WO2004036437A1

WO2004036437A1 - ネットワーク監視システム

Info

Publication number: WO2004036437A1
Application number: PCT/JP2003/013207
Authority: WO
Inventors: Michiharu Arimoto; Hidenobu Seki; Yoshiaki Komoriya; Daiji Sanai; Takashi Mishima
Original assignee: Yamatake Corporation
Priority date: 2002-10-15
Filing date: 2003-10-15
Publication date: 2004-04-29
Also published as: JP4636775B2; CA2502216C; CA2502216A1; JP2004135228A; US20040117481A1; US8150471B2

Abstract

　一アクションを説明するためのアクション説明情報が複数のパケットに分散されたネットワークを容易に監視することができるネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを提供する。本発明にかかるネットワーク監視システムでは、まず、データ取得部３２によって、ネットワーク上を流れる複数のパケットを取得する。そして、データ解析部３３は、データ取得部３２により取得された複数のパケットより、予め定められた一アクションを説明するためのアクション説明情報を取得する。そして、表示情報生成部３４は、このデータ解析部３３によって取得されたアクション説明情報に基づきネットワーク上の一アクションを一画面上で表示させる。

Description

明細書ネットワーク監視システム技術分野

本発明は、ネットワーク上の通信状況を監視するためのネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムに関するものである。背景技術

近年、企業を中心に、 LAN (L o c a l Ar e a Ne two r k) や W AN (Wi d e Ar e a N e t w o r k ) 等のネットワークが構築され、広く普及している。一般にネットワークの運用では必ずトラフレが伴うことから、トラブルの予防と早期発見のためにネットワーク状態を監視するネットワーク - アナライザと呼ばれるネットワーク監視システムの導入が行われている。ネットワーク監視システムについては、例えば、特開 2002— 64492号公報に開示されている。

他方、ネットワーク上に、例えばフアイノレサーバを設置し、データを複数のクライアントにおいて共有することが行われている。このファイルサーバ上のデータは、データの種類によっては、アクセスを制限し、消去 -書き換えを制限する必要がある。このとき、ネットワーク監視システムにより、ネットワークを流れるデータバケツトを監視し、どのクライアントがファイルサーバにアクセスしたかを確認することができる。

ここで、従来のネットワーク監視システムでは、パケット毎にそのパケットに含まれるデータの内容を解析し、画面に表示している。そのため、 1パケット中に、アクションを説明するための情報、例えば、どのクライアントからどのクライアントのァクション対象に対してどのようなァクションが行われたかを示す情報が格納されている場合は、従来のネットワーク監視システムでも十分に通信状況を把握することができる。しかしながら、例えば、マイクロソフト社が主に開発した SMB (S e r v e r Me s s a g e B l o c k) プロトコノレでは、ーァクションを説明するためのァクション説明情報が複数のバケツトに分散され、送信されている。

SMBプロトコルにおけるバケツトシーケンスの例を図 1 2に示す。この例では、クライアントがサーバの共有フォルダへ接続して、フォルダ内のファイルを書き換える操作を行った場合のパケットシーケンスの例を示す。図において、ノ、。ケット番号は、個々のパケットに対して説明の便宜上割り振られた数字であり、

1番から順にパケットが送受信されていることを示す。また、図における「c」はクライアントを示し、 sj はサーバを示す。このパケットシーケンスから、ーァクションを説明するためのアクション説明情報が、 36個のバケツトに分散されていることがわかる。

従って、このようなーァクションを説明するためのァクション説明情報が複数のバケツトに分散されるネットワークにおいて、従来のネットワーク監視システムにより一アクションを把握するためには、パケットに含まれるデータの内容の解析結果を、パケット毎に表示させた上で、ネットワーク監視者等のユーザが通信状況を分析しなければならない。そのため、多大な労力と知識を必要とすることになる。

このように、従来のネットワーク監視システムでは、一アクションを説明するためのァクション説明情報が複数のパケットに分散されたネットワークを監視するためには、多大な労力と知識を必要とするという問題点があつた。発明の開示

本発明は、このような問題点を解決するためになされたもので、一アクションを説明するためのアクション説明情報が複数のバケツトに分散されたネットヮークを容易に監視することができるネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを提供することを目的とする。

本発明にかかるネットワーク監視システムは、一アクションを説明するためのァクション説明情報が複数のパケットに分散されたネットワーク（例えば本実施の形態における SMBプロトコルに従ったネットワーク）における通信状況を監視するネットワーク監視システムであって、ネットワーク上を流れる複数のパケットを取得するデータ取得手段（例えば本実施の形態におけるデータ取得部 3 3 2 ) と、前記データ取得手段により取得された複数のパケットより、予め定められたーァクションを説明するためのァクション説明情報を取得するデータ解析手段（例えば本実施の形態におけるデータ解析部 3 3 ) と、前記データ解析手段によって取得されたァクション説明情報に基づきネットワーク上のーァクションを一画面上で表示させる表示情報を生成する表示情報生成手段（例えば本実施の形態における表示情報生成部 3 4 ) とを備えたものである。このような構成により、ユーザは、一アクションを一画面上で認識することができるため、極めて容易に監視することができる。

ここで、データ解析手段は、前記データ取得手段により取得された複数のパケットのそれぞれの種類を特定するステップと、種類の特定に応じて当該パケットよりァクション説明情報を取得するステツプとを実行するようにしてもよい。好適な実施の形態におけるァクション説明情報には、送信元コンピュータ情報、宛先コンピュータ情報及びァクション情報が含まれる。

また、前記データ解析手段によって取得されたァクション説明情報を記憶する解析データ記憶手段をさらに備え、前記表示情報生成手段は、ユーザの要求に応じて前記解析データ記憶手段に記憶されたァクション説明情報を再生表示させる表示情報を生成するようにしてもよい。これにより、ネットワーク上のァクションの確認作業をいつでも最適な時間に行うことができる。

ここで、前記解析データ記憶手段に記憶されたアクション説明情報には、ァクシヨンの時刻に対応する時刻情報が含まれ、前記表示情報生成手段は、ユーザの要求に応じて、アクションの時刻情報に従った再生表示を実行するための表示情報を生成するようにするとよい。これにより、時間的に実際の状況に従った再生表示を実現できる。

また、前記表示情報生成手段は、ユーザの要求に応じて、略同じ時間間隔でァクシヨンを連続的に再生表示させるようにしてもよい。これにより、再生表示による監視作業を効率化できる。また、前記表示情報生成手段は、ユーザによる表示の設定に従って表示情報を抽出し作成するようにしてもよい。

本発明にかかるネットワーク監視方法は、一アクションを説明するためのァクション説明情報が複数のパケットに分散されたネットワークにおける通信状況を監視するネットワーク監視方法であって、ネットワーク上を流れる複数のバケツトを取得するデータ取得ステツプと、前記データ取得ステツプにより取得された複数のバケツトより、予め定められた一ァクションを説明するためのァクション説明情報を取得するデータ解析ステツプと、前記データ解析ステップによって取得されたアクション説明情報に基づきネットワーク上のーァクションを一画面上で表示させる表示情報を生成する表示情報生成ステツプとを実行するものである。このような方法により、ユーザは、一アクションを一画面上で認、識することができるため、極めて容易に監視することができる。

ここで、前記データ解析ステップは、前記データ取得ステップにより取得された複数のパケットのそれぞれの種類を特定するステップと、種類の特定に応じて当該パケットよりアクション説明情報を取得するステップとを有するようにするとよい。

好適な実施の形態におけるァクション説明情報には、送信元コンピュータ情報、宛先コンピュータ情報及びァクション情報が含まれる。

また、前記データ解析ステップによって取得されたァクション説明情報を記憶する解析データ記憶ステップをさらに備え、前記表示情報生成ステップは、ユーザの要求に応じて前記解析データ記憶ステップにより記憶されたァクション説明情報を再生表示させる表示情報を生成するようにするとよい。このような方法により、ネットワーク上のアクションの確認作業をいつでも最適な時間に行うことができる。

さらに、前記解析データ記憶ステツプにより記憶されたァクション説明情報には、アクションの時刻に対応する時刻情報が含まれ、前記表示情報生成ステップは、ユーザの要求に応じて、アクションの時刻情報に従った再生表示を実行するための表示情報を生成するようにするとよい。これにより、時間的に実際の状況に従った再生表示を実現できる。

また、前記表示情報生成ステップは、ユーザの要求に応じて、略同じ時間間隔でアクションを連続的に再生表示させることが望ましい。これにより、再生表示による監視作業を効率化できる。さらに、表示情報生成ステップは、ユーザによる表示の設定に従って表示情報を抽出し作成するようにしてもよい。

本発明におけるネットワーク監視プログラムは、一アクションを説明するためのァクション説明情報が複数のバケツトに分散されたネットワークにおける通信状況を監視するネットワーク監視プログラムであって、このネットワーク監視プログラムは、コンピュータに対して、ネットワーク上を流れる複数のパケットを取得するデータ取得ステップと、前記データ取得ステップにより取得された複数のパケットより、予め定められた一アクションを説明するためのアクション説明情報を取得するデータ解析ステップと、前記データ解析ステップによって取得されたァクション説明情報に基づきネットワーク上の一アクションを一画面上で表示させる表示情報を生成する表示情報生成ステツプとを実行させるものである。このようなプログラムをコンピュータに実行させることにより、ユーザは、ーァクションを一画面上で認識することができるため、極めて容易に監視することができる。

ここで、前記データ解析ステップは、前記データ取得ステップにより取得された複数のバケツトのそれぞれの種類を特定するステップと、種類の特定に応じて当該バケツトよりァクション説明情報を取得するステップとを有するとよい。好適な実施の形態におけるァクション説明情報には、送信元コンピュータ情報、宛先コンピュータ情報及びァクション情報が含まれる。

また、前記データ解析ステップによって取得されたァクション説明情報を記憶する解析データ記憶ステップをさらに備え、前記表示情報生成ステップは、ユーザの要求に応じて前記解析データ記憶ステップにより記憶されたアクション説明情報を再生表示させる表示情報を生成するようにするとよい。このようなプログラムをコンピュータに実行させることにより、ネットワーク上のアクションの確認作業をいつでも最適な時間に行うことができる。

さらに、前記解析データ記憶ステップにより記憶されたァクション説明情報には、アクションの時刻に対応する時刻情報が含まれ、前記表示情報生成ステップは、ユーザの要求に応じて、アクションの時刻情報に従った再生表示を実行するための表示情報を生成するようにしてもよい。これにより、時間的に実際の状況に従った再生表示を実現できる。

前記表示情報生成ステップは、ユーザの要求に応じて、略同じ時間間隔でァクシヨンを連続的に再生表示させることが望ましい。これにより、再生表示による監視作業を効率化できる。さらに、表示情報生成ステップは、ユーザによる表示の設定に従って表示情報を抽出し作成するようにしてもよい。図面の簡単な説明

図 1は、本発明にかかるネットワーク監視システムが適用されるネットワークの構成を示す構成図であり、図 2は、本発明にかかるネットワーク監視コンビュータの構成を示すブロック図であり、図 3は、本発明にかかるネットワーク監視コンピュータの解析データ記憶部のデータ例を示す図であり、図 4は、本発明にかかるネットワーク監視システムの処理の流れを示すフローチャートであり、図 5は、本発明にかかるネットワーク監視システムの処理を説明するための説明図であり、図 6は、本発明にかかるネットワーク監視システムが適用されるネットワーク上を流れるパケットの種類の例を示す図であり、図 7は、本発明にかかるネットワーク監視システムによる画面表示例を示す図であり、図 8は、本発明にかかるネットワーク監視システムによる画面表示例を示す図であり、図 9は、本発明にかかるネットワーク監視システムにおいてプレイバック機能を実行した場合の画面表示例を示す図であり、図 1 0は、本発明にかかるネットワーク監視システムにおいてプレイバック機能を実行した場合の画面表示例を示す図であり、図 1 1は、本宪明にかかるネットワーク監視システムにおいて表示内容を設定する画面表示例を示す図であり、図 1 2は、バケツトシーケンスの例を示す図である。発明を実施するための最良の形態

最初に、本発明にかかるネットワーク監視システムが適用されるネットワーク構成について説明する。図 1は、当該ネットワーク構成を示す構成図である。図 1に示されるように、このネットワーク構成は、複数のクライアントコンビユータ 1、サーバ 2、ネットワーク監視コンビユ^"タ 3、 L AN 4、リピータハブ 5を備えている。クライアントコンピュータ 1とサーバ 2及びクライアントコンピュータ 1とネットワーク監視コンピュータ 3は、 L AN 4、リピータハブ 5 を介して通信可能に接続されている。

複数のクライアントコンピュータ 1は、例えば、パーソナルコンピュータ（P C) や携帯端末であり、 C P U (中央制御装置）、 R OM、 R AM, ハードディスク、表示装置、入力装置、通信制御装置等のハードウェア構成を有する。

サーバ 2は、例えば、ファイルサーバ、プリンタサーバ等の各種サーバであり、サーバコンピュータや P Cにより構成される。以下の説明では、このサーバ 2がファイルサーバの場合につき説明する。サーバ 2は、 C P U、 R OM, RAM、ハードディスク、表示装置、入力装置、通信制御装置等のハードウェア構成を有する。尚、サーバ 2は、 1台である必要はなく、複数台あってもよい。以下の例では、 1台の例で説明する。

ネットワーク監視コンピュータ 3は、ネットワーク監視システムを構成するものであり、例えば、パーソナルコンピュータ（P C) であり、 C P U、 R〇M、 RAM, ハードディスク、表示装置、入力装置、通信制御装置等のハードウェア構成を有する。このネットワーク監視コンピュータ 3は、 L ANアナライザとも呼ばれる。本発明にかかるネットワーク監視コンピュータ 3は、アプリケーションプログラムであるネットワーク監視プログラムがインストールされている。このネットワーク監視コンピュータ 3は、ネットワーク上の通信状態を監視し、表示する機能を有する。尚、ネットワーク監視コンピュータ 3は、小型ディスプレィと一体ィ匕された専用の携帯端末であってもよい。詳細な構成 ·動作については、後に詳述する。

L AN 4は、ネットワーク上の通信媒体として機能するものであり、この例では、通信プロトコルに S MBプロトコルが採用されている。この S MBプロトコルでは、上述のように、一アクションを説明するためのアクション説明情報が複数のバケツトに分散して送信されている。

リピータハブ 5は、サーバ 2、ネットワーク監視コンピュータ 3が並列に接続されている。そのため、サーバ 2の送受信データは、ネットワーク監視コンビュータ 3に対して送受信されるため、ネットワーク監視コンピュータ 3は、サーバ 2の送受信データを監視することができる。

続いて、図 2を用いて、ネットワーク監視コンピュータ 3の構成について説明する。図 2に示されるように、このネットワーク監視コンピュータ 3は、通信制御部 3 1、データ取得部 3 2、データ解析部 3 3、表示情報生成部 3 4、入出力制御部 3 5、取得データ記憶部 3 6、解析データ記憶部 3 7、表示装置 3 8及ぴ入力装置 3 9を備えている。尚、本発明にかかるネットワーク監視コンピュータ 3は、これら以外の機能ブロックをさらに備えていてもよい。

通信制御部 3 1は、ネットワーク上の他のコンピュータとの通信を制御するものであるが、本発明においては、特に、クライアント 1とサーバ 2間において送受信されるパケットと同様のバケツトを受信する処理を制御する。

データ取得部 3 2は、クライアント 1とサーバ 2間において送受信されるパケットと同様のバケツトからなるデータを取得する機能を有する。データ取得部 3 2により取得されたデータは、取得データ記憶部 3 6に格納される。

データ解析部 3 3は、データ取得部 3 2によつて取得されたパケットデータの解析を実行する機能を有する。本発明におけるデータ解析部 3 3は、特に、複数のパケットの種類を特定し、複数のバケツトよりァクション説明情報を取得する機能を有する。データ解析部 3 3による解析の結果得られたデータは、解析データ記憶部 3 7に格納される。

表示情報生成部 3 4は、データ解析部 3 3によるデータ解析によって得られたアクション説明情報を表示装置 3 8に表示する表示情報を生成する機能を有する。入出力制御部 3 5は、表示装置 3 8、入力装置 3 9の制御を実行する。この表示情報生成部 3 4は、後に詳述するプレイパック機能を有する。

取得データ記憶部 3 6は、データ取得部 3 2によつて取得されたデ一タを一時的に格納するものであり、例えば、ハードディスク等の記憶手段により構成される。この取得データ記憶部 3 6は、例えば、一定の容量を持つサイクリックバッファによる構成される。例えば、 1 0 0メガバイト程度の記憶容量を有し、パケットを順次格納していき、全領域にデータが格納された状態になると、時間的に最も古いデータに上書きしていく。

解析データ記憶部 3 7は、データ解析部 3 3による解析の結果得られたデータを格納するものであり、例えば、ハードディスク等の記憶手段により構成される。この解析データ記憶部 3 7に格納されたデ一タの例を図 3に示す。図 3に示されるように、解析データ記憶部 3 7には、送信元コンピュータ情報、宛先コンビユータ情報、ユーザ情報、アクション対象情報、アクション情報及び時刻情報が相互に関連付けられて格納される。ここで、送信元コンピュータ情報は、通信元となるコンピュータを特定する情報であり、例えば、そのコンピュータの I Pァドレスやユーザにより設定された名称情報が相当する。宛先コンピュータ情報は、通信先となるコンピュータを特定する情報であり、例えば、そのコンピュータの I Pアドレスやユーザにより設定された名称情報が相当する。ユーザ情報は、ネットワーク上のコンピュータを使用して各種処理を実行するユーザを特定する情報であり、例えば、ネットワークにログインする際に入力するアカウント情報である。アクション対象情報は、ネットワーク上のアクションの対象を特定する情報である。例えば、クライアント 1がサーバ 2の Cドライブの D o c u m e n t . t e x tファイルを読み出した場合には、「サーバ 2の Cドライブの D o c u m e n t . t e x tファイル」がァクション対象情報である。ァクション情報は、 R e a d (読み出し）、 W r i t e (書き込み）、 D e l e t e (消去）、 P r i n t (印刷）等の命令情報をいう。時刻情報は、アクションを実行した時刻を示す情報である。

表示装置 3 8は、液晶ディスプレイ、 C R T等の表示手段である。入力装置 3 9は、キーボード、マウス、マウスパッド等の入力手段である。

続いて、本発明にかかるネットワーク監視システムの処理フローについて、説明する。

図 4のフローチャートに示されるように、ネットワーク監視コンピュータ 3は、ネットワーク上を流れるバケツトデータをデータ取得部 3 2によって取得する ( S 1 0 1 ) 。特にこの例では、ネットワーク監視コンピュータ 3は、リビータハブ 5に接続されているため、クライアント 1とサーバ 2間で送受信される複数のパケットを取得する。取得されたパケットは、データ取得部 3 2によって取得データ記憶部 3 6に格納される。

次にネットワーク監視コンピュータ 3は、データ解析部 3 3によって、 S 1 0 1において取得された複数のパケットのデータ解析を実行する（S 1 0 2 ) 。このデータ解析においては、まず、各パケットの種類を特定する。そして、種類が特定されたパケットから一アクションを説明するために必要な情報（以下、ァクシヨン説明情報）を抽出する。当該アクション説明情報には、どのような種類の情報が含まれるかは、予めネットワーク監視プログラム上で定められている。この例におけるアクション説明情報は、送信元コンピュータ情報、宛先コンビユータ情報、ユーザ情報、アクション対象情報、アクション情報及びアクションの時刻情報が含まれる。このアクション説明情報は、解析データ記憶部 3 7に格納される。

続いて、表示情報生成部 3 4は、データ解析結果に基づいて表示情報を生成する（S 1 0 3 ) 。具体的には、データ解析部 3 3によって生成され、角军析データ記憶部 3 7に格納されたアクション説明情報に基づき、予め指定された表示形式に従って、表示情報を生成する（S 1 0 3 ) 。表示形式については、後に詳述する。表示情報生成部 3 4によって生成された表示情報は、図示しない記憶領域に格納される。尚、表示情報生成部 3 4によって生成する表示情報には、少なくとも上述した解析データ記憶部 3 7に格納された送信元コンピュータ情報、宛先コンピュータ情報及びアクション情報を含ませ、これらを表示させることが望ましい。さらに、これらの情報に加えて、ユーザ情報、アクション対象情報及びァクションの時刻情報のいずれか又は全てを表示情報に含ませ、表示させることによつて、さらに詳細にアクションの内容を把握することができる。

そして、ネットワーク監視コンピュータ 3の入出力制御部 3 5は、表示情報生成部 3 4により生成され、所定記憶領域に格納された表示情報に基づき、表示装置 3 8によって表示を行う。表示画面例については、後に詳述する。

続いて、図 5及び図 6を用いて、簡略化した例に基づき、データの取得（S 1 0 1 ) 、データの解析 ( S 1 0 2 ) 及び表示情報の生成 ( S 1 0 3 ) について説明する。まず、複数のパケットからなるデータを取得する（S 1 0 1 ) 。

そして、これらのデータの角军析を行う（S 1 0 2 ) 。データ解析においては、まず、各パケットの種類の特定を行う。この例では、図 5に示されるように、順に種類 A、種類種類 C、種類 D、種類 E · ■ 'であったものとする。ここで、パケットの種類 A乃至 Eの内容について図 6を用いて説明する。図 6に示されるように、種類 Aは、接続パケットを示し、送信元コンピュータ情報及び宛先コンピュータ情報が含まれる。種類 Bは、認証パケットを示し、ユーザ情報が含まれる。種類 Cは、対象指定パケットを示し、アクション対象情報が含まれる。種類 Dは、命令パケットを示し、アクション情報が含まれる。種類 Eは、データパケットを示し、データが含まれる。

各バケツトの種類の特定を実行した後にァクション説明情報を生成する。図 5 に示す例では、最初のパケットは、種類 Aのパケットであるから、その中に含まれる送信元コンピュータ情報、宛先コンピュータ情報を抽出する。次のパケットは、種類 Bのパケットであるから、その中に含まれるユーザ情報を抽出する。さらに次のパケットは、種類 Cのパケットであるから、その中に含まれるァクション対象情報を抽出する。同様にして、各パケットよりアクション説明情報を抽出する。そして、抽出されたアクション説明情報より、アクション毎にアクション説明情報を関連付ける。例えば、図 5に示す例では、種類 A、 B、 C、 Dのパケットを特定できればーァクシヨンのァクション説明情報を取得できるため、第 1 のアクションに相当するアクション説明情報は、 1番目から 4番目までのバケツトによつて得ることができる。第 2のァクションに相当するァクション説明情報も図 5に示される矢印によって関連付けられた複数のパケットより取得することができる。さらに第 3のァクションに相当するアクション説明情報も図 5に示される矢印によって関連付けられた複数のパケットより取得することができる。そして、これらのアクション説明情報に基づいて、アクション毎の表示情報を生成する（S 103) 。

続いて、図 7及び図 8を用いて、本発明にかかるネットワーク監視コンビユータの画面表示例について説明する。図 7は、テープノ $式により、ネットワーク上のアクションを表示させたものである。この画面表示例では、複数のァクション (この例では、 8アクション) について、クライアント、アカウント、メッセージ、サーバーの情報からなるァクション説明情報がァクション毎にそれぞれ表示されている。この例では、ある所定時間内にネットワーク上で行われたァクションのァクション説明情報が表示されている。ァクションが終了して一定時間経過後は、そのァクションのァクション説明情報は画面表示から消去される。

例えば、最上段に表示されたアクションについては、クライアントの情報として、クライアントの〇S (Op e r a t i on Sy s t em) を示す「200 0P r o」、クライアント名を示す「Hemp」が表示されている。また、ァカゥントの情報として、アカウント名と関連付けられて予め設定されたアイコンと、アカウント名である ΓΚ a w a s a k i J が表示されている。そして、メッセ一ジの情報として、ァクション情報を示す「 [NG] Cr e a t e F i l e F 7

14

a i 1 u r e」と、アクション対象情報を示す「¥新規作成文章. t x t」が表示されている。さらに、サーバーの情報として、サーバーの OSを示す「200 0 S VR」と、サーバ名を示す「F i l e S e r v e r」が表示されている。このような表示が行われることにより、ユーザは、最初のアクションが、「20 00 P r o」の OSにより動作するクライアント「Hemp」を用いて「K a w a s a k i」というユーザが「新規作成文章. t x t」とレヽぅフアイノレを「20 00 SVR」の OSにより動作するサーバー「F i l e S e r v e r」に作成しょうとして失敗したという内容を有するものであることを、極めて容易に巴握することができる。

図 8は、グラフ形式により、ネットワーク上のアクションを表示させたものである。図に示されるように、円が描かれ、その円の外側にクライアント及びサーパがその OSとともに分散する形式で表示されている。そして、通信を行っているクライアントとサーバーが線により結ばれている。そして、この線に関連付けられる形式でアクションの内容が表示されている。具体的には、アクションの内容の表記のうち、最初の文字がこの線上に重なるように表示することによって、線とアクションの內容を関連付けている。同じクライアント 'サーバー間で通信が継続している間は、クライアントとサーバーを結ぶ線が表示されたままであり、新しいァクションが発生する度に、そのァクションの内容の表示が変わる。

次に、本発明にかかるネットワーク監視システムにおけるプレイバック機能について説明する。プレイバック機能とは、過去のネットワーク上のァクションを画面上で再生表示することをいう。具体的には、解析データ記憶部 37に記憶された解析データに基づいて、再生表示を実行する。この機能は、表示情報生成部 24によって実現される。当該ネットワーク監視システムにおいて、メニューよりプレイノくック機倉を選択し、表示項目を設定すると、図 9に示されるような画面が表示される。この図では、再生表示している通信状態の時刻と、プレイバック機能の詳細を具体的にユーザにより指示するためのボタンを示す領域（ウィンドウ）が表示されている。図 9に表示された例では、 2 0 0 2年 1 0月 8日 1 9 時 3 6分 3秒に表示されたアクションが実行されていることが判る。ボタンは、プレイバック機能を終了するポタン、一時停止するボタン、最初に戻すボタン、時間的に遡るポタン、再生ボタン、最後まで進めるポタン、拡大ボタンが含まれる。表示情報生成部 2 4は、画面上に表示されるボタンがユーザによりクリックされ、選択されたことを認識して、ポタンに応じた処理を実行する。

ここで、再生表示に関しては、実際のアクションが行われた時刻情報に従って、各ァクションが実際のァクシヨンと同じ時間間隔で表示されるよう再生表示することができる。この場合には、表示情報生成部 2 4は、解析データ記憶部 3 7に記憶された時刻情報に基づいて、実際のァクションと同じ時間間隔で表示されるよう制御する。また、ユーザの要求に応じて、略同じ時間間隔でアクションを連続的に再生表示させることも可能である。特に、.速く表示させて、問題となるァクシヨンを抽出する上では、有効な表示手段である。

図 1 0は、グラフ形式の表示画面において、プレイバック機能を実現するための領域を表示させたものである。その領域については、図 9を用いて説明したものと同じであるため、説明を省略する。

さらに、本発明の実施の形態にかかるネットワーク監視システムでは、画面表示内容を設定することができる。図 1 1に設定画面表示例を示す。図に示されるように、設定画面では、アカウント、メッセージ、リソース、マシン名、 O Sについて表示させる内容を選択することができる。また、表示情報に対する色ゃァイコンも選択することができ、これにより強調表示ができる。画面表示の設定は、通常の監視時のみならず、プレイバック機能を実現する際にも行うことができる。設定内容は、ネットワーク監視コンピュータ 3上の図示しない記憶領域上に格納され、適宜表示情報生成部 3 4によって読み出される。ここで、上述の例では、本発明にかかるネットワーク監視システムをクライアント .サーバシステムに適用した例について説明したが、これに限らず、ピア - ツー ·ピアのシステムに適用することも可能である。

上述の例において、コンピュータのハードディスク、メモリ等の記憶手段等にインストールされた各種のプログラムは、様々な種類の記憶媒体に格納することが可能であり、また、通信媒体を介して伝達されることが可能である。ここで、記憶媒体には、例えば、フレキシブルディスク、ハードディスク、磁気ディスク、光磁気ディスク、 C D— R〇M、 D VD、 R OMカートリッジ、ノッテリバックアップ付き R AMメモリカートリッジ、フラッシュメモリカートリッジ、不揮発性 R AMカートリッジ等を含む。また、通信媒体には、電話回線等の有線通信媒体、マイクロ波回線等の無線通信媒体等を含み、インターネットも含まれる。産業上の利用可能性

本発明は、例えばネットワーク状態を監視するネットワーク ■アナライザと呼ばれるネットワーク監視システムに適用される。

Claims

請求の範囲

1 . —ァクションを説明するためのァクション説明情報が複数のバケツトに分散されたネットワークにおける通信状況を監視するネットワーク監視システムであって、

ネットワーク上を流れる複数のパケットを取得するデータ取得手段と、前記データ取得手段により取得された複数のバケツトより、予め定められた一ァクションを説明するためのァクション説明情報を取得するデータ解析手段と、前記データ解析手段によって取得されたアクション説明情報に基づきネットヮーク上のーァクションを一画面上で表示させる表示情報を生成する表示情報生成手段とを備えたネットワーク監視システム。

2 . 前記データ解析手段は、前記データ取得手段により取得された複数のパケットのそれぞれの種類を特定するステップと、種類の特定に応じて当該バケツトよりァクション説明情報を取得するステップとを実行することを特徴とする請求の範囲第 1項記載のネットワーク監視システム。

3 . 前記アクション説明情報には、送信元コンピュータ情報、宛先コンビュータ情報、ァクション情報が含まれることを特徴とする請求の範囲第 1項記載のネットワーク監視システム。

4 . 前記データ解析手段によって取得されたァクション説明情報を記憶する解析データ記憶手段をさらに備え、

前記表示情報生成手段は、ユーザの要求に応じて前記解析データ記憶手段に記憶されたァクション説明情報を再生表示させる表示情報を生成することを特徴とする請求の範囲第 1項記載のネットワーク監視システム。

5 . 前記解析データ記憶手段に記憶されたァクション説明情報には、ァクションの時刻に対応する時刻情報が含まれ、前記表示情報生成手段は、ユーザの要求に応じて、アクションの時刻情報に従つた再生表示を実行するための表示情報を生成することを特徴とする請求の範囲第 4項記載のネットワーク監視システム。

6 . 前記表示情報生成手段は、ユーザの要求に応じて、略同じ時間間隔でァクシヨンを連続的に再生表示させることを特徴とする請求の範囲第 4項記載のネットワーク監視システム。

7 . 前記表示情報生成手段は、ユーザによる表示の設定に従って表示情報を抽出し作成することを特徴とする請求の範囲第 1項記載のネットワーク監視システム。

8 . —アクションを説明するためのアクション説明情報が複数のパケットに分散されたネットワークにおける通信状況を監視するネットワーク監視方法であつて、

ネットワーク上を流れる複数のバケツトを取得するデータ取得ステップと、前記データ取得ステップにより取得された複数のバケツトより、予め定められたーァクションを説明するためのァクション説明情報を取得するデータ解析ステップと、

前記データ解析ステップによつて取得されたァクション説明情報に基づきネットワーク上の一アクションを一画面上で表示させる表示情報を生成する表示情報生成ステップとを実行するネットワーク監視方法。

9 . 前記データ解析ステップは、前記データ取得ステップにより取得された複数のバケツトのそれぞれの種類を特定するステップと、種類の特定に応じて当該パケットよりァクション説明情報を取得するステツプとを有することを特徴とする請求の範囲第 8項記載のネットワーク監視方法。

1 0 . 前記アクション説明情報には、送信元コンピュータ情報、宛先コンビユータ情報及びァクション情報が含まれることを特徴とする請求の範囲第 8項記載のネットワーク監視方法。

1 1 . 前記データ解析ステップによって取得されたアクション説明情報を記憶する解析データ記憶ステップをさらに備え、

前記表示情報生成ステツプは、ユーザの要求に応じて前記解析データ記憶ステップにより記憶されたァクション説明情報を再生表示させる表示情報を生成することを特徴とする請求の範囲第 8項記載のネットワーク監視方法。

1 2 . 前記解析データ記憶ステップにより記憶されたアクション説明情報には、ァクションの時刻に対応する時刻情報が含まれ、

前記表示情報生成ステップは、ユーザの要求に応じて、アクションの時刻情報に従った再生表示を実行するための表示情報を生成することを特徴とする請求の範囲第 1 1項記載のネットワーク監視方法。

1 3 . 前記表示情報生成ステップは、ユーザの要求に応じて、略同じ時間間隔でァクションを連続的に再生表示させることを特徴とする請求の範囲第 1 1項記載のネットワーク監視方法。

1 4 . 前記表示情報生成ステップは、ユーザによる表示の設定に従って表示情報を抽出し作成することを特徴とする請求の範囲第 8項記載のネットワーク監視方法。

1 5 . —ァクションを説明するためのアクション説明情報が複数のパケットに分散されたネットワークにおける通信状況を監視するネットワーク監視プログラムであって、このネットワーク監視プログラムは、コンピュータに対してネットワーク上を流れる複数のバケツトを取得するデータ取得ステップと、前記データ取得ステップにより取得された複数のパケットより、予め定められたーァクションを説明するためのァクション説明情報を取得するデータ解析ステップと、

前記データ解析ステップによつて取得されたァクション説明情報に基づきネットワーク上のーァクションを一画面上で表示させる表示情報を生成する表示情報生成ステツプとを実行させるネットワーク監視プロダラム。

1 6 . 前記データ解析ステップは、前記データ取得ステップにより取得された複数のバケツトのそれぞれの種類を特定するステップと、種類の特定に応じて当該パケットよりァクション説明情報を取得するステップとを有することを特徴とする請求の範囲第 1 5項記載のネットワーク監視プログラム。

1 7 . 前記アクション説明情報には、送信元コンピュータ情報、宛先コンビユータ情報及びァクション情報が含まれることを特徴とする請求の範囲第 1 5項記載のネットワーク監視プログラム。

1 8 . 前記データ解析ステップによって取得されたアクション説明情報を記憶する解析データ記憶ステップをさらに備え、

前記表示情報生成ステップは、ユーザの要求に応じて前記解析データ記憶ステップにより記憶されたァクション説明情報を再生表示させる表示情報を生成することを特徴とする請求の範囲第 1 5項記載のネットワーク監視プログラム。

1 9 . 前記解析データ記憶ステップにより記憶されたァクション説明情報には、ァクションの時刻に対応する時刻情報が含まれ、

前記表示情報生成ステップは、ユーザの要求に応じて、ァクションの時刻情報に従った再生表示を実行するための表示情報を生成することを特徴とする請求の範囲第 1 8項記載のネットワーク監視プログラム。

2 0 . 前記表示情報生成ステップは、ユーザの要求に応じて、略同じ時間間隔でアクションを連続的に再生表示させることを特徴とする請求の範囲第 1 8項記載のネットワーク監視プログラム。

2 1 . 前記表示情報生成ステップは、ユーザによる表示の設定に従って表示情報を抽出し作成することを特徴とする請求の範囲第 1 5項記載のネットワーク監視プログラム。