JP7392852B2 - ルール生成装置、ルール生成方法およびプログラム - Google Patents

ルール生成装置、ルール生成方法およびプログラム Download PDF

Info

Publication number
JP7392852B2
JP7392852B2 JP2022529977A JP2022529977A JP7392852B2 JP 7392852 B2 JP7392852 B2 JP 7392852B2 JP 2022529977 A JP2022529977 A JP 2022529977A JP 2022529977 A JP2022529977 A JP 2022529977A JP 7392852 B2 JP7392852 B2 JP 7392852B2
Authority
JP
Japan
Prior art keywords
event
failure
type
alarm
mapping file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022529977A
Other languages
English (en)
Other versions
JPWO2021250873A1 (ja
Inventor
聡 鈴木
晴久 野末
俊介 金井
和陽 明石
文香 浅井
尚美 村田
健一 田山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021250873A1 publication Critical patent/JPWO2021250873A1/ja
Application granted granted Critical
Publication of JP7392852B2 publication Critical patent/JP7392852B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0613Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on the type or category of the network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0618Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on the physical or logical position
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0686Additional information in the notification, e.g. enhancement of specific meta-data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ルール生成装置、ルール生成方法およびプログラムに関する。
複数の種類および数のネットワーク装置が相互に接続されたネットワーク環境において、障害により多種、多数のアラーム(以下「アラーム群」と称する)が発出された時に、障害からの復旧を図るためには、いかに早く障害の原因を判定するのかが重要となる。
監視対象となるネットワーク装置において、ある障害により発生するイベント(以下「障害イベント」と称する。1つのアラームが1つのイベントに該当する)を基に、その障害要因を判定する、IF-THENルールの作成に関する技術が提案されている(例えば、特許文献1、特許文献2)。
特許文献1の技術では、IF-THENルールの作成において、オペレータの入力を受けて、ルールのに定義すべき条件部(IF部)と障害の原因イベント(THEN部)が作成される。このルール作成において、ルールの条件部のうちの1つの障害イベントが原因イベント、すなわち結論部として定義される。
特許文献2の技術では、特許文献1では対応できない障害事例、すなわち障害原因が直接障害イベントとして発生しないような障害事例にも対応できる。具体的には、障害原因情報と、この障害により発生する障害イベントと、条件部と結論部を含むルールに対応付けられたルールID(ルールを一意に決めるID)とを関連付けて登録したデータベースを持ち、さらに新規障害の障害イベントの組み合わせを全通り生成し、新規障害の障害イベントの組み合わせと過去の障害である過去障害の障害イベントの組み合わせから最も発生していない組み合わせを判定させるユニークパターンを障害ごとに抽出するユニーク判定部を有する。このユニーク判定部により、障害ごとに対応するユニークパターンに応じて、ルールを生成または修正する方法となっている。
日本国特許第5684946号公報 日本国特許第6637854号公報
特許文献2の技術を含んで従来の技術では、障害原因を判定するIF-THENルールにおいて、ルール内で使用するアラームを紐付けるためのアラームの分類に相当する、条件部であるIF部の内容のイベント定義が固定的であり、使用途中に変更する状況を想定していない。そのため、様々な故障事例を通じてイベント定義が必要となった場合にも、正確なイベント定義への更新ができない。具体的には、条件部に入れるべきアラームを漏らし、あるいは異なる分類として利用するなど、適切なルールが適用されない。そのため、オペレータによる条件の判断に多大な時間がかかる要因の1つとなっている。
本発明は前記のような実情に鑑みてなされたもので、その目的とするところは、障害原因イベントをより正確に判定することが可能なルール生成装置、ルール生成方法およびプログラムを提供することにある。
本発明の一態様は、障害ごとに、障害箇所および障害要因を含む障害要因情報と、この障害により発生する障害イベントと、条件部と結論部を含むルールに対応付けられたルールIDと、を関連付けて登録しているデータベースと、新規の障害である新規障害に関連付けられた障害イベントの取り得る1以上の組み合わせを全通り生成し、新規障害の障害イベントの組み合わせと過去の障害である1以上の過去障害のそれぞれの障害イベントとから最も発生していない組み合わせと判定されるユニークパターンを、前記新規障害が発生するごとに抽出するユニーク判定部と、障害ごとに対応するユニークパターンに応じて、前記ルールを生成または修正するルール生成および修正部と、正規化されたアラームの内容を示す正規化アラームメッセージ、イベントの障害箇所を示すリソース種別、アラーム種別、および当該アラームのイベント判別を示すイベント種別を対応付けて定義したイベントマッピングファイルを取込むイベントマッピングファイル取込部と、入力されたアラーム情報が前記イベントマッピングファイル取込部で取込んだ前記イベントマッピングファイルの定義に合致するか否かを判定し、合致する場合には、イベント種別を前記イベントマッピングファイルに定義された値とし、合致しない場合には、イベント種別を当該アラーム情報のアラーム種別とし、当該イベント種別と当該アラーム情報とを対応付けて障害イベントとして、前記ルール生成および修正部により前記データベースに登録させるイベント種別変換部と、を備える。
本発明の一態様によれば、障害原因イベントをより正確に判定することが可能となる。
図1は、本発明の一実施形態に係るルール生成部全体の構成を示すブロック図である。 図2は、同実施形態に係るアラーム情報の項目構成を例示する図である。 図3は、同実施形態に係るイベントマッピングファイルの項目構成を例示する図である。 図4は、同実施形態に係るイベントデータベースに格納されるイベント情報の項目構成を例示する図である。 図5は、同実施形態に係る処理内容を示す変換部による処理全体の内容を示すフローチャートである。 図6は、同実施形態に係る図5の取込み済のイベント情報に対するイベント種別の変換処理の詳細な内容を示すサブルーチンのフローチャートである。 図7は、同実施形態に係る処理内容を示す図5の新規取込みのイベント情報に対するイベント種別の変換処理の詳細な内容を示すサブルーチンのフローチャートである。 図8は、同実施形態に係る図6および図7のイベントマッピングファイルの定義に基づいたイベント種別の変換処理の詳細を示すサブルーチンのフローチャートである。 図9は、同実施形態に係るイベント種別の定義ファイルの例を示す図である。 図10は、同実施形態に係るイベントマッピングファイルに対する変換機能の形態を列挙する図である。 図11は、同実施形態に係る第1の実施例としてイベントを分散する場合について説明する図である。 図12は、同実施形態に係る第2の実施例としてイベントを集約する場合について説明する図である。 図13は、同実施形態に係る第3の実施例としてイベントを編集する場合について説明する図である。
以下、本発明を多数のネットワーク接続環境に設置されるルール生成装置に適用した場合の一実施形態について説明する。
[構成]
図1は、本発明の一実施形態に係るルール生成装置全体の構成を示すブロック図である。ルール生成装置は、図示するようにイベント取込部11、変換部12、イベントマッピング取込部13、ルール生成部14、イベントデータベース(DB)15、およびルールデータベース(DB)16を備えている。イベント取込部11は、新規に発生した障害イベント(新規障害とも称す)のイベント情報AIを取込んで変換部12へ出力する。本実施形態では、イベント情報AIをアラーム報知を伴うアラーム情報AIとも称する。
図2は、イベント取込部11が取込むアラーム情報AIの項目構成を例示する図である。図示する如く、アラーム情報は、アラームメッセージ、ノード名、リセット種別、およびアラーム種別の項目を含む。アラームメッセージは、アラーム内容の文字列(例えば「AAA_PING_FAIL_XXX」)である。ノード名は、ノードを一意に特定するキーである当該ノード名(例えば「SW001a」)である。リソース種別は、装置筐体のどの部位で障害イベントが発生したのかを示す種別(例えば「chassis」「card」「port」)である。アラーム種別は、当該アラームの種別(例えば「PingMonitor(P0001)」)であり、事前にユーザ(オペレータ)により設定される。
なお、アラーム情報AIとしては他にタイムスタンプやOID(オブジェクト識別子)等の項目も含むが、本実施形態には直接関係しないものとして記載を省略する。
変換部12は、ルールの条件部として使うイベント1つ1つの定義をイベント種別を用いて外部定義化したイベントマッピングファイルIMFを、イベントマッピング取込部13により取込んだ上で保持させて、当該イベントマッピングファイルを参照する。
図3は、イベントマッピングファイルIMFの項目構成を例示する図である。イベントマッピングファイルIMFは、正規化アラームメッセージ、リソース種別、アラーム種別、およびイベント種別の各項目を含む。正規化アラームメッセージは、各種ネットワークで取扱われるアラームメッセージを取り纏めるための正規化されたアラーム内容の文字列(例えば「(正規化文字列)+PING_FAIL+(正規化文字列))である。リソース種別は、装置筐体のどの部位で障害イベントが発生したのかを示す種別(例えば「chassis」「card」「port」)である。アラーム種別は、当該アラームの種別(例えば「PingMonitor(P0001)」)であり、事前にユーザ(オペレータ)により設定される。イベント種別は、当該アラームのイベント判別を示す種別(例えば「PING_FAIL_a」)である。
変換部12は、イベントマッピング取込部13が取込んで保持するイベントマッピングファイルIMFに基づき、イベント取込部11が取込んだアラーム情報AIのイベント種別が合致するか否かにより、適宜必要に応じて、イベント情報AIのイベント種別を修正した後にルール生成部14へ出力する一方で、イベントマッピング取込部13が保持するイベントマッピングファイルIMFの内容を更新する。
ルール生成部14は、イベントデータベース(DB)15およびルールデータベース(DB)16と接続される。ルール生成部14は、新規の障害である新規障害に関連付けられた障害イベントの取り得る1以上の組み合わせを全通り生成してイベントデータベース15に登録し、新規障害の障害イベントの組み合わせと、イベントデータベース15に格納される過去の障害である1以上の過去障害のそれぞれの障害イベントとから、最も発生していない組み合わせと判定されるユニークパターンを、新規障害が発生するごとに抽出する。その上でルール生成部14は、障害ごとに対応するユニークパターンを条件部とし、障害要因情報を結論部として、ルールデータベース16に格納するルール情報RLを必要に応じて新規に生成、または修正する。
図4は、イベントデータベース15に格納されるイベント情報の項目構成を例示する図である。図示する如く、イベント情報は、アラームメッセージ、ノード名、リセット種別、アラーム種別、およびイベント種別の項目を含む。アラームメッセージは、アラーム内容の文字列(例えば「AAA_PING_FAIL_XXX」)である。ノード名は、ノードを一意に特定するキーである当該ノード名(例えば「SW001a」)である。リソース種別は、装置筐体のどの部位で障害イベントが発生したのかを示す種別(例えば「chassis」「card」「port」)である。アラーム種別は、当該アラームの種別(例えば「PingMonitor(P0001)」)であり、事前にユーザ(オペレータ)により設定される。イベント種別は、当該アラームのイベント判別を示す種別(例えば「PING_FAIL_a」)である。
ルールデータベース16に格納されるルール情報RLは、ルール名と、IF-THENルールの条件部(IF部)である障害イベントと、同ルールの結論部(THEN部)である、障害箇所および障害要因を含む障害要因情報とが対応付けられた構成を有する。
[動作]
以下、変換部12がイベントマッピングファイルIMFの定義を用いて、1以上の新規の障害イベントのイベント情報AIに対応する際の処理動作について説明する。
図5は、イベント取込部11が新規の障害イベントとして1以上のイベント情報AIを取込んだ際に、変換部12が実行する処理全体の内容を示すフローチャートである。
まず変換部12は、イベントマッピング取込部13によりイベントマッピングファイルIMFを取込ませて保持させる(ステップS101)。
変換部12は、イベントマッピング取込部13で得たイベントマッピングファイルIMFに基づいて、イベントデータベース15に取込み済の過去の障害イベントのイベント種別の変換処理を実行する(ステップS102)。
図6は、この取込み済の過去のイベント情報に対するイベント種別の変換処理の詳細な処理内容を示すサブルーチンのフローチャートである。
まず変換部12は、ルール生成部14によりイベントデータベース15から未処理のイベント情報のうちの1行分を取り出させる(ステップS201)。
変換部12は、取り出したイベント情報が、イベントマッピング取込部13で取込んだイベントマッピングファイルIMFの定義に合致するか否かを判断する(ステップS202)。
ここで取り出した過去のイベント情報が、イベントマッピング取込部13で取込んだイベントマッピングファイルIMFの定義に合致すると判断した場合にのみ(ステップS202のYES)、変換部12は取り出したイベント情報中のイベント種別を、イベントマッピングファイルIMFの定義に基づいて変換する(ステップS203)。このイベント情報の変換の詳細な処理内容については後述する。
変換部12は、イベント種別を変換した過去のイベント情報を、あらためてルール生成部14によりイベントデータベース15に格納させることで、当該イベント情報の更新を実行する(ステップS204)。
またステップS202において、取り出した過去のイベント情報が、イベントマッピング取込部13で取込んだイベントマッピングファイルIMFの定義に合致しないと判断した場合(ステップS202のNO)、変換部12はステップ203での当該イベント情報中のイベント種別の変換処理を行わずに、そのままルール生成部14によりイベントデータベース15に格納させることで、当該イベント情報の更新を実行する(ステップS204)。
こうして、イベントデータベース15から取り出した過去のイベント情報がイベントマッピングファイルIMFの定義と合致するか否かにより、適宜必要に応じたイベントデータベース15に格納しているイベント情報のイベント種別の更新処理を実行した後に、変換部12は、イベントデータベース15でまだ未処理のイベント情報があるか否かを判断する(ステップS205)。
イベントデータベース15でまだ未処理の過去のイベント情報があると判断すると(ステップS205のNO)、変換部12はステップS201からの処理に戻って、イベントデータベース15に格納されている未処理の過去のイベント情報に対する同様の処理を実行する。
こうしてステップS201~S205の処理を繰り返し実行し、イベントデータベース15でまだ未処理の過去のイベント情報に関して、イベントマッピングファイルIMFの定義と合致するか否かに応じたイベント種別の変換処理を実行する。
そして、ステップS205において、イベントデータベース15でもう未処理の過去のイベント情報はないと判断すると(ステップS205のYES)、以上で変換部12は、イベントデータベース15に格納されている未処理の過去のイベント情報がないものとして、図6のサブルーチンを終了して、図5のメインルーチンに戻る。
図5のメインルーチンにおいて、次に変換部12は、新規に入力した1以上のイベント情報を一括して取込む(ステップS301)。
変換部12は、取込んだ新規の1以上のイベント情報中から未処理のイベント情報1行分を取り出させる(ステップS302)。
変換部12は、取り出したイベント情報が、イベントマッピング取込部13で取込んだイベントマッピングファイルIMFの定義に合致するか否かを判断する(ステップS303)。
ここで取り出した新規のイベント情報が、イベントマッピング取込部13で取込んだイベントマッピングファイルIMFの定義に合致すると判断した場合にのみ(ステップS303のYES)、変換部12は取り出したイベント情報中のイベント種別を、イベントマッピングファイルIMFの定義に基づいて変換する(ステップS304)。このイベント情報の変換の詳細な処理内容については後述する。
変換部12は、イベント種別を変換した過去のイベント情報を、ルール生成部14によりイベントデータベース15に格納させ、イベントデータベース15に登録されるイベント情報を更新させる(ステップS305)。
またステップS303において、取り出した新規のイベント情報が、イベントマッピング取込部13で取込んだイベントマッピングファイルIMFの定義に合致しないと判断した場合(ステップS303のNO)、変換部12はステップ304での当該イベント情報中のイベント種別の変換処理を行わずに、そのままルール生成部14によりイベントデータベース15にイベント情報を新規に格納させることで、イベントデータベース15に登録されるイベント情報を更新させする(ステップS305)。
こうして、新規に取込んだイベント情報がイベントマッピングファイルIMFの定義と合致するか否かにより、適宜必要に応じてイベント種別を変換したイベント情報をイベントデータベース15に更新登録させた後に、変換部12は、まだ未処理の新規のイベント情報があるか否かを判断する(ステップS306)。
取込んだ新規のイベント情報でまだ未処理のものがあると判断すると(ステップS306のNO)、変換部12はステップS302からの処理に戻って、イベント取込部11が取込んだ新規の未処理のイベント情報に対する同様の処理を実行する。
こうしてステップS302~S306の処理を繰り返し実行し、イベント取込部11が取込んだ新規の未処理のイベント情報に関して、イベントマッピングファイルIMFの定義と合致するか否かに応じたイベント種別の変換処理を実行する。
そして、ステップS306において、イベント取込部11が取込んだ新規のイベント情報でもう未処理のものはないと判断すると(ステップS306のYES)、以上で変換部12は、イベント取込部11が取込んだ新規の未処理のイベント情報がないものとして、図7のサブルーチンを終了し、図5のメインルーチンにおいても処理を終了する。
図8は、図6のステップS203、および図7のステップS304における、イベントマッピングファイルIMFの定義に基づいた過去および新規のイベント情報中のイベント種別の変換処理の詳細を示すサブルーチンのフローチャートである。
変換部12は、まずアラーム情報(イベント情報)を1行分取込む(ステップS401)。変換部12は、取込んだアラーム情報中のアラームメッセージが、イベントマッピングファイルIMFの正規化されたアラームメッセージと合致するか否かを判断する(ステップS402)。
取込んだアラーム情報中のアラームメッセージが、イベントマッピングファイルIMFの正規化されたアラームメッセージと合致すると判断した場合(ステップS402のYES)、変換部12は、イベントデータベース15に格納されているイベント情報のイベント種別を、該当するイベントマッピングファイルIMFで定義されたイベント種別に合わせて変換し(ステップS403)、以上で図8の変換処理を終えて、図6または図7の処理に戻る。
またステップS402において、取込んだアラーム情報中のアラームメッセージが、イベントマッピングファイルIMFの正規化されたアラームメッセージとは合致しないと判断した場合(ステップS402のNO)、変換部12は、イベントデータベース15に格納されているイベント情報のイベント種別を、取込んだアラーム情報のアラーム種別を用いて変換し(ステップS404)、以上で図8の変換処理を終えて、図6または図7の処理に戻る。
なお、イベントマッピング取込部13が取込むイベントマッピングファイルIMF中のイベント種別に関して、次の2種類の手法を提案する。すなわち、
1.イベント種別は、任意に記載する手法
2.イベント種別は、後述するイベント種別の定義ファイルに従って、予め決められたものから選択する手法
のいずれかである。
図9は、2.の手法で利用するイベント種別の定義ファイルの例を示す図である。図9では、温度(TEMPERATURE)に関する各種の障害状況や接続(LINK)が断たれている障害状況等を定義している。
2.の手法を用いた場合、イベント情報AIを新規に取込む対象となるネットワークが複数あった場合でも、イベント種別が共通化されることで、イベント種別を外部定義化するためのイベントマッピングファイルIMFが汎用化され、異なるネットワーク間で当該イベントマッピングファイルIMFを共通化して利用することが可能となる。
次に、変換部12によりイベントマッピング取込部13が取込むイベントマッピングファイルIMFの定義の変更機能について説明する。
図10は、変換部12がイベントマッピングファイルIMFに対する機能変更の形態を列挙している。変換部12は、イベントマッピングファイルIMFに対して、追加、削除、および編集を行うことを可能とする。
イベントマッピングファイルIMFの追加は、具体的にはイベント種別の分散を行うことで実現される。イベントマッピングファイルIMFの集約は、具体的にはイベント種別の集約を行うことで実現される。イベントマッピングファイルIMFの編集は、具体的にはイベント種別の変更、またはリソース種別の変更を行うことで実現される。
図11は、本実施形態の第1の実施例として、あるルールの条件部(IF部)として使用されているイベントを分散する場合について説明する図である。図11(A)は、イベント種別の分散を行なう前のイベントマッピングファイルIMFを例示している。ここでイベント種別「Temperature」に複数のアラームメッセージがマッピングされた状態を例示している。なお、図11(A)における正規化表現は一例であり、以下に正規化表現が現出する箇所も同様に一例を示すものとする。
図11(B)は、イベント種別を分散した後のイベントマッピングファイルIMFを例示する。ルールの条件部に使用されるイベントを温度域(0-50[℃]/60-90[℃])に応じて分散し、それぞれに異なるイベント種別(TEMPERATURE_INFO/TEMPERATURE_CRITICAL)を設定した場合を例示している。
そのため、図11(C)に示す、適用前のルールAの条件部に使用されるイベントが、図11(B)に示したイベントマッピングファイルIMFを適用することで分散されて、図11(D)の適用後で示すように、異なるアラームメッセージを発するイベントとして、より正確なルールを適用させることが可能となる。
イベントマッピングファイルIMFの集約は、具体的にはイベント種別の集約を行うことで実現される。
図12は、本実施形態の第2の実施例として、あるルールの条件部(IF部)として使用されているイベントを集約する場合について説明する図である。図12(A)は、イベント種別の集約を行なう前のイベントマッピングファイルIMFを例示している。ここで通番「1」のイベント種別が「PING_FAIL_α」、通番「2」のイベント種別が「PING_FAIL_β」として、別のアラームメッセージがマッピングされた状態を例示している。
図12(B)は、イベント種別を集約した後のイベントマッピングファイルIMFを例示する。通番「1」「2」のイベントマッピングファイルをともにイベント種別「PING_FAIL_α」)とした場合を例示している。
そのため、図12(C)に示す、適用前のルールAの条件部に使用されるイベントを集約し、図12(D)の適用後で示すように、より正確なルールを適用させることが可能となる。
図13は、本実施形態の第3の実施例として、あるルールの条件部(IF部)として使用されているイベントの編集(リソース種別を変更)する場合について説明する図である。図13(A)は、イベント種別「PING_FAIL_β」がマッピングされている通番「2」のイベントマッピングファイルのリソース種別が「chassis」である変更前の状態を例示している。
図13(B)は、変更後のイベントマッピングファイルIMFを例示する。通番「2」のイベントマッピングファイルのリソース種別を「port」に変更している。
そのため、図13(C)に示す、適用前のルールAの条件部に使用されるイベントのリソース種別(識別が発生した箇所)が、図13(D)の適用後で示すように「chassis」から「port」へと変更され、より正確なルールとなる。
以上のように、変換部12がイベントマッピングファイルIMFの変更を行った場合、ルール生成部14は、随時、変更されたイベントマッピングファイルIMFに基づいて、その時点でイベントデータベース15に格納されているイベント情報とルールデータベース16に格納されているルールとを更新設定する。
以上のようにイベントマッピングファイルIMFを変更する結果として、故障事例を通じて障害イベントの定義を随時更新でき、より正確なルールが生成できる。
[実施形態の効果]
以上に詳述した如く本実施形態によれば、障害イベントを外部定義化したイベントマッピングファイルの変更により、イベント定義を随時更新することができ、障害原因イベントをより正確に判定することが可能となる他、オペレータによる負担を軽減して、ネットワーク障害からの復旧を迅速化できる。
なお本発明の装置は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能となる。
その他、本願発明は、前記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、前記実施形態には種々の段階の発明が含まれており、開示される複数の構成要件における適当な組み合わせにより種々の発明が抽出され得る。例えば、実施形態に示される全構成要件からいくつかの構成要件が削除されても、発明が解決しようとする課題の欄で述べた課題が解決でき、発明の効果の欄で述べられている効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
11…イベント取込部、
12…変換部、
13…イベントマッピング取込部、
14…ルール生成部、
15…イベントデータベース(DB)、
16…ルールデータベース(DB)、
AI…イベント情報(アラーム情報)、
IMF…イベントマッピングファイル、
RL…ルール。

Claims (5)

  1. 障害ごとに、障害箇所および障害要因を含む障害要因情報と、この障害により発生する障害イベントと、条件部と結論部を含むルールに対応付けられたルール名と、を関連付けて登録しているデータベースと、
    新規の障害である新規障害に関連付けられた障害イベントの取り得る1以上の組み合わせを全通り生成し、新規障害の障害イベントの組み合わせと過去の障害である1以上の過去障害のそれぞれの障害イベントとから最も発生していない組み合わせと判定されるユニークパターンを、前記新規障害が発生するごとに抽出するユニーク判定部と、
    障害ごとに対応するユニークパターンに応じて、前記ルールを生成または修正するルール生成および修正部と、
    正規化されたアラームの内容を示す正規化アラームメッセージ、イベントの障害箇所を示すリソース種別、アラーム種別、および当該アラームのイベント判別を示すイベント種別を対応付けて定義したイベントマッピングファイルを取込むイベントマッピングファイル取込部と、
    入力されたアラーム情報が前記イベントマッピングファイル取込部で取込んだ前記イベントマッピングファイルの定義に合致するか否かを判定し、合致する場合には、イベント種別を前記イベントマッピングファイルに定義された値とし、合致しない場合には、イベント種別を当該アラーム情報のアラーム種別とし、当該イベント種別と当該アラーム情報とを対応付けて障害イベントとして、前記ルール生成および修正部により前記データベースに登録させるイベント種別変換部と、
    を備えるルール生成装置。
  2. 前記イベントマッピングファイル取込部で取込む前記イベントマッピングファイル中のイベント種別は、予め定められた定義ファイル中から選択されたものである、
    請求項1に記載のルール生成装置。
  3. 前記イベント種別変換部は、前記イベントマッピングファイルの定義を変更し、
    前記ルール生成および修正部は、定義が変更された前記イベントマッピングファイルに基づいて登録している内容を更新する、
    請求項1に記載のルール生成装置。
  4. 障害ごとに、障害箇所および障害要因を含む障害要因情報と、この障害により発生する障害イベントと、条件部と結論部を含むルールに対応付けられたルール名と、を関連付けてデータベースに登録し、
    新規の障害である新規障害に関連付けられた障害イベントの取り得る1以上の組み合わせを全通り生成し、新規障害の障害イベントの組み合わせと過去の障害である1以上の過去障害のそれぞれの障害イベントとから最も発生していない組み合わせと判定されるユニークパターンを、前記新規障害が発生するごとに抽出し、
    障害ごとに対応するユニークパターンに応じて、前記ルールを生成または修正し、
    正規化されたアラームの内容を示す正規化アラームメッセージ、イベントの障害箇所を示すリソース種別、アラーム種別、および当該アラームのイベント判別を示すイベント種別を対応付けて定義したイベントマッピングファイルを取込み、
    入力されたアラーム情報が前記イベントマッピングファイルの定義に合致するか否かを判定し、合致する場合には、イベント種別を前記イベントマッピングファイルに定義された値とし、合致しない場合には、イベント種別を当該アラーム情報のアラーム種別とし、当該イベント種別と当該アラーム情報とを対応付けて障害イベントとして、前記データベースに登録させる、
    ことを有するルール生成方法。
  5. 請求項1乃至3いずれかに記載のルール生成装置が備える各部の処理を、前記ルール生成のプロセッサに実行させるプログラム。
JP2022529977A 2020-06-12 2020-06-12 ルール生成装置、ルール生成方法およびプログラム Active JP7392852B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/023122 WO2021250873A1 (ja) 2020-06-12 2020-06-12 ルール生成装置、ルール生成方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2021250873A1 JPWO2021250873A1 (ja) 2021-12-16
JP7392852B2 true JP7392852B2 (ja) 2023-12-06

Family

ID=78847105

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022529977A Active JP7392852B2 (ja) 2020-06-12 2020-06-12 ルール生成装置、ルール生成方法およびプログラム

Country Status (3)

Country Link
US (1) US20230273850A1 (ja)
JP (1) JP7392852B2 (ja)
WO (1) WO2021250873A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024013897A1 (ja) * 2022-07-13 2024-01-18 日本電信電話株式会社 パターン抽出及びルール生成装置、方法及びコンピュータプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003406A (ja) 2010-06-15 2012-01-05 Hitachi Solutions Ltd 障害原因判定ルール検証装置及びプログラム
WO2012160637A1 (ja) 2011-05-23 2012-11-29 富士通株式会社 メッセージ判定装置およびメッセージ判定プログラム
JP6637854B2 (ja) 2016-08-17 2020-01-29 日本電信電話株式会社 パターン抽出及びルール生成装置、及びその方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453027B2 (en) * 2009-09-17 2013-05-28 Microsoft Corporation Similarity detection for error reports
GB2536317A (en) * 2013-11-29 2016-09-14 Hitachi Ltd Management system and method for assisting event root cause analysis
CA3024580A1 (en) * 2015-05-15 2016-11-24 Airfusion, Inc. Portable apparatus and method for decision support for real time automated multisensor data fusion and analysis
US11366713B2 (en) * 2020-04-20 2022-06-21 Accenture Global Solutions Limited System and method for automatically identifying and resolving computing errors

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003406A (ja) 2010-06-15 2012-01-05 Hitachi Solutions Ltd 障害原因判定ルール検証装置及びプログラム
WO2012160637A1 (ja) 2011-05-23 2012-11-29 富士通株式会社 メッセージ判定装置およびメッセージ判定プログラム
JP6637854B2 (ja) 2016-08-17 2020-01-29 日本電信電話株式会社 パターン抽出及びルール生成装置、及びその方法

Also Published As

Publication number Publication date
US20230273850A1 (en) 2023-08-31
WO2021250873A1 (ja) 2021-12-16
JPWO2021250873A1 (ja) 2021-12-16

Similar Documents

Publication Publication Date Title
US20200097466A1 (en) Method and system for implementing target model configuration metadata for a log analytics system
US11177999B2 (en) Correlating computing network events
WO2019134226A1 (zh) 一种日志收集方法、装置、终端设备及存储介质
CN111752799A (zh) 一种业务链路跟踪方法、装置、设备及储存介质
EP3327637A1 (en) On-demand fault reduction framework
CN110928772A (zh) 一种测试方法及装置
CN110287696B (zh) 一种反弹shell进程的检测方法、装置和设备
JP2017521778A (ja) データ品質例外を処理するための方法、コンピュータ・プログラム、および例外エンジン
CN110855458B (zh) 配置命令生成方法及设备
CN111475376A (zh) 处理测试数据的方法、装置、计算机设备和存储介质
CN116107846B (zh) 一种基于EBPF的Linux系统事件监控方法及装置
CN110088744A (zh) 一种数据库维护方法及其系统
US20210019323A1 (en) Information processing apparatus, data management system, data management method, and non-temporary computer readable medium including data management program
CN111177257A (zh) 一种区块链的数据存储及访问方法、装置以及设备
JP7392852B2 (ja) ルール生成装置、ルール生成方法およびプログラム
CN114328029B (zh) 一种应用资源的备份方法、装置、电子设备及存储介质
CN113886495B (zh) 验证区块链数据的方法、装置、电子设备和存储介质
CN112084006B (zh) 一种镜像包处理方法、装置及电子设备
US11582345B2 (en) Context data management interface for contact center
CN114172785A (zh) 告警信息处理方法、装置、设备和存储介质
CN112035471A (zh) 一种事务处理方法及计算机设备
CN113327063B (zh) 资源检测方法、装置、电子设备及计算机可读存储介质
JP2012194604A (ja) 情報処理装置、メッセージ切分け方法およびメッセージ切分けプログラム
CN117453665A (zh) 一种数据处理方法、装置、设备及存储介质
US10235438B2 (en) Removal of invisible data packages in data warehouses

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221025

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20230104

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20230208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231024

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231106

R150 Certificate of patent or registration of utility model

Ref document number: 7392852

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150