WO2013103008A1

WO2013103008A1 - 事象の原因を特定する情報システム、コンピュータ及び方法

Info

Publication number: WO2013103008A1
Application number: PCT/JP2012/050114
Authority: WO
Inventors: 有作中村; 黒田　沢希; 岩村　卓成
Original assignee: 株式会社日立製作所
Priority date: 2012-01-05
Filing date: 2012-01-05
Publication date: 2013-07-11
Also published as: US20130179563A1

Abstract

　情報システムは、複数のネットワーク装置と、複数のノード装置と、発生した事象の原因を分析するコンピュータとを有する。コンピュータの記憶資源は、ネットワーク装置及びノード装置で発生する事象を示す条件と、結論とを含むルールを記憶する。コンピュータは、複数のネットワーク装置の条件に対応する複数の条件オブジェクトの事象の発生情報を集約するための集約内部条件オブジェクトを生成し、集約内部条件オブジェクトを、ネットワーク装置の条件に対応する条件オブジェクト、ノード装置の条件に対応する条件オブジェクト、及び、結論に対応する結論オブジェクトに関連付ける。

Description

事象の原因を特定する情報システム、コンピュータ及び方法

　本発明は、複数のノード装置が属するネットワークにおいて発生した事象の原因を特定する技術に関する。

　サーバ、ストレージ、ネットワーク装置等の複数の装置を有する情報処理システムにおける、例えば、障害等に関わる事象（以下「イベント」という）の根本原因を特定する技術が知られている。

　例えば、特許文献１は、以下の技術を開示している。すなわち、まず、根本原因の分析に用いられるルールメモリデータが、ルールメモリに格納される。根本原因分析エンジンは、イベントの通知を受信する都度、そのイベントに関するデータをルールメモリに追加するとともに、ルールメモリデータに含まれるルールのうち受信したイベントに関連するルールのマッチング率を計算する。マッチング率は、どのルールの結論が根本原因である可能性が高いかを示す指標（確率又は計算された比率）であり、分析エンジンは、計算されたマッチング率に基づいて根本原因を特定することができる。また、各イベントは有効期間を有しており、持続期間が満了した場合、当該イベントに関するデータが、ルールメモリから削除される。分析エンジンは、削除されたイベントに関係して影響を受けたルールに関してのみマッチング率の再計算を行う。

　特許文献１に開示された技術によれば、分析エンジンが増加分または減少分のイベントについてのみ処理を行うため、計算コストを減らすことができる。また、分析エンジンがマッチング率に基づいて根本原因を特定するため、たとえ１つ以上の条件要素が真でない場合でも最も可能性の高い結論を判定することができ、分析精度を向上させることができる。

米国特許出願公開第２００９／３１３１９８号明細書

　ところで、根本原因の分析に用いられるルールメモリデータは、複数のルールやそのルールに関わるイベントの発生情報やそのルールに関わるイベントのマッチング率等の情報を含むデータである。ルールメモリデータは、例えば、複数のオブジェクトとそれらの関連付けにより構造化されたオブジェクトモデルによって表現される。このオブジェクトモデルには、例えば、ルールの条件に対応する条件オブジェクト、ルールの結論に対応する結論オブジェクト、オブジェクト間の入出力の演算を行う演算オブジェクト等が含まれ、これらのオブジェクトは全てデータとしてメモリに格納される。また、オブジェクト間の接続は、例えば、接続先のオブジェクトのポインタデータとしてメモリに格納される。

　根本原因の分析技術は、一般には、中規模から大規模の情報処理システムに導入される。小規模システムでは、監視すべき装置が少なく、人手により原因を特定できる場合が多く、根本原因の分析技術を導入する必要性に乏しいからである。一方で、監視すべき装置が多い大規模システムでは、人手により原因を特定することは困難であり、根本原因の分析技術の導入価値は高い。

　しかしながら、監視すべき装置が多い大規模システムでは、監視すべき装置の数に応じて、判定すべきルールの数が多くなる。判定すべきルールの数が多くなれば、オブジェクトモデルのオブジェクトの数や接続の数が増え、結果的にルールメモリデータの増大を招くことになる。

　情報システムは、複数のサブネットワークを構成する複数のネットワーク装置と、複数のサブネットワークに属する複数のノード装置と、発生した事象の原因を特定するコンピュータとを有する。コンピュータは、記憶資源と、記憶資源に接続された制御デバイスと、を有する。記憶資源は、１以上のルールと、ネットワーク装置及びノード装置がどのサブネットワークに所属するかを表したサブネットワーク情報とを記憶する。各ルールは、一端のノード装置と他端のノード装置とそれらを中継するネットワーク装置とを含んだトポロジに関するトポロジ情報と、そのトポロジにおける事象を示す条件と、その条件を満たす原因となる事象を示す結論と、を含む。

　制御デバイスは、以下の（ａ１）～（ａ１３）を所定の順番に行うことにより、ルールメモリデータを生成して記憶資源に格納する。ここで、所定の順番とは、（ａ１）～（ａ１３）の記載順番に従った順番であってもよく、また、この記載順番に従って実行することにより生成されるルールメモリデータと同一のルールメモリデータを生成することができれば、任意の別の順番であってもよい。
（ａ１）制御デバイスは、サブネットワーク情報に基づいて、或る第１のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置によるルールの条件となる事象の発生情報を管理する１以上の第１の条件オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した１以上の第１の条件オブジェクトをルールメモリデータに含める。
（ａ２）制御デバイスは、１以上の第１の条件オブジェクトの全ての事象の発生情報を集約するための第１の内部条件オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した第１の内部条件オブジェクトをルールメモリデータに含める。
（ａ３）制御デバイスは、第１の内部条件オブジェクトを第１の条件オブジェクトに関連付ける。
（ａ４）制御デバイスは、サブネットワーク情報に基づいて、或る第２のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置によるルールの条件となる事象の発生情報を管理する１以上の第２の条件オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した１以上の第２の条件オブジェクトをルールメモリデータに含める。
（ａ５）制御デバイスは、１以上の第２の条件オブジェクトの全てからの事象の発生情報を集約する第２の内部条件オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した２の内部条件オブジェクトをルールメモリデータに含める。
（ａ６）制御デバイスは、第２の内部条件オブジェクトを第２の条件オブジェクトに関連付ける。
（ａ７）制御デバイスは、第１の内部条件オブジェクト、第２の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理する集約内部条件オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した集約内部条件オブジェクトをルールメモリデータに含める。
（ａ８）制御デバイスは、集約内部条件オブジェクトを、第１及び第２の内部条件オブジェクトに関連付ける。
（ａ９）制御デバイスは、サブネットワーク情報に基づいて、第１のサブネットワークにおける複数のノード装置を特定し、当該ノード装置によるルールの条件となる事象の発生情報を管理する複数の第３の条件オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した複数の第３の条件オブジェクトを、ルールメモリデータに含める。
（ａ１０）制御デバイスは、集約内部条件オブジェクトの集約情報と、第３の条件オブジェクトの事象の発生情報とに基づいた、条件を判定するための判定情報を管理する集約内部結論オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した集約内部結論オブジェクトをルールメモリデータに含める。
（ａ１１）制御デバイスは、集約内部結論オブジェクトを、集約内部条件オブジェクト及び第３の条件オブジェクトに関連付ける。
（ａ１２）制御デバイスは、第１のサブネットワークにおけるネットワーク装置、及び第２のサブネットワークのネットワーク装置のそれぞれで発生する事象を示す結論が原因である可能性を示す指標を管理する複数の結論オブジェクトを、ルールメモリデータに存在しない場合に生成し、生成した複数の結論オブジェクトをルールメモリデータに含める。
（ａ１３）制御デバイスは、複数の結論オブジェクトを集約内部結論オブジェクトに関連付ける。

　制御デバイスは、複数のネットワーク装置又は複数のノード装置における事象の発生情報を受信し、ルールメモリデータに基づいて、受信した発生情報を管理する条件オブジェクトを特定し、特定した条件オブジェクトの管理する事象の発生情報を更新するとともに、条件オブジェクトに対する関連付けを辿って、発生情報の更新の影響が及ぶ各オブジェクトの管理する情報を更新していくことにより、結論オブジェクトの指標を更新し、更新した結論オブジェクトの指標に基づいて、事象の原因を特定し出力する。

図１は、実施形態に係る情報処理システムの構成図である。図２は、情報処理システムのネットワークの構成例１を示す図である。図３は、構成例１におけるサブネット管理テーブルの一例を示す図である。図４は、情報処理システムのネットワークの構成例２を示す図である。図５は、構成例２におけるサブネット管理テーブルの一例を示す図である。図６は、ルータ管理テーブルの一例を示す図である。図７は、ｉＳＣＳＩターゲット管理テーブルの一例を示す図である。図８は、一般ルールの一例を示す図である。図９は、展開ルールの一例を示す図である。図１０は、サブネットが隣り合う場合の分解ルールの一例を示す図である。図１１は、サブネットが隣り合う場合の分解のイメージを表す図である。図１２は、サブネットを跨ぐ場合の分解ルールの一例を示す図である。図１３は、サブネットを跨ぐ場合の分解のイメージを表す図である。図１４は、イベントメッセージの一例を示す図である。図１５は、イベントキューテーブルの一例を示す図である。図１６は、構成例１におけるルールメモリデータの一例を示す図である。図１７は、構成例２におけるルールメモリデータの一例を示す図である。図１８は、ルール処理のフローチャートである。図１９は、分解ルール生成処理のフローチャートである。図２０は、同一サブネット用ルールメモリデータ生成処理のフローチャートである。図２１は、イベント受信処理のフローチャートである。図２２は、イベント書込処理のフローチャートである。

　実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。これらの図面において、複数の図を通じて同一の符号は同一の構成要素を示している。

　なお、以後の説明では「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」等の表現にて本発明の情報を説明するが、これら情報は必ずしもテーブル、リスト、ＤＢ、キュー、等のデータ構造以外で表現されていてもよい。そのため、データ構造に依存しないことを示すために「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」等について「ａａａ情報」と呼ぶことがある。

　また、以後の説明では、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ＩＤ」という表現を用いるが、これらについてはお互いに置換が可能である。

　さらに、以後の説明では「プログラム」、「オブジェクト」を主語として説明を行う場合があるが、プログラム、オブジェクトは、制御デバイスが有するプロセッサによって実行されることで定められた処理をメモリ及び通信ポート（ネットワークＩ／Ｆ）を用いながら行うため、プロセッサを主語とした説明としてもよい。また、プログラム、オブジェクトを主語として開示された処理は監視コンピュータ等の計算機、情報処理装置が行う処理としてもよい。また、プログラムの一部または全ては専用ハードウェアによって実現されてもよい。また、各種プログラムはプログラム配布サーバや、計算機が読み取り可能な記憶メディアによって各計算機にインストールされてもよい。

　また、以後の説明では、制御デバイスとしてＣＰＵ（Central Processing Unit）が採用されるが、制御デバイスは、ＣＰＵのようなプロセッサに加えて、所定の処理（例えば圧縮、伸長）を行う専用ハードウェアを含んで良い。

　また、以後の説明では、ＣＰＵ（及び或いはそのＣＰＵを有する監視コンピュータのような第１の計算機）の「表示する」という行為は、ＣＰＵが、そのＣＰＵを有する第１の計算機の表示デバイスにオブジェクト等を表示する行為と、表示デバイスを有する第２の計算機に、その表示デバイスに表示されるオブジェクト等の表示用情報を送信する行為のいずれであっても良い。第２の計算機は、表示用情報を受信した場合、その表示用情報が表すオブジェクト等を表示デバイスに表示することができる。

　図１は、一実施形態に係る情報処理システムの構成図である。

　情報処理システム１００は、原因分析装置の一例としての監視コンピュータ１０１と、１つ以上のサーバ１０２と、１つ以上のネットワーク装置１０３と、ＬＡＮ（Local Area Network）等の通信ネットワーク１０５（１０５ａ、１０５ｂ等）と、１つ以上のストレージ１０４とを有する。ネットワーク装置１０３は、ＩＰスイッチやルータ等である。監視コンピュータ１０１、サーバ１０２及びストレージ１０４は、通信ネットワーク１０５及びネットワーク装置１０３を介して相互に接続される。以下、情報処理システム１００を構成する装置（サーバ１０２、ストレージ装置１０４、ネットワーク装置１０３等）を「ノード装置」と呼ぶ。情報処理システム１００は、例えば、ホストコンピュータ、ＮＡＳ（Network Attached Storage）、ファイルサーバ、プリンタ等をノード装置として有していてもよい。ノード装置は、監視コンピュータ１０１の監視の対象でもあるため、ノード装置を「監視対象装置」と呼ぶこともある。また、ノード装置が有するデバイス等の論理的又は物理的な構成物を「コンポーネント」と呼ぶ。コンポーネントの例としては、ポート、プロセッサ、記憶資源、記憶デバイス、プログラム、仮想マシン、ストレージ装置内部で定義される論理ボリューム、ＲＡＩＤグループ等がある。なお、監視対象装置とコンポーネントとを区別せずに扱う場合は「監視対象」と呼ぶ。

　サーバ１０２は、アプリケーション等を実行する計算機である。サーバ１０２は、ＣＰＵ（Central　Processing　Unit）１４６と、メモリ１４７と、ネットワークインターフェース（Ｉ／Ｆ）１４２と、ｉＳＣＳＩ（Internet　Small　Computer　System　Interface）イニシエータ１４３とを有する。サーバ１０２は、所定のアプリケーションをＣＰＵ１４６により実行することにより、論理的なコンポーネントである監視エージェント１４１を生成する。監視エージェント１４１は、監視対象において何らかのイベントが発生した場合に、そのイベントの発生を示すイベントメッセージを監視コンピュータ１０１に送信する。また、サーバ１０２には、ストレージ１０４の記憶領域が割り当てられた仮想的なボリュームであるｉＳＣＳＩディスク１５１が形成される。サーバ１０２は、ｉＳＣＳＩイニシエータ１４３を介すことで、ｉＳＣＳＩディスク１５１をローカルハードディスクのように利用できる。

　ストレージ１０４は、サーバ１０２等に記憶領域を提供する装置である。ストレージ１０４は、ストレージコントローラ１６１と、ネットワークＩ／Ｆ１６３と、記憶媒体１６２とを有する。本実施形態において、記憶媒体１６２は、ハードディスクドライブ（ＨＤＤ）であるが、これに代えて、固体記憶媒体、光記憶媒体等、他の種類の記憶媒体であってもよい。ストレージ１０４は、例えば、サーバ１０２に対して、ｉＳＣＳＩディスク１５１を形成するための記憶領域を提供する。ストレージ１０４は、所定のアプリケーションを図示しないＣＰＵにより実行することにより、論理的なコンポーネントである監視エージェント１６６を生成する。監視エージェント１６６は、ストレージ１０４において何らかのイベントが発生した場合に、そのイベントの発生を示すイベントメッセージを監視コンピュータ１０１に送信する。なお、サーバ１０２の監視エージェント１４１が、ストレージ１０４で発生したイベントを監視できるように構成し、ストレージ１０４で発生したイベントのイベントメッセージを監視コンピュータ１０１に送信するようにしてもよい。

　監視コンピュータ１０１は、監視対象装置を管理する計算機である。監視コンピュータ１０１は、例えば、汎用的な計算機であり、ＣＰＵ１１１と、記憶資源１１２と、入出力デバイス１１４と、システムバス１１６と、ネットワークＩ／Ｆ１１５とを有する。記憶資源１１２は、メモリであってもよいし、ハードディスクドライブ（ＨＤＤ）等の二次記憶装置であってもよいし、メモリ及び二次記憶装置を組み合わせたものであってもよい。ＣＰＵ１１１、記憶資源１１２、入出力デバイス１１４、及び、ネットワークＩ／Ｆ１１５は、システムバス１１６を介して相互に接続される。

　記憶資源１１２は、例えば、ルールメモリ１２１と、ルールローダープログラム１２２と、イベント受信プログラム１２３と、イベント書込プログラム１２４と、マッチング率評価プログラム１２５と、一般ルールリポジトリ１３１と、展開ルールリポジトリ１３２と、分解ルールリポジトリ１３３と、イベントキューテーブル（ＴＢＬ）１３４と構成情報１３５とを記憶する。ルールローダープログラム１２２、イベント受信プログラム１２３、イベント書込プログラム１２４、マッチング率評価プログラム１２５は、ＣＰＵ１１１により実行される。ルールメモリ１２１には、根本原因を分析する際に利用されるルールメモリデータが格納される。一般ルールリポジトリ１３１には、一以上の一般ルールが格納される。展開ルールリポジトリ１３２には、一以上の展開ルールが格納される。分解ルールリポジトリ１３３には、一以上の分解ルールが格納される。一般ルール、展開ルール及び分解ルールについては、後に図面を参照して説明する。

　ネットワークＩ／Ｆ１１５は、通信ネットワーク１０５に接続するためのインターフェース装置である。入出力デバイス１１４は、入出力装置に接続するためのインターフェース装置である。例えば、入出力デバイス１１４には、ディスプレイ１１７が接続される。監視コンピュータ１０１は、根本原因分析の結果や他の情報をディスプレイ１１７に表示することで、根本原因分析の結果等を管理者に提示することができる。なお、監視コンピュータ１０１が、内部にディスプレイ１１７を有するようにしてもよい。

　監視コンピュータ１０１は、監視対象装置から例えば、監視対象でイベントが発生したことを示すイベントメッセージ、監視対象装置或いは情報処理システム１００全体の構成情報等の種々の情報を受信する。監視コンピュータ１０１は、監視対象装置から受信した種々の情報に基づいて、例えば、イベントの原因を解析する処理等の種々の処理を行い、その処理結果を出力する。

　本実施形態において、幾つかの監視対象装置は例えば、ｉＳＣＳＩボリュームの提供サービスやファイル共有サービスやＷｅｂサービス等のネットワークサービスを提供する装置（以下「サービス提供装置」）である。また、幾つかの監視対象装置は、サービス提供装置が提供するネットワークサービスを利用する装置（以下「サービス利用装置」）である。例えば、サーバ１０２は、ストレージ１０４が提供するｉＳＣＳＩボリュームの提供サービスを利用するため、サービス利用装置に相当する。一方、ストレージ１０４は、サーバ１０２等にｉＳＣＳＩボリュームの提供サービスを提供するため、サービス提供装置に相当する。サービス提供装置及びサービス利用装置は、相互にネットワークサービスを提供して利用する関係を有しているため、その一方で発生したイベントが他方へ伝搬し得る。例えば、サービス提供装置に相当するストレージ１０４で或るイベントが発生した場合、そのストレージ１０４が提供するネットワークサービスを利用しているサーバ１０２（すなわちサービス利用装置）においても同様のイベントが発生し得る。

　ここで、監視コンピュータ１０１の記憶資源１１２に記憶される構成情報１３５について説明する。構成情報１３５は、情報処理システム１００の構成を示す情報であり、具体的には、情報処理システム１００がどんなノード装置によって構成されているか、各ノード装置の構成がどのようになっているか（例えば、ノード装置がどんなコンポーネントを有しているか）、ノード装置間或いはコンポーネント間の接続関係がどうなっているか、ノード装置とコンポーネントとの間の包含関係がどうなっているか等を示す情報である。また、構成情報１３５には、ネットワークサービスの提供又は利用に関係する情報（例えば、サービス利用装置の識別情報、ネットワークサービスを利用する際にサービス提供装置に入力する情報等）が含まれる場合がある。サービス提供装置に入力する情報として、例えば、ｉＳＣＳＩボリュームの提供サービスを利用する際に入力するｉＳＣＳＩターゲット名及びＬＵＮ（論理ユニット番号）や、Ｗｅｂサービスを利用する際に入力するＷｅｂサーバの名前を含むＵＲＬ等がある。

　図２は、情報処理システムのネットワークの構成例１を示す図である。ここで、図２及び他の図面において、「ｓｖ」、「ｓｔ」、「ｓｗ」、「ｒｔ」及び「Ｎｅｔ」は、それぞれ、サーバ１０２、ストレージ１０４、ＩＰスイッチ、ルータ及びサブネットワーク（サブネット）を意味している。

　構成例１では、ｉＳＣＳＩボリュームの提供サービスに関して、サービス利用装置に相当するサーバ（ｓｖ１、ｓｖ２）が、サブネット１に属し、サービス提供装置に相当するストレージ（ｓｔ１）が、サブネット１と異なるサブネット０に属している。サブネット１と、サブネット０とは、ネットワーク装置であるルータ（ｒｔ１）を介して互いに接続されている。構成例１では、サーバの属するサブネット（すなわち、サブネット１）と、ストレージ（ｓｔ１）の属するサブネット（すなわち、サブネット０）とは、隣り合っている。

　図３は、構成例１における、サブネット管理テーブルの一例を示す図である。

　サブネット管理テーブル３０１は、監視対象装置がどのサブネットに所属するかを表した情報を管理するためのテーブルである。なお、サブネット管理テーブル３０１は、構成情報１３５の一部に相当する。サブネット管理テーブル３０１には、ノード装置ごとに、当該ノード装置のノードＩＤ３１１と、当該ノード装置のノードタイプ３１２と、当該ノード装置のノード名３１３と、当該ノード装置に割り当てられたＩＰアドレス３１４と、当該ノード装置が所属するサブネットＩＤ３１５とが、対応付けて格納される。

　ノードＩＤ３１１は、ノード装置を一意に特定するための識別子である。ノードタイプ３１２は、ノード装置の種別を示す情報である。本実施形態では、ノードタイプ「ＳＥＲＶＥＲ」はサーバ１０２を、ノードタイプ「ＳＴＯＲＡＧＥ」はストレージ１０４を、ノードタイプ「ＩＰＳＷＩＴＣＨ」はＩＰスイッチを、ノードタイプ「ＲＯＵＴＥＲ」はルータをそれぞれ示している。サブネットＩＤ３１５は、サブネットを一意に特定するための識別子である。本実施形態では、サブネットＩＤ「０」はサブネット０を、サブネットＩＤ「１」はサブネット１をそれぞれ示している。

　同図のサブネット管理テーブル３０１によると、サーバ１及びサーバ２がサブネット１に所属し、ストレージ１がサブネット０に所属していることを知ることができる。

　図４は、情報処理システムのネットワークの構成例２を示す図である。

　構成例２では、ｉＳＣＳＩボリュームの提供サービスに関して、サービス利用装置に相当するサーバ（ｓｖ１、ｓｖ２）がサブネット１に属し、サービス提供装置に相当するストレージ（ｓｔ１）が、サブネット１と異なるサブネット２に属している。サブネット１と、サブネット２とは、他のサブネット０（例えば、基幹ＬＡＮ）を介して接続されている。構成例２では、サーバの属するサブネット（すなわち、サブネット１）と、ストレージ（ｓｔ１）の属するサブネット（すなわち、サブネット２）とは、他のサブネット０を跨って接続されている。

　図５は、構成例２におけるサブネット管理テーブルの一例を示す図である。

　サブネット管理テーブル３０１は、図３で示したサブネット管理テーブル３０１と同じ構成となっている。監視コンピュータ１０１は、図５のサブネット管理テーブル３０１を参照することにより、サーバ１及びサーバ２がサブネット１に所属し、ストレージ２がサブネット２に所属していることを知ることができる。

　図６は、ルータ管理テーブルの一例を示す図である。

　ルータ管理テーブル６０１は、ルータがどのサブネットとどのサブネットとを接続しているかを表す情報を管理するためのテーブルである。なお、ルータ管理テーブル６０１は、構成情報１３５の一部に相当する。ルータ管理テーブル６０１には、ルータごとに、例えば、当該ルータのノードＩＤ６１１と、当該ルータのノードタイプ６１２と、当該ルータが接続する二つのサブネットＩＤ６１３、６１４（サブネットＩＤ１、サブネットＩＤ２）とが、対応付けて記録される。
同図のルータ管理テーブル６０１によると、ルータ１がサブネット０とサブネット１とを接続しており、ルータ２がサブネット０とサブネット２とを接続していることを知ることができる。

　図７は、ｉＳＣＳＩターゲット管理テーブルの一例を示す図である。

　ｉＳＣＳＩターゲット管理テーブル７０１は、ｉＳＣＳＩターゲットがどのｉＳＣＳＩイニシエータに対して接続を許可しているかを表す情報を管理するためのテーブルである。なお、ｉＳＣＳＩターゲット管理テーブル７０１は、構成情報１３５の一部に相当する。ｉＳＣＳＩターゲット管理テーブル７０１には、例えば、ターゲットＩＤ７１１と、ｉＳＣＳＩターゲット名７１２と、接続許可ｉＳＣＳＩイニシエータ名７１３とが、対応付けて記録される。

　ターゲットＩＤ７１１は、ｉＳＣＳＩターゲットと接続許可ｉＳＣＳＩイニシエータとの組み合わせ（以下「ｉＳＣＳＩ接続許可セット」）ごとに付与された識別子である。ｉＳＣＳＩターゲット名７１２は、ｉＳＣＳＩターゲットの名称である。接続許可ｉＳＣＳＩイニシエータ名７１３は、接続が許可されているｉＳＣＳＩイニシエータの名称である。例えば、ターゲットＩＤ「ＴＧ１」の情報から、ｉＳＣＳＩターゲットであるストレージ１は、ｉＳＣＳＩイニシエータであるサーバ１に対して接続を許可していることがわかる。

　図８は、一般ルールの一例を示す図である。

　一般ルールは、イベントを示す条件と、当該条件を満たす場合に原因と特定されるイベントを示す結論と、を情報処理システム１００の実構成に依存しない形式で記述した情報である。一般ルールは、複数の条件又は複数の結論を含んでいてもよい。また、一般ルールがネットワーク装置１０３に関係するイベント（以下「ネットワークイベント」）を示す条件を含む場合には、一般ルールには、さらに、そのネットワークイベントに関係するネットワーク装置１０３及び当該ネットワーク装置１０３を介して相互に接続されるサービス提供装置及びサービス利用装置に関するトポロジ情報が含まれる。なお、以下の説明において、ネットワークイベントに関係するネットワーク装置１０３を介して相互に接続されるサービス提供装置及びサービス利用装置を、それぞれ「ネットワークイベントに係るサービス提供装置」及び「ネットワークイベントに係るサービス利用装置」という場合がある。

　同図に示すように、一般ルール８０１、８０２には、ＩＦ部８１１、８１３とＴＨＥＮ部８１２、８１４とがある。ＩＦ部８１１、８１３には条件が記述され、ＴＨＥＮ部８１２、８１４には結論が記述される。条件及び結論は、それぞれイベントの発生元のノード装置のノードタイプとイベントのイベントタイプとを含む。

　一般ルール８０１（ＧｅｎＲｕｌｅ１）においては、ＩＦ部８１１には、二つの条件８２１、８２２が記述されている。また、ＴＨＥＮ部８１２には、一つの結論８２３（「ＩＰＳＷＩＴＣＨ　Ｐｏｒｔ＿ＬｉｎｋＤｏｗｎ」）が記述されている。この一般ルール８０１は、二つの条件８２１、８２２が満たされた場合に、結論８１２によって示されるイベントが原因であると特定されることを表している。

　条件８２１には、「ＳＥＲＶＥＲ　ＤｉｓｋＤｒｉｖｅ＿Ｅｒｒ」が記述されており、ノードタイプが「ＳＥＲＶＥＲ」であり、イベントタイプが「ＤｉｓｋＤｒｉｖｅ＿Ｅｒｒ」であることを示している。条件８２１は、サーバ１０２で発生するディスク障害というイベントを示している。条件８２２には、「ＩＰＳＷＩＴＣＨ　Ｐｏｒｔ＿ＬｉｎｋＤｏｗｎ」が記述されており、ノードタイプが「ＩＰＳＷＩＴＣＨ」であり、イベントタイプが「Ｐｏｒｔ＿ＬｉｎｋＤｏｗｎ」であることを示している。条件８２２は、ＩＰスイッチで発生するポートのリンク障害というイベントを示している。なお、条件８２２が示すイベントは、ＩＰスイッチというネットワーク装置１０３に関係するイベントであるため「ネットワークイベント」に相当する。このように一般ルール８０１がネットワークイベントを示す条件を含んでいるため、一般ルール８０１には、さらに、トポロジ情報８３１が含まれる。同図で示す例では、トポロジ情報８３１には、ネットワーク装置１０３を示すノードタイプ「ＩＰＳＷＩＴＣＨ」と、サービス提供装置及びサービス利用装置のいずれかを示す「ＳＥＲＶＥＲ」及び「ＳＴＯＲＡＧＥ」とが含まれている。このトポロジ情報８３１は、サーバ１０２とストレージ１０４とがＩＰスイッチを介して接続されることを示している。

　一方、一般ルール８０２（ＧｅｎＲｕｌｅ２）においては、二つの条件８２４、８２５と一つの結論８２６が含まれる。条件８２４、８２５が示すイベントは、いずれもネットワークイベントではない。従って、一般ルール８０２には、トポロジ情報は含まれていない。

　図９は、展開ルールの一例を示す図である。

　展開ルールは、一般ルールを情報処理システム１００の実構成に依存する形式に展開した情報である。例えば、情報処理システム１００に一つのサーバ１０２（サーバ１）と一つのストレージ１０４（ストレージ１）と一つのＩＰスイッチ（ＩＰスイッチ１）とが含まれていると想定した場合、図８に示す一般ルール８０１は、図９に示す展開ルール９０１（ＥｘｐＲｕｌｅ１）に展開される。展開ルール９０１には、サーバ１、ストレージ１、及びＩＰスイッチ１という情報処理システム１００の実構成である監視対象に関係するイベントを示す条件及び結論が含まれる。具体的には、展開ルール９０１には、サーバ１で発生するディスク障害というイベントを示す条件と、ＩＰスイッチ１で発生するポートのリンク障害というイベントを示す条件及び結論とが含まれる。

　図１０は、サブネットが隣り合う場合の分解ルールの一例を示す図である。図１１は、サブネットが隣り合う場合の分解のイメージを表す図である。

　分解ルールは、ネットワークイベントを示す条件を含む一般ルールに基づいて生成される情報である。分解ルールは、一般ルールに含まれるネットワークイベントを示す条件を複数のグループ（例えば、サブネット）ごとの複数の条件に分解することにより生成される。なお、ネットワークイベントを示す条件だけでなく、ネットワークイベントを示す結論についても、複数のグループ（例えば、サブネット）ごとの複数の結論に分解するようにしてもよい。本実施形態では、ネットワークイベントを示す条件及び結論のいずれについても、複数のグループごとの複数の条件及び結論に分解される。

　本実施形態では、図２に示す構成例１のように、ネットワークイベントに係るサービス利用装置（構成例１ではサーバ１、２）が所属するサブネット（以下「第一のサブネット」という）とネットワークイベントに係るサービス提供装置（構成例１ではストレージ１）が所属するサブネット（以下「第二のサブネット」という）とが隣り合う場合は、ネットワークイベントを示す条件及び結論は、それぞれ、第一のサブネット内のネットワークイベントを集約したイベントを示す条件及び結論と、第二のサブネット内のネットワークイベントを集約したイベントを示す条件及び結論と、第一のサブネットと第二のサブネットとを接続するネットワーク装置１０３（構成例１ではルータ１）のネットワークイベントを示す条件及び結論とに分解される。

　なお、以下の説明において、ネットワークイベントを集約したイベントを「内部イベント」といい、内部イベントを示す条件及び結論をそれぞれ「内部条件」及び「内部結論」という場合がある。また、複数の内部イベントを集約したイベントを「集約内部イベント」といい、集約内部イベントを示す条件及び結論をそれぞれ「集約内部条件」及び「集約内部結論」という場合がある。また、或るサブネットＡ内のネットワークイベントを集約したイベントを「サブネットＡに係る内部イベント」といい、或るサブネットＡに係る内部イベントを示す条件及び結論をそれぞれ「サブネットＡに係る内部条件」及び「サブネットＡに係る内部結論」という場合がある。さらに、或るサブネットＡと他のサブネットＢとを接続するネットワーク装置１０３のネットワークイベントを「サブネットＡ－Ｂの接続に係る内部イベント」（或いは「サブネットＡ－サブネットＢの接続に係る内部イベント」）といい、サブネットＡ－Ｂの接続に係る内部イベントを示す条件及び結論をそれぞれ「サブネットＡ－Ｂの接続に係る内部条件」及び「サブネットＡ－Ｂの接続に係る内部結論」（或いは「サブネットＡ－サブネットＢの接続に係る内部条件」及び「サブネットＡ－サブネットＢの接続に係る内部結論」）という場合がある。

　サブネットが隣り合う場合のネットワークイベントを示す条件及び結論の分解について、図１１を参照して説明する。関係１１１１は、一般ルール８０１についての条件及び結論のそれぞれを示すイベントの関係を示している。関係１１１１は、イベント１１０２、１１０３が発生した場合に、イベント１１０１が結論、すなわち、原因と特定されることを示している。

　関係１１１２は、一般ルール８０１に基づいて生成される分解ルールについての条件及び結論のそれぞれを示すイベントの関係を示している。イベント１１０６は、一般ルール８０１のネットワークイベント１１０３に対応するイベントであり、一般ルール８０１のネットワークイベント１１０３が複数のイベント１１２１、１１２２、１１２３に分解されることを表している。具体的には、図１１に示すように、ネットワークイベント１１０３は、サブネットＸ（この例では第一のサブネットに相当）に係る内部イベント１１２１と、サブネットＹ（この例では第二のサブネットに相当）に係る内部イベント１１２２と、サブネットＸ－Ｙの接続に係る内部イベント１１２３とに分解される（つまり、ネットワークイベント１１０３を示す条件は、サブネットＸに係る内部条件と、サブネットＹに係る内部条件と、サブネットＸ－Ｙの接続に係る内部条件とに分解される）。なお、結論についても、上記と同様に分解される。従って、ネットワークイベント１１０１が示す結論は、サブネットＸに係る内部結論と、サブネットＹに係る内部結論と、サブネットＸ－Ｙの接続に係る内部結論とに分解される。

　次に、図１０に示す分解ルールについて、詳細に説明する。上記説明したように、ネットワークイベント１１０３を示す条件は、ネットワークイベント１１０６に示すように、サブネットＸに係る内部条件と、サブネットＹに係る内部条件と、サブネットＸ－Ｙの接続に係る内部条件とに分解される。従って、一般ルール８０１は、サブネットＸに係る内部条件１０２１を含む分解ルール１０１１と、サブネットＹに係る内部条件１０２２を含む分解ルール１０１２と、サブネットＸ－Ｙの接続に係る内部条件１０２３を含む分解ルール１０１３とに分解される。

　条件１０３１は、内部条件１０２１、１０２２、１０２３を集約した集約内部条件を示している。このように、本実施形態では、分解ルール１０１１、１０２２、１０１３に加えて、集約内部条件１０３１を含む分解ルール１００１も生成される。また、分解ルール１０１１、１０２２、１０１３は、それらのＴＨＥＮ部において分解ルール１００１の集約内部条件１０３１を規定している。これは、分解ルール１０１１、１０２２、１０１３の結論が示すイベントが、集約内部条件１０３１が示すイベント（すなわち集約内部イベント）と同じであることを意味している。

　なお、一般ルール８０２にはネットワークイベントを示す条件が含まれないため、一般ルール８０２に基づいて分解ルールは生成されない。

　図１２は、サブネットを跨ぐ場合の分解ルールの一例を示す図である。図１３は、サブネットを跨ぐ場合の分解のイメージを表す図である。

　本実施形態では、図４で示す構成例２のように、第一のサブネットと第二のサブネットとが他のサブネットを跨いでいる場合は、ネットワークイベントを示す条件及び結論は、それぞれ、第一のサブネットに係る内部条件及び内部結論と、第二のサブネットに係る内部条件及び内部結論と、第一のサブネットと第二のサブネットとの間に介在するサブネット（以下「第三のサブネット」という）に係る内部条件及び結論と、第一のサブネット－第三のサブネットの接続に係る内部条件及び内部結論と、第二のサブネット－第三のサブネットの接続に係る内部条件及び内部結論とに分解される。

　サブネットを跨ぐ場合のネットワークイベントを示す条件及び結論の分解について、図１３を参照して説明する。一般ルール８０１のイベントの関係１１１１については、図１１と同様である。イベント１３０２は、一般ルール８０１のネットワークイベント１１０３が、サブネットＸ（この例では第一のサブネットに相当）に係る内部イベント１３２１と、サブネットＹ（この例では第二のサブネットに相当）に係る内部イベント１３２２と、サブネットＸとサブネットＹとの間に介在するサブネット（図示しないが、サブネットＺとする）に係る内部イベント１３２３と、サブネットＸ－Ｚの接続に係る内部イベント１３２４と、サブネットＹ－Ｚの接続に係る内部イベント１３２５とに分解されることを表している。つまり、一般ルール８０１のネットワークイベント１１０３を示す条件は、サブネットＸに係る内部条件と、サブネットＹに係る内部条件と、サブネットＺに係る内部条件と、サブネットＸ－Ｚの接続に係る内部条件と、サブネットＹ－Ｚの接続に係る内部条件とに分解される。結論についても、ネットワークイベントを示す条件と同様に分解される。

　次に、図１２に示す分解ルールについて、詳細に説明する。上記説明したように、ネットワークイベント１１０３を示す条件は、ネットワークイベント１３０２に示すように、サブネットＸに係る内部条件と、サブネットＹに係る内部条件と、サブネットＺに係る内部条件と、サブネットＸ－Ｚの接続に係る内部条件と、サブネットＹ－Ｚの接続に係る内部条件とに分解される。従って、一般ルール８０１は、サブネットＸに係る内部条件１２２１を含む分解ルール１２１１と、サブネットＹに係る内部条件１２２２を含む分解ルール１２１２と、サブネットＺに係る内部条件１２２３を含む分解ルール１２１３と、サブネットＸ－Ｚの接続に係る内部条件１２２４を含む分解ルール１２１４と、サブネットＹ－Ｘの接続に係る内部条件１２２５を含む分解ルール１２１５とに分解される。

　分解ルールとして、内部条件１２２１、１２２２、１２２３、１２２４、１２２５を集約した集約内部条件１２３１を含む分解ルール１００１も生成される。分解ルール１２１１、１２２２、１２１３、１２１４、１２１５は、それらのＴＨＥＮ部において分解ルール１２０１の集約内部条件１２３１を記述している。従って、分解ルール１２１１、１２２２、１２１３、１２１４、１２１５の結論が示すイベントは、集約内部条件１２３１が示すイベント（すなわち集約内部イベント）と同じである。

　図１４は、イベントメッセージの一例を示す図である。

　イベントメッセージ１４０１は、監視対象におけるイベントの発生を通知するためのメッセージであり、監視エージェント１４１、１６６により監視コンピュータ１０１へ送信される。イベントメッセージ１４０１は、例えば、イベントの発生元である監視対象の監視対象名１４１１と、発生したイベントのイベントタイプ１４１２とを含む。監視対象名１４１１は、監視対象の名称であり、監視対象がノード装置である場合はノード名となる。

　図１５は、イベントキューテーブルの一例を示す図である。

　イベントキューテーブル１３４は、発生したイベントに関するイベント情報１５１１を管理するためのテーブルである。イベント受信プログラム１２３は、イベントメッセージ１４０１を受信した場合に、受信したイベントメッセージ１４０１により通知されたイベントのイベント情報１５１１を、このテーブルに入れる。イベントキューテーブル１３４は、イベント書込プログラム１２４のバッファとして機能する。イベント書込プログラム１２４は、イベントキューテーブル１３４からイベント情報１５１１を取得し、当該イベント情報１５１１に基づいてルールメモリデータの内容を更新する。なお、イベントキューテーブル１３４は、監視対象で発生する通常のイベントに関するイベント情報の他、内部イベントや集約内部イベントに関するイベント情報１５１１を管理するようにしてもよい。

　各イベント情報１５１１には、例えば、発生したイベントの発生元である監視対象の監視対象タイプ１５０１と、発生したイベントの発生元である監視対象の監視対象名１５０２と、発生したイベントのイベントタイプ１５０３と、発生したイベントに関する受信日時１５０４とが含まれる。監視対象タイプ１５０１は、監視対象の種別を示す情報であり、監視対象がノード装置である場合はノードタイプ（「ＳＥＲＶＥＲ」、「ＳＴＯＲＡＧＥ」、「ＩＰＳＷＩＴＣＨ」、「ＲＯＵＴＥＲ」等）となる。監視対象名１５０２は、監視対象の名称であり、監視対象がノード装置である場合はノード名となる。受信日時１５０４は、イベント受信プログラム１２３がイベントメッセージ１４０１を受信した日時である。

　図１６は、構成例１における、ルールメモリデータの一例を示す図である。図１７は、構成例２におけるルールメモリデータの一例を示す図である。

　ルールメモリデータは、少なくとも、根本原因の分析に用いられる複数のルールと、そのルールに関わるイベントの発生情報と、そのルールに関わるイベントが原因となる可能性を示す情報とを、複数のオブジェクト及びそれらの関連付けにより表現したデータである。ルールメモリデータは、例えば分解ルールに基づいて生成され、根本原因を分析する際に利用される。

　ルールメモリデータには、例えば、条件オブジェクト１６１１と、内部条件オブジェクト１６２２（１６２２ａ、１６２２ｂ等）、１７２２（１７２２ａ、１７２２ｂ、１７２２ｃ等）と、集約内部条件オブジェクト１６２１、１７２１と、結論オブジェクト１６１２と、内部結論オブジェクト１６４２、１７４２と、集約内部結論オブジェクト１６４１、１７４１と、演算子オブジェクト１６３１と、それぞれの接続情報とが含まれる。なお、各オブジェクトは、コンピュータ言語では例えば構造体やクラスとして実装され、プログラム動作中は記憶資源１１２に格納されるデータ（オブジェクトデータ）である。

　接続情報は、例えば、接続するオブジェクトの識別子をペアで保持した情報である。接続情報は、方向情報を持ち、方向情報は、或るオブジェクトの出力を別のオブジェクトの入力とする関係、換言すれば、オブジェクト間の上流下流の関係を示している。また、接続情報は太さ情報を持つ。太さ情報は、演算子オブジェクト１６３１への入力数に相当し、後述するＢＬＥＮＤ演算子オブジェクト１６３１ｃで重要な要素となる。太さ情報としては、太さを示す値であってもよい。図１６及び図１７では、接続の太さの値を「×数字」で示している。なお、条件オブジェクト１６１１からの接続は、太さを１とするのが一般的であるが、必ずしも太さを１とする必要はない。

　各オブジェクトの接続に関して、次のような処理が行われる。なお、以下の説明において、或るオブジェクトに着目したときに、そのオブジェクトへ出力するオブジェクト（そのオブジェクトの上流側に接続されているオブジェクト）を「ソースオブジェクト」と呼び、そのオブジェクトからの出力を入力として受け取るオブジェクト（そのオブジェクトの下流側に接続されているオブジェクト）を「ターゲットオブジェクト」と呼ぶ。

　すなわち、条件オブジェクト１６１１は、この条件オブジェクト１６１１に接続されたターゲットオブジェクトに出力する。結論オブジェクト１６１２は、この結論オブジェクト１６１２に接続されたソースオブジェクトからの出力を入力として受ける。演算子オブジェクト１６３１は、この演算子オブジェク１６３１に接続された一つ以上のソースオブジェクトの出力を入力として受け取り、この演算子オブジェクト１６３１に接続されたターゲットオブジェクトに出力する。内部条件オブジェクト１６２２、１７２２、集約内部条件オブジェクト１６２１、１７２１、内部結論オブジェクト１６４２、１７４２及び集約内部結論オブジェクト１６４１、１７４１は、これらオブジェクトに接続された一つ以上のソースオブジェクトの出力を入力として受け取り、これらオブジェクトに接続されたターゲットオブジェクトに出力する。

　条件オブジェクト１６１１は、特定の監視対象に関係するイベント及びそのイベントの発生情報を管理するオブジェクトである。条件オブジェクト１６１１は、展開ルール、分解ルールの条件に対応する。例えば、図１６及び図１７の例では、条件オブジェクト１６１１は、サーバ１のディスク障害というイベント及びそのイベントの発生情報を管理する。例えば、サーバ１においてディスク障害が発生すると、この発生したイベントのイベント情報１５１１が、イベント受信プログラム１２３によってイベントキューテーブル１３４に追加される。そして、イベント書込プログラム１２４が、そのイベントキューテーブル１３４に追加されたイベント情報１５１１を取得し、サーバ１のディスク障害を管理する条件オブジェクト１６１１の出力値を真（すなわち１）にする。条件オブジェクト１６１１の出力値が真となることで、その条件オブジェクト１６１１は、そこに接続されたターゲットオブジェクトにその出力値（真）を出力する。

　演算子オブジェクト１６３１には、ＯＲ演算子オブジェクト１６３１ｂと、ＡＮＤ演算子オブジェクト１６３１ａと、ＢＬＥＮＤ演算子オブジェクト１６３１ｃとがある。

　ＯＲ演算子オブジェクト１６３１ｂは、一つ以上のソースオブジェクトの出力のいずれかが真（１）であった場合に真（１）をターゲットオブジェクトに出力するオブジェクトである。後述するマッチング率の計算処理においては、ＯＲ演算子オブジェクト１６３１ｂは、一つ以上ソースオブジェクトの出力の最大値をターゲットオブジェクトに出力する。なお、ＯＲ演算子オブジェクト１６３１ｂの場合、ターゲットオブジェクトとの接続の太さは、ソースオブジェクトとの接続の太さと同じになる。

　ＡＮＤ演算子オブジェクト１６３１ａは、一つ以上のソースオブジェクトの出力の全てが真（１）であった場合に真（１）をターゲットオブジェクトに出力するオブジェクトである。後述するマッチング率の計算処理においては、ＡＮＤ演算子オブジェクト１６３１ａは、以下の式２のＡＮＤ出力値をターゲットオブジェクトに出力する。なお、ＡＮＤ演算子オブジェクト１６３１ａの出力側の接続の太さは、下記式（１）により算出されるＸである。

ここで、Ｘは、このＡＮＤ演算子オブジェクト１６３１ａのターゲットオブジェクトの全ての入力の太さの和を示している。なお、他の同様な記載も、同様な意味を持っている。

　ＢＬＥＮＤ演算子オブジェクト１６３１ｃへの入力は、基礎入力となる入力（原則一つ）と、デルタ入力となる入力との二種類に分けられる。図１６及び図１７では、デルタ入力を、丸印介した接続で表現している。後述するマッチング率の計算処理においては、ＢＬＥＮＤ演算子オブジェクト１６３１ｃは、以下の式３のＢＬＥＮＤ出力値をターゲットオブジェクト（典型的には結論オブジェクト１６１２）に出力する。

　内部条件オブジェクト１６２２、１７２２は、その上流側に位置する条件オブジェクト１６１１が管理するイベントの全てを集約するオブジェクトである。内部条件オブジェクト１６２２、１７２２は、その上流側に位置する条件オブジェクトの全てからのイベントの発生情報を集約した集約情報を管理する。内部条件オブジェクト１６２２、１７２２は、分解ルールの内部条件（図１０における内部条件１０２１～１０２３、図１２における内部条件１２２１～１２２５）に対応する。

　図１６に示す例では、内部条件オブジェクト１６２２ａ（ＥａＤｉｖ１－１（Ｎｅｔ１））は、分解ルール１０１１のサブネットＸに係る内部条件１０２１に対応し（サブネットＸがサブネット１に特定されている）、サブネット１内のネットワークイベント（この例ではスイッチ１の１つネットワークイベント）の発生情報を集約する。内部条件オブジェクト１６２２ｂ（ＥａＤｉｖ１－５（Ｎｅｔ０））は、分解ルール１０１２のサブネットＹに係る内部条件１０２２に対応し（サブネットＹがサブネット０に特定されている）、サブネット０内のネットワークイベント（この例ではスイッチ２の１つネットワークイベント）の発生情報を集約する。

　また、図１７に示す例では、内部条件オブジェクト１７２２ｂ（ＥａＤｉｖ１－３（Ｎｅｔ０））は、分解ルール１２１３のサブネットＺに係る内部条件１２２３に対応し（サブネットＺがサブネット１とサブネット２との間に介在するサブネット０に特定されている）、サブネット０内のネットワークイベント（この例ではスイッチ２とスイッチ３の２つのネットワークイベント）の発生情報を集約する。なお、内部条件オブジェクト１６２２、１７２２のターゲットオブジェクトへの接続の太さは、ソースオブジェクトからの接続の太さと同じである。

　集約内部条件オブジェクト１６２１、１７２１は、その上流側に位置する内部条件オブジェクト１６２２、１７２２が管理するイベントの全てを集約するオブジェクトである。集約内部条件オブジェクト１６２１、１７２１は、その上流側に位置する内部条件オブジェクト１６２２、１７２２の全てからのイベントの発生情報を集約した集約情報を管理する。集約内部条件オブジェクト１６２１、１７２１は、分解ルールの集約内部条件（図１０の集約内部条件１０３１、図１２の集約内部条件１２３１）に対応する。

　図１６に示す例では、集約内部条件オブジェクト１６２１（Ｅａ（Ｎｅｔ１－Ｎｅｔ０））は、分解ルール１００１の集約内部条件１０３１に対応し、内部条件オブジェクト１６２２ａ、１６２２ｂ、及びルータ１のネットワークイベントの発生情報を管理する条件オブジェクト１６１１の全てからのイベントの発生情報を集約する。つまり、集約内部条件オブジェクト１６２１（Ｅａ（Ｎｅｔ１－Ｎｅｔ０））は、サブネット１及びサブネット０内の全てのネットワーク装置１０３（スイッチ１、スイッチ２及びルータ１）のネットワークイベントの発生情報を集約する。

　図１７に示す例では、集約内部条件オブジェクト１７２１（Ｅａ（Ｎｅｔ１－Ｎｅｔ２））は、分解ルール１２０１の集約内部条件１２３１に対応し、内部条件オブジェクト１７２２ａ、１７２２ｂ、１７２２ｃ、ルータ１のネットワークイベントの発生情報を管理する条件オブジェクト１６１１、及びルータ２のネットワークイベントの発生情報を管理する条件オブジェクト１６１１の全てからのイベントの発生情報を集約する。つまり、集約内部条件オブジェクト１７２１（Ｅａ（Ｎｅｔ１－Ｎｅｔ２））は、サブネット１、サブネット２及びサブネット１とサブネット２の間にある全てのネットワーク装置１０３（スイッチ１～４及びルータ１、２）のネットワークイベントの発生情報を集約する。

　結論オブジェクト１６１２は、特定の監視対象に関係するイベント（図１６及び図１７に示す例では、ネットワークイベント）及びそのイベントを示す結論が原因である可能性を示す指標（例えば、マッチング率）を管理するオブジェクトである。結論オブジェクト１６１２は、展開ルール等の結論に対応する。例えば、図１６及び図１７に示す例では、結論オブジェクト１６１２は、スイッチ１のネットワーク障害というイベント及びそのイベントが原因である可能性を示す指標を管理する。

　内部結論オブジェクト１６４２（１６４２ａ、１６４２ｂ等）、１７４２（１７４２ａ、１７４２ｂ、１７４２ｃ等）は、その下流側に位置する結論オブジェクト１６１２が管理するイベントの全てを集約するオブジェクトである。内部結論オブジェクト１６４２、１７４２は、分解ルールの内部結論に対応する。例えば、図１６の例では、内部結論オブジェクト１６４２ａ（ＥａＤｉｖ１－１（Ｎｅｔ１））は、分解ルール１０１１の内部結論に対応し、サブネット１内のネットワークイベント（この例ではスイッチ１の１つのネットワークイベント）を集約する。内部結論オブジェクト１６４２ｂ（ＥａＤｉｖ１－５（Ｎｅｔ０））は、分解ルール１０１２の内部結論に対応し、サブネット０内のネットワークイベント（この例ではスイッチ２の１つのネットワークイベント）を集約する。また、図１７に示す例では、内部結論オブジェクト１７４２ｂ（ＥａＤｉｖ１－３（Ｎｅｔ０））は、分解ルール１２１３の内部結論に対応し、サブネット０内のネットワークイベント（この例ではスイッチ２とスイッチ３の２つネットワークイベント）を集約する。

　集約内部結論オブジェクト１６４１、１７４１は、その下流側に位置する内部結論オブジェクト１６２２、１７４２のそれぞれに集約されるイベントの全てを集約するオブジェクトである。集約内部結論オブジェクト１６４１、１７４１は、分解ルールの集約内部結論に対応する。例えば、図１６に示す例では、集約内部結論オブジェクト１６４１（Ｅａ（Ｎｅｔ１－Ｎｅｔ０））は、分解ルール１００１の集約内部結論に対応し、内部結論オブジェクト１６４２ａ、１６４２ｂ、及びルータ１のネットワークイベントの条件オブジェクト１６１１のそれぞれが集約（管理）するイベントの全てを集約する。つまり、集約内部結論オブジェクト１６４１（Ｅａ（Ｎｅｔ１－Ｎｅｔ０））は、サブネット１及びサブネット０内の全てのネットワーク装置１０３（スイッチ１、スイッチ２及びルータ１）のネットワークイベントを集約する。また、図１７に示す例では、集約内部結論オブジェクト１７４１（Ｅａ（Ｎｅｔ１－Ｎｅｔ２））は、分解ルール１２０１の集約内部結論に対応し、内部結論オブジェクト１７４２ａ、１７４２ｂ、１７４２ｃ、ルータ１のネットワークイベントの発生情報を管理する条件オブジェクト１６１１、及びルータ２のネットワークイベントの発生情報を管理する条件オブジェクト１６１１のそれぞれが集約するイベントの全てを集約する。つまり、集約内部結論オブジェクト１７４１（Ｅａ（Ｎｅｔ１－Ｎｅｔ２））は、サブネット１、サブネット２及びサブネット１とサブネット２の間にある全てのネットワーク装置１０３（スイッチ１～４及びルータ１、２）のネットワークイベントの発生情報を集約する。

　なお、オブジェクトが内部条件オブジェクト１６２２、１７２２、集約内部条件オブジェクト１６２１、１７２１、内部結論オブジェクト１６４２、１７４２又は集約内部結論オブジェクト１６４１、１７４１である場合は、データ構造として、少なくとも対応するイベントを検知（つまり、イベント書込プログラム１２４がイベント情報１５１１を取得）したか否かを示すフラグを持ってもよい。また、本実施形態では、複数の出力を行うオブジェクトが存在するが、これらオブジェクトからの出力を１つにし、出力を入力として、複数の出力を行うマルチプレクサオブジェクトを備えるようにしてもよい。

　図１８は、ルール処理のフローチャートである。

　ルール処理（ステップ１８０１～ステップ１８０８の処理）は、一般ルールリポジトリ１３１に存在する一般ルールの数だけ繰り返し行われる。

　（ステップ１８０１）ルールローダープログラム１２２は、一つの一般ルールｉを選択し、選択した一般ルールｉのＩＦ部に二つ以上のノードタイプが含まれているか否かを判定する。

　（ステップ１８０２）一般ルールｉのＩＦ部に二つ以上のノードタイプが含まれている場合（ステップ１８０１：ＹＥＳ）は、ルールローダープログラム１２２は、一般ルールｉのＩＦ部にネットワークイベントを示す条件が含まれているか否かを判定する。

　（ステップ１８０３）一般ルールｉのＩＦ部にネットワークイベントを示す条件が含まれている場合（ステップ１８０２：ＹＥＳ）は、ルールローダープログラム１２２は、ネットワークイベントに係るサービス提供装置とネットワークイベントに係るサービス利用装置との間の接続がｉＳＣＳＩ接続であるか否かを判定する。

　ネットワークイベントに係るサービス提供装置及びサービス利用装置間の接続がｉＳＣＳＩ接続である場合は（ステップ１８０３：ＹＥＳ）、ルールローダープログラム１２２は、ｉＳＣＳＩターゲット管理テーブル７０１に存在するｉＳＣＳＩ接続許可セットの数だけ、ステップ１８０４～ステップ１８０７の処理を繰り返し行う。

　（ステップ１８０４）ルールローダープログラム１２２は、サブネット管理テーブル３０１から、一つのｉＳＣＳＩ接続許可セットｊを選択し、ｉＳＣＳＩ接続許可セットｊに含まれるｉＳＣＳＩターゲットが所属するサブネット（図１８及び図１９においては、サブネットＸとする）とｉＳＣＳＩ接続許可セットｊに含まれるｉＳＣＳＩイニシエータが所属するサブネット（図１８及び図１９においては、サブネットＹとする）とを取得する。

　（ステップ１８０５）、ルールローダープログラム１２２は、サブネットＸとサブネットＹとが異なるか否かを判定する。

　（ステップ１８０６）サブネットＸとサブネットＹとが異なる場合（ステップ１８０５：ＹＥＳ）は、ルールローダープログラム１２２は、分解ルール生成処理（図１９参照）を行う。分解ルール生成処理が終了した後は、ルールローダープログラム１２２は、新たに一つのｉＳＣＳＩ接続許可セットを選択して、選択したｉＳＣＳＩ接続許可セットに対して再度ステップ１８０４～ステップ１８０７の処理を行う。

　（ステップ１８０７）サブネットＸとサブネットＹとが同じ場合（ステップ１８０５：ＮＯ）は、ルールローダープログラム１２２は、同一サブネット用ルールメモリデータ生成処理（図２０参照）を行う。同一サブネット用ルールメモリデータ生成処理が終了した後は、ルールローダープログラム１２２は、新たに一つのｉＳＣＳＩ接続許可セットを選択して、選択したｉＳＣＳＩ接続許可セットに対して再度ステップ１８０４～ステップ１８０７の処理を行う。

　（ステップ１８０８）ステップ１８０１において、一般ルールｉのＩＦ部に二つ以上のノードタイプが含まれていない場合（ステップ１８０１：ＮＯ）、ステップ１８０２において、一般ルールｉのＩＦ部にネットワークイベントを示す条件が含まれていない場合（ステップ１８０２：ＮＯ）、又は、ステップ１８０３において、ネットワークイベントに係るサービス提供装置及びサービス利用装置間の接続がｉＳＣＳＩ接続でない場合は（ステップ１８０３：ＮＯ）には、ルールローダープログラム１２２は、同一サブネット用ルールメモリデータ生成処理を行う。同一サブネット用ルールメモリデータ生成処理が終了した後は、ルールローダープログラム１２２は、新たに一つの一般ルールを選択して、選択した一般ルールに対して再度ステップ１８０１～ステップ１８０８の処理を行う。

　一般ルールリポジトリ１３１に存在する全ての一般ルールについてステップ１８０１～ステップ１８０８の処理が完了した場合、ルールローダープログラム１２２は、ルール処理を終了する。

　以上説明したように、本実施形態では、ネットワークイベントに係るサービス利用装置が所属するサブネットとネットワークイベントに係るサービス提供装置が所属するサブネットとが異なる場合には、一般ルールに基づいて分解ルールが生成され、これらサブネットが同じ場合には、分解ルールは生成されずに一般ルール或いは一般ルールを展開した展開ルール）に基づいて、ルールメモリデータが生成される。つまり、共通の一般ルールに基づいて、分解ルールを生成し、或いは直接にルールメモリデータを生成することができるので、ルール作成者の手間が増えない。

　図１９は、分解ルール生成処理のフローチャートである。ここで、図１９は、サブネットＸとサブネットＹとが他のサブネット（図１２及び図１３に示す例に合わせて、サブネットＺとする）を跨いでいる場合の処理である。なお、サブネットＸとサブネットＹとが隣り合う場合は、ステップ１９０３と、ステップ１９０４又はステップ１９０５のいずれか一方の処理を省略することができる。

　サブネットを跨ぐ場合に、一般ルールの条件及び結論がどのように分解されてどのような分解ルールが生成されるかは、図１２及び図１３で説明したとおりである。すなわち、一般ルール８０１のネットワークイベント１１０３を示す条件及び結論が、それぞれ、サブネットＸに係る内部条件１２２１及び内部結論と、サブネットＹに係る内部条件１２２２及び内部結論と、サブネットＺに係る内部条件１２２３及び内部結論と、サブネットＸ－Ｚの接続に係る内部条件１２２４及び内部結論と、サブネットＹ－Ｚの接続に係る内部条件１２２５及び内部結論とに分解され、サブネットＸに係る内部条件１２２１を含む分解ルール１２１１と、サブネットＹに係る内部条件１２２２を含む分解ルール１２１２と、サブネットＺに係る内部条件１２２３を含む分解ルール１２１３と、サブネットＸ－Ｚの接続に係る内部条件１２２４を含む分解ルール１２１４と、サブネットＹ－Ｚの接続に係る内部条件１２２５を含む分解ルール１２１５とが生成される。また、サブネットＸに係る内部条件１２２１、サブネットＹに係る内部条件１２２２、サブネットＺに係る内部条件１２２３、サブネットＸ－Ｚの接続に係る内部条件１２２４、及びサブネットＹ－Ｚの接続に係る内部条件１２２５の全てを集約した集約内部条件１２３１を含む分解ルール１００１が生成される。

　（ステップ１９０１）ルールローダープログラム１２２は、サブネットＸに係る内部条件１２２１を含む分解ルール１２１１を生成する。

　（ステップ１９０２）ルールローダープログラム１２２は、サブネットＹに係る内部条件１２２２を含む分解ルール１２１２を生成する。

　（ステップ１９０３）ルールローダープログラム１２２は、サブネットＺに係る内部条件１２２３を含む分解ルール１２１３を生成する。

　（ステップ１９０４）ルールローダープログラム１２２は、サブネットＸ－Ｚの接続に係る内部条件１２２４を含む分解ルール１２１４を生成する。

　（ステップ１９０５）ルールローダープログラム１２２は、サブネットＹ－Ｚの接続に係る内部条件１２２５を含む分解ルール１２１５を生成する。

　（ステップ１９０６）ルールローダープログラム１２２は、内部条件１２２１～１２２５の全てを集約した集約内部条件１２３１（すなわち、ＡｇｇｒｅｇａｔｅＥｖｅｎｔ）を含む分解ルール１００１を生成し、処理を終了する。

　なお、内部条件１２２１～１２２５を含む分解ルール１２１１～１２１５は、例えば、そのＩＦ部に、ネットワークイベントを示す条件と、ネットワーク装置及びそのネットワーク装置を介して接続されるノード装置に関するトポロジ情報と、ネットワーク装置及びそのネットワーク装置を介して接続されるノード装置がどのサブネットに属するかを示す情報とが含まれるように生成される。また、ＴＨＥＮ部には、ＡｇｇｒｅｇａｔｅＥｖｅｎｔという集約内部結論が含められる。なお、ＡｇｇｒｅｇａｔｅＥｖｅｎｔは、サブネットＸとサブネットＹとネットワーク装置１０３のイベント（元にした一般ルールに記載のイベント種別）別に生成される。例えば、リンクダウンを条件に含む一般ルール用の分解ルールと、スイッチ自体のプロセッサ障害を条件部に含む一般ルール用の分解ルールとは別になる。

　ＡｇｇｒｅｇａｔｅＥｖｅｎｔは、サブネットＸ内のノード装置からサブネットＹ内のノード装置への通信経路上のネットワーク装置１０３の何れかで、一般ルールの条件に含まれるイベントが発生したことを条件又は結論とすることを意味する。そのため、分解ルール１２１１～１２１５への分解は、分解の元となった一般ルールのサーバ１０２やストレージ１０４のイベント種別には依存しない形になっている。そのため、サーバ１０２のｉＳＣＳＩエラーの場合と、ＤＮＳエラーの場合（ＤＮＳサーバがサブネットＹに居るとして）とで、同じ分解ルールを共用することもできる。

　分解ルール１２１１、１２１２が指し示すＩＰスイッチとは、サブネットＸ（またはサブネットＹ）内のサブネットＹ（またはサブネットＸ）行きの通信でいずれの装置が共用するスイッチであることが考えられるが、必ずしもそうとは限らない。例えば、サブネットＸ内のタブレットコンピュータが全てスイッチＡ（無線ＬＡＮアクセスポイント）を通過し、サーバコンピュータがスイッチＡを通過しない場合は、タブレットコンピュータにしか適用されない一般ルールが対象であれば、スイッチＡが分解ルール１２１１の対象となる。

　図２０は、同一サブネット用ルールメモリデータ生成処理のフローチャートである。

　（ステップ２００１）ルールローダープログラム１２２は、情報処理システム１００のシステムトポロジに基づいて、一般ルールから展開ルールを生成し、生成した展開ルールを展開ルールリポジトリ１３２に保存する。

　（ステップ２００２）ルールローダープログラム１２２は、展開ルールリポジトリ１３２から展開ルールを取得し、取得した展開ルールを構文解析する。

　（ステップ２００３）ルールローダープログラム１２２は、ステップ２００２で取得した展開ルールのＩＦ部から条件を取得する。

　（ステップ２００４）ルールローダープログラム１２２は、ステップ２００３で取得した条件に対応する条件オブジェクトがルールメモリデータ内に存在するか否かを調べる。

　（ステップ２００５）対応する条件オブジェクトが見つからなかった場合（ステップ２００５：ＮＯ）は、ルールローダープログラム１２２は、ステップ２００６に処理を進める。一方、条件オブジェクトが見つかった場合（ステップ２００５：ＹＥＳ）は、ルールローダープログラム１２２は、ステップ２００７に処理を進める。

　（ステップ２００６）ルールローダープログラム１２２は、ステップ２００３で取得した条件のための条件オブジェクト及び演算子オブジェクトをルールメモリデータ内に生成する。また、ルールローダープログラム１２２は、新たに生成された条件オブジェクトと演算子オブジェクトとを互いに接続する。

　（ステップ２００７）ルールローダープログラム１２２は、ＩＦ部内の全ての条件について処理が完了したか否かを調べる。全て処理済みであれば（ステップ２００７：ＹＥＳ）、ルールローダープログラム１２２は、ステップ２００８に処理を進める。一方、未だ処理されていない条件が残っている場合は（ステップ２００７：ＮＯ）、ルールローダープログラム１２２は、処理をステップ２００３に進める。

　（ステップ２００８）ルールローダープログラム１２２は、ステップ２００２で取得した展開ルールのＴＨＥＮ部から結論を取得する。

　（ステップ２００９）ルールローダープログラム１２２は、ステップ２００８で取得した結論に対応する結論オブジェクトをルールメモリデータ内に生成する。また、ルールローダープログラム１２２は、生成された結論オブジェクトと関連する全ての演算子オブジェクトとを接続する。さらに、２つ以上の結論がステップ２００８で取得された場合、ルールローダープログラム１２２は、それら取得された結論のそれぞれについても、対応する結論オブジェクトをルールメモリデータ内に生成し、生成された結論オブジェクトと関連する全ての演算子オブジェクトとを接続する。

　（ステップ２０１０）ルールローダープログラム１２２は、展開ルールリポジトリ１３２内の全ての展開ルールについて処理が完了したか否かを調べる。全て処理済みであれば（ステップ２０１０：ＹＥＳ）、同一サブネット用ルールメモリデータ生成処理を終了する。一方、未だ処理されていない展開ルールが残っている場合（ステップ２０１０：ＮＯ）は、ルールローダープログラム１２２は、処理をステップ２００２に進める。

　次に、本実施形態に係る複数のサブネットが含まれる場合のルールメモリデータ生成処理について説明する。

　このルールメモリ生成処理は、分解ルール生成処理が実行された後に実行される。

　（ステップ３００１）ルールローダープログラム１２２は、全ての分解ルールの内容を調べ、分解ルールに含まれる集約内部条件、内部条件、集約内部結論及び内部結論の全てを抽出する。ルールローダープログラム１２２は、処理をステップ３００２に進める。

　（ステップ３００２）ルールローダープログラム１２２は、ステップ３００１で抽出した集約内部条件、内部条件、集約内部結論及び内部結論のそれぞれについて、以下のステップ３００３からの処理を繰り返すループ（ループ１）を開始する。なお、説明を理解しやすくするため、ここではサブネットを跨ぐ場合の分解ルール（図１２の分解ルール１２０１、１２１１～１２１５）に含まれる集約内部条件、内部条件、集約内部結論及び内部結論だけが抽出されたものとして処理を説明する。

　＜１．ルールメモリデータのＩＦ部の生成＞。

　＜１．１．集約内部条件オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））の生成＞。

　（ステップ３００３）ルールローダープログラム１２２は、ルールメモリデータのＩＦ部１６０１に、分解ルール１２０１から抽出された集約内部条件１２３１（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））に対応する集約内部条件オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））を生成し、処理をステップ３００４に進める。なお、集約内部条件１２３１（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））に対応する集約内部条件オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））が、ルールメモリデータに存在する場合には、当該集約内部条件オブジェクトを利用することができるので、対応するオブジェクトを生成しない。このように、既に存在する集約内部条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。例えば、この集約内部条件オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））は、サブネットＹに所属するサービス提供装置（例えば、ストレージ）を利用する、サブネットＸに所属する複数のサービス利用装置（例えば、サーバ）のそれぞれに対する原因分析において共用することができる。

　ここで、サブネットＸ、Ｙは、互いにネットワークサービスを提供し利用し合っているノード装置（すなわちサービス提供装置とサービス利用装置）が所属するサブネットを意味している。ここでは、サブネットＸは、サービス利用装置であるサーバ１０２が所属するサブネットであり、サブネットＹは、サービス提供装置であるストレージ１０４が所属するサブネットである（分解ルール１２０１を参照）。例えば、情報処理システム１００が構成例２の場合、サーバ１がサブネット０に所属し、ストレージ２がサブネット２に所属している。従って、集約内部条件オブジェクト（Ｅａ（Ｎｅｔ１－Ｎｅｔ２））が生成される（図１７の集約内部条件オブジェクト１７２１）。また、ルールローダープログラム１２２は、ＩＦ部の上記生成した集約内部条件オブジェクトの上流側に、ＯＲ演算子オブジェクト１６３１ｂを生成する。そして、ルールローダープログラム１２２は、生成したＯＲ演算子オブジェクト１６３１ｂから生成した集約内部条件オブジェクトへ向けた接続を生成する。すなわち、ルールローダープログラム１２２は、ＯＲ演算子オブジェクト１６３１ｂの出力値が集約内部条件オブジェクト１７２１の入力値となるように接続を生成する。

　＜１．２．内部条件オブジェクトの生成＞。

　＜１．２．１．内部条件オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））の生成＞。

　（ステップ３００４）ルールローダープログラム１２２は、分解ルール１２１１から抽出された内部条件１２２１の内容に基づいて、サブネットＸに所属し、サブネットＸとサブネットＹとの間の通信に利用されるネットワーク装置１０３（図１２の分解ルールではＩＰスイッチ）を検索する。ルールローダープログラム１２２は、処理をステップ３００５に進める。

　（ステップ３００５）ルールローダープログラム１２２は、ＩＦ部に、分解ルール１２１１から抽出された内部条件１２２１に対応する内部条件オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））を生成する。なお、内部条件１２２１に対応する内部条件オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））がルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する内部条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。サブネットＸは、サービス利用装置であるサーバ１０２が所属するサブネットであり、情報処理システム１００が構成例２の場合、サーバ１がサブネット１に所属している。従って、内部条件オブジェクト（ＥａＤｉｖ１－１（Ｎｅｔ１））が生成される（図１７の内部条件オブジェクト１７２２ａ）。また、ルールローダープログラム１２２は、ＩＦ部の生成した内部条件オブジェクトの上流側に、ＯＲ演算子オブジェクト１６３１ｂを生成する（図１７では図示せず）。そして、ルールローダープログラム１２２は、生成したＯＲ演算子オブジェクト１６３１ｂから生成した内部条件オブジェクトへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３００６に進める。

　（ステップ３００６）ルールローダープログラム１２２は、サブネットＸ内のネットワーク装置１０３（図１２の分解ルールではＩＰスイッチ）の各々に関係する条件に対応する条件オブジェクトを生成する。なお、条件に対応する条件オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、サブネットＸはサブネット１であり、サブネット１にはスイッチ１が所属している。従って、スイッチ１に関係する条件に対応する条件オブジェクトが生成される。そして、ルールローダープログラム１２２は、生成した条件オブジェクトの各々からステップ３００５で生成したＯＲ演算子オブジェクト１６３１ｂへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３００７に進める。

　＜１．２．２．内部条件オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＸ））の生成＞。

　（ステップ３００７）ルールローダープログラム１２２は、分解ルール１２１２から抽出された内部条件１２２２の内容に基づいて、サブネットＹに所属し、サブネットＸとサブネットＹとの間の通信に利用されるネットワーク装置１０３（図１２の分解ルールではＩＰスイッチ）を検索する。その後、ルールローダープログラム１２２は、処理をステップ３００８に進める。

　（ステップ３００８）ルールローダープログラム１２２は、ＩＦ部に、分解ルール１２１２から抽出された内部条件１２２２に対応する内部条件オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＹ））を生成する。なお、内部条件１２２２に対応する内部条件オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＹ））がルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する内部条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。サブネットＹは、サービス提供装置であるストレージ１０４が所属するサブネットであり、情報処理システム１００が構成例２の場合、ストレージ２はサブネット２に所属している。従って、内部条件オブジェクト（ＥａＤｉｖ１－５（Ｎｅｔ２））が生成される（図１７の内部条件オブジェクト１７２２ｃ）。また、ルールローダープログラム１２２は、ＩＦ部の生成した内部条件オブジェクトの上流側に、ＯＲ演算子オブジェクト１６３１ｂを生成する（図１７では図示せず）。そして、ルールローダープログラム１２２は、生成したＯＲ演算子オブジェクト１６３１ｂから生成した内部条件オブジェクトへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３００９に進める。

　（ステップ３００９）ルールローダープログラム１２２は、サブネットＹ内のネットワーク装置１０３（図１２の分解ルールではＩＰスイッチ）の各々に関係する条件に対応する条件オブジェクトを生成する。なお、条件に対応する条件オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、サブネットＹはサブネット２であり、サブネット２にはスイッチ４が所属している。従って、スイッチ４に関係する条件に対応する条件オブジェクトが生成される。そして、ルールローダープログラム１２２は、生成した条件オブジェクトの各々からステップ３００８で生成したＯＲ演算子オブジェクト１６３１ｂへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０１０に進める。

　＜１．２．３．サブネットＸの境界ルータ関係＞。

　（ステップ３０１０）ルールローダープログラム１２２は、サブネットＸの境界ルータ（サブネット同士を接続するルータ）であって、サブネットＸとサブネットＹとの間の通信に利用されるルータを検索する。そして、ルールローダープログラム１２２は、検索したルータに関係する条件に対応する条件オブジェクトを生成する。なお、対応するルータに関係する条件に対応する条件オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。さらに、ルールローダープログラム１２２は、生成した条件オブジェクトからステップ３００３で生成したＯＲ演算子オブジェクト１６３１ｂへ向けた接続を作成する。その後、ルールローダープログラム１２２は、処理をステップ３０１１に進める。

　＜１．２．４．サブネットＹの境界ルータ関係＞。

　（ステップ３０１１）ルールローダープログラム１２２は、サブネットＹの境界ルータであって、サブネットＸとサブネットＹとの間の通信に利用されるルータを検索する。そして、ルールローダープログラム１２２は、検索したルータに関係する条件に対応する条件オブジェクトを生成する。なお、対応するルータに関係する条件に対応する条件オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。さらに、ルールローダープログラム１２２は、生成した条件オブジェクトからステップ３００３で生成したＯＲ演算子オブジェクト１６３１ｂへ向けた接続を作成する。その後、ルールローダープログラム１２２は、処理をステップ３０１２に進める。

　＜１．２．５．内部条件オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＸ－ＮｅｔＹ））の生成＞。

　（ステップ３０１２）ルールローダープログラム１２２は、分解ルール１２１３から抽出された内部条件１２２３の内容に基づいて、サブネットＸとサブネットＹとの間に位置し、サブネットＸとサブネットＹとの間の通信に利用されるネットワーク装置１０３（図１２の分解ルールではＩＰスイッチ）を検索する。なお、ここでは、他のサブネットとの接続を行うサブネットＸ、Ｙ内のルータ（境界ルータ）は、検索の対象とされない。なお、これらの境界ルータについては、ステップ３０１０、ステップ３０１１では検索の対象とせずに、その代わりにステップ３０１２で検索の対象としてもよい。その後、ルールローダープログラム１２２は、処理をステップ３０１３に進める。

　（ステップ３０１３）ルールローダープログラム１２２は、ＩＦ部に、分解ルール１２１３から抽出された内部条件１２２３に対応する内部条件オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））を生成する。なお、内部条件１２２３に対応する内部条件オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））がルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する内部条件オブジェクを利用することができるので、ルールメモリデータのデータ量を削減することができる。例えば、この内部条件オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））は、サブネットＺを跨って接続された２つのサブネット間における、サービス提供装置及びサービス利用装置に関しての原因分析において共用することができる。情報処理システム１００が構成例２の場合、サブネット１とサブネット２との間には、サブネット０が介在している。従って、内部条件オブジェクト（ＥａＤｉｖ１－３（Ｎｅｔ０））が生成される（図１７の内部条件オブジェクト１７２２ｂ）。また、ルールローダープログラム１２２は、ＩＦ部の生成した内部条件オブジェクトの上流側に、ＯＲ演算子オブジェクト１６３１ｂを生成する。そして、ルールローダープログラム１２２は、上記生成したＯＲ演算子オブジェクト１６３１ｂから生成した内部条件オブジェクトへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０１４に進める。

　（ステップ３０１４）ルールローダープログラム１２２は、サブネットＸとサブネットＹとの間にあるネットワーク装置１０３（図１２の分解ルールではＩＰスイッチ）の各々に関係する条件に対応する条件オブジェクトを生成する。なお、条件に対応する条件オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、サブネット１とサブネット２との間にはサブネット０が介在しており、サブネット０にはスイッチ２及びスイッチ３が所属している。従って、スイッチ２及びスイッチ３のそれぞれに関係する条件に対応する条件オブジェクトが生成される。そして、ルールローダープログラム１２２は、生成した条件オブジェクトの各々からステップ３００８で生成したＯＲ演算子オブジェクト１６３１ｂへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０１５に進める。

　＜１．３．サービス提供装置又はサービス利用装置に対応した内部条件オブジェクトの生成＞。

　（ステップ３０１５）ルールローダープログラム１２２は、分解ルール１２０１を参照して、その分解ルール１２０１に関するサービス提供装置又はサービス利用装置のうちその分解ルール１２０１においてイベントが規定されているものを特定する。情報処理システム１００が構成例２の場合、分解ルール１２０１に関するサービス提供装置又はサービス利用装置には、サーバ１、サーバ２、ストレージ２が該当するが、分解ルール１２０１においてストレージ１０２に関係するイベントは規定されていない。従って、情報処理システム１００が構成例２の場合、サーバ１及びサーバ２が特定される。

　（ステップ３０１６）ルールローダープログラム１２２は、ステップ３０１５で特定したサービス提供装置及びサービス利用装置のそれぞれに関係する条件に対応する条件オブジェクトを生成する。なお、条件に対応する条件オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する条件オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、サーバ１及びサーバ２のそれぞれに関係する条件に対応した条件オブジェクトが生成される。また、ルールローダープログラム１２２は、ＩＦ部の生成した条件オブジェクトの下流側に、ＡＮＤ演算子オブジェクト１６３１ａを生成する。そして、ルールローダープログラム１２２は、生成したＡＮＤ演算子オブジェクト１６３１ａから生成した条件オブジェクトへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０１５に進める。

　（ステップ３０１７）ルールローダープログラム１２２は、ステップ３００３で生成した集約内部条件オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））からステップ３０１６で生成したＡＮＤ演算子オブジェクト１６３１ｂへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０１５に進める。

　＜２．ルールメモリデータのＴＨＥＮ部の生成＞。

　＜２．１．集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））の生成＞。

　（ステップ３０１８）ルールローダープログラム１２２は、ＴＨＥＮ部にＯＲ演算子オブジェクトを生成し、ステップ３０１６で生成したＡＮＤ演算子オブジェクト１６３１ｂの各々から生成したＯＲ演算子へ向けた接続を生成する。なお、この接続の太さは、接続したＡＮＤ演算子オブジェクト１６３１ｂの入力の数である。その後、ルールローダープログラム１２２は、処理をステップ３０１９に進める。

　（ステップ３０１９）ルールローダープログラム１２２は、ＴＨＥＮ部に集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））を生成する。なお、集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））がルールメモリデータに存在する場合には、対応する集約内部結論オブジェクトを生成しない。このように、既に存在する集約内部結論オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、集約内部結論オブジェクト（Ｅａ（Ｎｅｔ１－Ｎｅｔ２））が生成される（図１７の集約内部結論オブジェクト１７４１）。また、ルールローダープログラム１２２は、ステップ３０１８で生成したＯＲ演算子オブジェクト１６３１ｂから生成した集約内部結論オブジェクトへ向けた接続を生成する。なお、この接続の太さは、接続したＯＲ演算子オブジェクト１６３１ｂの入力の太さと同じである。その後、ルールローダープログラム１２２は、処理をステップ３０２０に進める。

　＜２．２．内部結論オブジェクトの生成＞。

　＜２．２．１．内部結論オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））の生成＞。

　（ステップ３０２０）ルールローダープログラム１２２は、ＴＨＥＮ部に内部結論オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））を生成する。なお、内部結論オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））がルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する内部結論オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、内部結論オブジェクト（ＥａＤｉｖ１－１（Ｎｅｔ１））が生成される（図１７の内部結論オブジェクト１７４２ａ）。また、ルールローダープログラム１２２は、ステップ３０１９で生成した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））から、生成した内部結論オブジェクトへ向けた接続を生成する。なお、この接続の太さは、接続した集約内部結論オブジェクトの入力の太さと同じである。また、この接続は、ＯＲ演算子オブジェクト１６３１ｂ又はＡＮＤ演算子オブジェクト１６３１ａを介して行われてもよい。その後、ルールローダープログラム１２２は、処理をステップ３０２１に進める。

　（ステップ３０２１）ルールローダープログラム１２２は、ステップ３００４で検索したサブネットＸ内のネットワーク装置１０３のそれぞれについて、以下のステップ３０２１－１～ステップ３０２１－４の処理を繰り返す。なお、それぞれに対して処理を終えた後、ルールローダープログラム１２２は、処理をステップ３０２２に進める。まず、ルールローダープログラム１２２は、ステップ３００４で検索したサブネットＸ内のネットワーク装置１０３のうちの一つ（以下のステップ３０２１－１～ステップ３０２１－４において「対象装置」という）を選択する。

　　　（ステップ３０２１－１）ルールローダープログラム１２２は、対象装置に関係する結論に対応する結論オブジェクト１６１２とＢＬＥＮＤ演算子オブジェクト１６３１ｃとを生成する。なお、対象装置に関係する結論に対応する結論オブジェクトがルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する結論オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。その後、ルールローダープログラム１２２は、処理をステップ３０２１－２に進める。

　　　（ステップ３０２１－２）ルールローダープログラム１２２は、ステップ３０２１－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃからステップ３０２１－１で生成した結論オブジェクトのそれぞれへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２１－３に進める。

　　　（ステップ３０２１－３）ルールローダープログラム１２２は、ステップ３０２０で生成した内部結論オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））からステップ３０２１－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃの基礎入力へ向けた接続を生成する。なお、この接続の太さは、接続した内部結論オブジェクト（ＥａＤｉｖ１－１（ＮｅｔＸ））の入力の太さと同じである。その後、ルールローダープログラム１２２は、処理をステップ３０２１－４に進める。

　　　（ステップ３０２１－４）ルールローダープログラム１２２は、対象装置に関係する条件に対応する条件オブジェクトからステップ３０２１－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃのデルタ入力へ向けた接続を生成する。

　＜２．２．２．内部結論オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＹ））の生成＞。

　（ステップ３０２２）ルールローダープログラム１２２は、ＴＨＥＮ部に内部結論オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＹ））を生成する。なお、内部結論オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＸ））がルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する内部結論オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、内部結論オブジェクト（ＥａＤｉｖ１－５（Ｎｅｔ２））が生成される（図１７の内部結論オブジェクト１７４２ｃ）。また、ルールローダープログラム１２２は、ステップ３０１９で生成した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））から生成した内部結論オブジェクトへ向けた接続を生成する。なお、この接続の太さは、接続した集約内部結論オブジェクトの入力の太さと同じである。また、この接続は、ＯＲ演算子オブジェクト１６３１ｂ又はＡＮＤ演算子オブジェクト１６３１ａを介して行われてもよい。その後、ルールローダープログラム１２２は、処理をステップ３０２３に進める。

　（ステップ３０２３）ルールローダープログラム１２２は、ステップ３００７で検索したサブネットＹ内のネットワーク装置１０３のそれぞれについて、以下のステップ３０２３－１～ステップ３０２３－４の処理を繰り返す。なお、それぞれに対して処理を終えた後、ルールローダープログラム１２２は、処理をステップ３０２４に進める。まず、ルールローダープログラム１２２は、ステップ３００７で検索したサブネットＹ内のネットワーク装置１０３のうちの一つ（以下のステップ３０２３－１～ステップ３０２３－４において「対象装置」という）を選択する。

　　　（ステップ３０２３－１）ルールローダープログラム１２２は、対象装置に関係する結論に対応する結論オブジェクトとＢＬＥＮＤ演算子オブジェクト１６３１ｃとを生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２３－２に進める。

　　　（ステップ３０２３－２）ルールローダープログラム１２２は、ステップ３０２３－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃから同じステップ３０２３－１で生成した結論オブジェクトのそれぞれへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２３－３に進める。

　　　（ステップ３０２３－３）ルールローダープログラム１２２は、ステップ３０２２で生成した内部結論オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＹ））からステップ３０２３－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃの基礎入力へ向けた接続を生成する。なお、この接続の太さは、接続した内部結論オブジェクト（ＥａＤｉｖ１－５（ＮｅｔＹ））の入力の太さと同じである。その後、ルールローダープログラム１２２は、処理をステップ３０２３－４に進める。

　　　（ステップ３０２３－４）ルールローダープログラム１２２は、対象装置に関係する条件に対応する条件オブジェクトからステップ３０２３－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃのデルタ入力へ向けた接続を生成する。

　＜２．２．３．サブネットＸの境界ルータ関係＞。

　（ステップ３０２４）ルールローダープログラム１２２は、ステップ３０１０で検索した境界ルータのそれぞれについて、以下のステップ３０２４－１～ステップ３０２４－４の処理を繰り返す。なお、それぞれに対して処理を終えた後、ルールローダープログラム１２２は、処理をステップ３０２５に進める。まず、ルールローダープログラム１２２は、ステップ３０１０で検索した境界ルータのうちの一つ（以下のステップ３０２４－１～ステップ３０２４－４において「対象装置」という）を選択する。

　　　（ステップ３０２４－１）ルールローダープログラム１２２は、対象装置に関係する結論に対応する結論オブジェクトとＢＬＥＮＤ演算子オブジェクト１６３１ｃとを生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２４－１に進める。

　　　（ステップ３０２４－２）ルールローダープログラム１２２は、ステップ３０２４－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃからステップ３０２４－１で生成した結論オブジェクトのそれぞれへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２４－３に進める。

　　　（ステップ３０２４－３）ルールローダープログラム１２２は、ステップ３０１９で生成した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））からステップ３０２４－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃの基礎入力へ向けた接続を生成する。なお、この接続の太さは、接続した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））の入力の太さと同じである。その後、ルールローダープログラム１２２は、処理をステップ３０２４－４に進める。

　　　（ステップ３０２４－４）ルールローダープログラム１２２は、対象装置に関係する条件に対応する条件オブジェクトからステップ３０２４－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃのデルタ入力へ向けた接続を生成する。

　＜２．２．４．サブネットＹの境界ルータ関係＞。

　（ステップ３０２５）ルールローダープログラム１２２は、ステップ３０１１で検索した境界ルータのそれぞれについて、以下のステップ３０２５－１～ステップ３０２５－４の処理を繰り返す。なお、それぞれに対して処理を終えた後、ルールローダープログラム１２２は、処理をステップ３０２６に進める。まず、ルールローダープログラム１２２は、ステップ３０１１で検索した境界ルータのうちの一つ（以下のステップ３０２５－１～ステップ３０２５－４において「対象装置」という）を選択する。

　　　（ステップ３０２５－１）ルールローダープログラム１２２は、対象装置に関係する結論に対応する結論オブジェクトとＢＬＥＮＤ演算子オブジェクト１６３１ｃとを生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２５－２に進める。

　　　（ステップ３０２５－２）ルールローダープログラム１２２は、ステップ３０２５－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃからステップ３０２５－１で生成した結論オブジェクトのそれぞれへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２５－３に進める。

　　　（ステップ３０２５－３）ルールローダープログラム１２２は、ステップ３０１９で生成した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））からステップ３０２５－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃの基礎入力へ向けた接続を生成する。なお、この接続の太さは、接続した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））の入力の太さと同じである。その後、ルールローダープログラム１２２は、処理をステップ３０２５－４に進める。

　　　（ステップ３０２５－４）ルールローダープログラム１２２は、対象装置に関係する条件に対応する条件オブジェクトからステップ３０２５－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃのデルタ入力へ向けた接続を生成する。

　＜２．２．５．内部結論オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））の生成＞。

　（ステップ３０２６）ルールローダープログラム１２２は、ＴＨＥＮ部に内部結論オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））を生成する。なお、内部結論オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））がルールメモリデータに存在する場合には、対応するオブジェクトを生成しない。このように、既に存在する内部結論オブジェクトを利用することができるので、ルールメモリデータのデータ量を削減することができる。情報処理システム１００が構成例２の場合、内部結論オブジェクト（ＥａＤｉｖ１－３（Ｎｅｔ０））が生成される（図１７の内部結論オブジェクト１７４２ｂ）。また、ルールローダープログラム１２２は、ステップ３０１９で生成した集約内部結論オブジェクト（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））から生成した内部結論オブジェクトへ向けた接続を生成する。なお、この接続の太さは、接続した集約内部結論オブジェクトの入力の太さと同じである。また、この接続は、ＯＲ演算子オブジェクト１６３１ｂ又はＡＮＤ演算子オブジェクト１６３１ａを介して行われてもよい。その後、ルールローダープログラム１２２は、処理をステップ３０２７に進める。

　（ステップ３０２７）ルールローダープログラム１２２は、ステップ３０１２で検索したサブネットＸとサブネットＹとの間にあるネットワーク装置１０３のそれぞれについて、以下のステップ３０２７－１～ステップ３０２７－４の処理を繰り返す。なお、それぞれに対して処理を終えた後、ルールローダープログラム１２２は、処理をステップ３０２８に進める。まず、ルールローダープログラム１２２は、ステップ３０１２で検索したサブネットＸとサブネットＹとの間にあるネットワーク装置１０３のうちの一つ（以下のステップ３０２７－１～ステップ３０２７－４において「対象装置」という）を選択する。

　　　（ステップ３０２７－１）ルールローダープログラム１２２は、対象装置に関係する結論に対応する結論オブジェクトとＢＬＥＮＤ演算子オブジェクト１６３１ｃとを生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２７－２に進める。

　　　（ステップ３０２７－２）ルールローダープログラム１２２は、ステップ３０２７－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃからステップ３０２７－１で生成した結論オブジェクトのそれぞれへ向けた接続を生成する。その後、ルールローダープログラム１２２は、処理をステップ３０２７－３に進める。

　　　（ステップ３０２７－３）ルールローダープログラム１２２は、ステップ３０２６で生成した内部結論オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））からステップ３０２７－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃの基礎入力へ向けた接続を生成する。なお、この接続の太さは、接続した内部結論オブジェクト（ＥａＤｉｖ１－３（ＮｅｔＺ））の入力の太さと同じである。その後、ルールローダープログラム１２２は、処理をステップ３０２７－４に進める。

　　　（ステップ３０２７－４）ルールローダープログラム１２２は、対象装置に関係する条件に対応する条件オブジェクトからステップ３０２７－１で生成したＢＬＥＮＤ演算子オブジェクト１６３１ｃのデルタ入力へ向けた接続を生成する。

　（ステップ３０２８）ルールローダープログラム１２２は、ループ１を終了する。

　次に、マッチング率計算処理について説明する。

　マッチング率計算処理は、マッチング率評価プログラム１２５により行われる。図１６及び図１７を参照して説明したとおり、ルールメモリデータに含まれる各オブジェクトは、ソースオブジェクトからの出力に応じた値を出力する。条件オブジェクトが真（１）を出力することを契機に、その条件オブジェクトの出力は、オブジェクトの接続関係を辿って下流側へ流れる。出力が最終的に結論オブジェクトに至ることで、その結論オブジェクトの出力が、マッチング率になる。例えば、或る条件オブジェクトが真（１）を新たに出力することを契機に、マッチング率評価プログラム１２５は、以下の再帰的処理を行う。

　（ステップ４００１）マッチング率評価プログラム１２５は、出力値が変化した条件オブジェクトのターゲットオブジェクト（下流側に接続されたオブジェクトであり、以下「オブジェクトＡ」という）を特定する。その後、マッチング率評価プログラム１２５は、処理をステップ４００２に進める。

　（ステップ４００２）マッチング率評価プログラム１２５は、オブジェクトＡの各々について、オブジェクトの種類に従った処理を行い、新たな出力値を生成する。その後、マッチング率評価プログラム１２５は、処理をステップ４００３に進める。

　（ステップ４００３）マッチング率評価プログラム１２５は、新たな出力値を生成したオブジェクトＡのターゲットオブジェクト（以下「オブジェクトＢ」）を特定する。もし、オブジェクトＢが結論オブジェクトならば、マッチング率評価プログラム１２５は、当該新たな出力値をマッチング率として保存する。オブジェクトＢが結論オブジェクト以外のオブジェクトであれば、マッチング率評価プログラム１２５は、オブジェクトＢを「オブジェクトＡの各々」としてステップ４００２の処理を行う。

　以上の処理により、イベント検知によって真（１）となったイベントに関係する条件オブジェクトから、マッチング率の計算が開始される。なお、所定の時間経過によってある条件イベントの出力が真（１）から未検知を意味する０に変更された場合も、上記と同様の処理を行うことでマッチング率を再計算することができる。ただし、各オブジェクトの実行は、上記によらず他の方法で制御されても構わない。

　このように、マッチング率が計算された後に、マッチング率評価プログラム１２５は、例えば、ルールメモリデータから、マッチング率が所定の値を超えている結論オブジェクト１６１２を検出し、当該結論オブジェクト１６１２が管理する結論のイベントを、根本原因と特定し、当該根本原因を示す情報を、例えば、入出力デバイス１１４を介して、ディスプレイ１１７に表示出力させる。なお、根本原因のイベントを示す情報を、他の装置に出力（送信）して、他の装置において表示させるようにしてもよい。

　なお、一般ルールは、結論に含まれるイベントが発生した場合は、条件に含まれるイベントも必ず発生することを意味している。しかし、こうした影響を受けるノード装置からは必ずしもイベント検知ができるとは限らない。しかし、本実施形態のルールメモリデータで影響ノード装置を監視コンピュータで求める場合は、Ａｇｇｒｅｇａｔｅイベント（Ｅａ（ＮｅｔＸ－ＮｅｔＹ））によって影響範囲をたどることが難しくなる。そのため、ＣＰＵ１１１が、指定されたノード装置とイベント種別とをキーに、該当する一般ルールを検索することで対応する条件イベント（つまり影響を受けるノード装置を示す）を特定し、記憶資源１１２に一時生成するようにして、例えば、ディスプレイ装置１１７に表示するようにしてもよい。

　図２１は、イベント受信処理のフローチャートである。

　（ステップ２１０１）イベント受信プログラム１２３は、監視対象装置（具体的には、監視対象装置内の監視エージェント１４１、１６６）からイベントメッセージ１４０１を受信する。

　（ステップ２１０２）イベント受信プログラム１２３は、ステップ２１０１で受信したイベントメッセージ１４０１から監視対象名１４１１及びイベントタイプ１４１２を取得し、取得した情報１４１１、１４１２に監視対象タイプ及び受信日時を加えてイベント情報１５１１を作成する。そして、イベント受信プログラム１２３は、その作成したイベント情報１５１１をイベントキューテーブル１３４に追加して、処理を終了する。

　図２２は、イベント書込処理のフローチャートである。

　（ステップ２２０１）イベント書込プログラム１２４は、イベントキューテーブル１３４からイベント情報１５１１を一つ取得する。

　（ステップ２２０２）イベント書込プログラム１２４は、ステップ２２０１で取得したイベント情報１５１１から監視対象タイプ１５０１、監視対象名１５０２及びイベントタイプ１５０３を取得する。

　（ステップ２２０３）その後、イベント書込プログラム１２４は、ステップ２２０２で取得した監視対象名１５０２及びイベントタイプ１５０３をキーに、ルールメモリデータを検索し、監視対象名１５０２及びイベントタイプ１５０３が一致する条件オブジェクトを特定する。そして、イベント書込プログラム１２４は、特定した条件オブジェクトの出力値を真（すなわち１）とし、処理を終了する。なお、このようにオブジェクトの出力値が変更されると、上記したマッチング率計算処理が実行されることとなる。

　以上、実施形態を説明したが、本発明は、この実施形態に限定されるものでなく、その趣旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、監視コンピュータ１０１がネットワーク装置、例えば、スイッチにより構成されてもよい。

　１０１：監視コンピュータ、１０２：サーバ、１０３：ネットワーク装置、１０４：ストレージ。

Claims

　複数のサブネットワークを構成する複数のネットワーク装置と、
　前記複数のサブネットワークに属する複数のノード装置と、
　発生した事象の原因を特定するコンピュータと
を有し、
　前記コンピュータは、
　記憶資源と、前記記憶資源に接続された制御デバイスと、を有し、
　前記記憶資源は、１以上のルールと、前記ネットワーク装置及び前記ノード装置がどのサブネットワークに所属するかを表したサブネットワーク情報とを記憶し、
　各ルールは、一端のノード装置と他端のノード装置とそれらを中継するネットワーク装置とを含んだトポロジに関するトポロジ情報と、そのトポロジにおける事象を示す条件と、その条件を満たす原因となる事象を示す結論と、を含み、
　（Ａ）前記制御デバイスは、以下の（ａ１）～（ａ１３）を行うことにより、ルールメモリデータを生成して前記記憶資源に格納し、
（ａ１）前記サブネットワーク情報に基づいて、或る第１のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第１の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第１の条件オブジェクトを前記ルールメモリデータに含め、
（ａ２）１以上の前記第１の条件オブジェクトの全ての事象の発生情報を集約するための第１の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記第１の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ３）前記第１の内部条件オブジェクトを前記第１の条件オブジェクトに関連付け、
（ａ４）前記サブネットワーク情報に基づいて、或る第２のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第２の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第２の条件オブジェクトを前記ルールメモリデータに含め、
（ａ５）１以上の前記第２の条件オブジェクトの全てからの事象の発生情報を集約する第２の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記２の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ６）前記第２の内部条件オブジェクトを前記第２の条件オブジェクトに関連付け、
（ａ７）前記第１の内部条件オブジェクト、前記第２の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理する集約内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記集約内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ８）前記集約内部条件オブジェクトを、前記第１及び第２の内部条件オブジェクトに関連付け、
（ａ９）前記サブネットワーク情報に基づいて、前記第１のサブネットワークにおける複数のノード装置を特定し、当該ノード装置による前記ルールの前記条件となる事象の発生情報を管理する複数の第３の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記複数の第３の条件オブジェクトを、前記ルールメモリデータに含め、
（ａ１０）前記集約内部条件オブジェクトの集約情報と、前記第３の条件オブジェクトの事象の前記発生情報とに基づいた、条件を判定するための判定情報を管理する集約内部結論オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記集約内部結論オブジェクトを前記ルールメモリデータに含め、
（ａ１１）前記集約内部結論オブジェクトを、前記集約内部条件オブジェクト及び前記第３の条件オブジェクトに関連付け、
（ａ１２）前記第１のサブネットワークにおけるネットワーク装置、及び前記第２のサブネットワークのネットワーク装置のそれぞれで発生する事象を示す結論が原因である可能性を示す指標を管理する複数の結論オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記複数の結論オブジェクトを前記ルールメモリデータに含め、
（ａ１３）複数の前記結論オブジェクトを前記集約内部結論オブジェクトに関連付け、
　（Ｂ）前記制御デバイスは、前記複数のネットワーク装置又は前記複数のノード装置における事象の発生情報を受信し、前記ルールメモリデータに基づいて、前記受信した発生情報を管理する条件オブジェクトを特定し、特定した前記条件オブジェクトの管理する事象の前記発生情報を更新するとともに、前記条件オブジェクトに対する関連付けを辿って、前記発生情報の更新の影響が及ぶ各オブジェクトの管理する情報を更新していくことにより、前記結論オブジェクトの前記指標を更新し、更新した結論オブジェクトの前記指標に基づいて、事象の原因を特定し出力する、
情報システム。
　請求項１において、
　前記第１のサブネットワークと、前記第２のサブネットワークとの間には、第３のサブネットワークが介在しており、
　前記制御デバイスは、前記（Ａ）において、さらに、以下の（ａ１４）～（ａ１６）を実行し、
（ａ１４）前記サブネットワーク情報に基づいて、前記第３のサブネットワークにおける１以上のネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第４の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第４の条件オブジェクトを前記ルールメモリデータに含め、
（ａ１５）１以上の前記第４の条件オブジェクトの全ての事象の前記発生情報を集約するための第３の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記第３の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ１６）前記第３の内部条件オブジェクトを前記第４の条件オブジェクトに関連付け、
　前記（ａ７）において生成された集約内部条件オブジェクトは、前記第１の内部条件オブジェクト、前記第２の内部条件オブジェクト、及び前記第３の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理するオブジェクトであり、
　前記（ａ８）において、前記制御デバイスは、前記集約内部条件オブジェクトを、前記第１、第２及び第３の内部条件オブジェクトに関連付ける、
情報システム。
　請求項２において、
　前記結論オブジェクトの前記指標は、前記結論オブジェクトに対応する事象の発生情報を管理する条件オブジェクトの事象の発生情報と、前記集約内部結論オブジェクトの前記判定情報とに基づいて、決定される、
情報システム。
　複数のサブネットワークを構成する複数のネットワーク装置と前記複数のサブネットワークに属する複数のノード装置とを有する情報システムにおいて発生した事象の原因を特定するコンピュータであって、
　記憶資源と、
　前記記憶資源に接続された制御デバイスと
を有し、
　前記記憶資源は、１以上のルールと、前記ネットワーク装置及び前記ノード装置がどのサブネットワークに所属するかを表したサブネットワーク情報とを記憶し、
　各ルールは、一端のノード装置と他端のノード装置とそれらを中継するネットワーク装置とを含んだトポロジに関するトポロジ情報と、そのトポロジにおける事象を示す条件と、その条件を満たす原因となる事象を示す結論と、を含み、
　（Ａ）前記制御デバイスは、以下の（ａ１）～（ａ１３）を行うことにより、ルールメモリデータを生成して前記記憶資源に格納し、
（ａ１）前記サブネットワーク情報に基づいて、或る第１のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第１の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第１の条件オブジェクトを前記ルールメモリデータに含め、
（ａ２）１以上の前記第１の条件オブジェクトの全ての事象の発生情報を集約するための第１の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記第１の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ３）前記第１の内部条件オブジェクトを前記第１の条件オブジェクトに関連付け、
（ａ４）前記サブネットワーク情報に基づいて、或る第２のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第２の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第２の条件オブジェクトを前記ルールメモリデータに含め、
（ａ５）１以上の前記第２の条件オブジェクトの全てからの事象の発生情報を集約する第２の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記２の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ６）前記第２の内部条件オブジェクトを前記第２の条件オブジェクトに関連付け、
（ａ７）前記第１の内部条件オブジェクト、前記第２の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理する集約内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記集約内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ８）前記集約内部条件オブジェクトを、前記第１及び第２の内部条件オブジェクトに関連付け、
（ａ９）前記サブネットワーク情報に基づいて、前記第１のサブネットワークにおける複数のノード装置を特定し、当該ノード装置による前記ルールの前記条件となる事象の発生情報を管理する複数の第３の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記複数の第３の条件オブジェクトを、前記ルールメモリデータに含め、
（ａ１０）前記集約内部条件オブジェクトの集約情報と、前記第３の条件オブジェクトの事象の前記発生情報とに基づいた、条件を判定するための判定情報を管理する集約内部結論オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記集約内部結論オブジェクトを前記ルールメモリデータに含め、
（ａ１１）前記集約内部結論オブジェクトを、前記集約内部条件オブジェクト及び前記第３の条件オブジェクトに関連付け、
（ａ１２）前記第１のサブネットワークにおけるネットワーク装置、及び前記第２のサブネットワークのネットワーク装置のそれぞれで発生する事象を示す結論が原因である可能性を示す指標を管理する複数の結論オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記複数の結論オブジェクトを前記ルールメモリデータに含め、
（ａ１３）複数の前記結論オブジェクトを前記集約内部結論オブジェクトに関連付け、
　（Ｂ）前記制御デバイスは、前記複数のネットワーク装置又は前記複数のノード装置における事象の発生情報を受信し、前記ルールメモリデータに基づいて、前記受信した発生情報を管理する条件オブジェクトを特定し、特定した前記条件オブジェクトの管理する事象の前記発生情報を更新するとともに、前記条件オブジェクトに対する関連付けを辿って、前記発生情報の更新の影響が及ぶ各オブジェクトの管理する情報を更新していくことにより、前記結論オブジェクトの前記指標を更新し、更新した結論オブジェクトの前記指標に基づいて、事象の原因を特定し出力する、
コンピュータ。
　請求項４において、
　前記第１のサブネットワークと、前記第２のサブネットワークとの間には、第３のサブネットワークが介在しており、
　前記制御デバイスは、前記（Ａ）において、さらに、以下の（ａ１４）～（ａ１６）を実行し、
（ａ１４）前記サブネットワーク情報に基づいて、前記第３のサブネットワークにおける１以上のネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第４の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第４の条件オブジェクトを前記ルールメモリデータに含め、
（ａ１５）１以上の前記第４の条件オブジェクトの全ての事象の前記発生情報を集約するための第３の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記第３の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ１６）前記第３の内部条件オブジェクトを前記第４の条件オブジェクトに関連付け、
　前記（ａ７）において生成された集約内部条件オブジェクトは、前記第１の内部条件オブジェクト、前記第２の内部条件オブジェクト、及び前記第３の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理するオブジェクトであり、
　前記（ａ８）において、前記制御デバイスは、前記集約内部条件オブジェクトを、前記第１、第２及び第３の内部条件オブジェクトに関連付ける、
コンピュータ。
　請求項４において、
　前記結論オブジェクトの前記指標は、前記結論オブジェクトに対応する事象の発生情報を管理する条件オブジェクトの事象の発生情報と、前記集約内部結論オブジェクトの前記判定情報とに基づいて、決定される、
コンピュータ。
　複数のサブネットワークを構成する複数のネットワーク装置と前記複数のサブネットワークに属する複数のノード装置とを有する情報システムにおいて発生した事象の原因を特定する方法であって、
　（Ａ）コンピュータが、以下の（ａ１）～（ａ１３）を行うことにより、ルールメモリデータを生成して、１以上のルールとサブネットワーク情報とを記憶する記憶資源に格納し、各ルールは、一端のノード装置と他端のノード装置とそれらを中継するネットワーク装置とを含んだトポロジに関するトポロジ情報と、そのトポロジにおける事象を示す条件と、その条件を満たす原因となる事象を示す結論と、を含み、前記サブネットワーク情報は、前記ネットワーク装置及び前記ノード装置がどのサブネットワークに所属するかを表し、
（ａ１）前記サブネットワーク情報に基づいて、或る第１のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第１の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第１の条件オブジェクトを前記ルールメモリデータに含め、
（ａ２）１以上の前記第１の条件オブジェクトの全ての事象の発生情報を集約するための第１の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記第１の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ３）前記第１の内部条件オブジェクトを前記第１の条件オブジェクトに関連付け、
（ａ４）前記サブネットワーク情報に基づいて、或る第２のサブネットワークにおける１以上のネットワーク装置を特定し、当該ネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第２の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第２の条件オブジェクトを前記ルールメモリデータに含め、
（ａ５）１以上の前記第２の条件オブジェクトの全てからの事象の発生情報を集約する第２の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記２の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ６）前記第２の内部条件オブジェクトを前記第２の条件オブジェクトに関連付け、
（ａ７）前記第１の内部条件オブジェクト、前記第２の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理する集約内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記集約内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ８）前記集約内部条件オブジェクトを、前記第１及び第２の内部条件オブジェクトに関連付け、
（ａ９）前記サブネットワーク情報に基づいて、前記第１のサブネットワークにおける複数のノード装置を特定し、当該ノード装置による前記ルールの前記条件となる事象の発生情報を管理する複数の第３の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記複数の第３の条件オブジェクトを、前記ルールメモリデータに含め、
（ａ１０）前記集約内部条件オブジェクトの集約情報と、前記第３の条件オブジェクトの事象の前記発生情報とに基づいた、条件を判定するための判定情報を管理する集約内部結論オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記集約内部結論オブジェクトを前記ルールメモリデータに含め、
（ａ１１）前記集約内部結論オブジェクトを、前記集約内部条件オブジェクト及び前記第３の条件オブジェクトに関連付け、
（ａ１２）前記第１のサブネットワークにおけるネットワーク装置、及び前記第２のサブネットワークのネットワーク装置のそれぞれで発生する事象を示す結論が原因である可能性を示す指標を管理する複数の結論オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記複数の結論オブジェクトを前記ルールメモリデータに含め、
（ａ１３）複数の前記結論オブジェクトを前記集約内部結論オブジェクトに関連付け、
　（Ｂ）前記コンピュータは、前記複数のネットワーク装置又は前記複数のノード装置における事象の発生情報を受信し、前記ルールメモリデータに基づいて、前記受信した発生情報を管理する条件オブジェクトを特定し、特定した前記条件オブジェクトの管理する事象の前記発生情報を更新するとともに、前記条件オブジェクトに対する関連付けを辿って、前記発生情報の更新の影響が及ぶ各オブジェクトの管理する情報を更新していくことにより、前記結論オブジェクトの前記指標を更新し、更新した結論オブジェクトの前記指標に基づいて、事象の原因を特定し出力する、
方法。
　請求項７において、
　前記第１のサブネットワークと、前記第２のサブネットワークとの間には、第３のサブネットワークが介在しており、
　前記コンピュータは、前記（Ａ）において、さらに、以下の（ａ１４）～（ａ１６）を実行し、
（ａ１４）前記サブネットワーク情報に基づいて、前記第３のサブネットワークにおける１以上のネットワーク装置による前記ルールの前記条件となる事象の発生情報を管理する１以上の第４の条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記１以上の第４の条件オブジェクトを前記ルールメモリデータに含め、
（ａ１５）１以上の前記第４の条件オブジェクトの全ての事象の前記発生情報を集約するための第３の内部条件オブジェクトを、前記ルールメモリデータに存在しない場合に生成し、生成した前記第３の内部条件オブジェクトを前記ルールメモリデータに含め、
（ａ１６）前記第３の内部条件オブジェクトを前記第４の条件オブジェクトに関連付け、
　前記（ａ７）において生成された集約内部条件オブジェクトは、前記第１の内部条件オブジェクト、前記第２の内部条件オブジェクト、及び前記第３の内部条件オブジェクトの事象の発生情報を集約した集約情報を管理するオブジェクトであり、
　前記（ａ８）において、前記コンピュータは、前記集約内部条件オブジェクトを、前記第１、第２及び第３の内部条件オブジェクトに関連付ける、
方法。
　請求項７において、
　前記結論オブジェクトの前記指標は、前記結論オブジェクトに対応する事象の発生情報を管理する条件オブジェクトの事象の発生情報と、前記集約内部結論オブジェクトの前記判定情報とに基づいて、決定される、
方法。