JP7006347B2 - 管理装置、管理方法とそのプログラム - Google Patents
管理装置、管理方法とそのプログラム Download PDFInfo
- Publication number
- JP7006347B2 JP7006347B2 JP2018023166A JP2018023166A JP7006347B2 JP 7006347 B2 JP7006347 B2 JP 7006347B2 JP 2018023166 A JP2018023166 A JP 2018023166A JP 2018023166 A JP2018023166 A JP 2018023166A JP 7006347 B2 JP7006347 B2 JP 7006347B2
- Authority
- JP
- Japan
- Prior art keywords
- pattern
- message
- score
- variable
- new message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、メッセージを抽出する管理装置等に関する。
コンピュータ又はネットワーク装置で発生したイベント又は動作ログのメッセージを収集し、コンピュータ等を監視・管理する運用管理システムがある。メッセージは、コンピュータ等のハードウエア、又は、ソフトウエアごとに生成される。このため、運用管理システムは、フィルタ条件を満たすメッセージを抽出し管理者に提供している。
管理者は、抽出されたメッセージに障害情報を追跡するためのマークを付与することで、抽出されたメッセージと障害とを関連付けて障害情報を管理する。
上記の運用管理システムでは、監視対象のハードウエア、又は、ソフトウエアの変更に応じて、メッセージを抽出するためのフィルタ設定の変更が必要となる。フィルタ設定の変更に漏れ、又は、誤りがあると監視対象のメッセージが抽出できず、見逃される可能性が高まる。
フィルタ設定の補完として特許文献1には、メッセージを構成する単語の重みから重要度を計算し、閾値を超えた場合にメッセージを通知する技術が記載されている。
特許文献1の技術では、システム管理者がフィルタとして設定するための単語とその重みを予め定義しておく必要がある。しかし、運用管理システムを運用する前にメッセージを構成する単語について適切に定義するのは困難である。
本発明の目的は、フィルタ設定によるメッセージの抽出漏れを抑制できる管理装置等を提供することにある。
本発明の管理装置は、監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを格納するパターン格納部と、前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づき算出された、前記パターンにおける前記固定部分のスコアおよび前記変数部分ごとのスコアを格納するスコア格納部と、新規メッセージに対し、前記格納されたパターンの中から適合するパターンを選択するパターン選択部と、前記適合するパターンに対応する前記固定部分のスコアと前記変数部分ごとのスコアを用いて、前記新規メッセージの類似度を計算する類似度計算部と、前記類似度が所定の閾値を超えた新規メッセージを出力する出力部を備える。
本発明の管理方法は、監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを取得し、前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づき算出された、前記パターンにおける前記固定部分のスコアおよび前記変数部分ごとのスコアを取得し、新規メッセージに対し、前記取得したパターンの中から適合するパターンを選択し、前記適合するパターンに対応する前記固定部分のスコアと前記変数部分ごとのスコアを用いて、前記新規メッセージの類似度を計算し、前記類似度が所定の閾値を超えた新規メッセージを出力する。
本発明のプログラムは、コンピュータに、監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを取得し、前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づき算出された、前記パターンにおける前記固定部分のスコアおよび前記変数部分ごとのスコアを取得し、新規メッセージに対し、前記取得したパターンの中から適合するパターンを選択し、前記適合するパターンに対応する前記固定部分のスコアと前記変数部分ごとのスコアを用いて、前記新規メッセージの類似度を計算し、前記類似度が所定の閾値を超えた新規メッセージを出力する、ことを実行させる。
本発明は、フィルタ設定によるメッセージの抽出漏れを抑制できる。
第1の実施形態の管理装置を含む運用管理システムの概要について、図1を用いて説明する。図1は、第1の実施形態の管理装置を含む運用管理システムの概要を示す概要図である。
図1に示す運用管理システムは、監視対象90、エージェント装置100、管理装置200、クライアント端末300を備える。図中、管理装置200は、エージェント装置100とクライアント端末300に通信可能に接続され、エージェント装置100は、監視対象90に通信可能に接続されている。以下、図1に示す運用管理システムについて説明する。
監視対象90は、管理装置200によって監視される対象である。監視対象90の例は、コンピュータ、又は、ネットワーク装置である。監視対象90は、自装置の状態を表すメッセージを生成して出力する。メッセージの一例は、監視対象90の動作ログに含まれる情報である。メッセージは、監視対象90からエージェント装置100へ送信される。
エージェント装置100は、監視対象90が出力したメッセージを収集する。収集されたメッセージはエージェント装置100から管理装置200に送信される。エージェント装置100は、複数の監視対象90からメッセージを収集してもよい。
クライアント端末300は、管理装置200が出力したメッセージを受信し、表示制御部(図示せず)によってメッセージを表示部(図示せず)で表示する。運用管理システムの管理者は、メッセージが表示されることで、監視対象90の状態を把握する。
次に、第1の実施形態の管理装置200について、図2を用いて説明する。図2は、第1の実施形態の管理装置の構成を示すブロック図である。図2に示す管理装置200は、エージェント装置100とクライアント端末300にそれぞれ通信可能に接続されている。
管理装置200は、通信部201、フィルタ適用部202、パターン選択部203、類似度計算部204、判定部205、パターン抽出部207、スコア算出部208、フィルタ格納部210、パターン格納部220、スコア格納部230、メッセージ格納部240を備える。
(管理装置)
通信部201は、エージェント装置100が送信した新規メッセージを受信する。通信部201は、フィルタ適用部202に新規メッセージを転送する。また、通信部201は、新規メッセージをクライアント端末300に出力する。
通信部201は、エージェント装置100が送信した新規メッセージを受信する。通信部201は、フィルタ適用部202に新規メッセージを転送する。また、通信部201は、新規メッセージをクライアント端末300に出力する。
フィルタ格納部210は、フィルタを格納する。フィルタには、所定文字列を含むメッセージを抽出するための条件が指定されている。フィルタの条件は、例えば、監視対象のハードウエア情報、あるいは、エラーを示す文字列である。
フィルタ適用部202は、フィルタ格納部210のフィルタを取得し、新規メッセージがフィルタにマッチするか確認する。フィルタにマッチするとは、フィルタに適合するとも呼ばれる。新規メッセージがフィルタにマッチする場合、フィルタ適用部202は、マッチする新規メッセージを通信部201に転送する。新規メッセージがフィルタにマッチしない場合、フィルタ適用部202は、マッチしない新規メッセージをパターン選択部203に転送する。
メッセージ格納部240は、検知メッセージを格納する。検知メッセージは、例えば、監視対象90の状態を表すメッセージのうち、過去に検知された検知メッセージである。
なお、検知メッセージは、これに限られず、検知することが望まれるメッセージであってもよい。メッセージ格納部240に蓄積された検知メッセージはメッセージ群とも呼ばれる。
なお、検知メッセージは、これに限られず、検知することが望まれるメッセージであってもよい。メッセージ格納部240に蓄積された検知メッセージはメッセージ群とも呼ばれる。
パターン抽出部207は、メッセージ格納部240から検知メッセージを取得し、検知メッセージからパターンを抽出する。パターンは、例えば、テキストマイニングによって検知メッセージから抽出される。パターン抽出部207によって抽出されるパターンには、固定部分と変数部分が含まれる。
固定部分とは、検知メッセージのパターンの中で変化しない部分である。変化しない部分とは、例えば、パターンの同一文字列である。変数部分とは、検知メッセージのパターンの中で変化可能な部分である。変化可能な部分とは、文字列の一部が変数のように変わる部分である。
図3は、メッセージ群の例を示す図である。図3中のメッセージ群において、「プロセスが停止状態になりました」は、パターンの固定部分として抽出される。また、図3において、メッセージ群の「Server1」、「Server2」、「Server1」は、パターンの変数部分として抽出される。「Server1」は、例えば、サーバの名称である。
同様に、メッセージ群の「app1.exe」、「app2.exe」、「app3.exe」および「0」、「0」、「1」も、パターンの変数部分として抽出される。パターン抽出部207は、抽出したパターンをパターン格納部220に格納する。「app1.exe」は、例えば、サーバで使用されているプログラムの名称である。「0」、「1」は、例えば、カウント情報である。
図4は、図3のメッセージ群から抽出されたパターンの例を示す図である。図4において、「プロセスが停止になりました」は、パターンの固定部分である。また、「%Server%」、「%PNAME%」、「%COUNT%」は、パターンの変数部分である。
スコア算出部208は、抽出されたパターンごとに、パターンの固定部分のスコア、変数部分ごとのスコアを算出する。具体的には、スコア算出部208は、パターンの固定部分の文字列、変数部分の文字列がメッセージ群で出現した回数(出現回数)に基づいて、パターンにおける固定部分のスコア、変数部分ごとスコアを算出する。
図6は、図4のパターンの固定部分のスコア、変数部分ごとのスコアを算出する例を説明する図である。図6(a)は、図4に示すパターンの固定部分におけるスコア算出を表す。図6(a)の固定部分に関し、図3のメッセージ群に「プロセスが停止状態になりました」の出現回数が3回のため、固定部分のスコアAは「3」となる。
図6(b)~(d)は、図4に示すパターンの変数部分におけるスコア算出を表す。図6(b)の変数部分[%Server%]に関し、図3のメッセージ群において「Server1」の出現回数は2回であり、変数部分「Server1」のスコアAは「2」となる。さらに「Server2」の出現回数は1回であり、変数部分「Server2」のスコアAは「1」となる。
図6(c)の変数部分[%PNAME%]に関し、図3のメッセージ群に「app1.exe」、「app2.exe」、「app3.exe」の出現回数はそれぞれ1回となる。このため、変数部分「app1.exe」、「app2.exe」、「app3.exe」のスコアAはそれぞれ「1」となる。
図6(d)の変数部分[%COUNT%]に関し、図3のメッセージ群に含まれる「0」、「1」の出現回数は、それぞれ2回と1回となる。このため、変数部分「0」、「1」のスコアAは、それぞれ「2」、「1」となる。
メッセージ管理の運用において、例えば、障害情報の追跡用として検知メッセージにマークが付与される場合がある。このため、マーク付与された検知メッセージが含まれている場合、マーク付与に応じてスコア算出に反映させることが好ましい。
以下は、パターンの固定部分、変数部分の出現回数に加え、検知メッセージにマークが付与されていた場合のスコア算出の例である。図3に示す#2のメッセージには、マークとして「*」が付与されている。この場合、スコア算出部208は、スコアAに対して、マーク付与による所定値を加算してスコアBを算出する。具体的には、#2の検知メッセージのパターンの固定部分のスコア、変数部分ごとのスコアに所定値が加算される。
図6を用いてスコアBの算出について説明する。図3のメッセージ群のうち、#2のメッセージには「*」が付与されている。このため、図6の例では、#2の検知メッセージのパターンの固定部分、変数部分に対して、「*」のマークの件数である1を加算してスコアBが算出される。
具体的には、スコアBには、#2の検知メッセージに対応するパターンの固定部分「プロセスが停止状態になりました」のスコアAの値と、変数部分「Server2」、「app2.exe」、「0」のスコアAの値にそれぞれ1が加算される。スコア算出部208は、パターンの固定部分、変数部分ごとに算出したスコアをスコア格納部230に格納する。
なお、図3の例では、#2の検知メッセージに付与されたマークは1つであるが、これに限られない。例えば、検知メッセージのレベルに応じて付与するマークの数を複数にする、あるいは、マークにもレベルを導入してもよい。また、スコア算出部308は、付与されたマークの数、又は、マークのレベルに応じて所定値を増加させてもよい。
通信部201は、新規メッセージをパターン選択部203に転送する。パターン選択部203は、パターン格納部220の中に新規メッセージにマッチするパターンがあるか確認する。
パターン選択部203は、格納されたパターンの固定部分および変数部分が新規メッセージに含まれていれば、マッチするパターン(適合するパターン、とも称する)があると判断する。パターン選択部203によるパターンの選択はこれに限られない。
マッチするパターンがある場合、パターン選択部203は、新規メッセージとマッチするパターンを類似度計算部204に転送する。マッチするパターンがない場合、パターン選択部203は、処理を終了する。
類似度計算部204は、スコア格納部230から新規メッセージにマッチするパターンの固定部分と変数部分のスコアを取得する。類似度計算部204は、マッチするパターンのスコアを用いて、新規メッセージに適合するパターンの固定部分と変数部分のスコアを、新規メッセージの類似度として算出する。また、他に算出した類似度と比較するために1で正規化し、類似度(正規化)を算出する。
図5は、新規メッセージの例を表す図である。図5に示す新規メッセージにおいて、「プロセスが停止状態になりました」は、パターンの固定部分となり、「Server3」、「app2.exe」、「0」は、パターンの変数部分となる。
図7は、図5の新規メッセージの類似度の算出を説明する図である。図5に示す新規メッセージに適合するパターンのスコアは、図6より、固定部分の「プロセスが停止状態になりました」のスコアが4となる。さらに、変数部分の「Server3」は存在しないのでスコアが0、「app2.exe」のスコアが2、「0」のスコアが3となる。新規メッセージの類似度(合計値)は9となる。
図8は、図7に示す新規メッセージの類似度の正規化を説明する図である。図6より、新規メッセージの類似度の最大値は「プロセスが停止状態になりました」のスコアが4、「Server1」または「Server2」のスコアが2、「app2.exe」のスコアが2、「0」のスコアが3となる。よって、新規メッセージの類似度(最大合計値)は11になる。このため、新規メッセージの類似度(正規化)は9/11=0.82となる。類似度計算部204は、算出された新規メッセージの類似度を判定部205に転送する。
判定部205は、新規メッセージの類似度と予め設定された閾値を比較し、類似度が閾値を超えた場合、新規メッセージを通信部201に転送する。通信部201は、新規メッセージをクライアント端末300に送信する。
次に、第1の実施形態における管理装置の動作について、図面を用いて説明する。第1の実施形態における管理装置の動作は、パターンスコア算出モードと運用モードの2つの動作モードを備える。
パターンスコア算出モードでは、管理装置200は、検知メッセージが蓄積されたメッセージ群からパターンを抽出するパターン抽出処理と、抽出したパターンのスコアを算出するスコア算出処理を実行する。
運用モードでは、管理装置200は、フィルタ適用処理と、パターン適用処理を実行する。フィルタ適用処理では、新規メッセージをクライアント端末300に出力するか否かの処理としてフィルタが用いられる。また、パターン適用処理では、新規メッセージをクライアント端末300に出力するか否かの処理として新規メッセージの類似度が用いられる。
管理装置200によるパターン抽出処理について、図9を用いて説明する。図9は、管理装置200によるパターン抽出処理の例を示すフローチャートである。管理装置200は、パターン抽出処理として、検知メッセージが蓄積されたメッセージ群から固定部分と変数部分を含むパターンを抽出する。
パターン抽出部207は、検知メッセージが蓄積されたメッセージ格納部240からメッセージ群を取得し、固定部分と変数部分を含むパターンを抽出する(ステップS101)。
なお、パターンの固定部分は、メッセージのパターンのうち文字列が同一の部分である。変数部分は、メッセージのパターンのうち文字列の一部が変数のように変わる部分である。パターン抽出部207は、パターン格納部220に抽出したパターンを格納する(ステップS102)
管理装置200によるスコア算出処理について、図10を用いて説明する。図10は、管理装置200におけるスコア算出処理の例を示すフローチャートである。
管理装置200によるスコア算出処理について、図10を用いて説明する。図10は、管理装置200におけるスコア算出処理の例を示すフローチャートである。
管理装置200は、スコア算出処理として、検知メッセージにマッチするパターンに対し、パターンの固定部分と変数部分の出現回数に応じてパターンのスコアを算出する。図10に示すスコア算出処理は、出現回数に加え、検知メッセージの付与されたマークに応じてスコアに所定値を加算する例である。以下、スコア算出処理の詳細を説明する。
スコア算出部208は、メッセージ格納部240から検知メッセージを1つ取出す(ステップS201)。スコア算出部208は、パターン格納部220からパターンを1つ取出す(ステップS202)。スコア算出部208は、検知メッセージがパターンにマッチするか確認する(ステップS203)。
検知メッセージがパターンにマッチしない場合(ステップS203:No)、スコア算出部208は、ステップS202に戻ってパターン格納部220から別のパターンを1つ取出す。検知メッセージにマッチするパターンがパターン格納部220に1つも格納されていない場合、スコア算出部208は、別の検知メッセージを取出す。
検知メッセージがパターンにマッチする場合(ステップS203:Yes)、スコア算出部208は、マッチしたパターンの固定部分、変数部分のスコアに所定値を加算する。所定値の例は、例えば1である。パターンの固定部分、変数部分のスコアの初期値はそれぞれ0とする。パターンがマッチした際に加算する値は、1に限られない。また、所定値は、固定部分と変数部分とで変えてもよい。
スコア算出部208は、取出した検知メッセージにマークが付与されているか確認する(ステップS205)。マークが付与されていない場合(ステップS205:No)、パターンのスコアをスコア格納部230に格納する(ステップS207)。
マークが付与されている場合(ステップS207:Yes)、スコア算出部208は、マッチしたパターンの固定部分、変数部分のスコアに所定値を加算する。所定値は、例えば、1である。パターンがマッチした際に加算する値は、1に限られない。また、所定値は、固定部分と変数部分とで変えてもよい。スコア算出部208は、パターンのスコアをスコア格納部230に格納する(ステップS207)。
スコア算出部208は、検知メッセージが残っているか確認する(ステップS208)。検知メッセージが残っている場合(ステップS208:Yes)、ステップS201に戻り別の検知メッセージを取出す。スコア算出部208は、検知メッセージが残っていない場合(ステップS208:No)、ステップS201からS208までのスコア算出処理を終了する。
管理装置200による運用モードについて、図11を用いて説明する。図11は、管理装置200のフィルタ適用処理とパターン適用処理の一例を示すフローチャートである。図11に示す運用モードは、ステップS302のフィルタ適用処理とステップS303からステップS306のパターン適用処理を含む。
フィルタ適用部202は、通信部201から新規メッセージを取得する(ステップS301)。
フィルタ適用部202は、新規メッセージがフィルタにマッチするか確認する(ステップS302)。フィルタにマッチする場合、フィルタ適用部202は、新規メッセージを通信部201へ転送し、通信部201は、クライアント端末300に新規メッセージを出力する。フィルタにマッチしない場合、フィルタ適用部202は、新規メッセージをパター
パターン選択部203は、パターン格納部220からメッセージ群のパターンを取出す(ステップS303)。パターン選択部203は、新規メッセージに対して、パターン格納部220の中に新規メッセージにマッチするパターンがあるか確認する(ステップS304)。パターン選択部203は、新規メッセージに格納されたパターンの固定部分および変数部分が含まれていれば、新規メッセージにマッチするパターンがあると判断する。
パターン選択部203は、パターン格納部220からメッセージ群のパターンを取出す(ステップS303)。パターン選択部203は、新規メッセージに対して、パターン格納部220の中に新規メッセージにマッチするパターンがあるか確認する(ステップS304)。パターン選択部203は、新規メッセージに格納されたパターンの固定部分および変数部分が含まれていれば、新規メッセージにマッチするパターンがあると判断する。
新規メッセージにマッチするパターンが無い場合、パターン選択部203は、新規メッセージをクライアント端末300に出力せず、メッセージ抽出処理を終了する。
新規メッセージにマッチするパターンがある場合、パターン選択部203は、新規メッセージと適合パターンを類似度計算部204に転送する。類似度計算部は、新規メッセージの類似度を計算する(ステップS305)。
図5に示す新規メッセージの例を用いて、類似度計算部204の類似度計算処理を説明する。図5に示す新規メッセージにおいて、「プロセスが停止状態になりました」は、パターンの固定部分、「Server3」、「app2.exe」、「0」は、パターンの変数部分である。
類似度計算部204は、新規メッセージにマッチするパターンの固定部分と変数部分のスコアを、スコア格納部230から取得する。類似度計算部204は、マッチするパターンのスコアを用いて、新規メッセージにマッチするパターンの固定部分のスコアと変数部分のスコアを合計し、新規メッセージの類似度として算出する(ステップS305)。類似度計算部204は、算出された新規メッセージの類似度を判定部205に転送する。
判定部205は、新規メッセージの類似度と設定された閾値を比較し、類似度が閾値を超えた場合(ステップS306:Yes)、新規メッセージを通信部201に転送する。通信部201は、新規メッセージをクライアント端末300に出力する(ステップS307)。類似度が閾値以下の場合、判定部205は、新規メッセージをクライアント端末300に出力することなく、処理を終了する。
管理装置200は、新規メッセージに対し、格納されたパターンの中から適合するパターンを選択し、適合するパターンに対応する固定部分のスコアと変数部分ごとのスコアを用いて、新規メッセージの類似度を計算し、類似度が所定の閾値を超えた新規メッセージを出力する。管理装置200は、格納されたパターンとして、検知の対象である検知メッセージのメッセージ群から抽出されたメッセージのパターンを用いるので、メッセージの抽出漏れを抑制することができる。
また、管理装置200で用いるパターンは、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とあるように、メッセージ群から抽出されたパターンの構成が固定部分と変数部分に分けている。変数部分のパターンを導入することで、監視対象にハードウエアが追加されて監視対象から当該ハードウエアに関連するメッセージが出力されたとしても、管理装置200で抽出可能となる。例えば、図5のServer3は、検知する対象である図3のメッセージ#1~#3に含まれていなくても抽出可能となる。
管理装置200は、新規メッセージに対し、所定文字列を含むメッセージを抽出するためのフィルタ適用処理をした後に、パターン適用処理を実行している。これにより、フィルタ設定によるメッセージの抽出漏れを抑制できる。
次に、第2の実施形態の管理装置について、図12を用いて説明する。第2の実施形態の管理装置400は、第1の実施形態の管理装置200からパターンスコア算出モードで用いる構成を除いていた形態である。第2の実施形態の管理装置400では、予め、パターン抽出処理と、スコア算出処理が完了しているものとする。また、第2の実施形態の管理装置400は、第1の実施形態の管理装置200からフィルタ適用処理に用いる構成を除いた形態となっている。
図12は、第2の実施形態の管理装置の構成を示すブロック図である。第2の実施形態の管理装置400は、パターン選択部403、類似度計算部404、出力部405、パターン格納部420、スコア格納部430を備える。
図12は、第2の実施形態の管理装置の構成を示すブロック図である。第2の実施形態の管理装置400は、パターン選択部403、類似度計算部404、出力部405、パターン格納部420、スコア格納部430を備える。
パターン格納部420は、監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを格納する。
スコア格納部430は、パターンの固定部分、及び、変数部分ごとにメッセージ群の中で出現する回数に基づき算出された、パターンにおける固定部分のスコアおよび変数部分ごとのスコアを格納する。
パターン選択部403は、新規メッセージに対し、パターン格納部420に格納されたパターンの中から適合するパターンを選択する。類似度計算部404は、適合するパターンに対応する固定部分のスコアと変数部分ごとのスコアを用いて、新規メッセージの類似度を計算する。出力部405は、類似度が所定の閾値を超えた新規メッセージを出力する。新規メッセージの類似度が所定の閾値を超えているか否かは、出力部405が新規メッセージを出力する前段として管理装置400の判定部(図示せず)が判定する。
次に第2の実施形態に係る管理装置の動作について、図12、図13を用いて説明する。図13は、第2の実施形態に係る管理装置の動作を示すフローチャートである。第2の実施形態に係る管理装置400において、パターン選択部403は、監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出されたパターンを、パターン格納部420から取得する(ステップS401)。当該パターンは、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含む。
類似度計算部404は、パターンの固定部分、及び、変数部分ごとにメッセージ群の中で出現する回数に基づいて算出された、パターンにおける固定部分のスコアおよび変数部分ごとのスコアを、スコア格納部430から取得する(ステップS402)。
パターン選択部403は、新規メッセージに対し、パターンの中から適合するパターンを選択する(ステップS403)。類似度計算部404は、適合するパターンに対応する固定部分のスコアと変数部分ごとのスコアを用いて、新規メッセージの類似度を計算する(ステップS404)。出力部405は、類似度が所定の閾値を超えた新規メッセージを出力する(ステップS405)。
(第2の実施形態の効果)
管理装置400は、新規メッセージに対し、格納されたパターンの中から適合するパターンを選択し、適合するパターンに対応する固定部分のスコアと変数部分ごとのスコアを用いて、新規メッセージの類似度を計算し、類似度が所定の閾値を超えた新規メッセージを出力する。管理装置400は、格納されたパターンとして、検知の対象である検知メッセージのメッセージ群から抽出されたメッセージのパターンを用いるので、メッセージの抽出漏れを抑制することができる。
管理装置400は、新規メッセージに対し、格納されたパターンの中から適合するパターンを選択し、適合するパターンに対応する固定部分のスコアと変数部分ごとのスコアを用いて、新規メッセージの類似度を計算し、類似度が所定の閾値を超えた新規メッセージを出力する。管理装置400は、格納されたパターンとして、検知の対象である検知メッセージのメッセージ群から抽出されたメッセージのパターンを用いるので、メッセージの抽出漏れを抑制することができる。
また、管理装置400で用いるパターンは、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とあるように、メッセージ群から抽出されたパターンの構成が固定部分と変数部分に分けている。変数部分のパターンを導入することで、監視対象にハードウエアが追加されて監視対象から当該ハードウエアに関連するメッセージが出力されたとしても、管理装置400で抽出可能となる。例えば、図5のServer3は、検知する対象である図3のメッセージ#1~#3に含まれていなくても抽出可能となる。
(ハードウエア構成)
図14は、第1、第2の実施形態における管理装置をコンピュータで実現する際のハードウエア構成を示す図である。第1、第2の実施形態において、管理装置の各構成要素は、機能単位のブロックを示している。各構成要素の一部又は全部は、例えば、図14に示すようなコンピュータ600とプログラムとの任意の組み合わせにより実現される。コンピュータ600は、一例として、以下のような構成を含む。
CPU(Central Processing Unit)601、
ROM(Read Only Memory)602、
RAM(Random Access Memory)603、
RAM603にロードされるプログラム604、
プログラム604を格納する記憶装置605、
記録媒体606の読み書きを行うドライブ装置607、
通信ネットワーク609と接続する通信インターフェース608、
データの入出力を行う入出力インターフェース610、
各構成要素を接続するバス611
管理装置200、又は、管理装置400の各構成要素は、これらの機能を実現するプログラム604をCPU601が取得して実行することで実現される。各構成要素の機能を実現するプログラム604は、例えば、予め記憶装置605又はRAM603に格納されており、必要に応じてCPU601が読み出す。なお、プログラム604は、通信ネットワーク609を介してCPU601に供給されてもよいし、予め記録媒体606に格納されており、ドライブ装置607が当該プログラムを読み出してCPU601に供給してもよい。
(ハードウエア構成)
図14は、第1、第2の実施形態における管理装置をコンピュータで実現する際のハードウエア構成を示す図である。第1、第2の実施形態において、管理装置の各構成要素は、機能単位のブロックを示している。各構成要素の一部又は全部は、例えば、図14に示すようなコンピュータ600とプログラムとの任意の組み合わせにより実現される。コンピュータ600は、一例として、以下のような構成を含む。
CPU(Central Processing Unit)601、
ROM(Read Only Memory)602、
RAM(Random Access Memory)603、
RAM603にロードされるプログラム604、
プログラム604を格納する記憶装置605、
記録媒体606の読み書きを行うドライブ装置607、
通信ネットワーク609と接続する通信インターフェース608、
データの入出力を行う入出力インターフェース610、
各構成要素を接続するバス611
管理装置200、又は、管理装置400の各構成要素は、これらの機能を実現するプログラム604をCPU601が取得して実行することで実現される。各構成要素の機能を実現するプログラム604は、例えば、予め記憶装置605又はRAM603に格納されており、必要に応じてCPU601が読み出す。なお、プログラム604は、通信ネットワーク609を介してCPU601に供給されてもよいし、予め記録媒体606に格納されており、ドライブ装置607が当該プログラムを読み出してCPU601に供給してもよい。
管理装置200、400の実現方法には、様々な変形例がある。例えば、管理装置200、400は、各構成要素にそれぞれ別個のコンピュータ600とプログラムとの任意の組み合わせにより実現されてもよい。また、管理装置200、400が備える複数の構成要素が、一つのコンピュータ600とプログラムとの任意の組み合わせにより実現されてもよい。
また、管理装置200、400の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。コンピュータ600の代わりにFPGA(Field-Programmable Gate Array)のようなプログラマブルロジックデバイスを用いてもよい。
さらに、管理装置200、400の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
また、管理装置200、400の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
また、図面中の矢印の方向は、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
90 監視対象
100 エージェント装置
200、400 管理装置
300 クライアント端末
201 通信部
202 フィルタ適用部
203、403 パターン選択部
204、404 類似度計算部
205 判定部
207 パターン抽出部
208 スコア算出部
210 フィルタ格納部
220、420 パターン格納部
230、430 スコア格納部
240 メッセージ格納部
405 出力部
600 コンピュータ
601 CPU
602 ROM(Read Only Memory)
603 RAM
604 プログラム
605 記憶装置
606 記録媒体
607 ドライブ装置
608 通信インターフェース
609 通信ネットワーク
610 入出力インターフェース
611 バス
100 エージェント装置
200、400 管理装置
300 クライアント端末
201 通信部
202 フィルタ適用部
203、403 パターン選択部
204、404 類似度計算部
205 判定部
207 パターン抽出部
208 スコア算出部
210 フィルタ格納部
220、420 パターン格納部
230、430 スコア格納部
240 メッセージ格納部
405 出力部
600 コンピュータ
601 CPU
602 ROM(Read Only Memory)
603 RAM
604 プログラム
605 記憶装置
606 記録媒体
607 ドライブ装置
608 通信インターフェース
609 通信ネットワーク
610 入出力インターフェース
611 バス
Claims (10)
- 監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを格納するパターン格納手段と、
前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づき算出された、前記パターンにおける前記固定部分のスコアおよび前記変数部分ごとのスコアを格納するスコア格納手段と、
新規メッセージに対し、前記格納されたパターンの中から適合するパターンを選択するパターン選択手段と、
前記適合するパターンに対応する前記固定部分のスコアと前記変数部分ごとのスコアを用いて、前記適合するパターンに対する前記新規メッセージの類似度を計算する類似度計算手段と、
前記類似度が所定の閾値を超えた新規メッセージを出力する出力手段と、
を備える管理装置。 - 前記メッセージ群は、マークが付与された検知メッセージを含み、
前記マークが付与された検知メッセージに対して、前記マークの付与に応じて前記パターンの前記固定部分のスコアと前記変数部分ごとのスコアに所定値が加算される、
請求項1に記載の管理装置。 - 前記所定値が、前記マークの数、又は、前記マークのレベルに応じて変化する、
請求項2に記載の管理装置。 - 前記新規メッセージに対し、所定文字列を含むメッセージを抽出するためのフィルタを適用するフィルタ適用手段を、更に備え、
前記フィルタ適用手段は、前記フィルタに適合しない新規メッセージを前記類似度計算手段に転送する、
請求項1から3のいずれか1つに記載の管理装置。 - 前記フィルタ適用手段は、前記フィルタに適合する新規メッセージを前記出力手段に転送し、
前記出力手段は、前記転送された新規メッセージを出力する、
請求項4に記載の管理装置。 - 前記メッセージ群から、前記固定部分と前記変数部分とを含むパターンを抽出するパターン抽出手段を、更に備える、
請求項1から5のいずれか1つに記載の管理装置。 - 前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づいて、前記固定部分のスコアおよび前記変数部分ごとのスコアを算出するスコア算出手段を、更に備える、
請求項1から6のいずれか1つに記載の管理装置。 - 自装置の状態を表すメッセージを生成して出力する、少なくとも1つの監視対象と、
請求項1に記載の管理装置と、を備える、
管理システム。 - 監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを取得し、
前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づき算出された、前記パターンにおける前記固定部分のスコアおよび前記変数部分ごとのスコアを取得し、
新規メッセージに対し、前記取得したパターンの中から適合するパターンを選択し、
前記適合するパターンに対応する前記固定部分のスコアと前記変数部分ごとのスコアを用いて、前記適合するパターンに対する前記新規メッセージの類似度を計算し、
前記類似度が所定の閾値を超えた新規メッセージを出力する、
管理方法。 - コンピュータに、
監視対象の状態を表すメッセージのうち、検知の対象である検知メッセージのメッセージ群から抽出された、文字列が同一である固定部分と文字列の少なくとも一部が変化する変数部分とを含むパターンを取得し、
前記パターンの前記固定部分、及び、前記変数部分ごとに前記メッセージ群の中で出現する回数に基づき算出された、前記パターンにおける前記固定部分のスコアおよび前記変数部分ごとのスコアを取得し、
新規メッセージに対し、前記取得したパターンの中から適合するパターンを選択し、
前記適合するパターンに対応する前記固定部分のスコアと前記変数部分ごとのスコアを用いて、前記適合するパターンに対する前記新規メッセージの類似度を計算し、
前記類似度が所定の閾値を超えた新規メッセージを出力する、
ことを実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018023166A JP7006347B2 (ja) | 2018-02-13 | 2018-02-13 | 管理装置、管理方法とそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018023166A JP7006347B2 (ja) | 2018-02-13 | 2018-02-13 | 管理装置、管理方法とそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019139565A JP2019139565A (ja) | 2019-08-22 |
| JP7006347B2 true JP7006347B2 (ja) | 2022-01-24 |
Family
ID=67695381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018023166A Active JP7006347B2 (ja) | 2018-02-13 | 2018-02-13 | 管理装置、管理方法とそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7006347B2 (ja) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006318071A (ja) | 2005-05-11 | 2006-11-24 | Fujitsu Ltd | メッセージ異常自動判別装置、方法、及びプログラム |
| JP2009037346A (ja) | 2007-07-31 | 2009-02-19 | Nextvision Co Ltd | 迷惑メール排除システム |
| US20100211192A1 (en) | 2009-02-17 | 2010-08-19 | Honeywell International Inc. | Apparatus and method for automated analysis of alarm data to support alarm rationalization |
| WO2012066650A1 (ja) | 2010-11-17 | 2012-05-24 | 富士通株式会社 | 情報処理装置、メッセージ抽出方法およびメッセージ抽出プログラム |
| JP2014153723A (ja) | 2013-02-04 | 2014-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ログ生起異常検知装置及び方法 |
| JP2015170207A (ja) | 2014-03-07 | 2015-09-28 | 富士通株式会社 | 構成情報管理プログラム、構成情報管理方法、及び構成情報管理装置 |
| WO2016075915A1 (ja) | 2014-11-10 | 2016-05-19 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびプログラム記録媒体 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10207528A (ja) * | 1997-01-28 | 1998-08-07 | Toshiba Eng Co Ltd | 監視制御システムのメッセージ出力装置及びその方法 |
-
2018
- 2018-02-13 JP JP2018023166A patent/JP7006347B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006318071A (ja) | 2005-05-11 | 2006-11-24 | Fujitsu Ltd | メッセージ異常自動判別装置、方法、及びプログラム |
| JP2009037346A (ja) | 2007-07-31 | 2009-02-19 | Nextvision Co Ltd | 迷惑メール排除システム |
| US20100211192A1 (en) | 2009-02-17 | 2010-08-19 | Honeywell International Inc. | Apparatus and method for automated analysis of alarm data to support alarm rationalization |
| WO2012066650A1 (ja) | 2010-11-17 | 2012-05-24 | 富士通株式会社 | 情報処理装置、メッセージ抽出方法およびメッセージ抽出プログラム |
| JP2014153723A (ja) | 2013-02-04 | 2014-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ログ生起異常検知装置及び方法 |
| JP2015170207A (ja) | 2014-03-07 | 2015-09-28 | 富士通株式会社 | 構成情報管理プログラム、構成情報管理方法、及び構成情報管理装置 |
| WO2016075915A1 (ja) | 2014-11-10 | 2016-05-19 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびプログラム記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019139565A (ja) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3635602B1 (en) | Validating correlation between chains of alerts using cloud view | |
| JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN111475355B (zh) | 高速链路信号完整性评估方法、系统、终端及存储介质 | |
| JP6939906B2 (ja) | 異常検知装置 | |
| CN114327803A (zh) | 区块链访问机器学习模型的方法、装置、设备和介质 | |
| CN109597800B (zh) | 一种日志分发方法及装置 | |
| US10282239B2 (en) | Monitoring method | |
| JP6712207B2 (ja) | セキュリティ対策装置 | |
| US11449405B2 (en) | Information processing apparatus, control method, and program | |
| JP7006347B2 (ja) | 管理装置、管理方法とそのプログラム | |
| JP6579995B2 (ja) | 静観候補特定装置、静観候補特定方法及び静観候補特定プログラム | |
| US10977150B2 (en) | Data analysis | |
| US20210165907A1 (en) | Systems and methods for intelligent and quick masking | |
| JP6993575B2 (ja) | 情報処理プログラム、情報処理装置及び情報処理方法 | |
| CN110891097B (zh) | 一种跨设备用户识别方法及装置 | |
| JP2019144881A (ja) | セキュリティ評価サーバおよびセキュリティ評価方法 | |
| JP2018132841A (ja) | プログラム、情報処理装置および情報処理装置の制御方法 | |
| KR101934381B1 (ko) | 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버 | |
| US20210397498A1 (en) | Information processing apparatus, control method, and program | |
| CN115174594B (zh) | 分布式系统的数据同步方法、装置、设备及介质 | |
| JPWO2020100186A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
| US20230334159A1 (en) | Information processing device, information processing method, and program | |
| JP7427146B1 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP2019028573A (ja) | 表示制御プログラム、表示制御方法及び表示制御装置 | |
| EP3961412A1 (en) | Control method, data generation device, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211019 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211022 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211125 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211207 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211220 |