JP7027912B2 - Order control program, order control method, and information processing device - Google Patents
Order control program, order control method, and information processing device Download PDFInfo
- Publication number
- JP7027912B2 JP7027912B2 JP2018012552A JP2018012552A JP7027912B2 JP 7027912 B2 JP7027912 B2 JP 7027912B2 JP 2018012552 A JP2018012552 A JP 2018012552A JP 2018012552 A JP2018012552 A JP 2018012552A JP 7027912 B2 JP7027912 B2 JP 7027912B2
- Authority
- JP
- Japan
- Prior art keywords
- anomaly
- detected
- information
- events
- anomaly events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本件は、順序制御プログラム、順序制御方法、及び情報処理装置に関する。 This case relates to an order control program, an order control method, and an information processing apparatus.
サーバ装置、ストレージ装置、ネットワーク装置などを含むInformation and Communication Technology(ICT)システムが知られている。また、例えばサーバ装置からCentral Processing Unit(CPU)やメモリの使用状況に関する時系列データを採取して、使用状況の時間変化をモニタにグラフで表示する観測装置も知られている。特に、観測装置がICTシステムのアノマリ事象を検知し、アノマリ事象の発生状況をモニタに表示する技術も知られている(以上、例えば特許文献1参照)。 Information and Communication Technology (ICT) systems including server devices, storage devices, network devices, etc. are known. Further, for example, an observation device that collects time-series data related to the usage status of a Central Processing Unit (CPU) or a memory from a server device and displays the time change of the usage status on a monitor as a graph is also known. In particular, there is also known a technique in which an observation device detects an anomaly event in an ICT system and displays the occurrence status of the anomaly event on a monitor (see, for example, Patent Document 1).
ところで、アノマリ事象が大量に検知された場合、ICTシステムの運用者又は管理者(以下、単に運用者という。)には、アノマリ事象に対する対応の優先順位を判断し、そのアノマリ事象に対応することが求められる。特に、運用者にはアノマリ事象が検知されてからそのアノマリ事象に起因する問題が発生するまでの時間内で優先順位を判断し、そのアノマリ事象に対応することが求められる。 By the way, when a large number of anomaly events are detected, the operator or administrator of the ICT system (hereinafter, simply referred to as an operator) should determine the priority of the response to the anomaly event and respond to the anomaly event. Is required. In particular, the operator is required to determine the priority within the time from the detection of the anomaly event to the occurrence of the problem caused by the anomaly event and respond to the anomaly event.
運用者が優先順位の判断を誤り、アノマリ事象に対する対応が遅延すると、そのアノマリ事象に起因する問題が発生する。例えば、システム障害を引き起こす可能性があるアノマリ事象が検知された場合に、運用者がそのアノマリ事象に対する対応の優先順位の判断を誤ると、システム障害が発生する可能性がある。仮に、システム障害が現実に発生すると、ICTシステムを利用する多くの利用者が影響を受けるおそれがある。 If the operator makes a mistake in determining the priority and the response to the anomaly event is delayed, a problem caused by the anomaly event occurs. For example, if an anomaly event that may cause a system failure is detected and the operator makes a mistake in determining the priority of response to the anomaly event, a system failure may occur. If a system failure actually occurs, many users of the ICT system may be affected.
そこで、1つの側面では、アノマリ事象対応の遅延による問題の発生を抑制できる順序制御プログラム、順序制御方法、及び情報処理装置を提供することを目的とする。 Therefore, in one aspect, it is an object of the present invention to provide an order control program, an order control method, and an information processing apparatus capable of suppressing the occurrence of a problem due to a delay in responding to an anomaly event.
1つの実施態様では、順序制御プログラムは、システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、前記複数のアノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示し、計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、処理をコンピュータに実行させる。 In one embodiment, the sequence control program performs anomaly event detection processing for detecting anomaly events occurring in any of the plurality of machines based on monitoring data of a plurality of machines included in the system, and performs anomaly event detection processing, and the plurality of anomaly events. When is detected, the machine refers to a storage unit that stores information indicating the relationship between the plurality of services executed by the system, and the machine is used for each of the detected machines that generate the plurality of anomaly events. The number of other services that have a specific relationship to the service executed in is specified, the time elapsed since the detection of the plurality of anomaly events is measured, and the information regarding the detected multiple anomaly events is measured. Is displayed on the display unit in the order corresponding to the number of the specified other services, and the shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed on the computer. Let me.
1つの実施態様では、順序制御プログラムは、システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、前記複数のアノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示し、計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、処理をコンピュータに実行させる。 In one embodiment, the sequence control program performs anomaly event detection processing for detecting anomaly events that have occurred in any of the plurality of monitoring targets based on the monitoring data of the plurality of monitoring targets included in the system, and a plurality of monitoring targets. When an anomaly event is detected, the detection frequency of the anomaly event that occurred for the monitored object is calculated for each monitoring target of the source of each of the plurality of detected anomaly events, and the plurality of anomaly events are detected. The time elapsed from the measurement is measured, and the information regarding the detected plurality of anomaly events is displayed on the display unit in the order corresponding to the calculated detection frequency. The shorter the measured time, the more the plurality of detected events are detected. Anomaly Causes the computer to perform a process that displays information about the event at the top .
アノマリ事象対応の遅延による問題の発生を抑制することができる。 It is possible to suppress the occurrence of problems due to delays in responding to anomaly events.
以下、本件を実施するための形態について図面を参照して説明する。 Hereinafter, a mode for carrying out this case will be described with reference to the drawings.
(第1実施形態)
図1は情報処理システムSの一例である。図2はConfiguration Management Database(CMDB)140の一例である。情報処理システムSは、監視対象システム100と構成収集サーバ130と記憶部としてのCMDB140とを備えている。CMDB140は構成収集サーバ130に含まれていてもよい。また、情報処理システムSは、性能監視サーバ150とイベント監視サーバ170とを備えている。さらに、情報処理システムSは、管理サーバ190と情報処理装置としての分析サーバ200と運用端末300とを備えている。
(First Embodiment)
FIG. 1 is an example of the information processing system S. FIG. 2 is an example of the Configuration Management Database (CMDB) 140. The information processing system S includes a
尚、情報処理システムSの構成要素から監視対象システム100、構成収集サーバ130、CMDB140、性能監視サーバ150、イベント監視サーバ170、運用端末300の少なくとも1つを除外してもよい。すなわち、情報処理システムSは少なくとも管理サーバ190と分析サーバ200とを備えていればよい。また、運用端末300は、図1に示すように、入力部310、表示部320、及び制御部(不図示)を含むPersonal Computer(PC)によって実現することができる。運用端末300をタブレット端末といったスマートデバイスによって実現してもよい。運用端末300は運用者によって操作される。
At least one of the
監視対象システム100は複数のホストマシン110を含んでいる。複数のホストマシン110の一部又は全部は互いに接続されている。複数のホストマシン110は通信ネットワークNWを介して構成収集サーバ130、性能監視サーバ150、及びイベント監視サーバ170と接続されている。通信ネットワークNWとしては、例えばインターネットやLocal Area Network(LAN)などがある。ホストマシン110は例えばWebサーバ、アプリケーションサーバ、データベースサーバ、仮想化サーバといった各種のサーバ装置、ストレージ装置、ネットワーク装置などが該当する。したがって、監視対象システム100は計算機システム又はICTシステムと呼ばれる場合もある。情報処理システムS又は監視対象システム100のエンドユーザである利用者(不図示)は、監視対象システム100にアクセスして、監視対象システム100が実行又は提供(以下、単に実行という。)する複数のサービスを利用することができる。複数のサービスとしては、例えばデータ処理サービスや画像化サービスなど、業務支援に関するサービスがある。
The monitored
尚、監視対象システム100にはクラウド基盤又はクラウド環境(以下、単にクラウド基盤という。)を構築するソフトウェア群(例えばOpen Stackなど)が実装されている。より詳しくは、上述したホストマシン110によってはKeystoneと呼ばれるソフトウェアが実装されている。Keystoneは利用者の管理やアクセス制御といった認証機能を発揮する。また、ホストマシン110によってはNovaと呼ばれるソフトウェアが実装されている。Novaは仮想マシンを実行するコンピュート機能を発揮する。その他、Swift、Glance、Cinderなどのソフトウェアも知られている。これらのソフトウェアが互いに連携することによって、監視対象システム100はクラウド基盤を実現する。
The monitored
構成収集サーバ130は複数のホストマシン110にアクセスし、各ホストマシン110が有する種々の構成情報を動的に収集してCMDB140に格納する。構成情報としては、ホストマシン110のハードウェア構成に関する情報(具体的にはホストマシンの名称やIPアドレスなど)や、仮想環境に関する情報(具体的にはハイパーバイザーの版数、CPUやメモリの使用状況など)がある。また、構成情報としては、Operating System(OS)やアプリケーションソフトウェア(以下、単にアプリという)に関する情報や、パッチ適用の状況及びアプリのパラメータ設定状況に関する情報もある。その他、構成収集サーバ130はアクセスしたホストマシン110が実行するサービスとそのサービスに関連する一世代上のサービスと一世代下のサービスを特定して構成情報として格納する。また、構成収集サーバ130は複数のホストマシン110の親子関係又は主従関係(以下、単に親子関係という。)を特定して構成情報として格納する。
The
これにより、CMDB140は、図2に示すように、各ホストマシン110の構成情報をホストマシン110毎に記憶する。例えば、「ホスト2」の名称を有するホストマシン110は「ホスト1」の名称を有するホストマシン110が親であり、「ホスト3」の名称を有するホストマシン110が子の関係を有する。また、「ホスト2」の名称を有するホストマシン110はサービス3、サービス4、及びサービス5を実行する。一方で、「ホスト2」の名称を有するホストマシン110が実行するサービスに関連するサービスとして、親の関係にあるホストマシン110が実行するサービス1及びサービス2と、「ホスト3」の名称を有するホストマシン110が実行するサービス6とがある。このように、複数のサービス1~6にはホストマシン110の親子関係に伴う特定の関係性がある。したがって、例えば「ホスト2」の名称を有するホストマシン110に障害が発生すると、サービス3~5及び一世代下のサービス6の実行が停止するが、一世代上のサービス1~2の実行は継続する。尚、運用者が構成情報をCMDB140に格納する操作を行って、運用端末300がCMDB140に構成情報を格納してもよい。
As a result, the
性能監視サーバ150は通信ネットワークNWを介して各ホストマシン110及び各ホストマシン110のリソースを監視する。具体的には、性能監視サーバ150はハードウェア資源(例えばCPUやメモリなど)を監視する。性能監視サーバ150はソフトウェア資源を監視してもよい。性能監視サーバ150は監視対象であるリソースから性能や負荷といったデータを監視データとして取得する。監視データには、CPU使用率やメモリ使用率、ディスクスループットなどがリソースの性能や負荷として含まれている。性能監視サーバ150は取得した監視データを様々な角度で対比して管理する。
The
イベント監視サーバ170は通信ネットワークNWを介して監視対象システム100で発生する種々のイベント(事象)を監視する。例えば、イベント監視サーバ170は、監視対象システム100で実行される複数のサービスのサービスレベルの低下の原因となり得るイベントが発生すると、そのイベントの発生を検知し、インシデント情報(以下、INCチケットという。)を発行して管理サーバ190に通知する。詳細は後述するが、INCチケットは、チケットの識別子、チケットの発行日時、発生したイベントに関連するサービスの名称、そのサービスを実行するホストマシン110の名称、発生したイベントの内容などを含んでいる。
The
管理サーバ190は不図示のチケットDBを備え、イベント監視サーバ170から通知されたINCチケットをチケットDBにより記憶して管理する。また、管理サーバ190は利用者端末(不図示)が発行して通知したINCチケットや運用端末300が発行して通知した変更要求チケットをチケットDBにより記憶して管理する。利用者端末は利用者が利用する端末装置である。尚、利用者端末が発行したINCチケットには、チケットの識別情報、チケットの発行日時のほか、監視対象システム100に関する問い合わせなどが含まれている。一方、運用端末300が発行した変更要求チケットには、チケットの識別子、チケットの発行日時、ホストマシン110の変更により影響を受けるサービスの名称、そのサービスを実行するホストマシン110の名称、改変や修正といった変更内容などを含んでいる。
The
分析サーバ200はCMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と接続されている。分析サーバ200は、図1に示すように、CMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と直接的に接続されていてもよいし、通信ネットワークNWを介してCMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と間接的に接続されていてもよい。
The
分析サーバ200は性能監視サーバ150が取得した監視データを収集し、収集した監視データに基づいてアノマリ事象検知処理を実行する。アノマリ事象検知処理は、監視データを分析し、ホストマシン110やそのリソースの通常時、正常時、又は定常時(以下、単に通常時という。)の状態と違う状態を検知する処理である。アノマリ事象検知処理により通常時の状態と違う状態が検知されると、ホストマシン110やそのリソース、ホストマシン110を含む監視対象システム100に問題が発生する可能性がある。
The
また、分析サーバ200は、アノマリ事象が検知された監視データ(以下、アノマリデータという。)と、CMDB140が記憶する構成情報とに基づいて、アノマリ事象に関するアノマリ情報の表示順序を決定する。分析サーバ200は、アノマリデータと、アノマリ事象の検知頻度とに基づいて、アノマリ情報の表示順序を決定してもよい。検知頻度はアノマリ事象を連続して検知した連続検知数であってもよいし、単位時間あたりの検知回数であってもよい。本実施形態では、検知頻度の一例として連続検知数を使用して説明する。
Further, the
さらに、分析サーバ200は、アノマリデータと、構成情報と、アノマリ事象の検知頻度と、管理サーバ190が管理するINCチケットの発行数とに基づいて、アノマリ事象情報の表示順序を決定してもよい。表示順序を決定する際に、INCチケットの発行数を利用することで、アノマリ事象に起因する問題が発生する可能性の確度が向上する。例えば、INCチケットが全く発行されていなければ、アノマリ事象が検知されても、そのアノマリ事象に起因する問題が発生する可能性は低いと想定される。尚、詳細は後述するが、分析サーバ200は運用端末300から各種の要求や指示を受け付けると、アノマリ情報を、決定した表示順序で、運用端末300の表示部320に表示する。
Further, the
次に、図3を参照して、分析サーバ200のハードウェア構成について説明する。尚、上述した複数のホストマシン110、構成収集サーバ130、CMDB140、性能監視サーバ150、イベント監視サーバ170、管理サーバ190、及び運用端末300については基本的に分析サーバ200と同様のハードウェア構成であるため、説明を省略する。
Next, the hardware configuration of the
図3は分析サーバ200のハードウェア構成の一例である。図3に示すように、分析サーバ200は、少なくともハードウェアプロセッサとしてのCPU200A、Random Access Memory(RAM)200B、Read Only Memory(ROM)200C、及びネットワークI/F(インタフェース)200Dを含んでいる。分析サーバ200は、必要に応じて、Hard Disk Drive(HDD)200E、入力I/F200F、出力I/F200G、入出力I/F200H、ドライブ装置200Iの少なくとも1つを含んでいてもよい。CPU200Aからドライブ装置200Iまでは、内部バス200Jによって互いに接続されている。すなわち、分析サーバ200はコンピュータによって実現することができる。尚、CPU200Aに代えてMicro Processing Unit(MPU)をハードウェアプロセッサとして利用してもよい。
FIG. 3 is an example of the hardware configuration of the
入力I/F200Fには、入力装置710が接続される。入力装置710としては、例えばキーボードやマウスなどがある。出力I/F200Gには、表示装置720が接続される。表示装置720としては、例えば液晶ディスプレイがある。入出力I/F200Hには、半導体メモリ730が接続される。半導体メモリ730としては、例えばUniversal Serial Bus(USB)メモリやフラッシュメモリなどがある。入出力I/F200Hは、半導体メモリ730に記憶されたプログラムやデータを読み取る。入力I/F200F及び入出力I/F200Hは、例えばUSBポートを備えている。出力I/F200Gは、例えばディスプレイポートを備えている。
An
ドライブ装置200Iには、可搬型記録媒体740が挿入される。可搬型記録媒体740としては、例えばCompact Disc(CD)-ROM、Digital Versatile Disc(DVD)といったリムーバブルディスクがある。ドライブ装置200Iは、可搬型記録媒体740に記録されたプログラムやデータを読み込む。ネットワークI/F200Dは、例えばLANポートを備えている。ネットワークI/F200Dは上述したCMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と接続される。
A portable recording medium 740 is inserted into the drive device 200I. Examples of the portable recording medium 740 include removable discs such as Compact Disc (CD) -ROM and Digital Versatile Disc (DVD). The drive device 200I reads programs and data recorded on the portable recording medium 740. The network I / F200D includes, for example, a LAN port. The network I / F200D is connected to the
上述したRAM200Bには、ROM200CやHDD200Eに記憶されたプログラムがCPU200Aによって一時的に格納される。RAM200Bには、可搬型記録媒体740に記録されたプログラムがCPU200Aによって一時的に格納される。格納されたプログラムをCPU200Aが実行することにより、CPU200Aは後述する各種の機能を実現し、また、後述する各種の処理を実行する。尚、プログラムは後述するフローチャートに応じたものとすればよい。
In the
次に、図4から図7を参照して、分析サーバ200の機能構成について説明する。
Next, the functional configuration of the
図4(a)は分析サーバ200のブロック図の一例である。図4(b)はデータ記憶部220の一例である。図5は第1データ管理テーブルT1の一例である。図6(a)は第2データ管理テーブルT2及び第3データ管理テーブルT3の一例である。図6(b)は第4データ管理テーブルT4の一例である。図7は第5データ管理テーブルT5の一例である。図4(a)に示すように、分析サーバ200は、処理部としての、データ収集部210、アノマリ検知部230、表示順序制御部240、及びデータ可視化部250を含んでいる。また、分析サーバ200はデータ記憶部220を含んでいる。データ記憶部220は、図4(b)に示すように、第1データ管理テーブルT1、第2データ管理テーブルT2、第3データ管理テーブルT3、第4データ管理テーブルT4、及び第5データ管理テーブルT5により管理された種々のデータを記憶する。
FIG. 4A is an example of a block diagram of the
尚、データ収集部210は、公知のログ収集転送ツール(例えばFluentdやLogstashなどのソフトウェア)と後述する第1処理とをCPU200Aが実行することによって実現することができる。データ記憶部220は、Open Source Software(OSS)の分散型検索リアルタイム分析エンジン(例えばElasticsearchなどのソフトウェア)をCPU200Aが実行し、HDD200Eと協同することによって実現することができる。アノマリ検知部230及び表示順序制御部240は後述する第2処理をCPU200Aが実行することによって実現することができる。データ可視化部250は、公知のデータ可視化ツール(例えばkibanaなどのソフトウェア)と後述する第3処理とをCPU200Aが実行することによって実現することができる。
The
データ収集部210は性能監視サーバ150から監視データを収集する。より詳しくは、データ収集部210は数分から十数分の単位で定期的に性能監視サーバ150にアクセスし、性能監視サーバ150が複数のホストマシン110のそれぞれから取得した監視データを収集する。データ収集部210は監視データを収集すると、収集した監視データをデータ記憶部220に格納する。これにより、データ記憶部220は監視データを記憶する。特に、監視データは第1データ管理テーブルT1により管理される。
The
ここで、図5に示すように、第1データ管理テーブルT1はホストマシン110と監視対象リソースの組み合わせ毎に複数の監視データを管理する。第1データ管理テーブルT1は収集日時、ホストマシン、監視対象リソース、データ値、単位、アノマリ分析結果、及びアノマリ検知日時といった複数のフィールドを有する。収集日時のフィールドには監視データを収集した日時が登録される。ホストマシンのフィールドにはホストマシン110の名称又は識別子が登録される。監視対象リソースのフィールドには監視対象リソースの名称が登録される。データ値と単位のフィールドには監視データの性能を表す実測値とその実測値の単位を表す記号又は文字がそれぞれ登録される。例えば監視対象リソース「CPU」に対し単位「%」が登録されている場合、データ値「78」はCPU使用率を表している。同様に、監視対象リソース「メモリ」に対し単位「%」が登録されている場合、データ値「64」はメモリ使用率を表している。
Here, as shown in FIG. 5, the first data management table T1 manages a plurality of monitoring data for each combination of the
アノマリ分析結果のフィールドにはアノマリ事象を検知したか否かを識別する識別フラグが登録される。例えば識別フラグ「1」はアノマリ事象を検知したことを表し、識別フラグ「0」はアノマリ事象を検知しなかったことを表す。アノマリ検知日時のフィールドにはアノマリ事象を検知した日時が登録される。アノマリ事象を検知した日時は、識別フラグ「1」が登録された監視データ(以下、アノマリデータという。)に対して登録され、識別フラグ「0」が登録された監視データ(以下、非アノマリデータという。)に対しては登録されない。このように、第1データ管理テーブルT1によりホストマシン110と監視対象リソースの組み合わせ毎に複数のアノマリデータ及び非アノマリデータが管理される。
An identification flag that identifies whether or not an anomaly event has been detected is registered in the field of the anomaly analysis result. For example, the identification flag "1" indicates that an anomaly event has been detected, and the identification flag "0" indicates that an anomaly event has not been detected. The date and time when the anomaly event was detected is registered in the anomaly detection date and time field. The date and time when the anomaly event is detected is registered for the monitoring data in which the identification flag "1" is registered (hereinafter referred to as anomaly data), and the monitoring data in which the identification flag "0" is registered (hereinafter, non-anomaly data). It is not registered for.). In this way, a plurality of anomaly data and non-anomaly data are managed for each combination of the
また、データ収集部210は管理サーバ190からINCチケット及び変更要求チケットを収集する。より詳しくは、データ収集部210は数分から十数分の単位で定期的に管理サーバ190にアクセスし、管理サーバ190が管理するINCチケット及び変更要求チケットを収集する。データ収集部210はINCチケット及び変更要求チケットを収集すると、収集したINCチケット及び変更要求チケットをデータ記憶部220に格納する。これにより、データ記憶部220はINCチケット及び変更要求チケットを記憶する。INCチケットは第2データ管理テーブルT2及び第3データ管理テーブルT3により発行元毎に管理される。また、変更要求チケットは第4データ管理テーブルT4により管理される。
In addition, the
ここで、図6(a)に示すように、第2データ管理テーブルT2はイベント監視サーバ170が発行した複数のINCチケットを管理する。また、第3データ管理テーブルT3は利用者端末が発行した複数のINCチケットを管理する。第2データ管理テーブルT2はチケットID、発行日時、サービス名、ホストマシン、及びタイトルといった複数のフィールドを有する。チケットIDのフィールドにはINCチケットを識別する識別子が登録される。発行日時のフィールドにはINCチケットの発行日時が登録される。サービス名のフィールドには発生したイベントに関連するサービスの名称が登録される。ホストマシンのフィールドにはそのサービスを実行するホストマシン110の名称又は識別子が登録される。タイトルのフィールドには発生したイベントの内容が登録される。尚、第3データ管理テーブルT3については、基本的に、第2データ管理テーブルT2と同様であるため、詳細な説明は省略する。
Here, as shown in FIG. 6A, the second data management table T2 manages a plurality of INC tickets issued by the
一方、図6(b)に示すように、第4データ管理テーブルT4は運用端末300が発行した複数の変更要求チケットを管理する。第4データ管理テーブルT4はチケットID、発行日時、サービス名、ホストマシン、及びタイトルといった複数のフィールドを有する。チケットIDのフィールドには変更要求チケットを識別する識別子が登録される。発行日時のフィールドには変更要求チケットの発行日時が登録される。サービス名のフィールドにはホストマシン110の変更により影響を受けるサービスの名称が登録される。ホストマシンのフィールドにはそのサービスを実行するホストマシン110の名称又は識別子が登録される。タイトルのフィールドには改変や修正といった変更内容が登録される。
On the other hand, as shown in FIG. 6B, the fourth data management table T4 manages a plurality of change request tickets issued by the
アノマリ検知部230はデータ記憶部220から監視データを取得し、取得した監視データについてアノマリ事象検知処理を実行する。例えば、アノマリ検知部230はデータ記憶部220から取得した監視データに基づいて、監視データ(具体的には監視データのデータ値)の正規分布をホストマシン110と監視対象リソースとの組み合わせ毎に生成し、正規分布の平均値μから2σ以上離れた監視データをアノマリ事象として検知する。アノマリ検知部230はアノマリ事象を検知した監視データについて、第1データ管理テーブルT1に含まれるアノマリ分析結果のフィールドに識別フラグ「1」を分析結果として登録する。アノマリ検知部230はアノマリ事象を検知した監視データについて、第1データ管理テーブルT1に含まれるアノマリ検知日時のフィールドに検知日時を登録する。一方、アノマリ検知部230はアノマリ事象を検知しなかった監視データについて、第1データ管理テーブルT1に含まれるアノマリ分析結果に識別フラグ「0」を分析結果として登録する。すなわち、アノマリ検知部230は、監視データをアノマリデータと非アノマリデータに分類する。
The
表示順序制御部240はアノマリ情報の表示順序を制御する。より詳しくは、表示順序制御部240はアノマリ検知部230が監視データをアノマリデータと非アノマリデータに分類すると、データ記憶部220からアノマリデータとINCチケットと変更要求チケットとを取得する。特に、表示順序制御部240はイベント監視サーバ170が発行したINCチケットと利用者端末が発行したINCチケットの両方を取得する。表示順序制御部240はアノマリデータとINCチケットと変更要求チケットとを取得すると、CMDB140が記憶する構成情報を参照し、アノマリデータとINCチケットと変更要求チケットと構成情報とに基づいて、種々の処理を実行して、アノマリ情報の表示順序を決定する。尚、表示順序制御部240が実行する処理の詳細については後述する。表示順序制御部240は表示順序を決定すると、表示順序が登録された表示対象データを生成してデータ記憶部220に格納する。表示対象データは第5データ管理テーブルT5によって管理される。
The display
ここで、図7に示すように、第5データ管理テーブルT5はアノマリID、検知日時、経過時間、ホストマシン、監視対象リソースといった複数のフィールドを有する。アノマリIDのフィールドには表示対象データを識別する識別子が登録される。アノマリIDは表示対象データが生成される度に表示順序制御部240によって付与される。検知日時のフィールドにはアノマリデータのアノマリ検知日時が登録される。経過時間のフィールドにはアノマリ検知日時から現在日時まで経過した経過時間が登録される。すなわち、経過時間はアノマリ検知日時と現在日時との差を表している。ホストマシンのフィールドにはアノマリデータのホストマシン110の名称又は識別子が登録される。監視対象リソースのフィールドにはアノマリデータの監視対象リソースの名称が登録される。
Here, as shown in FIG. 7, the fifth data management table T5 has a plurality of fields such as anomaly ID, detection date and time, elapsed time, host machine, and monitored resource. An identifier that identifies the data to be displayed is registered in the field of the anomaly ID. The anomaly ID is assigned by the display
また、図7に示すように、第5データ管理テーブルT5はINCチケット数(サーバ発行)、変更要求チケット数、INCチケット数(ユーザ発行)といった複数のフィールドを有する。INCチケット数(サーバ発行)のフィールドには、イベント監視サーバ170が発行したINCチケットの数が登録される。変更要求チケット数のフィールドには、運用端末300が発行した変更要求チケットの数が登録される。INCチケット数(ユーザ発行)のフィールドには、利用者端末が発行したINCチケットの数が登録される。尚、イベント監視サーバ170及び利用者端末がそれぞれ発行した各INCチケットには、いずれもホストマシン110の名称が含まれているため、ホストマシン110毎に各INCチケットの数を特定することができる。また、変更要求チケットにもホストマシン110の名称が含まれているため、ホストマシン110毎に変更要求チケットの数を特定することができる。
Further, as shown in FIG. 7, the fifth data management table T5 has a plurality of fields such as the number of INC tickets (issued by the server), the number of change request tickets, and the number of INC tickets (issued by the user). The number of INC tickets issued by the
さらに、図7に示すように、第5データ管理テーブルT5は連続検知数、関連サービス数、表示順序といった複数のフィールドを有する。連続検知数のフィールドには、監視対象リソースについて発生したアノマリ事象を連続して検知した回数が登録される。例えば、監視対象リソースについて発生したアノマリ事象が1分間隔で4分間に渡って連続して検知された場合、連続検知数のフィールドには数値「4」が登録される。尚、連続検知数は検知頻度の一例であって、単位時間あたりにアノマリ事象を検知した回数を検知頻度として利用してもよい。関連サービス数のフィールドには、そのホストマシン110が実行するサービスと関連する他のサービスの数が登録される。例えば、構成情報(図2参照)に基づけば、「ホスト1」の名称を有するホストマシン110は、サービス1及びサービス2の2つを実行し、「ホスト2」の名称を有するホストマシン110がサービス3~サービス5の3つを実行する。このため、図7に示すように、「ホスト1」の名称を有するホストマシン110に対応する関連サービス数のフィールドには、数値「3」が登録される。表示順序のフィールドには表示順序制御部240がアノマリデータとINCチケットと変更要求チケットと構成情報とに基づいて決定した表示順序が登録される。尚、本実施形態では、123件の表示対象データが第5データ管理テーブルT5によって管理されている。
Further, as shown in FIG. 7, the fifth data management table T5 has a plurality of fields such as the number of continuous detections, the number of related services, and the display order. In the field of the number of continuous detections, the number of times that the anomaly event that occurred for the monitored resource is continuously detected is registered. For example, when the anomaly event generated for the monitored resource is continuously detected for 4 minutes at 1-minute intervals, the numerical value "4" is registered in the field of the number of continuous detections. The number of continuous detections is an example of the detection frequency, and the number of times anomaly events are detected per unit time may be used as the detection frequency. In the field of the number of related services, the number of other services related to the service executed by the
データ可視化部250は運用端末300からアノマリ一覧画面の表示を要求する画面表示要求を受け付けると、データ記憶部220から表示対象データを取得し、取得した表示対象データを可視化する。例えば、データ可視化部250は取得した表示対象データを表示順序に基づいて並び替え、並び替えた表示対象データから表示順序のフィールドを除外したアノマリ情報を生成する。データ可視化部250はアノマリ情報を生成すると、生成したアノマリ情報を含むアノマリ一覧画面を運用端末300の表示部320に表示する。
When the
続いて、分析サーバ200の動作について説明する。
Subsequently, the operation of the
図8はデータ収集部210が実行する第1処理の一例を示すフローチャートである。データ収集部210は第1処理を所定の時間毎に定期的に実行する。まず、データ収集部210は性能監視サーバ150から監視データを収集し(ステップS101)、収集した監視データをデータ記憶部220に格納する(ステップS102)。ステップS102の処理が完了すると、データ収集部210は管理サーバ190から各種のチケットを収集し(ステップS103)、収集したチケットをデータ記憶部220に格納する(ステップS104)。すなわち、データ収集部210は発行元が異なる各INCチケットと変更要求チケットとを収集し、収集したINCチケット及び変更要求チケットをデータ記憶部220に格納する。尚、データ収集部210はチケットを収集して格納してから、監視データを収集して格納してもよい。ステップS104の処理が完了すると、データ収集部210は処理を終了する。
FIG. 8 is a flowchart showing an example of the first process executed by the
図9はアノマリ検知部230及び表示順序制御部240が実行する第2処理の一例を示すフローチャートである。図10は表示優先度の一例を説明する図である。アノマリ検知部230及び表示順序制御部240は第2処理を定期的に実行する。まず、図9に示すように、アノマリ検知部230は設定時間が到来したか否かを判断する(ステップS201)。設定時間は上述した所定の時間より長い時間(例えば1時間といった数時間)である。例えばデータ収集部210は10分毎に監視データと各種のチケットを収集してデータ記憶部220に格納し、アノマリ検知部230は1時間毎にステップS201の処理以後の処理を実行するか否かを判断する。
FIG. 9 is a flowchart showing an example of the second process executed by the
例えば、アノマリ検知部230がステップS201の処理以後の処理を前回実行してから設定時間が到来していない場合(ステップS201:NO)、後続のステップS202からS213の処理をスキップする。これにより、データ収集部210は監視データ及び各種のチケットを収集してから10分経過する度に、監視データ及び各種のチケットを収集してデータ記憶部220に格納する。これにより、データ記憶部220には時系列の監視データと各種のチケットが蓄積される。
For example, if the set time has not arrived since the
一方、アノマリ検知部230がステップS201の処理以後の処理を前回実行してから設定時間が到来している場合(ステップS201:YES)、アノマリ検知部230はデータ記憶部220から監視データを取得する(ステップS202)。ステップS202の処理が完了すると、アノマリ検知部230はアノマリ事象検知処理を実行し(ステップS203)、分析結果と検知日時を第1データ管理テーブルT1に登録する(ステップS204)。これにより、監視データはアノマリデータと非アノマリデータに分類される。
On the other hand, when the set time has arrived since the
ステップS204の処理が完了すると、次いで、表示順序制御部240はデータ記憶部220からアノマリデータを取得し(ステップS205)、次いで、各種のチケットを取得する(ステップS206)。ステップS204の処理が完了すると、次いで、表示順序制御部240はCMDB140が記憶する構成情報を参照し(ステップS207)、関連サービス数を特定する(ステップS208)。ステップS208の処理が完了すると、次いで、表示順序制御部240は連続検知数を算出し(ステップS209)、チケット数を特定する(ステップS210)。特に、表示順序制御部240はホストマシン110毎のチケット数をチケットの種別毎に特定する。これにより、イベント監視サーバ170が特定のホストマシン110に対して発行したINCチケットの数と、利用者端末が特定のホストマシン110に対して発行したINCチケットの数と、運用端末300が特定のホストマシン110に対して発行した変更要求チケットの数が特定される。
When the process of step S204 is completed, the display
ステップS210の処理が完了すると、表示順序制御部240は経過時間を計測し(ステップS211)、次いで、表示順序を決定する(ステップS212)。より詳しくは、表示順序制御部240は、関連サービス数、連続検知数、イベント監視サーバ170が発行したINCチケットのチケット数、利用者端末が発行したINCチケットのチケット数、経過時間、及び予め定めた表示優先度に基づいて、アノマリ情報の表示順序を決定する。表示順序制御部240は、表示順序を決定する際に、運用端末300が発行した変更要求チケットのチケット数を利用してもよい。
When the process of step S210 is completed, the display
ここで、図10に示すように、最も高い表示優先度は関連サービス数に定められている。そして、連続検知数、利用者端末が発行したINCチケットのチケット数、イベント監視サーバ170が発行したINCチケットのチケット数の順に表示優先度が定められ、経過時間に最も低い表示優先度が定められている。これらの優先度は例えば問題が発生した際の影響の大きさなどに従って定めればよい。したがって、例えば関連サービス数に数値「5」が登録され、連続検知数に数値「1」が登録された表示対象データと、関連サービス数に数値「3」が登録され、連続検知数に数値「9」が登録された表示対象データとが存在する場合、前者の表示対象データに応じたアノマリ情報が後者の表示対象データに応じたアノマリ情報より上位に表示される。
Here, as shown in FIG. 10, the highest display priority is defined in the number of related services. Then, the display priority is determined in the order of the number of continuous detections, the number of INC ticket tickets issued by the user terminal, and the number of INC ticket tickets issued by the
また、関連サービス数、連続検知数、利用者端末が発行したINCチケットのチケット数、及びイベント監視サーバ170が発行したINCチケットのチケット数は、いずれも、その数が多いほど、その表示対象データに応じたアノマリ情報は上位に表示される。逆に、関連サービス数、連続検知数、利用者端末が発行したINCチケットのチケット数、及びイベント監視サーバ170が発行したINCチケットのチケット数は、いずれも、その数が少ないほど、その表示対象データに応じたアノマリ情報は下位に表示される。例えば、関連サービス数にいずれも数値「3」が登録された2つの表示対象データが存在する場合、一方の表示対象データに連続検知数に数値「9」が登録され、他方の表示対象データの連続検知数に数値「7」が登録されている場合、前者の表示対象データに応じたアノマリ情報が後者の表示対象データに応じたアノマリ情報より上位に表示される。
Further, the number of related services, the number of continuous detections, the number of INC ticket tickets issued by the user terminal, and the number of INC ticket tickets issued by the
ただし、経過時間については、経過時間が短いほど、アノマリ情報が上位に表示される。アノマリ事象が検知されてから現在時刻までの時間が短いアノマリ事象ほど運用者は急いで対応することが求められる。これはアノマリ事象が検知されてから現在時刻までの時間が長いアノマリ事象については問題が発生していないと想定されるからである。 However, with regard to the elapsed time, the shorter the elapsed time, the higher the anomaly information is displayed. The shorter the time from the detection of the anomaly event to the current time, the sooner the operator is required to respond. This is because it is assumed that no problem has occurred for anomaly events that take a long time from the detection of the anomaly event to the current time.
図9に戻り、ステップS212の処理が完了すると、表示順序制御部240は決定した表示順序を登録した表示対象データを生成し、生成した表示対象データをデータ記憶部220に格納する(ステップS213)。これにより、データ記憶部220は第5データ管理テーブルT5により管理された表示対象データを記憶する(図7参照)。ステップS213の処理が完了すると、アノマリ検知部230及び表示順序制御部240は処理を終了する。アノマリ検知部230及び表示順序制御部240は以上説明した処理を動的に繰り返し実行する。特に、表示順序制御部240は関連サービス数や連続検知数、各種のINCチケットの数などに基づいて表示順序を定期的に決定するため、表示順序は動的に変化する。
Returning to FIG. 9, when the process of step S212 is completed, the display
図11はデータ可視化部250が実行する第3処理の一例を示すフローチャートである。図12はアノマリ一覧画面の一例である。図13はアノマリ詳細画面の一例である。尚、アノマリ一覧画面及びアノマリ詳細画面の画面レイアウトについては適宜変更してもよい。
FIG. 11 is a flowchart showing an example of the third process executed by the
まず、図11に示すように、データ可視化部250は運用端末300から画面表示要求を受け付けるまで待機する(ステップS301:NO)。データ可視化部250は画面表示要求を受け付けると(ステップS301:YES)、アノマリ一覧画面を表示する(ステップS302)。より詳しくは、データ可視化部250はデータ記憶部220が記憶する表示対象データの中からアノマリ検知日時と現在日時との差である経過時間が予め定めた特定の時間(例えば24時間)以内の表示対象データを抽出し、抽出した表示対象データに基づいてアノマリ一覧画面を生成して表示する。
First, as shown in FIG. 11, the
アノマリ一覧画面は、図12に示すように、アノマリ事象の検知数と、優先順位に並んだ複数のアノマリ情報の一覧を含んでいる。図12では、上位数件のアノマリ情報が示されているが、縦方向のスクロールバーを設けることにより、下位のアノマリ情報が表示されるようにしてもよい。また、アノマリ一覧画面は、経過時間の割合を表す円グラフと経過時間の内訳、ホストマシン110の割合を表す円グラフとホストマシン110の名称の内訳、監視対象リソースの割合を表す円グラフと監視対象リソースの名称の内訳を含んでいる。特に、ホストマシン110の名称と監視対象リソースの名称はアノマリ事象が検知された数が多い順に表示されている。ホストマシン110の名称及び監視対象リソースの名称が指定されると、データ可視化部250は表示されたアノマリ情報の一覧から指定された名称を含むアノマリ情報に絞り込んで表示する。このように、大量のアノマリ事象が検知されても、これらのアノマリ事象に関するアノマリ情報が優先順位に並んで表示されるため、運用者はアノマリ事象に対する対応の優先順位の判断を誤る可能性が減少する。この結果、アノマリ事象に対する対応の遅延により問題が発生することを抑制することができる。尚、アノマリ情報に関連する情報も併せて表示されるため、優先順位の判断を誤る可能性がさらに減少する。
As shown in FIG. 12, the anomaly list screen includes the number of detected anomaly events and a list of a plurality of anomaly information arranged in order of priority. Although the upper-order anomaly information is shown in FIG. 12, the lower-level anomaly information may be displayed by providing a vertical scroll bar. In addition, the anomaly list screen has a pie chart showing the percentage of elapsed time and a breakdown of elapsed time, a pie chart showing the percentage of
図11に戻り、ステップS302の処理が完了すると、次いで、データ可視化部250は運用端末300からアノマリ情報の指定を受け付けるまで待機する(ステップS303:NO)。データ可視化部250はアノマリ情報の指定を受け付けると(ステップS303:YES)、アノマリ詳細画面を表示する(ステップS304)。より詳しくは、データ可視化部250は指定されたアノマリ情報に関するアノマリ詳細画面を表示する。
Returning to FIG. 11, when the process of step S302 is completed, the
例えば、図12に示すように、アノマリ詳細画面に表示された複数のアノマリ情報の中からポインタPtによりいずれか1つのアノマリ情報を指定して指示(例えばクリックやタップなど)すると、データ可視化部250は、アノマリ情報の指定を受け付ける。本実施形態ではアノマリID「88」のアノマリ情報がポインタPtにより指定されている。データ可視化部250は、アノマリ情報の指定を受け付けると、図13に示すように、指定されたアノマリ情報に関するアノマリ詳細画面を表示する。
For example, as shown in FIG. 12, when any one of the anomaly information is specified and instructed (for example, click or tap) from a plurality of anomaly information displayed on the anomaly detail screen by the pointer Pt, the
特に、データ可視化部250は指定されたアノマリ情報に含まれるホストマシン110の名称及び監視対象リソースの名称に基づいて、データ記憶部220からこれらの名称を含む監視データを抽出してグラフ化し、グラフ化した監視データを表すグラフGR1をアノマリ詳細画面内に表示する。抽出した監視データにはアノマリデータと非アノマリデータが混在するため、データ可視化部250はアノマリデータをグラフ化した部分に対しマークM1を付与して強調して表示する。
In particular, the
また、データ可視化部250は指定されたアノマリ情報に含まれるホストマシン110の名称に基づいて、CMDB140からその名称と関連付けられた関連サービス名全てを抽出してアノマリ詳細画面内に表示する。さらに、データ可視化部250は指定されたアノマリ情報に含まれるホストマシン110の名称に基づいて、データ記憶部220からその名称を含むINCチケット及び変更要求チケットを抽出してアノマリ詳細画面内に表示する。特に、尚、データ可視化部250はアノマリ事象の検知日時から前後1時間以内の発行日時が登録されたINCチケット及び変更要求チケットを抽出してアノマリ詳細画面内に表示する。尚、図13では、イベント監視サーバ170が発行したINCチケットが示されているが、利用者端末が発行したINCチケットであってもよい。
Further, the
以上、第1実施形態によれば、分析サーバ200はアノマリ検知部230、表示順序制御部240、及びデータ可視化部250を含んでいる。アノマリ検知部230は監視対象システム100に含まれる複数のホストマシン110の監視データに基づき、複数のホストマシン110のいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を実行する。複数のアノマリ事象が検知された場合、表示順序制御部240は監視対象システム100で実行される複数のサービス間の関係を示す構成情報を記憶するCMDB140を参照する。そして、表示順序制御部240は検知された複数のアノマリ事象それぞれの発生元のホストマシン110ごとに、該ホストマシン110で実行されるサービスに対して特定の関係性を有する他のサービスの数を関連サービス数として特定する。データ可視化部250は検知された複数のアノマリ事象に関するアノマリ情報を、特定した関連サービス数に応じた表示順序で運用端末300の表示部320に表示する。これにより、アノマリ事象対応の遅延による問題の発生を抑制することができる。
As described above, according to the first embodiment, the
また、アノマリ検知部230は監視対象システム100に含まれる複数の監視対象リソースの監視データに基づき、複数の監視対象リソースのいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を実行する。複数のアノマリ事象が検知された場合、表示順序制御部240は検知された複数のアノマリ事象それぞれの発生元の監視対象リソースごとに、該監視対象リソースについて発生したアノマリ事象の連続検知数を算出する。データ可視化部250は検知された複数のアノマリ事象に関するアノマリ情報を、算出した連続検知数に応じた表示順序で運用端末300の表示部320に表示する。このような処理によっても同様に、アノマリ事象対応の遅延による問題の発生を抑制することができる。
Further, the
(第2実施形態)
続いて、図14から図16を参照して、本件の第2実施形態について説明する。
(Second Embodiment)
Subsequently, the second embodiment of the present case will be described with reference to FIGS. 14 to 16.
図14及び図15はアノマリ一覧画面の他の一例である。図16はアノマリ詳細画面の他の一例である。第2実施形態では、表示順序制御部240は、複数のアノマリ事象が検知された場合、検知された複数のアノマリ事象それぞれの発生元のホストマシン110を特定する。一方、データ可視化部250は、表示順序制御部240が特定したホストマシン110が共通し、かつ、特定したホストマシン110で発生したアノマリ事象の検知日時の差が閾値時間以内であると判断した場合、検知された複数のアノマリ事象に関するアノマリ情報を集約した代表のアノマリ情報を表示する。
14 and 15 are other examples of the anomaly list screen. FIG. 16 is another example of the anomaly detail screen. In the second embodiment, when a plurality of anomaly events are detected, the display
これにより、図14に示すように、「ホスト5」の名称を有する2つの共通するホストマシン110のアノマリ情報について、検知日時の差が閾値時間(例えば5分)以内である場合には、データ可視化部250は、アノマリ情報を集約して表示することが可能であることを提示する集約マークG1を表示する。そして、ポインタPtにより集約マークG1が指定されて指示されると、データ可視化部250は、その指示に基づいて、図15に示すように、優先順位が高い方のアノマリ情報に低い方のアノマリ情報を集約し、優先順位が高い方のアノマリ情報を代表のアノマリ情報として表示する。
As a result, as shown in FIG. 14, when the difference between the detection dates and times is within the threshold time (for example, 5 minutes) for the anomaly information of the two
そして、データ可視化部250は代表のアノマリ情報を表示するとともに、その代表のアノマリ情報に集約マークG2を付与して表示する。ポインタPtにより集約マークG2が指定されて指示されると、データ可視化部250は、その指示に基づいて、図14に示すように、代表のアノマリ情報を展開する。尚、アノマリ情報を集約した場合、データ可視化部250は、集約前の監視対象リソースの名称全てを表示するが、監視対象リソース以外の表示項目(例えば連続検知数や関連サービス数など)については、代表のアノマリ情報の表示項目を優先して表示する。
Then, the
一方、図15に示すように、集約マークG2が表示されたアノマリ情報の表示領域から集約マークG2の表示領域を除いた残りの領域がポインタPtにより指定されて指示されると、データ可視化部250は、指定されたアノマリ情報の指定を受け付ける。データ可視化部250は、アノマリ情報の指定を受け付けると、図16に示すように、指定されたアノマリ情報に関するアノマリ詳細画面を表示する。この場合、アノマリ詳細画面は集約前の監視対象リソースのそれぞれの監視データを抽出してグラフ化し、グラフ化したそれぞれの監視データを表すグラフGR1,GR2をアノマリ詳細画面内に表示する。第1実施形態でも説明したように、抽出した監視データにはアノマリデータと非アノマリデータが混在するため、データ可視化部250はアノマリデータをグラフ化した部分に対しマークM1,M2を付与して強調して表示する。これにより、共通するホストマシン110に発生した複数のアノマリ事象に対し運用者はまとめて対応することができる。
On the other hand, as shown in FIG. 15, when the remaining area excluding the display area of the aggregate mark G2 from the display area of the anomaly information on which the aggregate mark G2 is displayed is designated and instructed by the pointer Pt, the
尚、データ可視化部250は、構成情報を記憶するCMDB140を参照して、特定したホストマシン110それぞれで実行されるサービス間に特定の関係性があると判断した場合、特定の関係性があると判断されたサービスを実行するホストマシン110それぞれで発生したアノマリ事象に関するアノマリ情報を並べて表示してもよい。特定の関係性とは、例えば関連するサービスの有無、及び検知日時が閾値時間以内であるか否かなどがある。
When the
これにより、例えば「ホスト5」の名称を有するホストマシン110が実行するサービスと「ホスト4」の名称を有するホストマシン110が実行するサービスが関連しており、かつ、検知日時の差が閾値時間(例えば5分)以内である場合には、データ可視化部250は特定の関係性があると判断し、図14に示すように、「ホスト5」の名称を有するアノマリ情報と「ホスト4」の名称を有するアノマリ情報を優先度の高い方に並べて表示する。尚、アノマリ情報を並べて表示する場合、並べる前のアノマリ情報を残しておいてもよいし、表示対象から除外してもよい。本実施形態では、「ホスト4」の名称を有するアノマリ情報を残して表示している。これにより、サービスが関連する複数のアノマリ事象に対し運用者はまとめて対応することができる。
As a result, for example, the service executed by the
以上、本発明の好ましい実施形態について詳述したが、本発明に係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。例えば、上述した第1処理から第3処理の少なくとも1つは、管理サーバ190など、分析サーバ200以外の各種サーバが実行してもよいし、運用端末300が実行してもよい。
Although the preferred embodiments of the present invention have been described in detail above, the present invention is not limited to the specific embodiments of the present invention, and various modifications are made within the scope of the gist of the present invention described in the claims.・ Can be changed. For example, at least one of the first to third processes described above may be executed by various servers other than the
なお、以上の説明に関して更に以下の付記を開示する。
(付記1)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータに実行させることを特徴とする順序制御プログラム。
(付記2)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータに実行させることを特徴とする順序制御プログラム。
(付記3)前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、処理を実行させることを特徴とする付記1又は2に記載の順序制御プログラム。
(付記4)前記アノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、処理を実行させることを特徴とする付記1から3のいずれか1項に記載の順序制御プログラム。
(付記5)計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、処理を実行させることを特徴とする付記4に記載の順序制御プログラム。
(付記6)複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、処理を実行させることを特徴とする付記1から5のいずれか1項に記載の順序制御プログラム。
(付記7)複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、処理を実行させることを特徴とする付記1から6のいずれか1項に記載の順序制御プログラム。
(付記8)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータが実行することを特徴とする順序制御方法。
(付記9)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータが実行することを特徴とする順序制御方法。
(付記10)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理を実行する処理部を有することを特徴とする情報処理装置。
(付記11)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理を実行する処理部を有することを特徴とする情報処理装置。
(付記12)前記処理部は、前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、ことを特徴とする付記10又は11に記載の情報処理装置。
(付記13)前記処理部は、前記アノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、ことを特徴とする付記10から12のいずれか1項に記載の情報処理装置。
(付記14)前記処理部は、計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、ことを特徴とする付記13に記載の情報処理装置。
(付記15)前記処理部は、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、ことを特徴とする付記10から14のいずれか1項に記載の情報処理装置。
(付記16)前記処理部は、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、ことを特徴とする付記10から15のいずれか1項に記載の情報処理装置。
The following additional notes will be further disclosed with respect to the above explanation.
(Appendix 1) Based on the monitoring data of a plurality of machines included in the system, anomaly event detection processing for detecting an anomaly event generated in any of the plurality of machines is performed, and when a plurality of anomaly events are detected, the above With reference to a storage unit that stores information indicating the relationship between multiple services executed in the system, for each of the machines that originated each of the detected multiple anomaly events, for the service executed on that machine. The computer processes the process of identifying the number of other services having a specific relationship and displaying the detected information on the plurality of anomaly events on the display unit in an order according to the number of the identified other services. An order control program characterized by being executed by a computer.
(Appendix 2) When anomaly event detection processing is performed to detect anomaly events that have occurred in any of the multiple monitoring targets based on the monitoring data of multiple monitoring targets included in the system, and multiple anomaly events are detected. , The detection frequency of the anomaly event that occurred for the monitored target is calculated for each of the monitoring targets of the occurrence source of each of the plurality of detected anomaly events, and the information about the detected plurality of anomaly events is calculated. An order control program characterized by having a computer execute a process that is displayed on the display unit in an order according to the frequency.
(Appendix 3) The incident information that identifies the number of incident information based on an event that can cause a decrease in the service level of a plurality of services executed by the system, and identifies information on the detected plurality of anomaly events. The order control program according to
(Appendix 4) A process of measuring the time elapsed since the detection of the anomaly event and displaying the detected information on the plurality of anomaly events in the order corresponding to the measured time is executed. The order control program according to any one of
(Appendix 5) The sequence control program according to
(Appendix 6) When a plurality of anomaly events are detected, the machine from which each of the detected plurality of anomaly events is generated is identified, and information indicating the relationship between the plurality of services executed by the system is stored. When it is determined that there is a specific relationship between the services executed by each of the specified machines by referring to the storage unit, it occurs in each machine executing the service determined to have the specific relationship. The order control program according to any one of
(Appendix 7) When a plurality of anomaly events are detected, the machine from which each of the detected plurality of anomaly events is generated is specified, and the identified machines are common and the anomalies generated in the specified machine are common. When it is determined that the difference in the detection time of the event is within the threshold time, the representative information that aggregates the information on the plurality of detected anomaly events is displayed, and the processing is executed. The order control program according to any one of the above items.
(Appendix 8) Based on the monitoring data of a plurality of machines included in the system, anomaly event detection processing for detecting an anomaly event generated in any of the plurality of machines is performed, and when a plurality of anomaly events are detected, the above-mentioned With reference to a storage unit that stores information indicating the relationship between multiple services executed in the system, for each of the machines that originated each of the detected multiple anomaly events, for the service executed on that machine. The computer processes the process of identifying the number of other services having a specific relationship and displaying the detected information on the plurality of anomaly events on the display unit in an order according to the number of the identified other services. An order control method characterized by the execution of.
(Appendix 9) When anomaly event detection processing is performed to detect anomaly events that have occurred in any of the plurality of monitoring targets based on the monitoring data of a plurality of monitoring targets included in the system, and a plurality of anomaly events are detected. , The detection frequency of the anomaly event that occurred for the monitored target is calculated for each of the monitored targets of the source of each of the detected plurality of anomaly events, and the information about the detected plurality of anomaly events is calculated. An order control method characterized in that a computer executes processing, which is displayed on a display unit in an order according to frequency.
(Appendix 10) Based on the monitoring data of a plurality of machines included in the system, anomaly event detection processing for detecting an anomaly event generated in any of the plurality of machines is performed, and when a plurality of anomaly events are detected, the above-mentioned With reference to a storage unit that stores information indicating the relationship between a plurality of services executed by the system, for each of the machines from which each of the plurality of anomaly events detected is generated, for the service executed by the machine. The process of identifying the number of other services having a specific relationship and displaying the detected information on the plurality of anomaly events on the display unit in the order according to the number of the identified other services is executed. An information processing device characterized by having a processing unit for processing.
(Appendix 11) When anomaly event detection processing is performed to detect anomaly events that have occurred in any of the plurality of monitoring targets based on the monitoring data of a plurality of monitoring targets included in the system, and a plurality of anomaly events are detected. , The detection frequency of the anomaly event that occurred for the monitored target was calculated for each of the monitored targets of the occurrence source of each of the plurality of detected anomaly events, and the information about the detected plurality of anomaly events was calculated. An information processing apparatus having a processing unit for executing processing, which is displayed on the display unit in an order according to frequency.
(Appendix 12) The processing unit identifies the number of incident information based on an event that can cause a decrease in the service level of a plurality of services executed by the system, and obtains information on the detected plurality of anomaly events. The information processing apparatus according to Appendix 10 or 11, wherein the information processing apparatus is displayed in an order corresponding to the number of the specified incident information.
(Appendix 13) The processing unit measures the time elapsed since the detection of the anomaly event, and displays the information regarding the detected plurality of anomaly events in the order corresponding to the measured time. The information processing apparatus according to any one of Supplementary note 10 to 12, wherein the information processing apparatus is characterized by the above-mentioned
(Supplementary Note 14) The information processing apparatus according to Supplementary Note 13, wherein the processing unit displays information on the detected plurality of anomaly events at a higher level as the measured time becomes shorter.
(Appendix 15) When a plurality of anomaly events are detected, the processing unit identifies the machine from which each of the detected plurality of anomaly events is generated, and determines the relationship between the plurality of services executed by the system. When it is determined that there is a specific relationship between the services executed on each of the specified machines by referring to the storage unit that stores the indicated information, the service determined to have the specific relationship is executed. The information processing apparatus according to any one of Supplementary note 10 to 14, wherein information on anomaly events generated in each machine is displayed side by side.
(Appendix 16) When a plurality of anomaly events are detected, the processing unit identifies the machine from which each of the detected plurality of anomaly events is generated, and the identified machines are common and specified. When it is determined that the difference in the detection time of the anomaly event generated in the machine is within the threshold time, the representative information that aggregates the information on the plurality of detected anomaly events is displayed. The information processing apparatus according to any one of 15.
S 情報処理システム
100 監視対象システム
110 ホストマシン
130 構成収集サーバ
140 CMDB
150 性能監視サーバ
170 イベント監視サーバ
190 管理サーバ
200 分析サーバ
210 データ収集部
220 データ記憶部
230 アノマリ検知部
240 表示順序制御部
250 データ可視化部
300 運用端末
S
150
Claims (10)
複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、
前記複数のアノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示し、
計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理をコンピュータに実行させることを特徴とする順序制御プログラム。 Based on the monitoring data of a plurality of machines included in the system, anomaly event detection processing for detecting an anomaly event occurring in any of the plurality of machines is performed.
When a plurality of anomaly events are detected, each of the machines from which the plurality of anomaly events are detected is referred to by referring to a storage unit that stores information indicating the relationship between the plurality of services executed by the system. To identify the number of other services that have a particular relationship to the services running on that machine.
The time elapsed since the detection of the multiple anomaly events was measured, and the time elapsed was measured.
Information about the detected plurality of anomaly events is displayed on the display unit in an order according to the number of the specified other services.
The shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed .
An order control program characterized by having a computer perform processing.
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、
前記複数のアノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示し、
計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理をコンピュータに実行させることを特徴とする順序制御プログラム。 Based on the monitoring data of a plurality of monitoring targets included in the system, anomaly event detection processing for detecting an anomaly event that has occurred in any of the plurality of monitoring targets is performed.
When a plurality of anomaly events are detected, the detection frequency of the anomaly events that have occurred for the monitored target is calculated for each monitoring target of the source of each of the detected plurality of anomaly events.
The time elapsed since the detection of the multiple anomaly events was measured, and the time elapsed was measured.
Information on the detected plurality of anomaly events is displayed on the display unit in the order according to the calculated detection frequency.
The shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed .
An order control program characterized by having a computer perform processing.
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、When multiple anomaly events are detected, the machine from which each of the detected multiple anomaly events is generated is identified.
特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示部に表示する、When it is determined that the specified machines are common and the difference in the detection time of the anomaly events that occurred in the specified machine is within the threshold time, the representative that aggregates the information on the plurality of detected anomaly events. Display information on the display
処理をコンピュータに実行させることを特徴とする順序制御プログラム。An order control program characterized by having a computer perform processing.
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、 When multiple anomaly events are detected, the machine from which each of the detected multiple anomaly events is generated is identified.
特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示部に表示する、When it is determined that the specified machines are common and the difference in the detection time of the anomaly events that occurred in the specified machine is within the threshold time, the representative that aggregates the information on the plurality of detected anomaly events. Display information on the display
処理をコンピュータに実行させることを特徴とする順序制御プログラム。An order control program characterized by having a computer perform processing.
検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、
処理を実行させることを特徴とする請求項1から4のいずれか1項に記載の順序制御プログラム。 Identify the number of incident information based on events that can cause service level degradation for multiple services running on the system.
Information about the plurality of detected anomaly events is displayed in an order according to the number of the identified incident information.
The order control program according to any one of claims 1 to 4, wherein the process is executed.
前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、
処理を実行させることを特徴とする請求項1から5のいずれか1項に記載の順序制御プログラム。 When multiple anomaly events are detected, the machine from which each of the detected multiple anomaly events is generated is identified.
When it is determined that there is a specific relationship between the services executed on each of the specified machines by referring to the storage unit that stores the information indicating the relationship between the plurality of services executed by the system, the specification is performed. Display side-by-side information about anomaly events that occurred on each machine running a service that was determined to be related to
The order control program according to any one of claims 1 to 5, wherein the process is executed.
複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、
前記複数のアノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示し、
計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理をコンピュータが実行することを特徴とする順序制御方法。 Based on the monitoring data of a plurality of machines included in the system, anomaly event detection processing for detecting an anomaly event occurring in any of the plurality of machines is performed.
When a plurality of anomaly events are detected, each of the machines from which the plurality of anomaly events are detected is referred to by referring to a storage unit that stores information indicating the relationship between the plurality of services executed by the system. To identify the number of other services that have a particular relationship to the services running on that machine.
The time elapsed since the detection of the multiple anomaly events was measured, and the time elapsed was measured.
Information about the detected plurality of anomaly events is displayed on the display unit in an order according to the number of the specified other services.
The shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed .
An order control method characterized by a computer performing processing.
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、
前記複数のアノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示し、
計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理をコンピュータが実行することを特徴とする順序制御方法。 Based on the monitoring data of a plurality of monitoring targets included in the system, anomaly event detection processing for detecting an anomaly event that has occurred in any of the plurality of monitoring targets is performed.
When a plurality of anomaly events are detected, the detection frequency of the anomaly events that have occurred for the monitored target is calculated for each monitoring target of the source of each of the detected plurality of anomaly events.
The time elapsed since the detection of the multiple anomaly events was measured, and the time elapsed was measured.
Information on the detected plurality of anomaly events is displayed on the display unit in the order according to the calculated detection frequency.
The shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed .
An order control method characterized by a computer performing processing.
複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、
前記複数のアノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示し、
計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理を実行する処理部を有することを特徴とする情報処理装置。 Based on the monitoring data of a plurality of machines included in the system, anomaly event detection processing for detecting an anomaly event occurring in any of the plurality of machines is performed.
When a plurality of anomaly events are detected, each of the machines from which the plurality of anomaly events are detected is referred to by referring to a storage unit that stores information indicating the relationship between the plurality of services executed by the system. To identify the number of other services that have a particular relationship to the services running on that machine.
The time elapsed since the detection of the multiple anomaly events was measured, and the time elapsed was measured.
Information about the detected plurality of anomaly events is displayed on the display unit in an order according to the number of the specified other services.
The shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed .
An information processing device characterized by having a processing unit that executes processing.
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、
前記複数のアノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示し、
計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理を実行する処理部を有することを特徴とする情報処理装置。 Based on the monitoring data of a plurality of monitoring targets included in the system, anomaly event detection processing for detecting an anomaly event that has occurred in any of the plurality of monitoring targets is performed.
When a plurality of anomaly events are detected, the detection frequency of the anomaly events that have occurred for the monitored target is calculated for each monitoring target of the source of each of the detected plurality of anomaly events.
The time elapsed since the detection of the multiple anomaly events was measured, and the time elapsed was measured.
Information on the detected plurality of anomaly events is displayed on the display unit in the order according to the calculated detection frequency.
The shorter the measured time, the higher the information about the detected plurality of anomaly events is displayed .
An information processing device characterized by having a processing unit that executes processing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018012552A JP7027912B2 (en) | 2018-01-29 | 2018-01-29 | Order control program, order control method, and information processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018012552A JP7027912B2 (en) | 2018-01-29 | 2018-01-29 | Order control program, order control method, and information processing device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019133246A JP2019133246A (en) | 2019-08-08 |
JP7027912B2 true JP7027912B2 (en) | 2022-03-02 |
Family
ID=67547476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018012552A Active JP7027912B2 (en) | 2018-01-29 | 2018-01-29 | Order control program, order control method, and information processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7027912B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008217285A (en) | 2007-03-02 | 2008-09-18 | Hitachi Ltd | Operation management apparatus and operation management method for information processing system |
WO2013098915A1 (en) | 2011-12-26 | 2013-07-04 | 株式会社日立製作所 | Management server, management system, and management method |
WO2013128550A1 (en) | 2012-02-27 | 2013-09-06 | 株式会社日立製作所 | Monitoring system and monitoring program |
US20170010930A1 (en) | 2015-07-08 | 2017-01-12 | Cisco Technology, Inc. | Interactive mechanism to view logs and metrics upon an anomaly in a distributed storage system |
JP2017126283A (en) | 2016-01-15 | 2017-07-20 | 富士通株式会社 | Detection program, detection method and detection device |
JP2017126282A (en) | 2016-01-15 | 2017-07-20 | 富士通株式会社 | Detection program, detection method and detection device |
-
2018
- 2018-01-29 JP JP2018012552A patent/JP7027912B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008217285A (en) | 2007-03-02 | 2008-09-18 | Hitachi Ltd | Operation management apparatus and operation management method for information processing system |
WO2013098915A1 (en) | 2011-12-26 | 2013-07-04 | 株式会社日立製作所 | Management server, management system, and management method |
WO2013128550A1 (en) | 2012-02-27 | 2013-09-06 | 株式会社日立製作所 | Monitoring system and monitoring program |
US20170010930A1 (en) | 2015-07-08 | 2017-01-12 | Cisco Technology, Inc. | Interactive mechanism to view logs and metrics upon an anomaly in a distributed storage system |
JP2017126283A (en) | 2016-01-15 | 2017-07-20 | 富士通株式会社 | Detection program, detection method and detection device |
JP2017126282A (en) | 2016-01-15 | 2017-07-20 | 富士通株式会社 | Detection program, detection method and detection device |
Also Published As
Publication number | Publication date |
---|---|
JP2019133246A (en) | 2019-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5874936B2 (en) | Operation management apparatus, operation management method, and program | |
EP2523115B1 (en) | Operation management device, operation management method, and program storage medium | |
US9424157B2 (en) | Early detection of failing computers | |
JP4990018B2 (en) | Apparatus performance management method, apparatus performance management system, and management program | |
US20160378583A1 (en) | Management computer and method for evaluating performance threshold value | |
US20160224400A1 (en) | Automatic root cause analysis for distributed business transaction | |
JP6981063B2 (en) | Display control program, display control method, and display control device | |
CN116089482A (en) | Analyzing large-scale data processing jobs | |
US9021078B2 (en) | Management method and management system | |
JP5740338B2 (en) | Virtual environment operation support system | |
JP2008158889A (en) | Trouble factor detection program, trouble factor detection method and trouble factor detector | |
JP2004348640A (en) | Method and system for managing network | |
JP7027912B2 (en) | Order control program, order control method, and information processing device | |
JP6845657B2 (en) | Management server, management method and its program | |
JP5519436B2 (en) | Information analysis apparatus, information analysis method, information analysis system and program for analyzing system stability | |
JP5747765B2 (en) | Failure analysis apparatus, failure analysis method, and program | |
JP2018063518A5 (en) | ||
JP2010130436A (en) | Communication band calculation method and apparatus, and traffic management method | |
WO2018131147A1 (en) | Management system, management device, and management method | |
JP2019168760A (en) | Access method estimation system, and access method estimation method | |
JP7135831B2 (en) | Analysis program and analyzer | |
JP7267225B2 (en) | Monitoring system, monitoring device and monitoring method | |
US11860757B2 (en) | Apparatus and method for determining the performance impact of changes in a computing system | |
JP2022133094A (en) | Anomaly factor determination method and anomaly factor determination program | |
JP2023136444A (en) | Analysis program, analysis method, and information processing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210929 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220118 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220131 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7027912 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |