JPWO2015141220A1 - 情報処理装置及び監視方法 - Google Patents

情報処理装置及び監視方法 Download PDF

Info

Publication number
JPWO2015141220A1
JPWO2015141220A1 JP2016508538A JP2016508538A JPWO2015141220A1 JP WO2015141220 A1 JPWO2015141220 A1 JP WO2015141220A1 JP 2016508538 A JP2016508538 A JP 2016508538A JP 2016508538 A JP2016508538 A JP 2016508538A JP WO2015141220 A1 JPWO2015141220 A1 JP WO2015141220A1
Authority
JP
Japan
Prior art keywords
graph
information processing
unit
processing apparatus
relationship
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016508538A
Other languages
English (en)
Other versions
JP6747287B2 (ja
Inventor
崇志 野村
崇志 野村
弘司 喜田
弘司 喜田
純平 上村
純平 上村
純明 榮
純明 榮
悦子 勝田
悦子 勝田
和彦 磯山
和彦 磯山
健太郎 山崎
健太郎 山崎
佑嗣 小林
佑嗣 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015141220A1 publication Critical patent/JPWO2015141220A1/ja
Application granted granted Critical
Publication of JP6747287B2 publication Critical patent/JP6747287B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3024Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/323Visualisation of programs or trace data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/865Monitoring of software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/875Monitoring of systems including the internet

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本発明は、情報処理システムを構成する要素間のデータ伝達関係を含む、その情報処理システムの状態を示す情報を出力する情報処理装置を提供する。その情報処理装置は、システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、そのプロセスを頂点とし、その頂点間のデータ伝達関係を辺とする、関係グラフを生成するためのグラフ化手段と、生成された関係グラフを出力するためのグラフ出力手段と、を備える。

Description

本発明は、コンピュータやサーバ、記憶システム、通信制御システム及び端末などで任意に構成される情報処理システムを監視する技術に関する。
情報処理システムを監視するためのさまざまな関連技術が知られている。
例えば、特許文献1は、プロセス監視装置を開示する。特許文献1のプロセス監視装置は、以下のように動作する。
第1に、そのプロセス監視装置は、プロセスの静的属性に基づいて要注意プロセスを抽出する。その静的属性は、例えば、プロセス名、そのプロセスに係るプログラムのメーカ名、プログラム(ソフトウェア)名、バージョン、そのプロセスを起動した親プロセス名、及びプロセスサイズを含む。そのプロセス監視装置は、以下の4つの場合に、該当するプロセスを要注意プロセスとして抽出する。その第1の場合は、現在の静的属性が過去の静的属性から変化している場合である。その第2の場合は、過去の静的属性が存在しない場合である。その第3の場合は、親プロセスが発見できない場合である。その第4の場合は、外部プロセスが親プロセスとなっている場合である。
第2に、そのプロセス監視装置は、動的属性に基づいて、要注意プロセスについて警報を発する。その動的属性は、例えば、動的専用メモリバイト数、動的共有メモリバイト数、リダイレクタの送信、受信トラフィック率、及びハードディスクアクセス率である。そのプロセス監視装置は、過去の動的属性と現在の動的属性とが統計的手法を用いて弁別可能である場合に、該当する要注意プロセスについて、警報の発生や監視対象プロセスとして登録などを実行する。
第3に、そのプロセス監視装置は、要注意プロセスと所定の関連性を有する関連プロセスを抽出し、その関連プロセスを監視対象プロセスとする。所定の関連性を持つプロセスとは、例えば、明確な親子リレーションがあるプロセス、明確な親子リレーションはないが、その監視対象プロセスが動作するときに常に起動されるプロセスなどである。
特開2008−021274号公報
しかしながら、上述した先行技術文献に記載された技術においては、情報処理システムを構成する要素間のデータ伝達関係を含む、その情報処理システムの状態を示す情報を出力することが困難であるという問題点がある。
その理由は、特許文献1に記載された技術が、要注意プロセス、監視対象プロセス及び警報を発生する必要のあるプロセスのそれぞれに該当するプロセスを、個別に検出するための技術だからである。換言すると、特許文献1は、プロセス間の関係に関し、親子関係と起動の同期性とについて記載しているだけだからである。
本発明の目的は、上述した問題点を解決する情報処理装置、監視方法、及び、そのためのプログラム或いはそのプログラムを記録したコンピュータ読み取り可能な非一時的記録媒体を提供することにある。
本発明の一様態における情報処理装置は、システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、前記プロセスを頂点とし、前記頂点間のデータ伝達関係を辺とする、関係グラフを生成するためのグラフ化手段と、前記関係グラフを出力するためのグラフ出力手段と、を含む。
本発明の一様態における監視方法は、コンピュータが、システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、前記プロセスを頂点とし、前記頂点間のデータ伝達関係を辺とする、関係グラフを生成し、前記関係グラフを出力する。
本発明の一様態におけるコンピュータ読み取り可能な非一時的記録媒体は、システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、前記プロセスを頂点とし、前記頂点間のデータ伝達関係を辺とする、関係グラフを生成し、前記関係グラフを出力する、処理をコンピュータに実行させるプログラムを記録する。
本発明は、情報処理システムを構成する要素間のデータ伝達関係を含む、その情報処理システムの状態を示す情報を出力することが可能になるという効果がある。
図1は、本発明の第1の実施形態に係る情報処理装置の構成を示すブロック図である。 図2は、第1の実施形態に係る情報処理装置と監視対象システムとを備える情報処理システムの構成を示すブロック図である。 図3は、第1の実施形態におけるイベントログの一例を示す図である。 図4は、第1の実施形態における関係グラフの一例を示す図である。 図5は、第1の実施形態における関係グラフの他の一例を示す図である。 図6は、第1の実施形態における関係グラフの他の一例を示す図である。 図7は、第1の実施形態における関係グラフで表されるプロセス間の関係の概念図である。 図8は、第1の実施形態に係る情報処理装置を実現するコンピュータのハードウェア構成を示すブロック図である。 図9は、第1の実施形態における情報処理装置の動作を示すフローチャートである。 図10は、第1の実施形態の第1の変形例における監視対象システムと情報処理装置とを備える情報処理システムの構成を示すブロック図である。 図11は、第1の実施形態の第3の変形例における関係グラフの一例を示す図である。 図12は、本発明の第2の実施形態に係る情報処理装置の構成を示すブロック図である。 図13は、本発明の第3の実施形態に係る情報処理装置の構成を示すブロック図である。 図14は、本発明の第4の実施形態に係る情報処理装置の構成を示すブロック図である。 図15は、本発明の第5の実施形態に係る情報処理装置の構成を示すブロック図である。 図16は、第5の実施形態におけるネットワーク図関係グラフの一例を示す図である。 図17は、第5の実施形態におけるマトリックス関係グラフの一例を示す図である。 図18は、第5の実施形態におけるネットワーク図関係グラフの一例を示す図である。 図19は、第5の実施形態におけるマトリックス関係グラフの一例を示す図である。 図20は、第2の実施形態の変形例における履歴蓄積部の内部構成の一例を示すブロック図である。 図21は、第2の実施形態の変形例における履歴蓄積部の動作を示すフローチャートである。 図22は、第2の実施形態の変形例における関係グラフが時間とともに削減されて行く様子を説明するための図である。 図23は、第3の実施形態の変形例における情報処理装置の構成を示すブロック図である。 図24は、第3の実施形態の変形例における検出された情報が重畳された関係グラフの一例を示す図である。 図25は、第4の実施形態の第2の変形例における情報処理装置の構成を示すブロック図である。
本発明を実施するための形態について図面を参照して詳細に説明する。尚、各図面及び明細書記載の各実施形態において、同様の構成要素には同様の符号を付与し、適宜説明を省略する。
<<<第1の実施形態>>>
図1は、本発明の第1の実施形態に係る情報処理装置100の構成を示すブロック図である。
図1に示すように、本実施形態に係る情報処理装置100は、グラフ化部110及びグラフ出力部120を含む。尚、図1に示す構成要素は、ハードウェア単位の回路でも、コンピュータ装置の機能単位に分割された構成要素でもよい。ここでは、図1に示す構成要素は、コンピュータ装置の機能単位に分割された構成要素として説明する。
図2は、情報処理装置100と監視対象システム(単に「システム」とも呼ばれる)900とを備える情報処理システムの構成を示すブロック図である。尚、図2の例に係わらず、複数の監視対象システム900が、情報処理装置100に接続されてよい。
===監視対象システム900===
監視対象システム900は、複数のホスト910を含む。ホスト910は、例えば、コンピュータや、サーバ、記憶装置、通信制御装置などである。尚、図2の例に係わらず、監視対象システム900は、ホスト910を1台だけ含んでもよい。ホスト910のそれぞれ及び情報処理装置100は、図示しないネットワークで、互いに接続される。
===ホスト910===
ホスト910は、プロセス920、プロセス生成監視手段931、ファイルアクセス監視手段932、ホスト内プロセス間通信監視手段933及びホスト間プロセス間通信監視手段934を含む。
例えば、プロセス生成監視手段931、ファイルアクセス監視手段932、ホスト内プロセス間通信監視手段933及びホスト間プロセス間通信監視手段934のそれぞれは、ホスト910上で動作する監視エージェントである。
プロセス生成監視手段931は、プロセス920による新たなプロセス920の生成及びプロセス920の終了を監視し、その生成及びその終了のそれぞれを検出した場合にその内容を示すイベントログ810を送信する。
ファイルアクセス監視手段932は、プロセス920によるファイルのアクセスを監視し、そのアクセスを検出した場合にその内容を示すイベントログ810を送信する。
ホスト内プロセス間通信監視手段933及びホスト間プロセス間通信監視手段934のそれぞれは、プロセス間の通信を監視し、その通信を検出した場合にその内容を示すイベントログ810を送信する。ここで、ホスト内プロセス間通信は、例えば、パイプや、メッセージキュー、共有メモリ、UNIX(登録商標)ドメインソケット、などである。ホスト間プロセス間通信は、例えば、TCP(Transmission Control Protocol)ソケットや、RPC(Remote Procedure Call)、HTTP(Hypertext Transfer Protocol)リクエスト、HTTPレスポンス、などである。
以後、プロセス生成監視手段931、ファイルアクセス監視手段932、ホスト内プロセス間通信監視手段933及びホスト間プロセス間通信監視手段934は、総称して、イベント監視手段930とも呼ばれる。
尚、図2の例に係わらず、ホスト910は、イベント監視手段として、イベント監視手段930の任意の一部だけを含んでもよい。また、ホスト910は、イベント監視手段として、イベント監視手段930以外の、任意のイベントに対するイベント監視手段を含んでよい。任意のイベントは、例えば、クリップボード、レジストリ、環境変数に関するイベントである。
===グラフ化部110===
グラフ化部110は、監視対象システム900のイベントログ810に基づいて、関係グラフ820を生成する。
===イベントログ810===
イベントログ810は、例えば、監視対象システム900において動作する複数のプロセス920の、それぞれの挙動を示す情報である。グラフ化部110は、例えば、ホスト910のそれぞれに存在するイベント監視手段930からイベントログ810を取得する。
図3は、イベントログ810の具体例である、イベントログ811を示す図である。図3に示すイベントログ811は、「プロセス920「P3」がプロセス920「P4」にデータを伴う要求メッセージを送信し、プロセス920「P4」がプロセス920「P3」にデータを伴う応答メッセージを送信した」というイベントを示す。尚、「P3」及び「P4」はプロセス920の識別子である。例えば、プロセス920「P3」は、識別子が「P3」であるプロセス920を示す。
図3に示すイベントログ811は、プロセス920「P3」とプロセス920「P4」とが同一ホスト910内のプロセス920ならば、ホスト内プロセス間通信監視手段933によって送信される。また、図3に示すイベントログ811は、プロセス920「P3」とプロセス920「P4」とが異なるホスト910で動作するプロセス920ならば、ホスト間プロセス間通信監視手段934によって送信される。
===関係グラフ820===
関係グラフ820は、プロセス920のそれぞれを頂点(ノードあるいは節点とも呼ばれる)、及びそれらのプロセス920間のデータ伝達関係を辺(リンク、エッジ或いは枝とも呼ばれる)とする。関係グラフ820は、監視対象システム900内のプロセス920間の関係を表す。ここで、その関係は、例えば、「ある期間に、プロセス間でデータが伝達された」というデータ伝達関係や、「ある瞬間(または期間)に、プロセス間でデータ伝達が行われうる状態である」というデータ伝達関係などである。
具体的には、そのデータ伝達関係は、あるプロセス920から別のプロセス920へのデータの転送(そのあるプロセス920にとっては送信(send)、その別のプロセス920にとっては受信(receive))である。また、そのデータ伝達関係は、ファイルアクセス監視手段932によって得られる、ある特定のファイルに対してデータの書き込み(write)及び読み込み(read)を行った複数のプロセス920間の関係であってよい。また、そのデータ伝達関係は、あるプロセス920(親プロセス)による、別のプロセス920(子プロセス)の生成及び消去であってよい。更に、そのデータ伝達関係は、あるプロセス920から別のプロセス920に対するコネクションの確立、あるプロセス920と別のプロセス920との間のコネクションの終了などであってよい。ここで、コネクションは、例えば、TCPなどのトランスポート層におけるコネクションや、セッション層或いはアプリケーション層で実現されるコネクションなど、任意のコネクションであってよい。
===関係グラフ821===
図4は、関係グラフ820の具体例である、関係グラフ821を示す図である。図4に示すように、関係グラフ821は、頂点識別子と辺とを含むレコードからなる。頂点識別子は、例えば、頂点となるプロセス920の識別子である。辺は、頂点識別子のそれぞれで特定される頂点(プロセス920)からの、他の頂点へのデータ伝達関係を示す情報である。
例えば、頂点識別子の「P1」は、識別子が「P1」であるプロセス920を特定する。そして、頂点識別子「P1」に対応する辺の「P2;SEND、P3;SEND;RECEIVE」は、以下のことを示す。第1に、「P2;SEND」の部分は、プロセス920「P1」がプロセス920「P2」にデータを送信したことを示す。第2に、「P3;SEND」の部分は、プロセス920「P1」がプロセス920「P3」にデータを送信したことを示す。第3に、「P3;;RECEIVE」の部分は、プロセス920「P1」がプロセス920「P3」からデータを受信したことを示す。
例えば、頂点識別子が「P3」のレコードにおける辺の「P4;RECEIVE」、及び頂点識別子が「P4」のレコードにおける辺の「P3;SEND」は、図3に示すイベントログ811に基づくものである。
===関係グラフ822===
図5は、関係グラフ820の他の具体例である、関係グラフ822を示す図である。
図5に示すように、関係グラフ822は、2つの頂点識別子の組である辺と、辺の属性(種類)とを含むレコードからなる。その辺は、頂点であるプロセス920の識別子のペアである。その辺の属性は、その辺で特定される頂点(プロセス920)間の、データ伝達関係を示す情報である。
===関係グラフ824===
図6は、関係グラフ820の他の具体例である、関係グラフ824を示す図である。
図6は、以下の第1から第5のイベントログ810に対応する関係グラフ820の例である。以下の説明において、プロセスP1は、第1のホスト910内のプロセス920である。プロセスP2は、第2のホスト910内のプロセス920である。ファイルF1は、第1のホスト910内のファイル(プロセス920の1種)である。ファイルF2は、第2のホスト910内のファイル(プロセス920の1種)である。
第1のイベントログ810は、第1のホスト910内のファイルアクセス監視手段932が送信した「プロセスP1がファイルF1を読取」というイベントログ810である。関係グラフ824の、頂点識別子が「P1」、辺の「F1;READ」が、第1のイベントログ810に対応する。
第2のイベントログ810は、第1のホスト910内の第1のホスト間プロセス間通信監視手段934が送信した「プロセスP1がプロセスP2と双方向通信」というイベントログ810である。関係グラフ824の、頂点識別子が「P1」、辺の「P2;SEND/RECEIVE」及び頂点識別子が「P2」、辺の「P1;SEND/RECEIVE」が、第2のイベントログ810に対応する。
第3のイベントログ810は、第2のホスト910内のファイルアクセス監視手段932が送信した「プロセスP2がファイルF2にデータを読取/書込」というイベントログ810である。関係グラフ824の、頂点識別子が「P2」、辺の「F2;READ/WRITE」が、第3のイベントログ810に対応する。
第4のイベントログ810は、第2のホスト910内のプロセス生成監視手段931が送信した「プロセスP2がファイルF2を実行ファイルとするプロセスP3を生成」というイベントログ810である。関係グラフ824の、頂点識別子が「P2」、辺の「P3;GENERATE」が、第4のイベントログ810に対応する。
第5のイベントログ810は、第2のホスト910内のファイルアクセス監視手段932が送信した「プロセスP3がファイルF2を読取」というイベントログ810である。関係グラフ824の、頂点識別子が「P3」、辺の「F2;READ」が、5のイベントログ810に対応する。
尚、関係グラフ820は、上述の例に係わらず任意の形式で示されてよい。例えば、関係グラフ820は、隣接行列のデータ構造をとってもよい。
===関係グラフ820で表されるプロセス920間の関係===
図7は、関係グラフ821、関係グラフ822或いは関係グラフ823などの、関係グラフ820で表される、プロセス920間の関係の概念図である。
図7において、頂点は円形で示され、円形の中に頂点識別子が示されている。また、辺は円形を結ぶ線分で示されている。例えば、線分は、SENDまたはRECEIVEを示す。図7に示すグラフは、有向グラフであり、線分の矢印の向きは、データの流れる方向を示す。両端に矢印のある線分は、その辺がSEND及びRECEIVEの両方を含むことを示す。
図7に示す例に係わらず、辺は、有向(矢印あり)であっても無向(矢印なし)であってもよい。例えば、単にコネクションがあることだけを示すプロセス920「P1」とプロセス920「P2」との間の辺は、無向であってよい。例えば、コネクションの要求側と待受側とを示す必要がある場合、辺は有効であってよい。
===グラフ出力部120===
グラフ出力部120は、グラフ化部110が生成した関係グラフ820を出力する。
以上が、情報処理装置100の機能単位の構成要素についての説明である。
次に、情報処理装置100のハードウェア単位の構成要素について説明する。
図8は、本実施形態における情報処理装置100を実現するコンピュータ700のハードウェア構成を示す図である。
図8に示すように、コンピュータ700は、CPU(Central Processing Unit)701、記憶部702、記憶装置703、入力部704、出力部705及び通信部706を含む。更に、コンピュータ700は、外部から供給される記録媒体(または記憶媒体)707を含む。例えば、記録媒体707は、情報を非一時的に記憶する不揮発性記録媒体(非一時的記録媒体)である。また、記録媒体707は、情報を信号として保持する、一時的記録媒体であってもよい。
CPU701は、オペレーティングシステム(不図示)を動作させて、コンピュータ700の全体の動作を制御する。例えば、CPU701は、記憶装置703に装着された記録媒体707から、そのプログラムやデータを読み込み、読み込んだそのプログラムやそのデータを記憶部702に書き込む。ここで、そのプログラムは、例えば、後述の図9に示すフローチャートの動作をコンピュータ700に実行させるためのプログラムである。
そして、CPU701は、その読み込んだプログラムに従って、またその読み込んだデータに基づいて、図1に示すグラフ化部110及びグラフ出力部120として各種の処理を実行する。
尚、CPU701は、通信網(不図示)に接続される外部コンピュータ(不図示)から、記憶部702にそのプログラムやそのデータをダウンロードしてもよい。
記憶部702は、そのプログラムやそのデータを記憶する。記憶部702は、イベントログ810や関係グラフ820を記憶してよい。
記憶装置703は、例えば、任意の光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク及び半導体メモリである。記憶装置703は、そのプログラムをコンピュータ読み取り可能に記憶する。また、記憶装置703は、そのデータを記憶してもよい。記憶装置703は、イベントログ810や関係グラフ820を記憶してよい。
入力部704は、オペレータによる操作の入力や外部からの情報の入力を受け付ける。入力操作に用いられるデバイスは、例えば、任意のマウスやキーボード、内蔵のキーボタン及びタッチパネルなどである。
出力部705は、例えばディスプレイで実現される。出力部705は、例えばGUI(GRAPHICAL User Interface)によるオペレータへの入力要求や、オペレータに対する出力提示などのために用いられる。
通信部706は、ホスト910及び後述する任意装置940とのインタフェースを実現する。通信部706は、グラフ化部110及びグラフ出力部120の一部として含まれてよい。
以上説明したように、図1に示す情報処理装置100の機能単位のブロックは、図8に示すハードウェア構成のコンピュータ700によって実現される。但し、コンピュータ700が備える各部の実現手段は、上記に限定されない。すなわち、コンピュータ700は、物理的に結合した1つの装置により実現されてもよいし、物理的に分離した2つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
尚、上述のプログラムのコードを記録した記録媒体707が、コンピュータ700に供給される場合、CPU701は、記録媒体707に格納されたそのプログラムのコードを読み出して実行してもよい。或いは、CPU701は、記録媒体707に格納されたそのプログラムのコードを、記憶部702、記憶装置703またはその両方に格納してもよい。すなわち、本実施形態は、コンピュータ700(CPU701)が実行するそのプログラム(ソフトウェア)を、一時的にまたは非一時的に、記憶する記録媒体707の実施形態を含む。尚、情報を非一時的に記憶する記憶媒体は、不揮発性記憶媒体とも呼ばれる。
以上が、本実施形態における情報処理装置100を実現するコンピュータ700の、ハードウェア単位の各構成要素についての説明である。
次に本実施形態の動作について、図面を参照して詳細に説明する。
図9は、本実施形態の動作を示すフローチャートである。尚、このフローチャートによる処理は、前述したCPU701によるプログラム制御に基づいて、実行されてよい。また、処理のステップ名については、S601のように、記号で記載する。
グラフ化部110は、情報処理装置100の初期化の完了に伴って、自動的に動作を開始する。尚、初期化の完了時において、関係グラフ820の内容は、空(カラ)である。また、関係グラフ820は、例えば、図8に示す記憶部702或いは記憶装置703に保持される。
グラフ化部110は、イベントログ810を受信したか否かを判断する(ステップS601)。グラフ化部110は、例えば、図8に示す通信部706を介して、監視対象システム900からイベントログ810を受信する。
イベントログ810を受信した場合(ステップS601でYES)、グラフ化部110は、受信したイベントログ810に基づいて、関係グラフ820の内容を生成或いは更新する(ステップS602)。その後、処理は、ステップS603へ進む。
イベントログ810を受信していない場合(ステップS601でNO)、処理は、ステップS603へ進む。
次に、グラフ出力部120は、関係グラフ820の出力タイミングであるか否かを判断する(ステップS603)。例えば、グラフ出力部120は、図8に示す入力部704を介してオペレータからの指示を受けた場合に、その出力タイミングであると判断する。グラフ出力部120は、図示しない計時手段を用いて所定の時刻であることを検出した場合に、その出力タイミングであると判断してもよい。グラフ出力部120は、上述の例に係わらず任意の手法で、その出力タイミングであることを判断してよい。
出力タイミングである場合(ステップS603でYES)、グラフ出力部120は、関係グラフ820を出力する(ステップS604)。その後、処理は、ステップS601へ戻る。
例えば、グラフ出力部120は、関係グラフ820を図8に示す出力部705を介して出力する。また、グラフ出力部120は、図8に示す通信部706を介して、図示しない機器に関係グラフ820を送信してもよい。また、グラフ出力部120は、図8に示す記憶装置703を介して、記録媒体707に関係グラフ820を記録してもよい。
出力タイミングでない場合(ステップS603でNO)、処理は、ステップS601へ戻る。
図9に示すフローチャートでは、グラフ化部110とグラフ出力部120とは、直列的に順番に動作する。しかし、グラフ化部110とグラフ出力部120とは、並列的に動作してもよい。
図9に示すフローチャートでは、グラフ化部110は、イベントログ810を受信するたびに関係グラフ820を更新する。しかし、グラフ化部110は、受信したイベントログ810を蓄積し、特定のタイミング(例えば、グラフ出力部120が関係グラフ820を出力する直前)で、蓄積したイベントログ810に基づいて関係グラフ820を生成或いは更新してもよい。
上述の説明に係わらず、グラフ化部110は、任意の手法でイベントログ810を取得してよい。例えば、グラフ化部110は、所定の時刻に、イベント監視手段930のそれぞれからまとめてイベントログ810を取得してよい。この場合、イベント監視手段930は、その所定の時間までイベントログ810を蓄積する。
また、イベントログ810は、図8に示す記憶部702或いは記憶装置703に、予め記憶されていてよい。また、グラフ化部110は、図8に示す入力部704を介して操作者が入力した、イベントログ810を取得してもよい。また、グラフ化部110は、図8に示す通信部706を介して図示しない機器から、イベントログ810を受信してもよい。また、グラフ化部110は、図8に示す記憶装置703を介して、記録媒体707に記録されたイベントログ810を取得してもよい。
<<<第1の実施形態の第1の変形例>>>
グラフ化部110は、任意の装置のそれぞれの挙動を示すイベントログ810に基づいて、更にその所定の装置を頂点とする、関係グラフ820を生成する。その任意の装置は、例えば、任意の、監視エージェントを配置できないホスト、ルータ、センサ、プリンタ及びネットワーク機器などである。
この場合、グラフ化部110は、更に、その所定の装置間、及びその所定の装置とプロセス920との間のデータ伝達関係を辺とする。
図10は、ホスト910、ホスト911、ルータ941、センサ942、プリンタ943及びネットワーク機器944を含む監視対象システム901と、情報処理装置100とを備える情報処理システムの構成を示す図である。以後、ルータ941、センサ942、プリンタ943及びネットワーク機器944は、総称して、任意装置940とも呼ばれる。
グラフ化部110は、更に、任意装置940のそれぞれの挙動を示すイベントログ810を、任意装置940の挙動を監視するイベント監視手段から、取得する。そのイベント監視手段は、任意装置940に実装された監視エージェントであってよいし、任意装置940の挙動を外部から監視する装置であってもよい。
また、ホスト911は、自身に監視エージェントを配置できない。そして、ホスト911の挙動を直接監視するための適切な外部装置は、存在しない。しかし、グラフ化部110は、ホスト910上のイベント監視手段930から取得できるログに基づいて、プロセス920とホスト911との間にデータ伝達関係が発生したことを、間接的に認識することができる。具体的には、ホスト911は、例えば、ミッションクリティカルなサーバや、外部のウェブサーバなどであってよい。
<<<第1の実施形態の第2の変形例>>>
グラフ化部110は、プロセス920がアクセスする任意のファイルを頂点とし、その頂点に対するアクセスを辺とする関係グラフ820を生成する。
具体的には、辺で表されるプロセス920とファイルとの関係は、プロセス920によるそのファイルに対するオープン、クローズ、リード及びライト、並びにそのファイルの生成及び消去などの任意の関係である。
換言すると、上述の任意のファイルは、グラフ化部110がその挙動を直接的に示すイベントログ810を取得できない任意のファイルである。
<<<第1の実施形態の第3の変形例>>>
グラフ化部110は、同一の挙動または類似の挙動を示すイベントログ810を集約した関係グラフ820を生成してよい。
例えば、グラフ化部110は、一組の第1の特定のプロセス920と第2の特定のプロセス920との間の辺を1つとする、関係グラフ820を生成してもよい。この場合、グラフ化部110は、コネクション確立の回数やデータ量、アクセス頻度などを示す統計情報を、その辺に付加してよい。
また、グラフ化部110は、これら統計情報に基づいて、新たなイベントが発生した場合のその新たなイベントが、正常か異常かを判断するための基準を算出し、算出したその基準をその辺に付加してよい。例えば、グラフ化部110は、アクセス頻度の平均と標準偏差とに基づいて、次にアクセスがあった場合のそのアクセスの頻度が、その平均からどれくらい乖離したら異常と判断するかのしきい値を算出し、そのしきい値をその辺に付加してよい。
また、グラフ化部110は、第1の特定のプロセス920と第2の特定のプロセス920との間の、同一方向への複数回のデータ伝達を、1つの辺としてもよい。
===関係グラフ823===
図11は、イベントログ810を集約した関係グラフ820の具体例である、関係グラフ823を示す図である。図11に示すように、関係グラフ823は、辺に付加された「集約されたイベントログの個数」を示す情報を含む。
例えば、頂点識別子が「P1」のレコードにおける辺の「P2;SEND[1]、 P3;SEND[3];RECEIVE[2]」は、以下のことを示す。第1に、「P2;SEND[1]」の部分は、プロセス920「P1」がプロセス920「P2」へのデータ送信を1回実行したことを示す。第2に、「P3;SEND[3]」の部分は、プロセス920「P1」がプロセス920「P3」へのデータ送信を3回実行したことを示す。第3に、「P3;;RECEIVE[2]」の部分は、プロセス920「P1」がプロセス920「P3」からのデータを2回受信したことを示す。
また、グラフ化部110は、データ伝達関係の種別のそれぞれを個別に辺とする、関係グラフ820を生成してよい。
その種別は、例えば、ファイルアクセス、ホスト内でのプロセス間通信、別ホスト間でのプロセス間通信及びプロセス生成などの任意の種別であってよい。
グラフ化部110は、データ伝達関係の任意の組み合わせを辺とする、関係グラフ820を生成してよい。データ伝達関係の任意の組み合わせは、例えば、上述のコネクション単位であってよい。
グラフ化部110は、任意の基準に基づいて選択したイベントログ810に基づいて、関係グラフ820を生成してよい。
具体的には、グラフ化部110は、プロセス920間のコネクションの確立及び終了のみを辺とする関係グラフ820を生成してもよい。また、グラフ化部110は、プロセス920間のコネクションの確立及び終了と、ファイルのオープン及びクローズと、のみを辺とする関係グラフ820を生成してもよい。
グラフ化部110は、辺にデータ伝達関係に関する属性(プロパティ)を付加してよい。その属性は、例えば、データ伝達関係の種別の情報や、時刻情報である。
例えば、グラフ化部110は、データ伝達関係における転送データ量に関する情報を、辺の属性としてよい。転送データ量に関する情報は、例えば、転送方向や、単位時間当たりの転送量平均値や転送量最大値、所定の期間の転送量合計値など、転送データ量に関する任意の情報であってよい。
また、グラフ化部110は、データ伝達関係におけるアクセス回数に関する情報を、辺の属性としてよい。アクセス回数に関する情報は、アクセス方向や、単位時間当たりの平均アクセス回数(平均頻度)や最大アクセス回数(最大頻度)、所定の期間のアクセス累計回数など、アクセス回数に関する任意の情報であってよい。
グラフ化部110は、任意の手法で、任意の同一の挙動または類似の挙動の定義に基づいて、イベントログ810を集約した辺を含む関係グラフ820を生成してよい。尚、「同一の挙動」及び「類似の挙動」は、両方をまとめて「類似の挙動」とも呼ばれる。また、グラフ化部110は、イベントログ810を集約することなく関係グラフ820を生成してよい。
「同一の挙動または類似の挙動の定義」は、例えば、プロセス920間のコネクションの確立及び終了や、ファイルのオープン及びクローズなどの定義であってよい。「同一の挙動または類似の挙動の定義」は、通信のプロトコルの定義であってよい。また、「同一の挙動または類似の挙動の定義」は、データの転送方向、データ量を区分けしての、単位時間当たりの転送量平均値や転送量最大値、所定の期間の転送量合計値などの転送データ量に関する任意の情報の定義であってよい。また、「同一の挙動または類似の挙動の定義」は、データ伝達関係における、回数を区分けしての、単位時間当たりの平均アクセス回数(平均頻度)や最大アクセス回数(最大頻度)、所定の期間のアクセス累計回数など、アクセス回数に関する任意の情報の定義であってよい。また、「同一の挙動または類似の挙動の定義」は、時間帯を区分けしての、時間帯の定義であってよい。
これら同一、類似の挙動ごとにイベントログを集約することにより、管理する情報量を削減しつつ、グラフの特性を明瞭化することができる。
また、異なった挙動のイベントログを個別に集約することにより、同一または類似の挙動のイベントログを集約しつつ、特定の同一または類似の挙動のイベントログの操作を容易にすることができる。例えば、普段プロトコルAで通信している辺で、異常によりプロトコルBによる通信が発生したとする。このような場合、この異常を対処した後、容易にプロトコルBによる通信のイベントログを削除することができる。
また、グラフ化部110は、関係グラフ820にイベントログ810が集約された辺を含める場合、その集約されるイベントログ810に基づいて、イベントログ810が集約された辺の属性を生成してよい。
グラフ化部110は一定時間イベントが無かった辺を関係グラフから削除してもよい。例えば、あるコンピュータが廃棄され、もはや該コンピュータの情報は関係グラフから不要になった場合、グラフ化部110は該コンピュータとの通信が一定時間無かったことを検出すると、該コンピュータをノードとする辺を削除することができる。
上述した本実施形態における第1の効果は、監視対象システム(監視対象システム900、監視対象システム901)を構成する要素間のデータ伝達関係を含む、その監視対象システムの状態を示す情報を出力することを可能にする点である。
その理由は、グラフ化部110が、イベントログ810に基づいて、監視対象システムの構造を表す関係グラフ820を生成し、グラフ出力部120が関係グラフ820を出力するからである。
上述した本実施形態における第2の効果は、監視対象システムを構成する要素及び外部の要素間のデータ伝達関係を網羅的にカバーすることを可能にする点である。
その理由は、グラフ化部110が、更に任意のファイル及び任意の装置を頂点とする関係グラフ820を生成するからである。
上述した本実施形態における第3の効果は、監視対象システムの規模の巨大さや複雑などに係わらず、第1の効果を得ることを可能にする点である、
その理由は、グラフ化部110が、イベントログ810を集約した関係グラフ820を生成するからである。
上述した本実施形態における第4の効果は、監視対象システムを構成する要素間のデータ伝達関係を含む、その監視対象システムの状態をより適切に示す情報を出力することを可能にする点である。
その理由は、グラフ化部110が、任意に選択したイベントログ810に基づいて、関係グラフ820を生成するからである。
<<<第2の実施形態>>>
次に、本発明の第2の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図12は、本発明の第2の実施形態に係る情報処理装置200の構成を示すブロック図である。
図12に示すように、本実施形態における情報処理装置200は、第1の実施形態の情報処理装置100と比べて、グラフ化部110に替えてグラフ化部210を含み、グラフ出力部120に替えてグラフ出力部220を含む点が異なる。更に、情報処理装置200は、情報処理装置100と比べて、履歴蓄積部230を含む点が異なる。
===グラフ化部210===
グラフ化部210は、所定のタイミングで、その時点の関係グラフ820を復元可能な情報を、例えばその時点の時刻を関連付けて、履歴蓄積部230に記録する。その所定のタイミングは、例えば所定の時刻である。その所定のタイミングは、イベントログ810の処理数が、所定の閾値に達するタイミングであってよい。また、その所定のタイミングは、上述の例に係わらず、任意のタイミングであってよい。その時点の関係グラフ820を復元可能な情報は、例えば、以前のいずれかの時点(例えば、1つ前の時点)の関係グラフ820からの差分である。また、その時点の関係グラフ820を復元可能な情報は、その時点の関係グラフ820そのものであってもよい。
更に、グラフ化部210は、最新の関係グラフ820を暫定関係グラフとして履歴蓄積部230に記録し、イベントログ810を取得するたびに、その暫定関係グラフと関連付けられた時刻とを更新してもよい。この場合、グラフ化部210は、その所定のタイミングで、その暫定関係グラフの更新を停止し、その暫定関係グラフを確定された関係状態グラフ820としてよい。
グラフ化部210は、上述の点を除き、図1に示すグラフ化部110と同等である。
===履歴蓄積部230===
履歴蓄積部230は、関係グラフ820を記憶する。履歴蓄積部230は、更に、上述の暫定関係グラフを記憶してよい。
===グラフ出力部220===
グラフ出力部220は、例えば、図9のステップS604において、履歴蓄積部230に記憶されている関係グラフ820、及び履歴蓄積部230にまだ記憶されていないグラフ化部210が最後に生成した関係グラフ820を、任意に出力する。グラフ出力部220は、履歴蓄積部230に記憶されている暫定関係グラフを出力してよい。
上述した本実施形態における効果は、第1の実施形態の効果に加え、過去及び現在の関係グラフ820を出力することを可能にする点である。
その理由は、グラフ化部210が所定のタイミングで関係グラフ820を履歴蓄積部230に記録し、グラフ出力部220が履歴蓄積部230に記憶された関係グラフ820を出力するからである。
<<<第2の実施形態の変形例>>>
図20は、本変形例の履歴蓄積部230の内部構成の一例を示すブロック図である。
図20に示すように、本変形例の履歴蓄積部230は、データベース2001、タイマー2002、グラフ情報集約・削減部2003、キャッシュ2004を含む。
図21は、本変形例の履歴蓄積部230の動作を示すフローチャートである。
尚、図21に示すフローチャートの動作とは非同期に、グラフ化部210は、関係グラフ820をデータベース2001に書き込むものとする。同じく、グラフ出力部220は、データベース2001から関係グラフ820を読み出すものとする。
タイマー2002は、時間を計時し、所定の時間の経過を検出する(S2102)。
次に、タイマー2002は、グラフ情報集約・削減部2003を起動する(2103)。尚、タイマー2002が複数の所定の時間の経過を同時に検出した場合は、複数の所定の時間のそれぞれに対応して、順次、グラフ情報集約・削減部2003を起動する。
次に、グラフ情報集約・削減部2003は、データベース2001に記録された、その所定の時間に対応する全ての関係グラフ820に対して、順次、以下のステップS2105からステップS2111までの処理を実行する(S2104)。尚、データベース2001に記録された関係グラフ820は、履歴関係グラフとも呼ばれる。
グラフ情報集約・削減部2003は、その所定の時間に対応する関係グラフ820の1つを、データベース2001から読み出す(S2105)。
次に、グラフ情報集約・削減部2003は、その関係グラフ820を削除するかどうかを判定する(S2106)。判定方法としては、例えば、乱数を発生させ、その乱数に基づいて確率的に、その関係グラフ820を削除するかどうかを判定する方法などが挙げられる。
「その関係グラフ820を削除する」と判定した場合(S2106でyes)、グラフ情報集約・削減部2003は、その関係グラフ820をキャッシュに保持する(S2107)。
次に、グラフ情報集約・削減部2003は、その関係グラフ820をデータベースから削除する(S2108)。
一方、「その関係グラフ820を削除しない」と判定した場合(S2106でNO)、グラフ情報集約・削減部2003は、S2105で読み出した関係グラフ820とキャッシュされている関係グラフ820とを集約する(S2109)。関係グラフ820を集約する方法としては、例えば、同じ情報(例えば、「ノード−エッジ−ノード」の関係が同じ、など)については別個に情報を保持するのではなくその情報を1個のみ保持し、その情報の数を付加するなどがある。
次に、グラフ情報集約・削減部2003は、データベース2001のその関係グラフ820を更新する(S2110)。
次に、グラフ情報集約・削減部2003は、キャッシュ2004をクリアする(S2111)。換言すると、グラフ情報集約・削減部2003は、キャッシュ2004内の関係グラフ820(即ち、集約された関係グラフ820)を削除する。
図22は、本変形例により、データベース2001の関係グラフ820が時間とともに削減されて行く様子を説明するための図である。
図22において、実線で示す長方形(例えば、2201)は、保持されている関係グラフ820が発生時刻の位置にプロットされているものを、点線で示す長方形(例えば、2202)は削除され、集約された関係グラフ820を、示す。
最近(現在から所定の時間2203aだけ遡った時刻まで)の関係グラフ820は全て保持されている。これに対し、所定の時間2203aが経過後(所定の時間2203aの直前から所定の時間2203bだけ遡った時刻まで)の関係グラフ820は、確率的に削除される。削除される関係グラフ820の情報は、後続する関係グラフ820の同じ情報に集約される。更に所定の時間2203bが経過後(所定の時間2203bの直前からから所定の時間2203cだけ遡った時刻まで)、関係グラフ820は、確率的に更に削除され、集約される。
ここで、所定の時間のそれぞれ(所定の時間2203a遡った時刻から所定の時間2203b遡った時刻までの時間や、所定の時間2203b遡った時刻から所定の時間2203cまで遡った時刻までの時間など)は、同一であっても異なっていてもよい。例えば、過去へ遡るほど、その所定の時間が大きくてよい。
また、それぞれの所定の時間ごとに対応する、関係グラフ820を削除する確率は、同一であってよいし、異なっていてもよい。
上述した本実施形態における第1の効果は、何も対処せずに関係グラフ820の履歴を蓄積すると無限に履歴蓄積部230(データベース2001)のデータ量が増加してしまうことに対し、そのデータ量の増加を抑制することが可能なる点である。
その理由は、グラフ情報集約・削減部2003が、時間の経過に基づいて、データベース2001に記録された関係グラフ820を、削除するからである。
上述した本実施形態における第2の効果は、より適切に履歴蓄積部230のデータ量の増加を抑制することが可能なる点である。
その理由は、グラフ情報集約・削減部2003が、確率的にデータベース2001に記録された関係グラフ820を、削除するからである。
上述した本実施形態における第3の効果は、履歴蓄積部230に記録された関係グラフ820を、履歴蓄積部230に記録された情報の情報量の減衰を抑制しつつ、履歴蓄積部230のデータ量の増加を抑制することが可能なる点である。
その理由は、グラフ情報集約・削減部2003が、削除される関係グラフ820に含まれる情報を、削除されない関係グラフ820に集約するからである。
<<<第3の実施形態>>>
次に、本発明の第3の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図13は、本発明の第3の実施形態に係る情報処理装置300の構成を示すブロック図である。
図13に示すように、本実施形態における情報処理装置300は、第2の実施形態の情報処理装置200と比べて、グラフ化部210に替えてグラフ化部310を含み、問い合わせ処理部340を更に含む点が異なる。
===グラフ化部310===
グラフ化部310は、生成した関係グラフ820を、更に問い合わせ処理部340に出力する。グラフ化部310は、上述の点を除き、図12に示すグラフ化部210と同等である。
===問い合わせ処理部340===
問い合わせ処理部340は、問い合わせ830を受信し、その問い合わせ830に応答して問い合わせ回答840を出力する。
問い合わせ830は、関係グラフ820の頂点、辺及び部分グラフなどについての任意の条件を含む。また、問い合わせ830は、履歴蓄積部230に記憶された及びグラフ化部310が生成・更新する、関係グラフ820に関連付けられた時刻についての条件を含んでよい。
問い合わせ処理部340は、それらの条件をキーとして履歴蓄積部230を検索し、及びグラフ化部310が生成・更新する関係グラフ820を確認し、それらの条件を満たす、関係グラフ820の頂点、辺及び部分グラフなどを検出する。次に、問い合わせ処理部340は、その検出した結果に基づいて、その関係グラフ820の頂点、辺及び部分グラフなどの有無、個数、及びその関係グラフ820を任意に含む、問い合わせ回答840を出力する。
例えば、問い合わせ処理部340は、問い合わせ回答840を図8に示す出力部705を介して出力する。また、問い合わせ処理部340は、図8に示す通信部706を介して、図示しない機器に問い合わせ回答840を送信してもよい。また、問い合わせ処理部340は、図8に示す記憶装置703を介して、記録媒体707に問い合わせ回答840を記録してもよい。
また、問い合わせ処理部340は、受信した問い合わせ830を記憶し、その問い合わせ830を記憶し、その問い合わせ830に含まれる条件に基づいて、所定の期間、グラフ化部310が生成・更新する関係グラフ820を確認してもよい。
そして、問い合わせ処理部340は、例えば、その条件を満たす、関係グラフ820の頂点、辺及び部分グラフなどを最初に検出した場合に、その検出した結果に基づいて、問い合わせ回答840を出力する。或いは、問い合わせ処理部340は、継続的に、その条件を満たす、関係グラフ820の頂点、辺及び部分グラフなどを検出し、その検出した結果に基づいて、問い合わせ回答840を出力してもよい。
尚、上述のように、問い合わせ処理部340が、その問い合わせ830を記憶し、グラフ化部310が生成・更新する関係グラフ820を検索する場合、情報処理装置300は履歴蓄積部230を含まない構成であってもよい。
また、問い合わせ処理部340が、グラフ化部310が生成・更新する関係グラフ820を問い合わせ830の対象にしない場合、グラフ化部310は、関係グラフ820を問い合わせ処理部340へ出力しないでよい。即ち、この場合、グラフ化部310は、グラフ化部210であってよい。
尚、問い合わせ処理部340は、図1に示す情報処理装置100に適用されてもよい。この場合、問い合わせ処理部340は、例えばグラフ化部110が生成・更新する関係グラフ820について、上述した動作を実行する。
上述した本実施形態における効果は、第2の実施形態の効果に加え、情報処理システムを構成する要素間のデータ伝達関係を含む、その情報処理システムの状態をより適切に示す情報を出力することを可能にする点である。
その理由は、問い合わせ処理部340が、問い合わせ830に含まれる条件を満足する、関係グラフ820に関する情報を含む、問い合わせ回答840を出力するからである。
<<<第3の実施形態の変形例>>>
図23は、本変形例の情報処理装置301の構成を示すブロック図である。
図23に示すように、本変形例の情報処理装置301が情報処理装置300と異なる点は、問い合わせ回答840がグラフ出力部320に入力される点である。
グラフ出力部320は、問い合わせ830に対する問い合わせ回答840の情報を、グラフ化部310及び履歴蓄積部230から出力される関係グラフ820に重畳して出力する。
例えば、問い合わせとして「ノードP3からノードP2へSendが発生したら通知」という問い合わせ830が入力され、図11と同様のイベントが発生したとする。すると、グラフ化部310は該イベントに基づいて関係グラフ820を生成し、グラフ出力部320へ出力するとともに、問い合わせ処理部340へ出力する。
次に、問い合わせ処理部340は問い合わせ830に基づいて、その関係グラフ820を検索し、検出した情報(ここでは、「ノードP3からノードP2へSend」)を、グラフ出力部320へ出力する。
グラフ出力部320は、その関係グラフ820とその検出された情報とを重畳して、ディスプレイなどにその検出した情報重畳された関係グラフ820を出力する。
図24は、その検出された情報が重畳されたネットワーク図関係グラフ2425(関係グラフ820)の一例を示す図である。問い合わせ830がない場合、出力は図7に示すようになる。しかし、本実施形態のように問い合わせ830がある場合、図24に示すように、P3からP2へのSendを表すエッジ2408が強調されて表示される。強調する方法としては、例えば、他のエッジと異なった色で表示するや、表示を点滅させる、線種(太さ、模様)を変えて表示する、或いはアニメーション化するなど、であってよいし、それらに限らない。
上述した本変形例における効果は、関係グラフ820全体の中で、問い合わせに合致した部分がどこに位置するかが一見して分かるようにすることが可能になる点である。
その理由は、問い合わせ処理部340が、問い合わせ830に対応する関係グラフ820に関する情報を出力し、グラフ出力部320がその情報を重畳した関係グラフ820を出力するからである。
<<<第4の実施形態>>>
次に、本発明の第4実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図14は、本発明の第4の実施形態に係る情報処理装置400の構成を示すブロック図である。
図14に示すように、本実施形態における情報処理装置400は、第1の実施形態の情報処理装置100と比べて、グラフ化部110に替えてグラフ化部410を含み、マイニング部450を更に含む点が異なる。
===グラフ化部410===
グラフ化部410は、生成した関係グラフ820を、更にマイニング部450に出力する。グラフ化部410は、上述の点を除き、図1に示すグラフ化部110と同等である。
===マイニング部450===
マイニング部450は、マイニング要求850を受信する。次に、マイニング部450は、グラフ化部410から受け取った関係グラフ820に対して、そのマイニング要求850に基づいて、分析(マイニング)を実行する。次に、マイニング部450は、その分析の結果である分析結果860を、そのマイニング要求850への応答として送信する。
マイニング要求850は、関係グラフ820に対して実施する分析の内容を指定する。その分析の内容は、例えば、グラフ・クラスタリングや、頻出パターン検出、媒介中心性などである。
グラフ・クラスタリングは、関係グラフ820の頂点を「コミュニティ」に分割するための分析である。例えば、関係グラフ820の頂点は、「コミュニティ」は、同一コミュニティに属する頂点間は辺が密になるように、同一コミュニティに属さない頂点間は辺が疎になるように分割される。
頻出パターン検出は、関係グラフ820内に頻出する部分グラフのパターンを検出するための分析である。例えば、出現数が上位k番目までの、部分グラフのパターンが抽出される。
媒介中心性は、各頂点が、全ての頂点のペアに対する最短経路の途中経路になる回数を求めるための分析である。例えば、各頂点に対応するその回数が計数される。
以上の例に係わらず、マイニング要求850は、任意のマイニング(グラフマイニング、グラフ構造マイニング、グラフ構造分析とも呼ばれる)の内容を指定してよい。
マイニング部450は、グラフ化部410が生成する関係グラフ820について、マイニング要求850に含まれる分析の内容に基づいて、マイニングを実行する。次に、マイニング部450は、そのマイニングの実行の結果を分析結果860として出力する。
例えば、マイニング部450は、分析結果860を図8に示す出力部705を介して出力する。また、マイニング部450は、図8に示す通信部706を介して、図示しない機器に分析結果860を送信してもよい。また、マイニング部450は、図8に示す記憶装置703を介して、記録媒体707に分析結果860を記録してもよい。
尚、マイニング部450は、図2に示す情報処理装置200に適用されてもよい。この場合、マイニング部450は、履歴蓄積部230に記憶される関係グラフ820についても同様に、上述の動作を実行してよい。
上述した本実施形態における効果は、第1の実施形態の効果に加え、情報処理システムを構成する要素間のデータ伝達関係を含む、その情報処理システムの状態をより適切に示す情報を出力することを可能にする点である。
その理由は、マイニング部450が、マイニング要求850に含まれる分析の内容に基づいて、関係グラフ820を分析(マイニング)し、その結果を分析結果860として出力するからである。
<<<第4の実施形態の第1の変形例>>>
第4の実施形態は、第3の実施形態の変形例の技術を適用されてもよい。
即ち、本変形例のマイニング部450が出力する分析結果860は、本変形例のグラフ出力部120に入力されてよい。そして、本変形例のグラフ出力部120は、分析結果860の情報を、グラフ化部410及から出力される関係グラフ820に重畳して出力する。
上述した本変形例における効果は、関係グラフ820全体の中で、マイニング要求850に合致した部分がどこに位置するかが一見して分かるようにすることが可能になる点である。
その理由は、マイニング部450が、マイニング要求850に対応する関係グラフ820に関する情報を出力し、グラフ出力部120がその情報を重畳した関係グラフ820を出力するからである。
<<<第4の実施形態の第2の変形例>>>
図25は、本変形例の情報処理装置401の構成を示すブロック図である。
本変形例は、現在の関係グラフ820と過去の関係グラフ820とのそれぞれに個別に分析を実施し、それらの分析の結果を比較することにより、ネットワークの状況がいつもと違うことを検出することを特徴とする。
図25に示すように本変形例の情報処理装置401は、グラフ化部410及び第1のマイニング部450に加え、履歴蓄積部430と、第2のマイニング部451と、比較部460と、グラフ出力部420と、を含む。
本変形例のグラフ化部410は、生成した関係グラフ820を履歴蓄積部430及びマイニング部450に出力する。
本変形例の履歴蓄積部430は、マイニング部451からもアクセスされる点を除いて、図12に示す履歴蓄積部230と同等である。
第1のマイニング部450は、グラフ化部410から関係グラフ820(現在の関係グラフ820)を受け取り、その現在の関係グラフ820を分析する。
第2のマイニング部451は、履歴蓄積部430から関係グラフ820(過去の関係グラフ820)を受け取り、その過去の関係グラフ820を分析する。
比較部460は、第1のマイニング部450による分析の結果と、第2のマイニング部451による分析の結果と、を比較して差分を抽出し、その差分を出力する。
グラフ出力部420は、その差分を関係グラフ820上に重畳し出力する。例えば、グラフ出力部420は、グラフ化部410からの現在の関係グラフ820もしくは履歴蓄積部430からの過去の関係グラフ820の、その差分に相当する部分を強調して表示するように、関係グラフ820を出力する。
上述した本変形例における効果は、現在の関係グラフ820のうち、過去の関係グラフ820と統計的に異なる部分が、即ち普段と異なった関係グラフの部分が、視覚的に明瞭に判別できるようにすることが可能になる点である。
その理由は、以下の構成を含むからである。第1に、マイニング部450及びマイニング部451のそれぞれが、グラフ化部410及び履歴蓄積部430のそれぞれから受け取った関係グラフ820を分析する。第2に、比較部460が、マイニング部450及びマイニング部451のそれぞれの分析の結果の、差分を抽出する。第3に、グラフ出力部420が、その差分に更に基づいて関係グラフ820を表示する。
<<<第5の実施形態>>>
次に、本発明の第5実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図15は、本発明の第5の実施形態に係る情報処理装置500の構成を示すブロック図である。
図15に示すように、本実施形態における情報処理装置500は、第1の実施形態の情報処理装置100と比べて、グラフ出力部120に替えてグラフ出力部520を含む点が異なる。
===グラフ出力部520===
グラフ出力部520は、図表で表される関係グラフ820を生成し、出力する。グラフ出力部520は、上述の点を除き、図1に示すグラフ出力部120と同等である。
図表は、例えば、ネットワーク図やマトリックスである。次に、図表で表される関係グラフ820の例を説明する。
図16は、図11に示す関係グラフ823に対応する、ネットワーク図で表される関係グラフ820の具体的な例である、ネットワーク図関係グラフ825を示す図である。
図16において、円形は頂点を示し、円形の中の文字列は頂点識別子を示す。また、円形を結ぶ線分は辺を示す。各辺に添えられた文字列(例えば、[1])は、辺の属性である。
図17は、図11に示す関係グラフ823に対応する、マトリックスで表される関係グラフ820の具体的な例である、マトリックス関係グラフ826を示す図である。
図17は、縦軸の頂点識別子(左端の頂点識別子)のリストで特定される頂点を辺のfrom(始端)側の頂点とし、横軸の頂点識別子(最上行の頂点識別子)のリストで特定される頂点を辺のto(終端)側の頂点とする、マトリックスである。マトリックスのセル内の数値(例えば、「1」)は、from側の頂点からto側の頂点へのアクセス回数を示す。
図18は、図6に示す関係グラフ824に対応する、ネットワーク図で表される関係グラフ820の具体的な例である、ネットワーク図関係グラフ827を示す図である。
図18において、円形は頂点を示し、円形の中の文字列は頂点識別子を示す。また、円形を結ぶ線分は辺を示す。
図19は、図6に示す関係グラフ824に対応する、マトリックスで表される関係グラフ820の具体的な例である、マトリックス関係グラフ828を示す図である。
図19は、縦軸の頂点識別子(左端の頂点識別子)のリストで特定される頂点を辺のfrom側(要求側)側の頂点とし、横軸の頂点識別子(最上行の頂点識別子)のリストで特定される頂点を辺のto側(待受側)の頂点とする、マトリックスを示す図である。マトリックスのセル内の文字列(例えば、「READ」)は、from側の頂点からto側の頂点への辺の有無(NL:辺なし、NL以外:辺あり)及び属性(L0、L1及びL2)のいずれかを示す。
マトリックスは、図19の例に係わらず、任意の形式のマトリックスであってよい。また、ネットワーク図は、図18の例に係わらず、任意の形式のネットワーク図であってよい。グラフ出力部520は、上述の例に係わらず、任意の種類の図表により表わされる関係グラフ820を、任意に組み合わせて或いは単独で出力してよい。
尚、グラフ出力部520は、図12に示す情報処理装置200に適用されてもよい。この場合、グラフ出力部520は、履歴蓄積部230に記憶される関係グラフ820についても同様に、図表で表される関係グラフ820を生成し、出力してよい。
同様に、本実施形態で示す技術は、図13に示す情報処理装置200、図14に示す情報処理装置400、図23に示す情報処理装置301及び図25に示す情報処理装置401のそれぞれに適用されてもよい。
<<<第5の実施形態の変形例>>>
グラフ出力部520は、関係グラフ820の時間的変化を表す表示情報を出力してよい。
その表示情報は、例えば、関係グラフ820の状態の変化を動画で示す情報であってよい。また、その表示情報は、関係グラフ820の複数の時点の状態を、並べて示す情報であってもよい。
その表示情報は、現在時刻に対応してリアルタイムに更新される情報であってよい。また、グラフ出力部520が情報処理装置200に適用される場合、その表示情報は、要求された時間範囲に対応する情報であってもよい。
上述した本実施形態における効果は、第1の実施形態の効果に加え、関係グラフ820を、ユーザがより認知しやすい形式で提供することを可能にする点である。
その理由は、グラフ出力部520が、図表で表される関係グラフ820を生成し、出力するからである。更に、グラフ出力部520が、関係グラフ820の時間的変化を表す表示情報を出力するからである。
以上、各実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得るさまざまな変更をすることができる。
この出願は、2014年3月20日に出願された日本出願特願2014−058496、及び2014年6月6日に出願されたPCT国際出願PCT/JP2014/003014を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、情報処理システムの構成管理や運用管理、セキュリティ管理などを行う情報処理装置、監視方法、及びそのためのプログラムに適用できる。
100 情報処理装置
110 グラフ化部
120 グラフ出力部
200 情報処理装置
210 グラフ化部
220 グラフ出力部
230 履歴蓄積部
300 情報処理装置
301 情報処理装置
310 グラフ化部
320 グラフ出力部
340 問い合わせ処理部
400 情報処理装置
401 情報処理装置
410 グラフ化部
420 グラフ出力部
430 履歴蓄積部
450 マイニング部
451 マイニング部
460 比較部
500 情報処理装置
520 グラフ出力部
700 コンピュータ
701 CPU
702 記憶部
703 記憶装置
704 入力部
705 出力部
706 通信部
707 記録媒体
810 イベントログ
811 イベントログ
820 関係グラフ
821 関係グラフ
822 関係グラフ
823 関係グラフ
824 関係グラフ
825 ネットワーク図関係グラフ
826 マトリックス関係グラフ
827 ネットワーク図関係グラフ
828 マトリックス関係グラフ
830 問い合わせ
840 問い合わせ回答
850 マイニング要求
860 分析結果
900 監視対象システム
901 監視対象システム
910 ホスト
911 ホスト
920 プロセス
930 イベント監視手段
931 プロセス生成監視手段
932 ファイルアクセス監視手段
933 ホスト内プロセス間通信監視手段
934 ホスト間プロセス間通信監視手段
940 任意装置
941 ルータ
942 センサ
943 プリンタ
944 ネットワーク機器
2001 データベース
2002 タイマー
2003 グラフ情報集約・削減部
2004 キャッシュ
2408 エッジ
2425 ネットワーク図関係グラフ

Claims (30)

  1. システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、前記プロセスを頂点とし、前記頂点間のデータ伝達関係を辺とする、関係グラフを生成するためのグラフ化手段と、
    前記関係グラフを出力するためのグラフ出力手段と、を含む
    情報処理装置。
  2. 前記システムは、任意の前記プロセスのそれぞれが動作する、ネットワークで接続された複数のホストを含み、
    前記グラフ化手段は、少なくとも、前記ホストのそれぞれに存在する監視エージェントから前記イベントログを取得する
    請求項1記載の情報処理装置。
  3. 前記グラフ化手段は、任意の装置のそれぞれの挙動を示すイベントログに基づいて、更に前記所定の装置を頂点とする前記関係グラフを生成する
    請求項1または2記載の情報処理装置。
  4. 前記グラフ化手段は、更に、前記プロセスがアクセスする、任意のファイル及び装置を前記頂点とし、前記アクセスを前記辺とする前記関係グラフを生成する
    請求項1乃至3のいずれか1項に記載の情報処理装置。
  5. 前記グラフ化手段は、更に、前記プロセスによる新たなプロセスの生成を辺とする前記関係グラフを生成する
    請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. 前記グラフ化手段は、類似の挙動を示す前記イベントログが集約された前記辺を含む前記関係グラフを生成する
    請求項1乃至5のいずれか1項に記載の情報処理装置。
  7. 前記関係グラフに基づいて、新たなイベントが発生したときの前記イベントが正常か異常かを判断するための基準を算出する
    請求項6記載の情報処理装置。
  8. 前記グラフ化手段は、前記辺における前記類似の挙動に情報を前記辺の属性とする
    請求項6または7記載の情報処理装置。
  9. 前記グラフ化手段は、特定の前記辺に対応するイベントが一定期間発生しなかった場合、前記特定の辺を削除する
    請求項6乃至8のいずれか1項に記載の情報処理装置。
  10. 前記グラフ化手段は、前記辺における転送データ量に関する情報を前記辺の属性とする、前記関係グラフを生成する
    請求項1乃至9のいずれか1項に記載の情報処理装置。
  11. 前記グラフ化手段は、前記辺におけるアクセス回数に関する情報を前記辺の属性とする、前記関係グラフを生成する
    請求項1乃至10のいずれか1項に記載の情報処理装置。
  12. 前記グラフ化手段は、前記データ伝達関係の種別のそれぞれを個別に、前記辺とする前記関係グラフを生成する
    請求項1乃至11のいずれか1項に記載の情報処理装置。
  13. 前記グラフ化手段は、前記データ伝達関係の任意の組み合わせを前記辺とする前記関係グラフを生成する
    請求項1乃至12のいずれか1項に記載の情報処理装置。
  14. 前記グラフ化手段は、任意の基準に基づいて選択した前記イベントログに基づいて、前記関係グラフを生成する
    請求項1乃至13のいずれか1項に記載の情報処理装置。
  15. 前記辺は、前記頂点の関係に関するプロパティを含む
    請求項1乃至14のいずれか1項に記載の情報処理装置。
  16. 前記関係グラフを履歴関係グラフとして記憶する履歴蓄積手段を更に含み、
    前記グラフ化手段は、前記履歴関係グラフ及び前記イベントログに基づいて、前記履歴関係グラフを更新することで生成する前記関係グラフを出力する
    請求項1乃至15のいずれか1項に記載の情報処理装置。
  17. 前記履歴蓄積手段は、時間の経過に基づいて、前記履歴関係グラフを削除する
    請求項16記載の情報処理装置。
  18. 前記履歴蓄積手段は、前記履歴関係グラフを削除する場合、確率的に削除する
    請求項17記載の情報処理装置。
  19. 前記履歴蓄積手段は、前記履歴関係グラフを削除する場合、削除される前記履歴関係グラフに含まれる情報を、削除されない前記履歴関係グラフに集約する
    請求項17または18記載の情報処理装置。
  20. 問い合わせを受信し、前記問い合わせに対応する前記関係グラフに関する情報を送信する問い合わせ処理手段を更に含む
    請求項1乃至19のいずれか1項に記載の情報処理装置。
  21. 前記問い合わせ処理手段は、前記問い合わせに対応する前記関係グラフに関する情報を前記グラフ出力手段に出力し、
    前記グラフ出力手段は、前記関係グラフのうち前記問い合わせに対応する部分を強調表示する
    請求項20記載の情報処理装置。
  22. マイニング要求に基づいて、前記関係グラフの分析を実行し、前記分析の結果を出力するマイニング手段を更に含む
    請求項1乃至21のいずれか1項に記載の情報処理装置。
  23. 前記マイニング手段は、前記分析の結果を前記グラフ出力手段に入力し、
    前記グラフ入力手段は、前記関係グラフのうち前記マイニング要求に対応する部分を強調表示する
    請求項22記載の情報処理装置。
  24. 前記マイニング手段は、現在の関係グラフの分析を実行し、前記分析の結果を出力する第1のマイニング手段であり、
    過去の関係グラフの分析を実行し、前記分析の結果を出力する第2のマイニング手段と、
    一つの前記マイニング要求に基づいて、前記第1のマイニング手段が出力する分析の結果と前記第2のマイニング手段が出力する分析の結果とを比較し、比較した結果に基づいて差分を出力する比較手段と、を更に含む
    請求項22または23記載の情報処理装置。
  25. 前記比較手段は、前記差分を前記グラフ出力手段に入力し、
    前記グラフ入力手段は、前記関係グラフのうち前記差分の部分を強調表示する。
    請求項24記載の情報処理装置。
  26. 前記グラフ出力手段は、異なった色での表示、表示の点滅、異なる線の太さ、異なる線のパターン、及びアニメーション化の少なくともいずれかにより、前記部分を強調表示する
    請求項21、23及び25のいずれか1項に記載の情報処理装置。
  27. 前記グラフ出力部は、図表で表される前記関係グラフを生成し、出力する
    請求項1乃至26のいずれか1項に記載の情報処理装置。
  28. 請求項1乃至27のいずれかに記載の情報処理装置と、
    少なくとも、プロセスの生成、ファイルのアクセス及びプロセス間の通信のいずれかのイベントを監視するイベント監視手段と、を含む
    情報処理システム。
  29. システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、前記プロセスを頂点とし、前記頂点間のデータ伝達関係を辺とする、関係グラフを生成し、
    前記関係グラフを出力する
    監視方法。
  30. システムにおいて動作する複数のプロセスのそれぞれの挙動を示すイベントログに基づいて、前記プロセスを頂点とし、前記頂点間のデータ伝達関係を辺とする、関係グラフを生成する処理と、
    前記関係グラフを出力する処理と、をコンピュータに実行させる
    プログラムを記録したコンピュータ読み取り可能な不揮発性非一時的記録媒体。
JP2016508538A 2014-03-20 2015-03-18 情報処理装置及び監視方法 Active JP6747287B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2014058496 2014-03-20
JP2014058496 2014-03-20
PCT/JP2014/003014 WO2015140842A1 (ja) 2014-03-20 2014-06-06 システムを監視する情報処理装置及び監視方法
JPPCT/JP2014/003014 2014-06-06
PCT/JP2015/001499 WO2015141220A1 (ja) 2014-03-20 2015-03-18 情報処理装置及び監視方法

Publications (2)

Publication Number Publication Date
JPWO2015141220A1 true JPWO2015141220A1 (ja) 2017-04-06
JP6747287B2 JP6747287B2 (ja) 2020-08-26

Family

ID=54143868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016508538A Active JP6747287B2 (ja) 2014-03-20 2015-03-18 情報処理装置及び監視方法

Country Status (6)

Country Link
US (1) US10860406B2 (ja)
EP (1) EP3121725A4 (ja)
JP (1) JP6747287B2 (ja)
CN (1) CN106104495A (ja)
AU (1) AU2015233419B2 (ja)
WO (2) WO2015140842A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11222072B1 (en) * 2015-07-17 2022-01-11 EMC IP Holding Company LLC Graph database management system and method for a distributed computing environment
JP6828692B2 (ja) * 2015-12-02 2021-02-10 日本電気株式会社 支援装置、支援方法およびプログラム
US10338986B2 (en) * 2016-10-28 2019-07-02 Microsoft Technology Licensing, Llc Systems and methods for correlating errors to processing steps and data records to facilitate understanding of errors
WO2018155371A1 (ja) 2017-02-22 2018-08-30 日本電気株式会社 情報処理装置、情報処理システム、監視方法、及び、記録媒体
US10747591B2 (en) * 2018-03-21 2020-08-18 Didi Research America, Llc Endpoint process state collector
JP7031735B2 (ja) * 2018-03-28 2022-03-08 日本電気株式会社 情報処理装置、制御方法、及びプログラム
CN110609873A (zh) * 2018-06-15 2019-12-24 富士施乐株式会社 信息处理装置和非暂时性计算机可读介质
EP3588348A1 (en) * 2018-06-29 2020-01-01 AO Kaspersky Lab Systems and methods for detecting malicious activity in a computer system
RU2697958C1 (ru) 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносной активности на компьютерной системе
CN109344294B (zh) * 2018-08-14 2023-03-31 创新先进技术有限公司 特征生成方法、装置、电子设备及计算机可读存储介质
JP6898280B2 (ja) * 2018-08-31 2021-07-07 ファナック株式会社 知識作成システム
JPWO2020065778A1 (ja) * 2018-09-26 2021-08-30 日本電気株式会社 情報処理装置、制御方法、及びプログラム
WO2020100186A1 (ja) * 2018-11-12 2020-05-22 日本電気株式会社 情報処理装置、制御方法、及びプログラム
US20220019660A1 (en) * 2018-11-16 2022-01-20 Nec Corporation Information processing apparatus, control method, and program
JP7259436B2 (ja) * 2019-03-19 2023-04-18 日本電気株式会社 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
KR102294173B1 (ko) * 2019-09-17 2021-08-25 경기대학교 산학협력단 구조적 정보제어넷 기반 프로세스 마이닝 시스템 및 방법
CN112988501B (zh) * 2019-12-17 2023-02-03 深信服科技股份有限公司 一种告警信息生成方法、装置、电子设备及存储介质
WO2021186683A1 (ja) * 2020-03-19 2021-09-23 三菱電機株式会社 汚染範囲特定装置および汚染範囲特定プログラム
WO2022249369A1 (ja) * 2021-05-26 2022-12-01 日本電信電話株式会社 プロセス情報解析装置、プロセス情報解析方法およびプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07191872A (ja) * 1993-11-19 1995-07-28 At & T Corp システム解析装置
JP2006339025A (ja) * 2005-06-02 2006-12-14 Matsushita Electric Ind Co Ltd プラズマディスプレイパネル、保護膜およびプラズマディスプレイパネルの検査方法
JP2008065668A (ja) * 2006-09-08 2008-03-21 Internatl Business Mach Corp <Ibm> 障害発生の原因箇所の発見を支援する技術
JP2012221502A (ja) * 2011-04-08 2012-11-12 Computer Associates Think Inc Jvmおよびクロスjvm呼び出しスタックの可視化
JP2013054402A (ja) * 2011-08-31 2013-03-21 Fujitsu Fip Corp 運用監視装置、運用監視プログラム及び記録媒体
JP2014010772A (ja) * 2012-07-02 2014-01-20 Fujitsu Ltd システム管理装置、システムの管理方法、及びシステムの管理プログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100390853B1 (ko) * 2000-06-07 2003-07-10 차상균 주 메모리 트랜잭션 처리 시스템에서 병렬적 회복 연산을 위한 디퍼런셜 로깅 방법 및 장치
GB2398650B (en) * 2003-02-21 2006-09-20 Picochip Designs Ltd Communications in a processor array
JP2005339025A (ja) 2004-05-25 2005-12-08 Sony Corp コンテンツ配信システム、コンテンツ送信装置、コンテンツ受信装置およびコンテンツ配信方法
JP2008021274A (ja) 2006-06-15 2008-01-31 Interlex Inc プロセス監視装置及び方法
JP5200831B2 (ja) * 2008-09-30 2013-06-05 沖電気工業株式会社 無線ネットワークシステム及び制御ノード切替方法
EP2433186B1 (en) * 2009-05-19 2013-11-20 ABB Research Ltd. Computer-implemented method and system for automatic generation of time slot allocation for a wireless control loop
US8392760B2 (en) * 2009-10-14 2013-03-05 Microsoft Corporation Diagnosing abnormalities without application-specific knowledge
US8239529B2 (en) 2010-11-30 2012-08-07 Google Inc. Event management for hosted applications
CN102768638B (zh) * 2012-05-18 2015-04-29 北京工业大学 基于状态转移图的软件行为可信性检测方法
US20130232433A1 (en) * 2013-02-01 2013-09-05 Concurix Corporation Controlling Application Tracing using Dynamic Visualization
US20140019879A1 (en) * 2013-02-01 2014-01-16 Concurix Corporation Dynamic Visualization of Message Passing Computation
US20150026465A1 (en) * 2013-07-18 2015-01-22 Alcatel Lucent Methods And Devices For Protecting Private Data

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07191872A (ja) * 1993-11-19 1995-07-28 At & T Corp システム解析装置
JP2006339025A (ja) * 2005-06-02 2006-12-14 Matsushita Electric Ind Co Ltd プラズマディスプレイパネル、保護膜およびプラズマディスプレイパネルの検査方法
JP2008065668A (ja) * 2006-09-08 2008-03-21 Internatl Business Mach Corp <Ibm> 障害発生の原因箇所の発見を支援する技術
JP2012221502A (ja) * 2011-04-08 2012-11-12 Computer Associates Think Inc Jvmおよびクロスjvm呼び出しスタックの可視化
JP2013054402A (ja) * 2011-08-31 2013-03-21 Fujitsu Fip Corp 運用監視装置、運用監視プログラム及び記録媒体
JP2014010772A (ja) * 2012-07-02 2014-01-20 Fujitsu Ltd システム管理装置、システムの管理方法、及びシステムの管理プログラム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
明石修,他2名: "IM−VIS: 情報統合機能を用いたネットワーク状態可視化システムの提案", 情報処理学会研究報告, vol. 第2009巻,第6号, JPN6015022776, 21 January 2009 (2009-01-21), JP, pages 75 - 82, ISSN: 0004176170 *
河合直人,他4名: "関係性に基づく通信網における制御メトリック情報の更新手法", 電子情報通信学会技術研究報告, vol. 第114巻,第110号, JPN6015022775, 19 June 2014 (2014-06-19), JP, pages 61 - 66, ISSN: 0004176169 *
田中慎司,他1名: "ネットワークプラットフォームに向けたJava実行環境の高速化", 電子情報通信学会技術研究報告, vol. 第103巻,第576号, JPN6015022774, 15 January 2004 (2004-01-15), JP, pages 31 - 35, ISSN: 0004176168 *

Also Published As

Publication number Publication date
US10860406B2 (en) 2020-12-08
CN106104495A (zh) 2016-11-09
AU2015233419B2 (en) 2017-07-27
EP3121725A1 (en) 2017-01-25
WO2015140842A1 (ja) 2015-09-24
AU2015233419A1 (en) 2016-09-15
JP6747287B2 (ja) 2020-08-26
EP3121725A4 (en) 2018-01-24
US20170075746A1 (en) 2017-03-16
WO2015141220A1 (ja) 2015-09-24

Similar Documents

Publication Publication Date Title
JP6747287B2 (ja) 情報処理装置及び監視方法
US11632383B2 (en) Predictive model selection for anomaly detection
US11876821B1 (en) Combined real-time and batch threat detection
US11463464B2 (en) Anomaly detection based on changes in an entity relationship graph
US11971778B1 (en) Anomaly detection from incoming data from a data stream
US11343268B2 (en) Detection of network anomalies based on relationship graphs
US20200366691A1 (en) Security monitoring of network connections using metrics data
US10789118B2 (en) Information processing device and error detection method
US11777974B2 (en) Systems data availability validation
US10200262B1 (en) Continuous anomaly detection service
US20180314576A1 (en) Automatic application repair by network device agent
CN104731690B (zh) 适应性度量收集、存储、和警告阈值

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160913

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A527

Effective date: 20160913

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200707

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200720

R150 Certificate of patent or registration of utility model

Ref document number: 6747287

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150