JP5679347B2 - 障害検知装置、障害検知方法、及びプログラム - Google Patents
障害検知装置、障害検知方法、及びプログラム Download PDFInfo
- Publication number
- JP5679347B2 JP5679347B2 JP2012059051A JP2012059051A JP5679347B2 JP 5679347 B2 JP5679347 B2 JP 5679347B2 JP 2012059051 A JP2012059051 A JP 2012059051A JP 2012059051 A JP2012059051 A JP 2012059051A JP 5679347 B2 JP5679347 B2 JP 5679347B2
- Authority
- JP
- Japan
- Prior art keywords
- failure
- application program
- information
- communication
- port number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークに接続されたサーバにおける障害を検知する、障害検知装置、障害検知方法、及びプログラムに関する。
従来から、ユーザは、Webブラウザを介して、Web上にあるサーバにアクセスすることにより、サーバが提供するアプリケーションプログラム(以下「アプリケーション」と表記する。)を利用することができる。このようなアプリケーションとしては、例えば、Webメール、企業が業務で使用するスケジュール管理など、種々のものがある。
また、サーバは、コンピュータシステムからの要求に応じて、そのコンピュータシステムに対して、アプリケーションによるサービスを提供することもある。このように、近年においては、インターネットを含むネットワーク上において、多数のサーバに、アプリケーションを実行させる必要がある。
そして、各サーバが安定してサービスを提供できるようにするためには、ネットワーク上で発生した障害を検知することが重要となる。このため、従来から、ネットワーク上で発生した障害を検知するため、種々の技術が提案されている(例えば、特許文献1参照)。
具体的には、特許文献1に開示された方法では、まず、実ネットワークの構築に先立って、実ネットワークに対応する仮想ネットワークによるシミュレーションが行われ、これによって、シミュレーションデータベースが構築される。シミュレーションデータベースには、正常動作が確認された仮想ネットワークにおける構成情報と機器設定情報とが格納されている。
そして、シミュレーションデータベースに格納されている情報に基づいて、実ネットワークが構築される。その後、稼働中の実ネットワークがその構成変更に伴って異常状態に陥ったときは、実ネットワークに加えられた構成情報及び機器設定情報と、シミュレーションデータベースに格納されている情報との差分が検出され、検出された差分に基づいて、異常状態の原因となったネットワーク機器とその設定内容とが特定される。
ところで、特許文献1に開示された方法において、シミュレーションデータベースに格納されている情報は、1度作成されると変更されることのない恒久的な情報である。このため、サーバが実行するアプリケーションの動作を定義した設定情報に変更が生じた場合は、シミュレーションを再度行い、シミュレーションデータベースを再構築する必要がある。また、この場合に、シミュレーションデータベースの再構築を行わない場合は、常に差分が検出され、誤った異常検知が行われてしまう。
また、特許文献1に開示された方法では、実ネットワークに加えられた変更が全て差分として検出される。このため、検出された差分が、想定済みの差分であるのか、それとも異常の原因となっているのかを判定することが難しいという問題もある。
本発明の目的の一例は、上記問題を解消し、サーバが実行するアプリケーションの設定情報が変更された場合であっても、簡単、且つ、確実に、障害を検知し得る、障害検知装置、障害検知方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明における障害検知装置は、ネットワークに接続されたサーバ装置における障害を検知するための装置であって、
前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、設定情報収集部と、
前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ネットワーク構成情報収集部と、
収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、静的解析部と、
収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、動的解析部と、
前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、障害発生判定部と、
を備えていることを特徴とする。
前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、設定情報収集部と、
前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ネットワーク構成情報収集部と、
収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、静的解析部と、
収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、動的解析部と、
前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、障害発生判定部と、
を備えていることを特徴とする。
また、上記目的を達成するため、本発明における障害検知方法は、ネットワークに接続されたサーバ装置における障害を検知するための方法であって、
(a)前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、ステップと、
(b)前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ステップと、
(c)収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、ステップと、
(d)収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、ステップと、
(e)前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、ステップと、
を有することを特徴とする。
(a)前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、ステップと、
(b)前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ステップと、
(c)収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、ステップと、
(d)収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、ステップと、
(e)前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、ステップと、
を有することを特徴とする。
更に、上記目的を達成するため、本発明におけるプログラムは、コンピュータによって、ネットワークに接続されたサーバ装置における障害を検知するためのプログラムであって、
前記コンピュータに、
(a)前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、ステップと、
(b)前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ステップと、
(c)収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、ステップと、
(d)収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、ステップと、
(e)前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、ステップと、
を実行させることを特徴とする。
前記コンピュータに、
(a)前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、ステップと、
(b)前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ステップと、
(c)収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、ステップと、
(d)収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、ステップと、
(e)前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、ステップと、
を実行させることを特徴とする。
以上のように、本発明によれば、サーバが実行するアプリケーションの設定情報が変更された場合であっても、簡単、且つ、確実に、障害を検知することができる。
(実施の形態)
以下、本発明の実施の形態における、障害検知装置、障害検知方法、及びプログラムについて、図1〜図5を参照しながら説明する。
以下、本発明の実施の形態における、障害検知装置、障害検知方法、及びプログラムについて、図1〜図5を参照しながら説明する。
[装置構成]
最初に、本実施の形態における障害検知装置の構成について説明する。図1は、本発明の実施の形態における障害検知装置の構成を示すブロック図である。
最初に、本実施の形態における障害検知装置の構成について説明する。図1は、本発明の実施の形態における障害検知装置の構成を示すブロック図である。
図1に示す本実施の形態1における障害検知装置10は、ネットワーク20に接続されたサーバ装置30における障害を検知するための装置である。また、各サーバ装置30は、外部からの指示に応じて、アプリケーションプログラム(以下「アプリケーション」と表記する。)を実行するアプリケーションサーバ装置である。なお、図1の例では、3つのサーバ装置30が例示されているが、本実施の形態においてサーバ装置30の数は特に限定されるものではない。
図1に示すように、障害検知装置10は、設定情報収集部11と、ネットワーク構成情報収集部12と、静的解析部14と、動的解析部15と、障害発生判定部16とを備えている。このうち、設定情報収集部11は、サーバ装置30から、サーバ装置が実行するアプリケーションの設定情報を収集する。ネットワーク構成情報収集部12は、サーバ装置30から、アプリケーションによる通信の状況を特定するネットワーク構成情報を収集する。
また、静的解析部14は、設定情報収集部11によって収集された設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する。動的解析部15は、ネットワーク構成情報収集部12によって収集されたネットワーク構成情報に基づいて、動的解析を行い、それによって動的解析情報を抽出する。
障害発生判定部16は、静的解析情報と動的解析情報とを照合して、設定情報に設定されているアプリケーションによる通信と、実行されているアプリケーションによる通信との差異を特定する。そして、障害発生判定部16は、特定した差異にもとづいて、障害が発生しているかどうかを判定する。
このように、本実施の形態では、アプリケーションの通信に関するコンフィグレーションの解析で得られる静的解析情報と、アプリケーションが動作しているコンピュータの通信パスの接続状態の解析で得られる動的解析情報とが比較される。そして、両者の差異に基づいて、静的解析情報に対応する通信パスが確立されているかどうかが判定され、判定結果に基づいて、アプリケーションの通信パスの障害が検知される。
また、アプリケーションの通信に関するコンフィグレーション(設定情報)は、恒久的な情報ではなく、都度収集される。このため、本実施の形態によれば、従来と異なり、サーバが実行するアプリケーションの設定情報が変更された場合であっても、簡単、且つ、確実に、障害を検知することができる。
ここで、図1に加えて、図2及び図3を用いて、更に具体的に障害検知装置について説明する。図2は、本実施の形態において収集される設定情報と抽出される静的解析情報との一例を示す図である。図3は、本実施の形態において収集されるネットワーク構成情報と抽出される動的解析情報との一例を示す図である。
まず、図1に示すように、本実施の形態では、障害検知装置10は、更に、設定情報収集部11、ネットワーク構成情報収集部12、静的解析部14、動的解析部15、及び障害発生判定部16に加えて、収集結果通知部13と解析結果出力部17とを備えている。
収集結果通知部13は、まず、設定情報収集部11から設定情報を取得し、ネットワーク構成情報収集部12からネットワーク構成情報を取得する。そして、収集結果通知部13は、取得した設定情報を静的解析部14に出力し、取得したネットワーク構成情報を動的解析部15に出力する。
また、本実施の形態では、図2に示すように、設定情報収集部11は、監視対象となるサーバ30毎に、設定情報201を収集する。設定情報201は、サーバ30の数と各サーバで動作するアプリケーションの数とだけ存在する。設定情報201には、例えば、送信元のアドレス(IPアドレス)、ホスト名(サーバ名)、送信元ポート番号といった送信元情報と、宛先のアドレス(IPアドレス)、宛先ポート番号といった接続先情報と、アプリケーション名等のアプリケーション定義情報とが含まれている。
また、図2に示すように、静的解析部14は、設定情報(Configuration)201から、静的解析情報として、アプリケーション毎に、アプリケーションによる通信に対して予め設定された、送信元アドレス(SrcAddress)、送信元ポート番号(SrcPort)、宛先アドレス(DstAddress)、及び宛先ポート番号(DstPort)を抽出する。静的解析情報は、静的解析結果202として、障害発生判定部16に出力される。
また、本実施の形態では、図3に示すように、ネットワーク構成情報収集部12は、監視対象となるサーバ30毎に、ネットワーク構成情報301を収集する。ネットワーク構成情報301は、監視対象となるサーバ30の数だけ存在する。ネットワーク構成情報301には、実際に動作しているアプリケーションの接続先情報、例えば、宛先のアドレス(IPアドレス)、ホスト名(サーバ名)、宛先ポート番号が含まれている。
また、図3に示すように、動的解析部15は、ネットワーク構成情報(Network State)301から、動的解析情報として、アプリケーション毎に、アプリケーションによって実行されている通信の状態(State)と、実際の通信で用いられている、送信元アドレス(SrcAddress)、送信元ポート番号(SrcPort)、宛先アドレス(DstAddress)、及び宛先ポート番号(DstPort)とを抽出する。動的解析情報は、動的解析結果302として、障害発生判定部16に出力される。
また、障害判定部16は、本実施の形態では、静的解析部14が抽出した静的解析情報202と、動的解析部15が抽出した動的解析情報302とを照合する。そして、障害判定部16は、照合結果により、いずれかのアプリケーションにおいて、静的解析情報は存在するが、動的解析情報は存在しない場合(両者が一致しない場合)、このアプリケーションは正常に動作しておらず設定情報に誤りがあると判定する。
一方、障害判定部16は、照合結果により、いずれかのアプリケーションにおいて、静的解析情報は存在しないが、動的解析情報は存在する場合、想定している設定情報以外でこのアプリケーションによる通信が定義されていると判定する。
また、障害判定部16は、照合結果により、いずれかのアプリケーションにおいて、静的解析情報と動的解析情報との両方が存在し、両方が一致する場合は、このアプリケーションは設定された通りに動作していると判定する。
解析結果出力部17は、障害発生判定部16から判定結果を受け取り、受け取った判定結果を、管理者の端末40に送信する。この結果、管理者の端末40の表示画面には、判定結果として、各アプリケーションの状態がグラフィック表示される。
[装置動作]
次に、本発明の実施の形態における障害検知装置10動作について図4及び図5を用いて説明する。図4は、本発明の実施の形態における障害検知装置の動作を示すフロー図である。図5は、図4に示す障害発生の判定処理に用いられる静的解析情報及び動的解析情報の一例を示す図である。
次に、本発明の実施の形態における障害検知装置10動作について図4及び図5を用いて説明する。図4は、本発明の実施の形態における障害検知装置の動作を示すフロー図である。図5は、図4に示す障害発生の判定処理に用いられる静的解析情報及び動的解析情報の一例を示す図である。
以下の説明においては、適宜図1〜図3を参酌する。また、本実施の形態1では、障害検知装置10を動作させることによって、障害検知方法が実施される。よって、本実施の形態における障害検知方法の説明は、以下の障害検知装置10の動作説明に代える。
図4に示すように、最初に、設定情報収集部11は、各サーバ装置30から、サーバ装置が実行するアプリケーションの設定情報を収集する(ステップA1)。更に、ネットワーク構成情報収集部12は、各サーバ装置30から、アプリケーションによる通信の状況を特定するネットワーク構成情報を収集する(ステップA2)。
ステップA1及びA2が実行されると、収集結果通知部13が、設定情報収集部11から設定情報を取得し、ネットワーク構成情報収集部12からネットワーク構成情報を取得する。また、収集結果通知部13は、取得した設定情報を静的解析部14に出力し、取得したネットワーク構成情報を動的解析部15に出力する。
次に、静的解析部14は、設定情報201から、静的解析情報を抽出し、これを静的解析結果として障害発生判定部16に出力する(ステップA3)。具体的には、図2に示したように、本実施の形態では、静的解析結果202は、アプリケーションによる通信に対して予め設定された、送信元アドレス(SrcAddress)、送信元ポート番号(SrcPort)、宛先アドレス(DstAddress)、及び宛先ポート番号(DstPort)を含んでいる。
次に、動的解析部15は、ネットワーク構成情報301から、動的解析情報を抽出し、これを動的解析結果として障害発生判定部16に出力する(ステップA4)。具体的には、図3に示したように、本実施の形態では、動的解析結果302は、通信の状態(State)と、実際の通信で用いられている、送信元アドレス(SrcAddress)、送信元ポート番号(SrcPort)、宛先アドレス(DstAddress)、及び宛先ポート番号(DstPort)とを含んでいる。
ステップA3及びA4が実行されると、障害発生判定部16は、図5に示す静的解析結果(SAR)401と動的解析結果(DAR)402とをインプットデータとして、照合を行い、以下の判定処理(ステップA5〜A10)を実行する。
なお、静的解析結果401は、図2に示した静的解析結果202と同一であり、アプリケーション名、送信元アドレス、送信元ポート番号、宛先アドレス、宛先ポート番号から構成されている。また、動的解析結果402は、図3に示した動的解析結果302と同一であり、アプリケーション名、通信状態、送信元アドレス、送信元ポート番号、宛先アドレス、宛先ポート番号から構成されている。
障害発生判定部16は、判定処理として、まず、静的解析結果401に含まれるアプリケーションが、動的解析結果402に含まれるアプリケーションに存在しているかどうかを判定する(ステップA5)。
ステップA5の判定の結果、存在しない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17に、障害を検知したことを出力させる(ステップA11)。
その後、障害発生判定部16は、静的解析結果401に含まれる全てのアプリケーションについて処理が終了しているかどうか判定する(ステップA12)。ステップA12の判定の結果、処理が終了していない場合は、再度ステップA5を実行する。ステップA12の判定の結果、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップA5の判定の結果、存在している場合は、障害発生判定部16は、対象となっているアプリケーションの静的解析結果の送信元アドレスと動的解析結果の送信元アドレスとが一致するかどうかを判定する(ステップA6)。
ステップA6の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップA11を実行する。その後、障害発生判定部16は、ステップA12を実行し、処理が終了していない場合は、再度ステップA5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップA6の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの静的解析結果の送信元ポート番号と動的解析結果の送信元ポート番号とが一致するかどうかを判定する(ステップA7)。
ステップA7の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップA11を実行する。その後、障害発生判定部16は、ステップA12を実行し、処理が終了していない場合は、再度ステップA5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップA7の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの静的解析結果の宛先アドレスと動的解析結果の宛先アドレスとが一致するかどうかを判定する(ステップA8)。
ステップA8の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップA11を実行する。その後、障害発生判定部16は、ステップA12を実行し、処理が終了していない場合は、再度ステップA5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップA8の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの静的解析結果の宛先ポート番号と動的解析結果の宛先ポート番号とが一致するかどうかを判定する(ステップA9)。
ステップA9の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップA11を実行する。その後、障害発生判定部16は、ステップA12を実行し、処理が終了していない場合は、再度ステップA5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップA9の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの通信状態が「ESTABLISHED」となっているかどうかを判定する(ステップA10)。
ステップA10の判定の結果、「ESTABLISHED」でない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップA11を実行する。その後、障害発生判定部16は、ステップA12を実行し、処理が終了していない場合は、再度ステップA5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップA10の判定の結果、「ESTABLISHED」である場合は、障害発生判定部16は、対象となっているアプリケーションは、設定情報で指定した設定通りに動作していると判定する。その後、障害発生判定部16は、ステップA12を実行し、処理が終了していない場合は、再度ステップA5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
このように、ステップA1〜A12の実行により、障害の発生が検知されることになる。また、ステップA1〜A12は、設定された時間毎に、又は管理者からの指示がある度に、繰り返し実行される。
[実施の形態における効果]
以上のように本実施の形態では、設定情報の静的解析から抽出された静的解析情報が、実際の動作状況の解析から抽出された動的解析情報に存在しているかどうかを判定することによって、設定情報の誤りを検出することができる。また、設定情報は、都度収集されている。このため、サーバが実行するアプリケーションの設定情報が変更される環境下にあっても、確実な障害の検知を簡単に行なうことができる。
以上のように本実施の形態では、設定情報の静的解析から抽出された静的解析情報が、実際の動作状況の解析から抽出された動的解析情報に存在しているかどうかを判定することによって、設定情報の誤りを検出することができる。また、設定情報は、都度収集されている。このため、サーバが実行するアプリケーションの設定情報が変更される環境下にあっても、確実な障害の検知を簡単に行なうことができる。
[変形例]
ここで、図6を用いて、本実施の形態における変形例について説明する。変形例では、障害判定部16は、図4に示したステップA5〜A10とは逆に、アプリケーション毎に、動的解析情報に含まれる情報が、静的解析情報に含まれているかどうかを判定する。図6は、本発明の実施の形態における障害検知装置の動作の変形例を示すフロー図である。
ここで、図6を用いて、本実施の形態における変形例について説明する。変形例では、障害判定部16は、図4に示したステップA5〜A10とは逆に、アプリケーション毎に、動的解析情報に含まれる情報が、静的解析情報に含まれているかどうかを判定する。図6は、本発明の実施の形態における障害検知装置の動作の変形例を示すフロー図である。
先ず、ステップB1〜B4が実行される。ステップB1〜B4は、それぞれ、図4に示したステップA1〜A4と同様のステップである。また、ステップB3及びB4が実行されると、障害発生判定部16は、図5に示す静的解析結果(SAR)401と動的解析結果(DAR)402とをインプットデータとして、照合を行い、以下の判定処理(ステップB5〜B10)を実行する。
障害発生判定部16は、判定処理として、まず、動的解析結果402に含まれるアプリケーションが、静的解析結果401に含まれるアプリケーションに存在しているかどうかを判定する(ステップB5)。
ステップB5の判定の結果、存在しない場合は、障害発生判定部16は、設定情報で設定されていない想定外の接続がされており、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17に、障害を検知したことを出力させる(ステップB11)。ステップB11は、図4に示したステップA11と同様のステップである。
その後、障害発生判定部16は、動的解析結果501に含まれる全てのアプリケーションについて処理が終了しているかどうか判定する(ステップB12)。ステップB12の判定の結果、処理が終了していない場合は、再度ステップB5を実行する。ステップB12の判定の結果、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップB5の判定の結果、存在している場合は、障害発生判定部16は、対象となっているアプリケーションの動的解析結果の送信元アドレスと静的解析結果の送信元アドレスとが一致するかどうかを判定する(ステップB6)。
ステップB6の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で設定されていない想定外の接続がされており、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップB11を実行する。その後、障害発生判定部16は、ステップB12を実行し、処理が終了していない場合は、再度ステップB5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップB6の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの動的解析結果の送信元ポート番号と静的解析結果の送信元ポート番号とが一致するかどうかを判定する(ステップB7)。
ステップB7の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で設定されていない想定外の接続がされており、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップB11を実行する。その後、障害発生判定部16は、ステップB12を実行し、処理が終了していない場合は、再度ステップB5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップB7の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの動的解析結果の宛先アドレスと静的解析結果の宛先アドレスとが一致するかどうかを判定する(ステップB8)。
ステップB8の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で設定されていない想定外の接続がされており、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップB11を実行する。その後、障害発生判定部16は、ステップB12を実行し、処理が終了していない場合は、再度ステップB5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップB8の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの動的解析結果の宛先ポート番号と静的解析結果の宛先ポート番号とが一致するかどうかを判定する(ステップB9)。
ステップB9の判定の結果、一致しない場合は、障害発生判定部16は、設定情報で設定されていない想定外の接続がされており、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップB11を実行する。その後、障害発生判定部16は、ステップB12を実行し、処理が終了していない場合は、再度ステップB5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップB9の判定の結果、一致している場合は、障害発生判定部16は、対象となっているアプリケーションの通信状態が「ESTABLISHED」となっているかどうかを判定する(ステップB10)。
ステップB10の判定の結果、「ESTABLISHED」でない場合は、障害発生判定部16は、設定情報で指定した設定通りにアプリケーションが動作しておらず、障害が発生していると判定する。そして、障害発生判定部16は、解析結果出力部17によって、ステップB11を実行する。その後、障害発生判定部16は、ステップB12を実行し、処理が終了していない場合は、再度ステップB5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
一方、ステップB10の判定の結果、「ESTABLISHED」である場合は、障害発生判定部16は、対象となっているアプリケーションは、設定情報で指定した設定通りに動作していると判定する。その後、障害発生判定部16は、ステップB12を実行し、処理が終了していない場合は、再度ステップB5を実行する。また、全ての処理が終了している場合は、障害検知装置10における処理は一旦終了する。
このように、変形例では、ステップB1〜B12の実行により、障害の発生が検知されることになる。また、ステップB1〜B12も、設定された時間毎に、又は管理者からの指示がある度に、繰り返し実行される。
また、変形例では、動的解析結果(DAR)402が、静的解析結果(SAR)401に存在しているかどうかをチェックしている。つまり、実際の動作状況を解析した動的解析情報が、設定情報に基づく静的解析情報に存在しないことを検知できるため、設定情報に設定されていない想定外のアプリケーション間の接続を検出する事ができる。
[プログラム]
本実施の形態におけるプログラムは、コンピュータに、図4に示すステップA1〜A12又は図6に示すステップB1〜B12を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における障害検知装置10と障害検知方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、設定情報収集部11、ネットワーク構成情報収集部12、収集結果通知部13、静的解析部14、動的解析部15、障害発生判定部16、及び解析結果出力部17として機能し、処理を行なう。
ここで、本実施の形態におけるプログラムを実行することによって、障害検知装置を実現するコンピュータについて図7を用いて説明する。図7は、本発明の実施の形態における障害検知装置を実現するコンピュータの一例を示すブロック図である。
図7に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
以上のように、本発明によれば、サーバが実行するアプリケーションの設定情報が変更された場合であっても、簡単、且つ、確実に、障害を検知することができる。本発明は、資産管理システム、監視システム、セキュリティシステムといったコンピュータシステムに有用である。
10 障害検知装置
11 設定情報収集部
12 ネットワーク構成情報収集部
13 収集結果通知部
14 静的解析部
15 動的解析部
16 障害発生判定部
17 解析結果出力部
20 ネットワーク
30 サーバ
40 端末
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
11 設定情報収集部
12 ネットワーク構成情報収集部
13 収集結果通知部
14 静的解析部
15 動的解析部
16 障害発生判定部
17 解析結果出力部
20 ネットワーク
30 サーバ
40 端末
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
Claims (9)
- ネットワークに接続されたサーバ装置における障害を検知するための装置であって、
設定された時間毎、又は外部からの指示がある度に、前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、設定情報収集部と、
前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ネットワーク構成情報収集部と、
収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、静的解析部と、
収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、動的解析部と、
前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、障害発生判定部と、
を備えていることを特徴とする障害検知装置。 - 前記静的解析部が、前記静的解析情報として、前記アプリケーションプログラム毎に、当該アプリケーションプログラムによる通信に対して予め設定された、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号を抽出し、
前記動的解析部が、前記動的解析情報として、前記アプリケーションプログラム毎に、当該アプリケーションプログラムによって実行されている通信の状態、更には、当該通信で用いられている、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号を抽出する、請求項1に記載の障害検知装置。 - 前記障害発生判定部は、前記静的解析情報と前記動的解析情報とが、アプリケーションプログラム、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号の全てにおいて一致し、且つ、通信が確立されている場合に、障害が発生していないと判定し、そうでない場合に、障害が発生していると判定する、
請求項2に記載の障害検知装置。 - ネットワークに接続されたサーバ装置における障害を検知するための方法であって、
(a)設定された時間毎、又は外部からの指示がある度に、前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、ステップと、
(b)前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ステップと、
(c)収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、ステップと、
(d)収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、ステップと、
(e)前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、ステップと、
を有することを特徴とする障害検知方法。 - 前記(c)のステップにおいて、前記静的解析情報として、前記アプリケーションプログラム毎に、当該アプリケーションプログラムによる通信に対して予め設定された、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号を抽出し、
前記(d)のステップにおいて、前記動的解析情報として、前記アプリケーションプログラム毎に、当該アプリケーションプログラムによって実行されている通信の状態、更には、当該通信で用いられている、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号を抽出する、請求項4に記載の障害検知方法。 - 前記(e)のステップにおいて、前記静的解析情報と前記動的解析情報とが、アプリケーションプログラム、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号の全てにおいて一致し、且つ、通信が確立されている場合に、障害が発生していないと判定し、そうでない場合に、障害が発生していると判定する、
請求項5に記載の障害検知方法。 - コンピュータによって、ネットワークに接続されたサーバ装置における障害を検知するためのプログラムであって、
前記コンピュータに、
(a)設定された時間毎、又は外部からの指示がある度に、前記サーバ装置から、前記サーバ装置が実行するアプリケーションプログラムの設定情報を収集する、ステップと、
(b)前記サーバ装置から、前記アプリケーションプログラムによる通信の状況を特定するネットワーク構成情報を収集する、ステップと、
(c)収集された前記設定情報に基づいて静的解析を行い、それによって静的解析情報を抽出する、ステップと、
(d)収集された前記ネットワーク構成情報に基づいて動的解析を行い、それによって動的解析情報を抽出する、ステップと、
(e)前記静的解析情報と前記動的解析情報とを照合して、前記設定情報に設定されている前記アプリケーションプログラムによる通信と、実行されている前記アプリケーションプログラムによる通信との差異を特定し、特定した差異にもとづいて、障害が発生しているかどうかを判定する、ステップと、
を実行させるプログラム。 - 前記(c)のステップにおいて、前記静的解析情報として、前記アプリケーションプログラム毎に、当該アプリケーションプログラムによる通信に対して予め設定された、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号を抽出し、
前記(d)のステップにおいて、前記動的解析情報として、前記アプリケーションプログラム毎に、当該アプリケーションプログラムによって実行されている通信の状態、更には、当該通信で用いられている、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号を抽出する、請求項7に記載のプログラム。 - 前記(e)のステップにおいて、前記静的解析情報と前記動的解析情報とが、アプリケーションプログラム、送信元アドレス、送信元ポート番号、宛先アドレス、及び宛先ポート番号の全てにおいて一致し、且つ、通信が確立されている場合に、障害が発生していないと判定し、そうでない場合に、障害が発生していると判定する、
請求項8に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012059051A JP5679347B2 (ja) | 2012-03-15 | 2012-03-15 | 障害検知装置、障害検知方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012059051A JP5679347B2 (ja) | 2012-03-15 | 2012-03-15 | 障害検知装置、障害検知方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013197601A JP2013197601A (ja) | 2013-09-30 |
| JP5679347B2 true JP5679347B2 (ja) | 2015-03-04 |
Family
ID=49396105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012059051A Active JP5679347B2 (ja) | 2012-03-15 | 2012-03-15 | 障害検知装置、障害検知方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5679347B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6482284B2 (ja) * | 2015-01-15 | 2019-03-13 | キヤノン株式会社 | 情報処理装置、ポリシー管理装置、セキュリティポリシーの管理方法、コンピュータプログラム |
| CN117077040B (zh) * | 2023-09-04 | 2024-02-23 | 武汉蓝海科创技术有限公司 | 基于机器学习的大型复杂装备故障诊断与预测系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3621010B2 (ja) * | 1999-12-14 | 2005-02-16 | 日本電信電話株式会社 | ネットワーク管理方法及びシステム装置 |
| JP4376270B2 (ja) * | 2007-01-24 | 2009-12-02 | 富士通株式会社 | ネットワーク構成検証プログラム、ネットワーク構成検証方法およびネットワーク構成検証装置 |
-
2012
- 2012-03-15 JP JP2012059051A patent/JP5679347B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013197601A (ja) | 2013-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| JP6111441B2 (ja) | コンピューティング環境での追跡アプリケーション使用法 | |
| US9450980B2 (en) | Automatic malignant code collecting system | |
| US10866872B1 (en) | Auto-recovery for software systems | |
| US7398511B2 (en) | System and method for providing a health model for software | |
| US20130111018A1 (en) | Passive monitoring of virtual systems using agent-less, offline indexing | |
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| WO2006117833A1 (ja) | 監視シミュレーション装置,方法およびそのプログラム | |
| CN112818307A (zh) | 用户操作处理方法、系统、设备及计算机可读存储介质 | |
| CN105760761A (zh) | 软件行为分析方法和装置 | |
| CN108804914B (zh) | 一种异常数据检测的方法及装置 | |
| Choi et al. | All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis | |
| CN111183620A (zh) | 入侵调查 | |
| WO2014204470A1 (en) | Generating a fingerprint representing a response of an application to a simulation of a fault of an external service | |
| JP2008158889A (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
| KR101619691B1 (ko) | 프로그램 오류 분석 방법 및 시스템 | |
| JP4913353B2 (ja) | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 | |
| JP5679347B2 (ja) | 障害検知装置、障害検知方法、及びプログラム | |
| CN117272308A (zh) | 软件安全测试方法、装置、设备、存储介质及程序产品 | |
| US20240020391A1 (en) | Log-based vulnerabilities detection at runtime | |
| JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
| CN108512806A (zh) | 一种基于虚拟环境的操作行为分析方法及服务器 | |
| JP6142878B2 (ja) | 情報システムの性能評価装置、方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130711 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140409 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140604 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20140609 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141209 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141225 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5679347 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |