JP5724670B2 - 監視装置、監視方法、および監視プログラム - Google Patents

監視装置、監視方法、および監視プログラム Download PDF

Info

Publication number
JP5724670B2
JP5724670B2 JP2011139907A JP2011139907A JP5724670B2 JP 5724670 B2 JP5724670 B2 JP 5724670B2 JP 2011139907 A JP2011139907 A JP 2011139907A JP 2011139907 A JP2011139907 A JP 2011139907A JP 5724670 B2 JP5724670 B2 JP 5724670B2
Authority
JP
Japan
Prior art keywords
output
alarm
observation
time
alert
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011139907A
Other languages
English (en)
Other versions
JP2013008162A (ja
Inventor
佐藤 博一
博一 佐藤
俊幸 伊藤
俊幸 伊藤
恭臣 入山
恭臣 入山
康将 大城
康将 大城
智洋 中村
智洋 中村
智範 大田
智範 大田
淳也 平松
淳也 平松
優太 井上
優太 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2011139907A priority Critical patent/JP5724670B2/ja
Priority to US13/524,216 priority patent/US9000912B2/en
Publication of JP2013008162A publication Critical patent/JP2013008162A/ja
Application granted granted Critical
Publication of JP5724670B2 publication Critical patent/JP5724670B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/08Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
    • G06Q10/087Inventory or stock management, e.g. order filling, procurement or balancing against orders
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、データを監視する監視装置、監視方法、および監視プログラムに関する。
従来、企業内で扱う業務データ(以下、「観測データ」と称する。)を監視して、観測データの値に基づいてトラブルが発生したか否かを検出する技術が知られている。たとえば、倉庫にある商品在庫数を示すデータを一定間隔ごとに取得し、商品在庫数が危険域(閾値)に達した場合に、商品管理の担当者へアラートを通知する。
トラブルが発生してから対処までに時間がかかる場合、同一内容のアラートが過剰に管理者に通知されてしまう問題点がある。さらに、たとえば、倉庫であれば商品が1つとは限らないため、複数の製品においてアラートが過剰に通知されると、商品管理の担当者が困惑してしまう恐れがある。そこで、アラートを通知してから次にアラートを通知するまでの期間(以下、「抑止期間」と称する。)を管理者に指定させる技術が開示されている。
特開昭64−28748号公報
しかしながら、管理者にあらかじめ抑止期間を設定させたとしても、トラブルの発生から復旧するまでにかかる期間はまちまちであるため、復旧前に抑止期間が終了してしまう、または復旧後再度トラブルが発生する時点においても抑止期間が終了していない、といった事態になりうる。
本発明の一側面においては、アラートの過剰出力を抑制することを目的とする。
本発明の一側面によれば、所定時間間隔で得られる観測データについて、所定の条件を満たす場合に、警報を出力し、制御に応じて前記警報の出力を抑制し、前記警報の出力と、前記警報の出力の抑制と、のうちいずれか一方が行なわれてから前記所定時間経過するまで、前記警報の出力を抑制させる制御を行なう監視装置、監視方法、および監視プログラムが提案される。
本発明の一側面によれば、アラートの過剰出力を防止することができる。
図1は、実施例1を示す説明図である。 図2は、システム例を示す説明図である。 図3は、モニタリングサーバ201のハードウェア例を示すブロック図である。 図4は、アラート発生管理テーブル400の一例を示す説明図である。 図5は、実施例1にかかるモニタリングサーバ201の機能ブロックの一例を示す説明図である。 図6は、モニタリングサーバ201による監視手順を示すフローチャートである。 図7は、図6で示した判定処理(ステップS607)の詳細な説明を示すフローチャートである。 図8は、実施例2を示す説明図である。 図9は、実施例2にかかるアラート発生管理テーブルの一例を示す説明図である。 図10は、実施例2にかかる平均一致回数管理テーブルの一例を示す説明図である。 図11は、実施例2にかかるモニタリングサーバ201の機能ブロックの一例を示す説明図である。 図12は、実施例2にかかる図6で示した判定処理(ステップS607)の詳細な説明を示すフローチャートである。 図13は、図12で示した平均一致回数の算出処理(ステップS1210)の詳細な説明を示すフローチャートである。
本実施の形態においては、システムから出力されるアラートの過剰出力を抑止する。たとえば、アラートを一度しか通知しないようにすることなどが考えられるが、観測データが異常値となった1回目のデータチェック時のみアラートを出力するには、アラートが2回目以降なのか1回目なのかが不明確である。そのため、データチェックごとに、アラートが連続しているか否かを示すステータスなどを持たなければならない。
しかしながら、トラブルが発生しているか否かに関わらず、常時アラートを出力させるか否かの判定や該ステータスの更新などを行うと、監視装置の処理量が増大するという問題点がある。そこで、本実施の形態では、等間隔ごとに得られる観測データが条件を満たし場合にはアラートを出すが、以降等間隔で観測データが条件を満たす場合にはアラートを出さないことで、アラートの過剰出力を防止することができる。さらに、観測データが条件を満たしている場合、すなわちトラブルが発生している場合には処理を行うが、観測データが条件を満たしていない場合、すなわちトラブルが発生していない場合には特に処理をさせない。
