WO2024013897A1 - パターン抽出及びルール生成装置、方法及びコンピュータプログラム - Google Patents

Abstract

実施形態によるパターン抽出及びルール生成装置は、障害ごとに、障害要因箇所及び障害要因を含む障害要因情報と、障害の発生から回復までに生じた障害イベント群情報と、条件部と結論部とを含むルールに対応付けられたルールＩＤと、を関連付けて登録しているデータベースと、新規の障害である新規障害に関連付けられた障害イベント群情報の一部の取り得る一以上の組合せを全通り生成し、新規障害の障害イベントの組合せと過去の障害である一以上の過去障害それぞれの前記障害イベントの組合せとから、最も発生していない組合せと判定されるユニークパターンを障害ごとに抽出し、新規障害が発生するごとに対応するユニークパターンに応じて、ルールを生成するルール学習制御部と、を備える。

Description

パターン抽出及びルール生成装置、方法及びコンピュータプログラム

　本発明は、パターン抽出及びルール生成装置、方法及びコンピュータプログラムに関する。

　ネットワークサービスの保守業務に関して、監視対象装置においてある障害により発生するイベント（以下、障害イベントと称する）を基にその障害要因を判定するＩＦ－ＴＨＥＮルールの作成に関する技術がある。

　例えば特許文献１には、障害の発生した時間帯（例えば、障害発生から回復まで）を指定し、その時間帯に発生している障害イベント情報（アラーム、ログなど）と他の障害を特徴づけるイベント情報のユニークパターンとを比較し、当該障害を特徴づける障害イベント情報のユニークパターンを抽出し、他の障害のユニークパターンも修正する学習技術が開示されている。また、特許文献１では、発生した障害イベント情報がユニークパターンにどれだけ合致するか（確信度）を算出し、合致する割合が高いほど、過去に発生した障害と類似する可能性が高いと判断して、障害箇所を推定している。

日本国特許第6637854号

　学習において、回復イベント等の障害が発生してから時間が経過してから発生する障害イベントをユニークパターンとして抽出した場合、回復イベント等が発生するまで障害箇所を推定（確信度を高く推定）しにくく、早期に障害回復措置が行えないという課題があった。

　また、主要因イベントが発生すると障害箇所を特定しやすいことから、主要因イベントが発生するまでに障害箇所を推定したり、複数の要因で障害発生装置からイベント情報が発生しない場合に周辺装置のイベント情報のみで障害箇所を推定したりするような、早期に障害回復させるための課題があった。

　本発明は上記事情を鑑みて成されたものであって、ネットワークサービスの保守業務において早期の障害回復を実現するパターン抽出及びルール生成装置、方法及びコンピュータプログラムを提供することを目的とする。

　本発明の第１態様によるパターン抽出及びルール生成装置は、障害ごとに、障害要因箇所及び障害要因を含む障害要因情報と、前記障害の発生から回復までに生じた障害イベント群情報と、条件部と結論部とを含むルールに対応付けられたルールＩＤと、を関連付けて登録しているデータベースと、新規の前記障害である新規障害に関連付けられた前記障害イベント群情報の一部の取り得る一以上の組合せを全通り生成し、前記新規障害の障害イベントの組合せと過去の前記障害である一以上の過去障害それぞれの前記障害イベントの組合せとから、最も発生していない組合せと判定されるユニークパターンを前記新規障害ごとに抽出し、前記ユニークパターンを前記条件部に含む前記ルールを生成するルール学習制御部と、を備える。

　本発明によれば、ネットワークサービスの保守業務において早期の障害回復を実現するパターン抽出及びルール生成装置、方法及びコンピュータプログラムを提供することを目的とする。

図１は、一実施形態のパターン抽出及びルール生成装置を含む監視システムの一構成例を概略的に示す図である。 図２は、図１に示すサーバの一構成例を概略的に示す図である。 図３は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第１例について説明するためのフローチャートである。 図４は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第２例について説明するためのフローチャートである。 図５は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。 図６は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第３例について説明するためのフローチャートである。 図７は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。 図８は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第４例について説明するためのフローチャートである。 図９は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。 図１０は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第５例について説明するためのフローチャートである。 図１１は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。

　以下、図面を参照してこの発明に係わる実施形態のパターン抽出及びルール生成装置、方法及びコンピュータプログラムについて説明する。なお、以下の実施形態では、同一の番号を付した部分については同様の動作を行うものとして、重ねての説明を省略する。　
　図１は、一実施形態のパターン抽出及びルール生成装置を含む監視システムの一構成例を概略的に示す図である。

　図１に示す監視システムの監視対象は、複数の監視対象装置を含む監視対象ネットワークである。監視システムは、ＨＵＢ１０を介して監視対象ネットワークと通信可能に接続されている。
　監視システムは、監視装置２０と、ルール学習型障害箇所推定システム６０と、を含む。ルール学習型障害箇所推定システム６０は、サーバ３０と、表示端末４０と、を含む。監視装置２０と、サーバ３０と、表示端末４０とは、夫々、少なくとも１つのプロセッサと、プロセッサにより実行されるプログラムを記録したメモリと、を含み、ソフトウエアにより、又は、ソフトウエアとハードウエアとの組み合わせにより、以下に説明する種々の機能を実現している。監視装置２０と、サーバ３０と、表示端末４０とは、ネットワークを介して互いに通信可能に接続されている。

　監視装置２０にて監視対象ネットワークから障害イベント情報を受信し、受信した障害イベント情報をルール学習型障害箇所推定システム６０のサーバ３０に定期的に送信する。
　サーバ３０は、監視装置２０から受信した障害イベント情報に基づいて、ルール生成及び障害箇所推定を実行する。サーバ３０は、初回の障害発生時に、当該障害を特徴づける障害イベント情報からユニークパターンを抽出し、ルールを作成する。サーバ３０は、例えば保守者により入力された障害発生時間帯に基づいて、２回目以降の障害発生時に障害箇所の推定処理を実行する。サーバ３０は、例えば、ルールに一部でも合致する障害推定箇所（監視対象装置）と、確信度（イベントの合致割合）とを、推定結果として表示端末４０に出力する。

　表示端末４０は、例えば表示部と、操作部と、を備えた端末である。操作部は、例えばキーボード、マウス、タッチパネル等であって、オペレータ（保守者）が操作することにより情報を入力する手段である。表示部は、液晶表示パネルや有機ＥＬ表示パネルなどの表示手段を含み、サーバ３０による障害箇所推定結果やその対処案などを表示することができる。保守者は、表示端末４０を操作することにより、例えば、障害の真の原因とその障害箇所の情報を入力することができる。また、保守者は、表示端末４０を操作して、発生した障害の障害発生時間帯を入力することにより、障害が発生したと推定される箇所および対処案を表示部に提示させることができる。

　図２は、図１に示すサーバの一構成例を概略的に示す図である。
　サーバ３０は、データ取込部３１と、ルール学習制御部３２と、障害箇所推定機能部３３と、対処方法管理機能部３４と、ＧＵＩ（Graphical User Interface）部３５と、ＡＰＩ（Application Programming Interface）部３６と、障害履歴・対処履歴データベースＤ１と、ルールデータベースＤ２と、アラーム情報データベースＤ３と、ネットワーク（ＮＷ）構成情報データベースＤ４と、を備えている。
　ルール学習制御部３２、障害履歴・対処履歴データベースＤ１、ルールデータベースＤ２およびアラーム情報データベースＤ３は、パターン抽出及びルール生成装置５０を構成する。

　障害履歴・対処履歴データベースＤ１には、障害履歴情報と対処履歴情報とが障害ＩＤと関連付けられて記録されている。障害履歴情報は、例えば、障害（障害ＩＤ）ごとの障害イベントログ情報（監視対象装置ＩＤ、イベントＩＤ、イベント種別、イベント発生日時等）、障害要因情報などを含む。障害イベントは、障害ＩＤに対応付けられ、障害ＩＤに対応する障害により発生するイベントを示す。障害要因情報は、例えば、障害要因箇所の情報と、障害要因の情報とを含む。障害要因の情報は障害が発生した原因（障害要因種別）を示し、保守者により特定された障害の真の原因の情報である。障害要因箇所の情報は、保守者により特定された障害が起きた位置（例えば監視対象装置ＩＤ、ＩＰアドレスなど）を示し、障害要因箇所はある監視対象装置である。対処履歴情報は、実際に保守者が行った対処方法、対処日時等を含む。

　ルールデータベースＤ２には、障害ごとに生成されたルールがルールＩＤと関連付けられて記録されている。なお、ルールＩＤはルールごとに付される。ルールデータベースＤ２に記録されるルールは、障害イベント群情報と障害要因情報とを関連づけるＩＦ－ＴＨＥＮルールである。ＩＦ－ＴＨＥＮルールは、前提又は条件を表すｉｆ部（条件部）とｉｆ部が真である場合の結論又は動作を表すｔｈｅｎ部（結論部）とから構成される。なお、以下の説明において、複数のルールをルールセットと称することがある。実施形態では、ルールの条件部は障害イベント（例えばアラーム）の組み合わせであり、例えば監視対象装置ＩＤとイベント種別（アラーム種別、レベル等）との対の組み合わせにより表される。ルールの結論部は障害要因情報であり、例えば監視対象装置ＩＤと障害要因種別とにより表される。

　アラーム情報データベースＤ３には、監視対象装置で発せられたアラーム情報（監視対象装置ＩＤ、イベントＩＤ、イベント種別（アラーム種別）、イベント発生日時等）と、障害ごとのアラーム（アラーム種別）の組み合わせとが、障害ＩＤと関連付けられて記録されている。アラームの組合せは、障害ＩＤごとにその障害ＩＤに対応付けられた複数の障害イベントの一部又は全ての組合せである。

　ネットワーク構成情報データベースＤ４には、ネットワーク構成情報が記録されている。ネットワーク構成情報は、ネットワーク構成情報は、ネットワークを構成する機器同士がどのように接続されているかを示す情報であって、例えば、監視対象装置情報（ＩＰアドレス、装置種別、監視対象装置ＩＤ等）と、監視対象装置間の接続情報を含んでいる。

　データ取込部３１は、サーバ３０の外部から供給されるデータを取得する。例えば、データ取込部３１は、監視装置２０から障害イベント群情報を取得することができる。障害イベント群情報は、一つの障害イベント又は複数の障害イベント群の情報を含む。障害イベント群情報は、例えば、障害履歴情報と、障害要因情報と、を含む。データ取込部３１は、取得した障害履歴情報と障害要因情報とを障害ＩＤと関連付けて、障害履歴・対処履歴データベースＤ１に記録して情報を更新する。

　また、データ取込部３１は、監視装置２０からネットワーク構成情報を取得する。データ取込部３１は、少なくとも監視対象ネットワークの構成が変更されたとき、ネットワーク構成情報を取得することができる。データ取込部３１は、取得したネットワーク構成情報をネットワーク構成情報データベースＤ４に記録して情報を更新する。

　ルール学習制御部３２は、新たに発生した障害（新規障害）に対する障害イベント群情報に含まれるアラーム情報を、障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する。また、ルール学習制御部３２は、新たに発生した障害（新規障害）に対する障害イベント群情報の一部若しくは全部を用いて、障害を特徴づける障害イベントのユニークパターンを抽出する。本実施形態において、ルール学習制御部３２は、新規障害の障害イベント群情報の一部若しくは全部から、新規障害を特徴付けるユニークパターンの候補となるアラームの組合せを生成し、生成した全通りのアラームの組合せを、障害ＩＤごとにアラーム情報データベースＤ３に登録するとともに、アラーム情報データベースＤ３に登録されている過去の全ての障害（過去障害）におけるアラームの組合せを参照し、これら全ての組合せから、それぞれの障害を特徴付けるアラームの組合せをユニークパターンとして障害（すなわち、障害ＩＤ）ごとに抽出する。

　ルール学習制御部３２は、新規障害について抽出されたユニークパターンをルールの条件部として採用し、保守者により登録された真の原因とその位置を特定した障害要因情報をルールの結論部として採用して新しいルールを生成する。ルール学習制御部３２は、新規障害について新しく生成したユニークパターンを新たなルールＩＤと関連付けて、ルールセットを改訂し、当該新たなルールＩＤと障害ＩＤとを関連付けてルールデータベースＤ２に記録する。なお、ルールＩＤはルールごとに付される。

　アラームの組合せは、障害ＩＤごとにその障害ＩＤに対応付けられた一部又は全てのアラームの組合せである。ユニークパターンは、障害ＩＤごとにアラームの組合せから所定の手法で算出され、障害ＩＤごとに１つ算出される。そして、ユニークパターンはルールＩＤと一対一に対応している。

　また、保守者による障害対応において判定結果が正解の場合の障害イベント登録が成され、１つのルールＩＤは複数の障害ＩＤに登録される場合がある。さらに、１つのルールＩＤは、１以上の障害イベント（アラーム）に対応するので、多数の障害イベントと対応する場合もある。ユニークパターンの算出手法の一例は後に詳細に説明する。

　また、ルール学習制御部３２は、他の障害のユニークパターンも必要に応じて見直す。ルール学習制御部３２は、障害ごとに障害履歴・対処履歴データベースＤ１に記録されている一以上の障害イベントの情報を基に、障害ごとにルール学習制御部３２による再判定結果である障害要因情報と障害履歴・対処履歴データベースＤ１に含まれる障害要因情報とが合致していない場合は、ルール学習制御部３２で抽出されたユニークパターンとは異なるユニークパターンを再度抽出し、抽出されたユニークパターンを当該障害のルールにおける条件部とする。

　障害箇所推定機能部３３は、障害発生時（２回目以降）に、障害イベント群情報に含まれる障害イベントの組み合わせが、ルールデータベースＤ２に記録されたルールのユニークパターン（条件部）にどれだけ合致するか（確信度）を算出する。障害箇所推定機能部３３は、算出された確信度に基づいて適用されるルールを選択し、選択したルールの結論部から障害要因と推定される障害要因箇所の情報を取得することができる。

　ＧＵＩ部３５は、表示端末４０の表示部上で、視覚的に、保守者による入力を誘導する。ＧＵＩ部３５は、例えば、障害発生時に、保守者による障害発生時間帯および障害発生箇所の入力を誘導する視覚情報を表示端末４０の表示部に表示させることができる。またＧＵＩ部３５は、例えば、表示端末４０の表示部上で、保守者に対して障害要因箇所および対処方法（対処案）の情報を提示した後、保守者が障害箇所推定機能部３３の推定結果に対して正解／不正解を登録する際に、表示端末４０の表示部に保守者の入力を誘導する視覚情報を表示させることができる。また、ＧＵＩ部３５は、保守者が表示端末４０を操作して入力した情報を取得することができる。

　対処方法管理機能部３４は、障害箇所推定機能部３３により算出された確信度に基づいて、障害が発生した推定箇所を保守者に提示するするとともに、使用したルールが適用された障害の対処履歴に基づく対処方法を保守者に提示する。対処方法管理機能部３４は、例えば、確信度が高いユニークパターンを含むルールの少なくとも一つの結論部を、表示端末４０により保守者に提示することができる。また、対処方法管理機能部３４は、確信度が高いユニークパターンを含むルールが適用された少なくとも一つの過去の障害の対処履歴を対処方法として、表示端末４０により保守者に提示する。

　また、対処方法管理機能部３４は、保守者が表示端末４０の表示部上で登録した登録結果（正解／不正解）を取得する。対処方法管理機能部３４は、登録結果が不正解である場合、ルール学習制御部３２に対し、結論部が不正解であるルールについて見直すよう指示を送信する。

　ＡＰＩ部３６は、複数のアプリケーションの間でデータを送受信する際の媒介となるインタフェースである。ＡＰＩ部３６は、例えば、サーバ３０の種々の機能について、監視装置２０および表示端末４０など他の装置や端末と連携させることができる。

　次に、実施形態のパターン抽出及びルール生成装置５０において、ルールを生成および修正する動作についての複数の例を説明する。本実施形態のパターン抽出及びルール生成装置５０は、以下に説明する複数の動作例（第１例乃至第５例）の少なくとも１つにより、ルール生成および修正を行うことができる。

　図３は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第１例について説明するためのフローチャートである。
　ここでは、保守者が入力した障害発生時間帯および障害発生箇所とその周辺装置における全てのアラームの組み合わせの中からユニークパターンを生成するときの、パターン抽出及びルール生成装置５０の動作の一例について説明する。

　最初に、データ取込部３１は、監視装置２０から障害イベント群情報を取り込む（ステップＳＡ１）。データ取込部３１は、障害イベント群情報に含まれる障害履歴情報を、新たな障害ＩＤと関連付けて障害履歴・対処履歴データベースＤ１に記録する。

　続いて、保守者が表示端末４０を操作して障害発生時間帯、障害発生箇所を入力すると（ステップＳＡ２）、サーバ３０は、ＧＵＩ部３５により表示端末４０において保守者が入力した情報を取得する。ＧＵＩ部３５は、障害発生時間帯および障害発生箇所をルール学習制御部３２に供給する。

　ルール学習制御部３２は、障害履歴・対処履歴データベースＤ１にアクセスし、入力された障害発生時間帯および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）を読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する。

　ルール学習制御部３２は、ルールデータベースＤ２から既存のルールに含まれるユニークパターン（条件部）を読み出し、新たに生成したアラームの組み合わせと、既存のルールのユニークパターンとを比較する（ステップＳＡ３）。
　ルール学習制御部３２は、新たに生成したアラームの組み合わせの中で、既存のルールのユニークパターンにおいて最も発生していない組み合わせを、新規障害のユニークパターンとする（ステップＳＡ４）。

　一方、ルールデータベースＤ２に登録されている過去のある一つの障害に対応する、ルール学習制御部３２で抽出されたユニークパターンが、この障害ＩＤに対応して登録されているルールの条件部に定義されている障害イベントの組合せと異なっている場合は、ルール学習制御部３２はルールを修正する必要があると判断する。ルール学習制御部３２が抽出したユニークパターンを条件部として採用し既存ルールを上書き修正し、ルールデータベースＤ２に登録する（ステップＳＡ５）。

　ルール学習制御部３２は、障害ＩＤごとに、障害履歴・対処履歴データベースＤ１に登録されている障害イベント群情報の情報を基に再判定を行い、その判定結果である障害要因情報と、障害履歴・対処履歴データベースＤ１に登録されている障害要因情報（この情報は過去に保守者によって登録されたものである）とを照合し、照合して合致する場合（照合ＯＫの場合）は、新たなルール追加が成功したとし、さらに既存ルールを上書き修正した場合にはルール修正も成功したとして、処理を終了する。一方、ルール学習制御部３２は、照合して合致しない場合（照合ＮＧの場合）は、アラーム情報データベースＤ３にアクセスして、複数のアラームの組み合わせから他のユニークパターンを再び抽出する。ルール学習制御部３２による上記動作は再検証であり、殆ど全ての場合で照合ＯＫとなるが、希にデータが改変等されていて照合ＮＧとなった場合にも対応することができる。

　図４は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第２例について説明するためのフローチャートである。
　ここでは、障害発生時間帯の一部である学習時間帯および障害発生箇所とその周辺装置におけるアラームの組み合わせの中からユニークパターンを生成するときの、パターン抽出及びルール生成装置５０の動作の一例について説明する。

　最初に、データ取込部３１は、新規障害についての障害イベント群情報を取り込む（ステップＳＢ１）。データ取込部３１は、障害イベント群情報に含まれる障害履歴情報を、新たな障害ＩＤと関連付けて障害履歴・対処履歴データベースＤ１に記録する。

　続いて、保守者が表示端末４０を操作して障害発生時間帯、障害発生箇所を入力する。第２例では、保守者は表示端末４０を操作して学習時間帯を更に入力することができる（ステップＳＡ２）。

　サーバ３０は、ＧＵＩ部３５により表示端末４０において保守者が入力した情報を取得する。保守者が学習時間帯を入力したときには（ステップＳＢ３「有」）、ＧＵＩ部３５は、障害発生時間帯、障害発生箇所および学習時間帯をルール学習制御部３２に供給する。保守者が学習時間帯を入力しなかったときには（ステップＳＢ３「無」）、ＧＵＩ部３５は、障害発生時間帯および障害発生箇所をルール学習制御部３２に供給する。

　ルール学習制御部３２は、障害発生時間帯および障害発生箇所が入力されたとき（学習時間帯が入力されなかったとき）、予め設定されたシステム規定値の学習時間帯の障害イベント情報を抽出する。すなわち、ルール学習制御部３２は、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯中の学習時間帯（システム規定値）および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）を読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＢ４）。

　ルール学習制御部３２は、障害発生時間帯、障害発生箇所および学習時間帯が入力されたとき、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯中の入力された学習時間帯および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）を読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＢ５）。

　ルール学習制御部３２は、ルールデータベースＤ２から既存のルールに含まれるユニークパターン（条件部）を読み出し、新たに生成したアラームの組み合わせと、既存のルールのユニークパターンとを比較する（ステップＳＢ６）。
　ルール学習制御部３２は、新たに生成したアラームの組み合わせの中で、既存のルールのユニークパターンにおいて最も発生していない組み合わせを、新規障害のユニークパターンとする（ステップＳＢ７）。

　一方、ルールデータベースＤ２に登録されている過去のある一つの障害に対応する、ルール学習制御部３２で抽出されたユニークパターンが、この障害ＩＤに対応して登録されているルールの条件部に定義されている障害イベントの組合せと異なっている場合は、ルール学習制御部３２はルールを修正する必要があると判断する。ルール学習制御部３２が抽出したユニークパターンを条件部として採用し既存ルールを上書き修正し、ルールデータベースＤ２に登録する（ステップＳＢ８）。

　ルール学習制御部３２は、障害ＩＤごとに、障害履歴・対処履歴データベースＤ１に登録されている障害イベント群情報の情報を基に再判定を行い、その判定結果である障害要因情報と、障害履歴・対処履歴データベースＤ１に登録されている障害要因情報（この情報は過去に保守者によって登録されたものである）とを照合し、照合して合致する場合（照合ＯＫの場合）は、新たなルール追加が成功したとし、さらに既存ルールを上書き修正した場合にはルール修正も成功したとして、処理を終了する。一方、ルール学習制御部３２は、照合して合致しない場合（照合ＮＧの場合）は、アラーム情報データベースＤ３にアクセスして、複数のアラームの組み合わせから他のユニークパターンを再び抽出する。

　図５は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。
　ここでは、横軸に時間、縦軸に障害発生箇所（監視対象装置）を示して、障害Ｘが発生してから回復するまでの障害発生時間帯において、発生したアラームＡ－Ｊの発生箇所と時間とを表示している。この障害Ｘのケースを例として、上述の第１例により生成されたルールによる推定結果の確信度と、第２例により生成されたルールによる推定結果の確信度との一例について以下に説明する。

　例えば上記第１例の動作により障害Ｘのルール（ユニークパターン）を生成すると、ルール学習制御部３２は、障害発生時間帯における全てのアラームＡ－Ｊによる組み合わせの中からユニークパターンを抽出する。ここでは、第１例の動作により抽出された障害ＸのユニークパターンはアラームＢ、アラームＥ、アラームＦ、アラームＩの組み合わせ（IF B,E,F,I）である。

　また、例えば上記第２例の動作により障害Ｘのルール（ユニークパターン）を生成すると、ルール学習制御部３２は、障害発生時間帯中の学習時間帯におけるアラームＡ－Ｄによる組み合わせの中からユニークパターンを抽出する。ここでは、第２例の動作により抽出された障害ＸのユニークパターンはアラームＡ、アラームＢ、アラームＣ、アラームＤの組み合わせ（IF A,B,C,D）である。

　上記第１例および第２例の動作により生成された障害Ｘのユニークパターンを用いて、時間（１）と時間（２）とにおける障害Ｘの確信度を算出する。時間（１）は障害Ｘの主要因イベントのアラームＦが発生する前のタイミングであり、時間（２）は障害Ｘに対する対処が行われ回復イベントであるアラームＧ－Ｊが発生した後のタイミングである。

　第１例で生成された障害Ｘのユニークパターンと、時間（１）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（１）ではユニークパターン（IF B,E,F,I）の中でアラームＢのみが発生していることとなり、障害Ｘである確信度は１／４（２５％）となる。

　一方で、第１例で生成された障害Ｘのユニークパターンと、時間（２）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（２）ではユニークパターン（IF B,E,F,I）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　また、第２例で生成された障害Ｘのユニークパターンと、時間（１）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（１）ではユニークパターン（IF A,B,C,D）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　第２例で生成された障害Ｘのユニークパターンと、時間（２）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（２）ではユニークパターン（IF A,B,C,D）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　上記より、第２例により生成されたルールを用いた場合、第１例により生成されたルールを用いた場合に比べて、障害発生時間帯のより早い段階で障害Ｘである確信度が高い結果が得られている。すなわち、第２例では、障害発生時間帯中の学習時間帯を障害発生の初期に設定していることにより、障害発生初期の段階でアラームのユニークパターンに基づいてどこで障害が発生したか（障害箇所）及びどんな原因で障害が発生したか（障害要因）を正確に判定することが出来ていることとなる。第２例のように、障害発生時間帯中において障害初期の段階に学習時間帯を設定することにより、学習において、障害が発生してから時間が経過して発生する障害イベントをユニークパターンとして抽出することがなくなり、障害初期の段階で、障害箇所を推定（確信度を高く推定）することができる。その結果、早期に障害回復措置をとることが可能である。

　なお、主要因イベント（図５の例ではアラートＦ）が発生すると障害箇所を特定しやすいことから、主要因イベントが発生するまでの時間帯に学習時間帯を設定することにより、主要因イベントが発生する前に予め確信度の高い障害箇所を知ることができ、早期に障害回復させることが可能となる。

　図６は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第３例について説明するためのフローチャートである。
　ここでは、障害発生時間帯および障害発生箇所とその周辺装置における、一部又は全ての回復イベント以外のアラームの組み合わせの中からユニークパターンを生成するときの、パターン抽出及びルール生成装置５０の動作の一例について説明する。

　最初に、データ取込部３１は、新規障害についての障害イベント群情報を取り込む（ステップＳＣ１）。データ取込部３１は、障害イベント群情報に含まれる障害履歴情報を、新たな障害ＩＤと関連付けて障害履歴・対処履歴データベースＤ１に記録する。
　続いて、保守者が表示端末４０を操作して障害発生時間帯、障害発生箇所を入力する。第３例では、保守者は表示端末４０を操作して、回復イベント情報のユーザ指定（回復イベントを除くユニークパターンを抽出するか否か）を更に入力することができる（ステップＳＣ２）。

　サーバ３０は、ＧＵＩ部３５により表示端末４０において保守者が入力した情報を取得する。保守者が回復イベント情報のユーザ指定を入力したときには（ステップＳＣ３「有」）、ＧＵＩ部３５は、障害発生時間帯、障害発生箇所および保守者が除くと指定した回復イベント情報をルール学習制御部３２に供給する。保守者が回復イベント情報のユーザ指定を入力しなかったときには（ステップＳＣ３「無」）、ＧＵＩ部３５は、障害発生時間帯および障害発生箇所をルール学習制御部３２に供給する。

　ルール学習制御部３２は、障害発生時間帯および障害発生箇所が入力されたとき（回復イベント情報のユーザ指定が入力されなかったとき）、予め設定されたシステム規定値の回復イベント情報を除く障害イベント情報を抽出する。すなわち、ルール学習制御部３２は、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯中および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）の中で規定された回復イベント以外のアラームを読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＣ４）。

　ルール学習制御部３２は、障害発生時間帯、障害発生箇所および回復イベント情報のユーザ指定が入力されたとき、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）の中で保守者に指定された回復イベント以外のアラームを読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＣ５）。

　ルール学習制御部３２は、ルールデータベースＤ２から既存のルールに含まれるユニークパターン（条件部）を読み出し、新たに生成したアラームの組み合わせと、既存のルールのユニークパターンとを比較する（ステップＳＣ６）。

　ルール学習制御部３２は、新たに生成したアラームの組み合わせの中で、既存のルールのユニークパターンにおいて最も発生していない組み合わせを、新規障害のユニークパターンとする（ステップＳＣ７）。

　一方、ルールデータベースＤ２に登録されている過去のある一つの障害に対応する、ルール学習制御部３２で抽出されたユニークパターンが、この障害ＩＤに対応して登録されているルールの条件部に定義されている障害イベントの組合せと異なっている場合は、ルール学習制御部３２はルールを修正する必要があると判断する。ルール学習制御部３２が抽出したユニークパターンを条件部として採用し既存ルールを上書き修正し、ルールデータベースＤ２に登録する（ステップＳＣ８）。

　ルール学習制御部３２は、障害ＩＤごとに、障害履歴・対処履歴データベースＤ１に登録されている障害イベント群情報の情報を基に再判定を行い、その判定結果である障害要因情報と、障害履歴・対処履歴データベースＤ１に登録されている障害要因情報（この情報は過去に保守者によって登録されたものである）とを照合し、照合して合致する場合（照合ＯＫの場合）は、新たなルール追加が成功したとし、さらに既存ルールを上書き修正した場合にはルール修正も成功したとして、処理を終了する。一方、ルール学習制御部３２は、照合して合致しない場合（照合ＮＧの場合）は、アラーム情報データベースＤ３にアクセスして、複数のアラームの組み合わせから他のユニークパターンを再び抽出する。

　図７は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。
　ここでは図５に示す例と同様に障害Ｘのケースを例として、上述の第１例により生成されたルールによる推定結果の確信度と、第３例により生成されたルールによる推定結果の確信度との一例について以下に説明する。
　第１例の動作により生成される障害Ｘのルール（ユニークパターン）は、アラームＢ、アラームＥ、アラームＦ、アラームＩの組み合わせ（IF B,E,F,I）である。

　第３例の動作により障害Ｘのルール（ユニークパターン）を生成すると、ルール学習制御部３２は、障害発生時間帯中のアラームＡ－Ｊの中で回復イベント以外のアラームＡ－Ｆによる組み合わせの中から、ユニークパターンを抽出する。なお、この例では、回復イベントであるアラームＧ－Ｊの全てを除くアラームＡ－Ｆの組み合わせの中からユニークパターンを抽出する例を示しているが、保守者が複数の回復イベントの一部を指定した場合には、指令された回復イベントのみを除いたアラームの組み合わせからユニークパターンが抽出される。ここでは、第３例の動作により抽出された障害ＸのユニークパターンはアラームＡ、アラームＢ、アラームＥ、アラームＦの組み合わせ（IF A,B,E,F）である。

　上記第１例および第３例の動作により生成された障害Ｘのユニークパターンを用いて、時間（３）と時間（４）とにおける障害Ｘの確信度を算出する。時間（３）は障害Ｘの主要因イベントのアラームＦが発生した後、回復イベントのアラームＧ－Ｊが発生する前のタイミングであり、時間（４）は障害Ｘに対する対処が行われ回復イベントであるアラームＧ－Ｊが発生した後のタイミングである。

　第１例で生成された障害Ｘのユニークパターンと、時間（３）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（３）ではユニークパターン（IF B,E,F,I）の中でアラームＢ、Ｅ、Ｆが発生していることとなり、障害Ｘである確信度は３／４（７５％）となる。

　一方で、第１例で生成された障害Ｘのユニークパターンと、時間（４）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（４）ではユニークパターン（IF B,E,F,I）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　また、第３例で生成された障害Ｘのユニークパターンと、時間（３）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（３）ではユニークパターン（IF A,B,E,F）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　第３例で生成された障害Ｘのユニークパターンと、時間（４）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（４）ではユニークパターン（IF A,B,E,F）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　上記より、第３例により生成されたルールを用いた場合、第１例により生成されたルールを用いた場合に比べて、障害発生時間帯のより早い段階で障害Ｘである確信度が高い結果が得られている。すなわち、第３例では、障害発生時間帯において障害発生から時間が経過してから発生する回復イベントをユニークパターンから除いているため、ユニークパターンが障害発生から時間が経過する前に発生するアラームの組み合わせとなり、障害発生から早い段階でユニークパターンに基づいてどこで障害が発生したか（障害箇所）及びどんな原因で障害が発生したか（障害要因）を正確に判定することが出来ていることとなる。第３例のように、回復イベントを除くアラームによりユニークパターンを生成することにより、学習において、障害が発生してから時間が経過して発生する障害イベントをユニークパターンとして抽出することがなくなり、障害初期の段階で、障害箇所を推定（確信度を高く推定）することができる。その結果、早期に障害回復措置をとることが可能である。

　図８は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第４例について説明するためのフローチャートである。
　ここでは、障害発生時間帯中の主要因イベントが発生する前の時間帯および障害発生箇所とその周辺装置におけるアラームの組み合わせの中からユニークパターンを生成するときの、パターン抽出及びルール生成装置５０の動作の一例について説明する。

　最初に、データ取込部３１は、新規障害についての障害イベント群情報を取り込む（ステップＳＤ１）。データ取込部３１は、障害イベント群情報に含まれる障害履歴情報を、新たな障害ＩＤと関連付けて障害履歴・対処履歴データベースＤ１に記録する。
　続いて、保守者が表示端末４０を操作して障害発生時間帯、障害発生箇所を入力する。第４例では、保守者は表示端末４０を操作して、主要因イベント情報のユーザ指定を更に入力することができる（ステップＳＤ２）。

　サーバ３０は、ＧＵＩ部３５により表示端末４０において保守者が入力した情報を取得する。保守者が主要因イベント情報のユーザ指定を入力したときには（ステップＳＤ３「有」）、ＧＵＩ部３５は、障害発生時間帯、障害発生箇所および保守者が指定した主要因イベント情報をルール学習制御部３２に供給する。保守者が主要因イベント情報のユーザ指定を入力しなかったときには（ステップＳＤ３「無」）、ＧＵＩ部３５は、障害発生時間帯および障害発生箇所をルール学習制御部３２に供給する。

　ルール学習制御部３２は、障害発生時間帯および障害発生箇所が入力されたとき（主要因イベント情報のユーザ指定が入力されなかったとき）、障害履歴・対処履歴データベースＤ１から主要因イベント情報に合致するイベントの発生時刻より前の時間帯における障害イベント情報を抽出する。すなわち、ルール学習制御部３２は、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯中および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）の中で主要因イベントに合致するアラームを特定し、当該アラームの発生時刻より前の時間帯におけるアラームを読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＤ４）。

　ルール学習制御部３２は、障害発生時間帯、障害発生箇所および主要因イベント情報のユーザ指定が入力されたとき、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）の中で、保守者に指定された主要因イベントの発生時刻より前の時間帯におけるアラームを読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＤ５）。

　ルール学習制御部３２は、ルールデータベースＤ２から既存のルールに含まれるユニークパターン（条件部）を読み出し、新たに生成したアラームの組み合わせと、既存のルールのユニークパターンとを比較する（ステップＳＤ６）。

　ルール学習制御部３２は、新たに生成したアラームの組み合わせの中で、既存のルールのユニークパターンにおいて最も発生していない組み合わせを、新規障害のユニークパターンとする（ステップＳＤ７）。

　一方、ルールデータベースＤ２に登録されている過去のある一つの障害に対応する、ルール学習制御部３２で抽出されたユニークパターンが、この障害ＩＤに対応して登録されているルールの条件部に定義されている障害イベントの組合せと異なっている場合は、ルール学習制御部３２はルールを修正する必要があると判断する。ルール学習制御部３２が抽出したユニークパターンを条件部として採用し既存ルールを上書き修正し、ルールデータベースＤ２に登録する（ステップＳＤ８）。

　ルール学習制御部３２は、障害ＩＤごとに、障害履歴・対処履歴データベースＤ１に登録されている障害イベント群情報の情報を基に再判定を行い、その判定結果である障害要因情報と、障害履歴・対処履歴データベースＤ１に登録されている障害要因情報（この情報は過去に保守者によって登録されたものである）とを照合し、照合して合致する場合（照合ＯＫの場合）は、新たなルール追加が成功したとし、さらに既存ルールを上書き修正した場合にはルール修正も成功したとして、処理を終了する。一方、ルール学習制御部３２は、照合して合致しない場合（照合ＮＧの場合）は、アラーム情報データベースＤ３にアクセスして、複数のアラームの組み合わせから他のユニークパターンを再び抽出する。

　図９は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。
　ここでは図５に示す例と同様に障害Ｘのケースを例として、上述の第１例により生成されたルールによる推定結果の確信度と、第４例により生成されたルールによる推定結果の確信度との一例について以下に説明する。
　第１例の動作により生成される障害Ｘのルール（ユニークパターン）は、アラームＢ、アラームＥ、アラームＦ、アラームＩの組み合わせ（IF B,E,F,I）である。

　第４例の動作により障害Ｘのルール（ユニークパターン）を生成すると、ルール学習制御部３２は、障害発生時間帯中のアラームＡ－Ｊの中で主要因イベント（アラームＦ）の発生時刻よりも前の時間帯におけるアラームＡ－Ｅによる組み合わせの中から、ユニークパターンを抽出する。なお、主要因イベントであるアラームＦは、保守者により指定された首位要因イベント情報に基づくものであってもよく、ルール学習制御部３２が予め設定された主要因イベントの条件に基づいて設定したものであってもよい。ここでは、第４例の動作により抽出された障害ＸのユニークパターンはアラームＡ、アラームＢ、アラームＤ、アラームＥの組み合わせ（IF A,B,D,E）である。

　上記第１例および第４例の動作により生成された障害Ｘのユニークパターンを用いて、時間（５）と時間（６）とに障害Ｘの確信度を算出する。時間（５）は障害Ｘの主要因イベントのアラームＦが発生する前のタイミングであり、時間（６）は障害Ｘに対する対処が行われ回復イベントであるアラームＧ－Ｊが発生した後のタイミングである。

　第１例で生成された障害Ｘのユニークパターンと、時間（５）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（５）ではユニークパターン（IF B,E,F,I）の中でアラームＢ、Ｅが発生していることとなり、障害Ｘである確信度は２／４（５０％）となる。

　一方で、第１例で生成された障害Ｘのユニークパターンと、時間（６）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（６）ではユニークパターン（IF B,E,F,I）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　また、第４例で生成された障害Ｘのユニークパターンと、時間（５）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（５）ではユニークパターン（IF A,B,D,E）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　第４例で生成された障害Ｘのユニークパターンと、時間（６）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（６）ではユニークパターン（IF A,B,D,E）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　上記より、第４例により生成されたルールを用いた場合、第１例により生成されたルールを用いた場合に比べて、障害発生時間帯のより早い段階で障害Ｘである確信度が高い結果が得られている。すなわち、第４例では、障害発生時間帯において障害発生から主要因イベントが発生するまでの時間帯におけるアラームの組み合わせからユニークパターンを抽出しているため、ユニークパターンが障害発生から時間が経過する前に発生するアラームの組み合わせとなり、障害発生から早い段階でユニークパターンに基づいてどこで障害が発生したか（障害箇所）及びどんな原因で障害が発生したか（障害要因）を正確に判定することが出来ていることとなる。第４例のように、主要因イベントの発生時刻よりも前の時間帯におけるアラームによりユニークパターンを生成することにより、学習において、障害が発生してから時間が経過して発生する障害イベントをユニークパターンとして抽出することがなくなり、障害初期の段階で、障害箇所を推定（確信度を高く推定）することができる。その結果、早期に障害回復措置をとることが可能である。

　なお、主要因イベント（図９の例ではアラートＦ）が発生すると障害箇所を特定しやすいことから、主要因イベントが発生するまでの時間帯に学習時間帯を設定することにより、主要因イベントが発生する前に予め確信度の高い障害箇所を知ることができ、早期に障害回復させることが可能となる。

　図１０は、一実施形態のパターン抽出及びルール生成装置におけるルール生成および修正動作の第５例について説明するためのフローチャートである。
　ここでは、障害発生時間帯および障害発生箇所とその周辺装置におけるアラームから、障害発生装置からの障害イベントを除いたアラームの組み合わせの中からユニークパターンを生成するときの、パターン抽出及びルール生成装置５０の動作の一例について説明する。

　最初に、データ取込部３１は、新規障害についての障害イベント群情報を取り込む（ステップＳＥ１）。データ取込部３１は、障害イベント群情報に含まれる障害履歴情報を、新たな障害ＩＤと関連付けて障害履歴・対処履歴データベースＤ１に記録する。

　続いて、保守者が表示端末４０を操作して障害発生時間帯、障害発生箇所を入力する。（ステップＳＥ２）。
　サーバ３０は、ＧＵＩ部３５により表示端末４０において保守者が入力した情報を取得する。ＧＵＩ部３５は、取得した障害発生時間帯および障害発生箇所をルール学習制御部３２に供給する。

　ルール学習制御部３２は、障害発生時間帯および障害発生箇所が入力されたとき、障害履歴・対処履歴データベースＤ１から、障害発生装置からの障害イベントを除く障害イベント情報を抽出する。すなわち、ルール学習制御部３２は、障害履歴・対処履歴データベースＤ１にアクセスし、障害発生時間帯中および障害発生箇所とその周辺装置における障害イベント情報（アラーム情報）の中で障害発生装置からのアラーム以外のアラームを読み出し、読み出された全てのアラームの組み合わせを生成する。ルール学習制御部３２は、生成したアラームの組み合わせを障害ＩＤと関連付けてアラーム情報データベースＤ３に記録する（ステップＳＥ３）。

　ルール学習制御部３２は、ルールデータベースＤ２から既存のルールに含まれるユニークパターン（条件部）を読み出し、新たに生成したアラームの組み合わせと、既存のルールのユニークパターンとを比較する（ステップＳＥ４）。

　ルール学習制御部３２は、新たに生成したアラームの組み合わせの中で、既存のルールのユニークパターンにおいて最も発生していない組み合わせを、新規障害のユニークパターンとする（ステップＳＥ５）。

　一方、ルールデータベースＤ２に登録されている過去のある一つの障害に対応する、ルール学習制御部３２で抽出されたユニークパターンが、この障害ＩＤに対応して登録されているルールの条件部に定義されている障害イベントの組合せと異なっている場合は、ルール学習制御部３２はルールを修正する必要があると判断する。ルール学習制御部３２が抽出したユニークパターンを条件部として採用し既存ルールを上書き修正し、ルールデータベースＤ２に登録する（ステップＳＥ６）。

　ルール学習制御部３２は、障害ＩＤごとに、障害履歴・対処履歴データベースＤ１に登録されている障害イベント群情報の情報を基に再判定を行い、その判定結果である障害要因情報と、障害履歴・対処履歴データベースＤ１に登録されている障害要因情報（この情報は過去に保守者によって登録されたものである）とを照合し、照合して合致する場合（照合ＯＫの場合）は、新たなルール追加が成功したとし、さらに既存ルールを上書き修正した場合にはルール修正も成功したとして、処理を終了する。一方、ルール学習制御部３２は、照合して合致しない場合（照合ＮＧの場合）は、アラーム情報データベースＤ３にアクセスして、複数のアラームの組み合わせから他のユニークパターンを再び抽出する。

　図１１は、一実施形態のパターン抽出およびルール生成装置において生成された複数のルールによる推定結果の確信度の一例について説明する図である。
　ここでは上記障害Ｘのケースにおいて、障害推定時に何らかの要因（未発生／喪失）により障害発生装置からの障害イベント（アラームＡ、Ｆ）が発生しないサイレント故障である例について、上述の第１例により生成されたルールによる推定結果の確信度と、第５例により生成されたルールによる推定結果の確信度との一例について以下に説明する。

　第１例の動作により生成される障害Ｘのルール（ユニークパターン）は、アラームＢ、アラームＥ、アラームＦ、アラームＩの組み合わせ（IF B,E,F,I）である。
　第５例の動作により障害Ｘのルール（ユニークパターン）を生成すると、ルール学習制御部３２は、障害発生時間帯中のアラームＡ－Ｊから障害発生装置におけるアラームＡ、Ｆ、Ｇを除いたアラームＢ－Ｅ、Ｈ－Ｊによる組み合わせの中から、ユニークパターンを抽出する。ここでは、第５例の動作により抽出された障害Ｘのユニークパターンは、アラームＢ、アラームＤ、アラームＥ、アラームＨの組み合わせ（IF B,D,E,H）である。

　上記第１例および第５例の動作により生成された障害Ｘのユニークパターンを用いて、時間（７）と時間（８）とに障害Ｘの確信度を算出する。時間（７）は障害Ｘの主要因イベントのアラームＦが発生した後、回復イベントＧ－Ｊが発生する前のタイミングであり、時間（８）は障害Ｘに対する対処が行われ回復イベントであるアラームＧ－Ｊが発生した後のタイミングである。

　第１例で生成された障害Ｘのユニークパターンと、時間（７）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（７）ではユニークパターン（IF B,E,F,I）の中でアラームＢ、Ｅが発生していることとなり、障害Ｘである確信度は２／４（５０％）となる。

　一方で、第１例で生成された障害Ｘのユニークパターンと、時間（８）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（８）ではユニークパターン（IF B,E,F,I）の中でアラームＢ、Ｅ、Ｉが発生していることとなり、障害Ｘである確信度は３／４（７５％）となる。

　また、第５例で生成された障害Ｘのユニークパターンと、時間（７）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（７）ではユニークパターン（IF B,E,F,I）の中でアラームＢ、Ｄ、Ｅが発生していることとなり、障害Ｘである確信度は３／４（７５％）となる。

　第５例で生成された障害Ｘのユニークパターンと、時間（８）において発生しているアラームとを比較し、発生した障害が障害Ｘであるか判定すると、時間（８）ではユニークパターン（IF B,E,F,I）の全てのアラームが発生していることとなり、障害Ｘである確信度は４／４（１００％）となる。

　上記より、第５例により生成されたルールを用いた場合、第１例により生成されたルールを用いた場合に比べて、障害発生時間帯のより早い段階で障害Ｘである確信度が高い結果が得られている。これは、第５例により生成されたルールを用いると、発生した障害が障害Ｘであるか判定する際に、障害発生装置以外の周辺装置からのアラームの組み合わせであるユニークパターンにより障害箇所の推定を行うこととなり、何らかの要因により障害発生装置からイベント情報が発生しない場合（例えばサイレント故障である場合）に、より確信度を高く障害発生箇所を推定することが出来るためのである。その結果、早期に障害回復措置をとることが可能である。

　本実施形態のパターン抽出及びルール生成装置５０は、上記第１例乃至第５例の少なくとも一つの動作により生成されたルールを用いて障害箇所の推定を行うことができる。したがって、本実施形態のパターン抽出及びルール生成装置５０によれば、様々な状況において障害箇所をより確信度を高く推定し、保守者による早期の障害回復措置を支援することができる。

　上記のように、本実施形態によれば、ネットワークサービスの保守業務において早期の障害回復を実現するパターン抽出及びルール生成装置、方法及びコンピュータプログラムを提供することができる。

　なお、本発明は、上記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は適宜組み合わせて実施してもよく、その場合組み合わせた効果が得られる。更に、上記実施形態には種々の発明が含まれており、開示される複数の構成要件から選択された組み合わせにより種々の発明が抽出され得る。例えば、実施形態に示される全構成要件からいくつかの構成要件が削除されても、課題が解決でき、効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。

　２０…監視装置
　３０…サーバ
　３１…データ取込部
　３２…ルール学習制御部
　３３…障害箇所推定機能部
　３４…対処方法管理機能部
　３５…ＧＵＩ部
　３６…ＡＰＩ部
　４０…表示端末
　５０…ルール生成装置
　Ｄ１…障害履歴・対処履歴データベース
　Ｄ２…ルールデータベース
　Ｄ３…アラーム情報データベース
　Ｄ４…ネットワーク構成情報データベース
　Ａ－Ｊ…アラーム

Claims (8)

1. 　障害ごとに、障害要因箇所及び障害要因を含む障害要因情報と、前記障害の発生から回復までに生じた障害イベント群情報と、条件部と結論部とを含むルールに対応付けられたルールＩＤと、を関連付けて登録しているデータベースと、
   　新規の前記障害である新規障害に関連付けられた前記障害イベント群情報の一部の取り得る一以上の組合せを全通り生成し、前記新規障害の前記障害イベントの組合せと過去の前記障害である一以上の過去障害それぞれの前記障害イベントの組合せとから、最も発生していない組合せと判定されるユニークパターンを前記新規障害ごとに抽出し、前記ユニークパターンに応じて前記ルールを生成するルール学習制御部と、を備えるパターン抽出及びルール生成装置。
2. 　前記ルール学習制御部は、前記新規障害の抽出された前記ユニークパターンを前記ルールの条件部として採用し、真の原因とその位置を特定した障害要因情報を前記ルールの結論部として採用して新しいルールを生成する、請求項１に記載のパターン抽出及びルール生成装置。
3. 　前記障害イベント群情報の一部は、前記新規障害の発生から回復までの発生時間帯の一部の時間帯における少なくとも一つの前記障害イベントである、請求項１記載のパターン抽出及びルール生成装置。
4. 　前記障害イベント群情報は回復イベントを含み、
   　前記障害イベント群情報の一部は、前記回復イベントを除く全ての前記障害イベントである、請求項１記載のパターン抽出及びルール生成装置。
5. 　前記障害イベント群情報は、前記障害要因箇所における主要因イベントを含み、
   　前記一部の障害イベントは、前記主要因イベントよりも前に発生している前記障害イベントである、請求項１記載のパターン抽出及びルール生成装置。
6. 　前記一部の障害イベントは、前記新規障害の発生から回復までの障害発生時間帯において、前記障害要因箇所以外から発生した前記障害イベントである、請求項１記載のパターン抽出及びルール生成装置。
7. 　障害ごとに、障害要因箇所及び障害要因を含む障害要因情報と、前記障害の発生から回復までに生じた障害イベント群情報と、条件部と結論部とを含むルールに対応付けられたルールＩＤと、を関連付けて登録し、
   　新規の前記障害である新規障害に関連付けられた前記障害イベント群情報の一部の取り得る一以上の組合せを全通り生成し、前記新規障害の前記障害イベントの組合せと過去の前記障害である一以上の過去障害それぞれの前記障害イベントの組合せとから、最も発生していない組合せと判定されるユニークパターンを前記新規障害ごとに抽出し、
   　前記ユニークパターンに応じて前記ルールを生成する、パターン抽出及びルール生成方法。
8. 　コンピュータに請求項７記載の方法を実行させるコンピュータプログラム。

Images