JP6408015B2 - 監視制御システム及びデータ収集装置 - Google Patents

監視制御システム及びデータ収集装置 Download PDF

Info

Publication number
JP6408015B2
JP6408015B2 JP2016544964A JP2016544964A JP6408015B2 JP 6408015 B2 JP6408015 B2 JP 6408015B2 JP 2016544964 A JP2016544964 A JP 2016544964A JP 2016544964 A JP2016544964 A JP 2016544964A JP 6408015 B2 JP6408015 B2 JP 6408015B2
Authority
JP
Japan
Prior art keywords
data
output
rule
shaping
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016544964A
Other languages
English (en)
Other versions
JPWO2016031244A1 (ja
Inventor
高橋 和晃
和晃 高橋
吉本 武弘
武弘 吉本
伸之 福島
伸之 福島
真純 稲葉
真純 稲葉
裕之 及川
裕之 及川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Digital Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Digital Solutions Corp filed Critical Toshiba Corp
Publication of JPWO2016031244A1 publication Critical patent/JPWO2016031244A1/ja
Application granted granted Critical
Publication of JP6408015B2 publication Critical patent/JP6408015B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/0265Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0221Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0264Control of logging system, e.g. decision on which data to store; time-stamping measurements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • G05B23/0278Qualitative, e.g. if-then rules; Fuzzy logic; Lookup tables; Symptomatic search; FMEA
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Fuzzy Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Description

本発明の実施形態は、様々なデータソースから収集されるデータから起こり得る事象を検知する監視制御装置に、データソースからデータを収集してネットワークを介して監視制御装置に送信するデータ収集装置に関する。
例えば、スマートメーター監視システムと呼ばれる監視システムがある。通信機能を備える電力メーターとエアコンや照明,温度計といった家庭や商業・事業ビル内の設備系機器とを接続し、電力メーターを介して機器の稼動状況などを、ネットワークを通じて監視している。
特開2012−194806号公報
様々なデータソースからの出力データから起こり得る事象を検知する監視制御装置に対し、データソースに接続されるデータ収集装置が出力データの伝送制御を行い、データソースノードからの時系列に連続した膨大な出力データによるデータ伝送負荷及び監視制御装置の処理負荷を低減させることを目的とする。
実施形態の監視制御システムは、データ発信要素である複数のデータソースから出力される出力データに基づいて特定の結果に至る事象を検知する監視制御装置と、前記出力データを収集し、前記監視制御装置に収集された前記出力データをネットワークを介して伝送するデータ収集装置とを含んで構成される。前記データ収集装置は、前記データソースから出力される時系列に連続した出力データを、複数の前記データソース毎に受信するデータ収集部と、複数の前記データソース毎に設定される所定のデータ整形ルールに基づいて前記データソース別に前記時系列に連続した出力データを処理し、前記データソースから出力される出力データの数よりも少なくなるように、又は前記データソースから出力される出力データのデータ容量よりも小さくなるように前記時系列に連続した各出力データに対するデータ整形処理を遂行するデータ整形部と、前記データ整形処理を通じて得られた前記データ整形ルールを満たす前記出力データを、前記監視制御装置に送信するデータ送信部と、前記監視制御装置において前記特定の結果に至る事象を検知するために用いられる複数の前記出力データの変化属性が予め規定された検知ルール定義データに基づいて複数の前記データソース毎に設定される前記データ整形ルールを、前記監視制御装置から受信し、前記データ整形部に対して受信した前記データ整形ルールを設定するデータ整形ルール制御部と、を有することを特徴とする。
第1実施形態に係る監視制御システムのネットワーク構成図である。 第1実施形態に係る監視制御装置の構成ブロック図である。 第1実施形態に係る各データソースノードの出力データの一例を示す図である。 第1実施形態に係る1つのデータソースノードの時間順に連続した出力データの一例を示す図である。 第1実施形態に係る事象検知処理を説明するための図である。 第1実施形態に係る検知された事象に対するイベント発生処理を説明するための図である。 第1実施形態に係る監視制御装置の処理フローを示す図である。 第1実施形態に係るデータ収集装置の構成ブロック図である。 第1実施形態に係るデータ収集装置における事象検知処理を説明するための図である。 第1実施形態に係るデータ収集装置のデータソースノード毎のデータ整形処理を説明するための図である。 第1実施形態に係る監視制御装置の処理フローを示す図であり、サンプル対象出力データを考慮した事象検知処理の一例を示す図である。 第1実施形態に係るデータ収集装置の処理フローを示す図である。 第1実施形態に係る監視制御装置の処理フローを示す図であり、EP側検知ルール及びデータ整形ルールの設定処理を示す図である。 第1実施形態に係るデータ収集装置の処理フローを示す図であり、監視制御装置から送信されるEP側検知ルール及びデータ整形ルールの設定処理を示す図である。 第2実施形態に係るデータ収集装置の構成ブロック図である。 第2実施形態に係るEP側データ学習部によるEP側検知ルール及びデータ整形ルールのルール変更処理を説明するための図である。 第2実施形態に係る時間順に連続した出力データの一例を示す図である。 第2実施形態に係るEP側検知ルール定義情報の一例を示す図である。 第2実施形態に係るEP側データ学習部によるEP側検知ルールの変更処理のフローチャートである。 第2実施形態に係るデータ整形ルール情報の一例を示す図である。 第2実施形態に係るデータ整形ルール情報の一例を示す図である。 第2実施形態に係るEP側データ学習部によるデータ整形ルールの変更処理のフローチャートである。
以下、実施形態につき、図面を参照して説明する。
(第1実施形態)
図1は、第1実施形態の監視制御システムのネットワーク構成図である。本実施形態の監視制御システムは、監視制御装置300と、データ収集装置200とがネットワークで接続されており、データ収集装置200が複数のデータソースノード100と接続されている。また、監視制御装置300は、複数のシステムノード500と接続されている。
データソースノード100は、例えば、電力メーターなどのデータ取得機器や、複数のデータ取得機器と接続され、これらのデータ取得機器を管理・制御する管理システムなどであり、監視制御装置300に対してデータを発信するデータソースとなるノード(データ発信要素)である。データソースノード100は、不図示の通信部、処理部、記憶部等を備えることができ、データ取得機器から逐次取得される時系列に連続した電力使用状況などのデータを、有線又は無線通信網を介してデータ収集装置200に出力する。
また、データソースノード100の他の例としては、WEBシステム、CRM(customer relationship management)システム、EAM(enterprise asset management)システムなどを構成する各サーバ装置のデータ取得機器がある。この場合、サーバ装置自体がデータ取得機器として機能することができる。データソースノード100から出力されるデータとしては、例えば、サーバ装置の稼働状況(CPU使用率、メモリ使用量、記憶領域の残量、稼働時間など)やシステム全体のトラフィック量、システムやサーバ装置の環境情報(温度や湿度)などのデータがある。データソースノード100から出力されるデータは、時系列に連続したデータであり、有線又は無線通信網を介してデータ収集装置200に出力される。
さらにデータソースノード100の他の例として、POSシステム(Point Of Sales system)がある。POSシステムは、リアルタイムに各店舗での商品の販売情報を記録し、販売管理を行うサーバ装置に、在庫管理やマーケティング管理を行うための販売情報を送信する。このようなPOSシステムも、レジスターやバーコードリーダー等のデータ取得機器を介して取得した販売情報を発信するデータソースであり、逐次取得される時系列に連続した店舗の販売情報(商品毎の販売数、販売価格、来客数など)のデータが、有線又は無線通信網を介してデータ収集装置200に出力される。また、気象情報や株価などを発信するデータ発信要素もデータソースノード100として含むことができる。なお、複数の各データソースノード100は、データ発信要素として互いに独立してデータ収集装置200と接続されている。
データ収集装置200は、複数のデータソースノード100の出力データを収集して監視制御装置300に入力させるための装置である。データ収集装置200は、監視制御装置300と各データソースノード100との間に位置し、監視制御装置300に入力される各データソースノード100の出力データを制御する。なお、データ収集装置200は、各データソースノードに対して複数設けることができ、複数の各データ収集装置200が監視制御装置300に出力データを伝送するように構成することもできる。
監視制御装置300は、各データソースノード100の出力データが時系列に連続して入力される。監視制御装置300は、入力された各データソースノードの出力データを逐次的(リアルタイム)に処理して、起こり得る事象を検知する検知処理を遂行する。また、検知された事象に対する適切なアクション(対処)を判断してイベントを発生させるイベント処理や、関連するシステム(システムノード500)に対して判断されたアクションに対応する通知又は所定の制御を行わせるための制御情報を出力する出力処理を、一連して行うことができる。
システムノード500は、監視制御装置300から出力される通知又は所定の制御を行わせるための制御情報(制御コマンド)を受信する機器やシステム(例えば、システムを構成するサーバ装置)である。システムノード500は、本監視制御装置300と連携し、監視制御装置300で検知された事象に対するイベントを契機に、監視制御装置300から受信した制御情報に基づいて所定のアクションを遂行したり、所定のアクションを促す警告等のメッセージの通知を受けるノードである。
システムノード500は、システム連携部400を介して監視制御装置300に接続されている。システム連携部400は、監視制御装置300で発生したイベントを、関連する1つ又は複数のシステムノード500に通知したり、所定の制御コマンドを伝送する配信機能を備えている。
監視制御装置300は、検知された事象に応じてアクション情報を抽出してシステムノード500に対するイベントを発生させる。監視制御装置300は、システム連携部400に抽出されたアクション情報を出力し、システム連携部400は、イベント発生に伴って入力されるアクション情報を、関連する各システムノード500に、有線又は無線通信網を通じて伝送する。
なお、システムノード500とデータソースノード100とは、同じノードである場合が含まれる。例えば、監視制御装置300は、データソースノードであるWEBシステムのサーバ装置(WEBサーバ)から、稼働状況やトラフィック量などの出力データを時系列に連続して受信する。一方、監視制御装置300は、WEBシステムから受信した出力データに基づいて所定の事象を検知し、検知された事象に応じた所定のアクションを判別してイベントを発生させる。そして、監視制御装置300は、システムノードとして同じWEBシステムのサーバ装置に、検知された事象に対して判別(抽出)された所定のアクションを、システム連携部400を介して出力することができる。
また、システムノード500とデータソースノード100とが異なるノードである態様も含まれる。一例として、データソースノード100が雨量計(積雪を含む)や温度計、湿度計などの気象観測機器であり、システムノード500がフィールドサービスシステムである例を挙げることができる。この場合、監視制御装置300は、データソースノードである気象観測機器から雨量(積雪)、温度、湿度などの出力データを時系列に連続して受信する。一方、監視制御装置300は、気象観測機器から受信した出力データに基づいて事象を検知し、検知された事象に応じた所定のアクションを判別してイベントを発生させる。そして、監視制御装置300は、システムノード500としてフィールドサービスシステムに、所定のアクション(例えば、積雪量が増加することによる車両故障が増加するメッセージなどの所定のメッセージを、フィールドサービスシステムから各作業員の情報端末装置に対して一斉配信させるための制御コマンド)を、システム連携部400を介して出力することができる。
次に、本実施形態の監視制御装置300について詳細に説明する。図2は、監視制御装置300の構成ブロック図である。
図2に示すように、監視制御装置300は、データ受信部301、送信部302、事象検知部310、統計分析処理部320、判断部330、学習制御部340、EP側検知ルール設定部361及びデータ整形設定部362を含んで構成されている。また、監視制御装置300は、検知ルール定義ファイル311、アクション定義ファイル331、フィードバック(FB)データ記憶部351、データ整形ルール記憶部352及び収集データ記憶部353をさらに備えることができる。
データ受信部301は、データ収集装置200からネットワークを介して伝送されるデータソースノード100の出力データを受信し、事象検知部310に出力する第1出力処理と、収集データ記憶部353又は/及び学習制御部340に出力する第2出力処理と、を遂行する。
事象検知部310は、時系列に連続して入力されるデータソースノード100の各出力データを処理して、検知ルール定義ファイル311に基づく所定の事象を検知する。統計分析処理部320は、一定期間内の出力データを統計分析処理して統計分析結果を事象検知部310に出力する。
判断部330は、事象検知部310によって検知された所定の事象に対し、アクション定義ファイル331から所定のアクションを抽出してイベントを発生させ、抽出された所定のアクションをイベント発生に伴うアクション情報としてシステム連携部400に出力する。なお、検知ルール定義ファイル311やアクション定義ファイル331などの情報は、監視制御装置300の所定の記憶領域(不図示)に記憶することができる。
図3は、本実施形態の各データソースノード100の出力データの一例を示す図である。図3に示すように、データソースノード100の出力データは、例えば、データソースノード100を識別する装置IDをヘッダーとし、複数のデータ種別それぞれに対応する複数の格納領域を含んで構成されている。データ種別は、上述したサーバ装置の稼働状況やシステム全体のトラフィック量などに対応している。図4は、本実施形態の装置ID「A001」の出力データが時系列に連続して監視制御装置300に入力される一例を示す図である。
図5は、本実施形態の事象検知処理を説明するための図である。事象検知部310は、各データノードソース100の各出力データが時系列に連続して入力されると、例えば、図4に示すように装置ID「A001」のデータソースノード100の時系列に連続した出力データの変化から所定の事象を検知する。
このとき、図5の例では、0%から100%の範囲のCPU使用率を、所定の範囲で複数の分類に区分したデータ変換定義を予め規定し、各分類に変換された各出力データの変化に基づいて所定の事象を検知している。データ変換定義は、各データの時定数を合わせたり、数値データを分類分けしたりし、所定の事象に対する時系列に連続した各出力データの変化を把握しやすくするために用いられる。なお、データ変換せずに、入力された出力データそのままを用いて、所定の事象を把握するように構成してもよい。
図5に示すように、データソースノード100から入力されるCPU使用率をデータ変換定義に従って変換すると、装置ID「A001」のCPU使用率がB→C→D→Eの時間順で遷移していることが把握できる。
検知ルール定義ファイル311は、データ変換定義に従う時間順の遷移パターン(時間順の並び)と特定の事象とを関連付けた定義情報(検知ルール定義データ)を有するファイルである。事象検知部310は、検知ルール定義ファイル311を参照して、時間順に並べられたCPU使用率(データ変換後の分類)の遷移が、特定の事象に対して予め定義されたパターンと一致するか否かを判定し、一致する場合に、特定の事象を生じたこと、又は特定の事象が生じるであろうことを検知する。
本実施形態の検知ルール定義ファイル311の各パターンは、時間順に並べられた出力データから、特定の結果に至る事象のパターンを検知するための情報である。例えば、「異常(結果)」に至る(事象)パターンとして、時間順に並べられた出力データのパターンがC→D→Eである場合に、「異常」であることを検知するように、過去の統計的データや経験則から適宜定めておくことができる。
特定の結果に至る事象のパターンは、公知の事象パターン抽出技術を用いて作成することができる。例えば、特許第4181193号公報、特許第398907号公報、特許第4202798号公報、特許第4398777号公報などの技術を適用して、特定の結果に至る事象のパターンを作成することができる。検知ルール定義ファイル311は、適宜更新可能であり、これらの事象パターン抽出技術を用いて逐次変化する出力データとその事象との関係を新たしく生成したり、作成済みの特定の結果に至る事象のパターンを変更等することができる。
事象検知部310は、図5の例において、装置ID「A001」に対し、「異常」に至る事象として時間順に並べられた各出力データに対応するC→D→Eの遷移を検知する。ここで、本実施形態では、検知ルール定義ファイル311で定義された事象パターンが「C→D→E」である場合、時間順でCが入力された後にDが入力されるまでの間にC又はEが入力されてもC→Dが入力されたものと識別し、同様にその後Dが入力された後にEが入力されるまでの間にC又はDが入力されても、C→D→Eが入力されたものと識別するように構成することができる。
また、1つの結果(システム異常)に対し、複数の事象パターンを設定することができる。例えば、時間順のデータの並びパターン「D→E→E」、「D→D→E」、「C→D→D」などを「異常」と関連付けて定義することができる。この場合、各時間順の各パターンに、信頼度(例えば元データの規模)や発生確率(例えば事象パターンが発生する確率)などに基づいて優先順位を付けることができる。例えば、信頼度で優先順位を付ける場合、異常に対応する事象パターンとして信頼度が一番高い「D→D→E」を優先的にマッチングさせるように定義する。また、確率で優先順位を付ける場合、異常に対応する事象パターンとして確率が一番高い「C→D→D」を優先的にマッチングさせるように定義する。このように、複数の事象パターンの中から優先的に検知するパターンを予め決めておくことができる。
さらに、事象検知処理の一例として、時系列に連続した各出力データの時間順の並びと、検知ルール定義ファイル311に規定された特定の事象のパターンと、がマッチングする態様について説明したが、これに限るものではない。例えば、データソースノード100間の各出力データを用いて、事象検知を行うこともできる。具体的には、装置ID「A001」のCPU使用率が90%以上、かつ装置ID「A002」のメモリ使用量が「High」を検知ルールとして設定し、「システム異常」を検知するようにしたり、装置ID「A002」及び装置ID「A003」の記憶領域残量が50%以下を検知ルールとして設定し、「リソース異常」を検知するようにしたりすることができる。
時系列に連続した各出力データの時間順の並びと、検知ルール定義ファイル311に規定された特定の事象のパターンと、がマッチングした場合、事象検知部310は、判断部330に検知結果を出力する。図6は、本実施形態の判断部330のイベント発生処理を説明するための図である。
図6に示すように、事象検知部310は、判断部330に対して検知結果として装置ID「A001」,事象パターンから推測される結果「異常1」を含む情報を出力する。判断部330は、入力された検知結果に基づいて、事象パターンから推測される結果「異常1」に対してどのようなアクションを行うべきかを判断し、連携するシステムノード500に対するイベントを発生させる。
本実施形態では、推測された結果「異常1」に対し、所定のアクションを予め関連付けたアクション定義ファイル331を備えている。アクション定義ファイル331は、検知ルール定義ファイル311の検知される特定の事象毎に1つ又は複数のアクション情報を紐付けた情報である。したがって、図6の例のように、判断部330は、事象検知部310から出力される検知結果に含まれる検知された事象「異常1」をキーに、アクション定義ファイル331を参照し、該当するアクション情報を抽出する。
判断部330は、検知された事象に対して所定のアクションを抽出(生成)することで、連携する各システムノード500に対するイベントを発生させ、各システムノード500へのアクション情報の配信制御を行うシステム連携部400に、イベント発生に伴うアクション情報の出力を行う。このとき、判断部330は、アクション定義ファイル331に含まれる「出力先」と共にアクション情報をシステム連携部400に出力することで、システム連携部400は、「出力先」に該当するシステムノード500にアクション情報を配信することができる。
図6の例において、アクション情報は、例えば、出力先及び出力先の状態(「CPU高」)と危険度(「高」)、アクション(アラート)などを含むことができる。出力先の状態、危険度は、検知された事象の内容を表すものである。アクションの内容は、該当するシステムノード500に対して検知された事象に関連する通知を行うか(メッセージ内容)、所定の制御を行わせるか(制御コマンド)を規定した対処法を示すものである。なお、監視制御装置300で動作するアプリケーションプログラムを実行し、その実行結果をアクション内容に含めることもできる。
なお、アクション情報は、補足情報を含むように構成することもできる。例えば、異常が検知された際の時間順に並ぶ出力データからCPU使用率の実測値を抽出し、アクション情報に含ませてシステムノード500に配信することができる。
事象検知部310は、統計分析処理部320の統計処理の統計結果を用いて、特定の結果に至る事象を検知することもできる。例えば、統計分析処理部320は、一定期間内に受信する時系列に連続した出力データの統計処理を行うことができ、算出した統計結果「平均値」を事象検知部310に出力する。事象検知部310では、統計分析処理部320から出力された統計結果と、検知ルール定義ファイル311に予め規定された所定の閾値とを比較して、特定の結果に至る事象が生じるものとして検知することができる。検知ルール定義ファイル311は、特定の結果に至る事象毎に統計結果と所定の閾値との関係を検知したい事象に対する変化属性として含むことができる。
このように本実施形態では、時系列に連続した出力データの時間順に並ぶパターンによって特定の事象を検知する第1の事象検知処理と、一定期間内に受信する時系列に連続した出力データの統計結果によって特定の事象を検知する第2の事象検知処理とが含まれる。これら第1及び第2の事象検知処理を互いに独立して行うことで、出力データの時間順に並ぶパターンによって検知できない事象を、一定期間内の統計結果で検知できたり、逆に、統計結果によって検知できない事象を、出力データの時間順に並ぶパターンによって検知したりすることができ、特定の事象を精度良く検知することができる。
図7は、本実施形態の監視制御装置300の処理フローを示す図である。図7に示すように、監視制御装置300は、データ収集装置200からネットワークを介して複数の各データソースノード100の出力データを時系列に連続して受信する(S101)。
監視制御装置300は、受信した時系列に連続した出力データに基づいて、検知ルール定義ファイル311に規定された特定の事象の発生有無を検知する(S102)。
監視制御装置300は、検知ルール定義ファイル311に規定された特定の事象を検知すると(S103,YES)、検知された事象に対して所定のアクションを抽出(生成)することで連携する各システムノード500に対するイベントを発生させる(S104)。監視制御装置300は、イベント発生に伴い、抽出したアクション情報を各システムノード500への配信制御を行うシステム連携部400に出力する(S105)。
本実施形態に係る監視制御装置300は、様々なデータソースから収集されるデータから起こり得る事象を検知し、検知された事象に対する適切なアクション(対処)の判断(イベント発生)を行い、関連するシステムに対して判断されたアクションに対応する通知や所定の制御を行わせる出力を、一連の流れで制御することができる。このため、事象の検知、適切なアクションの判断及び関連するシステムへの処理が人手を介さずに自動的に行え、迅速なシステム監視等を実現することができる。
<データ収集装置200の詳細な説明>
上述のように、監視制御装置300は、様々なデータソースノード100から収集される出力データに基づいて起こり得る事象を検知するが、特定の事象を検知するために必要な出力データを含む全ての出力データが監視制御装置300に入力されてしまうと、データ収集装置200と監視制御装置300との間のネットワークの負荷(データ伝送負荷)が増大するとともに、監視制御装置300の事象検知処理の処理負荷が増大する問題がある。
そこで、本実施形態では、複数のデータソースノード100に接続されるデータ収集装置200が、監視制御装置300に伝送するデータソースノード100の出力データの伝送制御を行い、データソースノード100から連続して出力される時間順の出力データ全てを、監視制御装置300にアップロードしないようにする。
したがって、上記説明において、監視制御装置300に入力されるデータソースノード100の時系列に連続した出力データは、データソースノード100が実際にデータ収集装置200に出力した複数の出力データのうち、例えば、所定のデータ整形ルールに基づいて取捨選択された(間引きされた)出力データである。監視制御装置300は、データ収集装置200において取捨選択された出力データが時系列に連続して入力され、事象検知処理を行うことになる。
図8は、本実施形態のデータ収集装置200の構成ブロック図である。データ収集装置200は、データ収集部210,EP側事象検知部220、データ整形部230、データ送信部240、EP側検知ルール制御部250、データ整形ルール制御部260、受信部270及び記憶部280を含んで構成されている。
データ収集部210は、複数のデータソースノード100と接続され、データソースノード100毎に、各出力データを時間順に連続して受信する。データ収集部210は、データソースノード100から受信した時系列に連続した出力データをEP側事象検知部220に出力する。なお、EPとは、エンドポイントの略称であり、説明の便宜上、監視制御装置300の事象検知部310と区別するために付されたものである。後述するEP側検知ルール定義情報についても同様である。
EP側事象検知部220は、データソースノード100から出力される出力データを処理し、EP側検知ルール定義情報に基づく所定の事象を検知し、検知結果を出力する。図9は、EP側事象検知部220の事象検知処理を説明するための図である。図9に示すように、EP側検知ルール定義情報は、検知ルールID、検知ルールが適用される対象の装置ID、EP側検知ルール、及びルール設定日時を含んで構成される。
EP側事象検知部220は、データ収集部210から入力される時系列に連続した出力データを参照し、装置ID「A001」のCPU使用率が80%以上であるか否かを判別する。EP側事象検知部220は、装置ID「A001」のCPU使用率が80%以上である場合、検知結果として装置ID「A001」,検知ルールID「R001」に対応する付加情報を含む情報を、装置ID「A001」に該当するサーバ装置に出力する。また、検知結果は、監視制御装置300に伝送することもできる。この場合、EP側事象検知部220は、検知結果をデータ送信部240に出力し、データ送信部240がEP側の事象検知の結果を監視制御装置300に伝送する。
監視制御装置300が、時系列に連続した出力データの変化から「異常」を検知するのに対し、EP側事象検知部220は、各出力データ自体が一定の基準を超えるものか否かの事象検知を行うものである。このようなデータ収集装置200側で事象検知処理を行う理由としては、監視制御装置300が、時系列に連続した出力データの変化から「異常」を検知しないまでも、「異常」の可能性に対し、データ収集装置200側で監視制御装置300を介さずに直接、データソースノード100に対して通知し、データ収集装置200側で早期に対応できるからである。
なお、EP側事象検知部220には、データ収集部210から入力される時系列に連続した出力データが入力されるものの、EP側事象検知部220からデータ整形部230に対しては、データ収集部210から入力された時系列に連続する出力データがそのまま入力される。EP側事象検知部220は、データ収集部210から入力される時系列に連続した出力データを参照して、事象検知処理のみを遂行し、出力データ自体には何ら処理を行わない。
データ整形部230は、データ整形ルール情報に基づいて、データソースノード100毎に各出力データに対するデータ整形処理を行い、データ送信部240に出力する。図10は、データ整形処理を説明するための図である。
データ整形ルール情報は、データ整形ルールID、データ整形ルールが適用される対象の装置ID、データ整形ルール、及びルール設定日時を含んで構成される。データ整形ルールは、データソースノード100から出力される出力データに含まれる複数のデータ種別において、抽出対象のデータ種別を特定するための情報と、データソースノード100から時系列に連続して出力される出力データのうち、どの出力データを抽出対象とするかを特定するための情報と、が含まれる。
データ整形部230は、EP側事象検知部220から各データソースノード100の出力データが入力されると、データ整形ルール情報に設定されている装置IDに該当するデータ整形ルールに基づいて、データ整形処理を行う。例えば、図10に示すように、装置ID「A001」が出力した出力データのうち、CPU使用率が80%以上の出力データを抽出し、CPU使用率が80%未満の出力データは、破棄する。図10の例では、シーケンスNo1及びシーケンスNo5の出力データが破棄され、監視制御装置300に送信されない。
そして、データ整形部230は、CPU使用率80%以上に該当する出力データを、データ種別「CPU使用率」のみのデータ列を含むデータフォーマットに処理し、整形データを生成する。図10の例では、シーケンスNo2、No3、No4及びNo6の各出力データが、データ種別「CPU使用率」のみのデータ列を含むデータフォーマットに処理され、生成された各整形データを、データソースノード100の出力データとして、データ送信部240に出力する。データ送信部240は、ネットワークを介して出力データ(整形データ)を監視制御装置300に送信する。
データ整形部230は、各データソースノード100から出力される出力データの装置IDを参照して装置IDに該当するデータ整形ルールを適用し、監視制御装置300に伝送する対象の出力データであるか否かを判別する。データ整形部230は、伝送対象の出力データでない場合は、その出力データを破棄するため、監視制御装置300に伝送される出力データの数を低減できるとともに、伝送対象の出力データについて、全てのデータ種別の各データ列を含むデータではなく、データ整形ルールで指定されたデータ種別のデータ列のみを含むデータフォーマットに整形処理し、より少ないデータ量の出力データ(整形データ)に整形する。つまり、データ整形部230は、監視制御装置300にアップロードされる送信データが、データソースノード100から出力される出力データの数よりも少なくなるように、又は/及びデータソースノード100から出力される出力データのデータ容量よりも小さくなるように制御する。
また、データ整形処理として、データソースノード100から時系列に連続して出力される出力データのうち、所定の出力データを抽出対象としつつ、全データ種別を含むデータフォーマットに整形処理することもできる。伝送対象の出力データでない場合は、その出力データが破棄されるため、監視制御装置300に伝送される出力データの数を低減できる。さらに、データソースノード100から時系列に連続して出力される全出力データを抽出対象とし、各出力データをデータ整形ルールで指定されたデータ種別のデータ列のみを含むデータフォーマットに整形処理することもできる。より少ないデータ量の出力データ(整形データ)に整形することができる。
なお、データ整形処理として、CPU使用率80%以上に該当する出力データを抽出する閾値処理を一例に説明したが、これに限るものではない。例えば、一定期間の各出力データの平均値や偏差などを算出し、時系列に連続した複数の出力データに対して1つの算出データを生成するデータ整形処理を行うこともできる。例えば、データ整形部230は、ある一定時間にデータ整形部230に入力された時系列に連続した各出力データのCPU使用率の平均値を算出し、出力データ自体を監視制御装置300に送信せずに破棄する。そして、算出された平均値のみを監視制御装置300に送信するように、データ送信部240に出力することができる。この場合であっても、監視制御装置300に伝送される出力データの数を低減でき、かつ少ないデータ量の出力データ(整形データ)が監視制御装置300に伝送されることになる。
また、データ整形部230は、データ送信部240に出力する整形データや後述する整形されていない出力データを、一定期間蓄積し、複数の出力データを圧縮して1つの送信データとして整形することもできる。
次に、データソースノード100毎のサンプル抽出のためのデータ整形ルール及びデータ整形処理について説明する。上述したように、本実施形態のデータ収集装置200は、各データソースノード100から出力される出力データに対してデータ整形処理を行い、監視制御装置300に伝送される出力データの数を低減したり、少ないデータ量の出力データ(整形データ)が監視制御装置300に伝送されるように制御する。
しかしながら、監視制御装置300でデータソースノード100が出力する全出力データをサンプリングして把握する必要がある場合がある。例えば、監視制御装置300の事象検知処理に用いられる検知ルール定義ファイル311の見直しを行いたいときや新たに検知ルールを策定するとき、監視制御装置300の事象検知処理で特定の事象が検知されたときに対象の装置IDの状態を把握したい場合やデータソースノード100の全体のデータ変化を把握したい場合、などが挙げられる。
このような場合、全てのデータソースノード100から全出力データが監視制御装置300にアップロードされるように制御せずに、データ整形ルール情報を用いて、サンプル対象のデータソースノード100(装置ID)を指定し、データ整形部230が、サンプル対象のデータソースノード100の全出力データをデータ送信部240に出力して、監視制御装置300にアップロードするように制御することができる。
図10の例において、装置ID「A005」に対して設定されたデータ整形ルールID「B006」は、サンプル対象を指定するデータ整形ルールの一例である。データ整形ルールID「B006」は、データ整形ルールとして、対象データ種別が「全種別」、対象出力データが「全出力データ」となっている。データ整形部230は、装置ID「A005」のデータソースノード100から出力される全出力データを、データ送信部240に出力するように制御する。つまり、データ整形部230は、データ整形ルールにおいて対象データ種別「全種別」かつ対象出力データ「全出力データ」となっている場合、上述したデータ整形処理を行わずに、データ送信部240にそのまま出力データを出力するように制御(サンプル抽出用データ整形処理)する。
このように構成することで、全出力データをサンプリングしたい特定のデータソースノード100のみを対象としてサンプルデータを監視制御装置300に送信しつつ、サンプル対象外のデータソースノード100の出力データに対しては、上述したデータ整形処理を行い、監視制御装置300にアップロードすることができる。したがって、監視制御装置300でデータソースノード100が出力する全出力データをサンプリングしたい場合であっても、全てのデータソースノード100から全出力データが監視制御装置300にアップロードされないため、ネットワークの負荷を低減させることができる。
また、サンプル対象をきめ細やかに指定することができるので、監視制御装置300の事象検知処理で特定の事象が検知されたときに特定の装置IDの状態を把握したり、複数のデータソースノード100のうちで、検知ルール定義ファイル311の検知ルールに対応する事象パターンが把握し易いデータソースノード100を指定してサンプリングを行うことができる。
ここで、図11を参照して、監視制御装置300の事象検知処理について説明する。図11は、サンプル対象の装置IDの出力データを考慮した事象検知処理の一例を示す図である。
図11に示すように、図7で示した監視制御装置300の処理フローに対し、データ受信部301が、サンプル対象に指定された装置IDの出力データを事象検知部310に出力しないように制御する処理が追加されている。データ受信部301は、データ収集装置200から出力データを受信すると、データ整形ルール記憶部352を参照し、受信した出力データがサンプル対象に指定されているか否かを判別する(S111)。データ受信部301は、サンプル対象に指定されていない出力データのみを事象検知部310に出力し(S112のNO)、サンプル対象に指定された出力データは、収集データ記憶部353に出力して記憶させる(S112のYES)。
図12は、データ収集装置200の処理フローを示す図である。図12に示すように、データ収集部210は、データソースノード100毎に、各出力データを時間順に連続して受信する(S301)。データ収集部210は、データソースノード100から受信した時系列に連続した出力データをEP側事象検知部220に出力する。
EP側事象検知部220は、データソースノード100から出力される出力データが処理し、EP側検知ルール定義情報に基づく所定の事象を検知する事象検知処理を行う(S302)。EP側事象検知部220は、EP側検知ルール定義情報に基づく所定の事象が検知された場合(S303のYES)、事象が検知された出力データを出力した装置IDに検知結果を出力する(S304)。
データ整形部230には、EP側事象検知部220の事象検知処理と並行して、EP側事象検知部220に入力された出力データがそのまま入力される。データ整形部230は、データ整形ルール情報に基づいて、データソースノード100毎に各出力データに対するデータ整形処理を行い(S305)、データ送信部240に出力する。データ送信部240は、データ整形部230から出力された整形データ又は出力データを、監視制御装置300に送信する(S306)。
図13は、監視制御装置300の処理フローを示す図であり、EP側検知ルール定義情報及びデータ整形ルール情報の設定処理を示す図である。
本実施形態では、データ収集装置200で使用されるEP側検知ルール定義情報及びデータ整形ルール情報は、監視制御装置300で管理し、監視制御装置300からデータ収集装置200に提供する。
監視制御装置300は、EP側検知ルール設定部361及びデータ整形設定部362を備えている(図2参照)。EP側検知ルール設定部361は、フィードバックデータ記憶部351に予め記憶されているEP側検知ルール定義情報を参照し、設定するEP側検知ルール定義情報を抽出して、所定のタイミングで送信部302に出力する(S501)。送信部302は、EP側検知ルール定義情報をデータ収集装置200に送信する(S502)。
例えば、図9に示すように、フィードバックデータ記憶部351に、検知ルールID毎にEP側検知ルールが記憶されている。このとき、データ収集装置200に設定されていない新規のEP側検知ルールは、ルール設定日時がブランクとなっている。そこで、EP側検知ルール設定部361は、フィードバックデータ記憶部351からルール設定日時がブランクとなっているEP側検知ルールを抽出し、抽出されたEP側検知ルールを送信部302に出力する設定処理を行うことができる。このとき、EP側検知ルール設定部361は、設定処理をしたEP側検知ルールのルール設定日時に現在日付(システム日付)を記憶するように制御することができる。
ここで、EP側検知ルール定義情報は、例えば、検知ルール定義ファイル311に基づいて設定することができる。図5の例において、検知ルール定義ファイル311には、CPU使用率のデータ変化がC→D→Eと変化するパターンを特定の事象として検知するように設定されているので、例えば、「C」に対応するCPU使用率81%よりも低いCPU使用率80以上の出力データを検知するように、EP側検知ルールを設定することができる。
また、EP側検知ルール定義情報は、学習制御部340による学習機能を用いて、適宜更新することもできる。例えば、システムノード500に対して出力されたアクション情報に対し、該当のシステムノード500が実際にどのような対処を行ったのか、また、アクション情報が適切であったか、アクション情報を用いて対処を適切に行えたかなどのアクション結果をフィードバック情報としてフィードバックデータ記憶部351に記憶することができる。アクション結果は、人為的な電話やファックスによるやり取りや、コンピュータによるフィードバック情報の取得機能等を介して取得することができる。また、フィードバックデータ記憶部351へのフィードバック情報の記憶も入力者がキーボード等から入力したり、自動的に取り込むことで入力したりすることができる。
学習制御部340は、フィードバック情報を参照し、例えば、CPU使用率が80%以上であっても「異常」が把握されなかったフィードバック情報に基づいて、CPU使用率が80%以上であっても、サーバ装置やサーバ装置を含むシステムが正常に稼働することは識別することができる。一方、学習制御部340は、同様にCPU使用率が90%以上であるとき「異常」が把握されたフィードバック情報に基づいて、CPU使用率が90%以上のときは、サーバ装置やサーバ装置を含むシステムが正常に稼働しないことを識別することができる。
そこで、学習制御部340は、CPU使用率が80%以上であるEP側検知ルールを変更し、CPU使用率が90%以上であるEP側検知ルールを新たに設定することができる。新たに設定されたEP側検知ルールは、ルール設定日時がブランクの状態で、フィードバックデータ記憶部351に記憶される。
さらに、図13に示すように、データ整形設定部362は、データ整形ルール記憶部352に予め記憶されているデータ整形ルール情報を参照し、設定するデータ整形ルールを抽出して、所定のタイミングで送信部302に出力する(S503)。送信部302は、データ整形ルール情報をデータ収集装置200に送信する(S504)。
例えば、図10に示すように、データ整形ルール記憶部352に、データ整形ルールID毎にデータ整形ルールが記憶されている。このときも、データ収集装置200に設定されていない新規のデータ整形ルールは、ルール設定日時がブランクとなっているので、データ整形設定部362は、データ整形ルール記憶部352からルール設定日時がブランクとなっているデータ整形ルールを抽出し、抽出されたデータ整形ルールを送信部302に出力する設定処理を行うことができる。データ整形設定部362は、設定処理をしたデータ整形ルールのルール設定日時に現在日付(システム日付)を記憶するように制御する。
ここで、データ整形ルール情報は、例えば、検知ルール定義ファイル311に基づいて設定することができる。図5の例において、検知ルール定義ファイル311には、CPU使用率のデータ変化がC→D→Eと変化するパターンを特定の事象として検知するように設定されているので、例えば、「C」に対応するCPU使用率81%よりも低いCPU使用率80以上の出力データのみを、監視制御装置300にアップロードするように、データソースノード100毎にデータ整形ルールを設定することができる。なお、データ整形ルール情報は、上述した対象データ種別が「全種別」、対象出力データが「全出力データ」のデータ整形ルールも含まれる。
データ整形ルール情報は、EP側検知ルール定義情報と異なり、監視制御装置300の管理者等が、所定の入力装置を介して任意に設定することができる。
ここで、監視制御装置300は、EP側検知ルール設定部361及びデータ整形設定部362によって、EP側検知ルール定義情報及びデータ整形ルール情報を、データ収集装置200に設定するように制御するが、例えば、EP側検知ルールとデータ整形ルールとの間に不整合が生じることがある。例えば、データ整形処理によってCPU使用率が80%以上のデータのみが監視制御装置300にアップロードされるときに、EP側検知ルールが「CPU使用率75%以上」になっていると、EP側事象検知処理での検知結果に対して、CPU使用率80%未満の出力データが監視制御装置300に送信されない。このような場合、データ収集装置200で検知される事象に対するデータソースノード100の状態を監視制御装置300側で正確に把握することができない。
そこで、本実施形態では、図13に示すように、EP側検知ルール定義情報とデータ整形ルール情報との整合性チェック処理を行う(S505)。整合性チェック処理は、データ整形設定部362が遂行することができる。
データ整形設定部362は、データ整形ルール情報に含まれる各装置IDをキーに、フィードバックデータ記憶部351を参照し、該当するEP側検知ルール定義情報を検索する。データ整形設定部362は、データ整形ルール記憶部352に記憶されている各データ整形ルールに紐付く装置IDと同じ装置IDのEP側検知ルールと比較し、データ整形ルールが、EP側検知ルールよりも厳しい条件(例えば、データ整形ルールにおけるCPU使用率の設定値が、EP側検知ルールにおけるCPU使用率の設定値よりも高い)設定になっているかを判別する整合性チェック処理を行う。
データ整形設定部362は、データ整形ルールが、EP側検知ルールよりも厳しい条件設定になっていると判別された場合(S506のNO)、アラート処理を行う(S507)。アラート処理としては、例えば、監視制御装置300に所定の警告を出力することができる。監視制御装置300の管理者等は、整合性チェック処理による警告に基づいて、例えば、データ整形ルールを変更したり、EP側検知ルールを変更することができる。
なお、この整合性チェック処理は、未設定のデータ整形ルールを対象に行うこともできる。この場合、データ整形設定部362は、EP側検知ルールよりも厳しい条件設定になっていると判別されたデータ整形ルールを、データ収集装置200に送信しない、言い換えれば、データ収集装置200に不整合のデータ整形ルールが設定されないように制御することができる。
図14は、データ収集装置200の処理フローを示す図であり、監視制御装置300から送信されるEP側検知ルール及びデータ整形ルールの設定処理を示す図である。
データ収集装置200は、EP側検知ルール制御部250及びデータ整形ルール制御部260を備えている(図8参照)。受信部270は、監視制御装置300からEP側検知ルール定義情報を受信すると(S701のYES)、記憶部280に記憶するとともに(S702)、EP側検知ルール制御部250に受信したEP側検知ルールを出力する。EP側検知ルール制御部250は、受信部270から入力されたEP側検知ルールをEP側事象検知部220に設定する(S703)。
同様に、受信部270は、監視制御装置300からデータ整形ルール情報を受信すると(S704のYES)、記憶部280に記憶するとともに(S705)、データ整形ルール制御部260に受信したデータ整形ルールを出力する。データ整形ルール制御部260は、受信部270から入力されたデータ整形ルールをデータ整形部230に設定する(S706)。
なお、データ整形ルール制御部260は、図13に示した整合性チェック処理を行い、EP側検知ルールに対して不整合のデータ整形ルールが設定されないように制御することもできる。また、EP側検知ルール制御部250及びデータ整形ルール制御部260は、監視制御装置300から受信したEP側検知ルール定義情報やデータ整形ルールを任意のタイミングで設定することができる。この場合、EP側検知ルール制御部250は、受信したEP側検知ルールのルール設定日時がブランクとなっているので、記憶部280に記憶されているルール設定日時がブランクとなっているEP側検知ルールを抽出して設定することができる。このときも、EP側検知ルールの設定に伴い、ブランクとなっているルール設定日時に、現在日付(システム日付)を記憶するように制御する。データ整形ルールの設定処理についても同様である。
本実施形態によれば、データ整形ルールに基づいて各データソースから出力される出力データに対してデータソース毎にデータ整形処理を行い、監視制御装置に伝送される出力データの数を低減したり、少ないデータ量の出力データが監視制御装置に伝送されるように制御されるので、ネットワークの負荷(データ伝送負荷)及び監視制御装置の処理負荷を低減することができる。
(第2実施形態)
図15から図22は、第2実施形態を示す図である。第2実施形態のデータ収集装置200は、図8に示した第1実施形態のデータ収集装置200に対し、図15に示すように、EP側データ学習部290を備えている。EP側データ学習部290は、データ収集部210を介してデータソースノード100から入力される時間順に連続した出力データに対する学習処理及び学習処理に基づくEP側検知ルール及びデータ整形ルールのルール変更処理を遂行する。
上述の第1実施形態のデータ収集装置200は、監視制御装置300で生成されたEP側検知ルール及びデータ整形ルールを受信して、各ルールを設定していた。これに対して本実施形態では、EP側データ学習部290により、EP側(データ収集装置200側)でEP側検知ルール及びデータ整形ルールに基づく事象検知処理及びデータ整形処理の制御を行う。
データ収集装置200は、監視制御装置300側でのデータ収集装置200に対するEP側検知ルール及びデータ整形ルールの設定処理とは独立して、EPデータ学習部290によって生成されたEP側検知ルール及びデータ整形ルールを設定することができる。なお、本実施形態の説明では、第1実施形態と異なる点を中心に説明し、第1実施形態と同様の構成及び処理については、同符号を付してその説明を省略する。
図16は、本実施形態に係るEP側データ学習部290によるEP側検知ルール及びデータ整形ルールのルール変更処理を説明するための図である。データ収集部210は、第1実施形態と同様に、データソースノード100毎に、各出力データを時間順に連続して受信する。データ収集部210は、データソースノード100から受信した時系列に連続した出力データを、EP側データ学習部290及びEP側事象検知部220に出力する。
図16の例において、EP側データ学習部290は、データ収集部210とEP側事象検知部220との間に設けられている。EP側事象検知部220は、EP側データ学習部290を介してデータソースノード100からの連続した出力データを受信する。このとき、EP側データ学習部290は、EP側事象検知部220同様に、データ収集部210から入力される時系列に連続した出力データを参照して、学習処理のみを遂行し、出力データ自体には何ら処理を行わずに、そのまま出力データをEP側事象検出部220に出力する。また、データ収集部210は、EP側事象検知部220及びEP側データ学習部290に対して個別に、データソースノード100からの時系列に連続した出力データを出力するように構成することもできる。
EP側事象検知部220は、上述のように、EP側検知ルール制御部250によって設定された検知ルールに従って所定の事象を検知し、検知結果を出力する。本実施形態のEP側データ学習部290は、データソースノード100からの時系列に連続した出力データを学習し、監視制御装置300側で受動的に設定されている検知ルールの変更の必要性を判別する。EP側データ学習部290は、検知ルールの変更の必要性に応じた新たな検知ルールを生成したり、記憶部280に予め記憶されている検知ルールを選択して変更したりする。EP側検知ルール制御部250は、EP側データ学習部290から出力される検知ルールの変更指示に基づいて、監視制御装置300側から送信される検知ルール以外にEP側で能動的に生成された検知ルールを新たに設定したり、監視制御装置300側からの検知ルールの設定指示に関わらず、EP側で能動的に検知ルールの設定を変更したりする。
また、本実施形態のEP側データ学習部290は、データソースノード100からの時系列に連続した出力データを学習し、監視制御装置300側で受動的に設定されているデータ整形ルールの変更の必要性を判別する。EP側データ学習部290は、データ整形ルールの変更の必要性に応じた新たなデータ整形ルールを生成したり、記憶部280に予め記憶されているデータ整形ルールを選択して変更したりする。データ整形ルール制御部260は、EP側データ学習部290から出力されるデータ整形ルールの変更指示に基づいて、監視制御装置300側から送信されるデータ整形ルール以外にEP側で能動的に生成されたデータ整形ルールを新たに設定したり、監視制御装置300側からのデータ整形ルールの設定指示に関わらず、EP側で能動的にデータ整形ルールの設定を変更したりする。
EP側データ学習部290は、データ収集装置200側での能動的な検知ルールの変更及びデータ整形ルールの変更を、監視制御装置300に通知する。EP側データ学習部290は、変更した検知ルール又は/及び変更したデータ整形ルールをデータ送信部240に出力し、データ送信部240は、ネットワークを介して監視制御装置300に送信する。監視制御装置300では、データ受信部301を介して変更された検知ルール又は/及びデータ整形ルールを受信し、FBデータ記憶部351及びデータ整形ルール記憶部352にそれぞれ記憶する。
まず、図17から図19を参照して、EP側検知ルールの変更有無の判別処理及び検知ルールの生成(選択)処理について、詳細に説明する。図17は、本実施形態の時間順に連続した出力データの一例を示す図であり、図18は、本実施形態のEP側検知ルール定義情報の一例を示す図である。
図18に示すように、検知ルールID「R010」が設定されていたと仮定する。検知ルールID「R010」は、監視制御装置300から送信された検知ルール(監視制御装置側学習検知ルール)であり、例えば、CPU使用率に関して閾値を90%とした検知ルールである。例えば、ある一定期間、データソースノード100からCPU使用率80〜95%の値の出力データが連続して入力されている場合、EP側事象検知部220は、検知ルールID「R010」に基づいて、定期的に事象検知「有り」と判別し、アラートを該当のデータソースノード100(サーバ装置)に対して出力する。
その後、図17に示すように、サーバ装置の稼働状況が安定し、時間経過と共にCPU使用率が低下したと仮定する。このとき、例えば、最後のアラートから所定期間の間、データソースノード100からCPU使用率が60%以下の出力データが連続して入力されると、検知ルールID「R010」に基づくアラートは、出力されなくなる。
しかしながら、CPU使用率が60%以下の出力データが連続して入力されているときに、例えば、サーバ装置の稼働状況が変化して、CPU使用率が50%から80%に急激に上昇したとする。この場合、EP側事象検知部220では、検知ルールID「R010」の検知ルールに基づいて、CPU使用率が90%を超えたことを検知するので、アラートが出力されないことになる。
このように、設定されている検知ルールとデータソースノード100からの出力データとに乖離が生じていると、検知ルールの対象外の挙動を把握することができない。そこで、EP側データ学習部290は、データソースノード100からの出力データと検知ルールとの間に所定の乖離が生じている否かを判別する変更チェック処理を行い、所定の乖離が生じていると判別されたときに、検知ルールを変更する必要があると判別する。
例えは、EP側データ学習部290は、現在設定されている検知ルールに基づいてEP側事象検知部220がアラートを出力した後の一定期間、すなわち、最新のアラート出力から一定期間の連続した各出力データと、設定されている検知ルールの閾値とを比較する。比較の結果、各出力データと検知ルールの閾値との間の乖離幅が所定の乖離閾値以上のとき、EP側データ学習部290は、検知ルールの変更が必要であると判別する。例えば、検知ルールのCPU使用率の閾値が90%、連続した出力データのCPU使用率が50%前後である場合、約40%の乖離幅が生じる。このとき、乖離閾値が30%に設定されている場合、EP側データ学習部290は、現在設定されている検知ルールを変更する必要があると判別する。なお、所定の乖離閾値は、任意に設定することができ、記憶部280に予め記憶しておくことができる。
検知ルールの変更有無を判断するにあたって、EP側事象検知部220は、最新のアラート出力から一定期間の連続した各出力データの全てが、検知ルールの閾値との間で乖離閾値を超える乖離があったときに、検出ルールの変更が必要であると判別することができる。また、最新のアラート出力から一定期間の連続した各出力データの平均値をリアルタイムで算出し、平均値と検知ルールの閾値との間に乖離閾値以上の乖離がある場合に、検出ルールの変更が必要であると判別することもできる。
また、検出ルールの変更有無を判断するための連続した各出力データの学習処理は、EP側事象検出部220からのアラートに関係なく、EP側データ学習部290は、一定の期間の連続した各出力データの遷移をリアルタイムに監視して行うこともできる。
次に、EP側データ学習部290は、上述したEP側検出ルールの変更チェック処理の結果、検知ルールを変更する必要があると判別されると、変更後の検出ルールを設定するための処理を行う。検出ルールの設定処理としては、新たな検出ルールを生成して記憶部280に記憶し、EP側検知ルール制御部250に、新たに生成された検出ルールをEP側事象検出部220に適用するよう、ルール変更指示を出力する。
新たな検知ルールの生成処理は、現在設定されている検出ルールの閾値を、各出力データと検知ルールの閾値との間の乖離幅に基づいて変更することができる。例えば、乖離幅が大きいほど、現在設定されている検知ルールの閾値の引き下げ幅を大きくし、引き下げ後の閾値が設定された新たな検出ルールを生成することができる。また、乖離幅とは関係なく、一定の引き下げ幅で閾値を設定し、新たな検出ルールを生成することができる。新たな検出ルールの生成処理に必要な引き下げ幅や引く下げ率などの各種情報は、記憶部280に記憶されている。
図18の例では、EP側データ学習部290によってCPU使用率の閾値が80%の検出ルールID「R011」が新たに生成され、EP側検知ルール制御部250を介してEP側事象検知部220に適用されている。EP側データ学習部290は、EP側検知ルールの閾値、すなわち、EP側検知ルールの検出レベルを引き下げた新たなEP側検知ルールに変更するためのルール変更処理を行う。検出レベルを引き下げることで、現在設定されているEP側検知ルールと出力データとの間の乖離によって検出することができない時系列に連続した出力データの挙動(現在設定されているEP側検知ルールの検出レベルよりも低い領域での出力データの急激な変動)を的確に把握することができる。
また、EP側データ学習部290は、検出ルールを新たに生成しなくても、予め記憶部280に記憶されている1つまたは複数の検知ルールの中から、検知ルールを選択して新たな検知ルールに変更するように構成することもできる。例えば、記憶部280には、EP側で生成された検出ルール以外に、上述したように監視制御装置300から送信される検知ルールが記憶されている。
そこで、予め、監視制御装置300側で複数の検出パターン(監視制御装置側検出パターン)をデータ収集装置200に送信し、記憶部280に記憶しておく。そして、EP側データ学習部290は、検出ルールの変更が必要であると判別されたとき、記憶部280の中から、例えば、現在設定されている検出ルールよりも低いCPU使用率の閾値を含む検出ルールを選択することができる。EP側データ学習部290は、選択した検出ルールを、EP側検出ルール制御部250を介して新たに設定するように制御する。
図19は、本実施形態のEP側データ学習部290によるEP側検知ルールの変更処理のフローチャートである。図19に示すように、EP側データ学習部290は、データ収集部210から出力される連続した各出力データを、データソースノード100毎に監視(学習)する(S801)。EP側データ学習部290は、データソースノード100からの出力データと検知ルールとの間に所定の乖離が生じている否かを判別する変更チェック処理を行う(S802)。変更チェック処理の結果、検出ルールの変更が必要ないと判別されたときは、処理を終了する(S803のNO)。一方、検出ルールの変更が必要であると判別されたとき(S803のYES)、EP側データ学習部290は、上述した変更後の検出ルールを設定するための処理を行う。
変更後の検出ルールを設定するための処理の一例として、EP側データ学習部290は、現在設定されている検出ルールに対して新たな検出ルールを生成し(S804)、生成された検出ルール(EP側検知ルール)を記憶部280に記憶する。また、EP側データ学習部290は、EP側検知ルール制御部250に、新たに生成された検出ルールをEP側事象検出部220に適用するよう、ルール変更指示を出力する。EP側検知ルール制御部250は、ルール変更指示に基づいて、新たに設定された検知ルールをEP側事象検知部220に適用させるように制御する(S805)。EP側データ学習部290は、変更した検知ルールをデータ送信部240に出力し、ネットワークを介して監視制御装置300に送信する。
次に、図20から図22を参照して、EP側データ整形ルールの変更有無の判別処理及びデータ整形ルールの生成(選択)処理について、詳細に説明する。図20及び図21は、本実施形態のデータ整形ルール情報の一例を示す図である。図22は、本実施形態のEP側データ学習部290によるデータ整形ルールの変更処理のフローチャートである。
上述のように、データ整形部230は、各データソースノード100から出力される出力データに対してデータ整形処理を行い、監視制御装置300に伝送される出力データの数を低減したり、少ないデータ量の出力データ(整形データ)が監視制御装置300に伝送されるように制御する。
データ整形部230は、データ整形ルールに基づいて、データソースノード毎に各出力データに対するデータ整形処理を行うが、本実施形態では、検知ルール同様に、EP側データ学習部290によって、データ整形ルールを変更し、データ整形処理を制御する。
図20は、一定期間の各出力データの平均値が算出され、時系列に連続した複数の出力データに対して1つの算出データ(整形データ)が生成されるデータ整形ルールの一例である。図20の例において、インターバル期間とは、連続した出力データのデータ整形区間であり、例えば、平均値を算出する時間である。インターバル期間は、1秒毎、5秒毎、10秒毎・・・と任意の期間(時間)を設定することができる。この場合、インターバルが長いほど、より少ないデータ量の出力データ(整形データ)が、監視制御装置300に送信されることになる。
データ整形ルールの変更チェック処理は、インターバル期間中の時系列に連続する出力データの変化量を把握し、連続する複数の出力データの変化量が少ない、または、ほぼ一定のであるか否かを判別する。例えば、インターバル期間中の複数の出力データの変化量が大きい場合、インターバルが長いと、データ整形後の整形データにおいて複数の出力データの変化が埋もれてしまい、時系列に連続する出力データの変化が捉えにくくなる。一方、インターバル期間中の複数の出力データの変化量が小さい場合、インターバルを長くとっても、データ整形後の整形データにおいて複数の出力データの変化が埋もれずに、時系列に連続する出力データの変化を捉えることができる。
そこで、EP側データ学習部290は、時系列に連続する出力データの変化量を監視(学習)し、インターバル期間中の複数の出力データの変化量が所定の閾値よりも小さければ、インターバル期間を長くしたデータ整形ルールに変更し、データ整形処理を制御する。
また、図21に示すように、インターバル期間の他の例として、算出される平均値に対するサンプリング数が挙げられる。つまり、時間ではなく、平均値を算出するための出力データの数(母数)をインターバル期間とすることもできる。この場合、平均値を算出するためのサンプリング数(データ整形処理に必要なデータソースノード100から入力されるデータ量)が多く設定されていると、データ整形後の整形データにおいて複数の出力データの変化が埋もれてしまい、時系列に連続する出力データの変化が捉えにくくなる。一方、サンプリング数が少なく設定されていると、サンプリング数が多い場合に比べて、監視制御装置300に送信されるデータ量(整形データの数)が多くなる。
したがって、EP側データ学習部290は、時系列に連続する出力データの変化量を監視(学習)し、複数の出力データの変化量が所定の閾値よりも小さければ、サンプリング数を多くしたデータ整形ルールに変更してデータ整形処理を制御し、より少ないデータ量の出力データ(整形データ)が、監視制御装置300に送信されるようにする。
図20に示すように、データ整形ルールID「B100」が設定されていたと仮定する。データ整形ルールID「B100」は、監視制御装置300から送信されたデータ整形ルール(監視制御装置側学習データ整形ルール)である。データ整形部230は、データ整形ルール「B100」に基づいて、データソースノード100から入力される時系列に連続した出力データをデータ整形して、データ送信部240に出力する。
EPデータ学習部290は、データ整形ルールID「B100」を適用したデータ整形処理において、データソースノード100から入力される連続した出力データの変化量を監視し、データ整形ルールの変更チェック処理を行う。
EP側データ学習部290は、データ整形ルールID「B100」のインターバル期間である「1秒」間の複数の出力データを監視し、例えば、1つのインターバル期間の時系列に連続する前後の出力データを順次比較し、その差分を変化量として算出する。EP側データ学習部290は、1つのインターバル期間中の出力データ間の変化量それぞれが所定の閾値よりも小さいか否かを判別し、小さいと判別されたとき、当該インターバル期間の変化量が「Low」と判別する。EP側データ学習部290は、時系列に連続する複数の出力データに対して、連続する各インターバル期間の出力データ間の変化量を算出する。EP側データ学習部290は、変化量が「Low」と判別されたインターバル期間が連続して所定数続いたとき、データ整形ルールの変更が必要であると判別することができる。
他の例としては、例えば、インターバル期間と関係なく、所定期間中の出力データ間の変化量それぞれが所定の閾値よりも小さいか否かを判別し、小さいと判別されたとき、EP側データ学習部290は、データ整形ルールの変更が必要であると判別することもできる。
次に、EP側データ学習部290は、データ整形ルールの変更が必要であると判別された場合、変更後のデータ整形ルールを設定するための処理を行う。データ整形ルールの設定処理としては、新たなデータ整形ルールを生成して記憶部280に記憶し、データ整形ルール制御部260に、新たに生成されたデータ整形ルールをデータ整形部230に適用するよう、ルール変更指示を出力する。
図20の例において、新たなデータ整形ルールの生成処理は、現在設定されているデータ整形ルールのインターバル期間を、現在設定されているデータ整形ルールID「B100」のインターバル期間よりも長くした新たなデータ整形ルールを生成する。例えば、データ整形ルールID「B100」のインターバル期間に予め設定された所定値を加算して新たなインターバル期間を算出し、新たなデータ整形ルールを生成することができる。インターバル期間に加算される所定値は、記憶部280に記憶されている。
図20の例では、EP側データ学習部290によってインターバル期間が「10秒」のデータ整形ルールID「B101」が新たに生成され、データ整形ルール制御部260を介してデータ整形部230に適用されている。
また、EP側データ学習部290は、検出ルール同様に、新たにデータ整形ルールを生成しなくても、予め記憶部280に記憶されている1つまたは複数のデータ整形ルール(監視制御装置300から送信されるデータ整形ルール又はEP側データ学習部290によって生成されたデータ整形ルール)の中から、インターバル期間がデータ整形ルールID「B100」のインターバル期間よりも長いインターバル期間が設定されたデータ整形ルールを選択するように構成することもできる。
さらに、図21の例において、新たなデータ整形ルールの生成処理は、現在設定されているデータ整形ルールのサンプリング数を、現在設定されているデータ整形ルールID「B200」のサンプリング数を多くした新たなデータ整形ルールを生成する。例えば、データ整形ルールID「B200」のサンプリング数に予め設定された所定値を加算して新たなサンプリング数を算出し、新たなデータ整形ルールを生成することができる。サンプリング数に加算される所定値は、記憶部280に記憶されている。
図21の例では、EP側データ学習部290によってサンプリング数が「1000」のデータ整形ルールID「B201」が新たに生成され、データ整形ルール制御部260を介してデータ整形部230に適用されている。また、EP側データ学習部290は、同様に、新たにデータ整形ルールを生成しなくても、予め記憶部280に記憶されている1つまたは複数のデータ整形ルールの中から、サンプリング数がデータ整形ルールID「B200」のサンプリング数よりも多いサンプリング数が設定されたデータ整形ルールを選択するように構成することもできる。
図22は、本実施形態のEP側データ学習部290によるデータ整形ルールの変更処理のフローチャートである。図22に示すように、EP側データ学習部290は、データ収集部210から出力される連続した各出力データを、データソースノード100毎に監視(学習)する(S901)。EP側データ学習部290は、データソースノード100から入力される連続した出力データの変化量が「Low」であるか否かを判別するデータ整形ルールの変更チェック処理を行う(S902)。変更チェック処理の結果、データ整形ルールの変更が必要ないと判別されたときは、処理を終了する(S903のNO)。一方、データ整形ルールの変更が必要であると判別されたとき(S903のYES)、EP側データ学習部290は、上述した変更後のデータ整形ルールを設定するための処理を行う。
変更後のデータ整形ルールを設定するための処理の一例として、EP側データ学習部290は、現在設定されているデータ整形ルールに対して新たなデータ整形ルールを生成し(S904)、生成されたデータ整形ルール(EP側データ整形ルール)を記憶部280に記憶する。また、EP側データ学習部290は、データ整形ルール制御部260に、新たに生成されたデータ整形ルールをデータ整形部230に適用するよう、ルール変更指示を出力する。データ整形ルール制御部260は、ルール変更指示に基づいて、新たに設定されたデータ整形ルールをデータ整形部230に適用させるように制御する(S905)。EP側データ学習部290は、変更したデータ整形ルールをデータ送信部240に出力し、ネットワークを介して監視制御装置300に送信する。
本実施形態では、データ収集装置200がEP側データ学習部290を備え、監視制御装置300側でのデータ収集装置200に対するEP側検知ルール及びデータ整形ルールの設定処理とは独立して、EPデータ学習部290によって生成されたEP側検知ルール及びデータ整形ルールを設定する制御を行う。
上記第1実施形態で説明したように、少ないデータ量の出力データが監視制御装置300に伝送されるように制御されるので、監視制御装置300は、データ収集装置200からデータ整形されたデータを使用して学習を行う。一方、データ収集装置200は、データソースノード100から入力される時系列に連続した出力データをそのまま用いて学習する。このように、監視制御装置300及びデータ収集装置200側の各学習機能で、異なるデータを使った学習環境が実現されるため、より精度の高い検知ルール及びデータ整形ルールを生成したり、適用したりすることができる。これにより、適用したルールに基づく正確な事象検知及び適切なデータの送信が可能となる。
また、監視制御装置300側の学習機能とでデータ収集装置200の学習機能とを連携させることで、検知ルール及びデータ整形ルールを生成・設定するための効率的な学習機能を実現することができる。
以上、本実施形態のデータ収集装置200の各々は、1つ又は複数のコンピュータ装置で実現可能であり、各機能は、プログラムとして構成することができる。例えば、コンピュータの不図示の補助記憶装置に格納され、CPU等の制御部が補助記憶装置に格納された各機能毎のプログラムを主記憶装置に読み出し、主記憶装置に読み出された該プログラムを制御部が実行し、1つ又は複数のコンピュータに本実施形態のデータ収集装置200の各部の機能を動作させることができる。すなわち、本実施形態のデータ収集装置200の各機能毎のプログラムがインストールされた1つ又は複数のコンピュータは、単独で又は連携して各機能を遂行するコンピュータ装置(システム)として動作することが可能である。監視制御装置300についても同様である。
また、上記プログラムは、コンピュータ読取可能な記録媒体に記録された状態で、コンピュータに提供することも可能である。コンピュータ読取可能な記録媒体としては、CD−ROM等の光ディスク、DVD−ROM等の相変化型光ディスク、MO(Magnet Optical)やMD(Mini Disk)などの光磁気ディスク、フロッピー(登録商標)ディスクやリムーバブルハードディスクなどの磁気ディスク、コンパクトフラッシュ(登録商標)、スマートメディア、SDメモリカード、メモリスティック等のメモリカードが挙げられる。また、本発明の目的のために特別に設計されて構成された集積回路(ICチップ等)等のハードウェア装置も記録媒体として含まれる。
なお、本発明の実施形態を説明したが、当該実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100 データソースノード
200 データ収集装置
210 データ収集部
220 EP側事象検知部
230 データ整形部
240 データ送信部
250 EP側検知ルール制御部
260 データ整形ルール制御部
270 受信部
280 記憶部
290 EP側データ学習部
300 監視制御装置
301 データ受信部
302 送信部
310 事象検知部
311 事象検知ルール定義ファイル
320 統計分析処理部
330 判断部(イベント処理部)
331 アクション定義ファイル
340 学習制御部
351 フィードバック(FB)データ記憶部
352 データ整形ルール記憶部
353 収集データ記憶部
361 EP側検知ルール設定部
362 データ整形設定部
400 システム連携部
500 システムノード

Claims (11)

  1. データ発信要素である複数のデータソースから出力される出力データに基づいて特定の結果に至る事象を検知する監視制御装置と、前記出力データを収集し、前記監視制御装置に収集された前記出力データをネットワークを介して伝送するデータ収集装置とを含む監視制御システムであって、
    前記データ収集装置は、
    前記データソースから出力される時系列に連続した出力データを、複数の前記データソース毎に受信するデータ収集部と、
    複数の前記データソース毎に設定される所定のデータ整形ルールに基づいて前記データソース別に前記時系列に連続した出力データを処理し、前記データソースから出力される出力データの数よりも少なくなるように、又は前記データソースから出力される出力データのデータ容量よりも小さくなるように前記時系列に連続した各出力データに対するデータ整形処理を遂行するデータ整形部と、
    前記データ整形処理を通じて得られた前記データ整形ルールを満たす前記出力データを、前記監視制御装置に送信するデータ送信部と、
    前記監視制御装置において前記特定の結果に至る事象を検知するために用いられる複数の前記出力データの変化属性が予め規定された検知ルール定義データに基づいて複数の前記データソース毎に設定される前記データ整形ルールを、前記監視制御装置から受信し、前記データ整形部に対して受信した前記データ整形ルールを設定するデータ整形ルール制御部と、
    を有することを特徴とする監視制御システム。
  2. 前記データ整形ルールは、前記データソースから出力される時系列に連続する出力データの全てを前記監視制御装置に送信するためのサンプル抽出ルールを含み、
    前記データ整形部は、前記サンプル抽出ルールが設定された前記データソースの時系列に連続する出力データをそのまま前記データ送信部に出力するサンプル抽出用データ整形処理を遂行し、前記サンプル抽出ルール以外のデータ整形ルールが設定された前記データソースの時系列に連続する出力データに対して前記データ整形処理を遂行することを特徴とする請求項1に記載の監視制御システム。
  3. 前記監視制御装置は、
    前記データ収集装置から前記ネットワークを介して送信される前記出力データを受信するデータ受信部と、
    前記特定の結果に至る事象毎に複数の前記出力データの変化属性を予め規定した前記検知ルール定義データに基づいて、前記データ収集装置から受信する前記出力データから前記特定の結果に至る事象を検知する事象検知部と、
    前記データ整形ルールを記憶する記憶部と、を有し、
    前記データ受信部は、前記データ整形ルールを参照して、前記サンプル抽出ルールが設定された前記データソースの前記出力データを前記事象検知部に出力せずに、前記サンプル抽出ルール以外のデータ整形ルールが設定された前記データソースの前記出力データを前記事象検知部に出力するように制御することを特徴とする請求項2に記載の監視制御システム。
  4. 前記データ整形部は、前記データ整形ルールに基づいて、一定期間内に収集された前記時系列に連続した出力データを算術処理して算出値を生成する前記データ整形処理を遂行し、
    前記データ送信部は、前記一定期間内に収集された前記時系列に連続した出力データの代わりに生成された前記算出値を前記監視制御装置に送信することを特徴とする請求項1から3のいずれか1つに記載の監視制御システム。
  5. 前記データ収集装置は、前記データソースから出力される時系列に連続した出力データを学習するデータ学習部を備え、
    前記データ学習部は、前記データソースから出力される連続した複数の前記出力データの変化に基づいて、設定されている前記データ整形ルールを変更するか否かを判別し、
    設定されている前記データ整形ルールに基づく前記データ整形処理よりも、前記データソースから出力される出力データの数よりも少なくなる、又は前記データソースから出力される出力データのデータ容量よりも小さくなる新たなデータ整形ルールに変更するためのルール変更処理を行うことを特徴とする請求項1に記載の監視制御システム。
  6. 前記データ収集装置は、
    複数のデータソース毎に設定される所定のEP(エンドポイント)側検知ルールに基づいて前記データソース別に前記時系列に連続した出力データを処理し、所定の事象を検知するEP側事象検知処理を行うEP側事象検知部と、
    前記監視制御装置から複数の前記データソース毎に設定される前記EP側検知ルールを受信し、前記EP側事象検知部に対して受信した前記EP側検知ルールを設定するEP側検知ルール制御部と、を備え、
    前記データ学習部は、設定されている前記EP側検知ルールの検出レベルと前記データソースから出力される前記出力データとの乖離に基づいて、設定されている前記EP側検知ルールを変更するか否かを判別し、前記検知レベルを引き下げた新たなEP側検知ルールに変更するためのルール変更処理を行うことを特徴とする請求項5に記載の監視制御システム。
  7. データ発信要素である複数のデータソースから出力される出力データを収集し、特定の結果に至る事象を検知する監視制御装置に、収集された前記出力データをネットワークを介して伝送するデータ収集装置であって、
    前記データソースから出力される時系列に連続した出力データを、複数の前記データソース毎に受信するデータ収集部と、
    複数の前記データソース毎に設定される所定のデータ整形ルールに基づいて前記データソース別に前記時系列に連続した出力データを処理し、前記データソースから出力される出力データの数よりも少なくなるように、又は前記データソースから出力される出力データのデータ容量よりも小さくなるように前記時系列に連続した各出力データに対するデータ整形処理を遂行するデータ整形部と、
    前記データ整形処理を通じて得られた前記データ整形ルールを満たす前記出力データを、前記監視制御装置に送信するデータ送信部と、
    前記監視制御装置において前記特定の結果に至る事象を検知するために用いられる複数の前記出力データの変化属性が予め規定された検知ルール定義データに基づいて複数の前記データソース毎に設定される前記データ整形ルールを、前記監視制御装置から受信し、前記データ整形部に対して受信した前記データ整形ルールを設定するデータ整形ルール制御部と、
    を有することを特徴とするデータ収集装置。
  8. 前記データソースから出力される時系列に連続した出力データを学習するデータ学習部を備え、
    前記データ学習部は、前記データソースから出力される連続した複数の前記出力データの変化に基づいて、設定されている前記データ整形ルールを変更するか否かを判別し、
    設定されている前記データ整形ルールに基づく前記データ整形処理よりも、前記データソースから出力される出力データの数よりも少なくなる、又は前記データソースから出力される出力データのデータ容量よりも小さくなる新たなデータ整形ルールに変更するためのルール変更処理を行うことを特徴とする請求項7に記載のデータ収集装置。
  9. 複数のデータソース毎に設定される所定のEP(エンドポイント)側検知ルールに基づいて前記データソース別に前記時系列に連続した出力データを処理し、所定の事象を検知するEP側事象検知処理を行うEP側事象検知部と、
    前記監視制御装置から複数の前記データソース毎に設定される前記EP側検知ルールを受信し、前記EP側事象検知部に対して受信した前記EP側検知ルールを設定するEP側検知ルール制御部と、を備え、
    前記データ学習部は、設定されている前記EP側検知ルールの検出レベルと前記データソースから出力される前記出力データとの乖離に基づいて、設定されている前記EP側検知ルールを変更するか否かを判別し、前記検知レベルを引き下げた新たなEP側検知ルールに変更するためのルール変更処理を行うことを特徴とする請求項8に記載のデータ収集装置。
  10. データ発信要素である複数のデータソースから出力される出力データに基づいて特定の 結果に至る事象を検知する監視制御装置と、前記出力データを収集し、前記監視制御装置 に収集された前記出力データをネットワークを介して伝送するデータ収集装置とを含む監 視制御システムであって、
    前記データ収集装置は、
    前記データソースから出力される時系列に連続した出力データを、複数の前記データソ ース毎に受信するデータ収集部と、
    複数の前記データソース毎に設定される所定のデータ整形ルールに基づいて前記データ ソース別に前記時系列に連続した出力データを処理し、前記データソースから出力される 出力データの数よりも少なくなるように、又は前記データソースから出力される出力デー タのデータ容量よりも小さくなるように前記時系列に連続した各出力データに対するデー タ整形処理を遂行するデータ整形部と、
    前記データ整形処理を通じて得られた前記データ整形ルールを満たす前記出力データを 、前記監視制御装置に送信するデータ送信部と、
    前記監視制御装置において前記特定の結果に至る事象を検知するために用いられる複数 の前記出力データの変化属性が予め規定された検知ルール定義データに基づいて複数の前 記データソース毎に設定される前記データ整形ルールを、前記監視制御装置から受信し、 前記データ整形部に対して受信した前記データ整形ルールを設定するデータ整形ルール制 御部と、を有し、
    前記データ整形ルールは、前記データソースから出力される時系列に連続する出力デー タの全てを前記監視制御装置に送信するためのサンプル抽出ルールを含み、
    前記データ整形部は、前記サンプル抽出ルールが設定された前記データソースの時系列 に連続する出力データをそのまま前記データ送信部に出力するサンプル抽出用データ整形 処理を遂行し、前記サンプル抽出ルール以外のデータ整形ルールが設定された前記データ ソースの時系列に連続する出力データに対して前記データ整形処理を遂行することを特徴 とする監視制御システム。
  11. データ発信要素である複数のデータソースから出力される出力データに基づいて特定の 結果に至る事象を検知する監視制御装置と、前記出力データを収集し、前記監視制御装置 に収集された前記出力データをネットワークを介して伝送するデータ収集装置とを含む監 視制御システムであって、
    前記データ収集装置は、
    前記データソースから出力される時系列に連続した出力データを、複数の前記データソ ース毎に受信するデータ収集部と、
    複数の前記データソース毎に設定される所定のデータ整形ルールに基づいて前記データ ソース別に前記時系列に連続した出力データを処理し、前記データソースから出力される 出力データの数よりも少なくなるように、又は前記データソースから出力される出力デー タのデータ容量よりも小さくなるように前記時系列に連続した各出力データに対するデー タ整形処理を遂行するデータ整形部と、
    前記データ整形処理を通じて得られた前記データ整形ルールを満たす前記出力データを 、前記監視制御装置に送信するデータ送信部と、
    前記監視制御装置において前記特定の結果に至る事象を検知するために用いられる複数 の前記出力データの変化属性が予め規定された検知ルール定義データに基づいて複数の前 記データソース毎に設定される前記データ整形ルールを、前記監視制御装置から受信し、 前記データ整形部に対して受信した前記データ整形ルールを設定するデータ整形ルール制 御部と、
    前記データソースから出力される時系列に連続した出力データを学習するデータ学習部 と、を有し、
    前記データ学習部は、前記データソースから出力される連続した複数の前記出力データ の変化に基づいて、設定されている前記データ整形ルールを変更するか否かを判別し、
    設定されている前記データ整形ルールに基づく前記データ整形処理よりも、前記データ ソースから出力される出力データの数よりも少なくなる、又は前記データソースから出力 される出力データのデータ容量よりも小さくなる新たなデータ整形ルールに変更するため のルール変更処理を行うことを特徴とする監視制御システム。
JP2016544964A 2014-08-27 2015-08-26 監視制御システム及びデータ収集装置 Active JP6408015B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014173312 2014-08-27
JP2014173312 2014-08-27
PCT/JP2015/004287 WO2016031244A1 (ja) 2014-08-27 2015-08-26 監視制御システム及びデータ収集装置

Publications (2)

Publication Number Publication Date
JPWO2016031244A1 JPWO2016031244A1 (ja) 2017-04-27
JP6408015B2 true JP6408015B2 (ja) 2018-10-17

Family

ID=55399158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016544964A Active JP6408015B2 (ja) 2014-08-27 2015-08-26 監視制御システム及びデータ収集装置

Country Status (5)

Country Link
US (1) US10402296B2 (ja)
EP (1) EP3187949B1 (ja)
JP (1) JP6408015B2 (ja)
MY (1) MY187669A (ja)
WO (1) WO2016031244A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10402296B2 (en) * 2014-08-27 2019-09-03 Kabushiki Kaisha Toshiba Monitor control system and data collection apparatus
JP6809011B2 (ja) * 2016-07-12 2021-01-06 富士電機株式会社 制御システムの遠隔監視を行う装置およびシステム
DE102017201548A1 (de) * 2017-01-31 2018-08-02 Siemens Aktiengesellschaft Verfahren zum Bereitstellen von Messwerten einer technischen Anlage, technisches System und Verfahren zum Betreiben des technischen Systems
JP6795444B2 (ja) * 2017-04-06 2020-12-02 ルネサスエレクトロニクス株式会社 異常検知システム、半導体装置の製造システムおよび製造方法
JP6779834B2 (ja) * 2017-05-23 2020-11-04 株式会社日立製作所 センサデータセットの出力を制御する装置、システム及び方法
JP7071161B2 (ja) * 2018-02-28 2022-05-18 キヤノン株式会社 情報処理装置及びその制御方法、並びにプログラム
CN108920309B (zh) 2018-07-19 2019-10-22 百度在线网络技术(北京)有限公司 用于处理信息的方法和装置
JP7038629B2 (ja) * 2018-08-31 2022-03-18 三菱電機ビルテクノサービス株式会社 機器状態監視装置及びプログラム
JP7010185B2 (ja) * 2018-09-21 2022-01-26 オムロン株式会社 マスタ装置、マスタ装置の制御方法、情報処理プログラム、および記録媒体
JP7294895B2 (ja) * 2019-06-05 2023-06-20 ファナック株式会社 制御装置
CN112118192B (zh) 2019-06-20 2022-11-18 华为技术有限公司 一种数据量整形方法、网络设备以及计算机程序产品
CN111064796B (zh) * 2019-12-19 2023-03-24 北京明略软件系统有限公司 伴随关系的分析方法及装置、分析模型的训练方法
JP2022056810A (ja) * 2020-09-30 2022-04-11 セイコーエプソン株式会社 三次元造形用データの生成方法および三次元造形物の製造方法
JP7228937B1 (ja) 2022-02-17 2023-02-27 株式会社Jx通信社 情報処理装置、プログラムおよび情報処理方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6237114B1 (en) * 1998-05-13 2001-05-22 Sun Microsystems, Inc. System and method for evaluating monitored computer systems
JP2000172333A (ja) * 1998-12-04 2000-06-23 Toshiba Corp プラント監視制御装置
US6985901B1 (en) * 1999-12-23 2006-01-10 Accenture Llp Controlling data collection, manipulation and storage on a network with service assurance capabilities
US6421571B1 (en) 2000-02-29 2002-07-16 Bently Nevada Corporation Industrial plant asset management system: apparatus and method
JP2002207513A (ja) * 2001-01-11 2002-07-26 Yamatake Sangyo Systems Co Ltd プラント監視装置
US6609083B2 (en) * 2001-06-01 2003-08-19 Hewlett-Packard Development Company, L.P. Adaptive performance data measurement and collections
US7188169B2 (en) * 2001-06-08 2007-03-06 Fair Isaac Corporation System and method for monitoring key performance indicators in a business
US20030135382A1 (en) * 2002-01-14 2003-07-17 Richard Marejka Self-monitoring service system for providing historical and current operating status
US7444263B2 (en) * 2002-07-01 2008-10-28 Opnet Technologies, Inc. Performance metric collection and automated analysis
US7254750B1 (en) * 2004-03-30 2007-08-07 Unisys Corporation Health trend analysis method on utilization of network resources
US20080097725A1 (en) * 2006-10-23 2008-04-24 General Electric Company Monitoring system and method
US8712732B2 (en) * 2007-09-18 2014-04-29 Belkin International, Inc. Electrical event detection device and method of detecting and classifying electrical power usage
JP4973490B2 (ja) * 2007-12-26 2012-07-11 富士通株式会社 消費電力監視プログラム
WO2009149078A1 (en) * 2008-06-02 2009-12-10 Abb Technology Ag Method and apparatus for monitoring the performance of a power delivery control system
JP5498487B2 (ja) * 2009-05-11 2014-05-21 パナソニック株式会社 宅内機器監視システム
JP5724491B2 (ja) 2011-03-16 2015-05-27 富士通株式会社 イベント処理方法、イベント処理装置及びイベント処理プログラム
JP5342708B1 (ja) * 2013-06-19 2013-11-13 株式会社日立パワーソリューションズ 異常検知方法及びその装置
US10402296B2 (en) * 2014-08-27 2019-09-03 Kabushiki Kaisha Toshiba Monitor control system and data collection apparatus

Also Published As

Publication number Publication date
EP3187949A1 (en) 2017-07-05
US20170017560A1 (en) 2017-01-19
US10402296B2 (en) 2019-09-03
WO2016031244A1 (ja) 2016-03-03
EP3187949B1 (en) 2024-02-14
MY187669A (en) 2021-10-08
JPWO2016031244A1 (ja) 2017-04-27
EP3187949A4 (en) 2018-05-16

Similar Documents

Publication Publication Date Title
JP6408015B2 (ja) 監視制御システム及びデータ収集装置
US9658916B2 (en) System analysis device, system analysis method and system analysis program
JP6315905B2 (ja) 監視制御システム及び制御方法
JP6658540B2 (ja) システム分析装置、システム分析方法およびプログラム
US10346758B2 (en) System analysis device and system analysis method
US20200160227A1 (en) Model update based on change in edge data
EP2963552B1 (en) System analysis device and system analysis method
US11675643B2 (en) Method and device for determining a technical incident risk value in a computing infrastructure from performance indicator values
US20170082986A1 (en) Building management device, wide area management system, data acquiring method, and program
US20210224383A1 (en) Abnormality detection device
KR101960755B1 (ko) 미취득 전력 데이터 생성 방법 및 장치
JP6366852B2 (ja) 機器分類装置
US20190171459A1 (en) Analysis system and analysis method for executing analysis process with at least portions of time series data and analysis data as input data
US11747035B2 (en) Pipeline for continuous improvement of an HVAC health monitoring system combining rules and anomaly detection
JPWO2019073512A1 (ja) システム分析方法、システム分析装置、および、プログラム
JP6625839B2 (ja) 負荷実績データ判別装置、負荷予測装置、負荷実績データ判別方法及び負荷予測方法
JP6508202B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
CN111095868A (zh) 软件定义网络中的数据流量管理
JP5781005B2 (ja) データ管理装置及びプログラム
JP6556297B1 (ja) データ分析支援装置およびデータ分析支援プログラム
JPWO2017149597A1 (ja) 機器分類装置
Dutta et al. Autonomous framework for sensor network quality annotation: maximum probability clustering approach
JP2016063479A (ja) 管理装置、通信装置、管理システム、管理方法、およびプログラム
JP2023155731A (ja) 監視制御装置、監視制御方法および監視制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180313

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20180511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180712

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180919

R150 Certificate of patent or registration of utility model

Ref document number: 6408015

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150