JP6167625B2 - Packet recording device - Google Patents
Packet recording device Download PDFInfo
- Publication number
- JP6167625B2 JP6167625B2 JP2013081510A JP2013081510A JP6167625B2 JP 6167625 B2 JP6167625 B2 JP 6167625B2 JP 2013081510 A JP2013081510 A JP 2013081510A JP 2013081510 A JP2013081510 A JP 2013081510A JP 6167625 B2 JP6167625 B2 JP 6167625B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- recording
- time
- file
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明の実施形態は、パケット記録装置に関する。 Embodiments described herein relate generally to a packet recording apparatus.
データがパケットにより伝送されるパケット通信ネットワークでは、様々な通信エラーが発生する。例えば、ネットワークに接続された特定の機器にデータを送信できないときに通信エラーが報告される。報告を受けたパケットネットワークの管理者は、通信エラーの原因を特定し、パケット通信ネットワークを早期に復旧させるための作業を行う。 Various communication errors occur in a packet communication network in which data is transmitted by packets. For example, a communication error is reported when data cannot be transmitted to a specific device connected to the network. The administrator of the packet network that has received the report identifies the cause of the communication error and performs work for quickly recovering the packet communication network.
一般に、通信エラーが発生した場合には、通信エラーに関連するパケットのキャプチャが行われる。管理者は、キャプチャされたパケット内のデータを解析することによって、通信エラーの原因を特定することができる。 In general, when a communication error occurs, a packet related to the communication error is captured. The administrator can identify the cause of the communication error by analyzing the data in the captured packet.
従来技術として、例えば、トラフィックデータを受信するデータ受信部と、不揮発的な記録領域であるダンプファイル記録部と、受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、トラフィックデータを記録するトラフィック記録装置がある。このトラフィック記録装置は、トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを検出通知と関連付けてダンプファイル記録部に記録するキャッシュ管理部を備える(例えば、特許文献1)。 As a conventional technique, for example, a data receiving unit that receives traffic data, a dump file recording unit that is a non-volatile recording area, and a cache that divides the received traffic data every predetermined time and temporarily holds it as cache data A traffic recording device that records traffic data. When this traffic recording device receives a detection notification for notifying that a predetermined event has occurred in the traffic data, a cache that records traffic data from the cache data of the cache unit up to a predetermined time before the detection notification is received. A cache management unit is provided that identifies data and records the identified cache data in a dump file recording unit in association with the detection notification (for example, Patent Document 1).
また、監視回線上の全通信パケットのパケット情報を受信時刻情報と対応付けてパケット情報保持部を保持し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、各収集手段からのトラフィックフロー情報に基づく所定の監視対象の集計情報を管理する管理手段と、外部の監視対象通知手段からの少なくとも監視時間条件を有する監視対象特定情報より新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理手段とを備えるネットワーク監視システムがあり、各収集手段は、新たな収集条件の監視時間条件が過去の時間範囲である場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求める(例えば、特許文献2)。 Also, a plurality of collecting means for associating packet information of all communication packets on the monitoring line with the reception time information and holding a packet information holding unit to obtain traffic flow information of a predetermined collecting condition, and traffic from each collecting means A new monitoring setting condition is set based on monitoring target specifying information having at least a monitoring time condition from a management unit that manages aggregate information of a predetermined monitoring target based on flow information and an external monitoring target notification unit, and the monitoring setting condition There is a network monitoring system comprising monitoring target setting management means for setting each collection means as a new collection condition, and each collection means has packet information if the monitoring time condition of the new collection condition is in the past time range. By referring to the holding unit, traffic flow information of a new collection condition is obtained (for example, Patent Document 2).
しかしながら、特許文献1記載の技術では、特定したキャッシュデータを検出通知と関連付けてダンプファイル記録部に記録する。このため、同時多発的に検出通知が発生すると、キャッシュデータの記録処理が集中的に発生し、処理リソースの負荷増大やリソース不足による記録処理エラーが生じる可能性があった。また、検出通知に対応するキャッシュデータが記録されるため、検出通知が集中的に発生した場合には、冗長なキャッシュデータが記録され、記憶容量を浪費する問題があった。
However, in the technique described in
また、特許文献1記載の技術では、検出通知に応じてキャッシュデータをダンプファイ
ル記録部に記録する。このため、検出通知の受信タイミングによっては、ダンプファイル記録部に記録すべきキャッシュデータがキャッシュ部から消去されている場合が起こり得る。この場合、キャッシュデータをダンプファイル記録部に記録できない。
In the technique described in
一方、特許文献2記載の技術では、パケット情報保持部に保持されたパケット情報が削除されないため、大容量の記録媒体を用意しなければ、空き容量不足によってパケット情報が保持されなくなる可能性があった。
On the other hand, in the technique described in
本発明の実施形態は、処理リソースの負荷増大やリソース不足による記録処理エラーを回避可能であり、且つパケットデータの記録領域の容量を抑えることが可能なパケット記録装置を提供することを目的とする。 An embodiment of the present invention aims to provide a packet recording apparatus capable of avoiding a recording processing error due to an increase in processing resource load or a resource shortage and capable of suppressing the capacity of a packet data recording area. .
本発明の実施形態は、ネットワーク上を流れるパケットに係るパケット情報を単位時間でまとめたファイルが周期的に記録される記録領域と、
ファイルが前記記録領域に記録される時間を示す記録時間が前記ネットワーク上で生じた事象に基づき決定されたパケット検出期間に含まれるファイルを特定する情報を記憶する記憶領域と、
前記記録領域に記録されたファイルの中から前記情報によって特定されるファイルが除外された残りのファイルから削除すべきファイルを決定し、決定されたファイルを前記記録領域から削除する処理を周期的に実行する制御装置と、を含むパケット記録装置である。
An embodiment of the present invention includes a recording area in which a file in which packet information relating to a packet flowing on a network is collected in unit time is periodically recorded;
A storage area for storing information identifying a file included in a packet detection period determined based on an event that occurs on the network, and a recording time indicating a time at which the file is recorded in the recording area;
A process of determining a file to be deleted from the remaining files excluding the file specified by the information from the files recorded in the recording area, and periodically deleting the determined file from the recording area A packet recording device including a control device to be executed.
本発明の実施形態によれば、処理リソースの負荷増大やリソース不足による記録処理エラーを回避可能であり、且つパケットデータの記録領域の容量を抑えることができる。 According to the embodiment of the present invention, it is possible to avoid a recording processing error due to an increase in processing resource load or a resource shortage, and to suppress the capacity of a packet data recording area.
以下、図面を参照して本発明の実施形態について説明する。実施形態の構成は例示であり、本発明の実施形態は、以下の実施形態の構成に限定されない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. The configuration of the embodiment is an exemplification, and the embodiment of the present invention is not limited to the configuration of the following embodiment.
<ネットワークワーク構成>
図1は、実施形態に係るパケット記録装置を含むネットワークシステムの構成例を示す。図1において、ネットワークシステムは、サービス用ネットワークN1と、管理用ネットワークN2とを備えている。
<Network work configuration>
FIG. 1 shows a configuration example of a network system including a packet recording apparatus according to an embodiment. In FIG. 1, the network system includes a service network N1 and a management network N2.
サービス用ネットワークN1は、ユーザに対するパケット通信サービスが実行されるネットワーク(パケット通信ネットワーク)であり、例えば、インターネットINに接続された複数のネットワーク装置(NW装置)11を備えている。NW装置11は、レイヤ3スイッチ(L3スイッチ)や、ルータのような、パケットの中継装置である。
The service network N1 is a network (packet communication network) in which a packet communication service for a user is executed, and includes, for example, a plurality of network devices (NW devices) 11 connected to the Internet IN. The
管理用ネットワークN2は、例えば、サービスの提供者又はネットワークの管理者が、ネットワークシステムを保守・管理するためのネットワークであり、複数のNW装置21を含んでいる。各NW装置21は、監視サーバ(検出装置)22に接続される。NW装置21も、レイヤ3スイッチ(L3スイッチ)や、ルータのような、パケットの中継装置である。
The management network N2 is, for example, a network for a service provider or network administrator to maintain and manage the network system, and includes a plurality of
サービス用ネットワークN1と管理用ネットワークワークN2とは、図1に例示されるサーバS1及びS2のような1以上のサーバSによって接続されている。各サーバSは、NW装置11やNW装置21に接続される。また、NW装置11とNW装置21とは、必要に応じて接続される。
The service network N1 and the management network work N2 are connected by one or more servers S such as the servers S1 and S2 illustrated in FIG. Each server S is connected to the
パケットキャプチャ装置30は、パケット記録装置の一例である。パケットキャプチャ装置30は、管理用ネットワークN2におけるNW装置21を介して監視サーバ22と接続される。また、パケットキャプチャ装置30は、サービス用ネットワークN1における所定のNW装置11と、パケットキャプチャ用の通信線Lを介して接続される。図1に示す例では、パケットキャプチャ装置30は、NW装置11Aと通信線(リンク)Lを介して接続されている。
The
パケット通信ネットワーク(すなわち、サービス用ネットワークN1)を伝送されるパケットに関して所定の事象(例えば、通信エラー)が検出された場合に、パケットキャプチャ装置30は、所定の事象の発生前後のパケットに係るデータ(パケットデータ)を記録する。
When a predetermined event (for example, a communication error) is detected with respect to a packet transmitted through the packet communication network (that is, the service network N1), the
図2は、図1に示したネットワークシステムにおいて障害が発生した時の情報伝達の様子を示す。図2に示すように、例えば、NW装置11AとサーバS1とを結ぶリンク(通信線)が切断された(リンクダウンが生じた)場合を仮定する。この場合、NW装置11A及びサーバS1から、監視サーバ22に対して障害通知が送られる。監視サーバ22は、NW装置11A及びサーバS1から受け取った障害通知に対応する障害の検出通知をパケットキャプチャ装置30に送る。
FIG. 2 shows a state of information transmission when a failure occurs in the network system shown in FIG. As shown in FIG. 2, for example, it is assumed that the link (communication line) connecting the
図3は、図2に示したNW装置11(11A),監視サーバ22及びパケットキャプチャ装置30を抽出した図であり、図4は、図3に示した障害通知及び検出通知を送るための構成を模式的に示す。
3 is a diagram in which the NW device 11 (11A), the monitoring
図4において、NW装置11は、通信ポートとして、サービスパケット通信ポートP1(以下、パケット通信ポートP1)と、管理ポートP3と、ミラーリングポートP2とを有している。
In FIG. 4, the
パケット通信ポートP1は、パケット通信サービスを提供するため使用される通信ポートであり、パケット(ユーザパケット)の転送に使用される。パケット通信ポートP1から送出されるパケット(図4のパケットP)は、パケット通信ポートP1を通過するトラフィック(トラフィックフロー)上を流れる。 The packet communication port P1 is a communication port used for providing a packet communication service, and is used for transferring a packet (user packet). A packet transmitted from the packet communication port P1 (packet P in FIG. 4) flows on traffic (traffic flow) passing through the packet communication port P1.
管理ポートP3は、NW装置11が管理ネットワークN2経由で監視サーバ22と通信するために使用される。NW装置11は、リンクダウンのような所定事象の検出機能を有しており、検出された所定事象を示す情報は、障害通知として管理ポートP3から監視サーバ22へ送信される。なお、サーバSも、上記した管理ポートP3を有している。
The management port P3 is used for the
ミラーリングポートP2は、パケット通信ポートP1から送信されるパケットのコピー(図4のコピーのパケットCP)をパケットキャプチャ装置30へ送信するためのポートである。ミラーリングポートP2は、予めパケットキャプチャ装置30でのキャプチャを所望するNW装置11のパケット通信ポートP1、又はVirtual Local Area Network(VLAN)が選択されることによって、ミラーリングパケット(コピーのパケット)をパケットキャプチャ装置30へ送ることができる。なお、パケットキャプチャ装置30は、ミラーポートの利用の代わりに、Simple Network Management Protocol(SNMP)を用いてパケットのコピーを取得しても良い。ミラーリングパケットは、「ネットワーク上を流れるパケットのコピー」の一例である。
The mirroring port P2 is a port for transmitting a copy of the packet transmitted from the packet communication port P1 (the copy packet CP in FIG. 4) to the
監視サーバ22は、検出装置の一例である。監視サーバ22は、NW装置11やサーバSのようなサービス用ネットワークN1に接続された各装置からの障害通知(障害ログ)
をリアルタイムに監視することができる。監視サーバ22は、障害通知からインシデントの可能性がある特徴的な事象の発生を検出することができる。
The monitoring
Can be monitored in real time. The monitoring
監視サーバ22は、図4に示すように、検出情報受信部221と、検出部222と、検出情報送信部223とを含むことができる。検出情報受信部221は、NW装置11やサーバSから特徴的な事象の発生を障害通知(障害ログ)として受信し、検出部222に与える。
As shown in FIG. 4, the monitoring
検出部222は、検出情報受信部221から受信された障害通知で示される事象がパケットデータの検出を要する事象か否かを判定する。障害通知がパケットデータの検出を要する事象を示す場合には、検出情報送信部223に対し、検出通知の出力指示を与える。
The
検出情報送信部223は、検出部222からの出力指示に応じて、検出通知を含むパケット(検出通知信号)を生成し、パケットキャプチャ装置30に送信する。検出通知信号は、通知内容と検出時刻とを含む。通知内容は、障害通知の内容を含み、検出時刻は、例えば、障害通知の発生時刻である。
In response to the output instruction from the
なお、検出通知(検出通知信号)は、監視サーバ22以外の装置からパケットキャプチャ装置30に入力される場合もある。或いは、管理者又は作業者が、パケットキャプチャ装置30が備えるユーザインタフェースを用いて、検出通知(検出通知信号)をパケットキャプチャ装置30に直接に入力する場合もある。
The detection notification (detection notification signal) may be input to the
監視サーバ22は、パケットキャプチャ装置30に保存されたダンプファイルの提供をパケットキャプチャ装置に要求することができる。パケットキャプチャ装置30からのダンプファイルの取得は、例えば、File Transfer Protocol(FTP)のような既存の手法を適用することができる。なお、パケットキャプチャ装置30に保存されたダンプファイルは、作業者(オペレータ)が、例えば、パケットキャプチャ装置30に接続されたユーザインタフェースを用いて、直接的にパケットキャプチャ装置30から取り出すこともできる。
The monitoring
パケットキャプチャ装置30は、ミラーリングポートP2から送信されたミラーリングパケット(パケットのコピー)を一時的に記録する。パケットのコピーは、「パケットに係る情報」の一例である。パケットキャプチャ装置30は、ミラーリングパケットを単位時間でまとめたファイル(ダンプファイル)を生成する。ダンプファイルは、所定の記録領域に記録(保存)される。ダンプファイルは、ネットワークで生じた事象(検出通知として、パケットキャプチャ装置30に通知される事象)の解析のために使用される。
The
ダンプファイルの記録領域への記録は、検出通知の受信とは無関係に、周期的に実行される。これによって、検出通知を集中的に受信することによって、ダンプファイルの記録処理が集中的に発生することがない。これによって、記録処理用のリソースの負荷増大やリソース不足によって、ダンプファイルが記録領域に記録できなくなることを回避することができる。 Recording of the dump file in the recording area is periodically executed regardless of reception of the detection notification. Accordingly, the dump file recording process does not occur intensively by receiving the detection notifications intensively. As a result, it is possible to prevent the dump file from being recorded in the recording area due to an increase in the load of resources for recording processing or a shortage of resources.
ダンプファイルの記録領域は、所定容量を有し、新規のダンプファイルを記録するための空き領域がない場合には、記録領域に記録された複数のダンプファイル(ダンプファイル群)の中から削除すべきダンプファイルが決定され、当該ダンプファイルが記録領域から削除される。例えば、記録領域に記録された時間が最も古いダンプファイルが削除対象として決定され、削除される。これにより、解析に利用されない(検出通知と無関係の)ダンプファイルが制限なく保存され続けることが回避される。したがって、記録領域の容量を抑えることができる。換言すれば、パケットキャプチャ装置30が備える記録媒体の
容量を抑えることができる。
The dump file recording area has a predetermined capacity, and if there is no free area to record a new dump file, it is deleted from the multiple dump files (dump file group) recorded in the recording area. A dump file to be determined is determined, and the dump file is deleted from the recording area. For example, the dump file with the oldest time recorded in the recording area is determined as a deletion target and deleted. As a result, it is avoided that dump files that are not used for analysis (irrelevant to the detection notification) are stored without limitation. Accordingly, the capacity of the recording area can be suppressed. In other words, the capacity of the recording medium included in the
なお、ダンプファイルの記録領域の容量は、検出通知の受信が遅延した場合であっても、当該検出通知に関連するダンプファイルが記録領域内に存在し得る容量が、実験や経験則に基づいて設定される。 Note that the capacity of the recording area of the dump file is based on experiments and empirical rules, even if reception of the detection notification is delayed, the capacity of the dump file related to the detection notification can exist in the recording area. Is set.
また、本実施形態において、記録領域に記録される各ダンプファイルは、各ダンプファイルが記録領域に記録される記録時間と関連づけられる。パケットキャプチャ装置30では、受信された検出通知で特定される事象と関連づけられたパケット検出期間(以下、単に検出期間とも表記)に記録時間が含まれるダンプファイルを特定するための情報が、記憶領域に記憶される。パケット検出期間は、検出通知によって特定される或る時間(時刻)から後ろに(過去に)向かった所定時間と或る時間から前に(未来に)進んだ所定時間とからなる。記録時間がパケット検出期間に含まれるダンプファイルは、事象の解析のために検出が所望されるダンプファイルを示す。
In the present embodiment, each dump file recorded in the recording area is associated with a recording time during which each dump file is recorded in the recording area. In the
上記した記録領域から削除すべきダンプファイルを決定する処理は、パケットキャプチャ装置30が備える制御装置によって周期的に実行される。制御装置は、周期的な決定処理において、記憶領域に記憶された情報によって特定されるダンプファイルを、削除すべき対象から除外する。したがって、事象解析のための検出が所望されるダンプファイルは、単なる時間経過によって削除されない。
The process for determining the dump file to be deleted from the recording area is periodically executed by the control device provided in the
従って、事象解析を所望する作業者(オペレータ)は、都合の良いタイミングで、記録領域へのアクセスを通じて、所望のダンプファイルを取得することができる。このとき、上記した情報を手がかりに取得すべきダンプファイルを決定することができるので、所望のダンプファイルの入手が容易となる。 Therefore, an operator who desires event analysis can obtain a desired dump file through access to the recording area at a convenient timing. At this time, since the dump file to be acquired can be determined by using the above information as a clue, it is easy to obtain the desired dump file.
<情報処理装置のハードウェア構成>
次に、パケットキャプチャ装置30として適用可能な情報処理装置(コンピュータ)のハードウェア構成例について説明する。パケットキャプチャ装置30のハードウェア構成として、パーソナルコンピュータ(PC),ワークステーション,専用又は汎用のサーバマシンが有する既存のハードウェアアーキテクチャを適用することができる。
<Hardware configuration of information processing device>
Next, a hardware configuration example of an information processing apparatus (computer) applicable as the
図5は、情報処理装置のハードウェア構成例を示す図である。図5において、情報処理装置50は、例として、CPU51と、メモリ52と、記憶装置53と、入出力(I/O)デバイス54とを備える。CPU51,メモリ52,記憶装置53,I/Oデバイス54は、バスBを介して相互に接続されている。
FIG. 5 is a diagram illustrating a hardware configuration example of the information processing apparatus. In FIG. 5, the
メモリ52は、CPU51の作業領域として使用されるメインメモリとして機能する。メインメモリは、例えば、RAM(Random Access Memory)及びROM(Read Only Memory)によって形成される。
The
記憶装置53は、CPU51によって実行される各種のプログラム,及び各プログラムの実行時に使用されるデータを記憶する。記憶装置53は、例えば、不揮発性記録媒体であり、例えば、ハードディスク,フラッシュメモリ,EEPROM(Electrically Erasable Programmable Read-Only Memory)の少なくとも1つを用いて形成することができる
。メモリ52及び記憶装置53のそれぞれは、記録媒体の一例である。
The
I/Oデバイス54は、通信インタフェース回路(通信インタフェース(通信IF))を含む。通信IFとして、例えば、既存のネットワーク・カードやネットワーク・インタフェース・カード(NIC)と呼ばれるLocal Area Network(LAN)接続用のインタフ
ェース装置を適用することができる。また、I/Oデバイス54は、キーボード,ボタン,ポインティングデバイス,タッチパネルのような入力装置や、ディスプレイ装置のような出力装置を接続することができる。出力装置及び入力装置は、管理者及び作業者(オペレータ)が情報を入力、或いは情報を取得するためのユーザインタフェース(UI)を提供する。
The I /
CPU51は、例えば、記憶装置53にインストールされたプログラムをメモリ52にロードして実行することにより、パケットキャプチャ装置30としての機能を発揮することができる。CPU51は、プロセッサ(マイクロプロセッサ)や制御装置の一例である。CPU51の代わりに、Digital Signal Processor(DSP)を使用することもできる。
For example, the
図5に示した情報処理装置50のハードウェア構成は、監視サーバ22のハードウェア構成に適用することができる。すなわち、図5に示すI/Oデバイス54(通信IF)は、図4に示した検出情報受信部221及び検出情報送信部223として機能することができる。また、CPU51は、監視サーバ22の記憶装置53に記憶されたプログラムをメモリ52上で実行することによって、検出部222として機能することができる。換言すれば、監視サーバ22は、PCや専用又は汎用のサーバマシンのようなコンピュータを用いて実現することができる。
The hardware configuration of the
また、図5に示した情報処理装置50のハードウェア構成は、NW装置11,NW装置21及びサーバSにも適用が可能である。
Further, the hardware configuration of the
上述したCPU51,メモリ52及び記憶装置53を用いたプログラム実行によって実現される機能は、専用又は汎用のハードウェアチップを用いたハードウェアロジック(ワイヤードロジック)によって実現されても良い。
The functions realized by the program execution using the
ハードウェアロジック又はワイヤードロジックによって実現される機能は、例えば、電気回路,電子回路,集積回路(Integrated circuit(IC),Large Scale Integration
(LSI),Application Specific Integrated Circuit(ASIC)等),Programmable Logic Device (PLD,例えば、Field Programmable Gate Array(FPGA))のうちの少なくとも1つ、又は2以上によって実現されることができる。
Functions realized by hardware logic or wired logic include, for example, electric circuits, electronic circuits, integrated circuits (ICs), and large scale integration.
(LSI), Application Specific Integrated Circuit (ASIC), etc.), Programmable Logic Device (PLD, for example, Field Programmable Gate Array (FPGA)), or two or more.
<パケットキャプチャ装置の構成例>
図6は、パケットキャプチャ装置30の構成例を模式的に示す。図6において、I/Oデバイス54(通信IF)は、NW装置11のミラーポートP2(図4)から送信されたミラーリングパケットを受信するパケット受信機能541と、監視サーバ22から検出通知を受信する検出通知受信機能542とを果たす。
<Configuration example of packet capture device>
FIG. 6 schematically illustrates a configuration example of the
メモリ52は、キャッシュ領域(キャッシュエリア)521と、検出通知情報領域(検出通知情報エリア)522と、パケット保存時間情報テーブル523の記憶領域とを含んでいる。記憶装置53は、パケットデータ保存領域531と、検出時間条件情報テーブル532とを有している。パケットデータ保存領域531は、「記録領域」の一例である。
The
検出通知情報領域522は、検出通知受信機能542によって受信された検出通知に含まれる情報(検出通知情報)を記憶する。図7は、検出通知情報領域522のデータ構造例を示す。検出通知情報領域522は、検出通知単位のレコードを有する。レコードは、レコード番号(検出通知の識別情報(ID))と、通知内容と、検出時刻とを含む。通知内容は、障害通知で通知された事象の種別を示す。事象は、例えば、「リンクダウン」,「不正アクセス」,「アプリ(アプリケーション)エラー」,「その他」を含むことがで
きる。
The detection
キャッシュ領域521は、I/Oデバイス54(パケット受信機能541)で受信されたミラーリングパケット(パケットデータ)の全てを一時的に記憶(キャッシュ)する領域であり、所定サイズを有する。
The
パケットデータ保存領域531は、原則として、現在から所定時間過去に遡った期間内にキャプチャされた(キャッシュ領域521に記憶された)パケットデータをダンプファイル(ログ)として記憶する。例えば、パケットデータ保存領域531は、原則として、現在時刻から1時間前の時刻の間にキャプチャされたパケットデータを記録する。
The packet
キャッシュ領域521に記憶されたパケットデータ(キャッシュデータ)は、単位時間(例えば1分)毎にまとめられ(ブロック化)され、ブロック化されたパケットデータ(パケットデータブロック)が、ダンプファイルとしてパケットデータ保存領域531に記録される。パケットデータ保存領域531は、少なくとも所定時間分の複数のダンプファイル(ダンプファイル群)を記録することができる。
The packet data (cache data) stored in the
パケットデータ保存領域531は、初期容量(初期サイズ)として、所定時間(1時間)分のダンプファイルを記録可能な所定の記憶容量(所定サイズ)を有している。パケットデータ保存領域531に新規のダンプファイル(新規ファイル)を記録するための空き容量がなくなると、最古のダンプファイルが削除され、新規ファイルを記録するための領域が作成される。このようにして、パケットデータ保存領域531は、原則として、所定容量を保つ。
The packet
但し、パケットデータ保存領域531に記録されたダンプファイルのうち、検出通知に関連するダンプファイルは、例外的に扱われ、単なる時間経過によって削除されない。検出通知に関連するダンプファイルは、例えば、検出通知で特定される事象を解析する管理者又は作業者(オペレータ)によって意図的にパケットデータ保存領域531から取り出されるまで、パケットデータ保存領域531に保持される。
However, among the dump files recorded in the packet
図8は、パケット保存時間情報テーブル523のデータ構造例を示す。パケット保存時間情報テーブル523は、パケットデータ保存領域531に記録されるダンプファイルのそれぞれを管理するために使用される。パケット保存時間情報テーブル523は、「記憶領域」の一例である。
FIG. 8 shows an example of the data structure of the packet storage time information table 523. The packet storage time information table 523 is used to manage each dump file recorded in the packet
パケット保存時間情報テーブル523は、パケットデータ保存領域531に記録されるダンプファイルに対応するレコードを記憶する。例えば、上記したように、ダンプファイルを記録する総時間である所定時間が“1時間”であり、且つ単位時間が“1分”である場合には、図8に示すように、パケット保存時間情報テーブル523は、初期レコード数として、60個のレコードを記憶可能な領域を有する。
The packet storage time information table 523 stores a record corresponding to the dump file recorded in the packet
但し、所定時間“1時間”及び単位時間“1分”は例示であり、ダンプファイルを記録する総時間及び単位時間のそれぞれの長さ,及び初期レコード数は、適宜設定可能である。 However, the predetermined time “1 hour” and the unit time “1 minute” are examples, and the total length and unit time of recording the dump file and the number of initial records can be set as appropriate.
パケット保存時間情報テーブル523における各レコードは、レコード番号(レコードの識別情報(ID))と、記録時間と、書込フラグと、ファイル退避フラグ(以下、退避フラグ)とを含む。記録時間は、パケットデータ保存領域531に対するダンプファイルの記録時間(記録時刻)を示す。
Each record in the packet storage time information table 523 includes a record number (record identification information (ID)), a recording time, a write flag, and a file save flag (hereinafter, save flag). The recording time indicates the recording time (recording time) of the dump file for the packet
書込フラグは、パケットデータ保存領域531にダンプファイルが書き込まれていることを確認するためのフラグである。書込フラグがオン(“1”)である(セットされている)ときに、対応するダンプファイルがパケットデータ保存領域531に存在することを示す。書込フラグは、ダンプファイルがパケットデータ保存領域531に記録される場合にセットされる。
The write flag is a flag for confirming that the dump file is written in the packet
退避フラグは、パケットデータ保存領域531からの削除を回避すべきダンプファイルを示すためのフラグである。退避フラグがセットされた(オン(“1”)に設定された)ダンプファイルは、上述したように、単なる時間の経過によってパケットデータ保存領域531から削除されない。退避フラグは、検出通知に含まれる検出時刻を元に、検出時間条件情報テーブル532を用いて決定した検出期間に対応するレコードにセットされる。
The save flag is a flag for indicating a dump file that should be deleted from the packet
図9は、検出時間条件情報テーブル532のデータ構造例を示す。図9に示すように、検出時間条件情報テーブル532は、検出通知に関連するダンプファイルとして検出されるべきダンプファイルの時間的な検出条件を定義したテーブルである。時間的な検出条件として、検出通知の検出時刻を基準とする所定の前後の時間が、ダンプファイルの時間的検出条件として定義される。検出時刻から過去に所定時間戻った時刻と、検出時刻から未来に所定時間進んだ時刻との間の期間が、「検出期間」である。 FIG. 9 shows a data structure example of the detection time condition information table 532. As shown in FIG. 9, the detection time condition information table 532 is a table that defines a time detection condition of a dump file to be detected as a dump file related to the detection notification. As a temporal detection condition, a predetermined time before and after the detection time of the detection notification is defined as a temporal detection condition of the dump file. A period between a time when the detection time has returned for a predetermined time in the past and a time when the detection time has advanced for a predetermined time in the future is a “detection period”.
図9に示す例では、検出時間条件情報テーブル532は、検出通知の通知内容(事象の種別)毎に用意された1以上のレコードからなる。各レコードは、レコードの識別情報(ID)と、通知内容の種別と、通知前保存時間(分)と、通知後保存時間とを含む。 In the example illustrated in FIG. 9, the detection time condition information table 532 includes one or more records prepared for each notification content (event type) of the detection notification. Each record includes record identification information (ID), a notification content type, a pre-notification storage time (minutes), and a post-notification storage time.
通知内容の種別として、本実施形態では、「リンクダウン」,「不正アクセス」,「アプリエラー」,「その他」等が設定されている。但し、通知内容の種別数は、適宜設定可能である。通知前保存時間は、検出時刻から過去に遡る所定時間を示し、通知後保存時間は、検出時刻から未来に進んだ所定時間を示す。例えば、通知内容が「リンクダウン」である場合には、検出時刻の前後1分が検出時間条件として定義されている。 In this embodiment, “link down”, “illegal access”, “application error”, “other”, and the like are set as the types of notification contents. However, the number of types of notification contents can be set as appropriate. The pre-notification storage time indicates a predetermined time that goes back from the detection time to the past, and the post-notification storage time indicates a predetermined time that has advanced from the detection time to the future. For example, when the notification content is “link down”, 1 minute before and after the detection time is defined as the detection time condition.
図6に戻って、記憶装置53には、CPU51によって実行される各種のプログラム(意オペレーティングシステム,アプリケーションプログラム)がインストールされており、且つ各プログラムの実行に際して使用されるデータが記憶されている。メモリ52は、CPU51の作業領域(メインメモリ)として使用される。CPU51は、記憶装置53に記憶されたプログラムをメモリ52にロードして実行することにより、パケットデータ管理処理511と、検出通知管理処理512とを実行する。
Returning to FIG. 6, various programs (meaning operating system, application program) executed by the
<パケット管理処理>
次に、CPU51により実行されるパケットデータ管理処理511について説明する。図10は、パケットデータ管理処理511に係るシーケンス図である。パケットデータ管理処理511は、パケットデータ保存処理と、パケットデータ回収確認・回収後処理に大別される。
<Packet management processing>
Next, the packet
<<パケット管理処理のシーケンス>>
図10のシーケンス図において、パケットデータ保存処理は、大略して、以下のように行われる。例えば、作業者(オペレータ)によって、パケットキャプチャ装置30に対して、パケットキャプチャの開始指示が入力される(図10<1>)。すると、キャッシュ領域521へのミラーリングパケット(パケットデータ)の一時保存処理が開始される(図10<2>)。また、パケットキャプチャの開始指示は、CPU51に与えられ(図10<3>)、パケットデータ管理処理511の実行が開始される。
<< Packet management processing sequence >>
In the sequence diagram of FIG. 10, the packet data storage process is roughly performed as follows. For example, a packet capture start instruction is input to the
パケットデータ管理処理511において、CPU51は、単位時間毎に、次のような処理を行う。最初に、CPU51は、パケット保存時間情報テーブル523を参照する(図10<4>)。このとき、パケット保存時間情報テーブル523に削除対象のレコードが存在する場合には、CPU51は、パケット保存時間情報テーブル523の更新処理を行う。すなわち、CPU51は、パケット保存時間情報テーブル523中の記録時間が最も古いレコード(但し、退避フラグがオフ)を削除する(図10<5>)。
In the packet
続いて、CPU51は、削除されたレコードに対応するダンプファイル(パケットデータ)を、パケットデータ保存領域531から削除する(図10<6>)。
Subsequently, the
次に、CPU51は、パケット保存時間情報テーブル523の更新処理を行う(図10<7>)。すなわち、CPU51は、新規ファイルのレコードをパケット保存時間情報テーブル523に追加する。
Next, the
続いて、CPU51は、キャッシュ領域521から単位時間分のキャッシュデータを取得し(図10<8>)、ダンプファイルとしてパケットデータ保存領域531に格納する。これによって、パケットデータ保存領域531が更新される(図10<9>)。ここまでが、パケットデータ保存処理であり、続いて、パケットデータ回収確認・回収後処理が実行される。
Subsequently, the
すなわち、CPU51は、パケットデータ保存領域531に記録(保存)された各ダンプファイルを監視する(図10<10>)。次に、CPU51は、パケット保存時間情報テーブル523中の各レコードを参照し、各ダンプファイルと各レコードとの間に内容の差分があるか否かを判定する(図10<11>)。
That is, the
このとき、差分があれば、当該差分は、パケットデータ保存領域531に記録されたダンプファイルがオペレータによって取り出された(パケットデータ保存領域531から削除された)ことを示す。よって、CPU51は、パケットデータ保存領域531における存在が確認できないダンプファイルに対応するレコードをパケット保存時間情報テーブル523から削除する(図10<12>)。
At this time, if there is a difference, the difference indicates that the dump file recorded in the packet
上述した<4>〜<12>の処理は、パケットキャプチャが終了するまで、単位時間毎に繰り返し実行される(ループする)。以下、パケットデータ保存処理及びパケットデータ回収確認及び回収後処理の詳細について説明する。 The processes <4> to <12> described above are repeatedly executed (looped) every unit time until the packet capture is completed. Details of the packet data storage process, packet data collection confirmation and post-collection process will be described below.
<<パケットデータ保存処理>>
〔動作例1〕
図11及び図12は、動作例1としての、通常時におけるパケットデータ保存処理を模式的に示す。但し、図11及び図12に示す例では、パケット保存時間情報テーブル523の所定時間分のレコード数(初期レコード数)は12個となっており、図8に示したパケット保存時間情報テーブル523の初期レコード数(60個)と異なっている。
<< Packet data storage process >>
[Operation example 1]
FIGS. 11 and 12 schematically show packet data storage processing in a normal time as Operation Example 1. FIG. However, in the example shown in FIGS. 11 and 12, the packet storage time information table 523 has 12 records (initial record number) for a predetermined time, and the packet storage time information table 523 shown in FIG. This is different from the initial number of records (60).
CPU51は、キャプチャ入力(パケットキャプチャの開始指示)を受け取ると、パケット保存時間情報テーブル523の記録時間、書込フラグ、ファイル退避フラグを参照し、削除すべきダンプファイルの有無を確認する(図11(1),図10<4>)。
When receiving the capture input (packet capture start instruction), the
ここで、削除すべきダンプファイルの有無は、“書込フラグ数A−ファイル退避フラグ数B”が初期レコード数C(12個)より少ないか否か(判定式:(A−B)<C?))で判断される。 Here, whether or not there is a dump file to be deleted is whether or not “the number of write flags A−the number B of file save flags” is smaller than the initial record number C (12) (judgment formula: (A−B) <C ?)).
すなわち、判定式が満たされる場合((A−B)<C)には、CPU51は、削除すべきダンプファイルはないと判定する。これに対し、判定式が満たされない場合((A−B)≧C)には、CPU51は、削除すべきダンプファイルがあると判定する。
That is, when the determination formula is satisfied ((A−B) <C), the
パケット保存時間情報テーブル523に削除すべきレコードが存在する場合には、CPU51は、パケット保存時間情報テーブル523から削除対象のレコードを削除する(図11(2),図10<5>)。
When there is a record to be deleted in the packet storage time information table 523, the
このとき、退避フラグがセットされていない(オフである)レコードのうち、記録時間が最も古いレコードが削除すべきレコード(削除対象)として決定される。図12に示す例では、更新前のパケット保存時間情報テーブル523において、記録時間が最も古い(13:00)のレコード(ID=1)が削除対象となる。 At this time, among the records for which the save flag is not set (OFF), the record with the oldest recording time is determined as the record to be deleted (deletion target). In the example illustrated in FIG. 12, the record (ID = 1) with the oldest recording time (13:00) in the packet storage time information table 523 before update is the deletion target.
続いて、CPU51は、パケットデータ保存領域531から、削除されたレコードに対応するダンプファイルを削除する(図11(3),図10<6>)。ダンプファイルは、記録時間とパケットデータとを含んでいる。CPU51は、削除されたレコード中の記録時間と一致する記録時間を有するダンプファイルが削除される。すなわち、図12の更新後のパケット保存時間情報テーブル523に示すように、ID=1のレコードに対応する
ダンプファイルが削除される。レコードが削除されると、その直後に存するレコードから最後尾のレコードまでのそれぞれが1つ繰り上げられ、新規のダンプファイルに係るレコードを記憶するための領域が生成される。
Subsequently, the
次に、CPU51は、パケット保存時間情報テーブル523に対し、新規のダンプファイルの情報(記録時間と書込フラグ)を記録する(図11(4),図10<7>)。すなわち、CPU51は、新規のダンプファイルのレコード(記録時間13:12,書込フラグ“1”)のレコードを生成し、パケット保存時間情報テーブル523の空き領域に記憶する。これによって、パケット保存時間情報テーブル523の記録内容が、図12に示した更新後の状態となる。
Next, the
図11に示すように、受信されたミラーリングパケット(パケットデータ)は、キャッシュデータとしてキャッシュ領域521に一時保存される。CPU51は、キャッシュ領域521に格納されたキャッシュデータのうち、単位時間(1分)分のキャッシュデータを新規のダンプファイル(新規ファイル)として取り出す。CPU51は、新規ファイルをパケットデータ保存領域531に格納する(図11(5),図10<8>及び<9>)。
As shown in FIG. 11, the received mirroring packet (packet data) is temporarily stored in the
このようにして、ID=13を有するレコードに対応するダンプファイルがパケットデータ保存領域531にて保存(記録)される。このとき、パケットデータ保存領域531に記録されるダンプファイルには、ID=13のレコードに設定された記録時間(13:12)が設定される。この操作によって、パケットデータ保存領域531内のダンプファイルとパケット保存時間情報テーブル523のレコードとを関連付けることができる。
In this way, the dump file corresponding to the record having ID = 13 is stored (recorded) in the packet
〔動作例2〕
図13及び図14は、動作例2としての、退避フラグが設定されたパケットデータ(ダンプファイル)が最も古いデータとなった場合におけるパケットデータ保存処理を模式的に示す。
[Operation example 2]
13 and 14 schematically illustrate packet data storage processing in the case where the packet data (dump file) in which the save flag is set becomes the oldest data, as operation example 2.
図14において、更新前のパケット保存時間情報テーブル523は、初期レコード数12個に、退避フラグがセットされたレコード(ID=8及びID=9を有する各レコード)の数である2個を加えた14個のレコードを有している。レコードの記憶領域を追加する
処理については後述する。
In FIG. 14, the packet storage time information table 523 before the update adds 2 which is the number of records (each record having ID = 8 and ID = 9) in which the save flag is set to 12 initial records. It has 14 records. The process of adding a record storage area will be described later.
パケット保存時間情報テーブル523の内容が図14に示した更新前の内容である状態において、パケットデータ管理処理511は、以下のように行われる。すなわち、現在時刻が単位時間の周期(パケットデータ保存処理の開始時刻)となると、CPU51は、パケット保存時間情報テーブル523を参照し、上述した判定式を用いてパケットデータ保存領域531から削除すべきダンプファイルの有無を確認する。
In a state where the contents of the packet storage time information table 523 are the contents before the update shown in FIG. 14, the packet
図14に示す例では、書込フラグ数Aが14であり、退避フラグ数が2であり、初期レコード数Cは12である。このため、“(A−B)<C”の関係は成立しないので、CPU51は、削除対象ファイルが存在する、と判定する。
In the example shown in FIG. 14, the write flag number A is 14, the save flag number is 2, and the initial record number C is 12. For this reason, since the relationship “(A−B) <C” is not established, the
判定結果に従い、CPU51は、退避フラグがセットされていない(オフである)レコードのうち、記録時間が最も古いレコードを、削除対象のレコードとして検出する(図13(1),図10<1>)。ここでは、CPU51は、図14の更新前のパケット保存時間情報テーブル523におけるID=10を有するレコードを削除対象として検出し、パ
ケット保存時間情報テーブル523から削除する(図13(2),図10<5>)。
According to the determination result, the
続いて、CPU51は、パケットデータ保存領域531から、削除されたレコード(ID=10,記録時間13:09)に対応するダンプファイルを削除する(図13(3),図10<6>)。
Subsequently, the
次に、CPU51は、パケット保存時間情報テーブル523に対し、次の単位時間のダンプファイル(新規のダンプファイル)の情報(記録時間と書込フラグ)を記録する(図13(4),図10<7>)。すなわち、CPU51は、ID=10を有するレコードの削除に伴い、残りのレコードを1つずつ繰り上げ、最後尾のレコード格納領域(14番目のレコード格納領域)に、新規のダンプファイルのレコード(ID=12,記録時間13:21,書込フラグ“1”)を書き込む(図13(4))。
Next, the
そして、CPU51は、キャッシュ領域521から、ID=22に対応する単位時間分のパケットデータ(ダンプファイル)を取得し、パケットデータ保存領域531に記録する(図13(5))。このように、退避フラグが設定されたレコードは、単位時間経過毎に実行される(周期的に実行される)、削除すべきダンプファイルの決定処理において、削除対象から除外される。これによって、当該レコードに対応するダンプファイルがパケットデータ保存領域531から削除されることが回避される。
Then, the
<<パケットデータ回収確認・回収後処理>>
〔動作例3〕
図15及び図16は、動作例3としての、保存中のパケットデータ(ダンプファイル)が回収された場合(第1パターン)におけるパケットデータ回収確認及び回収後処理を模式的に示す。
<< Packet data collection confirmation and post-collection processing >>
[Operation example 3]
15 and 16 schematically show packet data collection confirmation and post-collection processing when the packet data (dump file) being saved is collected (first pattern) as Operation Example 3. FIG.
動作例3の開始前では、パケット保存時間情報テーブル523の記憶内容は、図16における更新前のパケット保存時間情報テーブル523に示した内容であると仮定する。動作例3は、図10に示した<9>の処理に続いて行われる。 Before the start of Operation Example 3, it is assumed that the stored contents of the packet storage time information table 523 are the contents shown in the packet storage time information table 523 before update in FIG. The operation example 3 is performed following the process <9> shown in FIG.
動作例3の前提として、図15に示すように、パケットデータ保存領域531に記録された複数のダンプファイルのうち、ID=8,ID=9の各レコードに対応するダンプファイル(退避フラグが設定されたダンプファイル)は、作業者(オペレータ)によって回収され、パケットデータ保存領域531から既に削除されていると仮定する。
As a premise of the operation example 3, as shown in FIG. 15, the dump file corresponding to each record with ID = 8 and ID = 9 among the plurality of dump files recorded in the packet data storage area 531 (with the save flag set) It is assumed that the dump file) has been collected by the operator (operator) and has already been deleted from the packet
CPU51は、パケットデータ保存領域531を参照して、パケットデータ保存領域531に記録された各ダンプファイルの記録時間が記載されたリスト(ファイルリスト)を取得する(図15(1))。
The
次に、CPU51は、パケット保存時間情報テーブル523を参照し、パケットデータ保存領域531から回収及び削除されたダンプファイルの有無を確認する(図15(2))。すなわち、CPU51は、ファイルリストの各記録時間と、パケットデータ保存時間情報テーブル523に記録された各記録時間とを対比し、差分があるか否かを判定する。
Next, the
上述したように、ID=8,ID=9の各レコードに対応するダンプファイルは既に削除されているので、ファイルリストには、これらのレコードの記録時間は含まれていない。よって、ID=8,ID=9の各レコードが差分として発見される。CPU51は、差分が発見された場合、差分に係るダンプファイルが削除されていると判定する。
As described above, since the dump file corresponding to each record of ID = 8 and ID = 9 has already been deleted, the recording time of these records is not included in the file list. Therefore, each record with ID = 8 and ID = 9 is found as a difference. When the difference is found, the
すると、CPU51は、差分に係るレコード(ID=8,ID=9の各レコード)をパケット保存時間情報テーブル523から削除する(図15(3))。このとき、CPU51は、単なるレコードの記憶内容ではなく、レコードの記録領域も削除する。これによって、更新後のパケット保存時間情報テーブル523の総レコード数は、削除されたレコード数だけ減少する。
Then, the
動作例3では、図16に示すように、レコード領域の削除によって、パケット保存時間情報テーブル523に記録可能な総レコード数が12個、すなわち初期レコード数に戻っている。このように、退避フラグがセットされたレコードがない場合には、総レコード数は初期レコード数となる。これによって、結果として、パケットデータ保存領域531に記録可能なダンプファイルの数が減る。このように、パケットデータ保存領域531の容量は、可能な限り抑えられる。
In the operation example 3, as shown in FIG. 16, the total number of records that can be recorded in the packet storage time information table 523 is returned to the initial number of records by deleting the record area. As described above, when there is no record in which the save flag is set, the total number of records is the initial number of records. As a result, the number of dump files that can be recorded in the packet
〔動作例4〕
図17及び図18は、動作例4としての、保存中のパケットデータ(ダンプファイル)が回収された場合(第2パターン)におけるパケットデータ回収確認及び回収後処理を模式的に示す。
[Operation Example 4]
17 and 18 schematically show packet data collection confirmation and post-collection processing when the packet data (dump file) being saved is collected (second pattern) as the operation example 4.
動作例4の開始前では、パケット保存時間情報テーブル523の記憶内容は、図18における更新前のパケット保存時間情報テーブル523に示した内容であると仮定する(図14の更新前の内容と同じ)。動作例4は、動作例3と同様に、図10に示した<9>の処理に続いて行われる。 Before the start of operation example 4, it is assumed that the stored content of the packet storage time information table 523 is the content shown in the packet storage time information table 523 before update in FIG. 18 (the same as the content before update in FIG. 14). ). Similar to the operation example 3, the operation example 4 is performed subsequent to the process <9> shown in FIG.
但し、動作例4では、図17に示すように、パケットデータ保存領域531に記録された複数のダンプファイルのうち、ID=14,15,16の各レコードに対応するダンプファイル(退避フラグがセットされていないダンプファイル)が、作業者(オペレータ)によって回収され、パケットデータ保存領域531から既に削除されていると仮定する。
However, in the operation example 4, as shown in FIG. 17, the dump file corresponding to each record of ID = 14, 15 and 16 (with the save flag set) among the plurality of dump files recorded in the packet
CPU51は、パケットデータ保存領域531を参照して、パケットデータ保存領域531に記録された各ダンプファイルの記録時間が記載されたリスト(ファイルリスト)を取得する(図17(1))。
The
次に、CPU51は、パケット保存時間情報テーブル523を参照し、ファイルリストの各記録時間と、パケットデータ保存時間情報テーブル523に記録された各記録時間とを対比し、差分があるか否かを判定する(図17(2))。
Next, the
対比の結果、ファイルリストには、ID=14,15,16のレコードに記録された記録時間が含まれていないことが判明する。したがって、CPU51は、これらのレコードをパケット保存時間情報テーブル523から削除する(図17(3))。
As a result of the comparison, it is found that the file list does not include the recording time recorded in the records of ID = 14, 15, and 16. Therefore, the
削除の結果、パケット保存時間情報テーブル523の内容は、図18に示す更新後の内容となる。すなわち、退避フラグがセットされていないダンプファイルが削除されている場合には、対応するレコードの情報が削除されるのみであり、レコードの記録領域の削除(縮小化)は行われない。これによって、パケットデータ保存領域531には、検出通知に関連するダンプファイルに加えて、所定時間に対応する数のダンプファイルを保存(記録)することができる。
As a result of the deletion, the contents of the packet storage time information table 523 become the updated contents shown in FIG. That is, when a dump file for which the save flag is not set is deleted, only the information of the corresponding record is deleted, and the recording area of the record is not deleted (reduced). Thereby, in the packet
<<フローチャート>>
図19及び図20は、パケットデータ管理処理511(動作例1〜4に係るCPU51の処理)を示すフローチャートである。図19及び図20に示す処理は、周期が単位時間のループ処理として実行される。
<< Flowchart >>
19 and 20 are flowcharts showing packet data management processing 511 (processing of the
最初の01において、CPU51は、判定式(書込フラグ数A−退避フラグ数B<初期レコード数C)が満たされるか否かを判定する。判定式が満たされる場合(01,Yes)には、処理が04へ進む。判定式が満たされない場合(01,No)には、処理が02へ進む。
In the first 01, the
判定式が満たされないことは、パケット保存時間情報テーブル523に新規レコードを追加するための空き領域がないことを意味する。このため、02において、CPU51は、退避フラグがセットされていないレコードのうち、記録時間が最古のレコードをパケット保存時間情報テーブル523から削除する。続いて、CPU51は、02にて削除したレコードに対応するダンプファイルをパケットデータ保存領域531から削除する(03)。
The fact that the determination formula is not satisfied means that there is no free space for adding a new record in the packet storage time information table 523. Therefore, in 02, the
04において、CPU51は、パケット保存時間情報テーブル523の空きレコードに、記録時間として現在時刻を記録する。続いて、CPU51は、現在時刻を記録したレコードの書込フラグをオンに設定する(05)。そして、CPU51は、キャッシュ領域521から単位時間分のパケットデータを取り出し、新規のダンプファイルとしてパケットデータ保存領域531に書き込む(06)。
In 04, the
次に、CPU51は、パケットデータ保存領域531からファイルリストを取得する(07)。次に、CPU51は、ファイルリストとパケット保存時間情報テーブル523の記録内容とに差分があるか否かを判定する(08)。差分がない場合(08,Yes)には、パケットデータ管理処理511が終了する。
Next, the
これに対し、差分がある場合(08,No)には、CPU51は、差分に該当するレコードに退避フラグがセットされているか否かを判定する(09)。このとき、差分のレコードに退避フラグがセットされている場合(09,Yes)には、CPU51は、対象レコードをレコード領域ごと削除する(10)。
On the other hand, if there is a difference (08, No), the
これに対し、退避フラグがセットされていない場合(09,No)には、CPU51は、対象レコードの情報を削除するとともに、レコードを前詰めにするための記録時間及び書込フラグの更新処理を行う(11)。10又は11の処理が終了すると、パケットデータ管理処理111が終了する。もっとも、パケットデータ管理処理111は、上述したように、パケットキャプチャが実施されている間、単位時間周期で繰り返し実行される。
On the other hand, when the save flag is not set (09, No), the
<検出通知管理処理>
次に、CPU51によって実行される検出通知管理処理512について説明する。図21は、検出通知管理処理512を示すシーケンス図である。図21において、パケットキャプチャの開始指示(図21<1>)を受けて、I/Oデバイス54の検出通知受信機能542は、検出通知の受信処理を実行する状態となる(図21<2>)。また、CPU51は、検出通知管理処理512の実行を開始する(図21<3>)。
<Detection notification management process>
Next, the detection
CPU51は、検出通知管理処理512を開始すると、検出通知受信機能542で受信される検出通知を待ち受ける状態となる。検出受信機能542が検出通知をCPU51に送信し(図21<4>)、CPU51が受け取ると、CPU51は、検出通知情報(すなわち、通知内容及び検出時刻)を検出通知情報領域522(図7)に記憶した後に、検出時間条件情報テーブル532(図9)を参照する(図21<5>)。
When the
CPU51は、検出通知に含まれた通知内容に対応する通知前保存時間及び通知後保存時間を検出時間条件情報テーブル532から読み出す。続いて、CPU51は、検出通知に含まれた検出時刻から通知前保存時間過去に遡った時刻と、検出時刻から通知後保存時間未来に進んだ時刻とを求め、これらの二つの時刻を始期及び周期とする検出期間を求める。
The
次に、CPU51は、検出期間を用いて、パケット保存時間情報テーブル523を更新する(図21<6>)。すなわち、パケット保存時間情報テーブル523に記録されたレコードのうち、記録時間が検出期間内に含まれている1以上のレコードを特定し、特定した各レコードに退避フラグをセットする。そして、CPU51は、退避フラグをセットしたレコード数と同数のレコードをさらに記録するためのレコード記録領域を作成する。
Next, the
上述したように、本実施形態では、パケット保存時間情報テーブル523にレコードが記憶されなければ、対応するダンプファイルはパケットデータ保存領域531に記録されない。一方で、退避フラグがセットされたレコードは、対応するダンプファイルの削除が確認されるまで、パケット保存時間情報テーブル523から削除されない。
As described above, in the present embodiment, unless a record is stored in the packet storage time information table 523, the corresponding dump file is not recorded in the packet
このため、退避フラグがセットされたレコード(退避レコード)が増加するにつれて、新規レコード(新規のダンプファイル)を記録するためのレコード記憶領域が減少する。従って、全てのレコードに退避フラグがセットされ、新規レコード(すなわち、新規のダンプファイル)を記録できない状態に至ることが起こり得る。 For this reason, the record storage area for recording a new record (new dump file) decreases as the number of records in which the save flag is set (save record) increases. Therefore, the save flag is set in all records, and it may happen that a new record (that is, a new dump file) cannot be recorded.
上記の不都合を解消すべく、レコードに退避フラグがセットされた場合には、退避フラグがセットされていないレコードの記憶可能数が初期レコード数を維持するように、退避フラグがセットされたレコード数と同数のレコード記憶領域が拡張される。 In order to eliminate the above inconvenience, when the save flag is set for the record, the number of records for which the save flag is set so that the storable number of records for which the save flag is not set maintains the initial number of records. The number of record storage areas is expanded.
〔動作例5〕
図22及び図23は、動作例5として、検出通知管理処理512を模式的に示す。動作例5の前提として、図23において、更新前のパケット保存時間情報テーブル523として図示したように、パケット保存時間情報テーブル523には、初期レコード数(12個)のレコードが記憶されている。そして、全てのレコードに退避フラグがセットされていない。さらに、最新のレコードの記録時刻は、“13:12”である。
[Operation Example 5]
22 and 23 schematically show a detection
図22において、検出通知管理処理512(CPU51)は、検出通知を受け取ると(図22(1))、検出通知の内容(ID=1,通知内容“不正アクセス”,検出時刻“13:12”)を検出通知情報領域522に記憶する(図22(2))。なお、図22では
、1分遅れ(検出時刻“13:13”)で同内容の検出通知が受信され、検出通知情報が記憶された状態の検出通知情報領域522が例示されている。
In FIG. 22, when the detection notification management process 512 (CPU 51) receives the detection notification (FIG. 22 (1)), the content of the detection notification (ID = 1, notification content “illegal access”, detection time “13:12”) ) Is stored in the detection notification information area 522 (FIG. 22 (2)). FIG. 22 illustrates a detection
CPU51は、ID=1の検出通知に関して、検出時間条件情報テーブル532を参照し、通知内容(不正アクセス)が合致するレコードから、通知前保存時間“2分”及び通知後保存時間“3分”を取得する。
The
続いて、CPU51は、検出時刻“13:12”から2分遡った13:10を始期とし、検出時刻“13:12”から3分進んだ13:15を終期とする検出期間(13:10〜13:15)を算出する。
Subsequently, the
次に、CPU51は、記録時間が検出期間に含まれるレコードに退避フラグをセットする。すなわち、図23の更新後のパケット保存時間情報テーブル523に示すように、最初に、CPU51は、記録時刻が13:10〜13:12である3つのレコードに退避フラグをセットする(図23(4−1))。
Next, the
次に、CPU51は、残りの検出期間13:13〜13:15について退避フラグがセットされたレコードを記録するため、3つのレコード記憶領域を追加して(図23(4−2))、各レコード記憶領域に退避フラグをセットする(図23(4−3))。これによって、将来的な(未来における)パケットデータ保存処理によってパケットデータ保存領域531に記録される3つのダンプファイルに対応するレコードがパケット保存時間情報テーブル523に記憶される。
Next, the
次に、CPU51は、新規にセットされた退避フラグ数と同数のレコード記憶領域をパケット保存時間情報テーブル523に追加する。ここでは、新規の退避フラグ数である6個の新たなレコード記録領域が追加される。但し、初期レコード数(12個)を考慮して、レコード記憶領域の総数が初期レコード数に退避フラグ数を加えた数(12+6=18)となるように、3つの新たなレコード記録領域が追加されるようにしても良い。このようにして、レコード記憶領域の数(すなわち、パケットデータ保存領域531に記録されるダンプファイルの数)を抑えることができる。
Next, the
以上のようにして、ID=1の検出通知に係る検出通知管理処理512が行われる。このとき、未処理の検出通知(例えば、ID=2の検出通知)が検出通知情報領域522に記憶されている場合には、CPU51は、当該検出通知に対する処理を行う。
As described above, the detection
ID=2の検出通知に対する処理は、ID=1の検出通知に対する処理とほぼ同じである。但し、検出期間の算出において、検出期間“13:11〜13:16”が算出される。当該検出期間に対応するレコード記憶領域は、既に追加されているので、CPU51は、記録時間“13:16”に対する退避フラグをセットする。
The processing for the detection notification with ID = 2 is almost the same as the processing for the detection notification with ID = 1. However, in the calculation of the detection period, the detection period “13:11 to 13:16” is calculated. Since the record storage area corresponding to the detection period has already been added, the
続いて、CPU51は、新規にセットされた退避フラグ数(1個)と同数のレコード記憶領域をパケット保存時間情報テーブル523に追加する。もっとも、レコード記憶領域の総数が初期レコード数(12個)に退避フラグ数を加えた数を超えている場合には、CPU51がレコード記憶領域の追加を行わない構成を採用することもできる。このようにして、レコード記憶領域の数(すなわち、パケットデータ保存領域531に記録されるダンプファイルの数)を抑えることができる。
Subsequently, the
<<フローチャート>>
図24及び図25は、検出通知管理処理512におけるCPU51の処理の例を示すフローチャートである。検出通知管理処理512は、検出通知受信機能523(図6)から
検出通知を受け取ることによって開始される。
<< Flowchart >>
24 and 25 are flowcharts illustrating an example of processing of the
最初に、CPU51は、検出通知の内容(通知内容及び検出時刻)検出通知情報領域522に記憶する(21)。21以降の処理は、検出通知毎に繰り返し行われる。
First, the
CPU51は、検出時間条件情報テーブル532(図9)を参照し、検出通知の通知内容に対応するレコードに含まれた通知前保存時間及び通知後保存期間を読み出し、検出通知の検出時刻を用いて検出期間(ファイル退避フラグ対象時間)を算出する(22)。
The
次に、CPU51は、パケット保存時間情報テーブル523の更新処理を行う。すなわち、CPU51は、パケット保存時間情報テーブル523を参照し、検出期間が現在時刻より未来の時刻を含んでいるが、当該時刻に対応するレコードを記憶するためのレコード記録領域がパケット保存時間情報テーブル523にあるか否かを判定する(23)。
Next, the
このとき、レコード記録領域がない(不足している)場合(23,No)には、検出期間に含まれる各記録時間のレコード記録領域(不足分)をパケット保存時間情報テーブル523に追加する(24)。これに対し、レコード記録領域がある場合(23,Yes)には、検出期間に対応するレコード記録領域(レコード)に、退避フラグを記録する(25)。但し、25の処理は、退避フラグが記録されていないレコード記録領域に対して実行される。
At this time, if there is no record recording area (insufficient) (23, No), a record recording area (insufficient) of each recording time included in the detection period is added to the packet storage time information table 523 ( 24). On the other hand, if there is a record recording area (23, Yes), a save flag is recorded in the record recording area (record) corresponding to the detection period (25). However, the
次に、CPU51は、新規にセットした退避フラグ数と同数のレコード記憶領域をパケット保存時間情報テーブル523に追加する(26)。26の処理が終了すると、次の検出通知が検出通知情報領域222に記憶されていれば、当該検出通知に対する22〜26の処理が実行される。検出通知情報領域222に記憶された全ての検出通知に対する処理が終了した時点で、検出通知管理処理512が一旦終了し、新たな検出通知が受信されるまで、検出通知の待ち受け状態となる。
Next, the
<実施形態の効果>
実施形態によれば、パケット保存時間情報テーブル523に情報が記憶されたダンプファイルがパケットデータ保存領域531に記録される。ダンプファイルの記録は、単位時間毎に実行される。このように、ダンプファイルの記録が周期的に実行されるため、従来技術(特許文献1記載の技術)のように、検出通知が同時多発的に発生した結果、処理エラーとなってダンプファイルが記録されなくなることを回避することができる。
<Effect of embodiment>
According to the embodiment, a dump file in which information is stored in the packet storage time information table 523 is recorded in the packet
また、実施形態によれば、単位時間毎に、パケットデータ保存領域531の記憶内容が上記した判定式が満たされるか否かが判定される。そして、判定式が満たされない場合には、最古のレコードが削除され、削除されたレコードに対応するダンプファイルが削除される。これによって、パケットデータ保存領域531に記録されるダンプファイルの数をある程度の範囲に抑えることができる。これより、ダンプファイルの記録容量を抑えることができる。
Further, according to the embodiment, it is determined every unit time whether or not the stored contents of the packet
さらに、実施形態によれば、検出通知が受信された場合に、検出時間条件情報に基づき検出期間が算出され、検出期間に含まれる記録時間を有するレコードに退避フラグがセットされる。退避フラグがセットされたレコードは、周期的に実行される削除対象のレコードの決定処理から除外される。 Further, according to the embodiment, when the detection notification is received, the detection period is calculated based on the detection time condition information, and the save flag is set in the record having the recording time included in the detection period. Records for which the save flag is set are excluded from the deletion target record determination process that is periodically executed.
すなわち、退避フラグがセットされたレコードは、作業者(オペレータ)によって、パケットデータ保存領域531から対応するダンプファイルが回収・削除されるまで、パケット保存時間情報テーブル523から削除されない。これによって、検出通知で示された
事象に対する解析に使用されるダンプファイルを、オペレータが取得するまで、パケットデータ保存領域531で保存し続けることができる。
That is, the record in which the save flag is set is not deleted from the packet storage time information table 523 until the dump file corresponding to the packet
パケット保存時間情報テーブル523は、退避フラグがセットされた場合に、新たなレコード記憶領域が追加され、レコード記録領域の総数が、少なくとも初期レコード数に退避フラグ数を加えた数以上とされる。これによって、退避フラグがセットされたレコードに対応するダンプファイルに加えて、少なくとも初期レコード数と同数のダンプファイルをパケットデータ保存領域531にて保存することができる。
In the packet storage time information table 523, when a save flag is set, a new record storage area is added, and the total number of record recording areas is at least equal to the number of initial records plus the number of save flags. Thus, in addition to the dump file corresponding to the record for which the save flag is set, at least the same number of dump files as the initial number of records can be stored in the packet
そして、単位時間毎に(周期的に)、パケットデータ保存領域531からダンプファイルが回収・削除されているかが判定され、退避フラグがセットされたレコードに対応するダンプファイルが回収・削除されている場合には、パケット保存時間情報テーブル523から、該当するレコードが、レコード記録領域ごと削除される。これによって、パケットデータ保存領域531に記録されるダンプファイル数が徒に増加することを抑えることができる。
Then, at each unit time (periodically), it is determined whether the dump file is collected / deleted from the packet
以上のように、実施形態に係るパケットキャプチャ装置30(パケット記録装置)によれば、検出通知に関連するパケットデータ(ダンプファイル)を効率的に(記憶容量の無駄を少なくして)保存することができる。上記した実施形態の構成は、適宜組み合わせることができる。 As described above, according to the packet capture device 30 (packet recording device) according to the embodiment, the packet data (dump file) related to the detection notification can be efficiently saved (with less waste of storage capacity). Can do. The configurations of the above-described embodiments can be combined as appropriate.
S・・・サーバ
11,21・・・ネットワーク装置
22・・・監視サーバ
30・・・パケットキャプチャ装置
51・・・CPU
52・・・メモリ
53・・・記憶装置
54・・・I/Oデバイス
511・・・パケットデータ管理処理
512・・・検出通知管理処理
521・・・キャッシュ領域
522・・・検出通知情報領域
523・・・パケット保存時間情報テーブル
531・・・パケットデータ保存領域
532・・・検出時間条件情報テーブル
541・・・パケット受信機能
542・・・検出通知受信機能
S ...
52 ...
Claims (6)
前記記録領域に記録された前記ファイルのうち、前記記録領域に記録された時間を示す記録時間が前記ネットワーク上で生じた事象に基づき決定されたパケット検出期間に含まれるファイルを特定する情報を記憶する記憶領域と、
前記記録領域に記録された前記ファイルから前記情報によって特定されるファイルが除外された残りのファイルの中から削除するファイルを決定し、決定されたファイルを前記記録領域から削除する処理を周期的に実行する制御装置と、
を含み、
前記ファイルの前記記録領域への記録は前記ネットワーク上での事象の発生と無関係に実行され、
前記パケット検出期間は前記事象の検出時刻から所定時間戻った時刻と前記検出時刻から所定時間進んだ時刻との間の期間である
パケット記録装置。 A recording area for periodically recording a file in which packet information relating to packets flowing on the network is collected in unit time;
Stores information for identifying a file included in a packet detection period determined based on an event that has occurred on the network, the recording time indicating the time recorded in the recording area among the files recorded in the recording area Storage area to
The recording to determine the file to be deleted region from the recorded said file from among the remaining files file specified is excluded by the information periodically the determined file processing for deleting from said recording area A control device to be executed
It includes,
Recording of the file to the recording area is performed regardless of the occurrence of an event on the network,
The packet detection period is a period between a time when a predetermined time is returned from the detection time of the event and a time which is a predetermined time after the detection time.
Packet recording device.
前記記録領域に記録された前記ファイルのうち、前記記録領域に記録された時間を示す記録時間が前記ネットワーク上で生じた事象に基づき決定されたパケット検出期間に含まれるファイルを特定する情報を記憶する記憶領域と、
前記記録領域に記録された前記ファイルから前記情報によって特定されるファイルが除外された残りのファイルの中から決定されたファイルを前記記録領域から削除する処理を周期的に実行する制御装置と、
を含み、
前記記憶領域は、前記記憶領域に記録される各ファイルに対応するレコードを記憶するための複数のレコード記憶領域を含み、
前記レコードは、前記記録時間と、レコードに対応するファイルが前記記録領域に記録されていることを示す第1フラグと、レコードに含まれた記録時間が前記パケット検出期間に含まれることを示す、前記情報としての第2フラグとを記憶し、
前記制御装置は、前記記憶領域に記憶された第1フラグの数から第2フラグの数を減じた数が、所定のレコード数以上である場合に、前記記憶領域に記憶された、前記第2フラグが設定されていないレコードの中から、前記記録時間が最も古いレコードを前記記録領域から削除するとともに、削除されたレコードに対応するファイルを前記記録領域から削除する処理を、周期的に実行する
パケット記録装置。 A recording area for periodically recording a file in which packet information relating to packets flowing on the network is collected in unit time;
Stores information for identifying a file included in a packet detection period determined based on an event that has occurred on the network, the recording time indicating the time recorded in the recording area among the files recorded in the recording area Storage area to
A control device that periodically executes a process of deleting a file determined from the remaining files from which the file specified by the information is excluded from the files recorded in the recording area, from the recording area;
Including
The storage area includes a plurality of record storage areas for storing records corresponding to each file recorded in the storage area,
The record indicates the recording time, a first flag indicating that a file corresponding to the record is recorded in the recording area, and a recording time included in the record is included in the packet detection period. Storing a second flag as the information;
When the number obtained by subtracting the number of second flags from the number of first flags stored in the storage area is equal to or greater than a predetermined number of records, the control device stores the second flag stored in the storage area. A process of periodically deleting a record corresponding to the deleted record from the recording area and deleting the record having the oldest recording time from the recording area from among the records for which no flag is set. Ru
Packet recording device.
請求項2に記載のパケット記録装置。 When the control device receives a detection notification including the content of an event that has occurred on the network and the detection time of the event, information indicating the detection notification and a packet storage time corresponding to the detection notification Based on the above, the packet detection period is calculated, and the second flag is set for each record in the storage area included in the packet detection period, and at least the second flag is newly set. The packet recording apparatus according to claim 2, wherein processing for adding the same number of record storage areas as the set number is performed.
前記制御装置は、前記記録領域に記録された各ファイルと、前記記憶領域に記憶された各レコードとを対比して、前記記録領域に記録されていないファイルに対応するレコードが前記記憶領域に含まれている場合には、当該レコードを前記記憶領域から削除する
請求項2又は3に記載のパケット記録装置。 The file recorded in the recording area includes a recording time included in a record corresponding to the file,
The control device compares each file recorded in the recording area with each record stored in the storage area, and a record corresponding to a file not recorded in the recording area is included in the storage area. 4. The packet recording apparatus according to claim 2, wherein the record is deleted from the storage area.
請求項4に記載のパケット記録装置。 5. The packet recording apparatus according to claim 4, wherein when the second flag is set in a record corresponding to a file that is not recorded in the recording area, the control apparatus deletes the record together with the record storage area. .
前記記録領域に記録された前記ファイルのうち、前記記録領域に記録された時間を示す記録時間が前記ネットワーク上で生じた事象に基づき決定されたパケット検出期間に含まれるファイルを特定する情報を記憶する記憶領域と、を含むパケット記録装置に含まれる制御装置が、
前記記録領域に記録された前記ファイルから前記情報によって特定されるファイルが除外された残りのファイルの中から削除するファイルを決定し、決定されたファイルを前記記録領域から削除する処理を周期的に実行する、
ことを含み、
前記ファイルの前記記録領域への記録は前記ネットワーク上での事象の発生と無関係に実行され、
前記パケット検出期間は前記事象の検出時刻から所定時間戻った時刻と前記検出時刻から所定時間進んだ時刻との間の期間である
パケット記録方法。 A recording area for periodically recording a file in which packet information relating to packets flowing on the network is collected in unit time;
Stores information for identifying a file included in a packet detection period determined based on an event that has occurred on the network, the recording time indicating the time recorded in the recording area among the files recorded in the recording area And a storage device that includes a control device included in the packet recording device,
The recording to determine the file to be deleted region from the recorded said file from among the remaining files file specified is excluded by the information periodically the determined file processing for deleting from said recording area To run,
It said method comprising,
Recording of the file to the recording area is performed regardless of the occurrence of an event on the network,
The packet detection period is a period between a time when a predetermined time is returned from the detection time of the event and a time which is a predetermined time after the detection time.
Packet recording method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013081510A JP6167625B2 (en) | 2013-04-09 | 2013-04-09 | Packet recording device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013081510A JP6167625B2 (en) | 2013-04-09 | 2013-04-09 | Packet recording device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014204396A JP2014204396A (en) | 2014-10-27 |
JP6167625B2 true JP6167625B2 (en) | 2017-07-26 |
Family
ID=52354450
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013081510A Expired - Fee Related JP6167625B2 (en) | 2013-04-09 | 2013-04-09 | Packet recording device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6167625B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102502982B1 (en) * | 2016-03-03 | 2023-02-22 | 엘에스일렉트릭(주) | Data logging apparatus |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002101153A (en) * | 2000-09-25 | 2002-04-05 | Hitachi Ltd | Tracing device |
JP2007206912A (en) * | 2006-02-01 | 2007-08-16 | Alaxala Networks Corp | Effective use method of trace memory |
EP2109044A1 (en) * | 2008-04-08 | 2009-10-14 | Alcatel Lucent | Method and associated method for log file management |
-
2013
- 2013-04-09 JP JP2013081510A patent/JP6167625B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2014204396A (en) | 2014-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019169724A1 (en) | Server concurrency control method and device, computer device, and storage medium | |
US8799709B2 (en) | Snapshot management method, snapshot management apparatus, and computer-readable, non-transitory medium | |
US20200249979A1 (en) | System and method for managing telemetry data and agents in a telemetry system | |
JP4054616B2 (en) | Logical computer system, logical computer system configuration control method, and logical computer system configuration control program | |
US20090182866A1 (en) | Method of setting and managing performance monitoring conditions and computer system using the method | |
CN105991458B (en) | Load balancing method and load balancing device | |
JP2011123752A (en) | Device for collecting log, program for collecting log, method for collecting log, and system for collecting log | |
JP4506520B2 (en) | Management server, message extraction method, and program | |
US8898312B2 (en) | Element terminal and communication system | |
CN110222020B (en) | Log file management method, device, computer equipment and storage medium | |
WO2012149719A1 (en) | Method and system for establishing checkpoint | |
US10970148B2 (en) | Method, device and computer program product for managing input/output stack | |
JP6167625B2 (en) | Packet recording device | |
JP6839347B2 (en) | Packet capture program, packet capture device and packet capture method | |
CN111625402A (en) | Data recovery method and device, electronic equipment and computer readable storage medium | |
CN111586129A (en) | Alarm method and device for data synchronization, electronic equipment and storage medium | |
CN113542001B (en) | OSD (on-screen display) fault heartbeat detection method, device, equipment and storage medium | |
JP6135430B2 (en) | Information processing apparatus, method, program, and system | |
JP4905363B2 (en) | Network failure detection program, network failure detection device, and network failure detection method | |
US11275832B2 (en) | Real-time threat alert forensic analysis | |
JP2007034416A (en) | Information processing system, log data management method and program for managing log data | |
KR20180132292A (en) | Method for automatic real-time analysis for bottleneck and apparatus for using the same | |
CN113485872A (en) | Fault processing method and device and distributed storage system | |
JP6724583B2 (en) | Information processing apparatus, information processing method, program, and information processing system | |
EP3499801A1 (en) | Prevention of fault processing delay |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160113 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161019 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161101 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170530 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170612 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6167625 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |