WO2010095588A1 - 分散監視システム、分散監視方法、及びプログラム - Google Patents
分散監視システム、分散監視方法、及びプログラム Download PDFInfo
- Publication number
- WO2010095588A1 WO2010095588A1 PCT/JP2010/052181 JP2010052181W WO2010095588A1 WO 2010095588 A1 WO2010095588 A1 WO 2010095588A1 JP 2010052181 W JP2010052181 W JP 2010052181W WO 2010095588 A1 WO2010095588 A1 WO 2010095588A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- node
- network
- distributed monitoring
- nodes
- mediation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
- H04L41/5025—Ensuring fulfilment of SLA by proactively reacting to service quality change, e.g. by reconfiguration after service quality degradation or upgrade
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Definitions
- the present invention relates to a distributed monitoring system, a distributed monitoring method, and a program.
- a centralized or hierarchical centralized type has been proposed as a distributed monitoring method for large-scale networks. In these methods, all monitoring data obtained by the monitoring node is directly transmitted to the central node, or is aggregated and arbitrated once at the intermediate node before being transmitted to the central node.
- the centralized or hierarchical centralized monitoring method has problems of scalability and reliability, and is not suitable for many monitoring applications.
- Non-Patent Document 2 “Distributed Aggregation Algorithms with Load-Balancing for Scalable Grid Resource monitoring” (Parallel and Distributed Processing Symposium, 2007. IPDPS2007. IEEE International Volume, Issue, 26-30, March 2007 pp.1-10) by Cai, M. , Hwang, K. (Non-Patent Document 2) has been proposed.
- Non-Patent Document 1 the monitoring application performs a process of calculating the total of events for generating a worm signature.
- Non-Patent Document 2 the monitoring application performs processing for monitoring the average CPU usage rate of a large number of nodes.
- DAT Distributed Aggregation Tree
- P2P Peer to Peer
- DAT has a tree structure and operates on Chord, which is one of DHT (Distributed Hash Table) algorithms. While aggregating information from node to node, the aggregation result is finally passed to the root node existing on the DAT.
- DHT is one of structured P2P networks.
- a structured P2P network is a network configuration (search request, route) that can be described by mathematical expressions.
- Well known DHT algorithms include Chord, Pastry, and CAN (Content Addressable Network). When these DHT algorithms are used, high scalability and fault tolerance are taken into consideration, so that data can be stored and data search can be performed with high reliability.
- Non-Patent Document 1 and Non-Patent Document 2 are simple monitoring functions that count events, and the monitoring targets to which the methods described in Non-Patent Document 1 and Non-Patent Document 2 are applicable are as follows. Limited and inflexible.
- VoIP Voice over IP
- IPTV Internet TV
- VOD Video On Demand
- VoIP uses SIP (Session Initiation Protocol) as a protocol for signaling
- RTP Real-time Transport Protocol
- Patent Document 1 discloses a traffic information collection device.
- a traffic information collection request is received from a user terminal or a network management terminal that makes a request for collecting traffic information between two specific points in the IP communication network, and is adjacent according to the received request.
- An information request packet including the request is transmitted to another communication device.
- An information reply packet in which traffic information of a plurality of communication apparatuses other than the own apparatus is written is received from another adjacent communication apparatus, and the traffic information in the own apparatus and the traffic information written in the received information reply packet are collected. It is done.
- An information reply packet including the integrated overall traffic information is transmitted to the terminal that has requested the traffic information collection.
- the request relay node receives the information request packet, creates an information reply packet based on the traffic information in the own device according to the request included in the received information request packet, and sends the created information reply packet to the request reception node. Sent.
- the information request packet including the request is transferred to another adjacent communication device other than the transmission source of the information request packet.
- the information request packet is received, and an information reply packet is created from the traffic information in the own device according to the request included in the received information request packet, and this created information reply packet is sent to the request receiving node. Sent.
- the received information request packet is discarded.
- Patent Document 2 discloses a network monitoring system.
- communication information of communication signals flowing through each monitoring line is constantly collected, and packet information and flow statistical information that associates a transmission source and / or a transmission destination are obtained based on header information included in the communication signal.
- the traffic information is tabulated and grouped according to physical aggregation targets set in advance.
- Non-Patent Document 3 A Scalable Distributed Information Management System: Paveen Yalagandula3, Mike Dahlulin4 (ACM SIGComMumVuCom4). Publication: 2004) (Non-Patent Document 3) has been proposed.
- Non-Patent Document 3 does not consider load distribution in the tree itself configured by the nodes.
- the administrator collects information from the network, but depending on the content of the collected information, there are cases where more detailed information is desired. For example, when an event that a worm has occurred occurs, information on the actual packet may be referred to.
- backtracking function a function for grasping details of information related to events
- Non-Patent Documents 1, 2, and 3 do not have a back tracking function, it is difficult for an administrator to refer to details of collected information later.
- the present invention provides a distributed monitoring system capable of monitoring advanced functions such as monitoring of applications using a control plane and a data plane while balancing the load in consideration of scalability and fault tolerance.
- a back tracking function is added to the above distributed monitoring system as necessary.
- a network distributed monitoring method includes a plurality of first predetermined points in each of a first probe node of a plurality of nodes in a network including a plurality of nodes connected to a management network. Detecting the first traffic on the target network of the corresponding first application among the received applications and generating a first detection message, only the first function identifier indicating the type of the corresponding first application, or Transmitting a first detection message to a node determined from the first hash value of the address information of the first traffic and the DAT of the first traffic of the management network; and a plurality of at a first mediation node among the plurality of nodes
- the first predetermined application of That comprises the steps of generating a first mediation processing result by the first mediation processing the detection message, and storing the first mediation processing result in the first collector node of the plurality of nodes.
- a computer readable program is a network including a plurality of nodes connected to a management network, and traffic on a target network of a corresponding application among a plurality of predetermined applications. Detecting and generating a detection message, and transmitting the detection message to a node determined from only the function identifier indicating the type of the corresponding application, or the traffic address information, the hash value, and the traffic DAT of the management network This is to make the computer function as a probe node that executes the steps.
- This program can be stored in a storage medium (media).
- a network distributed monitoring system includes a management network and a plurality of nodes connected to the management network, and each of the probe nodes of the plurality of nodes is determined in advance.
- the traffic on the target network of the corresponding first application is detected to generate a detection message, and only the function identifier indicating the type of the corresponding application or the hash value of the address information of the traffic and the management network
- a detection message is transmitted to a node determined from the DAT of the traffic of the other, and the mediation node of the plurality of nodes performs mediation processing on the detection message for a plurality of predetermined applications and generates a mediation processing result.
- the collector node of the plurality of nodes stores the mediation process results.
- a node used in a network distributed monitoring system is provided.
- the collector node of the plurality of nodes may have a function of inquiring detailed information by tracing the nodes on the DAT to all the probe nodes that have captured packets related to a certain event. is there. Also, all the probe nodes that have captured a packet related to a certain event have a function of transmitting detailed information to the collector node of the plurality of nodes by tracing the node on the DAT. Further, in order to perform backtracking, each node may have information on the event type, the lower node ID, the event count, the first time when the event is received, and the last time when the event is received.
- a flexible monitoring system capable of realizing high-level monitoring such as monitoring not only a simple monitoring application that counts events but also an application that needs to associate an event between a control plane and a data plane.
- different monitoring target applications can coexist. Even if the monitoring target applications are different, if the functions used for monitoring are common to them, there is no need to prepare or develop (double development) the same monitoring function.
- the administrator can refer to the detailed information of the packet.
- FIG. 1 is a diagram showing a distributed monitoring system according to a first embodiment of the present invention.
- FIG. 2 is a diagram showing a configuration example of a management node network in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 3 is a block diagram showing the configuration of the monitoring node in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 4 is a diagram showing an example of a rule table in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 5 is a diagram showing an example of a monitoring table in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 6 is a diagram showing a node table in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 7A is a flowchart showing the operation of the monitoring node in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 7B is a flowchart showing the operation of the monitoring node in the distributed monitoring system according to the first embodiment of the present invention.
- FIG. 8 is a diagram showing a distributed monitoring system according to the second embodiment of the present invention.
- FIG. 9 is a block diagram showing the configuration of the second embodiment of the present invention.
- FIG. 10A is a diagram showing an example of a management node network in the distributed monitoring system according to the present invention.
- FIG. 10B is a diagram showing a DAT configuration corresponding to the management node network in the distributed monitoring system according to the present invention.
- FIG. 11 is a block diagram showing a configuration of a monitoring node equipped with a back tracking function in the distributed monitoring system according to the third embodiment of the present invention.
- FIG. 12 is a diagram showing an example of the backtrack table in the distributed monitoring system according to the third embodiment of the present invention.
- FIG. 13 is a flowchart showing the operation of the monitoring node equipped with the back tracking function in the distributed monitoring system according to the third embodiment of the present invention.
- FIG. 14 is a block diagram showing an example of a hardware configuration for realizing the distributed monitoring system according to each embodiment of the present invention.
- a probe or a probe node serves to capture a packet from a network interface and provide information about the packet.
- Mediation is a function that combines and reduces information obtained from nodes.
- a node having a mediation function is called a mediator.
- a collector is a node that collects all mediated information.
- a node is a device that exists on a network. Probes, mediators, and collectors are types of nodes.
- a device having a probe function and a mediator function is also called a node.
- FIG. 1 is a diagram showing a distributed monitoring system according to a first embodiment of the present invention.
- the distributed monitoring system includes a management network 50.
- Each of the plurality of monitoring nodes 51-i is arranged at a predetermined position in the monitoring target network, and monitors traffic flowing through the arrangement position in the monitoring target network.
- Each monitoring node 51-i has a node ID.
- Each node 51-i transmits the traffic monitoring result to another node 51-j (i ⁇ j) via the management network 50.
- one server 53 is used. However, in the actual service, a plurality of servers may be used.
- FIG. 2 shows a message transfer example of the distributed monitoring system of the present invention.
- FIG. 10A shows the transfer example of the present invention in detail
- FIG. 10B shows the DAT structure.
- the management network 50 has 16 monitoring nodes N2, N4,..., N30 and a server 53.
- the server 53 distributes a rule table and a monitoring table (described later) to at least the monitoring nodes N2, N6, N16, N18, N22, and N24 among the above monitoring nodes.
- the server 53 distributes a node table (described later) to all monitoring nodes.
- the monitoring node N2 monitors traffic passing through it, detects SIP packets of the SIP application call A and call B, and transmits them to the monitoring node N18.
- the monitoring node N6 monitors the traffic passing through it, detects the RTP packet of the call B, and transmits it to the monitoring node N22.
- the monitoring node N16 monitors the traffic passing through it, detects the RTP packet of call A, and transmits it to the monitoring node N24.
- the monitoring node N18 transfers the detection result of the SIP packets of the calls A and B from the monitoring node N2 to the monitoring node N22.
- the monitoring node N22 receives the detection result of the RTP packet of the call B from the monitoring node N6, receives the detection result of the SIP packet of the call B from the monitoring node N18, obtains the correlation between the detection results, and the result Is transmitted to the monitoring node N24.
- the monitoring node N24 receives and stores the correlation processing result of the call B from the monitoring node N22.
- the monitoring node N24 receives the detection result of the SIP packet of the call A from the monitoring node N22, receives the detection result of the RTP packet of the call A from the monitoring node N16, obtains a correlation between these detection results, Store the result.
- the two correlation results are both stored in the monitoring node N24, but the present invention is not limited to this, and may be stored in different monitoring nodes.
- FIG. 3 is a block diagram showing a configuration in each monitoring node in the distributed monitoring system according to the first embodiment of the present invention.
- each monitoring node 51-i includes a main signal system network interface unit 101, a reception unit 102, a detection unit 103, a management system network interface unit 201, a reception unit 202, a DHT / DAT. Unit 203, monitoring unit 204, transmission unit 205, and storage unit 110.
- the storage unit 110 stores a rule table 111, a monitoring table 211, a node table 212, a monitoring result data buffer 213, and a DAT buffer 214.
- Each unit other than the storage unit 110 of the monitoring node may be realized as hardware, software, or a mixed type.
- the program is fixedly stored in a storage device in the monitoring node or loaded from an external storage medium (media), and the CPU or processor executes the program.
- the receiving unit 102 receives traffic data from the monitored network 52 via the main signal system network interface unit 101.
- the reception unit 102 can perform session management, stream reconstruction, and the like necessary for traffic monitoring on the traffic data as necessary.
- the receiving unit 102 sends a message included in the traffic data to the detecting unit 103.
- the detection unit 103 When the detection unit 103 receives a message from the reception unit 102, the detection unit 103 refers to a rule registered in the rule table 111 and confirms whether the message corresponds to the rule. When detecting that the message corresponds to the rule, the detection unit 103 sends a notification message to the monitoring unit 204.
- FIG. 4 shows the rule table 111.
- the rule table 111 has a plurality of entries, and a rule for specifying a message to be detected is registered in each entry. These rules are transmitted from the server 53 to the monitoring node and stored in the rule table 111. That is, the server 53 transmits these rules to the monitoring node. The monitoring node receives these rules and stores them in the rule table 111.
- the protocol is SIP.
- the source IP address is 192.168.0.1.
- the transmission destination IP address is 192.168.0.11.
- the source SIP-URI (Uniform Resource Identifier) is sender1 @ sip. com.
- the destination SIP-URI is receiver1 @ sip. com.
- the SIP method is INVITE. This rule is to confirm that one such message has flowed per second.
- the monitoring unit 204 processes the notification message received from the detection unit 103 according to the data stored in the monitoring table.
- FIG. 5 shows an example of the monitoring table 211.
- the monitoring table 211 shows a plurality of entries.
- Each entry of the monitoring table 211 includes a serial number, a function name indicating a function to be monitored, a function identifier (identifier indicating the type of application to be monitored) for specifying the function to be monitored, and an argument of a hash function , Have mediation type data.
- These entries are transmitted from the server 53 to the monitoring node and stored in the monitoring table 211. That is, the server 53 transmits these entries to the monitoring node.
- the monitoring node receives these entries and stores them in the monitoring table 211.
- the function name is VoIP monitoring.
- the function identifier is 7.
- the argument of the hash function is a function identifier.
- the mediation type is the correlation (IP address, port number) between SIP and RTP.
- the function name is IPTV monitoring.
- the function identifier is 8.
- the argument of the hash function is a function identifier and a source IP address.
- the mediation type is the correlation (IP address, port number) between SIP and RTP.
- the function identifier and the source IP address are used, but the destination IP address may be used, or both IP addresses may be used. Further, both or one of the transmission source URI and the transmission destination URI may be used.
- the monitoring unit 204 extracts the function identifier in the notification message received from the detection unit 103, and checks whether there is an entry corresponding to the extracted function identifier. When there is an entry, the monitoring unit 204 refers to the monitoring result data buffer 213 and determines whether monitoring result data is stored. The monitoring unit 204 refers to the mediation type field of the entry and performs mediation processing using the monitoring result data in the notification message and the monitoring result data in the monitoring result data buffer 213. In this example, when the extracted function identifier is 7, the monitoring unit 204 refers to the IP address and the port number, and if there is RTP information belonging to a certain SIP session, the monitoring unit 204 combines them and is the same as the VoIP application. Associate as a session.
- the monitoring unit 204 does nothing if there is no RTP data belonging to a certain SIP session in the monitoring result data buffer 213. Further, when receiving a notification message including RTP data from another monitoring node, the monitoring unit 204 stores the RTP data in the monitoring result data buffer 213.
- the monitoring unit 204 Since the argument of the hash function is a function identifier, 24 is obtained when the monitoring unit 204 calculates the hash function hash (7). Thus, it can be seen that the monitoring node (route monitoring node or collector monitoring node) to which the message is finally delivered is the monitoring node N24 with the node ID of 24. The monitoring unit 204 passes this node ID and the result of mediation processing to the DHT / DAT unit 203 as an event.
- the value output by the hash function determines which node becomes the collector node. Therefore, when there is a certain node, it becomes a collector node and may become a mediation node. Further, a node that is a collector in one monitoring application may be a collector of another monitoring application, or a node that is a mediator in one monitoring application may be a mediator of another monitoring application. That is, a plurality of monitoring applications share a network.
- the DHT / DAT unit 203 refers to the DAT buffer 214 that stores a predetermined DAT shown in FIG. 2, and prepares the processing result received from the monitoring unit 204 for transmission to the next monitoring node on the DHT / DAT. I do.
- the DHT / DAT unit 203 refers to the DAT in the DAT buffer 214 based on the node ID of the collector monitoring node and the own node ID, and determines the next transmission destination node.
- FIG. 2 is a diagram showing an example of DAT. For example, if the ID of the own node is 18, the DHT / DAT unit 203 can send a message including the processing result to the monitoring node N22 with the node ID 22.
- the DHT / DAT unit 203 refers to the node table 212 based on the node ID 22 of the transmission destination monitoring node, and acquires the IP address of the node specified by the node ID.
- FIG. 6 shows an example of the node table 212, and it is understood that the DHT / DAT unit 203 only needs to transmit data to the IP address 192.168.0.22 corresponding to ID22.
- the DHT / DAT unit 203 passes the message and the acquired transmission destination IP address to the transmission unit 205.
- the transmission destination is determined based on a predetermined DAT, but the transmission destination may be determined by other methods. At that time, the transmission destination may be dynamically determined each time, or may be determined in advance.
- the transmission unit 205 transmits the message from the DHT / DAT unit 203 to the destination IP address via the management network interface unit 201.
- the receiving unit 202 passes the message to the monitoring unit 204 via the DHT / DAT unit 203.
- the monitoring unit 204 executes the same processing as described above, determines the node ID of the final destination monitoring node, and passes this node ID and the result of mediation processing to the DHT / DAT unit 203 as an event.
- the DHT / DAT unit 203 refers to the DAT in the DAT buffer 214 and prepares to transmit the processing result received from the monitoring unit 204 to the next monitoring node on the DHT / DAT.
- the monitoring nodes N2, N6, and N16 are probe nodes, and the monitoring nodes N16 and N22 are mediator nodes.
- the management node N24 is a collector node.
- the monitoring node N16 detects an RTP packet and transmits a message including monitoring result data and a function identifier to the collector monitoring node N24.
- the monitoring node N18 that has received the message from the monitoring node N2 determines whether there is a function identifier whose function identifier in the message matches the monitoring table 211 of the monitoring node N18. When there is a matching function identifier, the monitoring node N18 performs processing according to the mediation type of the corresponding function identifier. Also, when there is no matching function identifier, the monitoring node N18 refers to the DAT and transfers the received message to the monitoring node N22. The monitoring node N22 that has received the message from the monitoring node N18 also performs the same operation as the monitoring node 18 and transfers the message to the collector monitoring node N24. By processing in this way, the message reaches the monitoring node N24 that is the collector. The monitoring node N24 performs correlation processing between SIP and RTP and stores the result. This enables stream correlation processing.
- the monitoring node N6 detects an RTP packet and transmits a message including monitoring result data and a function identifier to the monitoring result node N22.
- the monitoring node N18 that has received the message from the monitoring node N2 determines whether there is a function identifier whose function identifier in the message matches the monitoring table 211 of the monitoring node N18. When there is a matching function identifier, the monitoring node N18 performs processing according to the mediation type of the corresponding function identifier. Also, when there is no matching function identifier, the monitoring node N18 refers to the DAT and transfers the received message to the monitoring node N22.
- the monitoring node N22 performs mediation processing (correlation processing) defined in the mediation type determined based on the message from the monitoring node N18 and the message received from the monitoring node N6, and transmits the processing result to the collector monitoring node N24. To do.
- the collector monitoring node N24 receives and stores the processing result. This enables stream correlation processing.
- the monitoring node N22 performs a correlation process.
- the object to be hashed may be not only the function identifier but also the function identifier and address information.
- a function identifier and a source IP address or a source IP address and a destination IP address.
- both or one of the transmission source URI and the transmission destination URI may be used.
- Step S1 When the monitoring node N2 receives a packet flowing on the network via the main signal network interface unit 101, the receiving unit 102 performs termination processing of layers L2, L3, and L4.
- Step S2 Subsequently, the reception unit 102 performs session management based on the IP address and the port number, and in the case of a TCP or SCTP packet, performs stream reconstruction, and transfers the packet to the detection unit 103.
- Step S3 The detection unit 103 checks whether or not the received packet matches the rule registered in the rule table 111.
- the detection unit 103 checks whether the packet includes an IP address, a SIP-URI, or the like.
- the detection unit 103 notifies the monitoring unit 204 of an event when a rule (filtering condition) is satisfied as a result of the inspection.
- the monitoring application is determined in advance by filtering condition data.
- Step S4 The monitoring unit 204 confirms whether an event related to the event received from the detection unit 103 is received from another node.
- Step S5 The monitoring unit 204 aggregates events when receiving messages from other nodes.
- Step S6 Thereafter, the monitoring unit 204 performs processing according to the mediation type in the monitoring table 211 (FIG. 5).
- the monitoring unit 204 since the monitoring node N2 has not received an event from another node, the monitoring unit 204 processes only the event detected by the node having the node ID 2 according to the mediation type.
- the monitoring unit 204 passes the node ID of the collector monitoring node N24 and the mediation processing result to the DHT / DAT unit 203.
- the DHT / DAT unit 203 refers to the DAT in the DAT buffer 214 and prepares to transmit the event to the next node on the DHT / DAT.
- the DHT / DAT unit 203 refers to the DAT in the DAT buffer 214, and determines a message transmission destination node from the node ID of the collector monitoring node. In the example of FIG. 2, the node ID is transmitted to the monitoring node N18.
- the DHT / DAT unit 203 refers to the node table 212 to acquire the IP address of the node ID 18 and passes it to the transmission unit 205.
- Step S8 The transmission unit 205 transmits the event received from the DHT / DAT unit 203 to the IP address of the next node via the management network interface unit 201.
- Step S11 A message transmitted from another monitoring node is received by the receiving unit 202 via the management network interface unit 201.
- the receiving unit 202 transfers the received message to the monitoring unit 204 via the DHT / DAT unit 203.
- Step S12 When receiving a message from the DHT / DAT unit 203, the monitoring unit 204 checks whether the message includes monitoring result data. At this time, if the function identifier in the message is registered in the monitoring table 211, the monitoring unit 204 transfers the monitoring result data (for example, RTP data) to the collector monitoring node based on the function identifier. The data is stored in the monitoring result data buffer 213 together with necessary data.
- the monitoring result data for example, RTP data
- Step S13 When the message received from the DHT / DAT unit 203 includes monitoring result data (SIP data), the monitoring unit 204, based on the function identifier, stores RTP data and SIP data stored in the monitoring result data buffer 213. Execute mediation processing that correlates Thereafter, the monitoring unit 204 passes the node ID of the collector monitoring node N24 and the mediation processing result to the DHT / DAT unit 203.
- SIP data monitoring result data
- the DHT / DAT unit 203 refers to the DAT in the DAT buffer 214 and prepares to transmit a message to the next node on the DHT / DAT.
- the DHT / DAT unit 203 refers to the DAT in the DAT buffer 214, and determines a message transmission destination node from the node ID of the collector monitoring node. In the example of FIG. 2, the node ID is transmitted to the monitoring node N18.
- the DHT / DAT unit 203 refers to the node table 212 to acquire the IP address of the node ID 18 and passes it to the transmission unit 205.
- Step S15 The transmission unit 205 transmits the event received from the DHT / DAT unit 203 to the IP address of the next node via the management network interface unit 201.
- each monitoring node has all functions, but there are two types of nodes in the distributed monitoring system according to the second embodiment shown in FIG. 8, a detection node 120 that performs detection and a processing node 220 that performs monitoring. It is divided. The function is the same as when one node has all functions.
- a detection node 120 that performs detection
- a processing node 220 that performs monitoring. It is divided. The function is the same as when one node has all functions.
- one or more detection nodes 120 may be connected to one processing node 220 as shown in FIG. it can.
- FIG. 9 shows the detection node 120 and the processing node 220.
- the main signal system network interface unit 101, the reception unit 102, the detection unit 103, and the rule table 111 are the same as those of the first embodiment. Therefore, the description of the configuration and operation is omitted.
- the interface unit 104 has a transmission function, and transmits an event message to the processing node 220 serving as a monitoring node when the received packet matches a rule registered in the rule table 111.
- the detection unit 103 checks whether or not a rule (filtering condition) registered in the rule table 111 is matched.
- the application to be monitored is determined in advance based on filtering conditions.
- the processing node 220 of the second embodiment includes a management network interface unit 201, a reception unit 202, a DHT / DAT unit 203, a monitoring unit 204, a transmission unit 205, an interface unit 206, a monitoring table 211, a node table 212, and monitoring result data.
- a buffer 213 and a DAT buffer 214 are provided. Among these components, the components other than the interface unit 206 and the DAT buffer 214 are the same as the corresponding components in the first embodiment. Therefore, description of their configuration and operation is omitted.
- the interface unit 206 has a reception function, receives an event message transmitted from the detection node 120, and transfers the event message to the monitoring unit 204.
- the object to be hashed may be not only a function identifier but also a function identifier and address information.
- a function identifier and a source IP address or a source IP address and a destination IP address.
- both or one of the transmission source URI and the transmission destination URI may be used.
- the mediation results are collected and stored in the collector monitoring node N24.
- which node is the collector node is determined by the value output by the hash function. Therefore, when there is a certain node, it becomes a collector node and may become a mediation node. Further, a node that is a collector in one monitoring application may be a collector of another monitoring application, or a node that is a mediator in one monitoring application may be a mediator of another monitoring application. That is, a plurality of monitoring applications share a network.
- the monitoring node N22 associates two detection results of SIP traffic and RTP traffic, and transmits the result to the monitoring node N24.
- the type of traffic to be associated is not limited to two.
- the traffic type may be 3 or more.
- the detection results of all types of traffic are associated with one monitoring node.
- the detection results of two types of traffic are associated with each other at the first node, and the results and detection results of the remaining types of traffic are associated. May be associated. In this way, messages may be transferred while associating in order.
- the load can be further distributed.
- the present invention is not limited to DAT, and other data aggregation algorithms may be applied.
- the distributed monitoring system of the VoIP communication system has been described. However, even if different monitoring applications of the distributed monitoring system perform, for example, QoS (Quality of Service) monitoring and security monitoring of the communication system simultaneously. good.
- QoS Quality of Service
- a filter function can be realized and desired traffic can be monitored.
- the collector node is determined by the monitoring table. Specifically, the node ID of the collector node is determined by calculating a hash function value defined in the monitoring table.
- the monitoring node to which the detection result is to be transmitted next is determined from the node ID and DAT. If the monitoring node of the transmission destination is an association node, a plurality of detection result data received by the node are associated, and the next node is determined in the same manner as described above.
- the load can be distributed not only with respect to the node but also with respect to time.
- rule table and the monitoring table have been described as being sent to the node via the management network, they may be sent from the server 53 via the server network (not shown). In this case, it is desirable that the monitoring node has an interface with the server separately from the above configuration.
- a rule table and a monitoring table are sent from the server 53 to the detection node, and further, the interface unit and processing of the detection node
- the monitoring table may be sent from the detection node to the processing node via the interface unit of the node.
- the first and second embodiments can support different monitoring applications while being scalable and fault tolerant by configuring a network with DHT / DAT and further determining a collector with a hash value.
- the monitoring system of the present invention it is possible to monitor advanced functions such as monitoring applications using the control plane and data plane in consideration of scalability and fault tolerance.
- the probe holds a filter that detects packets in which worms are generated.
- the probe uses the DAT mechanism to pass the packet information to the mediator and collector.
- the operator can check packet information related to the events by using the backtracking function.
- a backtracking function can be provided by adding a backtrack table 501 to the processing node 220 in FIG.
- the backtrack table 501 stores the event type, the lower node ID, the event count, the first time when the event is received, and the last time when the event is received. Each time an event is collected by the collector, information is stored in the backtrack table 501 of each node.
- the collector When the operator gives an instruction for backtracking to the collector, the collector confirms a lower node on the DAT through which the event has passed, and the collector notifies each node on the corresponding DAT.
- the monitoring unit 204 can confirm the lower node ID on the DAT through which the event has passed by referring to the backtrack table 501.
- each node on the corresponding DAT is notified from the monitoring unit 204 via the DHT / DAT unit 203, the transmission unit 205, and the management system interface 201.
- each node confirms a lower-level node on the DAT that has passed through the corresponding event, and each node notifies the corresponding node on the DAT.
- the notification is received by the monitoring unit 204 via the management system interface 201, the receiving unit 202, and the DHT / DAT unit 203 of the lower level node. If the monitoring unit 204 determines that the own node is not a probe, the backtrack table 501 is similarly referred to, the ID of the lower node is confirmed, and each node on the corresponding DAT is notified.
- Each node repeats the above processing until it arrives at the probe, and when its own node is a probe, the monitoring unit 204 searches for packet information related to the event. Subsequently, the packet information is transmitted to the upper node on the DAT. Packet information is transmitted until it reaches the collector, and when it reaches the collector, the process is complete.
- Step S51 When the operator issues a back tracking instruction to the collector, the collector confirms the lower node on the DAT through which the event has passed.
- Step S52 The collector notifies each node on the corresponding DAT.
- Step S53 Each node that receives the notification from the collector confirms whether its own node is a probe.
- Step S54 If each node is not a probe, each node confirms a lower-order node on the DAT through which the event has passed.
- Step S55 Each node notifies the corresponding node on the confirmed DAT. Each node repeats these processes until it reaches the probe.
- Step S56 When each node is a probe, each node searches for packet information related to the event.
- Step S57 Subsequently, the node that is a probe transmits packet information to an upper node on the DAT. That is, the packet information transmission process is performed in the reverse flow of the notification process in steps S52 to S55.
- Step S58 The node that is a probe transmits packet information until it reaches the collector, and when it reaches the collector, the process is completed.
- each node that receives the packet information from the node that is the probe confirms whether or not its own node is a collector. If the node is not a collector, each node confirms a higher-order node on the DAT through which the event has passed.
- Each node transmits packet information to the corresponding node on the confirmed DAT. Each node repeats these processes until it reaches the collector.
- the operator can know the probe that detected the event and acquire information related to the event.
- each of the detection node 120 and the processing node 220 of the second embodiment illustrated in FIG. 9 are independent computers. That is, each of the detection node 120 and the processing node 220 of the second embodiment is assumed to have the same hardware configuration as each of the monitoring nodes 51-i.
- the hardware configuration of the distributed monitoring system varies depending on the program acquisition path.
- the hardware configuration of the distributed monitoring system includes a storage medium 1000 and a computer 2000.
- the hardware configuration of the distributed monitoring system includes a computer 2000 and an external storage device 3000. In either case, the hardware configuration of the distributed monitoring system includes a storage medium 1000, a computer 2000, and an external storage device 3000.
- the storage medium 1000 stores a computer-readable program 1500 for causing the computer to function as each monitoring node 51-i.
- Examples of the storage medium 1000 include a DVD (Digital Versatile Disk), a USB memory (Universal Serial Bus memory), an SD card (Secure Digital memory card), and other memory cards.
- the storage medium 1000 may be an electronic device connected to a computer via a USB cable or the like. Because it is essentially the same. However, actually, it is not limited to these examples.
- the computer 2000 is an electronic device that functions as each monitoring node 51-i by executing the program 1500.
- Examples of the computer 2000 include computers such as PCs (personal computers), thin client terminals / servers, workstations, mainframes, supercomputers, home game machines, interactive televisions, digital recorders, information home appliances (information home appliances).
- POS Point of Sale
- OA Office Automation
- the computer 2000 may be mounted on a moving body such as a vehicle, a ship, or an aircraft. However, actually, it is not limited to these examples.
- the computer 2000 includes a processing device 2001, a main storage device 2002, a secondary storage device 2003, a network interface 2004, and a storage medium insertion port 2005.
- the processing device 2001, the main storage device 2002, the secondary storage device 2003, the network interface 2004, and the storage medium insertion port 2005 are connected to each other via a data bus.
- the computer 2000 may further include an input device, a display device, and the like.
- the processing device 2001 reads the program 1500 and actually executes the program 1500.
- a CPU Central Processing Unit
- microprocessor microprocessor
- microcontroller a semiconductor integrated circuit (Integrated Circuit (IC)) having a similar function
- IC Integrated Circuit
- the main storage device 2002 temporarily stores the program 1500 and the data being processed when the processing device 2001 is actually executing the program 1500.
- Examples of the main storage device 2002 include a RAM (Random Access Memory), a ROM (Read Only Memory), an EEPROM (Electrically Erasable and Programmable Read Only Memory), a flash memory, or a combination thereof. However, actually, it is not limited to these examples.
- the secondary storage device 2003 stores the program 1500 and provides the program 1500 to the processing device 2001.
- the secondary storage device 2003 stores a program 1500, data used for processing, and processing result data.
- the processing device 2001 loads the program 1500 directly from the storage medium 1000 and temporarily stores the program 1500 in the main storage device 2002, the secondary storage device 2003 does not need to store the program 1500. good.
- Examples of the secondary storage device 2003 include an HDD (Hard Disk Drive) and an SSD (Solid State Drive).
- the secondary storage device 2003 is not necessarily built in the computer 2000.
- the secondary storage device 2003 may be a peripheral device (such as an external HDD). However, actually, it is not limited to these examples.
- the network interface 2004 communicates between the computer 2000 and the outside via the network.
- a network adapter such as NIC (Network Interface Card)
- a communication device such as an antenna
- a communication port such as a connection port (connector), and the like
- networks include the Internet, a LAN (Local Area Network), a wireless LAN (Wireless LAN), a backbone (Backbone), a cable TV (CATV) line, a fixed telephone network, a mobile phone network, a leased line (lease line), IrDA (Infrared Data Association), Bluetooth (registered trademark), a serial communication line, etc. can be considered. However, actually, it is not limited to these examples.
- the storage medium insertion port 2005 is an insertion port for reading the storage medium by arranging the storage medium.
- the storage medium insertion port 2005 reads the program 1500 stored in the storage medium 1000 when the storage medium 1000 is arranged.
- Examples of the storage medium insertion port 2005 include a DVD drive (DVD drive), a USB port, an SD memory card slot, and a connection port (connector) into which various cables compliant with standards other than USB are inserted. However, actually, it is not limited to these examples.
- the external storage device 3000 stores a computer-readable program 1500 for causing the computer to function as each monitoring node 51-i.
- Examples of the external storage device 3000 include an external server (Web server, file server, etc.), DAS (Direct Attached Storage), FC-SAN (Fibre Channel-Storage Area Network), NAS (Network Attached Storage-Storage) IP-Storage Area Network) is considered.
- the external storage device 3000 may be another monitoring node 51-i or server 53. However, actually, it is not limited to these examples.
- the main signal system network interface unit 101, the reception unit 102, the interface unit 104, the management system network interface unit 201, the reception unit 202, the transmission unit 205, and the interface unit 206 correspond to the network interface 2004.
- the detection unit 103, the DHT / DAT unit 203, and the monitoring unit 204 correspond to the processing device 2001.
- the storage unit 110 corresponds to the main storage device 2002 and the secondary storage device 2003. That is, the main storage device 2002 and the secondary storage device 2003 store necessary ones of the rule table 111, the monitoring table 211, the node table 212, the monitoring result data buffer 213, the DAT buffer 214, and the backtrack table 501.
- each of the processing device 2001, the main storage device 2002, the secondary storage device 2003, the network interface 2004, and the storage medium insertion port 2005 may be an assembly of devices of the same system.
- the individual NICs are collectively referred to as a network interface 2004.
- the computer 2000 is a multi-CPU computer, the individual CPUs are collectively referred to as a processing device 2001.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
ネットワーク分散監視方法は、管理ネットワークに接続された複数のノードを含むネットワークにおいて、前記複数のノードのうちの第1プローブノードの各々において、複数の第1の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上の第1トラヒックを検出して第1検出メッセージを生成するステップと、前記対応する第1アプリケーションの種類を示す第1機能識別子だけ、あるいはそれと前記第1トラヒックのアドレス情報との第1ハッシュ値と前記管理ネットワークの前記第1トラヒックのDATとから決定されるノードに前記第1検出メッセージを送信するステップと、前記複数のノードのうちの第1メディエーションノードにおいて前記複数の第1の予め決められたアプリケーションに対する前記検出メッセージに第1メディエーション処理をして第1メディエーション処理結果を生成するステップと、前記複数のノードのうちの第1コレクタノードにおいて前記第1メディエーション処理結果を格納するステップとを備える。こうして、高度な機能の監視も可能な分散監視システムを提供する。
Description
本発明は、分散監視システム、分散監視方法、及びプログラムに関する。
トラヒック量や回線帯域が増加するにつれて、大規模なネットワークの監視は容易ではなくなる。監視対象のネットワーク全体を把握するには、複数の監視場所においてトラヒックを監視し、発生した複数のイベントの相互関係を比較したり、同種の複数イベントを集約したり、異なる種類の複数イベントを1つのイベントにまとめる(調停)ことが必要となる。特に大量のトラヒックは、スケーラビリティの問題をもたらす。例えば、ユーザに高信頼サービスを提供するために、大規模なISP(Internet Services Provider)は、重要なイベント(障害、コンフィギュレーションの誤り、攻撃、シグナリング設定(課金を想定))を監視している。イベントを検知したとき、イベントに応じた対応をいかに迅速に行うかは、ISPにとって大変重要である。従って、大規模ネットワークの大量のトラフィックを監視可能な高スケーラビリティで高効率な分散監視方式が求められている。
大規模なネットワークの分散監視の方式として、集中型、または階層化した集中型が提案されている。これらの方式は、監視ノードで得られた監視データを全て中央ノードに直接送信するか、中央ノードに送信される前に中間ノードで一旦、集約し調停する。しかし、集中型または階層化した集中型監視方式は、スケーラビリティや信頼性の問題があり、多くの監視アプリケーションには向いていない。
これらの問題を解決するために、“WormShield: Fast Worm Signature Generation with Distributed Fingerprint Aggregation” (IEEE Transactions on Dependable and Secure Computing, Vol. 4, No. 2, pp.88-104, Apr-Jun, 2007) by Min Cai, Kai Hwang, Jianping Pan, Christos Papadopoulos (非特許文献1)が提案されている。
また、“Distributed Aggregation Algorithms with Load-Balancing for Scalable Grid Resource monitoring” (Parallel and Distributed Processing Symposium, 2007. IPDPS2007. IEEE International Volume, Issue, 26-30, March 2007 pp.1-10) by Cai, M., Hwang, K. (非特許文献2)が提案されている。
非特許文献1では、監視アプリケーションは、ワームのシグナチャ生成のためにイベントの合計を計算する処理を行っている。非特許文献2では、監視アプリケーションは、多数ノードの平均のCPU使用率を監視する処理を行っている。非特許文献1、非特許文献2では、P2P(Peer to Peer)ネットワーク技術を用いて処理の負荷分散とスケーラビリティやフォールトトレランスを考慮し、監視情報を受け渡し、集約する方式であるDAT(Distributed Aggregation Tree)を提案している。
DATは、ツリー構造であり、DHT(Distributed Hash Table)のアルゴリズムの1つであるChord上で動作する。ノードからノードへ情報を集約しながら、集約結果は最終的にはDAT上に存在するルートノードに渡される。なお、DHTは、構造化P2Pネットワークの一つである。構造化P2Pネットワークとは、ネットワーク構成(検索要求、経路)を数式で記述できるものである。DHTのアルゴリズムとして良く知られているのは、Chord、Pastry、CAN(Content Addressable Network)などである。これらのDHTのアルゴリズムを用いると、高スケーラビリティやフォールトトレランスが考慮されるので、高信頼でデータを保存したり、データ検索を行うことが可能になる。
各ノードからルートノードに直接情報を送信するのではなく、ノードからノードへ情報を送信することを繰り返した後にルートノードへ情報を送信することで、各ノードから直接ルートノードへ情報を送信するよりも、ルートノードの処理負荷とネットワーク帯域を削減することができる。更に、ツリーの深さができるだけ均一になるようにノードを配置することで、負荷分散を実現している。
しかしながら、非特許文献1、非特許文献2に示される方法は、イベントをカウントするような単純な監視機能であり、非特許文献1、非特許文献2に記載の方式を適用可能な監視対象は限られており、柔軟性がない。
例えば、VoIP(Voice over IP)、IPTV、VOD(Video On Demand)のようなインターネットのアプリケーションは、制御プレーン(シグナリングプレーン)とデータプレーン(ユーザプレーン)で構成されている。そのため、VoIPは、シグナリングを行うプロトコルとしてSIP(Session Initiation Protocol)を、音声信号を送信するプロトコルとしてRTP(Real-time Transport Protocol)を使用し、SIPとRTPはネットワーク上の異なる経路を通過する場合がある。このため、非特許文献1、非特許文献2に提案されている技術では、イベントを効率良く関連付けることができない。
従って、制御プレーンとデータプレーンで発生するイベントを効率良く相互に関連付ける技術が求められている。
上記の説明と関連して、特開2003-158549号公報(特許文献1)には、トラヒック情報収集装置が開示されている。この技術の要求受付ノードでは、IP通信網における特定の2点間のトラヒック情報収集の要求を行うユーザ端末もしくはネットワーク管理端末からのトラヒック情報収集の要求が受信され、受信された要求にしたがって隣接する他通信装置へ該要求を含む情報要求パケットが送信される。隣接する他通信装置から自装置以外の複数の通信装置のトラヒック情報が書込まれた情報回答パケットが受信され、自装置内のトラヒック情報及び受信した情報回答パケットに書込まれたトラヒック情報はとりまとめられる。トラヒック情報収集を要求した端末に、とりまとめられた統括的なトラヒック情報を含む情報回答パケットが送信される。要求中継ノードでは、情報要求パケットが受信され、受信された情報要求パケットに含まれる要求にしたがって自装置内のトラヒック情報により情報回答パケットを作成して要求受付ノードへこの作成された情報回答パケットが送信される。情報要求パケットの送信元以外の隣接する他通信装置へ要求を含む情報要求パケットが転送される。要求終端ノードでは、情報要求パケットが受信され、受信された情報要求パケットに含まれる要求にしたがって自装置内のトラヒック情報により情報回答パケットが作成されて要求受付ノードへこの作成された情報回答パケットが送信される。受信された情報要求パケットは廃棄される。
特開2007-013590号公報(特許文献2)には、ネットワーク監視システムが開示されている。この技術では、それぞれの監視回線を流れる通信信号の通信情報が常時収集され、通信信号が有するヘッダ情報に基づいて、パケット情報と、送信元及び又は送信先を関連付けたフロー統計情報とが求められ、予め設定された物理的な集約対象でグループ化してトラフィック情報が集計される。
また、収集するイベント属性を指定して監視機能を提供する仕組みとして、“A Scalable Distributed Information Management System” Praveen Yalagandula,Mike Dahlin (ACM SIGCOMM Computer Communication Review Volume34, Issue4 (October2004)Pages:379-390 Year of Publication:2004) (非特許文献3)が提案されている。
しかしながら、非特許文献3に示される方法は、ノードが構成するツリー自体で負荷分散を考慮することはしていない。
ネットワークの広域監視において、管理者はネットワークから情報を収集するが、収集した情報の内容によっては、更に詳細な情報を得たい場合がある。例えば、ワームが発生したというイベントが発生した場合に、実パケットの情報を参照することがある。
このようなオペレーションを実現するためには、ネットワーク全体からイベントを収集するだけではなく、イベントに関連した情報の詳細を把握する機能(以下、バックトラッキング機能と呼ぶ)が広域監視の仕組みとして必要である。
しかしながら、非特許文献1、2、3では、バックトラッキング機能はもたないため、収集した情報の詳細を後から管理者が参照することは困難である。
"WormShield: Fast Worm Signature Generation with Distributed Fingerprint Aggregation," by Min Cai, Kai Hwang, Jianping Pan, Christos Papadopoulos (IEEE Transactions on Dependable and Secure Computing, Vol. 4, No. 2, pp.88-104, Apr-Jun, 2007)
"Distributed Aggregation Algorithms with Load-Balancing for Scalable Grid Resource monitoring" by Cai, M., Hwang, K., (Parallel and Distributed Processing Symposium, 2007. IPDPS2007. IEEE International Volume, Issue, 26-30 March 2007 Page(s):1-10)
"A Scalable Distributed Information Management System" Praveen Yalagandula,Mike Dahlin (ACM SIGCOMM Computer Communication Review Volume34, Issue4 (October2004)Pages:379-390 Year of Publication:2004)
本発明は、スケーラビリティとフォールトレランスを考慮し、負荷分散しながら、制御プレーンとデータプレーンを使用するアプリケーションの監視のような、高度な機能の監視も可能な分散監視システムを提供する。
更に、本発明では、必要に応じて、上記の分散監視システムにバックトラッキング機能を追加する。
本発明の第1の観点では、ネットワーク分散監視方法は、管理ネットワークに接続された複数のノードを含むネットワークにおいて、複数のノードのうちの第1プローブノードの各々において、複数の第1の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上の第1トラヒックを検出して第1検出メッセージを生成するステップと、対応する第1アプリケーションの種類を示す第1機能識別子だけ、あるいはそれと第1トラヒックのアドレス情報との第1ハッシュ値と管理ネットワークの第1トラヒックのDATとから決定されるノードに第1検出メッセージを送信するステップと、複数のノードのうちの第1メディエーションノードにおいて複数の第1の予め決められたアプリケーションに対する検出メッセージに第1メディエーション処理をして第1メディエーション処理結果を生成するステップと、複数のノードのうちの第1コレクタノードにおいて第1メディエーション処理結果を格納するステップとを備える。
本発明の第2の観点では、計算機読み取り可能なプログラムは、管理ネットワークに接続された複数のノードを含むネットワークにおいて、複数の予め決められたアプリケーションのうちの対応するアプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成するステップと、対応するアプリケーションの種類を示す機能識別子だけ、あるいはそれとトラヒックのアドレス情報とハッシュ値と管理ネットワークのトラヒックのDATとから決定されるノードに検出メッセージを送信するステップとを実行するプローブノードとして計算機を機能させるためのものである。なお、このプログラムは、記憶媒体(メディア)に記憶することができる。
本発明の第3の観点では、ネットワーク分散監視システムは、管理ネットワークと、管理ネットワークに接続された複数のノードとを備え、複数のノードのうちのプローブノードの各々は、複数の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成し、対応するアプリケーションの種類を示す機能識別子だけの、あるいはそれとトラヒックのアドレス情報とのハッシュ値と管理ネットワークのトラヒックのDATとから決定されるノードに検出メッセージを送信し、複数のノードのうちのメディエーションノードは、複数の予め決められたアプリケーションに対する検出メッセージにメディエーション処理をしてメディエーション処理結果を生成し、複数のノードのうちのコレクタノードは、メディエーション処理結果を格納する。
本発明の他の観点では、ネットワーク分散監視システムにおいて使用されるノードが提供される。
上記の各観点において、複数のノードのうちのコレクタノードは、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせする機能を持つ場合がある。また、あるイベントに関係するパケットをキャプチャした全てのプローブノードは、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信する機能を持つ。更に、バックトラッキングするために、各ノードは、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持つようにしても良い。
本発明によれば、イベントを計数するような単純な監視アプリケーションだけではなく、制御プレーンとデータプレーンのイベントの関連付けが必要なアプリケーションの監視など、高度な監視を実現できる柔軟な監視システムが提供される。
また、本発明によれば、異なる監視対象アプリケーションが共存することができる。監視対象アプリケーションは異なっていても、監視に使用される機能がそれらに共通である場合、同じ監視機能を用意し、あるいは開発(二重開発)する必要がない。
更に、本発明によれば、バックトラッキング機能を追加することで、管理者がパケットの詳細情報を参照できるようになる。
また、本発明によれば、異なる監視対象アプリケーションが共存することができる。監視対象アプリケーションは異なっていても、監視に使用される機能がそれらに共通である場合、同じ監視機能を用意し、あるいは開発(二重開発)する必要がない。
更に、本発明によれば、バックトラッキング機能を追加することで、管理者がパケットの詳細情報を参照できるようになる。
以下に添付図面を参照して、本発明の分散監視システムが適用される通信システムをVoIPを例に取って詳細に説明する。
ここでは、プローブまたはプローブノードとは、ネットワークインタフェース(Network Interface)からパケットをキャプチャしパケットに関する情報を提供する役割をするものである。メディエーションは、ノードから得た情報を組み合わせたり、削減したりする機能である。メディエーション機能を持つノードをメディエータと呼ぶ。コレクタは、メディエーションされた全情報を収集するノードである。ノードは、ネットワーク上に存在する装置である。プローブ、メディエータ、コレクタは、ノードの一種である。プローブの機能とメディエータの機能を持つ装置もノードと呼ぶ。
<第1実施形態>
図1は、本発明の第1実施形態による分散監視システムを示す図である。図1に示すように、分散監視システムは、管理系ネットワーク50を備える。管理系ネットワーク50には、複数の監視ノード51-i(i=1,2,・・・,n)とサーバ53が接続されている。また、複数の監視ノード51-iは、それぞれ監視対象ネットワーク内の所定の位置に配置されており、監視対象ネットワーク内の配置位置を流れるトラヒックを監視している。各監視ノード51-iは、ノードIDを有している。各ノード51-iは、トラヒックの監視結果について、管理系ネットワーク50を介して他のノード51-j(i≠j)に送信する。この例では本発明の内容を理解し易くするために、サーバ53を1台としているが、実サービスではサーバは複数台になっても良い。
図1は、本発明の第1実施形態による分散監視システムを示す図である。図1に示すように、分散監視システムは、管理系ネットワーク50を備える。管理系ネットワーク50には、複数の監視ノード51-i(i=1,2,・・・,n)とサーバ53が接続されている。また、複数の監視ノード51-iは、それぞれ監視対象ネットワーク内の所定の位置に配置されており、監視対象ネットワーク内の配置位置を流れるトラヒックを監視している。各監視ノード51-iは、ノードIDを有している。各ノード51-iは、トラヒックの監視結果について、管理系ネットワーク50を介して他のノード51-j(i≠j)に送信する。この例では本発明の内容を理解し易くするために、サーバ53を1台としているが、実サービスではサーバは複数台になっても良い。
図2は、本発明の分散監視システムのメッセージの転送例を示している。図10Aは、本発明の転送例を詳細に示し、図10Bは、DAT構造を示している。管理系ネットワーク50は、16個の監視ノードN2,N4,・・・,N30と、サーバ53を有している。サーバ53は、上記の監視ノードのうち、少なくとも監視ノードN2,N6,N16,N18,N22,N24に、ルールテーブルと、監視テーブル(後述する)を配信する。サーバ53は、ノードテーブル(後述する)を全監視ノードに配信する。
監視ノードN2は、それを通るトラヒックを監視してSIPアプリケーションの通話Aと通話BのSIPパケットを検出して、監視ノードN18に送信する。監視ノードN6は、それを通るトラヒックを監視して通話BのRTPパケットを検出して、監視ノードN22に送信する。監視ノードN16は、それを通るトラヒックを監視して通話AのRTPパケットを検出し、監視ノードN24に送信する。監視ノードN18は、監視ノードN2からの通話A,BのSIPパケットの検出結果を監視ノードN22に転送する。監視ノードN22は、監視ノードN6から通話BのRTPパケットの検出結果を受信し、監視ノードN18から通話BのSIPパケットの検出結果を受信して、それらの検出結果の相関を求めて、その結果を監視ノードN24に送信する。監視ノードN24は、監視ノードN22から通話Bの相関処理結果を受信して、格納する。また、監視ノードN24は、監視ノードN22から通話AのSIPパケットの検出結果を受信し、監視ノードN16から通話AのRTPパケットの検出結果を受信し、それらの検出結果の相関を求めて、その結果を格納する。
この例では、2つの相関の結果が共に監視ノードN24に格納されているが、本発明はこれに限られず、別の監視ノードにそれぞれ格納されても良い。
図3は、本発明における第1実施形態による分散監視システム内の各監視ノード内の構成を示すブロック図である。図3を参照して、第1実施形態による各監視ノード51-iは、主信号系ネットワークインタフェース部101、受信部102、検知部103、管理系ネットワークインタフェース部201、受信部202、DHT/DAT部203、監視部204、送信部205、格納部110を備えている。格納部110には、ルールテーブル111、監視テーブル211、ノードテーブル212、監視結果データバッファ213、DATバッファ214が格納されている。監視ノードの格納部110以外の各部は、ハードウェアとして、ソフトウェアとして、あるいは混合型として実現されても良い。ソフトウェアとして実現されるときには、監視ノード内の記憶装置にプログラムが固定的に格納され、あるいは外部の記憶媒体(メディア)からロードされ、CPUまたはプロセッサがそのプログラムを実行することにより実現される。
受信部102は、主信号系ネットワークインタフェース部101を介して、監視対象ネットワーク52からトラヒックデータを受信する。受信部102は、トラヒックデータに対して、トラヒック監視のために必要なセッション管理や、ストリーム再構築等を必要に応じて行うことができる。受信部102は、トラヒックデータ中に含まれるメッセージを検知部103に送る。
検知部103は、受信部102からメッセージを受け取ると、ルールテーブル111に登録されているルールを参照し、メッセージがルールに該当するか否かを確認する。検知部103は、メッセージがルールに該当することを検知すると、監視部204へ通知メッセージを送る。
図4は、ルールテーブル111を示す。ルールテーブル111は、複数のエントリを有し、各エントリには、検知されるべきメッセージを特定するためのルールが登録されている。これらのルールは、サーバ53から、監視ノードに送信され、ルールテーブル111に格納される。すなわち、サーバ53は、これらのルールを監視ノードに送信する。監視ノードは、これらのルールを受信してルールテーブル111に格納する。例えば、あるルールでは、プロトコルはSIPである。送信元IPアドレスは192.168.0.1である。送信先IPアドレスは192.168.0.11である。送信元SIP-URI(Uniform Resource Identifier)はsender1@sip.comである。送信先SIP-URIはreceiver1@sip.comである。SIPメソッドはINVITEである。このルールは、そのようなメッセージが、1秒間に1個流れたことを確認するためのものである。
監視部204は、検知部103から受け取った通知メッセージを、監視テーブルに格納されているデータに従って処理する。
図5は、監視テーブル211の一例を示している。監視テーブル211は、複数のエントリを示している。監視テーブル211の各エントリは、連続番号、監視されるべき機能を示す機能名、監視されるべき機能を特定するための機能識別子(監視されるべきアプリケーションの種類を示す識別子)、ハッシュ関数の引数、メディエーションタイプのデータを有している。これらのエントリは、サーバ53から、監視ノードに送信され、監視テーブル211に格納される。すなわち、サーバ53は、これらのエントリを監視ノードに送信する。監視ノードは、これらのエントリを受信して監視テーブル211に格納する。例えば、番号7のエントリでは、機能名は、VoIP監視である。機能識別子は7である。ハッシュ関数の引数は、機能識別子である。メディエーションタイプはSIPとRTPの相関(IPアドレス、ポート番号)である。また、番号8のエントリでは、機能名は、IPTV監視である。機能識別子は8である。ハッシュ関数の引数は、機能識別子、送信元IPアドレスである。メディエーションタイプはSIPとRTPの相関(IPアドレス、ポート番号)である。この例では、機能識別子と送信元IPアドレスを用いているが、送信先IPアドレスでも良く、あるいは両方のIPアドレスを用いても良い。更に、送信元のURIと送信先URIの両方あるいは一方を用いても良い。ハッシュ関数の入力を選択することにより、動的にスケーラビリティを制御できる。
監視部204は、検知部103から受け取った通知メッセージ内の機能識別子を抽出し、抽出された機能識別子に対応するエントリがあるか否かを確認する。監視部204は、エントリが存在するときは、監視結果データバッファ213を参照して、監視結果データが格納されているか否かを判断する。また、監視部204は、そのエントリのメディエーションタイプのフィールドを参照して、通知メッセージ内の監視結果データと監視結果データバッファ213内の監視結果データとを用いてメディエーション処理を行う。この例では、監視部204は、抽出された機能識別子が7であるとき、IPアドレスとポート番号を参照し、あるSIPセッションに属するRTPの情報があれば、それらをまとめて、VoIPアプリケーションと同じセッションとして関連付けする。監視部204は、あるSIPセッションに属するRTPのデータが監視結果データバッファ213になければ、何もしない。更に、監視部204は、RTPのデータを含む通知メッセージを他の監視ノードから受信したときは、そのRTPのデータを監視結果データバッファ213に格納する。
ハッシュ関数の引数は、機能識別子であるので、監視部204は、ハッシュ関数hash(7)を計算すると24が得られる。こうして、メッセージが最終的に送り届けられるべき監視ノード(ルート監視ノードまたはコレクタ監視ノード)は、ノードIDが24の監視ノードN24であることがわかる。監視部204は、このノードIDと、メディエーション処理した結果をイベントとしてDHT/DAT部203へ渡す。
なお、ハッシュ関数が出力する値により、どのノードがコレクタノードになるかが決まる。そのため、あるノードがあるときはコレクタノードになり、メディエーションノードになる場合がある。更に、ある監視アプリケーションでコレクタになっているノードが別の監視アプリケーションのコレクタになる場合や、ある監視アプリケーションでメディエータになっているノードが別の監視アプリケーションのメディエータになる場合がある。つまり、複数の監視アプリケーションがネットワークを共有する。
DHT/DAT部203は、図2に示される、予め決められたDATを格納するDATバッファ214を参照し、監視部204から受け取った処理結果をDHT/DAT上の次の監視ノードへの送信準備を行う。DHT/DAT部203は、コレクタ監視ノードのノードIDと、自ノードIDに基づいてDATバッファ214のDATを参照し、次の送信先ノードを決定する。図2は、DATの例を示した図である。例えば、DHT/DAT部203は、自ノードのIDが18の場合、ノードID22の監視ノードN22へ、処理結果を含むメッセージを送れば良いことがわかる。次に、DHT/DAT部203は、送信先監視ノードのノードID22に基づいてノードテーブル212を参照し、ノードIDにより特定されるノードのIPアドレスを取得する。図6は、ノードテーブル212の例であり、DHT/DAT部203は、ID22に該当するIPアドレス192.168.0.22へデータを送信すれば良いことがわかる。DHT/DAT部203は、メッセージと取得した送信先IPアドレスを送信部205へ渡す。この例では、予め決められたDATに基づいて送信先が決定されているが、他の方法により送信先が決定されても良い。そのとき、送信先はその都度動的に決定されても良いし、予め決定されていても良い。
送信部205は、DHT/DAT部203からのメッセージを、管理系ネットワークインタフェース部201を介して、送信先IPアドレス宛に送信する。
また、受信部202は、管理系ネットワークインタフェース部201を介して他の監視ノードからメッセージを受信すると、メッセージをDHT/DAT部203を介して監視部204に渡す。監視部204は、上記と同様の処理を実行して、最終的な宛先監視ノードのノードIDを決定し、このノードIDと、メディエーション処理した結果をイベントとしてDHT/DAT部203へ渡す。DHT/DAT部203は、DATバッファ214のDATを参照して、監視部204から受け取った処理結果をDHT/DAT上の次の監視ノードへの送信する準備を行う。
次に、本発明の第1実施形態による分散監視システムの全体動作を説明する。ここでは、監視ノードN2,N6,N16は、プローブノードであり、監視ノードN16と、N22はメディエータノードである。管理ノードN24は、コレクタノードである。
今、監視ネットワーク上に、通話A,通話Bの2つのVoIPの通話が発生したとする。更に、通話A、通話BのSIPトラヒックがプローブN2を通過し、通話AのRTPトラヒックがN16を、通話BのRTPトラヒックがN6を通過したとする。
まず、通話Aについて考える。監視ノードN2が、図4のルールテーブル111を用いて、SIPパケットを検知する。また、図5の監視テーブル211より、VoIP監視の機能識別子は7であることがわかる。ここで、ハッシュ関数hash(7)=24より、コレクタ監視ノードのノードIDが24であることがわかるので、図2のDATより、監視ノードN2は、監視ノードN18に監視結果データと機能識別子を含むメッセージを送信する(store(hash(7))=<7,DATA>と表現する)。
同様に、監視ノードN16は、RTPパケットの検知を行い、コレクタ監視ノードN24へ監視結果データと機能識別子を含むメッセージを送信する。
監視ノードN2からメッセージを受け取った監視ノードN18は、メッセージ内の機能識別子が、監視ノードN18が持つ監視テーブル211に一致する機能識別子が存在するか否かを判定する。監視ノードN18は、一致する機能識別子が存在する場合には、該当する機能識別子のメディエーションタイプに従って処理を行う。また、監視ノードN18は、一致する機能識別子が存在しない場合には、DATを参照して、受信されたメッセージを監視ノードN22に転送する。監視ノードN18からメッセージを受け取った監視ノードN22も、監視ノード18と同様の動作を行い、メッセージをコレクタ監視ノードN24に転送する。このように処理することにより、コレクタである監視ノードN24にメッセージが届く。監視ノードN24は、SIPとRTPの相関処理を行い、結果を保存する。これにより、ストリームの相関処理が可能になる。
通話Bについても同様な処理を行う。監視ノードN2が、図4のルールテーブル111を用いて、通話BのSIPパケットを検知する。また、図5の監視テーブル211より、VoIP監視の機能識別子は7であることがわかる。ここで、ハッシュ関数hash(7)=24より、コレクタ監視ノードのノードIDが24であることがわかるので、図2のDATより、監視ノードN2は監視ノードN18に監視結果データと機能識別子を含むメッセージを送信する(store(hash(7))=<7,DATA>と表現する)。
同様に、監視ノードN6は、RTPパケットの検知を行い、監視結果ノードN22へ監視結果データと機能識別子を含むメッセージを送信する。
監視ノードN2からメッセージを受け取った監視ノードN18は、メッセージ内の機能識別子が、監視ノードN18が持つ監視テーブル211に一致する機能識別子が存在するか否かを判定する。監視ノードN18は、一致する機能識別子が存在する場合には、該当する機能識別子のメディエーションタイプに従って処理を行う。また、監視ノードN18は、一致する機能識別子が存在しない場合には、DATを参照して、受信されたメッセージを監視ノードN22に転送する。
監視ノードN22は、監視ノードN18からメッセージと、監視ノードN6から受信されるメッセージとに基づいて定まるメディエーションタイプに規定されたメディエーション処理(相関処理)を行い、その処理結果をコレクタ監視ノードN24に送信する。コレクタ監視ノードN24は、処理結果を受信して、格納する。これにより、ストリームの相関処理が可能になる。
ここで、監視ノードN22でSIPの監視結果データとRTPの監視結果データがそろうと、監視ノードN22は、相関処理を行う。全ての監視結果データの相関がとれると、監視ノードN24は処理結果を保存する。なお、DAT上のどのノードでも(get(hash(7))=7)を実行することができる。このget()要求は、コレクタ監視ノードN24に転送され、監視機能に関する全ての監視結果データをget()要求元に送り返す。また、ハッシュ関数の引数に例えばSIPユーザ名を指定することで、該当する監視データのみを取り出すことも可能である。
なお、ハッシュにかける対象は、機能識別子だけでなく、機能識別子とアドレス情報でも良い。例えば、機能識別子と送信元IPアドレス、あるいは送信元IPアドレスと送信先IPアドレスである。更に、送信元URIと送信先URIの両方あるいは一方を用いても良い。ハッシュ関数の入力を選択することにより、動的にスケーラビリティを制御できる。
次に、本発明の第1実施形態による分散監視システムで使用される各監視ノードの動作を図7A、図7Bを参照して説明する。
まず、図7Aを参照して、他のノードから受信したメッセージを他の監視ノードへ送信する動作について説明する。
(1)ステップS1
監視ノードN2が主信号系ネットワークインタフェース部101を介してネットワーク上を流れるパケットを受信すると、受信部102は、レイヤーL2、L3、L4の終端処理を行う。
監視ノードN2が主信号系ネットワークインタフェース部101を介してネットワーク上を流れるパケットを受信すると、受信部102は、レイヤーL2、L3、L4の終端処理を行う。
(2)ステップS2
続いて、受信部102は、IPアドレスやポート番号をもとにしたセッション管理を行い、TCPやSCTPパケットの場合はストリーム再構築を行い、パケットを検知部103に転送する。
続いて、受信部102は、IPアドレスやポート番号をもとにしたセッション管理を行い、TCPやSCTPパケットの場合はストリーム再構築を行い、パケットを検知部103に転送する。
(3)ステップS3
検知部103は、ルールテーブル111に登録されているルールに、受信パケットがマッチするか否かを確認する。図4の例では、検知部103は、パケットにIPアドレスやSIP-URIなどが含まれているか否かを検査する。検知部103は、検査した結果としてルール(フィルタリング条件)に該当する場合は、監視部204へイベントを通知する。ルールテーブル111にルール(フィルタリング条件)を登録することで、監視アプリケーションはフィルタリング条件のデータにより予め決められる。
検知部103は、ルールテーブル111に登録されているルールに、受信パケットがマッチするか否かを確認する。図4の例では、検知部103は、パケットにIPアドレスやSIP-URIなどが含まれているか否かを検査する。検知部103は、検査した結果としてルール(フィルタリング条件)に該当する場合は、監視部204へイベントを通知する。ルールテーブル111にルール(フィルタリング条件)を登録することで、監視アプリケーションはフィルタリング条件のデータにより予め決められる。
(4)ステップS4
監視部204は、検知部103から受け取ったイベントに関連するイベントを他ノードから受信しているか否かを確認する。
監視部204は、検知部103から受け取ったイベントに関連するイベントを他ノードから受信しているか否かを確認する。
(5)ステップS5
監視部204は、他ノードからメッセージを受信している場合には、イベントを集約する。
監視部204は、他ノードからメッセージを受信している場合には、イベントを集約する。
(6)ステップS6
その後、監視部204は、監視テーブル211(図5)のメディエーションタイプに従って処理を行う。この例では、監視ノードN2は、他ノードからイベントを受け取っていないので、監視部204は、ノードID2を持つノードが検知したイベントのみをメディエーションタイプに従って処理する。監視部204は、コレクタ監視ノードN24のノードIDとメディエーション処理した結果をDHT/DAT部203へ渡す。
その後、監視部204は、監視テーブル211(図5)のメディエーションタイプに従って処理を行う。この例では、監視ノードN2は、他ノードからイベントを受け取っていないので、監視部204は、ノードID2を持つノードが検知したイベントのみをメディエーションタイプに従って処理する。監視部204は、コレクタ監視ノードN24のノードIDとメディエーション処理した結果をDHT/DAT部203へ渡す。
(7)ステップS7
続いて、DHT/DAT部203は、DATバッファ214のDATを参照して、DHT/DAT上の次のノードへイベントを送信する準備を行う。DHT/DAT部203は、DATバッファ214のDATを参照し、コレクタ監視ノードのノードIDから、メッセージの送信先のノードを決定する。図2の例では、ノードIDが18の監視ノードN18に送信することになる。DHT/DAT部203は、ノードテーブル212を参照してノードID18のIPアドレスを取得し、送信部205へ渡す。
続いて、DHT/DAT部203は、DATバッファ214のDATを参照して、DHT/DAT上の次のノードへイベントを送信する準備を行う。DHT/DAT部203は、DATバッファ214のDATを参照し、コレクタ監視ノードのノードIDから、メッセージの送信先のノードを決定する。図2の例では、ノードIDが18の監視ノードN18に送信することになる。DHT/DAT部203は、ノードテーブル212を参照してノードID18のIPアドレスを取得し、送信部205へ渡す。
(8)ステップS8
送信部205は、管理系ネットワークインタフェース部201を介して、DHT/DAT部203より受け取ったイベントを次ノードのIPアドレス宛に送信する。
送信部205は、管理系ネットワークインタフェース部201を介して、DHT/DAT部203より受け取ったイベントを次ノードのIPアドレス宛に送信する。
次に、図7Bを参照して、他の監視ノードから送信されたメッセージを受信する動作について説明する。
(1)ステップS11
他の監視ノードから送信されたメッセージは、管理系ネットワークインタフェース部201を介して受信部202により受信される。受信部202は、受信したメッセージをDHT/DAT部203を介して監視部204に転送する。
他の監視ノードから送信されたメッセージは、管理系ネットワークインタフェース部201を介して受信部202により受信される。受信部202は、受信したメッセージをDHT/DAT部203を介して監視部204に転送する。
(2)ステップS12
監視部204は、DHT/DAT部203からメッセージを受け取ると、そのメッセージに監視結果データを含んでいるか否かを調べる。このとき、監視部204は、メッセージ内の機能識別子が監視テーブル211に登録されていれば、その機能識別子に基づいて、監視結果データ(例えば、RTPデータ)を、コレクタ監視ノードに転送するために必要なデータとともに、監視結果データバッファ213に格納する。
監視部204は、DHT/DAT部203からメッセージを受け取ると、そのメッセージに監視結果データを含んでいるか否かを調べる。このとき、監視部204は、メッセージ内の機能識別子が監視テーブル211に登録されていれば、その機能識別子に基づいて、監視結果データ(例えば、RTPデータ)を、コレクタ監視ノードに転送するために必要なデータとともに、監視結果データバッファ213に格納する。
(3)ステップS13
DHT/DAT部203から受信されるメッセージが監視結果データ(SIPデータ)を含んでいるとき、監視部204は、機能識別子に基づいて、監視結果データバッファ213に格納されているRTPデータとSIPデータの相関を取るメディエーション処理を実行する。その後、監視部204は、コレクタ監視ノードN24のノードIDとメディエーション処理した結果をDHT/DAT部203へ渡す。
DHT/DAT部203から受信されるメッセージが監視結果データ(SIPデータ)を含んでいるとき、監視部204は、機能識別子に基づいて、監視結果データバッファ213に格納されているRTPデータとSIPデータの相関を取るメディエーション処理を実行する。その後、監視部204は、コレクタ監視ノードN24のノードIDとメディエーション処理した結果をDHT/DAT部203へ渡す。
(4)ステップS14
続いて、DHT/DAT部203は、DATバッファ214のDATを参照して、DHT/DAT上の次のノードへメッセージを送信する準備を行う。DHT/DAT部203は、DATバッファ214のDATを参照し、コレクタ監視ノードのノードIDから、メッセージの送信先のノードを決定する。図2の例では、ノードIDが18の監視ノードN18に送信することになる。DHT/DAT部203は、ノードテーブル212を参照してノードID18のIPアドレスを取得し、送信部205へ渡す。
続いて、DHT/DAT部203は、DATバッファ214のDATを参照して、DHT/DAT上の次のノードへメッセージを送信する準備を行う。DHT/DAT部203は、DATバッファ214のDATを参照し、コレクタ監視ノードのノードIDから、メッセージの送信先のノードを決定する。図2の例では、ノードIDが18の監視ノードN18に送信することになる。DHT/DAT部203は、ノードテーブル212を参照してノードID18のIPアドレスを取得し、送信部205へ渡す。
(5)ステップS15
送信部205は、管理系ネットワークインタフェース部201を介して、DHT/DAT部203より受け取ったイベントを次ノードのIPアドレス宛に送信する。
送信部205は、管理系ネットワークインタフェース部201を介して、DHT/DAT部203より受け取ったイベントを次ノードのIPアドレス宛に送信する。
<第2実施形態>
次に、本発明の第2実施形態による分散監視システムについて説明する。
図1は、各監視ノードが全機能を持っているが、図8に示される第2実施形態による分散監視システムにおけるノードは、検知を行う検知ノード120と監視を行う処理ノード220の2種類に分けられている。1つのノードに全機能を持つ場合と機能は変わらない。図3に示す各監視ノード51-iを、検知ノード120と処理ノード220に分けた場合、図8のように1台の処理ノード220に1台または複数台の検知ノード120を接続することができる。
次に、本発明の第2実施形態による分散監視システムについて説明する。
図1は、各監視ノードが全機能を持っているが、図8に示される第2実施形態による分散監視システムにおけるノードは、検知を行う検知ノード120と監視を行う処理ノード220の2種類に分けられている。1つのノードに全機能を持つ場合と機能は変わらない。図3に示す各監視ノード51-iを、検知ノード120と処理ノード220に分けた場合、図8のように1台の処理ノード220に1台または複数台の検知ノード120を接続することができる。
図9は、検知ノード120と処理ノード220を示している。第2実施形態の検知ノード120において、主信号系ネットワークインタフェース部101、受信部102、検知部103、ルールテーブル111は、第1実施形態のそれらと同じである。従って、その構成と動作の説明は省略する。インタフェース部104は、送信機能を有し、受信パケットがルールテーブル111に登録されているルールにマッチするとき、監視ノードとなる処理ノード220にイベントメッセージを送信する。
第1実施形態と同じく、検知部103は、ルールテーブル111に登録されているルール(フィルタリング条件)にマッチするか否かを確認する。監視対象にするアプリケーションは、フィルタリング条件に基づいて予め決められている。
第2実施形態の処理ノード220は、管理系ネットワークインタフェース部201、受信部202、DHT/DAT部203、監視部204、送信部205、インタフェース部206、監視テーブル211、ノードテーブル212、監視結果データバッファ213、DATバッファ214を有している。これらの構成要素のうち、インタフェース部206とDATバッファ214以外のものは、第1実施形態における対応するものと同じである。従って、それらの構成と動作の説明は省略する。インタフェース部206は、受信機能を有し、検知ノード120から送信されるイベントメッセージを受信し、監視部204に転送する。
第1実施形態と同様に、ハッシュにかける対象は、機能識別子だけでなく、機能識別子とアドレス情報でも良い。例えば、機能識別子と送信元IPアドレス、あるいは送信元IPアドレスと送信先IPアドレスである。更に、送信元URIと送信先URIの両方あるいは一方を用いても良い。ハッシュ関数の入力を選択することにより、動的にスケーラビリティを制御できる。
第2実施形態による分散監視システムでも、メディエーション結果は、コレクタ監視ノードN24に集められ、格納されている。
第1実施形態と同様に、ハッシュ関数が出力する値により、どのノードがコレクタノードになるかが決まる。そのため、あるノードがあるときはコレクタノードになり、メディエーションノードになる場合がある。更に、ある監視アプリケーションでコレクタになっているノードが別の監視アプリケーションのコレクタになる場合や、ある監視アプリケーションでメディエータになっているノードが別の監視アプリケーションのメディエータになる場合がある。つまり、複数の監視アプリケーションがネットワークを共有する。
上記の実施形態では、例えば、監視ノードN22では、SIPトラヒックとRTPトラヒックの2つの検出結果を関連付けて、その結果を監視ノードN24に送信している。しかしながら、関連付けられるべきトラヒックの種類は2には限られない。例えば、トラヒックの種類は3以上であっても良い。その場合、1つの監視ノードで全ての種類のトラヒックの検出結果を関連付けているが、例えば第1ノードで、2つの種類のトラヒックの検出結果を関連付け、その結果と残りの種類のトラヒックの検出結果を関連付けても良い。このように、順番に関連付けを行いながら、メッセージが転送されても良い。
また、DATの階層の深さが一定になるように、ノードを配置すれば、より一層負荷分散を行うことができる。DATに限定されず、他のデータアグリゲーションアルゴリズムを適用しても良い。
また、本発明では、VoIP用通信システムの分散監視システムについて説明したが、この分散監視システムの異なる監視アプリケーションが、例えば通信システムのQoS(Quality of Service)の監視とセキュリティの監視を同時に行なっても良い。
また、各テーブルの各フィールドのデータを制限することにより、フィルター機能を実現し、望まれるトラヒックを監視することができる。
また、本発明では、監視ノードがプローブノードとしてどのアプリケーションのトラヒックを監視して検出すべきかは、サーバ53から配布されるルールテーブルで決まり、その検出結果についてのデータが、最終的に送られるべきかコレクタノードは、監視テーブルで決まり、具体的には監視テーブルに規定されたハッシュ関数値を計算してコレクタノードのノードIDが決定されている。そのノードIDとDATとから検出結果が次に送信されるべき監視ノードが決定されている。送信先の監視ノードが関連付けノードであれば、そのノードにより受信された複数の検出結果データが関連付けられ、上述と同様にして、次のノードが決定される。
このように、関連付けられるべきアプリケーションごとに動的にサーバ53から種々のテーブルを監視ノードに配布すれば、ノードに関してばかりでなく、時間的にも負荷を分散することができる。
ルールテーブルや監視テーブルは、管理系ネットワークを介してノードに送付されているとして説明したが、サーバ53からサーバ用ネットワーク(図示せず)を介して送付しても良い。この場合、監視ノードは、サーバとのインターフェースを、上記構成とは別個に有していることが望ましい。また、第2実施形態のように、監視ノードが検知ノードと処理ノードに分けられるときは、サーバ53から検知ノードに対してルールテーブルや監視テーブルを送付し、更に、検知ノードのインターフェース部と処理ノードのインターフェース部とを介して、検知ノードから処理ノードに対して監視テーブルを送付するようにしても良い。
第1、2の実施形態は、DHT/DATでネットワークを構成し、更にハッシュ値でコレクタを決定することにより、スケーラブル、フォールトトレラントでありながら異なる監視アプリケーションをサポートすることができる。
こうして、本発明の監視システムでは、スケーラビリティとフォールトレランスを考慮し、制御プレーンとデータプレーンを使用するアプリケーションの監視のような、高度な機能の監視も可能となる。
<第3実施形態>
次に、本発明の第3実施形態による分散監視システムについて説明する。
本実施形態では、更に、上記の各実施形態による分散監視システムにバックトラッキング機能を追加する事例について説明する。
次に、本発明の第3実施形態による分散監視システムについて説明する。
本実施形態では、更に、上記の各実施形態による分散監視システムにバックトラッキング機能を追加する事例について説明する。
以下、ワーム検知を例に、バックトラッキング機能の構成、及び動作を説明する。
ワーム検知の場合は、プローブがワームが発生するパケットを検知するフィルタを保持しているとする。プローブがワームが発生させたパケットを検知すると、DATの仕組みを活用して、パケットの情報をメディエータ、コレクタにわたす。コレクタに、ワームのパケットを検知したというイベントが大量に集まった場合、オペレータは、バックトラッキング機能を使うことで、イベントに関するパケットの情報を確認することができる。
ワーム検知の場合は、プローブがワームが発生するパケットを検知するフィルタを保持しているとする。プローブがワームが発生させたパケットを検知すると、DATの仕組みを活用して、パケットの情報をメディエータ、コレクタにわたす。コレクタに、ワームのパケットを検知したというイベントが大量に集まった場合、オペレータは、バックトラッキング機能を使うことで、イベントに関するパケットの情報を確認することができる。
図3の第1実施形態に、バックトラッキング機能のために、バックトラックテーブル501が追加した図11を用いて構成の説明をする。
なお、第2実施形態においても、同様にバックトラックテーブル501を図9の処理ノード220に追加することでバックトラッキング機能を提供できる。
バックトラックテーブル501の例を図12に示す。バックトラックテーブル501には、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻が格納されている。コレクタにイベントが収集されるたびに、各ノードがそれぞれに持つバックトラックテーブル501に情報を格納していく。
オペレータがコレクタにバックトラッキングの指示を出すと、コレクタは、該当イベントが経由したDAT上の下位ノードを確認し、コレクタが該当するDAT上の各ノードに通知する。監視部204が、バックトラックテーブル501を参照することで、該当イベントが経由したDAT上の下位ノードIDを確認することができる。また、DHT/DAT部203、送信部205、管理系インタフェース201を介して監視部204から、該当するDAT上の各ノードへ通知される。
通知を受け取った下位のノードがプローブではない場合は、各ノードは、該当イベント経由したDAT上の更に下位のノードを確認し、各ノードはDAT上の該当ノードへ通知する。通知は、下位ノードの管理系インタフェース201、受信部202、DHT/DAT部203、を介して監視部204が受け取る。監視部204が自ノードはプローブでないと判断したら、同じように、バックトラックテーブル501を参照し、下位ノードのIDを確認し、該当するDAT上の各ノードへ通知される。
各ノードは、上記の処理を、プローブに辿り着くまで繰り返し、自ノードがプローブである場合は、該当イベントに関連するパケットの情報を監視部204が検索する。続いて、パケットの情報をDAT上の上位ノードに送信する。コレクタに辿り着くまでパケット情報を送信し、コレクタに辿り着いたら処理は完了である。
第1の実施例の処理フローを示す図7Aにバックトラッキング処理を追加した図13を用いて動作の説明をする。
なお、第2の実施例においても同様にバックトラッキング処理を追加できる。
(1)ステップS51
オペレータがコレクタにバックトラッキングの指示を出すと、コレクタは、該当イベントが経由したDAT上の下位ノードを確認する。
オペレータがコレクタにバックトラッキングの指示を出すと、コレクタは、該当イベントが経由したDAT上の下位ノードを確認する。
(2)ステップS52
コレクタは、該当するDAT上の各ノードに通知する。
コレクタは、該当するDAT上の各ノードに通知する。
(3)ステップS53
コレクタから通知を受け取った各ノードは、自ノードがプローブかどうか確認する。
コレクタから通知を受け取った各ノードは、自ノードがプローブかどうか確認する。
(4)ステップS54
各ノードは、自ノードがプローブではない場合は、該当イベントが経由したDAT上の更に下位のノードを確認する。
各ノードは、自ノードがプローブではない場合は、該当イベントが経由したDAT上の更に下位のノードを確認する。
(5)ステップS55
各ノードは、確認されたDAT上の該当ノードへ通知する。各ノードは、プローブに辿り着くまでこれらの処理を繰り返す。
各ノードは、確認されたDAT上の該当ノードへ通知する。各ノードは、プローブに辿り着くまでこれらの処理を繰り返す。
(6)ステップS56
各ノードは、自ノードがプローブである場合は、該当イベントに関連するパケットの情報を検索する。
各ノードは、自ノードがプローブである場合は、該当イベントに関連するパケットの情報を検索する。
(7)ステップS57
続いて、プローブであるノードは、パケットの情報をDAT上の上位ノードに送信する。すなわち、ステップS52~ステップS55における通知の処理と逆の流れでパケット情報の送信の処理が行われる。
続いて、プローブであるノードは、パケットの情報をDAT上の上位ノードに送信する。すなわち、ステップS52~ステップS55における通知の処理と逆の流れでパケット情報の送信の処理が行われる。
(8)ステップS58
プローブであるノードは、コレクタに辿り着くまでパケット情報を送信し、コレクタに辿り着いたら処理を完了する。ここでは、プローブであるノードからパケット情報を受け取った各ノードは、自ノードがコレクタかどうか確認する。各ノードは、自ノードがコレクタではない場合は、該当イベントが経由したDAT上の更に上位のノードを確認する。各ノードは、確認されたDAT上の該当ノードへパケット情報を送信する。各ノードは、コレクタに辿り着くまでこれらの処理を繰り返す。
プローブであるノードは、コレクタに辿り着くまでパケット情報を送信し、コレクタに辿り着いたら処理を完了する。ここでは、プローブであるノードからパケット情報を受け取った各ノードは、自ノードがコレクタかどうか確認する。各ノードは、自ノードがコレクタではない場合は、該当イベントが経由したDAT上の更に上位のノードを確認する。各ノードは、確認されたDAT上の該当ノードへパケット情報を送信する。各ノードは、コレクタに辿り着くまでこれらの処理を繰り返す。
以上のプロセスを踏むことで、オペレータは、イベントを検知したプローブがわかり、イベントに関連する情報を取得することが可能となる。
最後に、図14を参照して、本発明の各実施形態による分散監視システムを実現するためのハードウェア構成の一例について説明する。ここでは、各監視ノード51-iの例として、計算機を想定している。この場合、図9に示す第2実施形態の検知ノード120及び処理ノード220は、それぞれ独立した計算機とする。すなわち、第2実施形態の検知ノード120及び処理ノード220の各々は、それぞれが各監視ノード51-iと同じハードウェア構成であるものとする。
本発明の各実施形態による分散監視システムのハードウェア構成は、プログラムの取得経路によって変化する。計算機が記憶媒体(メディア)からプログラムを取得する場合、分散監視システムのハードウェア構成は、記憶媒体1000と、計算機2000を含む。計算機がネットワークを介してプログラムを取得する場合、分散監視システムのハードウェア構成は、計算機2000と、外部記憶装置3000を含む。なお、どちらでも良い場合、分散監視システムのハードウェア構成は、記憶媒体1000と、計算機2000と、外部記憶装置3000を含む。
記憶媒体1000は、各監視ノード51-iとして計算機を機能させるための計算機読み取り可能なプログラム1500を格納している。記憶媒体1000の例として、DVD(Digital Versatile Disk)、USBメモリ(Universal Serial Bus memory)、SDカード(Secure Digital memory card)、或いは他のメモリカード等が考えられる。なお、記憶媒体1000は、USBケーブル等を介して計算機に接続される電子装置でも良い。本質的に同じだからである。但し、実際には、これらの例に限定されない。
計算機2000は、プログラム1500を実行することで、各監視ノード51-iとして機能する電子装置である。計算機2000の例として、PC(パソコン)、シンクライアント端末/サーバ、ワークステーション、メインフレーム、スーパーコンピュータ等のコンピュータを始め、家庭用ゲーム機、双方向テレビ、デジタルレコーダー、情報家電(information home appliance)、POS(Point of Sale)端末、OA(Office Automation)機器等が考えられる。計算機2000は、車両や船舶、航空機等の移動体に搭載されていても良い。但し、実際には、これらの例に限定されない。
計算機2000は、処理装置2001と、主記憶装置2002と、二次記憶装置2003と、ネットワークインタフェース2004と、記憶媒体挿入口2005を備える。ここでは、処理装置2001、主記憶装置2002、二次記憶装置2003、ネットワークインタフェース2004、及び記憶媒体挿入口2005は、互いにデータバスで接続されているものとする。なお、特に図示しないが、実際には、計算機2000は、更に、入力装置や表示装置等を備えていても良い。
処理装置2001は、プログラム1500を読み取り、実際にプログラム1500を実行する。処理装置2001の例として、CPU(Central Processing Unit)、マイクロプロセッサ(microprocessor)、マイクロコントローラ、或いは、同様の機能を有する半導体集積回路(Integrated Circuit(IC))等が考えられる。但し、実際には、これらの例に限定されない。
主記憶装置2002は、処理装置2001が実際にプログラム1500を実行している時、プログラム1500や処理中のデータを一時的に記憶する。主記憶装置2002の例として、RAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、フラッシュメモリ、又はこれらの組み合わせ等が考えられる。但し、実際には、これらの例に限定されない。
二次記憶装置2003は、プログラム1500を記憶し、処理装置2001にプログラム1500を提供する。ここでは、二次記憶装置2003は、プログラム1500、処理に使用するデータ、及び処理結果のデータを記憶する。なお、処理装置2001が記憶媒体1000から直接プログラム1500をロードし、主記憶装置2002にプログラム1500を一時的に記憶して使用する場合、二次記憶装置2003は、プログラム1500を記憶しなくても良い。二次記憶装置2003の例として、HDD(Hard Disk Drive)やSSD(Solid State Drive)等が考えられる。二次記憶装置2003は、必ずしも計算機2000に内蔵されていなくても良い。例えば、二次記憶装置2003は、周辺機器(外付けHDD等)でも良い。但し、実際には、これらの例に限定されない。
ネットワークインタフェース2004は、ネットワークを介して、計算機2000と外部との間で通信を行う。ネットワークインタフェース2004の例として、NIC(Network Interface Card)等のネットワークアダプタや、アンテナ等の通信装置、接続口(コネクタ)等の通信ポート等が考えられる。また、ネットワークの例として、インターネット、LAN(Local Area Network)、無線LAN(Wireless LAN)、バックボーン(Backbone)、ケーブルテレビ(CATV)回線、固定電話網、携帯電話網、専用線(lease line)、IrDA(Infrared Data Association)、Bluetooth(登録商標)、シリアル通信回線等が考えられる。但し、実際には、これらの例に限定されない。
記憶媒体挿入口2005は、記憶媒体を配置することで、記憶媒体を読み取るための挿入口である。ここでは、記憶媒体挿入口2005は、記憶媒体1000が配置された際に、記憶媒体1000に格納されたプログラム1500を読み取る。記憶媒体挿入口2005の例として、DVD駆動装置(DVDドライブ)、USBポート、SDメモリーカードスロット、USB以外の規格に準拠した各種ケーブルを差し込む接続口(コネクタ)等が考えられる。但し、実際には、これらの例に限定されない。
外部記憶装置3000は、各監視ノード51-iとして計算機を機能させるための計算機読み取り可能なプログラム1500を格納している。外部記憶装置3000の例として、外部のサーバ(Webサーバ、ファイルサーバ等)、DAS(Direct Attached Storage)、FC-SAN(Fibre Channel - Storage Area Network)、NAS(Network Attached Storage)、IP-SAN(IP - Storage Area Network)等が考えられる。なお、外部記憶装置3000は、他の監視ノード51-iやサーバ53でも良い。但し、実際には、これらの例に限定されない。
ここで、主信号系ネットワークインタフェース部101、受信部102、インタフェース部104、管理系ネットワークインタフェース部201、受信部202、送信部205、及びインタフェース部206は、ネットワークインタフェース2004に該当する。また、検知部103、DHT/DAT部203、及び監視部204は、処理装置2001に該当する。格納部110は、主記憶装置2002及び二次記憶装置2003に該当する。すなわち、主記憶装置2002及び二次記憶装置2003には、ルールテーブル111、監視テーブル211、ノードテーブル212、監視結果データバッファ213、DATバッファ214、及びバックトラックテーブル501のうち必要なものが格納される。
なお、処理装置2001、主記憶装置2002、二次記憶装置2003、ネットワークインタフェース2004、及び記憶媒体挿入口2005の各々は、それぞれ同系統の装置の集合体でも良い。例えば、主信号系ネットワークインタフェース部101と管理系ネットワークインタフェース部201(及び、図9のインタフェース部104とインタフェース部206)には、それぞれ別個のNICを使用することが考えられる。この場合、個々のNICをまとめてネットワークインタフェース2004と呼ぶ。また、計算機2000がマルチCPUの計算機である場合、個々のCPUをまとめて処理装置2001と呼ぶ。
以上、本発明の実施形態を詳述してきたが、実際には、上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。
尚、この出願は、2009年2月18日に出願された日本特許出願2009-035942号、及び、2009年9月1日に出願された日本特許出願2009-201300号を基礎とする優先権を主張し、その開示の全てを引用によりここに組み込む。
Claims (43)
- 管理ネットワークに接続された複数のノードを含むネットワークにおいて、前記複数のノードの各々を構成する計算機により実施されるネットワーク分散監視方法であって、
前記複数のノードのうちの第1プローブノードの各々において、予め決められた複数の第1のアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上の第1トラヒックを検出して第1検出メッセージを生成することと、
前記対応する第1アプリケーションの種類を示す第1機能識別子だけに対する、あるいは前記第1機能識別子と前記第1トラヒックのアドレス情報とに対する第1ハッシュ値を決定することと、
前記第1ハッシュ値と前記第1トラヒックの第1DATとから決定されるノード、前記第1ハッシュ値と前記管理ネットワークとに関して予め決められたノード、あるいは前記第1ハッシュ値と前記管理ネットワークとに関して動的に決定されるノードのうちのいずれかのノードに、前記第1検出メッセージを送信することと、
前記複数のノードのうちの第1メディエーションノードにおいて前記複数の第1の予め決められたアプリケーションに対する前記検出メッセージに第1メディエーション処理をして第1メディエーション処理結果を生成することと、
前記複数のノードのうちの第1コレクタノードにおいて前記第1メディエーション処理結果を格納することと
を含む
ネットワーク分散監視方法。 - 請求項1に記載のネットワーク分散監視方法であって、
前記第1検出メッセージを送信する際に、前記第1ハッシュ値から前記第1コレクタノードのノードIDを決定することと、
前記第1コレクタノードのノードIDと前記第1DATとから送信先ノードを決定することと、
前記第1検出メッセージに、前記第1コレクタノードのノードIDを挿入することと
を更に含む
ネットワーク分散監視方法。 - 請求項2に記載のネットワーク分散監視方法であって、
前記第1検出メッセージに含まれる前記第1コレクタノードのノードIDと、前記第1メディエーションノードが有するDATとに基づいて決まるノードに前記第1メディエーション処理結果を含む第1処理結果メッセージを送信することと、
前記第1メディエーション処理結果を格納する際に、前記第1メディエーションノードから受信される前記第1処理結果メッセージの処理結果を格納することと
を更に含む
ネットワーク分散監視方法。 - 請求項1乃至3のいずれか一項に記載のネットワーク分散監視方法であって、
前記第1メディエーションノードは、前記第1コレクタノードと同一である
ネットワーク分散監視方法。 - 請求項1乃至4のいずれか一項に記載のネットワーク分散監視方法であって、
前記複数のノードのうちの第2プローブノードの各々において、予め決められた複数の第2のアプリケーションのうちの対応する第2アプリケーションの前記対象ネットワーク上の第2トラヒックを検出して第2検出メッセージを生成することと、
前記対応する第2アプリケーションの種類を示す第2機能識別子だけに対応する、あるいは第2機能識別子と前記第2トラヒックのアドレス情報とに対応する第2ハッシュ値を決定することと、
前記第2ハッシュ値と前記管理ネットワークの第2DATとから決定されるノードに、前記第2検出メッセージを送信することと、
前記複数のノードのうちの第2メディエーションノードにおいて前記複数の第2の予め決められたアプリケーションに対する前記検出メッセージに第2メディエーション処理をして第2メディエーション処理結果を生成することと、
前記複数のノードのうちの第2コレクタノードにおいて前記第2メディエーション処理結果を格納することと
を更に含む
ネットワーク分散監視方法。 - 請求項5に記載のネットワーク分散監視方法であって、
前記第2検出メッセージを送信する際に、前記第2ハッシュ値から前記第2コレクタノードのノードIDを決定することと、
前記第2コレクタノードのノードIDと前記第2DATとから送信先ノードを決定することと、
前記第2検出メッセージに、前記第2コレクタノードのノードIDを挿入することと
を更に含む
ネットワーク分散監視方法。 - 請求項6に記載のネットワーク分散監視方法であって、
前記第2検出メッセージに含まれる前記第2コレクタノードのノードIDと、前記第2メディエーションノードが有するDATとに基づいて決まるノードに前記第2メディエーション処理結果を含む第2処理結果メッセージを送信することと、
前記第2メディエーション処理結果を格納する際に、前記第2メディエーションノードから受信される前記第2処理結果メッセージの処理結果を格納することと
を更に含む
ネットワーク分散監視方法。 - 請求項5乃至7のいずれか一項に記載のネットワーク分散監視方法であって、
前記第2コレクタノードは、前記第1コレクタノードと同一である
ネットワーク分散監視方法。 - 請求項5乃至8のいずれか一項に記載のネットワーク分散監視方法であって、
前記複数の第1のアプリケーションと前記複数の第2のアプリケーションが前記管理ネットワークを共有することと、
前記管理ネットワークを介して、前記複数の第1のアプリケーションと前記複数の第2のアプリケーションを監視することと
を更に含む
ネットワーク分散監視方法。 - 請求項1乃至9のいずれか一項に記載のネットワーク分散監視方法であって、
前記複数の第1のアプリケーションを、フィルタリング条件のデータに基づいて予め決めること
を更に含む
ネットワーク分散監視方法。 - 請求項1乃至10のいずれか一項に記載のネットワーク分散監視方法であって、
前記対象ネットワーク上の各トラヒックのアドレス情報は、当該トラヒックの送信元IPアドレス、送信先IPアドレス、送信元URI、及び送信先URIの少なくとも1つを含む
ネットワーク分散監視方法。 - 請求項1乃至11のいずれか一項に記載のネットワーク分散監視方法であって、
DHT/DATでネットワークを構成することと、
ハッシュ値でコレクタを決定することと、
スケーラブルでありフォールトトレラントであるネットワークにおいて、異なる監視アプリケーションをサポートすることと
を更に含む
ネットワーク分散監視方法。 - 請求項1乃至12のいずれか一項に記載のネットワーク分散監視方法であって、
前記第1ハッシュ値を、ハッシュ関数により決定することと、
前記第1メディエーション処理と該ハッシュ関数の入力を選択することにより、スケーラビリティを動的に制御することと
を更に含む
ネットワーク分散監視方法。 - 請求項1乃至13のいずれか一項に記載のネットワーク分散監視方法であって、
前記複数のノードのうちのコレクタノードに、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせる機能を持たせること
を更に含む
ネットワーク分散監視方法。 - 請求項14に記載のネットワーク分散監視方法であって、
前記複数のノードのうち、あるイベントに関係するパケットをキャプチャした全てのプローブノードに、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信する機能を持たせること
を更に含む
ネットワーク分散監視方法。 - 請求項14又は15に記載のネットワーク分散監視方法であって、
各ノードに、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持たせること
を更に含む
ネットワーク分散監視方法。 - 管理ネットワークに接続された複数のノードを含むネットワークにおいて、前記複数のノードの各々として計算機を機能させるための計算機読み取り可能なプログラムであって、
プローブノードとして計算機を機能させる際に、予め決められた複数のアプリケーションのうちの対応するアプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成するステップと、
前記対応するアプリケーションの種類を示す機能識別子だけに対する、あるいはそれと前記トラヒックのアドレス情報とに対するハッシュ値を決定するステップと、
前記ハッシュ値と前記管理ネットワークの前記トラヒックのDATとから決定されるノード、前記ハッシュ値と前記管理ネットワークに関して予め決められた、あるいは動的に決定されるノードのうちのいずれかのノードに、前記検出メッセージを送信するステップと
を計算機に実行させるための
プログラム。 - 請求項17に記載のプログラムであって、
前記アドレス情報は、前記トラヒックの送信元IPアドレス、送信先IPアドレス、送信元URI、及び送信先URIの少なくとも1つを含む
プログラム。 - 請求項17又は18に記載のプログラムであって、
前記検出メッセージを送信する際に、前記ハッシュ値からコレクタノードのノードIDを決定するステップと、
前記コレクタノードのノードIDと前記DATとから送信先ノードを決定するステップと、
前記検出メッセージに、前記コレクタノードのノードIDを挿入するステップと
を更に計算機に実行させるための
プログラム。 - 請求項19に記載のプログラムであって、
メディエーションノードとして前記計算機を機能させる際に、前記複数の予め決められたアプリケーションに対する前記検出メッセージにメディエーション処理をしてメディエーション処理結果を生成するステップ
を更に計算機に実行させるための
プログラム。 - 請求項20に記載のプログラムであって、
前記コレクタノードとして前記計算機を機能させる際に、前記メディエーション処理結果を格納するステップ
を更に計算機に実行させるための
プログラム。 - 請求項21に記載のプログラムであって、
前記検出メッセージに含まれる前記コレクタノードのノードIDと、前記メディエーションノードが有するDATとに基づいて決まるノードとして前記計算機を機能させる際に、前記メディエーション処理結果を含む処理結果メッセージを受信するステップと、
前記処理結果メッセージの前記メディエーション処理結果を格納するステップと
を更に計算機に実行させるための
プログラム。 - 請求項17乃至22のいずれか一項に記載のプログラムであって、
DHT/DATでネットワークを構成するステップと、
ハッシュ値でコレクタを決定するステップと、
スケーラブルでありフォールトトレラントであるネットワークにおいて、異なる監視アプリケーションをサポートするステップと
を更に計算機に実行させるための
プログラム。 - 請求項17乃至23のいずれか一項に記載のプログラムであって、
前記第1ハッシュ値を、ハッシュ関数により決定するステップと、
前記第1メディエーション処理と該ハッシュ関数の入力を選択することにより、スケーラビリティを動的に制御するステップと
を更に計算機に実行させるための
プログラム。 - 請求項17乃至24のいずれか一項に記載のプログラムであって、
前記複数のアプリケーションを、フィルタリング条件のデータに基づいて予め決めるステップ
を更に計算機に実行させるための
プログラム。 - 請求項17乃至25のいずれか一項に記載のプログラムであって、
前記複数のアプリケーションと他のノード上にある複数のアプリケーションとが前記管理ネットワークを共有するステップと、
前記管理ネットワークを介して、前記複数のアプリケーションと他のノード上にある複数のアプリケーションとを監視するステップと
を更に計算機に実行させるための
プログラム。 - 請求項17乃至26のいずれか一項に記載のプログラムであって、
前記コレクタノードとして計算機を機能させる際に、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせるステップ
を更に計算機に実行させるための
プログラム。 - 請求項27に記載のプログラムであって、
あるイベントに関係するパケットをキャプチャした全てのプローブノードの各々として計算機を機能させる際に、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信するステップ
を更に計算機に実行させるための
プログラム。 - 請求項27又は28に記載のプログラムであって、
各ノードに、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持たせるステップと
を更に計算機に実行させるための
プログラム。 - 管理ネットワークと、
前記管理ネットワークに接続された複数のノードと
を具備し、
前記複数のノードは、
予め決められた複数のアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上のトラヒックを検出して検出メッセージを生成し、前記対応するアプリケーションの種類を示す機能識別子だけに対する、あるいはそれと前記トラヒックのアドレス情報とに対するハッシュ値を決定し、前記ハッシュ値と前記トラヒックのDATとから決定されるノード、前記ハッシュ値と前記管理ネットワークとに関して予め決められたノード、あるいは前記ハッシュ値と前記管理ネットワークとに関して動的に決定されるノードのうちのいずれかのノードに、前記検出メッセージを送信するプローブノードと、 前記複数の予め決められたアプリケーションに対する前記検出メッセージにメディエーション処理をしてメディエーション処理結果を生成するメディエーションノードと、
前記メディエーション処理結果を格納するコレクタノードと
を含む
ネットワーク分散監視システム。 - 請求項30に記載のネットワーク分散監視システムであって、
前記アドレス情報は、前記トラヒックの送信元IPアドレス、送信先IPアドレス、送信元URI、及び送信先URIの少なくとも1つを含む
ネットワーク分散監視システム。 - 請求項30又は31に記載のネットワーク分散監視システムであって、
前記プローブノードは、前記ハッシュ値から前記コレクタノードのノードIDを決定し、前記コレクタノードのノードIDと前記DATとから送信先ノードを決定し、
前記検出メッセージは、前記コレクタノードのノードIDを含んでいる
ネットワーク分散監視システム。 - 請求項32に記載のネットワーク分散監視システムであって、
前記メディエーションノードは、前記検出メッセージに含まれる前記コレクタノードのノードIDと、前記メディエーションノードが有するDATとに基づいて決まるノードに前記メディエーション処理結果を含む処理結果メッセージを送信し、
前記コレクタノードは、前記メディエーションノードから受信される前記処理結果メッセージの前記メディエーション処理結果を格納する
ネットワーク分散監視システム。 - 請求項30乃至33のいずれか一項に記載のネットワーク分散監視システムであって、
前記メディエーションノードは、前記コレクタノードと同一である
ネットワーク分散監視システム。 - 請求項30乃至34のいずれか一項に記載のネットワーク分散監視システムであって、
前記プローブノードは、
複数の予め決められたアプリケーションのうちの対応する第1アプリケーションの対象ネットワーク上のトラヒックを検出してトラヒック検出メッセージを生成する検知ノードと、
前記対応するアプリケーションの種類を示す機能識別子だけの、あるいはそれと前記トラヒックのアドレス情報とのハッシュ値と前記管理ネットワークの前記トラヒックのDATとから決定されるノードに前記検出メッセージを送信する処理ノードと
を含む
ネットワーク分散監視システム。 - 請求項30乃至35のいずれか一項に記載のネットワーク分散監視システムであって、
前記複数のノードの各々は、スケーラブルでありフォールトトレラントであるネットワークにおいて、異なる監視アプリケーションをサポートする
ネットワーク分散監視システム。 - 請求項30乃至36のいずれか一項に記載のネットワーク分散監視システムであって、
前記第1ハッシュ値は、ハッシュ関数により定まり、
前記各メディエーションノードは、前記第1メディエーション処理と該ハッシュ関数の入力を選択することにより、スケーラビリティを動的に制御する
ネットワーク分散監視システム。 - 請求項30乃至37のいずれか一項に記載のネットワーク分散監視システムであって、
前記各プローブノードは、フィルタリング条件のデータに基づいて複数のアプリケーションを予め決める
ネットワーク分散監視システム。 - 請求項30乃至38のいずれか一項に記載のネットワーク分散監視システムであって、
前記複数のアプリケーションと他のノード上にある複数のアプリケーションとは、前記管理ネットワークを共有し、
前記各プローブノードは、前記管理ネットワークを介して、前記複数のアプリケーションと他のノード上にある複数のアプリケーションとを監視する
ネットワーク分散監視システム。 - 請求項30乃至39のいずれか一項に記載のネットワーク分散監視システムであって、
前記コレクタノードは、あるイベントに関係するパケットをキャプチャした全てのプローブノードに対して、DAT上のノードを辿って詳細情報を問い合わせる機能を持つ
ネットワーク分散監視システム。 - 請求項40に記載のネットワーク分散監視システムであって、
前記複数のノードのうち、あるイベントに関係するパケットをキャプチャした全てのプローブノードは、DAT上のノードを辿って詳細情報を前記複数のノードのうちのコレクタノードまで送信する機能を持つ
ネットワーク分散監視システム。 - 請求項40又は41に記載のネットワーク分散監視システムであって、
各ノードは、イベントの種類、下位ノードID、イベントのカウント、イベントを受信した最初の時刻、イベントを受信した最後の時刻、の情報を持つ
ネットワーク分散監視システム。 - 請求項30乃至42のいずれか一項に記載のネットワーク分散監視システムにおいて、
複数のノードの各々として使用される計算機。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP10743714.7A EP2400701A4 (en) | 2009-02-18 | 2010-02-15 | DECENTRALIZED MONITORING SYSTEM, DECENTRALIZED MONITORING METHOD AND PROGRAM |
JP2011500595A JP5578445B2 (ja) | 2009-02-18 | 2010-02-15 | 分散監視システム、分散監視方法、及びプログラム |
US13/148,527 US8560682B2 (en) | 2009-02-18 | 2010-02-15 | Distribution monitoring system, distribution monitoring method, and program |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009-035942 | 2009-02-18 | ||
JP2009035942 | 2009-02-18 | ||
JP2009-201300 | 2009-09-01 | ||
JP2009201300 | 2009-09-01 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2010095588A1 true WO2010095588A1 (ja) | 2010-08-26 |
Family
ID=42633870
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2010/052181 WO2010095588A1 (ja) | 2009-02-18 | 2010-02-15 | 分散監視システム、分散監視方法、及びプログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US8560682B2 (ja) |
EP (1) | EP2400701A4 (ja) |
JP (1) | JP5578445B2 (ja) |
WO (1) | WO2010095588A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105978852A (zh) * | 2016-04-14 | 2016-09-28 | 北京北信源软件股份有限公司 | 一种网络设备访问历史信息的确定方法、设备及交换机 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140012975A1 (en) * | 2012-07-09 | 2014-01-09 | National Applied Research Laboratories | Computer cluster, management method and management system for the same |
TWI461927B (zh) * | 2012-10-15 | 2014-11-21 | Nat Applied Res Laboratories | 計算機叢集裝置、用於計算機叢集裝置的管理方法及系統 |
EP2840739A1 (en) * | 2013-08-22 | 2015-02-25 | EXFO Oy | Displaying signal flows in network analysis tool |
EP3086514B1 (en) * | 2013-12-17 | 2024-06-12 | Sony Group Corporation | Communication apparatus, packet monitoring method, and computer program |
CN106549825A (zh) * | 2016-10-13 | 2017-03-29 | 重庆金美通信有限责任公司 | 一种通信网络路由转发表正确性测试的方法、系统和设备 |
CN109189403B (zh) * | 2018-07-13 | 2022-04-22 | 超聚变数字技术有限公司 | 操作系统os批量安装方法、装置和网络设备 |
CN111556122B (zh) * | 2020-04-23 | 2023-04-07 | 东电创新(北京)科技发展股份有限公司 | 一种基于窄带宽的视频传输存储方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008193221A (ja) * | 2007-02-01 | 2008-08-21 | Oki Electric Ind Co Ltd | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
JP2008217135A (ja) * | 2007-02-28 | 2008-09-18 | Mitsubishi Electric Corp | 情報管理装置 |
JP2008259047A (ja) * | 2007-04-06 | 2008-10-23 | Hitachi Ltd | ネットワーク監視システムおよび集中監視装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2246867A1 (en) * | 1997-09-26 | 1999-03-26 | Robert Joseph Thornberry Jr. | Internet performance network |
US20020049815A1 (en) * | 2000-04-14 | 2002-04-25 | Kayshav Dattatri | System for monitoring and managing information and information transfers in a computer network |
JP3781663B2 (ja) | 2001-11-21 | 2006-05-31 | 日本電気株式会社 | トラヒック情報収集装置およびトラヒック情報収集方法およびプログラムおよび記録媒体 |
EP1698205B1 (en) * | 2003-12-23 | 2013-12-11 | Telecom Italia S.p.A. | System and method for the automatic setup of switched circuits based on traffic prediction in a telecommunications network |
US7313565B2 (en) * | 2004-02-19 | 2007-12-25 | Microsoft Corporation | Data overlay, self-organized metadata overlay, and associated methods |
JP2007013590A (ja) | 2005-06-30 | 2007-01-18 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視装置及びプログラム |
CN101442479B (zh) * | 2007-11-22 | 2011-03-30 | 华为技术有限公司 | P2p对等网络中节点失效后的路由更新方法、设备及系统 |
EP2377294B1 (en) * | 2008-12-18 | 2017-05-17 | Scality, SA | Multipurpose storage system based upon a distributed hashing mechanism with transactional support and failover capability |
-
2010
- 2010-02-15 WO PCT/JP2010/052181 patent/WO2010095588A1/ja active Application Filing
- 2010-02-15 US US13/148,527 patent/US8560682B2/en active Active
- 2010-02-15 EP EP10743714.7A patent/EP2400701A4/en not_active Withdrawn
- 2010-02-15 JP JP2011500595A patent/JP5578445B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008193221A (ja) * | 2007-02-01 | 2008-08-21 | Oki Electric Ind Co Ltd | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 |
JP2008217135A (ja) * | 2007-02-28 | 2008-09-18 | Mitsubishi Electric Corp | 情報管理装置 |
JP2008259047A (ja) * | 2007-04-06 | 2008-10-23 | Hitachi Ltd | ネットワーク監視システムおよび集中監視装置 |
Non-Patent Citations (1)
Title |
---|
See also references of EP2400701A4 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105978852A (zh) * | 2016-04-14 | 2016-09-28 | 北京北信源软件股份有限公司 | 一种网络设备访问历史信息的确定方法、设备及交换机 |
Also Published As
Publication number | Publication date |
---|---|
EP2400701A1 (en) | 2011-12-28 |
EP2400701A4 (en) | 2015-10-07 |
JPWO2010095588A1 (ja) | 2012-08-23 |
JP5578445B2 (ja) | 2014-08-27 |
US20110314146A1 (en) | 2011-12-22 |
US8560682B2 (en) | 2013-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5578445B2 (ja) | 分散監視システム、分散監視方法、及びプログラム | |
US10917322B2 (en) | Network traffic tracking using encapsulation protocol | |
US7921282B1 (en) | Using SYN-ACK cookies within a TCP/IP protocol | |
US10033602B1 (en) | Network health management using metrics from encapsulation protocol endpoints | |
JP2015518336A (ja) | Diameter過負荷制御を実行するための方法、システムおよびコンピュータ読取可能媒体 | |
US7830816B1 (en) | Network access and quality of service troubleshooting | |
JP2016536939A (ja) | Diameter負荷および過負荷情報ならびに仮想化のための方法、システムおよびコンピュータ読取可能媒体 | |
US9269080B2 (en) | Hierarchical publish/subscribe system | |
JP5673805B2 (ja) | ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム | |
JP2015535669A (ja) | 暗号化されたセッションのモニタリング | |
CN113472646B (zh) | 一种数据传输方法、节点、网络管理器及系统 | |
US20030023877A1 (en) | System and method of managing data transmission loads | |
JP2007004361A (ja) | 負荷分散装置 | |
JP5871908B2 (ja) | ネットワーク内部のデータ通信を制御するための方法およびシステム | |
CN109729016A (zh) | 一种报文发送方法、设备及计算机可读存储介质 | |
WO2023185828A1 (zh) | 流量控制方法、网关及交换机 | |
US7783784B1 (en) | Method and apparatus for adaptive selection of algorithms to load and spread traffic on an aggregation of network interface cards | |
JP5519079B2 (ja) | クラウドベースのメディア適合化および変換サービスのための方法およびシステム | |
JP2020141191A (ja) | データ取得装置、クライアントサーバシステム、データ取得方法、及び、プログラム | |
JP7151901B2 (ja) | スライスゲートウェイ、品質集計装置、検査パケット処理方法、及びプログラム | |
JP5292335B2 (ja) | 接続先ノード選択方法及び装置及びプログラム | |
TWI572167B (zh) | 頻寬整合網路裝置、主機板與網路卡 | |
JP5572850B2 (ja) | メール配信システム、メール配信方法、及びプログラム | |
JP2004166023A (ja) | 通信路監視システム | |
Bryan et al. | Internet Engineering Task Force (IETF) H. Song Request for Comments: 7851 X. Jiang Category: Standards Track R. Even |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10743714 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2011500595 Country of ref document: JP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 13148527 Country of ref document: US |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2010743714 Country of ref document: EP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |