(第1関連技術)
第1関連技術のナレッジ管理システムの構成を説明する前に、これまでのナレッジ管理システムが抱える課題と、その課題を解決するための第1関連技術のナレッジ管理システムの概要を説明する。
(1)情報システムの障害に対応するためのナレッジデータの検索において使用可能なロジック(以下「検索ロジック」とも呼ぶ。)として、複数種類のトークナイザー仕様と、複数種類のスコアリングロジックが存在し、それらの組み合わせも多様である。このように多数存在する検索ロジックの中から、ナレッジデータの検索処理における最適な検索ロジックを選定することは容易でなかった。また、特定の検索ロジックを選定した理由をシステム監査等で説明することも容易でなかった。
そこで第1関連技術のナレッジ管理システムでは、インシデント管理装置に記録されたナレッジデータの使用実績を学習データとして利用し、複数種類の検索ロジックの中から最適な検索ロジックを選定することを支援する。具体的には、第1関連技術のナレッジ管理システムは、実際に使用されたナレッジを記録したインシデント記録を正解データとして用い、複数の検索ロジックのそれぞれによるナレッジ推奨結果との乖離度合いを提示することにより、最適な検索ロジックの選定を支援する。
(2)ナレッジデータ検索においては形態素解析および全文検索が有効であるが、従来型のトークナイザー仕様(例えばN−Gram、Bi−Gram等)では、適切なナレッジデータのヒット率が高いとは言えなかった。そこで第1関連技術のナレッジ管理システムでは、情報システムでの障害発生時に出力されるメッセージ(以下「アラートメッセージ」とも呼ぶ。)に対して好適なトークナイザーを実装する。
図1は、第1関連技術のナレッジ管理システム10の構成を示す。情報システム14a、情報システム14b、情報システム14c(以下総称する場合「情報システム14」と呼ぶ。)は、企業に構築された情報処理システムである。複数の情報システム14のそれぞれは、従業員や顧客の端末へ様々な情報処理サービスを提供する。複数の情報システム14のそれぞれは、サーバや各種通信機器を含む複数のノードと、各ノードの動作を管理する管理サーバを含む。
ユーザ端末12a、ユーザ端末12b、ユーザ端末12c(以下総称する場合「ユーザ端末12」と呼ぶ。)は、情報システム14の障害に対応すべき運用・保守の担当者(以下「ユーザ」と呼ぶ。)により操作される情報端末である。例えば、ユーザ端末12は、PC、タブレット端末、スマートフォンであってもよい。ナレッジ管理装置16は、複数のユーザにより作成され、複数のユーザにより参照される複数のナレッジデータを管理する情報処理装置である。ナレッジ管理装置16の詳細な構成は後述する。
インシデント管理装置18は、複数の情報システム14のそれぞれで発生した事象(障害等のイベント)に基づくインシデントや問題を管理する情報処理装置である。インシデント管理装置18は、インシデントや問題の管理画面をユーザ端末12へ提供する。また、インシデント管理装置18は、(1)障害に基づくインシデントもしくは問題のIDと、(2)障害に伴い情報システム14(例えばノードや管理サーバ)から出力されたアラートメッセージと、(3)障害に対応するためにユーザにより参照されたナレッジデータの識別情報とを対応づけて記録する。
図1に示す各装置は、LAN・WAN・インターネット等を含む通信網20を介して接続される。なお、図1に示す各装置の物理的な筐体数に制限はない。例えば、図1のナレッジ管理装置16は、ウェブサーバ、アプリケーションサーバ、データベースサーバの連携により実現されてもよい。
図2は、図1のナレッジ管理装置16の機能構成を示すブロック図である。ナレッジ管理装置16は、制御部30、記憶部32、通信部34を備える。制御部30は、ナレッジ管理のための各種データ処理を実行する。記憶部32は、制御部30により更新または参照されるデータの記憶領域である。通信部34は、所定の通信プロトコルにしたがって外部装置と通信する。制御部30は、通信部34を介して、ユーザ端末12およびインシデント管理装置18とデータを交換する。
本明細書のブロック図で示す各ブロックは、ハードウェア的には、コンピュータのCPUやメモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、制御部30内の各ブロックに対応するモジュールを含むコンピュータプログラムが、所定の記録媒体またはネットワークを介して、ナレッジ管理装置16のストレージへインストールされてもよい。そして、ナレッジ管理装置16のCPUが、ストレージからメインメモリへコンピュータプログラムを適宜読み出し、実行することにより、制御部30内の各ブロックに対応する機能を発揮してもよい。
記憶部32は、ナレッジ記憶部36とロジック記憶部38を含む。ナレッジ記憶部36は、情報システム14の障害に対応するためのナレッジデータであり、ユーザにより予め作成された複数のナレッジデータを記憶する。また、ナレッジ記憶部36は、各ナレッジデータに対応付けて情報システム14の障害に関連する第1文字列をさらに記憶する。
図3は、ナレッジ記憶部36に格納されるデータの構成を示す。ナレッジ記憶部36は、ナレッジ本文と、上記の第1文字列に対応するナレッジメタデータとを対応付けて記憶する。ナレッジ本文は、障害を診断して原因を特定するための手順、および/または、障害を解決するための手順を示すデータを含む。例えば、ナレッジ本文は、障害が発生した情報システム14内の各ノードや管理サーバに対して入力すべきコマンドおよび確認内容を含む。ナレッジメタデータは、ナレッジに関する属性情報と言え、ナレッジデータ作成時に、ナレッジ本文とともにナレッジ記憶部36へ登録される。
ナレッジメタデータは、関連メッセージとして、情報システム14での障害発生時に当該情報システム14および他システム(種々のノードや管理サーバ)から出力されたアラートメッセージを含む。アラートメッセージは、障害の原因を示すアラートメッセージである原因アラートメッセージと、障害の影響を示すアラートメッセージである影響アラートメッセージを含む。以下、ナレッジメタデータとしてナレッジ記憶部36に格納されたアラートメッセージを「ナレッジメッセージ」とも呼ぶ。ナレッジメッセージは、例えば、ナレッジデータの基となった障害を示すアラートメッセージである。
また、ナレッジメタデータは、CI(Configuration Item)情報として、ナレッジデータが対象とする情報システムに関する情報を含む。CI情報は、ナレッジデータが定める手順を適用可能な情報システムに関する属性情報とも言える。CI情報は、情報システムの構成を示す情報とも言え、例えば、システム名、ハードウェア名(ベンダ情報やハードウェア種別を含む)、ノード名(言い換えればホスト名)、ソフトウェア名(OS名、ファームウェア名、ミドルウェア名等)を含んでもよい。
図2に戻り、ロジック記憶部38は、互いに異なる複数種類の検索ロジックを記憶する。複数種類の検索ロジックは、後述の検索部42による検索処理において選択的に使用され、言い換えれば排他的に使用される。第1関連技術の各検索ロジックは、情報システムまたは障害に関する入力情報と、複数のナレッジデータの属性情報(すなわちナレッジメタデータ)との一致度合いに基づいて、入力情報に適合するナレッジデータを推定する。具体的には、各検索ロジックは、ナレッジ記憶部36において各ナレッジデータに対応付けられた第1文字列(すなわちナレッジメッセージ)と、後述の検索要求で指定された第2文字列との一致度を導出することにより、第2文字列が示す障害との関連度合いが高いナレッジデータを抽出するように実装される。
ロジック記憶部38は、複数種類の検索ロジックを実装した複数種類のコンピュータプログラムを記憶してもよく、これらのコンピュータプログラムは、後述の検索部42により選択的に読み出されて実行されてもよい。また、ロジック記憶部38は、検索部42のプログラムに含まれてもよい。例えば、検索部42のプログラムは、複数種類の検索ロジックを実装した複数種類のサブプログラムを含んでもよく、これらのサブプログラムのいずれかが選択的に実行されてもよい。
ロジック記憶部38に格納される複数種類の検索ロジックのそれぞれは、トークナイザー(トークンの抽出ロジック、形態素解析ロジック、字句解析ロジックとも言える)と、スコアリングロジックとを含む。既述したように、複数種類のトークナイザー(例えばN−Gram、Bi−Gram等)と複数種類のスコアリングロジック(例えばSimpson係数、Jaccard係数、TF−IDF等)が存在するが、検索ロジック間では、適用されるトークナイザーとスコアリングロジックの少なくとも一方が異なってもよい。また、複数種類のトークナイザーは、ストップワード長(言い換えれば無視ワード長)が異なってもよい。ストップワード長は、トークンの最小文字列長を規定するパラメータであり、言い換えれば、その長さ以下の文字列をトークンとして抽出しないパラメータである。例えば、ストップワード長として0〜6のいずれかが設定されてもよい。
第1関連技術における検索ロジックの少なくとも1つは、情報システム14での障害発生時に出力されるアラートメッセージに特化したトークナイザーを含む。言い換えれば、アラートメッセージを対象としたトークン分割に最適化されたトークナイザー(以下「特殊トークナイザー」と呼ぶ。)を含む。特殊トークナイザーは、第2文字列としてのアラートメッセージを、時刻、連番、ID等を削除した上でトークン化するものであってもよい。
図4(a)、図4(b)、図4(c)、図4(d)は、特殊トークナイザーの例を示す。図4(a)−(d)では、検索要求で指定された文字列を「入力メッセージ」、ナレッジデータに対応付けられた文字列を「ナレッジメッセージ」として示している。ここでは、特殊トークナイザーを処理主体として表記するが、実際には後述の検索部42と評価部46が処理主体となる。
図4(a)は、初期状態の入力メッセージとナレッジメッセージを示している。特殊トークナイザーは、第1処理として、日本語の連続を1トークンとするとともに、所定の記号で分割する。所定の記号は、「!#$%&()*+,-.:;<=>?@[\]^_`~()」を含む。図4(b)は第1処理の結果を示している。特殊トークナイザーは、第2処理として、数字のみで構成されるトークンを削除する。図4(c)は第2処理の結果を示している。特殊トークナイザーは、第3処理として、一致するトークン数をカウントして一致率を導出する。図4(d)では、ナレッジメッセージと一致する入力メッセージのトークンに下線を付している。ここでは14トークン中11トークンが一致するため、特殊トークナイザーは、一致率を78.6%と導出してもよい。なお、図4(d)の処理はスコアリングロジックが実行してもよい。
図2に戻り、制御部30は、検索要求受付部40、検索部42、ナレッジ実績取得部44、評価部46、評価結果表示部48を含む。
検索要求受付部40は、情報システム14において発生した障害に関連する第2文字列を指定する検索要求をユーザ端末12から受け付ける。第2文字列はユーザにより指定された文字列であり、第1関連技術では上記の原因アラートメッセージおよび/または影響アラートメッセージの少なくとも一部が指定されることとする。
検索部42は、外部装置から入力された情報システムまたは障害に関する情報を複数種類のロジックの中の特定のロジックへ入力し、その特定のロジックにしたがって入力情報に適合するナレッジデータをナレッジ記憶部36から抽出する。具体的には、検索部42は、ロジック記憶部38に格納された複数の検索ロジックのうち予めユーザ等により選択されたロジックに基づいて、複数のナレッジデータのそれぞれに対応付けられた第1文字列(第1関連技術ではナレッジメッセージ)と、検索要求にて指定された第2文字列との一致度を導出する。
検索部42は、外部装置からの検索要求で指定された情報システムまたは障害に関する情報との適合度合いが高いナレッジデータを示す検索結果をユーザ端末12へ送信して表示させる。具体的には、検索部42は、第2文字列との一致度が相対的に高いナレッジデータを優先的に示す検索結果をユーザ端末12へ送信して表示させる。例えば、第2文字列との一致度が高いナレッジデータほど上位に配置した検索結果をユーザ端末12へ送信してもよい。検索部42は、検索処理に適用する検索ロジックとして、ロジック記憶部38に格納された複数の検索ロジックのうち予めユーザにより選択または設定された検索ロジックを使用する。
ナレッジ実績取得部44は、複数の情報システム14のそれぞれで所定の評価期間に発生した障害に関する情報とその障害が発生した情報システムに関する情報との少なくとも一方を含む障害情報と、障害に対してユーザが使用したナレッジデータの実績とを記憶するインシデント管理装置18から、少なくとも障害情報を取得する。具体的には、ナレッジ実績取得部44は、障害情報として、障害に関連する第2文字列と、その障害に対してユーザが使用したナレッジデータを示す情報との組(以下「ナレッジ実績情報」とも呼ぶ。)を取得する。第2文字列は、各情報システム14での障害発生に伴いインシデント管理装置18に記録されたアラートメッセージである。以下、単に「アラートメッセージ」と呼ぶ場合、インシデント管理装置18からナレッジ実績取得部44が取得したアラートメッセージを指す。ユーザが使用したナレッジデータを示す情報は、障害対応においてユーザが実際に参照したナレッジデータの実績を示す情報と言え、障害対応に利用された実績があるナレッジデータを示す情報とも言える。
評価部46は、ロジック記憶部38に格納された複数種類の検索ロジックのそれぞれを使用して、インシデント管理装置18から取得された障害情報に適合するナレッジデータを推定する。具体的には、評価部46は、ナレッジ実績取得部44により取得されたアラートメッセージを各検索ロジックへ入力することにより、ナレッジ記憶部36において各ナレッジデータに対応付けられたナレッジメッセージと、アラートメッセージとの一致度を導出する。評価部46は、検索ロジックごと、かつ、アラートメッセージごとに、各ナレッジメッセージとの一致度を示す指標値(以下単に「一致度」と呼ぶ。)を導出する。評価部46は、検索ロジックごと、かつ、アラートメッセージごとに導出した各ナレッジメッセージとの一致度を示す評価結果データを生成し、所定の記憶領域へ格納する。
評価結果表示部48は、評価部46により生成された、複数種類の検索ロジックのそれぞれによる推定結果、具体的には上記の評価結果データを、ユーザの要求に応じてユーザ端末12へ送信する。評価結果データの例は、図6に関連して後述する。
以上の構成によるナレッジ管理システム10の動作を説明する。
情報システム14で障害が発生すると、インシデント管理装置18は、情報システム14から出力されたアラートメッセージを記録し、当該障害の発生をユーザへ通知する。ユーザは、インシデント管理装置18へアクセスし、当該障害に関するインシデントを起票し、その管理を開始する。障害の原因を効率的に特定し、また、障害を効率的に解決するために、ユーザは、ナレッジ管理装置16へアクセスして既存のナレッジを検索する。ユーザ端末12は、ユーザにより指定された検索文字列(第1関連技術では障害に伴って情報システム14等から出力されたアラートメッセージの少なくとも一部)を含む検索要求をナレッジ管理装置16へ送信する。
ナレッジ管理装置16の検索要求受付部40は、ユーザ端末12から送信された検索要求を受け付ける。ナレッジ管理装置16の検索部42は、予めユーザにより指定された検索ロジックにしたがって、検索要求で指定された検索文字列と、複数のナレッジ文字列との一致度を導出する。検索部42は、一致度が相対的に高いナレッジ文字列に対応付けられたナレッジデータを上位に示す検索結果のデータをユーザ端末12へ送信する。ユーザは、ナレッジ管理装置16から提供された検索結果において推奨されたナレッジデータ、もしくは、ユーザ自身で発見した他のナレッジデータを参照して、障害を診断し、また解決する。ユーザは、障害対応時に参照したナレッジデータの識別情報をユーザ端末12からインシデント管理装置18へ登録する。インシデント管理装置18は、インシデント(障害、問題とも言える)のID、当該インシデントに関して受け付けたアラートメッセージ、ユーザにより使用されたナレッジデータを対応付けたナレッジ実績情報を所定の記憶領域へ格納する。
図5は、ナレッジ管理装置16の動作を示すフローチャートであり、検索ロジック評価処理の動作を示している。予め定められた検索ロジックの評価タイミング(例えば毎月第1火曜日の1時等)に至ったことを検出すると、ナレッジ管理装置16のナレッジ実績取得部44は、所定の評価期間(例えば直近の1ヶ月間)において記録された複数のナレッジ実績情報の提供をインシデント管理装置18へ要求し、取得する。評価部46は、1つのナレッジ実績情報のアラートメッセージを選択し(S12)、複数の検索ロジックのうち1つの検索ロジックを選択する(S14)。
評価部46は、S14で選択した検索ロジックを使用して、S12で選択したアラートメッセージと、ナレッジ記憶部36に格納された各ナレッジメッセージとの一致度を導出する(S16)。この一致度は、適合度とも言え、例えば図4に関連して説明したように、アラートメッセージから抽出したトークンと、ナレッジメッセージから抽出したトークンの一致率である。未選択の検索ロジック、言い換えれば未評価の検索ロジックがあれば(S18のY)、S14に戻る。未選択のアラートメッセージ、言い換えれば、未選択のナレッジ実績情報があれば(S18のN、S20のY)、S12に戻る。すなわち、評価部46は、アラートメッセージの個数(ナレッジ実績情報の個数)に応じてS12〜S18の処理を繰り返し、検索ロジックの種類数に応じてS14、S16の処理を繰り返す。
すべての検索ロジック、かつ、全てのアラートメッセージについて、各ナレッジデータとの一致度の評価が完了すると(S20のN)、評価部46は、評価結果データを生成し、記憶部32へ格納する。ユーザ端末12は、ユーザの操作に応じて、評価結果データの提供要求をナレッジ管理装置16へ送信する。ナレッジ管理装置16の評価結果表示部48は、その提供要求への応答として、評価部46により記憶部32へ格納された評価結果データをユーザ端末12へ送信する(S22)。ユーザ端末12は、評価結果データを表示し、例えば、ユーザ端末12のウェブブラウザは、評価結果データを示すウェブページをブラウザ画面に表示させる。
評価結果データは、検索ロジックごと、かつ、アラートメッセージごとに、各ナレッジデータとの一致度を示す内容である。図6は、評価結果データを示す。同図は特に評価結果データの表示態様を示している。評価結果データ50は、ナレッジ実績情報52と評価結果54を含み、両者の対比が容易に構成される。ナレッジ実績情報52は、評価期間中に発生したインシデントのIDと、各インシデントにおけるアラートメッセージの種類と、各インシデントで実際にユーザが使用したナレッジデータの組を含む。評価結果54は、検索ロジックごとに、個々のアラートメッセージとナレッジデータとの一致度を示す指標値を含む。
なお、評価部46は、複数種類の検索ロジックの中でアラートメッセージに対する適合度が相対的に高いナレッジデータを、アラートメッセージに適合するナレッジデータとして抽出してもよい。例えば、評価部46は、ナレッジメッセージとアラートメッセージとの一致度が所定順位以上のナレッジデータをアラートメッセージに適合するナレッジデータとして抽出し、抽出したナレッジデータの識別情報および一致度を含む評価結果54を生成してもよい。また、評価部46は、検索ロジックごと、かつ、アラートメッセージごとに、上位3位以内のナレッジデータを示すものとして図6に示す評価結果データを生成してもよい。
ユーザは、評価結果データ50を確認することで、各検索ロジックで一致度が高いナレッジデータと、実際にユーザが使用したナレッジデータとの一致度および乖離度を容易に把握でき、ナレッジ検索における最適な検索ロジックを選択することができる。例えば、実際にユーザが使用したナレッジデータの一致度を高く導出した検索ロジックを、検索エンジン(検索部42)が使用するように設定してもよい。これにより、ユーザにとって有用なナレッジデータを提供するようにナレッジ検索の精度を高めることができる。
第1関連技術のナレッジ検索方法は形態素解析等を用いたマッチング型であるが、他の方式として相関抽出型がある。相関抽出型は、例えば説明変数がA・B(例えば特定のアラートメッセージ)である場合に、目的変数がC(例えば使用されたナレッジデータ)になるという相関関係を学習して、自動で検索ロジックを構築していくものである。第1関連技術のマッチング型は、ナレッジの検索ロジックの説明が容易であり監査面で優位にある。一方でマッチング型は、マッチングロジック(形態素解析等のロジック)のチューニングが課題になるが、第1関連技術で提案した技術により、最適な検索ロジックを効率的に選定することが可能になる。すなわち、第1関連技術で提案した技術は、マッチング型の欠点とも言える一致率計算ロジック等のメンテナンスを、機械学習型で効率的に実現できる。
なお、評価部46は、各検索ロジックの正解率を一覧で示す評価結果データを生成し、評価結果表示部48は、各検索ロジックの正解率を示す評価結果データをユーザ端末12に表示させてもよい。正解率は、アラートメッセージに基づいて各検索ロジックが推奨するナレッジデータが、ユーザが使用したナレッジデータと一致することを正解として、複数のアラートメッセージに亘る正解の割合(正解数/アラートメッセージ数)でもよい。言い換えれば、正解率は、各検索ロジックにより抽出された、アラートメッセージとの類似度が高いナレッジメッセージを有するナレッジデータが、ユーザが使用したナレッジデータと一致する率でもよい。
さらに言い換えれば、正解率は、アラートメッセージごとに各検索ロジックが最も高順位(例えば最も高い一致度)を付与したナレッジデータが、アラートメッセージごとにユーザが使用したナレッジデータと一致する率(例えば一致数/アラートメッセージ数)でもよい。さらにまた正解率は、アラートメッセージごとに各検索ロジックが抽出した所定順位以上(例えば一致度が上位3位以内)のナレッジデータが、アラートメッセージごとにユーザが使用したナレッジデータと一致する率でもよい。この態様においても、上記第1関連技術と同様に、ユーザによる適切な検索ロジックの選択を支援できる。
(第2関連技術)
第2関連技術のナレッジ管理装置16は、検索部42により使用される検索ロジックを最適な検索ロジックへ自動的に更新する点で第1関連技術と異なるが、他の構成は第1関連技術と同じである。第2関連技術の評価部46は、ナレッジ実績情報に記録されたユーザが使用したナレッジデータと、複数種類の検索ロジックのそれぞれにより推定されたアラートメッセージに適合するナレッジデータとの一致度に基づいて、複数種類のロジックのうち検索処理において使用すべきロジックを決定する。言い換えれば、第2関連技術の評価部46は、複数種類の検索ロジックのそれぞれにより導出された一致度と、ナレッジ実績取得部44により取得されたユーザが使用したナレッジデータとに基づいて、複数種類のロジックのうち検索処理において使用すべきロジックを決定する。
具体的には、評価部46は、検索ロジックごと、かつ、アラートメッセージごとに、各ナレッジメッセージとの一致度を導出し、検索ロジックごとの上記正解率を導出する。評価部46は、正解率が最も高い検索ロジックを次の単位期間、例えば次回の検索ロジック評価までの間、検索部42が使用する検索ロジックとして決定する。評価部46は、正解率が最も高い検索ロジックを使用するように、検索部42が検索ロジック選択時に参照する所定のパラメータ値を設定してもよい。例えば、正解率が最も高い検索ロジックの識別子を当該パラメータ値として設定してもよい。
第2関連技術の態様によると、第1関連技術と同様に、ユーザにとって有用なナレッジデータを提供するようにナレッジ検索の精度を高めることができる。また第2関連技術では、複数種類の検索ロジックの中から、ユーザにとって有用な検索結果を生成することが見込まれる検索ロジックを自動的に選択するため、検索ロジックの選択にかかるユーザの負担を抑制することができる。
変形例を説明する。ナレッジ記憶部36には、ナレッジデータの本文は必須でなく、少なくともナレッジメタデータの関連メッセージが保持されればよい。また、ナレッジ実績取得部44は、ナレッジデータ(の識別情報)の取得は必須でなく、少なくともアラートメッセージをインシデント管理装置18から取得すればよい。また、ナレッジ管理装置16は、検索要求受付部40および検索部42の機能を備えず、外部のナレッジ検索装置で選択的に使用される複数種類の検索ロジックの評価を実行してもよい。この変形例の構成でも、評価部46は、検索ロジックごと、かつ、アラートメッセージごとに、各ナレッジメッセージとの一致度を導出でき、各検索ロジックの評価結果をユーザへ提示することができる。ユーザは、ナレッジ管理装置16が出力した各検索ロジックの評価結果(アラートメッセージごとの一致度)と、インシデント管理装置18で管理されたナレッジの使用実績情報とを比較することで、適切な検索ロジックを選択することができる。
別の変形例を説明する。上記関連技術のナレッジ管理装置16は、ナレッジメタデータのうちナレッジメッセージと、インシデント管理装置18から取得したアラートメッセージとの一致度に応じて障害に適合するナレッジデータを推定した。変形例として、ナレッジ管理装置16の検索ロジックは、ナレッジメタデータのうちCI情報(例えばシステム構成情報)と、インシデント管理装置18から取得した障害が発生したシステムの構成情報との一致度に応じて障害に適合するナレッジデータを推定するものであってもよい。この変形例において、ナレッジ実績取得部44は、インシデント管理装置18から、障害情報として、障害発生システムの構成情報を取得してもよい。評価部46は、複数種類の検索ロジックのそれぞれを使用して、インシデント管理装置18から取得された障害発生システムの構成情報に適合するナレッジデータを推定し、複数種類の検索ロジックのそれぞれによる推定結果(すなわち推奨ナレッジデータおよび一致度)を出力してもよい。
(実施例)
第1関連技術および第2関連技術のナレッジ管理システム10では、情報システム14におけるインシデント・問題・障害等(以下、総称して「インシデント」と呼ぶ。)の発生に伴い出力されたアラートメッセージ(以下単に「メッセージ」と呼ぶ。)を含む検索クエリに基づいて、インシデントに関連度合いが高いナレッジデータを検索した。この場合、インシデントの発生時に、メッセージとインシデントとを紐付けて記録しておき、インシデントに紐付けたメッセージを検索クエリに含める必要がある。
これまで、インシデントの発生時に、メッセージとインシデントとを紐付ける処理は、運用・保守の担当者(すなわちユーザ)の手でなされてきた。しかし、情報システム(特にインフラ系の通信機器やサーバ等)でインシデントが発生した場合、大量のメッセージが生成・出力されることがある。大量に出力されたメッセージの中から、インシデントに紐付けるべき適切なメッセージを人手で選定することは容易でなかった。また、インシデントに適切なメッセージが紐付けられなければ、ナレッジ管理装置16が適切なナレッジをレコメンドすることも困難になってしまう。
そこで実施例のナレッジ管理システムでは、インシデントに紐付ける候補となるM個のメッセージ(Mは2以上の整数)を集約し、集約結果のN個のメッセージ(NはM以下の整数)の中からインシデントに紐付ける1つ以上のメッセージをユーザに選択させる。これにより、大量のメッセージの中から適切なメッセージをインシデントに紐付けて記録することを支援できる。実施例のナレッジ管理システムの構成は、第1関連技術および第2関連技術のナレッジ管理システム10(図1)と同じである。以下、第1関連技術または第2関連技術と同様の内容は説明を省略し、主に異なる点を説明する。
図7は、実施例のインシデント管理装置18の機能構成を示すブロック図である。インシデント管理装置18は、制御部60、記憶部62、通信部64を備える。制御部60、記憶部62、通信部64は、図2の制御部30、記憶部32、通信部34に対応する。制御部30は、通信部34を介して、ユーザ端末12、情報システム14、ナレッジ管理装置16とデータを交換する。
記憶部62は、メッセージ記憶部66とインシデントチケット記憶部68を含む。メッセージ記憶部66は、情報システム14におけるインシデントの発生に伴い生成・出力された複数のメッセージを記憶する。メッセージは、インシデントの内容を示すアラートメッセージ、イベントメッセージ、ログメッセージ、SNMP(Simple Network Management Protocol)メッセージを含んでもよい。
また、複数種類のメッセージのうち、データセンタ等の運用拠点からユーザへ電話連絡が必要な事象を示すメッセージでは、電話連絡フラグがオンに設定される。なお、メッセージ内に電話連絡フラグが設定されることに代えて、記憶部62は、複数種類のメッセージのIDと、電話連絡の要否とを対応付けたテーブル等をメッセージとは別に記憶してもよい。
インシデントチケット記憶部68は、情報システム14で発生したインシデントに関するデータであり、インシデント管理または問題管理のためのデータであるインシデントチケットのデータを記憶する。実施例におけるインシデントチケットのデータは、情報システム14の障害に対応すべきユーザにより当該インシデントに関連づけられたメッセージのデータを含む。
制御部60は、メッセージ取得部70、メッセージ集約部72、期間選択画面生成部74、メッセージ選択画面生成部76、チケット画面生成部78、表示制御部80、インシデント記録部82、ナレッジ検索部84を含む。
制御部60内の各ブロックに対応するモジュールを含むコンピュータプログラムが、所定の記録媒体またはネットワークを介して、インシデント管理装置18のストレージへインストールされてもよい。そして、インシデント管理装置18のCPUが、ストレージからメインメモリへ上記コンピュータプログラムを読み出して実行することにより、制御部60内の各ブロックに対応する機能を発揮してもよい。
メッセージ取得部70は、情報システム14におけるインシデントの発生に伴い生成された複数のメッセージを情報システム14から取得する。例えば、メッセージ取得部70は、情報システム14の管理サーバ(例えば運用管理サーバやSNMPマネージャ装置)およびノードにより生成され、出力されたメッセージを受信してもよい。メッセージ取得部70は、取得したメッセージのデータをメッセージ記憶部66へ格納する。
メッセージ集約部72、期間選択画面生成部74、メッセージ選択画面生成部76、チケット画面生成部78は、ユーザインタフェースを制御する表示部として機能する。この表示部は、インシデントチケットを登録すべきユーザによりインシデントに関連づけるメッセージの生成期間が選択された場合、メッセージ記憶部66に記憶された複数のメッセージのうち上記生成期間に生成されたメッセージを示す画面であり、インシデントに関連づけるメッセージをユーザに選択させるための画面であるメッセージ選択画面を表示させる。
実施例のメッセージ選択画面は、上記生成期間に生成された少なくとも2つのオリジナルメッセージを1つの代表メッセージに集約して示す画面である。オリジナルメッセージは、情報システム14におけるインシデントの発生に伴い出力(生成)されたアラートメッセージそのもののデータである。代表メッセージは、特徴が類似する複数のオリジナルメッセージを1つに集約したメッセージである。
メッセージ集約部72は、メッセージ記憶部66に記憶された複数のメッセージの特徴に基づいて、それら複数のメッセージのうち少なくとも2つのオリジナルメッセージを1つの代表メッセージに集約する。メッセージ集約部72は、公知のクラスタリング技術を使用して、メッセージ記憶部66に記憶された複数のメッセージのそれぞれを複数のメッセージグループのいずれかに分類してもよい。
例えば、メッセージ集約部72は、公知の形態素解析を実行して、メッセージから複数の形態素を抽出してもよい。メッセージ集約部72は、抽出した複数の形態素(例えば特定の形態素の出現頻度等)に基づいて、メッセージの特徴を示すベクトルを生成してもよい。メッセージ集約部72は、各メッセージのベクトルに基づいて、各メッセージを複数のメッセージグループのいずれかに分類してもよい。
実施例のメッセージ集約部72は、複数のメッセージグループのそれぞれと、各メッセージグループに属する1つ以上のメッセージとの対応関係を生成する。例えば、各メッセージグループのIDと、各メッセージグループに属するメッセージのIDとを対応付けたデータを生成してもよい。また、メッセージ集約部72は、各メッセージグループに属する1つ以上のメッセージの中から代表メッセージを決定する。実施例では、各メッセージグループに属する1つ以上のメッセージのうち最も古いタイムスタンプ(例えば生成時刻)を有するメッセージを代表メッセージとして選択する。
期間選択画面生成部74は、イベント可視化ビューワ画面(後述)に含まれる期間選択画面のデータを生成する。メッセージ選択画面生成部76は、イベント可視化ビューワ画面に含まれるメッセージ選択画面のデータを生成し、また、確認画面(後述)のデータを生成する。チケット画面生成部78は、インシデントチケット記憶部68に記憶されたインシデントチケットのデータを示すインシデントチケット画面のデータを生成する。
表示制御部80は、期間選択画面生成部74により生成された期間選択画面のデータと、メッセージ選択画面生成部76により生成されたメッセージ選択画面のデータとを合成することによりイベント可視化ビューワ画面のデータを生成する。表示制御部80は、イベント可視化ビューワ画面のデータをユーザ端末12へ送信することにより、イベント可視化ビューワ画面をユーザ端末12に表示させる。
また、表示制御部80は、メッセージ選択画面生成部76により生成された確認画面のデータをユーザ端末12へ送信することにより確認画面をユーザ端末12に表示させる。また、表示制御部80は、チケット画面生成部78により生成されたインシデントチケット画面のデータをユーザ端末12へ送信することによりインシデントチケット画面をユーザ端末12に表示させる。表示制御部80は、各画面のデータを含むウェブページのデータをユーザ端末12へ提供し、そのウェブページをユーザ端末12のウェブブラウザに表示させてもよい。
インシデント記録部82は、メッセージ選択画面においてユーザにより選択された1つ以上のメッセージを関連づけたインシデントチケットのデータをインシデントチケット記憶部68へ格納する。
ナレッジ検索部84は、インシデントチケットに関連づけられた1つ以上のメッセージに基づいて、当該インシデントに関連度合い(適合度合いとも言える)が高いナレッジデータをナレッジ管理装置16から検索する。ナレッジ検索部84は、インシデントチケットに関連づけられた1つ以上のメッセージとの関連度合いが高いナレッジデータをナレッジ管理装置16から取得する。表示制御部80は、ナレッジ検索部84により取得されたナレッジデータをユーザ端末12へ送信して表示させる。
具体的には、ナレッジ検索部84は、インシデントチケットに関連づけられた1つ以上のメッセージ含む検索クエリをナレッジ管理装置16へ送信してもよい。ナレッジ管理装置16の検索要求受付部40は、ナレッジ管理装置16から送信された検索クエリを取得してもよい。ナレッジ管理装置16の検索部42は、第1関連技術および第2関連技術に記載した検索ロジックに基づいて、検索クエリが含むメッセージとの関連度合いが高いナレッジデータを検索し、インシデント管理装置18へ送信してもよい。
図8は、イベント可視化ビューワ画面の構成を示す。イベント可視化ビューワ画面90は、期間選択画面92とメッセージ選択画面94を含む。期間選択画面92は、インシデントに対応付けるべきメッセージの生成期間をユーザに選択させるための内容を含む。メッセージ選択画面94は、期間選択画面92において選択された生成期間に生成された1つ以上のメッセージを示す画面であり、それらのメッセージの中からインシデントに対応付けるべきメッセージをユーザに選択させるための内容を含む。
図9は、図8の期間選択画面92の例を示す。期間選択画面92は、期間選択エリア100、時間軸102、統計図形選択エリア104、集約時間選択エリア106を含む。集約時間選択エリア106は、複数のメッセージを集約する時間(例えば1分から数時間の範囲)をユーザが指定可能なエリアである。後述するように、集約時間選択エリア106で指定された時間内に生成された複数のメッセージは、同一時間に生成されたメッセージとして1つの統計図形116に対応付けられる。ユーザは、自身の知見や、メッセージ数等に基づいて、適切な集約時間を集約時間選択エリア106に指定することができる。
期間選択エリア100は、メッセージの出力件数を示唆または報知する件数グラフ114を時系列に並べて示すエリアである。言い換えれば、期間選択エリア100は、メッセージ取得部70により取得されてメッセージ記憶部66に記憶された単位時間ごとのメッセージの件数を示すエリアである。或る単位時間におけるメッセージの生成件数が多いほど、その単位時間に対応する件数グラフ114が長く設定される。ユーザは、拡大表示すべき期間を期間選択エリア100で指定する。例えば、マウスドラッグ操作により範囲120を指定する。
時間軸102は、期間選択エリア100で指定された拡大表示期間の時間軸を示す。統計図形選択エリア104は、時間軸102に沿って、メッセージの出力件数を示す統計図形116を複数並べたエリアである。統計図形116は、実施例では円グラフであるが、円グラフとは異なる種類または外観の図形であってもよく、例えば柱状グラフであってもよい。
期間選択画面生成部74は、同じ時間に生成された複数のメッセージを1つの統計図形116に対応づけ、それら複数のメッセージの個数に応じた態様の統計図形116を生成する。期間選択画面生成部74は、同じ時間に生成された複数のメッセージの個数に応じた態様の統計図形116を生成する。同じ時間は厳密に同一の時刻でなくてもよく、1つの図形に対応付ける各メッセージの生成時刻には所定範囲内の差異があってもよい。
実施例では、期間選択画面生成部74は、集約時間選択エリア106で指定された時間内に生成された複数のメッセージを1つの統計図形116に対応付ける。例えば、期間選択画面生成部74は、集約時間選択エリア106で指定された時間が1分の場合、7時0分0秒〜7時0分59秒に生成されたメッセージの個数に応じた態様(言い換えれば外観)の統計図形116を生成する。具体的には、期間選択画面生成部74は、同じ時間(例えば7時0分0秒〜7時0分59秒)に生成されたメッセージの個数が多いほど、当該時間に対応する統計図形116のサイズを大きくする。
メッセージ集約部72は、集約時間選択エリア106で指定された時間内に生成された複数のメッセージを、各メッセージの特徴に基づいてグループ分けする。メッセージ集約部72は、集約時間選択エリア106で指定された時間内に生成された複数のメッセージを1つ以上のメッセージグループに分類するとともに、各メッセージグループにおける1つの代表メッセージを決定する。
期間選択画面生成部74は、集約時間選択エリア106で指定された時間内に生成された複数のメッセージを対応付けた1つの統計図形116を、各メッセージグループに属するメッセージの個数に応じた態様に設定する。具体的には、期間選択画面生成部74は、統計図形116を、その統計図形116を構成するメッセージ総数に占める各メッセージグループのメッセージ数の割合に応じた態様に設定する。図9では、1つの統計図形116に対して、各メッセージグループの占有割合を異なる網掛けで示している。変形例として、1つの統計図形116において、各メッセージグループの占有割合を異なる色彩で示してもよい。
ユーザは、メッセージの内容を表示すべき期間を統計図形選択エリア104で指定する。具体的には、ユーザは、統計図形選択エリア104に表示された1つ以上の統計図形116の中から、メッセージの内容を表示させる1つ以上の統計図形116を指定する。例えば、図9では、マウスドラッグ操作等で範囲122を指定することにより、範囲122内の3つの統計図形116を選択することができる。
なお、期間選択画面生成部74は、時間軸102が示す時間内に生成されたメッセージの中に、電話連絡フラグがオンのメッセージが存在する場合、そのメッセージの生成時刻の位置にコール図形118を付加的に設定する。ユーザは、コール図形118が配置された時刻を参考にすることで、適切な統計図形116を指定しやすくなる。例えば、ユーザは、データセンタからの電話連絡を受けたインシデントのチケットを作成する場合に、コール図形118が配置された時刻近傍の統計図形116を選択してもよい。ここで、電話連絡フラグおよびコール図形118を備えない構成のシステムであっても当然良いし、電話連絡フラグおよびコール図形118に代えて、若しくは、これらに加えて、インシデントへの作業実施状況等を示す図形を表示する構成にすることもできる。
また、メッセージ集約部72または期間選択画面生成部74は、図9の期間選択画面92に配置した各統計図形116に対応する1つ以上のメッセージグループと、各メッセージグループに属するメッセージの個数と、各メッセージグループの表示態様とを対応付けたメッセージグループ情報を記憶部62に保存する。上記の表示態様は、統計図形116において各メッセージグループを示す網掛けの種類や色彩の情報を含む。
期間選択画面92の統計図形選択エリア104で1つ以上の統計図形116が選択されると、メッセージ選択画面生成部76は、選択された統計図形116のそれぞれに対して期間選択画面生成部74により対応付けられた1つ以上のメッセージのデータを取得する。メッセージ選択画面生成部76は、取得した1つ以上のメッセージを並べたメッセージ選択画面94のデータを生成する。
具体的には、メッセージ集約部72は、期間選択画面92の統計図形選択エリア104で選択された1つ以上の統計図形116について、各統計図形116に対応付けられた1つ以上のメッセージ(すなわちオリジナルメッセージ)のデータを取得する。メッセージ集約部72は、取得した1つ以上のオリジナルメッセージの特徴に基づいて、少なくとも2つのオリジナルメッセージを集約した1つの代表メッセージを生成する。
実施例では、メッセージ集約部72は、複数のメッセージを複数のメッセージグループに分類し、各メッセージグループに属するメッセージの個数(後述の集約件数)を特定する。また、メッセージ集約部72は、メッセージグループごとに、同じメッセージグループに分類した複数のメッセージのうち生成時刻が最も古いメッセージを代表メッセージとして決定する。なお、代表メッセージは最も古いメッセージだけでなく、新しいメッセージを代表メッセージとしてもよく、同じメッセージグループを要約したものを代表メッセージとしてもよい。
図10は、図8のメッセージ選択画面94の例を示す。メッセージ選択画面生成部76は、メッセージ選択画面94に、各メッセージグループの代表メッセージのデータ(メッセージ時刻、ノードID、代表メッセージID、代表メッセージ本文)、および、各メッセージグループにおける集約件数を設定する。集約件数は、集約前のオリジナルメッセージの個数と言える。ユーザは、メッセージ選択画面94に表示されたメッセージの中からインシデントに関連づけるメッセージをマウスクリック等により選択する。
図10の例では、本来ユーザが選択した期間には13個のオリジナルメッセージが存在するが、それら13個のオリジナルメッセージが5個の代表メッセージに集約されている。ユーザは、5個の代表メッセージを確認し、インシデントに関連づけるか否かを判断すればよい。このように本実施例の構成によると、インシデントを作成するユーザが確認すべきメッセージの個数を低減し、ユーザの負担を低減することができる。
また、メッセージ選択画面生成部76は、記憶部62に記憶されたメッセージグループ情報を参照して、各メッセージグループの代表メッセージのレコードにおける集約件数欄に、集約件数と集約シンボル133とを配置する。メッセージ選択画面生成部76は、或るメッセージグループにおける集約シンボル133の表示態様として、期間選択画面92の統計図形116における当該メッセージグループの表示態様を設定する。また、メッセージ選択画面生成部76は、集約件数が多いほど、集約シンボル133のサイズを大きく設定する。すなわち、メッセージ選択画面生成部76は、期間選択画面92の統計図形116において網掛けまたは色彩で示した情報を、メッセージ選択画面94の集約件数欄に表示させる。この構成によると、期間選択画面92が示す統計図形116と、メッセージ選択画面94が示すメッセージとを視覚的に関連づけやすくなり、ユーザが適切なメッセージを選択することを支援できる。
メッセージ選択画面94の各代表メッセージには、代表メッセージに集約されたオリジナルメッセージを展開表示させるための切替ボタン130が付加される。メッセージ選択画面94で切替ボタン130が選択されると、メッセージ選択画面生成部76は、代表メッセージに対応するグループに属する1つ以上のオリジナルメッセージを表示させる。
図11もメッセージ選択画面94の例を示す。同図は、図10の代表メッセージID「002−5」に付加された切替ボタン130が選択された状態を示している。この場合、メッセージ選択画面生成部76は、1つの代表メッセージ(ID「002−5」)に対応するグループに属する2つのオリジナルメッセージ(ID「002−5」および「002−6」)をメッセージ選択画面94に表示させる。ユーザは、切替ボタン130を選択することで、集約されたオリジナルメッセージの内容を確認することができる。
図10に戻り、メッセージ選択画面94は、確認画面表示ボタン132を含む。メッセージ選択画面生成部76は、メッセージ選択画面94で確認画面表示ボタン132が選択されると、そのときに選択中のメッセージを含む画面であり、イベント可視化ビューワ画面90上にポップアップ表示させる画面である確認画面を生成する。
図12は、確認画面140の例を示す。図12の確認画面140では、図10で選択された4個のメッセージを示している。また、図12の確認画面140では、メッセージ集約部72により分類された各メッセージグループの代表メッセージを示している。変形例として、メッセージ選択画面生成部76は、各メッセージグループの全てのオリジナルメッセージ(例えば11件のオリジナルメッセージ)を示す確認画面140を生成してもよい。
ユーザは、確認画面140に表示されたメッセージをインシデントに関連づける場合、確認画面140のインシデント化ボタン142をマウスクリック等により選択する。確認画面140のインシデント化ボタン142が選択された場合、インシデント記録部82は、確認画面140に表示されたメッセージであり、すなわち、メッセージ選択画面94で選択されたメッセージを関連づけたインシデントチケットのデータをインシデントチケット記憶部68に記録する。
具体的には、インシデント記録部82は、メッセージ選択画面94において代表メッセージが選択された場合、その代表メッセージに対応する(言い換えれば代表メッセージと同じグループの)1つ以上のオリジナルメッセージをインシデントチケットのデータに関連づける。言い換えれば、インシデント記録部82は、確認画面140に表示された代表メッセージに対応する1つ以上のオリジナルメッセージをインシデントチケットに関連づけて記録する。
例えば、インシデント記録部82は、図12に示した4つの代表メッセージに対応する11個のオリジナルメッセージをインシデントチケットのデータに関連づける。11個のオリジナルメッセージは、ID「001−1」の代表メッセージに対応する4件のオリジナルメッセージ、ID「002−5」の代表メッセージに対応する2件のオリジナルメッセージ、ID「005−1」の代表メッセージに対応する4件のオリジナルメッセージ、ID「011−20」の代表メッセージに対応する1件のオリジナルメッセージを含む。
チケット画面生成部78は、インシデントチケット記憶部68に記憶されたインシデントチケットのデータを示すインシデントチケット画面を生成する。図13は、インシデントチケット画面の例を示す。インシデントチケット画面150は、ユーザにより当該インシデントチケットに関連づけられたメッセージを示す関連メッセージ情報152を含む。例えば、図12に示した4個の代表メッセージがインシデントに関連づけられた場合、これら4個の代表メッセージに対応する11個のオリジナルメッセージがインシデントに関連づけられる。インシデントに関連づけられた11個のオリジナルメッセージは、インシデントチケット画面150において関連メッセージ情報152として表示される。
ここでは例示として、代表メッセージがインシデントに関連づけられた場合、代表メッセージに対応するオリジナルメッセージもインシデントに関連づけられることとした。変形例として、代表メッセージのみが関連づけられ、それ以外のオリジナルメッセージは関連づけられない構成であってもよい。
以上の構成によるインシデント管理装置18の動作を説明する。
図14は、実施例のインシデント管理装置18の動作を示すフローチャートである。図14には不図示だが、インシデント管理装置18のメッセージ取得部70は、情報システム14でのインシデント(障害等)の発生に伴って生成されたメッセージを情報システム14から取得する。メッセージ取得部70は、取得したメッセージのデータをメッセージ記憶部66に格納する。
データセンタからの電話連絡等により情報システム14でのインシデントの発生を認識したユーザは、ユーザ端末12でイベント可視化ビューワのアプリケーションを起動する。ユーザ端末12は、イベント可視化ビューワ画面の提供をインシデント管理装置18に要求する。なお、ユーザ端末12は、イベント可視化ビューワのアプリケーションに代えてウェブブラウザを起動し、インシデント管理装置18から提供されたイベント可視化ビューワ画面のウェブページをウェブブラウザにより表示する構成でもよい。
ユーザ端末12でイベント可視化ビューワのアプリケーションが起動され、イベント可視化ビューワ画面の提供をユーザ端末12から要求されると(S10のY)、インシデント管理装置18の期間選択画面生成部74は、期間選択画面92を生成する。また、メッセージ選択画面生成部76は、メッセージ選択画面94を生成する。表示制御部80は、期間選択画面92とメッセージ選択画面94とを含むイベント可視化ビューワ画面90のデータをユーザ端末12へ送信し、イベント可視化ビューワ画面90をユーザ端末12に表示させる(S12)。
ユーザが、期間選択画面92の期間選択エリア100に対してメッセージ生成期間の選択操作を入力すると(S14のY)、ユーザ端末12(言い換えればユーザ端末12のイベント可視化ビューワアプリケーション)は、選択された期間の情報をインシデント管理装置18へ通知する。インシデント管理装置18の期間選択画面生成部74は、選択された期間に応じて、期間選択画面92の時間軸102および統計図形選択エリア104を拡大表示させる(S16)。例えば、期間選択画面生成部74は、選択された期間に応じて、メッセージの種類および件数を示す統計図形116を統計図形選択エリア104に再配置する。ユーザ端末12において、期間選択画面92の期間選択エリア100に対するメッセージ生成期間の選択操作が未入力であれば(S14のN)、S16をスキップする。
ユーザが、期間選択画面92の統計図形選択エリア104に配置された1つ以上の統計図形116を選択する操作を入力すると(S18のY)、ユーザ端末12は、選択された1つ以上の統計図形116の識別情報をインシデント管理装置18へ通知する。インシデント管理装置18のメッセージ集約部72は、選択された1つ以上の統計図形116に対応する1つ以上のメッセージをグループ分けし、各グループの代表メッセージを特定する。インシデント管理装置18のメッセージ選択画面生成部76は、メッセージ選択画面94の内容を、各グループの代表メッセージを示す内容に更新する。インシデント管理装置18の表示制御部80は、更新されたメッセージ選択画面94を含むイベント可視化ビューワ画面90をユーザ端末12に表示させる(S20)。
ユーザが、メッセージ選択画面94に表示された特定の代表メッセージの切替ボタン130を押下すると(S22のY)、ユーザ端末12は、切替ボタン130が選択された代表メッセージの識別情報をインシデント管理装置18へ通知する。インシデント管理装置18のメッセージ選択画面生成部76は、メッセージ選択画面94の内容を、選択された代表メッセージが属するグループの1つ以上のオリジナルメッセージを示す内容に更新する。インシデント管理装置18の表示制御部80は、更新されたメッセージ選択画面94を含むイベント可視化ビューワ画面90をユーザ端末12に表示させる(S24)。切替ボタン130に対する操作が未入力であれば(S22のN)、S24をスキップする。
ユーザが、メッセージ選択画面94に表示された1つ以上のメッセージの中から、インシデントに関連づけるべき1つ以上のメッセージを選択し、確認画面表示ボタン132を押下すると(S26のY)、ユーザ端末12は、選択された各メッセージの識別情報をインシデント管理装置18へ通知する。インシデント管理装置18のメッセージ選択画面生成部76は、メッセージ選択画面94で選択されたメッセージの一覧を示す確認画面140を生成する。インシデント管理装置18の表示制御部80は、確認画面140をユーザ端末12に表示させる(S28)。
ユーザが、確認画面140においてインシデント化ボタン142を押下すると(S30のY)、ユーザ端末12は、確認画面140に含まれる各メッセージの識別情報をインシデント管理装置18へ通知する。インシデント管理装置18のインシデント記録部82は、確認画面140に含まれる1つ以上のメッセージであり、すなわち、ユーザによりインシデントとの関連づけが決定された1つ以上のメッセージを関連づけたインシデントチケットのデータを生成する。インシデント記録部82は、生成したインシデントチケットのデータをインシデントチケット記憶部68に格納する(S32)。
インシデント管理装置18のチケット画面生成部78は、インシデントチケット記憶部68に格納されたインシデントチケットのデータを示す画面であり、当該インシデントに関連づけられたメッセージ(すなわちオリジナルメッセージ)の一覧を示す画面であるインシデントチケット画面を生成する。インシデント管理装置18の表示制御部80は、インシデントチケット画面をユーザ端末12に表示させる(S34)。
インシデント管理装置18のナレッジ検索部84は、インシデントに関連づけられた1つ以上のメッセージに基づいて、ナレッジ管理装置16に記憶されたナレッジデータを検索する。チケット画面生成部78および表示制御部80は、ナレッジ検索部84による検索にヒットしたナレッジデータであり、典型的には、インシデントに関連づけられたメッセージとの関連度合いが高いナレッジデータをインシデントチケット画面に表示させる(S36)。
確認画面140のインシデント化ボタン142に対する操作が未入力であれば(S30のN)、S32以降の処理をスキップする。メッセージ選択画面94においてメッセージが未選択であれば(S26のN)、S28以降の処理をスキップする。期間選択画面92において統計図形116が未選択であれば(S18のN)、S20以降の処理をスキップする。ユーザ端末12においてイベント可視化ビューワのアプリケーションが起動されなければ(S10のN)、S12以降の処理をスキップして本図のフローを終了する。
実施例のインシデント管理装置18によると、情報システムで発生したインシデントのデータに対して適切なメッセージを効率的に紐付けることができるようユーザを支援することができる。また、適切なメッセージがインシデントに紐付けられることで、ナレッジ管理装置16は、そのインシデントの解決に有用なナレッジデータをユーザへレコメンドすることができる。また、第1関連技術および第2関連技術のナレッジ管理装置16と、実施例のインシデント管理装置18とを組み合わせることにより、一層有用なナレッジデータをユーザへレコメンドすることができる。
また、実施例のインシデント管理装置18によると、ユーザがメッセージ選択画面94で代表メッセージを選択するだけで、代表メッセージに集約された複数のオリジナルメッセージがインシデントに紐付けられる。これにより、ユーザの負担を低減しつつ、多くのメッセージをインシデントに紐付けることができ、インシデントの解決に有用なナレッジデータがユーザへレコメンドされやすくすることができる。
また、実施例のインシデント管理装置18によると、期間選択画面92の統計図形選択エリア104に表示された統計図形116を選択するという直感的に分かりやすい操作で、ユーザはインシデントに関連づけるメッセージの候補を選択することができる。また、インシデント管理装置18は、統計図形116を各グループに属するメッセージの個数に応じた態様で表示させることにより、異なる時間帯に発生したインシデントであり、同じ原因を持つインシデントをユーザが把握することを支援できる。
以上、本発明を実施例をもとに説明した。この実施例は例示であり、各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
変形例を説明する。上記実施例では、メッセージ集約部72、期間選択画面生成部74、メッセージ選択画面生成部76、表示制御部80、インシデント記録部82、ナレッジ検索部84をインシデント管理装置18が備えた。変形例として、これらのブロックの少なくとも一部の機能をユーザ端末12が備えてもよい。例えば、上記ブロックの機能を含むインシデント管理アプリケーション(イベント可視化ビューワの機能も含む)がユーザ端末12にインストールされてもよい。そして、ユーザ端末12のCPUがインシデント管理アプリケーションを実行することで、メッセージ集約部72、期間選択画面生成部74、メッセージ選択画面生成部76、表示制御部80、インシデント記録部82の機能をユーザ端末12が発揮してもよい。
別の変形例を説明する。上記実施例では言及していないが、メッセージ選択画面94では、代表メッセージを選択可能であるとともに、代表メッセージから展開表示されたオリジナルメッセージを選択可能であってもよい。メッセージ選択画面生成部76は、メッセージ選択画面94で代表メッセージが選択された場合、選択された代表メッセージを確認画面140に設定し、メッセージ選択画面94でオリジナルメッセージが選択された場合、選択されたオリジナルメッセージを確認画面140に設定してもよい。
また、別の態様としては、各メッセージは、ノードID、メッセージを構成するキーワード等のデータ属性を具備している構成として、そのデータ属性の観点から図9において絞り込みを行って表示する動作を行ってもよい。さらに、絞り込みに代わって、現在104で表示されている1行のグラフを複数行のグラフとして、所定のデータ属性毎に1行のグラフとして表示する動作としてもよく、例えば、ノードのデータ属性に着目し、ノート1のメッセージのグラフを1行目に表示し、ノード2のメッセージのグラフを2行目に表示し、ノードnのメッセージのグラフをn行目に表示してもよく、また、例えば、キーワードのデータ属性に着目し、キーワード1を含むメッセージのグラフを1行目に表示し、キーワード2を含むメッセージのグラフを2行目に表示し、キーワードnを含むメッセージをn行目に表示してもよい。
上述した実施の形態および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施の形態および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。