WO2025041249A1

WO2025041249A1 - 分析装置および分析方法

Info

Publication number: WO2025041249A1
Application number: PCT/JP2023/030094
Authority: WO
Inventors: 昇平石村; 篤史須藤; 裕平林; 雅人西口
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2023-08-22
Filing date: 2023-08-22
Publication date: 2025-02-27
Anticipated expiration: 2026-02-22

Abstract

分析装置（１０）において、収集部（１５ａ）が、エッジルータを集約するコアルータ（Ｃ）から各エッジルータを流通したトラヒックの内容を表すフロー情報（１４ａ）を収集する。分析部（１５ｂ）が、収集されたフロー情報（１４ａ）と、ネットワーク内の装置間の接続関係を表す接続関係情報（１４ｂ）とを用いて、障害の状況を分析する。

Description

分析装置および分析方法

　本発明は、分析装置および分析方法に関する。

　通信事業者の大規模キャリア網では、多数の転送装置、伝送装置で構成されており、キャリア網の運用・監視においては、網を構成する各装置での障害発生状況や復旧状況や、障害の影響を受けたいわゆるり障ユーザの数の迅速な把握が求められている。

　従来、あらかじめ指定した異常事象の発生や、装置の状態を示すメッセージを発出するsyslog、SNMP　trapなどを用いて運用、監視を行っている（非特許文献１～３参照）。

"MIBとsyslogは何が違う？"、[online]、日経XTECK、［2023年7月18日検索］、インターネット<URL：https://xtech.nikkei.com/it/atcl/column/17/011900625/011900009/> "The　Syslog　Protocol"、[online]、RFC5424、［2023年7月18日検索］、インターネット<URL：https://datatracker.ietf.org/doc/html/rfc5424> "A　Simple　Network　Management　Protocol　(SNMP)"、　[online]、RFC1157、［2023年7月18日検索］、インターネット<URL：https://datatracker.ietf.org/doc/html/rfc1157>

　しかしながら、従来技術によれば、障害の状況を正確に把握することが困難な場合がある。例えば、キャリア網の中でも装置台数の多いエッジルータが、同時多発的に再起動を繰り返し起こすような高負荷障害等が起こった場合、警報の取得ができず回復したか否かの影響の把握が難しかった。また、装置毎の静的な収容ユーザ数情報以外に、障害時に実際に通信ができなかったり障ユーザ数の正確な把握が難しかった。

　本発明は、上記に鑑みてなされたものであって、障害の状況を正確に把握することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る分析装置は、エッジルータを集約するコアルータから各エッジルータを流通したトラヒックの内容を表すフロー情報を収集する収集部と、収集された前記フロー情報と、ネットワーク内の装置間の接続関係を表す情報とを用いて、障害の状況を分析する分析部と、を有することを特徴とする。

　本発明によれば、障害の状況を正確に把握することが可能となる。

図１は、本実施形態の分析装置の概要を説明するための図である。図２は、本実施形態の分析装置の概略構成を例示する模式図である。図３は、分析部の処理を説明するための図である。図４は、分析部の処理を説明するための図である。図５は、分析部の処理を説明するための図である。図６は、分析部の処理を説明するための図である。図７は、分析処理手順を示すフローチャートである。図８は、分析プログラムを実行するコンピュータの一例を示す図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［分析装置の概要］
　図１は、本実施形態の分析装置の概要を説明するための図である。通信事業者のキャリア網は、図１に例示するように、ＩＰパケットを転送するエッジルータＥ、コアルータＣ等の転送装置と、地理的に離れた区間を接続する伝送装置とで構成される。

　エンドユーザのユーザ宅転送装置はエッジルータＥを介してネットワークに接続される。また、エッジルータＥはコアルータＣに集約され、コアルータＣが伝送装置に集約される。伝送区間には、トランスポンダを有する両端の伝送装置の間に、複数台の伝送装置を有する場合がある。また、伝送装置間は波長分割多重方式を用いて波長の異なる複数の光パスが収容され、伝送装置には複数の転送装置が接続される。

　このようなキャリア網において、エッジルータＥは設置台数が多いため、例えば、エッジルータＥで同時多発的に再起動を繰り返す等の高負荷障害が発生した場合に、警報情報を取得できずに回復した装置と未回復の装置との区別がつかないおそれがある。また、障害発生時に各転送装置を使って通信していたユーザを知る術がなく、実際に通信ができなかったり障ユーザの数を正確に把握することが難しい。

　そこで、本実施形態の分析装置は、複数のエッジルータＥを集約するコアルータＣから収集したフロー情報１４ａと、ネットワーク内の装置間の接続関係を表す接続関係情報１４ｂとを用いて、障害の状況を分析する。

　ここで、フロー情報１４ａは、エッジルータＥを流通したトラヒックの内容を表す情報である。具体的には、フロー情報１４ａは、カプセル化されたパケットのカプセル内部のパケットを取り出して分析可能とするフォーマット変換処理が行われ、エッジルータＥを流通するトラヒックの中身がわかる情報である。例えば、フロー情報１４ａは、トラヒックの送信元ＩＰアドレス／宛先ＩＰアドレス、送信元ポート番号／宛先ポート番号、入力インタフェース／出力インタフェース、フロー情報のバイト数、パケット数等を含む。

　また、接続関係情報１４ｂは、トラヒックの経路のエッジルータＥを特定可能な情報、送信元のエンドユーザ宅転送装置またはＶＰＮグループを特定可能な情報、コアルータＣの接続先のトランスポンダの情報、あるトランスポンダとこれに対向するトランスポンダと、両者の間に存在する伝送装置の情報、ある伝送装置に収容されるトランスポンダの情報等を含む。

　そして、分析装置は、例えば、エッジルータＥごとに流入トラヒック量と流出トラヒック量を集計して可視化するフロー情報可視化処理により、障害の状態を分析する。あるいは、分析装置は、障害が発生したネットワーク装置に接続されるコアルータＣで収集された障害時のフロー情報を用いて、障害の影響を受けたエンドユーザあるいはＶＰＮグループを特定する影響ユーザ数把握処理を行う。このように、分析装置によれば、障害の状況を正確に把握することが可能となる。

［分析装置の構成］
　図２は、本実施形態の分析装置の概略構成を例示する模式図である。図２に例示するように、本実施形態の分析装置１０は、パソコン等の汎用コンピュータで実現され、入力部１１、出力部１２、通信制御部１３、記憶部１４、および制御部１５を備える。

　入力部１１は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して処理開始などの各種指示情報を入力する。出力部１２は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。例えば、出力部１２には、後述する分析処理の結果が表示される。

　通信制御部１３は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した外部の装置と制御部１５との通信を制御する。例えば、通信制御部１３は、コアルータＣや他のネットワーク装置や、各種情報を管理する管理装置等と制御部１５との通信を制御する。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部１４には、分析装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部１４は、通信制御部１３を介して制御部１５と通信する構成でもよい。本実施形態において、記憶部１４は、フロー情報１４ａ、接続関係情報１４ｂを有する。

　フロー情報１４ａは、後述する収集部１５ａにより、エッジルータＥを集約するコアルータＣから収集された、各エッジルータＥを流通したトラヒックのフロー情報である。具体的には、フロー情報１４ａは、コアルータＣから収集され、カプセル化されたパケットのカプセル内部のパケットを取り出して分析可能とする処理（フォーマット変換処理）が行われた情報であり、コアルータＣの配下のエッジルータＥを流通するトラヒックの中身がわかる情報である。フロー情報１４ａは、例えば、トラヒックの送信元ＩＰアドレス／宛先ＩＰアドレス、送信元ポート番号／宛先ポート番号、入力インタフェース／出力インタフェース、フロー情報のバイト数、パケット数等を含む。

　また、接続関係情報１４ｂは、ネットワーク内の装置間の接続関係を表す情報であり、例えば、トラヒックの経路のエッジルータＥを特定可能な情報、送信元のエンドユーザ宅転送装置またはＶＰＮグループを特定可能な情報、コアルータＣの接続先のトランスポンダの情報、あるトランスポンダとこれに対向するトランスポンダと、両者の間に存在する伝送装置の情報、ある伝送装置に収容されるトランスポンダの情報等を含む。接続関係情報１４ｂは、例えば、各ネットワーク装置の設定情報等の各種情報を管理する管理装置等から予め収集され、記憶部１４に記憶される。

　制御部１５は、ＣＰＵ（Central　Processing　Unit）等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部１５は、図２に例示するように、収集部１５ａ、および分析部１５ｂとして機能して、分析処理を実行する。なお、これらの機能部は、それぞれが異なるハードウェアに実装されてもよい。また、制御部１５は、その他の機能部を備えてもよい。

　収集部１５ａは、エッジルータＥを集約するコアルータＣから各エッジルータＥを流通したトラヒックのフロー情報を収集する。具体的には、収集部１５ａは、通信制御部１３を介してコアルータＣからフロー情報を定期的に収集する。また、収集部１５ａは、収集したフロー情報に対し、カプセル化されたパケットのカプセル内部のパケットを取り出すフォーマット変換処理を行う。これにより、収集部１５ａは、コアルータＣの配下のエッジルータＥを流通するトラヒックの中身がわかるフロー情報を取り出して、記憶部１４のフロー情報１４ａに格納する。なお、収集部１５ａは、取り出したフロー情報を記憶部１４に格納せずに、以下の分析部１５ｂに直接転送してもよい。

　分析部１５ｂは、収集されたフロー情報１４ａと、ネットワーク内の装置間の接続関係を表す接続関係情報１４ｂとを用いて、障害の状況を分析する。

　例えば、分析部１５ｂは、フロー情報可視化処理を行う。すなわち、分析部１５ｂは、収集されたフロー情報のトラヒック量をエッジルータＥごとに集計することにより、障害の状況として、該エッジルータＥの障害からの回復の有無を分析する。

　ここで、図３～図６は、分析部の処理を説明するための図である。まず、図３および図４には、フロー情報可視化処理が例示されている。この場合に、分析部１５ｂは、図３（１）に例示するように、フロー情報１４ａから、監視対象のエッジルータＥを集約しているコアルータＣのフロー情報のうち、例えば現在時刻から所定時間分遡ったフロー情報を取得する。そして、分析部１５ｂは、図３（２）に例示するように、接続関係情報１４ｂを参照し、フロー情報と当該フロー情報のトラヒックが経由したエッジルータＥとを関連付ける情報を取得することにより、取得したフロー情報が経由したエッジルータＥを特定する。

　また、分析部１５ｂは、エッジルータＥごとに、フロー情報の流入／流出のトラヒック量を集計する。分析部１５ｂは、例えば、図４に示すように、集計結果を可視化して出力部１２に出力する。図４に示す例では、エッジルータＥ１、Ｅ２のそれぞれについて、キャリア網での障害発生時刻ｔ１より前から現在時刻ｔ２までのフロー情報のトラヒック量が可視化されている。

　この場合に、エッジルータＥ１について例示するように、現在時刻ｔ２のトラヒック量が、障害発生時刻ｔ１の直前のトラヒック量に対して所定の閾値（例えば７割）以上である状態が所定時間継続している場合には、障害が復旧、あるいは影響なしと判定することが可能である。

　一方、エッジルータＥ２について例示するように、現在時刻ｔ２のトラヒック量が、障害発生時刻ｔ１の直前のトラヒック量に対して所定の閾値（例えば７割）未満である状態が所定時間継続している場合には、障害が継続していると判定することが可能である。

　このように、分析部１５ｂがエッジルータＥごとにフロー情報のトラヒック量を集計することにより、エッジルータＥの障害からの回復の有無を分析することが可能である。

　あるいは、分析部１５ｂは、影響ユーザ数把握処理を行う。この場合には、まず、分析部１５ｂは、収集されたフロー情報１４ａから、障害が発生したネットワーク装置と接続されたコアルータＣから収集されたフロー情報を取得する。そして、分析部１５ｂが、障害の状況として、フロー情報に含まれるエンドユーザを、障害の影響を受けたユーザとして特定する。

　ここで、図５および図６には、影響ユーザ数把握処理が例示されている。この場合に、まず、分析部１５ｂが、図５（１）に示すように、障害が発生したネットワーク装置を指定する入力を、入力部１１あるいは通信制御部１３を介して受け付ける。次に、分析部１５ｂは、図５（２）に示すように、接続関係情報１４ｂを参照し、指定されたネットワーク装置に接続されている全てのコアルータＣを特定する。

　例えば、障害が伝送装置で発生した場合に、分析部１５ｂは、接続関係情報１４ｂを参照し、あるトランスポンダとこれに対向するトランスポンダと、両者の間に存在する伝送装置の情報とをもとに、障害が発生した伝送装置を含む全ての経路を特定し、経路に含まれる全てのトランスポンダを特定する。また、分析部１５ｂは、接続関係情報１４ｂを参照し、トランスポンダに接続されるコアルータＣを特定する。

　なお、障害がトランスポンダで発生した場合には、図５（２）において、分析部１５ｂは、接続関係情報１４ｂを参照し、障害が発生したトランスポンダに接続されるコアルータＣを特定する。

　そして、分析部１５ｂは、図５（３）に示すように、フロー情報１４ａから、障害発生時刻付近の時点に、特定されたコアルータＣから収集されたフロー情報を取得する。

　また、障害がコアルータＣで発生した場合には、分析部１５ｂは、図５（３）において、フロー情報１４ａから、障害発生時刻付近の時点に、障害が発生したコアルータＣから収集されたフロー情報を取得する。

　また、障害がエッジルータＥで発生した場合には、分析部１５ｂは、図５（３）において、フロー情報１４ａから、障害発生時刻付近の時点に、障害が発生したエッジルータＥを経由したフロー情報を取得する。

　次に、分析部１５ｂは、図５（４）に示すように、接続関係情報１４ｂを参照し、当該フロー情報を送受したエンドユーザ宅転送装置またはＶＰＮグループの少なくともいずれかを特定し、一覧を作成する。

　ここで、障害発生時刻付近の時点に通信をしていないユーザやＶＰＮのフロー情報は存在しない。一方、対向するトランスポンダの配下のユーザ宅転送装置からの通信があれば、フロー情報が存在するため、障害の影響を受けたユーザまたはＶＰＮとして特定可能である。

　そこで、分析部１５ｂは、図５（５）に示すように、作成したユーザ宅転送装置またはＶＰＮグループの一覧を、影響ユーザまたは影響ＶＰＮとして、出力部１２に提示する。

　図６には、影響ユーザ数把握処理結果の提示画面が例示されている。図６に示す例は、トランスポンダＴ１の対向のトランスポンダの配下にＨ５、Ｈ６が存在し、障害発生時刻付近の時点で通信していたのは、Ｈ１、Ｈ２、Ｈ４、Ｈ６であった場合である。図６に示す例では、障害の状況として、障害の影響を受けたエンドユーザ宅転送装置の一覧とその総数、障害の影響を受けたＶＰＮグループの一覧とその総数とが提示されている。

　このように、分析部１５ｂは、障害発生時刻付近の時点で実際に通信をしていて、障害の影響を受けたエンドユーザ宅転送装置またはＶＰＮグループの少なくともいずれかを把握することが可能である。

［分析処理］
　次に、図７を参照して、本実施形態に係る分析装置１０による分析処理について説明する。図７は、分析処理手順を示すフローチャートである。図７のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　まず、収集部１５ａが、エッジルータＥを集約するコアルータＣから各エッジルータＥを流通したトラヒックのフロー情報を収集する（ステップＳ１）。具体的には、収集部１５ａは、通信制御部１３を介してコアルータＣからフロー情報を定期的に収集する。また、収集部１５ａは、収集したフロー情報に対し、カプセル化されたパケットのカプセル内部のパケットを取り出すフォーマット変換処理を行う。これにより、収集部１５ａは、コアルータＣの配下のエッジルータＥを流通するトラヒックの中身がわかるフロー情報を取り出して、記憶部１４のフロー情報１４ａに格納する。

　次に、分析部１５ｂが、収集されたフロー情報１４ａと、ネットワーク内の装置間の接続関係を表す接続関係情報１４ｂとを用いて、障害の状況を分析する（ステップＳ２）。

　例えば、分析部１５ｂは、フロー情報可視化処理を行う。すなわち、分析部１５ｂは、収集されたフロー情報のトラヒック量をエッジルータＥごとに集計することにより、該エッジルータＥの障害からの回復の有無を分析する。

　あるいは、分析部１５ｂは、影響ユーザ数把握処理を行う。この場合には、まず、分析部１５ｂは、収集されたフロー情報から、障害が発生したネットワーク装置と接続されたコアルータＣから収集されたフロー情報を取得する。そして、分析部１５ｂが、フロー情報に含まれるエンドユーザを、障害の影響を受けたユーザとして特定する。

　また、分析部１５ｂは、分析結果を出力する（ステップＳ３）。例えば、分析部１５ｂは、フロー情報可視化処理を行った場合には、エッジルータＥごとに、フロー情報の流入／流出のトラヒック量を集計し、集計結果を可視化して出力部１２に出力する。あるいは、分析部１５ｂは、影響ユーザ数把握処理を行った場合には、障害発生時刻付近の時点で実際に通信をしていて、障害の影響を受けたエンドユーザ宅転送装置またはＶＰＮグループの少なくともいずれかの一覧を出力部１２に出力する。これにより、一連の分析処理が終了する。

［効果］
　以上、説明したように、本実施形態の分析装置１０において、収集部１５ａが、エッジルータＥを集約するコアルータＣから各エッジルータＥを流通したトラヒックの内容を表すフロー情報１４ａを収集する。分析部１５ｂが、収集されたフロー情報１４ａと、ネットワーク内の装置間の接続関係を表す接続関係情報１４ｂとを用いて、障害の状況を分析する。

　具体的には、分析部１５ｂは、収集されたフロー情報１４ａのトラヒック量をエッジルータＥごとに集計することにより、障害の状況として、該エッジルータＥの障害からの回復の有無を分析する。

　または、分析部１５ｂは、収集されたフロー情報１４ａのうち、障害が発生した装置と接続されたコアルータＣから収集されたフロー情報を取得し、障害の状況として、該フロー情報に含まれるエンドユーザを、障害の影響を受けたユーザとして特定する。

　このように、エッジルータＥごとにフロー情報のトラヒック量を集計することにより、エッジルータＥの障害からの回復の有無を分析することが可能となる。あるいは、障害発生時刻付近の時点で実際に通信をしているフロー情報を用いることにより、障害の影響を受けたエンドユーザ宅転送装置またはＶＰＮグループの少なくともいずれかを把握することが可能となる。このように、分析装置１０によれば、障害の状況を正確に把握することが可能となる。

［プログラム］
　上記実施形態に係る分析装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、分析装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の分析処理を実行する分析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の分析プログラムを情報処理装置に実行させることにより、情報処理装置を分析装置１０として機能させることができる。ここで言う情報処理装置には、サーバ用コンピュータ等の汎用コンピュータや、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）などの移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）などのスレート端末などがその範疇に含まれる。また、分析装置１０の機能を、クラウドサーバに実装してもよい。

　図８は、分析プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ（Operating　System）１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、分析プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した分析装置１０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、分析プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、分析プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、分析プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１０　分析装置
　１１　入力部
　１２　出力部
　１３　通信制御部
　１４　記憶部
　１４ａ　フロー情報
　１４ｂ　接続関係情報
　１５　制御部
　１５ａ　収集部
　１５ｂ　分析部
　Ｃ　コアルータ
　Ｅ　エッジルータ

Claims

　エッジルータを集約するコアルータから各エッジルータを流通したトラヒックの内容を表すフロー情報を収集する収集部と、
　収集された前記フロー情報と、ネットワーク内の装置間の接続関係を表す情報とを用いて、障害の状況を分析する分析部と、
　を有することを特徴とする分析装置。
　前記分析部は、収集された前記フロー情報のトラヒック量を前記エッジルータごとに集計することにより、前記障害の状況として、該エッジルータの障害からの回復の有無を分析することを特徴とする請求項１に記載の分析装置。
　前記分析部は、収集された前記フロー情報のうち、障害が発生した装置と接続されたコアルータから収集されたフロー情報を取得し、前記障害の状況として、該フロー情報に含まれるエンドユーザを、障害の影響を受けたユーザとして特定することを特徴とする請求項１に記載の分析装置。
　分析装置が実行する分析方法であって、
　エッジルータを集約するコアルータから各エッジルータを流通したトラヒックの内容を表すフロー情報を収集する収集工程と、
　収集された前記フロー情報と、ネットワーク内の装置間の接続関係を表す情報とを用いて、障害の状況を分析する分析工程と、
　を含んだことを特徴とする分析方法。