JP2014003353A - Network device, network system, and alert information processing method - Google Patents
Network device, network system, and alert information processing method Download PDFInfo
- Publication number
- JP2014003353A JP2014003353A JP2012135475A JP2012135475A JP2014003353A JP 2014003353 A JP2014003353 A JP 2014003353A JP 2012135475 A JP2012135475 A JP 2012135475A JP 2012135475 A JP2012135475 A JP 2012135475A JP 2014003353 A JP2014003353 A JP 2014003353A
- Authority
- JP
- Japan
- Prior art keywords
- alert
- network
- processing
- output
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は、制御系システムのネットワーク装置に関し、特に、ネットワークの状態を利用したアラート情報の処理方法に関する。 The present invention relates to a network apparatus of a control system, and more particularly to a method for processing alert information using a network state.
電力会社が保有する配電制御システム、及び鉄道会社が保有する運行制御システム等の制御系システムにおいては、制御対象機器を有する拠点毎に制御用コントローラが設置されている。例えば、図10に示すように、変電所や線路の切替ポイント等の拠点毎に制御用コントローラ14が設置され、ローカルネットワーク11を介して接続された配下の設備機器12を局所的に制御している。更に、複数拠点の制御用コントローラ14は、広域ネットワークである自営網15を介して管理センタ16に接続され、管理センタ16に設置されたアプリケーションサーバ17が全体を管理している。
In a control system such as a power distribution control system owned by an electric power company and an operation control system owned by a railway company, a control controller is installed for each base having a device to be controlled. For example, as shown in FIG. 10, a
近年、システムの高効率化及びコストの低減を目的として、複数拠点に分散設置された制御用コントローラの機能を仮想化して管理センタのアプリケーションサーバに集約する、いわゆるクラウド化が進展している。広域ネットワークについても、自営網より安価な通信キャリア網を利用する需要が高まっている。 In recent years, for the purpose of improving the efficiency of the system and reducing the cost, so-called cloud development is progressing, in which functions of control controllers distributed and installed at a plurality of bases are virtualized and aggregated in an application server of a management center. For wide area networks, there is a growing demand for using communication carrier networks that are cheaper than private networks.
このようなシステム構成の変化によって、次の2点の課題が新たに発生する。
1)拠点に設置された制御用コントローラが、従来のサーバ相当のハードウェアから、組み込み機器のように低コストで簡単なネットワーク相互接続装置に置き換えられるので、拠点側の処理能力が低下する。
2)通信キャリア網の種類(例えば、無線ネットワーク)によってはネットワークの通信容量が細い。このため、使用するネットワークが自営網から通信キャリア網に変わることによって、ネットワークのスループット及び遅延が不安定になる。
Due to such changes in the system configuration, the following two new problems arise.
1) Since the controller for control installed at the site is replaced with a simple network interconnection device at a low cost such as a built-in device from hardware equivalent to a conventional server, the processing capability on the site side is lowered.
2) Depending on the type of communication carrier network (for example, wireless network), the communication capacity of the network is small. For this reason, when the network to be used is changed from the private network to the communication carrier network, the throughput and delay of the network become unstable.
一方、制御系システムは、前述のようにシステム構成が変化しても、従来と変わらぬ高信頼性が要求される点が一般的な情報系システムと異なる。例えば、米国の配電制御システムの分野では、NERC(North American Electric Reliability Corporation)が、信頼性を担保するための標準規格としてCIP(Critical Infrastructure Protection)を制定している。CIPでは、制御系システムの各構成要素において異常と定義される事象は常に検知可能とし、事象発生の記録をログとして残すよう規定されている。 On the other hand, the control system is different from a general information system in that high reliability is required as in the conventional system even if the system configuration changes as described above. For example, in the field of power distribution control systems in the United States, NERC (North American Electric Reliability Corporation) has established CIP (Critical Infrastructure Protection) as a standard for ensuring reliability. In CIP, it is stipulated that an event defined as abnormal in each component of a control system can always be detected and a record of the occurrence of the event is left as a log.
前述のようにシステム構成が変化し、制御用コントローラがネットワーク相互接続装置に置き換えられ、ネットワークが自営網から通信キャリア網に変わった場合、ネットワーク相互接続装置には、通信処理の様々な異常事象(アラート)を全て検知、記録することが求められる。 As described above, when the system configuration is changed, the controller for control is replaced with the network interconnection device, and the network is changed from the private network to the communication carrier network, the network interconnection device has various abnormal events ( It is required to detect and record all alerts.
すなわち、このようにシステム構成が変化しても、制御系システムとして求められる高信頼性を担保することが新たな課題となる。 That is, even if the system configuration changes in this way, it becomes a new problem to ensure the high reliability required for the control system.
具体的には、前述した低コストで処理能力が低いネットワーク相互接続装置を用い、装置内で発生する全てのアラートを検知し、検知したアラートを出力する場合、複数プロセスで連鎖的に大量のアラートが発生することがある。この場合、プロセス間通信の負荷が大きくなり、本来の通信機能に支障をきたすおそれがある。 Specifically, when using the network interconnection device with the low cost and low processing capability described above, all alerts generated within the device are detected and the detected alerts are output. May occur. In this case, the load of inter-process communication is increased, and there is a possibility that the original communication function is hindered.
また、ネットワーク相互接続装置で発生した全てのアラートを、通信キャリア網を介して管理センタへ送る場合、ネットワークの回線容量を消費し、本来のデータ通信を妨げるおそれがあり、通信コストも高くなる。 Further, when all alerts generated in the network interconnection device are sent to the management center via the communication carrier network, the network capacity of the network may be consumed, the original data communication may be hindered, and the communication cost will be high.
このため、本発明は、低コストで処理能力が低いネットワーク相互接続装置や不安定な通信キャリア網を用いる場合でも、制御系システムとして本来必要なデータ通信を妨げることなく、装置内で発生する全てのアラートを検知及び記録可能とする方法を提供することを目的とする。 For this reason, the present invention does not interfere with data communication originally required as a control system system, even when using a low-cost and low-performance network interconnection device or an unstable communication carrier network. It is an object of the present invention to provide a method capable of detecting and recording an alert.
本発明の代表的な一例を示せば以下の通りである。すなわち、通信端末からのデータを収集する管理装置とネットワークを介して接続されるネットワーク装置であって、所定の通信プロトコルによる通信を制御する複数の通信処理プロセスと、前記管理装置にアラート情報を出力するアラート出力プロセスとを備え、前記複数の通信処理プロセスは、各通信処理プロセスにおけるアラートを検知し、前記検知されたアラートを第1の統計処理し、前記第1の統計処理の結果に基づいて生成されたアラート情報を前記アラート出力プロセスに出力する第1のフィルタリングをし、前記アラート出力プロセスは、前記複数の通信処理プロセスからアラート情報を受信し、前記受信したアラート情報を第2の統計処理し、前記第2の統計処理の結果に基づいて選択されたアラート情報を前記管理装置に出力する第2のフィルタリングをする。 A typical example of the present invention is as follows. That is, a network device connected via a network to a management device that collects data from a communication terminal, and a plurality of communication processing processes that control communication using a predetermined communication protocol, and output alert information to the management device The plurality of communication processing processes detects an alert in each communication processing process, performs first statistical processing on the detected alert, and based on a result of the first statistical processing First filtering is performed to output the generated alert information to the alert output process, the alert output process receives alert information from the plurality of communication processing processes, and the received alert information is subjected to a second statistical process. And the alert information selected based on the result of the second statistical process is sent to the management device. The second filtering output.
本発明の代表的な一実施形態によれば、制御系システムとして求められる高信頼性を担保することができる。 According to a typical embodiment of the present invention, high reliability required as a control system can be ensured.
以下、本発明の実施例を図面を用いて説明する。 Embodiments of the present invention will be described below with reference to the drawings.
図1は、本発明の実施例の制御系システムの全体の構成図である。 FIG. 1 is an overall configuration diagram of a control system according to an embodiment of the present invention.
図1において、広域ネットワーク(第1ネットワーク)であるWAN(Wide Area Network)25、及びローカルネットワーク(第2ネットワーク)であるLAN(Local Area Network)28は、ネットワーク相互接続装置21によって接続される。
In FIG. 1, a wide area network (first network) WAN (Wide Area Network) 25 and a local network (second network) LAN (Local Area Network) 28 are connected by a
ネットワーク相互接続装置21は、ネットワーク間でデータを転送するための通信処理を行う。ネットワーク相互接続装置21は、暗号化など、ネットワーク相互接続に必要な他の処理を行ってもよい。
The
ローカルネットワーク28には、本制御系システムの制御及び監視の対象となる設備装置が接続される。設備装置には、温度センサ、監視カメラ、開閉器等のセンサ及びアクチュエータ等であり、通信端末22を介してネットワーク相互接続装置21と接続される。
The
広域ネットワーク25には、管理用計算機を有する管理センタ26が接続される。広域ネットワーク25には、通信キャリアが提供するネットワークを使用する。
A
図2は、本発明の実施例のネットワーク相互接続装置21の機能ブロック図である。
FIG. 2 is a functional block diagram of the
ネットワーク相互接続装置21内のローカルネットワーク受信機能31は、通信端末22から送出されたデータを受信する。受信したデータは、カプセル化機能32、プロトコル変換機能33などネットワーク相互接続に必要な処理を経て、広域ネットワーク送信機能34から広域ネットワーク25を経由して管理センタ26へ送出される。
The local
一方、ネットワーク相互接続装置内の広域ネットワーク受信機能35は、管理センタ26から送信された制御コマンドを、広域ネットワーク25を経由して受信する。受信した制御コマンドは、プロトコル変換機能36、デカプセル化機能37などネットワーク相互接続に必要な処理を経て、ローカルネットワーク送信機能38からローカルネットワーク28を経由して、通信端末22に送出される。
On the other hand, the wide area
アラート検知機能39は、通信処理において生じた異常事象を検知する。ログ記録機能310は、検知した異常事象を記録する。広域ネットワーク監視機能311は、広域ネットワーク25の通信状況を監視する。アラート出力機能312は、検知された異常事象に監視された通信状況に応じた処理を行った後、広域ネットワーク25へ出力する。アラート検知機能39、広域ネットワーク監視機能311及びアラート出力機能312の詳細は後述する。本実施形態のネットワーク相互接続装置21では、広域ネットワーク監視機能311が広域ネットワーク25の通信状況を監視することによって、通常のデータの送受信の処理と負荷を分散することができる。
The
管理センタ26の管理用計算機は、プロセッサ及びメモリを有する計算機で、広域ネットワーク受信機能313、広域ネットワーク送信機能314、アラート表示機能315及び遅延測定機能316を有する。広域ネットワーク受信機能313は、ネットワーク相互接続装置21から送信されたデータを受信することによってネットワークの伝送遅延を算出する。広域ネットワーク送信機能314は、算出した遅延量をネットワーク相互接続装置21に通知する。アラート表示機能315は、ネットワーク相互接続装置21から送信されたアラートを表示するための表示装置である。遅延測定機能316は、広域ネットワーク25の伝送遅延を算出する。
The management computer of the
図3は、本発明の実施例のネットワーク相互接続装置21のソフトウェア実行時のプロセス起動状態を示す説明図である。
FIG. 3 is an explanatory diagram showing a process activation state during software execution of the
ネットワーク相互接続装置21のソフトウェア内において、図2で説明した各機能は、ソフトウェアとして実行される場合、概ね独立したプロセスとして動作している。例えばローカルネットワーク受信機能31は、ローカルネットワーク受信プロセス41と対応付けられ、広域ネットワーク送信機能34は、広域ネットワーク送信プロセス42と対応付けられる。カプセル化機能32及びプロトコル変換機能33などと対応付けられるプロセスは、常駐プロセスではなく、必要時のみ起動される。また、個々の機能とは別に、全体の動きを制御するメインプロセス47もある。
In the software of the
アラート検知機能39は、各プロセスに分散してアラート検知スレッド43として実装され、各プロセス内部で実行される複数のスレッドにおいて発生した異常事象を検知し、発生状況に応じた処理を行って、アラート出力プロセス44及びログ記録プロセス45に通知する。
The
アラート検知機能39は、第1の統計処理及び第1のフィルタリングとして機能し、各プロセスで一定量以上のアラートが発生した際、プロセス内部の段階で(プロセス間通信を伴わないで)アラートの通知頻度及びデータ量を低減することによって、ネットワーク相互接続装置21の処理負荷を軽減する。
The
アラート出力機能312は、アラート出力プロセス44と対応付けられる。アラート出力プロセス44は、複数プロセスのアラート検知スレッドから出力された信号を、広域ネットワーク監視プロセス46から通知される広域ネットワーク25の通信状況に応じて処理し、広域ネットワーク25へ出力する。ログ記録機能310は、ログ記録プロセス45と対応付けられる。
The
図4は、本発明の実施例のネットワーク相互接続装置21のブロック図である。
FIG. 4 is a block diagram of the
ネットワーク相互接続装置21は、ローカルネットワーク28と接続されるローカルネットワーク通信インターフェース(I/F)51、及び、広域ネットワーク25と接続される広域ネットワーク通信I/F52とを有する。ローカルネットワーク通信インターフェース(I/F)51及び接続される広域ネットワーク通信I/F52は、内部バス53を介してプロセッサ(CPU)54、ハードウェアアクセラレータ55及び演算用メモリ56と接続される。プロセッサ54には、プロセッサ54で実行されるプログラムを記憶するプログラム格納用メモリ57が接続される。プロセッサ54及びハードウェアアクセラレータ55は、処理部を構成し、演算用メモリ56及びプログラム格納用メモリ57は、記憶部を構成する。
The
ハードウェアアクセラレータ55は、プロセッサ54で実行されるソフトウェア演算の一部をハードウェア回路に置換し、演算を高速化するものであって、FPGA(Field Programmable Gate Array)を使用してもよい。例えば、統計処理部61及び92(各々、アラート検知機能39及びアラート出力機能312に含まれる)、カプセル化機能32、デカプセル化機能37を、ハードウェアアクセラレータ55によってハードウェア化して、固定的な演算を高速化できる。
The
また、プログラム格納用メモリ57には、図3に示した各プロセスに対応するプログラム(例えば、ローカルネットワーク送信プログラム59、広域ネットワーク受信プログラム510、ログ記録プログラム511等)が格納される。図2に示した各機能は、プログラム格納用メモリ57に記憶されたプログラムを、CPU54が実行するソフトウェア処理によって実現することができる。
Further, the
一方、演算用メモリ56は、各機能に対応するプログラムの実行状況に応じて、後述するアラート検知用統計情報512、広域ネットワーク混雑度情報513等を記憶する領域を有する。なお、後述するテーブルは、記憶部を構成する演算用メモリ56、プログラム格納用メモリ57のどちらに格納されてもよい。
On the other hand, the
図5は、本発明の実施例のアラート検知機能39の詳細を示すブロック図である。
FIG. 5 is a block diagram showing details of the
前述したように、アラート検知機能39は各プロセスに分散して実装され、アラート検知部61、統計処理部62、アラート発生量計測部63及びフィルタ64を有する。アラート検知部61は、入力アラートID定義テーブル65を有し、統計処理部62は、アラート統計処理テーブル66を有する。
As described above, the
アラート検知部61は、各プロセス・スレッド内で行われる一連の通信関連の処理において、異常とみなされる事象が発生した場合、当該プロセス・スレッドにおける全てのアラートを検知する。統計処理部62は、検知されたアラートの通知頻度やデータ量を可逆的に圧縮する。例えば、不要な”0”データを削除することによって、データ量を圧縮することができる。アラート発生量計測部63は、当該プロセス内のアラート発生量を計測する。フィルタ64は、計測されたアラート発生量に応じて、統計処理後のアラート情報を選択し、アラート出力プロセス44に出力する。
The
図6Aは、本発明の実施例の入力アラートID定義テーブル65の構成例を説明する図であり、図6Bは、テーブルの構成要素となる項目の定義を示す。 FIG. 6A is a diagram illustrating a configuration example of the input alert ID definition table 65 according to the embodiment of this invention, and FIG. 6B illustrates definitions of items that are components of the table.
図6Aに示すように、入力アラートID定義テーブル65は、プロセスID、入力アラートID及びアラート内容を含む。 As shown in FIG. 6A, the input alert ID definition table 65 includes a process ID, an input alert ID, and alert contents.
入力アラートID定義テーブル65は、表形式ではなく、ソースコードに直接記載される固定値でもよいし、ソフトウェア動作中に特定のファイルを読み込んでパラメータとして設定されるものでもよい。なお、後述するアラート統計処理テーブル66及び統合アラート統計処理テーブル93も、入力アラートID定義テーブル65と同様に実装することができる。 The input alert ID definition table 65 may be a fixed value described directly in the source code instead of a table format, or may be set as a parameter by reading a specific file during software operation. Note that an alert statistical processing table 66 and an integrated alert statistical processing table 93, which will be described later, can also be implemented in the same manner as the input alert ID definition table 65.
図6Bに示すように、プロセスIDは、異常事象が発生したプロセスを識別するための識別子であり、例えば、「0x0」はメインプロセスなど、プロセス毎に定義される。入力アラートIDは、各プロセス内で発生するアラートの種別(異常事象そのもの)を識別するための識別子である。 As illustrated in FIG. 6B, the process ID is an identifier for identifying a process in which an abnormal event has occurred. For example, “0x0” is defined for each process such as a main process. The input alert ID is an identifier for identifying the type of alert (abnormal event itself) that occurs in each process.
図7Aは、本発明の実施例のアラート統計処理テーブル66の構成例を説明する図であり、図7Bは、テーブルの構成要素となる項目の定義を示す。 FIG. 7A is a diagram illustrating a configuration example of the alert statistical processing table 66 according to the embodiment of this invention, and FIG. 7B illustrates definitions of items that are components of the table.
アラート統計処理テーブル66は、フィルタ後アラートID、プロセスID、入力アラートID、フィルタ種別、累積計測時間T、累積アラート回数N、フィルタ有効化レベルを含む。 The alert statistical processing table 66 includes post-filter alert ID, process ID, input alert ID, filter type, cumulative measurement time T, cumulative alert count N, and filter validation level.
図7Bに示すように、プロセスIDは、異常事象が発生したプロセスを識別するための識別子である。入力アラートIDは、各プロセス内で発生するアラートの種別(異常事象そのもの)を識別するための識別子である。 As illustrated in FIG. 7B, the process ID is an identifier for identifying a process in which an abnormal event has occurred. The input alert ID is an identifier for identifying the type of alert (abnormal event itself) that occurs in each process.
フィルタ種別は、入力アラートID定義テーブル65に定義された各入力アラートIDに対して設定されるもので、本実施例では4種類のフィルタを定義する。
0x0:スルー(フィルタ処理をしない。)
0x1:ワンス(最初の1回のみアラートを出力し、フラグをONにする。それ以降は管理センタ26側からフラグをクリアするまで、アラートをマスクする。)
0x2:トグル(異常発生時に、アラートOFFからONへ、また、正常回復時にアラートONからOFFへの変化点のみを出力する。)
0x3:累積(計測時間T以内にN回入力されたら1回アラートを通過する。N回以下ならアラートをマスクする。)
なお、フィルタ種別が0x3(累積)の場合、単位計測時間T及び累積アラート発生回数閾値の定義が必要である。
The filter type is set for each input alert ID defined in the input alert ID definition table 65. In this embodiment, four types of filters are defined.
0x0: Through (no filter processing is performed)
0x1: Once (The alert is output only once and the flag is turned ON. After that, the alert is masked until the flag is cleared from the
0x2: Toggle (Only the change point from alert OFF to ON when an abnormality occurs and from alert ON to OFF when normal recovery is output)
0x3: Cumulative (Alert is passed once if N times are input within measurement time T. If N times or less, alert is masked.)
If the filter type is 0x3 (cumulative), it is necessary to define the unit measurement time T and the cumulative alert occurrence frequency threshold.
入力アラートID定義テーブル65でフィルタの種別を定義することによって、アラートの種類に応じた的確な処理をすることができる。 By defining the type of filter in the input alert ID definition table 65, it is possible to perform accurate processing according to the type of alert.
累積計測時間は、アラートの回数を計測する時間(例えば、秒)である。累積アラート発生回数閾値は、発生したアラート(異常事象)の回数を、アラートとして通過させる判定閾値である。 The cumulative measurement time is a time (for example, seconds) for measuring the number of alerts. The cumulative alert occurrence count threshold is a determination threshold that allows the number of generated alerts (abnormal events) to pass as an alert.
アラート統計処理テーブル66のフィルタ有効化レベルは、フィルタの動作を制御するための閾値であり、例えば、単位時間の全てのアラートの発生量と比較することによって、アラートの発生量が多い場合に、出力するアラートを減らすことができる。 The filter activation level of the alert statistical processing table 66 is a threshold value for controlling the operation of the filter. For example, when the amount of alerts generated is large by comparing with the amount of all alerts generated per unit time, Alerts to be output can be reduced.
アラート発生量計測部63は、図6Aに定義された全てのアラートの累積計測時間T毎の発生回数の合計を算出し、その値を予め定義した閾値Nによって判定し、判定されたレベルをフィルタ64に通知する。
The alert generation
フィルタ64は、アラート統計処理テーブル66で、入力アラートID毎に定義されたフィルタについて、フィルタ有効化レベルを定義し、アラート発生量計測のレベルが所定値を超える場合に当該フィルタ処理を有効とし、所定値以下の場合は全てのアラートをスルー(フィルタ処理を行わず出力)する。
The
フィルタ後アラートIDは、プロセスID、入力アラートID及びフィルタ種別を連結したものを使用するとよい。フィルタ後アラートIDをこのように定義することによって、管理センタ26が、受信したアラートIDによって、ネットワーク相互接続装置24においてどのような処理を経てきたものか判別可能だからである。管理センタ26は、フィルタ有効化レベルの高いフィルタ処理を経たアラートを受信した場合、ネットワーク相互接続装置21の内部で一定量以上のアラートが発生し、フィルタリングがされたことを検出する。管理センタ26は、アラート発生の要因を解析するため、ネットワーク相互接続装置21のログ情報を要求することも可能である。
The post-filter alert ID may be a concatenation of a process ID, an input alert ID, and a filter type. This is because, by defining the alert ID after filtering in this way, the
広域ネットワーク監視機能311は、広域ネットワーク25の状況を監視する。例えば、ネットワーク相互接続装置21と管理センタ26との間で送受信されるデータパケットを用いて広域ネットワーク25の伝送遅延を計測し、遅延量が一定以上になったら、ネットワークが混雑していると判定することによって、広域ネットワーク25の状況を監視する。
The wide area
具体的には、ネットワーク相互接続装置21と管理センタ26とを時刻同期し、広域ネットワーク送信機能34から送信されるデータにタイムスタンプを付与する。管理センタ26の広域ネットワーク受信機能313は、データを受信する際にタイムスタンプを付与する。遅延測定機能316は、両者の時刻差からネットワークの伝送遅延を算出する。そして、広域ネットワーク送信機能314は、算出した遅延量をネットワーク相互接続装置21に通知する。ネットワーク相互接続装置21は、広域ネットワーク受信機能35が遅延量を受信し、広域ネットワーク監視機能311が、受信した遅延値を予め定義した閾値によって判定し、判定後のレベルを混雑度情報(広域ネットワーク25の状況)としてアラート出力機能312に通知する。このように、ネットワーク相互接続装置21と管理センタ26との間で通常に送受信されるデータを用いてネットワークの混雑度を測定することによって、ネットワークの状況を測定するための特別なデータを送受信する必要がなく、ネットワークの帯域を逼迫しない。
Specifically, the
図8は、本発明の実施例のアラート出力機能312の詳細を示すブロック図である。
FIG. 8 is a block diagram illustrating details of the
アラート出力機能312は、統計処理部91及びフィルタ92を有する。統計処理部91は、統合アラート統計処理テーブル93を有する。
The
アラート出力機能312は、第2の統計処理及び第2のフィルタリングとして機能し、使用される通信キャリア網の種別や時々刻々と変化するネットワークの通信状況に応じて、ネットワーク相互接続装置21から送出するアラームの種別や量を総合的に制限し、回線容量の圧迫を避ける。また、アラート出力機能312が、複数プロセス間に跨って総合的な判断をすることによって、第1の統計処理及び第1のフィルタリングより更に送出されるデータの量を圧縮することができる。
The
統計処理部91は、複数プロセス内部のアラート検知機能39が収集した第一のフィルタ後のアラート情報を受信し、複数プロセス間に跨る第二の統計処理を行う。フィルタ92は、前記広域ネットワーク監視部311から広域ネットワーク25の混雑度情報を受信し、第2の統計処理後のアラート情報を混雑度情報に応じて選択する第2のフィルタであり、フィルタ後のアラート情報を広域ネットワーク25に送出する。
The
図9Aは、本発明の実施例の統合アラート統計処理テーブル93の構成例を説明する図であり、図9Bは、テーブルの構成要素となる項目の定義を示す。 FIG. 9A is a diagram illustrating a configuration example of the integrated alert statistical processing table 93 according to the embodiment of this invention, and FIG. 9B illustrates definitions of items that are components of the table.
統合アラート統計処理テーブル93は、出力アラートID、フィルタ後アラートID、第2のフィルタ種別、累積計測時間T、累積アラート回数N、スクリプトキック、スクリプト名称、フィルタ有効化レベルを含む。 The integrated alert statistical processing table 93 includes an output alert ID, a filtered alert ID, a second filter type, a cumulative measurement time T, a cumulative alert count N, a script kick, a script name, and a filter activation level.
図9Bに示すように、統合アラート統計処理テーブル93の項目の定義は、図7Bに示したアラート統計処理テーブル66で使用される項目の定義とほぼ同じである。 As shown in FIG. 9B, the definition of the items in the integrated alert statistical processing table 93 is almost the same as the definition of the items used in the alert statistical processing table 66 shown in FIG. 7B.
なお、アラート統計処理テーブル66(図7A)では、各入力アラートIDに対し、1:1で出力アラートIDが定義されるが、統合アラート統計処理テーブル93(図9A)では、複数の入力アラートIDから一つの出力アラートIDを定義可能であり、かつ、一つの入力アラートIDから複数の出力アラートIDを定義可能である点が異なる。 In the alert statistical processing table 66 (FIG. 7A), the output alert ID is defined at 1: 1 for each input alert ID. In the integrated alert statistical processing table 93 (FIG. 9A), a plurality of input alert IDs are defined. It is different that one output alert ID can be defined from a plurality of output alert IDs, and a plurality of output alert IDs can be defined from one input alert ID.
例えば、出力アラートIDが0x03F000のアラートは、0x1102、0x2202及び0x2213の3種類のアラートの所定時間内の合計回数が10回を超えた場合に出力される。 For example, an alert with an output alert ID of 0x03F000 is output when the total number of three types of alerts 0x1102, 0x2202, and 0x2213 within a predetermined time exceeds ten.
またフィルタ種別に、0x4:マスク(フィルタが有効な間は全て通さない) が追加される。マスク(0x4)のフィルタを使用することによって、複数プロセスから送信される複数種類のアラートから総合的に判断してフィルタリングすることが可能となる。 In addition, 0x4: mask (not pass through while the filter is valid) is added to the filter type. By using the filter of the mask (0x4), it is possible to comprehensively judge and filter from a plurality of types of alerts transmitted from a plurality of processes.
本実施例では、更に、特定のアラートが発生した場合に所定のプログラム(スクリプト)を実行する機能を持つ。実行されるスクリプトは、アラート情報の出力と共に、又は、アラート情報を出力する代わりに実行される。実行されるスクリプトは、スクリプト名称(パス名を含んでもよい)で定義される。なお、本実施例では、スクリプト実行機能を統合アラート統計処理テーブル93(第2のフィルタ)に実装した例を示したが、アラート統計処理テーブル66(第1のフィルタ)に実装してもよい。フィルタが、スクリプト実行機能を有することによって、単にアラートをフィルタし出力するだけではない、複雑な処理を実行することができる。 The present embodiment further has a function of executing a predetermined program (script) when a specific alert occurs. The script to be executed is executed together with the output of the alert information or instead of outputting the alert information. The script to be executed is defined by a script name (which may include a path name). In this embodiment, the script execution function is implemented in the integrated alert statistical processing table 93 (second filter), but may be implemented in the alert statistical processing table 66 (first filter). Since the filter has a script execution function, it is possible to execute a complicated process that does not simply filter and output an alert.
統合アラート統計処理テーブル93のフィルタ有効化レベルは、広域ネットワーク25の混雑度によってフィルタの動作を制御するための閾値であり、広域ネットワーク25が混雑すると、出力されるアラートが減るようになっている。これは、広域ネットワーク25が混雑している場合に、多数のアラートを送出すると、ネットワークが逼迫し、通常のデータの送信を妨げるからである。また、集約された重要なアラートのみを送出することによって、広域ネットワークの逼迫を抑制することができる。
The filter validation level of the integrated alert statistical processing table 93 is a threshold value for controlling the operation of the filter according to the degree of congestion of the
図9Cは、図9Aに示した構成例のフィルタの構成を説明する図である。 FIG. 9C is a diagram illustrating the configuration of the filter of the configuration example illustrated in FIG. 9A.
第二のフィルタ92Aは、第1のフィルタから出力されるアラート0x1102を入力とする「累積」タイプのフィルタで、フィルタ有効化レベルが3以上の時に、アラート0x1102を60秒間に5回受信した場合、アラート0x031102を1回出力する。この場合、スクリプトキックフラグが1のため、アラート0x031102が出力された際には、Reset_count.scpを起動する。
The
別の第2のフィルタ92Bは、第1のフィルタから出力されるアラート0x1111を入力とする「マスク」タイプのフィルタで、フィルタ有効化レベルが2以上の時に、アラート0x1111を全てマスクし、出力しない。
Another
さらに、別の第2のフィルタ92Cは、第1のフィルタから出力されるアラート0x1102、0x2202及び0x2213を入力とする「累積」タイプのフィルタで、フィルタ有効化レベルが3以上の時に、前述した3種類のフィルタから出力されるアラートを、1秒間に合計10回受信した場合、アラート0x03F000を1回出力する。
Further, another
本発明の代表的な一実施形態によれば、クラウド化に対応し、コスト低減とシステムの高効率化に対応しながらも、制御系システムとして求められる高信頼性を担保することが可能となる。 According to a typical embodiment of the present invention, it is possible to ensure high reliability required as a control system system while corresponding to cloudization and corresponding to cost reduction and high system efficiency. .
以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更及び同等の構成を含むものである。 Although the present invention has been described in detail with reference to the accompanying drawings, the present invention is not limited to such specific configurations, and various modifications and equivalents within the spirit of the appended claims Includes configuration.
21 ローカルネットワーク
22 通信端末
24 ネットワーク相互接続装置
25 広域ネットワーク(通信キャリア網)
26 管理センタ
27 アプリケーションサーバ
31 ローカルネットワーク受信機能
32 カプセル化機能
33 プロトコル変換機能
34 広域ネットワーク送信機能
35 広域ネットワーク受信機能
36 プロトコル変換機能
37 デカプセル化機能
38 ローカルネットワーク送信機能
39 アラート検知機能
310 ログ記録機能
311 広域ネットワーク監視機能
312 アラート出力機能
313 広域ネットワーク受信機能(センタ側)
314 広域ネットワーク送信機能(センタ側)
41 ローカルネットワーク受信プロセス
42 広域ネットワーク送信プロセス
43 アラート検知スレッド
44 アラート出力プロセス
45 ログ記録プロセス
46 広域ネットワーク監視プロセス
47 メインプロセス
51 ローカルネットワーク通信インターフェース
52 広域ネットワーク通信インターフェース
53 内部バス
54 プロセッサ(CPU)
55 ハードウェアアクセラレータ
56 演算用メモリ
57 プログラム格納用メモリ
59 ローカルネットワーク送信プログラム
510 広域ネットワーク受信プログラム
511 ログ記録プログラム
512 アラート検知用統計情報
513 広域ネットワーク混雑度情報
61 アラート検知部
62、91 統計処理部
63 アラート発生量計測部
64、92 フィルタ
65 入力アラートID定義テーブル
66 アラート統計処理テーブル
93 統合アラート統計処理テーブル
21
26
314 Wide area network transmission function (center side)
41 Local
55
Claims (13)
所定の通信プロトコルによる通信を制御する複数の通信処理プロセスと、前記管理装置にアラート情報を出力するアラート出力プロセスとを備え、
前記複数の通信処理プロセスは、各通信処理プロセスにおけるアラートを検知し、前記検知されたアラートに第1の統計処理をし、前記第1の統計処理の結果に基づいて生成されたアラート情報を前記アラート出力プロセスに出力する第1のフィルタリングをし、
前記アラート出力プロセスは、前記複数の通信処理プロセスからアラート情報を受信し、前記ネットワークの状況を用いて前記受信したアラート情報に第2の統計処理をし、前記第2の統計処理の結果に基づいて選択されたアラート情報を前記管理装置に出力する第2のフィルタリングをすることを特徴とするネットワーク装置。 A network device connected via a network to a management device that collects data from a communication terminal,
A plurality of communication processing processes for controlling communication according to a predetermined communication protocol, and an alert output process for outputting alert information to the management device,
The plurality of communication processing processes detect an alert in each communication processing process, perform first statistical processing on the detected alert, and generate alert information generated based on a result of the first statistical processing. Perform the first filtering to output to the alert output process,
The alert output process receives alert information from the plurality of communication processing processes, performs a second statistical process on the received alert information using a status of the network, and based on a result of the second statistical process And a second filtering for outputting the selected alert information to the management device.
前記複数の通信処理プロセスは、
前記第1の統計処理において、前記検知されたアラートを圧縮し、
前記第1のフィルタリングにおいて、当該通信処理プロセス内のアラートの発生量に応じて、前記第1の統計処理後のアラートを選択して、前記アラート出力プロセスに出力するアラート情報を生成することを特徴とするネットワーク装置。 The network device according to claim 1,
The plurality of communication processing processes include:
Compressing the detected alert in the first statistical process;
In the first filtering, an alert information to be output to the alert output process is generated by selecting an alert after the first statistical processing in accordance with an amount of alerts generated in the communication processing process. Network device.
前記ネットワークの状況を判定し、前記アラート出力プロセスに通知するネットワーク監視プロセスを備えることを特徴とするネットワーク装置。 The network device according to claim 1,
A network apparatus comprising: a network monitoring process for determining a status of the network and notifying the alert output process.
前記アラート出力プロセスは、前記第2の統計処理において、前記複数の通信処理プロセスに跨る統計処理を行うことを特徴とするネットワーク装置。 The network device according to claim 1,
In the second statistical processing, the alert output process performs statistical processing across the plurality of communication processing processes.
前記アラート出力プロセスは、前記第2のフィルタリングにおいて、アラート情報の出力と共に又はアラート情報を前記管理装置に出力する代わりに、所定のプログラムを実行することを特徴とするネットワーク装置。 The network device according to claim 1,
In the second filtering, the alert output process executes a predetermined program together with the output of alert information or instead of outputting the alert information to the management device.
前記第1及び第2のフィルタリングは、
(1)フィルタ処理をしないスルーモード、
(2)最初の1回のみアラートを通過し、アラートフラグをONにし、アラートフラグがクリアされるまで、アラートをマスクするワンスモード、
(3)アラート検出時にアラートオンを出力し、アラート回復時にアラートオフを出力するトグルモード、及び、
(4)所定時間内にアラートが所定回数入力されたら、アラートを1回出力する累積モード、の少なくとも二つ以上を切り替え可能であることを特徴とするネットワーク装置。 The network device according to claim 1,
The first and second filtering are:
(1) Through mode without filtering
(2) Once mode that passes the alert only once, turns on the alert flag, masks the alert until the alert flag is cleared,
(3) Toggle mode that outputs alert-on when alert is detected and outputs alert-off when alert is recovered, and
(4) A network device characterized in that at least two or more of an accumulation mode in which an alert is output once can be switched when an alert is input a predetermined number of times within a predetermined time.
前記ネットワーク装置は、前記ネットワーク装置から前記管理装置へ送信されるデータの遅延時間に基づいて、前記ネットワークの状況を判定することを特徴とするネットワークシステム。 A network system comprising the network device according to any one of claims 1 to 6, and a management device connected to the network device via a network,
The network system, wherein the network device determines the status of the network based on a delay time of data transmitted from the network device to the management device.
前記ネットワーク装置は、所定のプログラムを実行するプロセッサと、前記プロセッサが実行するプログラムを格納するメモリと、を有し、
前記プロセッサは、前記プログラムの実行によって、所定の通信プロトコルによる通信を制御する複数の通信処理プロセスと、前記管理装置にアラート情報を出力するアラート出力プロセスとを実装し、
前記方法は、
前記プロセッサが、前記複数の通信処理プロセスにおいて、各通信処理プロセスにおけるアラートを検知し、前記検知されたアラートに第1の統計処理をし、前記第1の統計処理の結果に基づいて生成されたアラート情報を前記アラート出力プロセスに出力する第1のフィルタリングをするステップと、
前記プロセッサが、前記アラート出力プロセスにおいて、前記複数の通信処理プロセスからアラート情報を受信し、前記ネットワークの状況を用いて前記受信したアラート情報に第2の統計処理をし、前記第2の統計処理の結果に基づいて選択されたアラート情報を前記管理装置に出力する第2のフィルタリングをするステップとを含むことを特徴とするアラート情報の処理方法。 A network device connected via a network with a management device that collects data from a communication terminal that outputs alert information is a method for processing the alert information,
The network device includes a processor that executes a predetermined program, and a memory that stores a program executed by the processor,
The processor implements a plurality of communication processing processes for controlling communication by a predetermined communication protocol by executing the program, and an alert output process for outputting alert information to the management device,
The method
The processor detects an alert in each communication processing process in the plurality of communication processing processes, performs first statistical processing on the detected alert, and is generated based on a result of the first statistical processing Performing a first filtering to output alert information to the alert output process;
In the alert output process, the processor receives alert information from the plurality of communication processing processes, performs second statistical processing on the received alert information using the network status, and the second statistical processing And a second filtering step for outputting the alert information selected based on the result to the management device.
前記第1の統計処理において、前記プロセッサが、前記検知されたアラートを圧縮し、
前記第1のフィルタリングにおいて、前記プロセッサが、当該通信処理プロセス内のアラートの発生量に応じて、前記第1の統計処理後のアラートを選択して、前記アラート出力プロセスに出力するアラート情報を生成することを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
In the first statistical process, the processor compresses the detected alert;
In the first filtering, the processor selects an alert after the first statistical processing according to the amount of alerts generated in the communication processing process, and generates alert information to be output to the alert output process An alert information processing method characterized by:
前記プロセッサが、前記ネットワークの状況を判定し、前記アラート出力プロセスに通知するステップを含むことを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
A method of processing alert information, comprising: a step of determining the status of the network and notifying the alert output process of the processor.
前記第2の統計処理において、前記プロセッサが、前記複数の通信処理プロセスに跨る統計処理を行うことを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
In the second statistical processing, the processor performs statistical processing across the plurality of communication processing processes.
前記アラート出力プロセスにおいて、前記プロセッサが、前記第2のフィルタリングにおいて、アラート情報の出力と共に又はアラート情報を前記管理装置に出力する代わりに、所定のプログラムを実行することを特徴とするアラート情報の処理方法。 The alert information processing method according to claim 8,
In the alert output process, the processor executes a predetermined program in the second filtering together with the output of the alert information or instead of outputting the alert information to the management device. Method.
前記第1及び第2のフィルタリングにおいて、前記プロセッサが、
(1)フィルタ処理をしないスルーモード、
(2)最初の1回のみアラートを通過し、アラートフラグをONにし、アラートフラグがクリアされるまで、アラートをマスクするワンスモード、
(3)アラート検出時にアラートオンを出力し、アラート回復時にアラートオフを出力するトグルモード、及び、
(4)所定時間内にアラートが所定回数入力されたら、アラートを1回出力する累積モード、の少なくとも二つ以上を切り替え可能であることを特徴とするアラート情報の処理方法。 The alert information processing method according to any one of claims 8 to 12,
In the first and second filtering, the processor
(1) Through mode without filtering
(2) Once mode that passes the alert only once, turns on the alert flag, masks the alert until the alert flag is cleared,
(3) Toggle mode that outputs alert-on when alert is detected and outputs alert-off when alert is recovered, and
(4) A method for processing alert information, characterized in that at least two or more of an accumulation mode in which an alert is output once can be switched when an alert is input a predetermined number of times within a predetermined time.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012135475A JP5793762B2 (en) | 2012-06-15 | 2012-06-15 | Network device, network system, and alert information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012135475A JP5793762B2 (en) | 2012-06-15 | 2012-06-15 | Network device, network system, and alert information processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014003353A true JP2014003353A (en) | 2014-01-09 |
JP5793762B2 JP5793762B2 (en) | 2015-10-14 |
Family
ID=50036165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012135475A Expired - Fee Related JP5793762B2 (en) | 2012-06-15 | 2012-06-15 | Network device, network system, and alert information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5793762B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021018630A (en) * | 2019-07-22 | 2021-02-15 | ソフトバンク株式会社 | Alarm aggregation sorting device and alarm aggregation sorting method |
CN114520766A (en) * | 2022-04-21 | 2022-05-20 | 博为科技有限公司 | Networking control method of router and related equipment |
-
2012
- 2012-06-15 JP JP2012135475A patent/JP5793762B2/en not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021018630A (en) * | 2019-07-22 | 2021-02-15 | ソフトバンク株式会社 | Alarm aggregation sorting device and alarm aggregation sorting method |
JP7034989B2 (en) | 2019-07-22 | 2022-03-14 | ソフトバンク株式会社 | Alarm aggregation sorting device and alarm aggregation sorting method |
CN114520766A (en) * | 2022-04-21 | 2022-05-20 | 博为科技有限公司 | Networking control method of router and related equipment |
CN114520766B (en) * | 2022-04-21 | 2022-08-30 | 博为科技有限公司 | Networking control method of router and related equipment |
Also Published As
Publication number | Publication date |
---|---|
JP5793762B2 (en) | 2015-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8560894B2 (en) | Apparatus and method for status decision | |
CN103220173B (en) | A kind of alarm monitoring method and supervisory control system | |
JP5659108B2 (en) | Operation monitoring device, operation monitoring program, and recording medium | |
JP6097889B2 (en) | Monitoring system, monitoring device, and inspection device | |
US11856426B2 (en) | Network analytics | |
CN113495820B (en) | Anomaly information collecting and processing method and device and anomaly monitoring system | |
CN110806921B (en) | OVS (optical virtual system) abnormity alarm monitoring system and method | |
CN106487612A (en) | A kind of server node monitoring method, monitoring server and system | |
CN108923422A (en) | Internet of Things proxy data processing method, system and electric network terminal equipment monitoring system | |
WO2014180450A1 (en) | Communications provider network management equipment detection method, device, and computer storage medium | |
JP5793762B2 (en) | Network device, network system, and alert information processing method | |
CN113612647B (en) | Alarm processing method and device | |
US8788735B2 (en) | Interrupt control apparatus, interrupt control system, interrupt control method, and interrupt control program | |
JP2015082131A (en) | Monitoring system, monitoring method, monitoring program, and monitoring device | |
WO2014040470A1 (en) | Alarm message processing method and device | |
CN114461350A (en) | Method and device for testing availability of container | |
CN113064890A (en) | Quality evaluation method, device, server and medium for operator data | |
JP2008171104A (en) | Monitoring apparatus, monitoring system, monitoring method and monitoring program for monitoring business service and system performance | |
US9311210B1 (en) | Methods and apparatus for fault detection | |
US10084671B2 (en) | Communication device and packet monitoring method | |
JP2014010538A (en) | Operation management device, operation management system, and operation management method | |
JP6474962B2 (en) | Information processing apparatus, failure detection method in information processing apparatus, and failure detection program in information processing apparatus | |
WO2014183369A1 (en) | Monitoring processing method and device, and m2m gateway | |
EP3815303B1 (en) | Automated network monitoring and control | |
CN106972945B (en) | line inspection device for power distribution network in power distribution system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150623 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150715 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5793762 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |