JPWO2014020908A1 - システム状態判別支援装置、及び、システム状態判別支援方法 - Google Patents

システム状態判別支援装置、及び、システム状態判別支援方法 Download PDF

Info

Publication number
JPWO2014020908A1
JPWO2014020908A1 JP2014528001A JP2014528001A JPWO2014020908A1 JP WO2014020908 A1 JPWO2014020908 A1 JP WO2014020908A1 JP 2014528001 A JP2014528001 A JP 2014528001A JP 2014528001 A JP2014528001 A JP 2014528001A JP WO2014020908 A1 JPWO2014020908 A1 JP WO2014020908A1
Authority
JP
Japan
Prior art keywords
reliability
model
discrimination
threshold
monitoring information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014528001A
Other languages
English (en)
Inventor
允裕 大野
允裕 大野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2014020908A1 publication Critical patent/JPWO2014020908A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • G06F11/3093Configuration details thereof, e.g. installation, enabling, spatial arrangement of the probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Abstract

システムの状態を判別するときの監視状況がモデルデータ生成時の監視状況と異なる場合であっても、システムの状態を正しく判別する。インシデント判別支援装置(システム状態判別支援装置)200は、判別モデル信頼度算出部210と判別閾値補正部220とを含む。判別モデル信頼度算出部210は、システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いたシステムの監視情報の信頼度であるモデル信頼度を算出する。判別閾値補正部220は、システムの判別対象の監視情報の信頼度である対象信頼度を算出し、モデル信頼度と対象信頼度とをもとに、判別モデルによる判別で用いる閾値を補正する。

Description

本発明は、システム状態判別支援装置、及び、システム状態判別支援方法に関する。
企業システムを対象とした運用管理では、ユーザがIT(Information Technology)サービスを安定して利用できるように、管理者は、ユーザが正常にITサービスを受けることができない状態、もしくは、そうなる可能性がある状態(インシデント)を検出し、それらのインシデントから対応すべきインシデントを判別する。
インシデントの判別技術として、コンピュータシステムのモデルデータをもとに、コンピュータシステムの状態を判別する技術が提案されている。このようなインシデントの判別技術を用いた装置(インシデント判別装置)の一例が、例えば、特許文献1に記載されている。特許文献1に記載の装置は、過去における、コンピュータシステムの正常時の稼動情報をもとに、モデルデータを生成する。そして、この装置は、モデルデータと現在のコンピュータシステムの稼動情報の値との統計的乖離度がある閾値以上である場合に、コンピュータシステムの状態が異常であると判別する。
ここで、コンピュータシステムの状態が正常か異常かを判別する閾値の設定には、異常な状態を正常な状態と判別する偽陽性と、正常な状態を異常な状態と判別する偽陰性と、のトレードオフがある。このため、管理者は、経験や知識をもとに、適切な閾値を設定する必要がある。
例えば、企業システムを対象とした運用管理では、運用開始前のテスト工程で、管理者は、インシデント判別装置を用いて、テスト環境におけるシステムの監視情報からインシデントを判別するためのモデルデータを生成し、その閾値を設定する。
具体的には、インシデント判別装置は、企業システムの正常な状態、もしくは、テスト環境での異常な状態における監視情報をもとに、インシデントを判別するためのモデルデータを生成する。そして、管理者は、上記のモデルデータとモデルデータに対する仮の閾値とを用いて、インシデント判別装置が、テスト環境における監視情報からインシデントを正しく検出し、判別できるかどうかをテストすることにより、閾値を設定する。
特に、管理者は、管理者がインシデントであると判別するケースを、インシデント判別装置がインシデントでないと判別することがないように、すなわち、偽陽性が少なくなるように閾値を設定する。これは、管理者は、ユーザが業務サービスを安定して利用できるように、インシデントを漏れなく検出できることを重視するためである。
そして、運用開始後の運用保守工程で、インシデント判別装置は、テスト環境で生成されたモデルデータと設定された閾値とを用いて、本番環境におけるシステムの監視情報からインシデントを判別する。
特開2011−034208号公報
上述の特許文献1のインシデント判別装置を用いたインシデント判別では、本番環境においても、テスト環境で生成されたモデルデータと設定された閾値とを用いてインシデント判別が行われる。
テスト環境は、コンピュータシステムの動作検証を目的とする環境である。テスト環境では、不要なプログラムの稼動やネットワークの通信障害等が生じないため、データ欠損が生じず、データ遅延が発生しない。従って、テスト環境においては、高品質な監視情報が得られる。一方、本番環境では、繁忙期や閑散期等のITサービスの利用環境、ITサービスを保守するためのウイルスチェックやアップデート、スキャンデスク等の常駐プログラムの稼動環境、実際のデータ転送量や通信障害頻度等のネットワークの通信環境が変化する。従って、本番環境では、様々な品質の監視情報が得られる。
インシデント判別装置は、システムにおいて監視情報を取得したときの状況(監視状況)がモデルデータ生成時とモデルデータ利用時とで同一である場合に、インシデントを正しく検出できるように動作する。このため、モデルデータを生成したテスト環境においてインシデントを正しく検出できるように閾値が設定されても、テスト環境と監視状況が異なる本番環境では、インシデントを正しく検出できないという課題がある。例えば、テスト環境において偽陽性が少なくなるように閾値が設定されても、本番環境のインシデント判別における偽陽性は少なくならないことがある。
本発明の目的は、上述の課題を解決し、システムの状態を判別するときの監視状況がモデルデータ生成時の監視状況と異なる場合であっても、システムの状態を正しく判別できるシステム状態判別支援装置、及び、システム状態判別支援方法を提供することである。
本発明の一態様におけるシステム状態判別支援装置は、システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いた前記システムの監視情報の信頼度であるモデル信頼度を算出する判別モデル信頼度算出手段と、前記システムの判別対象の監視情報の信頼度である対象信頼度を算出し、前記モデル信頼度と前記対象信頼度とをもとに、前記判別モデルによる判別で用いる閾値を補正する判別閾値補正手段と、を含む。
本発明の一態様におけるシステム状態判別支援方法は、システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いた前記システムの監視情報の信頼度であるモデル信頼度を算出し、前記システムの判別対象の監視情報の信頼度である対象信頼度を算出し、前記モデル信頼度と前記対象信頼度とをもとに、前記判別モデルによる判別で用いる閾値を補正する。
本発明の一態様におけるコンピュータが読み取り可能な記録媒体は、システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いた前記システムの監視情報の信頼度であるモデル信頼度を算出し、前記システムの判別対象の監視情報の信頼度である対象信頼度を算出し、前記モデル信頼度と前記対象信頼度とをもとに、前記判別モデルによる判別で用いる閾値を補正する、処理をコンピュータに実行させるプログラムを格納する。
本発明の効果は、システムの状態を判別するときの監視状況がモデルデータ生成時の監視状況と異なる場合であっても、システムの状態を正しく判別できることである。
本発明の実施の形態の特徴的な構成を示すブロック図である。 本発明の実施の形態における、分散システムの構成を示すブロック図である。 本発明の実施の形態におけるインシデント判別装置100、及び、インシデント判別支援装置200の構成を示すブロック図である。 本発明の実施の形態におけるコンピュータシステム500の構成を示すブロック図である。 本発明の実施の形態における、インシデント判別装置100、及び、インシデント判別支援装置200の、判別モデル生成時の処理を示すフローチャートである。 本発明の実施の形態における、監視情報の信頼度の算出処理(ステップS203)の詳細を示すフローチャートである。 本発明の実施の形態における、インシデント判別装置100、及び、インシデント判別支援装置200の、インシデント判別時の処理を示すフローチャートである。 本発明の実施の形態における、判別閾値補正処理(ステップS254)の詳細を示すフローチャートである。 本発明の実施の形態における監視情報設定141の例を示す図である。 本発明の実施の形態における監視情報履歴151の例を示す図である。 本発明の実施の形態における判別モデル情報161の例を示す図である。 本発明の実施の形態における判別閾値情報171(補正前)の例を示す図である。 本発明の実施の形態における判別閾値情報171(補正後)の例を示す図である。 本発明の実施の形態における判別履歴情報181の例を示す図である。 本発明の実施の形態における監視状況設定231の例を示す図である。 本発明の実施の形態における、モデル化期間の監視状況収集結果251の例を示す図である。 本発明の実施の形態における判別モデル信頼度情報241の例を示す図である。 本発明の実施の形態における、判別対象時刻の監視状況収集結果261の例を示す図である。 本発明の実施の形態における対象信頼度算出結果271の例を示す図である。
次に、本発明の実施の形態について説明する。
はじめに、本発明の実施の形態の構成について説明する。
<分散システムの構成>
図2は、本発明の実施の形態における、分散システムの構成を示すブロック図である。図2を参照すると、分散システムは、インシデント判別装置(システム状態判別装置)100、インシデント判別支援装置(システム状態判別支援装置)200、管理端末300、ユーザ端末400、コンピュータシステム500、及び、ネットワーク600を含む。
ここで、コンピュータシステム500は、ITサービス(または、サービス)の処理を実行する。また、コンピュータシステム500は、リソースの使用状態や稼動状態を示す監視情報のログ、及び、監視情報に係る監視状況のログを生成する。
インシデント判別装置100は、コンピュータシステム500から監視情報を収集し、インシデント判別を行うための判別モデルを生成する。インシデント判別装置100は、判別対象の監視情報と判別モデルを用いて、コンピュータシステム500のインシデント判別を行う。
インシデント判別支援装置200は、監視状況をもとに、判別モデルの生成に用いた監視情報の信頼度(モデル信頼度)と判別対象の監視情報の信頼度(対象信頼度)とを算出する。また、インシデント判別支援装置200は、算出したモデル信頼度、及び、対象信頼度をもとに、インシデント判別を行うための判別閾値を制御(補正)する。
ユーザ端末400は、ユーザ等によるサービスの実行要求を受け付けて、コンピュータシステム500に送信する。また、ユーザ端末400は、コンピュータシステム500によるサービスの実行結果を受信する。
ネットワーク600は、例えば、インターネット、イントラネット、ローカルエリアネットワーク等により実現される。これらは、単独で用いられてもよく、混在して用いられてもよい。ネットワーク600は、コンピュータシステム500とユーザ端末400とを接続する。
管理端末300は、管理者等からの要求に応じて、インシデント判別装置100に対して、判別モデルの生成、インシデント判別の実行を指示する。また、管理端末300は、インシデント判別の判別結果を、管理者等に出力する。また、管理端末300は、インシデント判別装置100、インシデント判別支援装置200、及び、コンピュータシステム500に対する各種設定を行う。
<コンピュータシステム500の構成>
図4は、本発明の実施の形態におけるコンピュータシステム500の構成を示すブロック図である。コンピュータシステム500は、1以上のフロントエンドノード510、及び、複数の処理ノード520を含む。コンピュータシステム500は、例えば、クラウドコンピューティングシステム、グリッドコンピューティングシステム、並列分散コンピュータ、スーパーコンピュータ、サーバコンピュータ、パーソナルコンピュータ、及び、これらの任意の数同士の組み合わせ等によって実現される。
フロントエンドノード510は、ユーザ端末400からサービスの実行要求を受け付け、処理ノード520へ転送する。また、フロントエンドノード510は、処理ノード520によるサービスの実行結果をユーザ端末400へ転送する。フロントエンドノード510は、一定時間に受け付けるユーザ端末400からのサービスの実行要求の数を制限してもよい。
処理ノード520は、サービスの処理を実行するコンピュータである。処理ノード520は、コンピュータ上に構築される仮想的なコンピュータ(仮想的な処理ノード)でもよい。
処理ノード520は、図示されていないリソースとして、物理または論理プロセッサ、物理または論理メモリ、物理または論理ストレージ、物理または論理通信インタフェースを含む。また、処理ノード520は、リソースとして、情報処理装置、計算機クラスタ、その他の情報処理を実行するハードウエアを含んでいてもよい。また、処理ノード520は、リソースとして、アプリケーションプログラム、オペレーティングシステム、その他のソフトウエアリソースを含んでいてもよい。
処理ノード520は、さらに、実行部540、監視部550、監視情報ログ記憶部580、及び、監視状況ログ記憶部590を含む。
ここで、実行部540は、サービスの処理の一部または全部を実行する。
監視部550は、処理ノード520の各リソースの監視情報、及び、監視情報に係る監視状況を監視し、それぞれ、監視情報ログ581、及び、監視状況ログ591に格納する。
監視情報ログ記憶部580、及び、監視状況ログ記憶部590は、それぞれ、監視情報ログ581、及び、監視状況ログ591を記憶する。
本発明の実施の形態では、監視部550は、監視情報として、リソースの使用状態や、リソースの稼動状態(例えば、正常、異常、エラー、停止、不明等)を監視する。ここで、使用状態に係る監視情報の種別(リソースタイプ)として、CPU(Central Processing Unit)使用率(CPU_Usage)、メモリ使用量(MEM_Usage)、ストレージの記憶容量、ネットワーク使用量、スループット(Throughput)、平均リクエスト応答時間、平均トランザクション処理時間、トランザクション数等が用いられる。また、稼動状態に係るリソースタイプとして、稼動状態のログ(Syslog)等が用いられる。
また、本発明の実施の形態では、監視部550は、所定周期ごとに、1以上のリソースタイプの監視情報を監視(取得)し、監視情報ログ581に格納する。さらに、監視部550は、所定周期ごとの1以上のリソースタイプの監視情報の監視について、監視状況を監視(取得)し、監視状況ログ591に格納する。ここで、監視状況の種別(監視状況タイプ)として、例えば、1以上のリソースタイプの監視情報の監視における、監視間隔(取得間隔)、欠損頻度、遅延頻度等が用いられる。なお、監視状況タイプには、サービスを保守するためのウイルスチェックやアップデート、スキャンデスク等、処理ノード520上で実行される常駐プログラム(所定のプログラム)の稼動状況や、データ転送量や通信障害頻度等、処理ノード520上の通信インタフェース(所定のインタフェース)における通信状況が用いられてもよい。
<インシデント判別装置100の構成>
図3は、本発明の実施の形態におけるインシデント判別装置100、及び、インシデント判別支援装置200の構成を示すブロック図である。図3を参照すると、インシデント判別装置100は、サービス監視部110、判別モデル生成部120、判別部130、監視情報設定記憶部140、監視情報履歴記憶部150、判別モデル記憶部160、判別閾値記憶部170、及び、判別履歴記憶部180を含む。
ここで、監視情報設定記憶部140は、監視情報設定141を記憶する。監視情報設定141は、処理ノード520が、監視情報として監視する監視項目を示す。
図9は、本発明の実施の形態における監視情報設定141の例を示す図である。図9を参照すると、監視情報設定141は、サービスID、ノードID、リソースタイプ、及び、リソース閾値を含む。
ここで、サービスIDは、サービスの識別子である。
ノードIDは、サービスIDで示されるサービスを実行する処理ノード520の識別子である。
リソースタイプは、ノードIDで示される処理ノード520が監視する監視情報のリソースタイプである。
リソース閾値は、リソースタイプで示される監視情報の測定値が正常か異常かを判別するための閾値である。ここで、使用状態に係るリソースタイプのリソース閾値には、測定値の上限閾値、測定値の下限閾値、または、これらの両方が設定される。稼動状態に係るリソースタイプのリソース閾値には、異常な状態を示す文字列が設定される。
図9の監視情報設定141は、例えば、サービス「SID001」を実行する処理ノード520「LB011」が、監視情報として、リソースタイプ「Throughput」、「Syslog」を監視することを示している。また、リソースタイプ「Throughput」の監視情報の測定値が「5000」以上であれば、測定値が異常と判別されることを示している。同様に、リソースタイプ「Syslog」の監視情報の測定値が「failed」であれば、測定値が異常と判別されることを示している。
監視情報設定141は、管理者等により、管理端末300を通して、予め設定される。
サービス監視部110は、管理端末300からのサービス監視要求に応じて、監視情報設定141を参照して、処理ノード520の監視情報ログ581から、監視情報を収集する。サービス監視部110は、収集した監視情報を監視情報履歴151に格納し、監視情報履歴記憶部150に保存する。
監視情報履歴記憶部150は、監視情報履歴151を記憶する。
図10は、本発明の実施の形態における監視情報履歴151の例を示す図である。図10を参照すると、監視情報履歴151は、ログID、サービスID、サービス状態、ノードID、ノード状態、リソースタイプ、及び、リソースタイプ測定値を含む。
ここで、ログIDは、処理ノード520が、監視(取得)した1以上のリソースタイプの監視情報を監視情報ログ581に格納した時刻(所定周期ごとの時刻)を示す。
リソースタイプ測定値は、ノードIDで示される処理ノード520から収集した、ログIDで示される時刻におけるリソースタイプで示される監視情報の測定値である。
ノード状態は、ノードIDで示される処理ノード520から収集した、ログIDで示される時刻における当該処理ノード520の状態である。ノード状態には、例えば、「正常」、「一部異常」、「異常」が設定される。ここで、「正常」は、処理ノード520で監視する全リソースタイプの測定値が正常であることを示す。「一部異常」は、処理ノード520で監視するいずれかのリソースタイプの測定値が異常であることを示す。「異常」は、処理ノード520で監視する全リソースタイプの測定値が異常であることを示す。
ノード状態は、監視部550において、各リソースタイプの監視情報の測定値とリソース閾値とを比較し、測定値が正常か異常かを判別することにより設定される。
サービス状態は、サービスIDで示されるサービスの処理を行う処理ノード520群の状態である。サービス状態には、例えば、「正常」、「一部異常」、「異常」等が設定される。ここで、「正常」は、サービスの処理を行う全処理ノード520のノード状態が正常であることを示す。「一部異常」は、サービスの処理を行ういずれかの処理ノード520のノード状態が異常であることを示す。「異常」は、サービスの処理を行う全処理ノード520のノード状態が異常であることを示す。
サービス状態は、サービス監視部110において、処理ノード520から収集したノード状態をもとに設定される。
図10の監視情報履歴151は、例えば、時刻「T0001」において、処理ノード520「LB011」、「WEB011」、「WEB012」のノード状態が「正常」であり、サービス「SID001」が「正常」であることを示している。
判別モデル生成部120は、監視情報履歴151を参照して、コンピュータシステム500上の各サービスについて、判別モデルを生成する。サービス監視部110は、生成した判別モデルを、判別モデル情報161に格納し、判別モデル記憶部160に保存する。
判別モデル記憶部160は、判別モデル情報161を記憶する。判別モデル情報161は、サービスの各インシデントタイプに対する判別モデルを示す。
図11は、本発明の実施の形態における判別モデル情報161の例を示す図である。図11を参照すると、判別モデル情報161は、サービスID、モデルID、インシデントタイプ、リソースタイプ、及び、リソースタイプ統計量を含む。
ここで、インシデントタイプは、サービスIDで示されるサービスの処理を行うコンピュータシステム500の状態(サービス状態とノード状態とを組み合わせた状態)を示す。インシデントタイプには、例えば、「ALLClear」、「PartialError」等が設定される。ここで、「ALLClear」は、サービス状態が「正常」であることを示す。また、「PartialError」は、サービス状態が「一部異常」で、一部の処理ノード520のノード状態が「異常」であることを示す。なお、ノード状態が「異常」である処理ノード520の組み合わせに応じて、「PartialError11」、「PartialError12」、…、等が設定されてもよい。
モデルIDは、判別モデルの識別子である。
リソースタイプ統計量は、サービスIDで示されるサービスの処理を行うコンピュータシステム500の状態が、インシデントタイプの状態であるか否かを判別するための監視情報の統計値である。リソースタイプ統計量は、リソースタイプごとに設定される。統計量としては、例えば、監視情報の測定値に関する標本数、算術平均、標準偏差、中央値、最頻値、不偏標準偏差、不偏分散、尖度、歪度、最小値、最大値、範囲(最大値-最小値)、総和、n%信頼区間のうちの1以上の集合が用いられる。
図11の判別モデル情報161において、例えば、判別モデル「Model011」は、サービス「SID001」について、インシデントタイプ「ALLClear」のインシデント判別を行う判別モデルである。また、判別モデル「Model011」は、コンピュータシステム500の状態がインシデントタイプ「ALLClear」の場合、処理ノード520「LB011」におけるリソースタイプ「Throughput」の監視情報の統計量が、「N=100,avg=3500,std=200.0」であることを示す。ここで、Nは標本数、avgは平均、stdは標準偏差である。
判別閾値記憶部170は、判別閾値情報171を記憶する。判別閾値情報171は、判別モデルについて設定された判別閾値を示す。
図12は、本発明の実施の形態における判別閾値情報171(補正前)の例を示す図である。図12を参照すると、判別閾値情報171は、は、サービスID、モデルID、インシデントタイプ、ノードID、判別閾値、最大閾値、及び、最小閾値を含む。
ここで、判別閾値は、モデルIDで示される判別モデルにより、ノードIDで示される処理ノード520の監視情報の測定値が、インシデントタイプの状態であるか否かを判別するときに用いられる閾値である。判別閾値には、監視情報の測定値の範囲が設定される。判別閾値は、例えば、対応する判別モデルのリソースタイプ統計量を用いて、設定されてもよい。
最大閾値は、判別閾値補正部220が変更可能な判別閾値の最大幅である。最小閾値は、判別閾値補正部220が変更可能な判別閾値の最小幅である。
図12の判別閾値情報171は、例えば、判別モデル「Model011」を用いてインシデント判別を行う場合に、処理ノード520「LB011」の監視情報の測定値が、判別閾値「avg(平均値)±2.0σ(標準偏差値)」の範囲内であれば、処理ノード520「LB011」がインシデントタイプ「ALLClear」の状態であると判別されることを示している。また、判別閾値は、最小閾値「avg±1.0σ」から最大閾値「avg±3.0σ」の範囲で、変更可能なことを示している。
判別閾値の初期値、最大閾値、及び、最小閾値は、管理者等により設定される。また、判別閾値の初期値、最大閾値、及び、最小閾値は、判別モデル生成部120により設定されてもよい。
判別部130は、判別モデル情報161と判別閾値情報171とを参照して、コンピュータシステム500上の各サービスについて、インシデント判別を行う。判別部130は、インシデント判別の判別結果を判別履歴情報181に格納し、判別履歴記憶部180に保存する。
判別履歴記憶部180は、判別履歴情報181を記憶する。判別履歴情報181は、インシデント判別の判別結果を示す。
図14は、本発明の実施の形態における判別履歴情報181の例を示す図である。図14を参照すると、判別履歴情報181は、ログID、サービスID、モデルID、インシデントタイプ、及び、判別結果を含む。判別履歴情報181は、さらに、ノードID、及び、判別閾値を含んでいてもよい。
ここで、判別結果は、サービスIDで示されるサービスに係る監視情報が、インシデントタイプの状態であるか否かを示す。判別結果には、例えば、インシデントタイプで示す状態であることを示す「OK」、または、インシデントタイプで示す状態でないことを示す「NG」等が設定される。
判別閾値は、ノードIDで示される処理ノード520に対して、インシデント判別で用いられた判別閾値である。
図14の判別履歴記憶部180は、例えば、時刻「T2001」のサービス「SID001」に係る監視情報が、判別モデル「Model011」を用いたインシデント判別により、インシデントタイプ「ALLClear」の状態であると判別されたことを示している。また、このインシデント判別では、例えば、処理ノード520「LB011」に対して、判別閾値「avg±2.4σ」が用いられたことを示している。
<インシデント判別支援装置200の構成>
図3を参照すると、インシデント判別支援装置200は、判別モデル信頼度算出部210、判別閾値補正部220、監視状況設定記憶部230、及び、判別モデル信頼度記憶部240を含む。
ここで、監視状況設定記憶部230は、監視状況設定231を記憶する。監視状況設定231は、処理ノード520が、監視状況として監視する監視項目を示す。
図15は、本発明の実施の形態における監視状況設定231の例を示す図である。図15を参照すると、監視状況設定231は、サービスID、ノードID、及び、監視状況タイプを含む。
ここで、監視状況タイプは、ノードIDで示される処理ノード520が監視する監視状況の監視状況タイプである。
図15の監視状況設定231は、例えば、処理ノード520「LB011」が、監視状況タイプ「監視間隔」、「欠損頻度」、及び、「遅延頻度」の監視状態を監視することを示している。
監視状況設定231は、管理者等により、管理端末300を通して、予め設定される。
判別モデル信頼度算出部210は、監視状況設定231を参照して、判別モデルの生成に用いた監視情報に係る監視状況を、各処理ノード520の監視状況ログ591から収集する。そして、判別モデル信頼度算出部210は、収集した監視状況をもとに、判別モデルの生成に用いた監視情報の信頼度(モデル信頼度)を算出する。判別モデル信頼度算出部210は、算出したモデル信頼度を、判別モデル信頼度情報241に格納し、判別モデル信頼度記憶部240に保存する。
判別モデル信頼度記憶部240は、判別モデル信頼度情報241を記憶する。判別モデル信頼度情報241は、判別モデルのモデル信頼度を示す。
図17は、本発明の実施の形態における判別モデル信頼度情報241の例を示す図である。図17を参照すると、判別モデル信頼度情報241は、サービスID、モデルID、インシデントタイプ、ノードID、モデル信頼度、最大モデル信頼度、及び、最小モデル信頼度を含む。
ここで、モデル信頼度、最大モデル信頼度、及び、最小モデル信頼度は、それぞれ、モデルIDで示される判別モデルの生成に用いた、ノードIDで示される処理ノード520の監視情報の信頼度の平均値、最大値、及び、最小値を示す。
判別閾値補正部220は、監視状況設定231を参照して、判別対象の監視情報に係る監視状況を、各処理ノード520の監視状況ログ591から収集する。そして、判別閾値補正部220は、収集した監視状況をもとに、判別対象の監視情報の信頼度(対象信頼度)を算出する。さらに、判別閾値補正部220は、対象信頼度と判別モデル信頼度情報241から取得したモデル信頼度とをもとに、判別閾値を補正する。
なお、インシデント判別装置100、及び、インシデント判別支援装置200は、それぞれ、CPUとプログラムを記憶した記憶媒体を含み、プログラムに基づく制御によって動作するコンピュータであってもよい。
次に、本発明の実施の形態における、インシデント判別装置100、及び、インシデント判別支援装置200の動作について説明する。
<判別モデル生成時の処理>
図5は、本発明の実施の形態における、インシデント判別装置100、及び、インシデント判別支援装置200の、判別モデル生成時の処理を示すフローチャートである。
ここでは、管理者等により、図9の監視情報設定141、図15の監視状況設定231が設定されていると仮定する。また、監視情報履歴151には、図10のように、テスト環境において、サービスの処理が実行された期間(時刻「T0001」〜「T1000」)の監視情報の測定値が格納されていると仮定する。
インシデント判別装置100の判別モデル生成部120は、管理端末300から、判別モデル生成要求を受信する(ステップS101)。ここで、判別モデル生成要求は、判別モデルの生成に用いる監視情報の期間(モデル化期間)と判別モデルの生成対象のサービスのサービスIDとを含む。モデル化期間には、例えば、上述の、テスト環境においてサービスの処理が実行された期間(時刻「T0001」〜「T1000」)が指定される。
判別モデル生成部120は、監視情報履歴151から、判別モデル生成要求で指定されたサービスID、モデル化期間に対する監視情報の測定値を収集する(ステップS102)。
判別モデル生成部120は、収集した監視情報の測定値を、上述のインシデントタイプで分類する(ステップS103)。
判別モデル生成部120は、インシデントタイプで分類された各インシデントタイプの監視情報の測定値を用いて、各インシデントタイプの判別モデルを生成する(ステップS104)。ここで、判別モデル生成部120は、判別モデルとして、各処理ノード520のリソースタイプごとの測定値の統計量を算出する。そして、判別モデル生成部120は、算出したリソースタイプ統計量を、判別モデル情報161に格納する。
例えば、判別モデル生成要求において、モデル化期間「T0001〜T1000」、サービス「SID001」が指定された場合、判別モデル生成部120は、図10の監視情報履歴151をもとに、図11の判別モデル情報161における判別モデル「Model011」、「Model012」、…を生成する。
判別モデル生成部120は、判別モデル生成イベントをインシデント判別支援装置200へ送信する(ステップS105)。ここで、判別モデル生成イベントは、生成された判別モデルに係るサービスID、モデルID、インシデントタイプ、及び、モデル化期間を含む。なお、判別モデル生成イベントは、モデル化期間のうち、各インシデントタイプに対応する時刻の情報を含んでいてもよい。
判別モデル生成部120は、管理端末300へ、判別モデル生成完了通知を送信する(ステップS106)。
次に、インシデント判別支援装置200の判別モデル信頼度算出部210は、インシデント判別装置100から、判別モデル生成イベントを受信する(ステップS201)。
判別モデル信頼度算出部210は、処理ノード520から、判別モデル生成イベントで指定されたモデル化期間における、監視状況の測定値を収集する(ステップS202)。ここで、判別モデル信頼度算出部210は、監視状況設定231を参照し、判別モデル生成イベントで指定されたサービスIDに対応するノードIDと監視状況タイプを取得する。そして、判別モデル信頼度算出部210は、取得したノードIDに対応する処理ノード520から、取得した監視状況タイプの監視状況測定値を収集する。判別モデル信頼度算出部210は、収集した監視状況測定値をもとに、モデル化期間の監視状況収集結果251を生成する。
図16は、本発明の実施の形態における、モデル化期間の監視状況収集結果251の例を示す図である。図16を参照すると、監視状況収集結果251は、ログID、サービスID、モデルID、インシデントタイプ、ノードID、監視状況タイプ、及び、監視状況測定値を含む。
ここで、監視状況測定値は、ノードIDで示される処理ノード520から収集した、ログIDで示される時刻における、監視状況タイプで示される監視状況の測定値である。
監視状況測定値には、当該監視状況で得られる監視情報が高品質であるほど大きくなるように、実際の測定値が変換された値が格納される。例えば、収集間隔のように、得られる監視情報が高品質であるほど大きくなる場合、監視状況測定値には、実際の測定値がそのまま格納される。また、欠損頻度のように、得られる監視情報が高品質であるほど小さくなる場合、監視状況測定値には、最も低品質な状況を示す値から、実際の測定値を減算した値が格納される。例えば、最も高品質な状況を示す値が0、最も低品質な状況を示す値が100、実際の測定値が0.99の場合、監視状況測定値には、99.01(=100-0.99)が格納される。
例えば、判別モデル信頼度算出部210は、サービス「SID001」、モデル化期間「T0001〜T1000」について、図16の監視状況収集結果251を生成する。
判別モデル信頼度算出部210は、収集した監視状況の測定値をもとに、モデル化期間における各時刻について、判別モデルの生成に用いた監視情報の信頼度を算出する(ステップS203)。
図6は、本発明の実施の形態における、監視情報の信頼度の算出処理(ステップS203)の詳細を示すフローチャートである。
はじめに、判別モデル信頼度算出部210は、各処理ノード520における、各監視状況タイプの監視状況測定値x_i(ここで、i=1,2,…, N_typeは、監視状況タイプを示す。また、_iは、添え字を示す。)の平均値x_iavg、偏差値x_istdev、及び、変動係数(偏差値x_istdev/平均値x_iavg)を算出する(ステップS2031)。ここで、平均値x_iavg、及び、偏差値x_istdevは、例えば、各処理ノード520の各監視状況タイプの監視状況の測定値の複数の時刻に関する平均値、及び、偏差値である。なお、判別モデル信頼度算出部210は、ステップS2031で平均値x_iavg、及び、偏差値x_istdevを算出する代わりに、予め算出した値や、管理者等により予め設定された値を用いてもよい。
判別モデル信頼度算出部210は、監視状況測定値のばらつきが大きい監視状況タイプほど注目すべき監視状況タイプであると仮定し、各監視状況タイプの変動係数の比に基づいて、各監視状況タイプに重みw_iを付与する(ステップS2032)。
例えば、3つの監視状況タイプの変動係数が0.4、0.6、1.0の場合、判別モデル信頼度算出部210は、全ての監視状況の重みの総和を1として、それぞれの監視状況タイプに、重み0.2、0.3、0.5を付与する。
判別モデル信頼度算出部210は、ステップS2031で算出した監視状況測定値x_iの平均値x_iavg、偏差値x_istdev、及び、ステップS2032で算出した重みw_iを用いて、各時刻について、各処理ノード520の監視情報の信頼度Dを、数1式、数2式により算出する(ステップS2033)。ここで、数1式は、監視情報の信頼度の算出式である。数2式は、監視状況の測定値を標準化するための式である。
Figure 2014020908
Figure 2014020908
次に、判別モデル信頼度算出部210は、ステップS203で算出した、各時刻の各処理ノード520における監視情報の信頼度をもとに、各インシデントタイプについて、判別モデルの生成に用いた監視情報の信頼度(モデル信頼度)を算出する(ステップS204)。ここで、判別モデル信頼度算出部210は、各インシデントタイプに対応する各時刻の監視情報の信頼度の、複数の時刻に関する平均値、最大値、及び、最小値を、それぞれ、当該インシデントタイプに対応する判別モデルのモデル信頼度、最大モデル信頼度、最小モデル信頼度として算出する。判別モデル信頼度算出部210は、算出したモデル信頼度、最大モデル信頼度、及び、最小モデル信頼度を、判別モデル信頼度情報241に格納する。
例えば、判別モデル信頼度算出部210は、図16の監視状況収集結果251をもとに、サービス「SID001」の各判別モデル「Model011」、「Model012」、…について、図17のように、モデル信頼度を算出する。
<インシデント判別時の処理>
図7は、本発明の実施の形態における、インシデント判別装置100、及び、インシデント判別支援装置200の、インシデント判別時の処理を示すフローチャートである。
ここでは、図11の判別モデル情報161に対して、管理者等により、図12の判別閾値情報171が設定されていると仮定する。また、監視情報履歴151には、図10のように、本番環境において、サービスの処理が実行された期間(時刻「T2001」)の監視情報の測定値が格納されていると仮定する。
インシデント判別装置100の判別部130は、管理端末300から、インシデント判別要求を受信する(ステップS151)。ここで、インシデント判別要求は、インシデントの判別対象の時刻と判別対象のサービスのサービスIDとを含む。判別対象の時刻には、例えば、上述の、本番環境においてサービスの処理が実行された期間に含まれる時刻(時刻「T2001」)が指定される。
判別部130は、インシデント判別イベントをインシデント判別支援装置200へ送信する(ステップS152)。ここで、インシデント判別イベントは、インシデント判別要求で指定された判別対象の時刻とサービスIDとを含む。
インシデント判別支援装置200の判別閾値補正部220は、インシデント判別装置100から、インシデント判別イベントを受信する(ステップS251)。
判別閾値補正部220は、処理ノード520から、インシデント判別イベントで指定された判別対象の時刻における、監視状況の測定値を収集する(ステップS252)。ここで、判別閾値補正部220は、監視状況設定231を参照し、インシデント判別イベントで指定されたサービスIDに対応するノードIDと監視状況タイプを取得する。そして、判別閾値補正部220は、取得したノードIDに対応する処理ノード520から、取得した監視状況タイプの監視状況測定値を収集する。判別モデル信頼度算出部210は、収集した監視状況測定値をもとに、判別対象の時刻の監視状況収集結果261を生成する。
図18は、本発明の実施の形態における、判別対象時刻の監視状況収集結果261の例を示す図である。図18を参照すると、監視状況収集結果261は、ログID、サービスID、ノードID、監視状況タイプ、及び、監視状況測定値を含む。
例えば、インシデント判別要求において、判別対象時刻「T2001」、サービス「SID001」が指定された場合、判別モデル信頼度算出部210は、時刻「T2001」、サービス「SID001」について、図18の監視状況収集結果261を生成する。
判別閾値補正部220は、収集した各処理ノード520における監視状況の測定値をもとに、各処理ノード520について、判別対象の時刻の監視情報の信頼度(対象信頼度)を算出する(ステップS253)。ここで、判別モデル信頼度算出部210は、ステップS2031〜2033(図6)と同様の手順により、判別対象の時刻の監視情報の信頼度を算出する。判別モデル信頼度算出部210は、算出した信頼度を、対象信頼度として、対象信頼度算出結果271に格納する。
図19は、本発明の実施の形態における対象信頼度算出結果271の例を示す図である。図19を参照すると、対象信頼度算出結果271は、ログID、サービスID、ノードID、及び、対象信頼度を含む。
ここで、対象信頼度は、ログIDで示される時刻における、ノードIDで示される処理ノード520の監視情報の信頼度を示す。
例えば、判別モデル信頼度算出部210は、図18の監視状況収集結果261をもとに、時刻「T2001」、サービス「SID001」について、図19のように、対象信頼度を算出する。
次に、判別閾値補正部220は、対象信頼度とモデル信頼度を用いて、各判別モデルの判別閾値を補正する(ステップS254)。ここで、判別閾値補正部220は、インシデント判別装置100の判別閾値情報171に格納されている、インシデント判別イベントで指定されたサービスIDに対応する各判別モデルの判別閾値を補正する。
図8は、本発明の実施の形態における、判別閾値補正処理(ステップS254)の詳細を示すフローチャートである。
はじめに、判別閾値補正部220は、対象信頼度算出結果271から、処理ノード520のノードIDを一つ選択する(ステップS2541)。
判別閾値補正部220は、対象信頼度算出結果271から、選択したノードIDに対する対象信頼度を取得する(ステップS2542)。
判別閾値補正部220は、判別モデル信頼度情報241から、判別対象のサービスIDに対する判別モデルのモデルIDを一つ選択する(ステップS2543)。
判別閾値補正部220は、判別モデル情報161から、ステップS2543で選択したモデルIDとステップS2541で選択したノードIDに対するモデル信頼度を取得する(ステップS2544)。
判別閾値補正部220は、ステップS2542で取得した対象信頼度と、ステップS2544で取得したモデル信頼度とを比較する(ステップS2545)。
ステップS2545において、対象信頼度とモデル信頼度が同じ場合、判別閾値補正部220は、ステップS2548へ進む。
ステップS2545において、対象信頼度がモデル信頼度より大きい場合、判別閾値補正部220は、対象信頼度とモデル信頼度との間の差分に応じて、判別閾値が示す範囲が狭くなるように、判別閾値を補正する(ステップS2546)。
ここで、判別閾値補正部220は、対象信頼度とモデル信頼度との差分として、対象信頼度からモデル信頼度を減じた値を、最大モデル信頼度から最小モデル信頼度を減じた値で除した値を算出する。
例えば、判別モデル「Model011」、処理ノード520「WB012」について判別閾値を補正する場合、図19の対象信頼度算出結果271における処理ノード520「WB012」に対する対象信頼度は+0.6、図17の判別モデル信頼度情報241における判別モデル「Model011」、処理ノード520「WB012」に対するモデル信頼度は+0.1、最大モデル信頼度は+1.0、最小モデル信頼度は-1.0である。この場合、判別閾値補正部220は、対象信頼度とモデル信頼度との差分として(0.6-0.1)/(1-(-1.0))=0.25を算出する。
そして、判別閾値補正部220は、判別閾値が示す範囲(判別閾値の最大値-最小値)から最小閾値が示す範囲(最小閾値の最大値-最小閾値の最小値)を減じた値に、上記の信頼度の差分を乗じた値、判別閾値が示す範囲を狭くする。
例えば、図12の判別閾値情報171における判別モデル「Model011」、処理ノード520「WB012」に対する判別閾値はavg±2.0σ、最大閾値はavg±3.0σ、最小閾値はavg±1.0σである。この場合、判別閾値が示す範囲は4.0σ、最小閾値が示す範囲は2.0σ、判別閾値が示す範囲から最小閾値が示す範囲を減じた値は2.0σである。この値に、上記の対象信頼度とモデル信頼度との差分を乗じた値は、2.0σx0.25=0.5σである。従って、判別閾値補正部220は、判別閾値(avg±2.0σ)を0.5σ狭くしたavg±1.5σを、新たな判別閾値として算出する。
一方、ステップS2545において、対象信頼度がモデル信頼度より小さい場合、判別閾値補正部220は、対象信頼度とモデル信頼度との間の差分に応じて、判別閾値が示す範囲が広くなるように、判別閾値を補正する(ステップS2547)。
ここで、判別閾値補正部220は、対象信頼度とモデル信頼度との差分として、モデル信頼度から対象信頼度を減じた値を、最大モデル信頼度から最小モデル信頼度を減じた値で除した値を算出する。
例えば、判別モデル「Model011」、処理ノード520「LB011」について判別閾値を補正する場合、図19の対象信頼度算出結果271における処理ノード520「LB011」に対する対象信頼度は+0.2、図17の判別モデル信頼度情報241における判別モデル「Model011」、処理ノード520「LB011」に対するモデル信頼度は+0.6、最大モデル信頼度は+1.0、最小モデル信頼度は-1.0である。この場合、判別閾値補正部220は、対象信頼度とモデル信頼度との差分として(0.6-0.2)/(1-(-1.0))=0.20を算出する。
そして、判別閾値補正部220は、最大閾値が示す範囲(最大閾値の最大値-最大閾値の最小値)から判別閾値が示す範囲(判別閾値の最大値-最小値)を減じた値に、上記の信頼度の差分量を乗じた値、判別閾値が示す範囲を広くする。
例えば、図12の判別閾値情報171における、判別モデル「Model011」、処理ノード520「LB011」に対する判別閾値はavg±2.0σ、最大閾値はavg±3.0σ、最小閾値はavg±1.0σである。この場合、最大閾値が示す範囲は6.0σ、判別閾値が示す範囲は4.0σ、最大閾値が示す範囲から判別閾値が示す範囲を減じた値は2.0σである。この値に、上記の対象信頼度とモデル信頼度との差分量を乗じた値は、2.0σx0.20=0.4σである。従って、判別閾値補正部220は、判別閾値avg±2.0σを0.4σ広くしたavg±2.4σを、新たな判別閾値として算出する。
なお、判別閾値補正部220は、ステップS2545において、対象信頼度とモデル信頼度との差が、所定の値以上の場合に、ステップS2546、または、ステップS2547を実行してもよい。
判別部130は、判別対象のサービスIDに対する全てのモデルIDについて、ステップS2543からS2547を繰り返す(ステップS2548)。
また、判別部130は、判別対象のサービスIDに対する全てのノードIDについて、ステップS2541からS2548を繰り返す(ステップS2549)。
図13は、本発明の実施の形態における判別閾値情報171(補正後)の例を示す図である。例えば、判別閾値補正部220は、図12の判別閾値情報171における、サービス「SID001」の各判別モデル「Model011」、「Model012」、…について、図13のように、判別閾値を補正する。
判別閾値補正部220は、インシデント判別装置100へ、判別閾値補正終了イベントを送信する(ステップS255)。
次に、判別部130は、インシデント判別支援装置200から、判別閾値補正終了イベントを受信する(ステップS153)。
判別部130は、監視情報履歴151から、判別対象の時刻、サービスIDに対する監視情報の測定値を収集する(ステップS154)。
判別部130は、判別モデル情報161から、判別対象のサービスIDに対する判別モデルのモデルIDを一つ選択する(ステップS155)。
判別部130は、判別モデル情報161から、選択したモデルIDに対するリソースタイプ統計量を取得する。また、判別部130は、判別閾値情報171から、選択したモデルIDに対する判別閾値を取得する(ステップS156)。
判別部130は、ステップS156で取得したリソースタイプ統計量と判別閾値を用いて、ステップS154で収集した判別対象時刻の監視情報の測定値についてのインシデント判別を行う(ステップS157)。ここで、判別部130は、判別対象のサービスIDに係る各ノードIDの各リソースタイプの測定値が、当該ノードIDの判別閾値の範囲内にあるかどうかを判別する。判別部130は、判別対象のサービスIDに係る全ノードIDの全リソースタイプについて測定値が判別閾値の範囲内にある場合、判別結果に「OK」を設定し、そうでない場合、判別結果に「NG」を設定する。
例えば、判別部130は、図10の監視情報履歴151における、時刻「T2001」、サービス「SID001」に対する各処理ノード520「LB011」、「WEB011」、…の各リソースタイプの測定値が、図13の判別閾値情報171における判別モデル「Model011」に対する各処理ノード520「LB011」、「WEB011」、…の判別閾値の範囲内にあるかどうかを判別する。例えば、処理ノード520「LB011」について、リソースタイプ「Throughput」の測定値「3800」が、判別閾値「avg(3500)±2.4σ(200.0)」の範囲内かどうかが判別される。
判別部130は、インシデント判別の判別結果を、判別履歴情報181に格納する(ステップS158)。
判別部130は、判別対象のサービスIDに対する全ての判別モデルのモデルID(全てのインシデントタイプ)について、ステップS155からS158を繰り返す(ステップS159)。
例えば、判別部130は、サービス「SID001」の各判別モデル「Model011」、「Model012」、…について、図14のように判別結果を格納する。
判別部130は、管理端末300へ、インシデント判別完了通知を送信する(ステップS160)。管理端末300は、判別履歴記憶部180から、判別履歴情報181を取得し、判別結果を管理者等へ出力(表示)する。また、管理端末300は、インシデント判別完了通知に含まれる判別結果を管理者等へ出力(表示)してもよい。
なお、インシデント判別要求では、判別対象の期間が指定されていてもよい。この場合、指定された期間の各時刻について、インシデント判別支援装置200が判別閾値を補正し、インシデント判別装置100は、補正された判別閾値を用いてインシデント判別を行う。
以上により、本発明の実施の形態の動作が完了する。
次に、本発明の実施の形態の特徴的な構成を説明する。図1は、本発明の実施の形態の特徴的な構成を示すブロック図である。
図1を参照すると、インシデント判別支援装置(システム状態判別支援装置)200は、判別モデル信頼度算出部210と、判別閾値補正部220と、を含む。
判別モデル信頼度算出部210は、システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いたシステムの監視情報の信頼度であるモデル信頼度を算出する。判別閾値補正部220は、システムの判別対象の監視情報の信頼度である対象信頼度を算出し、モデル信頼度と対象信頼度とをもとに、判別モデルによる判別で用いる閾値を補正する。
本発明の実施の形態によれば、システムの状態を判別するときの監視状況がモデルデータ生成時の監視状況と異なる場合であっても、システムの状態を正しく判別できる。その理由は、判別閾値補正部220が、判別モデルの生成に用いた監視情報の信頼度であるモデル信頼度と、判別対象の監視情報の信頼度である対象信頼度と、をもとに、判別モデルによる判別で用いる閾値を補正するためである。
また、特許文献1のインシデント判別装置を用いたインシデント判別では、管理者は、本番環境においてインシデントが正しく判別できるように、テスト環境で生成されたモデルデータの再生成や、設定された閾値の調整をする必要があった。
本発明の実施の形態によれば、本番環境における、モデルデータの再生成や、閾値の調整の手間を削減できる。その理由は、判別閾値補正部220が、テスト環境と本番環境との監視状況の違いに応じて、判別モデルによる判別で用いる閾値を補正するためである。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2012年8月3日に出願された日本出願特願2012−172908を基礎とする優先権を主張し、その開示の全てをここに取り込む。
100 インシデント判別装置
110 サービス監視部
120 判別モデル生成部
130 判別部
140 監視情報設定記憶部
141 監視情報設定
150 監視情報履歴記憶部
151 監視情報履歴
160 判別モデル記憶部
161 判別モデル情報
170 判別閾値記憶部
171 判別閾値情報
180 判別履歴記憶部
181 判別履歴情報
200 インシデント判別支援装置
210 判別モデル信頼度算出部
220 判別閾値補正部
230 監視状況設定記憶部
231 監視状況設定
240 判別モデル信頼度記憶部
241 判別モデル信頼度情報
251 監視状況収集結果
261 監視状況収集結果
271 対象信頼度算出結果
300 管理端末
400 ユーザ端末
500 コンピュータシステム
510 フロントエンドノード
520 処理ノード
540 実行部
550 監視部
580 監視情報ログ記憶部
581 監視情報ログ
590 監視状況ログ記憶部
591 監視状況ログ
600 ネットワーク

Claims (9)

  1. システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いた前記システムの監視情報の信頼度であるモデル信頼度を算出する判別モデル信頼度算出手段と、
    前記システムの判別対象の監視情報の信頼度である対象信頼度を算出し、前記モデル信頼度と前記対象信頼度とをもとに、前記判別モデルによる判別で用いる閾値を補正する判別閾値補正手段と、を含むシステム状態判別支援装置。
  2. 前記判別モデルは、前記システムの監視情報の値を示し、前記閾値は、前記判別モデルが示す値に対する範囲を示し、
    前記判別閾値補正手段は、前記対象信頼度が前記モデル信頼度より大きい場合、前記対象信頼度と前記モデル信頼度との間の差分に応じて、前記閾値が示す範囲が狭くなるように、前記閾値を補正し、前記対象信頼度が前記モデル信頼度より小さい場合、前記対象信頼度と前記モデル信頼度との間の差分に応じて、前記閾値が示す範囲が広くなるように、前記閾値を補正する、
    請求項1に記載のシステム状態判別支援装置。
  3. 前記監視情報の信頼度は、監視情報を監視したときの前記システムの状況に応じた当該監視情報の品質の度合いをもとに算出される、
    請求項1または2に記載のシステム状態判別支援装置。
  4. 前記システムの状況は、複数の異なる監視情報の監視間隔、複数の異なる監視情報の欠損頻度、複数の異なる監視情報の遅延頻度、所定のプログラムの稼動状況、所定のインタフェースの通信状況のうちの少なくとも1つである、
    請求項3に記載のシステム状態判別支援装置。
  5. 前記監視情報の信頼度は、監視情報を監視したときの前記システムの複数種別の状況の各々に対する品質の度合いを、前記複数種別の状況の各々の品質の度合いのばらつきに応じた重みで重み付けして合算することにより算出される、
    請求項3に記載のシステム状態判別支援装置。
  6. システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いた前記システムの監視情報の信頼度であるモデル信頼度を算出し、
    前記システムの判別対象の監視情報の信頼度である対象信頼度を算出し、前記モデル信頼度と前記対象信頼度とをもとに、前記判別モデルによる判別で用いる閾値を補正する、
    システム状態判別支援方法。
  7. 前記判別モデルは、前記システムの監視情報の値を示し、前記閾値は、前記判別モデルが示す値に対する範囲を示し、
    前記閾値を補正する場合、前記対象信頼度が前記モデル信頼度より大きい場合、前記対象信頼度と前記モデル信頼度との間の差分に応じて、前記閾値が示す範囲が狭くなるように、前記閾値を補正し、前記対象信頼度が前記モデル信頼度より小さい場合、前記対象信頼度と前記モデル信頼度との間の差分に応じて、前記閾値が示す範囲が広くなるように、前記閾値を補正する、
    請求項6に記載のシステム状態判別支援方法。
  8. システムが所定状態にあるかどうかを判別するための判別モデルの生成に用いた前記システムの監視情報の信頼度であるモデル信頼度を算出し、
    前記システムの判別対象の監視情報の信頼度である対象信頼度を算出し、前記モデル信頼度と前記対象信頼度とをもとに、前記判別モデルによる判別で用いる閾値を補正する、
    処理をコンピュータに実行させるプログラムを格納する、コンピュータが読み取り可能な記録媒体。
  9. 前記判別モデルは、前記システムの監視情報の値を示し、前記閾値は、前記判別モデルが示す値に対する範囲を示し、
    前記閾値を補正する場合、前記対象信頼度が前記モデル信頼度より大きい場合、前記対象信頼度と前記モデル信頼度との間の差分に応じて、前記閾値が示す範囲が狭くなるように、前記閾値を補正し、前記対象信頼度が前記モデル信頼度より小さい場合、前記対象信頼度と前記モデル信頼度との間の差分に応じて、前記閾値が示す範囲が広くなるように、前記閾値を補正する、処理をコンピュータに実行させる請求項8に記載のプログラムを格納する、コンピュータが読み取り可能な記録媒体。
JP2014528001A 2012-08-03 2013-07-31 システム状態判別支援装置、及び、システム状態判別支援方法 Pending JPWO2014020908A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012172908 2012-08-03
JP2012172908 2012-08-03
PCT/JP2013/004622 WO2014020908A1 (ja) 2012-08-03 2013-07-31 システム状態判別支援装置、及び、システム状態判別支援方法

Publications (1)

Publication Number Publication Date
JPWO2014020908A1 true JPWO2014020908A1 (ja) 2016-07-21

Family

ID=50027611

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014528001A Pending JPWO2014020908A1 (ja) 2012-08-03 2013-07-31 システム状態判別支援装置、及び、システム状態判別支援方法

Country Status (2)

Country Link
JP (1) JPWO2014020908A1 (ja)
WO (1) WO2014020908A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10409980B2 (en) 2012-12-27 2019-09-10 Crowdstrike, Inc. Real-time representation of security-relevant system state
US9798882B2 (en) * 2014-06-06 2017-10-24 Crowdstrike, Inc. Real-time model of states of monitored devices
WO2019167225A1 (ja) * 2018-03-01 2019-09-06 日本電気株式会社 情報処理装置、制御方法、及びプログラム
JP2020038525A (ja) * 2018-09-05 2020-03-12 東日本電信電話株式会社 異常検知装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05233369A (ja) * 1992-02-21 1993-09-10 Toshiba Corp ソフトウェア信頼度モデル選定装置
JP2009252137A (ja) * 2008-04-10 2009-10-29 Nec Personal Products Co Ltd 予防保全システム
JP5378288B2 (ja) * 2010-03-31 2013-12-25 株式会社日立製作所 プラントの制御装置及び火力発電プラントの制御装置

Also Published As

Publication number Publication date
WO2014020908A1 (ja) 2014-02-06

Similar Documents

Publication Publication Date Title
US20200204498A1 (en) Nonintrusive dynamically-scalable network load generation
US10102097B2 (en) Transaction server performance monitoring using component performance data
JP6160673B2 (ja) 運用管理装置、運用管理方法、及びプログラム
JP5532150B2 (ja) 運用管理装置、運用管理方法、及びプログラム
US9582395B2 (en) Critical systems inspector
Gill et al. RADAR: Self‐configuring and self‐healing in resource management for enhancing quality of cloud services
US9047396B2 (en) Method, system and computer product for rescheduling processing of set of work items based on historical trend of execution time
JP5267749B2 (ja) 運用管理装置、運用管理方法、及びプログラム
US10057142B2 (en) Diagnostic framework in computing systems
US20110185235A1 (en) Apparatus and method for abnormality detection
CN107992410B (zh) 软件质量监测方法、装置、计算机设备和存储介质
US20120317069A1 (en) Throughput sustaining support system, device, method, and program
US20140282422A1 (en) Using canary instances for software analysis
US9009536B2 (en) Test case production utilizing problem reports
WO2014020908A1 (ja) システム状態判別支援装置、及び、システム状態判別支援方法
WO2019099214A1 (en) Deployment routing of clients by analytics
US20070086350A1 (en) Method, system, and computer program product for providing failure detection with minimal bandwidth usage
US20160094392A1 (en) Evaluating Configuration Changes Based on Aggregate Activity Level
JP2018060332A (ja) インシデント分析プログラム、インシデント分析方法、情報処理装置、サービス特定プログラム、サービス特定方法及びサービス特定装置
US9397921B2 (en) Method and system for signal categorization for monitoring and detecting health changes in a database system
US20150281008A1 (en) Automatic derivation of system performance metric thresholds
WO2021103800A1 (zh) 故障修复操作推荐方法、装置及存储介质
US8984127B2 (en) Diagnostics information extraction from the database signals with measureless parameters
JP2011186712A (ja) 性能分析装置及び性能分析方法及び性能分析プログラム
CN114610560B (zh) 系统异常监控方法、装置和存储介质