以下に添付図面を参照して、本発明にかかる監視装置、監視方法、および監視プログラムの実施の形態を詳細に説明する。
(実施例1)
図1は、実施例1を示す説明図である。監視装置が、所定時間tごとに観測データを取得する。ここで、観測データとしては、たとえば、在庫データ、生産データ、発注データ、財務データ、性能データなどが挙げられる。
そして、監視装置が、観測データが条件を満たしているか否かを判断する。ここで、図1では、条件とは観測データが閾値より小さいことである。たとえば、閾値を100とする。監視装置が、観測データが条件を満たしていると判断した場合に、観測データの観測時刻を記憶装置に直前観測時刻Tとして記憶することとする。
観測時刻が12:00の場合には、観測データが閾値以上であるため、条件を満たしていないと判断される。監視装置は、条件を満たしていないと判断した場合、特になにも処理をしない。
観測時刻が12:10の場合には、観測データが閾値より小さいため、条件を満たしていると判断される。監視装置が、条件を満たしていると判断すると、記憶装置に保存されている直前観測時刻Tと観測データが得られた観測時刻との時間間隔が所定時間tと一致するか否かを判断する。記憶装置に保存されている直前観測時刻Tはないため、一致しないと判断される。監視装置が、一致しないと判断した場合、アラートを出力する。監視装置が、直前観測時刻Tに観測時刻(12:10)を保存する。
観測時刻が12:20の場合には、観測データが閾値より小さいため、条件を満たしていると判断される。監視装置が、条件を満たしていると判断すると、記憶装置に保存されている直前観測時刻Tと観測データが得られた観測時刻との時間間隔が所定時間tと一致するか否かを判断する。また、時間間隔が、t≦x<2xtの範囲であるか否かの判断であってもよい。これにより、所定時間t〜時間2xtの期間には、アラートが出力されないこととなる。xは利用者の入力により決定されてもよい。これに限らず、実施例2のように監視装置が一致回数に応じて2xtを決定してもよい。
ここでは、直前観測時刻T(12:10)と観測時刻(12:20)との時間間隔が10分であるため、所定時間tと一致すると判断される。監視装置が、一致すると判断した場合、アラートを出力せず、直前観測時刻Tに観測時刻(12:20)を保存する。
観測時刻が12:30と12:40の場合も、観測時刻が12:20の場合と同様に、条件を満たしていても、アラートが出力されず、直前観測時刻Tに観測時刻が保存される。
観測時刻が12:50の場合には、観測データが閾値以上であるため、条件を満たしていないと判断される。監視装置は、条件を満たしていないと判断した場合、特になにも処理をしない。よって、直前観測時刻Tは12:40のままである。
観測時刻が13:00の場合には、観測データが閾値より小さいため、条件を満たしていると判断される。監視装置が、条件を満たしていると判断すると、記憶装置に保存されている直前観測時刻Tと観測データが得られた観測時刻との時間間隔が所定時間tと一致するか否かを判断する。直前観測時刻T(12:40)と観測時刻(13:00)との時間間隔が20分であるため、所定時間tと一致しないと判断される。監視装置が、一致しないと判断した場合、アラートを出力し、直前観測時刻Tに観測時刻(12:20)を保存する。
また、図1では、観測時刻としているが、これに限らず、観測日でもよいし、観測日時としてもよい。
従来であれば、たとえば、観測時刻が12:10において、観測データが閾値より小さくなると、監視装置が、トラブルが発生していると判断し、アラートを担当者へ通知する。そして、たとえば、観測時刻が12:20において、観測データが閾値より小さいが、前回のアラートの通知から抑止期間経過していないため、アラートが通知されない。そして、たとえば、観測時刻が12:30において、観測データが閾値より小さく、前回のアラートの通知から抑止期間経過しているため、アラートが通知されてしまう。
実施例1では、等間隔ごとに得られる観測データが条件を満たし場合にはアラートを出すが、以降等間隔で観測データが条件を満たす場合にはアラートを出さないことで、アラートの過剰出力を防止することができる。さらに、観測データが条件を満たしている場合、すなわちトラブルが発生している場合には処理を行うが、観測データが条件を満たしていない場合、すなわちトラブルが発生していない場合には特に処理をさせない。トラブルが発生していない状態の方が、トラブルが発生している状態よりもはるかに長い期間である。トラブルが発生していない状態では処理を行わないことにより、監視負荷を軽減することができる。
(システム)
図2は、システム例を示す説明図である。本実施の形態では、監視装置の一例として、システム200を挙げている。システム200は、たとえば、モニタリングサーバ201、監視対象業務システム202、定義クライアント203、Webダッシュボード204を有している。各装置は、ネットワークNWを経由して通信を行っている。モニタリングサーバ201のハードウェアについては、図3を用いて後述する。
ここで、たとえば、Webダッシュボード204は、利用者の操作により観測データの集計が行われたり、アラートをモニタリングサーバ201から受け付けたりする。具体的には、たとえば、Webダッシュボード204は、携帯端末やPC(Personal Computer)であり、図3に示すモニタリングサーバ201のハードウェアに加えて、利用者がアラートや集計結果を閲覧可能なディスプレイを有していることとする。
たとえば、定義クライアント203は、業務管理者の操作により入力されるデータを受け付ける。たとえば、定義クライアント203は、PCであり、図3に示すモニタリングサーバ201のハードウェアに加えて、業務管理者が閾値を入力可能なキーボードやマウスなどを有していることとする。
たとえば、監視対象業務システム202は、観測データを観測時刻と関連付けて業務データベースに登録する。業務データベースは、たとえば、観測データの種別や判別キーごとにあることとする。監視対象業務システム202は、複数個(N個)あることとする。監視対象業務システム202は、図3に示すモニタリングサーバ201のハードウェアと同一とする。
(モニタリングサーバ201のハードウェア例)
図3は、モニタリングサーバ201のハードウェア例を示すブロック図である。図3において、モニタリングサーバ201は、CPU(Central Processing Unit)301と、ROM(Read‐Only Memory)302と、RAM(Random Access Memory)303と、磁気ディスクドライブ304と、磁気ディスク305と、光ディスクドライブ306と、光ディスク307と、を備えている。また、各部はバス300によってそれぞれ接続されている。
ここで、CPU301は、監視装置の全体の制御を司る。ROM302は、ブートプログラムなどのプログラムを記憶している。RAM303は、CPU301のワークエリアとして使用される。磁気ディスクドライブ304は、CPU301の制御にしたがって磁気ディスク305に対するデータのリード/ライトを制御する。磁気ディスク305は、磁気ディスクドライブ304の制御で書き込まれたデータを記憶する。
光ディスクドライブ306は、CPU301の制御にしたがって光ディスク307に対するデータのリード/ライトを制御する。光ディスク307は、光ディスクドライブ306の制御で書き込まれたデータを記憶したり、光ディスク307に記憶されたデータをコンピュータに読み取らせたりする。
I/F308は、通信回線を通じてLAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどのネットワークNWに接続され、このネットワークNWを介して他の装置に接続される。そして、I/F308は、ネットワークNWと内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F308には、たとえば、モデムやLANアダプタなどを採用することができる。
(実施例1にかかるアラート発生管理テーブル400)
図4は、アラート発生管理テーブル400の一例を示す説明図である。アラート発生管理テーブル400は、アラート名、判別キー、最終観測日時のフィールドを有している。アラート名のフィールドには、在庫アラートなどのアラートの種類が登録される。判別キーのフィールドには、「東京」や「大阪」などの地名が登録される。最終観測日時のフィールドには、観測データが条件を満たした場合の観測データの観測日時が順次上書きされて登録される。
各フィールドに値が設定されることによりレコード(401−1,401−2)が登録される。アラート発生管理テーブル400については、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されていることとする。
(実施例1にかかるモニタリングサーバ201の機能ブロック例)
図5は、実施例1にかかるモニタリングサーバ201の機能ブロックの一例を示す説明図である。モニタリングサーバ201は、取得部501と、条件判断部502と、出力部503と、制御部504と、抑制部505と、を有している。
取得部501〜抑制部505は、具体的には、たとえば、図3に示したROM302、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶された監視プログラムにコーディングされていることとする。CPU301が記憶装置から監視プログラムを読み出し、監視プログラムにコーディングされた処理を実行することにより、取得部501〜抑制部505はその機能が実現される。
取得部501は、所定時間tごとに観測データを取得する。具体的には、たとえば、取得部501は、ネットワークNWを介して監視対象業務システム202の業務データベース群のうち対象となる業務データベースから、最新の観測データを取得する。ここでは、たとえば、判別キーが「東京」であり、アラートの種類が「在庫アラート」である観測データに関する処理を例に挙げて説明することとする。
条件判断部502は、取得部501により所定時間tが経過する都度取得される観測データが条件を満たしているか否かを判断する。具体的には、たとえば、条件判断部502は、観測データが閾値以上であるか否かを判断する。具体的には、たとえば、条件判断部502は、観測データが閾値より小さいと判断した場合、観測データが条件を満たしていると判断し、観測データが閾値以上であると判断した場合、観測データが条件を満たしていないと判断する。これに限らず、たとえば、条件判断部502は、観測データが閾値以下であるか否かを判断し、観測データが閾値以下であれば、観測データが条件を満たしていると判断し、観測データが閾値より大きければ、観測データが条件を満たしていないと判断してもよい。
出力部503は、条件判断部502により条件を満たしていると判断された場合、アラートを出力する。具体的には、たとえば、出力部503は、I/F308によりネットワークNWを介してWebダッシュボード204へアラートに関するメールを送信する。これに限らず、たとえば、出力部503は、I/F308によりネットワークNWを介してWebダッシュボード204のディスプレイへアラートを表示させる。
制御部504は、出力部503による警報の出力と、抑制部505による警報の出力の抑制と、のうちいずれか一方が行なわれてから所定時間経過するまで、抑制部505に警報の出力を抑制させる制御を行なう。具体的には、たとえば、制御部504は、観測時刻更新部511と間隔判断部512を有している。間隔判断部512は、観測時刻更新部511による更新に先立って、あらたに条件を満たした観測データが得られた観測日時と記憶装置に保存されている観測日時との時間間隔が、所定時間tと一致するか否かを判断する。具体的には、たとえば、間隔判断部512は、現日時を取得する。たとえば、間隔判断部512は、判別キーが「東京」であり、アラート名が「在庫アラート」であるレコードをアラート発生管理テーブル400から特定する。たとえば、間隔判断部512は、特定したレコードが有する最終観測日時のフィールドの値と現日時との時間間隔が所定時間tと一致するか否かを判断する。また、たとえば、間隔判断部512は、特定したレコードがない場合、該時間間隔が、所定時間tと一致しないと判断することとする。
観測時刻更新部511は、条件判断部502により条件を満たしていると判断された観測データの観測時刻を記憶装置に上書き保存する。具体的には、たとえば、観測時刻更新部511は、条件判断部502により条件を満たしていると判断された場合、現日時を間隔判断部512により特定されたレコードの最終観測日時のフィールドに上書き保存する。また、たとえば、間隔判断部512により該レコードが特定されなかった場合、観測時刻更新部511は、アラート発生管理テーブル400へアラート名のフィールドに「在庫アラート」を登録する。そして、観測時刻更新部511は、判別キーのフィールドに「東京」、最終観測日時のフィールドに現日時を登録する。これにより、アラート発生管理テーブル400にあらたなレコードが生成される。
抑制部505は、制御部504による制御に応じて出力部503による警報の出力を抑制する。具体的には、たとえば、抑制部505は、間隔判断部512によって一致すると判断された場合は出力部503によるアラートの出力を停止するよう制御する。具体的には、たとえば、抑制部505は、間隔判断部512によって不一致と判断された場合は出力部503にアラートを出力させる。
(実施例1にかかるモニタリングサーバ201による監視手順)
図6は、モニタリングサーバ201による監視手順を示すフローチャートである。モニタリングサーバ201が、取得部501により所定時間t経過したか否かを判断する(ステップS601)。モニタリングサーバ201が、所定時間t経過していないと判断した場合(ステップS601:No)、ステップS601へ戻る。
モニタリングサーバ201が、所定時間t経過したと判断した場合(ステップS601:Yes)、取得部501により、観測データを取得する(ステップS602)。モニタリングサーバ201が、現在の日時を取得する(ステップS603)。モニタリングサーバ201が、観測データの加工が必要か否かを判断する(ステップS604)。
モニタリングサーバ201が、観測データの加工が必要であると判断した場合(ステップS604:Yes)、観測データを加工し(ステップS605)、ステップS606へ移行する。観測データの加工は、たとえば、係数を掛けたりなどの処理である。
ステップS604において、モニタリングサーバ201が、観測データの加工が必要でないと判断した場合(ステップS604:No)、観測データまたは加工後の観測データを対象データに設定する(ステップS606)。そして、モニタリングサーバ201が、判定処理を実施し(ステップS607)、ステップS601へ戻る。
図7は、図6で示した判定処理(ステップS607)の詳細な説明を示すフローチャートである。まず、モニタリングサーバ201が、対象データが条件を満たしているか否かを判断し(ステップS701)、対象データが条件を満たしていないと判断した場合(ステップS701:No)、ステップS601へ戻る。すなわち、対象データが条件を満たしていないと判断した場合には、何も処理をしない。
モニタリングサーバ201が、対象データが条件を満たしていると判断した場合(ステップS701:No)、アラート発生管理テーブル400から対象データに関するレコードを特定する(ステップS702)。モニタリングサーバ201が、特定できたか否かを判断し(ステップS703)、特定できた場合(ステップS703:Yes)、現在の日時と最終観測日時との差分を算出する(ステップS704)。
モニタリングサーバ201が、差分と所定時間tが一致するか否かを判断する(ステップS705)。モニタリングサーバ201が、差分と所定時間tが一致すると判断した場合(ステップS705:Yes)、抑制部505により、ステップS708へ移行する。すなわち、差分と所定時間tが一致する場合には、出力部503によるアラートの出力がされない。差分と所定時間tが一致する場合とは、すなわち、継続して観測データが条件を満たしていないことを示している。よって、継続して観測データが条件を満たす場合、1回目の判定時のみにアラートが出力される。
モニタリングサーバ201が、差分と所定時間tが一致しないと判断した場合(ステップS705:No)、出力部503により、ステップS707へ移行する。ステップS703において、モニタリングサーバ201が、特定できなかった場合(ステップS703:No)、アラート発生管理テーブル400に新規レコードを追加する(ステップS706)。ステップS706、またはステップS705のNoの場合のつぎに、モニタリングサーバ201が、出力部503により、アラートを出力し(ステップS707)、ステップS708へ移行する。
ステップS705のYesの場合、またはステップS707のつぎに、モニタリングサーバ201が、観測時刻更新部511により、特定したレコードまたは新規レコードの最終観測日時を現在の日時に更新し(ステップS708)、ステップS601へ戻る。
(実施例2)
図8は、実施例2を示す説明図である。実施例2では、観測データが条件を満たし、かつ記憶装置に記憶された最終観測時刻と現時刻との差分が、所定時間tと一致する場合の一致回数が所定回数以上の場合に、再度アラートを出力させる。図8では、所定回数が4回であるため、一致回数が4回となると、アラートが出力されている。たとえば、所定回数は、過去の観測データが条件を満たさなくなるまでに要した期間に基づいて決定されることとする。これにより、観測データが条件を満たす場合が長期に渡り継続したら、再度アラートを出力させることができる。
また、実施例2では、実施例1で説明した部やデータと同一な部やデータについては同一符号を付し、その説明を省略する。
(実施例2にかかるアラート発生管理テーブル)
図9は、実施例2にかかるアラート発生管理テーブルの一例を示す説明図である。アラート発生管理テーブル900は、アラート名、判別キー、一致回数、最終観測日時のフィールドを有する。アラート名のフィールドには、たとえば、在庫アラートなどのアラートの種類が登録される。判別キーのフィールドには、たとえば、「東京」や「大阪」などの地名が登録される。一致回数のフィールドには、たとえば、観測データが条件を満たすようになってからの回数が登録される。最終観測日時のフィールドには、たとえば、観測データが条件を満たした場合の観測データの観測日時が順次上書きされて登録される。
各フィールドに値が設定されることによりレコード(901−1,901−2)が登録される。アラート発生管理テーブル900については、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されていることとする。
(実施例2にかかる平均一致回数管理テーブル)
図10は、実施例2にかかる平均一致回数管理テーブルの一例を示す説明図である。平均一致回数管理テーブル1000は、アラート名、判別キー、平均一致回数、更新回数、標準偏差のフィールドを有する。アラート名のフィールドには、たとえば、「在庫アラート」などのアラートの種類が登録される。判別キーのフィールドには、たとえば、「東京」や「大阪」などの地名が登録される。
平均一致回数のフィールドには、あらたに条件を満たした観測データが得られた観測時刻とアラート発生管理テーブル900に記憶された観測時刻との時間間隔が、所定時間tと一致すると判断された一致回数の平均値が登録される。平均値の初期値については、定義クライアント203へ業務管理者の操作により入力されることとする。更新回数のフィールドには、平均一致回数の更新回数が登録される。標準偏差のフィールドには、平均一致回数の標準偏差が登録される。
各フィールドに値が設定されることによりレコード(1001−1,1001−2)が登録される。平均一致回数管理テーブル1000については、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されていることとする。
図11は、実施例2にかかるモニタリングサーバ201の機能ブロックの一例を示す説明図である。モニタリングサーバ201は、取得部1101と、条件判断部1102と、出力部1103と、制御部1104と、抑制部1105と、を有している。取得部1101〜抑制部1105は、具体的には、たとえば、図3に示したROM302、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶された監視プログラムにコーディングされていることとする。CPU301が記憶装置から監視プログラムを読み出し、監視プログラムにコーディングされた処理を実行することにより、取得部1101〜抑制部1105はその機能が実現される。
取得部1101、条件判断部1102、出力部1103、抑制部1105の詳細な説明については、実施例1で示したそれぞれ取得部501、条件判断部502、出力部503、抑制部505の詳細と同一であるため、詳細な説明を省略する。
制御部1104は、観測時刻更新部1111と、間隔判断部1112と、一致回数計数部1113と、異常値判断部1114と、所定回数更新部1115と、更新回数計数部1116と、ばらつき算出部1117と、を有している。観測時刻更新部1111、間隔判断部1112の詳細な説明については、実施例1で示したそれぞれ観測時刻更新部511、間隔判断部512の詳細と同一であるため、詳細な説明を省略する。
制御部1104は、所定回数連続で抑制部1105に警報の出力を抑制させる場合に記所定回数目の警報の出力は抑制させない制御を行なう。さらに、制御部が、抑制させない制御を、抑制させる制御を行なった回数の平均に基づいて設定される回数に応じて行なう。具体的には、制御部1104は、一致回数計数部1113と、異常値判断部1114と、所定回数更新部1115と、更新回数計数部1116と、ばらつき算出部1117と、によって処理が行われる。実施例2では、抑制させる制御を行なった回数は、一致回数c−1である。
一致回数計数部1113は、間隔判断部1112によって一致すると判断された場合、連続して一致すると判断された一致回数cを計数する。具体的には、たとえば、一致回数計数部1113は、アラート発生管理テーブル900の観測データに関するレコードの一致回数のフィールドの値をカウントアップする。
また、一致回数計数部1113は、間隔判断部1112によって一致しないと判断された場合、一致回数をリセットする。具体的には、たとえば、一致回数計数部1113は、アラート発生管理テーブル900の観測データに関するレコードの一致回数のフィールドの値を0に設定する。
抑制部1105は、間隔判断部1112によって一致すると判断され、かつ一致回数計数部1113により計数された一致回数が所定回数以上である場合は出力部1103にアラートを出力させる。ここで、所定回数は、平均一致回数管理テーブル1000の平均一致回数のフィールドに登録された値(以下、「平均一致回数a」と称する。)である。
異常値判断部1114は、間隔判断部1112によって一致しないと判断された場合、一致回数が異常値であるか否かを平均一致回数と平均一致回数のばらつき情報とに基づいて判断する。ここで、ばらつき情報とは、平均一致回数管理テーブル1000の標準偏差のフィールドに登録された値(以下省略して「標準偏差σ」と称する。)である。
具体的には、たとえば、異常値判断部1114は、式(1),(2)のいずれか一方を満たす場合に一致回数cが異常値であると判断する。
・一致回数c>平均一致回数a+2×標準偏差σ・・・(1)
・一致回数c<平均一致回数a−2×標準偏差σ・・・(2)
詳細には、上記式(1)または式(2)を満たす場合には、一致回数cは過去の一致回数cが約95[%]が含まれる値の範囲外の値であると判断される。
所定回数更新部1115は、異常値判断部1114により一致回数cが異常値でないと判断された場合、一致回数計数部1113による一致回数cのリセット前に、一致回数cと平均一致回数aと平均一致回数aの更新回数に基づき、平均一致回数aを更新する。ここで、平均一致回数aの更新回数は、平均一致回数管理テーブル1000の更新回数のフィールドに登録された値(以下、「更新回数u」)である。
具体的には、たとえば、所定回数更新部1115は、下記式(3)に基づいて平均一致回数aを算出して更新する。
・平均一致回数a=(平均一致回数a×更新回数u+一致回数c)÷(更新回数u+1)・・・(3)
また、所定回数更新部1115は、異常値判断部1114により一致回数cが異常値であると判断された場合、平均一致回数aを更新しない。
更新回数計数部1116は、所定回数更新部1115による一致回数cの更新後、更新回数uを計数する。具体的には、たとえば、更新回数計数部1116は、更新回数uをインクリメントする。また、更新回数計数部1116は、異常値判断部1114により一致回数cが異常値であると判断された場合、更新回数uを計数しない。
ばらつき算出部1117は、異常値判断部1114により一致回数cが異常値でないと判断された場合、一致回数cと更新回数計数部1116による計数後の更新回数uに基づいて標準偏差σを算出する。具体的には、たとえば、ばらつき算出部1117は、下記式(4)により分散σ2uを算出することにより、標準偏差σを算出する。
・分散σ2 u=(1/更新回数u)×((更新回数u−1)×分散σ2 (u-1)+(一致回数c−平均一致回数a)2)・・・(4)
式(4)では分散σ2 (u-1)を用いているが、これに限らず、たとえば、過去の一致回数をすべて記憶させておいて、分散σ2 uを算出してもよい。
また、ばらつき算出部1117は、異常値判断部1114により一致回数cが異常値であると判断された場合、標準偏差σを再計算しない。
(実施例2にかかるモニタリングサーバ201による監視手順)
図12は、実施例2にかかる図6で示した判定処理(ステップS607)の詳細な説明を示すフローチャートである。実施例2にかかるモニタリングサーバ201による監視手順については、具体的には、判定処理(ステップS607)を除く処理についてはすべて同一であるため、ここでは、実施例2にかかる判定処理(ステップS607)についてのみ説明する。
モニタリングサーバ201が、条件判断部1102により、対象データが条件を満たすか否かを判断し(ステップS1201)、対象データが条件を満たしていないと判断した場合(ステップS1201:No)、ステップS601へ戻る。モニタリングサーバ201が、対象データが条件を満たしていると判断した場合(ステップS1201:Yes)、アラート発生管理テーブル900と平均一致回数管理テーブル1000から対象データに関するレコードを特定する(ステップS1202)。
モニタリングサーバ201が、特定したか否かを判断し(ステップS1203)、特定したと判断した場合(ステップS1203:Yes)、間隔判断部1112により、現在の日時と最終観測日時との差分を算出する(ステップS1204)。
モニタリングサーバ201が、間隔判断部1112により、差分と所定時間tが一致するか否かを判断し(ステップS1205)、一致すると判断した場合(ステップS1205:Yes)、一致回数計数部1113により、一致回数をカウントアップする(ステップS1206)。
モニタリングサーバ201が、一致回数>平均一致回数であるか否かを判断する(ステップS1207)。モニタリングサーバ201が、一致回数>平均一致回数であると判断した場合(ステップS1207:Yes)、(一致回数−1)が平均一致回数の倍数であるか否かを判断する(ステップS1208)。たとえば、平均一致回数の倍数については、小数点の値を切り捨てまたは四捨五入した値としてもよい。
モニタリングサーバ201が、(一致回数−1)が平均一致回数の倍数であると判断した場合(ステップS1208:Yes)、出力部1103により、アラートを出力し(ステップS1209)、ステップS1214へ移行する。これにより、連続して一致する場合に、平均一致回数ごとに1回アラートを出力させることができる。
ステップS1207において、モニタリングサーバ201が、一致回数>平均一致回数でないと判断した場合(ステップS1207:No)、ステップS1214へ移行する。ステップS1208において、モニタリングサーバ201が、(一致回数−1)が平均一致回数の倍数でないと判断した場合(ステップS1208:No)、ステップS1214へ移行する。
ステップS1205において、モニタリングサーバ201が、差分と所定時間tが一致しないと判断した場合(ステップS1205:No)、平均一致回数の算出処理を実行する(ステップS1210)。モニタリングサーバ201が、一致回数計数部1113により、一致回数をリセットし(ステップS1211)、出力部1103により、アラートを出力し(ステップS1212)、ステップS1214へ移行する。
ステップS1203において、モニタリングサーバ201が、特定していないと判断した場合(ステップS1203:No)、アラート発生管理テーブル900と平均一致回数管理テーブル1000のそれぞれに値を設定することで新規レコードを追加し(ステップS1213)、ステップS1212へ移行する。
ステップS1207のNoの場合、ステップS1208のNoの場合、ステップS1209、ステップS1212のつぎに、モニタリングサーバ201が、観測時刻更新部1111により、最終観測日時を現在の日時に更新し(ステップS1214)、ステップS601へ移行する。
図13は、図12で示した平均一致回数の算出処理(ステップS1210)の詳細な説明を示すフローチャートである。モニタリングサーバ201が、異常値判断部1114により、一致回数が異常値であるか否かを判断する(ステップS1301)。異常値であるか否かについては、上述したように式(1)または式(2)を満たすか否かによって判断される。
モニタリングサーバ201が、一致回数が異常値であると判断した場合(ステップS1301:Yes)、ステップS1211へ移行する。モニタリングサーバ201が、一致回数が異常値でないと判断した場合(ステップS1301:No)、所定回数更新部1115により、一致回数に基づきあらたに平均一致回数を算出して更新する(ステップS1302)。平均一致回数については、上述した式(3)に基づいて算出される。
モニタリングサーバ201が、更新回数計数部1116により、更新回数をカウントアップし(ステップS1303)、ばらつき算出部1117により、標準偏差を算出して更新し(ステップS1304)、ステップS1211へ移行する。標準偏差については、式(4)で得られる分散に基づいて算出される。
以上説明したように、所定時間ごとに得られる観測データが条件を継続して満たしている場合、前回条件を満たした観測時刻を記憶し、記憶された観測時刻と観測データの観測時刻との差分が所定時間と一致したときのみアラートを出力する。これにより、アラートの過剰出力を防止することができる。
観測データが条件を満たしている場合、すなわちトラブルが発生している場合には処理を行うが、観測データが条件を満たしていない場合、すなわちトラブルが発生していない場合には特に処理をさせない。トラブルが発生していない状態の方が、トラブルが発生している状態よりもはるかに長い期間である。トラブルが発生していない状態では処理を行わないことにより、監視負荷を軽減することができる。
また、観測データが条件を満たしている状態が長期間継続する場合、すなわち、トラブルが発生している状態が長期間継続している場合、過去にトラブルの解消までに要した期間に基づいて再度アラートを出力させる。記憶された観測時刻と観測データの観測時刻との差分が所定時間と一致した一致回数に基づいて該期間が決定されている。
また、平均から大きく乖離した一致回数をばらつき情報を用いて取り除き、平均一致回数を算出することにより、平均一致回数を最適化することができ、最適なタイミングでアラートを出力させることができる。
なお、本実施の形態で説明した監視方法は、あらかじめ用意された監視プログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本監視プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また本監視プログラムは、インターネット等のネットワークNWを介して配布してもよい。
201 モニタリングサーバ
503,1103 出力部
504,1104 制御部
505,1105 抑制部

Claims (3)

  1. 所定時間間隔で得られる観測データについて、所定の条件を満たす場合に、警報を出力する出力手段と、
    制御に応じて前記出力手段による前記警報の出力を抑制する抑制手段と、
    前記出力手段による前記警報の出力と、前記抑制手段による前記警報の出力の抑制と、のうちいずれか一方が行なわれた時からあらたに所定条件を満たすと判断された時までの時間間隔が所定時間である場合に、前記抑制手段に前記警報の出力を抑制させる制御を行ない、前記抑制させる制御を行なった回数の平均に基づいて設定される回数に応じた所定回数連続で前記抑制手段に前記警報の出力を抑制させる場合に、前記所定回数目の前記警報の出力は抑制させない制御を行なう制御手段と、
    を備えることを特徴とする監視装置。
  2. コンピュータが、
    所定時間間隔で得られる観測データについて、所定の条件を満たす場合に、警報を出力し、
    制御に応じて前記警報の出力を抑制し、
    前記警報の出力と、前記警報の出力の抑制と、のうちいずれか一方が行なわれた時からあらたに所定条件を満たすと判断された時までの時間間隔が所定時間である場合に、前記警報の出力を抑制させる制御を行ない、前記抑制させる制御を行なった回数の平均に基づいて設定される回数に応じた所定回数連続で前記警報の出力を抑制させる場合に、前記所定回数目の前記警報の出力は抑制させない制御を行なう、
    処理を実行することを特徴とする監視方法。
  3. コンピュータに、
    所定時間間隔で得られる観測データについて、所定の条件を満たす場合に、警報を出力し、
    制御に応じて前記警報の出力を抑制し、
    前記警報の出力と、前記警報の出力の抑制と、のうちいずれか一方が行なわれた時からあらたに所定条件を満たすと判断された時までの時間間隔が所定時間である場合に、前記警報の出力を抑制させる制御を行ない、前記抑制させる制御を行なった回数の平均に基づいて設定される回数に応じた所定回数連続で前記警報の出力を抑制させる場合に、前記所定回数目の前記警報の出力は抑制させない制御を行なう、
    処理を実行することを特徴とする監視プログラム。
JP2011139907A 2011-06-23 2011-06-23 監視装置、監視方法、および監視プログラム Expired - Fee Related JP5724670B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011139907A JP5724670B2 (ja) 2011-06-23 2011-06-23 監視装置、監視方法、および監視プログラム
US13/524,216 US9000912B2 (en) 2011-06-23 2012-06-15 Monitoring apparatus, monitoring method and recording medium of monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011139907A JP5724670B2 (ja) 2011-06-23 2011-06-23 監視装置、監視方法、および監視プログラム

Publications (2)

Publication Number Publication Date
JP2013008162A JP2013008162A (ja) 2013-01-10
JP5724670B2 true JP5724670B2 (ja) 2015-05-27

Family

ID=47361320

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011139907A Expired - Fee Related JP5724670B2 (ja) 2011-06-23 2011-06-23 監視装置、監視方法、および監視プログラム

Country Status (2)

Country Link
US (1) US9000912B2 (ja)
JP (1) JP5724670B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110941532A (zh) * 2019-11-20 2020-03-31 深圳市华星光电半导体显示技术有限公司 Mes的监控方法、监控装置及可读存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6428748A (en) 1987-07-24 1989-01-31 Hitachi Ltd Monitor system
JPH1027290A (ja) * 1996-07-09 1998-01-27 Toshiba Corp アラーム管理装置
US5735546A (en) * 1996-10-01 1998-04-07 Ibm Corporation Method for controlling a manufacturing process utilizing control charts
JPH1124742A (ja) * 1997-07-02 1999-01-29 Yaskawa Electric Corp プラント監視装置のアラーム出力装置
IL127407A (en) * 1998-12-06 2004-07-25 Electronics Line E L Ltd Infrared intrusion detector and method
JP2003006004A (ja) * 2001-06-25 2003-01-10 Mitsubishi Electric Corp 障害発生通知抑止装置および障害発生通知抑止方法
JP2006252459A (ja) * 2005-03-14 2006-09-21 Nomura Research Institute Ltd 監視装置及び監視方法
JP4527572B2 (ja) * 2005-03-14 2010-08-18 株式会社野村総合研究所 監視装置及び監視方法
JP4652090B2 (ja) * 2005-03-15 2011-03-16 富士通株式会社 事象通知管理プログラム、事象通知管理装置及び事象通知管理方法
JP4695935B2 (ja) * 2005-07-12 2011-06-08 ルネサスエレクトロニクス株式会社 異常検出システムおよび異常検出方法
JP2008046925A (ja) * 2006-08-17 2008-02-28 Mitsubishi Electric Corp 警報表示装置
JP4372219B1 (ja) * 2009-03-23 2009-11-25 株式会社Cskホールディングス バッファ管理支援システム及びプログラム

Also Published As

Publication number Publication date
JP2013008162A (ja) 2013-01-10
US9000912B2 (en) 2015-04-07
US20120326859A1 (en) 2012-12-27

Similar Documents

Publication Publication Date Title
CN108615119B (zh) 一种异常用户的识别方法及设备
US10192050B2 (en) Methods, systems, apparatus, and storage media for use in detecting anomalous behavior and/or in preventing data loss
US7246043B2 (en) Graphical display and correlation of severity scores of system metrics
US8145449B2 (en) Computer product, apparatus, and method for system management
JP4573179B2 (ja) 性能負荷異常検出システム、性能負荷異常検出方法、及びプログラム
EP2357562A1 (en) System for assisting with execution of actions in response to detected events, method for assisting with execution of actions in response to detected events, assisting device, and computer program
US9396432B2 (en) Agreement breach prediction system, agreement breach prediction method and agreement breach prediction program
US11032627B2 (en) Maintenance device, presentation system, and program
CN110727533A (zh) 一种告警的方法、装置、设备和介质
CN110673973B (zh) 应用程序编程接口api的异常确定方法和装置
JP5724670B2 (ja) 監視装置、監視方法、および監視プログラム
WO2015159926A1 (ja) 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
CN112652351A (zh) 硬件状态检测方法、装置、计算机设备及存储介质
CN111158960A (zh) 一种基于内存的分布式异常数据处理方法和设备
KR102382134B1 (ko) 공격 검지 장치, 공격 검지 방법, 및 공격 검지 프로그램
CN114841559A (zh) 基于指标距离的指标去重方法及装置
JP7087544B2 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び記憶装置
WO2022050968A1 (en) Process tree discovery using a probabilistic inductive miner
JP6690389B2 (ja) フロー生成プログラム、フロー生成方法およびフロー生成装置
JP4664847B2 (ja) 過誤発注防止方法
JP4760481B2 (ja) 記憶装置容量閾値管理プログラム及び記憶装置容量閾値管理方法
US11914704B2 (en) Method and system for detecting coordinated attacks against computing resources using statistical analyses
US11749070B2 (en) Identification of anomalies in an automatic teller machine (ATM) network
WO2015178000A1 (ja) 情報処理装置、情報処理方法、及び、記憶媒体
CN103190117B (zh) 网络中的错误报告系统及方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140304

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150303

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150316

R150 Certificate of patent or registration of utility model

Ref document number: 5724670

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees