JP2019133246A - 順序制御プログラム、順序制御方法、及び情報処理装置 - Google Patents
順序制御プログラム、順序制御方法、及び情報処理装置 Download PDFInfo
- Publication number
- JP2019133246A JP2019133246A JP2018012552A JP2018012552A JP2019133246A JP 2019133246 A JP2019133246 A JP 2019133246A JP 2018012552 A JP2018012552 A JP 2018012552A JP 2018012552 A JP2018012552 A JP 2018012552A JP 2019133246 A JP2019133246 A JP 2019133246A
- Authority
- JP
- Japan
- Prior art keywords
- anomaly
- detected
- events
- information
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】アノマリ事象対応の遅延による問題の発生を抑制できる順序制御プログラムを提供する。【解決手段】順序制御プログラムは、システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータに実行させる。【選択図】図12
Description
本件は、順序制御プログラム、順序制御方法、及び情報処理装置に関する。
サーバ装置、ストレージ装置、ネットワーク装置などを含むInformation and Communication Technology(ICT)システムが知られている。また、例えばサーバ装置からCentral Processing Unit(CPU)やメモリの使用状況に関する時系列データを採取して、使用状況の時間変化をモニタにグラフで表示する観測装置も知られている。特に、観測装置がICTシステムのアノマリ事象を検知し、アノマリ事象の発生状況をモニタに表示する技術も知られている(以上、例えば特許文献1参照)。
ところで、アノマリ事象が大量に検知された場合、ICTシステムの運用者又は管理者(以下、単に運用者という。)には、アノマリ事象に対する対応の優先順位を判断し、そのアノマリ事象に対応することが求められる。特に、運用者にはアノマリ事象が検知されてからそのアノマリ事象に起因する問題が発生するまでの時間内で優先順位を判断し、そのアノマリ事象に対応することが求められる。
運用者が優先順位の判断を誤り、アノマリ事象に対する対応が遅延すると、そのアノマリ事象に起因する問題が発生する。例えば、システム障害を引き起こす可能性があるアノマリ事象が検知された場合に、運用者がそのアノマリ事象に対する対応の優先順位の判断を誤ると、システム障害が発生する可能性がある。仮に、システム障害が現実に発生すると、ICTシステムを利用する多くの利用者が影響を受けるおそれがある。
そこで、1つの側面では、アノマリ事象対応の遅延による問題の発生を抑制できる順序制御プログラム、順序制御方法、及び情報処理装置を提供することを目的とする。
1つの実施態様では、順序制御プログラムは、システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータに実行させる。
1つの実施態様では、順序制御プログラムは、システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータに実行させる。
アノマリ事象対応の遅延による問題の発生を抑制することができる。
以下、本件を実施するための形態について図面を参照して説明する。
(第1実施形態)
図1は情報処理システムSの一例である。図2はConfiguration Management Database(CMDB)140の一例である。情報処理システムSは、監視対象システム100と構成収集サーバ130と記憶部としてのCMDB140とを備えている。CMDB140は構成収集サーバ130に含まれていてもよい。また、情報処理システムSは、性能監視サーバ150とイベント監視サーバ170とを備えている。さらに、情報処理システムSは、管理サーバ190と情報処理装置としての分析サーバ200と運用端末300とを備えている。
図1は情報処理システムSの一例である。図2はConfiguration Management Database(CMDB)140の一例である。情報処理システムSは、監視対象システム100と構成収集サーバ130と記憶部としてのCMDB140とを備えている。CMDB140は構成収集サーバ130に含まれていてもよい。また、情報処理システムSは、性能監視サーバ150とイベント監視サーバ170とを備えている。さらに、情報処理システムSは、管理サーバ190と情報処理装置としての分析サーバ200と運用端末300とを備えている。
尚、情報処理システムSの構成要素から監視対象システム100、構成収集サーバ130、CMDB140、性能監視サーバ150、イベント監視サーバ170、運用端末300の少なくとも1つを除外してもよい。すなわち、情報処理システムSは少なくとも管理サーバ190と分析サーバ200とを備えていればよい。また、運用端末300は、図1に示すように、入力部310、表示部320、及び制御部(不図示)を含むPersonal Computer(PC)によって実現することができる。運用端末300をタブレット端末といったスマートデバイスによって実現してもよい。運用端末300は運用者によって操作される。
監視対象システム100は複数のホストマシン110を含んでいる。複数のホストマシン110の一部又は全部は互いに接続されている。複数のホストマシン110は通信ネットワークNWを介して構成収集サーバ130、性能監視サーバ150、及びイベント監視サーバ170と接続されている。通信ネットワークNWとしては、例えばインターネットやLocal Area Network(LAN)などがある。ホストマシン110は例えばWebサーバ、アプリケーションサーバ、データベースサーバ、仮想化サーバといった各種のサーバ装置、ストレージ装置、ネットワーク装置などが該当する。したがって、監視対象システム100は計算機システム又はICTシステムと呼ばれる場合もある。情報処理システムS又は監視対象システム100のエンドユーザである利用者(不図示)は、監視対象システム100にアクセスして、監視対象システム100が実行又は提供(以下、単に実行という。)する複数のサービスを利用することができる。複数のサービスとしては、例えばデータ処理サービスや画像化サービスなど、業務支援に関するサービスがある。
尚、監視対象システム100にはクラウド基盤又はクラウド環境(以下、単にクラウド基盤という。)を構築するソフトウェア群(例えばOpen Stackなど)が実装されている。より詳しくは、上述したホストマシン110によってはKeystoneと呼ばれるソフトウェアが実装されている。Keystoneは利用者の管理やアクセス制御といった認証機能を発揮する。また、ホストマシン110によってはNovaと呼ばれるソフトウェアが実装されている。Novaは仮想マシンを実行するコンピュート機能を発揮する。その他、Swift、Glance、Cinderなどのソフトウェアも知られている。これらのソフトウェアが互いに連携することによって、監視対象システム100はクラウド基盤を実現する。
構成収集サーバ130は複数のホストマシン110にアクセスし、各ホストマシン110が有する種々の構成情報を動的に収集してCMDB140に格納する。構成情報としては、ホストマシン110のハードウェア構成に関する情報(具体的にはホストマシンの名称やIPアドレスなど)や、仮想環境に関する情報(具体的にはハイパーバイザーの版数、CPUやメモリの使用状況など)がある。また、構成情報としては、Operating System(OS)やアプリケーションソフトウェア(以下、単にアプリという)に関する情報や、パッチ適用の状況及びアプリのパラメータ設定状況に関する情報もある。その他、構成収集サーバ130はアクセスしたホストマシン110が実行するサービスとそのサービスに関連する一世代上のサービスと一世代下のサービスを特定して構成情報として格納する。また、構成収集サーバ130は複数のホストマシン110の親子関係又は主従関係(以下、単に親子関係という。)を特定して構成情報として格納する。
これにより、CMDB140は、図2に示すように、各ホストマシン110の構成情報をホストマシン110毎に記憶する。例えば、「ホスト2」の名称を有するホストマシン110は「ホスト1」の名称を有するホストマシン110が親であり、「ホスト3」の名称を有するホストマシン110が子の関係を有する。また、「ホスト2」の名称を有するホストマシン110はサービス3、サービス4、及びサービス5を実行する。一方で、「ホスト2」の名称を有するホストマシン110が実行するサービスに関連するサービスとして、親の関係にあるホストマシン110が実行するサービス1及びサービス2と、「ホスト3」の名称を有するホストマシン110が実行するサービス6とがある。このように、複数のサービス1〜6にはホストマシン110の親子関係に伴う特定の関係性がある。したがって、例えば「ホスト2」の名称を有するホストマシン110に障害が発生すると、サービス3〜5及び一世代下のサービス6の実行が停止するが、一世代上のサービス1〜2の実行は継続する。尚、運用者が構成情報をCMDB140に格納する操作を行って、運用端末300がCMDB140に構成情報を格納してもよい。
性能監視サーバ150は通信ネットワークNWを介して各ホストマシン110及び各ホストマシン110のリソースを監視する。具体的には、性能監視サーバ150はハードウェア資源(例えばCPUやメモリなど)を監視する。性能監視サーバ150はソフトウェア資源を監視してもよい。性能監視サーバ150は監視対象であるリソースから性能や負荷といったデータを監視データとして取得する。監視データには、CPU使用率やメモリ使用率、ディスクスループットなどがリソースの性能や負荷として含まれている。性能監視サーバ150は取得した監視データを様々な角度で対比して管理する。
イベント監視サーバ170は通信ネットワークNWを介して監視対象システム100で発生する種々のイベント(事象)を監視する。例えば、イベント監視サーバ170は、監視対象システム100で実行される複数のサービスのサービスレベルの低下の原因となり得るイベントが発生すると、そのイベントの発生を検知し、インシデント情報(以下、INCチケットという。)を発行して管理サーバ190に通知する。詳細は後述するが、INCチケットは、チケットの識別子、チケットの発行日時、発生したイベントに関連するサービスの名称、そのサービスを実行するホストマシン110の名称、発生したイベントの内容などを含んでいる。
管理サーバ190は不図示のチケットDBを備え、イベント監視サーバ170から通知されたINCチケットをチケットDBにより記憶して管理する。また、管理サーバ190は利用者端末(不図示)が発行して通知したINCチケットや運用端末300が発行して通知した変更要求チケットをチケットDBにより記憶して管理する。利用者端末は利用者が利用する端末装置である。尚、利用者端末が発行したINCチケットには、チケットの識別情報、チケットの発行日時のほか、監視対象システム100に関する問い合わせなどが含まれている。一方、運用端末300が発行した変更要求チケットには、チケットの識別子、チケットの発行日時、ホストマシン110の変更により影響を受けるサービスの名称、そのサービスを実行するホストマシン110の名称、改変や修正といった変更内容などを含んでいる。
分析サーバ200はCMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と接続されている。分析サーバ200は、図1に示すように、CMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と直接的に接続されていてもよいし、通信ネットワークNWを介してCMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と間接的に接続されていてもよい。
分析サーバ200は性能監視サーバ150が取得した監視データを収集し、収集した監視データに基づいてアノマリ事象検知処理を実行する。アノマリ事象検知処理は、監視データを分析し、ホストマシン110やそのリソースの通常時、正常時、又は定常時(以下、単に通常時という。)の状態と違う状態を検知する処理である。アノマリ事象検知処理により通常時の状態と違う状態が検知されると、ホストマシン110やそのリソース、ホストマシン110を含む監視対象システム100に問題が発生する可能性がある。
また、分析サーバ200は、アノマリ事象が検知された監視データ(以下、アノマリデータという。)と、CMDB140が記憶する構成情報とに基づいて、アノマリ事象に関するアノマリ情報の表示順序を決定する。分析サーバ200は、アノマリデータと、アノマリ事象の検知頻度とに基づいて、アノマリ情報の表示順序を決定してもよい。検知頻度はアノマリ事象を連続して検知した連続検知数であってもよいし、単位時間あたりの検知回数であってもよい。本実施形態では、検知頻度の一例として連続検知数を使用して説明する。
さらに、分析サーバ200は、アノマリデータと、構成情報と、アノマリ事象の検知頻度と、管理サーバ190が管理するINCチケットの発行数とに基づいて、アノマリ事象情報の表示順序を決定してもよい。表示順序を決定する際に、INCチケットの発行数を利用することで、アノマリ事象に起因する問題が発生する可能性の確度が向上する。例えば、INCチケットが全く発行されていなければ、アノマリ事象が検知されても、そのアノマリ事象に起因する問題が発生する可能性は低いと想定される。尚、詳細は後述するが、分析サーバ200は運用端末300から各種の要求や指示を受け付けると、アノマリ情報を、決定した表示順序で、運用端末300の表示部320に表示する。
次に、図3を参照して、分析サーバ200のハードウェア構成について説明する。尚、上述した複数のホストマシン110、構成収集サーバ130、CMDB140、性能監視サーバ150、イベント監視サーバ170、管理サーバ190、及び運用端末300については基本的に分析サーバ200と同様のハードウェア構成であるため、説明を省略する。
図3は分析サーバ200のハードウェア構成の一例である。図3に示すように、分析サーバ200は、少なくともハードウェアプロセッサとしてのCPU200A、Random Access Memory(RAM)200B、Read Only Memory(ROM)200C、及びネットワークI/F(インタフェース)200Dを含んでいる。分析サーバ200は、必要に応じて、Hard Disk Drive(HDD)200E、入力I/F200F、出力I/F200G、入出力I/F200H、ドライブ装置200Iの少なくとも1つを含んでいてもよい。CPU200Aからドライブ装置200Iまでは、内部バス200Jによって互いに接続されている。すなわち、分析サーバ200はコンピュータによって実現することができる。尚、CPU200Aに代えてMicro Processing Unit(MPU)をハードウェアプロセッサとして利用してもよい。
入力I/F200Fには、入力装置710が接続される。入力装置710としては、例えばキーボードやマウスなどがある。出力I/F200Gには、表示装置720が接続される。表示装置720としては、例えば液晶ディスプレイがある。入出力I/F200Hには、半導体メモリ730が接続される。半導体メモリ730としては、例えばUniversal Serial Bus(USB)メモリやフラッシュメモリなどがある。入出力I/F200Hは、半導体メモリ730に記憶されたプログラムやデータを読み取る。入力I/F200F及び入出力I/F200Hは、例えばUSBポートを備えている。出力I/F200Gは、例えばディスプレイポートを備えている。
ドライブ装置200Iには、可搬型記録媒体740が挿入される。可搬型記録媒体740としては、例えばCompact Disc(CD)−ROM、Digital Versatile Disc(DVD)といったリムーバブルディスクがある。ドライブ装置200Iは、可搬型記録媒体740に記録されたプログラムやデータを読み込む。ネットワークI/F200Dは、例えばLANポートを備えている。ネットワークI/F200Dは上述したCMDB140、性能監視サーバ150、管理サーバ190、及び運用端末300と接続される。
上述したRAM200Bには、ROM200CやHDD200Eに記憶されたプログラムがCPU200Aによって一時的に格納される。RAM200Bには、可搬型記録媒体740に記録されたプログラムがCPU200Aによって一時的に格納される。格納されたプログラムをCPU200Aが実行することにより、CPU200Aは後述する各種の機能を実現し、また、後述する各種の処理を実行する。尚、プログラムは後述するフローチャートに応じたものとすればよい。
次に、図4から図7を参照して、分析サーバ200の機能構成について説明する。
図4(a)は分析サーバ200のブロック図の一例である。図4(b)はデータ記憶部220の一例である。図5は第1データ管理テーブルT1の一例である。図6(a)は第2データ管理テーブルT2及び第3データ管理テーブルT3の一例である。図6(b)は第4データ管理テーブルT4の一例である。図7は第5データ管理テーブルT5の一例である。図4(a)に示すように、分析サーバ200は、処理部としての、データ収集部210、アノマリ検知部230、表示順序制御部240、及びデータ可視化部250を含んでいる。また、分析サーバ200はデータ記憶部220を含んでいる。データ記憶部220は、図4(b)に示すように、第1データ管理テーブルT1、第2データ管理テーブルT2、第3データ管理テーブルT3、第4データ管理テーブルT4、及び第5データ管理テーブルT5により管理された種々のデータを記憶する。
尚、データ収集部210は、公知のログ収集転送ツール(例えばFluentdやLogstashなどのソフトウェア)と後述する第1処理とをCPU200Aが実行することによって実現することができる。データ記憶部220は、Open Source Software(OSS)の分散型検索リアルタイム分析エンジン(例えばElasticsearchなどのソフトウェア)をCPU200Aが実行し、HDD200Eと協同することによって実現することができる。アノマリ検知部230及び表示順序制御部240は後述する第2処理をCPU200Aが実行することによって実現することができる。データ可視化部250は、公知のデータ可視化ツール(例えばkibanaなどのソフトウェア)と後述する第3処理とをCPU200Aが実行することによって実現することができる。
データ収集部210は性能監視サーバ150から監視データを収集する。より詳しくは、データ収集部210は数分から十数分の単位で定期的に性能監視サーバ150にアクセスし、性能監視サーバ150が複数のホストマシン110のそれぞれから取得した監視データを収集する。データ収集部210は監視データを収集すると、収集した監視データをデータ記憶部220に格納する。これにより、データ記憶部220は監視データを記憶する。特に、監視データは第1データ管理テーブルT1により管理される。
ここで、図5に示すように、第1データ管理テーブルT1はホストマシン110と監視対象リソースの組み合わせ毎に複数の監視データを管理する。第1データ管理テーブルT1は収集日時、ホストマシン、監視対象リソース、データ値、単位、アノマリ分析結果、及びアノマリ検知日時といった複数のフィールドを有する。収集日時のフィールドには監視データを収集した日時が登録される。ホストマシンのフィールドにはホストマシン110の名称又は識別子が登録される。監視対象リソースのフィールドには監視対象リソースの名称が登録される。データ値と単位のフィールドには監視データの性能を表す実測値とその実測値の単位を表す記号又は文字がそれぞれ登録される。例えば監視対象リソース「CPU」に対し単位「%」が登録されている場合、データ値「78」はCPU使用率を表している。同様に、監視対象リソース「メモリ」に対し単位「%」が登録されている場合、データ値「64」はメモリ使用率を表している。
アノマリ分析結果のフィールドにはアノマリ事象を検知したか否かを識別する識別フラグが登録される。例えば識別フラグ「1」はアノマリ事象を検知したことを表し、識別フラグ「0」はアノマリ事象を検知しなかったことを表す。アノマリ検知日時のフィールドにはアノマリ事象を検知した日時が登録される。アノマリ事象を検知した日時は、識別フラグ「1」が登録された監視データ(以下、アノマリデータという。)に対して登録され、識別フラグ「0」が登録された監視データ(以下、非アノマリデータという。)に対しては登録されない。このように、第1データ管理テーブルT1によりホストマシン110と監視対象リソースの組み合わせ毎に複数のアノマリデータ及び非アノマリデータが管理される。
また、データ収集部210は管理サーバ190からINCチケット及び変更要求チケットを収集する。より詳しくは、データ収集部210は数分から十数分の単位で定期的に管理サーバ190にアクセスし、管理サーバ190が管理するINCチケット及び変更要求チケットを収集する。データ収集部210はINCチケット及び変更要求チケットを収集すると、収集したINCチケット及び変更要求チケットをデータ記憶部220に格納する。これにより、データ記憶部220はINCチケット及び変更要求チケットを記憶する。INCチケットは第2データ管理テーブルT2及び第3データ管理テーブルT3により発行元毎に管理される。また、変更要求チケットは第4データ管理テーブルT4により管理される。
ここで、図6(a)に示すように、第2データ管理テーブルT2はイベント監視サーバ170が発行した複数のINCチケットを管理する。また、第3データ管理テーブルT3は利用者端末が発行した複数のINCチケットを管理する。第2データ管理テーブルT2はチケットID、発行日時、サービス名、ホストマシン、及びタイトルといった複数のフィールドを有する。チケットIDのフィールドにはINCチケットを識別する識別子が登録される。発行日時のフィールドにはINCチケットの発行日時が登録される。サービス名のフィールドには発生したイベントに関連するサービスの名称が登録される。ホストマシンのフィールドにはそのサービスを実行するホストマシン110の名称又は識別子が登録される。タイトルのフィールドには発生したイベントの内容が登録される。尚、第3データ管理テーブルT3については、基本的に、第2データ管理テーブルT2と同様であるため、詳細な説明は省略する。
一方、図6(b)に示すように、第4データ管理テーブルT4は運用端末300が発行した複数の変更要求チケットを管理する。第4データ管理テーブルT4はチケットID、発行日時、サービス名、ホストマシン、及びタイトルといった複数のフィールドを有する。チケットIDのフィールドには変更要求チケットを識別する識別子が登録される。発行日時のフィールドには変更要求チケットの発行日時が登録される。サービス名のフィールドにはホストマシン110の変更により影響を受けるサービスの名称が登録される。ホストマシンのフィールドにはそのサービスを実行するホストマシン110の名称又は識別子が登録される。タイトルのフィールドには改変や修正といった変更内容が登録される。
アノマリ検知部230はデータ記憶部220から監視データを取得し、取得した監視データについてアノマリ事象検知処理を実行する。例えば、アノマリ検知部230はデータ記憶部220から取得した監視データに基づいて、監視データ(具体的には監視データのデータ値)の正規分布をホストマシン110と監視対象リソースとの組み合わせ毎に生成し、正規分布の平均値μから2σ以上離れた監視データをアノマリ事象として検知する。アノマリ検知部230はアノマリ事象を検知した監視データについて、第1データ管理テーブルT1に含まれるアノマリ分析結果のフィールドに識別フラグ「1」を分析結果として登録する。アノマリ検知部230はアノマリ事象を検知した監視データについて、第1データ管理テーブルT1に含まれるアノマリ検知日時のフィールドに検知日時を登録する。一方、アノマリ検知部230はアノマリ事象を検知しなかった監視データについて、第1データ管理テーブルT1に含まれるアノマリ分析結果に識別フラグ「0」を分析結果として登録する。すなわち、アノマリ検知部230は、監視データをアノマリデータと非アノマリデータに分類する。
表示順序制御部240はアノマリ情報の表示順序を制御する。より詳しくは、表示順序制御部240はアノマリ検知部230が監視データをアノマリデータと非アノマリデータに分類すると、データ記憶部220からアノマリデータとINCチケットと変更要求チケットとを取得する。特に、表示順序制御部240はイベント監視サーバ170が発行したINCチケットと利用者端末が発行したINCチケットの両方を取得する。表示順序制御部240はアノマリデータとINCチケットと変更要求チケットとを取得すると、CMDB140が記憶する構成情報を参照し、アノマリデータとINCチケットと変更要求チケットと構成情報とに基づいて、種々の処理を実行して、アノマリ情報の表示順序を決定する。尚、表示順序制御部240が実行する処理の詳細については後述する。表示順序制御部240は表示順序を決定すると、表示順序が登録された表示対象データを生成してデータ記憶部220に格納する。表示対象データは第5データ管理テーブルT5によって管理される。
ここで、図7に示すように、第5データ管理テーブルT5はアノマリID、検知日時、経過時間、ホストマシン、監視対象リソースといった複数のフィールドを有する。アノマリIDのフィールドには表示対象データを識別する識別子が登録される。アノマリIDは表示対象データが生成される度に表示順序制御部240によって付与される。検知日時のフィールドにはアノマリデータのアノマリ検知日時が登録される。経過時間のフィールドにはアノマリ検知日時から現在日時まで経過した経過時間が登録される。すなわち、経過時間はアノマリ検知日時と現在日時との差を表している。ホストマシンのフィールドにはアノマリデータのホストマシン110の名称又は識別子が登録される。監視対象リソースのフィールドにはアノマリデータの監視対象リソースの名称が登録される。
また、図7に示すように、第5データ管理テーブルT5はINCチケット数(サーバ発行)、変更要求チケット数、INCチケット数(ユーザ発行)といった複数のフィールドを有する。INCチケット数(サーバ発行)のフィールドには、イベント監視サーバ170が発行したINCチケットの数が登録される。変更要求チケット数のフィールドには、運用端末300が発行した変更要求チケットの数が登録される。INCチケット数(ユーザ発行)のフィールドには、利用者端末が発行したINCチケットの数が登録される。尚、イベント監視サーバ170及び利用者端末がそれぞれ発行した各INCチケットには、いずれもホストマシン110の名称が含まれているため、ホストマシン110毎に各INCチケットの数を特定することができる。また、変更要求チケットにもホストマシン110の名称が含まれているため、ホストマシン110毎に変更要求チケットの数を特定することができる。
さらに、図7に示すように、第5データ管理テーブルT5は連続検知数、関連サービス数、表示順序といった複数のフィールドを有する。連続検知数のフィールドには、監視対象リソースについて発生したアノマリ事象を連続して検知した回数が登録される。例えば、監視対象リソースについて発生したアノマリ事象が1分間隔で4分間に渡って連続して検知された場合、連続検知数のフィールドには数値「4」が登録される。尚、連続検知数は検知頻度の一例であって、単位時間あたりにアノマリ事象を検知した回数を検知頻度として利用してもよい。関連サービス数のフィールドには、そのホストマシン110が実行するサービスと関連する他のサービスの数が登録される。例えば、構成情報(図2参照)に基づけば、「ホスト1」の名称を有するホストマシン110は、サービス1及びサービス2の2つを実行し、「ホスト2」の名称を有するホストマシン110がサービス3〜サービス5の3つを実行する。このため、図7に示すように、「ホスト1」の名称を有するホストマシン110に対応する関連サービス数のフィールドには、数値「3」が登録される。表示順序のフィールドには表示順序制御部240がアノマリデータとINCチケットと変更要求チケットと構成情報とに基づいて決定した表示順序が登録される。尚、本実施形態では、123件の表示対象データが第5データ管理テーブルT5によって管理されている。
データ可視化部250は運用端末300からアノマリ一覧画面の表示を要求する画面表示要求を受け付けると、データ記憶部220から表示対象データを取得し、取得した表示対象データを可視化する。例えば、データ可視化部250は取得した表示対象データを表示順序に基づいて並び替え、並び替えた表示対象データから表示順序のフィールドを除外したアノマリ情報を生成する。データ可視化部250はアノマリ情報を生成すると、生成したアノマリ情報を含むアノマリ一覧画面を運用端末300の表示部320に表示する。
続いて、分析サーバ200の動作について説明する。
図8はデータ収集部210が実行する第1処理の一例を示すフローチャートである。データ収集部210は第1処理を所定の時間毎に定期的に実行する。まず、データ収集部210は性能監視サーバ150から監視データを収集し(ステップS101)、収集した監視データをデータ記憶部220に格納する(ステップS102)。ステップS102の処理が完了すると、データ収集部210は管理サーバ190から各種のチケットを収集し(ステップS103)、収集したチケットをデータ記憶部220に格納する(ステップS104)。すなわち、データ収集部210は発行元が異なる各INCチケットと変更要求チケットとを収集し、収集したINCチケット及び変更要求チケットをデータ記憶部220に格納する。尚、データ収集部210はチケットを収集して格納してから、監視データを収集して格納してもよい。ステップS104の処理が完了すると、データ収集部210は処理を終了する。
図9はアノマリ検知部230及び表示順序制御部240が実行する第2処理の一例を示すフローチャートである。図10は表示優先度の一例を説明する図である。アノマリ検知部230及び表示順序制御部240は第2処理を定期的に実行する。まず、図9に示すように、アノマリ検知部230は設定時間が到来したか否かを判断する(ステップS201)。設定時間は上述した所定の時間より長い時間(例えば1時間といった数時間)である。例えばデータ収集部210は10分毎に監視データと各種のチケットを収集してデータ記憶部220に格納し、アノマリ検知部230は1時間毎にステップS201の処理以後の処理を実行するか否かを判断する。
例えば、アノマリ検知部230がステップS201の処理以後の処理を前回実行してから設定時間が到来していない場合(ステップS201:NO)、後続のステップS202からS213の処理をスキップする。これにより、データ収集部210は監視データ及び各種のチケットを収集してから10分経過する度に、監視データ及び各種のチケットを収集してデータ記憶部220に格納する。これにより、データ記憶部220には時系列の監視データと各種のチケットが蓄積される。
一方、アノマリ検知部230がステップS201の処理以後の処理を前回実行してから設定時間が到来している場合(ステップS201:YES)、アノマリ検知部230はデータ記憶部220から監視データを取得する(ステップS202)。ステップS202の処理が完了すると、アノマリ検知部230はアノマリ事象検知処理を実行し(ステップS203)、分析結果と検知日時を第1データ管理テーブルT1に登録する(ステップS204)。これにより、監視データはアノマリデータと非アノマリデータに分類される。
ステップS204の処理が完了すると、次いで、表示順序制御部240はデータ記憶部220からアノマリデータを取得し(ステップS205)、次いで、各種のチケットを取得する(ステップS206)。ステップS204の処理が完了すると、次いで、表示順序制御部240はCMDB140が記憶する構成情報を参照し(ステップS207)、関連サービス数を特定する(ステップS208)。ステップS208の処理が完了すると、次いで、表示順序制御部240は連続検知数を算出し(ステップS209)、チケット数を特定する(ステップS210)。特に、表示順序制御部240はホストマシン110毎のチケット数をチケットの種別毎に特定する。これにより、イベント監視サーバ170が特定のホストマシン110に対して発行したINCチケットの数と、利用者端末が特定のホストマシン110に対して発行したINCチケットの数と、運用端末300が特定のホストマシン110に対して発行した変更要求チケットの数が特定される。
ステップS210の処理が完了すると、表示順序制御部240は経過時間を計測し(ステップS211)、次いで、表示順序を決定する(ステップS212)。より詳しくは、表示順序制御部240は、関連サービス数、連続検知数、イベント監視サーバ170が発行したINCチケットのチケット数、利用者端末が発行したINCチケットのチケット数、経過時間、及び予め定めた表示優先度に基づいて、アノマリ情報の表示順序を決定する。表示順序制御部240は、表示順序を決定する際に、運用端末300が発行した変更要求チケットのチケット数を利用してもよい。
ここで、図10に示すように、最も高い表示優先度は関連サービス数に定められている。そして、連続検知数、利用者端末が発行したINCチケットのチケット数、イベント監視サーバ170が発行したINCチケットのチケット数の順に表示優先度が定められ、経過時間に最も低い表示優先度が定められている。これらの優先度は例えば問題が発生した際の影響の大きさなどに従って定めればよい。したがって、例えば関連サービス数に数値「5」が登録され、連続検知数に数値「1」が登録された表示対象データと、関連サービス数に数値「3」が登録され、連続検知数に数値「9」が登録された表示対象データとが存在する場合、前者の表示対象データに応じたアノマリ情報が後者の表示対象データに応じたアノマリ情報より上位に表示される。
また、関連サービス数、連続検知数、利用者端末が発行したINCチケットのチケット数、及びイベント監視サーバ170が発行したINCチケットのチケット数は、いずれも、その数が多いほど、その表示対象データに応じたアノマリ情報は上位に表示される。逆に、関連サービス数、連続検知数、利用者端末が発行したINCチケットのチケット数、及びイベント監視サーバ170が発行したINCチケットのチケット数は、いずれも、その数が少ないほど、その表示対象データに応じたアノマリ情報は下位に表示される。例えば、関連サービス数にいずれも数値「3」が登録された2つの表示対象データが存在する場合、一方の表示対象データに連続検知数に数値「9」が登録され、他方の表示対象データの連続検知数に数値「7」が登録されている場合、前者の表示対象データに応じたアノマリ情報が後者の表示対象データに応じたアノマリ情報より上位に表示される。
ただし、経過時間については、経過時間が短いほど、アノマリ情報が上位に表示される。アノマリ事象が検知されてから現在時刻までの時間が短いアノマリ事象ほど運用者は急いで対応することが求められる。これはアノマリ事象が検知されてから現在時刻までの時間が長いアノマリ事象については問題が発生していないと想定されるからである。
図9に戻り、ステップS212の処理が完了すると、表示順序制御部240は決定した表示順序を登録した表示対象データを生成し、生成した表示対象データをデータ記憶部220に格納する(ステップS213)。これにより、データ記憶部220は第5データ管理テーブルT5により管理された表示対象データを記憶する(図7参照)。ステップS213の処理が完了すると、アノマリ検知部230及び表示順序制御部240は処理を終了する。アノマリ検知部230及び表示順序制御部240は以上説明した処理を動的に繰り返し実行する。特に、表示順序制御部240は関連サービス数や連続検知数、各種のINCチケットの数などに基づいて表示順序を定期的に決定するため、表示順序は動的に変化する。
図11はデータ可視化部250が実行する第3処理の一例を示すフローチャートである。図12はアノマリ一覧画面の一例である。図13はアノマリ詳細画面の一例である。尚、アノマリ一覧画面及びアノマリ詳細画面の画面レイアウトについては適宜変更してもよい。
まず、図11に示すように、データ可視化部250は運用端末300から画面表示要求を受け付けるまで待機する(ステップS301:NO)。データ可視化部250は画面表示要求を受け付けると(ステップS301:YES)、アノマリ一覧画面を表示する(ステップS302)。より詳しくは、データ可視化部250はデータ記憶部220が記憶する表示対象データの中からアノマリ検知日時と現在日時との差である経過時間が予め定めた特定の時間(例えば24時間)以内の表示対象データを抽出し、抽出した表示対象データに基づいてアノマリ一覧画面を生成して表示する。
アノマリ一覧画面は、図12に示すように、アノマリ事象の検知数と、優先順位に並んだ複数のアノマリ情報の一覧を含んでいる。図12では、上位数件のアノマリ情報が示されているが、縦方向のスクロールバーを設けることにより、下位のアノマリ情報が表示されるようにしてもよい。また、アノマリ一覧画面は、経過時間の割合を表す円グラフと経過時間の内訳、ホストマシン110の割合を表す円グラフとホストマシン110の名称の内訳、監視対象リソースの割合を表す円グラフと監視対象リソースの名称の内訳を含んでいる。特に、ホストマシン110の名称と監視対象リソースの名称はアノマリ事象が検知された数が多い順に表示されている。ホストマシン110の名称及び監視対象リソースの名称が指定されると、データ可視化部250は表示されたアノマリ情報の一覧から指定された名称を含むアノマリ情報に絞り込んで表示する。このように、大量のアノマリ事象が検知されても、これらのアノマリ事象に関するアノマリ情報が優先順位に並んで表示されるため、運用者はアノマリ事象に対する対応の優先順位の判断を誤る可能性が減少する。この結果、アノマリ事象に対する対応の遅延により問題が発生することを抑制することができる。尚、アノマリ情報に関連する情報も併せて表示されるため、優先順位の判断を誤る可能性がさらに減少する。
図11に戻り、ステップS302の処理が完了すると、次いで、データ可視化部250は運用端末300からアノマリ情報の指定を受け付けるまで待機する(ステップS303:NO)。データ可視化部250はアノマリ情報の指定を受け付けると(ステップS303:YES)、アノマリ詳細画面を表示する(ステップS304)。より詳しくは、データ可視化部250は指定されたアノマリ情報に関するアノマリ詳細画面を表示する。
例えば、図12に示すように、アノマリ詳細画面に表示された複数のアノマリ情報の中からポインタPtによりいずれか1つのアノマリ情報を指定して指示(例えばクリックやタップなど)すると、データ可視化部250は、アノマリ情報の指定を受け付ける。本実施形態ではアノマリID「88」のアノマリ情報がポインタPtにより指定されている。データ可視化部250は、アノマリ情報の指定を受け付けると、図13に示すように、指定されたアノマリ情報に関するアノマリ詳細画面を表示する。
特に、データ可視化部250は指定されたアノマリ情報に含まれるホストマシン110の名称及び監視対象リソースの名称に基づいて、データ記憶部220からこれらの名称を含む監視データを抽出してグラフ化し、グラフ化した監視データを表すグラフGR1をアノマリ詳細画面内に表示する。抽出した監視データにはアノマリデータと非アノマリデータが混在するため、データ可視化部250はアノマリデータをグラフ化した部分に対しマークM1を付与して強調して表示する。
また、データ可視化部250は指定されたアノマリ情報に含まれるホストマシン110の名称に基づいて、CMDB140からその名称と関連付けられた関連サービス名全てを抽出してアノマリ詳細画面内に表示する。さらに、データ可視化部250は指定されたアノマリ情報に含まれるホストマシン110の名称に基づいて、データ記憶部220からその名称を含むINCチケット及び変更要求チケットを抽出してアノマリ詳細画面内に表示する。特に、尚、データ可視化部250はアノマリ事象の検知日時から前後1時間以内の発行日時が登録されたINCチケット及び変更要求チケットを抽出してアノマリ詳細画面内に表示する。尚、図13では、イベント監視サーバ170が発行したINCチケットが示されているが、利用者端末が発行したINCチケットであってもよい。
以上、第1実施形態によれば、分析サーバ200はアノマリ検知部230、表示順序制御部240、及びデータ可視化部250を含んでいる。アノマリ検知部230は監視対象システム100に含まれる複数のホストマシン110の監視データに基づき、複数のホストマシン110のいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を実行する。複数のアノマリ事象が検知された場合、表示順序制御部240は監視対象システム100で実行される複数のサービス間の関係を示す構成情報を記憶するCMDB140を参照する。そして、表示順序制御部240は検知された複数のアノマリ事象それぞれの発生元のホストマシン110ごとに、該ホストマシン110で実行されるサービスに対して特定の関係性を有する他のサービスの数を関連サービス数として特定する。データ可視化部250は検知された複数のアノマリ事象に関するアノマリ情報を、特定した関連サービス数に応じた表示順序で運用端末300の表示部320に表示する。これにより、アノマリ事象対応の遅延による問題の発生を抑制することができる。
また、アノマリ検知部230は監視対象システム100に含まれる複数の監視対象リソースの監視データに基づき、複数の監視対象リソースのいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を実行する。複数のアノマリ事象が検知された場合、表示順序制御部240は検知された複数のアノマリ事象それぞれの発生元の監視対象リソースごとに、該監視対象リソースについて発生したアノマリ事象の連続検知数を算出する。データ可視化部250は検知された複数のアノマリ事象に関するアノマリ情報を、算出した連続検知数に応じた表示順序で運用端末300の表示部320に表示する。このような処理によっても同様に、アノマリ事象対応の遅延による問題の発生を抑制することができる。
(第2実施形態)
続いて、図14から図16を参照して、本件の第2実施形態について説明する。
続いて、図14から図16を参照して、本件の第2実施形態について説明する。
図14及び図15はアノマリ一覧画面の他の一例である。図16はアノマリ詳細画面の他の一例である。第2実施形態では、表示順序制御部240は、複数のアノマリ事象が検知された場合、検知された複数のアノマリ事象それぞれの発生元のホストマシン110を特定する。一方、データ可視化部250は、表示順序制御部240が特定したホストマシン110が共通し、かつ、特定したホストマシン110で発生したアノマリ事象の検知日時の差が閾値時間以内であると判断した場合、検知された複数のアノマリ事象に関するアノマリ情報を集約した代表のアノマリ情報を表示する。
これにより、図14に示すように、「ホスト5」の名称を有する2つの共通するホストマシン110のアノマリ情報について、検知日時の差が閾値時間(例えば5分)以内である場合には、データ可視化部250は、アノマリ情報を集約して表示することが可能であることを提示する集約マークG1を表示する。そして、ポインタPtにより集約マークG1が指定されて指示されると、データ可視化部250は、その指示に基づいて、図15に示すように、優先順位が高い方のアノマリ情報に低い方のアノマリ情報を集約し、優先順位が高い方のアノマリ情報を代表のアノマリ情報として表示する。
そして、データ可視化部250は代表のアノマリ情報を表示するとともに、その代表のアノマリ情報に集約マークG2を付与して表示する。ポインタPtにより集約マークG2が指定されて指示されると、データ可視化部250は、その指示に基づいて、図14に示すように、代表のアノマリ情報を展開する。尚、アノマリ情報を集約した場合、データ可視化部250は、集約前の監視対象リソースの名称全てを表示するが、監視対象リソース以外の表示項目(例えば連続検知数や関連サービス数など)については、代表のアノマリ情報の表示項目を優先して表示する。
一方、図15に示すように、集約マークG2が表示されたアノマリ情報の表示領域から集約マークG2の表示領域を除いた残りの領域がポインタPtにより指定されて指示されると、データ可視化部250は、指定されたアノマリ情報の指定を受け付ける。データ可視化部250は、アノマリ情報の指定を受け付けると、図16に示すように、指定されたアノマリ情報に関するアノマリ詳細画面を表示する。この場合、アノマリ詳細画面は集約前の監視対象リソースのそれぞれの監視データを抽出してグラフ化し、グラフ化したそれぞれの監視データを表すグラフGR1,GR2をアノマリ詳細画面内に表示する。第1実施形態でも説明したように、抽出した監視データにはアノマリデータと非アノマリデータが混在するため、データ可視化部250はアノマリデータをグラフ化した部分に対しマークM1,M2を付与して強調して表示する。これにより、共通するホストマシン110に発生した複数のアノマリ事象に対し運用者はまとめて対応することができる。
尚、データ可視化部250は、構成情報を記憶するCMDB140を参照して、特定したホストマシン110それぞれで実行されるサービス間に特定の関係性があると判断した場合、特定の関係性があると判断されたサービスを実行するホストマシン110それぞれで発生したアノマリ事象に関するアノマリ情報を並べて表示してもよい。特定の関係性とは、例えば関連するサービスの有無、及び検知日時が閾値時間以内であるか否かなどがある。
これにより、例えば「ホスト5」の名称を有するホストマシン110が実行するサービスと「ホスト4」の名称を有するホストマシン110が実行するサービスが関連しており、かつ、検知日時の差が閾値時間(例えば5分)以内である場合には、データ可視化部250は特定の関係性があると判断し、図14に示すように、「ホスト5」の名称を有するアノマリ情報と「ホスト4」の名称を有するアノマリ情報を優先度の高い方に並べて表示する。尚、アノマリ情報を並べて表示する場合、並べる前のアノマリ情報を残しておいてもよいし、表示対象から除外してもよい。本実施形態では、「ホスト4」の名称を有するアノマリ情報を残して表示している。これにより、サービスが関連する複数のアノマリ事象に対し運用者はまとめて対応することができる。
以上、本発明の好ましい実施形態について詳述したが、本発明に係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。例えば、上述した第1処理から第3処理の少なくとも1つは、管理サーバ190など、分析サーバ200以外の各種サーバが実行してもよいし、運用端末300が実行してもよい。
なお、以上の説明に関して更に以下の付記を開示する。
(付記1)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータに実行させることを特徴とする順序制御プログラム。
(付記2)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータに実行させることを特徴とする順序制御プログラム。
(付記3)前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、処理を実行させることを特徴とする付記1又は2に記載の順序制御プログラム。
(付記4)前記アノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、処理を実行させることを特徴とする付記1から3のいずれか1項に記載の順序制御プログラム。
(付記5)計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、処理を実行させることを特徴とする付記4に記載の順序制御プログラム。
(付記6)複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、処理を実行させることを特徴とする付記1から5のいずれか1項に記載の順序制御プログラム。
(付記7)複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、処理を実行させることを特徴とする付記1から6のいずれか1項に記載の順序制御プログラム。
(付記8)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータが実行することを特徴とする順序制御方法。
(付記9)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータが実行することを特徴とする順序制御方法。
(付記10)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理を実行する処理部を有することを特徴とする情報処理装置。
(付記11)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理を実行する処理部を有することを特徴とする情報処理装置。
(付記12)前記処理部は、前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、ことを特徴とする付記10又は11に記載の情報処理装置。
(付記13)前記処理部は、前記アノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、ことを特徴とする付記10から12のいずれか1項に記載の情報処理装置。
(付記14)前記処理部は、計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、ことを特徴とする付記13に記載の情報処理装置。
(付記15)前記処理部は、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、ことを特徴とする付記10から14のいずれか1項に記載の情報処理装置。
(付記16)前記処理部は、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、ことを特徴とする付記10から15のいずれか1項に記載の情報処理装置。
(付記1)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータに実行させることを特徴とする順序制御プログラム。
(付記2)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータに実行させることを特徴とする順序制御プログラム。
(付記3)前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、処理を実行させることを特徴とする付記1又は2に記載の順序制御プログラム。
(付記4)前記アノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、処理を実行させることを特徴とする付記1から3のいずれか1項に記載の順序制御プログラム。
(付記5)計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、処理を実行させることを特徴とする付記4に記載の順序制御プログラム。
(付記6)複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、処理を実行させることを特徴とする付記1から5のいずれか1項に記載の順序制御プログラム。
(付記7)複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、処理を実行させることを特徴とする付記1から6のいずれか1項に記載の順序制御プログラム。
(付記8)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理をコンピュータが実行することを特徴とする順序制御方法。
(付記9)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理をコンピュータが実行することを特徴とする順序制御方法。
(付記10)システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、処理を実行する処理部を有することを特徴とする情報処理装置。
(付記11)システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、処理を実行する処理部を有することを特徴とする情報処理装置。
(付記12)前記処理部は、前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、ことを特徴とする付記10又は11に記載の情報処理装置。
(付記13)前記処理部は、前記アノマリ事象を検知してから経過した時間を計測し、検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、ことを特徴とする付記10から12のいずれか1項に記載の情報処理装置。
(付記14)前記処理部は、計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、ことを特徴とする付記13に記載の情報処理装置。
(付記15)前記処理部は、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、ことを特徴とする付記10から14のいずれか1項に記載の情報処理装置。
(付記16)前記処理部は、複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、ことを特徴とする付記10から15のいずれか1項に記載の情報処理装置。
S 情報処理システム
100 監視対象システム
110 ホストマシン
130 構成収集サーバ
140 CMDB
150 性能監視サーバ
170 イベント監視サーバ
190 管理サーバ
200 分析サーバ
210 データ収集部
220 データ記憶部
230 アノマリ検知部
240 表示順序制御部
250 データ可視化部
300 運用端末
100 監視対象システム
110 ホストマシン
130 構成収集サーバ
140 CMDB
150 性能監視サーバ
170 イベント監視サーバ
190 管理サーバ
200 分析サーバ
210 データ収集部
220 データ記憶部
230 アノマリ検知部
240 表示順序制御部
250 データ可視化部
300 運用端末
Claims (11)
- システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、
複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、
処理をコンピュータに実行させることを特徴とする順序制御プログラム。 - システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、
検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、
処理をコンピュータに実行させることを特徴とする順序制御プログラム。 - 前記システムで実行される複数のサービスのサービスレベルの低下の原因となり得る事象に基づくインシデント情報の数を特定し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記インシデント情報の数にも応じた順序で表示する、
処理を実行させることを特徴とする請求項1又は2に記載の順序制御プログラム。 - 前記アノマリ事象を検知してから経過した時間を計測し、
検知された前記複数のアノマリ事象に関する情報を、計測した前記時間にも応じた順序で表示する、
処理を実行させることを特徴とする請求項1から3のいずれか1項に記載の順序制御プログラム。 - 計測した前記時間が短いほど、検知された前記複数のアノマリ事象に関する情報を上位に表示する、
処理を実行させることを特徴とする請求項4に記載の順序制御プログラム。 - 複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、
前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、特定した前記マシンそれぞれで実行されるサービス間に特定の関係性があると判断した場合、前記特定の関係性があると判断されたサービスを実行するマシンそれぞれで発生したアノマリ事象に関する情報を並べて表示する、
処理を実行させることを特徴とする請求項1から5のいずれか1項に記載の順序制御プログラム。 - 複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元のマシンを特定し、
特定した前記マシンが共通し、かつ、特定した前記マシンで発生したアノマリ事象の検知時刻の差が閾値時間以内であると判断した場合、検知された前記複数のアノマリ事象に関する情報を集約した代表の情報を表示する、
処理を実行させることを特徴とする請求項1から6のいずれか1項に記載の順序制御プログラム。 - システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、
複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、
処理をコンピュータが実行することを特徴とする順序制御方法。 - システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、
検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、
処理をコンピュータが実行することを特徴とする順序制御方法。 - システムに含まれる複数のマシンの監視データに基づき、前記複数のマシンのいずれかで発生したアノマリ事象を検知するアノマリ事象検知処理を行い、
複数のアノマリ事象が検知された場合、前記システムで実行される複数のサービス間の関係を示す情報を記憶する記憶部を参照して、検知された前記複数のアノマリ事象それぞれの発生元のマシンごとに、該マシンで実行されるサービスに対して特定の関係性を有する他のサービスの数を特定し、
検知された前記複数のアノマリ事象に関する情報を、特定した前記他のサービスの数に応じた順序で表示部に表示する、
処理を実行する処理部を有することを特徴とする情報処理装置。 - システムに含まれる複数の監視対象の監視データに基づき、前記複数の監視対象のいずれかについて発生したアノマリ事象を検知するアノマリ事象検知処理を行い、
複数のアノマリ事象が検知された場合、検知された前記複数のアノマリ事象それぞれの発生元の監視対象ごとに、該監視対象について発生したアノマリ事象の検知頻度を算出し、
検知された前記複数のアノマリ事象に関する情報を、算出した前記検知頻度に応じた順序で表示部に表示する、
処理を実行する処理部を有することを特徴とする情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018012552A JP7027912B2 (ja) | 2018-01-29 | 2018-01-29 | 順序制御プログラム、順序制御方法、及び情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018012552A JP7027912B2 (ja) | 2018-01-29 | 2018-01-29 | 順序制御プログラム、順序制御方法、及び情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019133246A true JP2019133246A (ja) | 2019-08-08 |
| JP7027912B2 JP7027912B2 (ja) | 2022-03-02 |
Family
ID=67547476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018012552A Active JP7027912B2 (ja) | 2018-01-29 | 2018-01-29 | 順序制御プログラム、順序制御方法、及び情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7027912B2 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008217285A (ja) * | 2007-03-02 | 2008-09-18 | Hitachi Ltd | 情報処理システムの運用管理装置および運用管理方法 |
| WO2013098915A1 (ja) * | 2011-12-26 | 2013-07-04 | 株式会社日立製作所 | 管理サーバ、管理システム、および、管理方法 |
| WO2013128550A1 (ja) * | 2012-02-27 | 2013-09-06 | 株式会社日立製作所 | 監視システム及び監視プログラム |
| US20170010930A1 (en) * | 2015-07-08 | 2017-01-12 | Cisco Technology, Inc. | Interactive mechanism to view logs and metrics upon an anomaly in a distributed storage system |
| JP2017126282A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
| JP2017126283A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
-
2018
- 2018-01-29 JP JP2018012552A patent/JP7027912B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008217285A (ja) * | 2007-03-02 | 2008-09-18 | Hitachi Ltd | 情報処理システムの運用管理装置および運用管理方法 |
| WO2013098915A1 (ja) * | 2011-12-26 | 2013-07-04 | 株式会社日立製作所 | 管理サーバ、管理システム、および、管理方法 |
| WO2013128550A1 (ja) * | 2012-02-27 | 2013-09-06 | 株式会社日立製作所 | 監視システム及び監視プログラム |
| US20170010930A1 (en) * | 2015-07-08 | 2017-01-12 | Cisco Technology, Inc. | Interactive mechanism to view logs and metrics upon an anomaly in a distributed storage system |
| JP2017126282A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
| JP2017126283A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7027912B2 (ja) | 2022-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5874936B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| EP2523115B1 (en) | Operation management device, operation management method, and program storage medium | |
| JP6248560B2 (ja) | 管理プログラム、管理方法、および管理装置 | |
| JP5546686B2 (ja) | 監視システム、及び監視方法 | |
| JP5571847B2 (ja) | 複数の制御システムの異常を検知する異常検知システム | |
| JP4990018B2 (ja) | 装置性能管理方法、装置性能管理システム、および管理プログラム | |
| JP2017126363A (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| US20160224400A1 (en) | Automatic root cause analysis for distributed business transaction | |
| JP2005327261A (ja) | 性能監視装置、性能監視方法及びプログラム | |
| JP2019135598A (ja) | 性能評価プログラム、および性能評価方法 | |
| JP6981063B2 (ja) | 表示制御プログラム、表示制御方法、及び表示制御装置 | |
| JP2019135597A (ja) | 性能調整プログラム、および性能調整方法 | |
| US9021078B2 (en) | Management method and management system | |
| JP2008158889A (ja) | トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置 | |
| JP2004348640A (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
| JP7027912B2 (ja) | 順序制御プログラム、順序制御方法、及び情報処理装置 | |
| JP2018136681A (ja) | 性能管理プログラム、性能管理方法、および管理装置 | |
| JP5519436B2 (ja) | システム安定度を分析する情報分析装置、情報分析方法、情報分析システムおよびプログラム | |
| JP4934660B2 (ja) | 通信帯域算出方法、装置、およびトラヒック管理方法 | |
| JP2021149115A (ja) | 監視システム、監視装置及び監視方法 | |
| JP7564447B2 (ja) | 異常要因判定方法および異常要因判定プログラム | |
| WO2024202571A1 (ja) | イベント管理プログラム、イベント管理方法、および情報処理装置 | |
| JP2019168760A (ja) | アクセス方法推定システム、及びアクセス方法推定方法 | |
| JP2023133915A (ja) | 情報処理装置、情報処理方法およびプログラム | |
| JP2024107983A (ja) | 障害通知システム、及び、障害通知方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211130 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220118 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220131 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7027912 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |