JP7294443B2 - 情報流通システム、監視装置及び情報流通方法 - Google Patents

情報流通システム、監視装置及び情報流通方法 Download PDF

Info

Publication number
JP7294443B2
JP7294443B2 JP2021554792A JP2021554792A JP7294443B2 JP 7294443 B2 JP7294443 B2 JP 7294443B2 JP 2021554792 A JP2021554792 A JP 2021554792A JP 2021554792 A JP2021554792 A JP 2021554792A JP 7294443 B2 JP7294443 B2 JP 7294443B2
Authority
JP
Japan
Prior art keywords
information
unit
know
log message
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021554792A
Other languages
English (en)
Other versions
JPWO2021090503A1 (ja
Inventor
真一郎 後藤
弘之 藤原
良一 林
将司 外山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021090503A1 publication Critical patent/JPWO2021090503A1/ja
Application granted granted Critical
Publication of JP7294443B2 publication Critical patent/JP7294443B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、情報流通システム、監視装置、共有装置及び情報流通方法に関する。
近年IT(Information Technology)システムの担う機能は複雑化の一途をたどり、それに伴いシステムの構成も大規模化、分散化しつつある。このようなITシステムを健全に運用するため、システムから出力されるログファイルを監視及び分析する技術の重要性もまた高まっている。
システムから出力される膨大なログファイルから、有用な情報を効率的に収集し、分析する技術として多くのものが提案されている(例えば、特許文献1を参照)。特許文献1に記載の技術は、ログファイルに記録される多種、大量のログメッセージを短時間で分析する技術であり、類似の複数ログメッセージを集約し、集約したログメッセージ単位に識別番号を付与することにより、ログメッセージを識別番号の時系列集合に変換する処理を実施する。変換された時系列集合によれば、出力状況の分析を行うことができる。
国際公開第2018/186314号
しかしながら、特許文献1に記載の技術には、ログの分析に関する情報を組織間で利用可能に流通させることが困難な場合があるという問題がある。特許文献1の技術は、コンテンツに対してシステム内の独自のルールで辞書情報として管理する技術であり、流通までは対応していない。例えば、自システムの辞書情報を他システムにそのまま渡しても、他のシステムでは利用することができない。
上述した課題を解決し、目的を達成するために、情報流通システムは、それぞれに対応付けられたITシステムを監視する複数の監視装置と、前記監視装置との間で情報の送受信を行う共有装置と、を有する情報流通システムであって、前記複数の監視装置のそれぞれは、前記ITシステムから出力されるログメッセージを基に障害を検知するための情報である検知情報、及び、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である対処手順情報を少なくとも含むノウハウ情報を前記共有装置に提供する提供部と前記共有装置によって管理されている前記ノウハウ情報を取得する取得部と、を有し前記共有装置は、前記複数の監視装置によって提供される前記ノウハウ情報を収集し、収集したノウハウ情報をマージして管理する収集部と、前記複数の監視装置に前記ノウハウ情報を配布する配布部と、を有することを特徴とする。
本発明によれば、ログの分析に関する情報を組織間で利用可能に流通させることができる。
図1は、流通システムの構成例を示す図である。 図2は、監視装置の構成例を示す図である。 図3は、辞書情報の一例を示す図である。 図4は、検知情報の一例を示す図である。 図5は、対処手順情報の一例を示す図である。 図6は、共有装置の構成例を示す図である。 図7は、監視する処理の流れの一例を示すシーケンス図である。 図8は、ログメッセージを整形する処理の流れの一例を示すフローチャートである。 図9は、対処の要否を判定する処理の流れの一例を示すフローチャートである。 図10は、ブラックリスト及びホワイトリストの作成方法を説明するための図である。 図11は、IDの付与方法を説明するための図である。 図12は、判定処理の結果の一例を示す図である。 図13は、ノウハウ情報を更新する処理の流れの一例を示すシーケンス図である。 図14は、白黒判断のためのGUIの一例を示す図である。 図15は、ノウハウ情報を取得する処理の流れの一例を示すシーケンス図である。 図16は、ルール変換ロジックを作成する処理の流れの一例を示すフローチャートである。 図17は、ルールを変換する処理の流れの一例を示すフローチャートである。 図18は、ノウハウ情報を提供する処理の流れの一例を示すシーケンス図である。 図19は、ノウハウ情報の一例を示す図である。 図20は、ノウハウ情報の一例を示す図である。 図21は、ノウハウ情報の一例を示す図である。 図22は、ノウハウ情報の一例を示す図である。 図23は、ノウハウ情報の一例を示す図である。 図24は、情報流通プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る情報流通システム、監視装置、共有装置及び情報流通方法の実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
ここで、特許文献1に記載の技術等により、システムの監視及び分析の自動化は進んでいるものの、障害原因の推測や復旧対策の検討等重要事項の判断は、依然として運用者の経験や勘に依存している。そのため運用に係る人件費がシステム運営主体にとって大きな負担となっている。
その一方で、1つの企業体であっても、システムの運用は個々の下部組織が運営主体となって実施していることが多いという現状がある。そのため、複数の運営主体において同様の障害が発生しても、障害発生のタイミングや運営主体ごとのシステム運用スキルや経験に差があるにもかかわらず、障害の分析及び対処が個々の運営主体に閉じて行われているため、システム復旧までにかかるコストにも差が生じることとなってしまう。特に、システム運用を開始する初期の段階では、全ての障害に対し未経験なことより、頻繁に発生するシステム障害への対応に多大なコストがかかってしまう。
また、そのような傾向があることを予想して、監視システムにおいて、アラートを挙げるログメッセージのレベルを下げる設定をすることもある。その結果、システム障害とは何の関係もないログメッセージに関してもアラートが大量に挙がってしまい、システム障害が何も発生していないにもかかわらず全てのアラートを確認する人的稼働が発生してしまい、却って障害と関係のあるログメッセージを見逃してしまうことも起こりえる。逆に、アラートを挙げるログメッセージのレベルを上げ過ぎる設定をすると、既知の障害は検知するが未知の障害は見逃してしまう。このように、システム運用開始の段階でも、ある程度の障害対処のノウハウが必要とされる。
そこで、機密保持等データ授受に係る諸条件を満足した上で、障害への対処に関する情報を異なる組織、さらには異なる企業の間で共有することができれば、初見の障害でも即対処することができるため、障害復旧のスピードが向上してシステムが安定するとともに、これまで、初見の障害に対して対処方法を確立させるためにかかっていた運用コストも削減できる。なお、以降の説明では、組織には、企業及び企業内の部署等が含まれるものとする。
異なる組織間で情報の流通をする技術としては、各組織が個別に識別番号を付与し管理するコンテンツを、複数の組織同士で利用する目的で、送信側及び受信側のいずれとも異なる第3の識別番号を付与してコンテンツを流通させる技術がある。これは、送信中に識別番号が流出し、送信側及び受信側のいずれかの組織に不正アクセスがあっても、該当する関連の情報を保護できるというものである。
一方で、ログ分析に関するコンテンツを組織内で管理する際、コンテンツが複数存在する場合にはコンテンツ間を関連付ける情報として管理ルールが必要である。セキュリティ要件を満足して組織を跨る流通が可能となったとしても、コンテンツだけを流通させても管理ルールが流通しなければ、コンテンツ間の関係が不明となり、利用できなくなるので、コンテンツの送受信側双方において、複数コンテンツとともにその互いの管理ルールとを管理する必要がある。この場合、管理コストを抑えるためコンテンツの重複は排除される必要がある。
そのため、ログ分析に関するコンテンツを流通させる場合には、自システムと送受信が発生するシステムごとに、複数コンテンツとともに互いの管理ルールを管理する必要があり、各システムの管理コストが増大する。そのため、例えばAとB、AとCと情報やり取りしたらAとB、AとCの対応表が必要になる。また、B,Cから同一のコンテンツが送信されたとしても、チェックによる重複排除をせずに、異なるシステムの間のやり取りを記録する必要があるため、全てのコンテンツの管理が必要になる。
本実施形態の情報流通システムは、管理コストを抑えて、ログの分析に関する情報を複数組織間で利用可能にして流通させることを1つの目的としている。図1は、流通システムの構成例を示す図である。図1に示すように、情報流通システム1は、組織ごとの監視システム及び共有装置を有する。例えば、A社の監視システム1Aは、監視装置10A、端末20A及びITシステム30Aを有する。ここで、各装置及びシステムの符号を、組織を区別せずに、監視装置10、端末20及びITシステム30のように表記する場合がある。共有装置50は、各組織の監視システムとデータ通信が可能であり、情報を共有するための共有センタとして機能する。
監視装置10は、ITシステム30の監視及び運用を行うための装置である。監視装置10は、共有装置50にITシステム30の監視に関するノウハウ情報を提供し、共有装置50からノウハウ情報を取得する。また、共有装置50は、監視装置10から収集したノウハウ情報をマージし管理する。そして、共有装置50は、管理しているノウハウ情報を監視装置10に配布する。ノウハウ情報には、後述する検知情報、対処手順情報及び辞書情報等が含まれる。さらに、ノウハウ情報にドキュメント情報が含まれていてもよい。
各組織の監視装置10は、独自のルールでノウハウ情報を管理している。共有装置50は、ノウハウ情報を収集し、共通化した上で各組織の監視装置10に配布する。なお、共有装置50は、ITシステムの監視及び運用を行わないものであってもよいし、ITシステムの監視及び運用を兼ねるものであってもよい。また、共有装置50は、各組織からの問合せに対し、当該組織のシステムで発生した事象を再現するためのシステムを構築するものであってもよい。
図2を用いて、監視装置10の構成を説明する。図2は、監視装置の構成例を示す図である。図2に示すように、監視装置10は、転送部101、整形部102、分析部103、判定部104、更新部105、支援部106、通知部107、取得部150及び提供部160を有する。また、監視装置10は、監視関連情報120及び分析関連情報140を記憶する。監視関連情報120は、対処要否情報121、検知情報122、対処手順情報123及びドキュメント情報124を含む。また、分析関連情報140は、出力ログ情報141及び辞書情報142を含む。また、対処要否情報121は、要対処情報1211、対処不要情報1212及び対処要否不明情報1213を含む。
ここで、監視装置10が記憶する情報のうち、検知情報122及び対処手順情報123がノウハウ情報に含まれる。また、ノウハウ情報は、さらに辞書情報142を含んでいてもよい。
図3に示すように、辞書情報142は、IDと文字列の抽象的表現を対応付けた情報である。図3は、辞書情報の一例を示す図である。辞書情報142は、検知情報122と対処手順情報123を関連付ける情報であり、ログメッセージの抽象的表現をIDにより識別するための情報である。
ログメッセージの内容は、個々のログメッセージごとに異なる部分と、不変の部分とが存在することが考えられる。そこで、異なる部分を共通的な表現で表すことができれば、複数のログメッセージを1つの形式に集約することができる。辞書情報142は、正規表現により複数のログメッセージを1つの形式に集約するための情報である。正規表現は、抽象的表現の一例である。
また、辞書情報142のように、ログメッセージの抽象的表現単位に識別番号を付与することにより、個々のログメッセージ単位に識別番号を付与する場合に比べて、新たに付与する識別番号の絶対数を抑制することができるため、管理するデータレコード数を少なくすることが可能となる。
検知情報122は、ITシステム30から出力されるログメッセージを基に障害を検知するための情報である。図4は、検知情報の一例を示す図である。図4に示すように、検知情報122は、ログメッセージがブラックリスト及びホワイトリストのどちらに含まれるかを示す情報である。
また、対処手順情報123は、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である。図5は、対処手順情報の一例を示す図である。図5に示すように、対処手順情報123は、対処手順ドキュメントのファイル名である。なお、対処手順ドキュメントのファイルの実体は、ドキュメント情報124である。
ノウハウ情報に含まれる各情報は、組織内部で更新されるものとする。すなわち、初見のログメッセージを検知した場合には、当該ログメッセージには、独自に新規の識別番号が付与される。そして、当該ログメッセージは、ブラックリスト及びホワイトリストのいずれにも該当するものはないため、「グレー」という扱いとして、別途内容を確認し、「ブラック」「ホワイト」のいずれかに紐付けされる。
当該ログメッセージに関する初見の障害については、対処し復旧したことを確認した後、その一連の手順がドキュメントとしてまとめられ、ドキュメントの情報は対処手順情報123及びドキュメント情報124に追加される。そして、以降同様の障害が発生した場合には、追加されたドキュメントに沿って対処が行われる。
図2に戻り、転送部101は、ITシステム30で出力されるログレコードから構成されるログファイルを、監視装置10に取り込む。整形部102は、ログメッセージを所定の形式に整形する。整形部102は、ログレコード内の情報であるログメッセージを、分析部103が読み込める書式に整形する。
分析部103は、整形部102によって整形されたログメッセージを分析し、所定の種別のいずれかに分類する。また、分析部103は、IDと文字列の抽象的表現を対応付けた辞書情報を基にログメッセージのIDを特定し、IDを基に分類を行う。また、分析部103は、新規のIDを払い出した場合、当該IDを辞書情報142に追加する。
分析部103は、特許文献1に記載の分析装置と同等の機能を有するものであるものとする。すなわち、分析部103は、システムから出力されたテキストログに含まれるメッセージを種別ごとに分類し、分類した各メッセージに、種別ごとに設定されたIDを付与することができる。そして、分析部103は種別を判定部104に受け渡す。
判定部104は、種別及び検知情報122に基づき、ログメッセージが、対処が必要な障害と関連がある要対処情報1211であるか、障害との関連がない対処不要情報1212であるか、障害との関連が不明な対処要否不明情報1213であるかを判定する。
判定部104は、IDの付与されたログメッセージの時系列を、検知情報122に記録されたIDと照合して、ブラックリスト及びホワイトリストのいずれに属するか、あるいはいずれにも属しないかを判定して、障害との関連があって対処が必要な要対処情報1211と、障害との関連がない対処不要情報1212、及び障害との関連が不明な対処要否不明情報1213とに分類することができる。
更新部105は、ユーザの入力に基づき検知情報に含まれるログメッセージに関する情報を更新する。更新部105は、対処要否不明情報1213に該当するログメッセージに紐付くIDと要対処(ブラックリスト対象)と対処不要(ホワイトリスト対象)の関係を、新たに検知情報122に追加する。更新部105はまた、判定部104に検知情報122の更新を反映させるために、判定部104を制御することも可能である。
支援部106は、該当するログメッセージに紐付くIDを要対処もしくは対処不要に分類する操作インタフェースを提供する。
通知部107は、判定部104によって、ログメッセージが要対処情報1211又は対処要否不明情報1213と判定された場合、ログメッセージに関連する障害の対処手順を検索し、通知する。具体的には、通知部107は、要対処情報1211と対処要否不明情報1213を監視対象とし、それぞれの情報の追加を検知したら、端末20に対して警報に相当する情報を送り、該当するIDに関連する障害への対処手順を記載したドキュメントを対処手順情報123及びドキュメント情報124から検索して、端末20に提示する。
取得部150は、共有装置50によって管理されているノウハウ情報を取得する。また、取得部150は、取得したノウハウ情報に含まれる辞書情報と、既存の辞書情報142との対応関係を変換情報154として管理する。また、取得部150は、変換部151、要求部152及び管理部153を有する。
提供部160は、ITシステム30から出力されるログメッセージを基に障害を検知するための情報である検知情報122、及び、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である対処手順情報123を少なくとも含むノウハウ情報を共有装置50に提供する。提供部160は、ノウハウ情報に辞書情報142を含めて提供することができる。さらに、提供部160は、ノウハウ情報にドキュメント情報524を含めて提供することができる。
端末20は、分析部103を操作して、対処要否不明情報1213を分析し、該当する対処要否不明情報1213がこれまで知られていなかった新規の障害と関連するか、もしくは障害とは無関係かを判断するために必要な情報を得ることができる。
図6を用いて、共有装置50の構成を説明する。図6は、監視装置の構成例を示す図である。図6に示すように、共有装置50は、配布部550、収集部560を有する。また、共有装置50は、ノウハウ情報520を記憶する。ノウハウ情報520は、検知情報522、対処手順情報523、ドキュメント情報524及び辞書情報542を含む。
配布部550は、複数の監視装置10にノウハウ情報520を配布する。収集部560は、複数の監視装置10によって提供されるノウハウ情報を収集し、収集したノウハウ情報をマージして管理する。
図7は、監視する処理の流れの一例を示すシーケンス図である。以降、各処理部の間で発生する情報の受け渡し方は、ファイル形式及びストリーム形式のいずれも可能であるものとする。
転送部101は、ITシステム30で出力されるログレコードから構成されるログファイルを、監視装置10内に取り込み(ステップS001)、整形部102に渡す(ステップS002)。
整形部102は、ログレコード内の情報であるログメッセージを、分析部103が読み込める書式に整形して(ステップS003)、整形後の情報を分析部103に渡す(ステップS004)。
分析部103は、ログメッセージを種別ごとに分類し、分類した各メッセージに、種別ごとに設定されたIDを付与し(ステップS005)、IDの付与されたログメッセージの時系列情報として判定部104に渡す(ステップS006)。
判定部104は、IDの付与されたログメッセージの時系列を、検知情報122に記録されたIDと照合して、ブラックリスト及びホワイトリストのいずれに属するか、あるいはいずれにも属しないかを判定して(ステップS007)、障害との関連があって対処が必要な要対処情報1211と、障害との関連がない対処不要情報1212、及び障害との関連が不明な対処要否不明情報1213とに分類して追加する(ステップS008)。
通知部107は、要対処情報1211と対処要否不明情報1213を監視対象とし(ステップS009)、それぞれの情報の追加を検知したら、端末20に対して通知情報を送り(ステップS010)、該当するIDに関連する障害への対処手順を記載したドキュメントを対処手順情報123とドキュメント情報124から検索して(ステップS011)、端末20に通知する(ステップS012)。
図8は、ログメッセージを整形する処理の流れの一例を示すフローチャートである。図8に示す処理は、図7のステップS003の処理に相当する。図8に示すように、整形部102は、整形前の元ログメッセージからタイムスタンプ部分を抽出し(ステップS0031)、タイムスタンプ部分を分析部103が処理可能な形式に変換する(ステップS0032)。さらに、整形部102は、タイムスタンプ、出力したホスト名、ログファイル名、整形前ログメッセージの順にフォーマットを変換して記録する(ステップS0033)。
図9は、対処の要否を判定する処理の流れの一例を示すフローチャートである。図9に示す処理は、図7のステップS007の処理に相当する。図9に示すように、判定部104は、ログメッセージが、ブラックリストにマッチするかどうかを、IDをキー情報として検知情報122から検索して判定する(ステップS0071)。判定部104は、ブラックリストに合致するものがあれば(ステップS0071、Yes)、ログメッセージを要対処情報1211に追加する(ステップS0072)。
次に、判定部104は、ログメッセージが、ホワイトリストにマッチするかどうかを同様の処理で判定する(ステップS0073)。判定部104は、ホワイトリストに合致するものがあれば(ステップS0073、Yes)、ログメッセージを対処不要情報1212に追加する(ステップS0074)。
ログメッセージがいずれにも合致しない場合(ステップS0071、S0073の両方でNo)、判定部104は、ログメッセージを対処要否不明情報1213に追加する(ステップS0075)。
判定部104によるブラックリスト判定、ホワイトリスト判定の順番は、ログを出力するシステムの出力傾向や、監視の方針等に応じて変更することも可能である。例えば、既知の障害を出来るだけ早く検知したければ、判定部104は、ブラックリストとの照合を最初に行ってもよい。一方、既知の対処不要情報1212を早く除去したければ、判定部104は、ホワイトリストとの照合を最初に行ってもよい。
図10は、ブラックリスト及びホワイトリストの作成方法を説明するための図である。図10左側のように検知情報122がDBにより管理されている場合、判定部104は、ステップS007の処理においてその都度DB検索処理を行うことになる。これを避けるため、監視装置10は、図10の右側のように、あらかじめブラックリスト、ホワイトリストをDBから作成し、メモリに記憶しておけば、照合処理に係る計算コストを小さくすることができる。
図11は、IDの付与方法を説明するための図である。図11のログメッセージは、OpenStackを構成するシステムにおいて、ホスト名controller01で表されるコントローラノードのCinder Volumeアプリケーションプログラムから出力されたログメッセージ(ファイル名cinder-volume.log)の1レコードである。
整形部102は、ログメッセージ中のタイムスタンプを抽出し、タイムスタンプ部分を分析部103が処理可能な形式に変換して、さらにタイムスタンプ、出力したホスト名、ログファイル名、整形前ログメッセージの順にフォーマットを変換したものを、整形後ログメッセージとする。分析部103は、整形後ログメッセージにID付与処理を行う。
図12は、判定処理の結果の一例を示す図である。図12の例では、分かりやすくするためにログファイルをテーブル形式で表している。今、図12のようなID付与後のログファイルに対して、判定部104は、ステップS007において、ID=2のログメッセージはホワイトリストに含まれるため、対処不要情報1212と判定する。また、判定部104は、ID=7のログメッセージはブラックリストに含まれるため、要対処情報1211と判定する。また、判定部104は、ID=20のログメッセージはブラックリスト、ホワイトリストのいずれにも含まれないため、対処要否不明情報1213と判定する。
図13は、ノウハウ情報を更新する処理の流れの一例を示すシーケンス図である。ユーザは、端末20を通じて、分析部103に対して分析を指示する(ステップS101)。分析部103は、シーケンスの抽出、有意ログの抽出、余分な情報の除去、パターンの抽出等を、単独又は複数実行し(ステップS102)、その結果を提示する(ステップS103)。
ステップS101~S103は試行錯誤を伴うため、分析部103は、判断をするのに十分な結果を得られるまで分析処理を繰り返し実行する。そして、対処要否不明情報1213に該当するログメッセージへの対処要否の判断(白黒判断)ができるまで情報が得られたとき、利用者は端末20を通じて、該当するログメッセージに紐付くIDをブラック又はホワイトのいずれかに指定する(ステップS104)。
支援部106は、ブラック又はホワイトに指定する指示を更新部105に伝える(ステップS105)。更新部105は、検知情報122に、該当するIDとブラック・ホワイトの指定を追加する(ステップS106)。そして、更新部105は、検知情報122の更新を反映させるために判定部104を制御する(ステップS107)。さらに、更新部105は、該当する新規障害への対処手順が確立した後、該当するIDと、ドキュメントファイル名、ドキュメントファイル実体を、端末20からの操作(ステップS108)を通じて追加する(ステップS109)。
図14は、白黒判断のためのGUIの一例を示す図である。支援部106は、IDとログメッセージ、ブラックかホワイトかを、端末20からユーザに指定させるためのGUIを表示する。図14の画面の左側のグリッドは、IDとログメッセージ、ブラックかホワイトかの指定をリスト表示して、ブラックかホワイトかをラジオボタンで指定させるためのものである。図14の画面の右側は、ログメッセージの時系列を分析した結果を表示する領域である。ユーザは、分析を試行錯誤して、最終的にどのIDのログメッセージが障害と関係するか、あるいは無関係かを判断し、画面操作により指定する。更新部105は、指定を受けて、検知情報122にIID及びログメッセージを追加する。
このように、支援部106は、判定部104によってログメッセージが対処要否不明情報1213であると判定された場合、ログメッセージに関する情報をユーザに通知し、さらにログメッセージが要対処情報1211であるか否かを示す情報の入力を受け付ける。
(情報流通に関する処理)
ここで、提供部160、取得部150、配布部550及び収集部560によって実現される情報流通について詳しく説明する。監視装置10の提供部160は、自システムが独自のルールに基づいて管理する検知情報、対処手順情報、ドキュメント情報、辞書情報を共有装置50の収集部560に対して送信する。収集部560は、受信した検知情報、対処手順情報、ドキュメント情報、辞書情報を一時的に保持する。
収集部560の受付部561は、ノウハウ情報の重複有無を確認する。そして、変換部562は、受信した検知情報、対処手順情報、ドキュメント情報、辞書情報を共有装置50の独自のルールに基づいて管理方法を変更する。管理部563は、管理方法変更済みの各情報について、既存の検知情報、対処手順情報、ドキュメント情報、辞書情報とマージして管理する。
変換部562は、受信したシステムの独自ルールと、共有装置50の独自ルールとの対応関係を、変換情報564として管理している。受付部561は、複数組織からのノウハウ情報の提供を受け付けるので、同時に提供されたノウハウ情報の同一内容の有無を、ここで確認することができる。
配布部550は、共有装置50が独自のルールに基づいて管理する検知情報、対処手順情報、ドキュメント情報、辞書情報を、取得部150からのノウハウ情報要求に応じて取得部150に対して送信する。
取得部150の要求部152は、共有装置50に対して、共有装置50が管理している検知情報、対処手順情報、ドキュメント情報、辞書情報を要求する。変換部151は、受信した共有装置50の検知情報、対処手順情報、ドキュメント情報、辞書情報を自システムの独自のルールに基づいて管理方法を変更する。
管理部153は、管理方法変更済みの各情報について、既存の検知情報、対処手順情報、ドキュメント情報、辞書情報とマージして管理する。変換部151は、受信したシステムの独自ルールと、共有装置50の独自ルールとの対応関係を、変換情報154として管理している。
図15は、ノウハウ情報を取得する処理の流れの一例を示すシーケンス図である。図15に示すように、要求部152は、共有装置50の配布部550に対してノウハウ情報を要求する(ステップS201)。配布部550は、送信するノウハウ情報520を読み込み(ステップS202)、変換部151に情報を送信する(ステップS203)。
変換部151は、受信した情報と既存の管理している情報からルール変換ロジックを作成し(ステップS204)、この変換ロジックを基にして受信した情報のルールを変換し、既存の情報とマージする(ステップS205)。変換部151は、マージして既存の情報にはない未登録の情報のみを追加登録する(ステップS206)。
図16は、ルール変換ロジックを作成する処理の流れの一例を示すフローチャートである。図16に示す処理は、図15のステップS204の処理に相当する。図16に示すように、変換部151は、最初に、受信した辞書情報と、自システムが管理している辞書情報とを突き合わせる(ステップS2041)。
変換部151は、両者を突き合わせることにより、(1)受信した辞書情報には存在せず、自システムが管理している辞書情報には存在する情報、(2)受信した辞書情報に存在し、自システムが管理している辞書情報には存在しない情報、(3)受信した辞書情報、自システムが管理している辞書情報双方に存在する情報の3種類に分類する(ステップS2042)。
変換部151は、(2)及び(3)に分類した情報については、受信した辞書情報の管理ルールを抽出し、さらに(2)について、自システムの管理ルールを適用する(ステップS2043)。そして、変換部151は、(2)、(3)について受信した辞書情報の管理ルールと独自ルールとの対応関係を、変換情報154に登録する(ステップS2044)。
図17は、ルールを変換する処理の流れの一例を示すフローチャートである。図17に示す処理は、図15のステップS205の処理に相当する。図17に示すように、変換部151は、ステップS2044で登録した変換情報154を読み込み(ステップS2051)、受信した検知情報と対処手順情報の該当するものに対して、独自ルールを適用する(ステップS2052)。
図18は、ノウハウ情報を提供する処理の流れの一例を示すシーケンス図である。図18に示すように、監視装置10の提供部160は、自システムで管理しているノウハウ情報を提供する(ステップS301)。このとき、共有装置50の受付部561は、同時にA社以外からの複数社からノウハウ情報を受け付けていれば、重複した情報の有無を確認し、重複排除する(ステップS302)。そして、受付部561は、重複を排除したノウハウ情報を変換部562に渡す(ステップS303)。
変換部562は、受信した情報と既存の管理している情報からルール変換ロジックを作成し(ステップS304)、この変換ロジックを基にして受信した情報のルールを変換し、既存の情報とマージする(ステップS305)。変換部562は、マージして既存の情報にはない未登録の情報のみを追加登録する(ステップS306)。ステップS304及びS305の処理は、それぞれ前述のステップS204及びS205の処理と同様である。
次に、数種類のユースケースを用いて、具体的な情報のやり取りの前後における情報の変化を示す。図19~図23は、ノウハウ情報の一例を示す図である。この例では、共有装置50は各ノウハウ情報に対して識別番号g1, g2, g3, …を付与して管理するルールを採用しているものとする。同じく、A社の監視装置10は、各ノウハウ情報に対して識別番号a1, a2, a3, …を付与して管理するルールを採用しているものとする。また、B社の監視装置10は、各ノウハウ情報に対して識別番号b1, b2, b3, …を付与して管理するルールを採用しているものとする。また、Z社の監視装置10は、各ノウハウ情報に対して識別番号z1, z2, z3, …を付与して管理するルールを採用しているものとする。
第1の例では、A社が自システムを構築して、まだノウハウ情報が何も管理されていない状態で、最初に共有装置50に対しノウハウ情報を要求したとする。図19は、第1の例において、A社の監視装置10が最初に共有装置50に対しノウハウ情報を要求した時点での、共有装置50が管理する検知情報522、対処手順情報523、辞書情報542の例である。この時点で共有装置50に登録されているノウハウ情報は、A社以外の会社から提供されたノウハウ情報、又は、共有装置50自身が独自に確立したノウハウ情報である。
そして、共有装置50からA社の監視装置10にノウハウ情報が配布された場合、A社の監視装置10のノウハウ情報は図20のようになる。すなわち、ステップS204に従うと、A社の監視装置10の辞書情報142の初期状態には何も登録されていないため、共有装置50の辞書情報542がそのまま登録される。ここで、該当する識別番号は、A社の管理ルールに沿ってそれぞれa1, a2が付与される。同時に、変換情報154も作成される。同様に、A社の監視装置10の検知情報122、対処手順情報123の初期状態には何も登録されていないため、共有装置50の検知情報522、対処手順情報523がそのまま登録される。さらに、A社の監視装置10は、ステップS205に従って識別番号を変換する。
第2の例では、第1の例を経てA社がシステムを運用し、独自に確立したノウハウを共有装置50に提供したとする。図21は、共有装置50が管理する検知情報522、対処手順情報523、辞書情報542の例を示す。共有装置50では識別番号g1, g2, g3, …を付与して管理している。図22は、A社が管理する検知情報122、対処手順情報123、辞書情報142の例を示す。A社では識別番号a1, a2, a3, …を付与して管理している。
図21と図22の例では、a1が付与された情報とg1が付与された情報及び、a2が付与された情報とg2が付与された情報とは、それぞれ一致しているものとする。a1とa2は、第1の例によりA社の監視装置10の運用初期の段階で登録されたノウハウ情報である。次に、a3, a6はA社が運用開始後に独自に作成したノウハウ情報であるが、共有装置50においても、A社以外から提供されたもので、偶然同じものが登録されているものとし、それぞれg5, g4と一致している。そして、a4, a5はA社が独自に作成したノウハウ情報であるが、共有装置50には提供されていない。さらに、g3, g6は共有装置50がA社以外から提供されたノウハウ情報である。
図21及び図22の状態から、図18に従ってA社の監視装置10から共有装置50にノウハウ情報が提供されたとすると、共有装置50には図23のようにノウハウ情報が管理される。すなわち、ステップS304に従うと、A社の監視装置10の辞書情報のうち、a3, a6はそれぞれ共有装置50の既登録情報g6, g3に該当する。この場合、a3, a6とg6, g3とでは互いの登録順番が逆転しているが、共有装置50の管理ルールに従うため、辞書情報542において特に変更されることはない。変換情報564にはこの対応関係が記録される。
そして、A社の監視装置10の辞書情報のうち、a4, a5は共有装置50には登録されていないため、共有装置50の識別番号を付与して登録され、それぞれg7, g8となる。この例では、共有装置50は、A社のシステムの辞書情報を読み込んだ順に未登録情報を登録する。そして、この対応が変換情報564に登録される。同様に、A社の監視装置10の検知情報、対処手順情報の未登録情報が共有装置50の検知情報522、対処手順情報523に登録される。さらに、共有装置50は、ステップS305に従って識別番号を変換する。
ここで説明したように、監視装置10は、それぞれ異なるルールで辞書情報を管理することができる。すなわち、監視装置10の分析部103は、文字列の抽象的表現のそれぞれに第1のIDを付与した辞書情報を生成し、辞書情報を基にログメッセージの第1のIDを特定し、第1のIDを基に分類を行う。例えば、第1のIDは、A社の監視装置10によって付与されるa1、a2、a3等の識別番号である。また、提供部160は、ノウハウ情報に辞書情報を含めて提供する。
一方、共有装置50の収集部560は、収集した辞書情報の抽象的表現に、第1のIDと異なる第2のIDを付与して管理する。例えば、第2のIDは、共有装置50によって付与されるg1、g2、g3等の識別番号である。また、提供部160は、ノウハウ情報に辞書情報を含めて提供する。そして、配布部550は、第2のIDが付与された辞書情報を監視装置10に配布する。さらに、監視装置10の取得部150は、第1のIDと第2のIDとの対応関係を変換情報154として管理する。
一方で、監視装置10は、共有装置50によって定められる共通的なルールで辞書情報を管理してもよい。この場合、監視装置10の分析部103は、文字列の抽象的表現の一覧である辞書情報を基にログメッセージの分類を行う。また、提供部160は、ノウハウ情報に辞書情報を含めて提供する。
共有装置50の収集部560は、収集した辞書情報の抽象的表現にIDを付与して管理する。例えば、共有装置50は、IDとしてg1、g2、g3等の識別番号を付与する。また、配布部550は、収集部560によってIDが付与された辞書情報を配布する。その後、監視装置10の取得部150は、共有装置50によって付与されたIDを用いて辞書情報を管理する。
[効果]
これまで説明してきたように、提供部160は、ITシステム30から出力されるログメッセージを基に障害を検知するための情報である検知情報、及び、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である対処手順情報を少なくとも含むノウハウ情報を共有装置50に提供する。また、取得部150は、共有装置50によって管理されているノウハウ情報を取得する。また、収集部560は、複数の監視装置10によって提供されるノウハウ情報を収集し、収集したノウハウ情報をマージして管理する。また、配布部550は、複数の監視装置10にノウハウ情報を配布する。このように、共有装置50は、複数の監視装置10で利用されるノウハウ情報をマージし、一元管理することができる。この結果、情報流通システム1によれば、ログの分析に関する情報を組織間で利用可能に流通させることができる。
整形部102は、ログメッセージを所定の形式に整形する。また、分析部103は、整形部102によって整形されたログメッセージを分析し、所定の種別のいずれかに分類する。また、判定部104は、種別及び検知情報に基づき、ログメッセージが、対処が必要な障害と関連がある要対処情報1211であるか、障害との関連がない対処不要情報1212であるか、障害との関連が不明な対処要否不明情報1213であるかを判定する。また、通知部107は、判定部104によって、ログメッセージが要対処情報1211又は対処要否不明情報1213と判定された場合、対処手順情報からログメッセージに関連する障害の対処手順を検索し、通知する。このように、監視装置10は、複数の組織で集められたノウハウ情報を利用して監視を行う。これにより、ユーザは、より多くの情報に基づく監視結果を得ることができる。
分析部103は、文字列の抽象的表現の一覧である辞書情報を基にログメッセージの分類を行う。また、提供部160は、ノウハウ情報に辞書情報を含めて提供する。また、収集部560は、収集した辞書情報の抽象的表現にIDを付与して管理する。また、配布部550は、収集部560によってIDが付与された辞書情報を配布する。これにより、監視装置10は、独自ルールを適用することなく、共通のルールを利用してノウハウ情報を管理することができる。
分析部103は、文字列の抽象的表現のそれぞれに第1のIDを付与した辞書情報を生成し、辞書情報を基にログメッセージの第1のIDを特定し、第1のIDを基に分類を行う。また、提供部160は、ノウハウ情報に辞書情報を含めて提供する。また、収集部560は、収集した辞書情報の抽象的表現に、第1のIDと異なる第2のIDを付与して管理する。また、配布部550は、第2のIDが付与された辞書情報を配布する。また、取得部150は、第1のIDと第2のIDとの対応関係を変換情報154として管理する。これにより、監視装置10は、共有されているノウハウ情報の識別情報を維持しつつ、さらに独自ルールを適用して利用することができる。
分析部103は、IDと文字列の抽象的表現を対応付けた辞書情報を基にログメッセージのIDを特定し、IDを基に分類を行う。また、提供部160は、ノウハウ情報に辞書情報を含めて提供する。これにより、情報流通システムは、複数のログメッセージを集約してノウハウ情報として管理することができる。
取得部150は、取得したノウハウ情報に含まれる辞書情報と、既存の辞書情報との対応関係を変換情報として管理する。これにより、監視装置10は、共有されているノウハウ情報の識別情報を維持しつつ、さらに独自ルールを適用して利用することができる。
通知部107は、判定部104によってログメッセージが対処要否不明情報1213であると判定された場合、ログメッセージに関する情報をユーザに通知し、さらにログメッセージが要対処情報1211であるか否かを示す情報の入力を受け付ける。また、更新部105は、ユーザの入力に基づき検知情報に含まれるログメッセージに関する情報を更新する。これにより、情報流通システム1は、ユーザが判断した結果をノウハウ情報に反映させることができる。
なお、前述の通り、分析部103は、特許文献1に記載の分析装置と同様の処理を行うことができる。すなわち、分析部103は、システムから出力されたテキストログに含まれるメッセージを種別ごとに分類し、分類した各メッセージに、種別ごとに設定されたIDを付与する。また、分析部103は、メッセージに付された発生日時に基づいて、所定の時間幅ごとのメッセージのテキストログにおける出現状況を、IDごとに表した行列を作成する。また、分析部103は、作成した行列から、IDの組み合わせであるパターンを複数抽出する。また、分析部103は、複数のパターンそれぞれに含まれるIDそれぞれについて重要度を計算し、重要度が所定の閾値以上であるか否かを判定する。また、分析部103は、テキストログの各メッセージを分類工程で付与されたIDに置換したログから、判定工程が所定の閾値以上であると判定したIDのみを抜き出した有意ログを生成する。また、分析部103は、重要度の高いIDがどのような順序で出現しているのかを表すシーケンスのそれぞれの出現回数を、生成した有意ログからカウントし、当該出現回数が所定の閾値以上でかつ所定の条件を満たすシーケンスを抽出する。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU(Central processing unit)及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、監視装置10及び共有装置50は、パッケージソフトウェアやオンラインソフトウェアとして上記の情報流通処理を実行する情報流通プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の情報流通プログラムを情報処理装置に実行させることにより、情報処理装置を監視装置10及び共有装置50として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、タブレット端末、ウェアラブル端末、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、監視装置10及び共有装置50は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の情報流通処理に関するサービスを提供する情報流通サーバ装置として実装することもできる。例えば、情報流通サーバ装置は、グラフデータを入力とし、グラフ信号処理又はグラフデータの分析結果を出力とする情報流通サービスを提供するサーバ装置として実装される。この場合、情報流通サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の情報流通処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図24は、情報流通プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(BASIC Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、監視装置10及び共有装置50の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、監視装置10及び共有装置50における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 情報流通システム
10 監視装置
20 端末
30 ITシステム
50 共有装置
101 転送部
102 整形部
103 分析部
104 判定部
105 更新部
106 支援部
107 通知部
120 監視関連情報
121 対処要否情報
122、522 検知情報
123、523 対処手順情報
124、524 ドキュメント情報
140 分析関連情報
141 出力ログ情報
142、542 辞書情報
150 取得部
151、562 変換部
152 要求部
153、563 管理部
154、564 変換情報
160 提供部
520 ノウハウ情報
550 配布部
560 収集部
561 受付部
1211 要対処情報
1212 対処不要情報
1213 対処要否不明情報

Claims (7)

  1. それぞれに対応付けられたIT(Information Technology)システムを監視する複数の監視装置と、前記監視装置との間で情報の送受信を行う共有装置と、を有する情報流通システムであって、
    前記複数の監視装置のそれぞれは、
    前記ITシステムから出力されるログメッセージを基に障害を検知するための情報である検知情報、及び、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である対処手順情報を少なくとも含むノウハウ情報を前記共有装置に提供する提供部と
    前記共有装置によって管理されている前記ノウハウ情報を取得する取得部と、
    ログメッセージを分析し、所定の種別のいずれかに分類する分析部と、
    前記種別及び前記検知情報に基づき、前記ログメッセージが、対処が必要な障害と関連がある要対処情報であるか、障害との関連がない対処不要情報であるか、障害との関連が不明な対処要否不明情報であるかを判定する判定部と、
    前記判定部によって、前記ログメッセージが要対処情報又は対処要否不明情報と判定された場合、前記対処手順情報から前記ログメッセージに関連する障害の対処手順を検索し、通知する通知部と、
    を有し
    前記共有装置は、
    前記複数の監視装置によって提供される前記ノウハウ情報を収集し、収集したノウハウ情報をマージして管理する収集部と、
    前記複数の監視装置に前記ノウハウ情報を配布する配布部と、
    を有することを特徴とする情報流通システム。
  2. 前記複数の監視装置のそれぞれは、前記ログメッセージを所定の形式に整形する整形
    さらに有することを特徴とする請求項1に記載の情報流通システム。
  3. 前記分析部は、文字列の抽象的表現の一覧である辞書情報を基に前記ログメッセージの分類を行い、
    前記提供部は、前記ノウハウ情報に前記辞書情報を含めて提供し、
    前記収集部は、収集した前記辞書情報の前記抽象的表現にIDを付与して管理し、
    前記配布部は、前記収集部によってIDが付与された前記辞書情報を配布する
    ことを特徴とする請求項に記載の情報流通システム。
  4. 前記分析部は、文字列の抽象的表現のそれぞれに第1のIDを付与した辞書情報を生成し、前記辞書情報を基に前記ログメッセージの前記第1のIDを特定し、前記第1のIDを基に分類を行い、
    前記提供部は、前記ノウハウ情報に前記辞書情報を含めて提供し、
    前記収集部は、収集した前記辞書情報の前記抽象的表現に、前記第1のIDと異なる第2のIDを付与して管理し、
    前記配布部は、前記第2のIDが付与された前記辞書情報を配布し、
    前記取得部は、前記第1のIDと前記第2のIDとの対応関係を変換情報として管理することを特徴とする請求項に記載の情報流通システム。
  5. 前記監視装置は、
    前記判定部によって前記ログメッセージが対処要否不明情報であると判定された場合、前記ログメッセージに関する情報をユーザに通知し、さらに前記ログメッセージが要対処情報であるか否かを示す情報の入力を受け付ける支援部と、
    ユーザの入力に基づき前記検知情報に含まれる前記ログメッセージに関する情報を更新する更新部と、
    をさらに有することを特徴とする請求項からのいずれか1項に記載の情報流通システム。
  6. ITシステムから出力されるログメッセージを基に障害を検知するための情報である検知情報、及び、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である対処手順情報を少なくとも含むノウハウ情報を共有装置に提供する提供部と
    前記共有装置によって複数の監視装置から収集され、マージされ管理されている前記ノウハウ情報を取得する取得部と、
    ログメッセージを分析し、所定の種別のいずれかに分類する分析部と、
    前記種別及び前記検知情報に基づき、前記ログメッセージが、対処が必要な障害と関連がある要対処情報であるか、障害との関連がない対処不要情報であるか、障害との関連が不明な対処要否不明情報であるかを判定する判定部と、
    前記判定部によって、前記ログメッセージが要対処情報又は対処要否不明情報と判定された場合、前記対処手順情報から前記ログメッセージに関連する障害の対処手順を検索し、通知する通知部と、
    を有することを特徴とする監視装置。
  7. それぞれに対応付けられたIT(Information Technology)システムを監視する複数の監視装置と、前記監視装置との間で情報の送受信を行う共有装置と、を有する情報流通システムによって実行される情報流通方法であって、
    前記複数の監視装置のそれぞれが、前記ITシステムから出力されるログメッセージを基に障害を検知するための情報である検知情報、及び、障害に関連するログメッセージと障害ごとの対処手順を対応付けた情報である対処手順情報を少なくとも含むノウハウ情報を前記共有装置に提供する提供工程と
    前記共有装置が、前記複数の監視装置によって提供される前記ノウハウ情報を収集し、収集したノウハウ情報をマージして管理する収集工程と、
    前記共有装置が、前記複数の監視装置に前記ノウハウ情報を配布する配布工程と、
    前記監視装置が、前記共有装置によって管理されている前記ノウハウ情報を取得する取得工程と、
    を含み、
    前記監視装置が、ログメッセージを分析し、所定の種別のいずれかに分類する分析工程と、
    前記監視装置が、前記種別及び前記検知情報に基づき、前記ログメッセージが、対処が必要な障害と関連がある要対処情報であるか、障害との関連がない対処不要情報であるか、障害との関連が不明な対処要否不明情報であるかを判定する判定工程と、
    前記監視装置が、前記判定工程によって、前記ログメッセージが要対処情報又は対処要否不明情報と判定された場合、前記対処手順情報から前記ログメッセージに関連する障害の対処手順を検索し、通知する通知工程と、
    をさらに含むことを特徴とする情報流通方法。
JP2021554792A 2019-11-08 2019-11-08 情報流通システム、監視装置及び情報流通方法 Active JP7294443B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/044012 WO2021090503A1 (ja) 2019-11-08 2019-11-08 情報流通システム、監視装置、共有装置及び情報流通方法

Publications (2)

Publication Number Publication Date
JPWO2021090503A1 JPWO2021090503A1 (ja) 2021-05-14
JP7294443B2 true JP7294443B2 (ja) 2023-06-20

Family

ID=75848323

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021554792A Active JP7294443B2 (ja) 2019-11-08 2019-11-08 情報流通システム、監視装置及び情報流通方法

Country Status (3)

Country Link
US (1) US11765022B2 (ja)
JP (1) JP7294443B2 (ja)
WO (1) WO2021090503A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112532A (zh) * 2023-01-12 2023-05-12 中国联合网络通信集团有限公司 共享单车故障处理方法、移动终端及共享单车运营服务器

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012208659A (ja) 2011-03-29 2012-10-25 Tokyo Electron Ltd 情報処理装置、処理システム、処理方法、及びプログラム
WO2017081865A1 (ja) 2015-11-13 2017-05-18 日本電気株式会社 ログ分析システム、方法、及び記録媒体
WO2018186314A1 (ja) 2017-04-03 2018-10-11 日本電信電話株式会社 分析装置、分析方法及び分析プログラム

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140297311A1 (en) * 2000-06-14 2014-10-02 Becky L. Jackson Health care research, management and delivery system
USRE46973E1 (en) * 2001-05-07 2018-07-31 Ureveal, Inc. Method, system, and computer program product for concept-based multi-dimensional analysis of unstructured information
US8949380B2 (en) * 2003-09-29 2015-02-03 Eqapez Foundation, L.L.C. Method and system for distributing images to client systems
US10311442B1 (en) * 2007-01-22 2019-06-04 Hydrojoule, LLC Business methods and systems for offering and obtaining research services
US11423756B2 (en) * 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US9356980B2 (en) * 2012-07-31 2016-05-31 At&T Intellectual Property I, L.P. Distributing communication of a data stream among multiple devices
US9716681B2 (en) * 2014-02-28 2017-07-25 International Business Machines Corporation Using analytics to optimize performance of a messaging system via topic migration to alternate delivery methods
US20150161413A1 (en) * 2015-02-16 2015-06-11 vitaTrackr, Inc. Encryption and distribution of health-related data
US10637722B2 (en) * 2015-04-10 2020-04-28 International Business Machines Corporation Automated remote message management
WO2016177437A1 (en) * 2015-05-05 2016-11-10 Balabit S.A. Computer-implemented method for determining computer system security threats, security operations center system and computer program product
US10136249B2 (en) * 2015-07-24 2018-11-20 Hitachi, Ltd. Information distribution apparatus and method
US11552868B1 (en) * 2015-12-15 2023-01-10 Tripwire, Inc. Collect and forward
US11163899B2 (en) * 2016-02-15 2021-11-02 Ricoh Company, Ltd. Information processing system and information processing method
US10116533B1 (en) * 2016-02-26 2018-10-30 Skyport Systems, Inc. Method and system for logging events of computing devices
US20180284746A1 (en) * 2016-05-09 2018-10-04 StrongForce IoT Portfolio 2016, LLC Methods and systems for data collection optimization in an industrial internet of things environment
JP6281603B2 (ja) * 2016-06-23 2018-02-21 日本電気株式会社 情報処理システム、情報処理方法、及び、情報処理プログラム
US11586166B2 (en) * 2016-11-11 2023-02-21 Recon Pillar, Llc Systems and methods for providing monitoring and response measures in connection with remote sites
GB2558062A (en) * 2016-11-18 2018-07-04 Lionbridge Tech Inc Collection strategies that facilitate arranging portions of documents into content collections
SG11202103328UA (en) * 2018-10-08 2021-04-29 Ciambella Ltd System, apparatus and method for providing end to end solution for networks
JP7298207B2 (ja) * 2019-03-12 2023-06-27 株式会社リコー ネットワーク機器、ネットワーク通信システム、及び、ネットワーク制御プログラム
JP7375324B2 (ja) * 2019-04-01 2023-11-08 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012208659A (ja) 2011-03-29 2012-10-25 Tokyo Electron Ltd 情報処理装置、処理システム、処理方法、及びプログラム
WO2017081865A1 (ja) 2015-11-13 2017-05-18 日本電気株式会社 ログ分析システム、方法、及び記録媒体
WO2018186314A1 (ja) 2017-04-03 2018-10-11 日本電信電話株式会社 分析装置、分析方法及び分析プログラム

Also Published As

Publication number Publication date
JPWO2021090503A1 (ja) 2021-05-14
WO2021090503A1 (ja) 2021-05-14
US20220407768A1 (en) 2022-12-22
US11765022B2 (en) 2023-09-19

Similar Documents

Publication Publication Date Title
US10237295B2 (en) Automated event ID field analysis on heterogeneous logs
CN101751535B (zh) 通过应用程序数据访问分类进行的数据损失保护
US11496495B2 (en) System and a method for detecting anomalous patterns in a network
CN103827810B (zh) 资产模型导入连接器
CN109842628A (zh) 一种异常行为检测方法及装置
JP2016035708A (ja) ソフトウェアを更新する装置及び方法
CN112306700A (zh) 一种异常rpc请求的诊断方法和装置
CN114244683A (zh) 事件分类方法和装置
WO2020012579A1 (ja) ログ分析装置、ログ分析方法、プログラム
JP5268589B2 (ja) 情報処理装置及び情報処理装置の運用方法
CN110096411A (zh) 基于关联分析和时间窗的日志模板快速提取方法及系统
JP7294443B2 (ja) 情報流通システム、監視装置及び情報流通方法
CN111767574A (zh) 用户权限确定方法、装置、电子设备及可读存储介质
WO2020175113A1 (ja) 異常検知装置、異常検知方法および異常検知プログラム
JPWO2007007410A1 (ja) メッセージ解析装置、制御方法および制御プログラム
JP5798095B2 (ja) ログ生成則作成装置及び方法
JP2015153078A (ja) 運用履歴分析装置及び方法及びプログラム
US11838171B2 (en) Proactive network application problem log analyzer
US20210092159A1 (en) System for the prioritization and dynamic presentation of digital content
CN113568887A (zh) 一种基于大数据平台的运维操作监控方法及装置
CN111352818A (zh) 应用程序性能分析方法、装置、存储介质及电子设备
JP2016143388A (ja) ログ情報分類装置、ログ情報分類方法、及びプログラム
CN114844691B (zh) 一种数据处理方法、装置、电子设备及存储介质
JP6952090B2 (ja) 生成装置、プログラム、及び生成方法
CN114547173A (zh) 一种数据仓库构建方法、装置、设备及计算机存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230522

R150 Certificate of patent or registration of utility model

Ref document number: 7294443

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150