDAT上の各ノードに通知する。監視部204が、バックトラックテーブル501を参照することで、該当イベントが経由したDAT上の下位ノードIDを確認することができる。また、DHT/DAT部203、送信部205、管理系インタフェース201を介して監視部204から、該当するDAT上の各ノードへ通知される。
通知を受け取った下位のノードがプローブではない場合は、各ノードは、該当イベント経由したDAT上の更に下位のノードを確認し、各ノードはDAT上の該当ノードへ通知する。通知は、下位ノードの管理系インタフェース201、受信部202、DHT/DAT部203、を介して監視部204が受け取る。監視部204が自ノードはプローブでないと判断したら、同じように、バックトラックテーブル501を参照し、下位ノードのIDを確認し、該当するDAT上の各ノードへ通知される。
各ノードは、上記の処理を、プローブに辿り着くまで繰り返し、自ノードがプローブである場合は、該当イベントに関連するパケットの情報を監視部204が検索する。続いて、パケットの情報をDAT上の上位ノードに送信する。コレクタに辿り着くまでパケット情報を送信し、コレクタに辿り着いたら処理は完了である。
第1の実施例の処理フローを示す図7Aにバックトラッキング処理を追加した図13を用いて動作の説明をする。
なお、第2の実施例においても同様にバックトラッキング処理を追加できる。
(1)ステップS51
オペレータがコレクタにバックトラッキングの指示を出すと、コレクタは、該当イベントが経由したDAT上の下位ノードを確認する。
(2)ステップS52
コレクタは、該当するDAT上の各ノードに通知する。
(3)ステップS53
コレクタから通知を受け取った各ノードは、自ノードがプローブかどうか確認する。
(4)ステップS54
各ノードは、自ノードがプローブではない場合は、該当イベントが経由したDAT上の更に下位のノードを確認する。
(5)ステップS55
各ノードは、確認されたDAT上の該当ノードへ通知する。各ノードは、プローブに辿り着くまでこれらの処理を繰り返す。
(6)ステップS56
各ノードは、自ノードがプローブである場合は、該当イベントに関連するパケットの情報を検索する。
(7)ステップS57
続いて、プローブであるノードは、パケットの情報をDAT上の上位ノードに送信する。すなわち、ステップS52〜ステップS55における通知の処理と逆の流れでパケット情報の送信の処理が行われる。
(8)ステップS58
プローブであるノードは、コレクタに辿り着くまでパケット情報を送信し、コレクタに辿り着いたら処理を完了する。ここでは、プローブであるノードからパケット情報を受け取った各ノードは、自ノードがコレクタかどうか確認する。各ノードは、自ノードがコレクタではない場合は、該当イベントが経由したDAT上の更に上位のノードを確認する。各ノードは、確認されたDAT上の該当ノードへパケット情報を送信する。各ノードは、コレクタに辿り着くまでこれらの処理を繰り返す。
以上のプロセスを踏むことで、オペレータは、イベントを検知したプローブがわかり、イベントに関連する情報を取得することが可能となる。
最後に、図14を参照して、本発明の各実施形態による分散監視システムを実現するためのハードウェア構成の一例について説明する。ここでは、各監視ノード51−iの例として、計算機を想定している。この場合、図9に示す第2実施形態の検知ノード120及び処理ノード220は、それぞれ独立した計算機とする。すなわち、第2実施形態の検知ノード120及び処理ノード220の各々は、それぞれが各監視ノード51−iと同じハードウェア構成であるものとする。
本発明の各実施形態による分散監視システムのハードウェア構成は、プログラムの取得経路によって変化する。計算機が記憶媒体(メディア)からプログラムを取得する場合、分散監視システムのハードウェア構成は、記憶媒体1000と、計算機2000を含む。計算機がネットワークを介してプログラムを取得する場合、分散監視システムのハードウェア構成は、計算機2000と、外部記憶装置3000を含む。なお、どちらでも良い場合、分散監視システムのハードウェア構成は、記憶媒体1000と、計算機2000と、外部記憶装置3000を含む。
記憶媒体1000は、各監視ノード51−iとして計算機を機能させるための計算機読み取り可能なプログラム1500を格納している。記憶媒体1000の例として、DVD(Digital Versatile Disk)、USBメモリ(Universal Serial Bus memory)、SDカード(Secure Digital memory card)、或いは他のメモリカード等が考えられる。なお、記憶媒体1000は、USBケーブル等を介して計算機に接続される電子装置でも良い。本質的に同じだからである。但し、実際には、これらの例に限定されない。
計算機2000は、プログラム1500を実行することで、各監視ノード51−iとして機能する電子装置である。計算機2000の例として、PC(パソコン)、シンクライアント端末/サーバ、ワークステーション、メインフレーム、スーパーコンピュータ等のコンピュータを始め、家庭用ゲーム機、双方向テレビ、デジタルレコーダー、情報家電(information home appliance)、POS(Point of Sale)端末、OA(Office Automation)機器等が考えられる。計算機2000は、車両や船舶、航空機等の移動体に搭載されていても良い。但し、実際には、これらの例に限定されない。
計算機2000は、処理装置2001と、主記憶装置2002と、二次記憶装置2003と、ネットワークインタフェース2004と、記憶媒体挿入口2005を備える。ここでは、処理装置2001、主記憶装置2002、二次記憶装置2003、ネットワークインタフェース2004、及び記憶媒体挿入口2005は、互いにデータバスで接続されているものとする。なお、特に図示しないが、実際には、計算機2000は、更に、入力装置や表示装置等を備えていても良い。
処理装置2001は、プログラム1500を読み取り、実際にプログラム1500を実行する。処理装置2001の例として、CPU(Central Processing Unit)、マイクロプロセッサ(microprocessor)、マイクロコントローラ、或いは、同様の機能を有する半導体集積回路(Integrated Circuit(IC))等が考えられる。但し、実際には、これらの例に限定されない。
主記憶装置2002は、処理装置2001が実際にプログラム1500を実行している時、プログラム1500や処理中のデータを一時的に記憶する。主記憶装置2002の例として、RAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、フラッシュメモリ、又はこれらの組み合わせ等が考えられる。但し、実際には、これらの例に限定されない。
二次記憶装置2003は、プログラム1500を記憶し、処理装置2001にプログラム1500を提供する。ここでは、二次記憶装置2003は、プログラム1500、処理に使用するデータ、及び処理結果のデータを記憶する。なお、処理装置2001が記憶媒体1000から直接プログラム1500をロードし、主記憶装置2002にプログラム1500を一時的に記憶して使用する場合、二次記憶装置2003は、プログラム1500を記憶しなくても良い。二次記憶装置2003の例として、HDD(Hard Disk Drive)やSSD(Solid State Drive)等が考えられる。二次記憶装置2003は、必ずしも計算機2000に内蔵されていなくても良い。例えば、二次記憶装置2003は、周辺機器(外付けHDD等)でも良い。但し、実際には、これらの例に限定されない。
ネットワークインタフェース2004は、ネットワークを介して、計算機2000と外部との間で通信を行う。ネットワークインタフェース2004の例として、NIC(Network Interface Card)等のネットワークアダプタや、アンテナ等の通信装置、接続口(コネクタ)等の通信ポート等が考えられる。また、ネットワークの例として、インターネット、LAN(Local Area Network)、無線LAN(Wireless LAN)、バックボーン(Backbone)、ケーブルテレビ(CATV)回線、固定電話網、携帯電話網、専用線(lease line)、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線等が考えられる。但し、実際には、これらの例に限定されない。
記憶媒体挿入口2005は、記憶媒体を配置することで、記憶媒体を読み取るための挿入口である。ここでは、記憶媒体挿入口2005は、記憶媒体1000が配置された際に、記憶媒体1000に格納されたプログラム1500を読み取る。記憶媒体挿入口2005の例として、DVD駆動装置(DVDドライブ)、USBポート、SDメモリーカードスロット、USB以外の規格に準拠した各種ケーブルを差し込む接続口(コネクタ)等が考えられる。但し、実際には、これらの例に限定されない。
外部記憶装置3000は、各監視ノード51−iとして計算機を機能させるための計算機読み取り可能なプログラム1500を格納している。外部記憶装置3000の例として、外部のサーバ(Webサーバ、ファイルサーバ等)、DAS(Direct Attached Storage)、FC−SAN(Fibre Channel − Storage Area Network)、NAS(Network Attached Storage)、IP−SAN(IP − Storage Area Network)等が考えられる。なお、外部記憶装置3000は、他の監視ノード51−iやサーバ53でも良い。但し、実際には、これらの例に限定されない。
ここで、主信号系ネットワークインタフェース部101、受信部102、インタフェース部104、管理系ネットワークインタフェース部201、受信部202、送信部205、及びインタフェース部206は、ネットワークインタフェース2004に該当する。また、検知部103、DHT/DAT部203、及び監視部204は、処理装置2001に該当する。格納部110は、主記憶装置2002及び二次記憶装置2003に該当する。すなわち、主記憶装置2002及び二次記憶装置2003には、ルールテーブル111、監視テーブル211、ノードテーブル212、監視結果データバッファ213、DATバッファ214、及びバックトラックテーブル501のうち必要なものが格納される。
なお、処理装置2001、主記憶装置2002、二次記憶装置2003、ネットワークインタフェース2004、及び記憶媒体挿入口2005の各々は、それぞれ同系統の装置の集合体でも良い。例えば、主信号系ネットワークインタフェース部101と管理系ネットワークインタフェース部201(及び、図9のインタフェース部104とインタフェース部206)には、それぞれ別個のNICを使用することが考えられる。この場合、個々のNICをまとめてネットワークインタフェース2004と呼ぶ。また、計算機2000がマルチCPUの計算機である場合、個々のCPUをまとめて処理装置2001と呼ぶ。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
尚、この出願は、2009年2月18日に出願された日本特許出願2009−035942号、及び、2009年9月1日に出願された日本特許出願2009−201300号を基礎とする優先権を主張し、その開示の全てを引用によりここに組み込む。

Claims (42)

  1. 管理ネットワークに接続された複数のノードを含むネットワークにおいて、前記複数のノードの各々を構成する計算機により実施されるネットワーク分散監視方法であって、
    前記複数のノードのうちの第1プローブノードの各々において、予め決められた複数の第1のアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上の第1トラヒックを検出して第1検出メッセージを生成することと、
    前記対応する第1アプリケーションの種類を示す第1機能識別子だけに対する、あるいは前記第1機能識別子と前記第1トラヒックのアドレス情報とに対する第1ハッシュ値を決定することと、
    前記第1ハッシュ値と前記第1トラヒックの第1DATとから決定されるノード、前記第1ハッシュ値と前記管理ネットワークとに関して予め決められたノード、あるいは前記第1ハッシュ値と前記管理ネットワークとに関して動的に決定されるノードのうちのいずれかのノードに、前記第1検出メッセージを送信することと、
    前記複数のノードのうちの第1メディエーションノードにおいて前記複数の第1の予め決められたアプリケーションに対する前記検出メッセージに第1機能識別子に対応するエントリに含まれるメディエーションタイプによって指定された処理を行う第1メディエーション処理をして第1メディエーション処理結果を生成することと、
    前記複数のノードのうちの第1コレクタノードにおいて前記第1メディエーション処理結果を格納することと
    を含む
    ネットワーク分散監視方法。
  2. 請求項1に記載のネットワーク分散監視方法であって、
    前記第1検出メッセージを送信する際に、前記第1ハッシュ値から前記第1コレクタノードのノードIDを決定することと、
    前記第1コレクタノードのノードIDと前記第1DATとから送信先ノードを決定することと、
    前記第1検出メッセージに、前記第1コレクタノードのノードIDを挿入することと
    を更に含む
    ネットワーク分散監視方法。
  3. 請求項2に記載のネットワーク分散監視方法であって、
    前記第1検出メッセージに含まれる前記第1コレクタノードのノードIDと、前記第1メディエーションノードが有するDATとに基づいて決まるノードに前記第1メディエーション処理結果を含む第1処理結果メッセージを送信することと、
    前記第1メディエーション処理結果を格納する際に、前記第1メディエーションノードから受信される前記第1処理結果メッセージの処理結果を格納することと
    を更に含む
    ネットワーク分散監視方法。
  4. 請求項1乃至3のいずれか一項に記載のネットワーク分散監視方法であって、
    前記第1メディエーションノードは、前記第1コレクタノードと同一である
    ネットワーク分散監視方法。
  5. 請求項1乃至4のいずれか一項に記載のネットワーク分散監視方法であって、
    前記複数のノードのうちの第2プローブノードの各々において、予め決められた複数の第2のアプリケーションのうちの対応する第2アプリケーションの前記対象ネットワーク上の第2トラヒックを検出して第2検出メッセージを生成することと、
    前記対応する第2アプリケーションの種類を示す第2機能識別子だけに対応する、あるいは第2機能識別子と前記第2トラヒックのアドレス情報とに対応する第2ハッシュ値を決定することと、
    前記第2ハッシュ値と前記管理ネットワークの第2DATとから決定されるノードに、前記第2検出メッセージを送信することと、
    前記複数のノードのうちの第2メディエーションノードにおいて前記複数の第2の予め決められたアプリケーションに対する前記検出メッセージに第2メディエーション処理をして第2メディエーション処理結果を生成することと、
    前記複数のノードのうちの第2コレクタノードにおいて前記第2メディエーション処理結果を格納することと
    を更に含む
    ネットワーク分散監視方法。
  6. 請求項5に記載のネットワーク分散監視方法であって、
    前記第2検出メッセージを送信する際に、前記第2ハッシュ値から前記第2コレクタノードのノードIDを決定することと、
    前記第2コレクタノードのノードIDと前記第2DATとから送信先ノードを決定することと、
    前記第2検出メッセージに、前記第2コレクタノードのノードIDを挿入することと
    を更に含む
    ネットワーク分散監視方法。
  7. 請求項6に記載のネットワーク分散監視方法であって、
    前記第2検出メッセージに含まれる前記第2コレクタノードのノードIDと、前記第2メディエーションノードが有するDATとに基づいて決まるノードに前記第2メディエーション処理結果を含む第2処理結果メッセージを送信することと、
    前記第2メディエーション処理結果を格納する際に、前記第2メディエーションノードから受信される前記第2処理結果メッセージの処理結果を格納することと
    を更に含む
    ネットワーク分散監視方法。
  8. 請求項5乃至7のいずれか一項に記載のネットワーク分散監視方法であって、
    前記第2コレクタノードは、前記第1コレクタノードと同一である
    ネットワーク分散監視方法。
  9. 請求項5乃至8のいずれか一項に記載のネットワーク分散監視方法であって、
    前記複数の第1のアプリケーションと前記複数の第2のアプリケーションが前記管理ネットワークを共有することと、
    前記管理ネットワークを介して、前記複数の第1のアプリケーションと前記複数の第2のアプリケーションを監視することと
    を更に含む
    ネットワーク分散監視方法。
  10. 請求項1乃至9のいずれか一項に記載のネットワーク分散監視方法であって、
    前記複数の第1のアプリケーションを、フィルタリング条件のデータに基づいて予め決めること
    を更に含む
    ネットワーク分散監視方法。
  11. 請求項1乃至10のいずれか一項に記載のネットワーク分散監視方法であって、
    前記対象ネットワーク上の各トラヒックのアドレス情報は、当該トラヒックの送信元IPアドレス、送信先IPアドレス、送信元URI、及び送信先URIの少なくとも1つを含む
    ネットワーク分散監視方法。
  12. 請求項1乃至11のいずれか一項に記載のネットワーク分散監視方法であって、
    DHT/DATでネットワークを構成することと、
    ハッシュ値でコレクタを決定することと、
    スケーラブルでありフォールトトレラントであるネットワークにおいて、異なる監視アプリケーションをサポートすることと
    を更に含む
    ネットワーク分散監視方法。
  13. 請求項1乃至12のいずれか一項に記載のネットワーク分散監視方法であって、
    前記第1ハッシュ値を、ハッシュ関数により決定することと、
    前記第1メディエーション処理と該ハッシュ関数の入力を選択することにより、スケーラビリティを動的に制御することと
    を更に含む
    ネットワーク分散監視方法。
  14. 請求項1乃至13のいずれか一項に記載のネットワーク分散監視方法であって、
    前記複数のノードのうちのコレクタノードに、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせる機能を持たせること
    を更に含む
    ネットワーク分散監視方法。
  15. 請求項14に記載のネットワーク分散監視方法であって、
    前記複数のノードのうち、あるイベントに関係するパケットをキャプチャした全てのプローブノードに、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信する機能を持たせること
    を更に含む
    ネットワーク分散監視方法。
  16. 請求項14又は15に記載のネットワーク分散監視方法であって、
    各ノードに、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持たせること
    を更に含む
    ネットワーク分散監視方法。
  17. 管理ネットワークに接続された複数のノードを含むネットワークにおいて、前記複数のノードの各々として計算機を機能させるための計算機読み取り可能なプログラムであって、
    プローブノードとして計算機を機能させる際に、予め決められた複数のアプリケーションのうちの対応するアプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成するステップと、
    前記対応するアプリケーションの種類を示す機能識別子だけに対する、あるいはそれと前記トラヒックのアドレス情報とに対するハッシュ値を決定するステップと、
    前記ハッシュ値と前記管理ネットワークの前記トラヒックのDATとから決定されるノード、前記ハッシュ値と前記管理ネットワークに関して予め決められた、あるいは動的に決定されるノードのうちのいずれかのノードに、前記検出メッセージを送信するステップと、
    メディエーションノードとして前記計算機を機能させる際に、
    前記複数の予め決められたアプリケーションに対する前記検出メッセージに機能識別子に対応するエントリに含まれるメディエーションタイプによって指定された処理を行うメディエーション処理をしてメディエーション処理結果を生成するステップと、
    前記複数のノードのうちのコレクタノードに前記メディエーション処理結果を転送するステップと
    を計算機に実行させるための
    プログラム。
  18. 請求項17に記載のプログラムであって、
    前記アドレス情報は、前記トラヒックの送信元IPアドレス、送信先IPアドレス、送信元URI、及び送信先URIの少なくとも1つを含む
    プログラム。
  19. 請求項17又は18に記載のプログラムであって、
    前記検出メッセージを送信する際に、前記ハッシュ値からコレクタノードのノードIDを決定するステップと、
    前記コレクタノードのノードIDと前記DATとから送信先ノードを決定するステップと、
    前記検出メッセージに、前記コレクタノードのノードIDを挿入するステップと
    を更に計算機に実行させるための
    プログラム。
  20. 請求項19に記載のプログラムであって、
    前記コレクタノードとして前記計算機を機能させる際に、前記メディエーション処理結果を格納するステップ
    を更に計算機に実行させるための
    プログラム。
  21. 請求項20に記載のプログラムであって、
    前記検出メッセージに含まれる前記コレクタノードのノードIDと、前記メディエーションノードが有するDATとに基づいて決まるノードとして前記計算機を機能させる際に、前記メディエーション処理結果を含む処理結果メッセージを受信するステップと、
    前記処理結果メッセージの前記メディエーション処理結果を格納するステップと
    を更に計算機に実行させるための
    プログラム。
  22. 請求項17乃至21のいずれか一項に記載のプログラムであって、
    DHT/DATでネットワークを構成するステップと、
    ハッシュ値でコレクタを決定するステップと、
    スケーラブルでありフォールトトレラントであるネットワークにおいて、異なる監視アプリケーションをサポートするステップと
    を更に計算機に実行させるための
    プログラム。
  23. 請求項17乃至22のいずれか一項に記載のプログラムであって、
    前記ハッシュ値を、ハッシュ関数により決定するステップと、
    前記メディエーション処理と該ハッシュ関数の入力を選択することにより、スケーラビリティを動的に制御するステップと
    を更に計算機に実行させるための
    プログラム。
  24. 請求項17乃至23のいずれか一項に記載のプログラムであって、
    前記複数のアプリケーションを、フィルタリング条件のデータに基づいて予め決めるステップ
    を更に計算機に実行させるための
    プログラム。
  25. 請求項17乃至24のいずれか一項に記載のプログラムであって、
    前記複数のアプリケーションと他のノード上にある複数のアプリケーションとが前記管理ネットワークを共有するステップと、
    前記管理ネットワークを介して、前記複数のアプリケーションと他のノード上にある複数のアプリケーションとを監視するステップと
    を更に計算機に実行させるための
    プログラム。
  26. 請求項17乃至25のいずれか一項に記載のプログラムであって、
    前記コレクタノードとして計算機を機能させる際に、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせるステップ
    を更に計算機に実行させるための
    プログラム。
  27. 請求項26に記載のプログラムであって、
    あるイベントに関係するパケットをキャプチャした全てのプローブノードの各々として計算機を機能させる際に、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信するステップ
    を更に計算機に実行させるための
    プログラム。
  28. 請求項26又は27に記載のプログラムであって、
    各ノードに、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持たせるステップと
    を更に計算機に実行させるための
    プログラム。
  29. 管理ネットワークと、
    前記管理ネットワークに接続された複数のノードと
    を具備し、
    前記複数のノードは、
    予め決められた複数のアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成し、前記対応するアプリケーションの種類を示す機能識別子だけに対する、あるいはそれと前記トラヒックのアドレス情報とに対するハッシュ値を決定し、前記ハッシュ値と前記トラヒックのDATとから決定されるノード、前記ハッシュ値と前記管理ネットワークとに関して予め決められたノード、あるいは前記ハッシュ値と前記管理ネットワークとに関して動的に決定されるノードのうちのいずれかのノードに、前記検出メッセージを送信するプローブノードと、
    前記複数の予め決められたアプリケーションに対する前記検出メッセージに第1機能識別子に対応するエントリに含まれるメディエーションタイプによって指定された処理を行うメディエーション処理をしてメディエーション処理結果を生成するメディエーションノードと、
    前記メディエーション処理結果を格納するコレクタノードと
    を含む
    ネットワーク分散監視システム。
  30. 請求項29に記載のネットワーク分散監視システムであって、
    前記アドレス情報は、前記トラヒックの送信元IPアドレス、送信先IPアドレス、送信元URI、及び送信先URIの少なくとも1つを含む
    ネットワーク分散監視システム。
  31. 請求項29又は30に記載のネットワーク分散監視システムであって、
    前記プローブノードは、前記ハッシュ値から前記コレクタノードのノードIDを決定し、前記コレクタノードのノードIDと前記DATとから送信先ノードを決定し、
    前記検出メッセージは、前記コレクタノードのノードIDを含んでいる
    ネットワーク分散監視システム。
  32. 請求項31に記載のネットワーク分散監視システムであって、
    前記メディエーションノードは、前記検出メッセージに含まれる前記コレクタノードのノードIDと、前記メディエーションノードが有するDATとに基づいて決まるノードに前記メディエーション処理結果を含む処理結果メッセージを送信し、
    前記コレクタノードは、前記メディエーションノードから受信される前記処理結果メッセージの前記メディエーション処理結果を格納する
    ネットワーク分散監視システム。
  33. 請求項29乃至32のいずれか一項に記載のネットワーク分散監視システムであって、
    前記メディエーションノードは、前記コレクタノードと同一である
    ネットワーク分散監視システム。
  34. 請求項29乃至33のいずれか一項に記載のネットワーク分散監視システムであって、
    前記プローブノードは、
    複数の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上のトラヒックを検出してトラヒック検出メッセージを生成する検知ノードと、
    前記対応するアプリケーションの種類を示す機能識別子だけの、あるいはそれと前記トラヒックのアドレス情報とのハッシュ値と前記管理ネットワークの前記トラヒックのDATとから決定されるノードに前記検出メッセージを送信する処理ノードと
    を含む
    ネットワーク分散監視システム。
  35. 請求項29乃至34のいずれか一項に記載のネットワーク分散監視システムであって、
    前記複数のノードの各々は、スケーラブルでありフォールトトレラントであるネットワークにおいて、異なる監視アプリケーションをサポートする
    ネットワーク分散監視システム。
  36. 請求項29乃至35のいずれか一項に記載のネットワーク分散監視システムであって、
    前記ハッシュ値は、ハッシュ関数により定まり、
    前記各メディエーションノードは、前記メディエーション処理と該ハッシュ関数の入力を選択することにより、スケーラビリティを動的に制御する
    ネットワーク分散監視システム。
  37. 請求項29乃至36のいずれか一項に記載のネットワーク分散監視システムであって、
    前記各プローブノードは、フィルタリング条件のデータに基づいて複数のアプリケーションを予め決める
    ネットワーク分散監視システム。
  38. 請求項29乃至37のいずれか一項に記載のネットワーク分散監視システムであって、
    前記複数のアプリケーションと他のノード上にある複数のアプリケーションとは、前記管理ネットワークを共有し、
    前記各プローブノードは、前記管理ネットワークを介して、前記複数のアプリケーションと他のノード上にある複数のアプリケーションとを監視する
    ネットワーク分散監視システム。
  39. 請求項29乃至38のいずれか一項に記載のネットワーク分散監視システムであって、
    前記コレクタノードは、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせる機能を持つ
    ネットワーク分散監視システム。
  40. 請求項39に記載のネットワーク分散監視システムであって、
    前記複数のノードのうち、あるイベントに関係するパケットをキャプチャした全てのプローブノードは、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信する機能を持つ
    ネットワーク分散監視システム。
  41. 請求項39又は40に記載のネットワーク分散監視システムであって、
    各ノードは、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持つ
    ネットワーク分散監視システム。
  42. 請求項29乃至41のいずれか一項に記載のネットワーク分散監視システムにおいて、
    メディエーションノードとして使用される計算機。
JP2011500595A 2009-02-18 2010-02-15 分散監視システム、分散監視方法、及びプログラム Expired - Fee Related JP5578445B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011500595A JP5578445B2 (ja) 2009-02-18 2010-02-15 分散監視システム、分散監視方法、及びプログラム

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
JP2009035942 2009-02-18
JP2009035942 2009-02-18
JP2009201300 2009-09-01
JP2009201300 2009-09-01
JP2011500595A JP5578445B2 (ja) 2009-02-18 2010-02-15 分散監視システム、分散監視方法、及びプログラム
PCT/JP2010/052181 WO2010095588A1 (ja) 2009-02-18 2010-02-15 分散監視システム、分散監視方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2010095588A1 JPWO2010095588A1 (ja) 2012-08-23
JP5578445B2 true JP5578445B2 (ja) 2014-08-27

Family

ID=42633870

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011500595A Expired - Fee Related JP5578445B2 (ja) 2009-02-18 2010-02-15 分散監視システム、分散監視方法、及びプログラム

Country Status (4)

Country Link
US (1) US8560682B2 (ja)
EP (1) EP2400701A4 (ja)
JP (1) JP5578445B2 (ja)
WO (1) WO2010095588A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140012975A1 (en) * 2012-07-09 2014-01-09 National Applied Research Laboratories Computer cluster, management method and management system for the same
TWI461927B (zh) * 2012-10-15 2014-11-21 Nat Applied Res Laboratories 計算機叢集裝置、用於計算機叢集裝置的管理方法及系統
EP2840739A1 (en) * 2013-08-22 2015-02-25 EXFO Oy Displaying signal flows in network analysis tool
EP3086514B1 (en) * 2013-12-17 2024-06-12 Sony Group Corporation Communication apparatus, packet monitoring method, and computer program
CN105978852A (zh) * 2016-04-14 2016-09-28 北京北信源软件股份有限公司 一种网络设备访问历史信息的确定方法、设备及交换机
CN106549825A (zh) * 2016-10-13 2017-03-29 重庆金美通信有限责任公司 一种通信网络路由转发表正确性测试的方法、系统和设备
CN109189403B (zh) * 2018-07-13 2022-04-22 超聚变数字技术有限公司 操作系统os批量安装方法、装置和网络设备
CN111556122B (zh) * 2020-04-23 2023-04-07 东电创新(北京)科技发展股份有限公司 一种基于窄带宽的视频传输存储方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008193221A (ja) * 2007-02-01 2008-08-21 Oki Electric Ind Co Ltd アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
JP2008217135A (ja) * 2007-02-28 2008-09-18 Mitsubishi Electric Corp 情報管理装置
JP2008259047A (ja) * 2007-04-06 2008-10-23 Hitachi Ltd ネットワーク監視システムおよび集中監視装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2246867A1 (en) * 1997-09-26 1999-03-26 Robert Joseph Thornberry Jr. Internet performance network
US20020049815A1 (en) * 2000-04-14 2002-04-25 Kayshav Dattatri System for monitoring and managing information and information transfers in a computer network
JP3781663B2 (ja) 2001-11-21 2006-05-31 日本電気株式会社 トラヒック情報収集装置およびトラヒック情報収集方法およびプログラムおよび記録媒体
EP1698205B1 (en) * 2003-12-23 2013-12-11 Telecom Italia S.p.A. System and method for the automatic setup of switched circuits based on traffic prediction in a telecommunications network
US7313565B2 (en) * 2004-02-19 2007-12-25 Microsoft Corporation Data overlay, self-organized metadata overlay, and associated methods
JP2007013590A (ja) 2005-06-30 2007-01-18 Oki Electric Ind Co Ltd ネットワーク監視システム、ネットワーク監視装置及びプログラム
CN101442479B (zh) * 2007-11-22 2011-03-30 华为技术有限公司 P2p对等网络中节点失效后的路由更新方法、设备及系统
EP2377294B1 (en) * 2008-12-18 2017-05-17 Scality, SA Multipurpose storage system based upon a distributed hashing mechanism with transactional support and failover capability

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008193221A (ja) * 2007-02-01 2008-08-21 Oki Electric Ind Co Ltd アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
JP2008217135A (ja) * 2007-02-28 2008-09-18 Mitsubishi Electric Corp 情報管理装置
JP2008259047A (ja) * 2007-04-06 2008-10-23 Hitachi Ltd ネットワーク監視システムおよび集中監視装置

Also Published As

Publication number Publication date
WO2010095588A1 (ja) 2010-08-26
EP2400701A1 (en) 2011-12-28
EP2400701A4 (en) 2015-10-07
JPWO2010095588A1 (ja) 2012-08-23
US20110314146A1 (en) 2011-12-22
US8560682B2 (en) 2013-10-15

Similar Documents

Publication Publication Date Title
JP5578445B2 (ja) 分散監視システム、分散監視方法、及びプログラム
US10917322B2 (en) Network traffic tracking using encapsulation protocol
US7921282B1 (en) Using SYN-ACK cookies within a TCP/IP protocol
US10033602B1 (en) Network health management using metrics from encapsulation protocol endpoints
JP2015518336A (ja) Diameter過負荷制御を実行するための方法、システムおよびコンピュータ読取可能媒体
US10862781B2 (en) Identifying network issues using an agentless probe and end-point network locations
US7830816B1 (en) Network access and quality of service troubleshooting
JP2016536939A (ja) Diameter負荷および過負荷情報ならびに仮想化のための方法、システムおよびコンピュータ読取可能媒体
WO2018028346A1 (zh) 用于访问网站的方法和装置
JP5673805B2 (ja) ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム
US9269080B2 (en) Hierarchical publish/subscribe system
CN109787827B (zh) 一种cdn网络监控的方法及装置
JP2015535669A (ja) 暗号化されたセッションのモニタリング
CN113472646B (zh) 一种数据传输方法、节点、网络管理器及系统
JP2012004781A (ja) 構成情報取得方法、仮想プローブおよび構成情報取得制御装置
US20030023877A1 (en) System and method of managing data transmission loads
JP5871908B2 (ja) ネットワーク内部のデータ通信を制御するための方法およびシステム
CN109729016A (zh) 一种报文发送方法、设备及计算机可读存储介质
WO2023185828A1 (zh) 流量控制方法、网关及交换机
US12047269B2 (en) End-to-end flow visibility in a data network including service appliances
JP5519079B2 (ja) クラウドベースのメディア適合化および変換サービスのための方法およびシステム
JP7151901B2 (ja) スライスゲートウェイ、品質集計装置、検査パケット処理方法、及びプログラム
JP5292335B2 (ja) 接続先ノード選択方法及び装置及びプログラム
TWM644142U (zh) 網路狀態監控系統
JP2004166023A (ja) 通信路監視システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131216

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140410

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20140418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140626

R150 Certificate of patent or registration of utility model

Ref document number: 5578445

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees